Sigint 2012: "Seid nett zueinander!"
Das beschauliche Hackertreffen in Köln hat seine Vorteile, es gibt kein stundenlanges Anstehen vor vollen Sälen, kein hektisches Gewühl und immer genug Mate. Und die Vorträge der Sigint 2012 waren teils ebenso hochwertig wie auf dem winterlichen Chaos Communication Congress in Berlin. Die Sigint ist eine Veranstaltung des CCC Köln, an der etwa 700 Hacker teilgenommen haben.
Hacker für den Frieden
Hacker sollten sich mehr für den Frieden und die Rechte anderer einsetzen, mahnte Stephan Urbach vom CCC Köln in seiner Keynote-Ansprache. Wer als Hacker für Waffenhersteller oder Geheimdienste arbeite, handele weder moralisch noch ethisch. Hacker seien in der Gesellschaft angekommen und sie müssten sich ihrer Verantwortung bewusst sein. "Seid nett zueinander!" rief er.
Dauerbrenner: Cybercrime
Gefahr drohe weiterhin von den Gesetzesgebern sowohl national als auch bei der EU, die teils aus Unwissen Initiativen verabschieden, die die Freiheit im Netz gefährden, sagten Fabian Walther und Ralf Bendrath(öffnet im neuen Fenster) vom CCC. Immerhin wurde Walther nach Brüssel eingeladen, um EU-Politiker zu beraten. Vor allem habe er den Eindruck, dass Unternehmen im Zuge der Diskussion um Cybercrime und Cyberwar eine neue Einnahmequelle witterten und verstärkt bei EU-Politikern vorsprächen.
Ab 2013 soll die Europol um das European Cybercrime Centre (E3C) erweitert werden und enger mit privaten Unternehmen zusammenarbeiten. Was diese Unterabteilung genau machen wird, konnte oder wollte niemand verraten, wie Walther sagte. Oft sei aber von dem Kampf gegen illegale Inhalte und Copyrightverstößen die Rede gewesen.
Aufklärung für Gesetzgeber
Außerdem überlegen die Gesetzgeber in Brüssel erneut, die Strafen zu erhöhen, etwa für das Betreiben eines Botnetzes, das Verwenden einer gestohlenen Identität oder den Besitz eines Hackergeräts. Erst auf wiederholte Anfrage, was denn ein Hackergerät genau sei, erhielt Walther die Auskunft: Das sei so etwas wie die Skimming-Devices an Geldautomaten.
In seinen Gesprächen unterbreitete er auch Gegenvorschläge. Unter anderem forderte er einen größeren Schutz für White-Hat-Hacker. Außerdem sollten die Softwarehersteller und Betreiber stärker in die Pflicht genommen werden, etwa wie es bei den Automobilherstellern schon längst der Fall ist.
Die geplante EU-Cert schreite jedoch nur langsam voran, sagte Walther. Inzwischen gebe es mehr als 40 gelistete Lücken auf der Webseite cert.europa.eu(öffnet im neuen Fenster) . Offiziell soll die EU-Cert aber erst ab Juli 2012 in Betrieb gehen. Die Webseite selbst war bis vor kurzem noch voller Sicherheitslücken, beispielsweise über MySQL-Injections angreifbar, so Walther.
Hacken und diskutieren
Die Diskussion über das Urheberrecht dominierte die diesjährige Veranstaltung mit zahlreichen Vorträgen zu möglichen Alternativen und einer Podiumsdiskussion(öffnet im neuen Fenster) , die nochmals verdeutlichte, dass das Urheberrecht teils dringend reformbedürftig ist.
Android-Hacking
Android-Hacking war ein zweites prominentes Thema, es wurden beispielsweise Werkzeuge vorgestellt(öffnet im neuen Fenster) , mit denen Android auf mögliche Sicherheitslücken überprüft werden kann. Gleichzeitig sollen die Werkzeuge aber auch genutzt werden, um mögliche Malware ausfindig zu machen und zu analysieren. Dazu gab es einen Workshop(öffnet im neuen Fenster) . Auch das Bezahlsystem Paypass über NFC wurde untersucht .
Zentral oder dezentral?
Zwei Projekte verdeutlichen die unterschiedlichen Meinungen zur Nutzung des Internets. Während Unhosted.org auf zentral gespeicherte Daten setzt, will Secushare sie dezentral verteilen. Beide Projekte wollen dem Anwender aber die Kontrolle über ihre Daten ermöglichen.
Die Javascript-Applikationen der noch jungen Remotestorage-Infrastruktur aus dem Projekt Unhosted.org sollen beim Anwender erfragen, auf welche Daten im Onlinespeicher sie zugreifen dürfen. Dazu verwendet Remotestorage gängige Protokolle wie OAuth und clientseitige Programmiersprachen wie Javascript. Dazu kommen noch Webfinger und CORS, auch bekannt als Cross-Origin-Ajax.
Die Entwickler von Unhosted.org(öffnet im neuen Fenster) wollen das Positive des Onlinedatenspeichers nutzen, nämlich, dass Daten überall verfügbar sind. Es gebe aber zu viele proprietäre Lösungen, online gespeicherte Daten ließen sich nicht in allen Anwendungen nutzen und der Anwender habe nicht immer Kontrolle über seine Daten, sagte Jan-Christoph Borchardt von Unhosted.org. Als erste Beispielanwendung hat das Projekt Libre Docs entwickelt, eine Art Pendant zu Google Docs. Letztendlich würden sich Daten und Applikationen nur im lokalen Browser treffen.
Soziales Meshing
Das ist für Daniel Reusche ein Alptraum, Applikationen haben in einem Browser nichts zu suchen, sagte er, und auf einem Server gelegene Daten schon gar nicht. Reusche stellte das Projekt Secushare(öffnet im neuen Fenster) vor, das jegliche Kommunikation über zentrale Server vermeidet. Secushare will eine dezentrale Kommunikationsinfrastruktur samt Datentausch bieten, die ausschließlich als P2P-Netz läuft. Dazu soll Secushare GNUnet für das Meshing und das Chatprotokoll PSYC für Trustlayer nutzen.
Die Entwickler haben sich viel vorgenommen, Secushare soll skalierbar und verschlüsselt sein. Allerdings setze Secunet mehr auf Verschlüsselung als auf Anonymität, sagte Reusche. Für den Einsatz in repressiven Ländern sei es daher nicht gedacht.
Familiäres Treffen
Auf der Sigint sind die Hacker eher unter sich, es ist ein weitaus familiäreres Treffen als die Hauptstadtveranstaltung. Die Sigint stand in der Themenvielfalt ihrem Pendant allerdings in nichts nach, wenn auch nicht alles neu war, was dort präsentiert wurde. Es gebe aber mehr Zeit sich auszutauschen und zu diskutieren, sagten einige Hacker Golem.de - und zu feiern. "Unsere Waffen sind die Kommunikation und das Netz" , sagte Hacker Walther.