Seit Snowden wird uns gesagt: Verschlüsselt! Gleichzeitig tauchen immer wieder Verschlüsselungslücken bei https-Verbindungen auf, eine der grundlegenden Methoden um Datenverbindungen im Internet zu verschlüsseln. Im aktuellen Chaosradio im Blue Moon sollen zwei Fragen geklärt werden: Warum ist die Technologie hinter dem https:// so häufig kaputt? Und sollte genau diese Software nicht bombensicher sein, weil sie Open Source ist, also jeder den Quellcode anschauen kann? Marcus Richter erwartet den Chaos Computer Club ab 22:00 Uhr in den Fritz-Studios und Euch und Eure Fragen unter 0331/70 97 110.
(Alec Empire - Music for hacker conference) — Begrüßung (Heute mit Erdgeist, danimo und Florian) — Open Source — TrueCrypt (wurde wohl defaced — TrueCrypt ermöglicht die Verschlüsselung von Datenträgern) — Erdgeist rät davon ab BitLocker zu verwenden, die momentan auf der Seite als Alternative angeboten wird — Chaosradio 200 — Software Audit (von TrueCrypt) — Kryptografie — Die Schwierigkeit sei die Kommunikation bei der Programmierung — Florian kommt von drausen, vom Walde, von der S-Bahn dazu — "Kaum ist der Chaos Computer Club am Start geht irgendwas kaputt." (monoxyd) — SSL — Goto Fail Lücke (Seite, die testet ob der eigene Mac betroffen ist — Goto) — Programmier-Syntax, Einrückung — OpenSSL — Common Crypto — "Du möchtest nicht, dass jeder seine eigene Kryptolibrary schreibt." (Erdgeist) — Dreipunktgurt (beim Auto) — Kryptographie benötigt Zufall — Man sollte seinen Zufall nicht nur aus der Uhrzeit zu generieren — Unix-Timestampts — Rausch an einem Mikrophon liefert relativ guten Zufall — Hearbleed — XKCD Comic zu Heartbleed — "Wenn genug Leute drauf glotzen, gehen Fehler kaputt." (Erdgeist übersetzt) ("Betrachten viele Leute das gleiche Problem, werden Fehler unsichtbar." (alt. Ueb.) — "Given enough eyeballs all bugs are shallow.") .
Heute mit Erdgeist, Florian und Danimo — Opensource — Warum — SSH — Google Docs — Denial of Service — OpenSSL war als Programmiergehversuch mit großen Ganzzahlen gestartet — "Natürlich kann man jede Kryptografie brechen, es dauert nur ewig." (Erdgeist) — OpenSSL wurde vor 20 Jahren begonnen — GnuTls — SSL Projekt der belgischen Regierung — "TÜV ist der Dampfkesselüberprüfungsverein" (Erdgeist) — FIPS Zertifizierung ("Ein Stempel von der US amerikanischen Regierung") — Erdgeist hat selber auch OpenSSL Sourcecode gelesen — Mit Silikon meint Erdgeist Silicium, da im Englischen "Silicon" genannt wird — "Das Problem ist, man muss den Kontext jeder Zeile kennen." (Floran) — Der problematische Heartbleed Code — Statische Codeanalyzer — Verantwortungsdiffusion (Je mehr Menschen theoretisch verantwortlich sind, desto weniger machen es) — TollCollect — BSI — "Die Idee, Open Source macht das ganze sicherer, ist eigentlich Quatsch." (monoxyd).
(Bundesanwaltschaft will nicht wegen NSA-Affäre ermitteln) — Apple IDs von iPhones übernommen — BSI warnt von gehackten FTP Servern.
Security Audits werden häufig von großen Firmen finanziert — Github — OpenBSD (Flüchtigkeitsfehler beim Abschalten des Heartbeat-Features) — Rage Commit — Peer Review — "Nur Menschen drauf zu gucken ist mir einfach zu wenig." (Erdgeist) — Linting (Einrückung und Leerzeichensetzung) — Best-Practices beim Programmieren — Test Driven Development ("Es zwingt dich dazu sehr kleinteilig zu schreiben." (Danimo)) — "Man sagt pro 100 000 Zeilen Code, 10 Fehler." (Erdgeist) — MS Office — Open Office — "Es gibt immer Leute, die aus den lustigsten Dingen Spass beziehen." (Erdgeist) — "Auch Open Source Software Entwickler wollen Fame." (Erdgeist) — Open Tracker — PHP — Qt Project (Macht es einfach grafische Benutzeroberflächen für mehrere Betriebssysteme zu entwickeln) .
Handbook of applied cryptography — Programmiersprache C — Hochsprachen — Cryptol — Haskell — Email ans Chaosradio an: [email protected] <mailto:[email protected]> — PolarSSL.
Es funktioniert bei PolarSSL (Alle Annahmen wurden auf) — GPL — ocaml-tls (OCaml) — OCaml nocrypto — Beweisbare Software — Turings Halteproblem — Einen Codereview richtig zu organisieren wäre kompliziert. Empfehlung nur kleine Mengen Geld für Review ausschreiben — Danimo befürwortet die Idee auch an Universitäten Studenten zu beauftragen — "Nimmt ein beliebiges OpenSource Projekt haut mal drauf rum, und schaut was passiert." (Florian) — Bug Bounty — Gemeldete Bugs muessen vom Melder auch gut dokumentiert/belegt werden, da sonst gerne abgewiegelt wird — Fork — Beispiel für Softwarefork: LibreSSL — "Falls ihr programmieren woltle, macht das mal." (monoxyd).
Constanze Kurz (wenn nur 25% der Menschen in DE verschlüsseln würden, würde sich für die Geheimdienste die Entschlüsselung nicht mehr lohnen) — Linux Foundation — "Die Leute brauchen halt immer 'ne Belohnung." (Christoph) — Chaos Computer Club — Fritz kürzt das Chaosradio auf jeden zweiten Monat — Außerhalb von Fritz wird es auch weiter jeden Monat Chaosradio zu hören geben — "Last euch nicht überwachen und verschlüsselt immer schön eure Backups" (monoxyd) (Musik Dragan Espenscheid - Websiiite) .