Schon wieder nix gewusst: O2 und die SS7 Schwäche

Ich frage mich langsam, ob es nicht erforderlich ist alle verantwortlichen Führungskräfte von TK-Unternehmen einem Intelligenztest zu unterziehen und nur Lizenzen zu erteilen wenn der durchschnittliche IQ >75 ist.

Offensichtlich ist es hilfreich, wenn solche Unternehmen von verblödeten Mtarbeitern geführt werden. Anders läßt sich nicht erklären, warum immer wieder Sicherheitslücken, welche jahrelang bekannt sind, zu „überraschendem“ Mißbrauch führen.

Die aktuell ausgenutzte Schwachstelle im SS7 (Signaling System #7) ist in mehreren Vorträgen als angreifbar beschrieben worden.

Natürlich war das auch schon Thema auf der DEF CON, nämlich der Vortrag von Ömer Coşkun auf der DEF CON 23.
Hier der Link zum PDF der Slides:
https://media.defcon.org/DEF%20CON%2023/DEF%20CON%2023%20presentations/DEFCON-23-Omer-Coskun-Why-Nation-State-Malwares-Target-Telco-Networks-UPDATED.pdf

Aber schon auf der 31C3 2014 hat Tobias Engel über die Lücken referiert.
https://www.youtube.com/watch?v=-wu_pO5Z7Pk

Beide haben vor dem jetzt in die Tat umgesetzten Szenario gewarnt.

Es ist ärgerlich, verantwortungslos und zeugt von vollständiger Kompetenzfreiheit, wenn Unternehmen solch offen bekannte Schwachstellen nicht umgehend beseitigen.

Ich verstehe nicht, warum es in diesen Fällen kein konsequentes Durchgreifen der Regulierungsbehörden gibt und derartige Vorfälle für die Unternehmen keine Gefahr darstellen.
Solange dieses, unser aller Sicherheit gefährdendes Verhalten nicht empfindlich geahndet wird, werden wir mir zunehmender Häufigkeit derartige Vorfälle beobachten.

Hier noch ein bisschen Lesefutter:
https://www.theregister.co.uk/2017/05/03/hackers_fire_up_ss7_flaw/?utm_source=dlvr.it&utm_medium=facebook

und
https://www.heise.de/newsticker/meldung/Deutsche-Bankkonten-ueber-UMTS-Sicherheitsluecken-ausgeraeumt-3702194.html

Biohacking

 

 

 

Biohacking könnte tatsächlich das nächste, große Thema der Defcon werden.
Leider hat das für mich mehr beängstigende Aspekte als Positive.
Im letzten Jahr habe ich das Thema liegen lassen. Ein Fehler den ich auf der diesjährigen Con nicht wiederholen werde.
Ich erinnere mich noch an die schräge Idee „Mother Dirt“ auf der Defcon 23 und wundere mich gerade, dass der Laden noch immer nicht pleite ist.
Tja, die Amerikaner wissen halt, aus Dreck Geld zu machen.

Die Vorbereitungen für das diesjährige Biohackin-Village laufen:
https://www.defconbiohackingvillage.org/

 

VCFe 18.0 und Berlinale 2017

Nun habe ich beide Termine fest eingeplant und Flüge sowie Unterkünfte gebucht.
Leider werden die Hotels immer teurer.

In München konnte ich ein Zimmer in einem recht einfachen Appartment Hotel noch zu akzeptablen Preisen buchen, aber leider rund 30% teurer als im Vorjahr.

Mein bevorzugtes Hotel in Venedig sollte mal schlapp das dreifache kosten und ist selbst in ungünstigsten Zeiten noch doppelt so teuer als bei der letzten Biennale vor 2 Jahren. Diesmal -zum Hotelpreis 2015- eine Ferienwohnung. Mal sehen.

In Las Vegas sieht es ähnlich aus.
Der Hotelbranche scheint es blendend zu gehen.

Termine 2017

Das Jahr 2016 war ja schon voll gepackt, aber es kann gut sein dass es 2017 noch mehr Gedränge geben wird.

Mehr oder weniger feste Termine für 2017 sind bis jetzt:

  • An den Wochenenden 10-12.2. ✔ sowie 17.-19.2. ✔ Berlinale in Berlin
  • 28.4.-1.5. ✔ VCFe in München (29.4.-1.5.) Totalausfall Krankheitsbedingt
  • 2.6.-5.6. ✔ Biennale Venedig (13.5.-26.11. )
  • 22.7.-1.8. ✔ DEF CON (27.7-30.7.) und vorher Besuch in Los Angeles
  • 7.-8.10. VCFB in Berlin. Diesmal mit einer 1100qm großen Fläche im deutschen Technikmuseum. Das ist schon ein Pflichttermin.

Noch ohne festen Termin, aber trotzdem geplant:

  • CeBit Hannover (20.-24.3. Klar, ich fahre nicht hin. Wie jedes Jahr. Uups. Ich sehe gerade dass ich tatsächlich nicht fahre. Zu diesem Termin befinde ich mich im Urlaub)
  • eCarTec München (habe ich in diesem Jahr ausfallen lassen, da 2015 sehr magere Ausbeute meines Besuchs)
  • documenta 14 Kassel (10.6.-17.9.)
  • Ausserdem wollte ich noch mal ein Motorradtreffen besuchen. Mittlerweile treffen sich da ja jede Menge alte Säcke und es ist nicht mehr vollkommen abseitig, in einem Hotel zu nächtigen. Vom 12.-14.5. gibt es ein Treffen in Kehl am Rhein, welches ich ins Auge gefasst habe. Leider gestrichen, da ich krankheitsbedingt liegengebliebene Arbeiten erledigen muß.
  • Black Hat Europe, London (4.-7.12. Wobei ich mich nach meinem diesjährigen Besuch frage, ob sich ein Besuch wirklich lohnt)
  • Inea, Nürnberg (2.-5.11. Habe ich schon länger auf der Liste, aber noch nie Besucht)

Also wird es Zeit, schon mal mit der detaillierten Planung zu beginnen.

Ich werde diesen Eintrag als Checkliste nutzen und ihn laufend anpassen.
Gebuchte Termine werde ich mit dem Symbol ✔ markieren.

„Überraschende“ Probleme bei der Telekom durch Hacker-Aktivitäten

Manchmal frage ich mich, woher die Presse Informationen bezieht und wie es manche „Experten“ schaffen, sich in Stellung zu bringen und jede Menge Zeit für die Verbreitung von fundiertem Stuß erhalten.

Die nun, durch einen uralten Mangel beim TR-069  Fernwartungszugang sowie einer für die Telekom glücklichen Verkettung von Umständen, massenhaften Ausfälle, weisen noch einmal deutlich auf den verantwortungslosen Umgang mit den Sicherheitsbedürfnissen der Anwender hin.

Solange die Konzerne nicht verpflichtet sind, auch auf Kundenseite für Sicherheit zu sorgen und für entstandenen Schaden auch geradestehen müssen, wird sich daran nichts ändern,

Bereits auf der DEF CON 22 im Jahr in 2014 wurde in einem Vortrag von Shahar Tal auf diese, auch zu diesem Zeitpunkt bereits altbekannte, Sicherheitslücke hingewiesen und vor fast genau dem nun stattgefundenen Szenario gewarnt.
Hier der Link zu einem Artikel auf Heise.de, womit klargestellt ist das diese Information der deutschen Fachwelt bekannt war und nicht nur „einer handvoll Hackern“ wie aus der Pressestelle der Telekom zu vernehmen war.

https://www.heise.de/newsticker/meldung/Def-Con-22-Millionen-DSL-Router-durch-TR-069-Fernwartung-kompromittierbar-2292576.html

Hier der Link zum Vortrag und den Vortragsmaterialien im Archiv der  DEF CON 22:
https://defcon.org/html/links/dc-archives/dc-22-archive.html#Tal

 

 

 

Hotel (DEF CON 25)

 

 

 

Nach einigem Gezampel konnte ich das Hotel reservieren. Die Preise sind über den Reservierungs-Link der Defcon zum ersten mal günstiger, als über die bekannten Portale.

Es wird also das Ceasars Palace. Für mich das erste Mal in diesem Hotel.

Allerdings plane ich vor der Con noch einen privaten Abstecher in Los Angeles. Mal sehen ob das klappt und ob ich hier auch ein Hotel brauche.

 

5 Jahre …

… ist Steve Jobs tot.

Es wurde zwischenzeitlich viel über Jobs Persönlichkeit, seine Fähigkeiten und vielem mehr spekuliert, geschrieben, behauptet und sogar gefilmt.
Nur Wenige hatten Zugang zu diesem Menschen, der zu normalem sozialem Verhalten praktisch unfähig war. Soziale Interaktion konnte er jedoch geschickt simulieren.

Rückblickend beeindrucken mich die Menschen, mit denen er besonders empathiefrei umgegangen ist. Die trotzdem nicht schlecht über Ihn sprechen.
Die herausragende Figur ist für mich dabei nicht Steve Wozniak, den Steve Jobs schon zu Beginn ihrer Partnerschaft um seinen Anteil betrogen hatte, sonder Daniel Kottke.
Nicht einfach, das Jobs ihm bei der Kapitalisierung von Apple, Firmenanteile verweigerte (als Angestellter #12 wäre Kottke von jeder Turnschuhbude im Valley mit Aktien zum Millionär gemacht werden), sondern er es sogar im Angesicht einer persönlichen Notlage Kottkes tat.
Die beiden waren nicht einfach nur Kollegen, sehr enge Kollegen, sondern hatten eben diese besondere, freundschaftliche Beziehung, die in einem Inkubator wie Apple entsteht. Zudem war Kottke Jobs Weggefährte, als dieser seine Auszeit in Indien nahm. Sie waren wirklich enge Freunde.
Meines Wissens nach hat Kottke öffentlich nie ein schlechtes Wort über Jobs verloren.

Ich finde, man muss sich vor Augen führen welchen Preis die unbestreitbar besonderen Fähigkeiten Jobs hatten.

Jobs herausragende Begabung war die Präsentation.
Das war das Finale Ziel für Ihn.
Die Ästethik, die Wozniak bei der Erstellung der Schaltungen als Maßstab anlegte, trat bei Jobs in seinen Präsentationen zu Tage.

So besessen Wozniak die Schaltungen optimierte, so besessen ging Jobs seine Präsentationen an. Bereits beim Produktdesign dachte er daran, wie sich jedes einzelne Feature präsentieren lässt.
Die Präsentationen selbst waren Inszenierungen ohne jeden Platz für Improvisation. Für die Präsentation des ersten iPhone ging die gesamte Crew in eine Art Klausur. Man schloss sich im Moscone Center (dem Ort der Präsentation in San Francisco) ein und wohnte praktisch auch dort. Jobs sowieso.
Diese Präsentationen waren beinharte Arbeit für alle und kosteten regelmäßig einigen Mitarbeitern von Apple den Job.

Diese hart erarbeiteten Präsentationen waren so stark aus Sicht des Auditoriums geprägt, das es für die Zuhörer ein beeindruckendes Erlebnis war. So beeindruckend, das keine Skepsis, kein Mißtrauen, nur Begeisterung in den Köpfen blieb. Das war das berühmte Realitäts-Verzerrungsfeld das von Jobs ausging (Reality distortion field).

Natürlich hatte Jobs auch noch weitere Fähigkeiten, aber das war die Überragende, welche auch den Erfolg maßgeblich beeinflußt hat.
Das war auch schon vor Sculley so. Und bei Pixar.

 

VCFB 2016

Heute ist schon der zweite und letzte Tag des VCFB.

Gestern hatte ich mich voll auf die Kurztagung konzentriert, heute will ich mir vornehmlich die Ausstellungen ansehen.

Mein Liebling im Game Room ist die Vectrex Konsole auf der das Spiel „Spike“ läuft.

Nachfolgend eine Auswahl der Ausstellungen:


Das Nixdorf Museum stellt diese interessanten Exponate aus, Stäbchenspeicher. Hier abgebildet ist eine Speicherkarte, eine Fädelstation und ein Montagemodul  mit Speicherkarte.


Sehr schön fand ich auch dieses Selbstbauprojekt, den Space Age 2


Jörg Hoppe stellt verschiedene Blinkenlights aus, mal an einer PDP, mal an einer Simulation oder an einem Blinkenbone angeschlossen.


Das Museum für historische Bürotechnik Naundorf stellt verschiedene Additionsmaschinen der Firma Rheinmetall aus.


Oscar Vermeulen ist wieder mit seinen Replicas der Rechner KIM-1, PDP-8 und PDP-11 dabei. Wenn ich mich richtig erinnere, war er bis jetzt jedes Jahr hier.


Und zum Schluss noch eine sehr schöne Idee. Die Karte gibt Auskunft über die Herkunft der Besucher. Ich würde mich sehr freuen, wenn andere Veranstaltungen diese Idee aufgreifen würden.

Kurztagung „Hello, I’m ELIZA“ auf dem VCFB 2016

Im Berliner Pergamonpalais findet im Rahmen des diesjährigen VCFB die oben genannte Kurztagung statt.

Der fundierte und konsistente Vortrag von Herrn Dr. Klaus Mainzer fegt ganz beiläufig die unausgereiften und durch fast schon religiöse Technikgläubigkeit geprägten Vorhersagen über den Verlauf beziehungsweise die Entwicklung der künstlichen Intelligenz, welche durch unsere US amerikanischen Freunde wie ein Mantra als zwingende Erkenntnis und einzig erlösendem Denkansatz zur Rettung der Menschheit in die Welt trompetet wird, in den Mistkübel der Technikgeschichte.

Auch die Folgevorträge sind interessant, jedoch bleibt der vorgenannte Vortrag das Highlight des Tages.

Allerdings habe ich den Vortrag von Stefan Höltgen geschwänzt, um dem zur gleichern Zeit stattfindenden Vortrag von Wolfgang Stief auf dem VCFB beizuwohnen.

Zu meinem Bedauern wurde der letzte Vortrag des Tages, von Naomi Weizenbaum, abgesagt.

So soll nun der Tag mit einer Performance abschliessen.

Die kurze Vorführung, inspiriert durch Ray Kurzweils naive Phantastereien, war sehr anschaulich umgesetzt und engagiert dargestellt.

Ein schöner und bemerkenswerter Abschluss.

Ich verdrücke mich vor der anschließenden Diskussion. Leider. Aber: Das Gorki wartet!