Security Nightmares 0x12
This is a modal window.
The media could not be loaded, either because the server or network failed or because the format is not supported.
Formal Metadata
Title |
| |
Title of Series | ||
Number of Parts | 167 | |
Author | ||
License | CC Attribution 4.0 International: You are free to use, adapt and copy, distribute and transmit the work or content in adapted or unchanged form for any legal purpose as long as the work is attributed to the author in the manner specified by the author or licensor. | |
Identifiers | 10.5446/34801 (DOI) | |
Publisher | ||
Release Date | ||
Language |
Content Metadata
Subject Area | ||
Genre | ||
Abstract |
| |
Keywords |
00:00
Hausdorff spaceAgreeablenessAlgebraic closureGRADETape driveComputer virusEigenvalues and eigenvectorsSakokuComputer animationXML
04:29
DigitizingDirection (geometry)SoftwarePatch (Unix)AuthenticationAudio file formatLengthLoop (music)Point cloudOpen setORIGIN <Programm>ImplementationSystems <München>PredictionAktion <Informatik>Service (economics)Computer animation
14:37
iPhoneInternetPasswordMongoDBPublic key certificateiPhonePatch (Unix)OutlookEmailPasswordHTMLInternetGebiet <Mathematik>GoogleGrand Unified TheoryWindows AzureMicrosoftGRADEExploit (computer security)BiometricsMobile appBewertung <Mathematik>Number theoryPoint cloudComputing platformInternetkriminalitätNumberCRAY <Vektorrechner>Moment (mathematics)LengthInstanz <Informatik>GeometryAuthenticationCodeChief information officerMongoDBBuffer overflowCryptanalysisService (economics)Denial-of-service attackHauptspeicherComputer animation
23:58
InternetPasswordMongoDBGoogleAndroid (robot)Patch (Unix)MicrosoftCoroutineExploit (computer security)SoftwareComputing platformRoundingSystems <München>Computer programmingDisplayProzentzahlSHERLOCK <Programm>StatistikerElectronic GovernmentNumberHausdorff spaceTwitterPoint cloudLebensdauerConcurrency (computer science)UpdateApple <Marke>GoogleInternet der DingeArmComputer animation
33:19
TwitterStandard deviationCoin <Programmiersprache>Military operationMalwareRow (database)Service (economics)Constraint (mathematics)InformationMoment (mathematics)CircleBusiness modelMoney <Programm>Hausdorff spaceDirection (geometry)ImplementationComputer scienceEncryptionApple <Marke>CRAY <Vektorrechner>Computer animation
42:40
UltrasoundInformationAgreeablenessSoftwareJavaScriptEckeOperating systemMINIXSet (mathematics)Programmer (hardware)Systems <München>FacebookWord processorPhysical quantityTwitterTransmitterPoint of saleOpen sourceDiagramMoment (mathematics)Block (periodic table)Computing platformCompilerRobotIntelProgramming languageComputer animation
52:01
Internet der DingeTwitterWasserstrahlMobile appUltrasoundPredictionActive contour modelStatisticsPropositional formulaTypComponent-based software engineeringTrans-European NetworksoutputActor <Programmiersprache>MoistureInternetPatch (Unix)GoogleApple KeynoteComputer animation
01:01:22
Social softwareSample (statistics)Point cloudQuantum computerRemote administrationPlatteComputer hardwareMobile appALT <Programm>Hausdorff spaceExploit (computer security)LengthStandard deviationProzessorAutomationLink (knot theory)Direction (geometry)SurfaceIntelFacebookSingle-precision floating-point formatComputer animation
01:10:42
HypermediaComputer animationJSONXMLUML
Transcript: German(auto-generated)
00:16
Wer hat letztes Jahr ein Security-Nightmare erlebt, von euch?
00:26
Ne, glaub ich nicht, alles sicher. Wer von euch hat in der Familie ein Security-Nightmare erlebt? Und wer von euch war sein eigener Security-Nightmare?
00:40
Ausreichend. Jetzt kommen... Ron und Frank! Security-Nightmares! Ja, herzlich willkommen zu den Security-Nightmares. Hallo Leipzig!
01:06
Ich glaube, das ist das erste Mal, wo ich Sorgen hatte, ob ich rechtzeitig reinkomme. Wie viel der Ausgabe ist es eigentlich? Genau, ich habe da § 2 hingeschrieben, das ist § 2 BGB, der regelt die Volljährigkeit.
01:25
Und diese Veranstaltung ist 18. Die Veranstaltung darf jetzt heiraten. Und zwar seit Oktober jeden.
01:50
Sie darf jetzt auch selber Mobilfunkverträge abschließen. Und hochprozentigen Alkohol- und Tabakwaren kaufen. Und konsumieren.
02:01
Und sich auch an jugendgefährdenden Orten aufhalten. Also hier! Und Glücksspielen. Das heißt, Bitcoin, hat jemand Bitcoin gesagt?
02:25
Ja genau, und die Datenschleuder abonnieren, ist klar. Ja, wir hatten eine gute Zeit auf dem Kongas. Wir sind immer traditionell der Rauskehrer hier vor der Abschlussveranstaltung. Also die Veranstaltung dafür sorgt, dass ihr zur Abschlussveranstaltung alle da seid.
02:42
Und ihr konntet euch von dem Supportmarathon über Weihnachten so ein bisschen erholen. Wie schlimm war es denn so dieses Mal? Da wollten wir noch mal so zwei, drei Fragen zu stellen. Wer hat denn noch einen XP weggemacht?
03:01
Und wer durfte auch dieses Jahr das XP nicht wegmachen, weil es läuft so gut? Dann können wir eigentlich alle gleich nach Hause gehen, oder? Was ich so witzig fand dieses Jahr, ich meine, wir sagen immer, man kann sich ja dann hier erholen von dem Supportmarathon, den andere Leute Weihnachten nennen.
03:25
Und was ich jetzt aber gehört habe, ist, dass dann der eine oder andere Teenager nicht hergekommen ist, weil der Rest der Familie kommt ja sowieso immer hierher. Und die hatte man dann ja gerade drei Tage.
03:42
Und das schafft man dann halt nicht mehr. Und da muss man dann mal nachdenken, wie man damit umgeht, weil in einem Stream ist ja keine Antwort auf alles, oder? Wer hatte denn so ein Virus oder Trojaner zu entsorgen über Weihnachten?
04:01
Du musst höher einsteigen. Bei wem waren es mehr als zehn? Keiner? Okay. Da ist was los? Mehr als fünf? Auch nicht? Okay. Wer weiß nicht, wie viele es waren?
04:21
Ah, okay, die Methode hat sich geändert. Ihr setzt die einfach gleich neu auf die Kisten, ne? Ja, fair enough. Gut. Steigen wir ein? Das ist ein Bild, was mein Freund Paul Mayer gemacht hat. Der kümmert sich darum, Maschinen des Sehens beizubringen.
04:42
Und er hat festgestellt, dass Ampeln für Maschinen zwischendurch so aussehen, weil wenn man mit so einer Ampel mit 60 Hertz Frame Rate aufnimmt, dann passiert beim Umschalten zwischen Gelb und Grün der lustige Effekt, den wir hier gerade im Bild beobachten, dass es nämlich ein Frame lang so aussieht.
05:03
Ups. Damit fahren wir dein Auto. Also nein, falsch. Damit fahren dein Autos mit uns. Die beliebte Republik Rubrik vor zehn Jahren.
05:23
Da ist ja viel passiert vor zehn Jahren. Wir forderten damals Bürgertrojaner für mehr Bürgerbeteiligung. Das war so ein bisschen mau, aber die Digitalisierung hat ja auch vor den Parteien nicht halt gemacht.
05:40
Vor allen Dingen WhatsApp hat vor den Parteien nicht halt gemacht. Und da gab es dann diese hübschen Leaks, nicht wahr? Habt ihr alle mitgekriegt, wie sich die Partei da reingehängt hat? Ich glaube, das ist ein Saalablaus wert.
06:08
Die andere Sache in Sachen Bürgertrojaner für mehr Bürgerbeteiligung, die so in die Richtung geht, ist diese Android-App Haven von The Guardian Project und Freedom of the Press Foundation.
06:24
Der Edward Snowden hat auch ein bisschen Werbung dafür gemacht, wenn mich nicht alles täuscht. Und das ist ja so ein Wir überwachen den öffentlichen Raumgerät. Also etwas, was natürlich in Deutschland verboten wäre, wenn man es hier aufstellen würde.
06:41
Aber, genau, ich denke, wir werden sehen, wo das hinführt. Ich glaube, dass das so eines der ersten Anzeichen dafür ist, dass so Evidence-Collection-Systeme, also eigentlich wird es ja dafür beworben zu sagen, wenn man sein Hotelzimmer verlässt, also den öffentlichen Raum dieses Hotelzimmers, man sich die Frage stellen kann, welche Öffentlichkeit sich denn daran aufhält, während man da nicht gerade nicht da ist.
07:03
Und um das zu dokumentieren, soll das Gerät ja benutzt werden. Aber ich glaube, dass genau dieser Punkt, öffentliche gute Software zur Evidence-Generierung, die wird uns noch eine Weile beschäftigen. Remote Government, ja, da hatten wir ja vor zehn Jahren war Island.
07:24
Kurz weg. 20 Tage lang oder so, ne? 20 Tage, genau. Und damals fing ja dieser ganze Cyber so ein bisschen an, auch wenn er damals noch nicht so hieß. Und es sollen ja Privatpersonen gewesen sein. Also patriotisch gesinnte Privatpersonen, die damals Island runtergenommen haben.
07:43
Und irgendwie hat sich dieser Trend so ein bisschen verfestigt, dass also patriotisch gesinnte Privatbürger dann auch, was wir damals ja schon vorher gesagt hatten, wenn man halt anfängt, so ein ganzes Land runterzufahren, dann kann man auch relativ problemlos irgendwie sich um deren Wahlsysteme kümmern. Nur, dass es dann halt nicht Island war, sondern andere Länder.
08:02
Genau, aber Putin hat gesagt, das war ein Freigeister. Also das war keinesfalls eine gesteuerte Aktion, was da in Amerika gelaufen ist, nicht wahr? Genau. Ja, das war der Punkt. Modularen Superwormer.
08:22
Genau, und das ist ja etwas, was uns hier schon eine Weile begleitet, dass die Superworms als solche modularer werden und auch das Eko-System drumrum modularer wird. Man jetzt inzwischen so ransomware as a service gibt es ja auch schon.
08:42
Und das hat sich nur weiterentwickelt, keine große Sache. Dann gab es das Thema Biohacking. Ich glaube, vor ein paar Jahren hatten wir da noch welche da, die hatten auch mal Ebola auf einer Powerpoint-Folie dabei. Das ist aber nicht zehn Jahre her, ne? Das ist nur so fünf Jahre her.
09:01
Ungefähr sowas, ja. Ja, inzwischen hat die FDA...
09:27
Also wie wir sehen können, hat Biohacking enorme Fortschritte gemacht.
09:46
Also ich weiß nicht, ob die Damen und Herren irgendwie schon mit CRISPR-Cas9 modifiziert wurden. Aber das werden wir dann wohl demnächst auch sehen. Also die CRISPR-Cas9 ist eine Methode, mit der man Gen-Editing sehr weit treiben kann.
10:02
Also die FDA hat gerade davor gewarnt, dass man das an sich selber ausprobiert. Und ich hatte eigentlich auch so ein bisschen erwartet, dass wir für den Kongress schon so ein paar Einreichungen dazu kriegen. Also ich könnte mir da so viele Dinge vorstellen, zum Beispiel so kleine Elfenuhren züchten oder mal die Augenfarbe ändern.
10:20
Da gibt es ja so viele kleine einfache Möglichkeiten zum Patchen. Aber bisher hatten wir noch keine Einreichungen. Mal sehen, wie es nächstes Jahr wird. Genau, für nächstes Jahr wünschen wir uns das. Und dann hatten wir das Thema Industrie-IT, Kinderzimmer-IT und Krankenhaus-IT.
10:42
Und ich weiß noch, dass wir uns schlapp gelacht haben über diesen Dinosaurier, den wir mitgebracht haben. Ich weiß noch nicht, ob ihr euch noch erinnert. Es war so ein Spielzeug-Dinosaurier, den man streicheln konnte. Und dann hat er so ein Hm gemacht. Und der hatte auch schon eine Kamera drin und ein Mikrofon. Und wie gesagt, so kleine Geräusche konnte der auch machen.
11:03
Ja, und dieses Jahr hat die Bundesnetzagentur tatsächlich eine Kinderpuppe verboten. Ja, weil das eben auch eine als Wanze klassifiziert wurde. Da wurde der Verkauf verboten. Ich glaube, 400 Shops oder so mussten das Angebot rausnehmen.
11:21
Und Kinderuhren mit Mikro wurden auch verboten von der Bundesnetzagentur. Also es entwickelt sich wirklich irre. Und dann das Schönste war aus meiner Sicht dieses Ding mit den Furbies. Furbies kennt ihr ja auch alle. Und die sind ja auch technologisch nicht stehen geblieben.
11:42
Es gibt einen Furby Connect, der spricht Bluetooth. Und der braucht keine Authentisierung. Und der spielt dann Audiodateien ab. Das heißt, ihr müsst nur dicht genug rankommen an die Kinderzimmer.
12:02
Da hätten wir gerne von euch jetzt einen Audiotrack. Wenn ihr also alle mal kurz, 10 Sekunden... Cyber, Cyber, Cyber, Cyber, Cyber, Cyber, Cyber, Cyber, Cyber, Cyber, Cyber, Cyber, Cyber.
12:23
Sehr schön. Dankeschön. Dankeschön. Länger darf der Loop sowieso nicht sein. Also wenn ich dann die Spielzeugläden... wenn die dann alle anfangen zu cybern da drin, wissen wir bescheid.
12:46
Heutzutage erscheint der Furby wie der Ur-Großvater von den Werbewanzen, die sich die Menschen ins Wohnzimmer stellen. Hast du Alexa gesagt? Alexa, tell my therapist, ist ein ernsthafter Skill.
13:04
Es gibt tatsächlich für Alexa mehrere, also für das Amazon-Werbewanzen-Gerät, aber auch für die anderen Konferenzprodukte, mehrere Implementierungen, mehr oder weniger fortgeschritten von Eliza, dem ursprünglichen Weizenbaum-Programm. Und es gibt tatsächlich natürlich, selbstverständlich,
13:22
gibt es auch mittlerweile schon so Machine-Learning-basierte Therapiesysteme, über die man sich mit seiner Werbewanze unterhalten kann. Wenn wir uns jetzt überlegen, so Daniel Suewas hatte damals gesagt, so the human mind is a stationary target. Das heißt also, der menschliche Geist entwickelt sich nicht so schnell vorwärts,
13:42
für die Maschinen, die ihn manipulieren. Da geben sich völlig ungeahnte Möglichkeiten, so den Zusammenfluss von Gesprächstherapie und Werbung in einem Gerät. Das ist endlose Möglichkeiten. Genau, was soll da schon schiefgehen, oder?
14:01
Den Cloud-Pet-Leuten sind dann auch gleich 2,2 Millionen Sprachdateien von Kinderspielzeug weggekommen. Das waren 800.000 User. Ja, genau. Genau, die nächste Nummer war hier die Cloud-Vorhersagen,
14:23
die wir gemacht haben. Und das Irre ist ja immer, wenn man da sitzt und sich Gedanken macht über die Zukunft und sich vorstellt, wie schwierig das sein wird, Dinge zu tun. Also, wenn wir sagen, wie das mit Cloud wird problematisch, dann denken wir an das, was dann irgendwann mal als Row-Hammer
14:42
oder so präsentiert wird. Ja, irgendwie aus einer VM ausbrechen, in die andere reinschleichen und solche Geschichten über Hardcore, was weiß ich, irgendwas fehlern in den Hauptspeichersystemen, whatever. Aber wie sieht die Realität aus? Die Realität sieht so aus, dass es da AWS-Buckets gibt,
15:04
wo halt keiner das Rechte-Management eingeschaltet hat. So, Row-Hammer. Das ist ja albern, braucht man gar nicht. Einfach reinklicken, downloaden und Spaß haben. Also, die größten Datenleaks dieses Jahr waren tatsächlich so was.
15:21
Terabytes. Terabytes von Kundendaten. Ja, kommen noch ein paar Beispiele. Kommen noch ein paar Beispiele. Das andere Ding war irgendwie das Gelächter über das iPhone in 2007. Ja, so, haha, ein iPhone, ein Telefon irgendwie, wo man alles Mögliche drauf ausführen kann,
15:40
ohne dass irgendwer was fragt und solche Geschichten. Ja, und jetzt? Jetzt gibt's ... Sicherheitsexperten, die sagen, das ist für den Konsumer die sinnvollste Plattform, was die Sicherheit angeht. Obwohl ich ja glaube, dass diese Sicherheit vom iPhone so ein marktgetriebenes Ding ist.
16:01
Wenn die Exploits einmal teuer sind, und für iPhone sind die Exploits am teuersten momentan, dann haben alle Interesse daran, dass sie teuer bleiben. Das heißt, dann werden die nicht so häufig und nicht so schnell released, weil das wäre ja nicht gut für alle anderen, die auch noch auf welchen sitzen. Ja, zero haben wir gleich noch was zu, ne?
16:23
Gut. Und den wollte ich noch mal bringen, weil ich den so gut fand. Der Bufferoverflow durch zu breites Grinsen bei Biometrie. Ja, das ist dann so, wenn die Mundwinkel aus dem Gesicht sich herausbewegen, ja?
16:40
Was passiert dann eigentlich? Gibt's da ein Bufferoverflow oder nicht? Hat jemand mal ein iPhone X und kann das ausprobieren? Ah, gut. Ja. Und das ist ein ... Da braucht man nix mehr zu sagen, oder? Ich mein, vista, vista, vista.
17:02
Vista vista ist dieses Jahr noch gepatcht worden mit WannaCry. Grade so. Und Mac OS X hat seit dem letzten Patch jetzt wieder zwei Fakta-Authentisierungen. Username und Passwort.
17:26
Aber ich meine, die Dinge gehen einem nicht aus. Sie gehen einem überhaupt nicht aus. Outlook hat ein halbes Jahr bei S-Mime-Mails, also bei verschlüsselten Mails, den Klartext mitgeschickt. Ja.
17:40
So, und jetzt kommt's. Der Schlag ist natürlich, also der Schlag in den Bauch ist, dass es nur passiert, wenn die Mails nicht HTML waren. Also nur Mails, wie man sie eigentlich verschicken sollte, waren betroffen. Genau, nur Plain Text.
18:00
Gut, das Normalitätsupdate. Ähm, ein Username-Passwort-Kombo für einen funktionierenden Mail-Account kostet 8 bis 15 Dollar. Wir hatten in Deutschland 83.000 Cybercrime-Fälle in 2016.
18:23
Und 51 Millionen Euro Schaden. Ich frag mich immer, wo die Zahlen herkommen. Ja. Also ich mein, ist da jetzt WannaCry schon reingerechnet und der Anteil von den 300 Milliarden Maersk schon drin oder nicht? Und sind die geklauten Bitcoins dabei und deren Wertzuwachs?
18:44
Das ist ja eh die interessante Frage. Es gibt in Hamburg immer diesen schönen Witz, weil vor 20 Jahren, gefühlt, wurde da mal ein Container-Koks oder so im Hafen beschlagnahmt, dann hieß es, ein Container-Koks wurde im Hafen beschlagnahmt, fünf Tonnen wurden beschlagnahmt.
19:03
Und am nächsten Tag heißt es dann, alle vier Tonnen Koks wurden in die Asservatenkammer der Polizei eingelagert. Und vier Wochen später heißt es dann, dass alle zwei Tonnen Koks vernichtet worden sind. Und hier ist es ja mehr so umgekehrt. Wir haben hier für 51 Millionen Euro Bitcoin fest beschlagnahmt.
19:25
Und übermorgen werden wir das für ... Irgendwas zwischen 5 und 500 verkaufen. Geldautomatenmanipulation.
19:40
Das Witzige daran ist, 56 Prozent in Berlin. Was ist da los? Ach so, das ist ja erklärbar. In Berlin stehen diese ganzen Geldautomaten rum, wo du schon immer denkst, es kann nur ein Scamming-Device sein. Diese Digger, die da so kleine Säulen auf der Straße stehen, die man sonst eher in etwas ärmeren Ländern kannte,
20:03
und die stehen in Berlin überall rum. Du kannst in den etwas beliebteren Gebieten nicht eine Straße runterlaufen, um mindestens über fünf Geldautomaten zu stolpern. Und da ist halt die Möglichkeit, aus einem Gerät, das aussieht wie ein Scamming-Device, ein Scamming-Device zu machen, offensichtlich zu verlockend.
20:22
Wer hat hier da oben Geld abgehoben? Ja, kennt jemand jemand, der darum hält, abzuprobieren? War es wenigstens Rochs noch, gutes Geld, frisch?
20:42
Genau, 50.000 Mongo-Debés. 27.000? Nee, 50.000 bis August. In einer Woche im August davon 27.000. Das war ein Massaker. Die DDoS-Angriffe, die öffentlich dokumentiert worden waren,
21:02
dieses Jahr, glaube ich, 510. Letztes Jahr hatte ich schon mal was von 600 gelesen. Und hinter den Kulissen gibt es so einzelne Angriffe, die wurden kurz mit 800 Gigabit ausprobiert worden. Wobei man da einfach nur sagen muss, es handelt sich dabei eigentlich um einen Fortschritt bei der Cloud-Entwicklung.
21:24
Weil der typische Weg, wie so ein Denial-of-Service monetarisiert wird, man schickt dann eine Mail und sagt, guten Tag. Schönes Business haben Sie da. Sie haben am irgendeinen Freitag Ihren offenen Verkaufstag, wo es irgendwie möglichst viel Umsatz geben soll.
21:42
Es wäre doof, wenn Sie da einen Denial-of-Service bekommen würden. Wir demonstrieren gerade mal, wie das funktioniert. Dann bekommt man eine Viertelstunde Denial-of-Service mit durchaus mehreren Dutzend oder 100 Gigabit. Dann hört es pünktlich wieder auf. Dann bekommt man eine momentan interessanterweise meistens Bitcoin-Adresse.
22:02
Was ich nicht klug finde, aber eine Zahlungsadresse, mit der man sich daraus freikaufen können soll. Die Leute, die schon länger in die Business sind, sagen, wenn es genau eine Viertelstunde ist und der Traffic von AWS oder Azure Cloud-Instanzen kommt, dann zahlen wir nicht.
22:21
Dann wissen wir, dass die Leute die freien Accounts von diesen Cloud-Plattformen benutzen, um sich den DDoS-Traffic zusammenzuschnorren. Das halten die nicht länger als eine Viertelstunde. Nicht bevor Amazon oder Microsoft eingreift. Dann brauchen wir nicht zahlen. So ist heutzutage die Logik des Geschäfts im Internet.
22:43
Ein Saalapplaus, bitte, für 100 Millionen Zertifikate von Let's Enter. Überhaupt ist der verschlüsselte Traffic inzwischen über 50 Prozent,
23:02
was ja schon mal eine echte Leistung für sich ist. Ja, Apps faken ist a thing now.
23:21
Gerade insbesondere im Google Play Store, da eher so ein bisschen mehr nachsichtig sind mit Apps. Aus dem Apple Store mussten Sie auch diverse Ethereum ... Stimmt, Ethereum wollte es. Genau, Dinge rauskehren. Letztes Jahr haben wir noch gesagt,
23:40
alle App-Bewertungen sind fake. Aber nicht nur die App-Bewertungen sind fake. Die Apps sind vielleicht auch fake. Dann gibt es bestimmt jetzt Fake-Apps mit echten Bewertungen. Kommt drauf an, was du dir leisten kannst. Genau, und die ernüchternde Prozentszahl des Tages
24:01
ist, dass Google Android-Sicherheitsupdates nur 50 Prozent der Geräte erreichen, sagen die ihren eigenen Statistiken. Wenn man es glauben kann, das sehe ich auch so. Da sind wir beim nächsten Punkt. Statistiken, die man nicht selber gefälscht hat.
24:22
Es gab mindestens zwei Zero-Day-Studien. Eine der interessanten Zahlen war dieses ein Zero-Day, wenn er denn als solcher bekannt wird, lebt er schon sieben Jahre. Die Verwundbarkeit ist schon sieben Jahre im Feld und wird auch benutzt.
24:42
Also ist schon sieben Jahre entdeckt, bevor sie dann öffentlich wird und der Hersteller aber trotzdem noch keinen Patch hat. Jetzt kommt es. Definiert wurde hier aber diese Lebensdauer, als die Lebensdauer hört auf, wenn der Hersteller den Patch rausgibt.
25:01
Das finde ich persönlich absurd, wenn man sich anschaut, wie viele Leute einfach immer noch nicht patchen. Und wie viele Runden WannaCry schon gedreht hat durch die Systeme dieser Welt und noch drehen wird, weil die immer noch nicht fertig sind mit Patchen.
25:20
Also dieses Microsoft-Patch das und das. Oder Google patcht jetzt das und das. Oder wer auch immer patcht das und das. Das sind immer Schlagzeilen, wo ich denke, gar nicht. Microsoft stellt denen zur Verfügung. Und ob das dann irgendwo ankommt, ist echt eine zweite Frage,
25:41
die leider nicht immer positiv zu beantworten ist. Wobei dieses Patching-Business, das erzeugt ja, je länger diese Mechanismen, dass die Hersteller in bestimmten Tagen ihre Patches ausrollen und was dann so passiert. Das hat ja mittlerweile so eine gewisse Routine entwickelt.
26:00
Microsoft rollt einen Patch aus. Dann schmeißen alle Leute hier IDA Pro an, reverse-ingenieren diesen Patchfiguren, also finden raus, was der Bug ist, der gepatcht wurde. Und dann gibt es dafür zwei Märkte. Der eine Markt ist natürlich daraus ein Explore zu entwickeln und der andere ist festzustellen, warum die Software, die man mit dem Patch verwenden wollte, leider crasht.
26:23
Weil der Grund, warum viele Leute nicht patchen, ist ja, dass sie Software haben, die dann nicht mehr funktioniert. Obwohl sich Microsoft eigentlich viel Mühe gibt dabei. Die Problematik ist, wie kriegt man die Leute zum Patchen? Natürlich indem man die Qualität hochhält und so.
26:41
Da gibt es ja dieses schöne Gerücht, dass einigen Leuten aufgefallen ist, dass bei iOS, die richtig schicken Emojis, also die richtig schicken neuen Emojis, immer nur an den wirklich wichtigen Security-Updates dranhängen. Damit die Leute auch motiviert sind, zu patchen.
27:07
Das handelt sich natürlich über eine wilde, haltlose Verschwörungstheorie. Aber ich glaube, wer beantworten kann, wie das für IoT funktioniert, dem müssen wir dann echt dankbar sein.
27:24
Also bei Apple ist es eigentlich so, Apple hat erkannt, die Human Mind ist das Stationary Target. Und haben einen Optimierungsvektor gefunden mit den Emojis, den ich eigentlich ganz bewunderungswürdig finde. Bei IoT würde es, glaube ich, nur funktionieren über, geht wieder, mein Licht geht wieder an nach dem Patch.
27:42
Ja, vielleicht könnte man ja an jedes IoT-Gerät so ein kleines Display machen, wo dann so ein niedliches Kätzchen blinzelt oder so, oder eine neue Grimasse ziehen kann. Was, weiß ich. Du meinst so was wie so Crypto-Cats als Upgrade-Bonus?
28:02
Collect them all? Ich glaube, da sind wir halt im Geschäftsmodell. Collect them all. Ja, Pokemon-Patching. Wir brauchen die Gamification des Patchings.
28:26
Ja, das Wahlcomputer-Massaker ging auch dieses Jahr noch ziemlich ungebremst weiter. Am schönsten sind die Sprüche, oder? Also wenn die Leute nach einer Metapher suchen für das, was da passiert ist in diesem
28:41
Voting-Computer-Village. Genau, da sprach ich mit jemandem, der da war und meinte, das ist ungefähr so, als wenn man Fische, also in einem Fass, auch Fische in einem Fass schießt, aber mit einer Gatling-Gun, mit explodierenden Kugeln.
29:00
Und das Fass ist nicht mit Wasser gefüllt, sondern Benzin. Genau. Dann gab es noch PC-Wahl und wie hieß das andere Ding? Ivo? Ivo Elect meinst du. Ja, das steht noch aus.
29:21
Das gab es noch nicht, richtig? Wie kann das denn sein? Ja, das war kurz vor der Bundestagswahl. Die Arme waren lang. Der Sommer war ganz okay. Shadowbrokers, genau. Dieses Phänomen, dass wir
29:42
Mailware haben, die meist Exploits sind, also die von Geheimdiensten gebaut wurden, um andere Leute Rechner aufzumachen, wird, glaube ich, auch noch eine Weile bei uns bleiben. Genau, wir haben das hier unter e-Garvament aufgehängt, weil das Waffenschränke der NSA waren, die da einfach mal
30:03
en gros weggekommen sind. Das sind dann wieder diese Zero-Day-Dinger, die uns noch Jahre begleiten werden. Die sind schon seit zehn Jahren bekannt, nur nicht allen.
30:20
Shadowbrokers und so sorgen halt dafür, dass sie mehr Menschen bekannt werden. Der Umgang damit, wie so eine Government-Mailware in die freie Wildbahn kommt, ob die jetzt über den Umweg von Antivirus-Software geht oder
30:42
ob sie durch Zufall ihren Weg in die freie Wildbahn fand, oder ob es sich um eine Geheimdienstoperation handelt, hat uns ja so diskussionsmäßig dieses Jahr relativ viel beschäftigt. Klar ist, dass jetzt die Nationalstaaten betrachten Antivirus-Firmen als National Asset.
31:02
Allen ist klar geworden, dass das, was bei so einer Antivirus-Engine nach Hause in die Cloud geschickt wird, dass da durchaus interessante Sachen bei sind. Ob jetzt nun die Exploit-Toolkits der Konkurrenz oder interessante Daten und Dokumente, kann ja alles Mögliche sein.
31:22
Diese Strategisierung und Politisierung des Anti-Mailware-Businesses zeigt sich dann eben auch im Umgang mit den Menschen, die da in diesem Bereich unterwegs sind. Genau, und dann kommt noch dazu diese Problematik, dass Attribution halt schwierig ist. Dann hat man plötzlich so eine Situation,
31:41
wie Michael Hutchins oder so ähnlich, also Mailware-Techblock auf Twitter, immer noch nicht aus den USA wieder ausreisen darf. Aber immerhin ist er schon mal wieder auf freien Fuß. Ja, was gab es noch Ulkiges?
32:02
Ich fand es eher, muss man sich noch mal genauer anschauen, was da eigentlich passiert. Aber das rollte an mir so vorbei, dass sich Leute in ihrem Twitter-Account auf Regionen irgendwas in Deutschland setzen, weil dann gewisse Leute sie nicht mehr nerven.
32:23
Also, weil die Twitter-Zensurmechanismen für die Locale Deutschland offenbar ihrem persönlichen Geschmack besser entsprechen, weil sie dann halt, wie viele von den Nazis einfach los sind. Ja, erstaunlich, oder?
32:40
Also man erbt jetzt auf den sozialen Plattformen mit dem Standort, und den kann man eben noch frei selber bestimmen, irgendwie so eine Filterwolke, und da fehlt mir die Dokumentation.
33:03
Ich meine, vielleicht wollen wir ja alle virtuelle Bürger von ich weiß nicht was werden. Ja, also vielleicht ist es ja dann schön. Aber was man dann hat und was man dann nicht hat, das wüsste man eigentlich ganz gerne. Aber wahrscheinlich wird man das reverse-ingenieren müssen. Ich glaube, Maschinen-Learning könnte da helfen.
33:21
Maschinen-Learning to the rescue. Apache Struts war, glaube ich, bei Equivax angeblich, dass die Vulnerability, die dafür gesorgt hat,
33:41
dass die aufgehebelt worden sind. Das ist so etwas ähnliches wie die Schufa in den USA, einer von den großen drei, mit ungefähr 150 Millionen amerikanischen Datensätzen plus Ungezählte in England und ein, zwei anderen Ländern. Also komplette Profile.
34:06
Celebrite war deswegen bulkig, weil das ja eine, wie nennt man sowas? Das ist ein Dienstleister der Regierung, dabei hilft, andere Leute Telefone aufzumachen. Kann man wohl einfach so sagen.
34:20
Genau, eine Überwachungsfirma. Aber die ist ja für Überwachung da und nicht zum Schutz von Daten. 900 Gigabyte waren das. Warer Datenreichtum. Ja, warer Datenreichtum. Viel einfach so AWS-Buckets voll mit Zeug. Die Republikaner haben auch
34:41
ungefähr 198 Millionen Datensätze verloren. Und die Frage ist, wie viel ist denn das? Die Antwort ist, das war einmal alles. Einmal alle Wähler. Und 1,1 Terabyte Daten zugreifbar.
35:02
24 Terabyte Daten nicht zugreifbar. Ist das jetzt bemerkenswert? Na ja, kommt darauf an, womit man das vergleicht. Weil das ist ja 2015 schon mal passiert. Und damals waren das weniger Daten. Weil was hatten Sie damals noch nicht hinzugefügt zu Ihren Wählerdaten?
35:20
Na, die Information darüber, welche Hautfarbe jemand hat und welche politische Einstellung er hat. Das ist jetzt aber dabei bei den Daten, die da weggekommen sind. Also man sieht, wie sich das weiterentwickelt. Das wird dann für Targeting benutzt, hat es geheißen. Und das ist die Richtung,
35:42
das kann man so rausextrapolieren. Wir sehen mit Freude, dass auch Renssenwehr ganz vorne dabei ist bei Krypto. Genau, es ist eine ordentliche Kryptoroutin zu verwenden.
36:01
Allerdings gilt auch bei Renssenwehr. Krypto-Implementierungen sind schwierig. Also lieber die Referenzimplementierung verwenden, wenn es möglich ist. Jedes Mal, wenn man es selber macht, geht es eigentlich schief. Oder andersrum, wenn man sagt, man steht nicht so auf ungefragte Kryptosicherheit
36:21
für seine eigenen Daten mit den Keys anderer Leute. Dann sollte man sich wünschen, dass mehr Autoren in der Informatikvorlesung nicht aufgepasst haben und sich irgendeinen Krypto-Algorithmus ausdenken. Das ist dann viel lustiger. Voll-Bit-Verschlüsselung ist eine tolle Sache.
36:43
Genau, überhaupt sehen wir ja so eine Entwicklung. Und die Orientierung orientiert sich an dem, womit man Geld machen kann. Ich glaube, das haben wir letztes oder vorletztes Jahr festgestellt, dass Renssenwehr im Moment eins der Geschäftsmodelle der Wahl ist, weil man so Geld verdienen kann.
37:03
Aber es gibt da so ulkige Dinge wie WannaCry, wo das ja nicht so richtig funktioniert hat. Und andere, die danach kamen, wo sich die Frage stellte, ob das echte Renssenwehr war oder nicht, einfach wiper. Die Aufgabe hatten, die Rechner unbrauchbar zu machen.
37:25
Diese Ungewissheit ist strategisch ziemlich klein. Wenn du denkst, es ist nur eine Renssenwehr, kann das nicht so schlimm sein. Man dann feststellt, dass diese Renssenwehr kein Customersupport hat. Dass das Payment einfach nicht funktioniert,
37:40
dass da auch keine Keys kommen und es keine Hotline gibt, die man anrufen kann. Es gibt ja gewisse Standards für ordentliche Renssenwehr. Erstens, Payment muss funktionieren. Zweitens, der Turnaround, mit dem man den Key rausbekommt. Der muss in Ordnung sein. Drittens, die Digitalwährung der Wahl muss einfach erreichbar sein,
38:00
ob Bitcoin oder Monero oder was auch immer. Da haben sich gewisse Industriestandards etabliert, an die man sich als Renssenwehrautor halten sollte. Abweichung von diesem Industriestandard, also Noncompliance, sind mittlerweile ein Indikator dafür,
38:21
dass es entweder totale Stümper sind oder eine andere Absicht dahinter steht. Und diese Frage zu beantworten, fällt nicht immer so leicht, weil es gibt da draußen auch wirklich Stümper. Nicht jeder weiß, was er tut. Aber da ist dieses schöne Thema Kundensupport.
38:42
Und wie wir alle wissen, sind Kunden anstrengend. Und man will mit ihnen eigentlich nichts zu tun haben. Und deswegen werfen sich alle gerade mit so großer Begeisterung auf Coinminer. Ja, weil da wird die Rechenleistung einfach von dem übernommenen Computer verwendet, um Coins zu generieren.
39:01
Die werden dann nach Hause geschickt. Und die kann man dann hoffentlich in Geld umtauschen. Und man muss überhaupt den Leuten am Telefon nicht erklären, wie sie jetzt Bitcoins kaufen. Also extrem günstig. Die ganze Operations wird viel billiger auf diese Art und Weise. Und Ransomware hat, glaube ich, ein Drittel.
39:22
Ein Drittel der Malware ist irgendwie Ransomware. Da stand irgendeine Studie von Mitte des Jahres oder August oder so was. Und jetzt bin ich mal gespannt, wie schnell sich Coinminer entwickeln werden, weil da die Gesamtkosten einfach günstiger sind. Das ist eigentlich die Frage, wo wir so viele neue Coins haben.
39:41
Es gibt ja quasi jede Woche noch ein paar Dutzend neue Coins. Wie viel davon Coins sind, die Ransomware-friendly sind? Weil wenn man sich so ein bisschen überlegt, so Ransomware hat ja, zumindest an Mobiltelefone denkt, bestimmte Beschränkungen. Man kann ja dann nur abends meinen, wenn das Telefon am Strom hängt.
40:02
Und hat vielleicht auch nicht so viel Bandbreite und so. Und vielleicht die CPU auch nicht übermäßig belasten. Das heißt, eigentlich soll es doch möglich sein, neue Coins zu designen, deren Eigenschaften besonders Malware-friendly sind. Dann ist natürlich die interessante Frage, wie entwickelt sich deren Kurs?
40:22
Oder gibt es vielleicht auch so was wie Ransom-Coin-Mining? Dein Computer gehört ja leider für die nächsten zwei Wochen nicht. Danach ist wieder alles okay. Solange sind deine Daten leider verschlüsselt. Und du darfst sie nicht ausschalten? Genau. Und wir wollen Grünstrom.
40:53
Ab und zu werden diese Bitcoins ja beschlagnahmt. Also Quart-Ever-Coins. Das ist immer nur ein Beispiel.
41:01
Beschlagnahmt. Und dann stellt sich ja die Frage, wie geht man damit um so als Land? Oder ... Man darf ja dann irgendwann beschlagnahmte Dinge auch zu Geld machen. Und die erste Frage ist natürlich, ob dann ... Wie heißt das? Der Bund, der Steuerzahler kommt und sagt irgendwie, das hättet ihr aber viel später verkaufen sollen.
41:23
Oder früher, je nachdem. Und dann hatte ich ... Also, ich hatte dann so die Frage an den befreundeten Anwalt, so rein rechtlich, wie ist denn das? Und der meinte, ja, ja, das ist ziemlich lustig. Da wäre halt in justen Kreisen
41:40
weil man dafür natürlich noch keine Präzedenzfälle hätte. Also, was macht man mit sozusagen ... Bewertet man es jetzt so wie beschlagnahmte Aktien oder so? Ist halt relativ selten. Kommt eigentlich selten vor. Und um ganz sicher zu sein, haben Sie wohl auch geprüft, wie es eigentlich ist, wenn man bei so einer Vermögensbeschlagnahme noch nicht eingelöste Lottoscheine beschlagnahmt.
42:03
Das war eine Analogie, die Sie zu Bitcoin relativ passen fanden. Die Antwort lautet ja klar, Sie können es dann halt verkaufen. Ist halt also beschlagnahmtes Vermögen, kann verwertet werden.
42:23
Gut, jetzt müssen wir mal reinhauen. Das Bemerkenswerte aus 2017, also noch mehr Bemerkenswertes aus 2017, waren diese Bluetooth, Broadcom und andere Radio-Vulnerabilities. Und ... Du meinst, der andere Computer in deinem Telefon
42:45
Genau. Dieses andere Betriebssystem mit dem anderen Ding, das da auch immer noch überall drin steckt. Weil in jedem Computer steckt ja inzwischen ein Computer, der dann noch einen Computer hat, auf dem noch ein Betriebssystem steckt.
43:00
Da gibt es auch was von Intel, ne? Lass mich überlegen, ich weiß es. Ich weiß, es fällt mir gleich wieder ein, Intel ME. Wofür steht das noch gleich? Ich weiß es, ich weiß es. Was war das? Minix Embedded? Oder war es die Minix Engine?
43:22
Oder die ... Ja, na ja. Okay, wir können den auch zu Tode prügeln. Die Millennium Edition, danke Publikum. Aber eigentlich wollte ich hierfür noch
43:42
ein kleines Mengendiagramm machen. Also Bluetooth, Broadcom, also Wi-Fi. Dann wird ja dann lustig in dem Moment, wo man eine gewisse Dichte erreicht. Ihr habt die Menge à la Bluetooth oder Wi-Fi Sender-Empfängeranlagen. Ihr habt die Vulnerabilities in diesen,
44:02
also die Verwundbarkeiten. Und dann die dritte Menge ist, wie dicht die nebeneinander stehen. Und das muss natürlich eine gewisse Überlappung haben, damit das dann von Punkt zu Punkt springen kann. Wann werden wir das erreichen? Hier?
44:23
Ja, hier. Bei wem ist das Telefon in der Tasche gerade so ein bisschen wärmer geworden? Wer kennt jemand, das ist ein Telefon in der Tasche. Genau, schauen wir mal. Nur einen Satz hierzu. Es gab mal wieder ein Facebook- Schattenprofile-Artikel.
44:43
Was ich immer witzig finde, weil das so selten hochpoppt, das Thema. Es gab auch keine neuen Erkenntnisse. Facebook hat Schattenprofile. Und wofür sie die verwenden, weiß kein Mensch. Was mich irritiert hat, war, dass in diesem ganzen Artikel nicht ein einziges Mal
45:01
das Stichwort Geburtsdatum auftauchte. Also, für sich verwendet werden, ist eigentlich ziemlich klar. Sie werden halt monetarisiert. Gut. Interessant waren, wir haben ja diese Rubrik, wo man morgens News liest und denkt sich so,
45:21
eigentlich doch lieber vielleicht irgendwas mit Holz oder Orchideen. Nicht so dieses IT-Security-Ding. Und da waren in diesem Jahr einige dabei, die halt so Sensor-Side-Channel-Attacks waren. Also, wo man Sensoren anders benutzt als der Erbauer dieses Sensors darüber nachdachte.
45:43
Also zum Beispiel diese Dolphin-Attack, bei der man die Werbewanzen wie Alexa mit Ultraschall dazu bringt. Das hat so viele Dinge zu tun, die der Mensch gar nicht hört. Also man hört da als Mensch vielleicht nur so ein Pfeifen. Und plötzlich bestellt Alexa eine große Ladung Katzenstreu.
46:03
Und da stellt sich natürlich die Frage, wie lange dauert es eigentlich bis so Tiere, die zum Beispiel auch Ultraschall absondern können, also wie lange dauert es, bis man eine Fledermaus darauf trainiert bekommt?
46:25
Welche Angriffsoberfläche bietet ein Papagei? Aber ich dachte, wir hätten geklärt, dass man das gar nicht braucht mit dem Ultraschall, wenn man dafür sorgen kann, dass der Furby das Katzenstreu bestellt. Dieses Dolphin-Attack ist schon total irre.
46:43
Da sind ja auch noch andere Dinge, wie man zum Beispiel Machine-Learning überlisten kann, indem man in Bilder noch weitere Informationen reinkodiert, die ein Mensch nicht sehen kann, die die Maschine aber sehen kann. Auch schöne Artikel darüber im Netz.
47:02
Ja, das war so mein Liebling dieses Jahr. Ihr wisst ja, Ethereum ist so ein Smart-Contract-System. Also die Idee, man könne Verträge in Software gießen, und das soll eine gute Idee sein. Und so nach über drei Jahren, wo diese Währung nun schon diverse Dutzend Milliarden Dollar wert ist,
47:24
kam dann jemand auf die Idee, dass man gucken könnte, ob man da auch Sachen schreiben kann, die auf den ersten Blick ganz normal aussehen, aber dann halt Dinge tun, wo man nicht so ohne Weiteres sehen kann, dass sie die ausführen.
47:42
Also JavaScript. Und die Bugs, die das ermittelt, waren alle ganz schön langweilig. Es war nichts Ernsthaftes dabei. Die, die öffentlich gemacht wurden. Also die eingereicht wurden. Ich meine, welcher Irre reicht etwas ein,
48:02
wo er weiß, dass es funktioniert? Wenn der Preis nur ein paar Tausend Dollar sind. Oder? Das ist ein klarer Fall von, man kann mit so was auch zu spät sein. Der Bug-Bounty muss in irgendeinem Verhältnis zum erzielbaren Gewinn stehen, wenn man ihn einfach verwendet hat.
48:22
Und Ethereum ist da leider nicht so weit vorne. Eine der schönsten Geschichten, wo es ein bisschen unklar ist, ob sie wahr ist, war die Geschichte dieses Jahr von The Janitor, der eine schöne Geschichte auf einer Blogplattform schrieb darüber, wie er angefangen hat,
48:41
die Plastorouter-Apokalypse im Alleingang aufzuräumen. Also wie so eine Art Batman oder so, der angefangen hat, Plastorouter an Mass zu exploiten und vom Netz zu nehmen, damit sie nicht als Delos-Vehikel benutzt werden können. Da gab es einiges an Diskussionen darüber, wie viel davon war es, wie viel nicht.
49:00
Die wissen, die schöne Geschichte gewinnt immer. Die interessante Frage ist, was passiert eigentlich, wenn man das Maschinen machen lässt? Was passiert, wenn es plötzlich eine KI im Netz gibt, die einfach nur aus pädagogischen Gründen angreifbare Kisten aufmacht und runterfährt? Wir sind davon nicht allzu weit entfernt.
49:24
Exploit-Automation ist mittlerweile eine ganze Ecke weit gekommen. Und so ein Ding einfach ins Herz zu stellen, was nichts weiter tut, als dafür sorgen, dass Systeme, die am Netz sind, die einfach angreifbar sind, nicht mehr allzu lange am Netz sind. Ich vermute, da werden wir relativ bald sein.
49:48
Das ist nur mal so ein Datenpunkt. Es wurde ein Botnet gefunden, ein Star-Wars-Botnet mit 350.000 Accounts. Das hat scheinbar nix gemacht zu haben auf Twitter. Dann sind wir hier bei der Schallvorlage für dies hier.
50:03
Also der Roboter, der Los oder die KI oder was auch immer, das ist eine Algorithmensammlung, die losgeht und selber Systeme angreift. Für diese Systeme, die sie zu verteidigen hat, auch Patches produziert und die dann auch einspielt.
50:22
Dafür gibt es jetzt eine Open-Source-Vorlage, die rausgekommen ist aus dieser DARPA Cyber Grand Challenge von dem Team Shellfish. Schöner Artikel in der Frac. Schaut euch das mal an. Bei dieser Cyber Grand Challenge ging es darum,
50:41
eine Maschine zu entwickeln, also ein Programm zu entwickeln, das dann andere Programme angreift und eben auch für die eigenen zu schützenden Systeme Patches produziert. Das macht dann das mit den Plastiroutern klar,
51:00
wenn wir Glück haben. Ja, tot durch Autokorrektur war ein Problempunkt, der dieses Jahr hochkam. Hintergrund ist, dass zumindest ein Fall bekannt geworden ist, wo die Autokorrektur in einer Textverarbeitung den Namen von Medikamenten replaced hat.
51:23
In dem Fall ging es um Antibiotika, wo die Autokorrektur nur eines dieser Antibiotika kannte, aber nicht das andere. Dann hat sie das Wort korrigiert. Dummerweise ist bei Antibiotika die Auswahl des Präzisen-Medikaments wichtig, weil es eine Menge Leute gibt,
51:41
die Allergien oder Unverträglichkeiten haben, die auch fatal sein können. Wir haben versucht, rauszukriegen, wie weit dieses Problem so reicht. Es geht ja noch ein bisschen weiter. Nicht nur Autokorrektur, sondern Ärzte diktieren auch ganz schön viel. Dann haben wir mal gefragt,
52:01
wie viele Leute hast du schon umgebracht? Aber sie hat die Antwort verweigert. Ich finde es sehr verdächtig. Und Autowas-Straßen auch. Da, ja, 150 Stück,
52:23
also irgendein Autowas-Straßentyp ist mal durchgetestet worden. Ich glaube, die Videos davon durften nicht veröffentlicht werden. Aber angeblich gibt es da schöne Videos, wie die auf und zu fahrende Tür versucht, das Auto zu zertrümmern, das gerade raus will aus der Waschstraße.
52:43
Und Aussagen von den Leuten, die das gemacht haben, dass, wenn sie es schaffen würden, einen Menschen einzuklemmen mit der Tür, dann könnten sie auch die Wasserstrahlen korrekt ausrichten auf denen. Also die Autowas-Straßen ... Das wäre zwar kein perfektes Verbrechen, aber ein sauberes.
53:11
Genau, schauen wir mal nach vorne. Auf die letzten sieben Minuten. Das wird hart. Das Sensor- und Sensorkvalitätsproblem
53:23
ist ja immer schön, wenn die Kameras immer besser werden. Und ich glaube, wir hatten vor ein paar Jahren mal auf so eine App hingewiesen, die alleine mit der Selfievideokamera sehen kann, wie man atmet, weil die einfach auf die Schatten achtet,
53:42
hier auf der Brust. Und die auch den Puls messen kann. Und zwar über die Kamera, über das Pulsieren des Blutes hier oben in den Wangen und solche Sachen. Und was passiert hier? Die Sensorik wird immer besser.
54:01
Die Bildwiederholraten steigen. Und dann sind wir jetzt bei dem Thema Mikroexpressions aufnehmen und eben gucken, ob da einer sich wohlfühlt, unwohl fühlt, nervös ist, nicht so nervös ist, etc. Da geht jetzt immer mehr. Und das wird auch nicht aufhören.
54:23
Und diese, was dabei eben rauskommt, sind so Sachen wie, was wir gerade eben hatten mit Ultraschall und den Werbewanzen, dass bei etlichen Sensoren man halt auch nicht mal direkt sagen kann, auf was die dann noch alles so reagieren. Das heißt also, so Adversarial-Sensor-Input wird auf jeden Fall ein sehr interessantes Problem werden.
54:41
Insbesondere werden natürlich immer mehr, wie ist das schöne Wort, cyberphysikalische Actorsysteme, also sprich Dinge, die dich beschädigen können und von einem Computer gesteuert werden, sich in der freien Wildbahn befinden. Und die werden natürlich von Sensoren gesteuert indirekt.
55:00
Genau. Und dann sind wir wieder bei dem Thema was ist da eigentlich verbaut? Und inwiefern wurde das gebaut mit dem Zweck, für den es jetzt eingesetzt wird? Es gibt diesen schönen Spruch, wir stehen auf den Schultern von Riesen und können weiterschauen als die vor uns.
55:23
Und es ist halt so, wenn ich die Library da drüben einbinde, dann habe ich jetzt tolle Krypto. Glaub ich. Ja, und wenn ich diese Library da drüben einbinde, dann kann ich jetzt einen Ultraschall-Sensor einbinden und der sagt mir,
55:41
wie viel Zentimeterabstand das noch sind bis zum Fußgänger da vorne. Oder wenn ich diese Library einbinde, dann brauche ich leider Internet, damit mein Küchenthermometer mir die Temperatur anzeigen kann, weil es leider sich seinen Fond von Google holt. Aber dafür schafft man es möglicherweise,
56:03
eine Temperatur- und Feuchtigkeitsanzeige unter 10 Millionen Zeilen kurz zu bauen. Vielleicht. So, und wir stehen da schon auf den Schultern von Riesen und können weiterschauen als andere.
56:23
Und es heißt ja auch immer, don't roll your own crypto, mach deine Krypto-Soferse nicht selber, nehm eine Library, die gut ist. Aber wer patcht die denn dann? Später mal. Und das ist eben das Problem, die Riesen sind nicht so,
56:42
die sind nicht so gesund. Die haben vielleicht nur ein Auge und stehen eigentlich auf Krücken, aber das ist so schlecht zu sehen, weil die Hosenbeine so lang sind. Weiß auch nicht, also da fehlen mir so ein bisschen die Bilder, aber letztendlich irgendwie, wir stehen vielleicht gar nicht auf den Schultern von Riesen,
57:04
Kartenhäusern. Kartenhäusern? Müllhalden? Ja, die allwissende Müllhalde. Wir stehen auf den Schultern der allwissenden Müllhalde. Ich glaube, das ist die richtige Analogie dafür. So, und jetzt kommt die schlechte Nachricht.
57:22
Das ist das Best-Case-Szenario. Weil wir haben auf diesem Kongress schöne Beispiele dafür gesehen, was passiert, wenn einer sagt, Riesen, die sind mir zu teuer. Der ist außerdem zu groß. Und der ist zu viel. Und das ist ein Riese, der ist gar nicht von hier.
57:41
Ja, ich lehne ja Riesen grundsätzlich ab, aus religiösen Gründen. Oder, oder ... Ich will auch ein Riese sein, ich will auch ein Riese sein. Du bist nur 1,30, das ist diskriminierend. Also, wenn dann jemand auf die Idee kommt, dass er das einfach selber implementieren kann, weil, wie schwer kann das sein?
58:02
Ja, so ein Bezahlsystem zu implementieren, wie schwer kann es denn sein? Hey, man könnte ja Mafia Classic dafür benutzen. Ist schon da. Das funktioniert ganz super. Und Classic heißt doch eigentlich Klassiker. Klassiker sind doch immer gut, oder?
58:21
Gut abgehangen, gut abgehangene Riesen. Ähm, genau. Äh, wie ... Also, dieses Problem, was passiert, wenn wir anfangen, mit Machine Learning auf den Menschen loszugehen, begleitet uns ja diesen ganzen Kongress so ein bisschen so,
58:40
seit der keynote von Charles Strauss hier. Und wir haben das Ganze ja so in den Vorhersagen für nächstes Jahr gesehen. Es gibt ja diese YouTube-Videos, diese autogenerierten Kinder-Unfix-Videos. Und wir haben da, glaube ich, den Anfang überhaupt noch nicht gesehen. Also, wenn wir uns jetzt mal die Technologiekomponenten überlegen,
59:01
wir haben mittlerweile ziemlich gute Text-to-Speech und relativ gut funktionierendes Speech-to-Text. Und das heißt also, mit einer Maschine telefonieren, das erste Mal, dass wir mit einer Maschine telefonieren, wird wahrscheinlich ein Werbeanruf sein. Der dich anruft und sagt ... Oh, gab's schon?
59:21
Und war's okay oder ... Hat er Sie verständnis mit dir? Also, ich glaube, das wird daran scheitern, dass kein Mensch mehr sein Telefon zum Telefonieren benutzt.
59:41
Ja, diese Daten sind das Öl oder was auch immer, des 21. Jahrhunderts. War ja so letztes Jahr so einer dieser Sprüche, über die wir uns irgendwie doch so ein bisschen den Kopf gekratzt haben. Also, was war jetzt an Öl eigentlich so gut, ja? Wir haben angefangen, darüber Kriege zu führen. Wir haben damit unseren Planeten im Wesentlichen ...
01:00:01
nichtet. Also eigentlich schreiben sich die Witze von selber. Also Daten sind das Öl oder was auch immer des 21. Jahrhunderts. Okay, also das mit den Kriegen ist klar. Also wir werden die Ozeane damit vollmüllen. Was ist denn da das Äquivalent? AWS Buckets? Naja, also Halver
01:00:26
hat da was Schönes neulich geschrieben. Er meinte so, also Daten sind zwar, also sind eigentlich nicht so sehr das Öl des 21. Jahrhunderts. Daten sind mehr so wie so das Fass irgendwie mit brennendem Benzin, was du im Vorgarten stehen hast. Und man kann sich zwar ein bisschen dran
01:00:41
wärmen, aber sonst hat es nur Nachteile. Man kann das auch noch weiter spinnen. Wenn Data the New Oil ist, dann ist ja Data auch the New Snake Oil. Und da sind wir dann wieder beim Thema Statistik ist hart. Also das, was man aus Daten rauslesen kann, das muss man
01:01:05
auch erstmal können. Und wenn man das eben nicht kann, dann kann man einem mit Daten ja auch alles mögliche verkaufen. Ja, und was ist dann Zucker im Tank? Wir haben da noch ein bisschen was.
01:01:24
Ja, Social Media Facelifting wird sicherlich, also wird ja zum Teil schon betrieben. Es gibt ja so Professionals, die einem so den Instagram-Account aufhübschen und dafür sorgen, dass man irgendwie schön und beliebt aussieht. Zusätzliche alternative ID's werden immer
01:01:42
wichtiger, weil es gibt ja so Länder, wo man zum Beispiel halt irgendwie Schwierigkeiten hat, in einem Hostel anzuchecken, wenn man keine Facebook-ID hat. Und da will man natürlich eine besonders schöne, gekliente, disneyfizierte, familienfreundliche, unkontroverse ID für haben. Die braucht man dann wohl. Und für die, die das nicht
01:02:07
haben, muss man eine App zulegen, die ihnen dann dabei hilft, ihr Social Score-Management zu optimieren. Am besten AI-gestützt, oder? Ich meine, China steigt da jetzt voll in das Thema ein,
01:02:27
oder? Ja, und dann wird der Social Score benutzt, um zu gucken, ob man einen Kredit kriegt oder nicht, weil mit Geld kriegt man ja die Leute. Und da soll dann alles mögliche rein, so auch was die Regierung gerne hätte, im Sinne von, wenn einer ein Parking-Ticket nicht bezahlt
01:02:47
hat, dann ist das sehr viel schwerwiegender, als wenn er seine letzte Telefonrechnung nicht bezahlt hat. Und jetzt habe ich auch was gehört, von Gesundheitsdaten sollen da auch einfließen. Und dann fragt man sich ja immer, was werden die Konsequenzen daraus sein,
01:03:02
und die Antwort, da ist klar, Schokolade-Schwarzmarkt. Also angesichts der Arbeitsteilung im Mailware-Sektor, wo man sich dann mal fragt, okay, die machen irgendwie
01:03:21
das Backend und irgendwie das Payment und dann gibt es noch irgendwie die Kommando-Kontrolleute und dann gibt es die Leute, die die Exploits bauen und den eigentlichen Dropper bauen und irgendwie die sagen, wo es hin und her gehen soll. Das Wettland-Mailware ist ein richtig komplexes Environment und wir vermuten, dass es das schon gibt, den Mailware-Wertschöpfungskappen- oder dem Coin-Miner oder was auch immer man da gerade deploitert. Das heißt also,
01:03:43
das muss man auch irgendwie auditen. Also man hat ja auch so Standards. Die Compliance im Mailware-Sektor wird sicherlich ein großer Arbeitsmarkt werden. Also ich habe ja immer gesagt, so diese Automatisierung ist nicht so schlimm, weil es wird ja neue Arbeitsplätze geben. Und möglicherweise sehen wir hier gerade den Anfang von sowas. So neue
01:04:00
Arbeitsplätze, an die wir früher noch nicht dachten, so Compliance-Auditor im Mailware-Sektor. So, wo ist der IoT-Geisterjäger? Wir hatten letztes Jahr den IoT-Wünschel-Rutengänger.
01:04:34
Ein IoT-Wünschel-Rutengänger ist einer, der die IoT-Geräte findet, die überhaupt da sind. Ja, so und der Geisterjäger ist, wie ihr aus dem Film wisst, derjenige, der die dann
01:04:48
einfängt. Auf eine Art und Weise, wo man dann sie noch hinterher analysieren kann. Also ich meine, wenn so ein Gerät, also ein IoT-Gerät mit dem Mailware befallen ist und man dann
01:05:01
rauskriegen will, was da eigentlich Böses drauf läuft, dann darf man da ja nicht den Dann ist es ja weg. Das heißt, man braucht da so ein Strahlungskreuzungs, äh, ne, Entschuldigung. Nicht die Strahlenkreuzung. Ist so wie bei 23 und 230 Volt, linke Leitung, rechte Leitung. Ist wie Strahlenkreuzen, nicht Strahlenkreuzen. Genau, 5 Volt, 12 Volt,
01:05:22
Gleichstrom, ähm, Dinger. Muss man das abgreifen können und rauszutragen, um dann den Speicher auszulesen und... Also dieses... Das könnt ihr dann in der Verwandtschaft üben. Also ich ja immer... Jobs gut, wo man klein anfangen kann. Ja. Genau, erstmal das Sample auf dem
01:05:42
Plastirouter bei der Verwandtschaft isolieren, damit man schon mal viel später üben kann. Auch unter... Das sind alles gebrauchte Jobs. Ja, Industrie 4.0 kommt. Guten Tag, ich muss gerade mal Ihr Fertigungscenter mitnehmen. Ja, und ich muss den Drehstrom dranlassen,
01:06:03
damit die Mehrwert drauf bleibt. Ich brauche das Sample. Ja, Quantencomputer in Silizium. Wissen wir natürlich nicht, ne, also Quantenunschärfe kennen wir ja. Also es ist halt irgendwie
01:06:20
schwer zu sagen, ob es jetzt nun kommt oder nicht, aber zumindest sieht es so aus, als wenn wir nächstes Jahr da mehr Fortschritt sehen könnten. Wenn es da nicht fundamentale Probleme gibt, mit denen wir heute noch... Also wir heute noch nicht wissen, ob sie lösbar sind, also insbesondere ob das Rauschen in den Griff zu bekommen ist. Aber wenn das passiert, könnte es sein, dass wir nächstes Jahr relativ große Fortschritte darin sehen, dass man Quantencomputer mit traditionellen Fertigungsmethoden der
01:06:42
Halbzeitindustrie bauen kann. Oder zumindest irgendwas, was sich so anfühlt und so aussieht wie ein Quantencomputer. Mal gucken. Dann haben wir so ein bisschen rumgefragt und gefragt, was geht denn so nächstes Jahr schief so, ne, also was sind denn so die Sachen, die bei Krypto halt jetzt irgendwie noch so die nächsten Apokalypsen
01:07:02
drohen werden. Und die Antwort war eigentlich so von allen, die wir so gefragt haben, die früher auch schon mal für so kleine Apokalypsen gesorgt haben, dass also es wird halt mehr sowas wie Bleichenbacher geben. Es wird halt mehr schlechten Zufall geben, insbesondere auch gerne in Hardware implementiert, einen schlechten Zufall. Wir erinnern uns an dieses kleine Problem mit Infinion und Eseland dieses Jahr. Zusammengefasst kann
01:07:23
man sagen, was gibt es Neues? Es gibt nichts Neues. Das Alte ist noch nicht alle. Ja, Cloud-Exorcismus ist natürlich etwas, was man, also wir hatten ja so letzten Jahr
01:07:50
nochmal wieder so gesagt, okay, man braucht denn so Altenheime für Geräte, die halt irgendwie mit dem Internen nicht mehr so ganz klar kommen. Und mittlerweile haben wir aber Hardware, wo man sagt, eigentlich geile Hardware, ne. Also zum Beispiel halt so
01:08:00
eine Werbewanze, so ein Alexa. Ist ja eigentlich ganz geil. So schicke Mikrofone, ordentlicher Lautsprecher, dicker Prozessor. So leider mit diesem lästigen Nachhause telefonieren Problem. Und da braucht man eigentlich so einen Exorzisten, der dann mit dem Kreuz dafür sorgt, dass sich das Ding halt seine schlechten Gewohnheiten, seine schlechte Seele entweicht und man ihm eine neue Seele...
01:08:25
Genau, wir haben das hier noch unter der Abteilung Sport, weil wir noch nicht sicher sind, dass man damit wirklich eine Familie ernähren kann. Wenn ihr euch nochmal den Vortrag anschaut über den Staubsaugerroboter aufmachen hier, wo man dann
01:08:42
sehen kann, dass Staubsaugerroboter bessere Security haben als manche Banken. Da ging es ja auch um das Thema, wie macht man da die Cloud raus, weil das Gerät ist vielleicht gar nicht so schlecht. Und ja, das wird noch mehr
01:09:04
werden. Und wenn man das dann mal gemacht hat, dann kann man daraus vielleicht auch ein Geschäftsmodell, das von Sport upgraden Richtung Geschäftsmodellen, dass man dann sagt, ich hätte gerne den Staubsauger, aber ohne Cloud. Und keine Ahnung, ob man den dann da kauft und dann dahin einschickt, um die Cloud entfernen zu lassen oder ob das mit Hausbesuchen
01:09:24
funktioniert oder mit Fernwartung. Oder mit so kleinen Prothesen, sozusagen wie so ein Aluhut, der die Cloud fernhält. Genau, ja, also da geht
01:09:48
was. Tja, und die letzte Sache war... Es sind ja relativ viele Bitcoins, die da draußen sind, von denen Leute sagen so, ich habe es auf dem Kongress hier schon so
01:10:01
gehört, fünfmal gehört. Eigentlich habe ich ja auch noch so ein paar, aber entweder ist die Platte kaputt, man weiß nicht mehr, wo die Platte ist, ja, okay. Und dann gibt es auch eine ganze Menge, die sagen, ich kann mich echt ums Verplatzen nicht mehr an diese Fassfresse erinnern. Und nun muss man dazu sagen, Hypnotiseur ist im Gegensatz Rechtsanwalt ein Beruf, bei der es irgendwie nicht nur eine Tarifierung nach Stundensatz geben
01:10:21
kann, da ist eine Erfolgsbeteiligung möglich. Genau, damit sind wir schon rum, wünschen euch allen einen guten Weg nach Hause und wie immer einen
01:10:43
schönen Rutsch in das Jahr 1984.