Die Frühjahrsfachgespräch 2010 der German Unix User Group in Köln

Die letzten Tage waren mal wieder spannendes Programm. Vom 25.-29.05.2010, gerade noch am Ende des Frühlings, fanden die FFG2010, diesmal in Köln, statt. Urspruenglich wollte ich die vollen 4Tage teilnehmen, um auch alte bekannte und Kollegen wiederzutreffen und zu diskutieren.

Aber das Programm der FFG besteht traditionell aus 2Tagen Tutorials mit Hands-On und 2 Tagen Vortraege. Die Tutorials boten mir dieses Jahr leider kein fuer mich herausstechend interessantes Thema, so dass ich gezwungen gewesen waere mich fuer eines zu entscheiden, oder nach meiner Rueckkehr aus dem Urlaub die Zeit zu nutzen ein paar Dinge zu richten, und mich sauber auf den Kongress vorzubereiten.

Mittwoch, 26.05.2010

Ich entschied mich dazu, bereits am Mittwoch abend anzureisen, um in Ruhe ins Hotel einzuchecken und anschliessend die fuer diesen Abend angesetzte Ordentliche Mitgliederversammlung der GUUG zu besuchen. Das Hotel lag gut inmitten von Koeln und war ausgesprochen angenehm. Ueber ein kostenloses Upgrade auf eine Business-Suite freut man sich natuerlich auch. ;)

Das Wetter in Koeln war leider von einer dermassen hohen Luftfeuchtigkeit gepraegt, dass ich auch froh war erst nochmal ins Hotel zu koennen, wo ich erstnochmal duschen konnte. Kurz darauf dann mit dem Taxi an die Uni-Köln, wo sowohl die gesamte Tagung als auch die MV stattfand. Dort traf ich dann auch die ersten bekannten Gesichter wieder.

Nach der Mitgliederversammlung war dann in einem lokalen Restaurant noch ein Empfang fuer GUUG-Mitglieder geplant. Das Essen war recht lecker, und die "Kölner Schnauze" der Einheimischen ist groesstenteils recht umgänglich, manchmal jedoch nur noch recht Knapp ueber der Guertellinie.

Groesstes Problem: die Gerstenkaltschaleninjektionsdevices vulgo Bierglaeser - zu klein. Viel zu klein! Auch wenn mehrfach die Argumentation gefuehrt wurde, dass es ja so sein muesse, damit man immer ein frisches Bier am Tisch hat, und wenn es zu lange steht, es schaal wuerde, wurde mehrfach gefuehrt. Meine Antwort darauf: "Dann muss man halt das richtige Bier trinken, bei dem das nicht passiert."

Nach dem ersten Loeschen durch das foermlich aufgezwungene Koelsch (man muss es ja wenigstens einmal getrunken/probiert haben, bevor man darueber laestert - [X] Done) bin ich dann mit einigen anderen zu Weizen gewechselt. Dafuer gab es dann auch ordentliche Glaeser.

Dennoch war es schonmal ein sehr angenehmer Abend, mit den ganzen Gesichtern, die man lange Zeit nicht gesehen hat, aber mit denen man sonst das Jahr über nur schreibt und von denen man nur im Netz liest.

Viel zu spaet um noch irgendwas von dem netten Hotel zu haben kehren wir zurueck und ich falle ins Bett.

Donnerstag 27.05.2010

Der Wecker klingelt wie gewünscht 07:30. Ich werde wach, schlafe wieder ein, und wache erneut 9:00 auf... * MIST!!11Elf *

Schnell geduscht und zum Fruehstueck. Dort treffe ich die selben Gesichter, welche welche den abend davor bereits mit mir zusammen zurück zum Hotel gelaufen sind. OK - Die Keynote ist jetzt verpasst, aber das ist auch nicht zu aendern. Koffeinzufuhr klaeren, und dann noch kurz das Buffet abgegrast.

Keine Panik machen, aber bestimmt fertig werden, und anschliessend zum UNI-gelände laufen.

In der Zwischenzeit diskutieren wir das Programm wer welche Vorträge besuchen möchte. Als wir ankommen, läuft die Keynote noch, aber wir haben genug Zeit zum Durchatmen vor den Vorträgen. Dennoch sehr schade dass wir die Keynote verpasst haben, wird uns anschliessend mehrfach vom aus dem Hörsaal strömenden Publikum erzählt.

Da der WLAN-Security Vortrag von Mark Pröhl ausfaellt beschäftigen wir uns plötzlich mit IPv6 und Jens Link erinnert mich daran, dass ich die "IPv6-Zertifizierung" von HE.net noch weitermachen wollte, und auf einmal sassen wir zu dritt da um uns dort ein T-Shirt zu erarbeiten ;)

Das bisherige Ergebnis kann man im (vor)letzten Blogeintrag sehen...

Sichere Web-Portale, Dirk Wetter

Dirk Wetter sprach dann ueber seine Erfahrungen, die DOs-and-DON'Ts fuer Webportale. Jedem Sicherheitsbewanderten ist klar, dass fertige Pen-Testing-Suites nicht unbedingt den gewuenschten Sicherheitsgewinn bringen, wenn man die Ergebnisse nicht passend hinterfragt. Ohne diese passende Analyse sind die Reports von z.B Nessuns und ähnlichen Tools nicht das Papier Wert auf dem Sie ausgedruckt werden.

Aber Dirk zeigt stellte auch einige Tools vor, mit denen heutzutage die ueblichen Attack-Vektoren durchgespielt und manuell untersucht werden koennen. Alles in allem ein Runder Vortrag, wenn gleich auch nicht so tief wie ich es mir gewuenscht hatte.

Network Forensics, Torsten Dahm

Torsten haut in die selbe Richtung Security, allerdings zum Thema "Was tun wenn es passiert ist?"

Er stellt nochmals klar, dass 100% Sicherheit Quatsch ist und immer sein wird, aber man aus den Problemen und Incidents lernen muss.

Regel 1) Nicht den Kopf verlieren

Regel 2) Fuer gute Dokumentation sorgen. Sowohl über das, was man festgestellt hat, als auch über das, was man nun tut.

... und hoffen, dass man einen ordentlichen Chef hat, der weiss was seine Aufgaben sind, und der einem bei der NUN FOLGENDEN Arbeit den Ruecken freihält und dafür sorgt, dass man in Ruhe arbeiten kann ... Ein Grossteil der Publikumsdiskussion drehte sich anschliessend dann darum, wie man an derartige Vorgesetzte kommt. ;)

Anycast DNS, Sebastian Hagedorn

Sebastian stellte vor, wie sie an der UNI Köln Anycast eingesetzt haben, um ihre DNS-Server zu verteilen, und Verfuegbar zu haben. Im Endeffekt laeuft es darauf hinaus, dass sie ein Quagga auf 'nem PC haben, der ins bestehende OSPF die Route announced. Ein paar Tricks noch zur BIND-Konfiguration dazu. Keine besondere Offenbarung, wenn man das Konzept zwar kennt, aber noch nicht ueber die technischen Stolpersteine gefallen ist, denn er hat ziemlich weit die technischen Implementierungsdetails dargestellt.

Weitergabe und Speicherung von IP-Adressen - wann und wie ist das rechtmäßig?, Christoph Wegener

Ein langer titel fuer einen recht unterhaltsamen Vortrag, der eigentlich eine traurige Bilanz darueber zieht, wie Juristen mit begrenztem technischen Wissen Vorschriften und Gesetze geschaffen haben, die Netzadministratoren bei einer wörtlichen Interpretation der Gesetzestexte in massive Probleme bringen wird.

Alles dreht sich darum, das im Gesetzestext die "Weitergabe" von "Personenbezogenen Daten" reglementiert wird. Aber das Bewusstsein, dass bereits eine GeoIP-Anfrage, ja sogar ein Reverse-DNS eine Weitergabe der IP ist, sollte zahlreiche Webmaster zukünftig schaudern lassen.

Christoph stellt zum Glueck nochmal klar, dass das ganze weder seine Interpretation ist, noch dass er der Meinung ist, das ganze waere sinnvoll/richtig/gut so. Sondern es ist der Text von seit geraumer Zeit gueltigen Gesetzen.

Selbst schlau sein - ?SmartMeter im Selbstbau und Selbstversuch, Klaus J. Müller

Klaus erzaehlte, was alles hinter dem Begriff ?SmartMeter stehen kann. Die seit Anfang des Jahres von Stromversorgern verbauten Stromzaehler erhoehen die Pollingfrequenz von 3.1688765e-08Hz (1x im Jahr, wenn der Strom-zaehler abgelesen wird.) auf Sagenhafte 1Hz (Steigerung um den Faktor 31556926). Aber wer will kann sich auch selbst Smartmeter in die Wohnung holen, und selbst Herr ueber seinen Verbrauch werden, verschiedene Projekte wurden vorgestellt.

Grundsaetzliches Problem mit Smartmetern? Sie sind besser zur Ueberwachung geeignet als Kameras. Ein Stromverbrauchszaehler zeigt naemlich sehr schoen an wieviele Personen gerade aktiv sind und was sie tun. Das Auditorium war quasi ohne Schulung in der Lage die Stromkurven von Kuehlschrank, Geschirrspueler oder Herd zu erkennen. Alle Geraete haben eine typische Stromsignatur und ueber die Haeufigkeit von der Nutzung von Haushaltsgeraeten kann man sehr viele private Details herauslesen.

Darum ist es auch eher unclever von verschiedenen Personen ihre Kurven im Netz zu publizieren, wenn sie sich nicht zum theoretischen Ziel von Bösewichten machen wollen ... oder ihr Privatleben publizieren ("Ich weiss wann du zuhause warst, und wann du ins Bett gegangen bist!")

Daher die Idee von Klaus, die Daten in einer zentralen Datenbasis nur Anhand einer Serial# auf dem Geraet zu veroeffentlichen. Er versicherte auch, dass diese Idee von ihm konsequent durchgezogen wird, und er die Zaehler auch per Barverkauf vertreiben will, um sicher zu sein, dass die ID anonym bleibt.

Das Problem dabei: Wenn einmal für eine Person eine Zuordnung zu ihrer ID veröffentlicht wurde, dann ist die gesamte Anonymisierung dahin, wenn die Historie behalten werden soll. Und da Ich momentan davon ausgehe, dass man damit rechnen muss, dass jeder Haushalt einen signifikanten Fingerprint im Stromverbrauch offenbart, kann man u.U. noch nicht einmal mit einer neuen Anonymen ID einen neuen Zaehler ausrollen.

Wie weit geht die Paranoia und wo faengt der Selbstschutz an?

Sozial Event zu den FFG

Fuer das Sozial Event wurde ein lokale Brauhaus (natuerlich ausschliesslich Koelsch) von den Organisatioren ausgewaehlt, Bahnhofs- und Domnah. Wir, eine kleine Gruppe Abtruenniger, entschieden uns zu Fuss auf den Weg zu machen. Dabei versuchten wir der Touristenausschilderung zum Bahnhof/Dom zu folgen:

Beim Betreten des doch recht grossen Gasthauses wurden wir von der Bedienung gemustert zu welcher "Truppe" wir denn gehoeren wuerden, und ich hoere noch so im Vorbeilaufen ein Raunen: "Sieht nach viel Arbeit aus".

Daraus wurde dann fuer uns aber nix mehr, denn die "Abtruennigen" verabschiedeten sich relativ bald nach der Nahrungsaufname, da in so ein Nebenraum einen recht hoher Laermpegel herrscht, wenn ca. 100Personen mit Koelsch bewaessert werden. Fuer angenehme Unterhaltungen war es uns jedenfalls zu anstrengend, und so trennten wir uns und liessen uns auf ein/zwei Absacker noch von einem Einheimischen in eine echte IN-Kneipe zeigen. Bedient wurden wir von einem ehemaligen CAD-Ingeneur der keinen Bock mehr hatte, und jetzt mit Liebe eine Szene-Kneipe fuehrt. Sehr Angenehm.

Aufgrund der bisherigen Laenge dieses Artikels, und auch der Geschwindigkeit mit der ich hieran arbeite, habe ich mich entschieden, den Beitrag auf zwei Artikel zu verteilen.

Die Fortsetzung wird in einem zweiten Teil erscheinen