20C3: Wahlmaschinen-Massaker und Blinkenlights mit Kontinenten

Die Hackergemeinde wird auch im kommenden Jahr alle Hände voll zu tun haben. Längst unkontrollierbare Betriebssysteme, die Vernetzung der Verbraucherelektronik, die Verwandlung des guten alten Telefons in einen kleinen Internetrechner, WLAN, Distributed Computing, komplexe Biometrie-Installationen sowie Know-how einkaufende Spammer sorgen nach Ansicht der kritisch-schöpferischen Technikfreunde 2004 noch stärker für Probleme als die Wurmwellen, Stromausfälle und nicht an die große Glocke gehängten Security-Desaster des zu Ende gehenden Jahres. Beim mit reichlich Hackerironie gefüllten Brainstorming der Szene während des 20. Chaos Communication Congress (20C3) trugen die -- am liebsten denglisch sprechenden -- Experten eine Menge "Nightmares" zusammen und steckten neue "Forschungsfelder" ab.

Viele Aspiranten auf den Titel des Sicherheitsalbtraum des Jahres schleppen die Hacker schon einige Zeit mit sich herum. Die Mythen von den "explodierenden Wasch- und Espressomaschinen" etwa, die mit dem Einzug von Mikroprozessoren und Netzanschlüssen in die größer werdende Gerätewelt doch endlich wahr werden müssten. Frank Rieger vom Chaos Computer Club (CCC) beteuerte, dass dieses Mal "Bewegung in den Markt kommt". "Wir zählen auf euch, Siemens", ergänzte Ron, traditioneller Co-Moderator der offenen Runde. Man könne auf jeden Fall davon ausgehen, dass Nutzer die Verantwortung für von ihnen -- beziehungsweise ihren Maschinen -- ausgeführte Taten nicht mehr nur auf Trojaner auf dem Rechner schieben würden. "Mein Bügelbrett war's", zeichnete Ron künftige Ausreden auf. Dass die computerisierte Welt teilweise schwer zu handhaben ist, mussten die Bastler im Hackcenter im Untergeschoss des Congress Center am Alex selbst erfahren: Die Klimaanlage im "Tigerkäfig" ließ sich nicht auf die erhöhte Belastung einstellen, da die Windows-Steuerapplikation dafür keine Knöpfe vorsah.

Auch das im Vorjahr ausgerufene "Sicherheitsdebakel im Mobilbereich" ist so noch nicht eingetreten, gab Rieger zu. Die Handys mit "richtigen Betriebssystemen" seien einfach noch zu schwer zu programmieren, entschuldigte er die falsche Vorhersage. Ron verlieh der "Hoffnung" Ausdruck, dass Microsofts Smartphone bald "stabil genug ist für Viren". Spaß beiseite, lautete das Motto dagegen angesichts des Booms der Internet-Telefonie. "Man kann wohl aufhören, sein Telefon mit einem gewissem Vertrauen zu betrachten", kündigte Rieger an. Man müsse sich plötzlich auch um den "Patch-Level" seines Fernsprechers kümmern.

Das Flicken immer größerer Softwarelücken wird im kommenden Jahr überhaupt für viel "Freude" sorgen, fürchten die Hacker. Schon heute bereite die Update-Politik und Patch-Versorgung von Branchengrößen wie Microsoft oder Apple Unternehmen große Sorgen, erläuterte Rieger. Dass Microsoft nur noch monatlich einen Sammel-Patch herausbringe, erleichtere zwar die Urlaubsplanung für die leidgeprüften Systemwächter. Aber auch die Wurmschreiber hätten mehr Zeit, ihren bösen Code zu fabrizieren und könnten ihre "Time-Bombs" besser stellen. Zu erwarten sei ferner angesichts von Wünschen wie dem des Microsoft-Chefs Steve Ballmer, unabhängige Sicherheitstester sollten doch bitte verstummen, dass "Exploits" zur Demonstration von Sicherheitslücken immer öfter nach einer Warnung einfach ins Netz gestellt würden.

"Verantwortungsbewusste Virenautoren" müssten eh "fiese Schadensroutinen" in ihre Kreationen einbauen, feixte Ron, um die Aufmerksamkeitsschwelle der Softwareproduzenten und Admins zu überschreiten. Die Bedeutung von Patches würde häufig zwangsweise hochgespielt, fügte Rieger an, da die Verantwortlichen die immer undurchsichtiger werdenden Sammelpakete zum Stopfen der Löcher missachten würden. Spontanen Applaus gab es für den SQL-Slammer (und seinen Schreiber), da dieser wenigstens gezeigt habe, in wie vielen Produkten bereits SQL-Engines von Microsoft Einzug gehalten hätten.

Die überlappenden Wurm- und Spamwellen haben laut Rieger ansonsten zu einem gewissen Fatalismus geführt: "Ganze Firmen haben ihre Mailserver 2003 wiederholt einfach abgestellt", wusste er zu berichten. Seine sarkastische Prognose für 2004, die sich als "running gag" durch den "Vortrag" zog: Das Fax wird statt E-Mail wieder zum Kommunikationsmedium der Wahl.

Dass nicht aktualisierte Systeme und Würmer ihre Mitschuld am sommerlichen Blackout im Osten Nordamerikas hatten, scheint den Hackern mehr als plausibel. Für Ron waren dies aber nur die "ersten Betatests für Blinkenlights mit Kontinenten". Die Sicherheitsexperten hatten schon früher befürchtet, dass man bald mit Stadteilen "Licht an/aus" spielen könne -- ähnlich wie bei der in diesem Jahr erneut am Haus des Lehrers neben dem Congress Center angebrachten Installation.

Zu den weiteren, viel Heiterkeit im Auditorium auslösenden Ankündigungen fürs kommende Jahr gehörten unter anderem das "Wahlmaschinen-Massaker" kurz vor den amerikanischen Präsidentschaftswahlen im nächsten Herbst, die Umbenennung der Websicherheitslösungen OpenSSH und OpenSSL in die Variante "WideOpen" sowie die -- allerdings im Aktionsprogramm "Informationsgesellschaft 2006" der Bundesregierung schon versteckte -- Forderung nach einer "Vollkaskoversicherung" für PCs mit Internetanschluss. Dringenden Handlungsbedarf sehen die Hacker beim Management von Programmentwicklungen mit Hilfe des Concurrent Version System (CVS), mit dem vor allem Open-Source-Entwickler arbeiten, sowie bei den Schlüssellängen in Kryptosystemen und Public-Key-Infrastrukturen. Wer heute noch auf 1024-bit-RSA-Schlüssel setze, warnte Rieger, habe ein Problem.

Zum 20. Chaos Communication Congress siehe auch:

• "Lesemaschine" fürs Parlament
• Unfreiwillige Neujahrs- und Friedensbotschaften im Web
• Trusted Computing soll Farbe bekennen
• Proteste gegen Funkchips in Pässen
• Jubiläums-Hackertreff startet mit Bugs
• 20 Jahre Chaos, Kommunikation und Hackermythen in Telepolis

• Not A Number -- Website des 20C3

(Stefan Krempl) / (jk)