Stefans Home

Auf dem 25. Chaos Communication Congress stellte der Vortrag "MD5 considered harmful today" (zunächst unter dem kryptischen Titel "Making the theoretical possible" angekündigt) einen erfolgreichen Angriff auf MD5-Hashes in SSL-Zertifikaten vor (auf der Seite der Autoren gibt es ein ausführliches Vortragsskript, ein Videomitschnitt ist via Bittorrent verfügbar). Die Gruppe manipulierte ein selbst erstelltes (und on einer Root-CA signiertes) Webseiten-Zertifikat so, daß es als "intermediate CA" verwendbar war; die Korrektheit der Signatur der Root-CA behielten sie mit Hilfe einer "Chosen Prefix Attack" auf den MD5-Hash der Zertifikatsdaten bei. Mit Hilfe dieses Zertifikats war es möglich, beliebige (und von Browsern als gültig und vertrauenswürdig akzeptierte) Webeiten-Zertifikate selbst zu erstellen.
Die CAs haben inzwischen reagiert, auch gibt es ein Firefox-Plugin, das vor solchen anfälligen Zertifikatsketten warnt.

Mitglieder des Chaos Computer Club hatten die Kommunalwahl in Brandenburg am 28.9. beobachtet. Bei dieser Wahl kamen (in den Niederlanden inzwischen nicht mehr zugelassenen) NEDAP-Wahlcomputer zum Einsatz. Der Bericht über die Beobachtungen wurde gestern veröffentlicht: Dieser liest sich wie eine Aneinanderreihung von teilweise haarsträubenden Pannen. Sehr deutlich wird auch das Aufeinandertreffen von Theorie und Praxis bei der Benutzerfreundlichkeit und der Zeitersparnis: Häufig kam es zu Bedienungsproblemen, mitunter bildeten sich längere Schlangen an den Stimmcomputern, da die Stimmabgabe so lange dauerte.

Nach der Telekom-Spitzelaffäre hat der CCC eine Liste mit 10 Forderungen für einen wirksamen Schutz vor Datenverbrechen aufgestellt. "Die derzeitige Behandlung von Datenverbrechen als Kavaliersdelikt ist in keiner Weise den Folgen für den Einzelnen angemessen." - das ist genau meine Rede, und das kann ich (ebenso wie die zehn Punkte selbst) zu 100% unterschreiben.

Spiegel berichtet unter der Überschrift "Wir sind die Guten" über das Bild von Hackern im Allgemeinen und die Aktivitäten des CCC im Speziellen. Alles in allem zeichnet der Artikel ein sehr positives Bild des Clubs: Er ernennt ihn gar zum obersten Datenschützer - er kann sich provokante Demonstrationen zu den Mißbrauchsmöglichkeiten von Datensammlungen leisten, wohingegen Schaar nur "von Amts wegen, meistens in der Defensive" aus mahnend den Zeigefinger heben kann.

Nachdem der Versuch des CCC, Wahlcomputer in der Hessener Wahl verbieten zu lassen scheiterte, erging der Aufruf, die Wahlen zu beobachten. Dabei kam es zu einer ganzen Reihe haarsträubender Vorfälle, weshalb der CCC nun ankündigt, daß Wahleinsprüche und Nachwahlen wahrscheinlich sind.

Der Staatsgerichtshof Hessen hat den Verbotsantrag zurückgewiesen, Wahlcomputer bei der kommenden Landtagswahl zu verbieten - aus formalen Gründen: Zweifel an der korrekten Funktionsweise der Wahlcomputer könnten erst nach der Wahl im Rahmen eines Wahlprüfungsverfahrens geäußert werden.

Der CCC will den Einsatz von Wahlcomputern in Hessen gerichtlich verhindern - darüber berichtet auch der Deutschlandfunk. Der Deutschlandfunk zitiert unter anderem Hubertus Tempski, den Verantwortlichen für Wahlcomputer in Köln:

Der Vortrag in Suttgart ist gut überstanden (Frank war leider geschäftlich verhindert, so daß die Show komplett an mir hing) - der "Saal 2" war mit ca. 60-70 Leuten gerammelt voll. Obwohl ich die zwei Stunden Vortragszeit sogar noch knapp überzogen habe, haben die Zuhörer ausnahmslos tapfer bis zum Ende durchgehalten :-) Zwischenrein gab es interessierte Rückfragen und kleinere Diskussionen (insbesondere über PHP ;-) ) Alles in allem hat mir die Aktion sehr viel Spaß gemacht, und den Diskussionen und dem anschließendem Feedback nach ging es den Zuhörern wohl ebenso.

Der CCC hat in Hessen einen Antrag auf Erlass einer einstweiligen Verfügung gegen den Einsatz von Wahlcomputern bei der anstehenden Landtagswahl gestellt. Hier sollen die berüchtigten NEDAP-Wahlcomputer zum Einsatz kommen, die in den Niederlanden für Furore gesorgt hatten und dort inzwischen aus dem Verkehr gezogen wurden. Im Falle einer Ablehnung des Antrags plant der CCC, die Wahl anzufechten.

Am kommenden Donnerstag, den 10.1. gibt es ab 19:00 beim Stuttgarter CCC einen Vortrag zum Thema "Web Security". Warum ich hier darauf hinweise? Weil ich der Vortragende bin :-) Ich bin gerade fleißig am Vorbereiten und Folienmalen - hoffe mal, in Stuttgart eine interessante Show abliefern zu können.