… und keiner hat’s gesehen
Die Lehren aus dem Heartbleed Bug
Audio is streamed directly from the publisher (chaosradio.de) as published in their RSS feed. Play Podcasts does not host this file. Rights-holders can request removal through the copyright & takedown page.
Show Notes
Seit Snowden wird uns gesagt: Verschlüsselt! Gleichzeitig tauchen immer wieder Verschlüsselungslücken bei https-Verbindungen auf, eine der grundlegenden Methoden um Datenverbindungen im Internet zu verschlüsseln. Im aktuellen Chaosradio im Blue Moon sollen zwei Fragen geklärt werden: Warum ist die Technologie hinter dem https:// so häufig kaputt? Und sollte genau diese Software nicht bombensicher sein, weil sie Open Source ist, also jeder den Quellcode anschauen kann? Marcus Richter erwartet den Chaos Computer Club ab 22:00 Uhr in den Fritz-Studios und Euch und Eure Fragen unter 0331/70 97 110.
Intro
00:00:00(Alec Empire - Music for hacker conference) — Begrüßung (Heute mit Erdgeist, danimo und Florian) — Open Source — TrueCrypt (wurde wohl defaced — TrueCrypt ermöglicht die Verschlüsselung von Datenträgern) — Erdgeist rät davon ab BitLocker zu verwenden, die momentan auf der Seite als Alternative angeboten wird — Chaosradio 200 — Software Audit (von TrueCrypt) — Kryptografie — Die Schwierigkeit sei die Kommunikation bei der Programmierung — Florian kommt von drausen, vom Walde, von der S-Bahn dazu — "Kaum ist der Chaos Computer Club am Start geht irgendwas kaputt." (monoxyd) — SSL — Goto Fail Lücke (Seite, die testet ob der eigene Mac betroffen ist — Goto) — Programmier-Syntax, Einrückung — OpenSSL — Common Crypto — "Du möchtest nicht, dass jeder seine eigene Kryptolibrary schreibt." (Erdgeist) — Dreipunktgurt (beim Auto) — Kryptographie benötigt Zufall — Man sollte seinen Zufall nicht nur aus der Uhrzeit zu generieren — Unix-Timestampts — Rausch an einem Mikrophon liefert relativ guten Zufall — Hearbleed — XKCD Comic zu Heartbleed — "Wenn genug Leute drauf glotzen, gehen Fehler kaputt." (Erdgeist übersetzt) ("Betrachten viele Leute das gleiche Problem, werden Fehler unsichtbar." (alt. Ueb.) — "Given enough eyeballs all bugs are shallow.") .
Musik: Gridline – Stol 00:26:36
Fritz Nachrichten
00:31:48Heute mit Erdgeist, Florian und Danimo — Opensource — Warum — SSH — Google Docs — Denial of Service — OpenSSL war als Programmiergehversuch mit großen Ganzzahlen gestartet — "Natürlich kann man jede Kryptografie brechen, es dauert nur ewig." (Erdgeist) — OpenSSL wurde vor 20 Jahren begonnen — GnuTls — SSL Projekt der belgischen Regierung — "TÜV ist der Dampfkesselüberprüfungsverein" (Erdgeist) — FIPS Zertifizierung ("Ein Stempel von der US amerikanischen Regierung") — Erdgeist hat selber auch OpenSSL Sourcecode gelesen — Mit Silikon meint Erdgeist Silicium, da im Englischen "Silicon" genannt wird — "Das Problem ist, man muss den Kontext jeder Zeile kennen." (Floran) — Der problematische Heartbleed Code — Statische Codeanalyzer — Verantwortungsdiffusion (Je mehr Menschen theoretisch verantwortlich sind, desto weniger machen es) — TollCollect — BSI — "Die Idee, Open Source macht das ganze sicherer, ist eigentlich Quatsch." (monoxyd).
Nerd News
00:58:13(Bundesanwaltschaft will nicht wegen NSA-Affäre ermitteln) — Apple IDs von iPhones übernommen — BSI warnt von gehackten FTP Servern.
Musik? Musik! Professor Kliq - This 00:59:45
Was macht Opensource Software anders?
01:04:42Security Audits werden häufig von großen Firmen finanziert — Github — OpenBSD (Flüchtigkeitsfehler beim Abschalten des Heartbeat-Features) — Rage Commit — Peer Review — "Nur Menschen drauf zu gucken ist mir einfach zu wenig." (Erdgeist) — Linting (Einrückung und Leerzeichensetzung) — Best-Practices beim Programmieren — Test Driven Development ("Es zwingt dich dazu sehr kleinteilig zu schreiben." (Danimo)) — "Man sagt pro 100 000 Zeilen Code, 10 Fehler." (Erdgeist) — MS Office — Open Office — "Es gibt immer Leute, die aus den lustigsten Dingen Spass beziehen." (Erdgeist) — "Auch Open Source Software Entwickler wollen Fame." (Erdgeist) — Open Tracker — PHP — Qt Project (Macht es einfach grafische Benutzeroberflächen für mehrere Betriebssysteme zu entwickeln) .
Martin aus Wien
01:23:33Handbook of applied cryptography — Programmiersprache C — Hochsprachen — Cryptol — Haskell — Email ans Chaosradio an: [email protected] <mailto:[email protected]> — PolarSSL.
Fritz Nachrichten
01:29:38
Kapitelüberschrift
01:33:22Es funktioniert bei PolarSSL (Alle Annahmen wurden auf) — GPL — ocaml-tls (OCaml) — OCaml nocrypto — Beweisbare Software — Turings Halteproblem — Einen Codereview richtig zu organisieren wäre kompliziert. Empfehlung nur kleine Mengen Geld für Review ausschreiben — Danimo befürwortet die Idee auch an Universitäten Studenten zu beauftragen — "Nimmt ein beliebiges OpenSource Projekt haut mal drauf rum, und schaut was passiert." (Florian) — Bug Bounty — Gemeldete Bugs muessen vom Melder auch gut dokumentiert/belegt werden, da sonst gerne abgewiegelt wird — Fork — Beispiel für Softwarefork: LibreSSL — "Falls ihr programmieren woltle, macht das mal." (monoxyd).
Christoph, Webdesigner
01:49:19Constanze Kurz (wenn nur 25% der Menschen in DE verschlüsseln würden, würde sich für die Geheimdienste die Entschlüsselung nicht mehr lohnen) — Linux Foundation — "Die Leute brauchen halt immer 'ne Belohnung." (Christoph) — Chaos Computer Club — Fritz kürzt das Chaosradio auf jeden zweiten Monat — Außerhalb von Fritz wird es auch weiter jeden Monat Chaosradio zu hören geben — "Last euch nicht überwachen und verschlüsselt immer schön eure Backups" (monoxyd) (Musik Dragan Espenscheid - Websiiite) .