Sie sind auf Seite 1von 32

Die Datenschleuder

Das wissenschaftliche Fachblatt für Datenreisende


Ein Organ des Chaos Computer Club e.V.

NETTER PC, DEN NEHMEN WIR!

➣ ActiveX bedroht die Welt


➣ Homebanking
➣ Wirtschaftsspionage & Kryptoverbot
➣ CCC ‘96 Rückblick

ISSN 0930-1045
März 1997, DM 5,00
Postvertriebsstück C11301F #58
Adressen

Impressum Hamburg: Treff jeden Dienstag um 20 Uhr in den Clubräumen


Die Datenschleuder Nr. 58 oder im griechischen Restaurant gegenüber. Schwenckestraße
Quartal I, März 1997 85, 20255 Hamburg. U-Bahn Osterstraße. Achtung! Neue
Rufnummer (040) 401801-0, Fax (040) 4917689, mail:
Herausgeber: ccchh@ccc.de, http://www.ccc.de
Chaos Computer Club e.V.
Schwenckestrasse 85 Berlin: Treff jeden Dienstag ab ungefähr 20 Uhr in den
D-20255 Hamburg Clubräumen, Neue Schönhauser Str. 20, 10178 Berlin, im
Tel. 040 - 401 801 - 0 Vorderhaus ganz oben. ÖPnV: Alexanderplatz oder Hackescher
Fax. 040 - 491 76 89 Markt. Tel. (030) 28354870, Fax (030) 28354878, cccbln@ccc.de.
http://berlin.ccc.de, Chaosradio auf Fritz i.d.R. am letzten
Redaktion: ds@ccc.de, Mittwoch im Monat von 22.00-01.00 Uhr.
Redaktion Datenschleuder
Neue Schönhauser Str. 20 Bielefeld: FoeBud e.V., Treff jeden Dienstag um 19:30 im Cafe
D-10178 Berlin Durst in der Heeperstr. 64. Monatliche „Public Domain“
Tel. 030 - 283 54 87 2 Veranstaltung, siehe Mailbox. Briefpost: Foebud e.V., Marktstr.
Fax. 030 - 283 54 87 8 18, D-33602 Bielefeld, Fax. (0521) 61172, Mailbox (0521) 68000
und Telefon-Hotline Mo-Fr 17-19 Uhr (0521) 175254. Mail
Druck: zentrale@bionic.zerberus.de
St. Pauli Druckerei, Hamburg
Lübeck: Treff am ersten und dritten Freitag im Monat um 19
ViSdP: Andy Müller-Maguhn Uhr im „Shorty’s“, Kronsforder Allee 3a. Briefpost: CCC-HL
Mitarbeiter dieser Ausgabe: c/o Benno Fischer, Bugenhagenstr. 7, D-23568 Lübeck. Tel.
Andy-Müller Maguhn (0451) 3882220, Fax. (0451) 3882221, mail: ccc@ews.on-
(andy@ccc.de), Steffen Peter luebeck.de, http://www.on-lübeck.de/bfischer/ccc.html
(Wau Holland (wau@ccc.de),
Frank Rieger (frank@ccc.de), Ulm: Treff jeden Montag um 19 Uhr im Cafe Einstein an der
Tim Pritlove (tim@ccc.de), Lutz Uni Ulm. Kontakt: frank.kargl@rz.uni-ulm.de
Donnerhacke (lutz@ccc.de) Stuttgart: Sücrates - Stuttgarter Computerunde, Kontakt: T.
Schuster, Im Feuerhaupt 19, D-70794 Filderstadt,
Eigentumsvorbehalt: norman@delos.stgt.sub.org
Diese Zeitschrift ist solange Frankfurt: da tut sich auch was, auch wenn es noch keinen
Eigentum des Absenders, bis Treff in der wirklichen Welt gibt - siehe http://www.rz.uni-
sie dem Gefangenen persönlich frankfurt.de/˜katsemi
ausgehändigt worden ist. Zur- Mainz: demnächst in diesem Theater
Habe-Nahme ist keine persön-
liche Aushändigung im Sinne Österreich: Engagierte ComputerexpertInnen, Postfach 168, A-
des Vorbehalts. Wird die 1015 Wien
Zeitschrift dem Gefangenen USA: 2600 (Zeitschrift) mit diversen Treffs an diversen
nicht ausgehändigt, so ist sie Standorten. Abopreise Overseas: 30$ individual, $65 corporate,
dem Absender mit dem Grund Back issues available at $30 per year overseas. Briefpost: 2600,
der Nichtaushändigung in Subscribtion Dept., P.O. Box 752, Middle Island, NY 11953-
Form eines rechtsmittelfähigen 0752, Tel. +1-516-751-2600, Fax. +1-516-474-2677,
Bescheides zurückzusenden. http://www.2600.com

Die Datenschleuder
Nummer 58, März 1997
Editorial

Editorial hat, scheint Microsoft nicht gedacht zu haben.


Die Firma aus Redmond scheint zwar gut zu
Die Arbeit für den Chaos Computer Club wissen, wohin heute alle gehen wollen, aber
kann manchmal ganz schön nerven. Und eine an das Morgen denkt Bill Gates III.
Menge Spaß machen. In letzter Zeit hat es anscheinen weniger als es sein biographisches
ganz schön genervt und eine Menge Spaß Pamphlet „Der Weg nach vorn“ vermuten
gemacht. Ergebnis: die erste ChaosCD-Beta ließ.
ist erhältlich für alle Mitglieder und Microsoft
dreht am Rad. Also merke: traue keinem Internet-Applet
und schon gar nicht allen kommerziellen
Der Patzer, den sich Microsoft mit Ihrer Herausgebern.
„Internet-Technologie“ ActiveX geleistet hat,
zeigt mal wieder aufs feinste wobei es bei Frohe Ostern
diesem ganzen Internationalen Die Datenschleuder-Redaktion
Kindergeburtstag namens Internet eigentlich März 1997
geht: Marktanteile.

Und dafür wird dem Computerbenutzer und Index


-abhängigen schon einiges zugemutet. Waren
Viren vor ein paar Jahren noch ein dickes Impressum
Thema werden Makro-Viren die aus
Textdateien gekrochen kommen schon wie Adressen
normal hingenommen. Getan dagegen wird
recht wenig. Abgesehen von ein paar Utility- Editorial
Herstellern, die sich an den Viren einen
goldenen Bauchnabel verdienen. Kurzmeldungen

Mit ActiveX wird dem Computerbenutzer Telekommunikation


mittlerweile zugemutet, Programme ohne
jede inhaltliche Prüfung direkt auf seine aller- ActiveX: Unsicherheit einer Software-
heiligste Festplatte loszulassen. Der Philosophie
sogenannte „Sicherheitsmechanismus“ in
ActiveX ist keiner, taugt auch sonst wenig Chaos Communication Congress 1996
und mag als früheste Technologie-Beta aller Berichte
Zeiten in die Geschichte eingehen: „Alle kom-
merziellen Herausgeber als vertrauenswürdig Mitgliederfetzen & Bestellfetzen
ansehen“ ist eine der fadenscheinigen
Optionen, mit der vertrauenswürdige Kunde
seine Computerumgebung konfigurieren
kann. Lächerlich!

All das bestätigt nur Microsofts maßlos


verzerrte Sicht der Welt. An die
Konsequenzen, die ActiveX für seine Kunden

Die Datenschleuder
Nummer 58, März 1997
Kurzmeldungen

Falsche Nummern Zitiert aus Wall Street Journal, 10. Januar 1997
frank@ccc.de
Aufgrund eines technischen Defektes wurden
im amerikanischen SkyTel Funkruf-Netz an
mehr als 100000 Kunden falsche Rückruf- EU plant Umsatzsteuer auf
Nachrichten gesandt. Das Problem verschlim- Telekommunikationsdienste
merte sich, als einige gewissenhafte
Teilnehmer die Nachricht beantworteten und Die Europäische Union plant die Einführung
ihre derzeitigen Telefonnummern einer Regelung, die es den Mitgliedsländern
hinterließen, so daß derjenige, der ihnen die erlaubt, Umsatzsteuern auf sämtliche
Funkruf-Nachricht geschickt hatte, sie dort Telekommunikationsdienste einzuführen.
erreichen konnte. Dies betrifft auch telefonische Rückruf-
Systeme, die entwickelt wurden, um die
Als Folge kam es zu einer 26 Minuten hohen europäischen Telefongebühren für
dauernden schwerwiegenden überlastung Auslandsgespräche zu umgehen, indem
des Telefonnetzes, da nun Tausende Sky-Tel- Europäer einen Rückrufservice in Amerika
Kunden versuchten, diese Nummern zu anrufen.
wählen. Anscheinend hatte das ganze
Unglück seinen Anfang genommen, als ein Der Rückrufservice beendet das Gespräch
sofort, ruft zu den wesentlich niedrigeren
Kunde, der eine neue PIN-Nummer
amerikanischen Telefongebühren zurück und
(„personal identification number“)
verbindet dann den europäischen Anrufer
angefordert hatte, versehentlich eine geheime
mit der ursprünglich gewünschten Nummer.
PIN-Nummer erhielt, die das Unternehmen
Für amerikanische Unternehmen könnte die
normalerweise dazu benutzt, Informationen
neue Regelung theoretisch auch bedeuten,
ihres Dow Jones-Nachrichtendienstes an etwa
daß sie für Waren, die sie über das Internet an
100000 Abonnenten zu senden. Die europäische Kunden verkaufen,
siebenstellige PIN-Nummer, die wie eine Umsatzsteuer abführen müssen. In manchen
Telefonnummer aussieht, wurde dann an alle EU-Mitgliedsländern beträgt die
Dow Jones-Abonnenten übertragen, von Umsatzsteuer über 20 Prozent.
denen viele die Nummer als örtliche
Telefonnummer ansahen und anzuwählen New York Times, 11. Januar 1997
versuchten. Andere erkannten die Nummer frank@ccc.de
als PIN-Nummer und riefen SkyTel an, um
die tatsächliche Telefonnummer des
vermeintlichen „Anrufers“ zu erhalten, und Programmierer bekennt Betrug an
verstopften so die Leitungen zu SkyTel. „Zum
ersten Mal in der Geschichte unseres bundes-
AOL
weiten Rufdienstes hatten wir eine Eine ehemaliger Informatikstudent der
Unregelmäßigkeit in der Datenbank, die die Universität Yale hat sich schuldig bekannt,
fehlerhaften Funkmeldungen an unsere America Online (AOL) betrogen zu haben,
Kunden verursachte,“ sagte ein Sprecher von und erwartet nun die Höchststrafe von fünf
SkyTels Muttergesellschaft MTel, die sich für Jahren Gefängnis, 250.000 US-Dollar
den Vorfall entschuldigte. Geldstrafe und Schadensersatz an AOL,

Die Datenschleuder
Nummer 58, März 1997
Chaos Realitäts Dienst

deren Service ohne Bezahlung in Anspruch nach hat sich die NSF mit der
genommen wurde. AOL schätzt den Verlust Gebührenerhebung übernommen. Das
auf 40000 bis 70000 US-Dollar an Service- klügste wäre es, die Sache auf sich beruhen
Gebühren, da der Student sein zu lassen oder wirkliche Maßnahmen zu
Computerprogramm, das er „AOL4FREE“ ergreifen.“
(„AOL für umsonst“) nannte, an Hunderte
von Computerbenutzern verteilt hatte. Zitiert aus Washington Post, 11. Januar 1997
frank@ccc.de
Zitiert aus UPI 9. Jan 1997
frank@ccc.de
Gateway 2000 Opfer
Internet-Streitigkeiten einer Porno-Sabotage
Ein Video, das von Gateway
Network Solutions Inc., die autorisierte 2000 Inc. verteilt wurde, um
Einnahmestelle für Gebühren, die für für ihren neuen PC mit
Internet-Adressen bezahlt werden müssen, Grossbildschirm zu werben,
berichtet, daß noch ungefähr 10 Millionen der der Fernseher, Kabeltuner
20,7 Millionen US-Dollar ausstehen, die und Stereoverstärker in sich
gemäß der Anzahl registrierter Adressen auf vereint, enthielt 30 Sekunden
dem Konto sein müßten, seit die pornographischer Szenen. Das Unternehmen
Gebührenerhebung 1995 erstmalig eingeführt war daher gezwungen, die 20000 verteilten
wurde. Zum Teil gehen die ausstehenden Kopien des Bandes wieder zurückzurufen.
Zahlungen auf „Spekulanten und Ein leitender Mitarbeiter des Unternehmens
Wiederverkäufer zurück, die nicht die sagte, daß es sich hierbei um Sabotage durch
Absicht haben zu zahlen,“ sagte ein Sprecher einen verärgerten Angestellten handele. Man
der National Science Foundation (NSF), einer sei sich aber nicht sicher, ob Gateway 2000
amerikanischen Bundesbehörde, die Network selbst oder die Video-Firma, die das Band
Solutions Inc. mit der Gebühreneinnahme produziert hat, das Ziel der Sabotage
beauftragt hat und die deren Arbeit gewesen sei.
überwacht. 30 Prozent des eingenommenen
Geldes ist für die „Erhaltung und Wall Street Journal, 14. Januar 1997
Verbesserung“ der „intellektuellen frank@ccc.de
Infrastruktur“ des Internet vorgesehen, aber
bisher wurde noch kein Geld ausgegeben.
Bahnerpresser wollte Millionen mit
„Meine Meinung ist, je eher das Geld für die gestohlenen Kreditkarten kassieren
Verbesserung des Internet ausgegeben wird,
um so besser,“ sagte der Präsident der Hamburg - Mit einem besonderen Dreh woll-
Internet Society. Währenddessen hat sich ein te ein Bahnerpresser an die von ihm geforder-
Chemieprofessor an der Virginia Tech für die ten Millionen kommen. Nach Informationen
öffentliche Bekanntgabe der Schuldner ausge- von DPA hatte der Unbekannte in Briefen an
sprochen, zu deren Lasten die fehlenden 10,7 die Polizei gefordert, zwei in Leipzig
Millionen US-Dollar gehen: „Meiner Meinung gestohlene und später gesperrte Kreditkarten

Die Datenschleuder
Nummer 58, März 1997
Kurzmeldungen

für das Abheben der Millionen freizuschalten. schaffen. Diese Forderung, die vom Bonner
Nach Angaben der betroffenen Barclay-Bank Koalitionspartner FDP bislang strikt
ist das jedoch technisch nicht möglich. Eine abgelehnt wird, ist Teil eines zwölf Punkte
einmal gesperrte Kredikarte kann demnach umfassenden Thesenpapiers zur Innen- und
nicht wieder freigeschaltet werden. Zudem Rechtspolitik, das die Bonner CSU-
können mit den gestohlenen Kreditkarten Landesgruppe auf ihrer Klausurtagung in
höchstens 1.000 Mark pro Tag abgehoben Wildbad Kreuth diskutieren will.
werden.
In dem Papier, das der
Ohnehin wär er mit den Deutschen Presse-Agentur
Dingern nicht weit (dpa) vorlag, werden im
gekommen, von wegen Zuge einer verbesserten
online-POS Teminals und so... Kriminalitätsbekämpfung
lückenlose
Zitiert aus dpa 24 Jan 97 Kontrollmöglichkeiten für
andy@ccc.de alle privaten
Telekommunikationsnetze
verlangt. Die CSU-
Korrektur zu „Ruhe vor Innenpolitiker Norbert Geis
dem Telefon“ in DS 57 und Wolfgang Zeitelmann
als Autoren sprechen sich
Die Funktion „Ruhe vor dem außerdem dafür aus,
Telefon“ (s. Nr. 57) wurde wie- bundesweit eine sogenannte
der abgeschaltet, bevor die Schleier-Fahndung
Datenschleuder erhältlich war. einzuführen. Solche
Die eigentliche Funktion von gezielten,
*000#, *888# und *555# gehör- verdachtsunabhängigen
ten zu dem geplanten Dienst Personenkontrollen auf den
„Anrufbeantworter im Netz“, Straßen hätten sich in
der Mitte 97 aktiviert werden Bayern vor allem bei der
sollte. Sie stellten im Prinzip Suche nach untergetauchten
eine Umleitung auf diesen (nicht Schleppern und illegal eingewanderten
vorhandenen) Anrufbeantworter dar. Ausländern bewährt.

redbaron@ccc.de [...] Bei der Reform des Strafgesetzbuchs müs-


se das bisher bestehende Ungleichgewicht,
das bestimmte Eigentumsdelikte härter
Lauschangriff: CSU als bestrafe als Gewaltdelikte, beseitigt werden.
verfassungsfeindlich verbieten? Stärker berücksichtigt werden müsse künftig
auch der Schaden, den die Täter anrichten.
Bonn - Die CSU besteht darauf, gemeinsam Dies gelte beispielsweise für die
mit der Einführung des sogenannten großen «systematische bandenmäßig organisierte»
Lauschangriffs auch die Möglichkeit zur Zerstörung von gentechnologischen
Videoüberwachung von Wohnungen zu Versuchsfeldern. Strafbefehle wegen

Die Datenschleuder
Nummer 58, März 1997
Chaos Realitäts Dienst

Sachbeschädigung seien für «solche Links illegal?


ideologisch motivierten» Täter keine
Abschreckung. ## Nachricht vom 10.01.97 weitergeleitet
## Ursprung : WAU@CCC.DE
Zitiert aus dpa 5. Jan 97 ## Ersteller: 100655.2414@compuserve.com
andy@ccc.de
Hallo,

1984 In 1996? Seit ein paar Tagen ist es amtlich. Fuer Links
im Netz auf Seiten, die der deutschen Justiz
While the PGP software helps keep outsiders nicht passen, wird mensch strafrechtlich
from tracking your users’ Internet habits, verfolgt. Nach der Zensur meiner Seiten bei
another new program can help you track tho- Compuserve, steht ein Verfahren in dieser
se habits yourself. LittleBrother, a software Sache an.
package from Kansmen Corp., lets
administrators track where employees go on Weitere Infos unter
the Internet, how long they stay and what http://yi.com/home/MarquardtAngela/
they download. LittleBrother is being pitched <case sensitive!!>
as a way of helping network managers
reduce „wasted time“ by „slackers“ in the Viel Freude
Angela Marquardt [PDS]
organization. Administrators can use the soft-
ware to analyze Internet usage, limit
unproductive activity and block sites not rela- UK - Labour Party Web Hack Starts
ted to work. And because LittleBrother lets
users do their own policing of network usage, To Unravel
it reduces the need for Internet censorship, LONDON, ENGLAND, 1996 DEC 17 (NB)
said Kan Ng, president of Kansmen, Milpitas, via Individual Inc. — By Steve Gold. Police
Calif. „Now, each business can decide which investigating the systematic hack of the
sites are productive or unproductive and Labour Party World Wide Web site, which
limit access appropriately, which reduces the was hacked on three separate occasions last
need for government interference on the week, have started the process of tracing
Internet,“ he said. But even Kansmen down the hacker, Newsbytes has learned.
conceded that all this technology is a bit
Orwellian. The press release for the product As reported last week by Newsbytes, during
reads: „Twelve years after 1984, Kansmen the first raid, which occurred 12 days ago, the
Corp. has introduced its LittleBrother Labour Party Web site hacker changed the tit-
software, which takes the job of monitoring le „Road to the Manifesto“ to „Road to
cyberspace away from Big Brother and puts it Nowhere.“ He also tinkered with links to
into the hands of the public.“ other sites on the Web so they read „The
Labour Party sex shop,“ and transferred
Quelle: Communications Week, December 16, visitors to a series of pages carrying
1996 pornography.

Die Datenschleuder
Nummer 58, März 1997
Kurzmeldungen

Despite Labour sealing administrator access So far, neither the police nor the Labour party
to the Web site at http://www.labour.co.uk , will comment on these revelations, which
the hacker, who had a US accent, regained were published in the „Londoner’s Diary“ of
access and almost the London
rewrote the site, Evening Standard.
adding images of
Labour head Tony Newsbytes has
Blair taken from discovered,
the Spitting Image however, that at
comedy puppet least one person
series, under the attending the 2600
banner headline of hacker party i
„Hacked Labour: under
Same Politicians, investigation by
Same Lies.“ the London Fraud
Squad.
The hacker also re-
routed Web links (19961217/Press
which were suppo- Contact: Labour
sed to detail Party, tel +44-171-
information on the 701-1234, fax +44-
various personalities within the Labour party 171-234-3300/Reported By Newsbytes News
to information on the puppets on Jim Network: http://www.newsbytes.com)
Henson’s Muppet Show, on the Henson Web
site in the US.
US-Forscher warnen vor neuer
Newsbytes notes that the running of the site Internet-Sicherheitslücke
is contracted out to two companies, On-line
Publishing, which maintains the pages, and München (ots) - Ein Programmierer-Team der
Poptel, which provides the Web space on its US-Universität Princeton hat jetzt eine neue
servers. Both companies have said they are Sicherheitslücke im Internet entdeckt, gegen
investigating how the hacker gained access to die bisher keine geeigneten
the pages. Abwehrmaßnahmen bekannt sind. Wie die
„Computerwoche“ in ihrer neuen Ausgabe
Newsbytes has discovered that BT has traced berichtet, handelt es sich bei der neuen
the first hacker call of Saturday, December 7, Internet-Attacke um das sogenannte „Web-
to an Internet cafe in Manchester, with the Spoofing“. Dabei schaltet der Hacker seinen
call time logged at 5am. Curiously, the cafe Server zwischen das eigentliche Zielsystem
was shut at the time, but Newsbytes notes und den Rechner des Anwenders und täuscht
that there was an all-night „2600“ hacker par- auf seinem System eine „echte Kopie“ der
ty going on in Manchester at the time, forcing Daten vor, die er komplett kontrollieren und
investigators to the conclusion that the hack für seine Belange modifizieren kann.
may have been part of a demonstration for
the hackers.

Die Datenschleuder
Nummer 58, März 1997
Chaos Realitäts Dienst

Danach kann er nach Belieben vom arglosen WWW-Seiten zu Polizei und Überwa-
Benutzer verschickte Informationen abfangen
oder sogar manipulieren, in dem der Hacker chung - Update
die Uniform Resource Locators (URLs) auf
dem ursprünglichen Ziel so verändert, daß Liebe Freunde und Interessierte,
sie auf die Kopien in seinem System
ich moechte Euch mit dieser e-mail darueber
verweisen. Eine weitere Möglichkeit des
informieren, dass ich meine WWW-Seiten zu
Hackers besteht laut „Computerwoche“ ‘Polizei und Ueberwachung’ im Rahmen
darin, Links in das falsche Web auf einer ‘Generalueberholung’ meines WWW-
vielfrequentierten Internet-Seiten zu plazieren Angebots komplett ueberarbeitet habe.
oder die Links im Usenet, per E-Mail im http://www.rrz.uni-hamburg.de/kr-p1/polsurv.htm
Index von Suchmaschinen zu publizieren. [...] nogala@rrz.uni-hamburg.de

Besonders gefährlich wird das „Web-


Spoofing“, wenn sich der Hacker auf diese Rinderwahn online
Weise Paßwörter oder Kreditkartennummern
von Benutzern beschafft. Das funktioniert [...] Zusätzlich findet beim Dezernat 34 des
sogar, wenn der Benutzer eine vermeintlich Polizeipräsidiums München eine deliktsüber-
sichere Verbindung über den Secure Sockets greifende anlaßunabhängige Auswertung
elektronischer Medien statt.
Layer (SSL) gewählt hat. Diese besteht auch
tatsächlich, allerdings zum Server des
Dieses Konzept wird durch die Tätigkeit des
Hackers. Da die meisten Web-Transaktionen Sachgebiets 522 beim Bayerischen
über HTML-Formulare laufen, wie etwa bei Landeskriminalamt ergänzt, das ebenfalls
einer Warenbestellung, kann der Hacker diese anlaßunabhängige Recherchen in
Bestelldaten für seine Zwecke manipulieren Datennetzen durchführt. Darüber hinaus fun-
und sich so auf Kosten des Benutzers Waren giert das Landeskriminalamt in Bayern für
bestellen. diesen Kriminalbereich als
Koordinierungsstelle. „Seit Beginn des
Das US-Forscher-Team um Edward Felten Pilotprojekts waren die bayerischen
empfiehlt als Gegenmaßnahme des „Web- Netzpatrouillen insgesamt über 5.000
Spoofings“ die ständige Kontrolle der Status- Stunden im Internet. Das zeigt wie personal-
und Adresszeile des Web-Browsers. Vor allem und zeitaufwendig Ermittlungen im Internet
sich gestalten“, so Regensburger. Das
aber sollten die Internet-Anwender
Verhdltnis von durchgeführten Recherchen
Javascript, Active X und Java in ihrem
zu Treffern beträgt etwa 70 zu 30, das heißt,
Browser deaktivieren, auch wenn dadurch daß im Durchschnitt jede dritte Recherche zu
einiges an Funktionalität verloren geht. Bei einem Treffer führt.
Bedarf könnten die Zusatzfunktionen auf http://www.polizei.bayern.de/aktuell/index.htm
bestimmten vertrauenswürdigen Seiten rowue@digitalis.org
zeitlich begrenzt wieder aktiviert werden.

(Quelle: Spiegel Online, neulich)

Die Datenschleuder
Nummer 58, März 1997
ActiveX: Unsicherheit einer Software- ty/activex.html) vollständig mit einer
Chronologie der Ereignisse dokumentiert.
Philosophie Auch finden sich dort die Source-Codes und
andere Beispiele.
Eher am Rande des 13. Chaos
Communication Congress im Dezember 1996 Apropos Mißverständnisse: es möge bitte
wurde die Idee entwickelt, die Unsicherheit nicht der Eindruck aufkommen, wir würden
von ActiveX durch Fernsteuerung einer jetzt Java oder Homebanking ohne ActiveX
Homebanking-Software zu demonstrieren. auf der Maschine als „sicher“ bezeichnen.

Der letztlich entstandene Fernsehbeitrag des Wir müssen hier zwischen „Bug“ (Java-
MDR bei „PlusMinus“ benannte das Problem Implementationen, Interpreter etc) und „Bug
jedoch eher nicht: anstelle von ActiveX wurde by design“ (ActiveX) unterscheiden. Java
nur die mißbrauchte Homebanking-Software wird - zumindest vom theoretischen Konzept
Intuit Quicken gezeigt und benannt. Für den her - in einer Sicherheitsumgebung
Fernsehbeitrag war ein „Control“ für ActiveX („Sandbox“) ausgeführt, die nur
geschrieben, welches die Homebanking- eingeschränkten Zugriff auf das System
Software quasi fernsteuerte. Während der erlaubt. Auch wenn diese mittlerweile
Benutzer glaubte, eine bunte Web-Seite anzu- aufgeweicht wird und spätestens über Plug-
gucken, wurden seiner Transaktionsliste
Ins etc. durchlöchert werden kann so gibt es
(Sammelüberweisung) ein
zumindest eine Art von Sicherheitskonzept
Überweisungsauftrag hinzugefügt. Auch
und -bewußtsein. ActiveX ist unmittelbarer
wenn es wichtig war, eine sensible
Maschinencode, der alles mit der Maschine
Applikation zur Demonstration des ActiveX
anstellen kann, was der (eingeloggte)
Problems (volle Fernsteuerbarkeit des
Benutzer auch kann. Bei nicht-NT Maschinen
Computers) auszuwählen und insbesondere
die kundenunfreundliche Haftungs- und ist das schonmal pauschal *alles* und bei NT-
Beweislage deutlich machen, so war es dann Maschinen hängt es nur unter anderen von
für die Journalisten doch schwierig, zwischen den Rechten des eingeloggten Benutzers ab.
Ursache und Wirkung zu unterscheiden.
Die „Authentifikationsstruktur“ von ActiveX
Dies nutzte natürlich noch am ehesten kann die technische Unsicherheit nicht
Microsoft, die zumindest in Amerika dann ausgleichen - sie fügt den „controls“ (was
auch mit entsprechenden Meldungen den auch immer sie tun) nur ein Zertifikat
Nebel noch verstärkten um vom eigentlichen (Absenderkennung/Echtheit) an. Auch
Problem, nämlich ActiveX, abzulenken. hierzu mehr im Netz. Zur allgemeinen
Erheiterung dokumentieren wir hier die
Daher waren wir nach Kräften bemüht, Antwort von Fred Cohen auf eine Erklärung
Mißverständnissen und Desinformation des Microsoft-Vizepräsidenten zur Sache.
entgegenzuwirken. Die Meldungen, die wir Cohen gilt immerhin als der Autor des ersten
hier aus Platzgründen nicht abdrücken Computervirus - und das war Anfang der
können sind im Web achtziger Jahren.
(http://www.ccc.de/radioactivex.html bzw.
http://www.iks-jena.de/mitarb/lutz/securi- Andy Müller-Maguhn, andy@ccc.de

Die Datenschleuder
Nummer 58, März 1997
Re: MS on the CCC ActiveX virus
Date: Fri, 21 Feb 1997 11:46:11 -0800 (PST)
From: fc@ca.sandia.gov (Fred Cohen)
Subject: Re: MS on the CCC ActiveX virus (RISKS-18.83)

Re: SBN Wire: News Flash, Brad Silverberg

> You may have heard reports about a malicious software program created and
> demonstrated recently by the Chaos Computer Club (CCC) in Hamburg, Germany.
> I want to personally assure you that Microsoft(R) Internet Explorer 3.0 has
> the appropriate safeguards to protect against this type of threat. By using
> its default security level (High) that comes pre-set, Internet Explorer 3.0
> will not download and run any "unsigned" control such as the one from the
> CCC.

I appreciate your insightful opinion on this matter, however...


Anyone can get a signature key without authenticating their
legitimacy. It's relatively easy to break into a system and take a
legitimate key. The default may be changed by the user for one use
and remain changed. Other flaws in Explorer may be used to turn
that feature on - then look out.

> The CCC demonstrated its malicious executable code running on Microsoft
> Internet Explorer 3.0, though they could just as easily have demonstrated a
> similar attack on any other browser. While it is unfortunate that hackers
> have created this harmful program, it does point out the need for users to
> act cautiously and responsibly on the Internet, just as they do in the
> physical world.

I appreciate your insightful opinion on this matter, however...


This is not accurate. The very nature of ActiveX makes it
impossible to operate it securely. Unlike other vendors who
make attempts at providing improved protection, ActiveX is a
hole waiting to be exploited.

> Malicious code can be written and disguised in many ways - within
> application macros, Java(tm) applets, ActiveX(tm) controls, Navigator
> plug-ins, Macintosh(R) applications and more. For that reason, with
> Internet Explorer 3.0, Microsoft has initiated efforts to protect users
> against these threats. Microsoft Authenticode(tm) in Internet Explorer 3.0
> is the only commercial technology in use today that identifies who published
> executable code you might download from the Internet, and verifies that it
> hasn't been altered since publication.

I appreciate your insightful opinion on this matter, however...


No disguise is needed for malicious ActiveX programs. Any ActiveX
program can potentially - either maliciously or by accident or even
as a result of configuration differences, cause a system crash, the
corruption or destruction of information and/or unlimited leakage
and it doesn't depend on some hard-to-find hole in an otherwise
secure application. It is a direct result of the methods used by
Microsoft, cannot be easily cured with any bug-fix.

> If users choose to change the default security level from High to Medium,
> they still have the opportunity to protect themselves from unsigned code.
> At a Medium setting, prior to downloading and running executable software on
> your computer, Microsoft Internet Explorer presents you with a dialog either
> displaying the publisher's certificate, or informing you that an "unsigned
> control" can be run on your machine. At that point, in either case, you are
> in control and can decide how to proceed.

I appreciate your insightful opinion on this matter, however...


Even if you choose wisely, ActiveX is a hole waiting to be exploited
and provides essentially no protection. As the folks at Microsoft

Die Datenschleuder
Nummer 58, März 1997
Re: MS on the CCC ActiveX virus
know well, impediments are easily and commonly removed - and the
use of the display box for popular applications is likely to result in
the question being turned off in favor of easy access.

> As you know, Microsoft is committed to giving users a rich computing


> experience while providing appropriate safeguards. Most useful and
> productive applications need a wide range of system services, and would be
> seriously limited in functionality without access to these services. This
> means that many Java applications will have to go "outside the sandbox" to
> provide users with rich functionality. By signing code, a developer can
> take advantage of these rich services while giving users the authentication
> and integrity safeguards they need. Other firms such as Sun and Netscape
> are following our lead, and have announced that they will also provide code
> signing for Java applets. Microsoft will also be providing an enhanced Java
> security model in the future, giving users and developers flexible levels of
> functionality and security.

I appreciate your insightful opinion on this matter, however...


"...while providing appropriate safeguards" is just not true.
Microsoft has a long history of providing systems with no
protection, and only recently introduced the first system with
even mild protection in it's NT product. Java provides a lot of
functionality within the "sandbox", but I am not an advocate of
Java either. The syle of computing being pushed out to consumers
is inherently risky and must be implemented with substantial controls
if it is to be used safely. But this is not Microsoft's goal.

There is nothing wrong with having signatures, but it is no


guarantee either.

> Microsoft takes the threat of malicious code very seriously. It is a


> problem that affects everyone in our industry. This issue is not tied to
> any specific vendor or group of people. All of us that use computers for
> work, education, or just plain fun need to be aware of potential risks and
> use the precautions that can insure we all get the most out of our
> computers. For this reason, we are committed to providing great safeguards
> against these types of threats in Internet Explorer. We expect hackers and
> virus writers to get increasingly sophisticated but we pledge we'll continue
> to keep you and us one step ahead of them.

I appreciate your insightful opinion on this matter, however... Microsoft


still has not addressed Work Macro viruses, PC viruses, Windows
viruses, etc. The claim that "Microsoft takes the threat of
malicious code very seriously" is ludicrous on its face. This is
the same company that has distributed viruses to its customers because
it didn't do adequate checking of its distributions for known viruses.
This is the company whose Windows installation deleted all of the
README files on a system when the user upgraded. This is the same
company that continues to ship software with inadequate protection.
All of this "perception management" doesn't change the fact, and it
shouldn't sway the readers of this letter either.

FC [Fred Cohen can be reached at tel:510-294-2087 fax:510-294-1225]

[NOTE: I usually truncate all but a salient excerpt from included message
text on which a responder is commenting. In this case, it would have
required too much editing effort to delete the interstitiated originals
and still convey the sense of the relevant references. Your cross-reading
effort would also have been much greater. PGN]

Die Datenschleuder
Nummer 58, März 1997
Chaosradio Ticker

Internet I daß das aus Gründen der Fairness anderer


Teilnehmer nicht möglich wäre, die ihre Rechnu
Neue Gefahren für Netscape Navigator ja auch zahlen müßten.
Anwender unter Windows 95 entstehen
schon durch falsche Datumsangaben.
Nachrichten eines Anwenders, der das Bogota
Datum seines PCs irrtümlich auf das Jahr
2096 gesetzt hatte, führten bei den Im letzten August entführten die Fuerzas Arma
Empfängern, die ihre Mail mit Navigator Revolucionarias de Colombia, kurz FARC, eine
lasen, zu spontanen Abstürzen. Ob auch Marxistisch-Leninistische Guerillagruppe, sechz
andere Jahreszahlen eine Bedrohung für die kolumbianische Soldaten. Die kolumbianische
Systemstabilität darstellen wird noch Regierung gab daraufhin bekannt, daß sie diese
erforscht. Mal bei den Verhandlungen aus Sicherheitsgrün
auf E-Mail umsteigen wollte. Die FARC
wiedersprach: sie hatte bereits 2 E-Mails von Le
Boston erhalten, die sich als die Regierung ausgegeben
ten.
Ein Programmierfehler im vor zwei Jahren
neu eingeführten Computersystem der
Massachusetts Registry of Motor Vehicles USA
führte jüngst dazu, daß manche
Führerscheininhaber ihren neuen Ausweis Ein Treffen der ISO/ANSI Standardisierungsgr
gleich mehrmals erhielten. Eine für die C++ Programmiersprache kam im
Verkehrsteilnehmerin erhielt an einem Tag November 96 nicht zum Arbeiten. Da ein
gleich sechs Kopien der kleinen Plastikkarte. mitgebrachter Text mit Word erstellt wurde und
Die Behörde versprach, der Fehler sei sog. „Concept“ Word Makro-Virus enthielt, infi
gefunden und behoben werden. Na dann, bis ten sich innerhalb kurzer Zeit alle anwesenden
zum nächsten Fehler... Laptops. Die Gruppe kam nicht zum Arbeiten, d
sie sich stundenlang bemühten, den Virus wied
loszuwerden.
Internet II
Die Gruppe fragte sich danach, wie normale
Ein Web-Versprechen besonderer Art konnte Anwender damit Leben könnten, wenn schon e
wieder einmal nicht eingehalten werden. Ein Bande von Programmierexperten nicht klar kom
Anbieter versprach, ein besonderer Microsoft hat das Problem von Makroviren imm
Pornoservice könnte problemlos mit einem noch nicht gelöst.
herunterzuladenden Programm genutzt
werden. Just Click Here. Das Programm aller-
dings offerierte keinerlei Triple-X Inhalte. Chaosradio Berlin
Stattdessen warf es das Modem an und wähl-
te unablässig Telefonnummern in Moldawien. Live: chaos@orb.de
AT&T, mit der Frage konfrontiert, ob es die Redaktion:
entstandenen Telefongebühren für die chaosradio@berlin.ccc.de
Programmopfer erlassen könnte, erwiderte, http://berlin.ccc.de/Chaosradio

Die Datenschleuder
Nummer 58, März 1997
Wirtschaftsspionage...

Nordamerika auf dem Weg zur Und die EU? Das Untersuchungsergebnis war
immerhin so deutlich, daß es durchsickerte
Weltregierung und nicht abgestritten werden konnte. Aber
eine öffentliche Aufklärung des Vorfalls hat
Nach Promis, Windows, Clipperchip und es nicht gegeben. Auch auf Nachfragen von
Stress für Phil Zimmermann hat sich die Angehörigen des europäischen Parlaments
nordamerikanische Regierung mal wieder gab es dazu bislang keine Auskunft.
was neues ausgedacht um doch zumindest
Zugriff auf *alle* Informationen zu haben.
Derzeit wird in verschiedenen Zügen ein
globaler Plan umgesetzt. Verschiedene
Crypto- & Sicherheitsprodukte & -verfahren
werden zunächst einmal von der „Liste der
Waffen“ des DOD (department of defense)
gestrichen und werden zu
genehmigungspflichtigen Angelegenheiten
unter der Obhut des
Wirtschaftsministeriums (department of
commerce).

Wer nun allerdings glaubt, dies sei ein Problematisch wird das jetzt ganz konkret in
Zeichen von Entspannung und Lockerung diesem unserem Lande: Kanther und das BMI
täuscht sich gewaltig: das Gegenteil ist der samt Kanzler nahe Personen wurden
Fall. Wie untenstehende Mail andeutet und unlängst als Opfer der Spionage - im
vor allem der Gesetzestext explizit benennt offiziellen Sprachgebrauch „zur Kooperation
wird eine *globale* „key escrow“ Struktur im Kampf gegen die organisierte
aufgebaut: Schlüssellängen-Beschränkung Kriminalität“ gewonnen. Ob wir es hier mit
bzw. Nachschlüsselhinterlegung im Klartext. blöden, gutgläubigen, machtgeilen oder gut-
geschmierten zu tun haben ist vom Ergebniss
Die dazugehörige Propaganda ist die Mär her unerheblich - siehe auch
von der „organisierten Kriminalität“ und die http://www.inka.de/~maya/krypto.html
Sicherheit gegenüber Gefährlichkeiten im
Allgemeinen. Worum es wirklich geht, ist mit Und so warten wir es besser nicht ab, bis uns
einem Wort zu benennen: das Kryptogesetz überrollt.
Wirtschaftsspionage. Mit welcher
Dreistigkeit dabei „befreundete“ europäische Andy Müller-Maguhn, andy@ccc.de
Staaten als „Partner“ gewonnen werden ist
angesichts der Geschichte mit den Gatt-
Verhandlungen eigentlich unglaublich: da
marschiert der CIA mal eben mit Kenntnis
der Hintertür durch eine Firewall, holt sich
die Verhandlungspositionen in Ruhe aus dem
Rechner und kann entsprechend verhandeln.

Die Datenschleuder
Nummer 58, März 1997
und Kryptoverbot
Date: Tue, 31 Dec 1996 19:05:05 -0800
From: Lucky Green <shamrock@netcom.com>
Subject: New US regs ban downloadable data-security software
The new US crypto export regulations control the export of most if not all data-
security software. Regardless if the software uses cryptography or not. Many
softwar e archives seem to be in violation of the new regs.
[Federal Register: December 30, 1996 (Volume 61, Number 251)]
[makes it illegal to export without a license:]
c.3. ``Software’’ designed or modified to protect against malicious computer
damage, e.g., viruses;
[For the full text, see
http://www .epic.or g/crypto/export_contr ols/interim_r egs_12_96.html]
This certainly controls virus checkers, firewalls, and other security software.
Ther e are substantial penalties involved in violating the EAR.
The US can assess daily penalties and block all exports of a company’s non-
violating products. Criminal penalties apply as well. „Export“, as defined in the
new regs, includes making software available on the web or via ftp.
If you have a virus checker or similar software available for ftp inside the US and
the software can be downloaded from outside the US, you are most likely in violati-
on of the new EAR which took effect on 12/30/1996.
If you do not wish to go to prison, you may want to consult an attorney immediately
and remove all data security software from your server .
IANAL —Lucky Green <mailto:shamrock@netcom.com

Termine 1997
13.-19.3.97
CeBIT Hannover
Der Stand des CCC ist in Halle 22, A16.
Am Dienstag, den 18.3. um 16 Uhr Treff auf dem Stand der Telekom in Halle 16, B35.
http://www.ccc.de/CeBIT97.html

8.8-10.8.97
HIP ‘97: Hacking in Progress in Holland
http://www.hip97.nl

8.8-10.8.97
HOPE II in New York,
http://www.2600.com

27.-29.12.97
14. Chaos Communication Congress
http://www.ccc.de

Die Datenschleuder
Nummer 58, März 1997
Chaos Communication Congress 96

Firewalls - Aufzucht und Pflege * denial of service _(System kann nicht mehr
benutzt werden)
Referenten: Jan Haul (pirx@ccc.de), Ron
Hendrik Fulda (hhf@ccc.de) * Informationsdiebstahl

Zu Beginn des sehr gut besuchten Workshops * Zerstörung von Systemen / Daten;
(selbst Fußbodenplätze waren bei den ca. 70 Datenmanipulation
Besuchern am Ende ausverkauft) wurden
erstmal die vier W-Fragen zu Firewalls * Kontrolle der Nutzung
gestellt:
* Flooding (Überschwemmen des Systems
Warum? Wie? Was hilft’s? Was hilft’s nicht ? mit gefakten Paketen, die
Systemleistungen zum Empfang
Diese sollten dann im Laufe des Workshops verbrauchen) .
geklärt werden. Ron stellte zunächst einmal
fest, daß es „Firewalls“ als solche nicht gibt, Wenn man nun den Einsatz einer Firewall für
daß zwar Geräte verkauft werden, auf denen sinnvoll hält, muß man sich fragen, was man
außen Firewall draufsteht, die sich aber in damit erreichen will, sein System „sicher“ zu
Aufbau und Funktion teilweise deutlich machen. Dafür ist es wichtig zu wissen, wie
voneinander unterscheiden. Was es gibt, sind
die Komunikation von einer Firewall gefiltert
Firewall-Prinzipien, die umgesetzt werden,
werden.
aber auch noch miteinander kombiniert
werden können.
Paketfilter:
Warum soll man nun als Betreiber eines
* Source Address
Netzes eine Firewall einsetzen? Eine Firewall
kontrolliert die Kommunikation zwischen
Rechnern des eigenen inneren Netzes mit der * Destination Address
Außenwelt, in der Regel dem Internet, jedoch
in etlichen Fällen z.B. auch innerhalb des * Service (Port)
inneren Netzes, z.B. um Daten innerhalb
einzelner Abteilungen zu schützen. * Content (Inhalt; theoretisch)

Angriffe, die möglicherweise auf ein Netz * Masquerrading (Beim Masquerading wird
ausgeübt werden können, sind: die Real-Adresse durch die eigene Adresse
ersetzt und verändert die Portadresse. Die
* spoofing = Vortäuschen/“Faken“ von IP- Verbindung wird in einer Tabelle mitproto-
Adressen und Source-Route-Hacking sind kolliert, damit die Rückübersetzung der
heute meist nur noch zum „Tarnen“ bei veränderten Adressen möglich ist. Für FTP
Hacking- und Floodingaktionen geeignet. in der Regel nicht möglich.)
Das Problemdabei ist: Antworten kommen
nicht zurück, die Methode ist also nur für Möglich sind auch Firewalls, die auf dem
„Dialoge“ geeignet, wo man weiß, was der Application-Layer aufbauen, z.B. durch
Gegenüber antwortet WWW-Proxy, FTP-Proxy, Telnet Proxy, Socks.

Die Datenschleuder
Nummer 58, März 1997
Firewalls, ...

Es muß immer abgewägt werden, wie wichtig Nichtfunktionieren ist also sinnvoll; NFS,
die Sicherheit ist und was sie an Aufwand sehr unsichere Architektur, ergo
und Kosten mit sich bringt. Man kann mehre- Nichtfunktion gut; oder Real-Audio, was die
re Firewalls hintereinanderschalten, auch in Netzlast hochtreibt, also auch nicht
der Praxis werden tatsächlich bis zu 5 erwünscht ist) aber nicht geeignet.
Firewalls hintereinandergeschaltet, die die
Pakete mit unterschiedlicher Hardware und Spoofing verbunden mit Flooding läßt sich
nach unterschiedlichen Kriterien filtern. von außen nicht abwehren. Es ist nur
möglich, ein Netz von innen her abzusichern,
Nach Adressen kann in beiden Richtungen indem man (z.B. als Provider) nicht Adressen
von einer Firewall sehr einfach gefiltert des inneren Netzes nach außen senden läßt.
werden, Service(Dienste)-Filterung ist auch Die Firewall hat hier aber immer noch die
gut möglich (z.B. wer darf Send-Mail Schutzfunktion, daß im Falle des Falles nur
betreiben, wohin darf Sendmail nicht gehen). die Firewall lahmgelegt wird, eine interne
Die Kombination von Adreß- und Dienst- Netz-Kommunikation aber noch möglich ist.
Filtern ist schon sehr feingliedrig.
Um eine größtmögliche Sicherheit zu
Für den Aufbau von Firewalls lassen sich ver- erreichen, sollte der Firewall-Rechner am ein-
schiedene Konzepte finden, von denen die fachsten nach der Devise „was nicht erlaubt
verbreitetsten hier vorgestellt werden: ist, ist verboten“ verwaltet werden. So hat
man die Sicherheit, daß nur die Prozesse aus-
1. Konzept: geführt werden können, die benötigt werden
und auch vorgesehen sind.
Einsatz von Filtern nach verschiedenen
Kategorien, z.B.: nicht mehr als bestimmte Gegen einen Teil von unerwünschten
Anzahl von Paketen pro Zeit (erhöhter Zugriffen aus dem inneren Netz nach außen
Zugriff), Einschränkungen beim Zeitpunkt kann man sich auch durch Firewall-Proxies
des Verbindungsaufbaus (nicht am schützen. Während normalerweise ein
Wochenende). Die benötigte Hardware ist Mailpaket in den Schichten zwei oder drei
nicht aufwendig und auch die nötige des 7-Schichtmodells (s. auch Artikel TCP/IP)
Programmierung läßt sich einfach erledigen. im Router vom inneren in das äußere Netz
gelangt, kann man dies unterbinden und über
2. Konzept: den Application-Layer (Schichten vier bis sie-
ben) mit wenigen Code-Zeilen einen
Ein Netzwerkprotokoll verwenden, das über wirkungsvollen Filter aufbauen, der nicht nur
das Internet nicht geroutet wird, z.B. Class-A- nach den äußeren Paket-Kennungen
Netzwerk (Netzwerkadresse ist nicht erreich- (Absender, Empfänger, verwendeter Dienste-
bar). Die Adresse wird nach außen durch die Port), sondern auch nach Inhalt filtern kann
Adresse des Firewallrechners, der zwischen (keine Bilder, kein Real-Audio, kein Java, aus-
Netz und Router geschaltet wird, ersetzt. führbare Dateien werden vor dem
Dafür muß sich der Firewall-Rechner die Weitersenden auf Viren untersucht...). Ein
Realadressen zu jeder Verbindung merken, Proxy hat neben den möglichen
für nicht-verbindungsorientierte Protokolle Filterfunktionen auch noch den Vorteil, daß
(z.B. UDP, verwendet durch Nameserver, oft verwendete Anfragen

Die Datenschleuder
Nummer 58, März 1997
Chaos Communication Congress 96

zwischengespeichert werden und damit nicht sicherlich noch interessantes Wissen


über das Netz geholt werden müssen. Gerade vermittelt werden konnte.
im HTTP-Bereich kann so viel unnötige Über-
tragung gespart werden. * Security in Open Systems (ca. 280 Seiten,
Postscript),
Firewall-Socks arbeiten nach einem ähnlichen ftp://ftp.nist.gov/pub/csrc/nistpubs/800-
Prinzip wie das Masquerading: Pakete 8.ps
werden mit der Socks-Adresse
weiterverschickt, dies aber unter * Firewalls (ca. 80 Seiten, Postscript),
Unterstützung der Clients. Hierbei müssen ftp://ftp.nist.gov/pub/csrc/nistpubs/800-
die Clients „socksified“ sein, d.h. die 10.ps
Applications müssen um Socks-Funktionalität
erweitert sein. Nicht für alle Clients gibt es Zusammenfassung von
Socks-Versionen. Bei OS/2 Warp 4 wird Derk Marko Reckel, Derk.Reckel@link-goe.de
inzwischen die Socks-Unterstützung auf
Betriebssystem-Ebene umgesetzt, so daß die
Clients es nicht mehr unterstützen müssen. Keep it simple, keep it fast: IPv6
Will man nun aber nicht ein Netz gegen die Referent: Tim Pritlove, tim@ccc.de
Umgebung abschließen, sondern sichere
Netze z.B. über Internet miteinander „Wenn irgendwas komplizierter ist, als ein
verbinden, kommt man mit Firewalls nicht Toastbrot, wird es nicht benutzt.“
weiter - hier hilft ein weiteres Protokoll: das
PPTP, das Point to Point Tunneling Protocol, Wir schreiben das Jahr 1997. Das Routing im
mit dem für die Übertragungsstrecke über Internet basiert auf IP Version 4, die
das Internet die Datenpakete noch einmal eigentlich Version 1 ist. Jeder Rechner (genau-
er: jede Schnittstelle) benötigt eine eindeutige
eingepackt werden, diesmal verschlüsselt, Adresse. Diese Adressen werden aus 4 Bytes
und am anderen Ende der Leitung werden sie (=32 bit) zusammengesetzt. Es bestehen ein
einfach vom Header befreit und entschlüsselt ganze Reihe von Problemen: Die maximal
und erhalten so ihre ursprüngliche Form wie- verfügbaren Adressen reichen demnächst
der. nicht mehr aus, wenn Taschenrechner, Toaster
und Fernseher (sowieso) meinen, über IP mit-
Abschließend darf man den Referenten / einander verkehren zu müssen.
Moderatoren für den gelungenen Workshop
danken, da teils mit Beispielen aus dem Darüberhinaus zwickt und zwackt es an noch
menschlichen Leben eine sehr humorige mehr Stellen, und das im Gegensatz zum zu
Stimmung erreicht wurde und trotz der kleinen Adressraum schon jetzt ganz konkret:
großen Menge an Teilnehmern mit den unter- Die 32 Bit Adressierung reicht in großen
schiedlichsten Wissensständen (vom Netzen nicht mehr, die erforderlichen
Anfänger bis zum Vollprofi war wirklich alles Subnetze zu verwalten. Mit der IP V.4
vertreten) die Gestaltung von Anfang bis Adressierung verknüpft ist die Existenz
Ende nicht langweilig wurde und jedem unzähliger verschiedener Routerprotokolle.

Die Datenschleuder
Nummer 58, März 1997
..., Firewalls, IPv6, ...

Daher rührt auch die Nichtbenutzung vieler Paket hier soll über meinen Provider
Features, die IP V.4 durchaus anbietet. Ein laufen’
Router, der das machen würde, wäre sehr
langsam und nicht kompatibel zu den * Authentication Header - Authentifizierung
anderen. Das an sich ist ein Problem, aller nachfolgenden Header und der
schlimmer ist aber noch, daß praktisch jeder Payload (Signatur)
Router auf der Welt Routingtabellen
verwalten muß, die seit langer Zeit Neue Adressen
exonentiell wachsen und inzwischen kaum
mehr zu verarbeiten sind. Etwas neues muß Wie gesagt, jetzt hat eine Adresse 32 Bit. Bei
her und das heißt dann IP V.6. Viele Gruppen V.6 werden es 128. Das ist doppelt so viel, wie
haben an etwas neuem herumgebastelt, IP V.6 mathematisch betrachtet nötig wäre. Aber wir
stammt aus der Feder der IP Next Generation sind ja lernfähig und planen gleich etwas
Gruppe. (***Buchtip) mehr ein. (Wobei die Adressverlängerung
den Adressraum hier exponentiell erweitert
Und das ist wohl etwas ganz tolles. und ‘etwas mehr’ stark untertrieben ist.)

Neuer Aufbau der IP-Pakete an sich Die Adressen sagen dann etwas über den
Standort des Empfängers aus, früher war es
Der Grundsätzliche Aufbau eines IP Paketes halt einfach irgendeine Nummer, deren
ist: Zuordnung zu realen Maschinen über
ausufernde Tabellen lief. Die Adresse enthält
Header + Payload dann 5 Informationen: Registry, Provider,
Subscriber, Subnet, Interface.
Payload ist sind die eigentlichen Daten, die
transportiert werden sollen. Die Länge des * Die Registry ist eine von mehreren
Headers kann bei V.4 varieren, was das Adressverteilungsautoritäten: IANA, RIPE,
Handling natürlich erschwert. INTERNIC, usw.

In IP V.6 ist ein Header konstant lang, und im * Der Provider ist die Organisation, die
Vergleich zu V.4 einfach aufgebaut. 90 einem die Leitung gibt.
Prozent aller Pakete werden mit einem
einfachen Header auskommen. Für besondere * Der Subscriber ist der Kunde.
Anwendungen Extension Headers, die dem
Basisheader (im Sinne einer verketteten Liste * Subnet, falls der Kunde so groß ist, daß er
folgen). das braucht. Sollte sich herausstellen, daß
eine Firma nicht einfach aus Subnets
Base Header + Extension Header ( + besteht, sondern auch Subsubnets und so
Extension Header) + Payload weiter, sind immer noch genug Bits frei,
das zu integrieren.
Extension Header sind z.B:
* Interface, das Endgerät. Neu ist hier noch,
* Sourcerouteheader - Zum Festlegen der daß ein Interface, also die z.B. Netzkarte in
Route, die ein Paket nehmen soll. Z.B. ‘Das einem Rechner beliebig viele IP Adresse

Die Datenschleuder
Nummer 58, März 1997
Chaos Communication Congress 96

haben kann, bisher ging das nicht so eingebauten Identifikationsnummer der


einfach. Netzwerkkarten.

Die Notation der Adressen ist Hexadezimal 3. Site-Local Adresses


mit Doppelpunkten als 2 Byte Trennung. Es Entsprechen den 10er und 23er Netzen für
treten immer an einer Stelle in der Adresse abgeschlossene Intranetz. Die Adressen
eine größere Anzahl Nullen auf, die durch sind so ausgelegt, daß sie einfach auf
zwei aufeinanderfolgende Doppelpunkte Provider Adressen umgestellt werden kön-
repräsentiert und abgekürzt werden. Zum nen.
Beispiel:
4. Multicast Adresses
FEDC:B198::7654:3210 Siehe unten bei Multicast. Für Router,
Timeserver und Co.
Es fällt ins Auge, daß die letzten 32 Bit für die
abwärtskompabilität zu V.4 bestimmt sind. IPv6 führt völlig neue Routing-Konzept ein
Die Adressen sind großräumig für bestimmte und macht mit alten Schluß:
Aufgaben verteilt. Je 1/8 aller Verfügbaren
Adressen fällt auf: Sourcerouting
Das gibt es im Prinzip auch schon bei V.4, ist
1. Geographic Basis Unicast aber aufgrund der vielen
Wir brauchen es zwar noch nicht, aber wer zusammengestrickten Routingprotokolle
weiß - Für jeden Quadratmeter der nicht durchführbar. Es gibt hier die
Oberfläche Planeten Terra sind schon mal Möglichkeit festzulegen, welchen Weg ein IP-
ein paar IP-Adressen reserviert. Paket nehmen soll, und den Weg dadurch
z.B. auf einen bestimmten Provider
2. Alte V.4 Adressen festzulegen.
Sie fangen mit 96 Nullen an und haben
dann die die alte Form: Unicast
Das bisher auch übliche Routing. Es wird ein
::1234:3210 Empfänger angegeben und nur der nimmt
auch das Paket in Empfang
Je 1/256 des gesamten Adreßraums verteilen
sich auf: Multicast
Mehrere Empfänger sind möglich, z.B.
1. Provider based Unicast Adresses bestimmte Dienstanbieter in definierten
Netzabschnitten. Diese Möglichkeit bietet
2. Link-Local Adresses bahnbrechende neue Möglichkeiten, im Netz
Weltweit festgelegte einmalige Adressen zu agieren. Z.B das automatische
zur automatischen Konfiguration von konfiguieren von Netzanbindungen. Man
Ethernetadressen bestimmt. Die den nehme einen Computer, stecke ihn an das
Rechnern vom Lokalen Router Ethernet der Zahnarztpraxis. Der Computer
zugewiesene Adresse setzt sich zusammen schickt ein einziges IP-Paket ins Netz, mit
aus eben dieser Link-Local Adress und der dem Empfänger ‘Irgendein Router auf meiner
weltweit einmaligen und hardwaremäßig Leitung’ und der Payload ‘Arrg, wer bin ich,

Die Datenschleuder
Nummer 58, März 1997
..., IPv6, ...

gib mir eine Adresse, gib meinem Leben ein Encryption


Sinn.’ Nun sind alle Router im LAN Es existieren definierte Methoden für die
verpflichtet sich des hilflosen Newbies Implementierung beliebiger
anzunehmen und ihm zu sagen, wer er sein Verschlüsselungsverfahren für die Payload.
soll. (Ebenso wie für die Autentifizierung
derselben, aber das hatten wir schon oben.)
Das Einstellen von TCP/IP Adressen, DHCP Und sehr wichtig, es wird Methoden geben,
und andere Workarounds haben sich erledigt. Schlüssel auf IP Ebene auszutauschen. Es ist
Und es geht weiter. Man nehme einen keine bestimmte Methode ausschließlich fest-
Laptop, verlasse seinen Heimatarbeitsplatz gelegt, aber eine Methode, wie die dieses
Arbeitsplatz in Klein-Ellershausen in Methode festzulegen ist. Bisher ist die Rede
Nordrhein-Westfalen und begebe sich nach von Photuris, einen Verfahren zum Austausch
Timbuktu. Und jetzt? Bei V.4 heißt das: an ein symmetrischer Schlüssel.
Netz in Timbuktu
anschließen und sich mit
einer neuen IP Nummer und
allen damit verbundenen
Unannehmlichkeiten
abfinden.

In Verbindung mit der


neuen 128 bit Adressierung
geht das so: Ein IP-Paket ins
Netz schicken, Empfänger
‘Mein Heimat-Router’,
Botschaft ‘Ähh, an wen soll
ich mich denn jetzt wenden,
damit ich mein Heimatnetz
erreiche? Und übigens: um zu mir zu Neues Fragmenthandling
kommen guck Dir mal an, welchen Weg das Überschreitet die größe eines IP-Paketes die
Paket genommen hat’. Aufgrund von Fähigkeiten eines Netzabschnittes, so kann es
Multicast fühlen sich jetzt alle erreichbaren in Fragmente zerlegt werden. Das war bisher
Router angesprochen, ohne das der Laptop die Aufgabe der Router. Nun muß sich der
sie kennen muß, und leiten dieses Paket in Absender selber darum kümmern. Das ist für
die Heimat weiter. die Performance der Router wichtig.

Anycast Encapsulation
Gib mir irgendeinen aus einer definierten You’ll be assimilated. Resistance ist futile.
Gruppe von Empfängern, aber nur einen. Z.B. Ade IPX, Appletalk und so weiter. IP V.6 sieht
wenn man einen Router haben will, die vor diese Protokolle zu kapseln, so daß alte
Zugang zu einem bestimmten Netzabschnitt Applikationen und Betriebsysteme so weiter
hat. machen können wie bisher und neue sich nur
noch um IP V.6 kümmern müssen.
Weitere Features von IPv6

Die Datenschleuder
Nummer 58, März 1997
Chaos Communication Congress 96

Realtime Dataflow Tatsächlich liegt der Anteil der


Die Massenanwendungen der Zukunft, Gesamteinnahmen der Sprachtelefonie im
Telefonie und Video, brauchen angemessene Telekommunikationsbereich bei 85%.
Bandbreite. Hierzu können den
entsprechenden Paketen variable Prioritäten Internet-Telefonie
Internet-Telefonie ist ein Begriff für zwei
eingeräumt werden. Beim Multicasting kann
Dinge. Einerseits ist damit das Telefonieren
die Priorität der Anzahl der Adressen, die auf mittels PC und Internetverbindung gemeint.
Empfang gehen, angepaßt werden. So können zwei oder mehr Benutzer, die sich
Multicastet einer ins Netz und keiner wills lokal bei ihren Internet-Providern eingewählt
haben, bleibt die Priorität niedrig. haben, über das Netz telefonieren. Dazu ist
lediglich ein Mikrofon und eine Soundkarte
Zusammenfassung von nötig. Mit einer zusätzlichen Kamera (z.B.
Krischan Jodies, Krischan.Jodies@link-goe.de QuickCam) ist ohne großen Aufwand eine
Videokonferenz möglich. Andererseits steht
Internet-Telefonie für den Versuch der
Telefon und Internet Implementation einer paketorientierten
Sprachverbindung. Es soll das
Referent: Olaf Strawe Zusammenwachsen der verschiedenen
Kommunikationsnetze ermöglicht werden,
Einleitung die aufgrund historischer Gründe eigentlich
getrennt sind.
Das Internet ist wohl das Modewort der 90er-
Funktionsweise
Jahre geworden. Neben einschlägigen
Diensten wie EMail und WWW bietet das Die Funktionsweise des Internet-
Netz natürlich sehr viel mehr Möglichkeiten. Telefonierens entspricht technisch dem
Relativ neu ist allerdings die Möglichkeit der normalen Telefonieren (an digitalen
Internet-Telefonie. Olaf Strawe - Vermittlungsstellen). Die Sprache wird nach
Mitherausgeber der „TeleTalk“ - informierte dem Codex-Prinzip digitalisiert (bei ISDN
das diskussionsfreudige Publikum über das direkt im Telefon - bei Analogverbindungen
in der entsprechenden
Telefonieren im Netz der Netze, und darüber, Ortsvermittlungsstelle). Die Digitaldaten wer-
welche Funktionen des Telefonnetzes das den dann zum Zielort übertragen und wieder
Internet übernehmen kann. Jim Clark in analoge Signale umgesetzt. Hat der
Benutzer noch kein direktes Internet-Telefon
(Chairman der Netscape Co.) lieferte seine
(als Zusatz für seinen PC), so übernimmt die
eigene Prognose zu diesem Thema:
Soundkarte die Umsetzung der
Sprachsignale.
„Die Internet-Telefonie wird erheblich
größere Veränderungen für den Erfunden wurde die Internet-Telefonie von
Telekommunikationsmarkt mit sich bringen der Firma Vocaltec. Der erste Client war das
als die Einführung der Tonwahl oder Programm IPhone, das zuerst noch auf dem
Digitalisierung des Telefonnetzes.“ IRC-Dienst aufsetzte. Mittlerweile laufen alle

Die Datenschleuder
Nummer 58, März 1997
..., Telefon und Internet, ...

Clients über den firmeneigenen Server oder Internet wäre also ein leistungsfähigerer
über PPP (Point-To-Point-Protokoll). Die Betrieb des Internet durchaus denkbar.
Standardisierung eines sinnvollen Protokolls
erfolgte durch die ITU, die H.323 zum gelten- Angenommen, der Datendurchsatz wäre
den Standard für Realzeitübertragung auf erträglich, so bräuchte man lediglich den PC
Digitalstrecken erklärte (H.324 ist das entsprechend auszurüsten. Für $49 sind
entsprechende analoge Protokoll, da keine bereits komplette Endgeräte in Telefonform
konstante Bitrate wie z.B. bei ISDN zum Anschluß an die Soundkarte erhältlich,
vorhanden ist). mit denen man direkt am Telefon wählen
kann. Im kommenden Jahr will auch die
Realität und Vision Firma Creative Labs ihre Soundkarten mit
einem Chip ausliefern, der den Anschluß
Das weltweite Telefonnetz hat sich innerhalb eines handelsüblichen Analog-Telefons
von 120 Jahren entwickelt. Internet-Telefonie erlaubt.
wurde erstmal vor zwei Jahren (Ende 1994)
vorgestellt und hat besonders in diesem Jahr Desweiteren gibt es bereits einen ISP (Internet
eine rasante Entwicklung erfahren. Service Provider), der ein Gateway in das
Mittlerweile gibt es 12-15 Anbieter von normale Telefonnetz ermöglicht. Zu weitaus
Clients. niedrigeren Gebühren kann so der Internet-
Benutzer mit beliebigen Nicht-Internet-
Benutzern telefonieren. Das Prinzip ähnelt
Die erste Frage eines erfahrenen Internet-
dem des Callback: der Provider wählt eine
Surfers ist natürlich die Frage nach dem
landesinterne Rufnummer an und setzt die
Datendurchsatz. Momentan ist dies noch
Signale zwischen beiden Netzen um. Im
eines der größten Probleme im Internet.
Idealfall könnte man in Deutschland mit
Allerdings kann man optimistisch in die
einer Rufnummer in Amerika bereits zu $0.10
Zukunft sehen, denn technisch gesehen ist pro Minute telefonieren und sogar die
die Bandbreite fast vorhanden. „Fast“ Service-Rufnummern 1-800 kostenfrei
deshalb, weil z.B. im Transatlantikbereich nur abrufen (entsprechen unseren 0130er-
20% der Kapazitäten genutzt werden. Die Nummern).
anderen 80% der Glasfaserkabel sind zwar
physikalisch vorhanden, aber nicht Legalität
angeschlossen. Der Betrieb von Internet- Da mit der Hilfe dieser Technik natürlich
Leitungen ist relativ kostspielig und wird von internationale Gespräche zum Ortstarif
den großen Telefonfirmen nicht mehr als möglich sind, stellt sich die Frage nach der
nötig durchgeführt. Das Transatlantikkabel Legalität. Ein Zuhörer fragte z.B., ob man als
als solches hat sich bereits rentiert. Anwender nicht die Leitungskapazitätender
(Rechenbeispiel: AT&T hat eine Leitung von Telekom „schmarotzen“ würde. Dem ist nicht
Tokyo nach London legen lassen und bräuch- so, denn prinzipiell ist eine Verbindung
te nur 37 Stunden volle Auslastung, um die immer gleich teuer, ob über dieselbe
Kosten voll wieder einzuspielen. Die Kosten Vermittlungsstelle oder quer durch
von 1 Mrd. DM für das Transatlantikkabel Deutschland. Die Kosten der Verbindung
sind bereits längst wieder eingenommen.) Mit zwischen den Ortsvermittlungsstellen kann
einer veränderten Organisationsstruktur im man fast vernachlässigen. Da der Benutzer

Die Datenschleuder
Nummer 58, März 1997
Chaos Communication Congress 96

für den Zugang zum Telekom-Netz zahlt, ist relativ niedrig. Allerdings wird uns von
dies vom moralischen Standpunkt her völlig den Telefongesellschaften die
legitim. Notwendigkeit des sekundenschnellen
Verbindungsaufbaus und glasklarer
In Amerika gibt es allerdings noch rechtliche Verbindungen als zu wichtig verkauft. Bei
Streitigkeiten. Der Verband der günstigeren Tarifen nimmt der Benutzer
amerikanischen Telefongesellschaften (ACTA auch gerne einmal langsamere oder
- America’s Carriers Telecommunications rauschende Verbindungen in Kauf. Es wird
Association) wandte sich an die FCC mit in Zukunft vermutlich mindestens zwei
zwei Forderungen: Netze geben: das überteuerte Telekomnetz
(für Firmen) und günstige qualitativ
1. Internet-Telefonie-Software soll verboten niedrigere Netze (für Privatpersonen) -
werden Stichwort „Aldi-Telefon“.

2. Softwareanbieter dieser Clients sollen als Also: Es gibt derzeit bereits mehrere anwend-
Telefongesellschaften (mit allen Pflichten) bare Clients für Internet-Telefonie. PGPPhone
betrachtet werden erlaubt einem sogar eine kodierte
Sprachverbindung. Im nächsten Monat soll es
Noch ist die Verwendung allerdings möglich sogar eine Version für Microsoft Windows
und legal. In absehbarer Zukunft wird aber geben. Der Netscape Navigator bietet
jeder ISP und jeder Benutzer eine Flat-Rate ebenfalls seit zwei Tagen mit der Version 4.0
von $3 bis $6 pro Monat zahlen müssen. einen Client an.

Status Quo Laut Olaf Strawe wird sich die Internet-


Telefonie auf Dauer durchsetzen. Jeder sollte
* Der Internet-Telefonie-Markt wächst es nutzen oder zumindest ausprobieren, um
stark.1995 nutzten 500.000 Anwender diese neue und günstige
entsprechende Clients. Heute sind es Kommunikationsform zu unterstützen.
bereits über 2 Mio.
Zusammenfassung von Christoph Haas,
* Mit der Einführung von Gateways zum haas@informatik.uni-hamburg.de
Telefonnetz wird sich dieser Dienst (laut
IDC-Prognose) auf 60 Mio. Nutzer bis zum
Jahr 2000 erweitern. Furcht und Abneigung in Ungarn
* Kritisch betrachtet ist der NC (network von Tamas Bodoky, jr. <[1]>
computer) kein abgespeckter PC, sondern
ein überdimensioniertes Telefon. Jeder NC (Übersetzung aus dem Englischen von Wau
verfügt über Mikrofon und Lautsprecher, Holland [2])
läßt sich aber aufgrund der fehlenden
Festplatte nicht als PC nutzen. Für den Außenstehenden mag es so
aussehen, als ob es gar keine Datenkonflikte
* Die QOS (quality of service) ist momentan in Ungarn gibt. Es gibt keine blutigen,
aufgrund der Engpässe im Internet noch gewalttätigen Kriege und keine echten

Die Datenschleuder
Nummer 58, März 1997
..., Telefon und Internet, Ungarn, ...

Schlachtfelder abgesehen von den Beim langsamen Wegrosten des eisernen


„Multiplayer Action Games“, den Spielen mit Vorhanges Ende der 80er besass Ungarn
vielen Teilnehmern und nicht enden schon einen Internet-Zugang als
wollenden Netzwerk-Kämpfen der Fans von Experimentierobjekt. Genau genommen spiel-
Quake, Doom und Duke Nukem. te das Netz keine nennenswerte Rolle bei den
politischen Veränderungen. Es war eine eng
Es gibt in Ungarn keine institutionalisierte begrenzte Spielwiese für Experten, die zu
amtliche Zensur. Während deutsche sehr mit dem Diebstahl westlicher
Behörden in Bezug auf das Internet konserva- Technologie beschäftigt waren, um an opposi-
tionellen Bewegungen teilnehmen zu können.
tiver sind als ungarische, die diesem bislang
Immerhin hielt der Staat das Netz für gefähr-
wenig Beachtung schenkten.
lich: ich kenne ein paar Systemverwalter, die
vom Geheimdienst um Mitarbeit gebeten
Ungarn ist im Bereich der
wurden.
Informationstechnologie zwar kein „Dritte-
Welt-Land“. Aber beim näheren Hinsehen Das Internet bot keine Möglichkeit,
beträgt die gesamte internationale Bandbreite unkontrolliert Informationen auszutauschen,
Ungarns beim Internet-Zugang weniger als wie es heute in China oder ex-Yugoslawien
10 Megabit pro Sekunde. Die teilen sich zwei geschieht. 1988-89 waren sogar Fotokopierer
Dutzend nationale und regionale Internet und Faxgeräte selten und wurden streng
Service Provider. Etliche zehntausende User beaufsichtigt.
im Bereich von Wissenschaft und Forschung
nutzen davon weniger als ein Zehntel. Die Opposition benutzte während der letzten
zehn Jahre des Kommunismus publizistische
Zwischen Budapest und den anderen grossen Steinzeit-Verfahren —- sehr zum Schaden
Städten gibt es gerade einmal 64 kbps ihrer Visionen. In ländlichen Sommerhäusern
Kupferdrähte. Das gesamte ungarische versteckten kognitive Dissidenten ihre
Glasfasernetz besteht aus einem kurzen FDDI Steinzeit-Druckmaschinen.
Ring zwischen den vier Universitäten in
Budapest. Auch diese Druckerpressen und zahllose
antikommunistische Zeitschriften spielten nur
die zweite Geige bei der Wende: die
Statistiken besagen, dass auf dem Inlands-
liberalisierten Reiseprozeduren 1988 in
Infohighway zehnmal mehr Verkehr herrscht
Verbindung mit den Werbespots im
als im Auslandsverkehr. Damit liegt Ungarn
deutschen Sat-TV schaufelten das Grab für
irgendwo zwischen den den Kommunismus in Ungarn.
Informationsmächtigen und den
informationellen Habenichtsen —- eine Via Sat-Schüsseln und Kabel-TV-Netze sahen
aufsteigende Mittelklasse in der Region. die Leute die Unterschiede im
Lebensstandard. Damals gab es mehrstündige
Das Fehlen grösserer Konflikte meint aber Warteschlangen an den Grenzübergängen für
nicht Frieden: es gibt in Ungarn mehrere klei- alle, die übers Wochenende nach Österreich
nere Konflikte, die eher typisch sind für den fuhren. Ungarn fuhren nach Wien, um
ehemaligen Ostblock. Hier ein paar Beispiele. Kühlschränke, Videorekorder und CD-Player

Die Datenschleuder
Nummer 58, März 1997
Chaos Communication Congress 96

zu kaufen, wie sie in den kommerziellen teuer. Für den häuslichen Gebrauch wurden
Satelliten- und Kabelprogrammen gezeigt Rechner von Commodore und Sinclair
wurden. Diese Technik hatte sich gerade in ähnlich populär wie DEC und IBM bei
Ungarn verbreitet. Mainframes, wo von Amts wegen die Kräfte
für den High-Tech-Diebstahl im Ostblock
Die Leute wollten eine Konsumgesellschaft koordiniert wurden. Ungarn war spezialisiert
und glaubten daran, sie würden all das auf PDP und VAX von DEC und baute davon
kaufen können, wenn sie den Kommunismus auch Clones. Andere grössere Staatsbetriebe
abschaffen. Später waren sie enttäuscht, dass der CSSR, DDR oder der Sowjet-Union
kein West-Ungarn erschien und die Kosten bauten IBM-Clones mit geklauten
des Face-Lifting übernehmen wollte. Betriebssystemen und Software. Diese
Diebstähle wurden nicht als kriminell
Zensur geschah
indirekt und war so
„soft“ wie das Regime.
Privatpersonen
konnten
Schreibmaschinen oder
PCs kaufen, aber in
staatlichen
Einrichtungen waren
an staatlichen
Feiertagen die
Schreibmaschinen weg-
geschlossen und die
Einschaltknöpfe von
Fotokopierern lagen im
Tresor.

Für Kopien brauchtest


Du einen Antrag, den
Du Deinem Boss zur
Genehmigung vorlegen
musstest. Bei Computern waren strikte
Kontrollen unnötig, weil dieser Job bereits betrachtet, weil sie vom Staat begangen
von den USA gemacht wurde. Sie hatten mit wurden. In der Folge führte das im Ostblock
der COCOM-Liste den Verkauf von zu einem allgemeinen „Verfall der Moral“ in
Mikroelektronik und High-Tech an den Bezug auf Technologie und Software. Das zei-
Ostblock verboten. gen die jetzigen Fälle erheblicher Copyright-
Verletzungen.
Wegen COCOM kauften Ungarn Computer
im Westen, zerlegten sie und schmuggelten Nach den politischen Veränderungen kam es
sie Stück für Stück über die Grenze. So zum ersten Datenkonflikt zwischen Ost und
wurden diese Produkte verfügbar, aber sehr West, als eine einzelne Kopie eines

Die Datenschleuder
Nummer 58, März 1997
..., noch mehr Ungarn, ...

Programmes Ungarn erreichte. Es wurde Das Internet begann auch in Ungarn als ein
kopiert und verteilt durch informelle Zirkel, staatliches Informationsprojekt zur
die intensive Verbindungen durch Clubs und Infrastrukturentwicklung. Ungarische
Treffen hatten; später auch durch Modems Universitäten und Forschungseinrichtungen
und Telefon. Der Gebrauch von illegaler nahmen seit 1991 am System teil. Das meint,
Software betrifft auch staatliche es herrschte eng begrenzter Zugang in
Einrichtungen und Büros. Ungarn vor dem Erscheinen des WWW.

Der Witz machte die Runde, daß in Ungarn Etliche Mailing-Listen, Gopher-Menus und
eine einzige Kopie von Microsoft Word Usenet-Newsgroups brachten auf einer non-
existierte, und der Lizenznehmer war profit-Basis Inhalte ins Netz. Mehrere
Ungarn. 1995 warf die Business Software ungarischsprachige Foren wurden in den
Alliance (BSA) ihren ersten Schatten über das USA von HIX, dem Hollosi Information
Land und betrieb eine groß angelegte Exchange, gestartet. Er wird betrieben von
Kampagne für legale Software. Seither haben Jozsef Hollosi, einem ungarischen Experten,
wir gigantische Reklametafeln an den der in den USA arbeitet. Ich selbst, damals
Straßen, auf denen Leute, die illegale Student, begann eine Mailingliste für die
Software nutzen, in Handschellen gezeigt Leser von „Magyar Narancx“, dem besten
werden. Mit harten Devisen sponsort die BSA Wochenmagazin Ungarns
die ungarische Polizei. Und die nutzt ebenso (http://www.net.hu/narancs/) und bald
wie fast jede andere staatliche Behörde illega- fand sich bei narancs-l - bis heute - eine der
le Software. Im Gegenzug ist die Polizei der populären virtuellen Gemeinschaften. Es war
willige Büttel, um Räume von Fido-Sysops zu ein frühes Experiment des interaktiven
durchsuchen; gewidmet dem Fetisch legaler Journalismus. Denn die Teilhaber der Liste
Software. Die BSA betreibt eine anonyme konnten direkt auf meine Beiträge antworten,
Hotline, wo Anrufer nicht lizensierte Themen vorschlagen oder selbst Texte verfas-
Software melden können. So wird die Polizei sen. Die ungarisch-sprachige Liste ist ein
auf die Software-Schwarzmärkte geführt. Die Platz innigen Soziallebens mit durchaus inter-
ersten Aktionen der BSA sorgten für Panik nationalen Verbindungen: als der Skandal, als
beim öffentlichen ungarischen Netzwerk „Fishman Affidavit“ bekannt, durchs
FidoNet BBS, das Teil des weltweiten FidoNet
ist. Im Ergebnis wurde die Verbreitung Netz fuhr, spiegelten wir die geheimen
kommerzieller Software bei Fido verboten. Dokumente der Scientology-Kirche auf
einigen Uni-Servern und BBS-Systemen.
FidoNet war ein sehr effektives BBS
Netzwerk und läuft weiterhin. Aber die Die weltweite Verbreitung des Internet durch
Store&Forward-Netze verloren ihre das World Wide Web begann seinen Hype in
Bedeutung, als Internet an Popularität Ungarn 1995. Bald traten die ersten
gewann. Ein weiteres Offline-Netzwerk ist kommerziellen Provider auf. Die Kosten für
Green Spider, gefördert von regionalen vollen Zugang zum Netz fielen binnen eines
Umwelt-Zentren. Ein Unixserverer dient via Jahres von rund 200 auf 40 US-Dollar pro
Telefon für hunderte von Monat. Zahlungen „pro Megabyte“ entfielen,
Mitgliedsorganisationen dem e-Mail-Tausch und Hardware wurde erschwinglich. Der
und als Newsfeed. erste kommerzielle Provider war eine Tochter

Die Datenschleuder
Nummer 58, März 1997
Chaos Communication Congress 96

von SZTAKI, dem staatlichen Institut für die Empfinden und Handeln wird geprägt von
Internet-Entwicklung. Es unterhielt das den zwei staatlichen TV-Programmen,
„National Information Infrastructure Radiokanälen und einigen Tages- und
Development Program“, ein staatliches Wochenblättern, die eine zwiespältige Rolle
Projekt mit ungarischen und internationalen bei der Popularisierung des Internet spielten.
Geldquellen. Das ungarische Medienpublikum hat ein
extrem polarisiertes Bild des Netzes; zum
Das „Lake Success agreement“ versorgte einen das Versprechen eines utopischen
SZTAKI mit billiger Hardware für Paradieses vom globalen Dorf, das naht —-
nichtkommerzielle Zwecke. Das wurde und zum andern die Alpträume und
missbraucht, um Profit zu erwirtschaften auf- Klischees konservativer und bürokratischer
grund des frühen Monopoles auf dem ISP- Kräfte, die das Netz als Gemengelage von
Markt. 1995 startete rund ein Dutzend private Kinderpornos, internationalen Terroristen
Internet Service Provider. Die meisten und illegaler Wissenspfründe darstellen und
überschätzten die Wachstumsrate des als Bedrohung für Christentum und Familie
Marktes. Einige davon starren nun dem und Staat anschwärzen. Grotesk ist dabei die
Bankrott ins Auge, wo die eine und einzige Rolle von Microsoft, die das Bild des Internet
ungarische Telecom, MATAV, das Spielfeld in den Medien etwas schützten, nachdem sie
betritt. ein Jahr vorher versuchte, Leute vom Internet
fernzuhalten und abgesehen davon, daß sie
MATAV hat ein Staatsmonopol über die weiter stiller Sponsor von BSA Ungarn sind.
Drähte in Ungarn für die nächsten 25 Jahre, Microsoft spendete einer Handvoll
das 2018 endet. MATAV gehört aber nicht nur „wichtiger“ Leute (Politikern und
dem Staat. Der Hauptaktionär ist Journalisten) Computer, Sofware und
MagyarCom, ein Joint Venture zwischen Internet-Zugang. Die surfen nun im Netz eine
Deutsche Telekom und Ameritech Zeit lang und loben Microsoft dann für das
International. Da stellt sich die Frage der Werk, „Internet nach Ungarn“ zu bringen.
wirtschaftlichen Rekolonialisierung des Bill Gates besuchte kürzlich das Land und
früheren Ostblocks durch multinationale unterzeichnete ein Abkommen mit dem
Konzerne. MATAV besitzt bereits den Premierminister und MATAV.
Löwenanteil der Internet-Bandbreite
zwischen Ungarn und dem Rest der Welt und Die kleine Internet-Gemeinschaft Ungarns
besitzt alle Kabel und Kabelschächte im war empört, konnte jedoch nichts tun ausser
Land. einer Debatte, welche Chancen eine
Kundgebung gegen Gates hätte bei seiner
Nach der Versuchsphase jetzt wird MATAV Rede im staatlichen Opernhaus. Denn die
ab 1.1.1997 im Regelbetrieb ein Internet Massenmedien waren nicht interessiert, die
Service Provider, MATAVNet. Die können mit nichtgesponsorte Wahrheit zu drucken.
Leichtigkeit ein vergleichbares ISP-Monopol
in Ungarn schaffen wie beim Telefon. [Relativierender Einschub des Übersetzers:
Bei der Rede von Bill Gates auf der CeBIT
Das Internet ist weit davon entfernt, 1994 in Hannover hielten einige Menschen in
Massenmedium zu werden in Ungarn. TV ist der letzten Reihe ein Bettlaken hoch, das nur
die Droge des Volkes. „mainstream“- Teile der Saalrückwand verdeckte und

Die Datenschleuder
Nummer 58, März 1997
..., gähn Ungarn gähn, ...

niemanden behinderte. Bill Gates stockte findest Du die alten Machtstrukturen und
kurz und bleich, als er las, was auf dem etwas Geschäfts-Schnickschnack.
Bettlaken stand: „ALT-F4“ und klein in der
Ecke „C.C.C.“. Schließlich baten mich die Organisatoren die-
ser Konferenz, über die osteuropäische
Doch Bills Blässe währte nicht lange: CeBIT- Cyberpolitik der Soros-Stiftung zu sprechen.
Saalwächter rissen das Laken unter Da ich nicht offiziell mit der Stiftung
Missachtung der Eigentumsrechte an sich. verbunden bin, weiss ich nicht viel dazu, aber
Seither fehlt das Dokument dem Museums- ich kann einem Projekt berichten, an dem ich
Bestand des CCC. Dabei übersteigt sein Wert teilnahm.
den einer Microsoft-Pauschal-Lizenz für jedes
bettlakenbestohlene CCC-Mitglied. Und die Im Frühling 1995 brachte Geert Lovink, unser
BSA redet vom Diebstahl bei Bits, wo Bill Freund, der wohlbekannte niederländische
Gates sich freut, wenn vor seinen Augen phy- Medientheoretiker, die Idee eines Non-Profit
sikalisches Eigentum offensichtlich gestohlen ISP nach Ungarn. Diese Idee gewann
wird! Soviel zur Relativierung der deutliche Popularität unter Internet-Usern
Handschellenplakate in Ungarn.] und NGOs, die unter hohen Zugangskosten
und fehlender Infrastruktur litten. Sie
Später in diesem Sommer, nach einem gründeten eine Non-Profit-Organisation
Bombenanschlag, behauptete Objectiv, eines namens Koz-Hely Association for Public
der am meisten angesehenen
Computer Networks und kamen zur Soros
Nachrichtenprogramme des staatlichen
Stiftung mit Bitte um Hilfe. Die Stiftung wür-
Fernsehens, dass das Rezept für den
digte die Idee, entschied aber, es auf ihre
Sprengstoff aus dem Internet stammen
Weise umzusetzen. Ein Jahr später schuf sie
würde. Daraufhin verlangte die Polizei von
eine Organisation namens „Center for
allen Internet-Providern aus der Gegend des
Bombenanschlages die Herausgabe der Culture and Communication“ (C3), mit einem
Kundenliste. eigenen 512 Kilobit/s Satelliten Uplink,
Hardware von Silicon Graphis und Terminal-
Die meisten ISP taten das, aber einige Einwahlservern für Nonprofit-Zwecke. Das
wandten sich an den Ombudsman für Daten. Vorgehen von C3 ähnelt sehr dem ein Jahr
Der prüfte die Rechtmässigkeit der vorher veröffentlichten Konzept von Koz-
Forderung und fand heraus, dass die Gesetze Hely.
Ungarns den Behörden alle Rechte geben, alle
Daten von Abonnenten von Datendiensten zu In der Zwischenzeit wurde der ursprüngliche
bekommen. Im ungarischen Parlament wird Ansatz von Koz-Hely, günstiger Internet-
ein Gesetz über das Abhören von Zugang, im Wettbewerb der kommerziellen
Mobiltelefonen beraten. Bürgerrechtliches Provider realisiert. Die ungarische Soros-
Engagement ist im Vergleich zu westlichen Stiftung hat bis jetzt nicht auf den Entwurf
Ländern eher nicht vorhanden. Nur wenige von Koz-Hely reagiert, aber zwei Leiter als
Organisationen begreifen Macht und Angestellte angeheuert. C3 ist nicht wirklich
Bedeutung solcher neuer Medien; das gilt bis- unabhängig, sondern Teil der geschlossenen
lang auch für unabhängige Journalisten. Beim Hierarchie der Soros Stiftung und ihrer kultu-
Sichten des ungarischen WWW-Angebotes rellen und politischen Aktivitäten - die offene

Die Datenschleuder
Nummer 58, März 1997
Chaos Communication Congress 96

Gesellschaft der Elite - und wird gesponsort wohlbekannter ungarischer Unternehmen


von MATAV und Silicon Graphics. registriert, darunter malev.com für das
ungarische Luftfahrtunternehmen. Solche
C3 bekam eine umstrittene Publizität in der Namen werden dann für ein paar tausend
kurzen Zeit, wo sie den sogenannten Dollar, zahlbar binnen 24 Stunden, angeboten
Domain-Name-Registrierkrieg in Ungarn - anstatt der 100 Dollar Registriergebühr.
begannen.Sie wählten c3.hu als Domainname.
Das widersprach den Regeln der Registratur. Wie Du nun feststellen kannst, gibt es einige
Danach war es erforderlich, dass eine Gründe für Furcht und Abneigung in
juristische Person (vergleichbar z.B. e.V. oder Ungarn. Aber im Unterschied zu anderen in
GmbH) mit dem gleichen oder einem der Region sind unsere Datenkonflikte leicht
ähnlichen Namen existiert, um unter der zu überleben.
Domain .hu registriert zu werden. Da C3 kei-
ne juristische Person war, verweigerte der Ich danke [3]Tamas Szalay für seine
offizielle Registrar die Eintragung von c3.hu wertvollen Anmerkungen und [4]Diana
McCarty für ihre sorgfältige Übersetzung ins
Es gab einen Haufen Argumente auf beiden Englische, die Grundlage der deutschen
Seiten und ich konnte dem liberalen Ansatz Übersetzung von [5]Wau Holland.
von C3, den Registriervorgang betreffend, fol-
gen. Doch ist es nach meiner Meinung nicht Die Homepage von Tamas Bodoky ist [6]
hinnehmbar, dass die Stiftung ihren
politischen Einfluss nutzte, um den Namen References
einzutragen. In der Folge trat der Registrar
zurück und seit Frühjahr 1996 gibt es nieman- [1] bodoky@caesar.elte.hu
den, der für die Registratur verantwortlich [2] WAU@OLN.comlink.apc.org
ist. Ungarische ISPs begannen einen endlosen [3] tszalay@caesar.elte.hu
Kampf über die Regeln der Registratur von [4] diana@dial.isys.hu
Domainnamen, der nach mehreren Monaten [5] wau@ccc.de
ergebnislos blieb. Nun bereitet das [6] http://caesar.elte.hu/~bodoky/
Ministerium für Telekommunikation eine
Enscheidung vor, um den Konflikt zu
beenden. Was ist eigentlich ein Trust-Center
und warum sollte ich einem
Wer eine .hu Domain registrieren will, wartet
Wochen oder Monate - oder er kennt vertrauen?
irgendwen im Ministerium, bei MATAV,
SZTAKI oder bei der Soros-Stiftung. Es geht Im ersten Trust-Center-Workshopauf diesem
viel schneller einen Domainnamen unter .com Congress ging es um die Grundlagen von
bei InterNIC zu kaufen, wenn die Trust-Centern, die möglicherweise schon bald
amerikanische Firma Motherland das nicht als Autoritäten unsere digitalen Existenzen
schon vorher getan hat. bestimmen werden. Trust-Centers
(korrekterweise wohl besser als „CA“, also
Motherland hat im Blick auf die diffizile „Certification Authority“ zu bezeichnen) neh-
ungarische Lage bereits die Namen mehrerer men sich eines der großen Probleme im

Die Datenschleuder
Nummer 58, März 1997
..., Ungarn, Trust Center.

Internet an: Wer garantiert eigentlich, daß die möchte mit seinem Projekt IN-CA vor allem
Person, mit der ich Geschäfte tätigen oder Kompetenz in Sachen Authentifizierung
Nachrichten austauschen möchte, tatsächlich beweisen. Nur rechtlich verbindlich möchte
diejenige ist, die sie vorgibt zu sein? die Initiative bitte nicht sein; nach Aussagen
des IN-CA-Sprechers Lutz Donnerhacke ist
CAs sind Institutionen, die elektronische die CA des Individual Networks „nur eine
Unterschriften beglaubigen — damit sitzen Spielerei“.
sie an den Schaltstellen der Macht im elektro-
nischen Handel, entscheiden sie doch über Abseits der ebenfalls im Workshop
die Identität (und damit die erläuterten technischen Fragen zu Vor- und
Glaubwürdigkeit) von Geschäftspartnern Nachteilen von SSL (Secure Sockets Layer, die
oder Privatpersonen. Wodurch sind diese die Authentifizierung möglich machen) stand
wichtigen Stellen autorisiert? So seltsam es vor allem die Frage nach dem gesellschaftsre-
auch klingen mag, aber sie sind es gar nicht. levanten „CA, quo vadis?“ im Raum: „Wollen
Verisign Inc. aus den USA und Thawte aus wir nur ein Spielzeug haben, oder bieten wir
Süd-Afrika sind die beiden Unternehmen, die eine echte Hacker-Alternative zu den
am lautesten und finanzkräftigsten erklärt kommerziellen Stellen wie Verisign oder
haben, daß sie für diese Aufgabe geeignet Thawte? Wollen wir Verantwortung überneh-
sind. men und eine eigene CA schaffen und damit
selbst in die Rolle der bösen, nur auf
Dies hat dazu geführt, daß die Zertifikate die- Kommerz und Sicherheit bewußten Buben
ser beiden Firmen fest in den beiden wichtig- schlüpfen?“, fasste Hacker Rop Gronggrijp
sten Internetbrowsern (Netscape Navigator aus den Niederlanden die Vorbehalte im
und Microsoft Internet Explorer) eingebaut Workshop-Publikum zusammen.
sind. Andere Zertifizierungsstellen für digita-
le Unterschriften sind entweder nicht Mit der eventuellen Umsetzung der kühnen
vorgesehen (Internet Explorer) oder nur über Pläne von einer eigenen Zertifizierungsstelle
komplizierte Umwege zu benutzen wollen sich Congressteilnehmerinnen und -
(Netscape). teilnehmer morgen in einem weitern
Workshop beschäftigen.
Nicht jeder möchte aber bei einer so
wichtigen Sache wie die Bestätigung der digi- Zusammenfassung von Jens Ohlig,
talen Identität auf Privatunternehmen hoffen. j.ohlig@bionic.zerberus.de
Und wer hat schon das nötige Kleingeld, um
zur Beglaubigung in die USA oder nach Süd-
Afrika zu reisen? Die Congress-Dokumentation
In Deutschland gibt es mit der DFN-CA (für Die gesamte Dokumentation kann mittels des
das Deutsche ForschungsNetz, das sich um Bestellfetzens (Rückseite) als Hardcopy
universitäre Rechenzentner und ihre bestellt werden.
Internetanbindung kümmert) auch eine
Initiative aus den Reihen des Individual Außerdem liegt die gesamte Dokumentation
Network e.V. Dieser Verein fühlt sich den pri- auf dem CCC Web Server
vaten Internetbenutzern verpflichtet und (http://www.ccc.de).

Die Datenschleuder
Nummer 58, März 1997
Der Mitgliedsfetzen

Der Bestellfetzen

Die Datenschleuder
Nummer 58, März 1997