Sie sind auf Seite 1von 36

die datenschleuder.

das wissenschaftliche fachblatt für datenreisende


ein organ des chaos computer club

Byebyecicle.

ISSN 0930-1054 • 2004


#85
Zwo Euro fuffzich, bitte sehr.
Postvertriebsstück C11301F
C
IMPRESSUM

Erfa-Kreise / Chaostreffs
Bielefeld im AJZ, Heeper Str. 132 >> mittwochs ab 20 Uhr http://bielefeld.ccc.de/ info@bielefeld.ccc.de
Berlin, CCCB e.V. (Club Discordia) Marienstr. 11, (Briefe: CCCB, Postfach 640236, D-10048 Berlin) >>
donnerstags ab 17 Uhr http://berlin.ccc.de/
Düsseldorf, CCCD/Chaosdorf e.V. Fürstenwall 232 >> dienstags ab 19 Uhr http://duesseldorf.ccc.de
mail@duesseldorf.ccc.de
Erlangen/Nürnberg/Fürth, BitsnBugs e.V. “E-Werk”, Fuchsenwiese 1, Gruppenraum 5 >> dienstags ab 19 Uhr
http://erlangen.ccc.de/ mail@erlangen.ccc.de
Hamburg (die Dezentrale) Lokstedter Weg 72 >> 2. bis 5. Dienstag im Monat ab etwa 20 Uhr http://hamburg.
ccc.de/ mail@hamburg.ccc.de
Hannover, Leitstelle511 Kulturcafé, Schaufelder Str. 30, Hannover >> 2. Mittwoch im Monat ab 20 Uhr https://
hannover.ccc.de/
Karlsruhe, Entropia e.V. Gewerbehof, Steinstr. 23 >> sonntags ab 19:30 Uhr http://www.entropia.de/
info@entropia.de
Kassel Uni Kassel, Wilhelmshöher Allee 71-73 (Ing.-Schule) >> 1. Mittwoch im Monat ab 18 Uhr http://kassel.
ccc.de/
Köln, Chaos Computer Club Cologne (C4) e.V. Chaoslabor, Vogelsanger Str. 286 >> Letzter Donnerstag im
Monat ab 19:30 Uhr http://koeln.ccc.de/ mail@koeln.ccc.de
München, muCCC e.V. Kellerräume in der Blutenburgstr. 17 >> 2. Dienstag im Monat ab 19:30 Uhr http://
www.muc.ccc.de/
Ulm Café Einstein an der Uni Ulm >> montags ab 19:30 Uhr http://ulm.ccc.de/ mail@ulm.ccc.de
Wien, chaosnahe gruppe wien Kaeuzchen, 1070 Wien, Gardegasse (Ecke Neustiftgasse) >> Alle zwei Wochen,
Termine auf Webseite http://www.cngw.org/
Aus Platzgründen können wir die Details aller Chaostreffs hier nicht abdrucken. Es gibt aber in den folgenden Städten
Chaostreffs mit Detailinformationen unter http://www.ccc.de/regional/ : Aachen, Bad Waldsee, Basel, Bochum, Darmstadt,
Dortmund, Dresden, Frankfurt am Main, Freiburg im Breisgau, Gießen/Marburg, Hanau, Heidelberg, Ilmenau, Mainz,
Mülheim an der Ruhr, Münster/Osnabrück, Offenbach am Main, Paderborn, Regensburg, Stuttgart, Trier, Weimar,
Wuppertal.

Friends & Family


Zur näheren Chaosfamilie zählen wir (und sie sich) die Häcksen (http://www.haecksen.org/), den/der “Verein zur Förderung
des öffentlichen bewegten und unbewegten Datenverkehrs e.V.” - FoeBuD (http://www.foebud.de/), den Netzladen e.V. in
Bonn (http://www.netzladen.org/) und die c-base Berlin (http://www.c-base.org/).

Die Datenschleuder Nr. 85 Redakteure dieser Ausgabe


Dirk Engling <erdgeist> und Tom Lazar <tomster>
Herausgeber (Abos, Adressen, Verwaltungstechnisches etc.)
Chaos Computer Club e.V., Lokstedter Weg 72, D-20251 Autoren dieser Ausgabe
Hamburg, Fon: +49.40.401801-0, Fax: +49.40.801401-41, Alexander Bernauer, Volker Birk, Matthias “wetter”
<office@ccc.de> Key fingerprint:
Mehldau, Alien8, Mirko Swillus, Lars Weiler, elektra
0891 587D 8936 CB96 0EFE F4B0 B156 0654 617C AB8E

Redaktion (Artikel, Leserbriefe, Inhaltliches, etc.) Copyright


Redaktion Datenschleuder, Postfach 640236, D-10048 Berlin,
Fon: +49.30.28097470, <ds@ccc.de> Key fingerprint: Copyright © bei den Autoren. Abdruck für nicht-gewerbliche
03C9 70E9 AE5C 8BA7 42DD C66F 1B1E 296C CA45 BA04 Zwecke bei Quellenangabe erlaubt.

Druck Pinguindruck, Berlin; http://pinguindruck.de/ Eigentumsvorbehalt


Diese Zeitschrift ist solange Eigentum des Absenders, bis sie dem
ViSdP und Produktion Gefangenen persönlich ausgehändigt worden ist. Zurhabenahme ist
keine persönliche Aushändigung im Sinne des Vorbehaltes. Wird die
Tom Lazar, <tom@tomster.org> Zeitschrift dem Gefangenen nicht ausgehändigt, so ist sie dem Absender
mit dem Grund der Nicht-Aushändigung in Form eines rechsmittelfähigen
Bescheides zurückzusenden.
Layout Dirk Engling, Tom Lazar,

#85 / 2004 die datenschleuder


GELEITWORT / INHALT

Dieses Jahr war ein entmutigendes Jahr. Biometrie Entmutigende Tendenzen hin oder her: sie unter-
ist in die Reisepässe gekommen, das Urheberrecht streichen nur die Dringlichkeit, uns zu organisie-
wurde verschärft, das Bankgeheimnis ist uns durch ren und tätig zu werden. Vor diesem Hintergrund
die Finger geglitten und die gute alte Briefmarke betrachtet, lehnen wir uns bestimmt nicht zu sehr
ist quasi abgeschafft. aus dem sprichwörtlichen Fenster, wenn wir Euch
einen heissen diesjährigen Congress versprechen.
Ja, richtig! Abgeschafft. Ausgetauscht gegen einen
herzlosen, volldigitalen 2D-Barcode. Unlesbar für
uns Menschen und jeder Ästhetik beraubt. Und bei Die Datenschleuder-Redaktion
dem Versuch “darf ich dir mal meine Briefmarken-
sammlung zeigen..?” wird es in Zukunft skeptische
Blicke geben. P.S. Einige von Euch werden es vielleicht bemerkt
haben: ohne grosse Ankündigung (Neudeutsch:
Nachdem wir in den letzten Wochen mit einer Launch) hat die Datenschleuder mittlerweile nach
ungewöhnlichen Fülle von anonym zugesand- und nach eine Online-Heimat gefunden. Unter
ten und oftmals hochspannenden Dokumenten http://ds.ccc.de können nun Artikel der (meis-
bedacht wurden, möchte die Redaktion die Gele- ten) vergangenen Ausgaben, sowie die Titelge-
genheit benutzen allen Einsendern auf diesem schichte der aktuellen Ausgabe nachgelesen wer-
Wege zu danken. Wir mussten uns in dieser Aus- den und finden so Ihre suchmaschinenerfassbare
gabe aus Platzgründen auf den Hack-a-Bike Report Heimat.
und die nähere Betrachtung des Gesundheitskar-
ten-Backends beschränken, aber werden die ande-
ren uns zugespielten Leckerbissen auf jeden Fall in Inhalt
der nächsten Ausgabe vorstellen. Hack-A-Bike ...................................................... 2
Für den Fall das dem einen oder anderen Leser Das Gesundheitskarten-Backend .......................... 7
Papierstücke oder Bits in die Hände fallen die im Die Gefahren der Softwarepatente ........................10
öffentlichen Interesse der Publikation in der Daten- Teaching Hacking ............................................. 15
schleuder bedürfen, bitten wir um Zusendung per Deutsche Homeland-Security 2005. ..................... 20
Post (bitte den bewährten unmarkierten brau-
Ein Friedensangebot im Kampf ums Copyright ..... 22
nen Umschlag für anonym zugespielte Dokumen-
te verwenden) oder e-mail (an ds@ccc.de, bei /join silcnet ..................................................... 24
hohem Risikofaktor wird ein Anonymizer sowie die whois <<</>> ................................................... 26
geschickte Nutzung eines öffentlichen Netzes emp- ICMP 2 ............................................................ 28
fohlen). Link State Routing -Optimized? .......................... 30

Ein HackABike in freier Wildbahn - der Ausschnitt zeigt den im Artikel besprochenen Kasten.

1
die datenschleuder #85 / 2004

1
I WANT TO RIDE YOUR BICYCLE

Der Redaktion Datenschleuder wurde eine Technologieanalyse anonym zugespielt, die unten
stehend zu Bildungszwecken dokumentiert ist. Der Text wurde redaktionell gekürzt.

von anonymous, Leserbriefe bitte an <ds@ccc.de>

Schon immer mal nachts ohne Transportmöglichkeit in einem fremden Bezirk auf-
gewacht? “Mal schnell” ein Fahrrad benötigt? In Berlin und anderen Großstädten
Deutschlands bietet Die Bahn mit dem Call-A-Bike Service Abhilfe.

Im November 2003 wurde uns ein Call- Kurzeinführung in das CallABike System
ABike ‘zugetragen’, das nicht richtig Als Kunde ruft man die CallABike-Zentrale und gibt per DTMF-Wahl die
abgeschlossen wurde. Dieses muss- vierstellige Radnummer durch. Von der Zentrale erhält man dann den
te erstmal als Testobjekt herhalten. Die vierstelligen Code, mit dem man das CallABike-Fahrad öffnen kann. Zur
meisten dachten, dass in dem Schloss- Sicherheit wird man nach dem Anruf von der Zentrale zurückgerufen. Die
kasten GPS oder sonstiger Funk enthal- letzten vier Ziffern des Rückrufes enthalten nochmal den Code - annehmen
ten sei, nach dem Öffnen war hiervon muss man den Anruf deswegen nicht. Jetzt läuft die Uhr und der Kunde
jedoch nix zu sehen. Um die Schrauben muss pro Minute 6 Cent bezahlen (mit Bahncard nur 4 Cent). Wenn der
der Schlosskästen zu öffnen, benötigt Kunde das CallABike einfach mal schnell abstellen will (z.B. für einen
man nur ein Torx TR (Temper Resistant). kurzen Einkauf), kann man das CallABike abschließen und im Display auf
In dem Kasten ohne Display ist die ‘Nicht Abgeben’ tippen. Es ist sozusagen kurz geparkt. Danach kann man
Stromversorgung durch Batterien sicher- das CallABike mit dem gleichen Code wie beim ersten Mal öffnen. Das kann
gestellt (3x 1.5V Mono). man so oft wiederholen, wie man möchte. Die Zeit, die man bezahlen muss,
läuft natürlich weiter.
Die beiden Kästen sind durch eine Art
Wenn der Kunde das CallABike dann endgültig abgeben will, muss er
Bügel miteinander verbunden. In die-
beim Schließen auf ‘Abgeben’ tippen; das CallABike gibt einem dann
sem Bügel befindet sich ein sechspoli- den Rückgabecode. Mit diesem Code kann man gegenüber der Zentrale
ges Kabel für den Strom und zwei Spu- ‘beweisen’, dass man das CallABike wirklich wieder abgeschlossen hat. Man
len. Damit kann geprüft werden, ob das ruft jetzt einfach wieder die Zentrale an und gibt den Rückgabecode durch.
Schloss wirklich geschlossen ist, oder Danach muss man noch die Straßenecke auf Band sprechen, an der man
einfach kein oder nur irgendein ande- das CallABike abgestellt hat. Die Mietzeit wird damit dann auch beendet.
rer Bolzen zum Verschließen genom-
Es ist auch möglich, zwei Räder mit einem Anruf auszuleihen oder
men wurde.
abzugeben. Wenn der Kunde in seiner Nähe kein CallABike-Rad findet,
Der Kasten mit dem Display enthält den kann er auch die Zentrale anrufen und fragen, wo das nächste CallABike-
Exzentermotor zum Öffnen des Schlos- Rad steht. Ein Servicemitarbeiter der Bahn schaut dann in der Datenbank
ses, zwei Taster (Mikroschalter) und ein nach und gibt den Standort des nächstgelegenen CallABike-Rads durch.
kapazitives 5x2-Touchpad. Die Haupt-
logik sitzt unter dem Display. Sie ist Bytes-RAM) [1], ein paar LEDs (rot, grün und IR) und
nochmal durch eine Metallplatte abgesichert, wel- IR-Receiver aufgebracht sind, enthält der Kasten noch
che nur die Kabel zum Display/Touchpad durchlässt. ein paar andere elektrische Bau-
Damit wird der Motor und der teile (Motor, Schalter und ein Bee-
Verschlussmechanismus vor per). Es ist auch ein Neigungssen-
einer Attacke durchs Display sor vorhanden, aber im Code wird
geschützt. er nicht benutzt. Daher bestand
Die gesamte Platine ist mit keine Gefahr, uns zu orten.
schwarzem Silikon übergossen, Es wurden ein paar Bilder von der
das man erstmal runterkrat- Aktion gemacht, aber dann lag
zen muss. Das geht prima mit die Technik erstmal zwei Mona-
einer Mess-Spitze. Außer einer te einsam in einer Kiste, weil wir
streichholzschachtelgroßen Pla- es nicht geschafft haben, das
tine (Rückseite Datenschleu- CallABike zu booten. Es dauer-
der 82), auf der ein Atmel te eine Weile, bis wir merkten,
AT90S8535 (8-Bit-Risc-Prozes- dass das System nach dem Boo-
sor, 4x8-IO-Pins, 8KB Flash, ten durch ein Infrarot-Signal akti-
512-Bytes-EEProm und 512-

2
#85 / 2004 die datenschleuder

2
I WANT TO RIDE YOUR BICYCLE

viert werden muss. Das war mehr oder weniger Zufall. ... Es gibt natürlich auch andere Zeitgenossen,
Wenn man eine normale Glühlampe benutzt, um bes- die haben, schon aus sportiven Gründen, allerlei
ser sehen zu koennen, piepte die Elektronik gelegent- versucht, um die Standfestigkeit der Hardware oder
das elektronische Prinzip der eingebauten Mikrochips
lich scheinbar unmotiviert. Wie sich später herausstell-
und Prozessoren zu ergründen.
te, reichte der durch die Glühlampe emittierte IR-Anteil
aus, um den IR-Receiver zu triggern und den Bootvor- Sie rückten dem Schloss mit Schraubenziehern und
gang fortzusetzen. Beim Booten testet sich das System gängigen Imbusschlüsseln zu Leibe.
selbst, und der Empfang eines Infrarot Signals gehört Sie versuchten ihr Glück mit Brechstange,
eben dazu. Im Zuge fortschreitender Professionalisie- Vorschlaghammer, sogar mit der Motorflex. Oder,
rung™ wurde in der Folgezeit die Glühlampe durch ein ganz Smart, mit Laptop, mit Dechiffrierprogrammen,
Infrarot-Photon-Micro-Light ersetzt. auch mit Fangfragen an das Wartungspersonal.
Doch vergebens! Wieder lächelt Reth, der einst erste
Bei unserer weiteren Analyse des Systems begannen Ausflüge auf einem grünen Puky-Rad unternahm,
wir damit, alle Anschlüsse des Atmel durchzumessen, sich heutzutage aber als “postmoderner Urbaniker”,
um uns einen ungefähren Schaltplan zu erstellen (siehe denn als “Fahrradfreak” versteht. Er lächelt und sagt:
Bild). Die Datenblätter für den Atmel und das verwen- “Erst diese Technik macht uns zum weltweit einzigen
dete Display haben wir uns aus dem Web besorgt. stationsunabhängigen Stadtradsystem. Der Code ist
nicht zu knacken und darauf sind wir richtig stolz.”
Im Januar hatte einer der Beteiligten dann endlich eine
Idee, wie weiter vorzugehen sei. Auf der Platine war ... aus dem Kundenmagazin DB mobil
uns eine unbenutzte 6-polige Steckerleiste aufgefal-
len, und wie sich herausstellte, handelt es sich dabei
um den ISP-Connector (In System Programming) des wir das Flash des Atmels mit der 8KB großen Firmware
Atmel. Daran schlossen wir dann ein Atmel-Develo- auslesen.
per-Board (STK500) an. Zum Auslesen wurde haupt-
sächlich das freie UISP (“Uisp is a tool for AVR mic- In den nächsten Wochen waren mehrere Hacker damit
rocontrollers which can interface to many hardware beschäftigt, den ausgelesenen Assemblercode zu ver-
in-system programmers”[2] ) benutzt. Die auf dem stehen und zu dokumentieren. Dazu verwendeten wir
Atmel vorhandenen „Intellectual-Property“-Bits waren AVR-Studio [3] und Ida Pro [4]. Den Scramble Code
in einem undefinierten Zustand, deswegen konnten (zum berechnen der Ausleih- und Abgabecodes) fan-
den wir relativ schnell, da sich dort eine Menge rotate-
und-shift-Befehle befanden. Den Initialisierungscode
erkannten wir wieder, da wir wussten, dass der Motor
sich beim Einschalten zweimal herumdreht. So konnten
wir das gelernte immer wieder an unserem Prototyp
auf Richtigkeit überprüfen.

Die Ausleih- und Abgabecodes werden durch einen


Scrambler generiert, der mit einem 16Bit-Counter des
CallABikes und einem Zustandswert aufgerufen wird.
Ein gerader Counterwert erzeugt Ausleihcodes und
ein ungerader erzeugt die Abgabecodes. Der Scramb-
ler nutzt den Counter und das Zustandsbyte, um ein
Offset auf ein 1024 Bit großes Feld zu errechnen. Die-
ses Feld ist ein für jedes CallABike eindeutiger binä-
rer String, der als der (wahrscheinlich) eindeutige Key
des CallABikes bezeichnet werden könnte. Von die-
sem Offset aus werden dann 4x4 Bit genutzt, die die
vier Ziffern für die Ausleih- und Abgabecodes reprä-
sentieren. Die 16 Bit des Counters werden aber
schlecht genutzt, denn schon nach 1024 Ite-
rationen wiederholen sich die Ausleih- und
EEPROM Inhalt:
Abgabecodes. Das bedeutet auch, dass es nur
0x0000 - 0x0001 unused
0x0002 lock_sensor_calibration 512 Ausleihcodes je CallABike gibt, da es nur
0x0003 - 0x0019 unused 512 gerade Offsets gibt die auf den Key (1024
0x001A - 0x001B 16bit counter (scrambler)
0x001C unused
Bit) zeigen können. CallABikes, die wir geöff-
0x001D - 0x001F CallABike Radnummer net haben und die wir wegen der Lockbits
0x0020 - 0x009F 128 Byte Random (Key) nicht auslesen konnten, haben wir mit einem
0x00A0 - 0x00A2 Die ersten drei Bytes des Key nocheinmal
0x00A3 - 0x00AF unused
Script 511 mal resetten lassen (bei einem Reset
0x00B0 - 0x01FF Text für Display erhöht sich der Counter immer um zwei).
Damit haben wir den ursprünglichen Zustand

3
die datenschleuder #85 / 2004

3
I WANT TO RIDE YOUR BICYCLE

bezahlen muss und


deswegen nicht Code zum Generieren der Abgabe/Ausleihcodes
motiviert ist, sich bei gegebenem Key aus dem eeprom
weiter um das Rad unsigned char g_key[4];
zu kümmern, und void scrambler(uchar param, long counter) {
es aber auch nie- long bitoffset;
uchar r21 = param, r28 = 1;
mand anders auf- short r27_26 = counter, short r31_30;
machen könnte. r28 <<= r27_26 & 7;
Um das HackABi- r27_26 += r21;
r27_26 &= 0x3ff;
ke auch auf grö- r31_30 = r27_26;
ßere Entfernung r27_26 <<= 5;
r27_26 -= r31_30;
noch von sei- r27_26 &= 0x3ff;
nen unbehandel- r27_26 += r28;
ten Verwandten r27_26 &= 0x3ff;
bitoffset = r27_26 & 7;
unterscheiden zu r27_26 >>= 3;
können, haben wir r27_26 += 0x20;
r27_26 &= 0xff;
ihm eine leicht ver-
wiederhergestellt, und das CallABike war wieder ‘in fillkey(r27_26,bitoffset);
änderte Blink-Sequenz }
sync’ mit der Zentrale.
beigebracht. void fillkey(long address, long bitoffset) {
Wer sich das Display mal genauer angeschaut hat, wird uchar r16;
Im Verlauf der weite- long fullkey;
festgestellt haben, dass der Zeichensatz ein proportio-
ren Analyse des Codes fullkey = eeprom[address++] << 16;
naler ist. Dazu gibt es im Code eine Tabelle, in der die fullkey += eeprom[address++] << 8;
ist uns aufgefallen,
Länge des Zeichens und die Position im Flash gespei- fullkey += eeprom[address++];
dass das CallABike fullkey >>= bitoffset;
chert sind. Ein ‘i’ und ein ‘!’ belegen nur ein Byte, r16 = fullkey & 0xf;
im Abgabecode inte-
wogegen z.B. ein ‘w’ sieben Bytes belegt. Die großen if(r16 >= 10) r16 -= 10;
griert Statusinforma- g_key[3] = r16;
Logos und das Zahleneingabefeld liegen als 400 Byte
tionen an die Zentra- r16 = (fullkey >> 4 ) & 0xf;
große Bitmaps vor. Die lange schwarze Linie im Call- if(r16 >= 10) r16 -= 6;
le durchgeben kann. g_key[2] = r16;
ABike-Logo zeigt die Stärke der Spule im Schloss an.
Je nachdem, in wel- r16 = (fullkey >> 8 ) & 0xf;
Das haben wir nur durch das Code-Auditing heraus- if(r16 >= 10) r16 -= 10;
chem technischen
gefunden. g_key[1] = r16;
Zustand sich das Call- r16 = (fullkey >> 12) & 0xf;
Unser erstes Ziel war es, den aus unserem Disassem- ABike befindet, kann if(r16 >= 10) r16 -= 6;
g_key[0] = r16;
bler erhaltenen Sourcecode so anzupassen, dass nach es unterschiedliche }
dem Assemblieren mit dem Commandline Tool Avra Rückgabecodes -
(“Assembler for the Atmel AVR microcontrollers” [5] abhängig vom bereits
) ein EXAKT identisches Binary herauskam. Auf der erwähnten Zustands-
Grundlage dieses Referenzcodes konnten wir dann byte - angeben. Das CallABike kann z.B. melden, dass
endlich Änderungen vornehmen. die Batterie nicht mehr lange hält, oder der Motor
für das Schloss nicht mehr in der richtigen Stellung
Nachdem wir uns diese Grundlage geschaffen hatten, ist. Wenn man z.B. den Schließknopf sie-
konnten wir das CallABike mit unserem eigenen Code ben mal ohne eingeführten Bolzen drückt,
flashen. liefert der Scrambler einen entsprechen-
den Rückgabecode, der gültig ist, diesen
Da wir keine Vulnerabilities oder Backdoors fan-
Zustand aber für die Zentrale erkennbar
den (jedes CallABike hat einen eigenen Key, der im
anzeigt. Von diesen Codes gibt es 52 (eine
EEPROM gespeichert ist), mit denen man ein CallABi-
Matrix aus 4x13).
ke exploiten könnte, ohne es aufzuschrauben, kamen
wir auf die Idee, uns eine eigene Backdoor in den Code Die Backdoor erlaubt, das HackABike
zu programmieren. Hört sich eigentlich ganz leicht an, mit einem von uns festgelegten Ausleih-
ist es aber nicht. Erstmal mussten wir den Code der code einfach zu öffnen. Wenn man das
BAHN optimieren, um uns den entsprechenden Platz HackABike dann wieder abgibt, ist es ganz
zu schaffen. Schließlich sollte ja auch noch ein Logo normal wieder ausleihbar. Es steht auch
mit 400 Bytes von uns in das 8KB große Flash. Den wieder der Ausleihcode des vorherigen
Datenmüll, den man über unserem HackABike Logo Kunden im Display. Die Zentrale merkt von
sehen kann, ist der Backdoor Code. Das sparte noch- diesem eingeschobenen Ausleihvorgang
mal ca. 150 Bytes. Außerdem wollten wir nicht, dass nichts - außer, dass es an einem anderem
man mit dem Backdoor Code normalen Kunden, die Ort steht, als es in der Datenbank vermerkt
das Rad nur geparkt (verschlossen, aber nicht abgege- ist. Wenn es dann aber wieder normal aus-
ben) haben, das ausgeliehene HackABike wegschnap- geliehen und abgestellt wird, ist auch in der
pen konnte. Das erforderte noch ein paar Zeilen mehr Zentrale alles wieder in Ordnung.
im Code. Auch kann man mit unserem Backdoor Code
das HackABike nicht ‘parken’, da ja der Öffner nichts

4
#85 / 2004 die datenschleuder

4
I WANT TO RIDE YOUR BICYCLE
Fürs CallABike mit der Nummer 2883 z.B.:
unsigned char eeprom[ ] = {
0x5A,0xD5,0xAD,0x6B,0xFD,0xD7,0x34,0x78,
Um ein CallABike
0xB3,0x03,0x22,0x13,0x61,0x23,0xAD,0xFE, in ein HackABike zu Die UART-Loop erlaubt folgende Kommandos:
0x51,0x6E,0xAA,0xA2,0xD4,0xB7,0xBA,0xC0, verwandeln, muss- 0x5B Fahrradnummer auslesen
0x78,0x9A,0x84,0x55,0x2A,0xB9,0x6E,0xBC,
ten wir sechs Schrau- 0xCE Spule Kalibrieren
0x33,0x15,0x2C,0x97,0x33,0x98,0x4B,0x78,
0x43,0xE5,0x20,0xD5,0x1C,0x1C,0x75,0x12, ben auf der Innensei- 0xC5 RAM ab 0x00AD lesen
0x2A,0x91,0x17,0xFC,0x0C,0x61,0x31,0x31,
0x50,0x6D,0xFD,0x5C,0xC5,0x60,0x8D,0xE0,
te des Schlosskastens Nach Eingabe der Ersten 32 Randombytes (Key):
0x0A,0xF2,0x85,0xF1,0x3B,0xA3,0xBD,0x74, mit dem Display öff- 0xCA Watchdog enablen (rebooten)
0xF3,0xD4,0x9E,0xBB,0x45,0x95,0x69,0x24, nen und das Kabel
0x79,0x36,0x9A,0xA6,0x66,0x96,0xFB,0xE8, 0xC8 Randombereich im EEPROM schreiben und wieder lesen
0x5D,0x38,0x34,0x28,0xC0,0x51,0x3B,0x18, des STK500 an den
0xCD Andere Bereich im EEPROM schreiben und wieder lesen
0x46,0xCA,0xD9,0xE3,0xD7,0xC8,0x86,0x01, ISP-Anschluss der
0x11,0x60,0xF2,0xF0,0xA4,0xA4,0xEF,0x16,
0x3E,0xBE,0xB9,0x1F,0xA8,0xF9,0x61,0x0B,
Platine stecken.
0xD6,0x7F,0x75,0xE7,0xF4,0x31,0x3F,0x6B Danach haben wir
}; ein Script gestartet, der benötigt wird, um die Abgabe- und Ausleihcodes
dass das Flash und den berechnen zu können. Dazu muss vermutlich das Call-
EEPROM Bereich aus- ABike geöffnet und ausgelesen werden. Es wurde nur
liest. Das EEPROM wird danach mit zurückgesetztem versäumt, die Lockbits zu setzen, um die Firmware vor
Counter und dem Flash mit unserer Backdoor wieder dem Auslesen zu schützen. Unsere Attacke ist von den
zurückgeschrieben. Damit niemand unsere Backdoor verbrauchten Mannstunden wohl mehr Wert als ein
auslesen kann, haben wir natürlich noch die Lockbits paar Dutzend CallABikes.
gesetzt. Ein geschulter Hacker brauchte ca. 12 Minu- [1] http://www.atmel.com/dyn/resources/prod_documents/
ten, um zwei CallABikes parallel in HackABikes zu ver- 1041S.PDF
wandeln. [2] http://savannah.nongnu.org/projects/uisp/
[3] http://www.atmel.com/dyn/products/
Da UISP das Setzen der Lockbits nicht korrekt unter- tools_card.asp?tool_id=2725
stützte, mussten wir das erstmal einbauen. Dazu haben [4] http://www.datarescue.com/
wir den Output von AVR-Studio [5] http://avra.sourceforge.net/
mit einem serial sniffer mitgelesen
und uns die entsprechenden Kom-
Auszug aus dem eeprom des CallABike 2882, pro Counter jeweils 3 Ausleihcodes
mandos für das STK500 rausge- gefolgt von den 52 möglichen Abgabecodes
sucht und in UISP eingebaut.
Counter 0x01E4: 3053 2671 1775
/usr/local/bin/uisp -dserial=\ -00- -01- -02- -03- -04- -05- -06- -07- -08- -09- -10- -11- -12- -13-
/dev/ttyU0 -dprog=stk500 \
-dpart=AT90S8535 --erase --upload \ 00: 8234 7161 4355 4892 9290 9998 8304 7365 9562 2095 3043 6551 7590 7270
--verify if=flash_backdoor.hex 01: 8589 6501 7447 1493 6180 3012 1741 8518 9843 8709 9172 1151 9723 9368
10: 9544 7869 5662 4655 8255 2595 9391 6608 8674 3599 4120 6087 5181 8181
Abschließend ist festzustellen, dass
11: 3273 7512 6017 4884 8282 9760 7439 2556 6031 9146 0413 3699 9160 2446
das technische Design des Call-
ABike in unseren Augen sehr gut Counter 0x01E6: 7145 5444 7084
ist. Jedes CallABike hat vermut- -00- -01- -02- -03- -04- -05- -06- -07- -08- -09- -10- -11- -12- -13-
lich einen eigenen 1024 Bit Key, 00: 1382 8104 4463 7399 2412 4608 5856 1205 4872 7241 7327 7391 8241 5088
01: 9445 6228 3243 9514 7081 1365 0360 6858 1434 3263 7921 5394 7103 9678
10: 5372 3104 5861 9271 8793 4825 4210 7162 2400 9084 4227 4645 5182 7942
11: 0325 2894 4580 7946 3428 8162 2675 0674 7051 2872 6088 5256 4789 9610

Hier sieht man das CallABike 2882 mit dem Counterstand 0x01E4. Ein Kunde
erhält als Öffnungscode die 3053. Wenn das CallABike normal abgegeben wird
und alles in Ordnung ist, bekommt er als Abgabecode die 8234. Falls z.B. die
Batterie schwach ist (-01-) bekommt er als Code die 7161.
Bit 0-5 (x-Dimension) dezimal: Bit 6-7 (y-Dimension) binär
-00- Alles OK -00- Alles OK
-01- Batteriespannung niedrig -01- Batteriewechsel nötig
-02- Schloss ist nicht richtig zu (Spule) -10- unklar
-03- gelb-blaues Kabel defekt -11- unklar
(Spule im Bolzen)
-04- grün-graues Kabel defekt (Spule im
Schlosskasten)
-05- Motor ist nicht in richtiger Position /
Knopf nicht gedrückt
-06- Motor ist nicht komplett herum
-07- Knopf nicht gedrückt
-08- Rückgabe default (unklar)
-09- unklar
-10- mind. drei misslungene Abgabeversuche
-11- sieben misslungene Abgabeversuche.
Schloss ist nicht zu!
-12- unklar
-13- unklar

5
die datenschleuder #85 / 2004

5
I WANT TO RIDE YOUR BICYCLE

Schloss Sensor

Neigungs
Vcc
sensor
Rot

1
2
Debug 3
4
Port 5
6 Grün
Atmel
Takt
AT90LS8535
Quartz

An Pin 29
Vcc Motor Schlossfreigabe

Infrared Vcc

Com

An Pin 40
Schloss Schalter oben

1 2 3 4 5 6 7 Schloss Schalter unten

Touchpad

Bolzen
+
-

6
#85 / 2004 die datenschleuder

6
VERPEILEN IM INDUSTRIEMASSSTAB

Das Gesundheitskarten-
Backend
von Verband forschender Patienten im CCC <ds@ccc.de>

IT-Projekte der öffentlichen Hand kommen nur zu 10% zum erfolgreichen Abschluß.
Aber selbst wenn sie abgeschlossen werden, wie es bei der Gesundheitskarte im
Moment aussieht, kann die eigentliche Katastrophe noch ausstehen.

Vorwort Beim Blick in die


Die Planungen zur Gesundheitskarte sehen vor, die PaDok-FAQ [1] kom-
Patientendaten zentral zu speichern und Ärzten über men uns allerdings ers-
ein Datennetz zugänglich zu machen. Auch soll die te Zweifel:
Gesundheitskarte des Patienten die Rezepte speichern. Q: Inwieweit enthält
Der Patient geht damit zur Apotheke, es gibt keine die Lösung proprietäre
Notwendigkeit für Zettel mit unleserlichen Verschrei- bzw. offene / standar-
bungen und leicht fälschbaren Unterschriften mehr. disierte Komponenten?
An sich kein Problem, aber Patientendaten (das bein- A: D2D / PaDok setzt durchgängig auf standardisierte
haltet neben den üblichen personenbezogenen Daten Formate und Schnittstellen. Einzige Ausnahme hiervon
die Krankengeschichte des Patienten, wogegen er ist das eigentliche Transport-Protokoll zwischen dem
womit behandelt wurde, wogegen er allergisch ist, (als datentechnisch “unsicher” einzustufenden) Kom-
etc.) sind sozusagen der Inbegriff der vom Datenschutz munikations-Client und dem jeweils zugeordneten
gemeinten schutzbedürftigen Daten. Daher kommen Server. Hier wird ein spezielles und hoch-ritualisiertes
hier diverse Bedrohungsszenarien ins Spiel: RPC-Protokoll verwendet, dass sich jedem Zugangs-
• Wenn jemand ins zentrale Rechenzentrum einbricht, Versuch mit Hilfe allgemeingültiger Internet-Werkzeu-
darf er die Daten nicht lesen können ge verschließt.

• Wenn jemand beim Arzt einbricht, darf er die Daten Ein “hoch-ritualisiertes RPC-Protokoll” klingt dann
von dessen Patienten nicht lesen können doch eher nach Quacksalberei als nach Expertentum.
Aber gut, das kann ja ein Übersetzungs- oder Doku-
• Darf der Apotheker Zugriff auf die Krankengeschich- mentationsfehler sein. Weiter unten in dem Dokument
te des Patienten haben? erfahren wir, daß die PaDok-Software auf einem exis-
tierenden Windows-Rechner im lokalen Netz der teil-
• Vielleicht will man noch, daß der Gynäkologe kei- nehmenden Praxis laufen soll. Einzige Anforderungen:
nen Zugriff auf Daten von Männern hat? Oder daß hat ISDN und kann auf einen File-Server schreiben, wo
der HNO-Arzt nicht zu sehen kriegt, ob der Patient an die Dokumente dann hin sollen. Bei den Worten “exis-
Geschlechtskrankheiten leidet? tierender PC” stellt sich aber die Frage, ob das tatsäch-
lich ein separater Rechner sein wird oder die Software
Implementation einfach mit auf den PC der Praxis-Buchhaltung instal-
liert wird.
Als Fundament der Infrastruktur hinter der Gesund-
heitskarte ist das PaDok-Konzept der Fraunhofer- Das PaDok-Konzept ist der Backend-Teil der Gesund-
Gesellschaft gewählt worden, an dem diese seit 1993 heitskarte, d.h. zwischen Arzt und zentraler Datenhal-
arbeiten. Der gute Name der Fraunhofer-Gesellschaft tung. Zur Sicherheit der Gesundheitskarte selbst (die
gekoppelt mit der langen Projektlaufzeit deuten auf der Patient dann in den Händen hält) können wir bis-
eine besonders saubere Planung gekoppelt mit makel- lang noch nichts sagen. Trotzdem ergeben sich interes-
loser Umsetzung durch international namhafte Exper- sante Fragestellungen. Z.B. stellt sich die Frage, ob sich
ten und Tests durch unabhängige Audit-Institute hin. ein Abhängiger über einen Trojaner auf dem PC des
Arztes E-Rezepte ausstellen kann.

7
die datenschleuder #85 / 2004

7
VERPEILEN IM INDUSTRIEMASSSTAB

Wir wollten es genauer wissen und haben uns auf der te auf dem zentralen Server abzulegen erscheint nicht
CeBIT bis zum PaDok-Stand durchgeschlagen, uns wirklich schwierig, zumal der Angreifer ja den Schlüs-
umfassend beraten lassen, und Unterlagen mitgenom- sel des Arztes hat.
men. Die Unterlagen sinn voll Buzzword-kompatibel
und sprechen von signaturgesetzkonformen digitalen Eine weitere Frage ist, in welcher Form die Dokumen-
Signaturen, starker Verschlüsselung und Einhaltung Pri- te eigentlich verteilt werden. Die Internet-Dokumen-
vatsphäre. te, die wir gesehen haben, schlagen XML vor, aber das
scheint nicht das einzige Format zu sein. Auf Nach-
Um so schockierender war, was uns dann von einem frage meinte unser Kontaktmann, daß man da auch
Fraunhofer-Mitarbeiter bei einem Bierchen von einer Word-Dokumente (und damit Makroviren) transpor-
Teststellung erzählt wurde, die er mal kurz gesehen tieren kann. Ein Angreifer kann so also Arztpraxen
hatte: angreifen, indem er mit Makroviren infizierte Doku-
mente zu seinen Patientendaten tut, z.B. indem er
1. Das Kartenterminal hatte keine PIN-Eingabe. Die sie bei einem anderen Arzt abgibt als seine Fallhisto-
PIN gibt man auf dem PC ein. Ein Trojaner kann das rie “von einem anderen Arzt” auf Diskette, und der sie
also abfangen. dann ins PaDok-System einpflegt.
2. Der Kartenleser wird einfach seri- ell Ein interessantes Detail ist,
angeschlossen. Mit Windows- daß die Dokumen-
Hausmitteln kann ein Trojaner te nur beim
die Kommunikation abfan-
gen, mitlesen und sogar
manipulieren.

3. Aus Kostengrün-
den findet die
Kryptographie
nicht auf den Kar-
ten statt, sondern
im PC. Die Karte ist lediglich
ein Lagerraum für den geheimen
Schlüssel, den die Karte mit der (mitge-
lesenen) PIN rausrückt.
Transport verschlüsselt sind. Über den
Wenn also ein Angreifer einen Trojaner auf dem Arzt- Microsoft-Plattformen inhärenten Makrovirenangriff
rechner installiert, kann er den geheimen Schlüssel des kommt man so auch an Daten anderer Patienten her-
Arztes extrahieren, sich ins Internet einwählen (der an, die noch auf dem System des angegriffenen Arz-
Arztrechner hat ISDN-Zugang für das PaDok-System, tes herumliegen. Und da können vielleicht auch noch
darüber kann der Trojaner sich also prima irgendwo sensible Patientendaten liegen, die gar nicht im PaDok-
einwählen), und den Schlüssel irgendwo ablegen. In System eingepflegt wurden.
den Unterlagen wird vorgeschlagen, daß die Ärzte sich
nur über einen ISDN-Router und nicht über ISDN-Kar-
te einwählen sollen. Man darf sich aber keiner Illusion Eskalation
hingeben, daß das tatsächlich hilft. Falls der Trojaner Nachdem klar ist, daß das System auf Arztseite kom-
nicht nach Hause telefonieren kann bricht der Angrei- promittierbar ist, stellt sich natürlich die Frage, wieviel
fer eben nachts ein und holt sich den Schlüssel von der ein Angreifer von einem übernommenen Arztsystem
Festplatte. aus an der zentralen Infrastruktur machen kann. Der
erste Teil dieser Fragestellung ist, wie weit ein Angrei-
Diese Aufbewahrung des Schlüssels ist ein kapitaler
fer mit einem ausgespähten geheimen Arztschlüssel
Designfehler. Insbesondere stellt sich das ganze Kar-
kommt.
tenleser- und PIN-Brimborium als lächerliche Sicher-
heitssimulation ohne Steigerung der tatsächlichen Laut http://www.kvno.de/importiert/habu_300.pdf authen-
Sicherheit heraus, wenn man sich diese Möglichkeiten tisiert sich der Arzt-PC bei der Zentrale über seine
vor Augen führt. ISDN-Rufnummer. Die Zentrale ruft dann zurück. Auch
hier ist möglicherweise ein Angriff auf die umliegende
Die E-Rezepte liegen nicht komplett auf der Gesund-
Infrastruktur möglich, über umprogrammierte ISDN-
heitskarte des Patienten, sondern auf dem D2D-Server,
Anlagen oder man würde eben über den Trojaner den
und auf der Karte liegt lediglich ein Freischaltcode. Mit
Arzt-PC fernsteuern.
diesem holt sich der Apotheker dann das Rezept vom
Server und entschlüsselt es. So ist immerhin verhindert, Die zentrale Innovation bei PaDok ist, daß man Doku-
daß sich ein Angreifer ohne weiteren Zugriff auf einen mente “ungerichtet verschlüsselt”. Die Fraunhofer-
kompromittierten Arzt-PC E-Rezepte ausstellen kann. Gesellschaft läßt kaum eine Gelegenheit aus, auf dieses
Aber über den Trojaner auf dem Arzt-PC Dokumen- “hochwertige” Softwarepatent hinzuweisen. Die Idee

8
#85 / 2004 die datenschleuder

8
LECKERE REZEPTE ZUM SELBERMACHEN

ist, daß die Dokumente auf dem Server liegen, aber sich hier als Angreifer einzutragen und dann die kom-
der Dateiname aus der (geheimen) Vorgangskennung promittierte Arztpraxis nicht mehr zu benötigen. Der
besteht. Wenn der Patient jetzt zu einer neuen Praxis Vollständigkeit halber sei noch gesagt, daß die sich auf
geht, hat er von der alten einen Schrieb mit der Vor- dem Server einwählenden Clients üblicherweise Win-
gangskennung dabei, gibt diese der neuen Praxis, und dows 98 Systeme sind, die noch leichter zu öffnen sind
die kann dann diese Datei abrufen. als die Server. Viele Ärzte werden da vermutlich auch
direkt ihre File Shares drauf haben und die Patienten-
Das klingt ja erst mal wie eine gute Idee, bis man mal daten direkt per SMB veröffentlichen, zum einfacheren
genauer hinschaut, wie sich so eine Vorgangskennung Zugriff im LAN. Der Einsatz von Firewalls ist jedenfalls
zusammensetzt. Der Dateiname besteht aus der Vor- nicht vorgesehen im Konzept, haben wir uns versi-
gangs-ID und einem “Krypto-Teil”. Die Vorgangs-ID chern lassen. So etwas bräuchte man nicht, das sei ja
ist einfach “aa”, die Arzt-ID (die man von früheren alles sicher und überhaupt sei das Konzept mit Daten-
Überweisungen von/zu dem Arzt her kennt), ein fort- schutzbeauftragten zusammen erstellt und von denen
laufender Vorgangszähler, das Datum der Akte sowie abgesegnet worden.
ein Ordnerzähler (einzelner Buchstabe, beginnend mit
“a”). Das ist alles trivial ratbar.
Zusammenfassung
Diese Vorgangs-ID ist auf dem Server der Name eines
Verzeichnisses. In dem Verzeichnis liegen die eigentli- Wir hatten bisher noch keinen Erfolg beim Versuch,
chen Dateien, und zwar mit dem Zeitstempel des Cli- uns ein solches Testsystem zur eigenen Begutach-
ents beim Anlegen des Dokumentes in Millisekunden. tung zu beschaffen. Das ist allerdings geplant. Wir sind
gespannt, was eine eigenhändige Analyse des Systems
Die Vorgangskennung besteht nun aus der Vorgangs- noch so alles ergeben wird.
ID und dem “Krypto-Teil”. Insgesamt hat man 21
Zeichen Platz, von denen die Vorgangs-ID nun lei- Was wir bisher von dem System gehört haben, erin-
der schon 16 belegt. Das hinterläßt bei der gewählten nert an eine Schlucht aus einem Indiana Jones Film,
Kodierung noch etwa 26 Bit für den eigentlich Schutz über die eine kleine wackelige Hängebrücke montiert
gegen Raten. Das alleine ist schon viel zu wenig, aber wurde, und unser einheimischer Führer teilt uns mit,
wenn man ein paar tausend IDs generiert, stellt man daß alles sicher sei, man solle einfach nicht nach unten
fest, daß es sich um die Ausgabe eines Zufallszahlen- gucken.
generators mit einem 16-bit Seed handelt. Damit ist Das PaDok-System ist lediglich das Backend für das
es ohne Probleme möglich, mögliche Vorgangs-IDs zu Gesundheitskarte-Gesamtsystem. Das ist zweifelsoh-
generieren, wobei man im Durchschnitt lediglich ca. ne der wichtigste Teil, aber wenn hier schon derartig
32000 generieren muß, bis man ein Dokument trifft. gepfuscht wird, was haben wir dann von dem Fron-
Diese Dokumente, zu denen man sich so Zugang tend-Teil zu erwarten? Wie sicher ist die Gesundheits-
beschaffen kann, sind dann allerdings verschlüsselt. karte selber? Kann unser marodes Gesundheitssystem
Die Frage ist, ob sie anständig verschlüsselt sind, und diese zusätzliche Belastung durch selbst erhackte E-
ob sie z.B. gegen Replay-Angriffe gesichert sind, ob Rezepte verkraften?
ein Angreifer sich sein Metadon-E-Rezept duplizie- Auch wenn man das Risiko für die Durchführung der
ren könnte. skizzierten Angriffe für eher gering hält, ergibt sich
doch die beunruhigende Tatsache, daß korrupte Ärz-
Andere Richtung te angesichts solcher Infrastruktur-Mißstände leichtes
Spiel haben, weil sie sich immer auf Hacker im System
Aber kann man vielleicht auch einen solchen Server berufen können.
direkt angreifen? Eine ISDN-Verbindung klingt ja wie
eine sichere Sache. Von einem Beobachter einer Test- Angesichts dieser katastrophalen Umstände empfiehlt
stellung in einem Krankenhaus haben wir erfahren, daß der CCC ausdrücklich, die Gesundheitskarte noch ein
über das ISDN eine normale TCP/IP Einwahl durchge- paar Jahre nach hinten zu verschieben, und die bereits
führt wird, und daß der Server ein einfaches Windows bestehenden Komponenten und zukünftigen Plä-
NT 4.0 ohne Firewall oder Dienste-Zumachen war. Wir ne einer anständigen Analyse von neutraler Seite zu
können also davon ausgehen, daß diese Systeme von unterziehen. Immerhin wird hier mit Steuergeldern
einem dedizierten Angreifer in Minuten zu öffnen sind, hantiert. Gerade in Zeiten von Hartz IV sind solche
nachdem er zuende gestaunt und fertig gelacht hat. Verschwendungen (in PaDok und D2D sollen dreistel-
lige Millionenbeträge geflossen sein) nicht zu rechtfer-
Nachdem ein Angreifer das Server-System übernom- tigen. Dafür hätte man hunderttausenden von sozi-
men hat, ergeben sich natürlich noch ganz andere al Schwachen helfen können, anstatt ihnen jetzt ihre
Möglichkeiten. So kann der Angreifer z.B. “strings” Bezüge zu streichen.
über die Anwendung laufen lassen und dabei das
Datenbank-Paßwort im Klartext auslesen. In der [1] http://www.kvno.de/mitglieder/d2d/faq_tech.html
Datenbank stehen dann die ISDN-Rufnummern, die
das System annimmt und zurück ruft. Ein leichtes also,

9
die datenschleuder #85 / 2004

9
WHILE(1) { GOTO JAIL; }

Die Gefahren der


Softwarepatente
von Alexander Bernauer <alexander.bernauer@ulm.ccc.de>

Der CCC Ulm hat zwei Chaosseminare zum Thema Softwarepatente veranstaltet. Am
13. Oktober 2003 hat Christian Cremer, Patentanwalt aus Neu-Ulm, das Patentsystem
allgemein und den Übergang zu Softwarepatenten aus seiner Sicht als Patentanwalt
dargestellt.

Am 4. November 2004 hat Richard M. Stallman [1] bedeutet auch, dass es mehrere Patente auf die selbe
einen Vortrag über die Gefahren der Softwarepatente Idee geben kann.
gehalten [2]. Stallman ist als Gründer der Free Softwa-
re Foundation [3] und der GNU Bewegung [4] beson- • Schöpfungshöhe: Unter Berücksichtigung des Stan-
ders angagiert im Kampf gegen Softwarepatente. des der Technik und den Fähigkeiten des Durschnitts-
Jedoch wird nicht nur freie Software von Softwarepa- fachmanns muss es sich um eine erfinderische Tätigkeit
tenten bedroht, sondern fast alle, die im Bereich Infor- handeln. Das bedeutet insbesondere, dass die aufge-
mationstechnik tätig sind, und im Grunde auch jeder zeigte Lösung nicht naheliegend sein darf. Trivialpaten-
Endanwender. Dieser Artikel greift die Inhalte und die te sind damit ausgeschlossen.
Argumentationen aus beiden Vorträgen auf und gibt • gewerbliche Anwendung: das Erfundene muss sei-
einen Überblick über Softwarepatente und ihre Kon- ner Art nach geeignet sein, um in einem technischen
sequenzen. Gewerbebetrieb hergestellt oder angewendet zu wer-
Ein Patente ist ein Monopol auf die Verwendung einer den.
Idee. Softwarepatente sind damit Monopole auf die • Technizität: die Erfindung muss technisch sein. Die
Verwendung von Ideen, die man in Software einsetzen gültige Definition von Technizität ist: planmäßiges
könnte. Wichtig dabei ist, dass sich ein Softwarepa- Handeln unter Einsatz von beherrschbaren Naturkräf-
tent sich nicht auf ein komplettes Programm bezieht, ten zur Erzielung eines kausal übersehbaren Erfol-
sondern auf eine Idee, die in vielen verschiedenen Pro- ges ohne menschliche Verstandestätigkeit zwischen-
grammen eingesetzt werden könnte. zuschalten, wobei der kausal übersehbare Erfolg die
Die ursprüngliche Idee des deutschen Patentsystems unmittelbare Folge des Einsatzes beherrschbarer Natur-
war, Erfindern einen Investitionsschutz zu gewähren kräfte ist.
und dafür im Gegenzug das neue Wissen für die Allge- Patente auf Mathematische Methoden, Pläne und Ver-
meinheit zu erhalten. Jemand forscht an einer neuen fahren für geschäftliche Tätigkeiten und Programme
Sache und veröffentlicht die Ergebnisse. Im Gegenzug für Datenverarbeitungsanlagen sind zusätzlich explizit
bekommt er ein Monopol zur wirtschaftlichen Ausbeu- ausgeschlossen.
tung seiner Ergebnisse, um seine Investitionen für die
Forschung wieder rein zu holen und Gewinn mit seiner Um für eine Idee einen Patentschutz in Deutschland zu
Arbeit erzielen zu können. Nach einer gewissen Zeit erlangen muss man eine Anmeldung beim zuständigen
läuft das Patent aus und das Wissen wird zum Allge- Patentamt abgeben und eine Gebühr bezahlen. Nach
meingut. Der gewünschte Effekt des Patentsystems ist einer formalen Überprüfung der Anmeldung folgt die
also die Förderung von Investitionen in die Forschung Recherche zum Thema und die Offenlegung der origi-
und damit die Förderung von Innovationen. nalen Anmeldeunterlagen. Anschließen kommt es zur
materiellen Prüfung in der sich ein technischer Patent-
Damit eine Idee in Deutschland patentierbar ist, muss prüfer mit den Ergebnissen der Recherche beschäf-
sie vier Kriterien erfüllen. tigt und die Patentierbarkeit der Idee überprüft. Er ent-
• Neuheit: Nach dem absoluten Neuheitsbegriff muss scheidet dann, ob das Patent erteilt wird, oder nicht.
unter Berücksichtigung des allgemeinen Fachwissens Wird es erteilt, so kann jeder dritte ein Einspruchsver-
zum Prioritätszeitpunkt die Erfindung neu sein. Das fahren starten, in dem er eigenes Material zur Erneu-
ten materiellen Prüfung vorlegt. Das kann dazu führen,
dass die Erteilung des Patentes zurückgezogen wird.

10
#85 / 2004 die datenschleuder

10
WHILE(1) { GOTO JAIL; }

Nach einer gewissen Frist erlischt die Möglichkeit, ein erfüllt sind. Da es für einen Patentprüfer mehr Arbeit
Einspruchsverfahren anzustreben. Es bleibt jedoch die bedeutet, ein Patent abzulehnen, wird er es im Zwei-
Möglichkeit, ein Nichtigkeitsverfahren anzustreben, bei felsfall eher akzeptiert. Die Konsequenz sind Trivialpa-
dem sich ein Gericht mit der Gültigkeit eines Patentes tente, mehrere Patente auf die selbe Idee und Patente
beschäftigt. auf bereits bekannte Ideen, wofür es jeweils genügend
Beispiele gibt, wie z.B. ein Patent auf das Rad, das
Patente werden oft mit Copyright oder Urheber- 2001 in Australien erteilt wurde [6].
recht in einen Topf geworfen [5]. Das ist aber gänzlich
falsch. Das Urheberrecht schützt die Arbeit des Erfin- Das Kriterium “Technizität” verhinderte bislang die
ders, also eine konkrete Umsetzung einer Idee. Ein Patentierbarkeit von Software. Natürlich ist eine exak-
Patent bezieht sich aber auf die Idee selber und somit te Trennung zwischen Softwarepatent und techni-
auf alle möglichen Arbeiten, die diese Idee umsetzen. schem Patent nicht einfach. In der Grauzone bewegt
Wenn jemand ein Programm schreibt, so kann er sicher sich z.b. Software, die als zusätzlichen Seiteneffekt
sein, kein Urheberrecht zu verletzen, wenn er nichts irgendwo ein Lämpchen blinken lässt. Da ein techni-
kopiert hat. Nicht zu kopieren heißt aber nicht, dass sches Merkmal genügt, ist damit die Hürde der Techni-
man sicher kein Patent verletzt. Ein weiterer wichtiger zität genommen. So gibt es mittlerweile eine Reihe von
Unterschied ist, dass der Schutz des Urheberrechts auf Patenten dieser Bauart, die sich eigentlich auf Softwa-
eine Arbeit automatisch wirksam ist, während man für re beziehen. Dazu kommt jetzt, dass man das Tech-
eine Patentanmeldung drei Dinge braucht: Geld, Zeit nizitätskriterium so erweitern möchte, dass es offiziell
und das Glück, es als Erster angemeldet zu haben. möglich ist, Software zu patentieren. ...

Im Lauf der Jahre hat sich die Praxis des Patentwe- Falls Softwarepatente eingeführt werden, wird sich
sens von der anfänglichen Idee wegbewegt und wider- ein Programmierer überlegen müssen, was zu tun ist,
spricht mittlerweile den Grundsätzen von damals. Klar um sicher kein Patent zu verletzen. Man müsste alle
ist, dass man als Unternehmen zwar den Patentschutz Ideen, die in der Software Verwendung finden, auflis-
für eine Idee haben, der Konkurrenz aber trotzdem so ten und einzeln auf die Existenz von Patenten abprü-
wenig Wissen wie möglich darüber vermitteln möch- fen. Das ist aber im Allgemeinen unmöglich. Zunächst
te. Das führt dazu, dass die Patentschriften mit Absicht einmal ist es nicht leicht, wirklich alle Strukturen und
nur so viel über die Idee aussagen, um im Zweifels- Ideen einer Software zu finden. Das liegt daran, dass
fall mit ein wenig Interpretationshilfe ein Gericht über- man ein Programm auf viele verschiedene Arten struk-
zeugen zu können und sonst keine weiteren Details turieren kann. Zum Beispiel könnte man die Granula-
oder gar Hilfestellungen für einen Leser beinhalten. Die rität bei der Analyse verändern und bekäme damit ein
Kunst beim Formulieren von Patentschrif- ganz anderes Bild von Einzelkomponenten und ihrem
ten, diesen schmalen Grat nicht Zusammenspiel. Das Erstellen einer erschöpfenden
zu verlassen, ist das Hand- Liste aller verwendeter Ideen erfordert eine viel
werk der Patentanwäl- höhere mentale Fähigkeit als das Schreiben
te. Damit wird der Vorteil des Programms.
eines Patentes für das
Allgemeinwohl, die Angenommen man hätte aber tatsäch-
Erhaltung von Wis- lich die vollständige Liste der ver-
sen über Neues, wendeten Ideen: dann wäre es
geschwächt. immer noch unmöglich, für jede
Idee herauszufinden, ob sie
Die schwammi- patentiert ist. Das liegt zum
ge Formulierun- einen an den sogenannten
gen in Patent- schwebenden Patenten. Das
schriften führen sind Anmeldungen auf
dazu, dass sich Patente, die zwar schon
ein Patenprü- eingereicht aber noch
fer schwer tut, nicht veröffentlich
einen Antrag wurden. Es kann also
zu bearbei- sein, dass sich erst spä-
ten. Verständ- ter herausstellt, dass
lich, dass sich man ein Patent ver-
ein Einzelner letzt, ohne dass man
schwer tut, eine Chance gehabt
innerhalb kur- hätte, das im Vorfeld
zer Zeit zu ent- in Erfahrung zu brin-
scheiden, ob gen. Beispiel dafür ist
alle Kriterien die LZW Komprimie-
für die Paten- rung, die im GNU Pro-
tentierbarkeit Richard Stallman gramm compress ein-

11
die datenschleuder #85 / 2004

11
WHILE(1) { GOTO JAIL; }

gesetzt werden sollte. Kurze Zeit vor dem Release der gen. Diese Lizenz stellt grundsätzlich der Inhaber des
Software wurde ein US Patent auf diesen Algorith- Patents aus. Er ist dazu aber nicht verpflichtet. Auch
mus erteilt. Selbst wenn man ein eigenes Patent für die für die Nutzungsbedingungen gibt es keinen Rahmen,
Idee beantragt, bringt das in diesem Fall nichts, weil so dass man der Willkür des Inhabers ausgeliefert ist.
bei einem Konflikt immer derjenige den Zuschlag vom Zusätzlich ist es so, dass man vielleicht mehr als eine
Patentamt bzw. vor Gericht erhält, der seinen Antrag Lizenz kaufen muss, weil mehr als ein Patent verletzt
als erster eingereicht hat. Ein weiteres Problem ist oder mehrere Patente auf die selbe Idee existieren.
die Masse der existierenden Patente. Es sind so viele,
dass das Durchforsten aller möglicherweise relevanten Letzteres darf zwar gemäß Patentrecht nicht sein,
Patente bei weitem länger dauert, als das Schreiben kommt in der Realität aufgrund der schwammigen For-
der Software selber. Hinzu kommen die schwammigen mulierungen in den Patenttexten aber durchaus vor.
und unklaren Formulierungen in Patenttexten, die die Die Kosten für Lizenzen sind damit ein unkalkulierbares
TTU (Time-To-Understanding) massiv verlängern. Stall- Risiko für Unternehmen. Erfahrungen aus den USA zei-
man erwähnte zum Beispiel ein US Patent auf topo- gen, dass wenige Lizenzen genügen, um den Business
logische Sortierung, in dessen Patenttext der Begriff Plan eines Unternehmens zu sprengen und damit sei-
“topologische Sortierung” kein einziges Mal auftaucht. nen Tod zu bedeuten.

Es bleibt einem als Programmierer also nichts weiter Als letzte Möglichkeit bleibt ein Nichtigkeitsverfah-
übrig, als zu hoffen, kein Patent zu verletzen. Alter- ren anzustreben. Man müsste dafür zeigen, dass eines
nativ bleibt die Hoffnung, dass es niemandem auf- der Kriterien für dieses Patent zum Vergabezeitpunkt
ällt, wenn man doch eines verletzt. Richard Stallman nicht erfüllt war. Außer dem Neuheitskriterium sind alle
beschreib das bildhaft als “mit verbundenen Augen anderen subjektiver Natur, so dass ein Gericht im All-
durch ein Minenfeld laufen (mit dem Unterschied, dass gemeinen wahrscheinlich die damalige Entscheidung
Minen nur einmal explodieren)”. des Beamten respektieren wird. Es bleibt also nur die
Möglichkeit, Beweise dafür zu finden, dass die Idee
Falls man trotz aller Vorsicht ein Patent mit seiner Soft- damals nicht neu war. Das kann in Einzelfällen gelin-
ware verletzt, stellt sich die Frage, was man tun kann. gen. Im Allgemeinen gibt es jedoch selten beglaubig-
Erstens kann man versuchen, die Verwendung der te Dokumente, die den Einsatz einer Idee zu einem
patentierten Idee zu vermeiden. Das kann einfach sein, bestimmten Zeitpunkt bestätigen. Selbst wenn man
es kann aber auch beliebig schwer werden. So gibt es den Prozess gewinnt, so hat man viel Geld und Zeit
zum Beispiel ein US Patent auf die Fast Fourier Trans- verloren, was wieder die meisten Business Pläne spren-
formation (FFT). Wenn man eine Software geschrie- gen dürfte.
ben hat, die die FFT verwendet, so kann man vielleicht
auf die normale Fourier Transformation zurück grei- Alle drei Möglichkeiten können gangbare Wege sein.
fen, da diese nicht patentiert ist. Wenn die Softwa- Im Allgemeinen wird man jedoch selten das Glück
re aber ohnehin schon selbst auf den größten Maschi- haben, für jedes Patent, das man verletzt, einen der
nen am Resourcenlimit kratzt, so ist sie unbrauchbar, Wege gehen zu können und dabei insgesamt zu über-
wenn man keine FFT einsetzen kann. Ein anderer Fall, leben. Scheitert man ein Mal, ist das Projekt tot. Und
in dem man nicht auf die Verwendung einer Idee ver- dabei ist im Vorfeld nicht abzusehen, mit wie vielen
zichten kann, sind Spezifikationen, die die Verwendung Forderungen von Patentinhabern man konfrontiert
bestimmter patentierter Algorithmen vorschreiben. Bei- werden wird. In der Konsequenz werden sich weni-
spiele dafür sind PostScript und GIF. Die Implementie- ger Unternehmer auf dieses unkalkulierbare Spiel ein-
rung gemäß der Spezifikation kann man vielleicht nicht lassen, so dass die Einführung von Softwarepatenten
umgehen, weil es sich um einen de-facto oder gar für die Softwarebranche weniger Investition und damit
öffentlichen Standard handelt. Der Sinn von Software weniger Innovation bedeuten würde. Beides Dinge, die
ist ja, dass sie benutzt wird. Wenn einer Software die das Patentwesen eigentlich fördern wollte.
Unterstützung vieler Standards fehlt, so wird sie kei- Softwarepatente haben jedoch nicht nur Nachtei-
ne Akzeptanz bei Benutzern finden und ihre Entwick- le, sonst würde es niemanden geben, der ihre Ein-
lung damit sinnlos werden. Das gleiche gilt für Elemen- führung fordern würde. Der Vorteil von Patenten ist
te der grafischen Benutzerschnittstelle, an die sich die im Allgemeinen, dass man Geld durch die Vergabe
Benutzer so gewöhnt haben, dass es schwer fällt, einen von Lizenzen verdienen kann. Außerdem hat man ein
Ersatz zu finden, der das selbe vermittelt und vom Instrument zur Kontrolle des Marktes, weil man Kon-
Benutzer akzeptiert wird. Ein Beispiel dafür ist der Fort- kurrenten beliebig ausschalten kann, wenn man ein
schrittsbalken. Ein Problem hat man auch, wenn man Patent auf eine Schlüsseltechnologie besitzt. Dafür
es mit einem Patent zu tun hat, das eine ganze Familie braucht man aber Patentanwälte, die bezahlt wer-
von Ideen abdeckt. Ein Beispiel dafür sind US Patente den wollen. Außerdem kann es ebensogut sein, dass
auf Public-Key-Kryptographie. Hier kann man nicht auf ein Konkurrent ein Patent auf eine Schlüsseltechnolo-
die Verwendung der Idee verzichten, weil die Wissen- gie besitzt, was für das eigene Unternehmen negative
schaft keine Alternativen kennt. Konsequenzen haben kann.
Eine zweite Möglichkeit im Falle der Verletzung eines
Patents ist es, eine Lizenz für die Nutzung zu erlan-

12
#85 / 2004 die datenschleuder

12
WHILE(1) { GOTO JAIL; }

Der Nachteil von Softwarepatenten überwiegt also den seine patentierte Idee nicht klauen dürfen und er somit
Vorteil deutlich, so dass sich die berechtige Frage stellt, in Ruhe sein geniales Produkt kommerziell verwerten
wie sich das überhaupt für irgend ein Unternehmen kann. Hört sich gut an.
rechnen kann. Der Antwort darauf lautet: Lizenzaus-
tausch. Die Idee ist folgende: man hat stapelwei- Doch die Realität ist eine andere. Das Genie wird zwar
se Patente, so dass man einen Patentinhaber im Fal- - mit etwas Geld und Geduld - ein Patent auf seine
le einer Verletzung seines Patentes seinerseits wegen Idee erhalten, und ein Konkurrent wird dann seine Idee
Patentverletzung verklagen kann. Das funktioniert, nicht klauen dürfen, da er sonst das Patent verletzt. Im
weil sich in der Menge der schwammig formulierten Gegenzug jedoch verletzt das Genie mit seiner Soft-
Patente im Normalfall immer mindestens eines finden ware sehr wahrscheinlich gleich mehrere Patente von
lässt, gegen das der andere mit etwas Interpretations- Megakonzernen. Das liegt ganz einfach daran, dass die
hilfe verstößt. Diese Situation der gegenseitigen For- Konzerne so viele schwammige Patente besitzen, dass
derung lässt sich dann einfach auflößen, in dem man sich mit hoher Wahrscheinlichkeit einige finden lassen,
sich gegenseitig Lizenzen zur Verwendung des Paten- die sich auf irgend einen Teil der Software des Genies
tes gibt. beziehen. Das Genie sieht sich somit mit einer Gegen-
forderung konfrontiert. Als einzigen Ausweg bietet die
Die Ameldungen und die Verwaltung der Patente, Konkurrenz einen Lizenzaustausch an. Wenn das Genie
das Finden von günstigen Patenten, die sich für For- es nicht schafft, die Forderungen abzuwehren ohne
derungen gegenüber andere eignen sowie das Aus- dabei finanziell zu Grunde zu gehen, ist sein Unterneh-
handeln und Verwalten der Lizenzen ist ein sehr gro- men tot. Geht er auf den Lizenzaustausch ein, gibt er
ßer Aufwand, für den ein Unternehmen im Normalfall sein Monopol auf seine Idee auf, so dass der Mega-
eine eigene Abteilung mit Patentanwälten braucht. Es konzern nun doch mit ihm auf dem Markt konkurrie-
ist klar, dass sich das nicht jedes Unternehmen leisten ren kann. Beide Fälle sollte das Patentsystem eigent-
kann. Daher sind es meistens Megakonzerne, die die- lich verhindern.
se Strategie verfolgen. Es folgt, dass man nur Zugang
zu gewissen Technologien bekommt, wenn man zum Eine anderes Argument von Befürwortern ist, dass es in
Kreis der Megakonzerne gehört und sich damit den anderen Branchen auch Patente gibt. Warum nicht in
Zugang erzwingen kann. Der Nachteil der Softwarepa- der Informatik? Auch hier wollen Unternehmen Inves-
tente, das unvorhersagbare Belangen durch Patentin- titionsschutz. Wo ist der Unterschied? Grundsätzlich
haber, ist somit kompensiert und es bleiben die Einnah- gilt es hier zu bedenken, dass diese Argumentation nur
men durch Lizenzen und die Kontrolle des Marktes. greift, wenn man das Patetensystem an sich als etwas
Positives anerkennt. Ohne die Grundlagen des Paten-
Vor allem in der Informatikbranche ist die Kontrol- system hier diskutieren zu wollen, wirft zumindest die
le des Marktes ein wichtiger Punkt. Zum einen gibt gängie Praxis schwere Zweifel am Vorteil für die Allge-
es fast monatlich neue Technologien und Ideen, die meinheit auf. Doch selbst wenn die Praxis den eigent-
in ein Produkt implementiert Erfolg am Markt brin- lichen Ideen des Patentsystems folgen würde, gibt es
gen können. Diese Schnellebigkeit der Branche macht grundsätzliche Unterschiede zwischen der Informatik
es aber für marktkontrollierende Unternehmen schwer, und Ingenieursbranchen, so dass die Veraussetzungen
den Überblick zu behalten. Außerdem braucht es im für ein Patentsystem mit Vorteil für die Allgemeinheit
Gegensatz zum Ingenieurswesen viel weniger Start- nicht gegeben sind.
kaptial, um ein Unternehmen zu gründen und mit
Hilfe einer guten Idee Erfolg am Markt zu erlangen. Software ist Mathematik. Eine Software läuft auf einer
Im Zweifelsfall tun es ein paar PCs aus dem nächs- universellen Maschine mit einer Spezifikation. Die-
ten Supermarkt und eine Hand voll Entwickler. In der se Spezifikation ist eine mathematische Beschreibung
Konsequenz gibt es ständig neue Unternehmen, die der Funktionalität der Maschine. Die Anwendung die-
aus dem Nichts hervortreten und den Etablierten den ses universellen Machine, ein Programm, ist damit eine
Markt streitig machen. Mit Hilfe von Softwarepatenten Sammlung von mathematischen Beschreibungen. Es
wäre die Gefahr für Megakonzerne gebannt. liegt in der Natur von mathematischen Beschreibun-
gen, dass sie umformuliet werden können, ohne ihre
Ironischerweise lässt sich das am besten an Hand einer Aussage zu ändern. Der Zusammenhang zwischen
Argumentation von Befürwortern zeigen, und zwar am zwei mathematischen Beschreibungen für die selbe
Mythos des ‘Starving Genius’ (verhungerndes Genie): Aussage ist im Allgemeinen nicht offensichtlich. Des-
Gegeben ein Genie, das eine tolle Erfindung hat und halb kann es einem Patentprüfer einfach passieren,
sich jahrelang in seiner Garage einschließt um die Idee dass er ein Patent auf eine Idee vergibt, die eigent-
zu implementieren. Wenn er damit fertig ist, grün- lich schon patentiert ist; noch eher als bei technischen
det er ein Unternehmen, um die Früchte seine Arbeit Patenten, wo das selbe allein auf Grund der schwam-
zu ernten. Jetzt kommen aber die etablierten Konzer- migen Formulierungen in den Patenttexten in der Ver-
ne der Branche, klauen ihm die Idee und drücken mit gangenheit schon geschehen ist. “Ein Patent pro Idee”
ihren Kapitalreserven die Marktpreise. Das arme Genie wird sich also für Softwarepatente kaum halten lassen,
kann diesem Konkurrenzdruck nicht Stand halten, weil was jedoch ein zentraler Aspekt eines Patentsystem ist.
ihm das Kapital fehlt. Er geht zu Grunde. Das Patent-
system soll ihn jetzt vor den Großen schützen, da diese

13
die datenschleuder #85 / 2004

13
WHILE(1) { GOTO JAIL; }

Viele Probleme eines Ingenieurs stellen sich für einen Richard Stallman vergleicht Software mit Musik. Beides
Informatiker gar nicht: Resonanzfrequenzen, EMV, ist eine Komposition von bekannten Einzelteilen und
Verschleiß, Robustheit gegenüber Umwelteinflüs- bei beiden besteht die Kunst darin, bekannte Elemente
sen, usw. Vor allem gibt es in der Informatik keine Dis- so zusammenzusetzen, dass schöne Musik bzw. gute
krepanzen zwischen den Modellen und der Realität. Software entsteht. Ab und zu findet jemand ein neues
Wenn man annimmt, dass Informatiker und Ingenieu- Element das er in ein Gesamtwerk aus sonst bekannten
re im Schnitt die selbe Intelligenz besitzen, dann folgt Elementen einbettet. Angenommen, es gäbe Patente
daraus, dass ein Software viel komplexer aufgebaut auf Musik. Wie genial hätte dann ein Mozart oder ein
werden kann, bevor die Probleme darin die menta- Bethoven sein müssen, um Musik zu komponieren, die
len Fähigkeiten des Entwicklers überschreiten. Je kom- erstens von den Leuten akzeptiert wird und zweitens
plexer ein System ist, desto mehr Einzelkompontenten keine bis dahin bekannten Elemente verwendet? Da
sind im Allgemeinen darin verbaut. Deshalb verletzt der Sinn von Musik ist, gehört zu werden, würde ein
eine typische Software gleich mehrere Softwarepaten- Komponist mit diesem Problem konfrontiert werden.
te, was u.a. dem starving Genious das Genick bricht. Genau das selbe Problem hat ein Programierer, der
Software schreiben will, die vom Benutzer verwendet
Alle oben beschriebenen Probleme mit der gängigen wird. Es ist einfach nicht möglich, Software zu schrei-
Praxis bei Patenten würden sich bei Softwarepaten- ben, ohne dabei bekannte Ideen zu verwenden.
ten ergeben, selbst wenn die gängige Praxis sich an
die Ideen des Patentsystems halten würde. Realistisch [1] http://www.stallman.org/
betrachtet werden sich also die Probleme mit Patenten [2] http://ulm.ccc.de/chaos-seminar/rms/video-de.html
für die Informatikbranche verschärfen. Eine geschlos- [3] http://www.free-soft.org/
sene Gemeinschaft von Megakonzernen wird sich bil- [4] http://www.gnu.org/
den, die sich den Markt aufteilen und gemeinsam kon- [5] In Deutschland gibt es kein Copyright Gesetz, son-
trollieren. Für den Endanwender bedeutet das, dass es dern das Urheberrecht. Die Unterschiede sind für die
kaum Alternativen zu einer Software geben wird, und Argumentation aber bedeutungslos.
man sich mit seinen Wünschen komplett in der Hand [6] http://www.ipmenu.com/archive/AUI_2001100012.pdf
und damit in der Willkür einzelner Unternehmen befin-
det.

Die Investitionskosten in der Informatikbran-


che sind im Vergleich zu denen aus Inge-
nieursbranchen sehr viel kleiner. Das liegt
daran, dass man keine Labore und Produkti-
onshallen mit vielen Auflagen, teuere Mess-
geräte, Maschinen und Spezielwerkzeuge
braucht. Der Inverstitionsschutz ist deshalb
nicht so zentral wie in anderen Branchen.
Deshalb stellt sich die Frage, ob es hier auch
legitim ist, dafür die Freiheitsrechte anderer
zu beschränken und staatlich durchzusetzen,
was das Patentsystem tut.

Es wird argumentiert, dass es falsch wäre,


wenn sich andere an den Früchten der Arbeit
eines Erfinders bereichern. Deshalb muss
ein Patentsystem her, auch in der Informa-
tik. Das ist aber falsch. Man tut dabei so, als
ob die geniale Idee aus dem Nichts entstan-
den wäre, ohne jegliches Vordenken und
ohne Inspiration durch Ideen anderer. Das ist
aber fast nie der Fall. Warum darf der Erfin-
der alles Vorwissen umsonst nehmen um
es dann, wenn er es mit einer Idee von sich
angereichert hat, auf einmal den anderen
vorzuenthalten? Das ist nicht konsequent.
Man müsste alle seine Vordenker entlohnen,
und eigentlich deren Vordenker auch. Es ist
klar, das das nicht praktikabel ist, weshalb
es auch niemand ernsthaft fordert. Doch
eigentlich ist es der einzig richtige Weg,
wenn man die Entlohnung von Erfindern ver-
langt. Deshalb ist diese Forderung falsch.

14
#85 / 2004 die datenschleuder

14
THE SUMMER SCHOOL “APPLIED IT SECURITY”

Teaching Hacking -

Most universities teach information security - if at all - in a defensive way. Often


things like intrusion detection systems, firewalls and encryption are covered, but
topics like buffer overflows or forensics are forgotten. To change this, the Laborato-
ry for Dependable Distributed Systems at RWTH Aachen University offered a Summer
School on applied IT security and this article will present our experiences.

If you take a look at the courses offered at major uni- ty of Technology, Germany, regularly runs a so-called
versities in the world, you will notice that most of “Hacker Contest” for several years.
them do not care about practical security, aka hacking.
Instead, they teach theoretical foundations (e.g. The Hacker Contest is similar to a Linux Deathmatch,
encryption and hash functions) or defensive approa- as organized at some Congresses and the Camp: Stu-
ches like intrusion detection systems, firewalls and vir- dents form teams that have to set up systems and then
tual private networks. In our view, this leaves compu- use common exploitation techniques to attack the sys-
ter science graduates ill-prepared for their job because tems of the other teams. The attendees also have to
they lack hands-on knowledge on how to deal with analyze attacks to their own systems and increasingly
security technology or they always trail active adversa- deploy stronger defense measures. The University of
ries in their efforts to master them. To understand the Magdeburg and our Lab also offer a similar lab course.
importance of information security, students should There are some universities that offer courses in which
have the possibility to gain practical experience how the students learn the underlying concepts of offensive
security systems fail, using offensive techniques. And IT security and can also apply their knowledge. As an
hacking is fun, so teach it :-) example, the Distributed Systems Group of the Tech-
In summer term 2004 the Laboratory for Dependable nical University of Vienna offers courses on Internet
Distributed Systems at RWTH Aachen University offe- security: Practical aspects of IT security like race condi-
red a novel course in the area of information security: tions, viruses and reverse engineering are covered and
The Summer School “Applied IT Security” gave gradu- exercises in which the students have to implement the
ate and Ph.D. students an insight into common tech- attacks must be solved.
niques in the area of information security. During a
three week period, we covered topics like
exploiting of programming errors, wire-
less (in-)securities and malware.

Because some people from the CCC in


Cologne and Berlin were involved - either
as lecturer or attendee - we want to pre-
sent our experiences and give an insight
into the course. At first we want to give
an overview over related courses at other
universities and afterwards we present in
detail our Summer School.

[Hacking at other universities]


There have been some good attempts to
incorporate practical elements of infor-
mation security into university degree
courses. For example, the computer sci-
ence department of Darmstadt Universi-

15
die datenschleuder #85 / 2004

15
THE SUMMER SCHOOL “APPLIED IT SECURITY”

http://www.auto.tuwien.ac.at/~chris/teaching/inetsec2.html The intended audience were students and young sci-


http://www.infosys.tuwien.ac.at/teaching/courses/InetSec2/ entists from Europe with a profound interest not only
index.html in information security but also in offensive techni-
ques in relation to security. Applicants had to fill out
“Wargames” and “Capture the Flag” (CTF) contests
a questionnaire and we chose fifteen people. Most of
are also offered at some universities. Most famous is
them study at RWTH Aachen University, but we had
probably the annual CTF contest of the UCSB, in which
also four attendees from the University of Cambridge
several educational institutions spread across the world
(three of them from Ross Anderson’s security group)
battle against each other. This year, a team from our
and two from TU Berlin (also members of CCC Berlin).
Lab has also competed against the other teams. Surpri-
Furthermore, someone from netric.org, a CCC Cologne
singly, we managed to achieve the second place :)
member and a student from the University of Applied
The Information Technology and Operations Center Science in Gelsenkirchen attended. So a motley crew
(ITOC) at the U.S. Military Academy West Point has of people - partially with profound knowledge - parti-
a curriculum which also teaches offensive information cipated at the Summer School.
security techniques. ITOC organizes a yearly “Cyber
At our Lab, we had to prepare a few things before-
Defense Exercise” which has similarities to the Captu-
hand: To foster informal communication between stu-
re the Flag contests. U.S. authorities with an informa-
dents, we converted an office to a coffee hall with
tion security education branch like the United States
sofas, an overall relaxed ambiance, and a choice of
Military Academy, the United States Air Force Acade-
snacks and refreshments. A lab room was converted to
my, and the Naval Postgraduate School, participate in
some kind of hackcenter, most exercises were hosted
these exercises. Machines maintained by the partici-
in this room. Furthermore, there was a plain room for
pants are attacked by the NSA 92nd Aggressor Squa-
temporary use by students which had the feeling they
dron -- Land Information Warfare Activity, over the
need concentration for specific tasks. The housing was
course of several days and participants have to coun-
left to the students themselves and their choices sho-
ter these attacks.
wed a very wide variety of solutions ranging from the
universities’ guest-house to the local camping ground.
[Summerschool] Three week long camping is hard, but they survived it
without problems.
After pointing out some other courses in the area of
information security, we now want to give an overview Lectures started at a quarter to nine in the morning
over the Summer School, especially on the schedule (due to the Verpeilungsfaktor, most lectures began
during these three weeks. later...) and covered two topics until noon. After lunch,
the lab session started, during which students applied
The staff organizing the Summer School consisted of
the techniques learned in the lectures and developed
two research assistants of the Laboratory and two stu-
them further. For an outline of the Summer School see
dents of whom one is a research student of the labora-
the following table.
tory and the other a regular student at another univer-
sity. Three of them are or were involved with the CCC The lab session was interrupted by a so called “coffee
in Cologne. table talk”: We invited external contributors to give a
short statement related to a topic of their interest or

Day Lecture1 Lecture2 Lab Day Lecture1 Lecture2 Lab


1-1 Introduction Hardware Hardware 11-4 Introspection Projects Projects
Security Wargames

1-2 Web Web Web 11-5 Projects Projects Projects


Applications Applications Applications

1-3 Buffer Overflows Other Program- Exploiting 111-1 Misc. Forensics Disk Forensics Forensics
ming Errors Overflows

1-4 Advanced Networking Network 111-2 Disk Forensics Disk Forensics Forensics
Exploitation Programming

1-5 Sniffing: Layer Spoofing & Sniffing & 111-3 Malware Unix Unix infection Honeynets
1&2 (D)Dos Spoofing

11-1 Network Application Network 111-4 Excursion Excursion Excursion


Topology Fingerprinting Mapping

11-2 Bluetooth Wireless Attacks Wardriving 111-5 Wargame Wargame Wargame

11-3 Hidden Data Honeynets Wardriving Table: Schedule of the Summer School

16
#85 / 2004 die datenschleuder

16
THE SUMMER SCHOOL “APPLIED IT SECURITY”

a short introduction one some project they work on. to cover the whole field. Therefore, these two lectures
The coffee table talks were intended to broaden the concentrated on the basics and two other coffee table
view of the participants. We aimed at showing the stu- talks deepened the knowledge of the participants. The
dents problems being worked on in the real world and lab session was quite popular at this day: The students
to teach them looking at problems not only from the should exploit various programs and they apparent-
security perspective. ly had much fun doing this. One student also found
some bugs in real applications (e.g. a format-string
Speakers were sent by corporations ranging from Mic- vulnerability in Tor, an anonymizing overlay network
rosoft and Pixelpark up to TÜV Rheinland and a major for TCP) and further examined them. In cooperation
German Bank. But we had also participants from other with the authors of the software, these holes are now
groups like the CCC or the “Verein digitale Kultur”, fixed - so no 0day for you now :).
which covers artistic expression via digital means, and
various academic research groups. Topics covered in “Phishing” was the topic of the coffee table talk and
the coffee table talk ranged from computer-ethics, civil an IT-security specialist of a large German bank explai-
liberties in relation to the Internet, infos about phishing ned the threat.
attacks, up to technical subjects like heap-based over-
flows and XML security. A lecture on “Advanced / Automatic Exploitation”
showed the partici-
A typical day pants some techni-
ended with a ques and tools that
meeting: usu- attackers can use,
ally around six e.g. the Metasploit
in the evening Framework, search
everybody pre- engines like Google
sented his work to collect informa-
of the day. But tion, etc. In additi-
students often on, the art of fuz-
stayed through zing, a technique
large parts of to find errors in a
the night to given program in
develop their a semi-automated
projects further. fashion, was presen-
ted. The second lec-
ture repeated neces-
[[Running sary knowledge on
the School]] communication net-
[[[First week]]] works and gave an
On the first day introduction to net-
(September 20) we started with a brief introduction work programming
and covered “Hardware Hacking”. The students got and the important libraries (e.g. libnet, libpcap). Imp-
an insight into limitations and vulnerabilities of hard- lementation of covert channels, ARP-spoofing and
ware devices. During the lab session, the students ope- various other tools were the focuses of the lab sessi-
ned some devices (e.g. cable modems, router, swit- on. Jens Ohlig from the CCC gave a historical over-
ches) to inspect the insides. They also played some view about political activism and hackers during the
wargames like www.hackthispage.tk and averaged at coffee table talk.
about five levels.
On Friday, sniffing & spoofing and (distributed) deni-
The topic of the second day was “Attacks Against Web al-of-service (DDoS) attacks were covered. The lec-
Applications”: One lecture concentrated on gene- tures gave an overview of tools and techniques used
ral problems in web applications (e.g. SQL injection to sniff passwords and other sensitive information on
and cross site scripting), while the other had the spe- networks. The lectures also explained how to spoof
cial focus on programming errors on web-applicati- packets in order to receive interesting packets and
ons written in PHP. The corresponding lab session had gave a background on (distributed) denial-of-service
no very tight focus. The students should find bugs in attacks.
real web applications. In the afternoon, George Dane-
During the lab session, the student experimented with
zis, one of the participants and research assistant at the
the available tools and also implemented some small
university of Cambridge, gave a talk on “Anonymous
programs for ARP-spoofing and similar techniques. The
Communication”.
coffee-table talk entitled “XML Security” was given by
On Wednesday, the lectures concentrated on buffer Christian Geuer-Pollman from the European Microsoft
overflows and other programming errors. This is a very Innovation Center (EMIC), Aachen.
broad topic and probably two lectures are not enough

17
die datenschleuder #85 / 2004

17
THE SUMMER SCHOOL “APPLIED IT SECURITY”

[[[Second week]]] On Wednesday we demonstrated some of the cur-


rent research topics of our Lab: The first lecture cove-
The next week started with a lecture on network red “Hidden Data In Documents” and explained that
reconnaissance. This lecture covered techniques to find there are many interesting data in proprietary formats
useful information about targets and first steps of an that can be misused. The second lecture gave an intro-
attacker after a successful compromise. The second duction to honeynets and related security research.
lecture focused on further steps after an intrusion and Like the day before, interested students had the possi-
covered application fingerprinting in depth. The stu- bility to search for wireless LANs in the city. Some par-
dents were encouraged to do portscans of the network ticipants stayed at the lab and developed their projects
of our university during the lab session. The center for further. One project was especially interesting: One
computing and communication (CCC) explicitly allo- attendee wrote a crawler which automatically searches
wed us to do this and we found some security holes for images with an included thumbnail in the Exif hea-
during these tests: One student found several rou- der. At the end of the Summer School, he had down-
ters with default passwords and another tracked down loaded about 3.000.000 images, from which about
some printers that could be managed remotely via a one percent had a significant difference between the
web-interface. Penetration-testing for phone-systems image and the included thumbnail. This shows that a
was the topic of the coffee-table talk on this day. Rolf significant amount of images has interested data hid-
von Stein from TÜV Secure IT explained the motivation den inside the document itself. More on this at the
behind this and gave some background information. Congress, At this day, one of the students prepared the
Wireless Security was the focus on Tuesday: The first coffee-table talks: Ilja van Sprundel filled with his talk
lecture with the title “Bluetooth Security” introduced on heap-based overflows a gap that was left by the
the attendees to the basics of the Bluetooth standard lectures on programming errors.
and pointed out some attacks. The focus of the second The rest of the week gave the students the possibili-
lecture was on WLAN (mainly 802.11b) and also a ty to do some research on their own and implement
small introduction to RFID and its concerns was given. novel techniques. To prepare this, we collected ideas
During the afternoon, the students did wardriving and for further research on Thursday morning. From Thurs-
found more than 100 wireless LANs in total. The ques- day noon until Friday evening, the participants had
tion “Where is information security today and what in time to implement their projects. The resulting pro-
the future?” was answered during the coffee-table talk jects covered tools for covert channels and fingerprin-
by Dogan Kesdogan, a researcher from RWTH Aachen ting applications.
University.
Furthermore, a fuzzing framework and low level net-
In the evening, we had a social event: We drank beer, work libraries were implemented and an embedded
ate pizza and watched “Office Space” and some device was introspected. The coffee-table talk on Fri-
movies from the demo scene - perhaps a typical eve- day gave an insight into the relation between pro-
ning for hackers :) ject management and security. Rainer Lingmann from
Pixelpark gave a talk entitled “IT-Security: Das Gret-
chenprojekt aus Projektmanagment Sicht”.

[[[Third week]]]

The last week started with


two lectures about compu-
ter forensics. These lectu-
res covered the basic of disc
forensics and gave an intro-
duction on computer foren-
sics in general. During the
lab session the students had
to solve a game: We gave
them a Compact Flash card
which we pretended to have
retrieved from a suspec-
ted terrorist. They had the
task to reconstruct the cor-
rupted files and retrieve as
much information as possib-
le, especially the place and
time for the next “terrorist
meeting”. It was much fun
and many students were able

18
#85 / 2004 die datenschleuder

18
THE SUMMER SCHOOL “APPLIED IT SECURITY”

to recover the damaged files. The second task for this We used the last day of the Summer School to get
afternoon was forensic imaging of used hard discs that feedback on the three weeks. But the highlight of this
we had previously bought at ebay. The students found day was the Wargame with several levels and incre-
some hard discs which contained interesting informa- asing difficulty, which Christian Klein had prepared
tion: One disc was obviously the former hard disc of a beforehand. It offered the students the possibility to
cashier terminal or cashier computer because we found apply all techniques they had learned in the previous
bills and accounting information on it. days. Fun prevailed during this game, with some minor
exceptions due to missing tools.
Another hard disc was used in a bookstore before and
contained many hundreds of e-mails with partially sen- [[After the Summer School]]
sitive information. And a third hard disc was obvious-
ly used in a mailbox and the students were able to After the three weeks, some further noteworthy things
reconstruct the user database. How to realize “Soft- happened. The participants of the Summer School had
ware Detection of Currency” was presented by Steven submitted six talks to the Chaos Communication Con-
Murdoch, a participant gress and all six submission were accepted for presen-
of the Summer School tation. The par-
and Ph.D. student ticipants of the
from Cambridge. Summer School
also agreed to
An external guest gave meet at the Con-
two lectures on Tues- gress again. You
day: Knut Eckstein will probably
from the NATO C3 recognize us by
Agency talked about our t-shirts :)
“Advanced Filesys-
tem Forensics - Jour- The biggest les-
naling Filesystems”. son we learned:
More forensics of disk Hacking is fun
images was the topic for students. For
of the lab session. This example, when
was too much foren- the students
sics, and the students exploited their first
got bored. During the buffer overflow,
coffee table talk, fd0 they were very
from CCC Cologne enthusiastic and
gave a talk about grse- Photo credits for this article: George Danezis worked hard to
curity. learn more.

The lectures on Wednesday concentrated on malwa- At the end of the Summer School participants were
re for Linux. The first talk gave a general introduction asked to fill out a questionnaire to give use some poin-
to the topic and presented rootkits and backdoors. In ters for improvements. In summary, the feedback was
contrast to that, the second lecture concentrated on mostly positive. The main criticisms were:
code infection for ELF binaries. During the lab session, • Three weeks are too long, especially if the students
the students deepened the knowledge gained during have to work so hard and spend so much time at the
the lectures and some wrote ELF modification code. courses as they did
One of the students provided a small challenge for the
lab session: Lisa Thalheim prepared an ELF binary and • Some lectures need improvements, on one hand the
posed some questions. Again, the coffee table talk was depth of the talks and on the other hand the under-
prepared by Ilja van Sprundel. He talked about for- standability
mat-string attacks and filled another gap that was not
covered during the lectures on exploitation of pro- In conclusion, the concept of the Summer School was
gramming errors. very sound and it is already planned to repeat that
event in 2005.
An excursion to some abandoned industrial sites was
arranged for Thursday. We wanted to have an alter- You can find our wiki used during the Summer School
nation to the usual schedule and therefore organized a at http://weltwissen.koeln.ccc.de/wiki/index.php/
trip to a coking plant in Essen, a gasholder in Oberhau- Summerschool_Aachen_2004
sen and some geocaching locations in Wuppertal. The It has links to all slides and photos.
main goal for this tour was fun and getting to know
each other better.

19
die datenschleuder #85 / 2004

19
HERR BIN LADIN, IHRE CRUISE MISSILES SIND DA

Deutsche Homeland-Security:
E-Mail-Überwachung 2005.
Volker Birk <volker.birk@ulm.ccc.de>

Flirten, Lästern, Tratschen. Und wir lesen Ihre Mails mit: Die Polizeien und Geheim-
dienste! Ein Blick auf ein Neusprech-Dokument der besonderen Art: die TKÜV.

Nun ist es soweit: die wohl anrüchigste Maßnahme 5 EUR fällig, die dieser Kunde für die Bespitzelungsins-
im Rahmen der Telekommunikationsüberwachungs- tallation für seine eigenen Mails beisteuern darf.
verordnung - kurz TKÜV - wird, längst beschlossen,
ab dem 1.1.2005 Wirklichkeit in Deutschland. Die E- Martin Seeger von NetUse, einem Provider in Kiel,
Mails sind’s diesmal, die der Staat furchtbar gerne mit- geht davon aus, dass die Kosten fürs Abhören künftig
lesen möchte. 15 Prozent der Telekommunikations-Preise ausmachen
werden. Hoffen wir mal alle, dass die Kunden dieses
Von vielen unbemerkt ist diese Verordnung auch zum und vieler anderer Provider Verständnis zeigen werden
E-Mail-Überwachen längstens Realität; allein eine - und nicht zu E-Mail-Providern im Ausland wechseln
“Gnadenfrist”, formuliert in § 30 “Übergangsvorschrif- werden, die von der Maßnahme nicht betroffen sind.
ten”, bewahrte die Maildienstleister bisher, jetzt schon Zu Providern, deren Arbeitsplätze im Ausland sind.
Überwachungsschnittstellen für Polizeien und Geheim-
dienste in die Mailserver einzubauen. Diese Gnaden-
frist läuft nun an Neujahr ab. lieschen@gmx.de? Aber bitte CC an den
Verfassungsschutz, nicht wahr? Oder
Damit schafft es die Regierung, gleich zwei Grundrech-
te der Bürger auf einen Streich ad absurdum zu führen:
besser gesagt: BCC.
das Brief- und das Fernmeldegeheimnis (beide Art.10 Denn merken darf der Bespitzelte davon natürlich
GG). Und wie es inzwischen üblich ist, erlegt unse- nichts (bzw. der “Teilnehmer” unter seiner “Ken-
re Regierung die Kosten dafür den Providern auf - der nung”, wie es im Beamtendeutsch heisst). Den Provi-
Staat ist halt grade knapp bei Kasse, da muss man Ver- dern (“Verpflichtete”) wurde gleich ein Maulkorb mit
ständnis haben. auferlegt. So heisst es in § 15 “Verschwiegenheit”:

(1) Der Verpflichtete darf Informationen über die Art


Was sind schon Arbeitsplätze, wenn es und Weise, wie Überwachungsmaßnahmen in sei-
um die Staatssicherheit geht? ner Telekommunikationsanlage durchgeführt werden,
Unbefugten nicht zugänglich machen.
Es darf jetzt jeder seine private E-Mail-Überwachung
selber bezahlen, denn die E-Mail-Anbieter legen die (2) Der Verpflichtete hat den Schutz der im Zusam-
Kosten natürlich auf die Verbraucher um - was sollen menhang mit Überwachungsmaßnahmen stehenden
sie auch sonst machen? 20.000 EUR und mehr kostet Informationen sicherzustellen. Dies gilt insbesondere
allein so eine “Überwachungseinrichtung” pro Stück, für Informationen darüber, welche und wie viele Ken-
so der Verband der deutschen Internetwirtschaft, ECO. nungen einer Überwachung unterliegen oder unter-
Ab 64.000,- EUR erhält der “verpflichtete” Provi- legen haben und in welchen Zeiträumen Überwa-
der auf dem Markt eine “Komplettlösung” zur Spit- chungsmaßnahmen durchgeführt worden sind
zelei. Eine Summe, die manchem Maildienstleis-
ter zu schaffen macht. Kein Pappenstiel also in einem Oder anders formuliert: Bespitzeln müssen die Provi-
hart umkämpften Markt, in dem es um tausende von der, aber sie dürfen niemand was davon sagen. Schon
Arbeitsplätzen geht. gar nicht dem Bespitzelten selber.

Diese Kosten gehen nämlich vor allem kleineren Provi-


dern, die zwischen 1.000 und 10.000 Kunden haben, Kontrolle? Ach was, wozu denn, habt
an die Substanz. So erklärte beispielsweise Canhost, ein Vertrauen!
Provider aus Hamm, seinen Kunden in einer Rundmail, Das reicht doch, wenn die jetzt schon mit vielen Auf-
dass ihn diese Maßnahme der Bundesregierung dazu gaben überladene Regulierungsbehörde für Telekom-
zwinge, die “enormen Kosten ... auf den Endkunden” munikation und Post bei Interesse mal ins Protokoll
umzulegen. Pro Kunde werden so jeweils zunächst mal schauen darf (§ 17).

20
#85 / 2004 die datenschleuder

20
HERR BIN LADIN, IHRE CRUISE MISSILES SIND DA

An obligatorische Prüfung, wozu denn eigentlich über- wie soll sonst das Prinzip der Verhältnismäßigkeit noch
wacht wurde, und warum das so notwendig war, und gewahrt bleiben?
wieviel Bespitzelung und damit Grundrechtsverletzung
denn nötig ist, um zu den doch erfahrungsgemäß recht
bescheidenen Ergebnissen zu kommen, daran wurde in Tatsächlich aber gilt wohl eher: es
der gesamten Verordnung in keinem der 31 Paragra- kommt so gut wie gar nichts bei rüber.
phen gedacht. Nur ein geistig sehr armer Terrorist wird ausgerech-
net über deutsche E-Mail-Dienstleister mailen - und
Und das, obwohl der Nutzen der ganzen Spitze-
das noch unverschlüsselt - so dass Polizei und Geheim-
lei höchst fragwürdig erscheint; die Zahl der Spitzel-
dienst mit Tatütata ausrücken und ihn verhaften kön-
maßnahmen ist zwar insgesamt explosionsartig nach
nen, wenn er seine subversiven Abmachungen per
oben gegangen - bei der Telefonüberwachung z.B. von
deutschem Webmailer an eine deutsche Mailadresse
4.674 Maßnahmen 1995 auf 24.441 Maßnahmen in
absendet. Ein Szenario, das eher in den Bereich “nur in
2003. Ein ähnliches Verhältnis wird wohl auch bei der
Deinen Träumen, mein sehr junger Padavan” fällt, als
E-Mail-Überwachung zu beobachten sein. Der große
in den Bereich “realistische Projekte”.
Ermittlungserfolg dagegen durch die massive Abhörak-
tion stellte sich nicht ein - es ist nichts wesentliches Die Bespitzelung wirkt nur bei den Leuten, die kein
Erfreuliches in der Hinsicht zu beobachten. PGP einsetzen - oder Ihre Nachrichten nicht per Mail,
schon gar nicht über leicht zu überwachende SMTP-
In einem Rechtsgutachten zur Telefonüberwachung,
Server laufen lassen. Die gesamte Truppe um Atta war
das die Bundesregierung beim Max-Planck-Institut für
aber nicht durch besondere Ignoranz und technisches
ausländisches und internationales Strafrecht, Freiburg,
Unvermögen, sondern von Kompetenz und organisa-
beauftragt hat, kommen die Experten deshalb auch zu
torischem Sachverstand geprägt.
einer kritischen Sicht der Zustände im (Noch-)Rechts-
staat. So erklären die Gutachter, dass der gesetzliche Wie will man von solchen Leuten erwarten, dass sie
Richtervorbehalt nicht gelockert werden dürfe. Auch unverschlüsselt per Mail kommunizieren über über-
seien Berichtspflichten für die Strafverfolgungsbehör- wachte Dienste? Man wird es nicht erwarten können.
den zur Kontrolle der Entwicklung bei Überwachungs- Und das wirft die Frage auf: wer soll hier wirklich über-
maßnahmen notwendig. Der Umfang der Benach- wacht werden?
richtigungspflichten von Betroffenen sei zu erweitern.
Gespräche zwischen Beschuldigten und zeugnisverwei-
gerungsberechtigten Personen dürften grundsätzlich Willkommen in Ozeanien!
nicht verwertet werden. Der Umfang des Straftatenka- Das Ministerium für Wahrheit erklärt, dass alle die-
taloges des § 100 a Strafprozessordnung müsse wie- se Maßnahmen notwendig und sinnvoll sind, gleich
der reduziert werden; dieser wurde in den letzten Jah- welche Kritik die unwissenden Mahner wie die Rie-
ren ständig erweitert. ge der Datenschutzbeauftragten oder irgendwelche
Rechtsgutachter auch immer äußern werden. Deshalb
Statt nun diese Probleme anzugehen, die das Max-
braucht ihr vor allem eines nicht: OpenPGP.
Planck-Institut ihrem Auftraggeber, der Bundesregie-
rung, ins Stammbuch geschrieben hat, tat die Bun- Was Ihr da am allerwenigsten braucht, findet Ihr unter
desregierung lieber - nichts. Und jetzt kommt die http://www.gnupg.org. Bitte setzt es auf keinen Fall ein,
E-Mail-Überwachung dazu. erst recht nicht in Zusammenarbeit mit
http://www.mozilla.org/projects/thunderbird/ und
http://enigmail.mozdev.org/
Das alles ist doch nur gut für Euch, wir
fangen damit die bösen Terroristen! So helft Ihr mit, dass wir auch in Zukunft die Maßnah-
Schaut man z.B. die Personen um Mohammed Atta an, men des Ministeriums für Frieden unterstützen kön-
so erblickt man Männer, die an der TU Hamburg-Har- nen, Frieden und Glückseligkeit über die Welt zu ver-
burg Elektrotechnik studiert haben, junge Leute, die breiten.
mit dem Netz groß geworden sind. Und die sollen kei- “Those who would give up liberty for a little tempora-
ne Ahnung haben, wie man der Überwachung ent- ry safety deserve neither liberty nor safety, and will
geht? lose both.” (Benjamin Franklin)
Es ist imer dasselbe Argument, das ständig in unseren Links:
Ohren klingelt: wir müssen Eure Bürgerrechte ignorie-
ren, weil wir Terroristen jagen. Dazu richten wir jetzt http://www.bmwa.bund.de/Redaktion/Inhalte/Pdf/
Bespizelungsmöglichkeiten für Euer Privatleben ein. TKUEV1,property=pdf.pdf
Aber treffen diese Maßnahmen überhaupt auch die
Zielgruppe? Immerhin bedeuten sie eine Grundrechts-
verletzung für alle deutschen Bürger, da muss dann
aber schon gewaltig was rüberkommen an Ergebnis,

21
die datenschleuder #85 / 2004

21
FLATRATE OHNE UPSTREAM

Ein Friedensangebot im
Kampf ums Copyright
von Matthias “wetter” Mehldau <wetter@ccc.de>

Als Kompromiss zwischen faschistischem Kontrollsystemen für Musik und anar-


chischen Zuständen in Filesharingnetzwerken wird die Kulturflatrate vorgeschla-
gen.

Der Kampf ums Copyright im Internet ist entflammt und seine Kosten gedeckt haben. Dieser Wunsch wird
und die Fronten sind klar: Auf der einen Seite stehen von der Musikindustrie deutlich übertriebener formu-
die Computerfreaks als technische Anführer der Inter- liert, als es der Musiker tut, um im Wesentlichen ihren
netrevolution. Sie entwickeln ständig neue Raffinessen, Profit zu maximieren.
um “ihre” Musik Kopieren und Tauschen zu können.
Auf der anderen steht die Musikindustrie. Sie möch- Laut der GEMA verdienen Musiker heute ihr Geld zu
te “ihre” Musik mit immer neuen Kopierschutzmaß- etwa je einem Drittel durch Konzerte, Merchandi-
nahmen davor schützen, unerlaubt kopiert zu werden. sing und dem CD-Verkauf. Doch der Musikhörer ist
Mit periodischen Klagewellen sollen rechtsbewuss- schon lange in der Lage, auch anders Musik zu emp-
te Filesharinguser von illegalen Downloads abgehal- fangen: Aus dem Radio kann er Musik auf aufneh-
ten werden. men, etwa auf Kassette. Um sicherzustellen, dass der
Musiker auch für diese Kopien Geld bekommt, fliesst
Für die mächtige Musikindustrie sieht es allerdings eine Abgabe vom Kassettenpreis an die Ver-
schlecht aus: Die Technik und der Geist von Filesha- wertungsgesellschaft für Musiker, die
ring ist aus der Flasche und lässt sich nicht wieder ein- Gema. Nach diesem Prinzip gibt es
holen. Lieber möchten die Manager Songs wie bis- bereits seit den 60er Jahren Pauschal-
her verkaufen, als ob sie weiterhin an einen physischen abgaben auf leere Kopiermedien (Kas-
Träger gebunden seien. Doch die dazu notwendigen setten, CDs, DVDs) und Kopiergeräten
Kopierschutzsysteme wurden nun immer aufs Neue (Brenner, Fotokopierer), die auch an die
von Teenagern geknackt und auch künftig werde ich Verwertungsgesellschaften für Bild, Ton,
immer, wenn ein Song meine Ohren erreichen kön- Wort und Film gezahlt und von diesen
nen soll, ihn auch aufzeichnen können. DRM - unter den Urhebern aufgeteilt werden.
Digital Restrictions Management - zwecklos.
Künftig gibt es keinen absehbaren
Doch so dramatisch braucht die Diskussi- Grund, weshalb durch das Internet weni-
on nicht geführt zu werden. Beide Sei- ger Konzerte besucht und T-Shirts gekauft
ten wollen ja nur, was ihnen zusteht: werden. Da der Mensch bequem ist, wür-
Der Musikhörer will privat Musik den wohl aber weniger CDs verkauft -
kopieren dürfen - etwa auf CD das würde genauso passieren, wenn es
unter Freunden oder herun- Musik im Netz nur noch kopierge-
tergeladen aus einem Files- schützt und direkt kaufbar gäbe. Im
haringnetzwerk. Der Musik- Netz können allerdings grade klei-
macher möchte von seiner ne Musiker einfach Alben im Netz
Kunst leben können anbieten und direkt

22
#85 / 2004 die datenschleuder

22
FLATRATE OHNE UPSTREAM

Eine fast in Vergessenheit geratene Tradition bei der Datenschleuder: Kabelbilder. Was bei der 2600 die “Payphones
from around the World” sind bei uns Leserfotos von aussergewöhnlichen Kabelsituationen. Besten Dank geht an Enno
Lenze für das oben abgebildete Prachtexemplar! Keep ‘em comin’!

vertreiben. Wer meint, keine CDs zu brauchen, aber turflatrate” trägt - zu greifen, scheint manchem über-
die Musik trotzdem geil findet, kann über elektronische zogen: Braucht es eine verpflichtende Vergütung im
Bezahlsysteme auch kleine Beträge freiwillig spenden. Netz - oder können sich Musiker anpassen und der
Markt reguliert sich von selbst? Zwischen diesen bei-
Nun, wenn aber freiwillig nichts passiert im Land der den Modellen - Kopierschutz und Pauschalabga-
Schmarotzer, braucht es Zwang: Die Pauschalabga- be - bewegt sich die Freiwilligkeit. Was wäre, wenn
be, als Kompensation für Privatkopien in Deutschland jeder, aus seiner Sicht angemessen, seine Lieblingsmu-
erfunden, soll auf Computer oder Internetzugänge siker bezahlt? Es wäre spannend zu beobachten, wie
ausgedehnt werden. Für fünf Euro im Monat würden es guten und schlechten Musikern ergeht, die diesen
nicht-kommerzielle Kopien über Filesharingnetze ver- Weg wagen. Noch eine abschließende Überlegung:
gütet und die Kosten für unwirksame Kopierschutzsys- Als “verpflichtende Freiwilligkeit” lässt sich das “Stra-
teme und wahnwitzige Strafverfahren gespart, lauten ßenkünstler Protokoll” umschreiben; Dabei veröffent-
die Argumente der Befürworter. Sie sind bei Netzak- licht Musiker sein nächstes Werk erst dann, wenn ihm
tivisten, wie dem Chaos Computer Club, den Glo- seine Fans einen Betrag gezahlt haben, von dem er
balisierungskritikern attac und bei grünen Politikern meint, dass er das Recht wert ist, seinen Song privat
zu finden. Für diese sind Kopierschutzsysteme schon zu kopieren.
allein aus bürgerrechtlichen Gründen tabu: Der gläser-
ne Musikhörer soll nur in den Köpfen der Datenschüt- Es gibt durch die Internetrevolution nicht nur mehr
zer existieren. Um die Forderung nach einer solchen ungeahnte Probleme, sondern auch noch mehr unge-
“Kulturflatrate” zu manifestieren, haben sie Anfang ahnte Lösungsmöglichkeiten. Das Musikgeschäft ist
Dezember die Kampagne “Fairsharing” ins Leben an einem Punkt, an dem es wagen und ausprobieren
gerufen, auf deren Website [1] dazu Unterschriften muss. Das Problem der Vergütung von geistigem Gut
gesammelt werden. im Netz ist eine sehr brisante: Sie stellt sich gleicher-
maßen auch für Filme, Texte und Fotos. Die Musiker
Aber gleich zu einer general-verpflichtenden Pauscha- befinden sich hier in einer Vorreiterrolle.
labgabe - auch wenn sie den schönen Namen “Kul-

23
die datenschleuder #85 / 2004

23
uN0WN4BL3

/join silcnet
von Alien8 <fb@c3d2.de>

Was waren das für Zeiten, als das Internet noch frei von Flash-Animationen, vorge-
schriebenen Impressen und Anwälten war?

Eigentlich egal. Die heutigen Zeiten sind nicht weni- selt und authentifiziert ist? Das Protokoll gibt es jeden-
ger spannend. Studentennetze rüsten auf, sich von den falls nicht her.
Schilys dieser Zeit beschüffeln zu lassen, MP3 Tauscher
werden hart aber gerecht bestraft und Steuergelder die Initiert von Pekka Riikonen, einem Finnen - (was
einst für die Entwicklung des Netzes dienten, werden sonst?), wird SILC seit ‘96 entwickelt. Mittlerweile
jetzt ausgegeben, um Überwachungsbots für Chatka- kann man es gut nutzen. Die Clientversion ist über 1.0
näle zu schreiben. Wahrlich, es werden noch wunder- hinaus, Gaim z. B. unterstützt es seit ein paar Versio-
same Dinge geschehen. nen, die Server Software und das Toolkit stehen kurz
vor der 1.0.
Zeit, die Klartext-Urgesteine des Internets abzulösen.
Was für telnet recht ist, sollte für IRC billig sein. Die- Meldet sich ein Client beim Server an, wird zu erst mit-
ser Artikel soll Lust auf *das Chat* und Instant Mes- tels Diffie-Hellman ein Session Key ausgetauscht. Der
sagingsystem SILC (Secure Internet Live Conferencing) Server wählt die Methoden für Cipher, Hash, HMAC
machen, es kurz vorstellen. und Public Key Funktion aus dem aus, was der Client
anbietet. Das heißt Silc Key Exchange (SKE) Protokoll.
Was braucht es also für ein Chatsystem, damit es Ausgerüstet mit einem Sessionkey authentifizieren sich
authentifizieren und verschlüsseln kann? Könnte man die Kommunikationpartner per Passphrase oder Public
nicht, wie bei http, einen SSL Layer einziehen? Nein, Key über eine Challange. Momentan werden nur SILC-
denn was für eine Client/Server Verbindung entworfen eigene Keys unterstützt, OpenPGP- und X.509-Zer-
wurde, muss nicht auf Systeme mit mehreren Servern tifikate sind vorgesehen. Damit sind der Client und
und unzählig vielen Clients passen. Mal vom Zertifi- der Server gegen Man-in-the-middle Attacken so gut
kats-Dilemma abgesehen, wie können mehrere Cli- geschützt wie bei ssh: “First time’s free, kid”. Die Fin-
ents den selben Sessionkey nutzen? Woher weiß man, gerprints der Server gibt’s auf http://silcnet.net.
dass die Session wirklich bis zu jedem Client verschlüs-

24
#85 / 2004 die datenschleuder

24
uN0WN4BL3

Natürlich kann aus Performance- und Redundanzgrün- erscheinen akzeptierte Keys immer als gültig, auch
den nicht alles über einen Server laufen. Also muss es wenn der Nick wechselt. Filetransfer läuft über sftp
mehrere Server geben, die wiederum mit einem soge- sozusagen Peer to Peer. Die Schlüssel werden per SKE
nannten SILC-Router verbunden sind. Dieses Konstrukt ausgehandelt und die Datei danach direkt von Client
nennt sich Cell. Die Router lassen sich auch miteinan- zu Client geschickt. Mittels von irssi bekannten Scripte-
der verbinden und bilden einen Ring. Fällt ein Router rweiterungen kann man den Client erweitern. Eine net-
aus, reden die anderen über ihre Backup-Router. Das te Sache ist die silc-mime.pl Erweiterung. Damit lassen
Konzept nennt sich Hybrid Ring-Mesh. sich Dateien an einen Channel schicken, die per .mail-
cap einer Applikation vorgeworfen werden können.
Nachrichten werden also von Client A zum Server über
den Router wieder zum Server und schließlich zum Cli- Eine andere nützliche Sache ist, dass man eine SILC
ent B übertragen. Alles authentifiziert und verschlüs- Session detatchen kann. Damit bleibt man im SILC
selt. Dem aufmerksamen Leser wird es schon aufge- Netzwerk, kann z. B. den Client updaten und bekommt
fallen sein: der Server, oder besser noch der Router, ist seine Session zurück.
ein idealer Punkt, die Kommunikation abzuhören. Er
muss alle Nachrichten ent- und verschlüsseln. Um die-
se Schwäche zu umgehen, haben die Protokollentwick- Die Clients
ler eigene Keys vorgesehen. D. h. die Server schalten Der Standard ist silc-client, ein irssi-Ableger, der, wie
einfach auf Message pass through und mitlesen kann das irssi-Plugin, von c0ffee gepflegt wird. Grafische
nur, wer auch den Key (preshared oder public) kennt. Clients gibt’s im gtk-Gewand, silky war zuerst da,
Den Trade-off Bequemlichkeit vs. Kontrolle kann jeder Alleskönner Gaim unterstützt SILC seit ein paar Versi-
selbst wählen. onen, auch wenn sich das noch nicht bei allen Paket-
Maintainern rumgesprochen hat, sowie einen auf irs-
Was kann man damit nun so anfangen? Bei einem si basierenden IRC/SILC-GUI-Client für MacOS X mit
Chatsystem ist das nicht schwer zu erraten. Channel- Namen Colloquy.
namen müssen nicht mit “#” beginnen. Nicks kön-
nen doppelt vorkommen, Fingerprints nicht. Damit Beim Verbinden zu einem Server sollte man beachten,
sind Nickwars passé. Der Founder eines Channels kann dass silc.silcnet.net round-robin DNS verwendet. Ggf.
diesen als permanent setzen. Authentifiziert wird der kommt man besser, wählt man sich einen in seiner
Founder über seinen Public Key, wenn nich anders Nähe aus. IPv6 ist natürlich auch kein Problem.
angegeben. Dieser beruft weitere Operators, die im
Channel ihre Vorstellung von Ordnung durchsetzen Hoffentlich hat Euch das ganze hier etwas Lust
können. Wenn man schon ein Schlüsselpaar hat, kann gemacht, mal SILC auszuprobieren. Wenn es noch
man Nachrichten ähnlich PGP natürlich auch signieren, Fragen gibt oder Ihr einfach einen Startpunkt in SILC
was dem Leser nur nützt, wenn er den Public Key vor- sucht: /join c3d2
her geladen CU there!
und überprüft
hat. Vorsicht!
Da Nicks nicht
eindeutig sind,

25
die datenschleuder #85 / 2004

25
KOMMSE RAN, WIR BEISSEN NICH

whois <<</>>
von Mirko Swillus <mechko@thur.de>

Wohin in Deutschland, wenn man sich als chaosnahen Hacker versteht und gleich-
gesinnte sucht? Gibt es vielleicht in der Nähe Treffen von kompatiblen Wesen? Sind
die dort Anwesenden auch echte Nerds? Um diese Fragen zu klären gibt die Redak-
tion Datenschleuder Erfakreisen und solchen, die es werden wollen, Gelegenheit,
sich vorzustellen. Hier nun eine Selbstdarstellung des Chaostreff und Erfa-Kandi-
daten Dresden.

Es dämmerte bereits, als er sich auf den Weg ins Sommer gemailt hast.” auf zwanzigtausend Postkar-
Hechtviertel machte. Er hatte schon den ganzen Nach- ten gedruckt und damit ganz Dresden geflutet hatten.
mittag überlegt, wie er wohl den Abend zubringen Seitdem war ihm klar, dass die Gruppe was erreichen
sollte und war zu keinem rechten Entschluss gekom- konnte, dass das hier neben Spaß am Gerät auch eine
men. Seine Kommilitonen hatten schon am Mittwoch ernsthafte Veranstaltung ist, dass es um was geht. So
angekündigt, Freitag “mal wieder ordentlich einen ernsthaft, dass sie mittlerweile auch ein Büro braucht,
trinken zu gehen”. Aber die Vorstellung, am Freitag musste er wieder grinsen.
Abend in einer der zahlreichen Neustädter Kneipen
ein Bier nach dem anderen zu kippen und zum Schluss Inzwischen hatte er den Rand der Neustadt erreicht.
völlig fertig im “Dürüm Döner” zu versauern, fand er Immer größer wurde der Strom von jungen Leuten,
nicht gerade sehr verlockend. die ihm mit bierdurstigen Gesichtern entgegenkamen.
Wie so oft versuchte er, die Leute bestimmten Subkul-
Die Jungs im silc hatten ebenso keine Perspekti- turen zuzuordnen und diese dann nach Häufigkeit zu
ve gehabt, und man hatte daraufhin gemeinsam ordnen. Und wieder nahm er es am Ende seiner klei-
beschlossen, sich spontan im “Büro” zu treffen. Er nen Erhebung mit einem leisen Grunzen hin, dass die
musste grinsen, als er an die neue Bezeichnung ihres Gruppe “Yuppie” am stärksten vertreten war. Freitag
gemeinsamen Raumes in einem alten, völlig unsani- Abend eben.
erten Haus dachte. Schon wegen dem Zustand der
Immobilie war sie ein Kracher. So blöd ist das allerdings Als er in die Hechtstraße einbog, überlegte
nun auch nicht, dachte er weiter, immerhin organi- er, welcher Subkultur er sich wohl
sieren wir da auch wichtige Sachen. Früher mussten selbst zuordnen würde. Rein
sie sich dafür immer in Neustädter Kneipen tref- äußerlich würde
fen, was schon auch Vorteile hatte, allerdings das schon
kamen die wichtigen Dinge da immer etwas
zu kurz, wie er fand. Viel macht man ja auch
im silc und über das wiki, aber so ein Tref-
fen ist da eben doch besser. Damals bei
der Vorbereitung für das große Sym-
posium “Datenspuren - Privatsphä-
re war gestern.” waren die Treffen,
weil in Kneipen überm Bier abgehal-
ten, meistens auch arm an Ergebnis-
sen geblieben. Trotzdem hatten sie
es zum Schluss reissen können und
die eintägige Veranstaltung mit 300
Besuchern und 20 Referenten zum
Erfolg führen können. Noch heu-
te ist ihm der Dreiklang “Daten-
schutz. Privatsphäre. Bürgerrechte.”
im Ohr, den sie damals unter der
Warnung “Ich weiss, was Du letzten

26
#85 / 2004 die datenschleuder

26
KOMMSE RAN, WIR BEISSEN NICH

schwer werden, vielleicht so eine Mischform zwi- te er weiter. Von Berlin (Ost) abgesehen, gab es nach
schen Gruppe Linksalternativ, den Emocore-Poppern seinem Wissen keine nennenswerten Chaosaktivitä-
und der Öko-Abordnung. Vom Aussehen her gibt es ten. Früher hatte er ab und an mal was von Chaos-
den Typ “Hacker” jedenfalls schon mal nicht, da war treffs in Weimar oder Jena gehört, aber seit einiger Zeit
er sich sicher. Denn er hatte nicht das Gefühl, dass die schienen auch die nicht mehr zu leben. Während er
Leute, die zu den c3d2-Themenabenden kamen, fri- in die Straße einbog, in der das Haus mit dem “Büro”
sur- oder klamottentechnisch in irgendein Muster pass- lag, fragte er sich, warum Ost und West auch in dem
ten. Immerhin veranstalteten sie diese Abende seit nun Punkt immer noch verschieden waren. Er erinnerte sich
schon fast einem Jahr, und bei durchschnittlich einer dabei an eine der nächtlichen Diskussionen auf dem
Veranstaltung im Monat mit immerhin 60 bis 70 Gäs- 17C3. Sie saßen damals komplette Nächte bei elektro-
ten kann man da schon von äußerlicher Repräsentativi- nischer Musik und Clubmate in der Lounge und rede-
tät sprechen, wie er fand. ten über Verschwörungstheorien oder Marxismus. Ein-
mal ging es auch darum, dass gerade die Ostler durch
Und “innerlich”? Niemand bezeichnet sich selbst ihre Geschichte ein natürliches Gefühl zu dem haben
als Hacker, jedenfalls nicht, ohne danach ein echtes müssten, was der Club im Westen unter “Hacken”
Glaubwürdigkeitsproblem zu haben, soviel ist mal klar. verstand. Kreativer Umgang mit Technik als fester
Auf der anderen Seite haben die Punks, mal als Bei- Bestandteil des Alltags, polytechnische Schulbildung
spiel, selten Probleme, sich selbst als Punk zu bezeich- als eine der Voraussetzungen dafür. Aber die Landkar-
nen - oder später irgendwann mal weintrinkend im te der Chaostreffen und Erfakreise zeigte im Gegen-
Ledersessel zu sagen “Das war damals, in meiner satz zu diesen Theorien im Osten praktisch nur wenig
Punkzeit”. Da kann man schon neidisch werden, dach- Punkte, wie er wieder wehmütig feststellte.
te er. Aber er fühlte sich doch zugehörig und irgendwie
heimisch bei den Dresdner Hackern. Ansonsten wür- Er fragte sich, wer wohl schon da war, als er die Zah-
de er kaum seinen Freitagabend mit ihnen verbringen, lenkombination in das elektronische Türschloss ein-
dachte er weiter. gab. Und schon im Treppenhaus hörte er die bekann-
ten Stimmen aus dem “Büro”. Er freute sich auf den
Er kam auf seinem Weg immer weiter ins Hechtviertel Abend, auf die Nacht. Und er freute sich, dass c3d2
und wie jedesmal überkam ihn ein Gefühl der Vertraut- nicht nur für ihn wichtig war, sondern auch für eine
heit. Hier hatte er sein Leben in Dresden begonnen immer größer werdende Gruppe. Mit interessanten
und dann einige Jahre gewohnt. Als er noch neu in der Leuten, einer stabilen Struktur - und sogar einem eige-
Stadt war, war er ab und zu einem der Usergruppen- nen Büro.
Treffen gegangen. Aber dort stellte er bald fest, dass
es da eben tatsächlich nur um das jeweilige speziel-
le Interesse ging, ob nun bei der Linux User Group
oder dem Unix-Stammtisch. Ihm fehlte neben den
Diskussionen über die technische Funktionsweise die
Frage nach der gesellschaftlichen Auswirkung. Vor
welchen Entwicklungen haben wir Angst, wodurch
werden diese bedingt und vor allem: Was können
wir tun?

Ein paar Punks grölten auf der anderen Straßenseite


durcheinander, und er glaubte einen Ramones-Klas-
siker wiederzuerkennen. Die Häuser waren hier zum
größten Teil unsaniert, die noch bezahlbaren Mie-
ten und die Nähe zur Neustadt hatte eine speziel-
le Mieterklientel angezogen, was das Hechtviertel
mit einem ganz eigenen Charme erfüllte. Sicherlich
gab es solche Konstellationen auch woanders in der
Republik, allerdings war dies für ihn typisch Osten.
Im Gehen stellte er nun die Theorie auf, dass der
Chaostreff sich in der Anfangszeit auch deswegen
so schnell entwickelt hatte, weil Dresden als Stadt
vielleicht besonders fördernde Eigenschaften für die
Bildung solcher kleinen Gruppen bietet. Oft hatte
er den Satz “Dresden ist wie ein groß ausgedehn-
tes Dorf” gehört. Immerhin mit Technischer Univer-
sität, mehreren Fachhochschulen und angesiedelten
Halbleitergrößen.

Der Osten an sich scheint jedenfalls nicht sonderlich


fördernd für chaosnahe Aktivitäten zu sein, überleg-

27
die datenschleuder #85 / 2004

27
NERDS VS. NATURE VOL. II

ICMP 2 - Koffeinsucht stillen


und in der Sonne chillen
von Lars Weiler <pylon@ccc.de>

Campen macht dem gemeinen Hacker immer mehr Spaß. So ist es nicht verwun-
derlich, dass in den Jahren zwischen den großen Camps, wie dem Chaos Com-
muncation Camp oder jenen in den Niederlanden, ein kleineres Camp stattfindet.
Schließlich wollen die Zelte auch genutzt werden. [1]

Bei grandiosem Sonnenschein und über 30°C im Schat-


ten haben etwa 100 Personen vom 5. bis 8. August
2004 den Weg ins fränkische Münchsteinach gefun-
den. Münchsteinach? Irgendwo habe ich das schon
mal gelesen.... Klar, denn dort ist der Firmensitz der
Loscher KG [2], dem Hersteller der köstlichen Club-
Mate [3], ein auf Mate-Basis hergestellter Eistee, der
in Hackerkreisen seit einigen Jahren sehr beliebt ist
und auf den üblichen CCC-Veranstaltungen zu erwer-
ben ist.

So kam vor drei Jahren die Idee auf, in die geheimen


Hallen des Herstellers vorzudringen und gleichzei-
tig nebenbei ein wenig zu Campen. Der weniger als
eine halbe Stunde Autofahrt entfernt liegende Erfa-
Kreis Erlangen/Nürnberg/Fürth [4], in seiner Form als
Bits’n’Bugs e.V., übernahm federführend die Organi-
sation der Veranstaltung. So konnte eine anliegende
Wiese des Sportplatzes vom SVS Münchsteinach zum
Campen genutzt werden. Da dieser etwa einen Kilo- Camp
meter abseits vom Ort liegt, brauchten wir uns kei-
ne großen Sorgen über Insbesondere der “Partner-Tarif” - zwei
die Belästigung von Getränke zum Preis von eineinhalb - kon-
Anwohnern machen. struierte ein interessantes soziales Netzwerk,
um sich gegenseitig ein Getränk auszuge-
Seit der ersten ICMP
ben.
im Jahre 2002 hat der
Sportverein ein schi- Ein großes Bierfest-Zelt bot Platz für ein
ckes WC- und Dusch- Hack-Center und die Workshops, für die viel
haus gebaut, so dass Zeit eingeplant wurde. Jedoch mussten die-
keine Einbußen in se in die Abendstunden rücken, in denen
der Hygiene in Kauf der Beamer gegen die Kernfusion am obe-
genommen werden ren Horizont wieder ankam. Erst dann konn-
mussten. Dixi ade! te sich die angesammelte Meute den Erläu-
Das nahe Freibad mit terungen zu PDF als coolen Datencontainer,
Naturquellwasser sorg- Informationen zu GSM und UMTS, Fine-
te für die kühle Erfri- tuning von Firewalls und NAT-Netzen oder
schung bei Tage von dem aktuellen Status zur 21C3-Planung [5]
Außen und die im hingeben. Nur die obligatorische Brauereibe-
Kühl-Anhänger gela- sichtigung fand an einem Vormittag statt.
gerten Getränke der Satellitenuplink
Loscher KG von Innen.

28
#85 / 2004 die datenschleuder

28
NERDS VS. NATURE VOL. II

Die BlinkenArea-Crew stellte ihre Nach- Trickserei stand schließlich ein UDP-
bauten zu Blinkenlights und Arcade Tunnel zu einem Server nach Ber-
[6] ebenso aus, wie etliche neu- lin, welcher das Camp mit Raten
ere Basteleien, die stunden- zwischen 30 und 60 kByte/s in
lang zum Verweilen und die Welt verband. Somit dürf-
Anschauen ein- te auch bei künftigen Veran-
luden. Das staltungen ‘in der Pampa’
Event- eine Möglichkeit gegeben
Phone- sein, Internet bereit zu
Team stellen.
[7]
sorgte Dass Campen wie-
mit ihrer der in Mode ist,
von etli- konnte an der
chen CCC- Größe der Zel-
Veranstaltun- te festgestellt
gen bekannten werden.
Telefonanlage für Waren
die interne direkte noch in
Kommunikation mit- den
tels DECT und Fest- Vor-
netz und testete damit jah-
ein weiteres Mal das Setup
für die Feldtauglichkeit. Beim en
CERT - dem Chaos Emergen- rill
rkelg
cy Response Team [8] - konnten nfe
sich von Mückenstichen und Son- Spa ren
nenbrand geplagte Hacker behan- Iglu-Zel-
deln lassen. für das leibliche Wohl te aka Hun-
sorgte ein über alle Stunden geöff- dehütte ‘in’, so
netes Büffet und das Grillteam, welches standen diesmal etli-
abends die Camper mit Würstchen, Kote- che mehrere Quadratmeter
lett und selbst Spanferkel am Spieß ver- einnehmende Hauszelte auf dem
sorgte. Gelände. Schließlich sind diese klei-
nen Camps ein optimaler Test für die grö-
Eine dauerhafte Verbindung zum Internet konn- ßeren Camps.
te ab dem zweiten Tag mittels eines Satelli-
ten-Uplink bereitgestellt werden. Nach ein wenig Ob eine ICMP 3 weiterhin auf dem bisherigen Gelän-
de stattfinden wird, ist bei einer
pidylle Besucherzuwachsrate von 100%
fraglich. Die Kapazität des Plat-
zes war schon nahezu erreicht.
Doch können wir sicher sein, dass
die Erlangener eine Lösung fin-
den werden.

[1] http://www.icmp2.de/
[2] http://www.brauerei-loscher.de/
[3] http://www.club-mate.de/
[4] http://erlangen.ccc.de/
[5] http://www.ccc.de/congress/2004/
[6] http://www.blinkenlights.de/
[7] http://www.eventphone.de/
[8] http://www.c-e-r-t.de/

Blinkenarea

29
die datenschleuder #85 / 2004

29
NACHBARSCHAFTSHILFE

Link State Routing -


Optimized?
von elektra <onelektra@gmx.net>

Die Freenetwork Community auf dem Weg


zum sich selbst organisierenden draht-
losen Überallnetz.

Militärisches Forschungsgebiet und


intelligenter Staub
Überall wird mit grossem Aufwand an der Technik sich
selbst organisierender Funknetzwerke (Mesh-Clouds)
geforscht. Die USA statten Soldaten mit PDAs aus, die
sich auf dem Schlachtfeld drahtlos miteinander ver-
netzen. Zur Überwachung gegnerischer Armeen, zur
Steuerung von Minen und anderer Nettigkeiten sol-
len drahtlos vernetzte Kleinstcomputer dienen - der
‘Smart-Dust’. Das Ziel der Entwicklung von Smart-Dust
ist die Größe eines Sandkorns und ein Preis unter 5
Dollar pro Stück - diese modernisierten Wanzen sollen
u.a. in großen Mengen aus Flugzeugen abgeworfen ab und ist nicht mehr kompatibel, wenn man die ent-
werden. Die Pläne zur zivilen Nutzung des SmartDust sprechenden Features aktiviert. Das sollte man aber
beschränken sich auf Überwachungsaufgaben - auf auf jeden Fall tun...
Sensor-Netzwerke.
Verschiedene Routingmechanismen für
Dynamisches Ad-Hoc-Routing im Mesh
Community-Netzwerk Die Probleme in einem mobilen Mesh sind zahlreich:
Es ist wenig erstaunlich, dass bestimmte Implemen- Die Topologie ändert sich dauernd und Bandbrei-
tierungen von Mesh-Routing-Protokollen überhaupt te ist immer knapp. Links weisen Paketverluste auf,
nicht zugänglich sind. Meshing ist andererseits viel sind nur kurzfristig vorhanden und ändern ihre Über-
zu interessant um es Generälen und Spitzeldiens- tragungsqualität ständig. Das verwendete Protokoll
ten zu überlassen. Bei Wlan-Communities, die ein frei muss schnell reagieren - darf sich aber auch nicht kirre
zugängliches Überallnetz aufbauen wollen, wird an machen lassen...
freien Implementierungen / Verbesserungen für Mesh-
Proaktiv
Routingprotokolle gebastelt. Campaign Urbana Wire-
Bei proaktiven Protokollen wie OLSR, DSDV oder
less (Cu-Wireless) ist dabei, HSLS (Hazy Sighted Link
MMRP (Mobilemesh) wird versucht, immer alle Nodes,
State routing protocol) zu implementieren. Die Frei-
die Links und Routingpfade zwischen ihnen zu ken-
funk-Community in der Berliner C-base arbeitet daran,
nen, egal ob diese Routen gerade benötigt werden
eine Linux-Implementierung von OLSR [1] zu erwei-
oder nicht. Diese Protokolle basieren auf Link-State-
tern und verbessern, die Andreas Tønnesen in Norwe-
Algorithmen.
gen als Diplomarbeit für die UniK programmiert hat.
Nach dem Abschluss des Diploms wäre die Implemen- Jeder am Mesh beteiligte Rechner pflegt eine Daten-
tierung von Andreas ohne Unterstützung von Freifunk bank in der die gesamte Struktur des Netzes festgehal-
vielleicht in Schneewittchenschlaf gefallen, da Andreas ten ist. Man kann davon ausgehen, dass proaktive Pro-
selbst kein großes Interesse an Meshing hat. tokolle in sehr großen Mesh-Netzen schlecht skalieren.
Die Datenbanken werden sehr groß und die Menge
Dank der Arbeit von Thomas Lopatic gibt es inzwi-
der Informationen, die ausgetauscht werden müssen,
schen auch Ports für OS-X, FreeBSD und Windows.
um die augenblickliche Struktur des Netzes zu erfas-
Inzwischen wurde eine veränderte Form von ETX
sen, wird zu einem Hemmschuh. Bei hochgradig mobi-
(Erklärung gibt’s im weiteren Text) in OLSR implemen-
len Nodes, die sich alle gleichzeitig in unterschiedli-
tiert. Soviel sei schon verraten: Der Freifunk-OLSR-
che Richtungen bewegen können, wird die Datenbank
Dämon weicht in vielen Punkten vom OLSR-Standard

30
#85 / 2004 die datenschleuder

30
NACHBARSCHAFTSHILFE

innerhalb kurzer Zeit wertlos und muss immer wieder steigt und macht das erneute Übertragen von Daten
neu angelegt werden. notwendig.

Aus diesem Grund eignet sich OSPF nicht. OSPF Eine Route, die über zwei Funkstrecken mit jeweils 90
erstickt in dieser Situation am selbstgenerierten Traffic. Prozent Paketverlust bei niedrigster Übertragungsra-
te führt, ist kaum benutzbar. Eine Alternativroute, die
Reaktiv stattdessen einen Sprung mehr macht und dafür Funk-
Ein anderer Weg sind reaktive Protokolle wie DSR oder strecken mit geringen Paketverlusten verwendet, kann
AODV. Um den Rechen- und Kommunikationsauf- bedeutend schneller sein.
wand zu minimieren, werden die Routingpfade nur bei
Bedarf ermittelt, geprüft und gegebenenfalls neu ver- Protokolle, die derartige Erwägungen bei der Berech-
handelt. Braucht ein Teilnehmer einen Link zu einem nung der Routen berücksichtigen, sind im Durch-
entfernten Mesh-Knoten, verbreitet er einen Rou- schnitt doppelt so performant wie jene, die einfach nur
te-Request (RREQ). Der RREQ wird so lange weiter- den kürzesten Pfad wählen. Die praktische Erfahrung
gereicht, bis er entweder beim gewünschten Node zeigt, dass am Rande eines Mesh eine derartige Strate-
ankommt, oder auf einen Node trifft, der in seinem gie darüber entscheidet ob man überhaupt noch eine
Cache bereits eine Route zum Zielrechner hat. Dieser brauchbare Verbindung hat oder nicht.
sendet daraufhin einen Route Reply (RREP) auf dem
Pfad wieder zurück, den der RREQ zuvor nahm. Dazu braucht es eine Bewertung der Links (Metrik),
der Routingalgorithmus muss die Routen anhand der
Steht die Route, spielen reaktive Routingalgorithmen Metrik berechnen.
so lange keine Rolle mehr bis einer der am Weiterrei-
chen der Pakete beteiligten Rechner feststellt, dass die Am MIT wurde ein einfacher Algorithmus zur Ermitt-
Route nicht mehr funktioniert. Dieser Rechner verbrei- lung der Metrik entwickelt (ETX - Expected Transmis-
tet eine Route-Error-Meldung (RERR) mit einer Lis- sion Count), der dieser Anforderung Rechnung tragen
te aller Nodes, die nicht mehr über den defekten Link soll. Bei ETX schicken die Netzknoten in einem fest-
erreichbar sind. Damit der Routingmechanismus nicht gelegten Intervall eine Anzahl UDP-Pakete. Die Emp-
ziellos innerhalb des Netzes verläuft oder gar End- fänger können anhand der Anzahl der empfange-
losschleifen bildet wird eine sogenannte ‘Destination nen Pakete erkennen wie gut die Übertragung ist. ETX
Sequence Number’ in den RREQ, RREP, RERR übertra- lässt sich leicht in vorhandene Protokolle integrieren.
gen, anhand der das Protokoll erkennt ob es sich ziel- Die Idee, zusätzlichen UDP-Traffic zugenerieren gefällt
gerichtet verhält. überhaupt nicht. Deshalb hat der Freifunk-OLSRD
eine abgewandelten ETX-Mechanismus: Es wird ein-
Die Entwickler versprechen sich von ihrem Ansatz, dass fach eine Statistik über die empfangenen/verlorenge-
er selbst mit mehreren zehntausend Netzteilnehmern gangenen Hello-Nachrichten der Nachbarn von jedem
noch funktionieren soll. Reaktive Protokolle brauchen Node gebroadcastet - dieser Traffic entsteht bei OLSR
länger um eine Verbindung aufzubauen, da diese erst sowieso.
bei Bedarf gesucht wird.
Fairness
Ausserdem existieren noch geographische oder hybride Das Routing muss bei der Berechnung der Routen ver-
Protokolle. Geographische Protokolle routen anhand meiden, dass ein zu großer Teil des Datenverkehrs
geographischer Koordinaten. Hybride Modelle wie ZRP durch einen einzelnen oder wenige Netzwerkknoten
arbeiten auf kurze Entfernung proaktiv und bei größe- geschickt wird und somit ein Flaschenhals entsteht, der
rer Distanz reaktiv. unter der Netzlast zusammenbricht und den Daten-
durchsatz behindert. Das lässt sich jedoch nicht immer
vermeiden, etwa wenn es nur einen Link über einen
Probleme, Probleme einzelnen Netzknoten zwischen zwei Gruppen von
Die protokollbedingte Netzlast reduziert die nutzba- Mesh-Nodes gibt. Links zu einem Flaschenhals haben
re Bandbreite aber ordentlich Paketloss und bekommen deshalb vom
Die Protokolle sollen schnellstmöglich die effektivs- Freifunk-OLSRD eine schlechtere Metrik.
te Route zu einem beliebigen Knoten im Mesh finden
- ohne durch das ständige Übertragen von Informati- IPv6 ist wichtig
onen über die Struktur des Netzes eine große Netzlast Die Konfiguration der Mesh-Rechner über DHCP ist
(Overhead) zu erzeugen. Im schlimmsten Fall erstickt ein schwieriges Unterfangen. Ohne eigene IP-Adresse
das Netz im selbst erzeugten Datenverkehr oder wird funktioniert IP-basiertes Ad-Hoc-Routing nicht - man
wesentlich gebremst. kann also nicht mit dem nächstgelegenen DHCP-Ser-
ver kommunizieren, wenn dieser nicht in unmittelba-
Die kürzeste Route zu finden ist nicht ausreichend rer Reichweite ist. In kleineren Gruppen kann man die
Die meisten Protokolle berechnen die kürzeste Rou- Adressen manuell zuweisen. Die IP-Vergabe in Berlin
te. Das ist nicht immer günstig. Je länger eine Funk- geschieht bislang über das Wiki olsr.freifunk.net. Mit
strecke zwischen zwei benachbarten Rechnern ist, des- IPv6 kann man den Prozess automatisieren.
to niedriger ist die Übertragungsrate. Der Paketverlust

31
die datenschleuder #85 / 2004

31
NACHBARSCHAFTSHILFE

����� �� ���� ��������� ��������������������������

�����������
����� �� ���

������ �� ������ ����

���������

���
����� �� ���

������������
����������

���������

����� ������

���������
�����������

������� �������

��� ������ �������

Link State Routing - Optimized? Einfluss zu verkleinern. Der Gedanke der Entwickler
den protokollbedingten Overhead zu verkleinern führ-
OLSR versucht, die protokollbedingte Belastung im
te zu Instabilität. Multipointrelais könnten ja schon
Netz zu minimieren, indem jeder Node nicht alle One-
Sinn machen - aber dann mit einer brauchbaren Metrik
Hop-Neighbours zum redundanten Weiterleiten von
die die Wahl des MPR nicht dem Zufall überlässt. Des-
Topologieinformationen verwendet. Einzelne One-
wegen ist ETX seit olsr-0.48 in olsr implementiert.
Hop-Neighbours werden als sogenannte MultiPointRe-
lays definiert - gerade so viele Neighbours, wie not-
wendig sind um alle anderen Two-Hop-Neighbours OLSR auf dem Weg zu ....
zu erreichen. Nur diese MPRs werden zum Weiter-
Die WLAN-Community verzichtet inzwischen auf die
leiten von Topologieinformationen verwendet. OLSR
Hysteresefunktion von OLSR, die sich per Konfigura-
hat ausserdem einen Hysterese-Mechanismus, der es
tionsdatei abschalten lässt. Es lässt sich eben theore-
wesentlich effektiver machen soll: Ein Link, der unre-
tisch kaum entscheiden was ein Mesh tatsächlich opti-
gelmäßig funktioniert, und damit ein ständiges Neu-
miert. Die Bewertung der Links anhand des Paketloss
berechnen von Routen herbeiführen würde, wird nicht
liefert dagegen eine brauchbare Metrik, deren Einsatz
dauernd berücksichtigt. Gehen drei Hello-Nachrich-
in ersten Tests eine enorme Verbesserung gebracht
ten nacheinander verloren (Default-Einstellungen) wird
hat. Multipointrelais bringen nur dann etwas wenn das
der Link gelöscht. Genau dieses Gimmik bereitete aber
Mesh tatsächlich sehr dicht ist, also wenn viele Nodes
beim Testen auf der WizardOfOS3 und im alltägli-
zahlreiche direkte Nachbarn haben. Bislang überschrei-
chen Betrieb im Berlin-Mesh [2]Probleme. Durch die
tet aber kein bekanntes Mesh eine Anzahl von 50
Hysterese wurden Links verworfen, die zwar schlecht,
Nodes, die sich zu einer meshcloud zusammenschlies-
aber vorhanden waren. Dummerweise waren das aber
sen. Im Moment ist die Implementierung von olsr.org
des öfteren zufällig die MultiPointRelays, da OLSR
IMHO die beste Basis für ein Communitynetzwerk. Bis
die MPRs per Zufall bestimmt solange sie nicht aus
zu welcher Teilnehmerzahl die gerade verfügbare Imp-
der Hysterese fallen. Eine Hysterese kennt eben nur
lementierung skaliert, ist noch ungetestet. Dazu müs-
null oder eins - Ich hab nen Link, Ich hab ihn nicht...
sen die Meshes erstmal eine bestimmte Größe über-
Das Resultat war eine lange Routingtabelle die immer
schreiten. Was vermutlich nicht lange dauern wird.
wieder vollständig zusammenbrach um im nächsten
Darauf freue ich mich schon.
Moment wieder komplett zu sein. Der Fix war: Hys-
terese aus oder bremsen, größere Redundanz bei den [1] http://www.olsr.org/
Multipointrelais. OLSR zu optimieren bedeutete also [2] http://olsr.freifunk.net/
die Optimierungen teilweise abzuschalten oder ihren

32
#85 / 2004 die datenschleuder

32
BESTELLFETZEN

Bestellungen, Mitgliedsanträge und Adressänderungen bitte senden an:

CCC e.V., Lokstedter Weg 72, D-20251 Hamburg, Fax +49.40.401.801.41

Adressänderungen und Rückfragen auch per E-Mail an office@ccc.de

• Chaos CD Blue, alles zwischen 1982 und 1999 EUR 23 + EUR 3 Porto
• Alte Ausgaben der Datenschleuder auf Anfrage
• Datenschleuder-Abonnement, 8 Ausgaben
Normalpreis EUR 32
Ermäßigter Preis EUR 16
Gewerblicher Preis EUR 50 (wir schicken eine Rechnung)
• Satzung und Mitgliedsantrag
EUR 2,50 oder zum Selberausdrucken unter http://www.ccc.de/club/membership

Die Kohle

• liegt als Verrechnungsscheck bei


• wurde überwiesen am _____.______.______ an

Chaos Computer Club e.V., Konto 59 90 90-201


Postbank Hamburg, BLZ 200 100 20

Name:

Straße / Postfach:

PLZ, Ort

Tel.* / Fax*

E-Mail:

Ort, Datum:

Unterschrift

*freiwillig

die datenschleuder #85 / 2004


#85
C