 North Korea. Nicht nur bekannt war seine Schokolade, sondern auch dafür, dass ein Überwachungsstaat ist. Und ein guter Überwachungsstaat muss natürlich sein eigenes Betriebssystem haben. Weil wie kommen denn sonst Leute richtig überwachen ohne eigenes Betriebssystem? Heute bekommen wir eine kurze Einführung, wie Red Star OS funktioniert. Die Einführung fokussiert sich auf den eigenen Code, der für die Überwachung eingefügt worden ist und besonders auf Art und Weise in diesen Code zu umgehen. Bitte begrüßt Florian und Niklas, einer großen Menge Applaus. Hey everybody, thanks for having us. Wir werden heute tief eintauchenden Red Star OS. Wir sind relativ überrascht gewesen, dass es da relativ wenig Informationen gibt über den Kern von Red Star OS, was es wirklich tut. Und wir haben uns gedacht, das ändern wir jetzt mal und geben euch mal Insight-Informationen, wie das ist, den Funktionen. Und als wir in die technischen Aspekte geschaut haben, können wir auch Schlösser ziehen, wie die Entwicklung in Nordkorea tatsächlich Sicherheit entwickelt und auch tatsächlich aufholt. Wir sprechen heute über unsere Motivation. Warum tun wir das? Wir gehen durch die Architektur von Red Star OS, die einzelnen Komponenten, der Kern. Dann tauchen wir tief in die weiteren Komponenten an, all die Programme, die aus Nordkorea kommen und die zusammen mit Red Star OS ausgeliefert werden. Danach tauchen wir noch tiefer ein in die interessantesten Features von Red Star OS. Und dann können wir unsere eigenen Schlösser ziehen. Dann haben wir noch Zeit für Fragen. Dieses Bild hier auf der linken Seite, das ist tatsächlich eines der Screensaver von Red Star OS. Okay, bevor wir anfangen, müssen wir kurz diesen Disclaimer loswerden. Wir waren noch nie in Nordkorea. Alles, was wir über Nordkorea wissen, ist von öffentlichen Quellen, aus dem Internet, aus den Medien und so weiter. Das heißt, was wir hier über Nordkorea sagen, ist Spekulation, weil wir wissen nicht wirklich, was in Nordkorea passiert. Außerdem sind die ISO-Dateien, die wir analysiert haben, öffentlich im Internet verfügbar? Möglicherweise sind sie also Fäschungen. Wir denken nicht, dass sie Fäschungen sind, weil Scott auf dem letzten Kongress gezeigt hat, wie Red Star OS sieht und alles, was er gezeigt hat, ist auch in diesen ISOs drin. Das heißt, wir glauben, die sind real und echt. Red Star OS macht euch, dass wir uns über niemanden Lustig machen werden, weder über die Entwickler, noch über die Leute in Nordkorea, weil wir denken, dass unsere Präsentation ein bisschen noch lustig sein könnte und ihr könnt auch lachen. Das ist auch okay. Aber wenn wir uns Red Star ansehen und im Detail ansehen, das ist eine Überwachungsmaßnahme und deswegen ist es ein privatsphären Albtraum. Und bitte behalte das im Hintergrund. Dieser Sorg spricht nicht viel über Sicherheit wie viele andere Talks im Internet und das ist nicht unser Fokus heute. Okay, warum machen wir das eigentlich? Red Star OS wurden ins Internet gelegt, die wir sind zwei hängt im Internet herum und jetzt ist eine 3.0 in den 2014 gelegt. Und wir waren sehr überrascht, dass dieses Betriebssystem gar nicht in Tiefe analysiert wird. Das heißt, die meisten Neusartikel sind tatsächlich relativ seicht und das überrascht uns, weil wenn da eine Art Staat ist, der nicht gerade auf Transparenz und freie Meinungsäußerung achtet und die machen ein Betriebssystem, dann fragt man sich doch, wie funktioniert das Ganze? Was sind die großen Aspekte? Der andere Aspekt war, wie sieht Softwareentwicklung in Nordkorea aus? Wie entwickeln die Software? Die Architektur, denken Sie doch mal nach, wie Sie Sachen machen und was Sie machen? Wie hoch sind die Skill-Level der Softwareentwickler in Nordkorea? Also, wenn man sich genau das ankommt, was wir eben gesagt haben, dann findet man heraus, dass Red Star OS ungray genauso aussieht wie die Mac-Oberfläche. Und darüber kommt es später noch mal. Und dann gucken wir uns noch mal genauer was genau in Nordkorea passiert. Und dann werden wir uns noch einen weiteren Blick auf den Browser, von Red Star OS werden, der auch interessant ist. Wir werden euch zeigen, wie die Kundenkomponenten aussehen. Und die Basisteile. Und dann werde ich an Niklas weitergeben. Und er wird in den Kern des ganzen Programms sehen. Und in seine Features. Und danach gucken wir dann Zeit für die Fragen. Also, es gibt verschiedene Versionen, die gelegt wurden. Eine Server und eine Desktop-Version. Man kann also Red Star OS auch als Server verbinden. Also, ihr könnt sehen, dass Server-Version 3 ist im Moment gerade verwendet als Server-Version. Und das ist gerade mit Nordkorea verbunden. Und dem Sprechen ist gerade genau, dass der Server, in der die Verbindung zu Nordkorea herstellt, mit der Red Star OS 3.0-Version. Und wir schließen daraus, dass es dementsprechend die letzte und aktuelle Version sein soll. Und dann ist supposedly something that looks like 2.5. Wir haben auch zwei Punkte, die Version 2.0 wurde auch gelegt. Und eventuell eine 2.5-Version. Es wurde etwas gefunden, was relativ offiziell aussieht. Und es könnte die Version 2.5 sein. Und das sieht etwas sehr, sehr nah an Windows XP aus. Und dementsprechend, vielleicht sind sie von 2.0 über die Version 2.0. Die Version 2.5, die mehr wie XP aussieht auf die 3.0-Version, die mehr wie Mac-Version aussieht. Wenn man sich die 3.0-Version ansieht, dann sieht man, dass es auf ein Fedora 11 oder Fedora 11 basiert. Und dementsprechend schließen wir, dass sie 2009 mit einer Basis von Fedora 11 angefangen haben. Und 2011 dementsprechend den Kernel 2.6.3.8, der dann auf Fedora 1.0 basiert, entstanden ist. Und dass man an Red Star S die letzten Pakete, die man sehen kann, die sind quasi Juni 2013. Und dementsprechend glauben wir, dass im Juni 2013 Red Star S wenig ist. Und in Dezember 2014 gab es den Public League, mit dem die Version in die Offenheit gegangen ist. Es ist ein vollfunktionsfähiges Desktop-System. Es gibt ein E-Mail-Klein, ein Kalender, ein Quick-Time-Produkt. Es gibt eine Verschriftelungsfunktion, und es gibt Kernel-Modules. Sie haben dieses Kernel-Modul-RT-Scan, das Niklas über das weitere Kernel-System geht. Das ist ein Kernel-Modul, das AES-Encryption verabschiedet hat. Das ist ein Kernel-Modul, das AES-Encryption verabschiedet hat. Es gibt eine AES-Verschlußung, das Modul KDM und KEM, das ist ein Desktop-Modul. Ich mache einfach etwas mit Korean-Letters und das mit Korean-Schriftzeichen und die Darstellung davon. Es wurde von der KCC entwickelt. Es ist sehr interessant, dass sie schon seit ein paar Jahren einen Büro in Berlin haben. Sie haben nicht was die da gemacht haben, aber sie hatten einen Büro in Berlin. Vielleicht haben sie ein bisschen Austausch. Sie haben die AES-Encryption verabschiedet, das BHR-Rul mit custom-Modul eggplantiert. Sie haben auch die Hörnungen im AES-Linux verabschiedet. Dann haben sie Siepulver in einem system ridiculiert. Das ist ein sehr interessantes System. Sie haben ein fiercepower-Modul mit custom-Modul. Das ist ein sehr interessantes System. X ermitteln sollte, die einen Grund ist vielleicht, warum dieser junge Mann hier einen IMAG benutzt. Warum sollten sie ein spätrisches System entwickeln? Eine dieser Anthologien sagt von Kim Jong-il, Im Prozess von Programmieren ist es wichtig, etwas in seinem eigenen Stil zu entwickeln. Bei ONE meinte er, ein eigenes Betriebssystem zu Nordkiria sollte nicht auf dritte Parteien verlassen, sondern nur auf sich selbst vertrauen, um das Betriebssystem zu entwickeln. Alles ist ein bisschen modifiziert von einem Betriebssystem, und das ist genau das, was wir machen. Die ist ein Browser, der sich zu meinem Land übersetzt. Es gibt ein Kryptotool genannt Bokem, das sich auf zu und zu Schwert übersetzt. Es ist ein open office modifizierte European Office Version, ein Softwaremanager und ein Musikkompositionsprogramm. Dann gibt es ein Programm, das sich Routesetting lendet und das einem Routzugang gibt. In der Dokumentation wird gesagt, dass man aufgrund von der Kriteriativ-Bedingung sollte man einen Rout haben, aber man kann das mit diesem Programm erreichen. Wir geben euch jetzt eine Demo, die wir jetzt genau retten. Diese Demo, die diese Präsentation ist, ist tatsächlich in RedStarOS durchgeführt. Was ihr hier seht, ist RedStarOS, wir zeigen jetzt ein paar Aspekte. Es gibt viele Screenshots im Internet, einige von euch wissen vielleicht schon, wie RedStar funktioniert oder habt selber Erfahrung damit. Wir gehen nur einige interessante Sachen durch. Wie ihr gesehen habt, es gibt einen kompletten WorldProcessor, ein Präsentationssoftware. Jetzt mache ich den Browser auf, was auch immer. Die Einstellungen, um euch kurz zu zeigen. Hier habt ihr Einsichten in die Zertifikatsautoritäten, die hier in dieser Firefox Version implementiert sind. Das ist Firefox 3. Sie sind nicht besonders viele Zertifikatsautoritäten, und sie alle sind sowohl schätzungsweise aus North Korea. Das heißt, der Browser ist total dafür gedacht, nicht außerhalb von North Korea benutzt zu werden. Das sieht man auch in der URL Anzeige, dass hier eine interne IP-Adresse, die in das Netzwerk von North Korea zeigt. Alles Einstellungen, harte Kordete IP-Adressen usw. Zeigen alle in diese interne IP-Adresse von North Korea. Das heißt, der Browser und das E-Mail-Programm wurden nie dafür gedacht, außerhalb von North Korea benutzt zu werden. Was haben wir jetzt? Ja, wir haben einen Quicktime-Player. Also, ich will jetzt drüber sprechen, wie wir Mac OS X nachmachen. Wir haben hier diesen Swoosh-Effekt, der genau so aussieht wie in Mac OS X. Haben wir den Sound an? Ist an? Ja, okay. Okay, so, let me try to find ... Versuche ich mal ... Das hier haben wir eine Shell. Interessant ist, dass, als wir das alles durchgeschaut haben, da waren einige Dateien, die eine gewisse Schutz haben. Die Schienen sind sehr interessant zu sein, sehr wichtig für das System. Und es gibt eine Wave-Datei, eine Audio-Datei, die beschützt ist. Warning.wav. Ich weiß nicht, ob wir das hören, aber schauen wir mal. Ich versuche es nochmal. Hört ihr das? Wird jeder wissen, was das ist? Parmi? Ja, Pick, genau. Und woher kommt das? Was ist das, jemand? Gestohlen von Kaspersky Antivirus. Wenn der Alpen-Versum von Kaspersky Antivirus, wenn es ein Virus findet, dann spielt es genauer dieses Sound ab. Das exakt die Wave-Datei von Kaspersky. Wir haben das mit Checksummen verifiziert. Das heißt, wir haben ja eine Copyright bei Letzso. Was haben wir noch? Wir können hier unsere eigene Musik erstellen. Das mache ich jetzt aber nicht. Da bin ich nicht besonders gut drin. Wir haben ein Browser. Ich zeige euch noch eine Sache. Ich zeige euch nicht die Verschlüsselungstools, weil das hat Scott schon letztes Jahr gemacht, aber um euch mal an den Einsicht zu geben, die Crypto-Hilfstools, dann ist es ganz hilfreich, wenn man das Tool, das Bokem 3, tool ansieht, das ganze Fressplatte oder einzelne Dateien verschlüsselt. Wenn wir da in die Beschreibung gucken, dann sehen wir, es erlaubt dem Benutzer seine oder ihre Privatspferndatei mit Verschlüsselung anzuzeigen. Wir haben das nicht erwartet. In RedStar, es ist tatsächlich Dateien verschlüsselt, oder man es probieren kann. Wir benutzen tatsächlich mitgeliefert Kryptografie, die mit dem Kern kommt. Wir wissen nicht, ob da irgendwelche Hintertürchen drin sind. Wir wissen also nicht, ob das Entschlüssel war oder nicht. In einem Master-Kschlüssel, wenn jemand das angucken will, der Krypto-Erfahrung hat, ist sehr gerne eine Version zur Verfügung stehen. Zurück zur Präsentation. Eine Sache noch, die ich noch zeigen muss, diese rote Flagge auf der rechtfühle obere Seite, wenn wir die anschauen. Wir da das übersetzen. Wenn wir das hier übersetzen, dann findest du, dass all diese Strings, all diese Texte, die scheinen antivierenden Scanners zu sein. Das heißt, sie haben von Anfang an von null auf einen antivieren Scanner implementiert, indem man ein Ordner und eine Datei auswählen kann. Und dann, wenn diese Datei tatsächlich eine Schadstoffe ist, dann besprechen wir später noch, was Schadstoffe heißt. Dann wird sie auf jeden Fall gelöscht von der Festplatte. Das ist ein sehr interessantes Feature. In diesem Betriebs-Stim-Ambien-Scancer hat. Schauen wir uns mal die zum mitgelieferten Komponenten an. Wir haben das bisschen die Benutzer-Soft verengeschaut, aber es gibt noch viel mehr. Ihr könnt die so herunterladen, ihr könnt auch ein bisschen damit spielen. Endet die Sprache in Englisch, oder koreanisch nicht gut, also endet die Sprache und dann spielt du. Die interessanten Redstar-Packages, sie haben KDE angefasst und bearbeitet. Sie haben einen Diabesehenschecker und einen Sicherheitsdemo geschrien. Dann haben wir hier Sicherheitspackages, die Niklas gerade besprechen wird. Es gibt noch Policy-Demons mit über zwei der Integri-Sales-Mechanik-Mensch-Sprechen, die Redstar hat. Wenn wir Redstar ansehen, dann sehen wir, dass eine Sache war ihnen echt wichtig, nämlich dass das System seine Integrität behält. Eine Sache, die sie dazu benutzen ist, dieser Prozess hier, der heißt Inchec, der kommt mit einer Eskili-Datenmark mit Tasches von Dateien im System, also Signaturen und System-Dateien und wenn sie es konfigurieren, das heißt, sie ist nicht versteckt oder so, sondern sie ist sehr klar erbörtlich von dem Benutzer. Es ist sogar ein Benutzerinterfester dabei. Es wird beim Start ausgeführt und es sieht sich alle Dateien an. Wenn diese Dateien manipuliert worden sind, wird der Benutzer gewarnt. Wir kommen einen kleinen Pop-Up und dem steht, diese Datei wurde bearbeitet und das System ist nicht mehr sicher. Was diese Sache macht, und der SecurityD ist auch interessant, weil das auch ein Prozess der in MacOS läuft. Ich bin kein Benutzer und ich denke, dass der SecurityD in MacOS tatsächlich Zettifikate mithält. Was sie aber machen ist, sie haben SecurityD aus Linus reimplementiert und haben einige Placken mit dabei und einen interessanten Fakt über SecurityD ist, dass sie eine Qualität mitkommen. Die einzelne Kern-Betrieb-Systeme der Dateien mit, die wir beziehen können. Die haben wir eine Liste von der Dateien. Autostart-Files für SCN-PRC sind die Anti-Virus-Scanne. Wir schauen hier, ob diese Dateien instantan ein Reboot initiiert. Wenn du diese Files tust, dann wird deine Maschine sofort neu starten. Wenn die Maschine sofort neu starten wird, dann macht es auch eine Integrizität. Wenn diese Dateien jetzt bearbeitet worden sind, dann wird es sofort das System neu gestartet. Das heißt, wenn wir mit dem System rumspielen, dann startet das System nicht neu, und das natürlich sobald der KDM sagt, hier neu startet, dann wird das noch mal gesteckt, und dann wird das noch mal neu starten, und dann checkt es noch mal, und dann wieder neu starten und so weiter. Das System ist eigentlich tot. Was sie also damit versuchen, ist, dass sie einzelne Dateien beschützen wollen, deren Integrität beschützen wollen, und sie denken sich dann, das System ist besser, und dann kann es also anstatt, dass sie dann nur gebahnt ist, dass wenn dein System irgendwie beeinflusst worden ist. Okay, ich gehe jetzt weiter an Niklas, und Niklas wird noch weiter auf die weiteren spezifischen Features eingehen. Ein weiteres Package, was wir gefunden haben, war das E6 Package. Und was ich mit elektronischem Signaturesystem schaffte, und wir fanden, das macht sehr, sehr viel komische Dinge, und das ist tatsächlich eines der Bilder, die inkludiert, die inklusiv in diesen Package sind. Und das beinhaltet einfach nur, das ist unser Copyright, und bitte benutzt es nicht, und es ist Unsaß. Es hat einige sehr interessanten Anhänge, und wir haben auch noch einige, und es gibt auch viele, und es gibt viele sehr interessanten Anhänge. Wir haben also das Red Flag BMP, das ist die Bilder, die du eben gesehen hattest, und wir haben ein Warnungs-Datei, und der erste Ding, da wir uns gleich erst gesehen haben, ist das Kernelmodul, das ist der Kernelmodul, das ist das Kernelmodul, Und das Einzige, was es quasi macht, ist einfach nur das Fast-Verschiedene-Körnel-Koll zusammen. Und einige die Körnels, die auf dem deviceen Gerät sind, die werden halt zusammengefasst. Und dann sichert es oder beschützt die IPs. Und das ist relativ interessant, wenn man sich das mal genauer anguckt. Denn es schützt einerseits die Datei, andererseits. Also du kannst das nicht bearbeiten und man kann es nicht reden. Und man kann es dir nicht mal lesen. Und auf der rechten Seite seht ihr, wie der Service interagiert. Und wie es das quasi schützt und gleichzeitig versteckt. Dann, wie Florian hat gesagt, wir haben dieses Virus-Scanner, der wie ein Virus-Scanner aussieht. Und das ist der GUI-Prozess. Und es gibt etwas, was wie der Virus-Scanner aussieht. Und es hat das S.C.M.P.R.C. Desktop-File, das ist ganz interessant, weil man das disabelen kann. Aber man kann es aber nicht bearbeiten. Also wenn man es aufrufen möchte, dann ist es nicht möglich, den Virus-Scanner zu bearbeiten. Dementsprechend ist das nicht ganz so einfach. Wie wir bereits gesagt haben, gibt es verschiedene Arten davon. Etwas, was ein Ordner durchsucht, etwas, was ein USB-Stick durchsucht. Und das S.C.M.P.R.C.-Service ist actually loading the column module und es starts in another service, which is called OP-P.R.C., which we are going to look in detail in a minute. Und wir werden nochmal an den OP-P.R.C.-Prozess gucken und das werden wir uns nochmal später ganz genauer ansehen. Das ist auch nochmal sehr interessant. Aber das Better-Matching... ...there's another package, so we have the C6-DB-Package, which actually just provides this one single ANGAI-File and this means, as far as we know, it means fuck in Korean. And this is basically a signature file. Diese Datei ist ein Signature-Datei und ein Mooster-Datei. Das ist eine wohldefinierte Datei mit Moosters, die in den Speichern geladen werden und geprüft, ob die Patterns übereinstimmen. Und wenn das der Fall ist, dann wird die Datei einfach gelöscht und die Warnung abgespielt. Das ist eine der versteckenden Dateien. So selbst mit Rootzugang kann man diese Datei nicht sehen und nicht löschen. So der Benutzer wird nicht sehen, was geprüft wird und der Benutzer weiß eben nicht, was nach was gescannt wird. Und die beste Schätzung ist, dass viele der Dateien sind in den Little-Anion. Das heißt, man muss immer die Bytes switchen. Und es sieht nach UDF16 Strings aus mit komischen Symbolen, also koreanischen Symbolen. Und wenn man das in Google Translate reinkopiert, dann gibt es komische Ergebnisse. Es sieht aus, als ob sie nicht nach Schadsoftware suchen, sondern eher nach Dokumenten suchen. Zum Beispiel, wenn die Regierung diese Dateien nicht verteilt haben will, dann werden die einfach gelöscht. Aber wir können das nicht bestätigen. Das ist nur eine Vermutung von uns. Aber man kann immer diese Dateien immer updaten. Das heißt, diese SPC und PFC hatten eine eingebaute Update-Funktion. Oder wenn man dieses ESIC-Paket-Update, dann bekommt man auch ein neues Pattern-File. Das heißt, die Entwickler entscheiden, was schädlich ist. Und schädlich heißt dann nicht automatisch, dass das Schadsoftware ist. Aber die Entwickler entscheiden, was gelöscht werden soll und was nicht. Ein anderes Service, der im 100 Grund läuft, ist dieser OOP-PRC. Es ist interessanter als dieser Viren-Scanner, der läuft im Hintergrund. Das heißt, der Benutzer sieht nicht, dass dieser Prozess läuft. Man kann mit dem Prozess nicht interagieren. Und das ist einer dieser geschützten Prozesse, der nicht gestoppt werden kann, selbst mit Ruhrzugang. Und das ist sehr interessant, dass man das Kernel-Modul nicht stoppen kann, weil die sich gegenseitig schützen. Wir haben ein bisschen die Entropie, die der QR-Code-Dateien vergleicht. Und wir erklären, warum wir denken, dass sie so viel Code teilen. Am interessantesten ist aber, dass dieser Prozess Wasserzeichen an Dateien anhängt. Sobald das System gestartet wird, dann liest es die Festplattenserie-Nummer. Und sobald man zum Beispiel ein USB-Stick einsteckt, dann wird ein Wassermarken-Wasserzeichen-Prozess gestartet, nimmt einen hartgekurten Schlüssel und verstellt es und steckt das in die Dateien. Wenn man Schlüssel in Deziemalschreibweise überträgt, dann bekommt man zwei Daten. Eine dieser Daten ist Madonna's Gewürzzeug. Und das gibt Gerüchte, dass Leute in Korea sehr Madonna sehr mögen. Aber wenn das ist nur eine Schätzung, aber wenn ihr vielleicht bessere Ideen habt, dann könnt ihr euch gerne an uns winken. Die Wasserzeichen haben ein ASCII-EOF hinzugefügt. Und für JPEG und RB-Files, für example, hängt das Wasserzeichen einfach an das Ende. Und bei einem DOG-X-Datei, dann wird es in der Nähe des Headows gesteckt, wo sehr viele Null bei zu stecken. Sobald man ein Datei mit Office öffnet, dann wird ein Wasserzeichen eingefügt, selbst wenn man die Dateien nicht öffnet. Wir haben festgestellt, dass das nicht immer funktioniert, aber es funktioniert meistens. Die supporten Types, die wir hier unterstützen, die wir bestätigen können, sind der DOG-X, JPEG und RB-File-Datei. Es gibt wahrscheinlich ein paar mehr Dateien, die hier unterstützt werden. Aber die haben uns nicht so genau gemischt. Das ist das ausschließlich, wie der Dateien tatsächlich nicht beeinflusst werden. Das heißt, keine Binärdateien. Sie könnte trinkele ich eindeutig darauf auf Dateien, die Informationen weitergeben können, was die natürlich dazu benutzt werden können, die Informationen so freier Sprache weiterzugeben. Das heißt, im Endeffekt sagen wir, dass das kein Sicherheitsfeature war, sondern dass sie freie Meinungsäußerung tatsächlich mit Wasserzeichen versehen werden. Wo möchten wir? Das heißt, wenn wir ein Dokument weitergeben, hat das Betriebssystem die Dateien mit Wasserzeichen versehen, und sie kann damit nachverfolgt werden. Jetzt kommt eine kurze Demo. Hier habe ich zum Beispiel einen USB-Stick. Und da ist ein File auf dem USB-Stick. Die ist ein liebes Brief von Kim, dessen Checksrömmel er startet, beginnt mit 529. Sobald ich den in das System einstecke, das kann man sehen, dass er etwas wie ein USB-Stick erkannt wurde. Aber ich mache ihn jetzt gar nicht auf, sondern ich werfe ihn da. Ich hoffe, dass es funktioniert. Das ist was ich meine, dass es ein bisschen fehlerbehaft ist. Das heißt, es funktioniert nicht immer mit Wasserzeichen. Aber meistens, wenn wir das aufmachen, dann funktioniert das auf jeden Fall. Wir machen das auf jeden Fall. Das ist das, was ich meine. Das ist das, was ich meine. Das ist das, was ich meine. Das ist das, was ich meine. Das ist das, was ich meine. Ich mach Jimmy's per Fall. Wir machen den Date mal auf. Wir leaksen das wieder weg. Dann wird es geblasen. Wir sehen das, was er switcht. Wir haben nichts in der Datei angefasst, aber das Betriebssystem hat die Datei geändert. Es war tatsächlich der, was wir powderdur, die Davon eingehört haben. haben mehr in das Betriebszimmer einzusehen, als wir gesehen haben, dass das Betriebszimmer einfach Dateien ändern, sobald wir irgendwas einstecken, das ist ziemlich nervig. Und was es einfacher zu machen, was tatsächlich passiert ist, wir haben hier den Header der Datei, das ist eine DocX-Datei und wir haben diesen String hier hinzugefügt, den ich markiert habe, das ist tatsächlich das Wasserzeichen, hier sehen wir den Plaintext auf der rechten Seite, der ist verschlüsselt und es fängt an mit B48, das heißt jedes Mal wenn es das in die Datei einfügt, dann fügt diesen String an und der steht wahrscheinlich für Wasserzeichen und das am Ende der Datei erlaubt jedem der diese Datei entschlüsseln kann oder diesen Teil dieses Wasserzeichen entschlüsseln kann und nachdem der mit einem hart gecoordeten Kiefer schlüsselt, kann praktisch jeder diesen Schlüssel finden und dann mit diesem Teil entschlüsseln und das erlaubt dem Entschlüsseler dann eben den Ursprung der Datei herauszufügen. So, im Beispiel steht euch vor dieses Bild und ihr seid in Nordkorea und ihr denkt, das ist ziemlich cool und ich möchte dieses Bild jetzt an meine Freunde weiter verbreiten. Und du denkst, okay, möglicherweise fangen sie meine E-Mails ab und so weiter, deswegen du bist auf meinem USB-Stick und das heißt, es geht gar nicht ins Internet, in die man im Internet kann diese Datei passen und am Anfang haben wir dann diese Situationen, hier haben wir die original Datei, das ist das Ende der JPEG-Datei, die mit FFD9-Hexer-DT9-Aufwert beides nach der Definition und sobald ich das meinem Freund gebe und er in den USB-Stick in einen Restaur als Computer einschlägt, ändert sich die Datei so, dass sie so aussieht. Das heißt, JPEG-Datei wird einfach die Wasserzeichen an der Datei angehängt. FFD9 ist also das eigentliche Ende der Bilddatei und danach haben wir dieses Wasserzeichen. Jetzt wird es interessant, denn wenn dein Freund dann diese Datei zu einem weiteren Freund weitergeht, macht Restaur als Folgendes, es hängt auch noch die Wasserzeichen bei den ersten Freundes auf. Und was wir deswegen machen können, wenn wir also das technisch verwenden, dann können wir nicht nur sehen, woher diese Datei kam, sondern können tatsächlich nachverfolgen, exakt wer diese Datei hatte und wer sie weitergegeben hat. Mit diesem Wiss können wir etwas nachverfolgen für was Konservieren wie das hier. Wir haben tatsächlich die Verteilung aller Mediadateien. In der Mitte ist es einen Typen, der der Mitte einfach alle diese Dateien weiter gibt, die Mühungen in Nordkorea anders sind. Wir können deswegen alle diese Linien zurückverfolgen zu diesen Töpen, den wir nicht mögen, und wir können dem Eingang einfach sein, den Computer herunterfragen. So eine Funktionale, das wir noch nicht gesehen haben, aber den nehmen wir. Das ist schon was gibt, was das ist. Die Festsplatten-Serie, die Festsplatten-Serie, und damit haben sie die MP-Adressen mit der Festsplatten verbunden, damit können sie einfach zu der Eingang und deine Festsplatten-Serie einfach ansehen. Das ist ja eine Festsplatte, die die Verteilung von dieser sogenannten Schad-Medien auf den Fall nachverfolgen. Was wir dachten, ist ziemlich hart für jemanden, der nicht mehr mit der Festsplatten-Serie hat, oder der Wattermarking, der Tracking des Fests, und das ist eigentlich ziemlich hart, und das ist tatsächlich sehr schwierig, denn diese Services, die hängenfallen werden, und sie können dann nur abgebossen werden, wenn andere Dienste auch schon auf Liste laufen, und was wir versuchen müssen, ist, wir müssen den Rut zukriegen, wir müssen eine Security, die dann abschießen, damit er nicht über einen Neustartet, wenn er das ertern kann. Mit Kern aufrufen können wir, dann können wir das in-checken, dann können wir die anderen Features ausmachen, und das Beste, was wir machen können, ist, weirdly, der LibOS-File ist nicht protected by anyone, so you can just exchange this with the LibOS-Function, which always says one, which says okay, everything is fine, and then at the end you can delete the desktop-File, which is used by KDE, and we don't think that actually anyone in Korea who has only access to this one system, it will be extremely hard to figure all of this out and completely disable it, so. Für Korea wird es sehr schwierig sein, das selbst rauszufinden und umzusetzen. Sie haben einen ziemlich guten Job gemacht, eine Architektur zu entwickeln, die sich selbst beschützt und sehr viel Arbeit reingesteckt hat, um zu verhindern, dass man das abschaltet. Wir haben auch ein quick look auf die 2. Version von Racer, das ist geworfen, und da wir sehen, dass es in der Evolution von der alten Version zu dem Entwicklungs-Game hat von Racer, und die Sache, die ich in der Debatte hatte, ist, dass die Bienen, die wir hier haben, sehr simulär sind. Die Bienen, die wir hier haben, sind sehr simulär, und es ist ein bisschen anders, als die Prozesse an den Prozessen, und das ist nicht so wie die ersten Prozesse gesteckt. Es ist nicht so wie die anderen Infrastructure, die wir hier haben. Und die Verstärkung der Verstärkung hat viele Probleme mit File Privileges, die wir hier haben. Es gibt die Abschließungsprobleme, die wir hier haben, und die Stattung, und die Stattung, die wir hier haben, und die auf die Abschließungsprobleme mit Dataerrechnungen, aber es gibt auch viele Bienen, die hier sind, die wir hier haben, die Interface zu den Kernelmodulen, die ihr wie ein non-route User die Kernelmodule verabschieden könnt. Und dann können ihr alle Bienen töten, aber ihr könnt nicht etwas gelassen, weil es dann in der Rebut-Lube endet, wo ihr es mal alles schätzt, und in der älteren Version der Fertigkeitsanwaltesysteme herunter. Und wir haben gesehen, dass es mehr advanced Watermarken gibt, die das Zeichen der Technik sind, nicht nur einfach Wassermarken, sondern auch die Technik und die Watermarken, das wird über die Data eingelegt, weil wir zu lesen, wir haben das UF-String, das ist nicht so witziglich wie ein Fild. Das Userlib Organ file, das ist eigentlich nicht present auf der ISO. Wir haben das in der Conclusion gesprochen, wir haben darüber in der Zusammenfassung überzählen, warum das nicht da ist. Aber es ist in dem Code wird darauf sehr viel verwiesen, aber wir hatten diese Datei nicht und konnten deshalb nicht genau und blickt auf. Sowas, die wir nicht gefunden haben, waren offensichtlich Hintertüren, die wir dachten, dass sie eigentlich infiltriert sind, aber wir haben keine davon gefunden. Das heißt natürlich nicht, dass es keine Hintertüren gibt, aber wir haben Spekulationen darüber. Eine davon ist, dass wir im Anfang gesehen haben, dass das System im Internet gibt, die diese auf einem Red Star laufen. Das heißt, dass wäre komisch, wenn Systeme im Internet sind mit diesen Hintertüren, die dann öffentlich zugänglich sind. Das heißt, wenn jemand die ISO hat und diese Hintertüren herausfindet, dann könnte er sich zugrufft darauf verschaffen. Hintertüren könnten einfach über Updates geladen werden. Wahrscheinlich haben sie gedacht, dass diese ISOs eben erfüllt werden. Das heißt, hintertüren werden einfach über Updates innerhalb von Nordkorea eingespielt. Wahrscheinlich haben sie gedacht, wir möchten die Hintertüren nur auf Systemen, die in Nordkorea laufen, implementieren. Das ist unsere bäste Schätzung. Wir haben wirklich gedacht, dass die ISOs vielleicht belegt, das ist das Problem, dass viele Foto-Betriebssysteme angepasst wurden und es war nicht möglich, alles zu überprüfen. Wir haben uns hauptsächlich auf die Wasserzeichen, wir haben den Miranscanner konzentriert und es kann sein, dass da noch viel weiterer Ender sind. Das ist auch ein Problem, dass die Systeme sich self-protectieren. Weitere Fazit, den wir ziehen können, ist, dass das System sich selbst erschützt. Und das ist eben SELinux. Das ist wirklich schlecht, was wir denken, ist das Viruscanning und Watermarking, weil es das Schlimmes ist, dass in Anführungszeichen wir unscannen und das Erzeichen ermöglicht, mit der Verfolgen von der Verteilung zu verteilen. Sie können überlegen, was für Dateien entscheiden, was für Dateien verteilt werden dürfen. Diese beiden Fakten sind eben ein sehr starkes Framework, um zu setzen. Sie haben eigentlich Dokumente auf den Eiser der Server-Version, die dann das 3.0 gibt. Und sie haben ein User-Guy und eine Administration-Guy, die sich sich mit dem System etwas über Pausen, wie sie sich sicher machen, wie sie sich sicher machen, eben, um zu saves die Integrität aus dem System zu beschützen. Sie haben auch ein großes Chapter, über File-Permissions, aber die haben auch ein niedriges Kapitel über die Teil-Permissions. Das ist gleich wieder repariert. Und selbst der Code, Der Code, der von Ihnen geschrieben wird, benutzt ein Code, um Speicherkorruption zu verhindern. Selbst viele Sicherheitsfirmen benutzen das nicht und das fanden wir schon lustig. Manche Code von Ihnen ist also sicherer als Code von vielen Sicherheitsfirmen. Am I going? Can you hear me? Yes. Okay, so to wrap this up again, we think, this is a guess, that primarily they try to protect and to save the integrity of the system, which totally makes sense if you're putting out an operating system from North Korea. The system was in our opinion definitely built for home computers, so it's not like industrial control or something else. It's definitely built for a home user because it mimics macOS X and gives you all of the tools. Maybe the reason why we didn't find backdoors is they actually know that backdoors are bullshit. If you want to look into Red Star S and help us out, especially with the crypto, the Pilsen kernel module, which provides custom crypto, with a look into the kernel to see if there is something hidden there, maybe there are backdoors there. Take a look at our GitHub and please contribute if you find something because we think that this message and all of this stuff has to be put out to the public. It is a well-known fact that this operating system is actually abusing free software to actually make free speech harder in a country that is all depressed. So with this, we are at our end and we are going to take your questions. Thank you very much. We have about 15 minutes' time for questions. If you want to ask a question, please come to the microphone. There are some on the right and some on the left. ISIL, if you for any reason can't come to the microphone, please raise your hand and I'll come to you with my microphone. Okay, please line up there. If you want to leave now, please do this quietly through the front door. Could you raise your hand if you have questions and if you are standing at the microphone, there are three questions over there. On the left one, please. Thank you very much. It was very interesting. I have two questions. Have you tried isolating the system in a CH fruit jail? The second one is, were there any outbound connections? Okay, so for the first one, we did not try to run it in an isolated environment. We actually didn't do it on a live system. I don't think it's the right one. But we didn't do any observations that this changed the behavior of the system. Concerning the second question, there actually is not really outbound traffic. What it is doing is on the local network is talking a lot of Netbuyer stuff. So there is an SNMB and an NMB-Demon running on the system and it's ordering a lot of Netbuyers. But this is basically everything we could find. We have even left it running for like two days to see if there is an outbound connection for one day or something like that. We couldn't see anything like that. So the other stuff that Redstar is talking to the network is like this Windows Netbuyer stuff. And it is, if you push the bundle on the update feature and the virus scanner is actually trying to initiate an update process that goes to five hard-coded IP-Adresses in Verbindung zu fünf lokalen IP-Adressen versucht in Verbindung zu stellen. Und das sind die einzige Verbindungen, die wir beobachten können. Okay, the next question also from this microphone. Two questions might be possible. Like when you install the system, it's called from North Korea, so you cannot find out if it's calling home, because you don't get the call. Could be, our guess is actually that they see far more stuff that you get when you pull up the operating system in North Korea. So, one reason is the origin of the data that Niklaus mentioned, that is missing on this, the ordering data, and so we don't know where this file is coming from. And from our perspective it totally makes sense to not distribute this file on the ISO, but kind of give it as an, I don't know, somebody has to come to your house to install the system there, and then you put like this dedicated organ file on your desktop, and that is dediciert to you, for example, that it totally makes sense. Because as you know like stuff works a little bit different, it's not like downloading an ISO and it's darling it, it's probably more complex Das kommt in der Komplexerprozesse, das System zu bekommen. Entweder über Updates, in der Internet, die unbekannte Art und Weise auf dein PC kommen kann. Die zweite Frage ist, wenn man aus der Nordkorea sieht, das ist wie ein Problem. Sie haben ja keine Probleme, sie sind glücklich. Jetzt kommen die Leute aus Südkorea und den anderen Ländern und bringen mit den Westen Propaganda wie ein natürlicher Reaktion. Es gibt natürlich Sinn, warum das System so entwickelt wurde, wie es entwickelt wurde. Das spiegeln ein bisschen wieder, wie das Region funktioniert. Integrität ist nicht nur ein kritischer Teil des Vertriebssystems, sondern auch für den Staat selbst. Und Closing und Abschotten. Also auch total Sinn. Und alles nachverfolgen und auch zu löschen. Wir denken, dass Red Star genau das wiedergibt. Und genau das wiedergibt, wie Kultur in Nordkorea ist. Also wir haben auch zwei Fragen aus dem ISC Chat. Das ist die Frage, warum das ISO gelegt wurde. Warum das ISO gelegt wurde? Wir wissen nicht, warum es jemand aus Nordkorea war. Wir denken, dass es vielleicht ein Ausleiter war, der das gemacht hat. Wir wissen aber nicht, wer das gemacht hat. Es gibt Gerüchte, dass es ein russischer Student war, der dort studiert hat. Und das ist ein Ressentat. Das ist ein Ressentat. Das ist ein Ressentat. Das ist ein Ressentat. Das ist ein russischer Student war, der dort studiert hat. Und hat das einfach auf der Straße gekauft und dann nach Hause genannt. Aber das können wir nicht bestätigen, ob das wahr ist. Wir haben ein paar Funktionen aufruft. Wir haben uns das koreanische Display-Modul angeschaut. Das macht einfach das, was man denkt, das es macht. Aber wir haben natürlich nicht alle Canon-Module angeschaut. Weil die Codebase ist eben so, was sie so groß ist. Und dazu brauchen wir wirklich euch, um uns da auszuhelfen. Nächste Frage von Mike, please. Ich habe eine andere Frage. Wir haben gesagt, dass die Software möglichst groß ist von der Quelle auf einer Software-Stand. Und er hat aber nicht die Software, und er hat nicht die absoluten. Also eigentlich eine Lizenzverlitzung. Es gibt tatsächlich eine DVD, die auch veröffentlicht wurde. Es gibt tatsächlich eine DVD, die auch veröffentlicht wurde. Ich glaube, es war für RedStar 2. Aber wir wissen nicht, ob es auch für die ältere Version war. Es gibt eine CD mit zusätzlicher Software, z.B. Apache oder MySQL. Man braucht einfach alles, um ein komplettes System in Linux zu betreiben. Es gibt also zusätzlicher Software, man kann es auch unterladen. Man kann die Software auf der Maschine installieren. Man sieht die Beschreibung in der APM anschaut. Dann kann man das sie selbst eine Beschreibung geschrieben haben. Und man hat auch die KCC als Lizenz eingetragen. Manchmal haben sie GNU und andere Sachen eingeschrieben. Man kann einfach alles checken. Wir suppos, dass es so ist, weil es wie die Open Source ist. Für die Open Source? Sehr gut. Eine weitere Frage? Eine weitere Frage? Ja, die Frage ist, ob es möglich ist, um die Wasserzeichen zu fälschen? Ja, das ist möglich. Der Key ist einprogrammiert. Man kann perfekt die Dokumente fälschen. Das ist absolut kein Problem. Man braucht nur die Seriennummer der Festplatte. Okay. Ich habe noch eine Frage. Eine weitere Frage? Das ist, ob die Warning.web eine Watermark hat? Nein, es hat die gleichen Warnung. Nein, es hat die gleichen Warnung. Nein, es hat keine Warnung. Es hat keine Warnung. Okay, danke. Vielen Dank. Vielen Dank. Vielen Dank.