 Okay, ein wunderschönen Tag. Willkommen bei diesem Vortrag an dem Sonntag und ich habe gar nicht damit gerechnet, dass überhaupt irgendwelche Leute hierher kommen. Ich habe diesem Vortrag schon ein paar Mal gehalten. Werfen euch, hat ihn schon gesehen. Einer! Okay, dann ist es tatsächlich für Leute ein neues Thema. Okay, dieser Vortrag geht darum, dass ich auch in eine Hacker-Szene und insbesondere auch in einer Hacker-Szene, die Tendenz entwickelt hat, so gut wie alles, was man digital an seinen eigenen Daten hat. Umgangssprach, die sagt man meistens dann dazu in die Cloud zu packen. Man hat Mailing-Listen, man hat E-Mail-Adressen von seinem Hackerspace auf den Hackerspace-Mailing-Listen, die bei Gmail liegen. Man hat vielleicht irgendwann von irgendwelchen interessanteren Hacker-Gruppen irgendwelche Mailing-Listen, wo Leute, die Daten ihre E-Mails auf Gmail liegen lassen oder wenn man drüber geht, zum Beispiel in den USA, wo die Organisationen alle ein bisschen jünger sind, die Veranstaltungen wie Camps organisiert, stellt man dann fest, dass zum Beispiel die TourCamp-Mailing-Liste bei Gmail liegt und eine Google Groups-Liste ist, die man damals sogar, glaube ich, nur mit Google Account vernünftig lesen konnte. Das hat damals dazu geführt, dass ich mich mal so richtig drüber aufgekotzt habe bei dem Organiser der TourCamps. Das ist der amerikanische Hacker-Camp. Der hat mich dann angeguckt, während ich dann zehn Minuten quasi in sein Gesicht gerendet habe, meinte, so, kannst du das noch mal tun? In so 20 Minuten im Zelt, das klingt ganz gut. So ist es halt zu diesem Vortrag gekommen und der hat sich über die Zeit auch weiterentwickelt. Ein Stück des Vortrags werde ich darauf mal eingehen. Aber ja, eine kleine Umfrage von euch, wer von euch ist irgendwie in Hacker-Spaces oder, also erst mal so, ist Deutsch okay für alle? Das hat sich noch keiner beschwert. You don't speak German? Okay, ich versuche einfach ein bisschen langsamer zu sprechen. Wer von euch ist mit irgendeinem Hacker-Space oder mit der Hacker-Szene im Nähren oder weiteren nicht involviert? Drei, vier Leute. Werfen euch und fragen wir mal erst mal für die E-Mail. Betreibt seine E-Mail nicht selber, also liegt bei GMX, T-Online, Google Mail. Okay, ich würde sagen, dass ist ungefähr ein Viertel der Leute. Nicht selber. Also wer hat sie irgendwo bei irgendeinem Dienstleister liegen? Wer von den Leuten, die sich eben gemeldet hat, bezahlt dafür. Okay, das nennenswert Anteil. Das ist ein Punkt, der wird später wichtiger. Wenn es dir zu schnell geht, sag es bitte einfach. Ich lebe als Deutscher in den Niederlanden und versuche auch mal dazu motivieren, Niederländisch mit mir zu reden, nur die werden da manchmal zu schnell. Deswegen sag es einfach, ich kenne deine Schmerzen gerade sehr gut. Wer von euch betreibt seine Mailser war selbst oder hat die Mailser von einem Freund oder von ähnlichen Betrieben oder im Hackerspace oder so? Aber das ging nicht so schlecht. Okay. Erst mal zu mir, ich bin McFly, ich komme aus Norddeutschland, hab in Darmstadt studiert, hab dort ganz viel mit dem Chaos gemacht oder überhaupt in der Rhein-Main-Region. Ja, ich liebe es Capture the Flex zu spielen, ich bin eigentlich aus Grund der Problematik, dass ich war auch Student bis vor gar nicht so langer Zeit. Und ich hatte das Problem, dass ich zu ganz vielen Hackerkonferenzen wollte, mir aber das Ticket nicht leisten konnte. Und dann hab ich festgestellt, dass die meisten von diesen Konferenzen einen Ticket umsonst raus tun, wenn man einen Vortrag hält. Und ich hab dann halt auch erwartet, na ja, beim ersten Mal reicht's mal was ein so, mal sehen, was passiert. Die haben den Vortrag dann tatsächlich angenommen und ich fand, das waren alles Trivialitäten, die ich erzählt hab. Aber die Leute haben das anders gesehen und deswegen gebe ich bis heute gerne Vorträge auf irgendwelchen Veranstaltungen zu verschiedensten Themen. Das mit dem Like ist so eine Sache geworden. Ich organisiere Hackerveranstaltungen, zurzeit bin ich involviert bei dem nächsten holländischen Hackercamp 2017, da ich in den Nierlanden wohne. Wenn ihr irgendwelche Fragen dazu habt, fragt mich einfach, am besten nach dem Vortrag. Ich geb da zurzeit auch regelmäßig so einen Vortrag zum Status des der Orga, der Schaar auf allen möglichen Grausveranstaltungen noch hier. Ja, ich hab Miliways gestartet, was ihr vielleicht schon mal erlebt habt, wenn ihr auf dem Camp gewesen und werfen wollt. Ich weiß noch nicht, was Miliways ist. Krass, ganz schön viele. Ja, und ich wohne jetzt seit kurzer Zeit in den Nierlanden und treibe Deitzmann-Umwesen, bin an dem Start eines Hackerspaces namens Pixelbar beteiligt und organisiere quasi mit das nächste holländische Hackercamp. Warum dieser Vortrag? Im Wesentlichen kann man diesem Vortrag ganz kurz zusammenfassen und es kann auch jeder selber tun. Read the fucking Terms of Conditions. Davon ist es übrigens auch abhängig, was von diesem Vortrag auf dich zutrifft. Nicht alle von diesen Vorträgen, alle von diesen Problemen, die im Vortrag angesprochen werden, sprechen, treffen auch zwingend auf dich selber zu und deine eigenen Problematiken. Und auch, das möchte ich gleich dazu sagen, bevor wir in einem Diskussion darüber kommen, dieser Vortrag ist über das quasi dahinterstehende Business-Modell, dass man seine Daten von quasi Dritten möglicherweise gegen den Sonst betreiben lässt. Wer ein Business-Account hat, bekommt möglicherweise eine andere Erfahrung, also im Wesentlichen, wenn man dafür selber bezahlt, dann betrifft eine Notale der Probleme. Und grundsätzlich möchte ich auch sagen, die Technologie hier, das geht hierbei nicht um die Technologie. Wer seine eigene Infrastruktur betreibt und dabei zum Beispiel Docker verwendet und seine Docker-Container selber baut und im Rahmen von eines Continuous-Delivery-Processes in seine Infrastruktur und Bas-Wort-Bas-Wort verschiebt, das kann alles durchaus okay sein. Nur weil in ganz vielen Docker-Images wehgets irgendeine Url-Pype-Bash drin steht, ist es nicht, dass alles schlecht ist. PRP war nicht schlecht. Wir haben typisches Programmiersprach-Vorteil. Ich meine, guckt euch Perl an zu der Zeit. All die Probleme, die PRP hatte, so kein Check von 1000 irgendwelchen Sachen, die da drin sitzen, Cross-Head-Script-Dringen, all diese Sachen muss man selber machen. Die gleichen Probleme gibt es in Perl auch. Trotzdem gab es im Verhältnis dazu viel weniger beschissene Perlanwendungen. Das ergibt der Grund dafür, wann nicht die Programmiersprache, der Grund dafür waren die Leute, die die Anwendungen dieser Sprache geschrieben haben. Wer Anwendungen in Perl geschrieben haben, wusste typischerweise, was er tut. Das waren dann halt nicht ganz so schlimme Programmiersprachen. Bei PRP war eigentlich nicht PRP das, was so richtig fürchterlich schlecht war, sondern die Tatsache, dass ganz viele Leute, die vorher Autos verkauft haben, auf einmal angefangen haben, Webseiten am Internet zu schreiben und zum Thema, wie werde ich SQL-Abfragen in einer Datenbank exakt so lange gelesen haben, bis die Abfrage zumindest meistens funktioniert haben. Das war das Problem bei PRP. Aber wie gesagt, die Technologie da drinnen ist, ist nicht grundsätzlich deswegen gleich schlecht, weil sie bestimmte Sachen tut oder nicht tut. Genauso sehe ich das bei den in Cloud typischerweise verwendeten Technologien in den AWS-Services oder Docker, was zurzeit so ein ganz typisches Thema ist. Es ist nicht die Technologie, es geht dabei um quasi das Verhalten, das Laden, das das Speichern seiner Daten, ohne dass man jemandem Geld dafür gibt auf das Service von Dritten. Ja, warum? Warum gehen die ganzen Leute überhaupt in ihren Daten in die Cloud? Der erste Grund dafür und der meistens bequemste dafür Grund dafür ist, es ist so einfach. Man hat sich ganz schnell einen Account geklickt, man hat sich bei Amazon schnell einen kleinen Test-Account, der kein oder sehr wenig Geld geklickt. Man hat seine Gmail-E-Mail. Sicherlich ist ein sehr wesentlicher Grund für die meisten Gmail-User auch gewesen, dass das umsonst ist. Ich meine, es gibt ja andere Mail-Provider. Also warum seid ihr werfen euch es bei Gmail? Für viele von euch war die Tatsache, dass Gmail kostenlos ist, ein wesentlicher Punkt in der Entscheidung zu Gmail zu gehen. Also wer wäre nicht zu Gmail gegangen, wenn er dafür hätte bezahlen müssen? Na, ich würde sagen, das sind ungefähr zwei Drittel von Dingen gewesen. Ja, welche Nachteile kommen damit? Zuerst sind man seine Daten, das ist, wir sind ja auf einer Hacker-Veranstaltung, deswegen steht das ja ganz oben. Wer seine Daten zu Google tut, der wird damit leben müssen, dass Regierungen Zugriff auf die Daten haben. Früher hieß das die amerikanische Regierung, heute heißt das jede Regierung. Der Provider deiner Daten kann möglicherweise den Service, den du verwendest, verändern. Das typische Beispiel für Modify-Service ist ein Dienst, der erfolgreich ist, wird auf einmal kostenpflichtig. Das hat es in vielen Fällen schon gegeben, ich gehe da weiter und rein. Der Provider kann möglicherweise die Terms und Conditions, die er hat, verändern. Manchmal zu einem Punkt, dass die Benutzung für einen nicht mehr möglich wird. Es gibt keine Menge Leute, z.B. die haben Netflix-Account und sind nicht aus den USA. Ich meine, die meisten von euch können das Problem schon sehen, seit dem Netflix-VPN-Band oder das zumindest mehr oder weniger erfolgreich versucht, ist das zumindest ein bisschen ätzend geworden, auf seinen in den Amerika nach amerikanischen Recht gekauften Netflix-Account zuzugreifen und auf die Sachen darunter zuzugreifen. Provider meint Modify-Service, anybody hier, der Google Wave benutzt hat, irgendwer, der irgendwelche Google Nest-Hardware hat, kennt die Schmerzen wahrscheinlich. Modify-Data, das ist nicht ganz so obviel. Da gehe ich nachher noch mal drauf rein. Und dann kommt ein Punkt, das hat formuliert Steel-Data. Das ist im Wesentlichen all die Fälle dafür bezeichnet, wo sich der Provider-Zugriff auf die Nutzung der Daten über den eigentlichen betrieblichen Zweck hinaus dadurch verschafft. Sprich, der Provider hat danach Rechtern euren Daten, die über die Rechte hinausgehen, die er braucht, um seinen Dienst selbst zu betreiben. Und last but not least, Hacker-Conference, Provider might get hacked. Es könnte sein, dass der Provider gehackt worden ist. Das ist ja noch nie passiert. Im Wesentlichen gerettet sich das alles auf die eine Sprache, auf die eine einzige Frage, Wem traut ihr mit euren Daten? Traut ihr jemanden, den ihr meine Flasche Mathe spendieren könnt? Oder traut ihr einer Firma, die möglicherweise noch nicht mal im gleichen juristischen Raum, wie ihr sitzt? Gibt für beides Gründe. Zuerst so ein Obvies. Governmental Access ist mittlerweile relativ weitgehend und da kommt man außer, wenn man seine Daten im Iran wahrscheinlich auch dort nicht mehr lange gespeichert, nicht groß drum herum, solange der Provider auf die Daten zugreifen kann. An dieser Stelle verweise ich noch ein weiteres Service, das wo der Provider die Daten möglicherweise gar nicht in Unverschlüsselt in der Hand hat. Das gibt es auch, das ist da aber in dem Fall nicht bezeichnet. Aber im Wesentlichen, vor fünf Jahren hieß halt die Daten in der Cloud zu speichern, dass halt die USA bzw. die 5i's drauf zugreifen können. Heute heißt es, dass so gut wie jede Regierung der Welt auf so gut wie von jedem die Daten zugreifen kann, wenn sie auch nur irgendwie sich an Gründen an den Hahn dabei ziehen kann, warum sie das muss. Also ja, auch die holländische Regierung auf die Daten von irgendwelchen Leuten aus Spanien oder Deutschland. Und das ist nicht nur Polizei, es sind meistens noch Zollämter und je nach lokaler Gesetzgebung geht das sehr, sehr, sehr weit. Deutschland haben wir meistens den richterlichen Vorbehalt. Da ist es dann so, dass die Rückweisequote von Vorgerichten im einstelligen Prozentbereich ist. Wir haben dabei noch einen Vorsprung gegenüber vielen anderen Lernen, wo es diesen richterlichen Vorbehalt gar nicht mehr gibt, wo halt der Zugriff auf diese Daten direkt einfach nur der Entscheidung des ermittelnden Polizisten, Staatsanwalt oder wer auch immer den Zugriff da hat. In manchen Ländern muss man an Gründe dafür angeben, warum man jetzt über eine Maske auf etwas zugreifen muss in anderen Ländern. Das ist einfach blanker Zugriff. Wie ihr seht, ich arbeite jetzt mal die Punkte von vorhin runter. Der typische Punkt von Provider Might Modify Service und Update Staff ist halt tatsächlich, dass man Geld bezahlen muss für etwas, was vorher kostenlos war. Und das ist leider sehr häufig das Geschäftsmodell von den Firmen, wenn sie zu dem Zeitpunkt kommen, wo sie groß geworden sind mit der Tatsache, dass sie ganz vielen User an irgendwas freigegeben haben und irgendwann 6 Millionen User haben und ein riesiges Handelsvolumen, man eigentlich ein riesiges Wert an der Börse haben, aber langsam haben wir eine Idee darüber kommen müssen, wie wir das Ganze jetzt in ein Businessmodell verwandeln. Das heißt also, aus den ganzen vielen Usern auch ein Payment Stream, ein Revenue Stream erwächst, sind so gerne gehörte Worte sind und das heißt dann entweder Werbung, meistens mit entsprechender Personalisierung oder in vielen anderen Fällen, dass halt die vernünftige Nutzung des Dienstes in einer zahlungspflichtigen Nutzung umgewandelt wird. Provider Might Cancel Service, dann kann es sein, dass der Provider den Dienst, den er bisher angeboten hat, einstellt. Wie gesagt, das hat es in vielen Fällen gegeben, manchmal ist der Grund dafür, der Konkurs der Firma, manchmal ist der Grund einfach auch dafür, dass die Firma sich entschieden hat, dass dieses Projekt, was man mal angeschoben hat, nicht die Umsatzerwartung in die Zukunft erfüllt, die man dabei so hatte. Beispiele dafür sind der Google Reader, Google Wave, Google Health, einige von den Nest Produkten, die Google angeboten hat, funktionieren nicht mehr, weil Google sich entschieden hat, sie nicht mehr zu unterstützen. Das ist auch so ein anderer Punkt, so irgendwas funktioniert nicht mehr, weil sich dem Provider entschieden hat, so das ist jetzt End of Service und das kriegt jetzt keine Updates mehr oder ähnliche Punkte. GeoCity, das ist für die ganzen Leute, die ganz früh im Netz gewesen sind, ein Punkt gewesen, da haben ganz am Anfang des Internets, für all die von euch, die zu jung dafür sind, so zum Anfang des Internets gab es so einen Provider, da konnte man sich umsonst Homepages klicken und dann gab es so einen Provider Baukasten dazu, da konnte man sich in diesem Baukasten eine eigene Webpage klicken und typischerweise die Ergebnisse davon haben wir mal ganz toll geblinkt und es war eine grausame Vergangenheit und seid wirklich froh, dass ihr sie nicht erlebt habt. GeoCity ist da, GeoCity ist mit Schuld daran gewesen. Nächstes Beispiel, was halt so ein bisschen so ein Punkt ist, Mega-Upload, Mega-Upload hat sicherlich einen sehr hohen Anteil von illegalen Datentausch auf ihrer Plattform gehabt. Nächstes würde ich trotzdem sagen, dass eine weit überwiegende Mehrheit der Daten, die dort getauscht worden sind, wahrscheinlich legal getauscht worden sind und wer seinen Business-Modell darauf gebaut hat, es guckt halt möglicherweise in die Röhre und die ganzen Daten waren auf einmal weg. Dodgeball, Microsoft Tune, Microsoft Zoom, da hat von euch so was, das von euch das gehabt, haben wir hier first-hand Erfahrungen im Publikum. Microsoft Zoom ist ein Music-Player gewesen, das sei quasi ein Stück Hardware gewesen, was ein DRM auf der Musik implementiert hat und quasi ohne funktionierendes Server von Microsoft konnte man seine eigene Musik nicht mehr hören und Microsoft hat sich zu einem bestimmten Zeitpunkt entschieden, dass dieser Service nicht gut genug funktioniert und halt die Server abgeschaltet, was halt zum Ergebnis hatte, dass die ganzen Leute von, naja, wenn man seine E-Mail gelesen hat, hatte man 14 Tage Zeit, die Musik als mp3 runterzuladen, wer seine E-Mail nicht gelesen hat, hat möglicherweise einfach irgendwann morgens den Player bin zu wollen und festgestellt, dass er auf die ganze Musik nicht mehr zu greifen kann. Habt ihr Fragen bis hier? archive-team.org hat auch einen Problem gehabt, dass die kein, das nicht archive-team.org, das war so ein ähnliches Projekt, die haben dann irgendwann versucht, Geld dafür zu haben, Webseiten zu verlangen, dass die dann archiviert werden und die haben dann halt so eine kurzfristige Suche nach einem vernünftigen Business-Modell gehabt, bis sie dann mit ihrem Dienst mehr oder weniger komplett wieder eingepackt haben und gesagt haben, so, naja, das lassen wir und das wurde dann auch so, ist jetzt aus. Ja, es gibt halt also gerade, ganz häufig ist dieser Punkt halt damit zu tun, dass irgendjemand eine geile Idee hatte und irgendeinen Start-up-Investor hat von der Idee gehört und dem ganz viel Geld gegeben, da ist eine Firma daraus geworden und nach zwei, drei Jahren hat man sich dann halt überlegt, wie man da zum Geschäftsmodell daraus machen muss. Das hat nicht funktioniert, dann haben die Investoren das Geld wieder rausgezogen und dann ist das ganze Projekt im Bach runtergegangen. Ich glaube, das war so ein nicht unüblicher Lebenszyklus für durchaus einige Sachen, die es so aus dem Silicon Valley rausgegeben hat. Eine Frage, ich weiß es nicht mehr. Das schleppe ich schon seit dem ersten Folien-Satz mit mir rum. Das hat jemand in einen Rund geworfen, ich weiß es gar nicht mehr. Ich habe mir mal vorgenommen, es nachzugucken, aber nicht in der letzten Zeit getan. Genau, Crowd-Sourcing, das, was ist, Deutschbeutel gewesen. Prop-Fighter-Might-Modify-Data. Not so obvious, weil wir es in Deutschland auch nicht so einfach haben und weil das bei uns halt das üblichste Beispiel dafür vielleicht gar nicht so auffällt, aber wer von euch mal länger Zeit in Amerika verbracht hat und einen amerikanischen YouTube-Account hat, kann ja mal versuchen, Fakt zu sagen in dem YouTube-Video. Was es hier häufiger gibt wegen der GEMA ist, dass Musikers-Videos entfernt wird, also meistens die gesamte Tonspur. Und man könnte, wenn man wollte, die das ständige Wiederzurücksetz in der Privacy-Settings und Facebook darunter setzen, dass halt ein Provider ständig Data-Modifiziert. Die Argumentation, ob Data und Konfiguration hier gleiches würde ich dann nach dem Vortrag führen. Aber im Wesentlichen, das ist was, was einem gar nicht so häufig auffällt, weil das einfach meistens unter der Filterwahrnehmung ist. Die Sachen, die wirklich obviel sind, sind wirklich auf YouTube Fakt-Sagen oder Musikspur drauflegen, auf dem man kein Ur-Eberrichtlichen-Rechtheit oder wo sich die GEMA nicht mit YouTube über die Verwendung dieser Musik einigen will, bla bla bla. Da werden Daten von einem modifiziert, ohne dass man da wirklich Einfluss drauf hat oder eine Zustimmung gegeben hat. Ich meine, wenn man ein Kunstvideo produziert, wo aus künstlischen Gründen im Rahmen der Meinungsfreiheit das Wort Fakt vorkommt, dann ist das juristisch völlig okay, aber das kannst du immer versuchen mit YouTube zu dich zu diskutieren, warum die das Fakt an dieser Stelle ausbieten ist völlig unmöglich. Ich habe mal mit einem europäischen Künstler genau diese Aktion gehabt, der sich dann darüber aufgerichtet, dass seine Kunst in Amerika halt anders dargestellt wird und er keine Möglichkeiten zu einflussend damit am Wesentlichen hat. Provider might steal data. Der Provider könnte sich mit euren Daten davon machen oder die Daten nutzen. Das ist jetzt eine sehr provokante Formulierung dafür, dass einige Provider ihr Geschäftsmodell darauf bauen, dass man gar nicht Daten bei ihnen speichert, sondern nur die komplizierte URL auf die Daten bei ihnen speichert. Tiny URL und Bit.ly isn't a schöne Beispiele. Lässt euch mal die Terms of Conditions zu. Da steht nämlich im Wesentlichen drin, du verpflichtest dich keine Zugriff auf Daten zu teilen, auf die du nicht das Urheberrecht hast. Und wenn du das Urheberrecht hast, gibst du uns jetzt hier von einer Kopie davon, dass wir das danach quasi vollumfassend verwerten dürfen, inklusive Verkauf an Partner, was im Wesentlichen jeder ist, der dafür bezahlt, inklusive der Business Ideen, die da zum Beispiel drinstehen. Also das ist wirklich interessant, weil auch gerade diese Dienste sehr explizit in ihre Terms of Conditions reinschreiben, was sie eigentlich jetzt gerade mit deinem OK von dir jetzt alles kriegen. Und das ist dann schon so ein Ding, wo man eigentlich gar nicht so wirklich mit gerechnet hat, weil man hat die Daten ja noch nicht mal dargespeichert. Man über, also gerade Tiny URL, da hat man die URL hingegeben, dass die aus der URL eine kurze URL machen, die halt halbwegs brauchbar auf Twitter zu teilen ist. Wenn man pechert, hat es einen kleinen Führern selbst gemacht. Das ist übrigens juristisch interessant, weil das ist möglicherweise eine fehlende Zustimmung. Und noch zum Punkt des Instagram. Es gibt Gertzildians von Bildern, die über Instagram geteilt werden. Aber Instagrams, das Geschäftsmodell von Instagram ist das Bilder, als eine Karate Foto-Agentur zu verkaufen. Nur wir bezahlen halt die Fotografen nicht. Wir richten eine Website ein und geben die Möglichkeit, dass sie die möglichst toll scheren können. Und dafür gibt's Millionen von Fotografen weltweite, die für die Firma Instagram Fotos fotografieren und dann die Rechte an Instagram abtreten, die dann als Bildagentur an Dritte verkaufen. Dafür alles Mögliche. Steht in den Terms auf Konditions drin. Das müsste man mal lesen. Der Dienst geht, dreht sich vom Geschäftsmodell kein Stück da drum, Leuten die Möglichkeit zu geben, irgendwelche Bilder untereinander zu tauschen oder das Verwerbungen miteinander zu finanzieren. Instagram ist eine Bildagentur. Und wer von euch wusste das vorher schon? Das sind schon erstaunlich viele. Wir sind hier im richtigen Publikum. Der Provider könnte seine Daten nutzen, könnte deine Daten nutzen für irgendwas, was er vorher oder was dir zumindest vorher nicht klar gewesen ist, weil du die Terms zum Konditions natürlich nicht gelesen hast. Die zwei interessantesten Punkte sind, also ich teile häufiger über meine eigenen Server mit irgendwelchen Leuten Daten. Das heißt, ich gebe dann eine Uhr auf zum Beispiel ein Film, wo ich dann auf den Lockfalt sitze und warte, dass er darauf geklickt hat, damit ich ihn danach wieder entfernen kann, weil ich nicht will, dass das ganze Internet den kriegt. Und während man dann so auf die Lockfalt start und im Skype den Link schert, wird man feststellen, dass Skype sich den Link fetcht. Das ist übrigens laut Thompson Foundation nur da zum zu verhindern, dass malicious Code auf deinem Computer kommt. Und sie sind sogar so schlau, dass du, wenn du da als Passwort kurz davor oder danach angibst, dass sie das HTTPS Passwort daraus aus den Zeilen davor und danach extrapolieren können. Und die probieren dann so ein bisschen rum. Da kriegst du dann so 20 Zugröfe mit verschiedenen Passwort-User-Passwort Kombinationen. Steht alles schön ins Lockfalt. Ganz lustig. Ich müsste mal ausprobieren. Und was halt meine Zeit lang ganz früh so war, bis LinkedIn da richtig böse einen auf die Finger gekriegt hat. Bei LinkedIn wird man quasi ständig dazu gedrängt, einem per O-Auth-Adcess auf die Pass, auf die Adressbücher zu geben, die man bei möglicherweise Google, Facebook oder ähnlichen Sachen gelagert hat. Eine Zeit lang bis amerikanische Gerichte, das für illegal befunden Namen hat, Google sich dann auch gleich eine Mühe gegeben, in deinem Namen eine E-Mail zu verfassen und alle deine Kontakte zu schicken, dass ihr jetzt bei LinkedIn zu finden bist und dass man bitte die Kontaktdaten austauschen muss. So, wer sich schon mal gewundert hat, dass man von anderen Leuten an so, hier, ich bin das, warum schreibst du mir, dass ich bei LinkedIn bin? Dass du bei LinkedIn bist. Ja, last but not least sind zumindest dieser Reihe Provider get hacked. Das war eine Zeit lang ganz lustig, diese Liste zu aktualisieren. Und irgendwann ist das ein bisschen langweilig geworden. Also, Sony, die sind, glaube ich, nicht nur einmal gehackt worden, sondern also ich würde jemandem, der weiß, wie oft sie gehackt worden sind. In den letzten fünf Jahren würde ich glatt nem Bier spendieren, wer das weiß. Go Daddy, Dropbox hat die Kundendaten verloren, AT&T ist darauf die Lücke eingefallen, dass man die Kundennummer in die Ohl reingepackt hat und die Kundennummer in strengem Monoton steigend vergeben hat und der eigentliche einzige Zugriff darauf die Kundennummer war. Übrigens inklusive solchen Sachen wie den PIN Code für die SIM und die Zugangsdaten für die verwendeten Sachen von den Apple Services, die damals über AT&T verkauft worden sind. Und das war wirklich, also ich weiß noch nicht, ob das wirklich ein Hack ist oder ob das einfach nur wirklich saudärmliche Systemarchitektur ist. Valve, Blizzard, Living Social und da gibt es jetzt zwei Gruppen, wo man immer gucken kann, für wen war es halt empfindlicher, das ist eine europäische Gruppe, für euch war wahrscheinlich Github. Der Datendick auf Github, den es mal gegeben hat, empfindlicher als Ashley Madison, die, wenn ich den Vortrag im amerikanischen Publikum halte, immer eine größere Trefferquote hat. Also ich hab mal in diesen League reingeguckt und das mit meinem Adressbuch abgeglichen, das ist übrigens ganz interessant. Wo sind wir zeitmäßig eigentlich? 44, wir haben noch Zeit. Okay, wer sich jemals mit solchen Link beschäftigt hat für eine kleine Nebengeschichte, die Zutaten, die man dazu haben will, Elastic Search, die Möglichkeit, eine Möglichkeit, die ganzen Leaks dort passend reinzuwerfen und dann ein bisschen Skriptzeug drum herum, dass man mit eigenen Daten abzugleichen. Also ah, natürlich um zu sehen, ob deine eigene Adresse irgendwann mal gelegt ist oder ob du selbst irgendwelche Daten irgendwo hast, die möglicherweise verloren gegangen sind, ob deine Freunde irgendwelche Daten haben oder halt im Fall von solchen Sachen wie Ashley Madison, kann man sich auch einfach mal umgucken, was dann das restliche Adressbuch dort zu finden ist und das war manchmal durchaus erhellend. Also ich denke, dass solche Leaks gerade in solchen Fällen ein bisschen hoch zu dem Potenzial für Erpressungen halt ein durchaus manchmal sehr negative, dass das eine durchaus realistische Gefahr ist, wenn große Datenmengen gelegt werden. Fragt mal Hillary Clinton nach ihren E-Mails. Provider. Diese ganzen Sachen, die wir jetzt haben, Bolts Down sage ich immer, die ganzen Sachen, die wir haben, lässt sich wirklich auf im Wesentlichen eine Frage reduzieren. Inwieweit sind deine Interessen und die Interessen deines Providers ähnlich überschneidend Deckungsgleich oder vollkommen unterschiedlich. Im Wesentlichen kann man sagen, alle Provider und in vielen Ländern, zum Beispiel in Deutschland, sind viele griechische Geschäftsformen schlicht und einfach dazu verpflichtet, danach zu streben Geld zu verdienen. Das dazweckt einer GmbHs, die Definition dafür zum Beispiel. Also diese alte Spruch Provider, also Firmen sind nur daran interessiert, Profis zu machen. Das steht, geht runter bis in die Gesetzgebung und ja, das ist halt wirklich so. Profit zu machen ist das primäre Ziel von Firmen. Deine Daten privat und sicher zu halten, ist im Interesse des Providers und zwar genau so lange, wie das für ihn einen finanziellen Vorteil hat. Wenn man soziales Netz betreibt und gehackt wird, dann ist quasi das Risiko da drin, dass die Leute das Vertrauen verlieren, das Netz und die deswegen die User weglaufen. Das ist die Rechnung, die du gehst, die du, das sind die Kosten, die du hast von ich habe keine Sicherheit und das ist schlicht und einfach eine Abwägung typischerweise. Und im Wesentlichen kann man sagen, der einzige Provider, der ultimativ wirklich die exakt gleichen Interessen hast wie du, bist du selbst. Ich würde das für das normale Wesen leben, etwas erweitern. Ich sag im Wesentlichen, also wem vertraut man, während wessen Interessen sind, muskli allein. Ich vertraue typischerweise noch Leuten, zum Beispiel in meinem Hackerspace oder in meiner Gruppe, in der ich mich befinde. Leuten, ich sage das immer ganz gerne platz, so Leuten, denen ich einen Whisky ausgeben kann und denen ich einen dritten Arsch geben kann. Das sind Leute, deren, bei denen diese Frage hier nach dem Gleichformigkeit der Interessen von dir und deinem Provider am ersten gegeben sind. Bei Geschäftsprovidern ist das meistens am sehr selten so und das ist der Grund für diese ganze Diskussion. Nächster Punkt. Ich rufe jetzt nicht dazu auf, dass ihr alle sofort los rennt, zumindest die, die nicht wissen, was es wobei es darum geht, euch bei Hetzen an den Rutserver zu klicken und dann jetzt dort versuchen mit einer Fortbildung von fünf Minuten alle eure Daten dort zu lagern. Möglicherweise könnte das tatsächlich sogar fast fahrlässig sein. Aber im Wesentlichen möchte ich sagen, das ganze ist eine Hacker- veranstaltung und ganz früher ist es mal so gewesen, dass man auf das Sprechende im E-Mail-Listen nur gekommen ist, wenn man seine Mail nicht bei einem Free-Mail-Provider hatte, so zum Beispiel T-Systems oder T-Online damals war es zum Beispiel einfach nicht so, dass man dich auf intern von CCC einfach nicht subscribed hat. Da muss man schon irgendwie entfinden, der in irgendeiner sinnvollen Art und Weise einem die E-Mail hostet. Und das ist nicht immer ganz einfach und hat so ein paar Risiken. Im Wesentlichen der Punkt, wenn ihr eure Sachen in die Cloud packt, skalieren viele von den Angriffen sowohl, wenn man es mal so sagt, von den Angriffen durch eine Regierung, die Zugriff auf meine Daten haben will, auch als auch Angriffe von Hackern, die einfach nur Interesse daran haben, weil sie Bock drauf haben, eine riesengroße Plattform aufzumachen und alle Daten, die da drin sind, zu liegen. Wesentlichen ist es, Angriffe auf Cloudinfrastrukturen skalieren deutlich besser. Und die schiere Menge an Daten, die dort drin sind, macht sie als Angriffsziel interessant für beide von den Gruppen. Wenn man jetzt einen Server selbst betreibt, wird der Aufwand, den Server aufzumachen, bedeutend höher. Wenn ich meinen Server auch noch Tagesaktuell mit Updates versorge und ein bisschen darauf aufgebracht habe, passt habe, dass die Konfiguration nicht unsicher ist und sowohl ein Open-Was als auch ein Burp Scan keine Auffälligkeiten auf diesem Server mehr findet, dann kann ich euch schon sagen, dann wird das in den USA zumindest mindestens ein Fall für die Tailored Access Group, die sich dann um euren Server kümmern kann. Speziell, das wird Handarbeit und sehr aufwendig und wird einfach sehr unwahrscheinlich, dass das passiert, solange ihr nicht bildet ein Ladenbuchhalter oder Provider seid. Und in vielen von diesen Fällen, wo man sich die Sorgen macht, dass halt auf seine Daten zugegriffen werden kann oder sehr wahrscheinlich wird, reicht es aus, diese Ebene, das Zugriff ist da drauf, einfach ein bisschen anzuheben. Sein eigenes Cloud-Daten-Store-System wie zum Beispiel C-File zu haben, sein eigenes Java-Server, mit ner Java hat das Problem jetzt nicht so doll, seine eigenen Kommunikations-Server zu haben, seine eigenen E-Mail-Server zu betreiben oder zumindest, das in einem Hackerspace in der Nähe zu machen. Okay, die Formulierung ist schon ein bisschen anders. The latest ist inzwischen nicht mehr ganz so aktuell. Ich halte diesen Vortrag schon ein bisschen länger seit dem Tourcamp 2009. Die ganze Argumentation war früher deutlich schwieriger, um es mal so zu sagen. Heutzutage sitzt jetzt da das Publikum so, ja, der CS ist Trivialitäten, wissen wir alles, der war mal alle zwei Tage frisch aus den Nachrichten, weil es jetzt wieder gerade mal frisch rausgekommen ist. Snowden hat da sehr viel geändert und hat einen Bewusstsein dafür geschaffen, dass diese Problematik tatsächlich existiert. Man sieht der Seite diesem Zeitpunkt, insbesondere in der amerikanischen Hackerszene, aber auch in anderen europäischen Hackerszene und teilweise über den Deutschen wieder eine Neigung dazu, seine Sachen teilweise selbst zu betreiben. Ich habe immer noch die gewisse Hoffnung, dass einer dieser Vorträge auch zumindest für den einen oder anderen Server eine Inspiration gegeben hat. Aber wahrscheinlich will ich mir das ein. Prism, dass das wesentlichen das Hauptprojekt, was Snowden aufgedeckt hat oder eines der vielen Projekte, die Snowden aufgedeckt hat, was halt ein Zugriff auf eure Daten insbesondere, wenn sie halt bei diversen Providern gelagert sind, gegeben hat, ist nicht das erste Projekt. Wer sich ein bisschen mit dieser Szene und diese ganzen Thematik beschäftigt, stellt fest, dass solche Sachen, Trail-Bail, Blazer Turbulence, das geht bis zurück in die 80er, wo die amerikanischen Dienste schon erkannt haben, dass dieses Internet, dieses, das da gerade entsteht, auch ein entsprechend Überwachungsstruktur braucht. Nichts davon ist das Neues. Nichts davon war davor auch total unbekannt, gerade hier im Umfall der Paranoika und Verschwörungstheoretiker des Chaos Computer Clubs. Ich habe schon lange von solchen Projekten gehört. Ich habe dann immer so ja, ja gesagt. So, das kann zwar so sein, dass sie das machen und vielleicht ist es auch ein Stück weit erfolgreich, aber so richtig gefährlich habe ich das nicht gesehen. Durch Snowden haben wir gesehen, dass diese gesamte Sache A, nichts Neues ist. Also eine ganz wichtige Erkenntnis für mich ist, 9-11 ist nicht der Grund gewesen. Warum die damit angefangen haben? Das war schon immer so. Nur heutzutage sind es halt auch noch alle anderen Regierungen. Prism ist also einfach nur der, was zum ersten Mal eine wirklich große, weitreichende Mainstream-Media-Coverage gekriegt hat. Alle anderen Produkte, Projekte, die es davor gegeben hat, sind entsprechend Spezialmedien durchaus öffentlich gewesen. Es gab so ein paar mehr oder weniger umfrechreiche Wikipedia-Tikel dazu. Aber selbst hier im Chaos Umfeld wussten die wenigsten von der Existenz auch nur von dieser Projekten vorher. So, jetzt habe ich euch die ganze Zeit erzählt, was alles nicht tun sollt. Jetzt können wir mal dazu, was nämlich daran zu, die Konsequenz der ist. Ich rufe an dieser Stelle jetzt dazu auf, dass ihr, nämlich zumindest alle, die sich vorhin mal gemeldet haben, dass sie ihren ganzen Mails und all ihre ganzen anderen Sachen selbst betreiben, vielleicht mal Gedanken machen, wie man den ganzen Zeug selber betreiben könnte. Aus meiner Sicht ist eine gute Anlaufadresse für sowas eurer lokale Hacker. Oder eure lokale Gruppe, die vielleicht nicht unbedingt regional ist, dass ihr euch da zusammentut und das Ganze selber bereift. In den ganzen alten Chaos Stress, also in Chaos Ruhe zum Beispiel, ich glaube, ihr vergebt auch E-Mail-Adressen, ne? Ist da ein Chaos Ruher hier? Kein Chaos Ruher hier. Diverse Chaos Stress und R-Fahrtkreise haben früher E-Mail-Adressen vergeben, der Java Server, den die ganzen Gruppen untereinander möglicherweise noch haben, weil Java CCD ist ja manchmal instabil. Also ich finde das immer lustig. Wenn Java CCD 2 Tage Web ist, danach gibt es immer doppelt so viele Java Adress-Server. Vielleicht sollten wir einfach solche zentral genutzten Sachen regelmäßig ausschalten. Also tut euch mit den Hackers-Vests zusammen. Wirklich, wie gesagt, meine Empfehlung ist, sucht euch irgendwelche Leute, die Sachen für euch betreiben, wenn ihr das nicht selber tun wollt, die eine Armlänge von euch entfernt sind, denen, wenn es wirklich was Gutes ist und wie wir es wirklich gut benutzt haben, eine Flasche Whiskey spendieren könnt oder mal ein Bier, wenn das Zertifikat getauscht werden musste und deswegen total stressig, zwei Stunden lang für die war, aber auch zu denen da hingehen könnt, wenn sie eure Daten in die USA verkauft haben oder so, dass man denen da notfalls ein Hintertritt verpassen kann. Das ist wie meine Empfehlung hier. Wer von euch ist in einem Hackers-Based oder in einer Gruppe, die auch ihr, wie auch immer, Services anbietet? Zehn, würde ich noch sagen. Bei wem werden Mailserwannengebieten geboten? Das ist so das üblichste, ne? Adressbruchkalender, zwei Mailingnisten, wahrscheinlich auch überall, ja, sieht auch gut aus. Blocks, also das ist ein Block-Gib, wo er quasi seinen eigenen Autostream durchaus haben kann. Gibt es auch bei euch. GitHub, Zeug, Diaspora, ähnliche Sachen, weniger, da wird schon weniger. Service, Network, VPN und ähnliche Sachen. Noch mal drei. Ja, wir machen das bei MaliWace schon länger. Wir haben dafür oder ganz ursprünglich, hast du das gebaut oder ganz ursprünglich hat Rivaana das gebaut, das ursprüngliche Skript? Das in MaliWace, das hast du gebaut. Also wir haben bei MaliWace ein Skript, wo es quasi ein Web-Interface gibt, wo Leute sich an Account klicken können, da wird dann in eine MySQL-Datenbank geschrieben, bis einer Administrator kommt und dann wird dieser Account umgeschrieben in eine LDAP-Datenbank. Und das ist das Schöne, weil gegen LDAP kann man nämlich all diese Sachen dann authentifizieren lassen. Wir haben zum Beispiel unseren eigenen C-File. Wir hatten eine Zeit lang mal in einem Red Mime, was zurzeit nicht funktioniert. Wir haben E-Mail, Jabba, Calender Service, Dropbox, nicht Dropbox, Uncloud. Es war total grötze, wenn es darum geht, Daten zu scheren, aber die Calender und die Adressbuchfunktionen von denen sind gar nicht so schlecht. Ja, da kann man viele Sachen dranhängen. Da kann man den Account zum Einstellen von Blockartikeln auf dem WordPress des ChaosDress dranstellen. Das ist halt wirklich jeder, wenn er dann quasi ein Member wird oder aktiv in einem Space wird, sich ein LDAP-Account klickt. Und das ist halt dann einfach alles vom Github über das Block, über E-Mail-Adresse, über Jabba und so weiter funktioniert. Das mal so für drei Leute, die sich mit dem Thema so ein ganz klein bisschen auskennen, mal in erweitertes Wochenende zusammensitzen und das Ganze auf einem Server einmal aufsetzen. Und das funktioniert eigentlich sehr gut. Also das würde ich euch... Wir sind ja schließlich alle Hacker hier, ne? Das ist ja eine Hacker-Veranstaltung, aber das würde ich euch wirklich allen sehr nahlegen. Ja, der Wechsel der Kultur, der weggewechselt ist, von dem wir betreiben alle selbst zu, betreiben es in die Cloud. Ich denke, dass der Wechsel zurück mehr eine Hoheit über seine eigenen Daten zu haben, zurzeit durchaus stattfindet, nicht immer unbedingt dadurch, indem man seine eigenen Daten wieder selber betreibt, aber sehr häufig einfach auch Daten, das mehr und mehr Dienste anfangen, die Daten mittlerweile vernünftig zu verschlössern. Snowden sei Dank. Ja, das ist so im Wesentlichen der Punkt. Und ich... Zeitmäßig sind wir, glaube ich, auch ungefähr da. Habt ihr denn Fragen? Ja. Das Problem ist, wenn dann zum Beispiel der Server ist da, kommst du trotzdem bei einer Anwälfte mit Server für Monturin und bieten zu weiter? Ja, durchaus valide. Ich löse das dadurch, dass ich E-Mail-Adressen mit anderen Leuten tausche, die sowas auch machen. Also ich habe einen virtuellen Server, ich habe zum Beispiel Backup-Funktionen für andere, Datensichergestellt, die zu... die als auf meinen Server Backupen und zumindest einigemeiner Server, wie ich dann festgestellt habe, als ich kaputt gegangen ist, nicht alle werden auch zu Freunden weggebackupt. Also es ist durchaus sinnvoll mit anderen Leuten, ich denke es sind einige hier im Publikum. Und ich glaube auch, dass wir dir ja notfalls vielleicht sogar weiterhelfen können. Es ist normalerweise sehr hilfreich, sich andere Leute kennenzulernen, die quasi auf Server zu betreiben und quasi so ein Tausch hier, ich gebe dir eine virtuelle Maschine, du gibst mir eine virtuelle Maschine. Das funktioniert meistens ganz gut. Da kann man dann Secondary im MX aufsetzen, da kann man Sachen per Ersunken backuppen, die wichtig sind, oder uns am Unikoden auflegen. Also schwere Empfehlung, tausch virtuelle Maschinen untereinander. Eine weitere Frage. Ja, deren Code ist, glaube ich, sogar verfügbar. Also die machen sich noch nicht mal die Mühe, der Code ist komplett verfügbar. Wenn du eine kurze Uhr alerst, kannst du es ganz einfach selber betreiben. Wir haben im GitHub noch sowas geguckt, gibt echt bestimmt 15-Uhr-Shortener-Projekte auf GitHub, die du aufsetzen kannst. Das Einzige, was du dafür brauchst, ist eine kurze Domain und ich empfehle dir nicht, in dem COM.de oder sonst die üblichen Domainraum sich umzugucken. Auf Inseln in Pazifik gibt es teilweise noch zwei-stellige Domains. Ich sage an der Stelle nicht, dass es faule Leute in der IT gibt, deren Job deswegen nicht richtig machen. In der Realität ist es häufiger so, dass es in Firmen Prozesse gibt und die sind manchmal historisch gewachsen. Und wenn eine Firma primär nicht unbedingt Internetprodukte macht, ist diese Prozesse bis zu einem größeren Inzident manchmal nur teilweise kompatibel mit den Realitäten dieses Internet und dieser Technik dort. Das wäre in meiner Sicht eher eine Erklärung für die Tatsache. Ich würde jetzt nicht Leute pauschal der Faul hat beschuldigen. Und natürlich ist es interessant, wenn ganz viele Daten irgendwo rumliegen. Das ist mehr interessant, als wenn du jetzt von Acht irgendwie hackern irgendwelche E-Mails hast. Ich also Ask gibt Provider im Car-Sum-Feld, wo du Server hinstellen kannst, die vertrauenswürdiger sind. Wieske in Hamburg ist ein Anlaufpunkt in Berlin ist dann zum Beispiel für mich so ein Anlaufpunkt, wo du auch eigene Hardware hinstellen kannst, die du auch nördmäßig kreativ etwas mehr für gegen Zugriffe sichern kannst als Standhand-Hard-Mehr. Also das Nightmare von dem typischen Crypto-Nerd, der da versucht, seinen eigenen Server zu bauen mit Festplattenverschlüsselung ist ja immer der Cold Boot Attack. Und man kann auch da zum Beispiel Sachen machen, sowas deutlich zu erschweren. Also ich gehe zu Providern, wo ich meine eigene Hardware-Hosten kann. Das ist ein bisschen mehr komplizierter zu gucken, aber es gibt im Car-Sum-Feld welche. Meine persönlichen Erfahrung ist Ihr Zett 42 in Hamburg und Ihr in Berlin. Aber selber husten wird es mit einem Tügel fahren, wenn man schon auch mit einem Stuhl selber lässt, wenn es eigene Arte ist, ob es und ich genau weiß, ob man gut und dann eben im Fond auf den Rest. Dann wird es bei der Ideal-Competition ist hier eine Erpackung in einer erkannten Waffe in den Bau. Ich denke, wenn man nicht es gibt, vielleicht selbst oder in der Ecke haben es jeden Prozent der Leute, die das machen, die das nichtieren können, werden die überhaupt ohne dass es passiert ist. Und so, es gibt ja so etwas zu Juvers-Basen, die Leute echt mit Brauch haben wollen. Ja, also für mich A-Punkt ist schon, wenn du dafür bezahlst, dass es meistens schon ein bisschen besser, als wenn es umsonst ist. Punkt eins, weil dann bezahlst du die quasi direkt das Produkt und es gibt ja diesen berühmten Satz, wenn du für dein Produkt, wenn du nicht dafür bezahlst, bist du das Produkt. Deswegen so für mich einer der ersten Indikatoren, dass ein Service möglicherweise okay ist, ist, dass die, wenn auch wenig Geld dafür wollen, klingt jetzt vielleicht ein bisschen doof, außerhalb von Chaos Dress. Und ja, es gibt es, die Aussagen, die ich getroffen habe, sind sehr generalisierend auf alle Services und alle Provider und alles davon, was es davon gibt. Im grundsätzlichen gibt es auch Provider, die durchaus total cool sind. Auch Lava-Bit war in der Form ein Cloud-Email-Provider und sie haben sich als relativ cool auch in der Vorgehensweise herausgestellt. Ich würde jetzt nicht sagen, dass alles grundsätzlich schlecht ist. Aber ich glaube auch aus praktischer Erfahrung, dass das Wissen von Leuten in diesem Raum, nachdem sie sich einen Server vielleicht jetzt gekauft haben und den Betrieben haben. Und ich denke, dass typischerweise zumindest nach drei Monaten einen Zustand erreicht ist, dass das vergleichbar sicher ist wie industrielle Sachen. Also mein Tipp ist immer, wenn Birb und Metasploit nix mehr findet, dann seid ihr schon mal gar nicht mehr so schlecht dabei. Ich finde es, wenn es der einzige Ort ist, wo du deinen Code hast, vielleicht nicht so geil. Ja, wenn es ein... ist... ist halt Git so. Typischerweise hast du es auf deinem Laptop und wenn Git GitHub jetzt zumachen würde, morgen dann... Hm? Das stimmt. Also prinzipiell nicht alle von den Sachen gingen halt darum, dass der Provider sich bereichern will. Es gibt andere Gründe, warum das Ganze negativ ist. Ich denke, GitHub hat auch schon erfahren, dass das mit der Sicherheit nicht unterschätzen sollte und dass sie persönliche Daten von ganz schön vielen Leuten dort auf ihren Rechnern haben. Ähm... Ich finde, GitHub ist für mich so ein bisschen wie Facebook für Softwareentwickler. Weitere Fragen. Ja. Sollte es es selber mit einem Chimp-Op-Mails oder auch heutzutage, was aus der Bibliothek ist, schon einigermaßen sicher? Ja. Ja, genau. Debian auf Debian auf... Also Postfix auf Debian, zum Beispiel, ist in der Default-Konfiguration, wenn du eine Domain hast, kannst du das in sehr kurzer Zeit aufsetzen und die Default-Einstellungen sind auch also ungefähr sinnmachend. So, dass da im Fallen von DeKim und diversen Spam-Sachen, die dann heutzutage man eigentlich noch auf seinem Mail-Server haben, wenn man diese Geschichte gern auch beliebig komplizierter nachgestalten möchte, gerade wenn man z.B. anfängt, Handblock-Listen zu pflegen und ähnlichen Zeugs zu tun, ist eine andere Stelle. Deswegen, andere Sache, deswegen übertreibt es dort nicht. Aber ich denke, dass es für Leute in dieser Audienz hier alles ein losbares Problem ist. Ja, die Encrypt. Also ich habe z.B. Zeitlang Server bei Hezner gehabt. Ich habe den einfach so konfiguriert, dass der bei dem Haupt-Server, den ich hatte, wo die Virtualisierung drauf lag, der die ganzen anderen Partitionen liegen halt in einer verschlüsselten Partition. Und dann muss ich mich halt erst per Hand einloggen und einmal die Partitionen halt quasi monten. Ja, aber das ist halt immer eine Frage, wie man seine Paraneuer betreibt. Also mein aktueller Server hat zulässige Sicherungen, dass man nicht so einfach so den Deckel abnehmen kann beim Schrauben ziehen, so um den Cold Boot Attack schwieriger zu machen. Paraneuer ist da, beliebig, erweiterbar. Du hattest noch eine Frage. Ja, das ist meistens kein großes Punkt. Also das ist, meistens bei den meisten Leaks gibt es irgendwo einen Hinweis auf eine Pespin-Adresse und da liegt dann irgendwie eine Torrent-Beschreibung drin, wenn das größere Leaks sind oder direkt so. Das Hauptproblem ist, dass man schnell genug sein muss, bis dieser Pespin weg ist. Also das meistens, wenn der Leak rauskommt, ein bis zwei Tage Zeit, bis der Pespin wieder weg ist. Und da stehen dann die Daten drin so. Und ich saug das gerne dann auf meinen Server, dann bin ich, da habe ich auch eine schnelle Verbindung dahin. Und es gab damals ein Projekt von, ich weiß, ich habe da früher mal ein paar Vorträge über, nicht ein Kabel-Leaks. Grundsätzlich problematisch als diese ganzen Government-Leaks, die es da gegeben hat zu den USA, die Daten lagen in einem Format vor. Das waren halt PDFs mit Text da drin. Und dann kannst du halt mit Grab super Kacke drauf suchen. Und Elasticsearch hat halt einen Plug-in dafür, dass er das halt einfach lesen kann. Also haben uns einen Elasticsearch aufgesetzt und den ganzen Zeug einfach in den Elasticsearch geschmissen und Elasticsearch das nachgucken machen lassen. Und dann haben wir festgestellt, dass das eine super coole Lösung ist, was wir da gerade versehentlich gebaut haben. Weil wir einfach nur die Text-PDFs nicht ran gekommen sind. Also es ist lustig auch so andere Sachen. Man kann danach auch mit Hadoop noch luste, schöne Spielereien danach machen. Big Data, sollten wir auch alle machen. Wir brauchen eine Big Data Lösung für Leaks. Weitere Fragen. Ja. Ja, also das ist halt so ein bisschen die detaillisere Sprache mit, das ist halt das Facebook für Software Entwickler. Du musst da sein. Ja. Oh ja, ich will jetzt nicht sagen. Ja, will ich sagen. Also GitHub ist sicherlich auch ein schöner Moment, um eine schöne Möglichkeit, um Sachen wirklich frei zu verfügen zu stellen. Und ich schreibe nicht viel Code, aber meine Erfahrung ist, dass in meinem Bekanntenkreis die Leute, die Sachen nicht auf einem Git-Server haben, sondern eher so auf 4, 5 oder so. Und irgendwann mit dem Chaos auch nicht mehr klar kommen, aber. Und dann wird nur noch GitHub gepflegt. Und aber ja. Die Sache, die ich mir wünschen will, ist, dass die Alternativen auch noch nicht was brauchen, ist Dezentration. Also, wobei das was mir jetzt voranmacht. Ich kann zwar mein Git-Server Haus machen, aber ich hab da nichts, sondern ich gehe davon mit Deutsch, ich kann meinen Reck und arbeiten. Bei Git-Server hab ich da eben die Community. Ja. Ja. Ja. Facebook ist für ganz viele Firmen zumindest am Anfang insbesondere eine Möglichkeit gewesen, an einer weiteren Stelle seine Url liegen zu haben, wo die Leute dann auf die eigene Homepage kommen. Zumindest war das so die Idee von den Social-Media-Managern in den ganzen Firmen. Aber auch auf GitHub sieht man ja ganz häufig mit ich pflege meinen Code in der Wirklichkeit unter GitLab, Punk, Chaos 3, Hinter, sowieso Dorf. Aber das Problem ist ja auch da ganz häufig das Problem. Es ist halt ein Git. Man kann halt ganz viele Strukturen davon haben und es gibt dann irgendwann acht verschiedene Git-Server, wo man seinen Code drauf hat. Und erst wird auf 3 davon der Code nur gepflegt und leider ist es dann halt wie Facebook irgendwann die Fünbenseite total veraltet, weil auch keiner drauf klickt, weil die einzige Aufmerksamkeit dann halt auf dem Facebook-Account oder dem GitHub-Account dann halt liegt. Klar, du kannst deine Daten an mehreren Stellen hosten, dass es nicht auf GitHub nur beschränkt. Also das Problem ist generell an mehreren Stellen, glaube ich, eigener Domain. Also heutzutage ist das doch in erster Linie eine Frage, was ist denn überhaupt noch frei von dem Begriff, was ich haben will? Also wenn man als Gruppe irgendeinen Namen hat oder so, dann ist typischerweise an dieser Stelle dann die Frage, unter welcher Domain ist es noch frei und ich habe alle möglichen Domains. Einstellung bei den verschiedenen Top-Level-Domains. Also bei den E-Domain hat man da auch gleich mal seine Austrage an. Read the Terms of Conditions. Willst du ein zweites Pirate-Bail bauen? Oder ist das einfach nur so für deine normalen Mails? Also so lange man nicht Pirate-Bails spielt das meistens nicht so wirklich eine Rolle für Staaten wie die USA. Ist das scheißegal, wo du deine Daten hostest? Ihr habt Zugriff auf alle von denen. Und bei den Hollandern kann sowas dann tatsächlich wirklich mal auch interessant werden oder bei kleineren Staaten. Aber so im Allgemeinen ist das so zumindest von so juristischer Durchgreif Funktionalität und so. Mich so viel unterschiedlich. Manche Domains erlauben halt quasi ein Privacy-Shield dazu vorzuschalten. Privacy-Protected Domain, was dann quasi auf eine Anwaltsadresse oder den Provideradresse verweist. Aber auch in dem Fall gilt, wenn dann jemand kommt mit einem Stück Papier, wo ein Stempel drauf ist in der Unterschrift, dann ist das halt einfach auch nur eine Privacy-Begrenzung, die gegenüber dem nicht funktioniert. Further questions. Wir sind nämlich durch mit der Zeit. Okay, dann bedanke ich mich, dass ihr so früh am Sonntag morgen überhaupt noch die Zeit gefunden habt, mir zuzuhören. Ich hatte mich ganz ernsthaft bin ich davon ausgegangen, dass ich hier vor drei Leuten sitze und bin tatsächlich positiv überrascht. Wer von euch hat das Gefühl gehabt, dieser Vortrag total sinn- und witzlos für ihn war? Okay. Wer von euch hat das der Meinung, dass dieser Vortrag vielleicht sogar ein bisschen was gebracht hat und hat vielleicht sogar eine Inspiration gefunden, vielleicht hier zu meinem Chaos treffen, ein bisschen was zu machen? Das sieht doch schon mal super aus. Okay, ich bedanke mich bei euch. Ich hoffe, ihr hattet ein bisschen Spaß dabei und viel Spaß und gute Heimreise von der GPN, wenn ihr nachher nach Hause fährt.