 Wir sprechen auf der Bühne und auch vor dem Kongress wusste ich auch noch nicht, was die Wassenas Abkommen waren. Ich habe jetzt gelernt, dass es ein internationales Abkommen ist, das einige Sicherheitsimplikation für uns hat. Und die Details werden euch von Walter, von Nate, von Meredith Patterson und Richard Tainen erklärt werden. Ein herzlichen Applaus, bitte. Vielen Dank. Nur um uns selber vorzustellen, mein Nachbar ganz links ist von der EFF, ist Meredith. Meredith ist hauptsächlich für die Sprache der Sicherheit, was ich eigentlich jeden Code nenne. Richard ist der Haupttechniker für Privacy International und ich bin nur einen lauter Mund, der ein Panel angemeldet hat. Ich versuche, die Sachen weniger falsch zu machen, was wir in der Kürze tun, ist, was ist Wassena, was für eine Art von Problem ist es für die IT Security, wie sind wir hier überhaupt gekommen? Wir hatten eigentlich auch nicht vorgehalten Panel an dem Programm, wir dachten eigentlich nur, dass wir das 10 Minuten machen oder so. Also wir wollen Fragen an die Podiumsteilnehmerinnen und Teilnehmer haben, weil wir, wir wollen eine Konversation in Gang bringen. Okay, Wassena, was ist das? Es ist ein sehr feiner Vorort von Den Haag in den Niederlanden, der König lebt dort mit ghettoisierten Orten, wie dem, den ihr hier seht, außerdem berühmt bei fast allen industriellisierten Nationen über einen Abkommen über Exportkontrollen zur Waffentechnologie, hauptsächlich konventionelle Waffentechnologie. Also fast alle NATO-Mitglieder Russland, den meisten Mitgliedern des früheren Warschauer-Pakts sind außerdem Unterschrift haben, sind auch Unterzeichner von Wassena. Technisch ist es, also rechttechnisch ist es kein Vertrag, sondern hat einen geringeren, etwas untergeordneten Status im Völkerrecht, internationalen Recht, aber es setzt also gesetzt über. Und Dezember 2013 hat nicht viel betroffen, was Computersicherheit angeht außer Kryptografie, aber im September 2013 einige neue Elemente wurden hinzugefügt. Das erste war Überwachungstechnologie. Das zweite war Intrusion Software, also Software zum Eingreifen in Systeme und Eindringen in Systeme. Das ist die Definition von Überwachungssystemen. Im Prinzip alles, was IP-Pakete abfangen kann. Und was auf verschiedenen Selektoren angesetzt werden kann. Definitionen habe ich hier nicht, weil es so viel Spaß macht, die zu lesen, aber aus meiner Perspektive ist es, ich bin jemand, der interessiert in Recht und Technologie und diese Idee, dass Überwachungstechnik eine Waffenähnliche Technik ist, die es wert ist, reguliert zu werden, weil wir sie nicht in die falschen Hände fallen lassen wollen. In diesem Prozess gab es sehr lustige Ausnahmen, die gemacht wurden für solche Technik. Zum Beispiel, wenn es sich um Werbemaßnahmen, Werbezwecke handelt, wenn es um Quality of Service, also Netzwerkmanagement ging oder um Qualität der Erfahrung, dann wurde es auf einmal nicht so kategorisiert. Und endlich ist es mit der Definition von Intusion Software. Also das Herausziehen von Daten oder Informationen von einem Computer oder ein Netzwerk oder ein Netzwerkfähigen Gerät oder die Modifikation von Systemdaten, Userdaten oder die Abänderung des Standards Ablaufpfad des eines Programms oder Prozess, um externe Anweisungen laufen zu lassen, ist die Definition. Aber was ist, wenn JavaScript z. B. von außen an ein Browser geschickt wird, ändert das nicht die Art und Weise, wie der Browser abläuft? Ich denke, ja, es wäre vielleicht ein etwas größerweiterer Definition, aber um euch eine Idee zu geben, warum wir das jetzt gemacht haben, warum das jetzt aufkam, dieses Abkommen wird eingesetzt. Es wird in Gesetzgebung umgesetzt werden in den unterzeichneten Ländern. Ich kann nicht für die USA sprechen, darüber wird Nate sprechen. Aber in der Europäischen Union haben wir eine Grundverordnung, die die Liste des Abkommens sozusagen kopiert. Wenn also irgendetwas, was in diesem Abkommen exportiert werden soll, muss man eine Ausvergnehmigung beantragen im jeweiligen Mitgliedsland. Jeder Mitgliedsland hat dann spezielle Regeln. In den Niederlanden muss man eine königliche Anordnung haben. Diesen heißt, du darfst nicht zu exportieren, sonst wirst du bestraft. Das ist die Art der Umsetzung des Gesetzes in Niederlanden. Also diese europäische Regulierung befindet sich gerade in einem Reviewprozess. Bewertung. Ja, und die aktuelle Regulierung ist aus dem Jahr 2009. Und es wird also Aktualisierungen durch das Wassener Abkommen geben. In den kommenden zwei Jahren gibt es also eine neue Regulierung, die eventuell oder vielleicht auch nicht eure Möglichkeit beitreffen wird, Technologie nach China zu exportieren. Wir wissen nicht einmal, was die Kommission vor hat zu tun, aber was wir wissen, ist, was passiert auf der US-Seite. Und dafür gehe ich an Nate. Also vielen Dank, Walter. Auf der US-Seite, das Bureau of Industry and Security, ist dafür zuständig, diese Arrangement umzusetzen. Im Mai diesen Jahres, das Department of Commerce hat die Regeln veröffentlicht. Und es war eine Katastrophe. Es war ein Schock für alle, die beideiteiligt waren. Es hat eine ganze Menge Angst und Sicherheit verursacht in der Infosec Community. Intrusionssoftware ist eigentlich nicht kontrolliert in der, laut dieser Spezifikation, nur Technologie und nicht, und nur die Implementierung ist kontrolliert. Das Problem ist, unter der USA Definition, die Exportierregeln, die, also nur darüber zu sprechen, wie eine Sicherheitslücke, kann bereits ein Export betrachtet werden. Und daher ist das wirklich, wirklich schlecht. Ein anderer Teil der US-Implementierung ist, wenn irgendein Teil dieser Software-Krypto-Funktionen hat, dann muss die Person, die die Lizenz zum Exportieren beantragt, dann muss diese Person auf den Sourcecode freigeben. Was das wirklich bedeutet ist, dass, wenn man ein US-Sicherheitsforscher ist, dann, wenn man ein Forscher ist, in der USA ist, oder wenn man ein US-Citizen-Bürger oder eine Green Card hat, das ist problematisch. Auch was die Regulatorien nicht tun ist, sie verhindern nicht, dass jemand wie Hacking Team oder Fin Fisher, die ihre Taten vollbringen. Was wir halt auch aus dem Hacking Team-Dump wissen, dass eine globale Export-Lizenz unter Wasser nahezubekommen, ist relativ einfach. Was die Regulatoren-Regulationen tun, ist, dass es kleinere Teams, Forschungsteams, sehr stark verhindern und das dadurch halt unmöglich machen zu arbeiten. Und auch Tools wie Metasploit sind im Endeffekt unmöglich. Und im Prinzip alles, was irgendwie interessant ist, aus der Security-Community, wird halt unmöglich, erschwert, unmöglich gemacht. Ich habe meine Reise mit Wassener gemacht, als das BS, das ihr Dokument veröffentlicht haben mit den Regeln, als die ... Als die Definition 2013 aufgenommen waren, war ich nicht so nah dabei. Ich bedauere, dass ... Ich werde jetzt Meredith erzählen lassen, aus ihrer Perspektive als Amerikanerin, die in Europa lebt, wie es ihr Leben betreffen wird. Ich möchte außerdem sagen, dass alle, die Fragen stellen wollen, ab jetzt eingeladen sind, zu den Mikrofonen zu gehen. Von jetzt an ist also sozusagen die Frage Zeit auch offen. Okay, ich komme ursprünglich aus Texas, aber ich habe in Belgien gelebt seit 2009. Ich lebe seitdem in Belgien. Und dies unterwirft mich nun sowohl der US als auch der EU-Imp-Umsetzung der Wassener Abkommens. Und das, was Nate gerade besprochen hat, was am meisten relevant ist für mich, ist das, was als Export und nicht berührbare Transferregulierung angesehen wird. Ich glaube, es war Großbritannien, dass der EU diese Definition präsentiert hat. Intangible Transfer war das Stichwort des Tages bei einem Meeting in Brussels, bei dem ich teilgenommen habe zu dem Thema. Was heißt Intangible Transfer in der Praxis? Das heißt, wenn man eine Idee im Kopf hat, die als Export angesehen wird, darf man keine Grenze überschreiten. Es ist sogar noch schlimmer als das. Ich werde darüber in praktischen Begriffen sprechen. Eine Firma ist in San Francisco und produziert Signal und all diese schönen Dinge, die ich auf meinem Gerät habe, um mit Leuten zu sprechen. Und wenn es Menschen gibt, die mehrfache Staatsbürgerschaft haben, selbst auf einem Konferenztisch in San Francisco, die darüber sprechen, mit jemandem, der nicht eine US-Staatsangehörigkeit hat, das wird das dann als Export angesehen. Man muss nicht immer eine Grenze überschreiten, man muss nur seinen Mund öffnen, um Schwierigkeiten zu halten. Also ich bin also in einer Situation, die mit der Staatsangehörigkeit ich habe und dem Ort, an dem ich lebe, gibt es zwei Sätze von Regulierungen, die es verhindern können, dass ich reise oder überhaupt mit jemandem rede, weil ich verstehe, weil ich das grundlegende Prinzip verstehe, wie Exploits aus gewissen Unterschieden abgeleitet werden können. Das ist offensichtlich nicht das absichtliche Ergebnis, aber es ist nur eines von vielen Seiteneffekten, Nebeneffekten, die die Menschen, die diese Sachen verschriftlich haben, offensichtlich nicht beabsichtigt hatten. Also wir haben hier eine neue... Gedanken verbrechen. Ja. Bridget, wie bist du denn wieder hingekommen? Druck den Knopf. Der enttengelbare Technologie-Transfer. Es ist halt schwierig, Vorlesung oder Vorträge zu geben zu diesen Themen. Und es gibt ein weiteres Problem. Wenn man halt zu einer Firma geht und dort irgendwelche Informationen herausgibt oder preisgibt, dann ist das schwierig. Und viele Firmen sind halt auch international und das hat natürlich Implikation. Und dadurch hat man dann auch das Prinzip, eine Grenze, also eine juristische Grenze zu überschreiten. Die Ausgangslage davon war... hat 2010, 2011 angefangen, wo das ursprüngliche Ziel war, es zu verhindern, Programme wie Finsfischer und andere Melweer zu verhindern. Und weil diese Programme halt verwendet wurden, weil es auf sehr unvorhertheilhafte Weise verwendet wurden. Und wenn die nicht die technischen Fähigkeiten hatten, diese Dinge selbst zu entwickeln. Und die Leute waren sehr besorgt über die verschiedenen technischen Fähigkeiten und die Fähigkeiten, diese Tool zu verwenden. Nicht, weil sie nicht das bekommen würden, was sie wollten, aber einfach weil sie es verzetteln oder nicht hinkriegen würden, diese Sachen zu benutzen. Und technologisch fähige Menschen wären hingegen schonfähig dazu gewesen, diese Sachen zu benutzen. Wasenar war damals als ein attraktives Ziel betrachtet, weil man einfach nur eine Organisation als Lobby ist überzeugen musste. Und dadurch bekam man standardmäßig über 41 Staaten, die dem Ganzen folgen würden. Und die Implementierung der viele der technischen Definitionen war nicht unbedingt korrekt, aber das Fehlen der Inklusion von Fektorsuchungen, also es gab auch keine unterschiedlichen. unterschiedlichen Export von vielleicht neuen Snortregeln oder dem Export von Malware oder Antivirus Signaturen oder eventuell das Bekanntgeben von Malware, die eine genannte Klasse von neuer, neuen Angriffen repräsentiert, die neue Schutzmaßnahmen ermöglichen würde. Der Zusatzpunkt war wohl in guter Absicht, aber die Umsetzung, wie wir gesehen haben, hat doch eine Menge übrig gelassen. Also gibt doch sehr hinter den Wünschen zurück. Also die Nuancen des Problems wurden hier nicht gut aufgenommen. Es geht dann nicht nur darum, das Ziel zu erreichen, sondern das Verhindern, dass also für die gesamte Security alles einfach kaputt gemacht wird. Ich denke auch, wir müssen auch über den Text von Wasser nach hinaus blicken, weil viele Dinge halt auch nachträglich noch hinzugefügt wurden. Wir müssen uns die Implementierung anschauen und uns über die möglichen... Also ich stimme Richie zu, aber in meiner Perspektive, wir versuchen, also es wird versucht, eine juristische Definition zwischen guter und schlechter Software zu definieren. Und das ist natürlich eine ziemlich dumme Idee. Und der Abkühlungseffekt von einer schlechten Definition ist schlechter als eine andere Definition. Die Electronic Frontier Foundation sagte bereit, dass Sensor halt ein echtes Problem ist und auch Software wie FinFisher kann dadurch nicht gestoppt werden. Man kann Äthiopien FinFisher geben und die Leute dort werden nicht wissen, wie man diese Software bedient, ohne einen Servicevertrag. Verträge sind halt das Entscheidende. Und Software kann man nicht wirklich kontrollieren, wie man den Export von physikalischen Gerätschaften kontrollieren kann. Nach meinem Verständnis, um wassinnah zu reparieren, sollte man halt intrusive Software nicht mehr dadurch regulieren. Okay, eine wichtige Anmerkung zu wassinnah, die noch nicht genannt wurde. Open Source ist ausgenommen von wassinnah. Ja, also Open Source ist manchmal irgendwie ausgenommen. Zumindest in graben dieser Diskussion. Naja, es gibt hier keine Hoffnungsschimme. Public Domain ist ausgenommen. Das ist nicht das gleiche wie Open Source. Es gibt hier ein kleines Problem, das sich hier einwerfen sollte. Viele interpretieren internationale Verträge. Zum Beispiel, den Vertrag von Wien enthält eine gemeinsame Definition von Wörtern, die nicht unbedingt mit der Realität zu tun haben. Public Domain ist nicht mehr unbedingt ein Urheberichtsthema. Es gibt zwei Probleme. Das wassinnah Abkommen ist kein formaler Vertrag. Es ist also nicht ganz klar, wie man ihn abstrapieren soll. Auf der anderen Seite habe ich auch so nach so Ausnahmen gesucht. Ich bin nicht so sehr ein Experte überhaupt nicht für die anderen an den Tisch. Aber es gibt sehr viel klarere Ausnahmen für zum Beispiel Open Source, für die Kryptografie bei Open Source, aber nicht so bei... Ich möchte noch dem hinzufügen, dass die Angriffe auf Open Source, Open Source Software ist so wie ich es verstehe, ist nicht immer Open Source, zumindest nicht im Start, also zu Beginn des Projektes. Es kann später wirklich Open Source werden oder in die Public Domain kommen. Aber solange es auf einer Entwicklermaschine rumliegt und noch entwickelt wird, solange ist es halt noch nicht Open Source, bis es erst wenn es committed wird und mit der Welt geteilt wird. Und das ist Information, die eben noch auf dem Laptop des Entwicklers bleibt, solange und die Regierung mag es vielleicht beschränken, was... Also wir hätten sehr widersprüchige Aussagen von Regierungen wie zum Beispiel, wenn du mit etwas arbeitest, etwas arbeitest, was du auf einer Konferenz zeigen willst, irgendwann in der Zukunft, ja, dann ist es vielleicht Open Source. Aber wie sollen wir so etwas beweisen, wie sollen wir zeigen, dass wir etwas arbeiten an Code und Technik, wie lange arbeite ich daran? Wann sieht das das Licht des Tages? Also es ist dieser Prozess, bevor Dinge Open Source werden, bevor Dinge in den Public Domain eingehen, in die öffentliche Sphäre, Probleme beschränken, die Fähigkeit der Menschen zu arbeiten. Und überhaupt die generelles Software-Idee ist gar nicht in all diesen... Es gibt eine weitere Frage, hier links. Ich wollte mit euch eine Erfahrung teilen, die ich im Umgang mit Wassen nach hatte für Sprachverschlüsselung. Das wollte wissen, wie ihr euch dazu verhaltet. Für Export von starker Verschlüsselung gibt es genaue Spezifizierungen, ob sie in die Kategorie der Massenverschlüsselungstools passen und in Exportkontrollen fallen. Und diese sehr klaren Regeln, sehr genauen Regeln, wenn der End-Bennunzer in der Lage ist, den Verschlüsselungsalgorithmus zu ändern, wenn der End-User die Software ohne großen Unterstützung des Herstellers besorgen und installieren kann. Jetzt weg, der Technologie für Sprachverschlüsselung, was dann die export-Beschränkungen festlegt. Also jetzt politische Regeln aufstellen, die aufstellen, was unter Exportkontrollen fällt, was nichts, wie z.B. starke Verschlüsselung. Es ist sehr hart, eine bestimmte Software anzuschauen, die 1 und 0 und sich darauf hin zu entscheiden, also ohne die Möglichkeit eines Abkommens, wie dieses, um das Ziel zu erreichen, dass es geht, wo es z.B. leben und wie Absichten der Personen geht, die die Software empfängt oder solche Dinge, das ist nun ausdrücklich nicht in der Definition von Intuition-Software enthalten oder in wassender. Es ist aus dem nicht immer offensichtlich von sich aus, was eine Software wirklich tut. Wenn man jemals die, wenn man sie in den office-gated-Seekons sich anschaut, es gibt viele Fälle, wo eine Software offensichtlich auf oberfältig gesehen eines tut, aber wirklich was anderes tut. Wir haben, so was ich hier probiere, noch nicht in Exportkontrollthema gesehen, aber es ist möglich, ob wir jetzt einfach mal hier das Krypto-Thema zu weiterverfolgen. Es war lange, dass die Position der EFF, dass Krypto überhaupt nicht drogelt werden sollte in den USA, haben wir sehr wenige Regulierungen über öffentlich zugängliche Kryptografie. Das einzige, was man tun muss, ist die NSA zu benachrichtigen, dass man sie online stellt, und die meisten Leute tun das wohl auch nicht. Um Meredith vorzusetzen, es gibt einen interessanten Wettbewerb, der jedes Jahr abgehalten wird, und ich denke, aufgrund einer Linux-Verwohnbarkeit, die vor ein paar Jahren gefunden wurden, wo er in Semicolon eingefügt wurde, jedes grobe lesende Source-Codes würde den Eindruck erhalten, erzeugen, dass alles in Ordnung ist, aber in Wirklichkeit würde man durch diesen Code tatsächlich root auf jeder Box bekommen. Es gibt also ein Wettbewerb jedes Jahr, um neue innovative Wege zu finden, um Probleme mit Software einfach offen zu verstecken, und wir haben mehrere Leute, die Fragen stellen wollen. Vielen Dank für dieses Podium. Es war sehr informativ. Ich habe zwei Fragen. Die ersten kommen von einem grundsätzlichen Wissen der Regularien. Es gab also offenbar erst einmal ein Abkommen, das durch ein Anzahl von Abkommen erreicht wurde. Es ist nicht interessant, durch die Protokolle dieser Treffen zu gehen und herauszubekommen, wer bestimmte Definitionen vorgeschlagen hat. Und eine zweite Frage ist, wie sind diese Abkommen in letzter Zeit durchgesetzt worden? Wenn etwas 2009 eingefügt wurde, dann gab es sicherlich vorher schon etwas. Enkel Pitchi sollte die erste Frage beantworten. Die zweite würde ich an Nate verweisen wollen. Außerdem würde ich gern bewerben und sagen, wir sind sehr dankbar für eure Dankbarkeit, aber haltet euch an die Fragen. Okay, ich bin vielleicht nicht das Gesamtbild, aber die erste Mal als Privacy International, die auf diesen Text aufmerksam wurde, war fast nur Tage, bevor er vollständig war. Soweit ich also weiß, gab es keinen Beratungsprozess, Konstellationsprozess. Und zwar ein Problem mit dem Entwurfprozess. Die Leute sind nicht nur zu spät einbezogen worden, obwohl es riesige Konsequenzen gab und Menschen sehr, sehr früh beteiligt hätten werden sollen. Das ist jetzt so, dass die Folgen sehr, sehr weitreichend sind. Ihr habt vielleicht mitbekommen, dass HP aus seinem Wettbewerb sich zurückgezogen hat. Oder Microsoft, weil Fragezeichen gab darüber, ob man Menschen tatsächlich hinschicken konnte, um Zero Day Bucks und andere Sachen zeigen zu können. Ob man vielleicht einen Export, letztens, wie jedes beteiligte Land bekommen müsste. Also es ist ganz klar, dass dieses Abkommen jetzt Dinge verhindert, aber es gab glaube ich keinen Konstellationsprozess außerhalb der Regierungen, die aufgemacht haben. Und was die zweite Frage angeht, wie werden diese Abkommen durchgesetzt? Die Antwort da ist, ich bin ein US-Rechtsanwalt. Ich kann also nur in USA-Terms antworten. Und es wird sehr selten und nur sehr selektiv durchgesetzt. Was ein sehr großes Problem in der EU wäre, weil selektives Durchsetzen, das könnte, du darfst das in Belgien nicht machen. Na ja, Belgien ist Belgien. Na ja, aber die Durchsetzung erzeugt dann einen Chilling-Effekt und die Idee, dass etwas durchgesetzt werden könnte, reicht eigentlich aus, um den negativen Folgen auszulösen. Wir kennen das alle, denke ich hier im Publikum, Leute, die sich aktiv engagieren wollen, Dinge verbessern wollen, Software, die wir benutzen, verbessern wollen. Das braucht in der heutigen Zeit die Möglichkeit, übergrenzend weg zusammenzuarbeiten. Und ich bin nicht unbedingt sicher, ob die Tatsache, dass ab sich kommen durchgesetzt werden könnte, dass Menschen ins Gefängnis gehen könnten, was natürlich schon unmöglich ist. Ob dieser Chilling-Effekt vielleicht verhindert, dass Leute überhaupt erst mit Forschung anfangen. Ich habe eine Reihe von Fragen. Im Detail, was ist der erwartete Einfluss für die Metasploit, was teilweise Open-Sources und Carlinux. Metasploit ist, das Team mit der Metasploit hat entschieden, dass der Open-Source-Teil, dass es dort keinen Einfluss geben wird bei der Pro-Version hingegen, gibt es einen Effekt bezüglich dem Abkommen. Und bei der Pro-Version wird deswegen auch viel teurer werden. Um das Haus so weiter exportiert, werden wir nutzt. Okay, weitere Internet-Fragen? Ja, eine Frage, was ist das genaue Problem im Detail? Dass Exploits mehr in die Öffentlichkeit kommen, gibt es auch einen finanziellen Aspekt? Ja, es gibt viele, die juristisch greifbar werden, wenn sie Exploits hätten, oder sie jetzt lücken. Und was ist mit, wenn man Exploits hat und damit eine Grenze überschreitet, oder wenn man über Exploits spricht, mit Fremden? Hi, ich bin die Einakademiker aus Großbritannien. Und ich frage mich, ob ihr kommentieren könntet über die Möglichkeit der Auswirkungen auf Forschung. Meine Forschung würde wahrscheinlich eingestuft werden unter der sehr großen Definition der Breiten von Überwachung. Und wie ist es mit Lehre? Wie soll ich Lehren über eine internationale Gruppe von Studierenden in meiner Universität, ohne eine Exportlizenz? Ich denke, du brauchst wohl leider eine Exportlizenz, wenn du internationale Studierende hast, sich um einen nicht berührbaren, also einen Intangible Transfer handelt, in den Köpfen der Studierenden. Wenn du diese Vorstellung hältst und sie ihnen zurück in ihre Länder, das wäre also ein Intangible Technology Transfer. Es ist wirklich nicht klar. Es gibt keine klaren Grenzen, die gezogen werden. Welche Arten von Forschung. Politiker haben uns oft ins Gesicht gesagt, Forscher müssen sich keine Sorgen machen, aber sie sagen uns nicht, warum das so sein. Und wenn ich dann frage, wieso nicht, aus welchem Grund muss ich mich nicht sorgen über Intangible Knowledge Transfer, so Wissenstransfer, dann gehen sie einfach weiter zur nächsten Frage. Niemand scheint wirklich bereit zu sein, klarzustellen, wie diese, die es tatsächlich auf Forschung angesehen werden, sondern bis mit Ausnahme von Australien. Die scheinen, die sind offenbar völlig zufrieden, und es ist ja auch kriptografisch ein, abzuzumachen im ganzen Land. Aber das ist Australien. Wir haben bereits gesehen, dass eine Doktorarbeit, die halt sehr stark zensiert wurde im United Kingdom wegen Wassenaar, und das ist einfach kaputt. Und deswegen wird dieser Chilling-Effekt, der setzt sich halt fort, dass diese Probleme existieren. Und wenn man jetzt halt in der USA war und in Geografie Doktorarbeit gemacht hat, dann kann man halt also, man schwendet halt viel Zeit, wenn man in dieses Feld reingeht und dann nichts publizieren kann. Und die Leute haben deswegen halt Angst, weil wenn sie irgendwas publizieren, dass sie das halt zurückziehen müssen oder dass sie halt Ärger kriegen, deswegen Ich weiß doch nicht genau, was Sicherheitsvorstand eigentlich ist, wo sie anfängt und endet. Also Menschen, die einfach mit Software ein bisschen herumspielen, bisschen Reverse Engineering machen, mit irgendwelchen Teilen von Code, einfach weil sie das gerne tun, ob sie jetzt nun mit einer Universität offiziell verbunden sind und nicht, also viele der angeblichen Schutzmaßnahmen für Dinge wie akademisches Material sind einfach sinnlos in meiner Ansicht nach, also diese Definition, was ein Sicherheitsforscher ist und was nicht und Zusammenarbeit über Grenzen ist nötig. Und ich meine genau das, weil ich halt nicht zu einer Universität dazu gehöre und ich mach das halt beruflich oder nee, ich mach das halt in Programmierer, ganz normaler. Und ich mach das nur in meiner Freizeit. Aber in der USA muss man sich halt nicht so wirklich Sorgen darüber machen. Gibt es irgendeine Hoffnung hier rauszugehen und behaupten zu können, dass es sich um Redefreiheit an das Meinungsfreiheitsprinzip handelt wenn es in akademischen Bereich geht. Ich kann dir eine Antwort aus europäischer Perspektive geben Nate wahrscheinlich als eine Art von Grundlage für diese armen europäischen Länder die nicht einmal eine Verfassung haben wie die Großbritannien zum Beispiel oder irgendwelche rückständige Monarchien wie die Niederlande zum Beispiel. Die Europäische Menschenrechtskonvention ist die Institution Artikel 10 sagt Freundungsfreiheits soll nicht fasse zusammen hier keine Zitate. Die Meinungsfreiheits soll nicht angetastet werden außer durch ein angemessenes verhältnismäßiges Gesetz und es gibt keinen Hinweis keinen klaren Unterschied hier warum wir das nicht haben sollten. Wir haben schon die Cybercrime Konvention die sicherlich ähnlich oder ähnlich Chilling Effekte hat die niemals herausgefordert wurde wir haben schon Menschenrechtsrechtshof aber es ist eine sehr gute Frage können wir das reparieren? Nach dem Nate die Themen des ersten Verfassungszusatz behandelt also Redefreiheit wie gesagt in Großbritannien der EU ist ein sogenannte qualifiziertes Recht für die Privatsphäre und die Qualifizierung ist auf einem Gesetz basiert aber oft ist es so, dass Meinungsfreiheit kann man kann sie ausweichen ebenso wie Privatsphäre also wenn jemand hier seine Redefreiheit ausrichtet es kann zum Beispiel Geheimhaltungsabkommen geben die im Gegenstehen es gibt also hier eine Balance die man zwischen Meinungsfreiheit oder Redefreiheit und dem Regime der Regen des Landes ausüben soll also kann er auf deiner Kollision geben in der realen Welt aus einer USS Perspektive wenn das Ganze wenn das Ganze dann tatsächlich gesetzt wird, ich würde gerne dann das vor Gericht herausfordern und das dabei dann herunter das zu Fall bringen und da gab es den Fall Bernstein oder AJB gegen das Bundesministerium und wir hatten Kriptografie aus der Waffenliste der USA herausgenommen wurde und in einer sehr viel geringer kontrollierte Kategorie eingestuft wurde und ich denke zumindest in den US-Rechts zumindest für Open Source Software selbst wenn sie nicht öffentlich erhältlich war ich denke hätten wir ein sehr, sehr gutes Argument dass die Regeln also den ersten Verfassungszusatz nichts erfüllen deswegen ungültig sind und die US-Verfassung nach der US-Verfassung ist das so wenn ein Strafrecht und Exportkontrollen sind Strafrecht wenn es diese Regeln nicht sehr schnell verständlich sind durch eine Person durchschnittliche Allegenz dann sind diese Regeln ungültig das ist also eine Doctrine in der US-Verfassung ich würde also sagen dass das auch hier scheitern würde wir könnten auch die Church of Wood Machines als Institution registrieren dann hätten wir auch Religionsfreiheit als Problem für was denn da ich möchte betonen, dass es keine als mir keine europäische Gesetzgebung bekannt ist die das durchsetzen würde und dass es kein Ausnahme dafür gibt also wenn man das Gesetz halt nicht versteht dann ist das dein Problem es gibt keine Wagen es gibt also Rechtssysteme in denen es heißt Unwissenheit schützt nicht für Strafe und das könnte hier auch leider doch angewendet werden wie gut kann man das Ganze reparieren wenn wir uns anschauen was die Ziele sind für was die Ziele am Start war das Ganze hatte natürlich gute Absichten da war ein reales Problem das gefixt werden musste es gibt natürlich einige Schwachpunkte in dem Ganzen was man halt behandeln und korrigieren muss wenn ein Mechanismus nicht dazu fisch ist das Problem selbst anzugehen dann müssen wir halt andere Mechanismen betrachten eine offene Frage ist natürlich die einzelne das was die EFF nun im Gericht ausgefochten hat und das war so eine verrückte Situation so ein für die Regierung dass das also die Sache zum Fall gebracht hat und vor Gericht zu ziehen ist etwas was man macht sobald es geht und sowohl die EU als auch die US also der Prozess ist noch nicht beendet das einzig greifbare was wir haben ist halt diese Aufzeichnung von diesem nicht legislativen Report also im Prinzip ist es halt alles noch nicht wirklich fest und noch nicht wirklich klar aber zumindest es gibt das Potenzial eine europäische Implementierung dieses Abkommens zu haben dass dann weniger schlimm ist als das was wir schon haben und das frustrierendste an diesem ganzen ist wir versuchen oder wir sehen halt immer diese ganzen Angriffe eigentlich sollten wir ja alle Verbündete sein wir sollten ja eigentlich alle als Anti-Überwachungs Leute sein aber das Problem ist halt auch dass viele Leute die eigentlich auf unserer Seite sind es ist eine gute Idee dann tatsächlich etwas machen was halt wo wir sehen dass das schlecht ist und dann haben wir natürlich Geheimdienste wie die NSA und die GHQ die natürlich ihre eigene Pläne durchrücken wollen und dabei und dann haben wir das Problem dass wir die Leute halt beeinflussen müssen dass dass wir mit diesen Leuten zusammenarbeiten müssen dass wir halt dafür sorgen müssen dass die dann auch nicht blöde dastehen wenn sie so was Blödes vorschlagen und eigentlich ist unsere Aufgabe nicht jetzt nicht zu anderen Leuten zu sein naja eigentlich schon naja nun ja es ist schon ziemlich frustrierend für mich und ich finde diese Situation halt doof wie können wir verhindern dass so was nochmal passiert und wir haben noch nicht aus den Fehlern aus den Crypto Wars gelernt das Problem mit das Problem mit den Dingen die in den 90ern passiert sind die Lehrer die wir daraus gezogen haben sollten ich frag mich halt was in 10 Jahren was wir in 10 Jahren machen werden Entschuldigung dass ich hier unterbreche ich bitte erst mal eine Frage aus dem Internet Danke Herr Reiter also das Interesse möchte ich gerne wissen ob Verteidigungstechnologie in potentiell auch durch dieses Abkommen es gibt keine Verteidigungstechnologie die auch eine Angriffstechnologie ist die wird also auch unter das Abkommen fallen werden dann kommen wir jetzt die beschissene Alltagssicherheit weil die Dinge nicht exportiert werden ja Teil des Problems wie das die Wassener Definition über Risiko sprechen also man kann natürlich also man hat natürlich die Werkzeuge um Geräte abzusichern, aber durch Wassener wird es halt alles problematisch weil diese Toolzahlen auch von schlechten Leuten verwendet werden können Nummer eins bitte okay eine der stelltsamen Dinge über die EITA-Regulierungen in den USA man ist auch haftbar für all das was End-User zu den du exportierst was sie mit das aufbemachen ist es etwas ähnliches in der Implementierung von Wassener ist es einfach nur auf der US-Waffenliste es ist nicht auf der Munitionsliste es ist der Export Beschränkungsliste und deswegen ist es weniger problematisch ein Problem das wir sehen ist das Traditionell-Technologie ja das Problem ist halt dass die Regulatoren meistens eher so auf militärische Exporte schauen wenn sie diese Regeln machen aber es gibt natürlich auch ähm das ist nicht unbedingt klar dass diese Dinge auf irgendwas für eine Juliusliste sein sollten aber es sollte gar nicht kann werden dass die die positiven Aspekte die negativen weit überwiegen wenn man die defensiven Werkzeuge nicht hat um sich zu wehren gegen Angriffe dann haben wir also sehr viel billigere was auch immer man auf Alphabet oder wo auch immer in Zukunft kaufen möchte kann man sich dann schlecht gegen schützen danke ist dieses Wassenerabkommen Entwurf irgendwo verfügbar gotovassener.org dort ist das Abkommen verfügbar es ist kein Entwurf mehr sondern es ist endgültig Nummer 4 bitte okay ich denke hier ein Punkt auf einem abstrakten Niveau wir haben gelernt dass in 99er Jahren das damalige Wassenerabkommen mit ihren seltsamen Definitionen mit zurückhaltenden Worten Public Domain in Anführungsstrichen und dieses seltsame Framework dieses seltsamen Wassenerabem war so furchtbar für Kryptografie wir bekamen damals irgendeine Form von Ergebnis das war großartig aber jetzt kommt es zurück und die Idee von möglicherweise eindringende Software über die wir hier reden es ist jetzt vielleicht ein bisschen enger dran an solcher Software wie bei Krypto war also der Grundabsicht war vielleicht irgendwie von der Armee eines neuen Landes fernzuhalten die Idee ist wohl jetzt offensichtlich die Geoluse Technik aus den Händen von den Fernzuhalten die es vielleicht gegen ihre eigenen Bürger in Bürger einsetzen also ich denke was wir hier lernen ist es gibt wohl eine Menge von Seiten und Zweiteffekten die unerwünscht sind ich würde gerne von den Potenzteilnehmerinnen Teilnehmern hören was ihre Ansicht ist was könnte eine vernünftige Regelung für solche Techniken sein ich höre bisher aber nur soll das Krypto frei erhältlich sein soll es sein über Angriffstechnologien ich möchte also ich habe ein Paper zusammen mit State of Brow also meine meine Perspektive hat sich im Laufe der Zeit während dieser Unterhaltung verändert also ich habe mir halt überlegt wie kann man die Sprache so ändern dass es einfacher verständlich ist oder vernünftiger das Problem mit der aktuellen Sprache ist die Sprache über ausführbar Fahne ist Endeffekt bedeutungslos niemand weiß was es bedeutet und selbst wenn man sich darüber einigen würde was es jetzt bedeutet dann wäre es nicht helfbar es gab vor kurzem also ein Paper über Control Flip Bending und Sie schauen sich Control Flow Integrity Systems und das sind Systeme die versuchen White Lists im Control Flow in einem Programm legitim sind und man versucht halt nur diese Sachen auszuführen und alle anderen Kontrollfahne werden als Exploit betrachtet so wie es aussieht kann man dabei dann auch eine ganze Menge Speicherprobleme haben Speicherverletzung haben und man kann dabei sowohl man kann dabei auch Exploits kriegen bei Systemen die eigentlich als Integer angesehen werden das viel wichtigere ist eine Regierung irgendeines dritten Land Drittwelt Lands braucht halt ein Support Contract weil sie die Software nicht selber bedienen können und das sollte man halt regulieren und ich ich bin beteiligt an der Verklarung der Klagel in Tupien für die Benutzung von FinFisher und wir verurten das von Previous International hat einen Gefall gegen Gamma in Großbetellen aus demselben Grund EFF war in Gerichtsverfahren gegen Cisco involviert weil sie in China die große Firewall-Einkauf gebaut haben also solche Haftzungs tragen also wenn es um die Sachen geht die von denen wir nicht wollen das Firmen sie tun das wäre also möglicherweise sehr viel erfolgreicher und könnte Chilling Effects gegen die schlimmen Dinge haben ohne dass die Sicherheitsforschung beträchtigt wird das was ich denke ist dass ein wichtiger Punkt ist für jemanden der ein Hammer hat dann sieht das alles halt wie ein Nagel aus und wassender ist halt das Werkzeug der Hammer und natürlich gibt es noch andere Möglichkeiten die man die besser sein könnten und man sollte halt erforschen ob man die Sprache verbessern könnte und ob es noch andere Mechanismen gibt die bereits existieren und mit jemanden mit einem Jura Abschluss alles sieht aus wie eine Anklage oder ein Gerichtsverfahren ich habe in Südafrika Cyber Security bemerkt also beobachtet es gibt da eine Cyber Crime Bill Gesetz Anmerkungsübersetzer er liest gerade den Gesetzestext vor und mir und für mich sah es halt so aus als wenn ganz viel darunter fällt wie kann man also zwischen besitzen den Besitz von Mileware zu besitzen und infiziert von Mileware zu sein ein Exploit ist immer noch ein Exploit das auch eine Grenze überschreiten kann und wenn das jetzt in den Händen eines Forschers Angreifers oder infizierten Computers ist wie unterscheidet man das in den meisten Legislaturen Legislaturen ist es illegal Mileware zu besitzen selbst wenn man ein Opfer ist man ist effektiv ein ein Krimineller und Südafrika hat das Wasser in der Abkommen unterschrieben das habe ich gerade nachgeschlagen allerdings wenn man dann über die Grenze überschreiten mit einem infizierten Laptop dann hat man nicht die Absicht das Ganze zu exportieren und dadurch ist es jetzt kein Verbrechen selbst streng genommen die Absicht von Vassna war wohl nicht irgendwas zu kontrollieren was auf dem Gerät irgendeines in den Video ums die eine Grenze bestreitet genau weil es darum ging dass ein unschuldiges Opfer eine Grenze beschreitet und jetzt nach der Analyse des eigentlichen Texts fanden sich doch mehrere Wege wie möglicherweise Code oder ausführbare Dateien aus dem Gerät eines Opfers doch als Teil von Vassna oder als unter Vassna-Feind angesehen wurden hier ist etwas seltsam als unter der US-Implementierung der der Code selber ist nicht Teil der Kontrolle aber die Kommentare im Code sind definitiv Teil von der Exportkontrolle haben langsam wohl keine Fragen mehr aus dem Saal doch ihr habt gesagt dass das Hacking-Team sehr einfach eine Lizenz bekommen konnte würde es schwer sein für uns alle eine Lizenz zu bekommen ich denke Hacking hatte eine besondere Beziehung mit der metallischen mit der jenischen Regulierer um diese Lizenz zu bekommen und ich denke Leute die mit Software spielen wollen und sich mit dem Problem beschöpften sollten nicht unbedingt mit ihrer Regierung sich registrieren um eine Lizenz zu bekommen man sollte die der Lage sein einfach selbst die Forschung durchzuführen sonst angenommen jemand in Kanada bekommt seine Finger Sieht FinnFisher oder Hacking-Team und möchte jetzt eine Registrierung mit der kananischen Regierung durchführen und dann könntest du dazu dann würde man also FinnFisher und Co. sagen wie mache ich reverse Engineering auf deiner Malware ich denke ob diese Informationen innerhalb der Autoresierungsbehörde bleibt oder ob es vielleicht dann weitergeleitet wird an die Firmen die innoviert sind in dem Verkauf dieses Materials sodass die also nur einen Tipp bekommen hey jemand hat einen Probe eurer neuesten Mairware und die wird sich vielleicht verändern ich denke das eine Sache die gemacht werden könnte um das um die Absurdität zu verdeutlichen um einigen von Lizenzbestimmung zu zeigen wäre jetzt, dass man ein DDoS-Angriff macht auf die Lizenzvergabe machen könnte das wäre natürlich eine Möglichkeit und diese Bemerkung Danke für eure Aufmerksamkeit und viel Spaß Danke auch fürs Zuhören für die deutsche Übersetzung sicherlich mit einigen Lücken