home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / phrack2 / phrack45.t13 < prev    next >
Encoding:
Text File  |  2003-06-11  |  22.2 KB  |  467 lines
  1.                               ==Phrack Magazine==
  2.  
  3.                  Volume Five, Issue Forty-Five, File 13 of 28
  4.  
  5. ****************************************************************************
  6.  
  7. The 10th Chaos Computer Congress
  8.  
  9. by Manny E. Farber
  10.  
  11.   Armed only with an invitation in English addressed to the "global
  12. community" and a small pile of German Marks, I arrived at the
  13. Eidelstedter Buergerhaus about an hour or so before the beginning of
  14. the 10th Chaos Communication Congress (subtitled "Ten years after
  15. Orwell"), sponsored by the (in)famous Chaos Computer Club.  The
  16. Buergerhaus (literally, "citizen's house") turned out to be a modest
  17. community hall; needless to say, not all invited showed up.  The
  18. Congress took place between the 27th and the 29th of December.  As the
  19. title implies, social as well as technical issues were on the docket.
  20.  
  21.   After forking over 30 DM (about $20) for a pass for the first two
  22. days of the Congress, I sort of felt like asking for a schedule, but
  23. refrained, thinking that asking for scheduled chaos might seem a bit
  24. odd.  I went to the cafeteria for breakfast.  An organizer started out
  25. announcing, "Anyone who wants to eat breakfast pays 5 Marks, and gets a
  26. stamp, which--no, rather, anyone who wants breakfast pays 5 Marks and
  27. eats breakfast."
  28.  
  29.   The atmosphere was quite collegial and informal, with little more
  30. order than was absolutely necessary.  The approximately 150 attendees
  31. were predominantly German (a few from Switzerland and Holland, at least
  32. -- and probably only -- one from the United States, namely myself),
  33. male, and technically oriented.  (During an explanation of the
  34. mathematical algorithm underlying electronic cash, a non-techie
  35. objected, "But I don't want to have to think up a 200-digit random
  36. number every time I buy something!"  It was explained to him that this
  37. was done by software in the chip-card ...).
  38.  
  39.   Although not mentioned in the invitation, not a word of English was to
  40. be heard; all the events were conducted in German.  Some were conducted
  41. in a "talk show" format, with a host asking questions, simplifying
  42. answers, making jokes.  A television network carried the video from the
  43. auditorium to other rooms throughout the building (albeit without
  44. sound) along with up-to-the-minute event schedules.
  45.  
  46.   The tone of the discussions of how electronic cash could be
  47. embezzled, or chip cards abused, digital signatures forged, etc., was
  48. constructive rather than destructive.  And it was balanced, i.e. not
  49. only "how could a malicious individual embezzle money?" was discussed,
  50. but also "how could the government use chip cards to reduce people's
  51. privacy?"  Here, the "hackers" were hackers in the positive sense of
  52. understanding a technology, not in the negative sense of wreaking
  53. havoc.  It was, however, noted that trying out a potential weakness of
  54. the "EuroScheck" cash cards was quite easy:  it would require buying a
  55. card reader for 1,500 DM and maybe a week of time.
  56.  
  57.   The question of technical solutions to "big brother" did come up in
  58. the presentations about chip cards.  The danger is that a pile of cards
  59. is eliminated in favor of a card containing someone's driver's license,
  60. driving record (maybe), employee information, credit information, etc.
  61. etc.  A chip card could theoretically be programed to give out *only*
  62. the information absolutely necessary, e.g. telling a policeman only
  63. that someone is allowed to drive, without disclosing his identity.
  64.  
  65.   The "Hackzentrum" (Hacking Center) turned out to be a room filled
  66. with networked computers and people hacking on them.  It seemed mostly
  67. harmless.  (I nevertheless did not try a remote login -- I had no
  68. reason to doubt good intentions, but on the other hand, who knows who
  69. wrote or replaced the keyboard driver and what sort of supplemental
  70. functionality it might have?)  The packet radio room had a "Digi"
  71. repeating station and, true to the ham radio tradition, where the
  72. conversation centers on who is talking to whom and how well they hear
  73. each other and on what other frequency they might hear each other
  74. better, the computers attached were mostly displaying maps of the
  75. packet radio network itself.  I didn't delve very deeply into the
  76. "Chaos Archive," but noticed a collection of maintenance sheets for
  77. telephone equipment among CCC newsletters and other paraphenalia.
  78.  
  79.   Some "signs of the Congress":
  80.  
  81.     - Bumper sticker:  "I (heart) your computer"
  82.     - Telephone stickers:  "Achtung, Abhoergefahr" ("Attention,
  83.       Eavesdropping danger"; and the German PTT logo transformed into a
  84.       pirate insignia, with the words "Telefun - Mobilpunk" (derived from
  85.       "Telefon - Mobilfunk")
  86.     - T-shirt:  "Watching them (eye-ball) watching us"
  87.     - Post-It Note pad (for sale for DM 1.50):  a pad of about 50,
  88.       pre-printed with a hand-written note:  "Vorsicht, Stoerung.
  89.       Automat macht Karte ungueltig" ("Careful--Defect. Machine makes
  90.       card invalid")
  91.     - Word coinage:  "Gopher-space"
  92.     - Stamp:  "ORIGINALE KOPIE" ("ORIGINAL COPY")
  93.  
  94.   The press were told not to take pictures of anyone without their
  95. explicit permission.
  96.  
  97.   Schedules were distributed throughout the Congress.  By the evening
  98. of the 27th, a schedule for the 28th, "Fahrplan 28.12 Version 2.0," was
  99. already available ("Fahrplan" means a bus/train schedule; this is
  100. presumably an "in" joke).  By 17:30 on the 28th, "Fahrplan 28.12
  101. Version 2.7" was being distributed.  (I missed most of the intervening
  102. versions; presumably they were neatly filed away in the Chaos Archive
  103. by then ...)
  104.  
  105.   The scheduled events (in translation) were as follows; a "*" means
  106. that I have included some comments later in this report:
  107.  
  108.  
  109. December 27, 1993
  110.  
  111. - Welcoming/opening
  112. - How does a computer work?
  113. - ISDN:  Everything over one network
  114. - Internet and multimedia applications:  MIME/Mosaik/Gopher
  115. - Data transport for beginners
  116. - Chip-cards:  Technology
  117. * Media and information structures:  How much truth remains?  Direct
  118.   democracy:  information needs of the citizen
  119. - Encryption for beginners, the practical application of PGP
  120. * Alternative networks:  ZAMIRNET, APS+Hacktic, Green-Net, Knoopunt,
  121.   Z-Netz and CL
  122.  
  123.  
  124. December 28, 1993
  125.  
  126. - Encryption:  Principles, Systems, and Visions
  127. - Modacom "wireless modem"
  128. - Electronic Cash
  129. - Bulletin board protocols: Functional comparison and social form, with the
  130.   example of citizen participation
  131. - Discussion with journalist Eva Weber
  132. - Net groups for students, Jan Ulbrich, DFN
  133. * What's left after the eavesdropping attack?  Forbidding encryption?
  134.   Panel:  Mitglied des Bundestags (Member of Parliament) Peter Paterna,
  135.   Datenschutz Beauftragter Hamburg (Data privacy official) Peter Schar,
  136.   a journalist from Die Zeit, a representative from the German PTT, a
  137.   student writing a book about related issues, and a few members of the
  138.   Chaos Computer Club
  139. - Cyber Bla:  Info-cram
  140. * How does an intelligence service work?  Training videos from the
  141.   "Stasi" Ministrium fuer STAatsSIcherheit (Ministry for National Security)
  142. - System theory and Info-policies with Thomas Barth
  143. - Science Fiction video session:  Krieg der Eispiraten
  144.   ("War of the ice pirates")
  145.  
  146.  
  147. December 29, 1993
  148.  
  149. - Thoughts about organization ("Urheben")
  150. - Computer recycling
  151. - Dumbness in the nets:  Electronic warfare
  152. - Lockpicking:  About opening locks
  153. - The Arbeitsgemeinschaft freier Mailboxen introduces itself
  154. - In year 10 after Orwell ... Visions of the hacker scene
  155.  
  156.  
  157. -------------------------------------------------------------------------------
  158. THE EAVESDROPING ATTACK
  159.  
  160.   This has to do with a proposed law making its way through the German
  161. Parliament.  The invitation describes this as "a proposed law reform
  162. allowing state authorities to listen in, even in private rooms, in
  163. order to fight organized crime."  This session was the centerpiece of
  164. the Congress.  Bayerische Rundfunk, the Bavarian sender, sent a
  165. reporter (or at least a big microphone with their logo on it).  The
  166. panel consisted of:
  167.  
  168. MdB - Mitglied des Bundestags (Member of Parliament) Peter Paterna
  169. DsB - Datenschutz Beauftragter Hamburg (Data privacy official) Peter Schar
  170. Journalist - from Die Zeit
  171. PTT - a representative from the German PTT
  172. Student - writing a book about related issues
  173. CCC - a few members of the Chaos Computer Club
  174.  
  175.   My notes are significantly less than a word-for-word transcript.  In
  176. the following, I have not only excerpted and translated, but
  177. reorganized comments to make the threads easier to follow.
  178.  
  179.  
  180.   IS IT JUSTIFIED?
  181.  
  182. MdB - There is massive concern ("Beunruhigung") in Germany:  7 million
  183. crimes last year.  Using the US as comparison for effectiveness of
  184. eavesdroping, it's only applicable in about 10-20 cases:  this has
  185. nothing to do with the 7 million.  The congress is nevertheless
  186. reacting to the 7 million, not to the specifics.  In principle, I am
  187. opposed and have concerns about opening a Pandora's box.
  188.  
  189. CCC #1 - The 7 million crimes does not surprise me in the least.  I am
  190. convinced that there is a clear relationship between the number of laws
  191. and the number of crimes.  When you make more laws, you have more
  192. crimes.  Every second action in this country is illegal.
  193.  
  194. Journalist - Laws/crimes correlation is an over-simplification.  There
  195. are more murders, even though there are no more laws against it.
  196.  
  197. MdB - There is a conflict between internal security, protecting the
  198. constitution, and civil rights.  How dangerous  is 6 billion Marks of
  199. washed drug money to the nation?  Taking the US as an example, the
  200. corrosion may have gone so far that it's too late to undo it.  I hope
  201. that this point hasn't been reached yet in Germany.
  202.  
  203. DsB - I am worried about a slippery slope.  There is a tradeoff between
  204. freedom and security, and this is the wrong place to make it; other
  205. more effective measures aren't being taken up.
  206.  
  207.  
  208.   EFFECTIVENESS OF CONTROLS ON EAVESDROPING
  209.  
  210. MdB - Supposedly federal controls are effective.  Although there are
  211. very few eavesdroping cases, even if you look at those that are
  212. court-approved, it's increasing exponentially.  No proper brakes are
  213. built into the system.  As for controls for eavesdroping by the
  214. intelligence service, there is a committee of  three members of
  215. parliament, to whom all cases must be presented.  They have final say,
  216. and I know one of the three, and have relatively much trust in him.
  217. They are also allowed to go into any PTT facility anytime, unannounced,
  218. to see whether or not something is being tapped or not.
  219.  
  220. MdB - Policies for eavesdroping:  if no trace of an applicable
  221. conversation is heard within the first "n" minutes, they must terminate
  222. the eavesdroping [...]  The question is, at which point the most
  223. effective brakes and regulations should be applied:  in the
  224. constitution?  in the practice?
  225.  
  226. PTT - True, but often the actual words spoken is not important, rather
  227. who spoke with whom, and when.
  228.  
  229. DsB - There is no catalog for crimes, saying what measures can be
  230. applied in investigating which crimes.  It's quite possible to use them
  231. for simple crimes, e.g. speeding.  There is no law saying that the PTT
  232. *has to* store data; they *may*.  They can choose technical and
  233. organizational solutions that don't require it.
  234.  
  235. MdB - This is a valid point, I don't waive responsibility for such
  236. details.  The PTT could be required to wipe out detailed information as
  237. soon as it is no longer needed, e.g. after the customer has been billed
  238. for a call.
  239.  
  240.  
  241.   TECHNICAL TRENDS
  242.  
  243. Journalist - Digital network techniques make it easy to keep trails,
  244. and there is an electronic trail produced as waste product, which can
  245. be used for billing as well as for other purposes.  Load measurements
  246. are allowable, but it can also be used for tracking movements.
  247.  
  248. DsB - The PTT claims they need detailed network data to better plan the
  249. network.  The government says they need details in order to be able to
  250. govern us better.
  251.  
  252. DsB - In the past, the trend has always been to increasingly
  253. identificable phone cards.  There is economic pressure on the customer
  254. to use a billing card instead of a cash card, since a telephone unit
  255. costs less.  With "picocells," your movement profile is getting more
  256. and more visible.
  257.  
  258. PTT - As for the trend towards less-anonymous billing-cards:  with the
  259. new ISDN networks, this is necessary.  Billing is a major cost, and
  260. this is just a technical priority.
  261.  
  262. Student - As for techniques to reduce potential for eavesdroping, it
  263. is for example technically possible to address a mobile phone without
  264. the network operator needing to know its position.  Why aren't such
  265. things being pursued?
  266.  
  267. PTT - UMTS is quite preliminary and not necessarily economically
  268. feasible.  [Comments about debit cards].  We have more interest in
  269. customer trust than anything else. But when something is according to
  270. the law, we have no option other than to carry it out.  But we don't do
  271. it gladly.
  272.  
  273.  
  274.   THE BIG CONSPIRACY?
  275.  
  276. CCC #2 - I don't give a shit about these phone conversations being
  277. overheard.  I want to know why there is such a big controversy.  Who
  278. wants what?  Why is this so important?  Why so much effort?  Why are so
  279. many Mafia films being shown on TV when the eavesdroping law is being
  280. discussed?  What's up?  Why, and who are the people?
  281.  
  282. Student - I am writing a book about this, and I haven't figured this
  283. out myself.  My best theory:  there are some politicians who have lost
  284. their detailed outlook ("Feinbild"), and they should be done away with
  285. ("abgeschaffen").
  286.  
  287. PTT - We're in a difficult position, with immense investments needed to
  288. be able to overhear phone conversations [in digital networks (?)].  We
  289. have no interest in a cover-up.
  290.  
  291. MdB - As for the earlier question about what NATO countries may do.
  292. During the occupation of Berlin, they did want they wanted on the
  293. networks.  In western Germany, it has always been debated.  Funny
  294. business has never been proved, nor has suspicion been cleared up.
  295.  
  296. CCC #2 - After further thought, I have another theory.  American
  297. companies are interested in spying on German companies in order to get
  298. a jump on their product offerings.
  299.  
  300. MdB - That's clear, but there are more benign explanations.  Government
  301. offices tend towards creating work.  Individuals are promoted if their
  302. offices expand, and they look for new fields to be busy in.  In Bonn,
  303. we've gone from 4,000 people to 24,000 since the 50's.
  304.  
  305. CCC #1 (to MdB) - Honestly, I don't see why you people in Bonn are
  306. anything other than one of these impenetrable bureaucracies like you
  307. described, inaccessible, out of touch with reality, and interested only
  308. in justifying their own existence.
  309.  
  310. MdB - Well, *my* federal government isn't that.
  311.  
  312.  
  313.   CLIPPER CHIP CONTROVERSY
  314.  
  315. Student - Observation/concern:  in the US, AT&T's encryption system is
  316. cheap and weak.  If this becomes a de facto standard, it is much harder
  317. to introduce a better one later.
  318.  
  319. Journalist - In the US, the Clipper chip controversy has centered more
  320. on the lost business opportunities for encryption technology, not on
  321. principles.  There every suggestion for forbidding encryption has
  322. encountered stiff opposition.
  323.  
  324. Student -  As for the Clipper algorithm, it's quite easy to invite
  325. three experts to cursorily examine an algorithm (they weren't allowed
  326. to take documents home to study it) and then sign-off that they have no
  327. complaints.
  328.  
  329. Journalist - As for the cursory rubber-stamping by the three experts
  330. who certified the Clipper algorithm, my information is that they had
  331. multiple days of computing days on a supercomputer available.  I don't
  332. see a problem with the algorithm.  The problem lies in the "trust
  333. centers" that manage the keys.  I personally don't see why the whole
  334. question of cryptology is at all open ("zugaenglich") for the
  335. government.
  336.  
  337.  
  338.   CONCLUDING REMARKS
  339.  
  340. DsB - The question is not only whether or not politicians are separated
  341. from what the citizens want, but also of what the citizens want.
  342. Germans have a tendency to valuing security.  Different tradition in
  343. the US, and less eavesdroping.  I can imagine how the basic law
  344. ("Grundgesetz") could be eliminated in favor of regulations designed to
  345. reduce eavesdroping, the trade-off you (MdB) mentioned earlier.  The
  346. headlines would look like "fewer cases of eavesdroping", "checks built
  347. in to the system," etc., everyone would be happy, and then once the law
  348. has been abolished, it would creep back up, and then there's no limit.
  349.  
  350. MdB - (Nods agreement)
  351.  
  352. CCC #2 - There are things that must be administered centrally (like the
  353. PTT), and the government is the natural choice, but I suggest that we
  354. don't speak of the "government," but rather of "coordination."  This
  355. reduces the perceived "required power" aspect ... As a closing remark,
  356. I would like to suggest that we take a broader perspective, assume that
  357. a person may commit e.g. 5,000 DM more of theft in his lifetime, live
  358. with that, and save e.g. 100,000 DM in taxes trying to prevent this
  359. degree of theft.
  360.  
  361. -------------------------------------------------------------------------------
  362. MEDIA AND INFORMATION STRUCTURES
  363.  
  364.   In this session, a lot of time was wasted in pointless philosophical
  365. discussion of what is meant by Truth, although once this topic was
  366. forcefully ignored, some interesting points came up (I don't
  367. necessarily agree or disagree with these):
  368.  
  369. - In electronic media, the receiver has more responsibility for judging
  370. truth placed on his shoulders.  He can no longer assume that the sender
  371. is accountable.  With "Network Trust," you would know someone who knows
  372. what's worthwhile, rather than filtering the deluge yourself.  A
  373. primitive form of this already exists in the form of Usenet "kill" files.
  374.  
  375. - A large portion of Usenet blather is due to people who just got their
  376. accounts cross-posting to the entire world.  The actual posting is not
  377. the problem, rather that others follow it up with a few dozen messages
  378. debating whether or not it's really mis-posted, or argue that they
  379. should stop discussing it, etc.  People are beginning to learn however,
  380. and the ripple effect is diminishing.
  381.  
  382. - Companies such as Microsoft are afraid of the Internet, because its
  383. distributed form of software development means they are no longer the
  384. only ones able to marshal 100 or 1,000 people for a windowing system
  385. like X-Windows or Microsoft Windows.
  386.  
  387. - If someone is trying to be nasty and knows what he's doing, a Usenet
  388. posting can be made to cost $500,000 in network bandwidth, disk space, etc.
  389.  
  390. - At a Dutch university, about 50% of the network bandwidth could have
  391. been saved if copies of Playboy were placed in the terminal rooms.
  392. Such technical refinements as Gopher caching daemons pale in comparison.
  393.  
  394. - All e-mail into or out of China goes through one node.  Suspicious,
  395. isn't it?
  396.  
  397. -------------------------------------------------------------------------------
  398. ALTERNATIVE NETWORKS
  399.  
  400.   Several people reported about computer networks they set up and are
  401. operating.  A sampling:
  402.  
  403.   APS+Hacktic - Rop Gonggrijp reported about networking services for the
  404. masses, namely Unix and Internet for about $15 per month, in Holland.
  405. There are currently 1,000 subscribers, and the funding is sufficient to
  406. break even and to expand to keep up with exponential demand.
  407.  
  408.   A German reported about efforts to provide e-mail to regions of
  409. ex-Yugoslavia that are severed from one another, either due to
  410. destroyed telephone lines or to phone lines being shut off by the
  411. government.  A foundation provided them with the funds to use London
  412. (later Vienna), which is reachable from both regions, as a common node.
  413.  
  414.   The original author of the Zerberus mail system used on many private
  415. German networks complained about the degree of meta-discussion and how
  416. his program was being used for people to complain about who is paying
  417. what for networking services and so forth.  He said he did not create
  418. it for such non-substantial blather.  The difference between now and
  419. several years ago is that now there are networks that work,
  420. technically, and the problem is how to use them in a worthwhile manner.
  421.  
  422.   A German of Turkish origin is trying to allow Turks in Turkey to
  423. participate in relevant discussions on German networks (in German) and
  424. is providing translating services (if I heard right, some of this
  425. was being done in Sweden).  This killed the rest of the session,
  426. which degenerated into a discussion of which languages were/are/should
  427. be used on which networks.
  428.  
  429. -------------------------------------------------------------------------------
  430. HOW AN INTELLIGENCE SERVICE WORKS:  STASI TRAINING VIDEOS
  431.  
  432.   The person introducing the videos sat on the stage, the room
  433. darkened.  The camera blotted out his upper body and face; all that was
  434. to see on the video, projected behind him, was a pair of hands moving
  435. around.
  436.  
  437.   It apparently didn't take much to earn a file in the Stasi archives.
  438. And once you were in there, the "10 W's:  Wo/wann/warum/mit wem/..."
  439. ("where/when/why/with whom/...") ensured that the file, as well as
  440. those of your acquaintances, grew.
  441.  
  442.   The videos reported the following "case studies":
  443.  
  444.   - The tale of "Eva," whose materialistic lifestyle, contacts with
  445. Western capitalists, and "Abenteuerromantik" tendencies made her a
  446. clear danger to the state, as well as a valuable operative.  She swore
  447. allegiance to the Stasi and was recruited.  Eventually the good working
  448. relationship deteriorated, and the Stasi had to prevent her from trying
  449. to escape to the West.  The video showed how the different parts of the
  450. intelligence service worked together.
  451.  
  452.   - A member of the military made a call to the consulate of West
  453. Germany in Hungary.  The list of 10,000 possible travellers to Hungary
  454. in the relevant time frame was narrowed down to 6,000 on the basis of a
  455. determination of age and accent from the recorded conversation, then
  456. down to 80 by who would have any secrets to sell, then down to three
  457. (by hunch?  I don't remember now).
  458.  
  459.   One video showed how a subversive was discreetly arrested.  Cameras
  460. throughout the city were used to track his movements.  When he arrived
  461. at his home, a few workers were "fixing" the door, which they claimed
  462. couldn't be opened at the moment.  They walked him over to the next
  463. building to show him the entrance, and arrested him there.  A dinky
  464. little East German car comes up, six people pile into it.  Two
  465. uniformed police stand on the sidewalk pretending nothing is happening.
  466.  
  467.