Fragen? Antworten! Siehe auch: Alternativlos
Ich bin ein bisschen traurig, dass ich nicht noch mehr Vorträge mitnehmen konnte. Ein paar waren aber noch. Hmm, IFG hatte ich ja schon berichtet (unterhaltsam und inspirierend). Ah, mein nächster Vortrag war memsad von meinem Kumpel Ilja. Da ging es um eine wichtige Prämisse, die ich auch mal im Blog hatte vor ein paar Jahren. Ilja hat daraus mal eine Übersicht gemacht, und das bei allen Compilern ausprobiert, die er finden konnte, und stellt auch die verschiedenen Ansätze vor, wie Krypto-Libraries das lösen. Highlight des Vortrags war allerdings, dass er einen 5-Zeilen-Patch für gcc gehackt hat, der beim Wegoptimieren von memset eine Warnung ausgibt, und damit mal OpenSSL und Kerberos kompiliert hat — und Warnungen kriegte! Oops.
Danach haben wir die Jung und Naiv Aufnahme gemacht (1 Stunde 15 Minuten Aufnahme und dann haben wir uns nochmal gefühlt eine Stunde festgeplaudert, das hätten wir Deppen auch mal aufnehmen sollen), und als das durch war, eilte ich zum Steini-Flashmob, der wie gesagt wunderschön war. Da stand auch eine Kamera, insofern hoffe ich, dass es eine Aufzeichnung gibt. Beim Congress laufen ja eh immer eine Menge tiefenentspannte, glückliche Menschen herum, aber nach dem Steini-Vortrag war das besonders auffällig :-)
Heute wollte ich eigentlich mit Microtargeting eröffnen, aber da hat mir der ÖPNV in Leipzig einen Strich durch die Rechnung gemacht. Die erste Tram fuhr mir vor der Nase weg. 10 Minuten warten. Die andere hielt 100m weiter hinten neben einem anderen Zug, und als die Leute da hineilten, machte der spontan die Türen zu und fuhr weg. 10 Minuten warten. Den nächsten Zug bekamen ich und die anderen verdutzten Fahrgäste dann, aber da war der Vortrag schon halb vorbei. Schade.
Der Fahrplan dieses Jahr hat mit verschiedenen Vortrags-Längen experimentiert, was leider ein paar Mal so richtig nach hinten losging. Nach dem djb-Vortrag gab es 0 Minuten Abstand zum Sonneborn, aber der war einmal über das Gelände (~10 Minuten Leute mit Skateboard/Roller oder für Sprinter, und ich bin weder noch). Daher habe ich dann den netzpolitischen Wetterbericht nicht gucken können, sonst hätte ich den Anfang von Let's reverse engineer the Universe verpasst. Der Vortrag war sehr schön, hat mir gut gefallen. Gut, war kein Steini-Vortrag, aber auf jeden Fall honorable mention. Die Vortragende war auf jeden Fall sehr enthusiastisch und hat auch ein hohes Niveau durchgehalten, ohne dabei Zuschauer zu verlieren. Sehr schön, kann ich empfehlen.
Dann lief ich zu den Security Nightmares rüber, wo schon 45 Minuten vor dem Talk das Parkett weitgehend vollbesetzt war. Heilige Scheiße. Um den Zug zu kriegen, musste ich dann leider recht überpünktlich raus und habe das Ende nicht mitgekriegt. Insgesamt habe ich aber aus früheren Jahren die Zuschauerinteraktion als größer in Erinnerung. Eher so ein Dauer-Q&A und die Vortragsfolien nur als Themen-Vorgabe und Assoziationshilfe. Gut, ich war auch echt durch und müde, insofern kann ich das jetzt nur unterdurchschnittlich objektiv beurteilen, aber es fühlte sich eher … langsam an? Zu langsam, fand ich. War ein bisschen die Luft raus. Aber dem Publikum gefiel es, und das ist ja was zählt.
In der Tram hörte ich dann den Kritikpunkt am Congress, der sei zu seicht geworden, zu wenig harte Tech-Talks. Das hört man seit ich beim Congress dabei bin, und das sind jetzt über 20 Jahre. Ich halte das für eine kognitive Illusion. Erstens entwickelt ihr euch als Publikum weiter, das verschiebt eure Anspruchshaltung. Zweitens erinnert ihr euch nicht an alle Vorträge sondern an die "guten", und in eurem Gedächtnis ist der Vergleichsrahmen dann "alle Vorträge dieses Jahr" und "die guten Vorträge letztes Jahr". Ich kann euch versichern: Die Tech-Talks auf den Congressen waren nicht immer alle "hart". Ich weiß das, denn ich habe einige von ihnen gehalten. Guckt euch nur mal meinen Routing-Vortrag aus dem Jahre 2000 an. Der würde heute auch nicht als "hart" durchgehen, eher als strukturierte Einführung. Bitte guckt ihn euch nicht zu genau an, ich war jung und wusste viel weniger :-)
Aber, nochmal, dass es früher nur voll die krassen Ultra-Tech-Talks gab, das ist glaube ich eine Illusion.
Was ja nicht heißt, dass man sich nicht für die Zukunft mehr davon wünschen könnte. Dem würde ich aber entgegenhalten wollen, dass es so schon praktisch unmöglich ist, sich einen konfliktfreien Pfad mit allen Tech-Talks durch den Fahrplan zu suchen. Und sobald man sich auch für Science oder Politik interessiert, ist es ganz vorbei.
Mich hat eher die Ausrichtung der Tech-Talks ein bisschen gestört dieses Mal. Das ist aber nicht Congress-spezifisch, sondern bei fast allen Security-Konferenzen so. Praktisch alle Security-Vorträge sind über offensive Dinge. Wie man A hackt, wie man B hackt, Angriffe auf C, VM-Ausbruch bei D, alles kaputt, alles im Eimer. Aber die Vorträge, die mal Strategien zu entwickeln versuchen, was man denn besser machen könnte, die sind völlig unterrepräsentiert. Auf diesem Congress gab es ein paar. Ich würde memsad dazu zählen wollen, und es gab ein paar Talks über formale Verifikation von Code. Das habe ich immer negativ gesehen, mit dem Argument, dass die Verifikation mindestens genau so komplex wie der zu verifizierende Code wird, und der ist schon zu komplex, sonst bräuchten wir ja die Verifikation nicht. Aber im Quantenkrypto-Vortrag von djb und Tanja Lange meinte djb gegen Ende, dass er da seine Meinung geändert hat, weil die Tools so viel besser geworden sind. Da muss ich also auch nochmal genauer hingucken, ob ich meine Einstellung ändern muss.
Jedenfalls: Wenn man da am Tech-Programm was tun sollte, meiner Ansicht nach, dann wäre es: Mehr defensive Sicherheit. Das ist ironischerweise genau das, was der CCC immer der Bundesregierung vorhält, dass sie alle ihre Mittel in offensive Security steckt und nicht in defensive. Nun, äh, wie wäre es, wenn der Club da mit gutem Beispiel vorangeht?