Why2025, Tag 4 ff., CISOs, Pr0n, Mond und Selbsterkenntnis

Die letzten Tage sind angebrochen und nach dem Blog hier werden wir wohl abbauen, WHY2025 war mir bislang ein Fest, 10/10 gerne wieder. Der Tag begann mit einer Unterhaltung mit unseren angenehmen Nachbarn aus Manhattan, wie sich das Interesse an ihren LED-Kunstwerken entwickele. Ja nun, sie seien noch am Bugfixen. Ich halte mich für einen normal introvertierten Nerd, im Nachhinein komme ich mir ein wenig eskalierend vor, aber ich hielt einen Kurzvortrag zu SEO-Basics der Art „es gibt Seiten, die zu Begriffen deswegen nicht gefunden werden, weil die Begriffe schlicht nicht vorkommen“ und man vergesse solche Basics leicht, wenn man zwei Schritte weiter am Denken sei, aber sie müssten
a) ihr Zelt aufmachen und
b) ihren Kram irgendwo hinstellen, wo man ihn sieht.

Gesagt, getan, wir wurden aktiv, ein vorbeikommender Nachbar wurde direkt neugierig, wir erklärten ihm die stattfindende Zeltöffnung und er brachte spontan einen Labelprinter vorbei, weil natürlich hat irgendwer nebenan einen Labelprinter dabei. Als alles gut aussah, machte ich mich auf zum CISO-Trollen, denn auch ich kriege manchmal dienstlich Phishing-Testmails und wenn Bugblue himself da zum Trollen rät, muss ich mir das ansehen.

Warum soll man CISO-Phishingkram trollen? Und wie behält man seinen Job dabei? waren die Fragestellungen und die starke These dahinter, dass Phishing-Simulationen ethisch und lerntechnisch scheiße seien. Tenor des Vortrags: machts clever und humorvoll und fragt im Zweifel vorher. Aber dann könne man durchaus über Outlook-Regeln anhand vergangener Phishingmails mal schauen, was die Kennzeichen sind (Dienstleister, Routing, whatever) und darauf nen Autoreply mit revengephishing-Inhalt oder einfach einem „Nice try“-Gruß schicken. Mit gophish gebe es eh auch ein open source-phishing Framework, man solle nur dabei bedenken, dass es grundsätzlich extrem einfach ist, Kollegen zu phishen – schlicht, weil man interne Prozesse kennt und passend Anfragen, Infos, whatever versenden kann.

Detail am Rande: man könne nach Phishingtest-Zielseiten suchen, die seien oft genug aus dem öffentlichen Netz erreichbar und wohl bei Unternehmen wie auch staatlichen Stellen zu finden. Sagen wir so: wenn du deinem CISO sagst, er habe sich phishen lassen, ist das witzig. Aber richtig cool wirds erst, wenn das die staatliche Stelle X feststellt oder gar jemand von der Seite des Wettbewerbers Y auf obligatorische interne Schulungsprogramme hingewiesen wird. Amüsant, keine richtigen Schenkelklopfer, aber wahrscheinlich sinnvolle Realitätssynchronisation.

Anschließend kam ich zurück zum Zelt und von nebenan wurde mir mitgeteilt, es gäbe nun vier mit debuggende Betatester für den Dodecahedron, weiter seien ne Portion Kits unters Volk gebracht worden. Und wie erstaunlich es sei, dass Leute kommen, wenn man das Zelt aufmacht. Alle zufrieden, Tag verlief prima. Es gab dann noch ne Einladung nach Manhattan, aber ich fürchte, wir treffen uns erst auf dem CCCamp wieder.

Sonstige Gedanken

Gefühlt gabs ab Tag 3 viel Kritik zu mehreren Anlässen im Netz – bei Orga/Infra die Trinkwasserfreigabe und ein paar Securityfails, deftiger die Badge-Situation. Das kann ich nachvollziehen, weniger Badges als Tickets ist so mittel, und dass ein Großteil der Kommunikation via Signal lief, obwohls ein Wiki mit einer (irgendwann auch ansatzweise gepflegten) Badge-Seite gab, ist an sich so nobrainer-Nogo, ich verstehs nicht.

Die Batteriekiste… ich kann mir nicht helfen, es ist ein Hackercamp und wir spielen mit viel nicht für Endkunden gedachten Konstruktionen rum, man kann sich auch anstellen. Zu guter Letzt die (hier nicht abwertend gemeinten) Kleinigkeiten: keine Blinkenlichtenwarnings für Epileptiker, unmarkierte Abspannseile, etwas Kabelwildwuchs auf Gehstrecken, es gab einige dramatische Stolperer. Da seh ich das Abwägen zwischen „Leute bedienen sich ihres Verstandes und sind exzellent zueinander“ und einem Heer autoritärer Engel, die bei Fehlverhalten ermahnen. Ich kenn beides, kann mit der hier vorhandenen Balance gut leben, seh da aber in alle Richtungen Spielraum und die Verantwortung nicht bei der Orga, nicht wegdiffundiert, sondern halt überall.

Es gab wieder Porn!

Ich beklagte ja ausführlich die Pornsituation auf vergangenen Veranstaltungen, und jemand muss mich gehört haben, es gab Porn!

Ich freute mich, zwei Tage später erinnerte ich mich an irgend ein Verzeichnis mit OnlyFans-Rips und dachte, ach, da hattest du doch mal ein Forschungsprojekt (JA, FORSCHUNGSPROJEKT!), zieh die dir vielleicht doch mal. Fand sie nicht wieder. Tragisch, aber verkraftbar, ich ahne, dass ich irgendwann mal irgendwas zu Furryporn schreiben will und dann dran denke, dass ich auf der WHY beim OnlyFans-Porn-Suchen Furryporn gefunden und auch nicht runtergeladen habe, aber das soll die Sorge von Zukunftsruppsel sein.

Ernsteres Thema, das einzige, das mich auf dem Camp nun tatsächlich ein wenig aus der Bahn warf: im Zuge der Recherche stieß ich irgendwo vergraben auf ein „actual child porn“-Verzeichnis in einem der offenen „Upload“-Ordner. Autsch. Ich bin nicht gewohnt, auf solchen Veranstaltungen zweimal nachzudenken, bevor man wo reinschaut, aber da dachte ich zweimal nach. Nur Verzeichnis sollte ja gehen. Stellte sich raus, waren „nur“ Textfiles, die enthielten aber durchaus authentisch wirkende Torrent/Magnet-Links zu einschlägigen Files. Es fühlte sich alles sehr falsch an, ergo schaute ich, wo die Kiste stehen könnte, stiefelte hin und sagte Bescheid. Hmjanun, sie machten da eh alles direkt platt zum Abbau, und der sei morgen. Und Danke für den Hinweis. Etwas schwieriges Gespräch, nichtsdestoweniger, ich schaute später nach, alles gelöscht.

An sich alles gut, oder? Melden, löschen, so solls eigentich sein. Ich ahne, dass hier eher die Klientel rumsitzt, die mal sagt „Lass mal gucken, ob wir Leecher-IPs tracken können“, dachte auch über die Optionen zweifellos anwesender Strafverfolger nach, mit solchen Files die nächsten Honeypots zu bauen, ich komm aber immer beim Fazit raus, dass das teils schlicht schlechte Ideen sind bzw. es dafür bessere Kanäle als einen PubFTP auf dem Camp geben sollte.

Aber zurück zum erfreulichen. Ferndiagnose der Schwiegereltern war, dass bei uns offenbar alles ganz hervorragend organisiert war. Ich würde das Urteil mit Vorsicht genießen, Anlass war aber erfreuliches: der Akku des iPhones der Teuersten gab seinen Geist auf, behauptete standhaft, 0% Aufladung sei das erreichbare Maximum, womit eben maximal zwei Minuten Betriebsdauer vor Reboot drin wären. Wir hatten am gleichen Tag unbürokratisch ein Siemens-Ersatzgerät bekommen, das notwendigste eingerichtet und nun, läuft hier. Überhaupt, allenthalben gigantische Hilfsbereitschaft und gern geteilte Freude an allem möglichen, es ist einfach fein.

Weitere Details am Rande

Es gab wieder ein (Spiele-) Computermuseum mit ein paar allerliebsten Schätzchen, und eine Arcade, die meinem Dafürhalten extrem japanisch ausfiel. Inclusive Battlemech-Gameautomaten und sehr seltsamen, vermuteten „Mach dich beliebt in deiner Peergroup mit coolen Skills“-Spielen, von denen man naturgemäß kein Wort Anleitungstext verstand.

Viel Musik/Rhythmus-Spielautomaten außerdem, und alles wieder ein wenig andere Welt als sonst so angetroffen und für mich damit vollkommen fein. Himmel, ich weiß ja nicht mal, wie es in einer modernen deutschen Arcade aussieht. Mir fehlen hier halt die Flipper, wenn sie nicht da sind, indessen, einer war da.

Da waren wir auch im Talk zum Thema, ob 70erJahre-Flipper in dem Sinne Rechner sind. Sie sind nun definitiv nicht turingvollständig, aber haben input, output, processing in Vollhardware und rudimentäre Speichersysteme für Bonuspunkte. Ich mag alten elektromechanischen Kram, beim Flipper selber looste ich schrecklich ab.

Außerdem: man lief gelegentlich an zwei recht fetten Teleskopen vorbei. Nett anfragen war wie immer eine hervorragende Idee, wir wurden auf den Abend zum Mondgucken eingeladen, potentiell auch Planeten, wenns Licht und Wolken hergäben. Es war dann der (dramatisch wolkenverhangene!) Mond, an Teilen der schlechten Wolken- und Lichtverhältnisse trugen wir wahrscheinlich gemeinsame Verantwortung.

Ein paar größere Bögen zum Abschluss

Es war eines meiner fauleren Camps im Sinne von „weniger gemacht, mehr gechillt und ein bisschen gegrübelt“. Ein Camp ist dann gut, wenn ich das Gefühl hab, ich kann Campspirit mitnehmen und ihn in Zukunft pflegen – sowas wie „Wenns dich interessiert, geh hin, mach was, beschäftige dich damit“, und „Für alles, was es gibt, gibt es wen, der weiß, wie es funktioniert und es dir gern erklärt“.

Das beschreibt einmal eine sehr angenehme und aktivierende Umgebung, das hat aber auch was von Empowerment und funktionierendem Gesellschaftsmodell. Selbstwirksamkeit, auch immer gern erwähnt, und dann natürlich das Gefühl, dass da ein großer chaotischer Haufen was wunderbares erschafft.

Das mitzunehmen, scheint mir eine Gute Sache(tm) und im Prinzip ists trivial, aber nichtsdestoweniger: mir hilfts gelegentlich. Ich würde soweit gehen zu sagen, da hat mich die Chaosbiografie auch einfach ein Stück weit geformt. Das kann ich mir selber schlecht zuschreiben, eher allen anderen Leuten in Umfeldern wie diesem hier, und dafür bin ich gelegentlich ein wenig dankbar, weils wahrscheinlich mehr zum persönlich Besseren verändert, als man vielleicht denkt.

Etwas kleinkarierter: es ist unter diesen Umständen interessant zu beobachten, was man machen will, und wo die Frustrationstoleranz dann doch erstmal niedrig bleibt. Die LED-Anzeigenlöterei letztens wäre unter anderen Umständen vielleicht einfach nervig gewesen, hier wars ein „Ich will, dass man hier ein paar Sachen sehen kann“-Ding und zog mich direkt in den Tunnel. Nachdem wir unsere Blinkenstripes zuerst über den Serial geflasht bekamen und es tags drauf mit exakt demseelben Setup nicht mehr ging – eigentlich hätte man nur ein Zelt weiter gemusst und ein paar Leute anquatschen, man hätte wohl die Flasherei an den Start gebracht und ich hätte noch was gelernt dabei, aber nein, ging überhaupt nicht. Ich weiß nicht, wieso, aber ich beobachte interessiert.

Hauptsache indessen: das Nebelmaschinen-Wildschweinsetup ist nach mehreren Iterationen nun stabil und hitzeresistent. Wir planen die Tiervermehrung aufs CCCamp. Bis dahin!