Netzgeflüster: 3 Bits and Pieces zu … KringleCon, Log4j, Informatik in der Schule

Posted by in Informatik, Netzgeflüster

Meine „Bits und Pieces“ sind eigentlich nur mein Senf zu aktuellen Themen, derer es keinen vollständigen Artikel bedarf. Meist haben andere schon wahnsinnig viel darüber geschrieben. Gerade die drei Bits und Pieces bilden quasi eine Assoziationskette oder roten Faden zu einer Erkenntnis, wenn man so will. Heute geht es um die zukünftigen Herausforderungen der IT.

KringleCon und Holiday Hack Challenge

In meinem Blogventskalender-Beitrag zu Geek-Weihnachten und wie man sich die Feiertage mit CTFs usw. vertreiben kann, habe ich schon mal die Holiday Hack Challenge erwähnt. Allerdings musste ich auch gestehen, dass ich an denen bisher selber nicht teilgenommen habe, sondern nur von anderen weiß, dass sie cool sind. Zwischen den Feiertagen habe ich nun aber mal endlich die Gelegenheit genutzt und an der KringleCon teilgenommen. Die bietet Videos an, die für Cybersecurity und IT-Themen sensibilisieren. Obwohl oder gerade weil die KringleCon frei zugänglich und kostenfrei ist, kann man das wohl als Win-Win für die Teilnehmer*innen wie auch den Initiator sehen. Das SANS Institut bietet nämlich Cybersecurity und Pen-Testing-Trainings an.

Wie ist die KringleCon jetzt so? Eine vollwertige, digitale Konferenz, deren Panels man auf Youtube in angenehm kurzen Vorträgen sehen kann. Die Beiträge greifen Themen auf, welche auch in der Holiday Hack Challenge adressiert werden. Somit greift alles wunderbar ineinander. Das Rundumpaket ist ein Erlebnis zum Lernen und Anwenden. Bei der Holiday Hack Challenge selber bekam man 2021 eine In-Browser-Umgebung im Stile eines RPG und einer witzig gestalteten Welt rund um Santa und den Nordpol. Da bewegt man sich also von Challenge zu Challenge. Es gibt NPCs, die nützliche Tipps geben und wenn man will, kann man mit anderen Teilnehmenden chatten. Die Challenges sind angenehm gamifiziert und bieten einen erzählerischen Rahmen, der sich ganz schön zu einem großen Ganzen fügt. In den Challenges muss man ein bisschen Open Source Intelligence anwenden, greppen, sich mit Log4j auseinandersetzen und Lücken in bereitgestellten APIs mit Konsolenmagie finden.

Besonders cool fand ich, dass man nichts vorbereiten muss und sofort anfangen kann. Keine VM, keine extra Umgebungen schaffen, keine Tools installieren. Alles findet in Konsolen in-Browser statt auf Umgebungen, die extra dafür vorbereitet wurden. Klar: je nach Auslastung hat man schon mal die Verbindung verloren, aber ich habe nur mal einen winzigen Fortschritt verloren, über den ich nicht weinen muss. Cool und angemessen fand ich auch, dass sie aktuelle Themen wie die Log4j Vulnerability aufgegriffen haben, obwohl das bestimmt last minute war. Einziger Kritikpunkt ist, dass bei der Challenge über Open Source Intelligence gar keine sozialen Netze involviert waren, was ich eigentlich auch als „Bewusstmacher“ nett gefunden hätte. Also: große Empfehlung für alle, die Lust haben, mal etwas tiefer in Pen-Testing und derlei Themen einzusteigen. Ein bisschen Kenntnisse mit Standard Konsolenbefehlen sind aber empfehlenswert. Damit meine ich Klassiker wie Navigation durch Ordner, Editor bedienen; Prozesse starten, anzeigen lassen und killen, grep, etc. Den Rest kann man ergoogeln.


„Prof. Qwerty Petabyte, Log4j Vulnerability Response | KringleCon 2021“, via KringleCon (Youtube)

Log4j Vulnerability, OpenSource und Umdenken in IT

Wie oben erwähnt und wie man auch dem Video entnehmen kann, hat sich die KringleCon auch der Log4j-Sicherheitslücke angenommen. Log4j ist eine sehr populäre Library für das protokollieren von Ereignissen, die während der Ausführung von Code anfallen. Wer jetzt nur „???“ versteht: es werden halt alle möglichen Informationen während des Betriebs einer App in ein „Log“ geschrieben. Hatte wer von euch schon mal mit Support zutun oder hat „Ereignisbereichte“ von Apps, Windows, etc weggeschickt, dann waren das höchstwahrscheinlich Logs, die ihr weggeschickt habt, damit der Support darin lesen kann, welche Fehler aufgetreten sind. Oder wenn ihr mal in Ordnern von Software rumnavigiert, stolpert ihr sicher mal über logs. Nun kann Log4j eine ganze Menge und ist quasi ein Standard, den jeder kennt, der in der Welt der Java-Programmierung unterwegs ist. Dementsprechend läuft Log4j auf unfassbar vielen Systemen, die nun einer herben Sicherheitslücke unterliegen. Da die im Dezember bekannt wurde, hatten viele Softwareentwickler relative unentspannte Tage vor Weihnachten und dem Jahreswechsel um die zu fixen, zu umgehen, was auch immer. Da sind sicherlich einige Urlaube aus- und Nachtschichten angefallen. Nicht bei mir glücklicherweise… .

Das hier wird kein Artikel darüber wie man das Problem fixt, darüber gibt es offizielle Guidances von Log4j, die allgemeine Berichterstattung und auch in dem Video eine Stellungnahme. Viel mehr hat die Berichterstattung in mir ein paar Gedanken ausgelöst. Zum Einen war es traurig zu sehen wieviel Hass den Entwickler*innen von Log4j entgegen schlug. Log4j ist OpenSource und hat daher offensichtlich limitierte Einnahmequellen. Bekommen die Kohle? Ich weiß es nicht, vielleicht durch Spenden. Open Source: Man stelle sich vor das sind Freiwillige, die aus persönlichem Interesse etwas entwickeln, dass Hunderttausende benutzen, eben weil es kostenfrei ist. Den Source Code haben sie möglicherweise nie angeschaut und bellen nun, dass es Sicherheitslücken gibt. Wie traurig ist das bitte? Einige Denkanstöße zu dem Thema gibt auch Heise in dem Artikel Log4j – warum Open Source kaputt ist vom 05.01.22.

Neben der Einstellung gegenüber Open Source ist mir aber auch die offizielle Berichterstattung sauer aufgestoßen. Log4j hat es tatsächlich im Dezember bis in die normalen Fernsehnachrichten geschafft. Seht es mir nach, aber ich war etwas peinlich berührt, dass dort von „log vier jott“ gesprochen wurde. Was niemand so nennt. Noch schlimmer – es gibt geteilte Meinungen darüber, aber bleiben wir mal beim englischen Sprech. Es ist normal, dass Fachfremde Fachbegriffe möglicherweise nicht richtig aussprechen, aber wie ist das mit der Recherche? Das gibt eben leider auch wieder wie hilflos wir Menschen allgemein gegenüber so spezifischen wissenschaftlichen (Covid, Impfung) und technischen Themen (Log4j) sind. Wie wichtig es ist, dass die Themen angemessen kommuniziert werden, damit sie verstanden werden. Weiß die Allgemeinheit nun, dass dringend Updates der App und Software gemacht werden sollten? Mmmmmh? Oder verschwimmt die Berichterstattung als „ich weiß auch nicht genau was da war, aber ja, da war irgendwas“?

Informatik in der Schule

Nun fragt man sich: wie fixt man das? Vielleicht mache ich es mir zu leicht zu sagen: Informatik gehört in der Schule auf den Lehrplan. Damit meine ich nicht Textbearbeitungsprogramme wie Microsoft Word bedienen zu können oder eine Tabellenkalkulation, sondern für ein grundlegendes Verständnis von IT zu sorgen. Das wird wichtig und wichtiger werden müssen. Software wird komplexer. Mehr und mehr Technologien spielen in den Tech Stack moderner Softwareentwicklung. Und die beeinflusst das Leben vieler, v.A. wenn was nicht geht oder Sicherheitslücken hat, die mit unseren Daten jonglieren. Natürlich sagt das jeder aus jedem Fachbereich – das ist wichtig, das auch, das muss auf den Lehrplan. Vielleicht klingt das für viele übergeschnappt, dass ich mir objektorientierte Programmierung und Regex auf dem Lehrplan wünsche, vielleicht auch oben besagte Konsolenmagie. Aber … haben wir eine Wahl? Was, wenn Software bald unsere kognitiven Fähigkeite übersteigt und Vulnerabilities gesät werden, weil keine Kapazitäten da sind, diese zu fixen? Software zu durchdenken?

despair

Ist das ein Rant? Es ist nicht als solcher angedacht, sondern mehr eine Beobachtung. Ich engagiere mich gern in der Nachwuchsförderung und habe mit Lehrer*innen und Schüler*innen zutun, die es katastrophal und blöde finden, dass sie tatsächlich keinen oder quasi keinen Informatikunterricht haben. Die Gründe dafür sind vielfältig. Auf anderen Schulen läuft das anders, klar. Auch ich kenne die Gründe dafür nicht, warum manche Leute (ich) in ihrer Sekundarstufe II programmieren gelernt haben und andere nicht ein einziges Mal Informatikunterricht hatten. Aber das scheint mir doch ein Problem zu sein. Mir ist auch klar, dass viele Menschen IT ganz wunderbar ohne die Schule lernen. Vielleicht liegt die Lösung wo anders? Was ist eure Meinung?

Netzgeflüster ist eine Kategorie meines Blogs in der ich mich immer zwischen dem 10. und 15. eines jedes Monats Themen aus IT, Forschung, Netzwelt und Internet widme genauso wie Spaß rund um die Arbeit mit Bits und Bytes. 🙂