Die Defcon ist eine große Konferenz in den USA zum Thema IT-Sicherheit, Hacking und ähnlichem. Alljährlich sollen dort angeblich die gefährlichsten und besten Hacker auf engstem Raum versammelt sein. In ihrem Buch „Hacker Stories“ sprechen die Autoren des Syngress-Teams auch davon, dass dort die meisten Ermittler eben jene Personengruppe auf engstem Raum versammelt seien.
Im Vorfeld dieser Konferenz gibt es jedes Jahr einige interssante Ankündigungen, Steckbriefe werden erneuert und Schweigegelder gezahlt. Das gehört anscheinend zum „normalen“ Grundrauschen rund um diese Veranstaltung. Doch dieses Jahr gibt es einen Peak in diesem Rauschen: Nach einer 45-minütigen Anhörung beschloss der ehrenwerte U.S. District Judge George O’Toole Jr. eine einstweilige Verfügung auszusprechen, dernach die drei MIT-Studenten Alessandro Chiesa, R.J. Ryan, and Zack Anderson ihre Ergebnisse über ein Sicherheitsproblem bei den Dauerkarten der Bostoner Verkehrsbetriebe nicht offenlegen dürfen, bis er am kommenden Dienstag in der Sache weitere Fakten sichten würde. Somit haben die Antragsteller ihr Ziel erreicht, die Präsentation darf nicht stattfinden.
Was niemanden daran hindern sollte, sich die Unterlagen zur Präsentation herunterzuladen und anzusehen: Die Päsentation gibt’s hier. Irgendwie muss da jemand vergessen haben, den Webmaster mit zu verklagen…
So weit, so schlecht. Das ganze fußt auf dem ersten Zusatz zur Amerikanischen Verfassung, der eine Einschränkung der „Freedom of Speech“ – der Redefreiheit – zulässt, wenn bestimmte Bedingungen erfüllt sind. Diese zu prüfen dauert natürlich seine Zeit.
Der Casus knaktus scheint dabei nicht die Tatsache zu sein, dass diese Ergebnisse ein schlechtes Licht auf die Bostoner Verkehrsbetriebe werfen oder eine Anleitung darstellen, wie man mit 5 Cent Einsatz, einem Kartenleser für 100 Euro und ein wenig Geschick für 650 Dollar in Boston Bus fahren kann. Es ist vielmehr die Tatsache, dass die Präsenation als Commercial Speech angesehen werden kann. Und das ist das komplexe an der Sache: Ist die Defcon kommerziell? Ist sie einfach nur eine öffentliche Veranstaltung? Und wie ist der Vortrag als solcher innerhalb einer vermutlich als gemischt anzusehenden Veranstaltung einzuordnen.
Das ganze ist eigentlich nur aus juristischer Perspektive interessant. Ein Blick in die Präsentation beweist: Normales Cloning von Karten (gähn), überschreiben von Werten durch andere zur Veränderung des Kartenwertes (schnarch), ein wenig Social Engineering und eine allgemeingültige Äußerung über schlecht gemachte Verschlüsselung von RFID-Daten (naja, immer wieder lustig, diesen häufig gemachten Fehler zu finden…). Aber schon witzig, dass dieser Vortrag so einen Staub aufwirbelt. Mal schauen, was die Defcon sonst so bietet…