Interview Mario Heiderich über GNUCITIZEN und das House of Hackers

Das House of Hackers ist eine "Social Community" für "Hacker", die als neues Projekt der sogenannten GNUCITIZEN gestartet wurde. Die GNUCITIZEN bezeichnen sich selbst als Think Tank, mit dem Ziel, den Begriff des Hackens aus der Grauzone zu holen, und IT-Sicherheitspezfische Projekte zu stemmen. Ihr neues Projekt dem "House of Hackers" als Web 2.0 Communty ist ein neues Projekt, das in diesem Umfeld ein interessantes Experiment darstellen dürfte. Als ein Teil der GNUCITIZEN stand uns Mario Heiderich uns dankenswerterweise Rede und Antwort in Bezug auf die GNUCITIZEN im Allgemeinen, wie dem "House of Hackers" im Speziellen.

 

1. Wer sind die GNUCITIZEN, wie seid ihr organisiert und von wo aus?

GNUCITIZEN besteht im Wesentlichen aus vier Mitgliedern - meiner Wenigkeit als einzigem Deutschen, Petko (pdp) - dem Gründer, Adrian (ap) - einem erfahrenen Pen-Tester und Ivana (ink) - einer PR Expertin die im Bereich Black-PR aktiv zu sein scheint - aber wenig von ihrer Arbeit preisgeben darf. Alle drei leben derzeit in Großbritannien. Die GNUCITIZEN Headquarters befinden sich in London - den Kontakt über den Kanal hinweg halten wir per Mail/unregelmässigen Treffen und über geschlossene Gruppen in denen langwierigere Angelegenheiten diskutiert werden.

2. Seit wann gibt es de GNUCITIZEN und welches war der Beweggrund, das Projekt zu starten?

GNUCITIZEN wurde 2005 von pdp gegründet. Intention war eine Plattform zu bilden, auf der dem Begriff des Hackens einerseits der kriminelle Touch genommen wird, ohne andererseits den Faktor Coolness dabei aus den Augen zu verlieren. Viele andere Foren und Diskussionsgruppen aus dem Bereich sind schon nach kurzer Zeit entweder ausgestorben oder völlig im SPAM ertrunken - daher ist die Mitgliederzahl klein und die Auswahl hand-picked. Prinzipiell ist es aber jedem Mitglied selber überlassen welche Inhalte es kommunizieren will - solange allen in einem fairen und dem Team zuträglichen Kontext bleibt. Ich bin 2007 dazu gestoßen und habe hauptsächlich Artikel und Posts für Developer veröffentlicht - und mich weniger auf Exploits konzentriert.

3. Ihr macht eine Reihe von Projekten. Welches ist der rote Faden, der die Projekte zusammenhält, und welche Rolle wird euer "House of Hackers" darin spielen?

House of Hackers ist ein Projekt von vielen - aber ein in meinen Augen besonders wichtiges, da es unser erster Ansatz ist eine echte Community aufzubauen. Ich bin persönlich sehr überrascht über den schnellen Erfolg des Projekts - sowohl die Mitgliederzahlen als auch die Press Coverage übertrafen zumindest meine Erwartungen. Es ist zwar schade, dass die Plattform so dermaßen unsicher ist - immerhin fanden sich nach zwei Tagen mehr als drei potenzielle Einstiegspunkte für einen Wurm-Angriff - aber wir arbeiten mit den Leuten von ning.com daran.

Welche Rolle die Plattform tatsächlich in den nächsten Wochen und Monaten mal spielen wird, weiß ich nicht - und ich finde es derzeit auch viel spannender einfach zu beobachten und daraus Ideen abzuleiten, als das Ganze plangerecht in eine bestimmte Richtung zu treiben. Um was es auf der Plattform geht, ist ja im Introtext von Petko klar dargestellt worden - jetzt kommt es drauf an was jeder für sich selber oder als Team draus macht.

4. Auf eurer Webseite habe ich gelesen, dass fast alle Mitglieder der GNUCITIZEN als IT-Sicherheitsexperten arbeiten. Ist das richtig so? Welche Aufgaben übernehmt ihr da? Wie sieht so ein Tagesablauf eines GNUCITIZEN aus?

Ja - ich kenne den genauen Arbeitsablauf der anderen GNUCITIZENs nicht im Detail. Die meisten arbeiten bei größeren IT Security Firmen in Großbritannien. Ich selbst arbeite als CSO und Entwickler für eine Kölner Performance-Marketing Firma. Mein Arbeitsalltag besteht im Wesentlichen aus Entwicklungsarbeit, Kontrollen der Logs des PHPIDS, welches auf unseren Servern läuft, kleineren Miniaudits, wenn neue Features releast werden und größeren Audits, wenn mehrere Entwicklungs-Sprints abgeschlossen wurden. Wenn zwischendurch mal ein wenig Zeit ist, darf es auch ein wenig Research sein - oder einfach nur kleinere Tests mit den anderen Geräten, die bei uns im Netz hängen. An den Wochenenden geht's mit der Arbeit an einem in nicht allzu ferner Zukunft erscheinenden Buch - needless to say welches Thema - weiter - und je nach Auftragslage mit Audits für andere Firmen.

5. Wie ist die Verbindung der GNUCITIZEN zu den anderen Projekte wie Hakiri oder SpinHunters?

SpinHunters ist Ivanas Bereich - dort dreht es sich hauptsächlich um PR und potenzielle Angriffsmuster auf diesem Sektor. Hakiri ist mehr oder weniger der Lifestyle-Part des ganzen Auftritts. Von beiden Projekten bekomme ich persönlich eher wenig mit, da ich in anderen Bereichen aktiv bin - daher die eher knappe Antwort.

6. Wenn ihr Hacken propariert, ist damit zu rechnen, dass über kurz oder lang Cracker- und Warez-Kids in eurem "House of Hackers" landen. Welches Konzept habt ihr dagegen?

Erstmal abwarten wie sich der Ansturm entwickelt. Ich denke nicht dass sich die Warez-Szene auf unsere Seiten verirren wird - und ich denke auch nicht dass die Einstellung seitens der anderen User besonders positiv gegenüber einer solchen Entwicklung wäre. An einem Social Network wie Ning ist ja das Angenehme, dass vieles transparent und offen ist - und ich denke derlei Klimazonen sind für die Cracker-Szene weniger interessant. Zudem haben die meisten Kids bereits ihre Channels und Foren und brauchen bestimmt keine Web2.0 Plattform zum Austauschen von was auch immer man in den Szenen so austauscht. Weiterhin geht es bei HoH ja nicht um das blinde Propagieren verantwortungslosen "Hackens" - die Plattform versteht sich eher als Schnittstelle zwischen ambitionierten und ethischen Hackern zur Industrie. Ich denke es wird sich schnell zeigen, welche Art von Herangehensweise sich diesbezüglich durchsetzen wird.

Man sollte sich auch immer Fragen, was der Begriff Hacken eigentlich bedeutet - und warum er oft in einen derart zweilichten Kontext gerückt wird. Für mich existiert der Terminus eigentlich fast gar nicht - und ich würde mich auch keineswegs als Hacker bezeichnen - eher als Entwickler mit großem Interesse daran, die Technologien, die ich einsetzte, wirklich zu kennen - klar das aus diesem Antrieb ständig der Fund von Sicherheitslücken resultiert. Jeder andere kann ebendiese Frage natürlich für sich selbst beantworten - und dementsprechend auf der Plattform agieren und Feedback sammeln. Also - to cut things short - wenn die Warzes/Cracker Szene sich bei uns einnistet ist es eher eine Frate, wie der Rest der Community darauf reagiert als welches Konzept wir dagegen entwickelt hätten. Die Erfahrung hat ja auch gezeigt, dass in Foren wie sla.ckers.org recht schnell klar ist, wer erwünscht ist und wer nicht.

7. Würdest du selbst etwas von den "GNUCITIZEN" oder dem "House of Hackers" besonders hervorheben?

An GNUCITIZEN hat mich persönlich immer fasziniert, dass viele Dinge einfach anders angegangen werden - sei es im Wording der Artikel, sei es in der Architektur der

Projekte und den Themen in den Papers. Ich habe in den letzten Monaten und Jahren in der Zusammenarbeit mit Petko und den anderen auf jeden Fall eine Menge gelernt - und auch neue Sichtweisen gewonnen. Gerade in Bezug auf infrastrukturelle und semantische Aspekte des Web2.0, Möglichkeiten für Wurmautoren die Services des Web2.0 zu nutzen, Möglichkeiten zur Defensive etc. etc. Daher finde ich die Bezeichnung Think-Tank durchaus valide - und da das ganze ohne Druck und mit großem Spaßsfaktor abläuft bin ich sehr gespannt, ob sich diese Stimmung mittelfristig auch auf HoH übertragen wird.

8. Gibt es eine Verbindung zwischen dem Namen "GNUCITIZEN" und dem p2p-Netzwerk Gnutella?

Nope - weder mit Filesharing noch mit GNU hat das ganze was zu tun. Die Bedeutung lässt sich eher mit Hilfe des Begriffes Genuine herleiten.

9. Zum Abschluss noch: Drei kurze Gründe, warum man eurem Netzwerk beitreten soll.

Socializing, Learning, Fun - und nicht zu vergessen eine große Freiheit bezüglich der Möglichkeiten, wie man seine eigenen Ziele auf der Plattform umsetzen kann. HoH ist schließlich kein Forum und keine Diksussionsgruppe sondern ein mittlerweile recht komplexes Geflecht aus Features - und weiterhin im Wachstum begriffen. Die Finanzspritze von 60 Millionen, die Ning kürzlich gesetzt bekam, wird sich ja höchstwahrscheinlich auch irgendwo bemerkbar machen - und sei es erst mal durch das Schließen der reporteten Sicherheitslücken.

10. Zum Schluss ein paar Angaben zu deiner Person.

Ich bin 26 Jahre, hab einst Medieninformatik studiert und wohne derzeit in Köln und arbeite als Entwickler und CSO für ein Performance-Marketing Unternehmen und freiberuflicher Sicherheitsberater für Webapplikationen - ebenfalls in Köln. Man kann mich hin und wieder auf den Entwicklertreffen in Köln oder auf Konferenzen in ganz Europa treffen - sowohl als Speaker als auch als Zuhörer. In meiner Freizeit versuche ich ein bisschen Sonne abzubekommen und die letzten Seiten von unserem Buchprojekt zu packen - bald ist Abgabe und es fehlen noch ca. 100 Seiten. Ansonsten bin ich mit der Pflege verschiedener kleiner Projekte beschäftigt - dazu gehören das PHPIDS, CRSFx und andere Tools mit denen PHP Developer ihre Applikationen sicherer machen können.

Ansosten beschäftige ich mich viel mit Client-seitigen Technologien im Bereich Webdevelopment - interessiere mich sehr für JavaScript und den Weg, den die Sprache geht und noch gehen wird und habe in letzter Zeit angefangen, mal etwas tiefer in die CSS3 Spezifikations-Drafts reinzuschauen.

• Kommentar schreiben