Chaos Computer Club - archive feed

Eine wachsende Zahl von Menschen eignet sich ihre empfundene Abhängigkeit von digitaler Pornografie als mystischen Fetisch an – sie konsumieren ihren Konsum. Was ist Gooning, wie hat es sich entwickelt und was kann es uns über unser Verhältnis zu Medientechnologie im weiteren Sinn erzählen? Pornografie gilt als wichtiger Treiber von Digitalisierung. Ihre Nutzung ist damit auch ein kulturelles Labor digitaler Konsumgesellschaft - aber eines, über das relativ wenig gesprochen wird. Was genau machen Leute eigentlich mit Pornos? Wie Pornos konsumiert werden, gibt mehr als nur Aufschluss über den Stand dessen, was wir “Sexualität” nennen. Menschliches Begehren ist die wichtigste Ressource für technische Entwicklung schlechthin, und in den Lustfarmen der Pornokonsumindustrie findet dieser Zusammenhang nur einen besonders deutlichen Ausdruck. Dieser Vortrag erzählt die Geschichte einer relativ jungen Form digitalisierter Sexualität rund um Pornografiekonsum: Gooning. Er beschreibt, wie über die letzten zehn Jahre diese Form der Lust an sich selbst eine innige Verbindung mit digitalen Medien eingegangen ist. Und er nutzt dieses Beispiel, um eine weitere Geschichte zu erzählen: eine Geschichte über menschliche und vor allem männliche Körper, die nicht anders können, als das Neue zu begehren – selbst angesichts der unerwünschten Zukünfte, mit denen die technologisierte Welt, von der sie abhängig geworden sind, sie konfrontiert. Inhaltshinweis Themen: Sexualität, Sucht. Nacktheit im Bildmaterial ist verpixelt. Dennoch nicht empfohlen für Personen unter 18 Jahren. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/desiring-technology-ber-porno-abhngigkeit-und-fortschritt/

All challenges and achievements in creating a competitive time-trial AI in NFS:MW. 15 years ago, at the height of my eSports career, I uploaded an (unofficial) ESL record at Need for Speed: Most Wanted (2005) (NFS:MW) to Youtube. In the meantime Deep Reinforcement Learning became popular and ever since I have dreamt of creating a competitive AI for my favorite racing game of all time: NFS:MW. Now finally the time was right: The hardware is fast enough, good software is available, and Sony's AI research has proven the task is actually doable. Hence I thought: "How hard can it possibly be?". This talk will present in detail all challenges and achievements in creating a competitive time-trial AI in NFS:MW from scratch - including but not limited to - hacking of the game to create a custom API, building a custom (real-time) OpenAI gym environment, steering the game using a virtual controller, and finally successfully training an AI using the Soft-Actor-Critic algorithm. All code including the API is written in Python and is open source. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/a-competitive-time-trial-ai-for-need-for-speed-most-wanted-using-deep-reinforcement-learning/

Ein Talk über die Kommunikation ohne gesprochene oder geschriebene Sprache Kommunikation ist ja schon mit Worten manchmal schwierig - Wie ist das eigentlich, wenn man NICHT mit Worten kommunizieren kann? (Sei dies durch Sprachbarrieren, Psychische oder körperliche Beeinträchtigungen oder einfach nur aus Platzmangel) In diesem Talk werde ich mich auf eine ehrliche und hoffentlich auch etwas humoristische Art mit der Kommunikation mithilfe von Symbolen auseinandersetzen. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/instructions-unclear-ber-die-in-accessibility-von-symbolen/

For the seventh time, we'll present a colorful potpourri of nerdsniping topics: some of our favorite facts about computers, art, and the world! We draw a lot of inspiration from new and absurd ideas, and we'd like to share that enthusiasm with you! - [Vol. 1](https://blinry.org/operation-mindfuck/) (German) - [Vol. 2](https://blinry.org/operation-mindfuck-2/) (German) - [Vol. 3](https://blinry.org/operation-mindfuck-3/) (German) - [Vol. 4](https://blinry.org/operation-mindfuck-4/) (English) - [Vol. 5](https://blinry.org/operation-mindfuck-5/) (English) - [Vol. 6](https://blinry.org/operation-mindfuck-6/) (English) Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/operation-mindfuck-vol-7/

Raspberry Pi's RP2350 microcontroller introduced a multitude of new hardware security features over the RP2040, and included a Hacking Challenge which began at DEF CON to encourage researchers to find bugs. The challenge has been defeated and the chip is indeed vulnerable (in at least one way). This talk will cover the process of discovering this vulnerability, the method of exploiting it, and avenues for deducing more about the relevant low-level hardware behavior. The RP2350 security architecture involves several interconnected mechanisms which together provide authentication of code running on the chip, protected one-time-programmable storage, fine-grained control of debug features, and so on. An antifuse-based OTP memory serves as the root of trust of the system, and informs the configuration of ARM TrustZone as well as additional attack mitigations such as glitch detectors. Raspberry Pi even constructs an impressive, bespoke Redundancy Coprocessor (RCP), which hardens execution of boot ROM code on the Cortex-M33 cores with stack protection, data validation, and instruction latency randomization. Since there are many potential incorrect guesses to be made about where problems might lie, here I begin with the most fundamental features of the chip logic, including the reset process. Even small oversights at this level can entirely defeat sophisticated security efforts if higher-level mechanisms place complete trust in seemingly simple hardware operations. I show how cursory research into the design details of IP blocks used in the SoC can help inform an attack, and demonstrate the importance of fully testing new features which are built atop older IP. Ultimately, the significant amount of luck (or lack thereof) involved is a reminder of the need to meticulously understand and validate complex systems. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/hacking-the-rp2350/

IRIS (Infra-Red, *in situ*) is a technique for non-destructively inspecting the construction of a select but common type of chip. It can improve visibility into our hardware and provide supporting evidence of its correct construction, without desoldering chips or expensive analytical gear. This talk covers the theory behind IRIS, as well as some embodiments of the technique. I will also frame the relevance of IRIS in the face of various threat scenarios. Time permitting, I’ll also show how you can do it at home by peeking around a few chips as a demo. Do we really know what chips are inside our devices? To a first order, the answer is “no”. We can read the label printed on the chip's package, but most of us have no way to determine if the silicon actually matches what’s on the label. This lack of transparency has lead to much hand-wringing about the safety of our global supply chains, as chips zig-zag the globe on their way to our doorstep: each stop is an opportunity for bad actors to inject malicious hardware, and those of us without access to million-dollar analytical gear have no way of detecting this. IRIS (Infra-Red, *in situ*) is a technique I have been developing that aims to democratize the inspection of silicon. It turns out that for a select but fairly common type of chip - those in chip-scale packages - a simple modification to an off the shelf microscope camera can enable the visualization of micron-scale features within – without requiring any nasty chemicals or desoldering chips. I will also show how the basic everyday technique can be combined with a Jubilee 3D motion platform to create detailed, full-chip images. This talk will cover the basic theory behind the technique, and frame it in the context of several hypothetical threat scenarios that highlight its strengths and limitations. It is important to understand that IRIS is not a panacea for chip verification, but it is a significant step forward in improving transparency. I will also discuss its potential as a new tool for system designers who are serious about enabling user-level hardware verification. Finally, time permitting and equipment cooperating, I would like to share the simple pleasure of being able to take a peek inside the chips of some common mobile phone motherboards with a live demo. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/iris-non-destructive-inspection-of-silicon/

You've probably already heard the story: we got contracted to analyze a bunch of trains breaking down after being serviced by independent workshops. We reverse engineered them and found code which simulated failures when they detected servicing attempts. We presented our findings at 37C3… and then shit hit the fan. This talk will be an update about what happened since our 37C3 presentation. We’ll talk about: - Three parliamentary workgroup sessions with dirty bathroom photos on Newag’s offtopic slides, train operators revealing that they paid Newag more than 20k EUR for unlocking a single train, which Newag was able to unlock in 10 minutes, and at the same time saying that they don’t know anything about the locks. - 140-page lawsuits, accusing us of _copyright violation and unfair competition_ (sic!) with a lot of logical gymnastics. - How it’s like to repeatedly explain reverse engineering concepts to journalists. - 6 official investigations, two of them criminal. - New cases revealed since then (from different train operators). - and much more! Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/we-ve-not-been-trained-for-this-life-after-the-newag-drm-disclosure/

Was sind die fundamentalen Bestandteile der Materie, und wie interagieren sie miteinander? Die Teilchenphysik beschäftigt sich mit diesen grundlegenden Fragen und bildet die Basis unseres Verständnisses der Naturgesetze. In diesem Talk möchte ich euch einen Einstieg in die spannende Welt der Quarks, Leptonen und Bosonen geben. Ich werde die Grundlagen des Standardmodells der Teilchenphysik erklären, einen Einblick in Experimente wie den Large Hadron Collider (LHC) geben und zeigen, welche Rolle Teilchen wie das Higgs-Boson oder Neutrinos spielen. Der Fokus liegt darauf, die Teilchenphysik verständlich und anschaulich zu machen - ganz ohne Vorkenntnisse, aber mit viel Raum für Fragen. Dieser Talk richtet sich an alle, die mehr über die Grundbausteine der Materie und die Arbeit moderner Physiker:innen erfahren möchten. Egal ob Schüler:in, Student: in oder einfach nur Wissenschaftsinteressierte - hier seid ihr richtig! Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/einstieg-in-die-teilchenphysik/

Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/ultraschall-workshop/

How to remote-control (and build) the weirdest devices with Bluetooth Low Energy and no programming. Want to build a connected [soap bubble maker | water boiler | door lock | ...]? This talk briefly covers the basics of Bluetooth Low Energy, outlining the effort needed to implement such a technology with raw code. It then focuses on how to leverage said technology without getting your hands dirty by replacing programming with a bit of configuration, demonstrating the usage of the [BLEnky](https://structure.nullco.de/?node_id=66216cdb1a95fb4425f23212&token=3c55f7bb1de0e79c9020dbb09deac741df56fc5474825407abb94f96714ce134&focused_node=6622041d1a95fb4425f2323a) project for quick results. [Click here for many more examples](https://structure.nullco.de/?node_id=66216cdb1a95fb4425f23212&token=3c55f7bb1de0e79c9020dbb09deac741df56fc5474825407abb94f96714ce134&focused_node=6622041d1a95fb4425f2323a) Some notable projects will be described, as well as a live hack of some stupid gadget to make it "smart". Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/hardware-hacking-mit-bluetooth-low-energy/

Bewegungsdaten von 800.000 E-Autos sowie Kontaktinformationen zu den Besitzern standen ungeschützt im Netz. Sichtbar war, wer wann zu Hause parkt, beim BND oder vor dem Bordell. Welche Folgen hat es, wenn VW massenhaft Fahrzeug-, Bewegungs- und Diagnosedaten sammelt und den Schlüssel unter die Fußmatte legt? Was verraten Fahrzeugdaten über die Mobilität von Behörden, Ämtern, Ministerien, Lieferdiensten, Mietwagenfirmen, etc.? Wofür werden diese Daten überhaupt gesammelt? Wir zeigen Kurioses bis Bedenkliches - natürlich mit mehr Respekt für den Datenschutz, als diejenigen, die die Daten gesammelt haben. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/wir-wissen-wo-dein-auto-steht-volksdaten-von-volkswagen/

Custom silicon chips are black boxes that hold many secrets, like internal ROMs, security features and audio DSP algorithms. How does one start reverse engineer them? Let's look at the basics of silicon reverse engineering, what gate array chips are, and how some tooling can generate Verilog code automatically from a die shot. A digital synthesizer from 1986 was completely shrouded in mystery and dubious marketing claims. Being that old, eventually every working unit will break, leaving us with the no info about its inner workings. I could not accept this, so I decided to get into silicon reverse engineering. By dissolving its undocumented custom chips into acid and looking at them through a microscope, I was able to get an understanding of what was going on internally, to be able to preserve it and emulate it in the future. This is possible because lot of custom silicon chips from that era (80s and 90s) are of the "gate array" type: a grid-like structure that contains thousands of digital logic gates. By looking at them closely we can understand what those gates do, and by following the wiring between them we can reconstruct the entire system. This method allowed people to understand and recreate perfect emulations of arcade games, sound chips, security ICs and more. In this talk I want to tell my journey into silicon reverse engineering from my perspective of a complete beginner and software guy, and what I learned in the process. I will go through the different kinds of custom chips, how they look under a microscope, their different parts, what can be easily reverse engineered and what can not. Those chips do not only contain logic, but also RAM and ROM parts, and knowing how to identify them can give clues when looking at the logic is too complicated. Sometimes a chip can be completely understood even without knowing that a MOSFET is. I will also cover the process I used for reverse engineer them, some techniques that worked and some that didn't, and some tools I built to automatically extract mask ROMs and generate Verilog code from die shots. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/proprietary-silicon-ics-and-dubious-marketing-claims-let-s-fight-those-with-a-microscope/

Datenschutz darf auch Spaß machen, und alle können dabei etwas lernen, egal ob Einsteiger oder Profi-Hacker: Bei dem Datenschutz- und Datenpannen-Quiz kämpfen vier Kandidat:innen aus dem Publikum zusammen mit dem Publikum um den Sieg. Nicht nur Wissen rund um IT-Sicherheit und Datenschutz, sondern auch eine schnelle Reaktion und das nötige Quäntchen Glück entscheiden über Sieg und Niederlage. Die Unterhaltsame Datenschutz-Quiz-Show mit Bildungsauftrag! Datenschutz wird oftmals als lästige Pflicht wahrgenommen – aber was will und macht Datenschutz, für was ist er sinnvoll und was ist zu beachten? Die Datenschutz- und DSGVO-Show vermittelt spielerisch Datenschutzgrundlagen, bietet einen Einblick in die Praxis der Datenschutz-Aufsichtsbehörden und zeigt typische technische wie rechtliche Fehler im Umgang mit personenbezogenen Daten. Aber auch für Datenschutz-Profis und Superhirne sind einige harte Nüsse dabei. Der Moderator arbeitet beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg und berichtet aus der praktischen Arbeit einer Aufsichtsbehörde, nennt rechtliche Grundlagen, gibt Hinweise zu notwendigen technischen Maßnahmen nach Artikel 32 DS-GVO und die oftmals schwierige Risikoabschätzung nach „wir wurden gecybert“-Sicherheitsvorfällen. Im Quiz selbst müssen die Kandidat:innen in ihren Antworten praktische Lösungsvorschläge für häufige technische und rechtliche Probleme vorschlagen, zum Beispiel welche technischen Maßnahmen bei bestimmten Datenpannen nach dem „Stand der Technik“ angebracht sind, ob man als Website-Betreiber denn nun Google Analytics nutzen darf oder wie man sich gegen (rechtswidrige) Datensammler wehrt. Dadurch können Teilnehmer wie Zuschauer die praktische Anwendung der DS-GVO spielerisch lernen. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/die-groe-datenschutz-datenpannen-und-ds-gvo-show/

Welchen Einfluss hat die Form der Dinge? Wie wirken wir durch die Gestaltung unseren kulturellen Praxen, Architekturen, Sprachen und Strukturen auf uns und die uns umgebende Zukunft ein? Und warum findet sich in zeitgenössischer Design Theorie ein Verb wie *Futuring*? Basierend auf der Annahme, dass alles mit allem zusammen hängt und ein gemeinsames Interesse besteht, die gesamte Scheiße zum Guten zu wenden, lade ich dazu ein, anhand von Praxisbeispielen aus meiner künstlerischer Forschung und einfachen Live-Experimenten, zu erfahren, wie wir alle Welt gestalten. Und wie wir aus diesem Beteiligt sein Mut ziehen können, einer lebenswerten Zukunft für alle näher zu kommen. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/wie-wird-gleich/

A debut of new research and analysis, focused on emotions and the affective register—love! shame! intimacy! What happens when we put love and intimacy at the center of our understanding of privacy, and what are the consequences of their disavowal, in favor of a more familiar technocratic definition of privacy-as-absense? What role does our deep desire for love and belonging, and our concomitant fear of shame and rejection, have to do with the (mis)direction of tech capital and the current, warped shape of the tech industry and its products? We take these questions seriously, and work through their implications together in Hamburg during that brief, liminal window between the winter holidays and the new year. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/feelings-are-facts-love-privacy-and-the-politics-of-intellectual-shame/

Everyone kind of forgot about DNS. How does it work, how to claim it back and why? This talk will show some data about DNS to see differences between TLD's, will show how the entire thing works and the current problems in some setups. Then show how to make our own authoritative DNS servers in a secure and redundant way to claim ownership of it and decentralise it from the big providers. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/a-dive-into-dns/

This year Large Language Models (LLMs) in search engines told us to put glue on our pizza and eat a small rock every day. This is not ideal, and the consequences of "AI Overviews" and similar features could even be deadly for some people, like mushroom foragers. Maybe it's time for a new sort of search? In this talk I'll sketch out some possible futures and look at how we can put search back in the hands of the searcher. Also, there will be memes! Overall, the state of search right now is: not good. Search engine results are full of AI generated sludge, SEO spam and self-dealing by providers. This talk will look at the options that are open to us to improve search somewhat, including a few tips and tricks that anyone can take advantage of today to make hyperscale search providers like Google more functional again. But in many ways the most interesting question is whether we can find ways to discover stuff online that don't rely on a handful of hyperscale providers to do all the web crawling and indexing, and servicing of people's queries. In particular, what would happen if search was federated - how could we make that scaleable and performant, and what can we learn from the fediverse? Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/waiter-there-s-an-llm-in-my-search/

The public image of dinosaurs is largely shaped by art. While paleontology is a dynamic and productive science, it is primarily through paleoart that our perception of prehistoric life takes form. By combining informed speculation with a deep understanding of anatomy, ecology, and geology, paleoartists continuously reimagine extinct organisms in innovative ways. The public image of dinosaurs is largely shaped by art. While paleontology is a dynamic and productive science, it is primarily through paleoart that our perception of prehistoric life takes form. This tradition of science informed art form, rooted in a 200-year history, finds its inspiration in the fossil record and the interpretations it offers. The gaps in our knowledge are as influential as the fossils themselves. Through informed speculation and a fundamental understanding of anatomy, ecology and geology a paleoartist is able to bring back extinct organisms in ever new ways. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/how-to-spec-fun-with-dinosaurs/

c3voc.tv - Meet the Teams c3lingo stb stellt c3lingo vor und berichtet was das Team auf dem Congress leistet. about this event: https://c3voc.de

Der Rodecaster Pro II ist derzeit das beste Aufnahmegerät für Podcasts. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/der-ultimative-rodecaster-pro-ii-workshop/

c3voc.tv - Meet the Teams c3sign l3d erzählt ein bisschen von der Arbeit des Team c3sign auf dem 38c3. about this event: https://c3voc.de

Daten, Daten, Daten. Sicherheitsbehörden wollen immer mehr davon. Doch zu welchem Zweck und wo kommt machine learning ins Spiel? Wir liefern einen Überblick und besprechen Auskunftsansprüche, Beschwerdemöglichkeiten und Gegenmaßnahmen. Nicht erst seit dem diesjährigen Sicherheitspaket befinden sich deutsche Geheimdienste und Polizeibehörden in einer Datensammelwut. Spätestens seit dem 11. September 2001 und dem Terrorismusbekämpfungsgesetz dienen terroristische Anschläge als Legitimation für die Politik, den Sicherheitsbehörden die Befugnisse zu geben, die diese ohnehin schon lange fordern. Dabei wachsen die Datenbanken der Behörden stetig. Ihre Namen sind INPOL-neu, PMS links/rechts/sport oder rosa Liste (IGVP), ATD, PIAV (Polizeilicher Informations- und Analyseverbund). Oft kommt es vor, dass auch eigentlich Unbeteiligte in diesen Listen landen, so bleiben z. B. Personen gegen die ermittelt wurde, weiterhin in INPOL gespeichert, nachdem das Verfahren längst eingestellt wurde. Ebenso sollen, wie im Sicherheitspaket geplant, biometrischer Daten mit öffentlich im Internet verfügbaren Daten abgeglichen werden. Den Betroffenen ist dabei meist nicht klar, ob und in welchen Datenbanken sie landen; der Dschungel an Datenbanken und Zuständigkeiten ist auch kaum zu überblicken. Betroffene werden weder automatisch informiert noch gilt die DSGVO für Ermittlungsbehörden. Teilweise werden sogar gesetzliche Informationspflichten, wie beispielsweise über Unbeteiligte in Funkzellenabfrage schlicht nicht eingehalten. Die immer größer werdenden Datenmengen sind kaum durch Menschen zu verarbeiten. Deshalb soll auf sogenannte künstliche Intelligenz wie autmatisierte Gesichtserkennung, Ganganalysen oder Analysen von "auffälligem Verhalten" gesetzt werden. Dabei werden Entscheidungen, die bisher durch Menschen getroffenen wurden, an Computer ausgelagert. Der Computer entscheidet also, wer am Bahnhof kontrolliert wird und damit über den Eingriff in dessen Grundrechte. Was können wir tun? Janik steht selbst in diversen Datenbanken der Polizei. Er erzählt im Vortrag über seinen langen Weg, um Auskunft bei den verschiedenen Landes- und Bundesbehörden zu erhalten. Entlang dieses Weges musste er Klage einreichen, weil die Behörden keine Auskunft erteilte, er musste Beschwerden beim BfDI einreichen, da das BKA Fotos von seinem Gesicht aus einer erkennungsdienstlichen Behandlung zweckentfremdete, um damit eine Marktanalyse von Gesichtserkennungssoftwaren durchzuführen. Seine Rechtsanwältin Bea erklärt die rechtlichen Hintergründe und setzt sich mit der Frage auseinander, mit welcher Vorstellung von Verantwortung im polizeilichen Dienst wir es zukünftig zu tun haben werden. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/mit-dem-krcher-durch-die-datentrge-der-polizeien/

In einer Zeit, in der Privatsphäre immer mehr untergraben wird – warum nicht die Kontrolle über deine Daten übernehmen und eine eigene Cloud für Filehosting aufbauen? Dieser Vortrag ist ein praktischer Leitfaden zum Selbsthosting von Nextcloud zu Hause, speziell gedacht für Einsteiger mit grundlegenden Linux- und Bash-Kenntnissen. Von der Wahl der passenden Hardware bis zur sicheren Internetanbindung bauen wir Schritt für Schritt eine selbst gehostete Filehosting-App im eigenen Heimnetzwerk. In diesem Vortrag zeigen wir euch alle Schritte zu einer vollständig funktionsfähigen, internet-reichbaren Nextcloud-Instanz zum Filehosting im Internet. Wer bisher noch keine eigene Software betreibt, aber neugierig auf die Möglichkeiten ist, ist hier genau richtig. Dafür wird der Aufbau Schritt für Schritt dargestellt: vom Hardware-Setup über die Auswahl des passenden Betriebssystems und notwendiger Hilfssoftware bis hin zur Installation der Anwendung und der anschließenden Absicherung. Wir schauen uns ausserdem an, wie ein Nextcloud-Server aktuell gehalten werden kann und im Internet erreichbar gemacht werden kann. Dabei geben wir praktische Tipps zur Absicherung der Applikation. Der Vortrag soll dabei praxisnah gestaltet werden und Demos enthalten, wo immer immer das möglich ist. Die komplette Anleitung inklusive aller Skripte wird es in einem Open Source Repo geben. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/decentralize-your-internet-with-self-hosting/

Digital identity solutions, such as proposed through the EU's eIDAS regulation, are reshaping the way users authenticate online. In this talk, we will review the currently proposed technical designs, the impact such systems will have, and provide an outlook on how techniques from modern cryptography can help to improve security and privacy. Digital Identity solutions are on the rise all around the world. In particular the European Union is establishing a range of ambitious proposals like eIDAS to establish a general purpose platform for identification, authentication and transfer of personal data that will be used by eGovernment, logging into Facebook, public transport, eCommerce and doctor visits. With the Digital Euro, the EU Digital Travel App, Age Verification Apps and many other proposals we can see the scary trajectory the EU is headed towards. This talk provides a critical reality check about the underlying technology, the impact these systems will have on our privacy on a daily basis and what security (hell) we can expect. The talk will also give an overview of the proposed technical eIDAS architecture, and the [Cryptographers' Feedback on the EU Digital Identity’s ARF](https://github.com/eu-digital-identity-wallet/eudi-doc-architecture-and-reference-framework/issues/200). We will also provide a brief introduction into zero-knowledge proofs, the security and privacy properties they can provide for Digital Identities, and what is missing to bring these technologies into reality. Thomas Lohninger has worked for the digital rights NGO epicenter.works to advocate for [strong privacy in the eIDAS law](https://epicenter.works/en/thema/eid-digital-public-infrastructures) on EU level. He is a member of the [Ad-Hoc Technical Advisory Group of the EU-Commission on eIDAS Wallet](https://epicenter.works/en/content/nda-of-the-ad-hoc-technical-advisory-group-of-the-eu-commission-on-eidas-wallet) and the only civil society Jury member of the SPRIND Funke on [EUDI WALLET Prototypes](https://epicenter.works/en/content/germany-eidas-wallet-jury-agreement-nda) of the German government. Anja Lehmann is a professor for cryptography at the Hasso-Plattner-Institute, University of Potsdam, with a focus on developing privacy-enhancing technologies, in particular enabling privacy-preserving authentication. She is a Jury member of the SPRIND Funke on [EUDI WALLET Prototypes](https://www.sprind.org/impulse/challenges/eudi-wallet-prototypes#anchor-jury) and also supports the SPRIND EUDI project on the integration of zero-knowledge proofs since October 2024. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/eu-s-digital-identity-systems-reality-check-and-techniques-for-better-privacy/

Modern 3D capture through Gaussian Splatting and human memory reveal parallel landscapes – where precise centers fade into probabilistic smears at the edges, and gaps hold as much meaning as detail. This is about the preservation of an ephemeral present in digital amber, an interrogation of how we reconstruct both digital and remembered spaces. In July 2023, a new method of reconstructing reality was published in a paper called "3D Gaussian Splatting for Real-Time Radiance Field Rendering." Three months later, the first apps provided this technology in their pseudo social-networks. Gaussian Splatting produces a navigable, though static, 3D reconstruction of events from video footage – but also an intriguing aesthetic. Areas of sharp details are surrounded by calculated uncertainty, creating digital spaces that inadvertently mirror how human memory operates. The talk presents a video essay of the same name, exploring this resonance between technology and memory through a crafted blend of found footage, open-source media, and AI-generated elements. By developing custom tools for VR exploration and capture, the work documents these digital spaces from within, creating a choreographed journey through both technical and remembered landscapes. It is both a technical documentation and a poetic interpretation; it’s an interrogation of an emerging technology and a meditation on how we process and reconstruct our experiences, digital and remembered alike. The lecture will focus on the technical background, as well as the artistic practices used to create the video essay. From working with virtual reality and experimenting with AI-generated content, to making decisions and non-decisions – it traces the development of a work in the parallel landscapes of emergent technology and lingering memory, of imminent nostalgia and nascent futures. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/spatial-interrogations-or-the-color-of-the-sky/

Wähle Dein Risiko! Vor der Bundestagswahl 2017 veröffentlichten wir unsere Analyse über haarsträubende Sicherheitslücken in einer weit verbreiteten Wahlsoftware. Seitdem ist einiges passiert: Der Hersteller hat die Probleme nicht behoben, das BSI hat einen Stapel Papier produziert, die deutschen Anbieter von Wahlsoftware haben ihr Kartell vergrößert und unterschiedliche Wahl-Pannen untergraben weiterhin das Vertrauen in die Demokratie. Wurden unsere Empfehlungen von 2017 umgesetzt? Wir nehmen den Decompiler und schauen mal nach. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/der-thring-test-fr-wahlsoftware/

In Österreich hat 2024 die rechte FPÖ bei allen Wahlen massiv an Stimmen hinzugewonnen. Obwohl bei der Nationalratswahl die FPÖ als Siegerin hervorgegangen ist, versuchen nun drei andere Parteien eine Koalition zu bilden. Wir fragen uns, ob die Entscheidung, nicht mit der FPÖ zu verhandeln und sie somit nicht in die Regierung zu holen, nur dazu beitragen, die FPÖ immer noch stärker zu machen und welche Lehren daraus auch für Deutschland und den Umgang mit der AfD zu ziehen sind. Auch in Österreich war 2024 ein Superwahljahr: Landtagswahlen, die EU-Wahl und Nationalratswahl, gemeinsam mit einigen Gemeinderatswahlen. Allen gemeinsam ist, dass die rechte FPÖ immer dazugewinnen konnte, bei den bundesweiten Wahlen ging sie sogar als Siegerin hervor, in einem Bundesland wird sie den Landeshauptmann stellen. Im Bund versuchen nun drei Parteien, trotz zum Teil starker ideologischer Unterschiede, eine Koalition gegen den selbsternannten Volkskanzler Kickl zu bilden. Dessen Umfragewerte steigen in der Zwischenzeit immer weiter, daran ändern auch Korruptionsvorwürfe, eindeutig rechtsradikale Einstellungen oder Spendenaffären nichts. Anschließend an unseren Podcast vom letzten Jahr, in dem wir den Aufstieg der Rechten in Österreich nachgezeichnet haben, wollen wir heuer diskutieren, ob die Brandmauer gegen rechts immer sinnvoll ist, wir berichten über die Erfahrung mit der FPÖ in der Regierung und besprechen, ob daraus auch Lehren für Deutschland zu ziehen sind. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/die-brandmauer-gegen-rechts-schutz-oder-gefahr-fr-die-demokratie/

Recent breakthroughs in machine learning have dramatically heightened the demand for cutting-edge computing chips, driving advancements in semiconductor technologies. At the forefront of this progress is Extreme Ultraviolet (EUV) lithography—a transformative method in microchip fabrication that enables the creation of ultra-small, high-performance devices. However, the path from raw materials to these state-of-the-art chips navigates a complex global supply chain riddled with technical challenges and geopolitical tensions. As nations vie for dominance in computing power, control over this supply chain has emerged as a strategic priority, featuring prominently in a high-stakes competition with global implications. Designed for all audiences, this talk explores the critical intersection of science, technology and global affairs shaping our future. This talk centres on the advanced technical processes required to manufacture state-of-the-art computer chips, tracing the journey from raw materials to ultra-miniaturized circuits. We will explore each critical stage in this complex process, beginning with the refinement of ultrapure quartz and progressing through wafer production to the advanced lithography techniques that enable feature sizes down to just a few nanometers—all executed not merely in a laboratory but at an industrial scale that pushes the boundaries of what is technologically possible. A particular emphasis will be placed on Extreme Ultraviolet (EUV) lithography, a revolutionary technique essential for achieving these ultra-small scales. EUV lithography not only represents the core technological challenge in chip fabrication but also holds a pivotal position in the global semiconductor supply chain, placing it at the intersection of scientific innovation and international politics. The talk will address both the underlying physics and the geopolitical significance of this technology, as nations increasingly view control over semiconductor production as a strategic asset. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/from-silicon-to-sovereignty-how-advanced-chips-are-redefining-global-dominance/

Artist Andrei Molodkin held $45million of art hostage to free Julian Assange. He vowed to dissolve Picasso, Rembrandt, Warhol and other masterpieces in acid using a dead man’s switch device inside a 29-tonne Grade 5 Safe Room if Julian Assange was to die in prison. The talk will explain the process and methodology. Dead Man’s Switch is an art shield. It is not a human shield: that is what terrorists produce. Dead Man’s Switch, on the contrary, is a tool for negotiation. “Taking hostage” is one of the most common languages used by the power structure. In his artistic career, Andrei Molodkin, developed the method of mirroring the language of power within the formal parameters of Political Minimalism. In the case of the Dead Man’s Switch, the Medusa Gorgon mirror used to hit the power structure has been done by taking hostage the most important of capitalistic symbols, its icons and values. In this catastrophic time, to destroy art is much more taboo than to destroy the life of a person. Arianna Mondin, applied Interpol’s criminal investigation method to the field of architecture in her PhD to unveil the connection between architecture and oil. She used this method in the development strategy of Dead Man’s Switch. The talk will focus on the process of realizing the Dead Man’s Switch to mirror the language of power to release Julian Assange from prison. In particular, it will clarify the operation to involve artists and collectors in participating by donating their artworks to secure the survival of the most consequential political prisoner of our times. The project involved also specialists in security, negotiation, hardware and software, all together organised in a system aimed at reprogramming the power structure. The talk will conclude by explaining the technical details, software and hardware, and the conceptualisation of the counter as a method of escalation and resetting the system. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/dead-man-s-switch-an-art-shield-to-protect-the-life-of-julian-assange/

Die Verwendung von Nutzernamen und Passwörtern bei Logins ist für uns selbstverständlich. Für technisch weniger versierte Nutzende stellt dieser Prozess jedoch häufig eine nervenaufreibende Herausforderung dar – sowohl in Bezug auf die Nutzerfreundlichkeit als auch auf die Sicherheit. Tauchen wir in die Perspektive genau dieser Nutzenden ein und finden heraus, wo die Probleme liegen. Zudem schauen wir uns alternative Lösungen an, die die Nutzerfreundlichkeit und Sicherheit verbessern können. Die Authentifizierung mit Nutzername und Passwort ist weit verbreitet und so gut wie überall Standard. Für uns ist das alltäglich und wird deshalb selten hinterfragt. Mit der Hilfe von Passwort-Managern machen wir uns das Leben leichter. Doch wie sieht es für Menschen aus, die weniger Erfahrung mit Technik haben? Als Frontend-Entwicklerin habe ich Erfahrungen gesammelt, die dazu einladen, unseren Blickwinkel zu erweitern. Denn oft betrachten wir ITler die Welt der Technik nicht mehr aus der Perspektive des Endnutzers. In diesem Vortrag versetzen wir uns gemeinsam in die Perspektive von durchschnittlichen Nutzenden und gehen den Prozess eines typischen Login-Verfahrens durch. Dabei finden wir heraus, welche Aspekte Frustration auslösen und warum aktuelle Ansätze wie Passwort-Manager nicht unbedingt eine sinnvolle Lösung für alle darstellen. Außerdem werfen wir einen Blick auf mögliche Alternativen zu herkömmlichen Login-Verfahren wie zum Beispiel Passkeys, die sowohl Sicherheit als auch Nutzerfreundlichkeit erheblich verbessern. Ich zeige auf, wie wir Logins für alle einfacher, frustfreier und sicherer gestalten können – eine Herausforderung, die nicht nur technisches Know-how, sondern auch ein besonderes Verständnis für die Nutzenden erfordert. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/warum-nutzende-logins-nerven/

Governments have criminalized the practice of managing your own health. Despite the fact that for most of human history bodily autonomy, and self-managed health was the norm, it is now required that most aspects of your health must be mediated by an institution deputized by the state. Taking those rights back for yourself is then labeled "BioTerrorism". So be it. Let's learn how. We all know that custom, hand-made, artisan-crafted, boutique tools are always better than something factory made. A guitar, a wood chisel, a chef's knife, a built racing engine, a firearm, a suit, a pair of shoes. Given that this is so well-known, and so universally understood, it's peculiar at best that this is not seen by most people when it comes to medicine. It is however also true. Given, however, that the traditional rôle of pharmacists who used to have the freedom to compound custom medicines for the people they were serving has been revoked, and now despite their extensive training, have been limited to being able to do little more than count pills in most cases, we have to do this ourselves. The problem is that this has been criminalized. The moment you stop groveling for permission from medical authorities, and start becoming actively involved in managing your own health, you are a criminal in most countries in the world. Practicing medicine without a license, manufacture of drugs, possession of laboratory tools, possession of precursor chemicals... the list of felonies goes on. The choice is yours. Would you like to be the sickest law-abiding citizen, or the healthiest BioTerrorist? If you want the red pill, you'll have to manufacture it yourself. The blue pill is prescription-only, and if you manage to get a prescription, and you're rich maybe you can afford to buy it. Come learn about the long list of medications which went through the research and development processes, but are never going to be commercially available. Learn how to find more of these, and learn the many ways you can make them yourself. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/bioterrorism-will-save-your-life-with-the-4-thieves-vinegar-collective/

Toiletten "für alle" sind in weiter Ferne. Wie muss eine Toilette gebaut werden, um tatsächlich für jede Person mit zum Beispiel einem Rollstuhl benutzbar zu sein? Diese Frage beantworten wir in diesem Talk. Toiletten sind ein schwieriges Thema. Sie sind selten zu finden und meistens auch relativ dreckig. Aber was ist, wenn eine rollstuhlgerechte oder oder eine "Toilette für Alle" benötigt wird? Als Chaos-Gemeinschaft und Haecksen tragen wir durch das Mieten von Objekten eine Mitverantwortung, Toiletten entsprechend verfügbar zu machen. Leider hat eine informelle Umfrage in 2024 von den Haecksen gezeigt, dass in Sachen rollstuhlgerechter Toiletten viele Hackspaces kein Angebot machen können. Wir erklären in diesem Talk die passenden DIN-Normen für eine rollstuhlgerechte Toilette und weihen euch in die Details hinter einer höhenverstellbaren Toilette ein. Wir möchten euch mit diesem Vortrag befähigen, euch in eurer Mietsituation konstruktiv aufzustellen um eine Verbesserung in eurer Umgebung erzielen zu können. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/rollstuhlgerechte-toiletten/

Nachdem im letzten Jahr erklärt wurde, wie man erfolgreich ein UBoot baut, gucken wir darauf was bei TITAN und anderen Ubooten schief ging, und was man daraus für Projektleitung und sicheres Design lernen kann. Uboote verfolgen mich im Och Menno Podcast seit über 5 Jahren, die Technik dahinter ist gleichzeitig faszinierend und ihre Geschichte ist voll erschreckenden Fehlern und Unglücken. Von Ubooten die sich beim Spülen der Toilette selber versenken, zu der britischen K Klasse hin zu TITAN ist die Geschichte der Unterwasserfahrzeuge voll von Fehlschlägen. Nachdem die Analyse des Unglücks der TITAN die meist gehörte Folge 2024 ist kommt der Podcast auf die Bühne mit zusätzlichen Erkenntnissen aus dem Untersuchungsausschuss der US Coast Guard. Warum baut man Uboote so wie man sie baut? Warum ist ein disruptiver Startup Ansatz nicht immer hilfreich? Gibt es evtl. Gründe warum Ingenieure mit Berufserfahrung zur Vorsicht geraten haben? Und was könne wir hier für unser eigenes Berufsleben lernen? Und wenn das alles nicht hilft gibt es ja immer noch Sarkasmus und den Galgenhumor der aus dem Podcast bekannt ist … Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/och-menno-how-not-to-build-a-submarine/

Seit Jahren bemüht sich die Cryptoparty-Bewegung, digitale Selbstbestimmung in der Gesellschaft zu verbreiten. Besonders Aktivist\*innen sind sehr auf dieses Wissen angewiesen - doch ein Abend-Workshop von 2-3 Stunden schafft bei ihnen oft mehr Unsicherheiten als vorher. Wie kann man zwischen Nerds und Aktivist*innen übersetzen? Wir haben viel ausprobiert, teilen unser Konzept mit euch und erzählen, welche Lernatmosphäre & pädagogischen Mittel es braucht, um die Hürden für nicht-Nerds abzubauen. Link zum Hextivisti-Konzept: https://cryptpad.fr/pad/#/2/pad/view/RwZ3IxG-YtcMzIdSB0g2Ti66dL23s9VhPbvjVM2vKQc/ Link zu diversity-sensibler Lehre: https://www.genderdiversitylehre.fu-berlin.de/einstieg/leitlinien/index.html Für gesellschaftlichen Wandel ist es unbedingt notwendig, dass sich mehr Menschen mit digitaler Selbstbestimmung auskennen. Vor allem Aktivist\*innen brauchen Grundwissen und Vernetzung, um Antworten für ihre konkreten Herausforderungen zu finden, insbesondere bei zunehmender Faschisierung von Staat & Gesellschaft, Abhängigkeit von Big-Tech-Monopolen, und drohenden Klimakatastrophen. Das Problem hierbei: anders als Nerds, die sich IT-Sicherheit oft mit Interesse und Angriffslust nähern, haben viele Aktivist\*innen mit Überforderung und Ängsten zu kämpfen. Als Hindernis beim Lernen kommt oft strukturelle Diskriminierung dazu, und das (Wieder-)Erleben von Situationen, die damit einhergehen. Solche Stress-Situationen begünstigen Frust, Fehler, und Grenzüberschreitungen und verstärken Wissens- und Machtasymmetrien - insbesondere unter Zeit- und Repressionsdruck. Jedes frustrierende Erlebnis, jedes nicht verstandene Fachwort verschlimmert diese Hürden, und verschlechtert letztendlich die gelebte IT-Sicherheit. Wir haben selbst jahrelang schlechte Erfahrungen mit Abend-Workshops gemacht, die in 2-3 Stunden alles Wichtige für Aktivist\*innen vermitteln sollen (sowohl als Trainer\*innen als auch als Teilnehmer\*innen). Wir sind zu dem Schluss gekommen, dass es eine andere Herangehensweise braucht, und man sich ein Wochenende dafür Zeit nehmen sollte. Deshalb haben wir ein skalierbares Konzept entwickelt und getestet, welches ermöglicht, dass Nerds und Aktivist\*innen voneinander lernen können. Dieses Konzept wollen wir hiermit open-sourcen. Wir haben jetzt einige Erfahrung mit unserem Wochenend-Format, und weitere Workshop-Wochenden sind in Planung. Im Talk wollen wir unsere Idee, Learnings, Hürden und Erfolgserlebnisse teilen. Wir sprechen darüber, wie wir es schaffen können, Frust abzubauen und eine gute Lernatmosphäre zu schaffen, warum wir dafür ein all-gender-Format gewählt haben, und wieso am besten auch Leute mit wenig Erfahrung im Orga-Team sind. Entstanden ist ein Netzwerk, dass einen fortwährenden Wissens-Austausch ermöglicht und weitere Trainings organisiert. Wenn es nach uns geht, gehören technische und soziale Skills zusammen. Dabei verschwimmen immer wieder die Grenzen, wer eigentlich von wem lernt. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/beyond-cryptopartys-wie-aktivistis-und-nerds-voneinander-lernen-knnen/

UBERMORGEN infiltriert Kunst, Medien und digitale Monokulturen mit subversiver Affirmation. Wie Donald Trump auch, zerstören sie täglich ihr Geschäftsmodell, um daraus radikal neue Lösungen zu schaffen. Anhand von Projekten wie Vote-Auction, Google Will Eat Itself und PMC Wagner Arts dokumentieren sie ihre künstlerische Evolution im Never-Ending Now. Chaos ist ihre Methode, Kunst ihre Neue Ehrlichkeit, Klarheit ihre Waffe. Der Vortrag, eine Mischung aus emotionalem Appell und intellektueller Analyse, thematisiert die Notwendigkeit von Klarheit und bewusster Simplifizierung als Gegengewicht zum Streben nach Perfektion in einer Welt der wahrgenommenen und effektiven Hyperkomplexität. UBERMORGEN stellt infrage, wie viel künstlerische Freiheit im aktuellen Zeitalter der „Happy Dystopia“ noch bleibt, respektive was ‘Radikaler Universalismus’ (Abstraktion zwecks Mustererkennung) für weitläufige Möglichkeiten in der Praxis eröffnen, und beleuchtet, wie ihre neuesten Werke das Potenzial kritischer Ästhetik und radikaler Experimente inmitten einer fragmentierten Informationslandschaft ermöglichen. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/klarheit-als-waffe/

The Chipolo ONE is a Bluetooth tracker built around the Dialog (now Renesas) DA14580 chip. This talk will present the research made on this device, from extracting the firmware from the locked down chip using fault injection up to getting remote code execution over Bluetooth. The talk will also present the disclosure process and how the vendor reacted to an unpatchable vulnerability on their product. This talk will present the journey through the analysis of the Chipolo ONE Bluetooth tracker. As for lots of IoT devices, this analysis mixes both hardware and software attacks so this talk will be packed with lots of techniques that can be applied to other devices as well: - Using fault injection to bypass the debug locking mechanism on a chip that has apparently never been broken before. - Reverse engineering an unknown firmware with Ghidra, a PDF and parts of a SDK - Analyzing weak cryptographic algorithms to be able to authenticate to any device - Finding a buffer overflow and achieve code execution over Bluetooth - Disclosing an unpatchable vulnerability to the vendor Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/from-fault-injection-to-rce-analyzing-a-bluetooth-tracker/

Das Netzwerk Polylux hat sich vor 5 Jahren gegründet um dem Rechtsruck in Ostdeutschland etwas entgegen zu setzen. Polylux fördert, was die AfD hasst. Solidarisch, Unbürokratisch und Antifaschistisch. Für eine kritische und starke Zivilgesellschaft wo es sie am meisten braucht: Im ländlichen Raum in Ostdeutschland. Wir sind ein ehrenamtliches Netzwerk, das seit 2019 aktiv ist um antifaschistische Projekte in Ostdeutschland (vor allem) finanziell zu unterstützen. Schon damals brachte uns die Sorge um wegbrechende Finanzierungsmöglichkeiten angesichts einer schwachen Linken und der immer stärker werdenden Rechten auf die Idee, eine finanzielle, nachhaltige Unabhängigkeit für die aktive Zivilgesellschaft zu schaffen. In den letzten Jahren haben wir über 200.000 Euro an linke Projekte in Ostdeutschland weiterverteilen können und zeigen somit, dass wir eine Unterstützungsplattform aufgebaut haben, die uns unabhängig macht von staatlichen Förderungen und für eine emanzipatorische Bewegung eine dauerhafte und nachhaltige Alternative sein kann. Denn unser Netzwerk ist unabhängig von aktuellen politischen Machtverteilungen und Mehrheiten. Im "Superwahljahr" 2024 hatten wir uns vorgenommen auf 1000 monatlich zahlende Fördermitglieder zu kommen, um dem Rechtsruck nach den anstehenden Kommunal- und Landtagswahlen in Sachsen, Thüringen und Brandenburg noch mehr entgegen setzen zu können. Dieses Ziel haben wir gleich doppelt erreicht. Im Oktober 2024 hatten wir 2500 Fördermitglieder und sehr viele Einzelspenden und mediale Aufmerksamkeit. Unser Prinzip ist recht einfach: Wir sammeln Gelder über Fördermitgliedschaften und Spenden und verteilen sie an Projekte im ländlichen ostdeutschen Raum um. Durch das Netzwerk bekommen die Initiativen größere Sichtbarkeit. Dabei halten wir unser Antragsprozedere für die Projekte so einfach und simple wie möglich. Denn diese sollen für eine Förderung nicht noch mehr arbeit haben uns sich auf ihre Arbeit vor Ort konzentrieren können. Dabei Grenzen wir uns ganz bewusst, von "normalen" Fördertöpfen ab. Denn wir sind selbst alle in der Szene aktiv, leben in Ostdeutschland und kennen die Verhältnisse im ländlichen Raum aus eigener Erfahrung sehr gut. Wir wissen selbst, wie es ist als Queere Menschen, als Migrant*innen, als Linke hier gegen eine Politik aktiv zu sein, die alles kritische kriminalisiert und versucht einzuschüchtern. Mehr zu unserer Arbeit und wen wir unterstützen findet Ihr auf unserer Website: www.polylux.network Auf dem 38C3 wollen wir uns, unsere Idee, unser Netzwerk und ein paar der tollen Projekte im Osten kurz vorstellen. Im Rahmen des Talks gehen wir kurz darauf ein woher der Rechtsruck in Ostdeutschland kommt und was Besonderheiten im Vergleich mit den alten Bundesländern sind - vor allem aber wollen wir aufzeigen, wie wir eine langfristige und nachhaltige Struktur aufbauen können. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/was-tun-gegen-den-rechtsruck-in-ostdeutschland-solidaritt-das-netzwerk-polylux-stellt-sich-vor/

The 530 tons and 63 meter tall Ariane 6 rocket finally launched on July 9th 2024 carrying our open-source developed payloads – the SIDLOC experiment and the satellite Curium One – into space. SIDLOC tested a new, open, low-power standard for identifying and precisely locating spacecraft whilst our satellite Curium One established an open-source baseline for larger CubeSat systems and allowed us to test a bunch of new technologies. From sourcing a launch opportunity to the final integration onto the rocket at the spaceport in French Guiana we tell you about our biggest challenges and exceptional experiences of this adventure. In this talk members of the Libre Space Foundation will take you on the journey of a rocket's payload: beginning with how the SIDLOC experiment and the satellite Curium One were developed, integrated and finally launched on the Ariane 6 maiden flight into space. 1. **SIDLOC** (Spacecraft Identification and Localization): Developed in collaboration with ESA, SIDLOC aims to improve space safety and mission success rate by establishing an open beaconing standard for spacecraft identification and localization. SIDLOC uses a low power beacon that utilizes the Spread Spectrum modulation and the cross-correlation properties of the Gold sequences, ensuring proper operation in extremely low SNR environments and identification of the transmitting space object. In addition, SIDLOC can provide localization and orbit determination, utilizing the Doppler frequency offset estimation mechanism that it implements. To achieve that, the open and crowd-sourced SatNOGS network is used, contributing to an independent source of orbital elements and spacecraft identifications, disrupting the existing model. The SIDLOC protocol has been implemented in such a way, so it is easy to integrate to a space object, regardless of its size, with minimal effort. 2. **Curium One**: The satellite Curium One is designed to establish an open-source framework for satellite systems. It features 15 newly designed open-hardware PCBs. From solar generators to the on board computer and high frequency communication boards everything was designed, tested and qualified by the community with the help of Planetary Transportation Systems. Its first signal acquisition was performed by the formerly world's largest radio telescope built in 1956 – the 25m diameter Dwingeloo Radio Observatory. We want to tell you about the development and implementation of the core technologies, the biggest challenges we faced during the missions, and the wild jungle experiences at the spaceport in Kourou. We aim to provide an overview of how open-source principles are being applied in space exploration and the benefits and problems of this approach within the space industry. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/an-open-source-guide-to-the-galaxy-our-journey-with-ariane-6/

Wenn Sicherheitsforscher und Hacker Datenlecks direkt dem dafür Verantwortlichen melden, setzen sich u.U. strafrechtlichem Risiko aus oder werden auch mal schlicht ignoriert. Stattdessen kann es in der Praxis aber auch sinnvoll sein, die Möglichkeiten der DS-GVO und die Befugnisse der Datenschutz-Aufsichtsbehörden zu nutzen, um Sicherheitslücken schnell zu schließen. Anhand von Beispielen aus der Praxis zeigt der Vortrag, welche Möglichkeiten Sicherheitsforscher haben wenn sie Datenlecks gefunden haben. Eine effektive Möglichkeit kann sein, frühzeitig die Datenschutz-Aufsichtsbehörden einzuschalten, denn diese haben zahlreiche Befugnisse, mit denen sie Datenlecks schnell und effektiv schließen und Beweise sammeln können. Denn im Gegensatz z.B. zum BSI und anderen Institutionen können die Datenschutz-Aufsichtsbehörden auch außerhalb kritischer Infrastrukturen Unternehmen und Behörden anweisen, Datenlecks unverzüglich zu schließen, den Weiterbetrieb eines entsprechenden Servers untersagen und Bußgelder verhängen. Das sorgt dafür, dass Datenlecks in der Regel sehr schnell geschlossen werden können. Zudem zeigt der Vortrag, welche Rechte die von einem Datenleck betroffenen Personen haben und wie die Bearbeitung solcher Fälle in der Praxis abläuft. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/was-tun-wenn-man-ein-datenleck-entdeckt-hat/

PHUZZ is a framework for Coverage-Guided Fuzzing of PHP Web Applications Fuzz testing is an automated approach to vulnerability discovery. Coverage-guided fuzz testing has been extensively researched in binary applications and the domain of memory corruption vulnerabilities. However, many web vulnerability scanners still rely on black-box fuzzing (e.g., predefined sets of payloads or basic heuristics), which severely limits their vulnerability detection capabilities. In this talk, we present our academic fuzzing framework, "PHUZZ," and the challenges we faced in bringing coverage-guided fuzzing to PHP web applications. Our experiments show that PHUZZ outperforms related works and state-of-the-art vulnerability scanners in discovering seven different vulnerability classes. Additionally, we demonstrate how PHUZZ uncovered over 20 potential security issues and two 0-day vulnerabilities in a large-scale fuzzing campaign of the most popular WordPress plugins. The World Wide Web has become a fundamental part of modern society, providing crucial services such as social networks, online shopping, and other web applications. To this day, web vulnerabilities continue to be discovered, and data breaches are reported, even on high-profile websites. While several viable methods exist to detect web vulnerabilities, such as penetration tests, source code reviews, and bug bounty programs, these approaches are typically costly and time-intensive. Therefore, discovering web vulnerabilities in an automated and cost-effective fashion is desirable. One method to approach this problem is coverage-guided "fuzzing", which has been successfully used to identify memory corruption bugs in binary applications, but has seen limited application to web applications. Our academic research has resulted in an open-source prototype called "PHUZZ," which outperforms classic black-box vulnerability scanners in detecting web vulnerabilities with its fuzzing approach. This talk will first introduce the concept of coverage-guided fuzzing and the differences from black-box web fuzzing performed by vulnerability scanners. After diving into the challenges of applying coverage-guided fuzzing to web applications, we will introduce PHUZZ and explain how its approach allows the detection of a wide variety of web vulnerabilities, including SQLi, RCE, XSS, XXE, open redirection, insecure deserialization, and path traversal in PHP web applications. Our comparison of PHUZZ with state-of-the-art black-box vulnerability scanners, using a diverse set of artificial and real-world web applications containing known and unknown vulnerabilities, showed surprising results. Not only does PHUZZ outperform the other vulnerability scanners in the number of discovered vulnerabilities, but it also discovers over a dozen new potential vulnerabilities and two 0-days, which we will discuss in our talk. Finally, we will motivate the use of PHUZZ [1] and coverage-guided fuzzing methods to discover web vulnerabilities. This presentation is based on our academic publication "What All the PHUZZ Is About: A Coverage-guided Fuzzer for Finding Vulnerabilities in PHP Web Applications" [0]. [0] https://dl.acm.org/doi/10.1145/3634737.3661137 [1] https://github.com/gehaxelt/phuzz Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/what-the-phuzz-finding-0-days-in-web-applications-with-coverage-guided-fuzzing/

Der Krieg in Gaza als Reaktion auf die Terrorattacke vom 7. Oktober läuft mittlerweile über ein Jahr. Cadus ist seit Februar diesen Jahres in Gaza im Einsatz. Auch seit Februar diesen Jahres teilen wir wie so viele andere die Erfahrung, das vor dem Hintergrund unseres Einsatzes fernab von Gaza sich leidenschaftlich „politisch“ auseinandergesetzt wird. Nicht ÜBER unseren Einsatz wohlgemerkt, sondern darüber, ob wir jetzt die eine oder andere Seite genug verurteilen würden für die Art und Weise wie der Krieg geführt wird. In unserem Talk „Als die Kommentarspalten brannten – 11 Monate Einsatz in Gaza“ sprechen wir über die Herausforderungen, die unseren Einsatz tatsächlich begleiten. Cadus ist seit Februar 2024 in Gaza im Einsatz. Unsere Arbeit dort umfasst die Stabilisierung schwerstverletzter Zivilist*innen, medical evacuations und Unterstützung/medizinische Absicherung der Einsätze des United Nations Mine Action Service. Dieser Einsatz ist in Bezug auf die Herausfoderungen auf vielen Ebenen noch einmal deutlich anspruchsvoller als das, was wir als CADUS aus anderen Kriegsgebieten gewohnt sind. Seit Februar haben wir mehr als 3500 schwerstverletzte Patient*innen behandelt und mehrere hundert Menschen innerhalb Gazas und aus Gaza heraus evakuiert. Wir beleuchten unseren Katastrophenhilfe-Einsatz aus drei unterschiedlichen Blickwinkeln. Sebastian wird über die logistischen und administrativen Herausforderungen unseres Einsatzes reden. Wie geht das, in einem der aktuell gefährlichsten Kriegsgebiete einen Hilfseinsatz zu starten und am laufen zu halten? Vor allem unter Berücksichtigung der bestehenden umfassenden Embargos und der Behinderungen humanitärer Hilfe Anna-Lea berichtet darüber, wie wir unsere Teams auf den Einsatz vorbereiten, wie wir versuchen sie während des Einsatzes zu unterstützen, und wie ein Nachsorgeangebot aussehen kann (und muss) für Leute die freiwillig in so einen Einsatz gehen. Mit Nic Zemke hatten wir passend zum 38c3 einen echten Nerd im Einsatz, der darüber sprechen wird wie derzeit Hilfsorganisationen und Vereinte Nationen KML-Files mit überlebenswichtigen Informationen über WhatsApp hin und her schicken und wie wir ein für die Seenotrettung entwickeltes Geoinformationssystem in kürzester Zeit so umgebaut haben, dass die Koordination von Hilfseinsätzen bald hoffentlich weniger Fehleranfällig läuft. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/als-die-kommentarspalten-brannten-11-monate-einsatz-in-gaza/

A field guide to dumping and reverse engineering a bare-metal U-Boot binary, including all the good stuff like funky hardware setups, UART logs, a locked bootloader and unknown base addresses. Working on hacking a babyphone and encountering a locked bootloader, we were faced with a major roadblock. So, naturally, we bashed our head against said problem for 2 weeks, coming out the other side with a few fun challenges, solutions and tid-bits. I want to recreate this experience here in this talk, by doing the whole process all over again, but this time live, in front of an audience. Includes: - getting serial logs - dumping firmware - extracting firmware - reverse engineering the U-Boot bootloader, to extract the bootloader password together with some tips, tricks and snark remarks. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/reverse-engineering-u-boot-for-fun-and-profit/

The Iridium satellite (phone) network is evolving and so is our understanding of it. Hardware and software tools have improved massively since our last update at 32C3. New services have been discovered and analyzed. Let's dive into the technical details of having a lot of fun with listening to satellites. We'll cover a whole range of topics related to listening to Iridium satellites and making sense of the (meta) data that can be collected that way: - Overview of new antenna options for reception. From commercial offerings (thanks to Iridium Time and Location) to home grown active antennas. - How we made it possible to run the data extraction from an SDR on just a Raspberry Pi. - Running experiments on the Allen Telescope Array. - Analyzing the beam patterns of Iridium satellites. - Lessons learned in trying to accurately timestamp Iridium transmissions for future TDOA analysis. - What ACARS and Iridium have in common and how a community made use of this. - Experiments in using Iridium as a GPS alternative. - Discoveries in how the network handles handset location updates and the consequences for privacy. - Frame format and demodulation of the Iridium Time and Location service. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/investigating-the-iridium-satellite-network/

In wenigen Wochen werden die Gesundheitsdaten von rund 73 Millionen in Deutschland Krankenversicherten ohne deren Zutun über Praxis- und Krankenhausgrenzen hinweg zentral in einer Akte zusammengeführt - in der [„elektronischen Patientenakte für alle“](https://www.bundesgesundheitsministerium.de/themen/digitalisierung/elektronische-patientenakte/epa-fuer-alle.html). Fortsetzung von 36C3 - [„Hacker hin oder her“: Die elektronische Patientenakte kommt!](https://media.ccc.de/v/36c3-10595-hacker_hin_oder_her_die_elektronische_patientenakte_kommt) In wenigen Wochen startet die [„elektronische Patientenakte (ePA) für alle“](https://www.bundesgesundheitsministerium.de/themen/digitalisierung/elektronische-patientenakte/epa-fuer-alle.html): Medizinische Befunde, Medikationslisten und weitere Gesundheitsdaten von rund 73 Millionen in Deutschlang Krankenversicherten werden dann ohne deren Zutun über Praxis- und Krankenhausgrenzen hinweg in einer zentralen Akte zusammengeführt. Bisher musste die ePA explizit beantragt werden. Ab Januar 2025 dagegen erhalten alle gesetzlich Versicherten, die nicht widersprechen, automatisch eine solche ePA. Eine moderne Sicherheitsarchitektur ermöglicht dabei, dass die enthaltenen Gesundheitsinformationen in der ePA mit den höchsten Sicherheitsstandards geschützt werden. „Der Datenschutz und die Datensicherheit waren uns zu jedem Zeitpunkt das wichtigste Anliegen“, so Gesundheitsminister Karl Lauterbach. „Ein solches System konnte bisher noch nie gehackt werden“. Doch die Vergangenheit hat gezeigt: [„Vertrauen lässt sich nicht verordnen“](https://www.ccc.de/en/updates/2023/digitalegesundheit). Fortsetzung von 36C3 - [„Hacker hin oder her“: Die elektronische Patientenakte kommt!](https://media.ccc.de/v/36c3-10595-hacker_hin_oder_her_die_elektronische_patientenakte_kommt) Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/konnte-bisher-noch-nie-gehackt-werden-die-elektronische-patientenakte-kommt-jetzt-fr-alle/

Im Rahmen eines vom Prototype Fund geförderten Projektes entstand zusammen mit 4 Schulen die Open Source Software BinBa. Diese Software wurde in enger Zusammenarbeit mit den Schulen konzipiert, umgesetzt und in Betrieb genommen. In dem Talk soll der Weg über die Finanzierung mit Hilfe des Prototyp Funds, die Softwareentwicklung zusammen mit den LehrerInnen und SchülerInnen also auch die Inbetriebnahme beleuchtet werden. Mit dem Talk soll Mut gemacht werden, mehr freie Software zu schaffen, die sich in die IT Landschaft von Schulen gut einfügt und die Bedürfnisse von Schulen in den Vordergrund stellt. Im Rahmen des Projektes wurde viel Wert darauf gelegt, eine klare Abgrenzung zu existierenden Lösungen an den Schulen im Blick zu behalten und Daten mittels Integration aus diesen Lösungen zu übernehmen. Das ganze unter einer freien Lizenz und freier Software. SchulIT ist oft geprägt von abgeschlossenen Systemen, die sich nur unzureichend in existerende Lösungen einbinden lassen. Dies endet dann all zu oft in Mehrarbeit, Dateninkonsistenzen und viel Frustration bei allen Beteiligten. Wir möchten mit dem Projekt einen kleinen Impuls liefern, die Art und Weise wie heute Software für Schulen entsteht zu überdenken und auch konkrete Vorschläge dafür liefern. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/binda-die-flexible-anwesenheitserfassung-fr-schulen/

Many developers know that the answer to "How do I debug this microcontroller" is either "JTAG" or "SWD". But what does that mean, exactly? How do you get from "Wiggling wires" to "Programming a chip" and "Halting on breakpoints"? This talk will cover how common debug protocols work starting from signals on physical wires, cover common mechanisms for managing embedded processors, and ending up at talking to various common microcontrollers. Embedded programming is the art of shrinking complex programs in tiny packages by throwing away unnecessary features. With modern microcontrollers, debugging need not be one of the features thrown away. Most modern chips include some form of low-level access, but the technical details aren't widely understood. Many users of embedded firmware will use their preferred debugger without thinking too hard about what's going on underneath. We'll start by covering what it means to debug embedded software. The primitives required to have an interactive debug session are surprisingly minimal. From this, we'll build up a list of requirements and "nice to haves" to make a debugging environment comfortable, and reference existing "bespoke" debug approaches. We'll cover several examples of debug engines ranging from cores designed to go into FPGAs to tiny 8-bit microcontrollers. Next, we'll take a step back and describe the common lower-level protocols such as JTAG and SWD. These describe physical signals that go between the host and the target. We'll compare various protocols and see how they map onto the higher-level primitives discussed earlier. Armed with examples, we'll see how the protocol stack is formed. Next, we'll use the knowledge of low-level protocol implementations and the requirements for debugging to look at common abstractions on top of physical transports to implement core control. This will bridge the gap between "JTAG or SWD are the protocol" to "Poking a value in memory on a microcontroller". In this section, we'll cover the more common and generic uses such as Arm's ADI and the RISC-V DMI and see how complex and cross-target configurations are built to be rigid enough to have rich debug features while flexible enough to handle a wide range of processor configurations. Finally, we'll cover common tasks such as programming flash memory, watchpoints, and single-step debugging -- things that we take for granted in the desktop world and would like to have when programming for a potato that costs less than an actual potato. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/demystifying-common-microcontroller-debug-protocols/

We present fatal security flaws in the HALFLOOP-24 encryption algorithm, which is used by the US military and NATO. HALFLOOP-24 was meant to safeguard the automatic link establishment protocol in high frequency radio, but our research demonstrates that merely two hours of intercepted radio traffic are sufficient to recover the secret key. In the talk, we start with the fundamentals of symmetric key cryptography before going into the details of high frequency radio, HALFLOOP-24, and the foundation of our attack. High frequency (HF) radio, also known as shortwave radio, is commonly used by the military, other government agencies and industries that need highly robust long-distance communication without any external infrastructures. HF radio uses frequencies between 3 and 30 MHz. These frequencies enable skywave propagation, where the radio signals are reflected by electrically charged particles in the upper atmosphere. While this effect enables communication across very large distances, historically, it required trained and experienced operators to establish a radio link. This dependence on operators was reduced by the introduction of the automatic link establishment (ALE) protocol. In a nutshell, an ALE-enabled radio establishes a link to another radio by selecting a suitable frequency according to a propagation model and then transmitting a call frame. If the frequency is good, the other radio receives the frame and the two radios perform a handshake to set up a link. The encryption of these ALE frames is known as linking protection. It is primarily meant to protect unauthorized users from establishing links with radios in a network or interfering with established links. Additionally, encryption of ALE frames also protects the network from certain types of traffic analysis, which is the analysis of operating data such as network structure, frequencies, callsigns and schedules. The first ALE standard did not specify a cipher, but specified how to integrate a stream cipher with ALE. Later standards introduced the 56-bit key Lattice/SoDark cipher, which is now recommended to be replaced with HALFLOOP whenever possible. HALFLOOP, which is standardized in US standard [MIL-STD-188-14D](https://quicksearch.dla.mil/qsDocDetails.aspx?ident_number=67563) since 2017, is essentially a downscaled version of the Advanced Encryption Standard (AES), which effectively is the most used encryption algorithm today. While this downscaling led to many strong components in HALFLOOP, a fatal flaw in the handling of the so-called tweak enables devastating attacks. In a nutshell, by applying a technique known as differential cryptanalysis, an attacker can skip large parts of the encryption process. In turn, this makes it possible to extract the used secret key and hence enables an attacker to break the confidentiality of the ALE handshake messages and also makes an efficient denial-of-service attack possible. These attacks are described in the two research papers, [Breaking HALFLOOP-24](https://doi.org/10.46586/tosc.v2022.i3.217-238) and [Destroying HALFLOOP-24](https://doi.org/10.46586/tosc.v2023.i4.58-82). They were initiated by the presentation of the [Cryptanalysis of the SoDark Cipher](https://doi.org/10.46586/tosc.v2021.i3.36-53), the predecessor of HALFLOOP. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/breaking-nato-radio-encryption/

Das Duo 'read & delete' präsentiert radikale philosophische Texte mit musikalischer Begleitung ... Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/read-delete/

We built an Ethical Hardware Kit with a PCB microcontroller made of wild clay retrieved from the forest in Austria and fired on a bonfire. Our conductive tracks use urban-mined silver and all components are re-used from old electronic devices. The microcontroller can compute different inputs and outputs and is totally open source. It is an open secret that the hardware in our smart devices contains not only plastics but also ‘conflict minerals’ such as copper and gold. Technology is not neutral. We investigate alternative hardware from locally sourced materials from a feminist perspective, to develop and speculate upon renewable practices. We call it Feminist Hardware! Feminist Hardware is developed without mining in harmful ways, in an environmentally friendly way, under fair working conditions, and is manufactured from ubiquitously available materials, without generating e-waste, with consent, love and care. We researched on fair-traded, ethical, biodegradable hardware for environmental justice, building circuits that use ancient community-centered crafts encouraging de-colonial thinking, market forces to be disobeyed, and future technologies to be imagined. Our artistic outcome is an Ethical Hardware Kit with a PCB microcontroller at its core. Our PCB is made of wild clay retrieved from the forest in Austria and fired on a bonfire. Our conductive tracks used urban-mined silver and all components are re-used from old electronic devices. The microcontroller can compute different inputs and outputs and is totally open source. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/clay-pcb/

Was ist ein Lager und warum ist es so schrecklich und unmenschlich? Wir werden einen Überblick über betroffene Perspektiven mit Selbst­erfahrungen geben, wie man in Lagern (Wohnheimen, EAE) lebt. Wir geben einen Überblick über die rassistische Bezahlkarte, sowie die Einschränkung der Freiheit wie schwer ist und über das Leben von Jugendliche in Lagern. Was machen wir? Wie können wir unterstützen und worauf sollte man achten? Wir sind eine selbstorganisierte Initiative von Migrantinnen mit Fluchterfahrung, die in Ostdeutschland Rassismus im Alltag erlebt haben. Wir wollen ihre Lebenssituation sichtbarer machen und langfristig mehr gesellschaftliche Solidarität erreichen. In dieser Präsentation sprechen wir über das harte Leben in den Lagern und ländlichen Regionen, über den alltäglichen Rassismus in Behörden, am Arbeitsplatz …, Wir werden auch über die Bezahlkarte und Essensscheine sprechen, basierend auf unseren eigenen Erfahrungen. Diese Maßnahmen sind nicht nur rassistisch, sie entmenschlichen die Betroffenen – besonders Jugendliche. Sie verletzen ihre Würde, Wir geben auch Beispiele, wie jeder von euch konkret unterstützen und Solidarität zeigen kann. Licensed to the public under http://creativecommons.org/licenses/by/4.0 about this event: https://events.ccc.de/congress/2024/hub/event/life-in-the-lager-how-it-is-how-to-support/