Chaos Computer Club - archive feed

about this event: https://c3voc.de

about this event: https://c3voc.de

In den letzten Jahren wurde schmerzhaft deutlich was viele bereits vermutet haben: Deutschland hat keine kohärente Strategie wie es die IT-Systeme und Infrastrukturen des Landes wirklich gegen Angriffe auf deren Verfügbarkeit, Integrität und Vertraulichkeit schützen will - Deutschland ist strategieunfähig und das muss geändert werden. Die erste Cybersicherheitsstrategie Deutschlands stammt aus dem Jahre 2010. Es handelte sich damals um ein Produkt des Innenministeriums was dazu eingelegt war die groben Strukturen für mehr Cybersicherheit in Deutschland zu schaffen. Hierunter fiel unter anderem der Aufbau des Cyber-Abwehrzentrums und des Cyber-Sicherheitsrates. Jedoch war diese Strategie sehr eng gefasst und brachte keine Vision hervor, wie inhaltlich oder mit der Architektur der deutschen Cybersicherheitsbehörden langfristig umgegangen werden soll. Die Hoffnungen waren groß, als die Bundesregierung ihre ressortübergreifende ("whole-of-government approach") Cybersicherheitsstrategie 2016 angekündigte. Leider wurde aller Optimismus schnell von der Realität eingefangen. Es handelt sich bei der Cybersicherheitsstrategie nicht um eine Strategie, sondern um ein Sammelsurium an Maßnahmen, welche die verschiedenen Behörden seit Jahren in der Schublade hatten. Ohne Analyse oder Evaulierung ob dies überhaupt notwendig oder zeitgemäß war. Hinzu kommt, dass die Strategie wieder keinen Masterplan für die behördliche Struktur hatte, über keinen hinterlegten Haushalt verfügte und die Belange der Industrie, Wissenschaft und Zivilgesellschaft absichtlich ignorierte. Auch ein Nachhalten des Umsetzungsstandes und eine Evaluation der Effektivität waren nicht vorgesehen. Interessant ist auch, dass beide Strategien als Reaktion auf geopolitische Ereignisse verstanden werden können: die 2010er als Antwort auf Stuxnet und die 2016er als Antwort auf die Snowden-Enthüllungen im Untersuchungsausschuss und den Angriff auf den Bundestag. Jedoch vermieden beide Strategien ein klares Bekenntnis zu IT-Sicherheit und Resilienz statt offensiver Cyberoperationen. Aktuell gibt es in der Welt zwei dominante strategische Ausrichtungen in der Cybersicherheitspolitik: 1. Die Nutzung von offensiven Cyberoperationen zur Abschreckung besserem Schutz der eigenen Systeme in Ergänzung zu defensiven Maßnahmen (z. B. USA/Israel) 2. Die Nutzung von offensiven Cyberoperationen zum Schaden des Gegners und der Überwachung der eigenen Bevölkerung ohne besonderen Fokus auf defensive Maßnahmen (u. a. China, Russland, VAE) Was hier fehlt ist eine Strategie die komplett ohne offensive Maßnahmen auskommt, bei defensiven Maßnahmen aber zusätzlich zu IT-Sicherheitsmechanismen verstärkt auf digitale und analoge Resilienz setzt. Auf europäischer Ebene nimmt das Thema Resilienz im Cyberraum gerade wieder Fahrt auf. Deutschland kann und muss eine treibende Kraft hinter dieser Initiative werden und einen dritten Weg anbieten; einen der komplett auf offensive Cyberoperationen verzichtet und diese lediglich für forensische Zwecke und Sicherheitsmaßnahmen wie Penetration Tests zulässt. Deutschland braucht eine Cybersicherheitsstrategie 2020 mit folgenden Kriterien: - Fokus auf Resilienz (digital/analog) als Vision - Evaluation der bisherigen Maßnahmen - Nachhalten und Beurteilung der Effektivität neuer Maßnahmen - Hinterlegung mit Finanzmitteln - Einbeziehung aller relevanten Sektoren ("whole-of-society approach") - Masterplan zur Architektur der Sicherheitsbehörden ####Aufzeichnung: [**hier**](https://youtu.be/qTRmKHoRSZo) ####Folien: [**hier**](https://www.defensivecon.org/slides/HERPIG-Resilienzstrategie für Deutschland.pdf) about this event: https://cfp.defensivecon.org/dcon2020/talk/MAMR8K/

Resilienz ist weit mehr als Verfügbarkeit und wurzelt in Disziplinen wie Ökonomie, Psychologie und Philosophie. Der Vortrag trägt die verschiedenen Konzepte zusammen und hält diese gegen aktuelle Konzepte wie Chaosengineering, BeyondProd, Shift Left und Defend Forward, um die Frage zu beantworten, welche Eigenschaften Systeme wie kritische Infrastrukturen tatsächlich resilienter machen. *Resilienz* hat sich längst zum zentralen Buzzword entwickelt, wenn es um den Schutz der Versorgungssicherheit in kritischen Infrastrukturen (KRITIS) geht. Passend zum Paradigma "Assume Breach" geht man auch bei der Verfügbarkeit inzwischen nicht mehr davon aus, dass diese in jeder Situation aufrechterhalten werden kann, sondern versucht, Systeme so zu designen, dass sie nach einer Schädigung (griech. *Trauma* - auch der Begriff der Resilienz stammt ursprünglich aus der Psychologie) möglichst bald und idealerweise selbstständig wieder in den Normalbetrieb "zurückspringen" (lat. *resilire*). Der Vortrag trägt Theorien und Ansätze aus der Systemtheorie (*Antifragilität*), Biologie (*Autopoiesis*), Psychologie (*Stress*- und *Trauma*therapie sowie *Coping*-Mechanismen) zusammen, um die Frage zu beantworten, welche Eigenschaften und Umgebungsparameter Systeme resilient(er) machen und gleicht diese mit aktuellen Ansätzen wie *Chaosengineering*, *BeyondProd*, *Shift Left* und *Defend Forward* ab um diese daraufhin abzuklopfen, was wirklich eine Chance hat, schnelle Wiederanlaufzeiten zu garantieren. ####Aufzeichnung: [**hier**](https://youtu.be/eUT23j7GQgI) ####Folien: [**hier**](https://www.defensivecon.org/slides/2020-02 DefensiveCon - David Fuhr - Assume Trauma v1.0.pdf) about this event: https://cfp.defensivecon.org/dcon2020/talk/FTJDCL/

Eine geopolitische Betrachtung von Digitalisierung mit Fokus auf Informations"krieg" sowie einige Vorschläge zur digitalen Verteidigung. Über die Machtposition eines Staates wird in Zukunft auch seine "digitale Situation" entscheiden. Digitale Strategien flankieren die unterschiedlichen geopolitischen Ansätze der Großmächte USA, China und Russland, digitale Mittel werden auch von kleineren Staaten als strategische Ressource eingesetzt. Vormals zivile Bereiche bekommen vor dem Hintergrund weltweiter Vernetzung und digitaler Verletzlichkeit einen stärker sicherheitspolitischen Aspekt. Am Beispiel Informationskrieg soll gezeigt werden, -dass IT-Sicherheit/KRITIS-Sicherheit auch über Kampagnen gefährdet werden kann, -dass die "Versicherheitlichung" ehemals ziviler Räume daher so verstörend wie nachvollziehbar ist, -wie man zwischen einzelnen "Angriffen" unterscheiden kann -dass aber die bisher zu ihrer Verteidigung entwickelten Strategien umgekehrt nur althergebrachte Verantwortlichkeiten berücksichtigen und -dass zumindest im Informationsraum Angriff durchaus nicht die beste Verteidigung ist. Aufgefrischt wird der Vortrag mit der AfD Kommunikationstaktik, der Verteidigungsstruktur des Baltikums und einer neuen Initiative von Reportern ohne Grenzen. ####Aufzeichnung: [**hier**](https://youtu.be/Fx_dX8CnzNk) ####Folien: [**hier**](https://www.defensivecon.org/slides/Machtpolitik_Defense_05_vonFranque.pdf) about this event: https://cfp.defensivecon.org/dcon2020/talk/HLX3RA/

about this event: https://c3voc.de

Dieser Vortrag befasst mich mit dem Recht auf Gegenmaßen. Beleuchtet wird insbesondere die Frage, ob Hacking-Back Operationen völkerrechtlich legitim als Maßnahmen auf Angriffe unterhalb der Schwelle von bewaffneten Konflikten sind. ####Aufzeichnung: [**hier**](https://youtu.be/dYMTO-Mjhzk) ####Folien: [**hier**](https://www.defensivecon.org/slides/DefensiveCon-Hackback_aus_voelkerrechtlicher_Perspektive-Janine_Schmoldt.pdf) about this event: https://cfp.defensivecon.org/dcon2020/talk/KEQTPT/

Die Bedrohungslage industrieller Steuerungssysteme hat sich in den letzten Jahren dramatisch gewandelt. In diesem Vortrag wird die Entwicklung von ICS Exploits und Taktiken ausgezeigt, um den anhaltenden „Race-to-the-bottom“ zwischen ICS Bedrohungsakteuren und Verteidigern zu verdeutlichen. Darüber hinaus wird das Verhältnis zwischen Informationssicherheit und Arbeitsschutz (Safety) aufgezeigt, als auch inwiefern aktuelle Cyber-Bedrohungen traditionelle Entscheidungen zum Safety Design unterwandern und die Schutzfunktionen von Safety-Systemen beeinträchtigen können. Anschließend wird diskutiert, welche Ressourcen zum Abwenden von humanitären Krisen erforderlich sind, die aufgrund eines Ausfalls von kritischen Infrastrukturen hervorgerufen werden. Industrielle Steuerungssysteme (ICS) sind spezielle Informationssysteme, die zur Steuerung physischer Prozesse wie z.B. bei der Energieerzeugung oder in Produktionsanlagen eingesetzt werden. Angriffe auf diese Systeme werden oftmals als „cyber-physische“ Angriffe bezeichnet. Verschiedene Industrieprozesse sind gesetzlich als kritische Infrastrukturen klassifiziert worden, da das gesellschaftliche Wohlergehen auf deren Funktionsfähigkeit beruht. Hierbei wurde dem Schutz kritischer Infrastrukturen im letzten Jahrzehnt eine hohe Relevanz zugesprochen, da zum einen die Industrie inzwischen durch die Nutzung des Internets als auch durch den Einsatz von Standard Hard- und Software Sicherheitsbedrohungen ausgesetzt ist, von denen sie Historisch gesehen isoliert waren. Und zum anderen, da die potentiellen Auswirkungen von Angriffes auf kritische Infrastrukturen nicht länger ignoriert werden können. Die Bedrohungslage industrieller Steuerungssysteme hat sich in den letzten Jahren dramatisch gewandelt. Neue Gefährdungen sind aufgekommen, wobei der Einsatz von Stuxnet, eine Malware, die 2010 zur Zerstörung des iranischen Atomprogramms genutzt wurde, eine Verschärfung der globalen Besorgnis bewirkt hat. In diesem Vortrag wird die Entwicklung von ICS Exploits und Taktiken ausgezeigt, um den anhaltenden „Race-to-the-bottom“ zwischen ICS Bedrohungsakteuren und Verteidigern zu verdeutlichen. Darüber hinaus wird das Verhältnis zwischen Informationssicherheit und Arbeitsschutz (Safety) aufgezeigt, als auch inwiefern aktuelle Cyber-Bedrohungen traditionelle Entscheidungen zum Safety Design unterwandern und die Schutzfunktionen von Safety-Systemen beeinträchtigen können. Anschließend wird diskutiert, welche Ressourcen zum Abwenden von humanitären Krisen erforderlich sind, die aufgrund eines Ausfalls von kritischen Infrastrukturen hervorgerufen werden. Das Ziel dieses Vortrags umfasst zwei Themen: (1) Zuhörern wird die Konzeption eines fortgeschrittenen Angriffs mit dem Ziel der physischen Zerstörung einer kritischen Infrastruktur aus Sicht des Angreifers aufgezeigt, (2) Anregung zur Diskussion, wie der Einsatz von cyber-physischen Angriffen idealer Weise reguliert werden kann. Durch die potentiellen kinetischen Auswirkungen bei cyber-physischen Angriffen und insbesondere deren Möglichkeit, menschliche Opfer zu verursachen, ist es für die nationalen und internationalen Gemeinschaften von IT-Sicherheitsexperten, Regierungen und humanitären Anwälten dringend erforderlich, Diskussionen zu diesem Thema anzuregen. ####Aufzeichnung: [**hier**](https://youtu.be/z_UPM5WVIuA) ####Folien: [**hier**](https://www.defensivecon.org/slides/DefensiveCon_2020_Krotofil.pdf) about this event: https://cfp.defensivecon.org/dcon2020/talk/JL7WVG/

Erfahrungen eines Cyber-Krisenmanagers, insbesondere im Umgang mit Behörden und sogenannten Experten. Durch mehr als 20 Krisenmanagement Einsätzen in Umfeld von Cybercrime, Spionage und Sabotage, haben sich Strukturen abgezeichnet, die ein fachliches Muster erkennen lassen und bei der Bearbeitung von Sicherheitsvorfällen extreme Verzögerungen erzeugen. Die technische und organisatorische Komplexität in der Bekämpfung von internationalen Cyberbanden stellt, Opfer, Strafverfolgung und die IT Industrie vor fast unlösbare Aufgaben. Der Vortrag zeigt die Strukturen, Probleme und Lösungsmöglichkeiten auf. ####Aufzeichnung: [**hier**](https://youtu.be/SbCmLQP18NQ) about this event: https://cfp.defensivecon.org/dcon2020/talk/SDSEBX/

Es ist unklar, inwiefern hackbacks tatsächlich zur Erreichung politischer Ziele, nämlich dass Angriffen aufhören oder verhindert werden, taugen. Neben der Frage der Effektivität, stellen sich eine ganze Menge strategischer, politischer und rechtlicher Fragen, bevor ein Gegenangriff initialisiert wird. Der Talk wirft genau diese Fragen auf, die sich politische Entscheidungsträger stellen wollten, bevor sie vorschnell zum Mittel des Hackbacks greifen. Die Anzahl jährlicher Cyber-Angriffe steigt wie gewohnt und immer mehr Staaten nutzen digitale Fähigkeiten immer offensiver: Russland zur Beeinflussung von Öffentlichkeiten und des Informationsumfeldes, China zur wirtschaftlichen Spionage und zum technologischen leap-frogging, Nord-Korea zum Umgehen von Sanktionen und zur Aufbesserung der Staatskasse und die USA zur weltweiten Machtprojektion und politischen Spionage. In die Cyber-Offensive werden viel Zeit, Energie und Geld gesteckt. Dagegen ist innerhalb der meisten Staaten vollkommen ungeklärt, wie man auf Cyber-Angriffe zu reagieren habe. Eindrücklich zeigt sich dies etwa an Vorfällen wie dem Sony Hack 2014, oder der Beeinflussung der US Wahl 2016, wo die größte Cyber-Macht der Welt, relativ ratlos dastand. Auch in kleineren Staaten wie Deutschland und Frankreich herrscht allgemeine Rat- und vor allem Strategielosigkeit, wie man politisch auf Cyber-Angriffe reagieren soll. Es scheint nur schlechte Optionen zu geben: internationale Anklageschriften haben nur symbolischen, aber keinen operativen Effekt auf Angreifer. Wirtschaftliche Sanktionen sind ungenau und oftmals ebenso wenig effektiv. Abschreckung funktioniert im Digitalen nicht. Rüstungskontrollregime sind nicht in Sicht. Aufgrund dieser Ratlosigkeit experimentieren immer mehr Staaten mit digitalen Gegenreaktionen, „hack backs“ oder euphemistisch, aktive Cyber-Verteidigung genannt. Dabei ist die Wirksamkeit von „hack backs“ umstritten. Inwiefern taugt das Mittel zur Erreichung politischer Ziele? Hören danach Angriffe wirklich auf? Was sind etwa die geostrategischen Implikationen, wenn man gegen russische oder iranische APT zurückschlägt? Wie sieht die Eskalationsleiter aus und wer hat die Eskalations-Dominanz? Wo sind eigene rote Linien? Neben diesen strategischen Fragen stellen sich für die Zivilmacht Deutschland auch völkerrechtliche Fragen. Nicht auf jeden Hack darf nach dem Völkerrecht reagiert werden, insbesondere wenn die Attribution unklar ist. Gegenreaktionen müssen völkerrechtlich proportional und zeitnah geschehen, was operativ nicht trivial zu realisieren ist. In Deutschland stellen sich aber auch konkrete verfassungsrechtliche Hürden, die verhindern, dass Deutschland in Friedenszeiten Schäden in fremden Territorien anrichtet. Der Talk wirft Fragen auf, die sich politische Entscheidungsträger stellen sollten, bevor sie zum Mittel des Hackbacks greifen. ####Aufzeichnung: [**hier**](https://youtu.be/Z1qQieYd7SY) ####Folien: [**hier**](https://prezi.com/view/VpI0fsChveMp1i7dO2OS) about this event: https://cfp.defensivecon.org/dcon2020/talk/9E7MLJ/

Freie Software gibt allen das Recht, Programme für jeden Zweck zu verwenden, zu verstehen, zu verbreiten und zu verbessern. In diesem Vortrag wird erklärt, warum Verwaltungen und Staaten auf Freie Software setzen müssen und wie sich durch den Einsatz Freier Software digitale Souveränität und IT-Sicherheit erreichen lässt. Die von unseren öffentlichen Verwaltungen angebotenen und genutzten digitalen Dienste sind die kritische Infrastruktur demokratischer Staaten des 21. Jahrhunderts. Um vertrauenswürdige Systeme zu etablieren, müssen öffentliche Stellen sicherstellen, dass sie die vollständige Kontrolle über die Software und die Computersysteme im Kern unserer staatlichen digitalen Infrastruktur haben. Doch im Moment ist dies aufgrund restriktiver Softwarelizenzen nur selten der Fall. In dem Vortrag werde ich den status quo erläutern und wie sich dieser verändern lässt. Vom Bug-Bounty Programm der EU Kommission bishin zum Parteitagsbeschluss der CDU zum Einsatz Freier Software möchte ich aufzeigen, was uns in den nächsten Jahren erwartet und worauf man beim Einsatz Freier Software achten muss. ####Aufzeichnung: [**hier**](https://youtu.be/kfNyPqvSuLk) ####Folien: [**hier**](https://www.defensivecon.org/slides/PMPC_Security_070220_FSFE_Sander.pdf) about this event: https://cfp.defensivecon.org/dcon2020/talk/CKMALW/

Warum wird der Hackback aktuell politisch überhaupt diskutiert? Wer könnte einen Hackback durchführen? Und wer darf das rechtlich überhaupt? ####Aufzeichnung: [**hier**](https://youtu.be/WTV3MIn_9NA ) ####Folien: [**hier**](https://www.defensivecon.org/slides/Dennis-Kenji Kipker Hackback DefensiveCon 2020.pdf) about this event: https://cfp.defensivecon.org/dcon2020/talk/STUJM3/

Panel zu IT-Sicherheitsgesetz v2.0 mit Teresa Ritter vom Bitkom e.V. , Dr. Gerhard Schabhüser vom BSI und Thorsten Schröder vom CCC e.V. ####Aufzeichnung: [**hier**](https://youtu.be/S48AiHyOc8M) ####Folien: [**hier**](https://www.defensivecon.org/slides/Panel zum IT-Sicherheitsgesetz v2_Bitkom_BSI_CCC.pdf) about this event: https://cfp.defensivecon.org/dcon2020/talk/V8MJUG/

Cyberangriffen begegnet man, indem man ihnen keine Einfallstore bietet. Das geht nur mit höchsten Standards und der höchsten Priorität von IT-Sicherheit. Hierauf muss das Augenmerk der Bundesregierung liegen. Wenn Bürger:innen tagelang im Dunkeln sitzen, Chaos im Verkehr ausbricht und Menschen auf Intensivstationen nur noch mit Notstromaggregaten behandelt werden können, werden sie nicht fragen: “Warum habt ihr nicht zurück gehackt?” sondern “warum habt ihr uns nicht geschützt?”. ####Aufzeichnung: [**hier**](https://youtu.be/JP86QU2eW54) ####Folien: [**hier**](https://www.defensivecon.org/slides/20200207_DefensiveCon_DefensiveCyberabwehr_Riedel.pdf) about this event: https://cfp.defensivecon.org/dcon2020/talk/HTVNTG/

Nachdem das Konzept einer Cyberwehr seitens des BSI aus verschiedenen Gründen gescheitert ist, stellt die AG KRITIS hier das selbstentwickelte Konzept eines CyberHilfsWerk (CHW) zur Vergrößerung der Bewältigungskapazitäten bei Großschadenslagen aus Cybervorfällen in kritischer Infrastruktur vor Um in entsprechenden Schadenslagen schnelle Hilfe zur Wiederherstellung der kritischen Dienstleistungen und Infrastrukturen bereitstellen zu können, müssen sich zivile Helfer organisieren und ihre Kräfte bündeln, analog zu den bereits existierenden Hilfsorganisationen auf anderen Gebieten. Die Arbeitsgemeinschaft Kritische Infrastrukturen strebt dafür die Gründung eines im bisherigen Entwurf so genannten Cyber-Hilfswerks (Arbeitstitel CHW) an. Hauptaufgabe ist die Organisierung ziviler Helfer und Spezialisten verschiedener Fachbereiche sowie die Bereitstellung von Verfahren und Rahmenbedingungen, um hauptamtliche Kräfte in (Groß-)Schadenslagen zu unterstützen. Es soll sich also um eine Organisation aus Freiwilligen und Ehrenamtlichen handeln, die bei einer digitalen Großschadenslage die bestehenden, derzeit aber geringen Bewältigungskapazitäten sinnvoll ergänzt und kritische Versorgungsdienstleistungen im KRITIS Umfeld wieder herstellt. Als schnelle Einsatzgruppe soll das CHW in der Lage sein kurzfristig auf Krisenszenarien zu reagieren und vor Ort an relevanten IT- sowie OT-Systemen der betroffenen Infrastruktur Hilfe zu leisten. Primäre Zielsetzung ist dabei immer der Schutz der Bevölkerung vor den Auswirkungen von Ausfällen oder Verschlimmerung der kritischen Infrastruktur. ####Aufzeichnung: [**hier**](https://youtu.be/63Uf3QwNXMY) ####Folien: [**hier**](https://www.defensivecon.org/slides/AG_KRITIS-CHW_Konzept_DefensiveCon2020_ijon.pdf) about this event: https://cfp.defensivecon.org/dcon2020/talk/77KJJQ/

Der Vortrag gibt einen Überblick über das Incident Response Portfolio des BSI über alle Phasen des Incident Response Life Cycles. Angefangen bei grundsätzlichen Empfehlungen, über Einzelfallberatungen bis hin zu einem Mobile Incident Response Team (MIRT) Einsatz beim Betroffenen bietet das BSI, je nach Zielgruppe, eine Reihe an Unterstützungsmöglichkeiten an, die beim Vortrag im einzelnen vorgestellt werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die nationale Cyber-Sicherheitsbehörde des Bundes. Das BSI ist verantwortlich für den Schutz der Regierungsnetze und ein Hauptakteur für die Cyber-Sicherheit bei Kritischen Infrastrukturen, insbesondere im Rahmen der NIS-Richtlinie der Europäischen Union. Der Vortrag gibt einen Überblick über das Incident Response Portfolio des BSI über alle Phasen des Incident Response Life Cycles: Preparation, Detection & Analysis, Containment / Eradication & Recovery and Post-Incident activity. Angefangen bei grundsätzlichen Empfehlungen, über Einzelfallberatungen bis hin zu einem Mobile Incident Response Team (MIRT) Einsatz beim Betroffenen bietet das BSI, je nach Zielgruppe, eine Reihe an Unterstützungsmöglichkeiten an, die beim Vortrag im einzelnen vorgestellt werden. Dabei werden die Aktivitäten durch eine ganze Reihe an Bereichen im BSI unterstützt und der Vortrag zeigt, warum eine breit aufgestellte Cyber-Sicherheitsbehörde ein essenzieller Faktor für Incident Response Fähigkeiten auf nationaler Ebene ist. ####Aufzeichnung: [**hier**](https://youtu.be/la7zh_zEvHM) ####Folien: [**hier**](https://www.defensivecon.org/slides/BSI_Vorfallsunterstützung_Dwucet.pdf) about this event: https://cfp.defensivecon.org/dcon2020/talk/SNQUTM/

Offensive Möglichkeiten im Cyber- und Informationsraum eröffnen neue Wege und Herausforderungen für Sicherheitsbehörden und staatliche Akteuere. Aber müssen wir jeden Weg gehen, um ihn kennen zu lernen? In Zeiten von Emotet und sich weltweit auf zehntausende Institutionen auswirkende VPN-Schwachstellen riskieren wir, die Resilienz unserer digitalen Gesellschaft und unserer Kritischen Infrastrukturen zu unterwandern, um Sicherheitsbehörden und staatlichen Akteuren durch HackBack und zurückgehaltenen Schwachstellen im Rahmen von Vulnerabilities Equities Prozessen den Weg frei zu machen, aber zu was? Mehr Sicherheit im Cyber- und Informationsraum? Mehr Staatstrojaner? Mehr digitale Souveränität? Oder müssen wir uns doch intensiver mit einer defensiven Cybersicherheitstrategie auseinandersetzen und das im Kontext der Verantwortung und Ethik näher betrachten? Warum es eine DefensiveCon für den zugehörigen Diskurs dieser Themenkomplexe erfordert... ####Aufzeichnung: [**hier**](https://youtu.be/NlAWF_nrX3I) ####Folien: [**hier**](https://www.defensivecon.org/slides/20200207_DefensiveCon_v2_Keynote_HonkHase.pdf) about this event: https://cfp.defensivecon.org/dcon2020/talk/VCK9GT/

Post-Snowden, privacy became a prime focus of the IETF, and let to the improvement of a number of Internet protocols. Among these protocols is the Domain Name System, which maps human readable names to machine readable addresses. The original DNS protocol communicates mostly in plain text over UDP, making it highly susceptible to eavesdropping. Since knowing what names a person queries for is highly revealing about their Internet surfing behaviour, the IETF decided to address the privacy shortcomings of the DNS. Initially, this led to the standardisation of DNS-over-TLS (DoT), and more recently, the standardisation of DNS-over-HTTPS (DoH). Especially this latter protocol has recently sparked a strong debate on the Internet, because of the decision of Mozilla to incorporate support for DoH in the Firefox browser, and to enable DoH by default, in which all DNS traffic is sent to Cloudflare's 1.1.1.1 resolver instead of the system-configured DNS resolver. Mozilla argued that this benefits user privacy, but this stance is highly controversial. This talk will provide the context of the DoH debate, explaining DNS privacy problems, DNS-over-TLS and DNS-over-HTTPS as protocols, and will then dive into why this is such a contentious issue. The goal is to not just examine this from a privacy perspective, but also to touch on the increasing centralisation of key Internet services such as the DNS. The talk is intended to be highly interactive, engaging the audience in the debate. The talk will finish by discussing developments in the open source DNS space that hope to improve the situation for DoH deployment by creating implementation diversity. about this event: https://chaostreff-osnabrueck.de/downloads/chaos_colloquium_flyer_a4.pdf

Gopher ist ein weitestgehend in Vergessenheit geratenes Protokoll für den Abruf von Dokumenten. Es ähnelt am ehesten dem Web 1.0, jedoch verwendet es eine strikt hierarchische Struktur und verzichtet bewusst auf komplexe Features wie Markup, Styling und Ausführung von Skriptsprachen. Trotz des Erfolges des World Wide Web existiert weiterhin eine Gruppe von Gopher-Enthusiasten, welche sogenannte Gophersites betreiben. In diesem Vortrag wird eine kurze Einführung in das Gopher-Protokoll gegeben und anschließend gezeigt wie das komplette IPv4-Netz nach Gopher-Services durchsucht und die gewonnenen Daten einer Analyse unterzogen wurden. Mithilfe dieser Daten wird versucht zu beantworten wer genau auf Port 70 lauscht und welche Inhalte heutzutage angeboten werden. about this event: https://c3voc.de

Der ESP32 verfügt über mehrere Digital-Analog-Konverter (DAC). Wenn man eine Audio-Datei in die entsprechende 8-Bit Werte umrechnet, kann man über diesen DAC Audio abspielen. Solche komplett unkomprimierten Audiodaten können allerdings schnell sehr groß werden. Es passen also leider nur einige Sekunden in den Speicher des ESP. Ein Vortrag im Rahmen der Fünf-Minuten-Termine. Die Idee ist einfach: An jedem vierten Mittwoch des Monats nutzen wir das volle Haus zum Open Space / Chaostreff und jede Person, die möchte, kann kurz vorstellen, was auch immer ihr vorschwebt. about this event: https://chaotikum.org/blog/2020/01/20/5min/

Der Public Domain Day ist ein internationaler Aktionstag zum Erlöschen des Urheberrechts und ein Eingehen von Werken in die Public Domain. Dieser gesetzliche Wechsel von durch das Urheberrecht geschützten Werken in die Gemeinfreiheit erfolgt in jedem Jahr am 1. Januar. TVLuke stellt vor, welche Werke dieses Jahr neu gemeinfrei geworden sind und damit jetzt frei verwendet werden können. Ein Vortrag im Rahmen der Fünf-Minuten-Termine. Die Idee ist einfach: An jedem vierten Mitwoch des Monats nutzen wir das volle Haus zum Open Space / Chaostreff und jede Person, die möchte, kann kurz vorstellen, was auch immer ihr vorschwebt. about this event: https://chaotikum.org/blog/2020/01/20/5min/

Fabi zeigt die älteste Schriftart und gibt einen Einblick in die Geschichte und Entwicklung von Schriftarten. Ein Überblick von der Trajanssäule über gebrochene Schriften bis zu modernen Grotesken. Ein Vortrag im Rahmen der Fünf-Minuten-Termine. Die Idee ist einfach: An jedem vierten Mittwoch des Monats nutzen wir das volle Haus zum Open Space / Chaostreff und jede Person, die möchte, kann kurz vorstellen, was auch immer ihr vorschwebt. about this event: https://chaotikum.org/blog/2020/01/20/5min/

about this event: https://c3voc.de

Einer der ältesten im Netz ausgetragenen Wettbewerbe ist der “International Obfuscated C Code Contest”, kurz IOCCC. Seit 1984 bietet dieser eine sichere Spielwiese für C-Programme, die auf den ersten Blick gegen alles verstoßen, was gute Programmierung ausmacht. Auf den zweiten Blick jedoch weisen viele dieser Programme Qualitäten auf, die man in anderen Software-Projekten auch gerne vorfinden würde. Der Vortragende ist ein langjähriger Fan dieses Wettbewerbs. Für ihn ging letztes Jahr ein Traum in Erfüllung: Er gehörte zu den Gewinnern, und das gleich mit zwei Programmen. Im Vortrag wird der IOCCC vorgestellt und vor laufender Kamera eines der beiden Gewinner-Programme seziert. Ziel ist es, mehr galaktische Lebewesen für den IOCCC zu begeistern. Einer der ältesten im Netz ausgetragenen Wettbewerbe ist der “International Obfuscated C Code Contest”, kurz IOCCC. Seit 1984 bietet dieser eine sichere Spielwiese für C-Programme, die auf den ersten Blick gegen alles verstoßen, was gute Programmierung ausmacht. Auf den zweiten Blick jedoch weisen viele dieser Programme Qualitäten auf, die man in anderen Software-Projekten auch gerne vorfinden würde. Der Vortragende ist ein langjähriger Fan dieses Wettbewerbs. Für ihn ging letztes Jahr ein Traum in Erfüllung: Er gehörte zu den Gewinnern, und das gleich mit zwei Programmen. Im Vortrag wird der IOCCC vorgestellt und vor laufender Kamera eines der beiden Gewinner-Programme seziert. Ziel ist es, mehr galaktische Lebewesen für den IOCCC zu begeistern. about this event: https://c3voc.de

about this event: https://c3voc.de

Thomas stellt vor, wie man mit einem ESP und einem Relaisboard unsere Leinwand steuern kann. Das Konzept lässt sich auf viele Systeme solcher Art übertragen. Seien es Rolladen, Garagentore oder ähnliches, die über einen einfachen Schalter gesteuert werden: Mit zwei Relais und einem ESP können diese Geräte in die Home Automation integriert werden. Ein Vortrag im Rahmen der Fünf-Minuten-Termine. Die Idee ist einfach: An jedem vierten Mittwoch des Monats nutzen wir das volle Haus zum Open Space / Chaostreff und jede Person, die möchte, kann kurz vorstellen, was auch immer ihr vorschwebt. about this event: https://chaotikum.org/blog/2020/01/20/5min/

Verabschiedung und Details zum Abbau about this event: https://talks.oio.social/36c3-oio/talk/GM9RV3/

about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/11224.html

Was hat sich im letzten Jahr im Bereich IT-Sicherheit getan? Was werden die nächsten Buzzwords sein und welche neuen Trends sind schon heute absehbar? Wie immer wagen wir den IT-Security-Alptraum-Ausblick auf das Jahr 2020 und darüber hinaus. Denn was wir wirklich wissen wollen, ist ja schließlich: Wer hat sich letztes Jahr mit seiner AI gestritten? Und wie entwickelt sich das Berufsbild des Blockchain-Exorzisten weiter? Gibt es bald IT-Sicherheits-Wettervorhersagen im Fernsehen? about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/11164.html

36C3 is run by teams of volunteers. In this event, they will provide some insight into the challenges they faced while building the GSM, DECT and IP networks, running video streams, or organizing ticket sales. All graphs will be pointing up and to the right. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/11235.html

Galina Balashova was the main architect and designer for the soviet space programme. She designed the interieurs and visual identity of spacecrafts such as the Soyuz, Buran, and Mir. »Space stations are not only technical structures but architecture built amidst zero gravity.« Galina Balashova (b. 1931) is a self-described "architect-engineer" who spent almost 30 years working in the Soviet Space Programme. She designed the ergonomics, the colours & style and the typography of most soviet spacecrafts, including the Soyuz, the Salyut space stations, the Buran shuttle and the Mir space station. Her pioneering work in the field of zero-gravity architecture is still referenced today in the ISS and other spacecrafts. about this event: https://talks.oio.social/36c3-oio/talk/UZAKPR/

Mit immer neuen Gesetzen gewinnt die Exekutive in Deutschland an Macht und Ressourcen. Die öffentliche Kontrolle von Ministerien und Geheimdienste gerät ins Hintertreffen. Wir sprechen darüber, warum dank Anfragen und Klagen nach dem Informationsfreiheitsfreiheitsgesetz in diesem Jahr der Kampf noch nicht verloren ist, wie wir gegen den BND vor Gericht gewonnen haben und wann das Zensurheberrecht endlich abgeschafft wird. Plus: Das Beste aus 100.000 Anfragen über FragDenStaat in diesem Jahr. Error 451 about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10496.html

Weltweit verlaufen die Entwicklungstrends des Markthochlaufs der Elektromobilität und die Weiterentwicklung relevanter Batteriefertigungs- und Recyclingtechnologien hoch dynamisch. Maßgebliche Faktoren für die Entstehung eines industriellen Batterierecycling-Marktes nehmen dabei erst langsam Gestalt an, der regulatorische Rahmen ist noch modellierbar. Zugleich ist der Technologiepfad Elektromobilität als eingeschlagen zu begreifen - die Notwendigkeit einer Verkehrswende zur Reduzierung des CO2-Ausstoßes begründet Umbrüche in der Automobilbranche, die mittelfristig zu steigenden Verkehrsanteilen von Fahrzeugen mit rein elektrischem oder hybridem Antrieb an den PKW-Neuzulassungen führen werden. Damit steigt der Bedarf an geeigneten Traktionsbatterien und die Nachfrage nach den zu ihrer Herstellung erforderlichen, endlichen Rohstoffen. Im Energiesektor stellt der Beschluss zum Kohleausstieg 2038 eine Zäsur dar: Mit der Zielstellung, die Lausitz – bislang Braunkohlerevier - als Energieregion zu erhalten und die Angleichung der Lebensverhältnisse in der strukturschwachen Region zu schaffen, gehen wir der Frage nach, ob durch die Errichtung einer Recyclingstrecke für Traktionsbatterien der Elektro-Mobilität ein Beitrag zur Gestaltung einer „Energieregion der Zukunft“ geleistet werden kann. Dies einerseits im Hinblick auf die Schaffung von Beschäftigung, um die im Kontext des Braunkohleausstiegs drohenden Verluste von Industriearbeitsplätzen zu kompensieren. Andererseits unter Maßgabe der Etablierung einer nachhaltigen, regional verankerten Kreislaufwirtschaft. Um nachhaltige Entwicklungschancen für die Lausitz im Zuge des Aufschwungs der Elektro-Mobilität abzuleiten, werden • die endogenen Potentiale der Region analysiert, • das zukünftige Altbatterie-Aufkommen und der technologische Entwicklungsstand des Li-Io-Batterierecycling aufgezeigt sowie • die regulatorischen Rahmenbedingungen auf den Prüfstand gestellt. Wir zeigen die offenen Flanken der Lithium-Ionen-„Batterierevolution“ auf, indem wir auch ihre Risiken diskutieren: Das Recycling der Lithium-Ionen-Batterien stellt sich demnach zukünftig als dringliche Notwendigkeit dar, denn • die zu ihrer Herstellung erforderlichen Rohstoffe sind endlich, • sie werden zum Teil unter Menschen unwürdigen Arbeitsbedingungen und mit erheblichen ökologischen Folgeschäden abgebaut, • es ist eine sichere und verantwortungsvolle Entsorgung bzw. Wiederverwertung der Batterien, die hochgiftige Substanzen enthalten, zu gewährleisten. Schließlich werden Handlungsempfehlungen für ein integriertes Entwicklungskonzept formuliert, die auf die Etablierung einer Kreislaufwirtschaft und Bottom-up Partizipation der Bevölkerung abstellen. Sie vermitteln Ideen, wie sich die Ansiedlung einer Zukunftstechnologie – wie des industriellen Batterierecycling - in „Regionen mit hohen Zukunftsrisiken“ unterstützen lässt und wie sich Strukturwandel so gestalten lässt, dass ökologische und soziale nicht gegen ökonomische Interessen ausgespielt werden. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10666.html

I will explore the ways in which music is influenced by making and hacking, including a whistle-stop tour of some key points in music hacking history. This starts with 1940s Musique Concrete and Daphne Oram’s work on early electronic music at the BBC, and blossoms into the strange and wonderful projects coming out of the modern music hacker scenes in London and Berlin, including a pipe organ made of Furbies, a sound art marble run, robotic music machines, gesture controlled moon cellos, and singing circuit sculptures. I'll also be sharing some of own work, plus my favourite new ways to make embedded instruments, including plenty of amazing Open Source hardware and software. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10548.html

Ausgehend von den behördlichen Messnetz für Stickoxide soll der Aufbau einer preisgünstigen Open Source Messstation für Stickstoffdioxid, inklusive Kalibrierung und der behandlung von Störenden einflüssen behandelt werden. Zusätzlich soll eine Webanwendung vorgestellt werden welche die Daten aus einem Messnetz der NO2-Messstationen sammelt, auf Karten visualisiert und somit dem Citizen Science Ansatz Rechnung trägt. Spätestens seit dem Abgasskandal (Dieselgate) und den daraus resultierenden Fahrverboten für Dieselfahrzeuge ist eine öffentliche Debatte um Stickoxide (insbesondere Stickstoffdioxid (NO2)) als Luftschadstoff entstanden. Die Stickstoffdioxidbelastung in Städten und Gemeinden verunsichert viele Bürgerinnen und Bürger, denn einerseits ist der Schadstoff nicht wahrnehmbar und andererseits kann Stickstoffdioxid eine erhebliche Gefahr für die Gesundheit darstellen. In Deutschland existieren derzeit nur ca. 350 offizielle Messstationen für Stickstoffdioxid, so dass ortsspezifische oder sogar flächendeckende Angaben zur Luftschadstoffbelastung nicht möglich sind. Ein flächendeckendes Messnetz ist laut Gesetz auch nicht vorgesehen. Folglich können politische oder gerichtlich durchgesetzte Maßnahmen zur Verbesserung der Luftqualität auch nur dort stattfinden, wo Messwerte existieren. Da es gegenwärtig keine Bestrebungen gibt das öffentliche Netz an Messstationen auszuweiten, möchten wir mit diesem Vortrag einen Vorstoß unternehmen, die technischen Grundlagen zur Errichtung eines bürgerschaftlichen Messnetzes zu eruieren und für diesen Zweck konkrete Bauanleitungen und Informationsdienste vorstellen. Im Gegensatz zu den mehrere tausend Euro teuren und eignungsgeprüften Messstationen zeigen wir eine hinreichend akkurate und preisgünstige (<50 Euro) Alternative auf. In dem Vortrag erklären wir euch zunächst wie Stickstoffdioxid durch offizielle Stellen gemessen wird und wie die Grenzwerte definiert sind. Anhand des Status Quo der Datenerhebung erläutern wir bestehende Defizite und Potentiale für eine genauere und flächendeckendere Messung von Luftschadstoffen wie Stickstoffdioxid. Im zweiten Teil des Vortrags beschreiben wir den Aufbau einer preisgünstigen Open Source Messstation für Stickstoffdioxid. Dabei werden Kriterien für die Auswahl von Komponenten und die Durchführung einer Vergleichsuntersuchung mit einem eignungsgeprüften Messgerät vorgestellt. Außerdem werden Kalibrierungsmethoden und die Behandlung von störenden Einflüssen durch Luftfeuchtigkeit und Temperaturschwankungen thematisiert. Im dritten Teil des Vortrags wird eine Web-Anwendung vorgestellt, die Daten aus einem Messnetz der NO2-Messstationen sammelt, auf Karten visualisiert und somit dem Citizen Science Ansatz Rechnung trägt. Dabei diskutieren wir auch Vor- und Nachteile unterschiedlicher kartenbasierten Darstellungsformen von Luftschadstoffmesswerten. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10948.html

The current social media situation is catastrophic. A single megacorporation controls the entire digital life of large parts of the world's population. Together with the rapidly improving methods for processing this data, a power that not only concerns experts is being bundled here. And Facebook's monopoly secures itself. On the one hand, users cannot leave Facebook(/ Instagram/WhatsApp) without being cut off from the social life of their friends. On the other hand, alternatives fail because they can't reach a critical mass. It seems impossible that a single application will ever replace Facebook. The freedom of the Internet is fundamentally threatened. Breaking the power of Facebook is probably one of the greatest challenges of our time. And in order to solve this task, we did come up with a detailed concept that we want to present to the public for the first time at 36c3. SNAC - Social Network Application Cluster - is the name of the protocol used to standardise data exchange between different social media applications. Just as email protocols enable users to choose their provider freely, this protocol should also enable greater diversity in this area. It is easy to see that a single application isn't able to satisfy the needs of every single user. With SNAC we enable a decentralized structure, where each user can choose his server, but also his client application, from a broad spectrum. By developing our pilot application Open Source, we make it easy for other developers to integrate their own applications into the network. But the decentralized Open Source dream alone is not enough to revolutionize the social media world. In order for the new applications emerging in SNAC to be able to run, an appropriate economic environment is needed to cover the operating costs. If the user accesses many different servers while surfing through the decentralized network, the question arises who is responsible for the access costs caused. There is a lack of a corresponding micropayment service with which it is possible to pay very small amounts easy and securely. At first glance, this seems like a project of its own, but it is closely linked to the operation of a decentralised social network. And there are several advantages emerging by linking social networks with a micropayment system. For example, users can donate a few cents to the creators of content they value, which then adds up to a fair reward for the creators. And this is done directly, independently and without forced ads for the users. But the mental alarm bell of data security rightly rings here when one tries to link financial and private communication data. Therefore, it is all the more important to hand over data sovereignty to the user when planning the protocols and to leave the server operators only the task for which they are fairly paid - the operation of the servers. We are currently putting this concept into protocols that enable secure transactions and protect the user's data. The aim is to create an environment where everyone has the chance to honestly and transparently pay the costs they incur instead of filling the pockets of corporations with their data. Our project is quite daring, that is clear to us. And yet we are sure that this is exactly what we want to do in the coming years. Because there is a chance that we will find 15 crazy people who want to develop this utopia together with us. There's a chance we'll find 50,000 people supporting us with an average of 1€ a month to feed our 15 crazy developers. There's a chance that we can create an environment where many small subnets with cool innovative applications can trigger a movement that's going to be so big it will overcome Facebook's monopoly. And above all, we can create an environment where technology benefits people again, rather than the other way around. If 36c3 isn't the right place for a project like this, what else is? We will give a talk in which we will discuss a better world and the difficulties that lie on the path there. We want to encourage listeners to think and participate, but above all we are also there to initiate a discussion. We want to hear all the concerns and mistakes that we overlook and we need the expertise from all the different angles that only the CCC brings together. Hi! We're offeringa bit of a different talk, where we want to present a project that might bring a renaissance to the independence and freedom of the internet. We want to dream together of a better world, but then also talk about the concrete steps that need to be done to get there. about this event: https://talks.oio.social/36c3-oio/talk/BBL8YL/

Während Marketingabteilungen mit Buzzwords wie "KI", "IoT" und "Blockchain" um sich werfen, schütteln die meisten hier den Kopf. Und womit? Mit Recht. Vielen Anwender*innen und polizischen Entscheidungsträger*innen fehlt es aber schlicht an technischer Kompetenz, um Probleme wie Stalkerware, politische Einflussnahme durch soziale Medien und Algorithmen(ethik) im Kern zu begreifen. Aber wie können wir die Erfahrungen und das Wissen in dieses Draußen vermitteln, um den Menschen eine Chance zu geben, nicht bei jeder kleinsten Gelegenheit auf die Dummschwätzer reinzufallen? Wie können wir positiv Einfluss nehmen auf die Gesellschaft, damit informierte Entscheidungen überhaupt möglich sind? Wie kriegen wir vermittelt, was technisch bereits alles möglich ist und was (noch) nicht? In vier Jahren PrivacyWeek haben wir die Themenbreite der "Digitalisierung" (BINGO!) mehrfach durchgearbeitet und gemeinsam mit den Vortragenden kommen wir immer wieder zum selben Schluss: Es braucht mehr Aufklärung und technische Kompetenz in der Bevölkerung, um die Probleme, die die weltweite Vernetzung mit sich bringt, überhaupt zu begreifen und ihnen begegnen zu können. Und letztlich bleibt die Frage, wo wollen wir als CCC letztlich hin? Wie können wir einen Informationstransfer forcieren, der über einige im eigenen Saft kochenden Initiativen hinausgehnt? Und wollen wir das überhaupt? Eine Zusammenstellung der inhaltlichen Learnings von vier Jahren PrivacyWeek. about this event: https://fahrplan.chaos-west.de/36c3/talk/GVQMJW/

Some Initiatives are trying to provide internet access and VoIP dial-out in a user-owned (Commons Economy) or completely open infrastructure. We will present the state of affairs and invite to a discussion on the possible perspectives. about this event: https://talks.oio.social/36c3-oio/talk/BFEFPM/

Wir müssen jetzt entscheiden, in welcher digitalen Welt wir leben wollen. Im Bereich des Datenschutzes und der Informationsfreiheit werden schwer umkehrbare Weichenstellungen vorgenommen, die weitreichende Konsequenzen für unsere Zukunft haben. Als Bundesdatenschutzbeauftragter setze ich mich mit der Durchsetzung der Datenschutz-Grundverordnung, der Regulierung von Verbraucher-Scoring und -Profiling und der Weiterentwicklung des europäischen Datenschutzrechts auseinander. Besonders beschäftigen mich dabei auch die Debatten um digitale Überwachung und massiv ausgeweitete Befugnisse der Sicherheitsbehörden. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/11218.html

Aadhaar is India's national biometric identity database, with over one billion records comprising fingerprints, iris scans and basic demographic information. It is presented as identity technology, allowing an individual to identify themselves, but also as an identification technology, allowing the state to see an individual, identify fraudulent welfare beneficiaries, and thus realise savings. These claims are not complementary. They are in fact contradictory, compromising each other. If one must be true, the other must somehow be false, and this is the reality of Aadhaar. This talk will demonstrate how Aadhaar's attempt to be a cure for all kinds of ailments has in fact resulted in large scale exclusion and fraud. We will look at a series of design assumptions in Aadhaar's architecture, the gaps in them, and then examples of how these gaps were exploited, from public news reports. Aadhaar is often touted as a revolutionary technology that has simultaneously given identity to billions and realised substantial savings from fraud for the government. These utopian visions are finding buyers around the world. Jamaica, Morocco and Kenya have all adopted projects inspired by Aadhaar, and more countries are following suit. Unfortunately, Aadhaar is not magic, and there is now an urgent need for a sober understanding to be taken worldwide. The Kaarana project began in 2017 as a collaboration between programmers and lawyers, to document architectural assumptions and their impact on human rights. The project's findings were presented as evidence to the Supreme Court of India in 2018, and are acknowledged in a scathing dissent by Justice Chandrachud (September 2018). This dissent was in turn cited by the Supreme Court of Jamaica to shut down a biometric identity program in that country (April 2019). In September 2019, Kaarana member Anand Venkatanarayanan also appeared as a witness in the Supreme Court of Kenya in a petition against Huduma Namba, the Kenyan biometric identity program. We hope that this presentation at CCC will help public interest technologists from around the world prepare for a critical examination of similar programs in their countries. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10885.html

Der Talk wird eine wilde Fahrt, vorbei an umfallenden Rollern, etwas Kunst mit Sharing-Daten, einer Shoppingtour aus Recherchegründen auf asiatischen Großhandelsplattformen, Sicherheitslücken in Fahrradschlössern, welche einen deutschen Bikesharer dazu bringen, seine 6000 Räder weltweit wieder einzusammeln, der Analyse von risikokapitalgetriebenen Sharingsystemen bis hin zum Gegenentwurf: Wie angewandte Lobbyarbeit für mehr offene Mobilitätsdaten aussieht. Und wie man es selbst in die Hand nehmen kann. Der Markt der Mobilitätsangebote ist in den letzten Jahren immer schneller immer größer geworden. Von einfachen Bikesharing-Rädern über E-Bikes, Lastenrädern hin zu Scootern bekommen wir in Großstädten immer mehr Möglichkeiten, ohne eigenes Gefährt trotzdem mobil zu sein. Aber warum nur in Großstädten? Wie nachhaltig ist das? Warum brauche ich immer noch 20 Apps für jede Stadt? Wie sehen diese Sharingsysteme eigentlich technisch aus? Was passiert mit den Daten und was lässt sich mit ihnen anfangen? Und warum sollten wir Mobilität eigentlich risikokapitalgetriebenen Technologieunternehmen überlassen? Daher bauen wir ein Open Source Bikesharingsystem: nicht profitorientiert und offen für alle, erprobt auf dem CCCamp19. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10881.html

In diesem Vortrag nehmen wir euch mit auf eine Reise durch das Haecksenjahr 2019. Wir streifen kurz die deutsche Statistik über Femizide in Deutschland, bei der Deutschland sechst-schlechtestes Land im europäischen Vergleich ist. Femizide führen direkt zur Hexenverbrennung um ca. 1550. Viele Belege weisen darauf hin, dass die Verfahren zur Unterdrückung von Aufständen in der Bevölkerung gedacht und nicht einfach Effekte von Massenhysterien waren. Dann schwenken wir auf die positive Seite unseres Jahres um. Wir geben euch eine Führung durch unsere Kunstgalerie (Briefmarken, Postkarten Memorials und mehr), zeigen Einblicke in ein Haecksen-Geekend und wie wir unsere 100 neuen von 292 Haecksen insgesamt integrieren und aktivieren. Außerdem verraten wir euch, in welchen Chaos-nahen Gruppen sich Haecksen-Gruppen befinden und was sie dort in 2019 gemacht haben. Zusätzlich dazu haben sich Haecksen dezentral zu den Themen Klimawandel und die Effekte von Bias in Trainigsdatensätzen zusammengeschlossen. Wir schließen mit der Vorstellung von NIFTI http://nifti.org als der neue zentrale Knotenpunkt der Gemeinschaft aller FNIT-Gruppen mit Interesse an Technik. Und wir werden dabei unser 30jähriges Jubiläum feiern. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10903.html

At the center of Clemens Schöll's latest art project is the "Wohnungsbot" (flat-bot), which automates flat searching in Berlin. But it doesn't only try to search flats for everybody, it fundamentally questions power-relationships in (flat-searching) online platforms. Where are the utopias about public automation? Who should be able to automate what, and how? <p>With increasing urbanization and financial speculation on the housing market the search for a flat in any big city has become an activity that consumes a lot of resources for people in need of housing: beyond the emotional load a significant share of your supposed leisure time is being consumed by repetitive tasks. Online platforms force us to refresh pages, scroll, click here, click there, look at a few pictures and eventually copy-paste our default text over and over again. If you're ambitious you maybe adjust the lessor's name or the street. But honestly, why do we do this? It could be so easily automated.</p> <p>The 'automation drama in three acts' by media artist Clemens Schöll titled <i>"Von einem der auszog eine Wohnung in Berlin zu finden" (Of someone who went forth to find a flat in Berlin)</i> speculates about alternative strategies and narratives for both the housing market as well as automation itself. At the center of the multi-exhibition project stands the Wohnungsbot (literally: flat-bot), a free open source software to automate flat-searching and applications in Berlin, released to the public in June 2019.</p> <p>But the Wohnungsbot is about much more than just rejecting the out-of-control housing situation. There are no technological fixes for social problems. By reclaiming de-facto working time a fundamental utopia of automation is opened once again. Who should be able to automate, what should they be able to automate, and how?<br/> But even if these tools are publicly available – who is aware of them and who is able to use them?</p> <p>Looking back in history we find that automation has always been accompanied with struggles of power and labor. How have we reached a state where only institutions, be it private companies (usually for-profit) and the state, are allowed or able to automate? Why has automation become a synonym to nightmares of many people, such as mass unemployment? If we're not asked for consent (or don't want to give it) to being dehumanized by automated processes, how can we oppose these practices?</p> <p>Ultimately, we can look at ourselves (at Congress) and ask: where do we stand in this? With many of us being <i>"people who write code"</i> (title of a previous artistic research project by Clemens Schöll) we must reflect if and how we shape this tension with our work and existence.</p> about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10988.html

<p><span style="font-family: 'Helvetica Neue', Helvetica, Helmet, Freesans, sans-serif; font-size: 12.806402206420898px; background-color: #fafafa;">The Toniebox plays songs or reads stories to your kids when they put a little figurine </span><span class="more" style="margin: 0px; padding: 0px; font-size: 12.807682991027832px; font-family: 'Helvetica Neue', Helvetica, Helmet, Freesans, sans-serif; display: inline;">on top of it.<br style="margin: 0px; padding: 0px; font-size: 12.808963775634766px;" />We show how to create a backup of it and use the ChameleonMini in place of it in case your kid ate it.</span></p> about this event: https://cfp.verschwoerhaus.de/36c3/talk/VD7ARK/

Heat waves, wildfires and new movements like Fridays for Future and Extinction Rebellion have brought the climate crisis back into the news. If the world continues to emit greenhouse gases like today, the world will heat up by at least 3 degree celsius, potentially much more. Yet despite increased attention for the climate crisis no political action even remotely sufficient to tackle the problem is in sight. The talk will give a brief overview of the state of the science of climate change, the politics and the scale of the challenge. It'll also give an overview of some - more or less scientific - worst case predictions that sometimes lead to claims that it's just "too late to do something", which may become a new form of justification for not doing anything. about this event: https://fahrplan.chaos-west.de/36c3/talk/ZQP3NG/

Reverse Engineering of integrated circuits is often seen as something only companies can do, as the equipment to image the chip is expensive, and the HR costs to hire enough reverse engineers to then understand the chip even more so. This talk gives a short introduction on the motivation behind understanding your own or someone else’s chip (as a chip manufacturing company), and why it might be important for the rest of us (not a chip manufacturing company). The focus is on understanding what millions of logical gates represent, rather than the physical aspect (delayering, imaging, image processing…), because everyone can do this at home. I will introduce some proposed countermeasures (like logic encryption) and explain if, how and why they fail. The talk will give a general overview of the research field and explain why companies are interested in reverse engineering ICs (IP overproduction, Counterfeits, Hardware Trojans), as well as why it’s important for an end user (IC trust, chip failure). Then, I will very shortly introduce the reverse engineering workflow, from decapsulating, delayering, imaging, stitching, image processing and then come to the focus: netlist abstraction. The idea is to show some methods which are currently used in research to understand what netlists represent. Some theory will be explained (circuit design, formal verification of circuits, graph theory…), but I want to keep this to a minimum. Finally, I will show some current ideas on how to make reverse engineering difficult, as well as some attacks on these ideas. The talk does not give insights into how large companies do reverse engineering (i.e. throw money at the problem), but rather show the research side of things, with some of the methods published in the last couple of years, which is something everyone can do at home. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10976.html

The talk will address how passenger name records (PNR) of flight passengers are currently used by law enforcement throughout the European Union to track and identify suspects of a variety of crimes, how this is likely to be only a first step by the security state to surveil our every movement. Two NGOs have joined forces to stop this new form of indiscriminate mass surveillance in the courts and build safeguards against future infringements of our fundamental right to privacy. The PNR directive obliges all EU member states to process and save for five years all PNR data of passengers entering or exiting the European Union by plane. All member states have agreed to voluntarily extend this practice to all intra-EU flights as well. Subsequently, the data of hundreds of millions flight passengers are being checked against databases, generating vast amounts of false positives and futile infringements on passengers’ right to privacy. The data are also processed against “pre-determined criteria” which allows law enforcement to define “suspicious flight patterns”. The goal of this profiling of our travel movements is to find suspects among flight passengers that the authorities have never even heard of before. The system has no effective safeguards to prevent vast numbers of people from being falsely labeled as potential terrorists. Member states are already planning to extend this practice to international buses, trains and ferries – even though the effectiveness of processing flight passengers’ PNR data has yet to be proven. By this logic, the next step would be to track rental cars, then all cars, then mobile phones, and finally getting rid of the criterion “international”, enabling the state to surveil our every movement and to identify those of us who seemingly move around in suspicious patterns. But there is hope. The Court of Justice of the European Union (CJEU) has proven before to be critical of indiscriminate mass surveillance affecting people that are not even on the authorities’ radar yet. Therefore, the Gesellschaft für Freiheitsrechte, a German NGO focused on strategic litigation, and epicenter.works, an Austrian NGO focused on protecting human rights in the digital age, have started legal proceedings against the PNR directive, aiming to have German and/or Austrian courts ask the CJEU whether the PNR directive and national transposition laws violate the Charta of Fundamental Rights. This talk will explain how law enforcement currently processes PNR data, how this violates fundamental rights, how these surveillance systems may soon extended to other means of transportation, and what strategy civil society is pursuing to stop this from happening. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10919.html

The talk explains and illustrates the procedural and technical details of the surveillance in and around the Ecuadorian embassy in London during the time Julian Assange stayed in there from June 2012 until April 2019. In the aftermath of Assange's expel from the ecuadorian embassy in London and his arrest based on a US extradition warrant evidence appeared that the "Security" measures of the embassy had at some point switched from protecting Assange and the embassy to an extremely detailled surveillance operation both against Assange and his visitors. The Spanish company "Undercover Global" that has been in charge of the embassy between 2015 and April 2018 and its owner and CEO is under investigation for spying on behalf of the CIA. Material from the second company that has taken over the embassy "Security" in April 2018 has found its way into an attempted extortion and is also subject to a legal investigation. The talk will contain material both documenting the surveillance measures installed as well as audio and video material obtained by the surveillance gear. It will also briefly touch on surveillance measures experienced elsewhere by friends, lawyers, media partners and associates of Assange and Wikileaks in the context of the ongoing man hunt. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/11247.html

<p>The <a href="https://ngi.eu">Next Generation Internet</a> initiative is the first concerted effort in Europe to put significant public funding to hands-on work to really fix the internet. The long term <a href="https://ngi.eu">vision</a> of the initiative is to make the internet what we need and expected it to be in the first place: <strong>Resilient</strong>. <strong>Trustworthy</strong>. <strong>Sustainable</strong>. The concrete mission of the Next Generation Internet initiative is to "re-imagine and re-engineer the Internet for the third millennium and beyond". With new projects starting all the time, the density of awesome open source, open hardware, new science and new standards in-the-making is already intense: about 200 projects are currently on their way. These range from encrypted synchronisation for calendars and address books to symbolical protocol verification, from an open hardware RISC-V SoC to removing binary seeds from operating systems, from ethical search to the Fediverse etc. <p>NGI Zero offers funding to independent researchers and FOSS developers working on free and open projects in the area of privacy and trust enhancing technologies and on search, discovery and discoverability. It also offers an elaborate 'pipeline' of supporting activities that live up to high standards (sometimes called 'walk the talk') in terms of security, privacy, accessibility, open source licensing, standardisation, packaging, etc. The talk will provide an overview of the awesome R&D that is now in the pipeline, how the programme is organised and everything you need to know about the various opportunities to 'come and work for the internet'. </p> <p><a href="https://nlnet.nl/discovery">NGI Zero Discovery</a> and <a href="https://nlnet.nl/PET">NGI Zero PET</a> are a significant effort and ambitious effort by a large group of organisations led by <a href='https://nlnet.nl/foundation' rel="me">NLnet foundation</a> (that was instrumental in <a href="https://nlnet.nl/foundation/history">pioneering the early internet in Europe</a>): <ul> <li><a href="https://accessibility.nl/english">Accessibility Foundation</a> - Center of expertise on accessibility of internet and other digital media for all people, including the elderly and people with disabilities</li> <li><a href="https://apc.org">Association for Progressive Communications</a> - A global network and organisation that strives towards easy and affordable access to a free and open internet to improve the lives of people and create a more just world</li> <li><a href="https://techcultivation.org/">Center for the Cultivation of Technology</a> - A charitable non-profit host organization for international Free Software projects</li> <li><a href="https://commonscaretakers.com">Commons Caretakers</a> - A not-for-profit service provider for the development of Commons</li> <li><a href="https://www.netsec.ethz.ch/">Network Security Group</a> of <a href="https://www.netsec.ethz.ch/">Eidgenössische Technische Hochschule Zürich</a> - Academic research institute focused on building secure and robust network systems</li> <li><a href="https://fsfe.org">Free Software Foundation Europe</a> - Association charity that aims to empower users to control technology.</li> <li><a href="http://www.ifross.org/" class="external" target="_blank">ifrOSS</a> - Provides not-for-profit legal services and studies in the context of free and open source software</li> <li><a href="https://nixos.org/nixos/foundation.html">NixOS Foundation</a> - Foundation supporting development and use of purely functional configuration management tools, in particular NixOS and related projects</li> <li><a href="https://nlnet.nl">NLnet Foundation (NL)</a> - Grantmaking public benefit organisation founded by pioneers of the early European internet</li> <li><a href="https://ps.zoethical.com/">Petites Singularités</a> - Non profit organisation working with free sofware and focusing on collective practices</li> <li><a href="https://radicallyopensecurity.com">Radically Open Security</a> - Not-for-profit open source security company</li> <li><a href="http://securesoftware.nl" class="external" target="_blank">TIMIT</a> - Experts in secure software</li> <li><a href="http://translatehouse.org/"

What does Wikimedia do to modernize WIkipedia's user experience, and why does it take so long? Editing Wikipedia feels like a blast from the past, and even just reading articles feels a bit dusty. Why is that? And how can it be fixed? And how can you help? about this event: https://cfp.verschwoerhaus.de/36c3/talk/XM97YV/