Chaos Computer Club - archive feed

An update on the circumstances of Mr Snowden and the Snowden Refugees will be provided at the 36C3 event and venue in December 2019. There have been many significant events and incidents during 2019. Of these significant events is the major success of Vanessa Rodel and her daughter Keana being granted refugee status by Canada and resettled in Montreal, Canada in late March 2019. Vanessa’s journey to Canada will be discussed. More significantly the issue of the Canadian government having left Supun and his family and Ajith behind in Canada has split up a family namely Keana in Montreal from her father Supun and siblings Sethumdi and Dinath in Hong Kong. In further context of the emerging police state that Hong Kong has become and its arbitrary and disproportionate use of violence against protesters and innocent civilian bystanders and breaches of constitutional rights and under international law, this has re-traumatized The Snowden Refugees in Hong Kong and has put them all at heightened risk. The lecture will cover the current global erosion and dismantling of international refugee and constitutional law by increasingly authoritarian democracies and loss of international protection for whistleblowers and those who protect whistleblowers. It will be discussed how this has impacted upon the cases of Mr Snowden and The Snowden Refugees. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10574.html

<p>In this talk we will see how chaos can be used to find very peculiar trajectories for space crafts within the Solar System. To understand this, we will also have a short look at the basics of orbital mechanics as well as three-body problems.</p> <p>When traveling to Mars in a space craft, you want to find a compromise between flight duration and fuel consumption. One common trajectory for achieving this is the so-called Hohmann transfer which takes about 9 months from Earth and needs two maneuvers, both of which are accelerations!</p> <p>Usually, when modeling movement of space crafts, one uses the Kepler model of two massive bodies attracting each other via gravitation. In case you have more time available for a space journey, however, you might consider a third body in your calculations. This introduces a very chaotic behavior, which you can use in turn to find very special trajectories that allow you to get to various places spending a lot less fuel. Unfortunately this will be much slower.</p> <p>These special trajectories are called low-energy transfers and form a part of the so-called interplanetary transport network. There have been a handful of missions already using these trajectories, e.g. JAXA’s Hiten probe in 1990 and ESA’s BepiColombo which is en route to Mercury right now.</p> <p>In this talk we will have a short introduction to the ever-surprising world of orbital mechanics followed by a discussion of the three-body problem including Lagrangian points. We will then see what the so-called weak stability boundary is and how chaos can help us understand why these strange trajectories exist. No math knowledge required!</p> about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10918.html

About hacking wheelchairs, building custom bicycles, adapters to use e-scooters as outboard motors: Empowering people with disablitities or healthcare needs through Open Hardware. Presentation on experiences and lessons learned in collecting and co-creating open personalized DIY healthcare solutions for replicability and adaptability in Makerspace worldwide. Careables are open source solutions that aim to improve the quality of life for people with unmet particular needs or facing physical limitations. Careables are often co-designed, replicable, accessible, adjustable and shareable online using digital technologies. about this event: https://talks.oio.social/36c3-oio/talk/UYCLAE/

Many schools in Germany choose to distribute their substitute plans via a proprietary platform. The provided client software is not very pleasurable to use and inconveniences users with its dependency on Google Play Services. That's why I develop a free client for Android called DSBDirect, which is able to display plans in a nice, filtered way. Many schools in Germany choose to distribute their substitute plans via the proprietary [[DSB platform]](https://heinekingmedia.de/education/digitales-schwarzes-brett). The provided client software is not very pleasurable to use and inconveniences users with its dependency on Google Play Services. That's why I develop a free client for Android called DSBDirect, which is able to display plans in a nice, filtered way. Since they noticed my app, the company operating DSB has been obfuscating their various endpoints more and more in an attempt to prevent my app from working, while on the other hand not being very competent at security. It's a cat-and-mouse game. about this event: https://cfp.verschwoerhaus.de/36c3/talk/PMD8TF/

Sexualisierte Gewalt ist Alltag in Deutschland. Leider. „Laut einer deutschlandweiten Repräsentativstudie erlebt jede 7. Frau in Deutschland im Lauf ihres Lebens strafrechtlich relevante sexualisierte Gewalt. 60% aller Frauen in Deutschland haben sexuelle Belästigung erlebt." schreibt der Bundesverbands Frauenberatungsstellen und Frauennotrufe. " Jährlich werden der Polizei 11.000 Fälle sexuellen Missbrauchs von Kindern bekannt. Die Dunkelziffer im Bereich sexualisierter Gewalt ist hoch.“ (https://www.frauen-gegen-gewalt.de/de/was-ist-das-187.html) Sexualisierte Gewalt geht in den seltensten Fällen von Fremden aus, meist wird sie durch Personen aus dem Bekannten- und Familienkreis ausgeübt. Viel zu kurz kommt hingegen die Auseinandersetzung mit dieser Thematik, mit den Folgen für Betroffene, Möglichkeiten der Prävention und der Unterstützung von Betroffenen. Auf gesellschaftlicher Ebene, aber auch in Communities. Das Ausmaß sexualisierter Gewalt ist seit Jahrzehnten unverändert. Sexualisierte Gewalt ist nach wie vor ein Tabuthema - und das macht es so schwierig, etwas zu verändern. Es ist wichtig, das Schweigen zu durchbrechen und Betroffenen* Angebote zur Unterstützung zu machen. Hier stehen wir alle in der Verantwortung, auch in der Chaos-Community. Indem wir eine Atmosphäre schaffen, in der über Erfahrungen mit sexualisierter Gewalt geredet werden kann, können wir Betroffene in der Bearbeitung unterstützenund insgesamt zur Sensibilisierung beitragen. Gruppen zur Unterstützung Betroffener und Awarenessgruppen sind eine Möglichkeit, um Betroffene von sexualisierter Gewalt zu stärken und ein Bewusstsein für Veränderung zu schaffen. Professionelle Organisationen klären auf, beraten und begleiten Betroffene. Hacken ist nicht ausschließlich eine technische, sondern auch eine politische und soziale Aktion und ebenso eine interaktive Handlung. Lasst uns die Tabuisierung des Themas sexualisierte Gewalt hacken und zusammen daran arbeiten, unsere Community zu einem besseren Ort zu machen. about this event: https://fahrplan.chaos-west.de/36c3/talk/R33ZSA/

In this talk I will outline my journey implementing my X11 window manager `hikari` and the corresponding Wayland compositor shortly after. `hikari` is a stacking window manager/compositor with some tiling capabilities. It is still more or less work in progress and currently targets FreeBSD only but will be ported to Linux and other operating systems supporting Wayland once it has reached some degree of stability and feature completeness. This talk covers: * a brief explanation regarding differences between X and Wayland * some of `hikari`'s design goals and motivation * choice of programming language * an overview of libraries that were used * tools for ensuring code quality and robustness * obstacles * resources that helped me to implement the whole thing about this event: https://fahrplan.chaos-west.de/36c3/talk/WYZGGQ/

Modern grey-box fuzzers are the most effective way of finding bugs in complex code bases, and instrumentation is fundamental to their effectiveness. Existing instrumentation techniques either require source code (e.g., afl-gcc, ASan) or have a high runtime performance cost (roughly 10x slowdown for e.g., afl-qemu). We introduce Retrowrite, a binary rewriting framework that enables direct static instrumentation for both user-mode binaries and Linux kernel modules. Unlike dynamic translation and trampolining, rewriting code with Retrowrite does not introduce a performance penalty. We show the effectiveness of Retrowrite for fuzzing by implementing binary-only coverage tracking and ASan instrumentation passes. Our binary instrumentation achieves performance similar to compiler-based instrumentation. Fuzzing is the method of choice for finding security vulnerabilities in software due to its simplicity and scalability, but it struggles to find deep paths in complex programs, and only detects bugs when the target crashes. Instrumentation greatly helps with both issues by (i) collecting coverage feedback, which drives fuzzing deeper into the target, and (ii) crashing the target immediately when bugs are detected, which lets the fuzzer detect more bugs and produce more precise reports. One of the main difficulties of fuzzing closed-source software is that instrumenting compiled binaries comes at a huge performance cost. For example, simple coverage instrumentation through dynamic binary translation already incurs between 10x and 100x slowdown, which prevents the fuzzer from finding interesting inputs and bugs. In this talk we show how we used static binary rewriting for instrumentation: our approach has low overhead (comparable to compile-time instrumentation) but works on binaries. There are three main techniques to rewrite binaries: recompilation, trampoline insertion and reassembleable assembly. Recompilation is the most powerful but it requires expensive analysis and type recovery, which is an open/unsolved problem. Trampolines add a level of indirection and increase the size of the code, both of which have a negative impact on performance. Reassembleable assembly, the technique that we use, suffers from neither problem. In order to produce reassembleable assembly, we first disassemble the binary and then symbolize all code and data references (replacing offsets and references with references to unique labels). The output can then be fed to a standard assembler to produce a binary. Because symbolization replaces all references with labels, we can now insert instrumentation in the code and the assembler will fix the references for us when reassembling the binary. Symbolization is possible because references to code and global data always use RIP-relative addressing in the class of binaries that we support (position-independent x86_64 binaries). This makes it easy to distinguish between references and integer constants in the disassembly. We present Retrowrite, a framework for static binary rewriting that can add efficient instrumentation to compiled binaries and scales to real-world code. Retrowrite symbolizes x86_64 position-independent Linux binaries and emits reassembleable assembly, which can be fed to instrumentation passes. We implement a binary version of Address Sanitizer (ASan) that integrates with the source-based version. Retrowrite’s output can also be fed directly to AFL’s afl-gcc to produce a binary with coverage-tracking instrumentation. RetroWrite is openly available for everyone to use and we will demo it during the presentation. We also present kRetrowrite, which uses the same approach to instrument binary kernel modules for Linux. While many devices can be used with open-source drivers, some still require binary drivers. Device drivers are an inviting target for attackers because they run at the highest privilege level, and a buggy driver could result in full system compromise. kRetrowrite can instrument binary Linux modules to add kCov-based coverage tracking and KASan instrumentation. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10880.html

Frank Dörner von Ärzte ohne Grenzen und Sebastian Jünemann von CADUS diskutieren die jüngsten Angriffe auf humanitäre Prinzipien in verschiedenen Kontexten, wie beispielsweise während der medizinischen Nothilfe in Nordost-Syrien. Eigentlich sollte es klar sein: Menschen die medizinische Hilfe benötigen sollen sie auch bekommen, Punkt. Doch in Medienkommentaren wird der humanitären Hilfsorganisation CADUS, die ein Feldkrankenhaus im Camp Al Hol in Nordost-Syrien betreibt, längst nicht nur Respekt ausgesprochen. Manche Kommentator*innen schlagen vor, humanitäre Prinzipien auszusetzen sobald es sich bei den Hilfesuchenden um mutmaßliche Angehörige des sogenannten Islamischen Staates (IS) handelt. Schließlich, so die Argumentation, missachte diese Organisation systematisch eben solche Prinzipien. In vielen Konflikten werden humanitäre Grundsätze heute zunehmend missachtet. Helfende werden zu Feinden erklärt und damit legitime Ziele für jedwede Aggression. Krankenhäuser und Ambulanzen können gezielt angegriffen werden, ohne dass es Konsequenzen hat. Afghanistan, Syrien, Yemen – die Liste ist lang. Und aus der jüngsten Geschichte der Seenotrettung wissen wir: auch von staatlichen Stellen werden immer wieder humanitäre Grundsätze mit Füßen getreten. Frank Dörner von Ärzte ohne Grenzen und Sebastian Jünemann von CADUS geben einen Einblick was es bedeutet, in gesellschaftlich und politisch stark umstrittenen Kontexten Hilfe zu leisten, in denen humanitäre Prinzipien immer wieder aus verschiedensten Richtungen angegriffen werden. about this event: https://talks.oio.social/36c3-oio/talk/VPUTHL/

Five years ago I spoke about my work in quantum computing, building and running a tiny two qubit processor. A few weeks ago, Google announced a potentially groundbreaking result achieved with a 53 qubit quantum processor. I will therefore review the state of experimental quantum computing and discuss the progress we made in the last 5 years. I will explain quantum supremacy, surface code architecture and superconducting quantum processors and show which challenges we still have to overcome to build large scale quantum computers. We will first dive into the basics of quantum computing and learn about quantum gates, fidelities, error correction and qubit architecture. We will then go through Google’s experiment and try to understand what they actually did and why it matters. We will then see what else we need to build a useful quantum computer, and discuss when that might happen. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/11039.html

Die GFF hat gemeinsam mit Reporter ohne Grenzen (ROG), dem European Center for Constitutional and Human Rights (ECCHR) und netzpolitik.org Strafanzeige gegen die Geschäftsführer der Unternehmen FinFisher GmbH, FinFisher Labs GmbH und Elaman GmbH erstattet. Es liegen dringende Anhaltspunkte dafür vor, dass das Münchener Firmenkonglomerat die Spionagesoftware FinSpy ohne Genehmigung der Bundesregierung an die türkische Regierung verkauft und so zur Überwachung von Oppositionellen und Journalist*innen in der Türkei beigetragen hat. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/11217.html

Der Diskurs um die "Digitalisierung" kann vor allem eines: Verheißen. Roboter befreien uns von mühsamer Arbeit, Effizienzsteigerungen sorgen von ganz allein für den Schutz von Umwelt und Ressourcen und Algorithmen erleichtern uns den Alltag. Dass diese Verheißungen vor allem Tech-Konzernen in die Tasche spielen und wir dank der datenraff(inier)enden Geschäftsmodelle des digitalen Kapitalismus auf ökologische und soziale Katastrophen zusteuern, soll in dem Vortrag gezeigt werden. Kann die Wirtschaft dank effizienterer Technologien weiter wachsen ohne dabei Ressourcen zu verbrauchen? Oder merken wir bei unseren immer voller werdenden Leben gar nicht, dass uns in Wahrheit die Rohstoffe ausgehen? Wenn wir schon sehr bald kein Material mehr haben, um Technik zu bauen, die alle Verheißungen erfüllt - was machen wir dann? Ist die Antwort dann reparieren, selber machen, vielleicht sogar kreativ werden? Der Vortrag zeigt Daten und Grafiken zum aktuellen und prognostizierten Ressourcen- und Energieverbrauch digitaler Technologien. Der Mechanismus des Rebound-Effekts kann dabei helfen, die komplexen Folgen der aktuellen technischen Entwicklung z.B. in Bezug auf Wachstum zu verstehen. Degrowth ist eine politische Bewegung von Wissenschaftler*innen und Aktivist*innen, die gegen die Steigerungs- und Wachstumszwänge moderner Gesellschaften kämpfen. Mit welchen Argumenten begegnet die Degrowth Bewegung Wachstum aus einer ökologischen Perspektive? Und welche Anknüpfungspunkte für Ressourcenschonung gibt es in der Tech- und Maker-Bewegung? about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/11030.html

Kann künstliche Intelligenz Kunst erzeugen? Können Menschen von künstlich intelligenten Systemen erzeugte Kunst verstehen? Ist Kunst ein Weg zu neuen Stufen eines kybernetischen Verstandes? Der Stand der KI-Kunst ist keine Kunst oder keine KI. Aber wir werden mit unserer menschlichen Eitelkeit konfrontiert werden, nicht die Einzigen zu sein, die schöpferisch und auch künstlerische Relevanz in Betrachtern auslösen. Dies liegt mitunter an unseren bisherigen Kunstbegriffen und -verständnissen, die oftmals mit Intentionalität assoziiert sind. Eliza: Warum? Simon Hegelich widmen sich diesen Fragen und zeigt eigene (?) Werke (Videos, Bilder, Gedichte), die mit KI erzeugt wurden, wobei er seine großen Leidenschaften;- Kunst, maschinelles Lernen, Hegelsche Dialektik, Science Fiction, Kybernetik und Transhumanismus- der Erweiterung durch Diskurs unterzieht. Künstlich intelligente Systeme werden seit den 70er Jahren zunehmend in künstlerischen Schaffensprozesse einbezogen. Ob Computer auch autonom Kunst generieren können, ist keine Frage der Leistungsfähigkeit solcher Systeme, es wirft vielmehr die Frage auf, inwieweit tradierte Kunstbegriffe neu gedacht werden können. Die Beschäftigung mit KI und Kunst birgt im Vergleich zu laufenden KI-Debatten eine Reihe zusätzlicher Denkfreiheitsgrade: Sie ist erfahrbar! Gerade weil Kunst als Konzept schwierig zu fassen ist, uns gleichzeitig Künstlerisches inspiriert, zum Spekulieren, Träumen und Empfinden anregt, lässt sich vor diesem Hintergrund ganz anders über KIs und ihre Potentiale diskutieren. Unter Einbezug des technischen Standes derzeitiger Deep Learning Systeme und der eigenen künstlerischen Erfahrung werden diese Potentiale aufgefächert. Wir stellen den Diskurs um Grundfragen zum Verhältnis Mensch-KI-Kunst neue Fragen diametral gegenüber: Kann künstliche Intelligenz Kunst erzeugen? Wie können wir Kunst von künstlich intelligenten Systemen verstehen? Kann Kunst KI erzeugen und versteht das noch jemand? Simon Hegelich (KI-Entwickler, Philosoph, Professor für Political Data Science, Videoartist und Synthinerd) widmet sich diesen Fragen in eine Präsentation und schmeißt seine großen Leidenschaften zusammen: Kunst, maschinelles Lernen, Hegelsche Dialektik, Science Fiction, Kybernetik und Transhumanismus. Es könnte explosiv werden. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10704.html

A situation loads of passionate CTF players will recognize: You are bored and looking up some CTF on ctftime. You finally find one and it's hosted on some fork of CTFd running on what feels like a raspberry pi 1. Notherless, you decide to play, but the first web challenge you look at has a conveniently placed php shell in the webroot. Yay! one shared web service!. After we had the same issue with multiple platforms, we decided that this had to change. The main problems we noticed were that all players compete on one service or receive a static challenge and that the platforms don't always scale well. We solved this in a new project: CIRCUS. This is the story of what can break when unleashing a lot of people on a service allowing them to spawn containers on demand and what can be done to counteract those problems. about this event: https://fahrplan.chaos-west.de/36c3/talk/PQALSP/

Compared to software, the open source approach is relatively new to most actors in the field of (mechanical) hardware. Plus Open Source Hardware faces some special issues. A yet missing definition of its "source code" is one of them (+ patent law, liability, engineers that do not know how to work with git, costly prototyping…). DIN SPEC 3105 will be/is the first official standard for Open Source Hardware and also the first official standard ever published under a free license (CC-BY-SA 4.0; that was a lot of lobby work ;) ). It defines the technology-specific "source" of Open Source Hardware and aims to build a bridge between research institutes, public authority, industry and the worldwide open source community. In this talk I won't explain why Open Source (Hardware) is great. I assume, you all know that (if not, still feel free to ask me in the Q&A part or after the talk). I'll describe what's the standard for, how it works and why its great _for_ Open Source Hardware. about this event: https://talks.oio.social/36c3-oio/talk/V7HNKR/

Ein lustiger Rückblick über die Aktionen des Peng Kollektivs. Cop Map zu Polizeigewalt, MaskID zum Überwachungsstaat und Gesichtserkennung, Adblocker zur Werbeindustrie, CFRO zum Finanzsystem, Deutschland geht klauen zu Lieferketten und der Aufbau der Bewegung Seebrücke zur Entkriminalisierung der Seenotrettung sind nur ein Bruchteil der Aktionen, die seit dem letzten Besuch 2015 hier noch nicht präsentiert wurden. Eine Tour de Force durch Momente zivilen Ungehorsams und Subversion, wobei wir uns selbst nicht zu ernst nehmen und vor allem darauf abzielen, mit den sozialen Bewegungen zusammen zu arbeiten. Eine Stunde geballte Kommunikationsguerilla, lustige Medienaktionen, aber auch ein Einblick in mögliche Denkweisen und Aktionsmöglichkeiten, die andere machen können. Was ist heutzutage möglich und was ist vor allem nötig? about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10541.html

<p>HUMUS sapiens represents a compilation of soil explorations emerging from the networks of mikroBIOMIK, Hackteria, and Gasthaus – with the ambition to bring DIY (do-it-yourself) and DIWO(do-it-with-others) approaches as well as an open-source-based “hacker spirit” into soil ecology. Participants are invited to reflect on current scientific discourses and critical societal challenges through hands-on tinkering and curiosity-driven research.</p> <p>Far more than just the dirt under our feet, soil is a truly complex and dynamic ecosystem. It is a constantly changing mix of minerals, living organisms, decaying organic matter, air, and water. It is the living skin of our planet, allowing new forms of life to come into being, incorporating the nutrients left there by organisms of the past. Soil is bursting with life and can be vastly different from one square centimeter to the next. From plants, earthworms, insects, and fungi to invisible amoeba, nematodes, algae, and bacteria – each creature provides their own essential role in the soil ecosystem. The shared nature of the soil habitat manifests not only through the highly interconnected so-called “soil food web” – which is mainly driven by microbial metabolism – but also in regard to humans and their dependence on the productivity of edible plants. It is this dependency that motivates Homo sapiens to manipulate natural ecosystems, while at the same time failing to understand them. Human impact on the soil, especially intensive agricultural practices (deforestation, overgrazing, use of agrochemicals, etc.) and urbanization, leads to compaction, loss of soil structure, nutrient degradation,and contamination – ultimately, the breaking down of these ecosystems and eroding of the soil to infertile desert.</p> <p>HUMUS sapiens aims to reexamine these problems from an ecosystem's viewpoint and to support the paradigm shift from an anthropocentric ideology to a more biocentric philosophy of life.</p> about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/11043.html

This talk is about modifying cheap wifi dongles to realize true unidirectional broadcast transmissions that can transport digital data like HD drone video with guaranteed latency over a range of tens of kilometers. The talk will show the necessary changes to the firmware and kernel of the wifi dongle, the forward error correction and software diversity (fuse several receivers in software) that is added to improve reliability and the most prominent use case: Flying a remote controlled drone at a distance of tens of kilometers. Wifi as it is implemented in the 802.11 standard tries (as best as it can) to guarantee to a user the delivery of data and the correctness of the data. To increase the chance of delivery, the standard includes techniques like automatic retransmission, automatic rate reduction, CSMA/CA. To guarantee correctness, the packets are using CRC sums. These measures are very useful in a typical 1-to-1 communication scenario. However, they do not adapt very well to a 1-to-n scheme (broadcast). Even in case of a 1-to-1 scenario the techniques mentioned above make it impossible to guarantee a latency and throughput of a transmission. Wifibroadcast uses the wifi hardware in a mode that is very similar to the classic analog broadcast transmitters. Data will immediately be sent over the air, without any association of devices, retransmissions and rate reductions. The data can be picked up by an arbitrary number of receivers that decode the data stream, repair damaged packages via software diversity and repair damaged bits via forward error correction. The Wifibroadcast software is an easy to use Linux program into which arbitrary data can be piped. The same data will then appear on the receiving program on standard output and can thus be piped into further programs. All software developed has been made available under the GPL license. A prominent use case for Wifibroadcast is the transmission of live video from a drone. Compared to standard wifi this offers the following advantages: * Guaranteed latency * No association (that might get lost) * Multiple receivers work out of the box * True unidirectional communication allows to use asymmetrical antenna setups * Slow breakup of connection instead of complete communication loss The talk will show the details of the Wifibroadcast protocol, the changes to the firmware & driver, the forward error correction, software diversity and finally will show the HD video transmission over tens of kilometers as an application example. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10630.html

This talk will explain the basic building blocks of cryptography in a manner that will (hopefully) be understandable by everyone. The talk will not require any understanding of maths or computer science. In particular, the talk will explain encryption, what it is and what it does, what it is <em>not</em> and what it <em>doesn't</em> do, and what other tools cryptography can offer. This talk will explain the basic building blocks of cryptography in a manner that will (hopefully) be understandable by everyone, in particular by a non-technical audience. The talk will not require any understanding of maths or computer science. This talk will cover the following topics: <ul> <li>What is encryption and what does it do?</li> <li>What are the different kinds of encryption?</li> <li>What is authenticity? Are authenticity and encryption related?</li> <li>How can authenticity be achieved?</li> <li>What are certificates for?</li> <li>What is TLS and what does it do?</li> </ul> While covering the above topcis, I will <em>not</em> explain the technical details of common cryptographic schemes (like RSA, AES, HMAC and so on), in order to avoid keep this talk accessible to a broad audience. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10627.html

Forget look-alike domains, typosquatting and homograph attacks. In this talk we will discuss ways of forging perfect email counterfeits that (as far as recipients can tell) appear to be coming from well-known domain and successfully pass all checks on their way. Prime focus of this talk will be modern anti-spoofing strategies and the ways around them. Join us as we try to figure out answers to questions such as "Isn't SPF enough?", "Do I *really* need DMARC?" and "Does ticking all three (SPF, DKIM, DMARC) provide the best protection possible?" (answers to these questions are "no", "yes", "no" by the way). Email security is poorly covered by a contemporary penetration testing curricula. In this talk I will argue that it leads to underreporting of email-related security issues during regular penetration tests or red team assignments. Getting clicks from (at least some) users is usually fairly easy, even with obviously fake domain names and email addresses, so penetration testers rarely need to do anything more fancy in order to achieve their objective. While this highlights the need for user education, it misses common misconfiguration issues that might lead to much more devastating compromises and could instill false sense of security in (rare) cases that regular phishing attacks fail. Technically inclined users (such as developers, tech support or even SIEM analysts) are less likely than others to fall for phishing email originating from fake domain, but they are actually more likely to fall for email seemingly originating from real known-good source due to overconfidence. In this talk we will see just how easy is it to send spoofed mail from arbitrary source address due to lack of protection for this scenario in original SMTP spec. We won't stop there however and our next object of focus will be contemporary anti-spoofing technologies (SPF, DKIM and DMARC). We will discuss motivation behind them, their technical limitations, weaknesses discovered in recent years as well as common misconfigurations. Attendees will gain knowledge about relevant protocols and technologies that should be applicable for identifying weaknesses in the architecture of their own email systems. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10730.html

Do you want to promote Free Software in public administrations? Then the campaign framework of "Public Money? Public Code!" might be the right choice for you; no matter if you want to do it as an individual or as a group; no matter if you have a small or large time budget. More than 170 organisations, and more than 26,000 individuals demand that publicly financed software should be made publicly available under Free Software licenses. Together we contacted politicians and civil servants on all levels -- from the European Union and national governments, to city mayors and the heads of public libraries about this demand. This did not just lead to important discussions about software freedom with decision makers, but also already to specific policy changes. In the talk, we will explain how the campaign framework including the website publiccode.eu, the videos, the open letter, the expert brochure,and example letters can be used to push for the adoption of Free Software friendly policies in your area; be it your public administration, your library, your university, your city, your region, or your country. about this event: https://fahrplan.chaos-west.de/36c3/talk/LF3YYH/

Wie kommt man eigentlich in den Weltraum und was ist an so ein bisschen Schub so kompliziert *? Warum sehen Raumfahrtantriebe so aus wie sie sind und was wird sich mit "New Space" alles ändern? (*)insert rocket science joke here Preview 1. Wie erzeugt man Schub? - Was ist eine Raketenmotor -triebwerk? - Warum fliegen Flaschenraketen mit Wasser höher? 2. Feststoffraketen - Feuerwerk, Modellbau oder Shuttle Booster - Brennprofile 3. Flüssigraketen - Goddards erste Versuche - Komplex, teuer, fehleranfällig und warum wir trotzdem Flüssigtreibstoffe nutzen 3.1. Brennkammer - Aufbau und Eigenschaften 3.2. Turbopumpen - Wie kommt der Treibstoff und Oxidator in die Brennkammer 3.3. Düsen - warum überhaupt Düsen und warum sehen sie so aus wie sie sind - Aerospike 3.4. Treibstoffe - Ein wenig Chemie. Mono-, Bi- und Tritreibstoff 3.5. 5,4 all engines running,2,1,0 lift off - Wie man eine Rakete startet Soyuz, Titan II, Delta 4 und das Space-Shuttle 4. Hybridraketen - Die Komplexität einer Flüssigrakete mit den Nachteilen einer Feststoffrakete 5. Ionenantrieb - Wenig Schub aber hoher Impuls - Aufbau und Eigenschaften 6. Solar Sail - Ein Segel spannen und mit dem Sonnenwind dahingleiten 7. Nuklearantriebe - Ein fliegender Kernreaktor, was kann da schon schief gehen? - in 200 Tagen zum Mars und zurück about this event: https://talks.oio.social/36c3-oio/talk/SHDVXB/

Description: Heizung von Häusern ist für etwa ein Drittel der Treibhausgasemissionen Deutschlands verantwortlich. Dabei gibt es bessere Möglichkeiten als einfach irgendeinen Brennstoff anzuzünden. Dieses Problem muss und kann gelöst werden. Der Vortrag beschreibt Möglichkeiten, komfortabel zu bewohnende Häuser fast ohne Heizung zu bauen. In diesem Vortrag werden nur neu zu bauende Gebäude betrachtet. Die gezeigten Methoden sind für Wohn- und Nichtwohngebäude aller Größen verwendbar. Es geht um folgende Details: * Wärmeverluste: Wo geht die Wärme raus? Wo müssen wir also ran? * Zuerst isolieren: Wände, Fenster, Dach, Boden * Dann Wärme zurückgewinnen: Maschinelle Lüftung mit Wärmerückgewinnung * Vorhandene Wärme nutzen: Solare und innere Gewinne * Restwärmebedarf und Warmwasser erzeugen * Wie lebt es sich darin? Thermoskannengefühl oder komfortabel?, Langzeiterfahrungen * Standards: KfW-Effizienzhaus, Passivhaus, Efffizienzhaus-Plus * "Free Money": Heizkosten, Mehrkosten und Zuschüsse beim Bau in Deutschland * Warum nicht einfach erneuerbare Energie für die Wärmeerzeugung nehmen? about this event: https://fahrplan.chaos-west.de/36c3/talk/M8WDGC/

Viele Kinder lieben „Minecraft“ – sie sind oft richtige Experten in der Welt von Alex und Steve! Diese Begeisterung kann man nutzen, um Neues zu lernen! Das geht nämlich dann am besten, wenn man gar nicht merkt, dass man was lernt, sondern einfach nur etwas Tolles baut und dabei Spaß hat! Inspiriert von dem Talk "Programmieren in Minecraft" auf der GPN 2019 habe ich mit dieses Jahr mit über 40 Kindern Workshops durchgeführt, in dem man die Grundkenntnisse des Programmierens in der bunten Klötzchen-Welt von Alex und Steve lernen kann. In meinen Talk möchte ich von Erfahrungen aus diesen Kursen berichten, wie man solche Kurse am besten aufbaut und strukturiert, was gut funktioniert, wie man Aufgaben spielerisch gestalten kann und das ganze auch technisch einfach im Griff haben kann. about this event: https://fahrplan.chaos-west.de/36c3/talk/JUK87C/

Kerbal Space Program - Build. Fly. Dream. Einmal ein eigenes Raumfahrtprogramm leiten? Mit KSP ist das möglich. about this event: https://talks.oio.social/36c3-oio/talk/X9JPVH/

How do we write software that works - or rather, how do we ensure it's correct once it's written? We can just try it out and run it, and see if it works on a few examples. If the program was correct to begin with, that's great - but if it's not, we're going to miss bugs. Bugs that might crash our computer, make it vulnerable to attacks, stop the factory, endanger lives, or "just" leave us unsatisfied. This talk is about techniques every programmer can use to avoid large classes of bugs. You think about general properties of the things in your code, verify them through automatically generated tests, and (when it's particularly critical) proofs. This is a surprisingly fun and satisfying experience, and any programmer can do it. You need just a bit of high school math (which we'll refresh in the talk) to get started. This talk is specifically about accessible techniques: Almost any program, function, or entity has a few interesting properties, and teasing them out will enhance your understanding of what is going on in your software. The next trick is to write out the property in your programming language. People with lots of time and budget can write down enough properties to form a complete specification of the security- and safety-critical parts of a system and prove that they hold for their system. In the talk, we'll instead focus on a dead-simple technique called <b>QuickCheck</b>. (Your programming language almost certainly has a QuickCheck library you can use.) QuickCheck - from the code describing the property - will automatically generate as many test cases as you want, run them, and produce counterexamples for failures. QuickCheck is amazingly effective at flushing out those corner cases that elude traditional unit tests. Finally, for simple properties of pure functions, we can also attempt a proof using simple algebra. The results are a wonderful feeling of satisfaction, and a sound sleep. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10768.html

Sie sollen den Staat schützen, sind aber selbst eine Gefahr: Soldaten und Polizisten, die sich in Chat-Gruppen organisieren und auf den „Tag X“ vorbereiten. Mit aufwändigen Recherchen hat ein Team der taz ein bundesweites konspiratives Netzwerk aus Preppern und Staatsbediensteten aufgedeckt. Kopf war „Hannibal“, Elitesoldat beim Kommando Spezialkräfte – und Auskunftsperson für den Militärischen Abschirmdienst. Hier geben die ReporterInnen Einblick in die Recherche und zeigen, was aus ihren Berichten folgte. Oder auch nicht. Ein Elitesoldat des Kommando Spezialkräfte, der bundesweit Chatgruppen und einen Verein namens „Uniter e.V.“ gründet, in dem paramilitärische Trainings abgehalten werden. Ein SEK-Polizist und Prepper, der knapp 60.000 Schuss Munition hortet, die aus Polizeibeständen entwendet wurden. Männer, die Feindeslisten anlegen und offenbar planen, an einem „Tag X“ politische Gegner umzubringen. Drei Schlaglichter auf die mehr als zwei Jahre andauernde „Hannibal“-Recherche der taz. Sie führte in viele Felder: Hinein in Verfassungsschutzbehörden und Bundeswehr; hinaus aufs Land zwischen Mecklenburg-Vorpommern und Baden-Württemberg; auf Facebook-Profile philippinischer Politiker und in Telegram-Chats deutscher Verschwörer. Auf die Recherchen folgte Bestürzung, aber – zunächst – auch Belächeln. Sind diese Leute wirklich gefährlich oder doch bloß harmlose Spinner? In diesem Talk geben zwei der ReporterInnen des taz-Teams einen Einblick in ihre Arbeit, berichten von Begegnungen mit Preppern mit Umsturzfantasien und Verfassungsschutzmitarbeitern, die im schwarzen Porsche Cayenne vorfahren. Sie berichten von Erfolgen bei der Online-Recherche und warum Hinfahren und an Türen klingeln am Ende doch unerlässlich ist. Die Journalisten schildern, was nach ihren Veröffentlichungen passiert ist: Im politischen Raum, in der Justiz – und welche Fragen noch offen sind. Warum etwa wird nicht wegen Bildung einer terroristischen Vereinigung ermittelt? Vortrag von: Sebastian Erb, Redakteur der taz am Wochenende Daniel Schulz, Leiter des Ressorts Reportage & Recherche der taz about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/11114.html

Quantum technologies are often only over-hyped showed as threat for cybersecurity … But they also offer some opportunities to enhance the cybersecurity landscape . As an example, you may know that a quantum computer will be able to break RSA keys but Quantum communication technologies can also provide a new way to exchange securely a cipher key. More, with Quantum networking technologies, communication eavesdropping are , by design, detectable and thus this could lead to some good opportunities to use them to enhance cybersecurity. Some even begins to build a Quantum internet ! We may also solve main security issues face by cloud computation (privacy, confidentiality etc) via the use of "Blind quantum computation" in the cloud. However few people understand & explain how such machines & technologies work. Even fewer people trying to build one. I’m one of this crazy people. In this talk, we aim to explain how this new type of much powerful digital processing works and how we build our own Quantum computer …without a Phd in quantum physic. We will describe our plan to build the Quantum computer's hardware with hacker’s style. Through our own experiments, we will discuss our failures, our success, our progress around this challenging goal ! Come to see part of the hardware we build at the moment. We use the "Trapped ion technology". We trap atoms to make powerful calculation & computing task! Be prepared to unlock your quantum brain as this new domain is really different for classical computation ;-) but it can enhance the Cybersecurity world Our goal : Bring the knowledge that Quantum computing works, explain how they make such power calculation at hardware level, is doable at home and will provide a new way to do secure computing and communication for the best of the humanity Proposal Agenda -Quantum computer 101 (one slide to be able to understand the basic of quantum mechanic w/o FUD) -Why those Quantum computer are so powerful -How to break things with quantum computers -How to improve the security level of modern network with quantum technologies (Networking, blind quantum computing for 100%privacy in the cloud, cipher key security, quantum internet & more) -How a Quantum computer based on Trapped ions technology works to do their magic super powerful calculation (at hardware level) -How we build our own quantum computer hardware at home (in our military grade High Tech...Garage!) with hacker style & open source software (Contain full video of the buildings of our Quantum computer) about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10808.html

This talk provides an overview of the state of Free and Open Source Software (FOSS) within the various European scientific communities. Based on this we will try to identify stakeholders, common goals and potential policy proposals. The principles of Free and Open Source Software (FOSS) are well aligned with the core tenets of science, i.e., the sharing of knowledge and the demand for reproducibility of results. Nevertheless, FOSS is still rather the exception than the rule for the majority of scientific domains. In this session we will discuss the state of FOSS within the various European scientific communities. Based on this we will try to identify stakeholders, common goals and potential policy proposals. about this event: https://cfp.verschwoerhaus.de/36c3/talk/3CHBWG/

Untertitel: Wie Europol und die Innenminister der EU-Länder Massenüberwachung legalisieren wollen und was dagegen zu tun ist. –– Zusammenfassung: Trotz klarer Gerichtsurteile gegen anlasslose Massenüberwachung wird in Arbeitsgruppen, Ausschüssen und Spezialgerichten an neuen Rechtsgrundlagen für eine EU-weite Vorratsdatenspeicherung gearbeitet. Es geht um Hintertüren in der ePrivacy-Verordnung, einen Fahrplan von EU-Rat und EU-Kommission, ein Überwachungskonzept von Europol und Versuche, den EU-Gerichtshof zu einer Revidierung vorheriger, grundrechtefreundlicher Urteile zu bewegen, während zur selben Zeit in Deutschland die CDU den Terror-Angriff von Halle/Saale instrumentalisiert. –– Ausführliche Beschreibung: In diesem Vortrag möchte ich erklären, wie sogenannte Sicherheitspolitiker auf drei Ebenen an mehreren neuen Rechtsgrundlagen für die massenhafte und anlasslose Überwachung unserer Kommunikations- und Aktivitätsdaten arbeiten. In diesem Zusammenhang möchte ich die Reaktion der deutschen CDU auf den Terror-Angriff in Halle/Saale im Oktober diesen Jahres als geschichtsvergessen kritisieren. Zum Referenten: Mein Name ist Friedemann Ebelt, ich arbeite seit fünf Jahren bei der deutschen Grundrechteorganisation Digitalcourage, die im Jahr 2006 eine Verfassungsbeschwerde gegen das deutsche Gesetz zur Vorratsdatenspeicherung eingereicht hat. Die Klage ist mit anderen Beschwerden anhängig beim Bundesverfassungsgericht, dessen Urteil eine EU-weite Signalwirkung haben wird. Digitalcourage beobachtet die aktuellen Überwachungsbestrebungen unter anderem mit Hilfe von Anfragen auf Grundlage des Informationsfreiheitsgesetzes, die wir auf fragdenstaat.de stellen. Was uns die Dokumente zeigen, ist aus unserer Sicht eine Kampagne für Vorratsdatenspeicherung, die auf drei Ebenen stattfindet: (1) Im geplanten EU-Gesetz zur ePrivacy-Verordnung wird über eine riesige Hintertür für eine private Vorratsdatenspeicherung verhandelt. Das ist absurd, denn das Ziel dieser Verordnung ist der Schutz sensibler Kommunikationsdaten. (Siehe Artikel 6 des Entwurfs einer ePrivacy-Verordnung) → Mehr dazu: https://digitalcourage.de/blog/2019/eprivacy-private-vorratsdatenspeicherung-durch-hintertuer (2) EU-Rat und EU-Kommission haben einen Fahrplan für eine neue EU-weite Vorratsdatenspeicherung beschlossen. Die Hauptgefahr aus unserer Sicht ist, dass ausschließlich Vorschläge für anlasslose Massenüberwachung diskutiert werden, wie die Überwachungs-Matrix aus dem Europol Data Retention Matrix Workshops. In einer 45-seitigen Tabelle breitet Europol aus, welche Daten sie für relevant für eine neue, EU-weite Vorratsdatenspeicherung halten. Von Standortdaten über IP-Adressen bis hin zu Verbindungsdaten sind nahezu sämtliche Informationen aufgeführt, die Provider demnach längerfristig speichern müssten. Diskutiert wird aber auch über die Speicherung der Länge von Antennen und über Klingeltöne. Es gibt keine Vorschläge für verhältnismäßige Optionen wie Quick Freeze, Sonderermittlungsdezernate oder ähnliches. → Mehr dazu: https://digitalcourage.de/blog/2019/eu-vorratsdatenspeicherung-diese-daten-sollen-gespeichert-werden https://digitalcourage.de/blog/2019/beschraenkte-vorratsdatenspeicherung (3) Mehrere EU-Mitgliedsstaaten verlangen vom EU-Gerichtshof eine Revidierung vorheriger, grundrechtefreundlicher Urteile. Anstatt die grundrechlichen Grenzen für Massenüberwachung zu akzeptieren, greifen die Regierungen der EU-Länder diese Grenzen an. → Mehr dazu: https://digitalcourage.de/blog/2019/achtung-vorratsdatenspeicherung-es-wird-ernst In Verbindung mit der geplanten E-Evidence-Verordnung, massiv verschärften Polizeigesetzen und dem derzeitigen Wettbewerb zur Einschränkung von Grundrechten, den sich die Regierungen der EU-Länder aktuell liefern, sind die Pläne für eine flächendeckende Vorratsdatenspeicherung als toxisch für Rechtsstaat und Demokratie zu bewerten. Bezeichnend für eine grundrechtevergessene Politik sind die jüngsten Ereignisse in Deutschland: Überwachung über Ethik: CDU in Deutschland nutzt den Terror von Halle/Saale Nur einen Tag nach dem Terror-Angriff in Halle/Saale im Oktober diesen Jahres sagte CDU-Innenpolitiker Mathias Middelberg im Deutschlandfunk, dass gegen rechte Hetze im Internet und im Bildungssystem vorgegangen werden müsse. Konkret handeln er und seine Partei jedoch in eine ganz andere Richtung: Sie nutzen den rechten Terror, um Massenüberwachung voranzubringen. Zentral ist dabei die Vorratsdatenspeicherung. Geplant ist aber auch, den in die NSU-Morde verstrickten sogenannten Verfassungsschutzes mit mehr Befugnisse auszustatten sowie der Einsatz von Staatstrojanern, die für den Einsatz von Staatstrojanern benötigt werden. → Mehr dazu: Hallo CDU: Vorratsdatenspeicherung und Verfassungsschutz sind nicht die Lösung https://digitalcourage.de/Blog/2019/hallo-cdu-vorratsdatenspeicherung-und-verfassungsschutz-sind-nicht-die-loesung Mit unserer Kritik an dieser Politik, wenden wir uns an deutsche Parlamentarier und argumentiere

Conservation genomic approaches are crucial for establishing long-term sustainable conservation and management strategies for the protection of biodiversity and natural ecosystems. In this talk, the diverse and disparate fields of expertise and activism are presented, which are involved in building effective conservation genomic reference datasets and their infrastructures, analytical inference/prediction environments and operational tools for practical application. Natural ecosystems and biodiversity are lost at an alarming and accelerating rate due to anthropogenic (over-) exploitation, habitat destruction and climate change. Conservation genomics promises to provide reliable and detailed insights into the current state of species and their interactions, as well as, the processes shaping their reactions to change. Such knowledge is urgently needed for forecasts of species’ responses under quickly and potentially unpredictably changing climatic and environmental conditions, as well as, sociopolitical changes and shifting patterns of economic (over-) exploitation. Conservation genomic insights will allow societies in dynamic contexts to come to adequate decisions and effective action in time. Reliable, decisive and useful practical tools that are robust under real-world operational conditions are, for example, needed for genetic inventory and monitoring campaigns, by certification initiatives, for example in fisheries or forestry, and in forensic genetic case work enforcing legal protection. The development and implementation of the building blocks for conservation genetic tools will involve the cooperation of experts, activists and citizen enthusiasts from many and, so far, often unconnected backgrounds and communities. These extensive projects will bring together experts from biodiversity science, bioinformatics, statistical genetics, machine learning and IT-security, as well as, citizen scientists and volunteers, conservation activists, stewards and managers of natural “resources”, and local communities. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/11010.html

OpenBSD markets itself as a secure operating system, but doesn't provide much evidences to back this claim. The goal of this talk is to evaluate how effective OpenBSD's security mitigation are, in a systematic, rational and comprehensive way. <a href="https://openbsd.org">OpenBSD's website</a> advertises a secure and modern operating system, with cool and modern mitigations. But no rational analysis is provided: are those mitigations effective? what are their impacts on performances, inspectability and complexity? against what are they supposed to defend? how easy are they to bypass? where they invented by OpenBSD or by others? is OpenBSD's reputation warranted? This talk aims at answering all those questions, for all OpenBSD's mitigations, because, in the words of <a href="https://twitter.com/ryiron/status/1150924668020203521">Ryan Mallon</a>: <quote>Threat modelling rule of thumb: if you don’t explain exactly what you are securing against and how you secure against it, the answers can be assumed to be: “bears” and “not very well”.</quote> For example, OpenBSD added last year a <a href="https://man.openbsd.org/mmap.2#MAP_STACK">MAP_STACK</a> flag to its <code>mmap</code> function, and branded it as a security measure against "ROPchains". But this mitigation used to be part of Windows until 2012, and was removed because of at least generic public bypasses. It's also implemented on Linux since 2008, but for other reasons :) All the research done for this talk is available on <a href="https://isopenbsdsecu.re">isopenbsdsecu.re</a> about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10519.html

Was haben E-Bikes mit Connected Mobility zu tun? Und ist so was wie LineageOS auch für Bike Computer möglich? Außerdem: wie lassen sich Cradle to Cradle Prinzipien auf E-Bikes anwenden? Der Vortrag gibt einen Einblick in die Rolle von E-Bikes in der Connected Mobility und umreißt ihren Stand der Technik. Zudem berichtet er von den Herausforderungen, ein nachhaltiges Open-Source-E-Bike zu entwickeln. Last but not least möchte er die Idee eines Open-E-Bike-Wiki vorstellen. Dank Vernetzung auf allen Ebenen soll Mobilität sicherer, umweltfreundlicher, humancentered etc. werden. Fokus ist natürlich der Automotive Bereich. Da wird entwickelt, was das Zeug hält. Aber was ist mit E-Bikes? Sie haben durch ihre On-Board-Komponentenvernetzung perfekte Voraussetzungen für Connected und Smart. Deshalb jagt ein Hardware- und Sofwareupgrade inzwischen das nächste. Detaillierte Userdaten landen auf den Servern der Hersteller, dank proprietärer Software aller relevanten Komponenten. Der Vortrag beschäftigt sich im ersten Teil mit Connected Mobility und dem Stand der Technik bei E-Bikes - ein Fokus: Ihre Konnektivitätsoptionen und die Sensorvielfalt. Und es geht um Sinn und Unsinn des Technikeinsatzes. Im zweiten Teil geht es um das eigentliche e-Bike-Projekt. Der Vortrag erzählt von den Eigenheiten der Fahrzeugkonstruktion inspiriert von Cradle to Cradle und den Stand der Dinge der IT – Open Source, Open Embedded und Open IoT - aus der Sicht einer Produktdesignerin, die keine Hackerin ist und gern alles offen und transparent entwickeln würde und anwender*innenfreundliche Applikationen sucht. Und er erzählt von der Idee den IT-Dschungel zu lichten: der Erstellung eines Open-E-Bike-Wikis. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10990.html

Seit Jahren wird über den Einfluss des Internets auf die Gesellschaft diskutiert. Desinformationskampagnen in den sozialen Medien, russische Bots und Empfehlungs-Algorithmen hätten die Gesellschaft gespalten. Doch viele Unterstellungen lassen sich einfach widerlegen. Dieser Vortrag gibt einen Überblick und schlägt Ansätze vor, wie sich die Phänomene des Rechtsrucks zu einem konsistenten Bild zusammenfügen lassen. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/11097.html

Lightning Talks are short lectures (almost) any congress participant may give! Bring your infectious enthusiasm to an audience with a short attention span! Discuss a program, system or technique! Pitch your projects and ideas or try to rally a crew of people to your party or assembly! Whatever you bring, make it quick! To get involved and learn more about what is happening please visit the Lightning Talks page in the 36C3 wiki. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10525.html

<p>None Die Datenverarbeitung auf Basis von Einwilligungen macht uns zu Klickrobotern und gibt uns gegenüber übermächtigen Anbietern keine wirklich freie Wahl. Wir zeigen eine Alternative auf, mit der wir unser Grundrecht auf informationelle Selbstbestimmung gegenüber den Großkonzernen wieder durchsetzen könnten. Ausgehend von den Nachteilen der meistens alternativlosen Einwilligung, die Facebook, Google und Co. für die Nutzung ihrer Services verlangen, wird das Modell von Datengewerkschaften erläutert, ein Zusammenschluss von datenerzeugenden Einzelpersonen. Die Bündelung der Interessen vieler Betroffener zur Schaffung einer ernstzunehmenden Verhandlungsposition und die damit verbundene Ermöglichung von differenzierten und wirklich freiwilligen Einwilligungen könnten zu einer besseren Balance der Interessen führen, ohne die einzelnen Betroffenen dabei zu bevormunden. Eine erste Datengewerkschaft wurde bereits 2018 in den Niederlanden gegründet, deren erklärtes Ziel es ist, direkt mit den Anbietern zu verhandeln, um den Erzeuger*innen der Daten auch einen fairen Anteil an den Gewinnen zu verschaffen.</p> about this event: https://fahrplan.chaos-west.de/36c3/talk/Q7LV9G/

Chaos meets Poetry Slam. Der humoristische Dichterwettstreit mit Informatikhintergrund. Mitmachen ausdrücklich erwünscht. Und keine Sorge, ein Poetry Slam hat nichts mit dem Ingeborg-Bachmann-Preis zu tun. Hierbei geht es um einen Wettkampf bei dem selbstgeschriebene Texte live vorgetragen werden. Prosa, Lyrik, lustige Geschichte, das ist eure Wahl. Erzählt von euren Sysadmin Lovestorys, WebDev-f*ckUps oder was auch immer euch auf der Seele liegt. Für Kurzentschlossene bieten wir euch davor noch einen Crash Kurs in Slam Poetry an, damit auch ihr das Publikum begeistern könnt und mit in das Finale einzieht. Die Session findet ihr zeitnah im Event-Wiki. Auf dieser Seite findet ihr auch eine Adresse, um euch für das große Event anzumelden. Durch den Abend begleitet euch das Slam-erfahrene Team der "Slamigans" aus dem Umfeld des Chaostreff Flensburg. Moderiert von Thorben Dittmar, früherer U20-Local aus dem Kühlhaus und ewiger zweiter Platz, stimmt das Publikum zusammen über die besten Beiträge ab. Das Siegertreppchen darf sich schon auf tolle Preise freuen. Also schnell anmelden! about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/11242.html

Mitmachspass mit Autocomplete: Entdecke KI-Seele deines Smartphones Ein Spiel mit dem Publikum: Menschen nutzen die Autocomplete/Predict-Funktion ihres Mobilgerätes, um basierend auf einem (wechselnden) vorgegebenen ersten Wort Sätze zu bilden, also immer nur das nächste vorgeschlagene Wort zu bestätigen. Die Ergebnisse werden mehr oder minder live und total willkürlich ausgewählt verlesen. Auch wenn's erstmal sinnlos erscheint: Und auch wenn den Absendenden Anonymität zugesichert wird und im Gegensatz Schummeln verboten ist: Die Art der Sätze, die die trainierte/konditionierte Maschine dabei hervorbringt offenbaren mindestens einen eigenen Charakter oder sagen zumindest etwas über die bevorzugte Nutzung des Gerätes. about this event: https://talks.oio.social/36c3-oio/talk/QSKPAM/

The ZombieLoad attack exploits a vulnerability of most Intel CPUs, which allows leaking data currently processed by other programs. ZombieLoad is extremely powerful, as it leaks data from user-processes, the kernel, secure enclaves, and even across virtual machines. Moreover, ZombieLoad also works on CPUs where Meltdown is fixed in software or hardware. The Meltdown attack published in 2018 was a hardware vulnerability which showed that the security guarantees of modern CPUs do not always hold. Meltdown allowed attackers to leak arbitrary memory by exploiting the lazy fault handling of Intel CPUs which continue transient execution with data received from faulting loads. With software mitigations, such as stronger kernel isolation, as well as new CPUs with this vulnerability fixed, Meltdown seemed to be solved. In this talk, we show that this is not true, and Meltdown is still an issue on modern CPUs. We present ZombieLoad, an attack closely related to the original Meltdown attack, which leaks data across multiple privilege boundaries: processes, kernel, SGX, hyperthreads, and even across virtual machines. Furthermore, we compare ZombieLoad to other microarchitectural data-sampling (MDS) attacks, such as Fallout and RIDL. The ZombieLoad attack can be mounted from any unprivileged application, without user interactions, both on Linux and Windows. In the talk, we present multiple attacks, such as monitoring the browsing behavior, stealing cryptographic keys, and leaking the root-password hash on Linux. In a live demo, we demonstrate that such attacks are not only feasible but also relatively easy to mount, and difficult to mitigate. We show that Meltdown mitigations do not affect ZombieLoad, and consequently outline challenges for future research on Meltdown attacks and mitigations. Finally, we discuss the short-term and long-term implications of Meltdown attacks for hardware vendors, software vendors, and users. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10754.html

Ruckus Networks is a company selling wired and wireless networking equipment and software. This talk presents vulnerability research conducted on Ruckus access points and WiFi controllers, which resulted in 3 different pre-authentication remote code execution. Exploitation used various vulnerabilities such as information leak, authentication bypass, command injection, path traversal, stack overflow, and arbitrary file read/write. Throughout the research, 33 different access points firmware examined, and all of them were found vulnerable. This talk also introduces and shares the framework used in this research. That includes a Ghidra script and a dockerized QEMU full system emulation for easy cross-architecture research setup. Here's a fun fact: BlackHat USA 2019 used Ruckus Networks access points. Presentation Outline: This talk demonstrates 3 remote code executions and the techniques used to find and exploit them. It overviews Ruckus equipment and their attack surfaces. Explain the firmware analysis and emulation prosses using our dockerized QEMU full system framework. -Demonstrate the first RCE and its specifics. Describe the webserver logic using Ghidra decompiler and its scripting environment. -Demonstrate the second RCE using stack overflow vulnerability. -Lastly, demonstrate the third RCE by using a vulnerability chaining technique. All Tools used in this research will be published. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10816.html

Modern road vehicles are fitted with an electronic immobilization system, which prevents the vehicle from starting unless an authorized transponder is present. It is common knowledge that the security transponder embedded in the key fob should be secure, and quite some work has been published on the (in)security of such transponders. However, we identify another crucial part of the immobilizer system, that has not yet received any academic attention. We investigated three vehicles, and found that the security transponder does not communicate with the ECM (Engine Control Module) but with the BCM (Body Control Module). After succesful authentication of the key, the BCM will then authenticate towards the ECM, after which immobilization is deactivated and the vehicle may start. If either the security transponder or this ECM-BCM authentication protocol is weak, vehicles may be started without presence of a valid security transponder. We present three case studies of such ECM-BCM protocols on vehicles from Peugeot, Fiat and Opel. The protocols are shown to be used in many different models, and also by other brands owned by the same group. We show how two of the protocols are completely broken, while the third one is derived directly from a 1995 security transponder. Both attacks can be carried out through the standardized OBD-II connector, present and conveniently located in all modern vehicles. Bottom line: cryptographic protocols used in the ECM-BCM authentication are not on par when compared with the crypto embedded in the transponder. Nowadays, immobilizers play an essential role in the prevention of vehicle theft. Intended to raise the complexity of theft through the introduction of non-mechanical safety measures, immobilizers have always worked by the same basic principle: to disallow ignition until some secret is presented to the vehicle. Immobilizers gained popularity in the 1990s, as a consequence of legislation: the European Union, Australia and Canada adopted regulation in the nineties, mandating the use of electronic immobilization systems in passenger cars. Immobilizers have shown to be highly effective in the effort to reduce theft rates. According to a 2016 study, the broad deployment of immobilization devices has lead to a reduction in car theft of an estimated 40% on average during 1995-2008. However, various tools are on the market to bypass electronic security mechanisms. Deployment of insecure immobilizer systems has real-world consequences: multiple sources report cars being stolen by exploiting vulnerabilities in electronic security, sometimes to extents where insurance companies refuse to insure models unless additional security measures are taken. In modern cars, the ECM (Engine Control Module) is responsible for operating the car engine, and is also responsible for starting the engine. A common misconception about immobilizer systems is that the car key always authenticates directly to the ECM, and that the ECM will only allow the car to start when it has established an authorized 125KHz RFID security transponder is present. In practise, the security transponder in the key fob authenticates towards the BCM (Body Control Module), which in turn authenticates towards the ECM. We have selected three cars from different major Original Equipment Manufacturers (OEMs) and identified immobilizer protocol messages from CAN-bus traffic, which can be accessed through the conveniently located OBD-II connector. We made traces of CAN-traffic when the ignition lock is switched to the ON position. Immobilizer related messages can be easily recognized when searching for high-entropy messages that strongly differ between traces. Confidence that the messages are indeed related to immobilizer can be increased by removing the security transponder from the key, which should result in different protocol messages. After identification of related messages, we dumped ECM and BCM micro-controller firmwares, either by leveraging existing software functions, or by using micro-controller debug functionality such as JTAG and BDM. We derived the immobilizer protocol through reverse-engineering. In all three cases, we established the same protocol is used in several different models from the same OEMs, including currently manufactured ones. We then analyzed the protocols for cryptographic strength. Two turn out to be completely broken, while the last one is directly derived from a 1995 security transponder. While it exhibits no obvious weaknesses, it is used in conjunction with current AES security transponders, and as such, we still recommend the manufacturer to replace it. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/11020.html

Das Jahr 2018 stand ganz im Zeichen der bundesweiten Proteste gegen die Polizeigesetze. Und 2019? Es ist leiser geworden um noPAG, noPolGNRW & Co. Aber das Biest lebt! Wir blicken zurück auf die Proteste, geben einen kurzen Überblick über Erfolge und Niederlagen unseres Widerstands und eine Vorschau auf die Schrecken, die sich am Horizont der Inneren Sicherheit abzeichnen. Außerdem erklären wir, warum die Bewegung gegen die Polizeigesetze auf keinen Fall sterben darf – und warum sie sich neuen Themen wie Klimaschutz, Antifaschismus und Antirassismus widmen muss. Auf dem 3C35 rief Constanze Kurz dazu auf, auch 2019 gegen die bundesweit erfolgenden Verschärfungen der Polizeigesetze vorzugehen. Und tatsächlich sind dieses Jahr viele Menschen gegen die Gesetzesnovellierungen auf die Straße gegangen – aber das eigentliche Jahr der Proteste war 2018. Trotz der über Monate anhaltenden Demonstrationen und Aktionen in der gesamten Republik sind die Novellierungen in den wenigsten Bundesländern zurückgenommen wurden, und dort, wo Gesetzespassagen gestrichen und geändert wurden, handelte es sich meist um kosmetische Korrekturen. Dem allgemeinen Trend hin zu einer autoritären Wende in Sachen Innerer Sicherheit hat das keinen Abbruch getan, so unsere Ausgangsthese. Gleichzeitig sind viele der Bündnisse zerfallen, die Demonstrationen kleiner geworden, und auch der Großteil der Presse schenkt Polizei- und Sicherheitsgesetzen nur noch gelegentlich Aufmerksamkeit. Dabei kann die Bedeutung der Debatte um eine angebliche Versicherheitlichung unserer Gesellschaft gar nicht hoch genug bewertet werden: Es gibt starke Anzeichen dafür, dass die Institution Polizei, aber auch Militär und private Sicherheitsdienste, immer mehr an Macht gewinnen – was nicht zuletzt mit Blick auf die zahlreichen Skandale der letzten Monate und die Frage, wie strukturell rechts diese Institutionen eigentlich sind, von immenser gesellschaftlicher Tragweite ist. Und auch wenn politischer Protest häufig aufmerksamkeits-ökonomischen Logiken unterworfen ist, glauben wir, dass das Zerfallen der Bündnisse gegen die Polizeigesetze besonders bedauerlich ist. Zum ersten Mal seit langem nämlich sind hier Gruppen Seite an Seite auf die Straße gegangen, die lange Zeit nicht gemeinsam im Widerstand waren: Datenschützer*innen und Fußballfans, linksliberale Parteien und Antifaschist*innen, soziale Bewegungen und migrantische Organisationen – Gruppen, deren gegenseitige Solidarität großer Gewinn und wichtige Voraussetzung für erfolgreiche emanzipatorische Politik ist. Was sind also die großen Herausforderungen in Sachen Innere Sicherheit, die auf uns warten? Was haben die Polizeigesetze mit Racial Profiling, Ende Gelände und NSU 2.0 zu tun? Warum brauchen wir auch weiterhin die im Zuge der Proteste entstandenen Allianzen zwischen Datenschützer*innen und anderen sozialen Bewegungen? Und welche Themen müssen wir in den Blick nehmen, wenn wir verstehen wollen, was autoritäre Wende heißt? Die Referent*innen kommen selbst aus unterschiedlichen linken sozialen Bewegungen und haben sich im Zuge der Proteste gegen das neue bayerische Polizeiaufgabengesetz im noPAG-Bündnis kennengelernt. Laura Pöhler ist Antifaschistin und Sprecherin des noPAG-Bündnisses. Johnny Parks war in der noPAG-Jugend aktiv, ist Pressesprecher für Ende Gelände und engagiert sich als PoC gegen Rassismus. Sie beide kämpfen für eine Rücknahme der Gesetzesnovellierungen in Bayern. Die Idee, gemeinsam beim CCC-Kongress zu sprechen, entsprang nicht zuletzt dem Wunsch, im Kontakt mit denjenigen Menschen zu bleiben, welche die Proteste gegen das PAG maßgeblich mitgestaltet haben: Datenschützer*innen. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10983.html

Kommet zusammen Ihr Jüngerinnen der Bits und Bytes und hörtet die frohe Kunde des offenen Sourcecodes. Halleluhjaz! Am Anfang stand das NOP. Am Ende steht das NOPE. Lasst euch verwirren von Interpunktion und Kommentaren. Seid stark im Anblicke der zweiköpfigen Schlange! Die Zeit ist reif den offenen Sourcecode zu predigen. Kommet in Scharen! Bringet Kind und Kegel. Für alle Altergruppen (geboren vor Greased Weasel, über Erotic Pickel Hering bis hin zu Sheep on Meth) about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10677.html

# Non-isolated DC/DC converters DC-to-DC converters are cheap and ubiquitous, but many still feel uncomfortable using them. In this talk I will talk about step-down (buck) and step-up (boost) converters, covering the basics in an easy-to-understand form, and touching on the knowledge you need to build your own. This talk will be enjoyable for you if you have basic electronics knowledge: you understand what voltage, resistance, and current mean. ##Outline - Theory of operation explained with illustrations - Synchronous and asynchronous converters: advantages and disadvantages - How to chose and evaluate cheap DC/DC converter modules you can buy online - Efficiency and sources of energy loss - Features you might want: Enable, Current Limiting, Undervoltage Protection - Control modes: voltage mode, current mode, and hysteretic mode - Unstable converters, and how to fix them - Switching noise, and how to deal with it - What if you need more voltage? Boost converters! about this event: https://fahrplan.chaos-west.de/36c3/talk/YYJGCZ/

Nach vielen Jahren Politikunterricht wird Holger und das Publikum nun von Thomas zu den grundlegenden Inhalten geprüft. Der Politikunterricht lief dieses Jahr aus, und bevor Holger versetzt werden kann, muss er eine Lernzielkontrolle über sich ergehen lassen. about this event: https://fahrplan.das-sendezentrum.de/36c3/talk/KLQW7G/

Dort wo sich Physik und Philosophie treffen ist es Zeit, über Zeit zu sprechen. about this event: https://talks.oio.social/36c3-oio/talk/RUXX3H/

Im Internet offerieren diverse Anbieter WiFi Hardware inklusive VPN für 10€. Dieser Talk behandelt, wie sehr sich die verkaufte Hardware sowie Software von den meisten Freifunk Setups unterscheidet. about this event: https://talks.oio.social/36c3-oio/talk/L7MBH8/

Xbox 360 video game console had a number of widely known hacks for firmware of its optical disc drives. However, it was never the case with Blu-ray disc drives of Sony PlayStation video game consoles. In fact, up until recently there was no much information available on this subject publicly. In this presentation, I would like to share my journey of delving deep into internals and security of Sony PlayStation Blu-ray disc drives. As games are distributed within optical media, those embedded devices were intended to contain the best security possible. I will demonstrate a multiple hardware hacks and several software vulnerabilities that allowed to dump firmware and get code execution on multiple models of Sony PlayStation Blu-ray disc drives. In this presentation, I will share the following: 1) I will provide in-depth analysis of vulnerabilities and their exploitation to achieve code execution on multiple models of Sony PlayStation Blu-ray disc drives 2) I will discuss problems that I’ve encountered while reverse engineering the firmware and how I solved (some of) them 3) I will talk about security features of Sony PlayStation Blu-ray disc drives 4) I will explain what engineers did right and how achieving code execution on the drive doesn’t lead to full compromise of security about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10567.html

Seit Anfang 2019 hat David <i>jeden</i> einzelnen Halt <i>jeder</i> einzelnen Zugfahrt auf <i>jedem</i> einzelnen Fernbahnhof in ganz Deutschland systematisch gespeichert. Inklusive Verspätungen und allem drum und dran. Und die werden wir in einem bunten Vortrag erforschen und endlich mal wieder ein bisschen Spaß mit Daten haben. <i>Rechtlicher Hinweis: Es liegt eine schriftliche Genehmigung der Bahn vor, von ihr abgerufene Rohdaten aggregieren und für Vorträge nutzen zu dürfen. Inhaltliche Absprachen oder gar Auflagen existieren nicht.</i> Die Bahn gibt ihre Verspätungen in "Prozent pünktlicher Züge pro Monat" an. Das ist so radikal zusammengefasst, dass man daraus natürlich nichts interessantes lesen kann. Jetzt stellt euch mal vor, man könnte da mal ein bisschen genauer reingucken. Stellt sich raus: Das geht! Davids Datensatz umfasst knapp 25 Millionen Halte - mehr als 50.000 pro Tag. Wir haben die Rohdaten und sind in unserer Betrachtung völlig frei. Der Vortrag hat wieder mehrere rote Fäden. <b> 1) Wir vermessen ein fast komplettes Fernverkehrsjahr der deutschen Bahn. </b> Hier etwas Erwartungsmanagement: Sinn ist keinesfalls Bahn-Bashing oder Sensationsheischerei - wer einen Hassvortrag gegen die Bahn erwartet, ist in dieser Veranstaltung falsch. Wir werden die Daten aber nutzen, um die Bahn einmal ein bisschen kennenzulernen. Die Bahn ist eine riesige Maschine mit Millionen beweglicher Teile. Wie viele Zugfahrten gibt es überhaupt? Was sind die größten Bahnhöfe? Wir werden natürlich auch die unerfreulichen Themen ansprechen, für die sich im Moment viele interessieren: Ist das Problem mit den Zugverspätungen wirklich so schlimm, wie alle sagen? Gibt es Orte und Zeiten, an denen es besonders hapert? Und wo fallen Züge einfach aus? <b> 2) Es gibt wieder mehrere Blicke über den Tellerrand</b>, wie bei Davids vorherigen Vorträgen auch. Ihr werdet wieder ganz automatisch und nebenher einen <i>allgemeinverständlichen</i> Einblick in die heutige Datenauswerterei bekommen. (Eine verbreitete Verschwörungsheorie sagt, euch zur Auswertung öffentlicher Daten zu inspirieren, wäre sogar der Hauptzweck von Davids Vorträgen. :-) )Die Welt braucht Leute mit Ratio, die Analyse wichtiger als Kreischerei finden. Und darum beschreibt davod auch, wie man so ein durchaus aufwändiges Hobbyprojekt technisch angeht, Anfängerfehler vermeidet, und verantwortungsvoll handelt. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10652.html

We will examine the European Commission’s proposal for a regulation on preventing the dissemination of terrorist content from as a radical form of censorship. Looking at the rationale and arguments of policy-makers in Brussels, we will discuss normalisation of a “do something doctrine” and “policy-based evidence”. How can citizens and activists influence that legislative process? And what does it mean if they won’t? Fear of terrorism as a tool for dissent management in the society is utilised almost everywhere in the world. This fear facilitates the emergence of laws that give multiple powers to law enforcement, permanently raising threat levels in cities around the world to “code yellow”. A sequel of that show is now coming to a liberal democracy near you, to the European Union. The objective of the terrorist content regulation is not to catch the bad guys and girls, but to clean the internet from images and voices that incite violence. But what else will be cleaned from in front of our eyes with this law with wide definitions and disproportionate measures? In the Brussels debate, human rights organisations navigate a difficult landscape. On one hand, acts of terrorism should be prevented and radicalisation should be counteracted; on the other, how these objectives can be achieved with such a bad law? Why are Member States ready to resign from judicial oversight over free speech and hand that power to social media platforms? Many projects documenting human rights violations are already affected by arbitrary content removal decisions taken by these private entities. Who will be next? In the digital rights movement we believe that the rigorous application of principle of proportionality is the only way to ensure that laws and subsequent practices will not harm the ways we exercise the freedom of speech online. Reaching to my experience as a lobbyist for protection of human rights in the digital environment, I want to engage participants in the conversation about the global society of the near future. Do we want laws that err on the side of free speech and enable exposure to difficult realities at the risk of keeping online the content that promotes or depicts terrorism? Or do we “go after the terrorists” at the price of stifling citizen dissent and obscuring that difficult reality? What can we do to finally have that discussion in Europe now that there is still time to act? about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/11045.html

Civil society depends on the continuing ability of citizens to communicate with one another, without fear of interference, deprivation or eavesdropping. As the international political climate changes alongside that of our physical climatic environment, we must find ways to create mobile communications systems that are truly resilient and sustainable in the face of such shocks. We have therefore identified a number of freedoms that are required for resilient mobile phones: Energy, Communications, Security, Innovation, Maintenance and Scale-Dependency. These can be summarised as making it possible for people to create, maintain and develop mobile communications solutions, without requiring the capital and resources of a large company to do so. In this lecture I will explain why each of these is necessary, as well as describing how we are incorporating these principles into the MEGAphone open, resilient and secure smart-phone project. In the humanitiarian sector we talk about how without energy there is no communications, and without communications there is no organisation, and how without organisation people die. As we see increasing frequency of natural disasters, man-made disasters like wars and unrest, and the distressing intersection of these events, we have been convinced that we need to be able to create mobile communications devices that can not only survive in such events, but be sustained in the long term, and into what we call the coming Digital Winter. The Digital Winter is the situation where the freedoms to create and innovation digital systems will become impossible or highly limited due to any of various interrelated factors, such as further movement towards totalitarian governments, the failure of international supply systems (or their becoming so untrustworthy to be usable), the failure of various forms of critical infrastructure and so on. Fortunately the Digital Winter has not yet arrived, but the signs of the Digital Autumn are already upon us: The cold winds chilling our personal freedoms can already be felt in various places. Thus we have the imperative to act now, while the fruit of summer and autumn still hangs on the trees, so that we can make a harvest that will in the least sustain us through the Digital Winter with resilient, secure and sustainable communications systems, and hopefully either stave off the onset of the winter, bring it to a sooner end, and/or make the winter less bitter and destructive for the common person. It is in this context that we have begun thinking about what is necessary to achieve this, and have identified six freedoms that are required to not merely create digital solutions that can survive the Digital Winter, but hopefully allow such solutions to continue to be developed during the Digital Winter, so that we can continue to react to the storms that will come and the predators that will seek to devour our freedoms like hungry wolves. The six freedoms are: 1. Freedom from Energy Infrastructure, so that we cannot be deprived of the energy we need to communicate. 2. Freedom from Communications Infrastructure, so that we cannot be deprived of the communications we need to organise and sustain communities. 3. Freedom from depending on vendors for the security of our devices, so that we can patch security problems promptly as they emerge, so that we can sustain communications and privacy. 4. Freedom to continue to innovate and improve our digital artefacts and systems, so that we can react to emergy threats and opportunities. 5. Freedom to maintain our devices, both their hardware and software, so that our ability to communicate and organise our communities cannot be easily eroded by the passage of time. 6. Freedom from Scale-Dependency, so that individuals and small groups can fully enjoy the ability to communicate and exercise the preceding freedoms, without relying on large corporations and capital, and also allowing minimising of environmental impact. In this lecture I will explore these issues, as well as describe how we are putting them into practice to create truly resilient and sustainable mobile phones and similar devices, including in the MEGAphone open-source/open-hardware smart phone. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10800.html