PLAY PODCASTS
Chaos Computer Club - archive feed

Chaos Computer Club - archive feed

14,494 episodes — Page 124 of 290

HUMUS sapiens (36c3)

<p>HUMUS sapiens represents a compilation of soil explorations emerging from the networks of mikroBIOMIK, Hackteria, and Gasthaus – with the ambition to bring DIY (do-it-yourself) and DIWO(do-it-with-others) approaches as well as an open-source-based “hacker spirit” into soil ecology. Participants are invited to reflect on current scientific discourses and critical societal challenges through hands-on tinkering and curiosity-driven research.</p> <p>Far more than just the dirt under our feet, soil is a truly complex and dynamic ecosystem. It is a constantly changing mix of minerals, living organisms, decaying organic matter, air, and water. It is the living skin of our planet, allowing new forms of life to come into being, incorporating the nutrients left there by organisms of the past. Soil is bursting with life and can be vastly different from one square centimeter to the next. From plants, earthworms, insects, and fungi to invisible amoeba, nematodes, algae, and bacteria – each creature provides their own essential role in the soil ecosystem. The shared nature of the soil habitat manifests not only through the highly interconnected so-called “soil food web” – which is mainly driven by microbial metabolism – but also in regard to humans and their dependence on the productivity of edible plants. It is this dependency that motivates Homo sapiens to manipulate natural ecosystems, while at the same time failing to understand them. Human impact on the soil, especially intensive agricultural practices (deforestation, overgrazing, use of agrochemicals, etc.) and urbanization, leads to compaction, loss of soil structure, nutrient degradation,and contamination – ultimately, the breaking down of these ecosystems and eroding of the soil to infertile desert.</p> <p>HUMUS sapiens aims to reexamine these problems from an ecosystem's viewpoint and to support the paradigm shift from an anthropocentric ideology to a more biocentric philosophy of life.</p> about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/11043.html

Dec 29, 20191h 2m

Hacking the Media: Geflüchtete schmuggeln, Nazis torten, Pässe fälschen (36c3)

Ein lustiger Rückblick über die Aktionen des Peng Kollektivs. Cop Map zu Polizeigewalt, MaskID zum Überwachungsstaat und Gesichtserkennung, Adblocker zur Werbeindustrie, CFRO zum Finanzsystem, Deutschland geht klauen zu Lieferketten und der Aufbau der Bewegung Seebrücke zur Entkriminalisierung der Seenotrettung sind nur ein Bruchteil der Aktionen, die seit dem letzten Besuch 2015 hier noch nicht präsentiert wurden. Eine Tour de Force durch Momente zivilen Ungehorsams und Subversion, wobei wir uns selbst nicht zu ernst nehmen und vor allem darauf abzielen, mit den sozialen Bewegungen zusammen zu arbeiten. Eine Stunde geballte Kommunikationsguerilla, lustige Medienaktionen, aber auch ein Einblick in mögliche Denkweisen und Aktionsmöglichkeiten, die andere machen können. Was ist heutzutage möglich und was ist vor allem nötig? about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10541.html

Dec 29, 20191h 4m

Email authentication for penetration testers (36c3)

Forget look-alike domains, typosquatting and homograph attacks. In this talk we will discuss ways of forging perfect email counterfeits that (as far as recipients can tell) appear to be coming from well-known domain and successfully pass all checks on their way. Prime focus of this talk will be modern anti-spoofing strategies and the ways around them. Join us as we try to figure out answers to questions such as "Isn't SPF enough?", "Do I *really* need DMARC?" and "Does ticking all three (SPF, DKIM, DMARC) provide the best protection possible?" (answers to these questions are "no", "yes", "no" by the way). Email security is poorly covered by a contemporary penetration testing curricula. In this talk I will argue that it leads to underreporting of email-related security issues during regular penetration tests or red team assignments. Getting clicks from (at least some) users is usually fairly easy, even with obviously fake domain names and email addresses, so penetration testers rarely need to do anything more fancy in order to achieve their objective. While this highlights the need for user education, it misses common misconfiguration issues that might lead to much more devastating compromises and could instill false sense of security in (rare) cases that regular phishing attacks fail. Technically inclined users (such as developers, tech support or even SIEM analysts) are less likely than others to fall for phishing email originating from fake domain, but they are actually more likely to fall for email seemingly originating from real known-good source due to overconfidence. In this talk we will see just how easy is it to send spoofed mail from arbitrary source address due to lack of protection for this scenario in original SMTP spec. We won't stop there however and our next object of focus will be contemporary anti-spoofing technologies (SPF, DKIM and DMARC). We will discuss motivation behind them, their technical limitations, weaknesses discovered in recent years as well as common misconfigurations. Attendees will gain knowledge about relevant protocols and technologies that should be applicable for identifying weaknesses in the architecture of their own email systems. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10730.html

Dec 29, 20191h 1m

Cryptography demystified (36c3)

This talk will explain the basic building blocks of cryptography in a manner that will (hopefully) be understandable by everyone. The talk will not require any understanding of maths or computer science. In particular, the talk will explain encryption, what it is and what it does, what it is <em>not</em> and what it <em>doesn't</em> do, and what other tools cryptography can offer. This talk will explain the basic building blocks of cryptography in a manner that will (hopefully) be understandable by everyone, in particular by a non-technical audience. The talk will not require any understanding of maths or computer science. This talk will cover the following topics: <ul> <li>What is encryption and what does it do?</li> <li>What are the different kinds of encryption?</li> <li>What is authenticity? Are authenticity and encryption related?</li> <li>How can authenticity be achieved?</li> <li>What are certificates for?</li> <li>What is TLS and what does it do?</li> </ul> While covering the above topcis, I will <em>not</em> explain the technical details of common cryptographic schemes (like RSA, AES, HMAC and so on), in order to avoid keep this talk accessible to a broad audience. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10627.html

Dec 29, 201953 min

Public Money? Public Code! A campaign framework to promote software freedom (36c3)

Do you want to promote Free Software in public administrations? Then the campaign framework of "Public Money? Public Code!" might be the right choice for you; no matter if you want to do it as an individual or as a group; no matter if you have a small or large time budget. More than 170 organisations, and more than 26,000 individuals demand that publicly financed software should be made publicly available under Free Software licenses. Together we contacted politicians and civil servants on all levels -- from the European Union and national governments, to city mayors and the heads of public libraries about this demand. This did not just lead to important discussions about software freedom with decision makers, but also already to specific policy changes. In the talk, we will explain how the campaign framework including the website publiccode.eu, the videos, the open letter, the expert brochure,and example letters can be used to push for the adoption of Free Software friendly policies in your area; be it your public administration, your library, your university, your city, your region, or your country. about this event: https://fahrplan.chaos-west.de/36c3/talk/LF3YYH/

Dec 29, 201950 min

Raumfahrtantriebe (36c3)

Wie kommt man eigentlich in den Weltraum und was ist an so ein bisschen Schub so kompliziert *? Warum sehen Raumfahrtantriebe so aus wie sie sind und was wird sich mit "New Space" alles ändern? (*)insert rocket science joke here Preview 1. Wie erzeugt man Schub? - Was ist eine Raketenmotor -triebwerk? - Warum fliegen Flaschenraketen mit Wasser höher? 2. Feststoffraketen - Feuerwerk, Modellbau oder Shuttle Booster - Brennprofile 3. Flüssigraketen - Goddards erste Versuche - Komplex, teuer, fehleranfällig und warum wir trotzdem Flüssigtreibstoffe nutzen 3.1. Brennkammer - Aufbau und Eigenschaften 3.2. Turbopumpen - Wie kommt der Treibstoff und Oxidator in die Brennkammer 3.3. Düsen - warum überhaupt Düsen und warum sehen sie so aus wie sie sind - Aerospike 3.4. Treibstoffe - Ein wenig Chemie. Mono-, Bi- und Tritreibstoff 3.5. 5,4 all engines running,2,1,0 lift off - Wie man eine Rakete startet Soyuz, Titan II, Delta 4 und das Space-Shuttle 4. Hybridraketen - Die Komplexität einer Flüssigrakete mit den Nachteilen einer Feststoffrakete 5. Ionenantrieb - Wenig Schub aber hoher Impuls - Aufbau und Eigenschaften 6. Solar Sail - Ein Segel spannen und mit dem Sonnenwind dahingleiten 7. Nuklearantriebe - Ein fliegender Kernreaktor, was kann da schon schief gehen? - in 200 Tagen zum Mars und zurück about this event: https://talks.oio.social/36c3-oio/talk/SHDVXB/

Dec 29, 201943 min

Wie man ein klimafreundliches Haus baut (36c3)

Description: Heizung von Häusern ist für etwa ein Drittel der Treibhausgasemissionen Deutschlands verantwortlich. Dabei gibt es bessere Möglichkeiten als einfach irgendeinen Brennstoff anzuzünden. Dieses Problem muss und kann gelöst werden. Der Vortrag beschreibt Möglichkeiten, komfortabel zu bewohnende Häuser fast ohne Heizung zu bauen. In diesem Vortrag werden nur neu zu bauende Gebäude betrachtet. Die gezeigten Methoden sind für Wohn- und Nichtwohngebäude aller Größen verwendbar. Es geht um folgende Details: * Wärmeverluste: Wo geht die Wärme raus? Wo müssen wir also ran? * Zuerst isolieren: Wände, Fenster, Dach, Boden * Dann Wärme zurückgewinnen: Maschinelle Lüftung mit Wärmerückgewinnung * Vorhandene Wärme nutzen: Solare und innere Gewinne * Restwärmebedarf und Warmwasser erzeugen * Wie lebt es sich darin? Thermoskannengefühl oder komfortabel?, Langzeiterfahrungen * Standards: KfW-Effizienzhaus, Passivhaus, Efffizienzhaus-Plus * "Free Money": Heizkosten, Mehrkosten und Zuschüsse beim Bau in Deutschland * Warum nicht einfach erneuerbare Energie für die Wärmeerzeugung nehmen? about this event: https://fahrplan.chaos-west.de/36c3/talk/M8WDGC/

Dec 29, 201921 min

Programmieren Lernen für Kids - in Minecraft (36c3)

Viele Kinder lieben „Minecraft“ – sie sind oft richtige Experten in der Welt von Alex und Steve! Diese Begeisterung kann man nutzen, um Neues zu lernen! Das geht nämlich dann am besten, wenn man gar nicht merkt, dass man was lernt, sondern einfach nur etwas Tolles baut und dabei Spaß hat! Inspiriert von dem Talk "Programmieren in Minecraft" auf der GPN 2019 habe ich mit dieses Jahr mit über 40 Kindern Workshops durchgeführt, in dem man die Grundkenntnisse des Programmierens in der bunten Klötzchen-Welt von Alex und Steve lernen kann. In meinen Talk möchte ich von Erfahrungen aus diesen Kursen berichten, wie man solche Kurse am besten aufbaut und strukturiert, was gut funktioniert, wie man Aufgaben spielerisch gestalten kann und das ganze auch technisch einfach im Griff haben kann. about this event: https://fahrplan.chaos-west.de/36c3/talk/JUK87C/

Dec 29, 201920 min

Build and fly your own rockets in Kerbal Space Program (36c3)

Kerbal Space Program - Build. Fly. Dream. Einmal ein eigenes Raumfahrtprogramm leiten? Mit KSP ist das möglich. about this event: https://talks.oio.social/36c3-oio/talk/X9JPVH/

Dec 29, 201951 min

Getting software right with properties, generated tests, and proofs (36c3)

How do we write software that works - or rather, how do we ensure it's correct once it's written? We can just try it out and run it, and see if it works on a few examples. If the program was correct to begin with, that's great - but if it's not, we're going to miss bugs. Bugs that might crash our computer, make it vulnerable to attacks, stop the factory, endanger lives, or "just" leave us unsatisfied. This talk is about techniques every programmer can use to avoid large classes of bugs. You think about general properties of the things in your code, verify them through automatically generated tests, and (when it's particularly critical) proofs. This is a surprisingly fun and satisfying experience, and any programmer can do it. You need just a bit of high school math (which we'll refresh in the talk) to get started. This talk is specifically about accessible techniques: Almost any program, function, or entity has a few interesting properties, and teasing them out will enhance your understanding of what is going on in your software. The next trick is to write out the property in your programming language. People with lots of time and budget can write down enough properties to form a complete specification of the security- and safety-critical parts of a system and prove that they hold for their system. In the talk, we'll instead focus on a dead-simple technique called <b>QuickCheck</b>. (Your programming language almost certainly has a QuickCheck library you can use.) QuickCheck - from the code describing the property - will automatically generate as many test cases as you want, run them, and produce counterexamples for failures. QuickCheck is amazingly effective at flushing out those corner cases that elude traditional unit tests. Finally, for simple properties of pure functions, we can also attempt a proof using simple algebra. The results are a wonderful feeling of satisfaction, and a sound sleep. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10768.html

Dec 29, 20191h 2m

Die Affäre Hannibal (36c3)

Sie sollen den Staat schützen, sind aber selbst eine Gefahr: Soldaten und Polizisten, die sich in Chat-Gruppen organisieren und auf den „Tag X“ vorbereiten. Mit aufwändigen Recherchen hat ein Team der taz ein bundesweites konspiratives Netzwerk aus Preppern und Staatsbediensteten aufgedeckt. Kopf war „Hannibal“, Elitesoldat beim Kommando Spezialkräfte – und Auskunftsperson für den Militärischen Abschirmdienst. Hier geben die ReporterInnen Einblick in die Recherche und zeigen, was aus ihren Berichten folgte. Oder auch nicht. Ein Elitesoldat des Kommando Spezialkräfte, der bundesweit Chatgruppen und einen Verein namens „Uniter e.V.“ gründet, in dem paramilitärische Trainings abgehalten werden. Ein SEK-Polizist und Prepper, der knapp 60.000 Schuss Munition hortet, die aus Polizeibeständen entwendet wurden. Männer, die Feindeslisten anlegen und offenbar planen, an einem „Tag X“ politische Gegner umzubringen. Drei Schlaglichter auf die mehr als zwei Jahre andauernde „Hannibal“-Recherche der taz. Sie führte in viele Felder: Hinein in Verfassungsschutzbehörden und Bundeswehr; hinaus aufs Land zwischen Mecklenburg-Vorpommern und Baden-Württemberg; auf Facebook-Profile philippinischer Politiker und in Telegram-Chats deutscher Verschwörer. Auf die Recherchen folgte Bestürzung, aber – zunächst – auch Belächeln. Sind diese Leute wirklich gefährlich oder doch bloß harmlose Spinner? In diesem Talk geben zwei der ReporterInnen des taz-Teams einen Einblick in ihre Arbeit, berichten von Begegnungen mit Preppern mit Umsturzfantasien und Verfassungsschutzmitarbeitern, die im schwarzen Porsche Cayenne vorfahren. Sie berichten von Erfolgen bei der Online-Recherche und warum Hinfahren und an Türen klingeln am Ende doch unerlässlich ist. Die Journalisten schildern, was nach ihren Veröffentlichungen passiert ist: Im politischen Raum, in der Justiz – und welche Fragen noch offen sind. Warum etwa wird nicht wegen Bildung einer terroristischen Vereinigung ermittelt? Vortrag von: Sebastian Erb, Redakteur der taz am Wochenende Daniel Schulz, Leiter des Ressorts Reportage & Recherche der taz about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/11114.html

Dec 29, 20191h 2m

Build you own Quantum Computer @ Home - 99% of discount - Hacker Style ! (36c3)

Quantum technologies are often only over-hyped showed as threat for cybersecurity … But they also offer some opportunities to enhance the cybersecurity landscape . As an example, you may know that a quantum computer will be able to break RSA keys but Quantum communication technologies can also provide a new way to exchange securely a cipher key. More, with Quantum networking technologies, communication eavesdropping are , by design, detectable and thus this could lead to some good opportunities to use them to enhance cybersecurity. Some even begins to build a Quantum internet ! We may also solve main security issues face by cloud computation (privacy, confidentiality etc) via the use of "Blind quantum computation" in the cloud. However few people understand & explain how such machines & technologies work. Even fewer people trying to build one. I’m one of this crazy people. In this talk, we aim to explain how this new type of much powerful digital processing works and how we build our own Quantum computer …without a Phd in quantum physic. We will describe our plan to build the Quantum computer's hardware with hacker’s style. Through our own experiments, we will discuss our failures, our success, our progress around this challenging goal ! Come to see part of the hardware we build at the moment. We use the "Trapped ion technology". We trap atoms to make powerful calculation & computing task! Be prepared to unlock your quantum brain as this new domain is really different for classical computation ;-) but it can enhance the Cybersecurity world Our goal : Bring the knowledge that Quantum computing works, explain how they make such power calculation at hardware level, is doable at home and will provide a new way to do secure computing and communication for the best of the humanity Proposal Agenda -Quantum computer 101 (one slide to be able to understand the basic of quantum mechanic w/o FUD) -Why those Quantum computer are so powerful -How to break things with quantum computers -How to improve the security level of modern network with quantum technologies (Networking, blind quantum computing for 100%privacy in the cloud, cipher key security, quantum internet & more) -How a Quantum computer based on Trapped ions technology works to do their magic super powerful calculation (at hardware level) -How we build our own quantum computer hardware at home (in our military grade High Tech...Garage!) with hacker style & open source software (Contain full video of the buildings of our Quantum computer) about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10808.html

Dec 29, 201955 min

Free Software for Open Science (36c3)

This talk provides an overview of the state of Free and Open Source Software (FOSS) within the various European scientific communities. Based on this we will try to identify stakeholders, common goals and potential policy proposals. The principles of Free and Open Source Software (FOSS) are well aligned with the core tenets of science, i.e., the sharing of knowledge and the demand for reproducibility of results. Nevertheless, FOSS is still rather the exception than the rule for the majority of scientific domains. In this session we will discuss the state of FOSS within the various European scientific communities. Based on this we will try to identify stakeholders, common goals and potential policy proposals. about this event: https://cfp.verschwoerhaus.de/36c3/talk/3CHBWG/

Dec 29, 201927 min

Achtung Vorratsdatenspeicherung: Es wird ernst (36c3)

Untertitel: Wie Europol und die Innenminister der EU-Länder Massenüberwachung legalisieren wollen und was dagegen zu tun ist. –– Zusammenfassung: Trotz klarer Gerichtsurteile gegen anlasslose Massenüberwachung wird in Arbeitsgruppen, Ausschüssen und Spezialgerichten an neuen Rechtsgrundlagen für eine EU-weite Vorratsdatenspeicherung gearbeitet. Es geht um Hintertüren in der ePrivacy-Verordnung, einen Fahrplan von EU-Rat und EU-Kommission, ein Überwachungskonzept von Europol und Versuche, den EU-Gerichtshof zu einer Revidierung vorheriger, grundrechtefreundlicher Urteile zu bewegen, während zur selben Zeit in Deutschland die CDU den Terror-Angriff von Halle/Saale instrumentalisiert. –– Ausführliche Beschreibung: In diesem Vortrag möchte ich erklären, wie sogenannte Sicherheitspolitiker auf drei Ebenen an mehreren neuen Rechtsgrundlagen für die massenhafte und anlasslose Überwachung unserer Kommunikations- und Aktivitätsdaten arbeiten. In diesem Zusammenhang möchte ich die Reaktion der deutschen CDU auf den Terror-Angriff in Halle/Saale im Oktober diesen Jahres als geschichtsvergessen kritisieren. Zum Referenten: Mein Name ist Friedemann Ebelt, ich arbeite seit fünf Jahren bei der deutschen Grundrechteorganisation Digitalcourage, die im Jahr 2006 eine Verfassungsbeschwerde gegen das deutsche Gesetz zur Vorratsdatenspeicherung eingereicht hat. Die Klage ist mit anderen Beschwerden anhängig beim Bundesverfassungsgericht, dessen Urteil eine EU-weite Signalwirkung haben wird. Digitalcourage beobachtet die aktuellen Überwachungsbestrebungen unter anderem mit Hilfe von Anfragen auf Grundlage des Informationsfreiheitsgesetzes, die wir auf fragdenstaat.de stellen. Was uns die Dokumente zeigen, ist aus unserer Sicht eine Kampagne für Vorratsdatenspeicherung, die auf drei Ebenen stattfindet: (1) Im geplanten EU-Gesetz zur ePrivacy-Verordnung wird über eine riesige Hintertür für eine private Vorratsdatenspeicherung verhandelt. Das ist absurd, denn das Ziel dieser Verordnung ist der Schutz sensibler Kommunikationsdaten. (Siehe Artikel 6 des Entwurfs einer ePrivacy-Verordnung) → Mehr dazu: https://digitalcourage.de/blog/2019/eprivacy-private-vorratsdatenspeicherung-durch-hintertuer (2) EU-Rat und EU-Kommission haben einen Fahrplan für eine neue EU-weite Vorratsdatenspeicherung beschlossen. Die Hauptgefahr aus unserer Sicht ist, dass ausschließlich Vorschläge für anlasslose Massenüberwachung diskutiert werden, wie die Überwachungs-Matrix aus dem Europol Data Retention Matrix Workshops. In einer 45-seitigen Tabelle breitet Europol aus, welche Daten sie für relevant für eine neue, EU-weite Vorratsdatenspeicherung halten. Von Standortdaten über IP-Adressen bis hin zu Verbindungsdaten sind nahezu sämtliche Informationen aufgeführt, die Provider demnach längerfristig speichern müssten. Diskutiert wird aber auch über die Speicherung der Länge von Antennen und über Klingeltöne. Es gibt keine Vorschläge für verhältnismäßige Optionen wie Quick Freeze, Sonderermittlungsdezernate oder ähnliches. → Mehr dazu: https://digitalcourage.de/blog/2019/eu-vorratsdatenspeicherung-diese-daten-sollen-gespeichert-werden https://digitalcourage.de/blog/2019/beschraenkte-vorratsdatenspeicherung (3) Mehrere EU-Mitgliedsstaaten verlangen vom EU-Gerichtshof eine Revidierung vorheriger, grundrechtefreundlicher Urteile. Anstatt die grundrechlichen Grenzen für Massenüberwachung zu akzeptieren, greifen die Regierungen der EU-Länder diese Grenzen an. → Mehr dazu: https://digitalcourage.de/blog/2019/achtung-vorratsdatenspeicherung-es-wird-ernst In Verbindung mit der geplanten E-Evidence-Verordnung, massiv verschärften Polizeigesetzen und dem derzeitigen Wettbewerb zur Einschränkung von Grundrechten, den sich die Regierungen der EU-Länder aktuell liefern, sind die Pläne für eine flächendeckende Vorratsdatenspeicherung als toxisch für Rechtsstaat und Demokratie zu bewerten. Bezeichnend für eine grundrechtevergessene Politik sind die jüngsten Ereignisse in Deutschland: Überwachung über Ethik: CDU in Deutschland nutzt den Terror von Halle/Saale Nur einen Tag nach dem Terror-Angriff in Halle/Saale im Oktober diesen Jahres sagte CDU-Innenpolitiker Mathias Middelberg im Deutschlandfunk, dass gegen rechte Hetze im Internet und im Bildungssystem vorgegangen werden müsse. Konkret handeln er und seine Partei jedoch in eine ganz andere Richtung: Sie nutzen den rechten Terror, um Massenüberwachung voranzubringen. Zentral ist dabei die Vorratsdatenspeicherung. Geplant ist aber auch, den in die NSU-Morde verstrickten sogenannten Verfassungsschutzes mit mehr Befugnisse auszustatten sowie der Einsatz von Staatstrojanern, die für den Einsatz von Staatstrojanern benötigt werden. → Mehr dazu: Hallo CDU: Vorratsdatenspeicherung und Verfassungsschutz sind nicht die Lösung https://digitalcourage.de/Blog/2019/hallo-cdu-vorratsdatenspeicherung-und-verfassungsschutz-sind-nicht-die-loesung Mit unserer Kritik an dieser Politik, wenden wir uns an deutsche Parlamentarier und argumentiere

Dec 29, 201947 min

Connected Mobility hacken: digital.bike.23 (36c3)

Was haben E-Bikes mit Connected Mobility zu tun? Und ist so was wie LineageOS auch für Bike Computer möglich? Außerdem: wie lassen sich Cradle to Cradle Prinzipien auf E-Bikes anwenden? Der Vortrag gibt einen Einblick in die Rolle von E-Bikes in der Connected Mobility und umreißt ihren Stand der Technik. Zudem berichtet er von den Herausforderungen, ein nachhaltiges Open-Source-E-Bike zu entwickeln. Last but not least möchte er die Idee eines Open-E-Bike-Wiki vorstellen. Dank Vernetzung auf allen Ebenen soll Mobilität sicherer, umweltfreundlicher, humancentered etc. werden. Fokus ist natürlich der Automotive Bereich. Da wird entwickelt, was das Zeug hält. Aber was ist mit E-Bikes? Sie haben durch ihre On-Board-Komponentenvernetzung perfekte Voraussetzungen für Connected und Smart. Deshalb jagt ein Hardware- und Sofwareupgrade inzwischen das nächste. Detaillierte Userdaten landen auf den Servern der Hersteller, dank proprietärer Software aller relevanten Komponenten. Der Vortrag beschäftigt sich im ersten Teil mit Connected Mobility und dem Stand der Technik bei E-Bikes - ein Fokus: Ihre Konnektivitätsoptionen und die Sensorvielfalt. Und es geht um Sinn und Unsinn des Technikeinsatzes. Im zweiten Teil geht es um das eigentliche e-Bike-Projekt. Der Vortrag erzählt von den Eigenheiten der Fahrzeugkonstruktion inspiriert von Cradle to Cradle und den Stand der Dinge der IT – Open Source, Open Embedded und Open IoT - aus der Sicht einer Produktdesignerin, die keine Hackerin ist und gern alles offen und transparent entwickeln würde und anwender*innenfreundliche Applikationen sucht. Und er erzählt von der Idee den IT-Dschungel zu lichten: der Erstellung eines Open-E-Bike-Wikis. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10990.html

Dec 29, 201950 min

Protecting the Wild (36c3)

Conservation genomic approaches are crucial for establishing long-term sustainable conservation and management strategies for the protection of biodiversity and natural ecosystems. In this talk, the diverse and disparate fields of expertise and activism are presented, which are involved in building effective conservation genomic reference datasets and their infrastructures, analytical inference/prediction environments and operational tools for practical application. Natural ecosystems and biodiversity are lost at an alarming and accelerating rate due to anthropogenic (over-) exploitation, habitat destruction and climate change. Conservation genomics promises to provide reliable and detailed insights into the current state of species and their interactions, as well as, the processes shaping their reactions to change. Such knowledge is urgently needed for forecasts of species’ responses under quickly and potentially unpredictably changing climatic and environmental conditions, as well as, sociopolitical changes and shifting patterns of economic (over-) exploitation. Conservation genomic insights will allow societies in dynamic contexts to come to adequate decisions and effective action in time. Reliable, decisive and useful practical tools that are robust under real-world operational conditions are, for example, needed for genetic inventory and monitoring campaigns, by certification initiatives, for example in fisheries or forestry, and in forensic genetic case work enforcing legal protection. The development and implementation of the building blocks for conservation genetic tools will involve the cooperation of experts, activists and citizen enthusiasts from many and, so far, often unconnected backgrounds and communities. These extensive projects will bring together experts from biodiversity science, bioinformatics, statistical genetics, machine learning and IT-security, as well as, citizen scientists and volunteers, conservation activists, stewards and managers of natural “resources”, and local communities. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/11010.html

Dec 29, 201957 min

Lightning Talks Day 3 (36c3)

Lightning Talks are short lectures (almost) any congress participant may give! Bring your infectious enthusiasm to an audience with a short attention span! Discuss a program, system or technique! Pitch your projects and ideas or try to rally a crew of people to your party or assembly! Whatever you bring, make it quick! To get involved and learn more about what is happening please visit the Lightning Talks page in the 36C3 wiki. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10525.html

Dec 29, 20191h 59m

Von Menschen radikalisiert: Über Rassismus im Internet (36c3)

Seit Jahren wird über den Einfluss des Internets auf die Gesellschaft diskutiert. Desinformationskampagnen in den sozialen Medien, russische Bots und Empfehlungs-Algorithmen hätten die Gesellschaft gespalten. Doch viele Unterstellungen lassen sich einfach widerlegen. Dieser Vortrag gibt einen Überblick und schlägt Ansätze vor, wie sich die Phänomene des Rechtsrucks zu einem konsistenten Bild zusammenfügen lassen. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/11097.html

Dec 29, 201955 min

A systematic evaluation of OpenBSD's mitigations (36c3)

OpenBSD markets itself as a secure operating system, but doesn't provide much evidences to back this claim. The goal of this talk is to evaluate how effective OpenBSD's security mitigation are, in a systematic, rational and comprehensive way. <a href="https://openbsd.org">OpenBSD's website</a> advertises a secure and modern operating system, with cool and modern mitigations. But no rational analysis is provided: are those mitigations effective? what are their impacts on performances, inspectability and complexity? against what are they supposed to defend? how easy are they to bypass? where they invented by OpenBSD or by others? is OpenBSD's reputation warranted? This talk aims at answering all those questions, for all OpenBSD's mitigations, because, in the words of <a href="https://twitter.com/ryiron/status/1150924668020203521">Ryan Mallon</a>: <quote>Threat modelling rule of thumb: if you don’t explain exactly what you are securing against and how you secure against it, the answers can be assumed to be: “bears” and “not very well”.</quote> For example, OpenBSD added last year a <a href="https://man.openbsd.org/mmap.2#MAP_STACK">MAP_STACK</a> flag to its <code>mmap</code> function, and branded it as a security measure against "ROPchains". But this mitigation used to be part of Windows until 2012, and was removed because of at least generic public bypasses. It's also implemented on Linux since 2008, but for other reasons :) All the research done for this talk is available on <a href="https://isopenbsdsecu.re">isopenbsdsecu.re</a> about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10519.html

Dec 29, 201953 min

Datengewerkschaften im Kampf gegen Facebook, Google und Co. (36c3)

<p>None Die Datenverarbeitung auf Basis von Einwilligungen macht uns zu Klickrobotern und gibt uns gegenüber übermächtigen Anbietern keine wirklich freie Wahl. Wir zeigen eine Alternative auf, mit der wir unser Grundrecht auf informationelle Selbstbestimmung gegenüber den Großkonzernen wieder durchsetzen könnten. Ausgehend von den Nachteilen der meistens alternativlosen Einwilligung, die Facebook, Google und Co. für die Nutzung ihrer Services verlangen, wird das Modell von Datengewerkschaften erläutert, ein Zusammenschluss von datenerzeugenden Einzelpersonen. Die Bündelung der Interessen vieler Betroffener zur Schaffung einer ernstzunehmenden Verhandlungsposition und die damit verbundene Ermöglichung von differenzierten und wirklich freiwilligen Einwilligungen könnten zu einer besseren Balance der Interessen führen, ohne die einzelnen Betroffenen dabei zu bevormunden. Eine erste Datengewerkschaft wurde bereits 2018 in den Niederlanden gegründet, deren erklärtes Ziel es ist, direkt mit den Anbietern zu verhandeln, um den Erzeuger*innen der Daten auch einen fairen Anteil an den Gewinnen zu verschaffen.</p> about this event: https://fahrplan.chaos-west.de/36c3/talk/Q7LV9G/

Dec 29, 201953 min

Chaos Communication Slam (36c3)

Chaos meets Poetry Slam. Der humoristische Dichterwettstreit mit Informatikhintergrund. Mitmachen ausdrücklich erwünscht. Und keine Sorge, ein Poetry Slam hat nichts mit dem Ingeborg-Bachmann-Preis zu tun. Hierbei geht es um einen Wettkampf bei dem selbstgeschriebene Texte live vorgetragen werden. Prosa, Lyrik, lustige Geschichte, das ist eure Wahl. Erzählt von euren Sysadmin Lovestorys, WebDev-f*ckUps oder was auch immer euch auf der Seele liegt. Für Kurzentschlossene bieten wir euch davor noch einen Crash Kurs in Slam Poetry an, damit auch ihr das Publikum begeistern könnt und mit in das Finale einzieht. Die Session findet ihr zeitnah im Event-Wiki. Auf dieser Seite findet ihr auch eine Adresse, um euch für das große Event anzumelden. Durch den Abend begleitet euch das Slam-erfahrene Team der "Slamigans" aus dem Umfeld des Chaostreff Flensburg. Moderiert von Thorben Dittmar, früherer U20-Local aus dem Kühlhaus und ewiger zweiter Platz, stimmt das Publikum zusammen über die besten Beiträge ab. Das Siegertreppchen darf sich schon auf tolle Preise freuen. Also schnell anmelden! about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/11242.html

Dec 28, 20191h 6m

Autocomplete Texting (36c3)

Mitmachspass mit Autocomplete: Entdecke KI-Seele deines Smartphones Ein Spiel mit dem Publikum: Menschen nutzen die Autocomplete/Predict-Funktion ihres Mobilgerätes, um basierend auf einem (wechselnden) vorgegebenen ersten Wort Sätze zu bilden, also immer nur das nächste vorgeschlagene Wort zu bestätigen. Die Ergebnisse werden mehr oder minder live und total willkürlich ausgewählt verlesen. Auch wenn's erstmal sinnlos erscheint: Und auch wenn den Absendenden Anonymität zugesichert wird und im Gegensatz Schummeln verboten ist: Die Art der Sätze, die die trainierte/konditionierte Maschine dabei hervorbringt offenbaren mindestens einen eigenen Charakter oder sagen zumindest etwas über die bevorzugte Nutzung des Gerätes. about this event: https://talks.oio.social/36c3-oio/talk/QSKPAM/

Dec 28, 201942 min

Don't Ruck Us Too Hard - Owning Ruckus AP Devices (36c3)

Ruckus Networks is a company selling wired and wireless networking equipment and software. This talk presents vulnerability research conducted on Ruckus access points and WiFi controllers, which resulted in 3 different pre-authentication remote code execution. Exploitation used various vulnerabilities such as information leak, authentication bypass, command injection, path traversal, stack overflow, and arbitrary file read/write. Throughout the research, 33 different access points firmware examined, and all of them were found vulnerable. This talk also introduces and shares the framework used in this research. That includes a Ghidra script and a dockerized QEMU full system emulation for easy cross-architecture research setup. Here's a fun fact: BlackHat USA 2019 used Ruckus Networks access points. Presentation Outline: This talk demonstrates 3 remote code executions and the techniques used to find and exploit them. It overviews Ruckus equipment and their attack surfaces. Explain the firmware analysis and emulation prosses using our dockerized QEMU full system framework. -Demonstrate the first RCE and its specifics. Describe the webserver logic using Ghidra decompiler and its scripting environment. -Demonstrate the second RCE using stack overflow vulnerability. -Lastly, demonstrate the third RCE by using a vulnerability chaining technique. All Tools used in this research will be published. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10816.html

Dec 28, 201948 min

ZombieLoad Attack (36c3)

The ZombieLoad attack exploits a vulnerability of most Intel CPUs, which allows leaking data currently processed by other programs. ZombieLoad is extremely powerful, as it leaks data from user-processes, the kernel, secure enclaves, and even across virtual machines. Moreover, ZombieLoad also works on CPUs where Meltdown is fixed in software or hardware. The Meltdown attack published in 2018 was a hardware vulnerability which showed that the security guarantees of modern CPUs do not always hold. Meltdown allowed attackers to leak arbitrary memory by exploiting the lazy fault handling of Intel CPUs which continue transient execution with data received from faulting loads. With software mitigations, such as stronger kernel isolation, as well as new CPUs with this vulnerability fixed, Meltdown seemed to be solved. In this talk, we show that this is not true, and Meltdown is still an issue on modern CPUs. We present ZombieLoad, an attack closely related to the original Meltdown attack, which leaks data across multiple privilege boundaries: processes, kernel, SGX, hyperthreads, and even across virtual machines. Furthermore, we compare ZombieLoad to other microarchitectural data-sampling (MDS) attacks, such as Fallout and RIDL. The ZombieLoad attack can be mounted from any unprivileged application, without user interactions, both on Linux and Windows. In the talk, we present multiple attacks, such as monitoring the browsing behavior, stealing cryptographic keys, and leaking the root-password hash on Linux. In a live demo, we demonstrate that such attacks are not only feasible but also relatively easy to mount, and difficult to mitigate. We show that Meltdown mitigations do not affect ZombieLoad, and consequently outline challenges for future research on Meltdown attacks and mitigations. Finally, we discuss the short-term and long-term implications of Meltdown attacks for hardware vendors, software vendors, and users. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10754.html

Dec 28, 201955 min

Vehicle immobilization revisited (36c3)

Modern road vehicles are fitted with an electronic immobilization system, which prevents the vehicle from starting unless an authorized transponder is present. It is common knowledge that the security transponder embedded in the key fob should be secure, and quite some work has been published on the (in)security of such transponders. However, we identify another crucial part of the immobilizer system, that has not yet received any academic attention. We investigated three vehicles, and found that the security transponder does not communicate with the ECM (Engine Control Module) but with the BCM (Body Control Module). After succesful authentication of the key, the BCM will then authenticate towards the ECM, after which immobilization is deactivated and the vehicle may start. If either the security transponder or this ECM-BCM authentication protocol is weak, vehicles may be started without presence of a valid security transponder. We present three case studies of such ECM-BCM protocols on vehicles from Peugeot, Fiat and Opel. The protocols are shown to be used in many different models, and also by other brands owned by the same group. We show how two of the protocols are completely broken, while the third one is derived directly from a 1995 security transponder. Both attacks can be carried out through the standardized OBD-II connector, present and conveniently located in all modern vehicles. Bottom line: cryptographic protocols used in the ECM-BCM authentication are not on par when compared with the crypto embedded in the transponder. Nowadays, immobilizers play an essential role in the prevention of vehicle theft. Intended to raise the complexity of theft through the introduction of non-mechanical safety measures, immobilizers have always worked by the same basic principle: to disallow ignition until some secret is presented to the vehicle. Immobilizers gained popularity in the 1990s, as a consequence of legislation: the European Union, Australia and Canada adopted regulation in the nineties, mandating the use of electronic immobilization systems in passenger cars. Immobilizers have shown to be highly effective in the effort to reduce theft rates. According to a 2016 study, the broad deployment of immobilization devices has lead to a reduction in car theft of an estimated 40% on average during 1995-2008. However, various tools are on the market to bypass electronic security mechanisms. Deployment of insecure immobilizer systems has real-world consequences: multiple sources report cars being stolen by exploiting vulnerabilities in electronic security, sometimes to extents where insurance companies refuse to insure models unless additional security measures are taken. In modern cars, the ECM (Engine Control Module) is responsible for operating the car engine, and is also responsible for starting the engine. A common misconception about immobilizer systems is that the car key always authenticates directly to the ECM, and that the ECM will only allow the car to start when it has established an authorized 125KHz RFID security transponder is present. In practise, the security transponder in the key fob authenticates towards the BCM (Body Control Module), which in turn authenticates towards the ECM. We have selected three cars from different major Original Equipment Manufacturers (OEMs) and identified immobilizer protocol messages from CAN-bus traffic, which can be accessed through the conveniently located OBD-II connector. We made traces of CAN-traffic when the ignition lock is switched to the ON position. Immobilizer related messages can be easily recognized when searching for high-entropy messages that strongly differ between traces. Confidence that the messages are indeed related to immobilizer can be increased by removing the security transponder from the key, which should result in different protocol messages. After identification of related messages, we dumped ECM and BCM micro-controller firmwares, either by leveraging existing software functions, or by using micro-controller debug functionality such as JTAG and BDM. We derived the immobilizer protocol through reverse-engineering. In all three cases, we established the same protocol is used in several different models from the same OEMs, including currently manufactured ones. We then analyzed the protocols for cryptographic strength. Two turn out to be completely broken, while the last one is directly derived from a 1995 security transponder. While it exhibits no obvious weaknesses, it is used in conjunction with current AES security transponders, and as such, we still recommend the manufacturer to replace it. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/11020.html

Dec 28, 201955 min

Open Code Verlesung (36c3)

Kommet zusammen Ihr Jüngerinnen der Bits und Bytes und hörtet die frohe Kunde des offenen Sourcecodes. Halleluhjaz! Am Anfang stand das NOP. Am Ende steht das NOPE. Lasst euch verwirren von Interpunktion und Kommentaren. Seid stark im Anblicke der zweiköpfigen Schlange! Die Zeit ist reif den offenen Sourcecode zu predigen. Kommet in Scharen! Bringet Kind und Kegel. Für alle Altergruppen (geboren vor Greased Weasel, über Erotic Pickel Hering bis hin zu Sheep on Meth) about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10677.html

Dec 28, 201944 min

It’s alive! – Nach den Protesten gegen die Polizeigesetze ist vor den Protesten gegen die autoritäre Wende (36c3)

Das Jahr 2018 stand ganz im Zeichen der bundesweiten Proteste gegen die Polizeigesetze. Und 2019? Es ist leiser geworden um noPAG, noPolGNRW & Co. Aber das Biest lebt! Wir blicken zurück auf die Proteste, geben einen kurzen Überblick über Erfolge und Niederlagen unseres Widerstands und eine Vorschau auf die Schrecken, die sich am Horizont der Inneren Sicherheit abzeichnen. Außerdem erklären wir, warum die Bewegung gegen die Polizeigesetze auf keinen Fall sterben darf – und warum sie sich neuen Themen wie Klimaschutz, Antifaschismus und Antirassismus widmen muss. Auf dem 3C35 rief Constanze Kurz dazu auf, auch 2019 gegen die bundesweit erfolgenden Verschärfungen der Polizeigesetze vorzugehen. Und tatsächlich sind dieses Jahr viele Menschen gegen die Gesetzesnovellierungen auf die Straße gegangen – aber das eigentliche Jahr der Proteste war 2018. Trotz der über Monate anhaltenden Demonstrationen und Aktionen in der gesamten Republik sind die Novellierungen in den wenigsten Bundesländern zurückgenommen wurden, und dort, wo Gesetzespassagen gestrichen und geändert wurden, handelte es sich meist um kosmetische Korrekturen. Dem allgemeinen Trend hin zu einer autoritären Wende in Sachen Innerer Sicherheit hat das keinen Abbruch getan, so unsere Ausgangsthese. Gleichzeitig sind viele der Bündnisse zerfallen, die Demonstrationen kleiner geworden, und auch der Großteil der Presse schenkt Polizei- und Sicherheitsgesetzen nur noch gelegentlich Aufmerksamkeit. Dabei kann die Bedeutung der Debatte um eine angebliche Versicherheitlichung unserer Gesellschaft gar nicht hoch genug bewertet werden: Es gibt starke Anzeichen dafür, dass die Institution Polizei, aber auch Militär und private Sicherheitsdienste, immer mehr an Macht gewinnen – was nicht zuletzt mit Blick auf die zahlreichen Skandale der letzten Monate und die Frage, wie strukturell rechts diese Institutionen eigentlich sind, von immenser gesellschaftlicher Tragweite ist. Und auch wenn politischer Protest häufig aufmerksamkeits-ökonomischen Logiken unterworfen ist, glauben wir, dass das Zerfallen der Bündnisse gegen die Polizeigesetze besonders bedauerlich ist. Zum ersten Mal seit langem nämlich sind hier Gruppen Seite an Seite auf die Straße gegangen, die lange Zeit nicht gemeinsam im Widerstand waren: Datenschützer*innen und Fußballfans, linksliberale Parteien und Antifaschist*innen, soziale Bewegungen und migrantische Organisationen – Gruppen, deren gegenseitige Solidarität großer Gewinn und wichtige Voraussetzung für erfolgreiche emanzipatorische Politik ist. Was sind also die großen Herausforderungen in Sachen Innere Sicherheit, die auf uns warten? Was haben die Polizeigesetze mit Racial Profiling, Ende Gelände und NSU 2.0 zu tun? Warum brauchen wir auch weiterhin die im Zuge der Proteste entstandenen Allianzen zwischen Datenschützer*innen und anderen sozialen Bewegungen? Und welche Themen müssen wir in den Blick nehmen, wenn wir verstehen wollen, was autoritäre Wende heißt? Die Referent*innen kommen selbst aus unterschiedlichen linken sozialen Bewegungen und haben sich im Zuge der Proteste gegen das neue bayerische Polizeiaufgabengesetz im noPAG-Bündnis kennengelernt. Laura Pöhler ist Antifaschistin und Sprecherin des noPAG-Bündnisses. Johnny Parks war in der noPAG-Jugend aktiv, ist Pressesprecher für Ende Gelände und engagiert sich als PoC gegen Rassismus. Sie beide kämpfen für eine Rücknahme der Gesetzesnovellierungen in Bayern. Die Idee, gemeinsam beim CCC-Kongress zu sprechen, entsprang nicht zuletzt dem Wunsch, im Kontakt mit denjenigen Menschen zu bleiben, welche die Proteste gegen das PAG maßgeblich mitgestaltet haben: Datenschützer*innen. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10983.html

Dec 28, 20191h 4m

DC/DC Converters: Everything You Wanted To Know About Them (36c3)

# Non-isolated DC/DC converters DC-to-DC converters are cheap and ubiquitous, but many still feel uncomfortable using them. In this talk I will talk about step-down (buck) and step-up (boost) converters, covering the basics in an easy-to-understand form, and touching on the knowledge you need to build your own. This talk will be enjoyable for you if you have basic electronics knowledge: you understand what voltage, resistance, and current mean. ##Outline - Theory of operation explained with illustrations - Synchronous and asynchronous converters: advantages and disadvantages - How to chose and evaluate cheap DC/DC converter modules you can buy online - Efficiency and sources of energy loss - Features you might want: Enable, Current Limiting, Undervoltage Protection - Control modes: voltage mode, current mode, and hysteretic mode - Unstable converters, and how to fix them - Switching noise, and how to deal with it - What if you need more voltage? Boost converters! about this event: https://fahrplan.chaos-west.de/36c3/talk/YYJGCZ/

Dec 28, 201938 min

Was ist Zeit? (36c3)

Dort wo sich Physik und Philosophie treffen ist es Zeit, über Zeit zu sprechen. about this event: https://talks.oio.social/36c3-oio/talk/RUXX3H/

Dec 28, 201958 min

WRINT Politikunterricht - Die Lernzielkontrolle (36c3)

Nach vielen Jahren Politikunterricht wird Holger und das Publikum nun von Thomas zu den grundlegenden Inhalten geprüft. Der Politikunterricht lief dieses Jahr aus, und bevor Holger versetzt werden kann, muss er eine Lernzielkontrolle über sich ergehen lassen. about this event: https://fahrplan.das-sendezentrum.de/36c3/talk/KLQW7G/

Dec 28, 20191h 18m

WiFi-Hotspot-Abos - Wie viel Freifunk steckt drin? (36c3)

Im Internet offerieren diverse Anbieter WiFi Hardware inklusive VPN für 10€. Dieser Talk behandelt, wie sehr sich die verkaufte Hardware sowie Software von den meisten Freifunk Setups unterscheidet. about this event: https://talks.oio.social/36c3-oio/talk/L7MBH8/

Dec 28, 201920 min

Confessions of a future terrorist (36c3)

We will examine the European Commission’s proposal for a regulation on preventing the dissemination of terrorist content from as a radical form of censorship. Looking at the rationale and arguments of policy-makers in Brussels, we will discuss normalisation of a “do something doctrine” and “policy-based evidence”. How can citizens and activists influence that legislative process? And what does it mean if they won’t? Fear of terrorism as a tool for dissent management in the society is utilised almost everywhere in the world. This fear facilitates the emergence of laws that give multiple powers to law enforcement, permanently raising threat levels in cities around the world to “code yellow”. A sequel of that show is now coming to a liberal democracy near you, to the European Union. The objective of the terrorist content regulation is not to catch the bad guys and girls, but to clean the internet from images and voices that incite violence. But what else will be cleaned from in front of our eyes with this law with wide definitions and disproportionate measures? In the Brussels debate, human rights organisations navigate a difficult landscape. On one hand, acts of terrorism should be prevented and radicalisation should be counteracted; on the other, how these objectives can be achieved with such a bad law? Why are Member States ready to resign from judicial oversight over free speech and hand that power to social media platforms? Many projects documenting human rights violations are already affected by arbitrary content removal decisions taken by these private entities. Who will be next? In the digital rights movement we believe that the rigorous application of principle of proportionality is the only way to ensure that laws and subsequent practices will not harm the ways we exercise the freedom of speech online. Reaching to my experience as a lobbyist for protection of human rights in the digital environment, I want to engage participants in the conversation about the global society of the near future. Do we want laws that err on the side of free speech and enable exposure to difficult realities at the risk of keeping online the content that promotes or depicts terrorism? Or do we “go after the terrorists” at the price of stifling citizen dissent and obscuring that difficult reality? What can we do to finally have that discussion in Europe now that there is still time to act? about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/11045.html

Dec 28, 201958 min

Hacking Sony PlayStation Blu-ray Drives (36c3)

Xbox 360 video game console had a number of widely known hacks for firmware of its optical disc drives. However, it was never the case with Blu-ray disc drives of Sony PlayStation video game consoles. In fact, up until recently there was no much information available on this subject publicly. In this presentation, I would like to share my journey of delving deep into internals and security of Sony PlayStation Blu-ray disc drives. As games are distributed within optical media, those embedded devices were intended to contain the best security possible. I will demonstrate a multiple hardware hacks and several software vulnerabilities that allowed to dump firmware and get code execution on multiple models of Sony PlayStation Blu-ray disc drives. In this presentation, I will share the following: 1) I will provide in-depth analysis of vulnerabilities and their exploitation to achieve code execution on multiple models of Sony PlayStation Blu-ray disc drives 2) I will discuss problems that I’ve encountered while reverse engineering the firmware and how I solved (some of) them 3) I will talk about security features of Sony PlayStation Blu-ray disc drives 4) I will explain what engineers did right and how achieving code execution on the drive doesn’t lead to full compromise of security about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10567.html

Dec 28, 201949 min

Creating Resilient and Sustainable Mobile Phones (36c3)

Civil society depends on the continuing ability of citizens to communicate with one another, without fear of interference, deprivation or eavesdropping. As the international political climate changes alongside that of our physical climatic environment, we must find ways to create mobile communications systems that are truly resilient and sustainable in the face of such shocks. We have therefore identified a number of freedoms that are required for resilient mobile phones: Energy, Communications, Security, Innovation, Maintenance and Scale-Dependency. These can be summarised as making it possible for people to create, maintain and develop mobile communications solutions, without requiring the capital and resources of a large company to do so. In this lecture I will explain why each of these is necessary, as well as describing how we are incorporating these principles into the MEGAphone open, resilient and secure smart-phone project. In the humanitiarian sector we talk about how without energy there is no communications, and without communications there is no organisation, and how without organisation people die. As we see increasing frequency of natural disasters, man-made disasters like wars and unrest, and the distressing intersection of these events, we have been convinced that we need to be able to create mobile communications devices that can not only survive in such events, but be sustained in the long term, and into what we call the coming Digital Winter. The Digital Winter is the situation where the freedoms to create and innovation digital systems will become impossible or highly limited due to any of various interrelated factors, such as further movement towards totalitarian governments, the failure of international supply systems (or their becoming so untrustworthy to be usable), the failure of various forms of critical infrastructure and so on. Fortunately the Digital Winter has not yet arrived, but the signs of the Digital Autumn are already upon us: The cold winds chilling our personal freedoms can already be felt in various places. Thus we have the imperative to act now, while the fruit of summer and autumn still hangs on the trees, so that we can make a harvest that will in the least sustain us through the Digital Winter with resilient, secure and sustainable communications systems, and hopefully either stave off the onset of the winter, bring it to a sooner end, and/or make the winter less bitter and destructive for the common person. It is in this context that we have begun thinking about what is necessary to achieve this, and have identified six freedoms that are required to not merely create digital solutions that can survive the Digital Winter, but hopefully allow such solutions to continue to be developed during the Digital Winter, so that we can continue to react to the storms that will come and the predators that will seek to devour our freedoms like hungry wolves. The six freedoms are: 1. Freedom from Energy Infrastructure, so that we cannot be deprived of the energy we need to communicate. 2. Freedom from Communications Infrastructure, so that we cannot be deprived of the communications we need to organise and sustain communities. 3. Freedom from depending on vendors for the security of our devices, so that we can patch security problems promptly as they emerge, so that we can sustain communications and privacy. 4. Freedom to continue to innovate and improve our digital artefacts and systems, so that we can react to emergy threats and opportunities. 5. Freedom to maintain our devices, both their hardware and software, so that our ability to communicate and organise our communities cannot be easily eroded by the passage of time. 6. Freedom from Scale-Dependency, so that individuals and small groups can fully enjoy the ability to communicate and exercise the preceding freedoms, without relying on large corporations and capital, and also allowing minimising of environmental impact. In this lecture I will explore these issues, as well as describe how we are putting them into practice to create truly resilient and sustainable mobile phones and similar devices, including in the MEGAphone open-source/open-hardware smart phone. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10800.html

Dec 28, 201949 min

BahnMining - Pünktlichkeit ist eine Zier (36c3)

Seit Anfang 2019 hat David <i>jeden</i> einzelnen Halt <i>jeder</i> einzelnen Zugfahrt auf <i>jedem</i> einzelnen Fernbahnhof in ganz Deutschland systematisch gespeichert. Inklusive Verspätungen und allem drum und dran. Und die werden wir in einem bunten Vortrag erforschen und endlich mal wieder ein bisschen Spaß mit Daten haben. <i>Rechtlicher Hinweis: Es liegt eine schriftliche Genehmigung der Bahn vor, von ihr abgerufene Rohdaten aggregieren und für Vorträge nutzen zu dürfen. Inhaltliche Absprachen oder gar Auflagen existieren nicht.</i> Die Bahn gibt ihre Verspätungen in "Prozent pünktlicher Züge pro Monat" an. Das ist so radikal zusammengefasst, dass man daraus natürlich nichts interessantes lesen kann. Jetzt stellt euch mal vor, man könnte da mal ein bisschen genauer reingucken. Stellt sich raus: Das geht! Davids Datensatz umfasst knapp 25 Millionen Halte - mehr als 50.000 pro Tag. Wir haben die Rohdaten und sind in unserer Betrachtung völlig frei. Der Vortrag hat wieder mehrere rote Fäden. <b> 1) Wir vermessen ein fast komplettes Fernverkehrsjahr der deutschen Bahn. </b> Hier etwas Erwartungsmanagement: Sinn ist keinesfalls Bahn-Bashing oder Sensationsheischerei - wer einen Hassvortrag gegen die Bahn erwartet, ist in dieser Veranstaltung falsch. Wir werden die Daten aber nutzen, um die Bahn einmal ein bisschen kennenzulernen. Die Bahn ist eine riesige Maschine mit Millionen beweglicher Teile. Wie viele Zugfahrten gibt es überhaupt? Was sind die größten Bahnhöfe? Wir werden natürlich auch die unerfreulichen Themen ansprechen, für die sich im Moment viele interessieren: Ist das Problem mit den Zugverspätungen wirklich so schlimm, wie alle sagen? Gibt es Orte und Zeiten, an denen es besonders hapert? Und wo fallen Züge einfach aus? <b> 2) Es gibt wieder mehrere Blicke über den Tellerrand</b>, wie bei Davids vorherigen Vorträgen auch. Ihr werdet wieder ganz automatisch und nebenher einen <i>allgemeinverständlichen</i> Einblick in die heutige Datenauswerterei bekommen. (Eine verbreitete Verschwörungsheorie sagt, euch zur Auswertung öffentlicher Daten zu inspirieren, wäre sogar der Hauptzweck von Davids Vorträgen. :-) )Die Welt braucht Leute mit Ratio, die Analyse wichtiger als Kreischerei finden. Und darum beschreibt davod auch, wie man so ein durchaus aufwändiges Hobbyprojekt technisch angeht, Anfängerfehler vermeidet, und verantwortungsvoll handelt. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10652.html

Dec 28, 20191h 1m

Welches Betriebssystem hat der Bundestag und wie kann man es hacken? (36c3)

Wäre der Staat ein Betriebssystem, würden wir uns natürlich wünschen, dass er nach den Prinzipien freier Software verwaltet wird. Die Prozesse sollten möglichst transparent ablaufen, sodass jeder nachprüfen kann, wenn irgendwo was schief läuft. Natürlich sollte die Gestaltung der Prozesse nicht in einer Blackbox passieren und der Code sollte zum Verändern und Mitmachen einladen. Ich bin der Meinung, dass Politik transparent und nachvollziehbar sein sollte. Es sollte Beteiligungsmöglichkeiten geben, die für alle offen stehen. Leider laufen die Prozesse im Bundestag nicht mal transparent, geschweige denn besonders partizipativ ab. Das Interface ist so unübersichtlich, dass selbst die Leute mit Adminrechten (Regierung) zum Teil Schwierigkeiten haben, den Überblick zu behalten. Als Bundestagsabgeordnete wurde mir zwar ein dickes Manual ausgehändigt, zum Durcharbeiten war aber keine Zeit. Die Lernkurve, bis man das System halbwegs effizient nutzen kann, ist sehr lang. Die Abläufe sind analoger, als man ohnehin vermutet, mit absurden, historisch gewachsenen Abläufen und unvorstellbaren Papierbergen. Es gibt wenig Transparenz und Mitmachmöglichkeiten sind rar. In dieser Session gebe ich Insider Einblicke in den Alltag als netzpolitische Sprecherin der Linksfraktion im Bundestag mit netzaktivistischem Hintergrund, zeige die Handlungsmöglichkeiten einer Oppositionspolitikerin und wie ich versuche, meine eigenen Handlungsspielräume für mehr Transparenz und Beteiligungsmöglichkeiten auszureizen, aber auch wie ihr als Netzcommunity mich als Eure Volksvertreterin nutzen könnt, um z.B. auf offiziellen Kanälen Informationen abzufragen, an die man sonst nicht kommt, denn Wissen ist Macht. Als Netzaktivistin im Bundestag möchte ich dort ganz besonders Sprachrohr der Netzcommunity sein. In meiner Rolle als Abgeordnete einer Oppositionspartei kann ich Themen setzen und Informationen beschaffen, ich kann fiese Fragen stellen – in langen und kurzen Formaten und die Bundesregierung muss darauf antworten. In 22 Monaten hielt ich 20 Reden, stellte 43 schriftliche Fragen, 33 Kleine Anfragen, 5 Anträge und reichte einen eigenen Gesetzentwurf ein. Es ging um Überwachung am Südkreuz, Open Source, das NetzDG, Hackbacks, IPv6, Künstliche Intelligenz, DNA Analysen in der Stammbaumforschung, Uploadfilter, IT Sicherheit, Impressumpflichten, barrierefreie Notrufe, Whistleblower, Mobilfunk, Open Data, KfZ Scanning, Funkzellenabfragen und stille SMS, digitale Gewalt gegen Frauen, Bundeswehr bei re:publica, Verschlüsselung, Lobbyregister, social Innovation, Open Justice und vieles mehr. In dieser Session werde ich konkrete Beispiele dazu vorstellen, über meine Pläne reden und Euch fragen, was Ihr schon immer von der Bundesregierung in Netzfragen wissen wolltet, damit ich die GroKo weiter nerven kann und wir alle besser wissen, was sie tun. Lasst uns gemeinsam das intransparente und wenig partizipative System Bundestag hacken, denn Demokratie lebt vom Mitmachen! about this event: https://fahrplan.chaos-west.de/36c3/talk/PDFWDW/

Dec 28, 201952 min

Reichlich Randale – Der feministische Jahresrückblick (36c3)

Von antifeministischen Hasskampagnen bis zu Mental Load, von unangemessenen Preisvergaben bis zu intersektionalen Fragezeichen, von Megan Rapinoe bis zu Greta Thunberg – es gibt viel zu besprechen. Zeit für einen empowernden feministischen Jahresrückblick! „Reichlich Randale“ ist ein Personal-Pöbel-Podcast – inklusive exklusiver Becci-Rants. „Reichlich Randale“ ist feministisch, fußballverliebt, immer unterwegs, cinephil, laut, politisch, offen. Weil ich es bin. „Reichlich Randale“ erzählt euch ein bisschen aus meinem Leben, aber es fühlt sich gleichzeitig nach viel mehr an. Hi, ich bin Becci (@genderbeitrag) und veranstalte mittlerweile traditionell auf dem Congress im Rahmen meines Podcasts „Reichlich Randale“ einen feministischen Jahresrückblick mit tollen Gäst*innen. Von antifeministischen Hasskampagnen bis zu Mental Load, von unangemessenen Preisvergaben bis zu intersektionalen Fragezeichen, von Megan Rapinoe bis zu Greta Thunberg – es gibt viel zu besprechen. Ich freue mich darauf, mich mit euch über empowernde Gedanken und Strukturen auszutauschen. Für intersektionale Solidarität und Freund:innenschaft! about this event: https://fahrplan.das-sendezentrum.de/36c3/talk/78BJ3S/

Dec 28, 20191h 2m

CloudCalypse 2: Social network with net2o [YBTI/wefixthenet session] (36c3)

Building a social network on top of net2o, and importing your existing data I've a dream: A peer-to-peer network, where services like search engines or social networks aren't offered by big companies, who in turn need to make money by selling the privacy of their users. Where all data is encrypted, so that access is only possible for people who have the key and really are authorized. Which layman can use without cryptic user interfaces. Where the browser is a platform for running useful applications without the mess of Flash and JavaScript. Without the lag of “buffer bloat” and without the speed problems of a protocol not designed to be assisted by hardware. This dream is coming to reality: This talk will show how far I got, and what challenges still are ahead. The talk is in three parts: 1. a short overview over net2o 2. a demonstration of how the social network stuff looks like 3. and an outlook over what needs to be done to make it a polished product about this event: https://talks.oio.social/36c3-oio/talk/GUZH7V/

Dec 28, 201950 min

Encrypted DNS? D'oh! - The Good, Bad and Ugly of DNS-over-HTTPS (DoH) (36c3)

Old school DNS is unencrypted and thus prone to MITM-Attacks or DNS-Hijacking. DNS-over-HTTPS (DoH) is trying to solve this finally by encrypting DNS-requests between the client and the resolver. There have been previous (failed) attempts of encrypting DNS, but DoH seems to be the most promising so far, because browser makers such as Mozilla and Google are pushing the adoption and plan to roll this technology out to all Firefox and Chrome users. Microsoft ist planning to support DoH in natively in Windows 10. But there are a lot of people that are pretty angry and vocal about that move. This includes ISPs and Ad-Companies all over the world. This talk will give an overview how DoH came to be, what problems it is trying to solve and what obstacles are hindering the adoption. You'll learn about DNS, encryption, the work on _proposed_ internet standards, how fake news work and why your ISP is tracking you and provides you with falsified information. And you'll learn how to use encrypted DNS. about this event: https://fahrplan.chaos-west.de/36c3/talk/HBQRZE/

Dec 28, 201951 min

The Case Against WikiLeaks: a direct threat to our community (36c3)

The unprecedented charges against Julian Assange and WikiLeaks constitute the most significant threat to the First Amendment in the 21st century and a clear and present danger to investigative journalism worldwide. But they also pose significant dangers to the technical community. This panel will explain the legal and political issues we all need to understand in order to respond to this historic challenge. <p>We've been warning you about it for years, and now it's here. The talk will dissect the legal and political aspects of the US case against Wikileaks from an international perspective. It will describe the threats this prosecution poses to different groups and the key issues the case will raise. Most importantly, we will explain how we are still in time to act and change the course of history. </p> <p>The unprecedented charges against Julian Assange and WikiLeaks constitute the most significant threat to the First Amendment in the 21st century and a clear and present danger to investigative journalism worldwide. But they also pose significant dangers to the technical community, the trans community, to human rights defenders and anti-corruption campaigners everywhere.</p> <p>If we don't take action now, the ramifications of this case will be global, tremendously damaging and potentially irreversible in times when the need to hold the powerful to account has never been more obvious. This is a historic moment and we need to rise to its challenge.</p> <p>This talk will explain the legal and political aspects of the case against WikiLeaks, the reasons why Chelsea Manning and Jeremy Hammond have been imprisoned again, the governmental interests for and against prosecution, the dynamics of UK/US extradition and what it means to prosecute Assange as Trump runs for re-election.</p> <p>This is a case with destructive potential like no other, with profound implications for the future of dissent, transparency, accountability and our ability to do the work we care about.</p> <p>The situation is frightening but it isn't hopeless: we will conclude with a guide to an effective strategy against the lawfare the journalist and technical communities are now facing courtesy of Donald Trump's DOJ. </p> about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/11090.html

Dec 28, 20191h 3m

Extending the lifetime of smartphones with Replicant, a fully free Android distribution (36c3)

<p>After a very quick introduction on Replicant and the smartphones ecosystem, we will look at what affects smartphones' and tablets' lifetime and how to increase it by making Replicant more sustainable.</p> about this event: https://talks.oio.social/36c3-oio/talk/LU3JNL/

Dec 28, 201917 min

KTRW: The journey to build a debuggable iPhone (36c3)

Development-fused iPhones with hardware debugging features like JTAG are out of reach for many security researchers. This talk takes you along my journey to create a similar capability using off-the-shelf iPhones. We'll look at a way to break KTRR, a custom hardware mitigation Apple developed to prevent kernel patches, and use this capability to load a kernel extension that enables full-featured, single-step kernel debugging with LLDB on production iPhones. This talk walks through the discovery of hardware debug registers on the iPhone X that enable low-level debugging of a CPU core at any time during its operation. By single-stepping execution of the reset vector, we can modify register state at key points to disable KTRR and remap the kernel as writable. I'll then describe how I used this capability to develop an iOS kext loader and a kernel extension called KTRW that can be used to debug the kernel with LLDB over USB. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10806.html

Dec 28, 201954 min

Megatons to Megawatts (36c3)

Can nuclear warheads be used as energy sources instead of exhausting resources? And if, how does this even work? Concerns during the cold war era mainly focused on the diversion of Uranium intended for commercial nuclear power towards usage in weapons. During the 1990s, these concerns gave way to a focus on the role of military Uranium as a major source of fuel for commercial nuclear power. Can nuclear warheads be used as energy sources instead of exhausting resources? And if, how does this even work? In the late 1980s the United States and countries of the former Soviet Union signed a series of disarmament treaties to reduce the world's nuclear arsenals. Since then, lots of nuclear materials have been converted into fuel for commercial nuclear reactors. Highly-enriched uranium in US and Russian weapons and other military stockpiles amounts to about 1500 tonnes, equivalent to about seven times the annual world Uranium mine production. These existing resources can be used instead of exploiting natural Uranium reserves, which are as limited as all other non-renewable energy sources. Uranium mining is a dirty, polluting, hazardous business which possibly could be stopped altogether if existing resources would be used instead. This talk is a primer in nuclear physics with focus on conversion of weapon grade Uranium and Plutonium into fuel for civil nuclear power plants. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10517.html

Dec 28, 201959 min

Algorithm | Diversion (36c3)

Before media art has emerged, traditional art and dance are already applying algorithms to make sophisticated patterns in their textures or movements. Hieda is researching the use of algorithm through creation of media installations and dialog with artists, dancers, choreographers and musicians. He also presents his current interest in machine learning and art which potentially exclude (or already excluding) some populations due to the dataset and modality. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/11310.html

Dec 28, 201955 min

Off The Record (36c3)

<p>Geheime Einschätzungen des Verfassungsschutzes zur AfD, ungünstiges Framing bei der ARD, intransparente Moderation bei Tiktok: In diesem Jahr haben wir mit so mancher Recherche Schlagzeilen gemacht. Hier wollen wir auf einige interessante Geschichten aus 2019 schauen und einen Blick hinter die Kulissen von netzpolitik.org geben. „Off The Record“ gibt monatlich Einblicke in den Maschinenraum von netzpolitik.org: Die wichtigsten Recherchen, die schönsten Erfolge, die größten Schwierigkeiten und die spannendsten Geschichten hinter den Geschichten. Dieses Mal mit einer Sonderausgabe, in der wir unser Jahr 2019 zusammenkehren.</p> about this event: https://fahrplan.das-sendezentrum.de/36c3/talk/ZYJXVP/

Dec 28, 201958 min

UA Podcast Berlin (36c3)

Im Podcast UA Pod Berlin fassen wir das Sitzungsgeschehen im Untersuchungsausschuss zum Terroranschlag am Breitscheidplatz zusammen. Tagesaktuell binden wir Abgeordneten-Statements zum Geschehen mit ein. Die Kanzlerin versprach den Hinterbliebenen und Opfern Aufklärung. Wir zeigen im Podcast wie weit wir davon entfernt sind. Podcast über den Untersuchungsausschuss zum Anschlag am Breitscheidplatz, Berlin. Diesmal ein offener Podcast mit Diskussion. Wird der Ausschuss wahrgenommen? Wie ist der Eindruck der Behörden? Wieviel Courage braucht eine Zeugin / ein Zeuge? about this event: https://fahrplan.das-sendezentrum.de/36c3/talk/LZ8SR8/

Dec 28, 201958 min

Listening Back Browser Add-On Tranlates Cookies Into Sound (36c3)

‘Listening Back’ is an add-on for the Chrome and Firefox browsers that sonifies internet cookies in real time as one browses online. By translating internet cookies into sound, the ‘Listening Back’ browser add-on provides an audible presence for hidden infrastructures that collect personal and identifying data by storing a file on one’s computer. Addressing the proliferation of ubiquitous online surveillance and the methods by which our information flows are intercepted by mechanisms of automated data collection, ‘Listening Back’ functions to expose real-time digital surveillance and consequently the ways in which our everyday relationships to being surveilled have become normalised. This lecture performance will examine Internet cookies as a significant case study for online surveillance with their invention in 1994 being historically situated at the origins of automated data collection, and the commercialisation of the World Wide Web. I will integrate online browsing to demonstrate the ‘Listening Back’ add-on and explore it’s potential to reveal algorithmic data capture processes that underlie our Web experience. ‘Listening Back’ is an add-on for the Chrome and Firefox browsers that sonifies internet cookies in real time as one browses online. Utilising digital waveform synthesis, ‘Listening Back’ provides an audible presence for hidden infrastructures that collect personal and identifying data by storing a file on one’s computer. By directing the listener’s attention to hidden processes of online data collection, Listening Back functions to expose real-time digital surveillance and consequently the ways in which our everyday relationships to being surveilled have become normalised. Our access to the World Wide Web is mediated by screen devices and ‘Listening Back’ enables users to go beyond the event on the screen and experience some of the algorithmic surveillance processes that underlie our Web experience. This project therefore explores how sound can help us engage with complex phenomena beyond the visual interface of our smart devices by highlighting a disconnect between the graphical interface of the Web, and the socio-political implications of background mechanisms of data capture. By sonifying a largely invisible tracking technology ‘Listening Back’ critiques a lack of transparency inherent to online monitoring technologies and the broader context of opt in / default cultures intrinsic to contemporary modes of online connectivity. By providing a sonic experiential platform for the real-time activity of Internet cookies this project engages listening as a mode of examination and asks what is the potential of sound as a tool for transparent questioning? about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10855.html

Dec 28, 201937 min

Reflections on the New Reverse Engineering Law (36c3)

Individuals conducting reverse engineering for research purposes face several legal issues arising from IP and competition law. The legislation has reacted by introducing a new law on trade secrets specifically allowing reverse engineering. While the new law is certainly an improvement, many questions still remain as to conflicts with opposing domestic laws as well as other possibilities to waive the permission. In this talk, we provide guidance through the jungle of the current legal situation from a techno-legal perspective. Hardware Reverse Engineering (HRE) is common practice for security researchers in order to detect vulnerabilities and assure integrity of microchips. Following last years talk “Mehr schlecht als Recht: Grauzone Sicherheitsforschung” and from the standpoint of a research group regularly applying HRE, we asked ourselves about potential negative legal implications for our personal lives. Therefore, we consulted an expert who assesses the legal implications of our work. For a long time, our law has solely protected the inventor of a product. Discovering the underlying technical details and mechanisms of, e. g. microchips, has been deemed illegal due to intellectual property (IP) protection laws. Only lately, the legislation has recognized the importance of cybersecurity that heavily relies on reverse engineering to find security gaps and malfunctions. Subsequently, Germany introduced a new trade secret allowing for the “observation, study, disassembly or testing of a product or object” in 2018. However, at this stage, several questions remain unanswered: Is it possible to restrict this freedom by, e. g. contractual agreements? How may the gained knowledge (not) be used? How do claims from IP holders from other legal systems such as the US influence our case? The talk will shed light on these questions from a techno-legal perspective. Ultimately, it will give guidance for reverse engineers, demonstrating the boundaries of such new developments and highlighting the legal uncertainties in need of clarifications by literature and practice. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/11089.html

Dec 28, 201940 min

The sustainability of safety, security and privacy (36c3)

What sort of tools and methodologies should you use to write software for a car that will go on sale in 2023, if you have to support security patches and safety upgrades till 2043? Now that we’re putting software and network connections into cars and medical devices, we’ll have to patch vulnerabilities, as we do with phones. But we can't let vendors stop patching them after three years, as they do with phones. So in May, the EU passed Directive 2019/771 on the sale of goods. This gives consumers the right to software updates for goods with digital elements, for the time period the consumer might reasonably expect. In this talk I'll describe the background, including a study we did for the European Commission in 2016, and the likely future effects. As sustainable safety, security and privacy become a legal mandate, this will create real tension with existing business models and supply chains. It will also pose a grand challenge for computer scientists. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10924.html

Dec 28, 201943 min

Bahn API Chaos (36c3)

Bahn API Chaos Wir schauen uns mal wieder Bahn APIs an. Diesmal mehr Wagenreihungs Fakten und interessante unregelmäßigkeiten in den verschiedenen APIs. Warum zum Beispiel gibt es bei marudor.de ein "isActuallyIC" wenn doch eigentlich die Zuggattung mitkommt. Warum gibt es "realFahrtrichtung" wenn es auch eine "fahrtrichtung" property gibt. Unregelmäßigkeiten in den Bahn APIs zwangen mich erfinderisch zu sein. Gleichzeitig ist es teils Abenteuerlich wie ich die unregelmäßigkeiten fand - die sind oft gar nicht so ersichtlich. Auch versuchen wir zu erörtern warum die Sachen so sind, ist es ein technisches Problem? Ist es ein Datenproblem? Was könnte ein Auslöser sein? Wer ist dafür verantwortlich? Grundlage für alles ist marudor.de und die Entwicklung daran. Das bedeutet für mich mindestens 3 Jahre Erfahrung in Bahn APIs reverse engineeren und deuten wie gut die Qualität einzelner APIs ist. Dabei wurde nicht nur die Deutsche Bahn sondern auch verschiedene Verkehrsverbünde und Ausländische Bahnen angeschaut. about this event: https://fahrplan.chaos-west.de/36c3/talk/YDBKTM/

Dec 28, 201950 min