
Chaos Computer Club - archive feed
14,494 episodes — Page 127 of 290
The Large Hadron Collider Infrastructure Talk (36c3)
The Large Hadron Collider (LHC) is the biggest particle accelerator on Earth. It was built to study matter in more detail than ever before and prove physical theories like the Standard Model of Particle Physics. This talk will focus on the engineering aspects of LHC. How was it built? What makes it tick? Which technologies are needed to create a such powerful machine? This talk will take you on a journey to explore how the most complex machine ever built by humans works. During previous CCCs, several talks described what kind of data the experiments of LHC look out for, how the data is stored, how physicists are analysing data and how they extract their huge discoveries. Often times though, the presence of the particle accelerator itself is taken for granted in light of these findings. That's why this talk will give an in-depth engineering summary about that 'particle accelerator'. We'll shed light on the big technology and engineering problems that had to be solved before being able to build a machine that we take for granted these days. Among other things, we will describe how to cool down several thousand tons of magnets to -271.25°C, how to safely dissipate ~500 MegaJoule of energy in just a fraction of a second, or how to bend a beam of particles around a corner while it's moving along with ~99,9999991% of the speed of light. Of course, we'll also touch on the bits that make collecting the data gathered in all the physics detectors possible in the first place. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10760.html
"Hacker hin oder her": Die elektronische Patientenakte kommt! (36c3)
Herzstück der digitalen Gesundheitsversorgung für 73 Millionen Versicherte ist die hochsichere, kritische Telematik-Infrastruktur mit bereits 115.000 angeschlossenen Arztpraxen. Nur berechtigte Teilnehmer haben über dieses geschlossene Netz Zugang zu unseren medizinischen Daten. Ein "Höchstmaß an Schutz" also, wie es das Gesundheitsministerium behauptet? Bewaffnet mit 10.000 Seiten Spezifikation und einem Faxgerät lassen wir Illusionen platzen und stellen fest: Technik allein ist auch keine Lösung. Braucht es einen Neuanfang? Schon in 12 Monaten können 73 Millionen gesetzlich Versicherte ihre Gesundheitsdaten in einer elektronischen Patientenakte speichern lassen. Dazu werden zurzeit alle Arztpraxen, Krankenhäuser und Apotheken Deutschlands über die neu geschaffene kritische Telematik-Infrastruktur verbunden. Dieses hochverfügbare Netz genügt "militärischen Sicherheitsstandards", bietet ein "europaweit einzigartiges Sicherheitsniveau" und verspricht ein "Höchstmaß an Schutz für die personenbezogenen medizinischen Daten" wie Arztbriefe, Medikamentenpläne, Blutbilder und Chromosomenanalysen. "Wir tun alles, damit Patientendaten sicher bleiben." "Selbst dem Chaos Computer Club ist es nicht gelungen, sich in die Telematik-Infrastruktur einzuhacken." "Nach den Lehren aus PC-Wahl, Ladesäulen und dem besonderen elektronischen Anwaltspostfach brauchen wir kein weiteres Exempel." about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10595.html
How to Break PDFs (36c3)
PDF is the most widely used standard for office documents. Supported by many desktop applications, email gateways and web services solutions, are used in all sectors, including government, business and private fields. For protecting sensitive information, PDFs can be encrypted and digitally signed. Assumed to be secure for 15 years, our talk reveals how to break PDF Encryption and how to break PDF Signatures. We elaborated novel attacks leading to critical vulnerabilities in all PDF viewers, most notably in Adobe, Foxit, and Okular. As a result, an attacker can retrieve the plaintext of encrypted PDFs without knowing the password and manipulate the content of digitally signed PDFs arbitrarily while a victim is unable to detect this. The Portable Document Format (PDF) is the de-facto standard for document exchange worldwide. It is used to store sensitive information like contracts and health records. To protect this information PDF documents can be encrypted or digitally signed. Thus, confidentiality, authenticity, integrity, and non-repudiation can be achieved. In our research, we show that none of the PDF viewers achieve all of these goals by allowing an attacker to read encrypted content without the password or to stealthily modify the signed content. We analyze the PDF encryption specification and show two novel techniques for breaking the confidentiality of encrypted documents. First, we abuse the PDF feature of partially encrypted documents to wrap the encrypted part of the document within attacker-controlled content and therefore, exfiltrate the plaintext once the document is opened by a legitimate user. Second, we abuse a flaw in the PDF encryption specification to arbitrarily manipulate encrypted content. The only requirement is that a single block of known plaintext is needed, and we show that this is fulfilled by design. Our attacks allow the recovery of the entire plaintext of encrypted documents by using exfiltration channels which are based on standard compliant PDF properties. In addition, we present the first comprehensive security evaluation on digital signatures in PDFs. We introduce three novel attack classes which bypass the cryptographic protection of digitally signed PDF files allowing an attacker to spoof the content of a signed PDF. We analyzed 22 different PDF viewers and found 21 of them to be vulnerable, including prominent and widely used applications such as Adobe Reader DC and Foxit. We additionally evaluated eight online validation services and found six to be vulnerable. All findings have been responsibly disclosed, and the affected vendors were supported during fixing the issues. Our research on PDF security is also available online at https://www.pdf-insecurity.org/. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10832.html
A Deep Dive Into Unconstrained Code Execution on Siemens S7 PLCs (36c3)
A deep dive investigation into Siemens S7 PLCs bootloader and ADONIS Operating System. Siemens is a leading provider of industrial automation components for critical infrastructures, and their S7 PLC series is one of the most widely used PLCs in the industry. In recent years, Siemens integrated various security measures into their PLCs. This includes, among others, firmware integrity verification at boot time using a separate bootloader code. This code is baked in a separated SPI flash, and its firmware is not accessible via Siemens' website. In this talk, we present our investigation of the code running in the Siemens S7-1200 PLC bootloader and its security implications. Specifically, we will demonstrate that this bootloader, which to the best of our knowledge was running at least on Siemens S7-1200 PLCs since 2013, contains an undocumented "special access feature". This special access feature can be activated when the user sends a specific command via UART within the first half-second of the PLC booting. The special access feature provides functionalities such as limited read and writes to memory at boot time via the UART interface. We discovered that a combination of those protocol features could be exploited to execute arbitrary code in the PLC and dump the entire PLC memory using a cold-boot style attack. With that, this feature can be used to violate the existing security ecosystem established by Siemens. On a positive note, once discovered by the asset owner, this feature can also be used for good, e.g., as a forensic interface for Siemens PLCs. The talk will be accompanied by the demo of our findings. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10709.html
Was hat die PSD2 je für uns getan? (36c3)
Seit dem 14. November ist die letzte Schonfrist zur Umsetzung der Europäischen Richtline 2015/2366 über Zahlungsdienste im Binnenmarkt (neudeutsch PSD2) verstrichen. Das hat erst vielen Banken viel Arbeit gemacht, und macht jetzt vielen Kunden viel Ärger. Warum eigentlich? Dieser Vortrag gibt einen Überblick über die Hintergründe der Zahlungsdiensterichtlinie, das was sie bewirken sollte, und das was sie tatsächlich bewirkt. Der Sicht aus der Regulierungsperspektive wird die tatsächliche Erfahrung als Anwender, und als Entwickler von Open-Source-Software gegenübergestellt. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10717.html
Ein Teil davon. Wie feministische Hackspaces Gemeinschaft herstellen. (36c3)
In den vergangenen Jahren haben sich immer mehr feministische Hackspaces in den verschiedensten Formen gegründet. Warum eigentlich? Was bewegt Menschen dazu, was macht einen feministischen Hackspace überhaupt aus und wie können wir alle davon lernen? Das habe ich in meiner Masterarbeit untersucht und bin dafür durch Deutschland gereist, um mit Mitgliedern feministischer Hackspaces zu sprechen. Im Ergebnis werden die Funktionen feministischer Hackspaces beleuchtet und analysiert, warum diese Räume für ihre Mitglieder so wichtig sind. Um das herauszufinden, habe ich mit dem qualitativen Forschungsstil der „Grounded Theory“ in einem zirkulären Verfahren Interviews geführt und ausgewertet. So habe ich ein Modell entwickelt, das zeigen kann, welche Kernfunktionen Hackspaces haben, welche Faktoren Menschen davon abhalten, in ihrem lokalen Hackspace aktiv zu werden, und wie feministische Hackspaces versuchen, diese Defizite auszugleichen. about this event: https://fahrplan.chaos-west.de/36c3/talk/XFXE9Q/
KDE Itinerary - A privacy by design travel assistant (36c3)
Getting your itinerary presented in a unified, well structured and always up to date fashion rather than as advertisement overloaded HTML emails or via countless vendor apps has become a standard feature of digital assistants such as the Google platform. While very useful and convenient, it comes at a heavy privacy cost. Besides sensitive information such as passport or credit card numbers, the correlation of travel data from a large pool of users exposes a lot about people's work, interests and relationships. Just not using such services is one way to escape this, or we build a privacy-respecting alternative ourselves! Standing on the shoulders of KDE, Wikidata, Navitia, OpenStreetMap and a few other FOSS communities we have been exploring what it would take to to build a free and privacy-respecting travel assistant during the past two years, resulting in a number of building blocks and the "KDE Itinerary" application. In this talk we will look at what has been built, and how, and what can be done with this now. In particular we will review the different types of data digital travel assistants rely on, where we can get those from, and at what impact for your privacy. The most obvious data source are your personal booking information. Extracting data from reservation documents is possible from a number of different input formats, such as emails, PDF files or Apple Wallet passes, considering structured annotations and barcodes, but also by using vendor-specific extractors for unstructured data. All of this is done locally on your own devices, without any online access. Reservation data is then augmented from open data sources such as Wikidata and OpenStreetMap to fill in often missing but crucial information such as timezones or geo coordinates of departure and arrival locations. And finally we need realtime traffic data as well, such as provided by Navitia as Open Data for ground-based transport. Should the author fail to show up to this presentation it might be that his Deutsche Bahn ticket rendering code still needs a few bugfixes ;-) about this event: https://cfp.verschwoerhaus.de/36c3/talk/MH3WTA/
SearchWing - Rettungsdrohne im Mittelmeer (36c3)
SearchWing baut eine Rettungsdrohne für die zivilen Rettungsorganisationen im Mittelmeer wie Sea-Watch, Sea-Eye und Resqship. Wir beschreiben den Aufbau, die Tests auf dem Mittelmeer, die Herausforderungen beim Bau und beim Einsatz des autonomen Flugzeugs und werfen einen Blick auf die verwendeten Bilderkennungsalgorithmen. Wir helfen zivilen Rettungsorganisationen im Mittelmeer bei der Suche nach Schiffbrüchigen. In diesem Talk berichten wir von den Schwierigkeiten und Herausforderungen beim Bau einer autonomen Drohne, die für Einsatz im Mittelmeer geeignet ist. Wenn beispielsweise die Akkus auf dem Flughafen Hamburg im sicheren Schrank verbleiben, weil einer vergessen hat die Akkus für den Flug anzumelden... Wir erläutern den technischen Aufbau mit PixRacer Hardware, Mini Talon EPO Rumpf und den anderen Komponenten. Ungewöhnlich im Vergleich zum klassischen Modellflug ist der Long Range Telemetrie Funk, der große Akku (10000 mAh bei 2kg Fluggewicht) und das ganze Salzwasser :-(. Im Februar 2019 waren wir für Tests auf Malta und im Mai 2019 hat Björn dann den ersten Einsatz im Mittelmeer in Zusammenarbeit mit ResQShip e.V. gemacht. Deshalb können wir auch die Einsatzerfahrungen schildern - wie man das Flugzeug auf dem Schiff startet und landet. Zum Einstieg geben wir auch eine Zusammenfassung der Situation der Seenotrettung im Mittelmeer. Unser Flugzeug sammelt im Flug Bilder, die im Anschluss vom Flugzeug geladen und analysiert werden. Um diese manuelle Bildanalyse zu beschleunigen entwickelen wir auch Computer Vision Algorithmen - auch davon werden wir auf dem Talk einen Überblick geben. Eine Person aus dem Computervision-Team (Petrosilius) hatte bereits letztes Jahr auf der Freifunkbühne dazu einen Vortrag gehalten. about this event: https://talks.oio.social/36c3-oio/talk/T7XNAT/
Freedombone - DIY Soziale Veränderung in Zeiten des Überwachungskapitalismus (36c3)
Was wäre, wenn das Internet nicht wie ein feudaler Besitz regiert würde? Was wäre, wenn es von und für Leute, die es benutzen, betrieben würde? Ich benutze Freedombone um der Geselschaft sowie auch allen Individuen zu ermöglichen, die Datensouveränität aus dem free-to-use Model des Überwachungskapitalismus zurück zu gewinnen. Durch die Möglichkeit ["Server Apps"] ohne technisches Wissen mit 4 Klicks über einer Web UI zu installieren, ist es möglich, dass Hobby-Admins ohne viel Zeit, sowie auch in Umgang mit Servern und Hosting unerfahrene Menschen nicht bei der Inbetriebnahme scheitern. Somit kann jede Einzelperson oder eine Community das Internet als freies Kommunikationmiittel wieder nutzen.Bei diesem Talk liegt der Fokus auf dem Fediverse, die Vernetztung sozialer Bewegungen und dem nutzen Dienstprogramme. ["Server Apps"](https://freedombone.net/apps.html) Es ist eine Tatsache, dass Mainstream-Software kaputt ist und die Unternehmen, die sie entwickeln, unzuverlässig und datenhungrig sind. Daher ist zu folgern, dass wir einen Bruchpunkt in der Gesichte des menschlichen Informationsaustausches erreicht haben. Die Rückgewinnung der Datensouveränität ist bei Freedombone ein Selbstverständnis. **Du willst also deine eigenen Internetdienste betreiben, aber hast keine Zeit dies umzusetzen?** Die Konfiguration von Diensten wie E-Mail, Chat, VoIP, Websiten, Dateisynchronisation, Wikis, Blogs, soziale Netzwerken (pleroma, zap, pixelfeed, ua.), Medienhosting, Backups, VPN sind an sich schon ein nicht triviales Unterfangen. Das Ziel von \[Freedombones\](https://freedombone.net/) ist es die Konfiguration zu übernehmen. Freedombone ist ein Home-Server-System, mit dem du all diese Dinge von deinem Wohn- oder Hackerzimmer hosten kannst. Für die Einrichtung wird eine .img.xz [Image] auf einen USB Stick geladen. Nach dem ersten Boot ist ein Email Server schon funktionsfähig. Standartmässig sind alle Dienste im Internet über DNS im Clearnet aber auch im Darknet über TOR erreichbar. Freedombone ist ein AGPLv3 Open Source Projekt. [Git](https://code.freedombone.net/bashrc/freedombone) Mein aktuelles Ziel, in diesem Jahr, war die Einbindung von Freifunk. Die Weboberfläche zeigt alle öffentlich bekannten Freifunk Nodes einer lokalen Freifunk Gruppe auf einer Karte an. Der Admin wählt den Konfig einer Freifunk Gruppe. Seit Frühjahr arbeite ich auch an an einem GitlabCI System, welches das Ziel hat die Wartung der Software des Projektes zu erleichtern. about this event: https://fahrplan.chaos-west.de/36c3/talk/KPKBDU/
phyphox: Using smartphone sensors for physics experiments (36c3)
Modern smartphones offer a whole range of sensors like magnetometers, accelerometers or gyroscopes. The open source app "phyphox", developed at the RWTH Aachen University, repurposes these sensors as measuring instruments in physics education. When put into a salad spinner, the phone can acquire the relation of centripetal acceleration and angular velocity. Its barometer can be used to measure the velocity of an elevator. And when using two phones, it is easy to determine the speed of sound with a very simple method. In this talk, I will show these possibilities in demonstration experiments, discuss available sensors and their limitations and introduce interfaces to integrate phyphox into other projects. In this talk, the developer of the app "phyphox" at the RWTH Aachen University will first introduce how sensors in smartphones can be used to enable experimentation and data acquisition in physics teaching with several demonstrations on stage. Available sensors and their limitations will be discussed along with interfaces allowing the integration of phyphox into other project, either as a means to access sensor data or to display data from other sources. The app is open source under the GNU GPLv3 licence and available for Android (>=4.0) and iOS (>=8.0). It is designed around experiment configurations for physics education at school and university, allowing for a quick setup with a single tap. At the same time, these configurations may be modified by any user to set up customized sensor configurations along with data analysis and data visualization, defined in an XML format. These configurations are Turing complete and can easily be transferred via QR codes, so an experienced user (teacher) can create a specific configuration and allow less experienced users (students) to use it with ease. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/11195.html
It's not safe on the streets... especially for your 3DS! (36c3)
The 3DS is reaching end of life but has not revealed all its weaknesses yet. This talk will go through the process of reverse engineering an undocumented communication protocol and show how assessing hard-to-reach features yields dangerous results, including remote code execution exploits! <p>Embedded Devices are all around us, talking to each other in ways we often don't even realize. In this talk, we discuss how one such communication mechanism in the 3DS remained unexplored for over seven years as well as the vulnerabilities that were lying dormant as a result.</p> <p>We will explore specific features of the 3DS and talk about their low-level implementation details and about why they were not tested before. Besides, we will walk through the (lengthy) dev process involved in putting together this exploit, and the significant risks involved in devices (even game consoles) having this kind of vulnerability.</p> <p>Finally, we will demonstrate the attack in action.</p> <p>Since the talk will be a bit technical some basic knowledge about network protocols and software exploitation techniques is recommended, but it is aimed to be enjoyable for non-technical audiences as well.<br>One might also take a look at previous talks (32c3 and 33c3) about the 3ds for more in-depth background knowledge.</p> about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10796.html
Messenger Hacking: Remotely Compromising an iPhone through iMessage (36c3)
So called “0-click” exploits, in which no user interaction is required to compromise a mobile device, have become a highly interesting topic for security researchers, and not just because Apple announced a one million dollar bug bounty for such exploits against the iPhone this year. This talk will go into the details of how a single memory corruption vulnerability in iMessage was remotely exploited to compromise an iPhone. The insights gained from the exploitation process will hopefully help defend against such attacks in the future. This talk will dive into the internals of an iMessage exploit that achieves unsandboxed remote code execution on vulnerable devices (all iPhones and potentially other iDevices up to iOS 12.4) without user interaction and within a couple of minutes. All that is necessary for a successful attack in a default configuration is knowledge of the target’s phone number or an email address. Further, the attack is also possible without any visible indicators of the attack displayed to the user. First, an overview of the general iMessage software architecture will be given, followed by an introduction of the exploited vulnerability. Next, a walkthrough of the exploitation process, including details about how the various exploit mitigations deployed on iOS were bypassed, will be presented. Some of the exploitation techniques are rather generic and should be applicable to exploit other vulnerabilities, messengers, and even other platforms such as Android. Along the way, some advice will be shared with the audience on how to bootstrap research in this area. The talk concludes with a set of suggestions for mobile OS and messenger vendors on how to mitigate the demonstrated exploit techniques effectively and hopefully make these kinds of attacks significantly more difficult/costly to perform in the future. While previous experience with iOS userland exploitation will not be required for this talk, some basic background knowledge on memory corruption vulnerabilities is recommended. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10497.html
Vom Ich zum Wir (36c3)
Ein von Zeit Online entwickeltes Tool macht es möglich, die Plenarprotokolle des Bundestags grafisch und inhaltlich auszuwerten, und zwar seit seiner ersten Sitzung 1949 bis heute. In den 200 Millionen Wörtern zeigen sich historische Zäsuren, sie machen gesellschaftliche und sprachliche Entwicklungen sichtbar: Wie ernst nahm der Bundestag in den vergangenen Jahren den Klimawandel? Wie häufig redeten die Abgeordneten über Datenschutz, über Arbeitslosigkeit, über Rechtsextremismus, über Geflüchtete? Es wird sichtbar und vergleichbar, zu welchem Zeitpunkt welche Themen debattiert wurden, wie sich die politische Aufmerksamkeit über die Jahre verändert hat. Und die Daten belegen, wie die Sprache selbst sich verändert, nicht nur weil neue Themen aufkommen, sondern auch weil sich der Sprachgebrauch wandelt. Am Ende kann das Publikum selbst Wörter vorschlagen und versuchen, die entsprechenden Graphiken zu interpretieren. Die Protokolle des Bundestags decken einen Zeitraum von siebzig Jahren ab. In dieser Zeit hat sich die Bundesrepublik stark verändert und damit natürlich auch die im Bundestag verwendete Sprache. Manche Dinge sind trivial, z.B. dass Flüchtlinge einst Vertriebene waren oder dass mit Computernetzen zusammenhängende Wörter erst in neuerer Zeit auftauchen. Andere überraschen, z.B. dass seit der Wiedervereinigung mehr von Ostdeutschen als von Westdeutschen gesprochen wird. Anhand von einschlägigen Beispielen wollen wir erläutern, wie sich Sprache und mit ihr Politik verändert hat. Wir untersuchen die Rhetorik alter und neuer Rechter, die Rhetorik des "Marktes", der Krisen und natürlich auch die des gepflegten Beschimpfens. Mit dem Tool lässt sich zeigen, welche Debatten groß und wortreich geführt wurden, welche klein und unbedeutend blieben, obwohl es vielleicht wichtig gewesen wäre, über die Themen zu debattieren. Die Sprache ist somit der Zugang zur Analyse der Politik des Parlaments. Woher stammen unsere Daten? Wir haben die Protokolle aller Sitzungen des Deutschen Bundestages analysiert: 4.217 Protokolle aus 19 Legislaturperioden, insgesamt rund 200 Millionen Wörter. Sie stammen aus dem Open Data Portal des Bundestages. Jede Sitzung wird dort von Stenografen genau dokumentiert und auf diesem Portal veröffentlicht. Unsere Auswertung beginnt mit der ersten Sitzung am 7. September 1949 und endet mit der letzten Sitzung vor der Sommerpause 2019 — der Sondersitzung zur Vereidigung von Annegret Kramp-Karrenbauer als Verteidigungsministerin am 24. Juli 2019. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10993.html
Energiespeicher von heute für die Energie von morgen (36c3)
Wir verlassen uns in unserem Alltag permanent auf die Verfügbarkeit von elektrischer Energie. Aber wenn wir vom dauerhaften Betrieb von Kraftwerke, die fossile Energieträger verbrennen, wie stellen wir die Versorgung sicher, wenn nachts kein Wind weht? Elektrolyse oder Pumpspeicherkraftwerk? Superkondensatoren oder mechanische Speicher? Was geht heute überhaupt schon? Ähnlich unklar ist die Zukunft der Mobilität, wenn Verbrennungsmotoren von unseren Straßen verschwinden sollen. Batteriefahrzeug oder Wasserstoffauto? Und bekommt man sein Fahrzeug überhaupt so schnell vollgetankt wie heute mit Benzin? Als eins der größeren Probleme stellt sich die Bereitstellung elektrischer Energie für unsere hoch technologisierte Welt dar. Der Beitrag der aus erneuerbaren Energiequellen gewonnenen elektrischen Energie ist in den letzten Jahrzehnten beständig gestiegen, aber dennoch bleibt ein Problem: wie stellen wir Energie bereit, wenn keine Sonne scheint und kein Wind weht? Ein Überblick über bekannte und weniger bekannte Energiespeicher soll erleichtern, aktuelle Diskussionen der Energie- und Klimapolitik zu verstehen und einzuordnen. Batterien und Akkus liefern seit vielen Jahrzehnten den Strom für vor allem tragbare Geräte: Die allgegenwärtige, nicht wiederaufladbare Alkali-Mangan-Batterie speist Uren, Fernbedienungen, Taschenlampen und Geräte aller Art. Speziell die wiederaufladbare Lithium-Ionen-Batterie hat unsere moderne Welt revolutioniert, aus gutem Grund wurde diese Entwicklung dieses Jahr mit dem Nobelpreis in Chemie ausgezeichnet. Wird diese Technologie die Zukunft der Elektromobilität sein, und den überschüssigen Solarstrom speichern, um ihn nachts wieder zur Verfügung zu stellen? Oder sollte die kaum bekannte Natriumsulfid Batteriechemie der bessere Kandidat sein? Wie macht man aus Solarstrom Wasserstoff, und wie speichert man diesen? Lohnt sich das überhaupt, und wenn ja, wie bekommt man daraus wieder elektrische Energie erzeugt? Aktuell tobt eine erbitterte Debatte, ob die Elektromobilität in Zukunft nun auf reinen Batteriebetried setzen sollte, oder doch das Wasserstoffauto das Rennen machen soll. Gibt es eine klare Antwort darauf, und wie sind die jeweiligen Beiträge von Wissenschaft, Wirtschaft, Politik und Ethik? about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/11119.html
Ansible all the Things (36c3)
In diesem Talk wird es um die Grundlagen von Ansible gehen, warum es für den Vortragenden das beste Werkzeug ist und welche alternativen es noch gibt. Vom ersten Host Inventory im YAML Format über die kleine Rollen (NTP/Fail2Ban) und Playbooks bis hin zum ersten kompletten Einrichten des Rasberry Pi oder Servers mit eigenen Dotfiles und den Basic Paketen die man so braucht. Auch wird drauf eingegangen, wie und warum reproduzierbare Infrastruktur Builds das Leben eines Admins erleichtern können und im Alltag der händischen Arbeit vorzuziehen sind. Abschließen wird der Talk mit dem Thema "Ansible Playbooks aus dem Internet herunterladen oder selbst machen?" und worauf man achten sollte, wenn man Playbooks für mehrere unterschiedliche Linux Distributionen baut. about this event: https://fahrplan.chaos-west.de/36c3/talk/MXQBWP/
Live querying: let’s explore Wikidata together! (36c3)
<p>You can find a lot of interesting, useful or amusing information on Wikidata &ndash; let&rsquo;s spend half an hour writing some queries together! This will be an interactive session to explore the possibilities of Wikidata, the free knowledge base, and its query service. Participants can suggest queries, and I&rsquo;ll do my best to implement them.</p> about this event: https://cfp.verschwoerhaus.de/36c3/talk/VN8MEQ/
Risky Business?! – Rechte und Pflichten von IT-SicherheitsforscherInnen (36c3)
In einem Gespräch über die Hackertool-Paragraphen des Strafgesetzbuches in LNP 296 sagte Frank zu Linus: „Damals haben wir juristisch noch ein bisschen was dazugelernt, nämlich dass die Begründung bzw. Erläuterung des Gesetzes in der deutschen Jurisprudenz mit herangezogen wird.“ Diese Kenntnis reicht für das Lesen von Gesetzen und Gerichtsurteilen aus. Für die IT-Sicherheitsforschung und die Analyse beispielsweise leicht auffindbarer Login-Daten bedarf es aber umfangreicherer Kenntnisse. Fragt man dazu einen Juristen, ist die Antwort oft komplex und führt zum "buffer overflow" und einer "brain resource exhaustion" des Fragenden. Damit ForscherInnen beider Gebiete und Interessierte "ressourcenschonender" kommunizieren können und um das juristische Verständnis zu erweitern, fasst dieser Vortrag in einem Überblick die wichtigsten Punkte verständlich zusammen. Betrachtet werden das hauptsächlich Datenschutz- und IT-Sicherheitsrecht, am Rande auch erwähnte, relevante Strafrechtsnormen. Die (prozessuale) Thematik der Hausdurchsuchung bleibt wegen des Talks vom 35c3 (https://media.ccc.de/v/35c3-10018-verhalten_bei_hausdurchsuchungen) außen vor. about this event: https://fahrplan.chaos-west.de/36c3/talk/RKMAKL/
Opening Session (36c3)
Eröffnung des OIO, der Bühne und Vorstellung aller Assemblies auf dem OIO about this event: https://talks.oio.social/36c3-oio/talk/DQ3DBL/
Wie klimafreundlich ist Software? (36c3)
Das Umweltbundesamt hat in 2012 mit der Forschung der Umweltrelevanz von Software begonnen. Ziel der Forschung war es, die gegenseitige Beeinflussung von Hard- und Software zu erfassen, zu bewerten und geeignete Maßnahmen zu entwickeln, die es ermöglichen, die Inanspruchnahme von natürlichen Ressourcen durch Software zu reduzieren. Im Vortrag wollen Marina Köhn (Umweltbundesamt) und Dr. Eva Kern (Umwelt-Campus Birkenfeld) die Messergebnisse aus dem Labor der Forschung präsentieren und die entwickelte Methode des Forschungsprojektes erläutern. Weiterhin möchten wir die Inhalte des geplanten Umweltzeichens für Software vorstellen. Das Zusammenwirken von Hard- und Software, also zum Beispiel von Computer und Betriebssystem, ist vergleichbar mit einem Buch und dem Inhalt des Buches. Fehlt ein Teil dieser Einheit, ist der Bestimmungszweck nicht mehr gegeben. Ein Computer ist zusammengesetzt aus verschiedenen Komponenten, die unterschiedliche Aufgaben wahrnehmen. Die Software ist die Logik, die das Ausführen dieser Aufgaben ermöglicht. Zwar ist Software, ähnlich wie Wissen, immateriell, jedoch benötigt sie die Hardwareressourcen, um existieren zu können. Softwareprodukte sind somit ein wesentlicher Bestandteil der Informations- und Kommunikationstechnik (IKT). In den letzten Jahren wurden einige Anstrengungen unternommen, um die IKT nachhaltiger zu gestalten. Beispielsweise wurden die Energieeffizienz der IKT-Produkte gesteigert, Anforderungen an das Energiemanagement der Geräte gestellt und neue ressourcenschonende Hardwarearchitekturen entwickelt. Konkrete Anforderungen an das Design und die Programmierung von Soft-ware, die die Energieeffizienz der Hardware unterstützen, sind bisher nicht vorhanden. Obwohl Hardware und Software, wie oben erläutert, eine Einheit bilden und die Art und Weise der Softwarearchitektur und -programmierung große Auswirkung auf den entsprechenden Hardwarebedarf haben, fehlen konkrete Anforderungen. Das Fehlen der Anforderungen an Softwareprodukten hat zur Folge, dass die Energieeffizienzgewinne der Hardware durch ineffiziente Software oder schlechte Softwarekonzepte nicht oder nur teilweise zum Tragen kommen. Vor diesem Hintergrund hat das Umweltbundesamt in 2012 mit der Forschung der Umweltrelevanz von Software begonnen. Ziel der Forschung war es, die gegenseitige Beeinflussung von Hard- und Software zu erfassen, zu bewerten und geeignete Maßnahmen zu entwickeln, die es ermöglichen, die Inanspruchnahme von natürlichen Ressourcen durch Software zu reduzieren. Im Forschungsprojekt „Entwicklung und Anwendung von Bewertungsgrundlagen für ressourceneffiziente Software unter Berücksichtigung bestehender Methodik“ des Umweltbundesamtes (UBA 2018) wurde zusammen mit dem Öko-Institut, den Umwelt-Campus Birkenfeld und der ETH Zürich eine Bewertungsmethodik entwickelt, anhand derer der Energiebedarf, die Inanspruchnahme von Hardware-Ressourcen sowie weitere umweltbezogene Eigenschaften von Softwareprodukten ermittelt werden können. Der Vergleich verschiedener Softwareprodukte mit gleicher Funktionalität macht deutlich, dass es teils erhebliche Unterschiede zwischen den Produkten gibt. Bei der Ausführung eines Standardnutzungsszenario werden die Unterschiede der Energieeffizienz zwischen den Softwareprodukten erkennbar. Dies ist vor allem vor dem Hintergrund relevant, dass die übermäßige Beanspruchung von Hardware dazu führt, dass die Pro-grammausführung länger dauert und es im schlimmsten Fall dazu führt, dass diese vermeintlich langsame Hardware ausgemustert und durch neue, schnellere Hardware ersetzen wird. Labels und Zertifizierungen, wie es sie seit langem schon für den Bereich der Hardware existieren, gibt es im Softwarebereich jedoch nicht. Das ändert sich demnächst! Wir haben erfolgreich Kriterien für das Umweltzeichen Blauer Engel für energie- und ressourcensparende Software entwickelt. Wir hoffen, dass wir mit dem Umweltzeichen eine Debatte über umweltverträgliche Software auslösen werden und wir hoffen, dass viele Software-Entwickler*innen und Hersteller von Software sich zukünftig an diese Kriterien orientieren. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10852.html
What's left for private messaging? (36c3)
It is easier to chat online securely today than it ever has been. Widespread adoption of signal, wire, and the private mode of WhatsApp have led a broader recognition of the importance of end-to-end encryption. There's still plenty of work to be done in finding new designs that balance privacy and usability in online communication. This introduction to secure messaging will lay out the different risks that are present in communications, and talk about the projects and techniques under development to do better. The talk will begin with a threat modeling exercise to be able to concretely talk about the different actors and potential risks that a secure messaging system can attempt to address. From there, we'll dive into end-to-end encryption, OTR and deniability, and then the axolotl construction used by Signal (and now the noise framework). The bulk of the talk will focus on the rest of the problem which is more in-progress, and in particular consider the various metadata risks around communication. We'll survey the problems that can arise around contact discovery, network surveillance, and server compromise. In doing so, we'll look at the forays into communication systems that attempt to address these issues. Pond offered a novel design point for discovery and a global network adversary. Katzenpost adapts mixnets to limit the power of network adversaries and server compromise in a different way. Private Information Retrieval (PIR) trades off high server costs for a scheme that could more realistically work with mobile clients. Others, for instance Secure Scuttlebutt attempt to remove the need for infrastructural servers entirely with gossip and partial views of the network, a whole other set of tradeoffs. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10565.html
Tales of old: untethering iOS 11 (36c3)
This talk is about running unsigned code at boot on iOS 11. I will demonstrate how you can start out with a daemon config file and end up with kernel code execution. This talk is about achieving unsigned code execution at boot on iOS 11 and using that to jailbreak the device, commonly known as "untethering". This used to be the norm for jailbreaks until iOS 9.1 (Pangu FuXi Qin - October 2015), but hasn't been publicly done since. I will unveil a yet unfixed vulnerability in the config file parser of a daemon process, and couple that with a kernel 1day for full system pwnage. I will run you through how either bug can be exploited, what challenges we faced along the way, and about the feasibility of building a kernel exploit entirely in ROP in this day and age, on one of the most secure platforms there are. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/11034.html
Katastrophe und Kommunikation am Beispiel Nord-Ost-Syrien (36c3)
Katastrophen, Krisen & Kriege lassen sich heute live mitverfolgen. Wir erleben eine kaum überblickbare Quellendiversität in den sozialen Medien – jeder wird zur Quelle. Welchen Einfluss hat das darauf, wie ein Konflikt wahrgenommen wird, wie setzen Konfliktparteien aber auch Helfende die sozialen Medien ein und was bedeutet das für Diejenigen, die vor Ort humanitäre Hilfe leisten. Wir diskutieren dies anhand des türkischen Überfalls auf Nord-Ost-Syrien gemeinsam mit Fee Baumann von Heyva Sor A Kurd, live aus Nord-Ost-Syrien Katastrophen, Krisen & Kriege lassen sich heute live mitverfolgen. Wir erleben eine kaum überblickbare Quellendiversität in den sozialen Medien – jeder wird zur Quelle. Welchen Einfluss hat das darauf, wie ein Konflikt wahrgenommen wird, wie setzen Konfliktparteien aber auch Helfende die sozialen Medien ein und was bedeutet das für Diejenigen, die vor Ort humanitäre Hilfe leisten. Wir diskutieren dies anhand des türkischen Überfalls auf Nord-Ost-Syrien. Fand Live-Berichterstattung aus Kriegsgebieten zu Zeiten des 2. Golfkrieges noch überwiegend durch ein paar wenige Journalist*innen, oft “embedded” statt, die für CNN&Co im grünlichen Nachtsicht-Look aus dem Panzer berichteten, kann in den sozialen Medien heute jede*r zur Quelle werden. Auf diese Weise gelangt die Öffentlichkeit an Informationen die vorher nur sehr schwer zu bekommen gewesen wären & schon gar nicht in Echtzeit. Die Quellenvielfalt birgt große Chancen für die Bewertung einer Lage und auch zur Überprüfung von Informationen durch mehrere Quellen oder Image Reverse Suche. Gleichzeitig verbreiten sich Gerüchte und Falschinformationen ebenfalls sehr viel schneller. Zudem können soziale Medien auch gezielt, etwa von Kriegsparteien manipuliert werden. Die Türkei setzte neben Deutschen Panzern etwa auch Bot-Armeen ein, im Ergebnis: Zwar verurteilte ein großteil der Welt den türkischen Einmarsch in Nord-Ost-Syrien, aber Twitter-Hashtags zeichneten zeitweilig ein ganz anderes Bild. Gleichzeitig kann es schon auch mal passieren, dass Türkei nahe Djihadistische Gruppen ausversehen selbst Videos ihrer Kriegsverbrechen prahlerisch ins Netz stellen. Was bedeutet all das für humanitäre Helfende vor Ort, die Twitter & co mittlerweile nicht nur zur Spendenwerbung sondern auch zur Lagebewertung nutzen: Wie kann man in der Praxis damit umgehen, dass sich auf Twitter gegebenenfalls ein ganz anderes Bild zeichnet als vor Ort und vor allem: Welches davon ist näher an der Realität? Darum geht es in diesem Talk am Beispiel des Türkischen Überfalls auf Nord-Ost-Syrien, von Sebastian Jünemann und Ruben Neugebauer von der Hilfsorganisation Cadus, die vor Ort mit mehreren, im wesentlichen medizinischen Projekten aktiv war, sowie Fee Baumann von der Organisation Heyvasor a Kurd, dem kurdischen roten Halbmond. Außerdem werden wir klären wie man sich per Selfie bequem ins Jenseits befördern kann und was sonst noch so für die persönliche Sicherheit zu beachten ist, im Umgang mit modernen Medien in Kriegsgebieten. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10957.html
The Ultimate Acorn Archimedes talk (36c3)
This talk will cover everything about the Acorn Archimedes, a British computer first released in 1987 and (slightly) famous for being the genesis of the original ARM processor. The Archimedes was designed by Acorn in the UK in the mid-1980s, and was released in late 1987 with massive performance for its medium price (and, with the first OS, a hangover-coloured GUI). The machine isn't widely known outside Europe. Even in the UK, it was released just as the IBM PC was taking over, so remained niche. It was built from scratch with four purpose-designed chips, the ARM, the VIDC, the MEMC and the IOC. Looking at each chip, we'll take a hardware and software tour through what is one of the most influential yet little-known modern computers. The talk will detail the video, sound, IO and memory management hardware, alongside the original ARM processor which is quite different to what we have today. The Arc was a pleasure to program, both simple and fast, and we'll look at its software including the quirky operating systems that made the Arc tick, from Arthur to RISC OS and Acorn's mysterious BSD4.3 UNIX, RISCiX. The first models were followed by the lower-end A3000 in 1989, which looked similar to the the Amiga 500 or Atari STE but had around eight times the CPU performance: no sprites, no blitter, no Copper, no problem! ;-) This talk will also share insights from the original chipset designers, with a tour of prototype hardware and unreleased Archimedes models. The audience will get an appreciation for the Arc's elegant design, the mid-1980s birth of RISC processors, and the humble origins of the now-omnipresent ARM architecture. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10703.html
Querying Linked Data with SPARQL and the Wikidata Query Service (36c3)
An introduction to querying linked data, using the SPARQL query language and the free knowledge base Wikidata. Which films starred more than one future head of government? What’s the largest city with a female mayor? And when did women finally outnumber Johns in the House of Commons? These are the kinds of questions that **linked data** can answer. This workshop will give an introduction to the SPARQL query language, showing how it can be used to answer these and other questions, using the free knowledge base **Wikidata** as the data source. about this event: https://cfp.verschwoerhaus.de/36c3/talk/AMPBFW/
The Case for Scale in Cyber Security (36c3)
The impact of scale in our field has been enormous and it has transformed the tools, the jobs and the face of the Infosec community. In this talk we discuss some of the ways in which defense has benefitted from scale, how the industry might be transitioning to a new phase of its growth and how the community will have to evolve to stay relevant. about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/11220.html
Open Source is Insufficient to Solve Trust Problems in Hardware (36c3)
<p>While open source is necessary for trustable hardware, it is far from sufficient. This is because &ldquo;hashing&rdquo; hardware &ndash; verifying its construction down to the transistor level &ndash; is typically a destructive process, so trust in hardware is a massive time-of-check/time-of-use (TOCTOU) problem. This talk helps us understand the nature of the TOCTOU problem by providing a brief overview of the supply chain security problem and various classes of hardware implants. We then shift gears to talk about ways to potentially close the TOCTOU gap, concluding with a curated set of verifiable components that we are sharing as an open source mobile communications platform &ndash; a kind of combination hardware and software distribution &ndash; that we hope can be useful for developing and deploying all manner of open platforms that require a higher level of trust and security. The inconvenient truth is that open source hardware is precisely as trustworthy as closed source hardware. The availability of design source only enables us to agree that the designer&rsquo;s intent can be trusted and is likely correct, but there is no essential link between the hardware design source and the piece of hardware on your desk. Thus while open source is necessary for trustable hardware, it is far from sufficient. This is quite opposite from the case of open source software thanks to projects like Reproducible Builds, where binaries can be loaded in-memory and cryptographically verified and independently reproduced to ensure a match to the complete and corresponding source of a particular build prior to execution, thus establishing a robust link between the executable and the source. Unfortunately, &ldquo;hashing&rdquo; hardware &ndash; verifying its construction down to the transistor level &ndash; is typically a destructive process, so trust in hardware is a massive time-of-check/time-of-use (TOCTOU) problem. Even if you thoroughly inspect the design source, the factory could modify the design. Even if you audit the factory, the courier delivering the hardware to your desk could insert an implant. Even if you carried the hardware from the factory to your desk, an &ldquo;evil maid&rdquo; could modify your machine. This creates an existential crisis for trust &ndash; how can we know our secrets are safe if the very hardware we use to compute them could be readily tainted? This talk addresses the elephant in the room by helping us understand the nature of the TOCTOU problem by providing a brief overview of the supply chain security problem and various classes of hardware implants. We then shift gears to talk about ways to potentially close the TOCTOU gap. When thinking about hardening a system against supply chain attacks, every component &ndash; from the CPU to the keyboard to the LCD &ndash; must be considered in order to defend against implanted screen grabbers and key loggers. At every level, a trade-off exists between complexity and the feasibility of non-destructive end-user verification with minimal tooling: a system simple enough to be readily verified will not have the equivalent compute power or features of a smartphone. However, we believe that a verifiable system should have adequate performance for a select range of tasks that include text chats, cryptocurrency wallets, and voice calls. Certain high-risk individuals such as politicians, journalists, executives, whistleblowers, and activists may be willing to use a device that forgoes bells and whistles in exchange for privacy and security. With this in mind, the &lt;https://betrusted.io&gt;Betrusted project brings together a curated set of verifiable components as an open source mobile communications platform - a combination open source hardware and software distribution. We are sharing Betrusted with the community in the hopes that others may adopt it as a reference design for developing and deploying all manner of open platforms that require a higher level of trust and security.</p> about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/10690.html
Swiss Cybervoting PIT(falls) (36c3)
The Swiss democracy is one of it's kind. Digitization is starting to affect even our most critical processes, such as voting. When a piece of code suddenly gets responsible for democracy, it's only natural that the voices get loud and many questions get raised: Is our democracy at stake? Do we have to fear for our privacy? Is electronic voting even feasible in Switzerland? Is such a solution secure? As part of a mandatory Public Intrusion Test (PIT), the Swisspost released their e-voting source code to the world and started a heated debate - far beyond the Swiss borders. Not only the codebase revealed several problems during the PIT. Interesting scoping, redefining the term "open source" and unreleased security audits were only some of the issues that security researchers faced and caused controversy. In this talk we will have a look at many technical and non-technical aspects of the e-voting solution and PIT from the view of a participating security researcher. about this event: https://fahrplan.chaos-west.de/36c3/talk/LBLBJT/
Leaving legacy behind (36c3)
<p>Is the way we run services these days sustainable? The trusted computing base -- the lines of code where, if a flaw is discovered, jeopardizes the security and integrity of the entire service -- is enormous. Using orchestration systems that contain millions of lines of code, and that execute shell code, does not decrease this. This talk will present an alternative, minimalist approach to secure network services - relying on OCaml, a programming language that guarantees memory safety - composing small libraries (open source, permissively licensed) to build so-called MirageOS unikernels -- special purpose services. Besides web services, other digital infrastructure such as VPN gateway, calendar server, DNS server and resolver, and a minimalistic orchestration system, will be presented. Each unikernel can either run as virtual machine (KVM, Xen, BHyve, virtio), as a sandboxed process (seccomp which whitelists only 8 system calls), or in smaller containments (GenodeOS, muen separation kernel) -- even a prototypical ESP32 backend is available. Starting with an operating system from scratch is tough, lots of engineering hours have been put into the omnipresent ones. Reducing the required effort by declaring certain subsystems being out of scope -- e.g. hardware drivers, preemptive multitasking, multicore -- decreases the required person-power. The MirageOS project started as research project more than a decade ago at the University of Cambridge, as a minimal guest for Xen written in the functional programming language OCaml. Network protocols (TCP/IP, DHCP, TLS, DNS, ..), a branchable immutable store (similar and interoperable with git) are available. The trusted computing base is roughly two orders of magnitude smaller than contemporary operating systems. The performance is in the same ballpark as conventional systems. The boot time is measured in milliseconds instead of seconds. Not only the binary size of a unikernel image is much smaller, also the required resources are smaller: memory usage easily drops by a factor of 25, CPU usage drops by a factor of 10. More recently we focused on deployment: integration of logging, metrics (influx, grafana), an orchestration system (remote deployment via a TLS handshake, offers console access and an event log) for multi-tenant systems (policies are encoded in the certificate chain). We are developing, mostly thanks to public funding, various useful services: a CalDAV server storing its content in a remote git repository, an OpenVPN client and server, DNS resolver and server (storing zone files in a remote git repository) with let's encrypt integration, a firewall for QubesOS, image viewer mainly for QubesOS, ... The experience while developing such a huge project is that lots of components can be developed and tested by separate groups - and even used in a variety of different applications. The integration of the components is achieved in a type-safe way with module types in OCaml. This means that lots of errors are caught by the compiler, instead of at runtime.</p> about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/11172.html
Opening Ceremony (36c3)
Welcome! about this event: https://fahrplan.events.ccc.de/congress/2019/Fahrplan/events/11223.html
Chaos-West Stage: Opening (36c3)
about this event: https://fahrplan.chaos-west.de/36c3/talk/U3SAXX/
Fabi über MIDI und Handschuhe [Fünf-Minuten-Termine] (chaotikum)
Fabi gibt eine Einführung in das MIDI-Protokoll und stellt seinen Handschuh vor, der MIDI-Signale über Bluetooth Low Energy senden kann. Ein Vortrag im Rahmen der Fünf-Minuten-Termine. Die Idee ist einfach: An jedem vierten Mittwoch des Monats nutzen wir das volle Haus zum Open Space / Chaostreff und jede Person, die möchte, kann kurz vorstellen, was auch immer ihr vorschwebt. about this event: https://chaotikum.org/blog/2019/12/16/5min/
Greg über 2FA am Schlüsselbund [Fünf-Minuten-Termine] (chaotikum)
Greg stellt seine Hardware für Zwei-Faktor-Authentifizierung (2FA) vor. Bei 2FA erfolgt der Identitätsnachweis eines Nutzers mittels der Kombination zweier unterschiedlicher und insbesondere unabhängiger Komponenten. Im Gegensatz zu mobilen Apps, die häufig als zweite Komponente dienen, kann bei dedizierter Hardware jegliche Manipulation ausgeschlossen werden. Ein Vortrag im Rahmen der Fünf-Minuten-Termine. Die Idee ist einfach: An jedem vierten Mitwoch des Monats nutzen wir das volle Haus zum Open Space / Chaostreff und jede Person, die möchte, kann kurz vorstellen, was auch immer ihr vorschwebt. about this event: https://chaotikum.org/blog/2019/12/16/5min/
TVLuke über die CO₂-Emissionen der NooK [Fünf-Minuten-Termine] (chaotikum)
Zusammen mit dem Publikum füllt TVLuke einen Fragebogen über den Ressourcenverbrauch der NooK aus. Aus diversen Angaben über die Veranstaltung berechnet der Fragebogen dann automatisch die CO₂-Emissionen der Veranstaltung. Ein Vortrag im Rahmen der Fünf-Minuten-Termine. Die Idee ist einfach: An jedem vierten Mittwoch des Monats nutzen wir das volle Haus zum Open Space / Chaostreff und jede Person, die möchte, kann kurz vorstellen, was auch immer ihr vorschwebt. about this event: https://chaotikum.org/blog/2019/12/16/5min/
DG105: IT-Security Weaknesses of Emergency Alert Apps (datengarten)
Emergency Apps (like NINA/DE, FEMA/US and others) are a novel approach to enhance conventioal emergency alert channels with mobile devices, which nowadays are owned by the majority of the population to connect them to omnipresent data sources of the Internet. Due to typical characteristics implied by the design of mobile operating systems and applications, emergency apps on the hand have short version life cycles, on the other hand should be resilient to human and technical failure. Therefore we present the features of mobile apps, describe typical requirements towards these. To provide a practical result we scanned several apps for typical vulnerability patterns (and placed these in the CVE/CWE categories). In the end we summarize our research results towards a wish list to promote standard infrastructure and quality criteria for the development and deployment of such apps. Emergency Apps (like NINA/DE, FEMA/US and others) are a novel approach to enhance conventioal emergency alert channels with mobile devices, which nowadays are owned by the majority of the population to connect them to omnipresent data sources of the Internet. Due to typical characteristics implied by the design of mobile operating systems and applications, emergency apps on the hand have short version life cycles, on the other hand should be resilient to human and technical failure. Therefore we present the features of mobile apps, describe typical requirements towards these. To provide a practical result we scanned several apps for typical vulnerability patterns (and placed these in the CVE/CWE categories). In the end we summarize our research results towards a wish list to promote standard infrastructure and quality criteria for the development and deployment of such apps. about this event: https://c3voc.de
Org-Mode (fsacgn)
Org-Mode ist ein Modus für den freien Text Editor Emacs, der das Erstellen und Sammeln von Notizen, das Planen und das Erstellen von ganzen Dokumenten auf Basis von reinen Text Datein ermöglicht. In seinem Vortrag stellt Björn Org-Mode vor und zeigt einige Einsatzmöglichkeiten für diesen. Dabei geht er insbesondere auch auf dessen Markdown-Format ein. about this event: https://c3voc.de
State of Retro Gaming in Emacs (oc)
Emacs ist für manche Menschen ein erweiterbarer Texteditor, für andere ein großartiges Betriebssystem. Weitaus weniger bekannt ist, dass es möglich ist graphische Demos und Spiele für Emacs zu programmieren, unter anderem sogar Emulatoren für bekannte Spiele-Plattformen wie der NES-Konsole und dem GameBoy. In diesem Vortrag werden die Fähigkeiten von Emacs jenseits dem Editieren von Text betrachtet, einige Emulatoren demonstriert und schließlich das chip8.el-Projekt des Vortragenden im Detail vorgestellt. Fokus liegt dabei auf den Eigenheiten der Spieleplattform CHIP-8, der Funktionsweise des Emulators sowie den Herausforderungen, welche bei der Umsetzung aufgetreten sind. about this event: https://c3voc.de
Fabi über Objektiv betrachtet [Fünf-Minuten-Termine] (chaotikum)
Fabi hat ein Objektiv betrachtet. Er musste sein Objektiv auseinander bauen, um ein kaputtes Kabel zu reparieren. Dabei hat er gemerkt, aus wie vielen Teilen ein komplexes Objektiv besteht. Er erklärt, wie ein Objektiv funktioniert und wofür die ganze Teile gut sind. Ein Vortrag im Rahmen der Fünf-Minuten-Termine. Die Idee ist einfach: An jedem vierten Mittwoch des Monats nutzen wir das volle Haus zum Open Space / Chaostreff und jede Person, die möchte, kann kurz vorstellen, was auch immer ihr vorschwebt. about this event: https://chaotikum.org/blog/2019/12/16/5min/
TVLuke über NooK 2019 Infrastructure Review [Fünf-Minuten-Termine] (chaotikum)
Die Night of open Knowledge ist vorbei und es war ein großer Spaß. TVLuke hat Zahlen, Daten und Fakten zur Veranstaltung und präsentiert die Infrastruktur der NooK. Ein Vortrag im Rahmen der Fünf-Minuten-Termine. Die Idee ist einfach: An jedem vierten Mittwoch des Monats nutzen wir das volle Haus zum Open Space / Chaostreff und jede Person, die möchte, kann kurz vorstellen, was auch immer ihr vorschwebt. about this event: https://chaotikum.org/blog/2019/11/25/5min/
Natascha über Keep Talking and Nobody Explodes [Fünf-Minuten-Termine] (chaotikum)
Willkommen in der gefährlichen und herausfordernden Welt der Bombenentschärfung. Studiere das Handbuch sorgfältig. Dort wirst du alles finden, was du brauchst, um die Bombe zu entschärfen. Es gibt nur ein Hindernis: Du siehst die Bombe nicht, sondern kannst deinem Kollegen nur erklären, was er tun soll. Eine kleine Unachtsamkeit und es könnte alles vorüber sein! Natascha präsentiert ihre Pläne, eine Bombe zu bauen. Ein Vortrag im Rahmen der Fünf-Minuten-Termine. Die Idee ist einfach: An jedem vierten Mittwoch des Monats nutzen wir das volle Haus zum Open Space / Chaostreff und jede Person, die möchte, kann kurz vorstellen, was auch immer ihr vorschwebt. about this event: https://chaotikum.org/blog/2019/11/25/5min/
Andre über Repair Lab [Fünf-Minuten-Termine] (chaotikum)
Am 7.12.2019 findet das erste Repair Café im FabLab statt. Der Orga-Meister und oberste Repair-Guru Elektro-Andre berichtet, was da passieren wird. Kostenlose Reparaturversuche von IT & Elektronikgeräten, Elektrogeräten, Mechanik, Textil und allem anderen was durch die Tür passt. Ein Vortrag im Rahmen der Fünf-Minuten-Termine. Die Idee ist einfach: An jedem vierten Mittwoch des Monats nutzen wir das volle Haus zum Open Space / Chaostreff und jede Person, die möchte, kann kurz vorstellen, was auch immer ihr vorschwebt. about this event: https://chaotikum.org/blog/2019/12/16/5min/
Malte über Fotos von der NooK [Fünf-Minuten-Termine] (chaotikum)
Die Night of Open Knowledge war ein großer Spaß. Wir danken allen Vortragenden, Helfern und Besuchern der NooK. Die Bandbreite der Themen reichte von den geistigen Grundlagen des zivilen Ungehorsam über die urbane Archäologie bis zur Einführung in SAT-Solver. Im Foyer des Audimax der Uni Lübeck war reger Betrieb: Menschen haben Nachtlichter gelötet, CTF-Rätsel gelöst, mit Robotern interagiert, Kohärenztomographie ausprobiert, Chili gegessen, Bier getrunken, ... Malte zeigt Fotos von der Veranstaltung und berichtet über die Fortschritte beim Schneiden der Videos von der Night of open Knowledge. Ein Vortrag im Rahmen der Fünf-Minuten-Termine. Die Idee ist einfach: An jedem vierten Mittwoch des Monats nutzen wir das volle Haus zum Open Space / Chaostreff und jede Person, die möchte, kann kurz vorstellen, was auch immer ihr vorschwebt. about this event: https://chaotikum.org/blog/2019/12/16/5min/
Leo über Grafana [Fünf-Minuten-Termine] (chaotikum)
Die Grafana-Software stellt einen Server zur Verfügung, mit dem Zeitreihen von Zahlenwerten auf sehr handliche Weise dargestellt und manipuliert werden können. Die Auswahl bestimmter Zeitfenster, das Anlegen von Dashboards und die Gestaltung der Achsen ist so sehr einfach möglich. Zudem gibt es verschiedene Paneltypen, die neben dem klassischen Chart auch Pie Charts oder Tabellen beinhalten. Leo zeigt, wie er Daten aus seinem E-Kart 3ck4rd ausliest und in Grafana live darstellen kann. Ein Vortrag im Rahmen der Fünf-Minuten-Termine. Die Idee ist einfach: An jedem vierten Mittwoch des Monats nutzen wir das volle Haus zum Open Space / Chaostreff und jede Person, die möchte, kann kurz vorstellen, was auch immer ihr vorschwebt. about this event: https://chaotikum.org/blog/2019/11/25/5min/
Wird KI die Welt retten? (fiffkon19)
Der von Menschen gemachte Klimawandel stellt die Menschheit, wie die gesamte Biosphäre vor eine existenzielle Krise. Noch ist nicht klar, ob es gelingen wird, die Folgen auf ein Maß zu begrenzen, welcher einen friedlichen und sozial verträglichen Umgang mit ihm erlaubt. Klimaforschung spielt dabei eine zentrale Rolle die Prozesse des Klimawandels zu erkennen, zu verstehen und mögliche Gegenmaßnahmen zu entwerfen. Die zu verarbeitenden Datenmengen, die in dieser Forschung anfallen sind darin immens groß. Auch im Bereich des Ausbaus von erneuerbaren Energien wird insbesondere die Steuerung von Stromverbrauch zu wechselnder Stromerzeugung extrem komplex. So kommt es, dass KI als zentraler Baustein im Kampf gegen den Klimawandel verhandelt wird. Doch ist das so? Welche Rolle spielt KI in Bezug auf den Klimawandel wirklich? about this event: https://2019.fiffkon.de/program/events/18.html
Nachhaltige Digitalisierung - Wunschdenken oder Realität? (fiffkon19)
Technologien können Teil der Lösung für gesellschaftliche Herausforderungen sein. Ohne eine entsprechende Regulierung, ohne Diskussion über Steuerbarkeit, Risiken und VerliererInnen und ohne demokratische Begleitung bringen sie jedoch oft neue gesellschaftliche Probleme hervor. Dass auch die Digitalisierung nachhaltig und im Sinne des Gemeinwohls gestaltet werden soll, taucht in den politischen Mainstream-Debatten kaum auf. Dabei kann ein gesellschaftlicher Wandel, der – glaubt man denn der disruptiven Macht der Digitalisierung – so grundsätzlich unser Leben verändern wird, nur auf Basis nachhaltiger Prinzipien stattfinden, um für alle Menschen fair und relevant zu sein. Ist eine nachhaltige und sozial gerechte Digitalisierung also möglich, mit den richtigen Leitlinien und politischen Steuerungsinstrumenten? Oder folgt die Entwicklung erneut der Vorstellung der aktuellen Politikökonomie, in welcher Wettbewerb, Anpassung und Individualverantwortung leitend sind? Was könnten Wegweiser sein, die eine nachhaltige Digitalisierung formen? Und wie kann diese Debatte den globalen Herausforderungen einer vielschichtig vernetzen Welt gerecht werden? about this event: https://2019.fiffkon.de/program/events/26.html
Künstliche Intelligenz in Bildern (fiffkon19)
Mit dem Beginn seiner Arbeit am MIT war Joe Weizenbaum ein Teil der Community, die die Grundlagen der KI definierte. Seine Arbeit an "ELIZA" wurde im Rahmen des Project MAC finanziert. Dieses Foto zeigt ihn mit Claude Shannon, John McCarthy und Edward Fredkin. Sein freundlich rivalisierender Bruder Henry Sherwood begann bei Diebold, Broschüren zum Thema KI zu sammeln, als Weizenbaum unter dem Einfluss von Lewis Mumford zur Kritiker des neuen Forschungszweiges wurde. Bilder aus diesen Broschüren und anderem Material der 70er und 80er Jahre sollen zeigen, wie sich die frühe KI präsentierte. about this event: https://2019.fiffkon.de/program/events/35.html
Die Militarisierung der Festung Europa und wie europäische Rüstungskonzerne daran verdienen (fiffkon19)
Über 70 Millionen Menschen befinden sich weltweit auf der Flucht - mehr als jemals zuvor. Die meisten von ihnen fliehen in benachbarte Länder, trotzdem werden Europas Außengrenzen weiter hochgerüstet. Davon profitieren europäische Rüstungskonzerne, die ihre Militärtechnologie jetzt zur Migrationsabwehr vermarkten. Systeme zur Überwachung von Seegrenzen mit Radar, Infrarot und Schiffsverfolgung gewinnen an Bedeutung. Die EU-Grenzagentur Frontex wie auch die Beteiligten der Militärmission EUNAVFORMED nutzen Satelliten und große Drohnen, um Geflüchtete nur noch zu beobachten anstatt zu retten. Große Anstrengungen werden darauf verwandt, die aufgenommenen Bilder und Videos in Echtzeit in Lagezentren zu streamen und dort möglichst schnell zu bearbeiten. Die Systeme sollen verdächtige Aktivitäten an den EU-Außengrenzen möglichst automatisiert erkennen. about this event: https://2019.fiffkon.de/program/events/16.html
Folgenreiche Verführung – Begriffskritik autonomer und intelligenter Systeme (fiffkon19)
Die Informatik operiert mit Metaphern, weil die tatsächlichen Forschungsgegenstände stets abstrakter Natur sind. Sobald diese Metaphern jedoch aus der Kerndisziplin in gesellschaftliche und politische Diskurse übergehen, entfalten sie ein Eigenleben. Gute Metaphern helfen Diskursen, indem sie komplexe Artefakte handhabbar und diskutierbar machen; schlechte Metaphern hingegen verschleiern zunehmend absichtlich die echten Eigenschaften und Probleme des Einsatzes hochkomplexer IT-Systeme. In der Konsequenz wird etwa tiefschürfend über das faktisch irrelevante Trolley-Problem autonomer Systeme diskutiert, während die echten Opfer einer rein marktförmig organisierten Digitalisierung nur wenig Gehör finden. Der Vortrag will dieses Missverhältnis technisch informiert angehen. about this event: https://2019.fiffkon.de/program/events/3.html
FIfF-Bericht (fiffkon19)
about this event: https://2019.fiffkon.de/program/events/11.html
Weizenbaum-Studienpreis (fiffkon19)
Das FIfF möchte mit dem Weizenbaum-Studienpreis herausragende Leistungen des wissenschaftlichen Nachwuchses im Bereich „Informatik und Gesellschaft“ würdigen und die Aufmerksamkeit der Öffentlichkeit auf das Thema sowie die Beiträge der AutorInnen lenken. Mit Kurzvorstellung der bepreisten Arbeiten. Das FIfF stiftet den Weizenbaum-Studienpreis in Erinnerung an den Wissenschaftler und Informatik-Pionier Professor Dr. Joseph Weizenbaum in Würdigung seiner Verdienste um einen kritischen Blick auf die Informatik. Joseph Weizenbaum war an der Gründung des FIfF maßgeblich beteiligt, wirkte lange Zeit im Vorstand mit und trug durch seine wissenschaftlichen Leistungen und seine anti-militaristische und friedensorientierte Haltung in vorbildlicher Weise zur Arbeit und zu den Zielen des FIfF bei. Mit der Vergabe des Preises wollen wir auch die Bedeutung der Informatik für die gesellschaftliche Entwicklung betonen und auf die kritische, öffentliche Auseinandersetzung mit den Erkenntnissen und Artefakten der Informatik dringen. Das FIfF möchte mit dem Weizenbaum-Studienpreise herausragende Leistungen des wissenschaftlichen Nachwuchses in diesem Bereich würdigen und die Aufmerksamkeit der Öffentlichkeit auf das Thema sowie die besonderen Leistungen des Autors bzw. der Autorin lenken. Studierende sowie Wissenschaftlerinnen und Wissenschaftler in der Qualifikationsphase sollen hiermit zu fundierten und differenzierten Auseinandersetzungen mit Fragen aus dem Gebiet Informatik und Gesellschaft ermutigt werden. about this event: https://2019.fiffkon.de/program/events/8.html
Die Produktionsbedingungen künstlicher Intelligenz (fiffkon19)
Aus der beschaulichen Universitätsstadt Tübingen soll nach Vorbild des Sillicon Valley ein Top-Standort für die Entwicklung künstlicher Intelligenz in Europa werden. Hier soll aktiv die Zukunft gestaltet werden, doch mit genauerem Blick auf Partner, Förderer und Geldgeber wird deutlich, dass die Forschung vor allem deren Interessen dienen soll. Beteiligt sind unter anderem Amazon, die Automobil- und in Ansätzen auch die Rüstungsindustrie. Deshalb regte sich Widerstand gegen das Forschungsprojekt, der zu einer intensiven öffentlichen Diskussion über KI in der Stadt führte. Wir möchten den Widerstand und die Kritik an dem Projekt vorstellen, denn mit neuen Technologien stellt sich die Frage, wer eigentlich unsere Zukunft gestalten sollte. about this event: https://2019.fiffkon.de/program/events/14.html