
Chaos Computer Club - archive feed
14,494 episodes — Page 136 of 290
Opening (asg2019)
Opening of All Systems Go! about this event: https://cfp.all-systems-go.io/ASG2019/talk/A3KZGD/
Alternatives to standard utilities (asg2019)
Several of the standard tools like `grep` and `find` have rewritten alternatives, performing the tasks much quicker and have a more intuitive interface. Present some of them. about this event: https://cfp.all-systems-go.io/ASG2019/talk/JFC7VC/
Impact of zstd (asg2019)
Zstandard (zstd) is a new lossless compression algorithm with a very attractive compression rate and performance. In production environments it comes with some quantifiable benefits but also with some surprising issues. about this event: https://cfp.all-systems-go.io/ASG2019/talk/DG3YDE/
Transactional Updates with Btrfs (asg2019)
Transactional updates (also called atomic updates) are a way to update a system without interfering with the currently running system - making this a rock-solid way to update any machine, from embedded systems to cluster nodes. What do openSUSE MicroOS, Fedora CoreOS, Chrome OS, Ubuntu Core and Android have in common? All of them are using a *read-only root file system* and so called *transactional / atomic updates* to update a system safely - without having to worry that a broken update could leave your system in some undefined state. This talk will focus on how to use *btrfs*' snapshot feature to implement such a transactional system and explain where the pitfalls of implementing such a system compared to a traditional read-write system are. about this event: https://cfp.all-systems-go.io/ASG2019/talk/SXENPK/
News from the coreboot land (asg2019)
What happened in the coreboot based firmware world since last year? How to get started? In September, coreboot 4.10 will have been released, and the Open Source Firmware Conference took place. Take this opportunity to present the latest news and changes in the coreboot based firmware world. AMD devices are available with coreboot, and after Google and Puri.sm more vendors like System76 ship their devices with coreboot. While at it, give a quick introduction how to get started. about this event: https://cfp.all-systems-go.io/ASG2019/talk/UUYNXW/
Using RPMs for systemd development (asg2019)
Using RPMs can be very advantageous during development of systemd on Fedora. In order to make that viable, we need to build them from a git checkout and have the ability to use incremental builds. I will explore tooling I've been using and building to use RPMs during systemd development. I'll quickly cover the motivation and advantages while I manage to build one during a lightning demo. about this event: https://cfp.all-systems-go.io/ASG2019/talk/JM7GDN/
Securing Bare Metal Micro Services: Service Mesh (asg2019)
Learn how a Service Mesh can secure your bare-metal (non-virtualized) workloads quickly without any code modifications to improve your security posture. Zero Trust is an information security mantra to not implicitly trust any the underlying infrastructure (hardware, network, software, etc). For many organizations, this extends into the cloud where this philosophy is applied to workloads running in public, virtualized clouds. We'll be taking this philosophy to protect an insecure application, the Fortune Cookie Micro Service, running atop a bare metal cloud with a Service Mesh to provide authentication and encryption of data in motion without the complexities of virtualization or containerization. This walkthrough uses all open source software (Terraform for the deployment atop the Packet bare metal cloud and Consul for the service mesh) atop Ubuntu physical nodes. about this event: https://cfp.all-systems-go.io/ASG2019/talk/H3YZZM/
Rootless, Reproducible & Hermetic: Secure Container Build Showdown (asg2019)
How can we build hostile and untrusted code in containers? There are many options available, but not all of them are as safe as they claim to be... Rootless container image builds (as distinct from rootless container runtimes) have crept ever closer with orca-build, BuildKit, and img proving the concept. They are desperately needed: a build pipeline with an exposed Docker socket can be used by a malicious actor to escalate privilege - and is probably a backdoor into most Kubernetes-based CI build farms. With a slew of new rootless tooling emerging including Red Hat’s buildah, Google’s Kaniko, and Uber’s Makisu, we will see build systems that support building untrusted Dockerfiles? How are traditional build and packaging requirements like reproducibility and hermetic isolation being approached? In this talk we: - Detail attacks on container image builds - Compare the strengths and weaknesses of modern container build tooling - Chart the history and future of container build projects - Explore the safety of untrusted builds about this event: https://cfp.all-systems-go.io/ASG2019/talk/PVYETJ/
Privacy-Respecting Linux Desktop Monitoring (asg2019)
Whether to support users, ensure their security, or meet compliance goals, organizations need to deploy monitoring of their desktop machines. Yet, many approaches overreach by effectively being rootkits. In this presentation, we'll examine: * What data a monitoring system needs to collect * Where the data we need lives on a modern Linux desktop * Which data sources expose sandbox-friendly API access * Sandboxing the monitoring daemon itself about this event: https://cfp.all-systems-go.io/ASG2019/talk/3ZKVWF/
Traceloop for systemd and Kubernetes + Inspektor Gadget (asg2019)
Presenting [traceloop](https://github.com/kinvolk/traceloop), a “time travel” tracing tool to trace system calls in cgroups using BPF and overwritable ring buffers. Many people use the “strace” tool to synchronously trace system calls using ptrace. [Traceloop](https://github.com/kinvolk/traceloop) similarly traces system calls but asynchronously in the background, using BPF and tracing per cgroup. I’ll show how it can be integrated with systemd and with Kubernetes via [Inspektor Gadget](https://github.com/kinvolk/inspektor-gadget). Traceloop's traces are recorded in a fast, in-memory, overwritable ring buffer like a flight recorder. As opposed to “strace”, the tracing could be permanently enabled on systemd services or Kubernetes pods and inspected in case of a crash. This is like a always-on “strace in the past”. Traceloop uses BPF through the gobpf library. Several new features have been added in gobpf for the needs of traceloop: support for overwritable ring buffers and swapping buffers when the userspace utility dumps the buffer. https://github.com/kinvolk/traceloop https://github.com/kinvolk/inspektor-gadget https://github.com/iovisor/gobpf Slides: https://docs.google.com/presentation/d/1zIZUrTrD7FkS9pHnWz87ZmoLTrO1g9-J_lDMD7E5kdo/edit about this event: https://cfp.all-systems-go.io/ASG2019/talk/98A9LW/
Container Live Migration (asg2019)
The difficult task to checkpoint and restore a process is used in many container runtimes to implement container live migration. This talk will give details how CRIU is able to checkpoint and restore processes, how it is integrated in different container runtimes and which optimizations CRIU offers to decrease the downtime during container migration. In this talk I want to provide details how CRIU checkpoints and restores a process. Starting from ptrace() to pause the process, how parasite code is injected into the process to checkpoint the process from its own address space. How CRIU transforms itself to the restored process during restore. How SELinux and seccomp is restored. I also want to give an overview how CRIU uses userfaultfd for lazy migration and dirty page tracking for pre-copy migration. I want to end this talk with an overview about how CRIU is integrated in different container runtimes to implement container live migration. about this event: https://cfp.all-systems-go.io/ASG2019/talk/E88Z7V/
Our enemies in blue - Kristian Williams (DS2019)
Sometimes things in our society can look as if they were always there. Take for example police. Today majority of the people living next to us can’t imagine the world without police in our neighborhood. However it was not always like that. Kristian Williams, anarchist and author of Our Enemies in Blue and Fire the Cops, will talk about the history of policing in the United States, from its origin in slave patrols to the present era of militarization and community policing. Particular attention will be given to the role of police in repression movement fighting for social justice and greater equality. about this event: https://datenspuren.de/2019/fahrplan/events/10398.html
How Microsoft SQL Server Went Multi-Platform: SQLPAL (asg2019)
How did Microsoft made SQL Server available on Linux, Containers and ARM CPUs? Come hear the story from the SQL Server engineering team. We'd love to tell the story on how we made SQL Server available to ecosystems outside of Windows in this talk. It's a great story that involves quite a bit of interesting technologies and we'd like to share that with everyone! about this event: https://cfp.all-systems-go.io/ASG2019/talk/GTYJFV/
Custom cgroup-bpf programs in systemd (asg2019)
The primary focus is to gather feedback from systemd community regarding ongoing and future work to introduce custom cgroup-bpf programs to systemd. The motivation is to give a user a capability to attach their own cgroup-bpf programs to systemd containers. This is a continuation of <a href="https://github.com/systemd/systemd/issues/10227" title="discussion"> started at ASG2018 and followed by <a href="https://github.com/systemd/systemd/pull/12151" title="PR12151"> and <a href="https://github.com/systemd/systemd/pull/12419" title="PR12419">. Currently systemd utilizes BPF macro-assembly which is poorly extendable and maintainable, so the 1st iteration would be introducing `libbpf` library to systemd. The first attempt was made and it raised valid questions about `libbpf` testability and dependencies it introduces. We’d like to address that. Another topic of focus may be implementation details, such as how to store libbpf programs: either as bytecode or as restricted C which compiles with the rest of systemd. For attendees with no context a brief intro to eBPF will be made including new initiatives which may be of use to systemd, e.g. “Compile once, run everywhere”. Since this is ongoing work the agenda may vary depending on activity in PRs. about this event: https://cfp.all-systems-go.io/ASG2019/talk/M8DVWG/
Reinventing Home Directories (asg2019)
Let's bring the UNIX concept of Home Directories into the 21st century. The concept of home directories on Linux/UNIX has little changed in the last 39 years. It's time to have a closer look, and bring them up to today's standards, regarding encryption, storage, authentication, user records, and more. In this talk we'll talk about "systemd-homed", a new component for systemd, that reworks how we do home directories on Linux, adds strong encryption that makes sense, supports automatic enumeration and hot-plugged home directories and more. about this event: https://cfp.all-systems-go.io/ASG2019/talk/VSQRXA/
Effective infrastructure monitoring with Grafana (asg2019)
In this talk David will show Grafana's advanced features to manage a fleet of Linux hosts. He will also show relevant metrics and logging datasources and how they can be combined to get a full picture of what is going on. about this event: https://cfp.all-systems-go.io/ASG2019/talk/XJAWA7/
Microcontroller Firmware from Scratch (asg2019)
Follow a journey of writing STM32 microcontroller firmware from scratch, using open-source tools. Follow Nikolay Kondrashov's journey of learning to write firmware for an STM32 microcontroller (the Blue Pill one) from scratch, using only open-source tools. From blinking LEDs, to controlling a toy car, without the complicated, and license-restricted manufacturer's libraries, or the comfortable crutches of the Arduino stack. Learn where to look for information, which tools you might need, and how to do it yourself with a similar or a different microcontroller. about this event: https://cfp.all-systems-go.io/ASG2019/talk/JDCVYP/
PostgreSQL at low level: stay curious! (asg2019)
Have you ever encountered a transient performance issue, that was hard to investigate only from the database point of view? On top of how many layers of abstraction your database is working? What is the difference between running your database on a bare metal, VM or inside a container? PostgreSQL does not work in the vacuum, it heavily relies on functionality provided by an underlying platform. And sometimes to answer these questions above one needs to step back and look at a problem not only from a database point of view. In this talk we will discuss how to achieve that, how to tame such tools as strace, perf or eBPF to troubleshoot intricate issues and stay curious. Have you ever encountered a transient performance issue, that was hard to investigate only from the database point of view? On top of how many layers of abstraction your database is working? What is the difference between running your database on a bare metal, VM or inside a container? PostgreSQL does not work in the vacuum, it heavily relies on functionality provided by an underlying platform. And sometimes to answer these questions above one needs to step back and look at a problem not only from a database point of view. In this talk we will discuss how to achieve that, how to tame such tools as strace, perf or eBPF to troubleshoot intricate issues and stay curious. about this event: https://cfp.all-systems-go.io/ASG2019/talk/AXPVZ3/
Æ-DIR - das paranoide IAM für DevOps (mrmcd19)
[Æ-DIR](https://www.ae-dir.com) ist ein Identity & Access Management, welches die Prinzipien Need-to-Know- und Least-Privilege ernst nimmt. [Æ-DIR](https://www.ae-dir.com) ist ein paranoides Identity & Access Management basierend auf OpenLDAP. Im Gegensatz zu anderen LDAP-Servern muss für an Æ-DIR angeschlossene Systeme die Sichtbarkeit von Benutzern und Gruppen immer explizit (zweckgebunden) erlaubt werden. Dies erfolgt rein über Datenpflege im LDAP-Server. LDAP-fähige Anwendungen müssen auch dank Schemakompabilität nicht speziell für Æ-DIR angepasst werden. Ein für Æ-DIR angepasster NSS-/PAM-Dienst [aehostd](https://www.ae-dir.com/aehostd.html) ermöglicht die automatisierte Integration und performante Nutzung auch in grossen Server-Umgebungen. Zudem wird die Administration auf mehreren Ebenen an kleine Benutzergruppen delegiert, um zu mächtige Stellvertreter-Rollen zu vermeiden. Dies macht auch Genehmigungsprozesse überflüssig. Strikte Vorgaben im System dienen der langfristigen Auditierbarkeit und somit als Grundlage für detaillierte Compliance-Prüfungen. Durch Statusänderung auf "archiviert" kann dabei die Sichtbarkeit von Einträgen sehr stark eingeschränkt werden, um trotz der langfristigen Speicherung von Benutzerdaten (z.B. wg. GOB/GdPdU) ausreichenden Datenschutz (DSGVO) zu gewährleisten. about this event: https://talks.mrmcd.net/2019/talk/VU7SC8/
Moderne Kryptografie in drahtlosen Netzwerken (GSM, UMTS, LTE, WIMAX, TETRA, WIFI) (mrmcd19)
Was ist moderne Kryptografie, Wie arbeiten Kryptologen heute, Wie wird was in drahtlosen Netzen chiffriert, ggf. Angriffsmöglichkeiten & Tipps für sichere mobile Kommunikation Von security zu obscurity zu open-source cryptography nach dem kerckhoffschen Prinzip anhand von KASUMI, Zero Knowlegde und Challenge Response Verfahren. Kryptologen = Alchimisten der Moderne oder rationale Wissenschaftler. Vom GMS zu 5G wie siocher sind mobile Netze wo liegen die Schwachstellen (SS7 Protokoll warum das so ein großes Ding ist) Welche Daten werden wann wie wie verschlüsselt. Sichere Ende zu Ende Verschlüsselung mit OTR und ZRTG about this event: https://talks.mrmcd.net/2019/talk/J8LDXK/
Gesellschaftsspiel DSGVO (mrmcd19)
Die DSGVO sucht Mitspieler! Wir erklären euch die Spielregeln: wie man Anfragen richtig stellt, die Datenschutzbeauftragten einschaltet und eine Klage einreicht. Dazu haben die Spielmeister schon Punkte gesammelt mit über 100 *Artikel-15* Anfragen, 10 *Artikel-77*Beschwerden und 4 *Artikel-79-Klagen* eingereicht. Um euch das Leben leichter zu machen, haben wir einen Workflow und ein Tool, um Anfragen zu generieren erstellt und zeigen euch, wie ihr mit den Gegenspielern umgeht, was ihr gegen Cheater tut, und wie ihr das Spiel gewinnt. Spieler 1 (Andreas Diehl) ist Informatiker, Datenschützer aus Leidenschaft, und betreibt selbst eine kleine IT-Firma. Spielerin 2 (Ramona Weik) ist Juristin, forscht auf dem Gebiet der Auslegung der DSGVO und der Teilautomatisierung der Anfragen Wir würden gerne einem breiteren Publikum zeigen, wie man mit nicht oder falsch erfüllten DSGVO-Anfragen zu Auskunft und Löschung umgeht, wie man sich die Hilfe von Datenschutzbeauftragten verschafft und was man schreiben muss, um das ganze notfalls gerichtlich durchzusetzen. Dazu können wir viele Beispiele anhand von unseren Anfragen und zum Teil auch Gerichtsverfahren liefern (und auch zeigen, wie man den Gerichten erklärt, wie sie die DSGVO auszulegen haben). Tool zum Stellen von Anfragen: [HDGDLDSGVO](https://adiehl.github.io/dsgvo) ([source](https://github.com/adiehl/hdgdldsgvo)) about this event: https://talks.mrmcd.net/2019/talk/QRUYMX/
Achieving a decentralised yet central backbone with AS64475 (mrmcd19)
Bei Freifunk Frankfurt hat sich in den letzten Jahren einiges getan: Statt unser Netz nur über gemietete Server zu verbinden, haben wir jetzt eigene Hardware in mehreren Rechenzentren und ein Autonomes System, mit dem wir direkt an die zentralen Punkte des Internets angebunden sind. Den Weg dahin und unsere Ideen für die Zukunft wollen wir euch hier vorstellen. about this event: https://talks.mrmcd.net/2019/talk/RZPYCL/
Haus (mrmcd19)
Closing about this event: https://talks.mrmcd.net/2019/talk/ZLX8NW/
Politik und OpenSource "Brettspiele" (mrmcd19)
Ein kleiner Überblick warum (meiner Meinung nach) OpenSource Hardware bei weitem nicht so weit verbreitet ist wie OpenSource Software. Kaum hat mein ein elektronisches Gerät/eine Platine entwickelt, kommt man "natürlich" auf die Idee das Ergebnis zu Teilen. Bei Hardware ist das aus organisatorischen und regulatorischen Gründen jedoch deutlich schwieriger verglichen mit Software. Diese möchte ich gerne Anreißen und Diskutieren. about this event: https://talks.mrmcd.net/2019/talk/KWEAX7/
Wie Hackback mit der Gesellschaft spielt (mrmcd19)
Hackback-Quartett spielt doch heutzutage jedes hippe Cyberland mit^^gegeneinander. Die größten Auswirkungen auf KRITIS und die Ethik gewinnen! Oder warum wir eine defensive Cybersicherheitsstrategie im Bevölkerungsgesellschaftsspielfeld haben wollen… Die Würfel im Cyberquartett „IT-Sicherheitsgesetz“ sind gefallen: neun! So viele Sektoren gibt es als kritische Infrastrukturen im Cyberquartett. Darunter fallen Energieversorgung, Finanz- und Versicherungswesen, Wasser, Ernährung, Gesundheit, IT und TK, Transport und Verkehr. Spielt ein Land den Hackback-Joker aus, erleidet der andere Spieler einen Versorgungsausfall, der zu einem Großlagebild oder sogar zu einer Krise führen kann, in der die Versorgung eines großen Teils der Gesellschaft(sspieler) nicht mehr gewährleistet werden könnte. Setzten einige Staaten alles auf eine Karte durch offensive Cyberwar- und Hackback-Vorgehensweisen als auch mittels hybrider Kriegsführung? Droht dann der Spielverlust und warum bedeutet das dann für die Bevölkerung „Gehe direkt ins Gefängnis, gehe nicht über Los, ziehe keine 4.000,- € ein“? Warum kann es bei allen vier Bahnhöfen und dem Elektrizitäts- und Wasserwerk zu physischen IT-Störungen und Ausfällen kommen? Welche Spielregeln sind im Cybermonopoly aufzustellen, um von offensiven zurück zu defensiven Besitzrechten zurück zu kommen. Und wieso liegt darin eigentlich der einzig wahre Spielsieg für die Bevölkerung? Mögen die Spiele beginnen… about this event: https://talks.mrmcd.net/2019/talk/CNRWVN/
RC-Cars in XXXL (mrmcd19)
Ein kurzer Überblick über die Möglichkeiten (und Grenzen) der Digitalisierung in der Landwirtschaft, was OpenSource dazu beitragen kann am Beispiel von automatischen Lenksystemen und was noch alles fehlt. Neben einer kurzen allgemeinen Übersicht was im Bereich Digitalisierung in der Landwirtschaft alles schon existiert möchte ich auf OpenSource Projekte eingehen, insbesondere AgOpenGPS und verwandte Projekte, die einen Trecker (fast) autonom arbeiten lassen. about this event: https://talks.mrmcd.net/2019/talk/9ZYWEB/
Kommunikation 1000 bis Kommunikation 2000 (mrmcd19)
Der Austausch von Informationen ist so alt wie die Menschheit selbst. Doch Kommunikation ist Veränderungen unterworfen und hat vom Hohen Mittelalter bis in unsere Zeit eine gewaltige Entwicklung erfahren. Der Austausch von Informationen ist so alt wie die Menschheit selbst. Doch Kommunikation ist Veränderungen unterworfen und hat vom Hohen Mittelalter bis in unsere Zeit eine gewaltige Entwicklung erfahren. Um die einmalige Dynamik der Gegenwart einordnen zu können, lenken wir den Blick zunächst zurück in eine Zeit, als das Schreiben nur wenigen gebildeten Menschen vorbehalten war und Bücher noch handschriftlich vervielfältigt werden mussten. Erst mit dem Buchdruck, 1454 der größte Meilenstein des vergangenen Jahrtausends, konnten Bücher schneller, günstiger und in größerer Auflage hergestellt werden. Der Buchdruck beschleunigte gelehrte Dispute und trug ganz erheblich zur Reformation bei, die wiederum die geistliche und politische Welt veränderte. Neben die Kommunikation eines Einzelnen mit einem Einzelnen trat die Übermittlung von Informationen an ein größeres Publikum. Dieses Jahrhunderte bestehende System erfuhr mit der industriellen Revolution einen erneuten Schub. Nachrichten gelangten durch kabelgebundene oder drahtlose Kommunikation schnell über alle Erdteile, moderne Druckverfahren verbilligten die Erzeugnisse zur Massenware. Doch erst mit der in den 1980er Jahren beginnenden Computertechnologie kann man von einem neuen Kommunikationszeitalter sprechen. Alle können nunmehr jederzeit miteinander in Verbindung treten – schnell, unmittelbar, ohne räumliche Beschränkung und seit der Jahrtausendwende sogar mobil. Der Blick in die Vergangenheit soll verdeutlichen, wie rasend schnell sich die moderne Kommunikationstechnik entwickelt und welche ungeahnten Möglichkeiten sie mit sich bringt. about this event: https://talks.mrmcd.net/2019/talk/YMXYW8/
Hacking Magic (the Gathering) (mrmcd19)
Eine nicht vollständige Untersuchung, an welchen Stellen in Magic the Gathering die krassesten Combos lauern. Grundregelkenntnisse werden im Vortrag vorausgesetzt. Magic the Gathering hat als Spielprinzip, die eigenen Regeln zu brechen oder wenigsten soweit auszunutzen, wie es geht. In dem Talk werden wir uns die Kernmechaniken des Spiel angucken, untersuchen, wo man welche Regeln am besten brechen und ausnutzen kann. Der Talk wird einiges an kurzweiligen Anekdoten aus der Magic Geschichte enthalten. about this event: https://talks.mrmcd.net/2019/talk/ZS39EP/
Alles (Daten-)Panne? (mrmcd19)
In diesem Talk wird auf die Regeln der Datenschutz-Grundverordnung bei vermuteten oder bestätigten Datenpannen anhand von Beispielen eingegangen. about this event: https://talks.mrmcd.net/2019/talk/EWJC83/
Let’s Get Physical – Eine Einführung in physische Penetrationstests (mrmcd19)
Physische Penetrationstests, auch Physical Security Assessments oder Realtests, die oft im Rahmen eines Red Teamings durchgeführt werden, kombinieren althergebrachte Methoden und Werkzeuge von Spionen und Einbrechern mit modernen Hacking-Tools. Dieser Talk stellt einige dieser Techniken und Werkzeuge vor und zeigt anhand von Praxisbeispielen, worauf es bei der Planung, Vorbereitung und Durchführung ankommt. about this event: https://talks.mrmcd.net/2019/talk/UY7EUS/
Cheating AI - Wenn Menschen die KI hacken (mrmcd19)
Na Computer, weißt du, was du da siehst und hörst? Ne, falsch. Reingelegt! KI-Systeme können inzwischen viele Dinge beeindruckend gut. Wie es zu erwarten war haben Menschen inzwischen ebenso beeindruckende und besonders kreative, aber vor allem effektive Wege entwickelt diese Systeme auszutricksen. Dank Maschinellem Lernen werden Computer heute für viele Aufgaben eingesetzt, die Menschen auf Dauer zu langweilig fänden, die Menschen nicht gut können und bei denen es zu teuer oder zu langsam wäre, sie von Menschen erledigen zu lassen. Zu diesen Aufgaben gehört das Erkennen von Objekten in Bildern, das Transkribieren von Sprache, das automatische Abgleichen von Gesichtern und das Übersetzen von großen Textmengen. Alle diese Aufgaben haben gemeinsam, dass sie nicht mit ein paar verschachtelten Bedingungen zu lösen sind. Stattdessen wird der Computer in irgendeiner Form trainiert -- er lernt die Aufgabe zu bewältigen. Dabei entstehen Systeme, die sehr gut sind in dem was sie tun, aber nicht erklären können wie sie Entscheidungen treffen oder zu ihren Ergebnissen kommen. Das birgt Risiken (bzw. je nach Perspektive auch Chancen), dass Menschen "falsch spielen" und den Computer später an der Nase herumführen. Welche Systeme das zum Beispiel sind, was sie können, wie man sie austricksen kann und warum Menschen das tun, gewürzt mit einer gehörigen Portion Humor wollen wir euch anekdotisch erzählen. about this event: https://talks.mrmcd.net/2019/talk/VHBPEX/
Playing with Bluetooth (mrmcd19)
Rolling out patches for Bluetooth firmware is hard for vendors, but it is a lot of fun if you can do it yourself! Current state of our Bluetooth hacking projects related to InternalBlue and Nexmon. We will tell you more about some details, but in an entertaining way. We almost won a code staring contest, because we did not use the right terms to search for leaked source code and hidden symbols. We spent hundreds of Euros on a new smartphone just to see that it announces another firmware version than what is actually inside—and to confirm that the vendor knew about a vulnerability we believed to be undiscovered. We enthusiastically bought the new Raspberry Pi 4, which was announced to have Bluetooth 5.0, but in fact has the same chip as the Raspberry Pi 3+. about this event: https://talks.mrmcd.net/2019/talk/AQQDEL/
Trivial UX - Does my unicorn have the perfect UI? (mrmcd19)
Usability and User eXperience are not always part of development processes. Usability tests can be done for both software and products in general. I would like to give a short overview of how usability tests work and what you can do to improve usability and user experience. I will demonstrate usability tests using the example of my unicorn. In a second step I will provide examples of web pages. I would like to include the audience into this talk (comments, answering questions and so on). So if you do not want to be asked, just take a seat somewhere. If you would like to participate, think about taking a seat in one of the rows closer to me, so that I will understand your comments a little bit better. about this event: https://talks.mrmcd.net/2019/talk/3ZXCFX/
Bahn API Chaos - jetzt international (mrmcd19)
Ein Überblick über das HAFAS und die Datengrundlage. Wie sieht die Datenlage international aus? Was weiß die ÖBB über Deutsche Fahrten. Was weiß die DB? Passt das zusammen? Nach dem Überblick über reine DB APIs auf der GPN19 (https://media.ccc.de/v/gpn19-67-bahn-api-chaos) diesmal ein Überblick über das HAFAS. Die Fahrplanauskunft der DB und vieler anderer Verkehrsbetriebe. Wie sieht die Datenlage aus? Was weiß die ÖBB über die DB und andere regionale Verkehrsbetriebe? about this event: https://talks.mrmcd.net/2019/talk/P3SLQX/
Certificate Pinning For The Rest Of Us (mrmcd19)
A talk about the utterly broken chain of trust of SSL/TLS certificates and certificate pinning in the browser as a means to take back control. Web browser developers have been betrayed by the SSL/TLS chain of trust more than once in the past. As a result they are now pinning their own certificates which means that they only trust a particular issuer. This talk gives an overview how the chain of trust works, of potential attack vectors, presents remedies that were tried and explains why they were largely unsuccessful. Finally a solution is presented how the rest of us can also regain control with a Firefox plugin that pins certificates of our choosing and warns when nasty things happen. about this event: https://talks.mrmcd.net/2019/talk/H8XDK8/
Feeling at Home in Tech (mrmcd19)
The Google Memo was not the first and will not be the last sexism discussion in tech. And the problems do not end there. Tech has a diversity problem, and discussions about inclusion, welcoming culture, toxic behaviour, discrimination and the reasons why people are leaving the field can and should not be ignored. This talk asks why people do not feel at home in tech, examines why it is so important that they do, discusses requirements for improvement, and suggests some first steps we can all take to change this. Come by and hear why a summer coding camp for school girls might be a good thing, but not the answer to our problems. The Pay Gap, the Pipeline Problem, and the Glass Ceiling have been discussed, in society as a whole, as well as in the tech industry for years. Every now and then, a scandal fires up the discussions ageing, adds new facettes, or gives focus to another group of people. However, inbetween there is a constant flow of reports and anecdotes of those people that do not feel as at home in tech as they want to. Not everyone interested in the subject matter finds their place -- and it is not a matter of lack of tasks, or versatility of the field. And it is also not a matter of isolated incidents. Across its spectrum and locations tech has a diversity problem: Those already underrepresented leave the field. Why is it that so many do not feel welcome here? How come tolerance can lead to exclusion? Why does not everybody have the same chance of success? And why do we definitely need to change that? Inclusion and diversity are not a matter of "nice-to-have". They are a basis of success. It is time for excuses to stop and for everyone in the field to do their part. This is not an instruction manual to make everything better. But maybe it is food for thought and an inspiration for what can be done. about this event: https://talks.mrmcd.net/2019/talk/REX9YH/
Meine Zeit im Recurse Center (mrmcd19)
Das [Recurse Center](https://recurse.com) ist laut Selbstbeschreibung "a self-directed, community-driven educational retreat for programmers in New York City". Ich habe dort im Frühjahr drei Monate verbracht, und möchte euch von meinen Erfahrungen erzählen. Das Recurse Center versteht sich als laufendes Experiment, wie man eine gesunde, diverse, und integrative Community baut und aufrecht erhält. Über die Jahre sind dort viele Strukturen und Traditionen entstanden, die mir sehr gefallen haben, wie das wöchentliche *feelings check-in*, oder der *coffee chat bot*, der zu einer schnellen Vernetzung innerhalb der Community beiträgt. Viele Ideen halte ich für übertragbar auf andere Communities. Es gibt vier einfache soziale Regeln, die zu einem respektvollen Miteinander beitragen, und zu einer Umgebung, in der sich die Leute voll darauf konzentrieren können, voneinander zu lernen. Und was inhaltlich dort passiert, ist vollständig von den Teilnehmenden gestaltet – in sie wird das Vertrauen gesetzt, selbst am besten zu wissen, wie sie ihre Zeit dort strukturieren wollen, ganz im Sinne der Unschooling-Bewegung. Dies wird ein sehr persönlicher Vortrag, in dem ich sowohl von dem Rahmen erzählen möchte, als auch von den Menschen, die ich dort kennen lernen durfte, und schließlich auch davon, was ich inhaltlich dort so gemacht habe. about this event: https://talks.mrmcd.net/2019/talk/ARZGCP/
Security für euren Körper - multiresistente Keime (mrmcd19)
Dieser Vortrag richtet sich an Lebewesen, die Keime in und auf sich tragen - ja, auch du hast ein Mikrobiom! ;) Ich spreche einsteigerfreundlich über die Themen: - was sind Bakterien und was machen die eigentlich so? - wie entstehen und funktionieren Resistenzen? - was sind multiresistente Keime? wo kommen sie vor? warum breiten sie sich aus? - worauf kann ich persönlich achten? wie desinfiziere ich richtig meine Hände? - das neue Antivir - mit Bakteriophagen gegen die Superbugs (30 Tage Testversion wird beim Vortrag verteilt) wenn ich fertig bin, könnt ihr euch mit der Security für eure Körper befassen. (no pentests please) about this event: https://talks.mrmcd.net/2019/talk/YR7FHB/
Unehrliche Rhetorik (mrmcd19)
Scheinargumente, kognitive Verzerrungen und verbale Taschenspielertricks erkennen und entkräften. Nicht jede sachliche Diskussion wird von allen Teilnehmern auch sachlich geführt. Manche Leute wollen einfach nur ihren Standpunkt durchsetzen, egal welche sachlichen Argumente dem entgegenstehen. Dazu benutzen Sie „unehrliche“ rhetorische Techniken, die mittels verschiedener verbaler und psychologischer Tricks die Gegner und Gegenargumente als falsch oder lächerlich darzustellen versuchen. Gerade in Talkshows mit Politikern oder bei Meetings mit hochrangigen Managern werden solche Techniken oft eingesetzt. Dieser Workshop zeigt einige dieser Techniken auf, wie man sie erkennt und wie man sich gegen sie wehren kann. Basierend auf Schoppenhauers *„38 Kunstgriffe - Die Kunst, Recht zu behalten“.* about this event: https://talks.mrmcd.net/2019/talk/KMYUJM/
Über Bruteforce Protection und warum das gar nicht so leicht ist (mrmcd19)
Bruteforce Angriffe - also Angriffe durch Ausprobieren aller möglicher Passwörter - sind so alt wie Passwörter selbst. Seit Systeme über das Internet erreichbar wurden, haben diese Angriffe an Relevanz gewonnen. Doch obwohl die Idee des Angriffs simpel und altbekannt ist, gibt es in der Praxis kaum Verfahren zur Abwehr dieser Angriffe, die nicht neue Probleme mit sich bringen. In meinem Vortrag möchte ich die gängigen Verfahren beleuchten, aufzeigen welche Probleme sie mit sich bringen und schließlich auch eine Lösung vorstellen, die es besser macht. Im Vortrag zeige ich verschiedene Ansätze wie Bruteforce Protection in der Praxis gehandhabt wird, und dass sie fast alle ein zentrales Problem ignorieren - sie ermöglichen einen Denial of Service Angriff. Schließlich stelle ich das Verfahren der Bruteforce Protection via Device Cookies vom Open Web Application Security Project (OWASP) vor, das bisher der einzige praktikable Ansatz zu sein scheint. Abschließend gibt es noch ein Ausblick über Zwei-Faktor-Authentifizierung zu WebAuthn um zu zeigen, dass es auch andere Lösungsansätze gibt die sich mit der Problematik von Passwörtern allgemein befassen und eine Zusammenfassung mit Hinweisen für Anwendungsentwickler\*innen und Nutzer\*innen. about this event: https://talks.mrmcd.net/2019/talk/PMPV9P/
Challenge : BLOB FREE : mainline open source software on a single board computer (sbc, arm64, foss, efi) (mrmcd19)
Dondon teilt seine Erfahrungen mit dem SBC und geht im Vortrag auf die Erstellung eines Debian-Systems mit mainline Kernel und mainline u-boot ein. Der Bootvorgang wird ausführlich erläutert. Es soll eine Diskussion entstehen inwieweit bereits proproietäre Systeme und Binary-Blobs ausgeschlossen werden konnten und künftig möglichst vollständig substituiert werden können. Dondon shares his expirience with a SBC (single board computer) and speaks about the installation of a pure debian system with mainline kernel und mainline u-boot. The booting sequence will be described in detail. The presentation will be followed by a discussion propritary systems and binary blobs can be eliminated and replaced with opensource software and hardware in the future. about this event: https://talks.mrmcd.net/2019/talk/BTUCFG/
Gala der digitalen Zivilgesellschaft (15np)
Am Abend gibt es zum 15. Geburtstag von netzpolitik.org eine Gala in der Volksbühne, bei der die digitale Zivilgesellschaft insgesamt gefeiert werden soll. In den vergangenen 15 Jahren sind zahlreiche Initiativen und Organisationen im Umfeld von netzpolitik.org gegründet worden und gewachsen. Viele davon erhalten zu wenig Aufmerksamkeit für ihre tolle und wichtige Arbeit. Das wollen wir an dem Abend ändern und über ein Dutzend Projekte und ihre Macher:innen vorstellen, dazu gibt es einige künstlerische Interventionen auf der Hauptbühne der Volksbühne. Wir wollen aber auch etwas humoristisch auf 15 Jahre netzpolitik.org zurückschauen. Und Kuchen essen. Und danach anstoßen. Auch deswegen öffnen wir die Volksbühne ab 19:30. Ab dann ist der Eintritt frei. Komm vorbei und feiere mit uns. about this event: https://c3voc.de
15 Jahre Netzpolitik (15np)
In seinem Eröffnungsvortrag 15 Jahre Netzpolitik wird unser Gründer Markus Beckedahl einen persönlichen, aber auch politischen Blick auf die Geschichte unseres Blogs werfen, die eng verwoben ist mit der Entwicklung des Politikfeldes in Deutschland. about this event: https://c3voc.de
Ein Jahr neue Polizeigesetze – und nun? (15np)
Vor einem Jahr hat Bayern einen bundesweiten Aufschrei ausgelöst, Grund war das neue Polizeigesetz. Seitdem darf die Polizei im Freistaat Menschen unendlich lange in Präventivhaft nehmen. Es folgten neue Polizeigesetze in weiteren Bundesländer. Der Talk gibt einen Überblick zu neuen polizeilichen Befugnissen und gegen wen sie angewendet werden. about this event: https://c3voc.de
Game over? Warum wir Nachhaltigkeit und Digitalisierung zusammen denken müssen (15np)
Die industrielle Revolution hat der Menschheit unglaublichen materiellen Wohlstand verschafft. Zumindest einem wachsenden Teil. Sie hat uns auch unglaubliche ökologische Probleme verschafft. Deren Umfang wird gerade erst wirklich erlebbar. Gleichzeitig entfaltet sich die digitale Revolution. Was läge also näher, diese neuen Möglichkeiten zur Lösung dieser Probleme einzusetzen? Und dafür zu sorgen, dass alle Menschen daran teilhaben? Was steht dieser Vision im Weg - und wo zeigen sich die Potentiale? about this event: https://c3voc.de
Bedrohungen für Aktivist:innen weltweit (15np)
Weltweit gehen Aktivist*innen für einen wirkungsvollen Umweltschutz, bessere Löhne oder für eine funktionierende Demokratie auf die Straße. Mit Ihren kreativen und oft lauten Protesten möchten sie gegen Missstände in der Politik hinweisen und Druck für eine Veränderung erzeugen. Volker Gaßner zeigt in seinem Vortrag, wie die Politik, aber auch große Konzerne, den ungewünschten Protest bekämpfen und Aktivist*innen systematisch verfolgen und ihnen ihre Freiheit nehmen. In den letzten Jahren wird es selbst für große NGOs auch in Deutschland immer schwieriger, aktiv zu werden. Die Gemeinnützigkeit vieler Organisationen wird von einigen Politiker*innen immer häufiger öffentlich infrage gestellt, dabei ist ein kreativer und vielfältiger Aktivismus Teil einer gelebten und echten Demokratie. Politik und Konzerne müssen diesen nicht nur aushalten, sondern sollten ihn fördern. Zugegeben, die Kampagnen der NGOs nerven die Mächtigen der Welt, diese sollten ihn aber ertragen, denn er macht ihre Politik besser. about this event: https://c3voc.de
Logbuch-Netzpolitik (Live-Podcast) (15np)
Logbuch-Netzpolitik ist der Versuch, das netzpolitische Geschehen im deutschsprachigen Raum weitgehend neutral und unaufgeregt in einem regelmässigen Podcast einzufangen. Der Podcast soll dabei Einblicke in die Themen, aber auch Verständnis für die Hintergründe liefern. about this event: https://c3voc.de
Die Klimashow, die Mut macht. (15np)
Was kann man gegen den Klimawandel allein schon tun? Aufhören, allein zu sein! Unter diesem Motto macht vollehalle Mut und inspiriert das Publikum zum Handeln im eigenen Leben. Präsentiert werden die in Szenen, Bildern und Interviews verpackten Stories von Maren Kling, Michael Bukowski, Martin Oetting und Kai Schächtele – sie stellen Macherinnen und Pioniere vor, also Heldinnen und Helden, die beim Klimaschutz erfolgreich neue Wege gehen. Statt Frust an der Klimakrise macht die Show Lust auf den konstruktiven Aufbruch. vollehalle ist für alle, die sich nicht mehr klimawandeln lassen wollen. about this event: https://c3voc.de
Let's not play dice - what scuba diving and IT security have in common (mrmcd19)
There are certain situation in life where it is – mildly speaking – very brave to trust your luck. Scuba diving and hacking certainly are among these. In this talk you will realize that these two things actually have a lot in common. You approach both worlds in the same way. There are rules to the game. But in both worlds you will not just blindly follow the instructions. You need your common sense. There is planing before a dive known as the briefing, there is a design phase of your system and software. In both cases you consider your next moves on the board. Constantly thinking: What shall happen? What can go wrong? What is the backup plan? While you are on the way and the game is going, you do your monitoring. You check for patches, you check for uptime, you take a close look at your pressure gauge and your dive computer. A scuba diver understands the need for integrity, for availability and the concept of risk management. For this talk I would like to compare some of the analysis and checking that both worlds have in common and invite you to see why both games are fairly worth to be played. about this event: https://talks.mrmcd.net/2019/talk/HTV33M/
Wikimedia Salon: T=Technophilie. Wird Technik zum Allheilmittel der Politik? (15np)
Uploadfilter statt Entscheidung durch Menschen, Hintertüren für Messenger zur Umgehung von Verschlüsselung oder Überwachung mit Gesichtserkennung: Immer neue Vorstöße zeigen, dass die Politik verstärkt auf Technologien zur Lösung politischer Probleme setzt. Die Sorge: Kontrolle wird dadurch skalierbar, Freiheitsrechte werden ausgehöhlt. Wie beeinflusst diese Entwicklung die Machtverhältnisse zwischen Individuum, Plattformen und Politik und was bedeutet sie für die Zukunft des freien Netzes? about this event: https://c3voc.de