PLAY PODCASTS
Chaos Computer Club - archive feed

Chaos Computer Club - archive feed

14,494 episodes — Page 144 of 290

schleuderpackung 2.0 (camp2019)

Technischer Überblick zum Build-Prozess der Datenschleuder. Vom LaTeX-Backend (schleuderpackung) über Continous Integration (Zentrifuge) zum PDF, Epub und HTML-Auszügen. Seit der Reanimation der Datenschleuder sind bisher drei Ausgaben erschienen. In dieser Zeit hat sich der technische Prozess deutlich professionalisiert. Der Vortrag gibt einen kurzen Überblick über die Redaktionsarbeit und fokussiert sich anschließend auf die TeXnische Umsetzung inklusive des Buildsystems und der unterschiedlichen Ausgabemodi (PDF/ePUB/HTML). Die Anwendung auf allgemeinere Zeitschriftenprojekte wird am Beispiel des Forks einer Schülerzeitung gezeigt und mit dem geplanten Release zum Camp bietet sich damit die Möglichkeit der Nutzung für eigene Zeitschriftenprojekte. Darüber hinaus liefert der Vortrag durch die Struktur der Schleuderpackung einen Einblick in aktuelle Entwicklungen aus dem LaTeX-Umfeld, wie expl3 Programmierung, die Lua Kopplung und die weitere Planung in Richtung Barrierefreiheit. about this event: https://fahrplan.events.ccc.de/camp/2019/Fahrplan/events/10223.html

Aug 23, 201939 min

Cyborg Foundation (camp2019)

Presentation of the Cyborg Foundation, its philosophy, members and developed projects. Based in Barcelona and founded in 2017, CFL is an association that gives voice to non-human identities. The world around us is full of things that our body is not able to perceive. However, what would happen if we could create new senses that would allow us to decide how we want to perceive our surroundings? Supported by a multidisciplinary team, we conform a group of engineers, philosophers, designers and artists dedicated to exploring the relationship between species, machines and organs. With an eye on nature and analyzing the different senses found on living beings, our purpose is the creation of new sense organs to expand human capabilities. Our team is focused on translating the suggested idea to a hardware/software device, that will not only process data but also transmit it to the body through the brain. In the course of becoming cyborg, different phases are found: the creation of the organ, the implantation of it and the acclimatization of the brain and body to the new sense. The brain is a plastic organ that can be moulded. Just like Neil Harbisson says “The brain is like a sculpture to be shaped”. By now, considerable results have been obtained. We will take a closer look at it by introducing the several members whose organs have been already implanted, how this has affected their life and way of interact with the physical world. We will, as well, explain the different senses and its design. Just for a quick view we will talk about: Neil Harbisson - Eyeborg. Color sense antenna. Moon Ribas - Seismic sense Manel Muñoz - Weather station Kai Landre - Cosmic rays In addition, we have the satisfaction of announcing that the CCC will be the first to know about the pioneering technology that we are developing to power the devices. about this event: https://fahrplan.events.ccc.de/camp/2019/Fahrplan/events/10312.html

Aug 23, 201927 min

Freak Show (camp2019)

Der Freak Show Podcast live on stage Ausgabe FS239 von der Freak Show. https://freakshow.fm about this event: http://talx.thm.cloud/thms/talk/ULS83P/

Aug 23, 20191h 42m

Technopolice: calling out so-called "Safe Cities" (camp2019)

In many French cities (and beyond), mayors are pushing towards "safe Smart Cities", pushing for technology everywhere. Microphones, video-surveillance, automated drones, facial recognition, machine learning is the recipe of their fantasised secure city. This talk will introduce Technopolice, the new campaign from La Quadrature du Net, its goals, its tools, and the way we will make it happen. All over the French territory, the “Smart City” is slowly revealing its true colours: a complete and constant surveillance of the urban area for police purposes, based on partnerships between industrial companies such as Thalès or Engie and the cities themselves.</br> Multiple cities are experimenting "smart" videosurveillance based on automated treatment of videos, in order to make face recognition or detecting behaviours deemed to be abnormal. Another city is teaming up with a start-up to deploy microphones and drones in the city. The idea is to detect so-called abnormal sounds to alert the police, which can then use video-surveillance to check if a patrol is needed or not. The city of Nice wants to have its own custom citizen reporting application. Marseille wants to use AI and Big Data to predict behaviours and to help in decision making.</br> This is what they want our future to be: a huge automated surveillance system, with behaviour analysis, emotion recognition, pre-emption of threats, automation of the police, repression of any unwanted behaviour.</br> This comes at a huge cost: instead of the <i> polis </i>, which means Democratic City, a place to stroll around, to meet and gather, we will have a dehumanised, unwanted place, a place to experiment the most advanced forms of social control: there is no such as surveilling just "to look", our behaviours are modified just by knowing we are being surveilled. Not to mention the financial and experimental cost of such an architecture.</br> In this talk, I will detail the "Technopolice" campaign, its importance for every single human being willing to protect their freedom of movement and right to exist without being constantly subjected to surveillance. I'll explain the importance of decentralising such a campaign, and how we will try to federate the data and the organisations around this project.</br> about this event: https://fahrplan.events.ccc.de/camp/2019/Fahrplan/events/10329.html

Aug 23, 201939 min

Ethikrichtlinien für Künstliche Intelligenz? Wie wär's mit Gesetzen? (camp2019)

Bisweilen kann man sich des Eindrucks nicht erwehren, jede zweite Woche würde eine neue, wachsweiche Selbstverpflichtung für den ethischen Einsatz von Algorithmen bekanntgegeben. Privatwirtschaftliche wie öffentliche Organisationen übertrumpfen sich geradezu dabei zu betonen, dass der Mensch bei allen maschinellen Entscheidungen im Mittelpunkt stehen soll und dass diese transparent sein müssen. Aber was bringt einem das Wissen um benachteiligende oder falsche Funktionsweise der Algorithmen, wenn man sie dennoch nicht verbieten kann? Und: sollten wir die Regeln für den zukünftigen Einsatz von Maschinen wirklich von den Konzernen gestalten lassen, die diese Technologien entwickeln? Wir zeigen, wie wenig konkret die verschiedenen Selbstverpflichtungen der Unternehmen, Verbände und Organisationen sind und wie all das Reden über Ethik in den meisten Fällen einem Ziel dient: gesetzliche Regulierung verhindern. Bisweilen kann man sich des Eindrucks nicht erwehren, jede zweite Woche würde eine neue, wachsweiche Selbstverpflichtung oder Empfehlung für den ethischen Einsatz von Algorithmen bekanntgegeben. Privatwirtschaftliche wie öffentliche Organisationen übertrumpfen sich geradezu dabei, ein weiteres Mal zu betonen, dass der Mensch bei allen maschinellen Entscheidungen im Mittelpunkt stehen soll, dass sie fair und nachvollziehbar sein müssen und es stets die Möglichkeit zum Widerspruch gegen eine solche Entscheidung geben muss. Transparenz, Transparenz und nochmals Transparenz sei das Maß aller Dinge. Aber was heißt das konkret für diejenigen, die nur noch per Gesichtserkennung in ihr Büro oder Wohnung reinkommen, deren Kredit, Wohnungs- oder Arbeitsgesuch abgelehnt wird oder sie vom Jobcenter keine Förderung bekommen dank einem Algorithmus? Was bringt einem das Wissen um benachteiligende oder falsche Funktionsweise der Algorithmen, wenn man sie dennoch nicht verbieten kann? Welchen Sinn hat das Recht darauf, sich a posteriori wehren zu dürfen, wenn man bereits alles verloren hat? Und: sollten wir die Regeln für den zukünftigen Einsatz von Maschinen wirklich von den Konzernen gestalten lassen, die diese Technologien entwickeln? Ethikforscher, die sich für Selbstregulierung einsetzen, verschweigen oft, dass ihre Einrichtungen von Techfirmen finanziert werden. Selbst die neuen Ethischen Richtlinien der EU sind von Google, IBM, Facebook und Zalando mitgeschrieben worden. Wir zeigen, wie wenig konkret die verschiedenen Selbstverpflichtungen der Unternehmen, Verbände und Organisationen sind und wie all das Reden über Ethik in den meisten Fällen einem Ziel dient: gesetzliche Regulierung verhindern. about this event: https://fahrplan.events.ccc.de/camp/2019/Fahrplan/events/10231.html

Aug 23, 201950 min

Chaosradio 254 (camp2019)

<p>Chaosradio 254 live von der THM-Stage auf dem Chaos Communication Congress 2019. Die erste Folge nach der Pause! Anlässlich des Camps heißt Marcus Richter interessante Gäste aus dem Chaosumfeld willkommen, die ihre Projekte präsentieren. Gestreamt wird natürlich live und in Farbe!</p> about this event: http://talx.thm.cloud/thms/talk/FMQ3UN/

Aug 23, 20191h 31m

Solare Brennstoffe - Wasserstoff aus Sonnenlicht (camp2019)

Sonnenenergie deckt heute erst etwas über 2% des weltweiten Energiebedarfs durch Umwandlung von Sonnenlicht in elektrische Energie. Eine der Möglichkeiten, um diese zu speichern, ist die Elektrolyse von Wasser, um Wasserstoff zu erhalten. Was aber wäre, wenn man Wasserstoff direkt gewinnen könnte? Eine schnelle Übersicht über Sonnenlicht, das Prinzip hinter Photovoltaischen Solarzeiien, und wie photoelektrochemische Zellen, die flüssiges Wasser in seine Bestandteile Wasserstoff und Sauerstoff spalten können, beide Prozesse miteinander kombinieren können. Die von uns Menschen verantworteten CO2-Emissionen müssen reduziert werden, aber wie? Die Erzeugung von elektrischer Energie aus Sonnenlicht wird mit großer Sicherheit einen signifikanten Beitrag zur Deckung des weltweiten Energiebedarfs liefern. Zuerst sehen wir uns das Spektrum der Sonne an, und wie viel dieser Energie wo auf der Erde ankommt. Wenn dieses Licht auf Atome trifft, wie die Siliziumatome in einer Solarzelle, kann es diese in einen energiereicheren Zustand anregen, aber nur ein Teil des Sonnenlichts hat genug Energie, um diese Anregung zu erreichen. Was für Konsequenzen hat das für die Effizienz von Photovoltaik-Zellen? Jeder kennt die blau-schillernde Silizium Photovoltaikzelle, die Größen von wenigen Quadratzentimeter in einem Taschenrechner über Installationen auf Hausdächern mit einigen Kilowatt bis zu Solarparks, die mehrere Megawatt Spitzenleistung abgeben können. Solarenergie ist vom Tag-Nacht-Zyklus der Erde und von der Jahreszeit abhängig. Um die Energieversorgung auch z.B. im Winter bei geringerer Sonnenintensität decken zu können, muss diese längerfristig gespeichert werden. Verschiedene Strategien sind denkbar, eine davon die Umwandlung in chemische Energie in Form von Wasserstoff durch Elektrolyse von Wasser. Beide Technologien bringen Umwandlungsverluste mit sich und erfordern teilweise teure Metalle und viel Energie bei der Herstellung. Aber es gibt eine Klasse an Halbleiter-Materialien, die, wenn man sie in Wasser eintaucht und mit Sonnenlicht bestrahlt, die Lichtenergie direkt auf das Wasser übertragen, und es in Wasserstoff und Sauerstoff spalten können. Man umgeht die Kopplung von Photovoltaik und Elektrolyse. Viele dieser halbleitenden Materialien sind mit weit weniger Energieaufwand herzustellen als Silizium. Besondere Aufmerksamkeit ist auf häufig vorkommende und damit gut verfügbare Metalle gerichtet. Eisenoxid - Rost, oder Titandioxid - das Pigent aus weißer Wandfarbe, sind zwei Beispiele, die jeder kennt, ihre Superpower aber sehr warscheinlich nicht. Noch sind die Wirkungsgrade gering und marktreife Lösungen noch nicht absehbar. Wenn der Ansatz allerdings erfolgreich ist, könnte dies ein Durchbruch für unsere Energieerzeugung sein, und nebenbei einen Teil des Problems lösen, Energie zu speichern und zu transportieren. about this event: https://fahrplan.events.ccc.de/camp/2019/Fahrplan/events/10377.html

Aug 23, 201941 min

Architecture of secure IoT devices (camp2019)

This talk will present a secure IoT architecture by design, incorporating secure boot (such as HAB of iMx6), secure update processes, system partitioning and redundancy, system recovery, flash wear-out, and secure remote access, This talk will present a secure IoT architecture by design, incorporating secure boot (such as HAB of iMx6), secure update processes, system partitioning and redundancy, system recovery, flash wear-out, and secure remote access, about this event: https://fahrplan.events.ccc.de/camp/2019/Fahrplan/events/10268.html

Aug 23, 201948 min

Climate breakdown – the bleak reality (camp2019)

Heat waves, wildfires and new movements like Fridays for Future and Extinction Rebellion have brought the climate crisis back into the news. However, meaningful political action is still not happening and the world is on track to three to four degrees of warming. Where are we heading and why did humanity fail so badly at tackling the problem? A look at the scientific reality of the climate crisis is dire. Sinking coastal cities with millions of inhabitants, dying coral reefs, and large uninhabitable areas are practically impossible to avoid by now. But that doesn’t even come close to capture the worst outlooks: A runaway climate change where feedback loops accelerate heating [1], without any option for humanity to do anything about it. The end result may very well be a planet largely uninhabitable for humans. Avoiding just the worst of these consequences requires unprecedented political action on a scale that’s not even part of the political discourse yet. The talk will give an overview of the troubling scientific facts. Furthermore I’ll provide some discussion why humanity failed so badly at doing anything about it. This includes undeserved optimism by traditional environmental organizations about international climate diplomacy and the Kyoto and Paris accords, a wrong understanding about relative versus absolute emission reductions and false hopes in technology fixes. With all that dire outlook, it’s important to realize that the difference between “business as usual” and ambitious changes is still huge. A new wave of climate doomsdayers that say it’s too late to do anything may be just as harmful as the climate deniers, because they share the wrong message of doing nothing. [1] https://www.pik-potsdam.de/news/press-releases/planet-at-risk-of-heading-towards-irreversible-201chothouse-earth201d-state?set_language=en about this event: http://talx.thm.cloud/thms/talk/FLXJRA/

Aug 23, 20191h 5m

Power-to-X (camp2019)

This talk will give an introduction into the general concepts of power-to-x and then go more into detail on carbon capture and utilization (CCU). CCU is the idea of building up a closed carbon cycle, where CO2 is recycled, towards fuels and base chemicals, under the use of renewable energy. The talk will give insight in the technology, chemistry, possibilities and challenges. While redesigning our electric supply network towards renewable energies, we face the problem of the fluctuating behavior of the renewables. To solve this, higher nameplate capacities need to be installed, as compared to traditional power plants. This frequently leads to high overcapacities, which we should use, as they would be wasted otherwise. Some of this energy needs to be stored for periods where the energy generation is lower than our consumption. The rest can be used to produce all kinds of things that we need. This would allow a sector coupling of electricity with other fields like transport, heat or chemical industry and lead to more sustainable processes in all those fields. If we see this on a global scale, we can also think of a redistribution of energy not only in time and sector of application, but as well in space. This can be realized, by producing fuels and other energy intensive products in areas of the world with a high potential in the generation of renewable electricity, and transport them to places where they are needed. The technologies that would make this possible are often subsumed as power-to-x technologies. The Wikipedia names twelve different x’s: power-to-ammonia, power-to-chemicals, power-to-fuel, power-to-gas, power-to-heat, power-to-hydrogen, power-to-liquid, power-to-methane, power-to-mobility, power-to-food, power-to-power, and power-to-syngas. In addition, one could still think of many more. I want to give a brief introductive overview on these different approaches and then focus on the technologies, which are using carbon dioxide as a feedstock. Here the idea of power-to-x is combined with the aim of a closed carbon cycle. Emitted CO2 would be recycled to products, like fuels, plastics or fine chemicals. While today these are mainly produced form crude oil, in future they could be implemented in a sustainable process cycle. For these carbon capture and utilization (CCU) concepts, like for example electrolysis of water coupled with a second catalytic CO2 reduction step or direct electrocatalytic CO2-reduction, I will present the technical working principles, the chemistry behind it and discuss possibilities and challenges. about this event: https://fahrplan.events.ccc.de/camp/2019/Fahrplan/events/10295.html

Aug 23, 201947 min

Was ihr schon immer (nicht) über Koffein wissen wolltet (camp2019)

Koffein als Substanz wird Tag für Tag aufgrund seiner anregenden Wirkung von vielen Menschen konsumiert, doch was genau steckt eigentlich hinter dieser Substanz? In diesem Talk blicken wir in die Chemie, Herkunft, Wirkung, Gefahren und weitere Aspekte des Koffeins. Koffein, ein Stoff, den viele (hackende) Menschen tagtäglich in unterschiedlichen Formen konsumieren. Was genau ist diese Substanz eigentlich und wo kommt sie überall vor? Was passiert mit Koffein und mit uns, wenn dieses Molekül durch unseren Körper reist? Und kann Koffein ab einer bestimmten Menge gefährlich werden? Diese und weitere Fragen werden zusammen mit vielem, was Wissenswertes zur Chemie von Koffein existiert, hier thematisiert. about this event: https://fahrplan.events.ccc.de/camp/2019/Fahrplan/events/10232.html

Aug 23, 201936 min

Love, CyBorgs, Art and Open Source – an artistic approach on how to stay golden (camp2019)

Here we are, a new generation. Actually not only that, we are moving forward in evolution. The Antropocene is screaming for action, but - „Yeah right, I know... we‘re working on it!“ she told me. Does Sophia really know? Do I care? 42? In some people‘s minds, utopian thoughts are blizzering around in thunderstorms of beautiful insanity, yet unfortunately some others‘ minds seem to be hopeless cases if it comes to the essential understanding of problems. Sure, everyone knows what we‘re talking about. In theory, there is a strong need to change things, not only concerning politics, philosophy, art or physics: almost every academic discipline seems to grow some kind of interdisciplinary necessity into an important status. Sadly, the worlds` leaders suck horribly at reaching any fair and positive social state for all the inhabitants of this beautiful planet. But, since education can be based on solidarity, and swarm intelligence apparently grows into neural networks, there is no better time to sit down and talk about all those moral problems than now. Any change needs to be made by an individual, as far as we know. Let‘s get together, exchange knowledge, fight in peace and use the language of conceptual art as a weapon! about this event: https://fahrplan.events.ccc.de/camp/2019/Fahrplan/events/10381.html

Aug 23, 201930 min

LO! An LLVM Obfuscator (camp2019)

In this talk we will present how intermediate code transformations can be used to obfuscate code and the advantadges and limitations they introduce. We will also brielfy discuss some techniques that could help detect and reverse code obfuscated in such ways. <p>Despite their limitations, intermediate languages like LLVM-IR provide the best way to write code transformations that work well for all the input and output languages supported by the compiler framework.</p> <p>Usually, this is used to write optimization passes, but nothing prevents you from using them to make the resulting code less inteligible to an external reader.</p> <p>This talk will focus on how different obfuscation techniques can be implemented and used as such passes and what are the limitations that may make implementing, for example, an unpacker a bit harder. <p>We will also cover how some of these techniques can be reversed (specially when perfoming comparative analysis).</p> <p>Keep in mind that although LO started as a way to provide a way to deterministically increase variability in generated code and make finding out the patched flaws harder, many of it's techniques like code flattening or constant expansions are also used by other users of obfuscated code, for example malware.</p> about this event: https://fahrplan.events.ccc.de/camp/2019/Fahrplan/events/10299.html

Aug 23, 201945 min

Fast Global Internet Scanning - Challenges and new Approaches (camp2019)

Current search engines such as censys or shodan give everyone an insight into the global Internet. Unfortunately, they don't provide a comprehensive view of the Internet because you can't access the raw data. Consequently, you have to scan the Internet yourself. Anyone can perform a one-shot scan via Mass-Scan & Co. However, how to build an infrastructure for regular Internet scans that is not blocked after a short time by Intrussion Detection Systems and Spam/Blacklists is not easy. First we will talk about the right scan setup, infrastructure, scan strategies, and data enrichment. We will then take a look at the data and gain common and interesting insights into the structure of the Internet. Current search engines such as censys or shodan give everyone an insight into the global Internet. Unfortunately, they don't provide a comprehensive view of the Internet because you can't access the raw data. Consequently, you have to scan the Internet yourself. Anyone can perform a one-shot scan via Mass-Scan & Co. However, how to build an infrastructure for regular Internet scans that is not blocked after a short time by Intrussion Detection System and Spam/Blacklists is not easy. The following questions must be answered: Which scanning algorithms are used (centralized, distributed, BGP prefix hit lists)? How could you reduce scan traffic? How do I process the data in the long term (up to 600GB / scan)? With which further data do I enrich the scans for further analyses (BGP prefixes, Inetnum objects) ? How do I build the right server without a bottleneck and how do I connect it to the internet (rent a server or become a RIPE-Member/ your own ISP with a /22 IPv4 /32 IPv6 Block)? In the first half of the talk we will deal with these questions. In the second half of the lecture we will discuss real scan data. We will concentrate on the analysis of the network topology and distribution of BGP prefixes, whois blocks and network services of well-known autonomous systems on the Internet. As a further example, we will look at the network structure of a large well-known German hoster, which gives us a good overview of its internal organization of data centers and other services. Finally, we will look at some data and analysis from a security perspective. about this event: https://fahrplan.events.ccc.de/camp/2019/Fahrplan/events/10353.html

Aug 23, 201942 min

#Defensive statt #Offensive am Beispiel von KRITIS (camp2019)

Es wird in einer aktuellen Übersicht aufgezeigt, dass die Cybersicherheitsstrategie in Deutschland keine Strategie darstellt. Darüber Hinaus wird aufgezeigt, welche Gesetzesvorhaben die Sicherheit schwächen oder bereits geschwächt haben und was das für Auswirkungen auf kritische Infrastrukturen (KRITIS) - und somit auf uns als Gesamtbevölkerung - haben kann. Zuletzt werden mögliche Optionen als Forderungen aufgezeigt, durch die sich das aktuelle Lagebild bessern kann. Neun Sektoren wurden in den ersten zwei Körben des IT-Sicherheitsgesetz als kritische Infrastrukturen definiert. Darunter fallen Energieversorgung, Finanz- und Versicherungswesen, Wasser, Ernährung, Gesundheit, IT und TK, Transport und Verkehr. Deren durch IT-Störungen bedingter Versorgungsausfall kann zu einem Großlagebild oder sogar zu einer Krise führen, in der eine Versorgung eines großen Teils der Bevölkerung nicht mehr gewährleistet werden könnte. Wie riskiert der Staat durch eine offensive Cyberwar Vorgehensweise und hybride Kriegsführung dazu, diese Risiken zu erhöhen und warum trifft uns das als Bevölkerung ganz konkret und spielt sich nicht nur im Internet ab? Wie kann es zu physischen IT-Störungen und Ausfällen kommen und was müsste man als Forderungen dagegen vornehmen, um von einer offensiven zu einer defensiven Vorgehensweise zurück zu kommen. Und wieso liegt darin die einzig wahre Lösung für die Bevölkerung? about this event: https://fahrplan.events.ccc.de/camp/2019/Fahrplan/events/10208.html

Aug 22, 20191h 2m

Nachhaltige Blockchains (camp2019)

Erfolg der kryptographischen Währung Bitcoin, zu einer der meistdiskutierten "neuen" Technologien entwickelt. Der sehr schnelle Aufstieg von Bitcoin hat viele Problemstellungen zum verteilten Vertrauensmanagement, dem Energieverbrauch und dem Schutz der Privatsphäre von interessanten Forschungsfragen zu wichtigen Herausforderungen für eine nachhaltige wirtschaftliche und gesellschaftliche Entwicklung werden lassen. Wir diskutieren, wie wir mit recht überschaubaren mathematischen Verbesserungen für weniger umweltschädliche, weniger sich zentralisierende und datenschutzfreundliche Systeme sorgen können. Innerhalb weniger Jahre haben sich Blockchains, insbesondere durch den Erfolg der kryptographischen Währung Bitcoin, zu einer der meistdiskutierten "neuen" Technologien entwickelt. Der sehr schnelle Aufstieg von Bitcoin hat viele Problemstellungen zum verteilten Vertrauensmanagement, dem Energieverbrauch und dem Schutz der Privatsphäre von interessanten Forschungsfragen zu wichtigen Herausforderungen für eine nachhaltige wirtschaftliche und gesellschaftliche Entwicklung werden lassen. Wir diskutieren, wie wir mit recht überschaubaren mathematischen Verbesserungen für weniger umweltschädliche, weniger sich zentralisierende und datenschutzfreundliche Systeme sorgen können. about this event: https://fahrplan.events.ccc.de/camp/2019/Fahrplan/events/10285.html

Aug 22, 201946 min

Exposing Systems of Power and Injustice (camp2019)

Presenting the Disruption Network Lab programme in Berlin, we will connect the debate on surveillance and whistleblowing to a cultural framework, analysing the influence of whistleblowing in empowering both experts and non-experts. A talk with Tatiana T_Bazz Bazzichelli and Lieke Ploeger / Disruption Network Lab. The act of whistleblowing is a concrete process able to reveal hidden facts, misconducts and wrongdoings of institutions and corporations, producing awareness about social, political and technological matters, informing about the reality we live in. Presenting the Disruption Network Lab programme in Berlin, we will connect the debate on surveillance and whistleblowing to a cultural framework, analysing the influence of whistleblowing in empowering both experts and non-experts. The talk will present the mutual interference between whistleblowing, art, hacking, and network development, as well as reflect on the influence of whistleblowing in the art & cultural field. This presentation aims to further question what we can collectively offer to encourage a critical debate on the effects of whistleblowing in society, as well as to generate experimental ways of thinking within the digital scenario. about this event: https://fahrplan.events.ccc.de/camp/2019/Fahrplan/events/10200.html

Aug 22, 201937 min

Was tun gegen Digitale Gewalt gegen Frauen (camp2019)

Digitale Gewalt ist mehr als Hatespeech: Dazu gehören Doxing, Identitätsdiebstahl, Bildmanipulationen und deren Veröffentlichung, Spy Apps und noch mehr. Das meiste davon ist verboten, gilt aber nicht als 'Cybercrime'. Der Talk beschreibt, was dazu gehört, wer betroffen ist, was sich bei dem Thema seit den Doxing-Fällen im Januar getan hat und was nötig wäre, um langfristig etwas zu ändern. Auf die Frage, ob Digitale Gewalt gegen Frauen auch ‚Cybercrime‘ sei, antwortete die Bundesregierung Ende November 2018: „Da es sich bei digitaler Gewalt nicht um Straftaten handelt, die sich gegen das Internet, Datennetze, informationstechnische Systeme oder deren Daten richten, sind sie nicht dem Phänomen Cybercrime im engeren Sinne zuzuordnen.“ Wenige Wochen später drehte sich der Wind, als Anfang Januar bekannt wurde, dass 1000 Prominente gedoxt* worden waren, darunter viele Bundestagsabgeordnete. Mit diesem Fall wurde ein Vorgehen zum schwerwiegenden IT-Sicherheitsproblem, von dem vorher schon viele andere Menschen betroffen waren, ohne dass ein Hahn danach krähte. In diesem Talk wird im ersten Teil der aktuelle Stand der Erkenntnisse zu den verschiedenen Phänomen erläutert, die unter den Sammelbegriff Digitale Gewalt gegen Frauen fallen: Beleidigungen, Bedrohungen, Erpressung mit der Drohung, intime Bilder zu veröffentlichen oder das Veröffentlichen solcher Bilder - auch bekannt als ‚Revenge Porn‘ - , geheime Ton-/Bild-/Videoaufnahmen und die Weitergabe an Dritte, Online-Stalking, das Installieren von Spy-Apps, Identitätsdiebstahl und -missbrauch, Doxing, Manipulation und Veröffentlichung von Bildern bspw. zusammen mit der Wohnadresse usw. usf. Das alles ist verboten, aber aus verschiedenen Gründen ist es oft schwierig, sich dagegen zu wehren. Deswegen geht es im zweiten Teil darum, dass und wobei Betroffene zu wenig Unterstützung bekommen: praktisch, juristisch, durch Polizei und Politik. Das beginnt oft bei der Frage der Zuständigkeit. Unter Cybercrime wird in der Regel kriminelles Verhalten gegenüber Geräten, Unternehmen oder Infrastrukturen verstanden, jedenfalls nach Auffassung deutscher Innenpolitiker. Dazu kommen Fälle, bei denen es ums Geld geht und natürlich auch Kinderpornographie. Innenminister Seehofer hat im Januar verkündet, dass das neue IT-Sicherheitsgesetz die Probleme lösen soll, die zu den Doxingfällen des „Adventskalenders“ geführt haben. Auf dem Tisch liegen Vorschläge für mehr Überwachung, weniger Verschlüsselung und mehr Geld für die Sicherheitsbehörden. Immerhin: Das BSI soll sich mehr um Verbraucherschutz kümmern. So wie es aussieht, ist die digitale Seite der häuslichen Gewalt aber wieder nicht dabei – dafür ist ja das Familien- und Frauenministerium zuständig. Betroffene von Doxing, Revenge Porn, ferngesteuerten ‚Smart Devices‘ oder Spy Apps haben es meist schwer, kompetente Ansprechpartner*innen bei Polizei und Justiz zu finden. Es gibt auch kaum Beratungsstellen für diese Fälle, obwohl die Folgen manchmal schwerwiegend sind. Deswegen gibt es im dritten Teil konkrete Tips für Betroffene und Hinweise, wo derzeit Lücken bestehen und Vorschläge, wie die geschlossen werden können Vielleicht - hoffentlich - ergibt sich im Anschluss an den Talk die Gelegenheit darüber zu sprechen, wie in manchem Fällen ganz praktisch Abhilfe geschaffen werden kann. *Doxing bezeichnet das Veröffentlichen privater Daten oder Informationen (= Dokumente, ‚Docs‘) im Netz Image by <a href="https://pixabay.com/users/ElisaRiva-1348268/?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=1831016">ElisaRiva</a> from <a href="https://pixabay.com/?utm_source=link-attribution&utm_medium=referral&utm_campaign=image&utm_content=1831016">Pixabay</a> about this event: https://fahrplan.events.ccc.de/camp/2019/Fahrplan/events/10346.html

Aug 22, 201941 min

75 Jahre Journalismus im WWW (camp2019)

Detlef Borchers, Peter Glaser und Erich Moechel erzählen, was sie im digitalen Neolithikum gesehen und erlebt, aber nie geschrieben haben. Episoden aus der Frühzeit über Gier & Dummheit & Illusionen bis die Dot.com-Blase brannte & die Datengeilheit in die digitale Welt kam. Geschichten aus den "Crypto Wars" samt schrägen Begegnungen mit Schattenmenschen, wie schnell man in was hineingeschlittert wurde & was dabei kaputtging. Wie das WWW halt wurde, was es heute ist. Der genauere Inhalt musst erst gemeinsam festgelegt werden, es wird auch Bilder geben. Sicher ist, wir werden Klartext reden, wobei auch ein Outing nicht auszuschließen ist. about this event: https://fahrplan.events.ccc.de/camp/2019/Fahrplan/events/10210.html

Aug 22, 201945 min

Introduction to Mix Networks and Katzenpost (camp2019)

This talk will introduce the fundamental concepts of mix networks as well as the Katzenpost mix network free software project. We are not just implementing a new mix network but starting a new anonymity movement and we welcome others to join us! Like Tor, mix networks protect metadata by using layered encryption and routing packets between a series of independent nodes. Mix networks resist vastly more powerful adversary models than Tor though, including partial defense against global passive adversaries. In so doing, mix networks add both latency and cover traffic. I shall outline the basic components of a mix network, touch on their roles in resisting active and passive attacks. In particular I'll mention how mix networks can be used with encrypted messaging applications and crypto currency to resist global network surveillance and traffic analysis. Academics have proposed various anonymity technologies with far stronger threat models than Tor, but by far the most practical and efficient option remains mix networks, which date to the founding of anonymity research by David Chaum in 1981. Tor was inspired by mix networks and shares some superficial similarities, but mix networks' are vastly stronger if they judiciously add latency and decoy traffic. There are several historical reasons why mixnets lost popularity and why Tor's onion routing won. Namely, Tor is low latency and can be used to browse the web. This is in contrast to mix networks which are essentially an unreliable packet switching network. Historically mix networks achieved enough mix entropy by using long delays whereas it is becoming more widely understood that there exists a trade off between legit traffic, decoy traffic and latency. After this introduction to mix networks I'll talk a bit about the Katzenpost mix network software project which is based off of the recently published academic paper "The Loopix Anonymity System". These new insights into mix network designs allow modern mix networks to make the correct design trade offs so that we can keep the latency relatively low. Historically high latency and unreliability has been a major obstacle to mass adoption. I shall explain how Katzenpost solves both of these problems and allows developers to easily add network services to the mix network to support a wide variety of client applications including but not limited to: encrypted messaging, crypto currency transaction transport, offline browsing and, transporting client interactions with Distributed Hash Tables and Conflict Free Replicating Data Types et cetera. about this event: https://fahrplan.events.ccc.de/camp/2019/Fahrplan/events/10226.html

Aug 22, 201947 min

Mapping Doomsday (camp2019)

The world is entering a new era of instability. The climate crisis will put great pressure on the (relatively) peaceful balance of world politics. But the field of open source intelligence (OSINT) provides us with a new and unique way to map, study and predict these flashpoints. This talk will look at several technical approaches for using these techniques and include several example studies. Intelligence agencies, NGOs, business groups, and insurance companies all agree that the worsening climate crisis will fuel war and global crises. Some go further, saying that societal collapse is all but inevitable. Whatever your view on this is, it is difficult to see our current paradigm of general peace continuing into the next few decades. But as this crisis worsens, modern technology has also gifted us with new tools to monitor, analyse and predict flashpoints. The emerging field of Open Source Intelligence (OSINT) is one such tool. OSINT uses publically available data (such as social media posts, video footage, satellite imagery, public databases and remote sensing) as the basis for in-depth investigations. This talk will look at the ways in which these techniques can be usefully applied, both journalistically and analytically, within the context of the aforementioned crisis. Specifically, it will look at two examples of how OSINT can be used to analyse past events over the last year, and one concept for predicting a future event. about this event: https://fahrplan.events.ccc.de/camp/2019/Fahrplan/events/10350.html

Aug 22, 201942 min

Mit dem Getränkeautomaten in die Cloud (camp2019)

Ob an Getränkeautomaten oder in der Kantine: Oft wird in Universitäten oder großen Firmen mit einem internen Ausweis bezahlt. Wir haben eines dieser internen Bezahlsysteme einmal genauer in Bezug auf seine IT-Sicherheit untersucht und dabei überraschend viele Schwachstellen festgestellt. Interne, bargeldlose Bezahlsysteme können Transaktionen über einen Cloud-Dienst abwickeln. Die Informationssicherheit ist bei diesen Systemen von großer Bedeutung, um das Geld der Kunden und auch das Geld des Betreibers, der für die Abwicklung der Zahlung an die jeweiligen Abteilungen oder Dienstleistern die Verantwortung trägt, zu schützen. In diesem Talk soll die Sicherheit eines dieser Cloud-basierten Systeme genauer beleuchtet und dabei ein Großteil seiner Sicherheitsarchitektur auseinandergenommen werden. about this event: https://fahrplan.events.ccc.de/camp/2019/Fahrplan/events/10201.html

Aug 22, 201930 min

Zombie Apocalypse vs. International Health Regulations (camp2019)

The little known International Health Regulations are Earth's last defence line against world-wide health risks. I discuss how they would perform during a Zombie Apocalypse. The International Health Regulations (IHR) are a piece of legally binding, international law that (theoretically) all countries have to adhere to. After the catastrophic 2003 SARS outbreaks, unlikely partners such as the USA and Iran, together with 192 other member states of the World Health Organisation, agreed upon these rules that entered into force in 2007. This set of rules aims to prevent international spread of health risks (usually communicable diseases) while balancing international travel and, of course, trade. I will use the popular Zombie Apocalypse metaphor to illustrate the various prevention mechanisms of the IHR and how they were (and will be) circumvented by past and future epidemics. about this event: https://fahrplan.events.ccc.de/camp/2019/Fahrplan/events/10367.html

Aug 22, 201942 min

IT-Sicherheit in vernetzten Gebäuden (camp2019)

Ein automatisiertes Gebäude ist schön, komfortabel und praktisch. Doch das wäre nicht Thema für einen Vortrag beim CCCamp, wenn es nicht einige gravierende Schwachstellen in den Bussystemen gäbe. Der Vortrag bietet eine Einführung in die Funktionalität von vernetzten Gebäuden am Beispiel des KNX Standards. Ohne dass ihr großes Vorwissen benötigt, berichte ich euch von Sicherheitsproblemen und möglichen Lösungsansätzen zur nachträglichen Steigerung der Sicherheit solcher Gebäudeautomatisierungssysteme. Feldbusse wie KNX werden in modernen Gebäuden eingesetzt, um typische Vorteile der Gebäudeautomation zu erzielen. Man verspricht sich Komfortgewinn, Kosteneinsparungen und Flexibilität. Klassische Schutzziele wurden beim Design dieser Bussysteme hintenangestellt und IT-Sicherheit so sträflich missachtet. Funktionalitäten wie Verschlüsselung oder Authentifikation der Kommunikationsteilnehmer sucht man bisweilen vergeblich. Sind die Gebäude erst einmal gebaut, wird die installierte Infrastruktur über Jahrzehnte betrieben. Das Licht des Kollegen im Nachbarbüro zu schalten ist ebenso leicht, wie das Steuern einer an den Feldbus angebundenen Heizung. Was im Büro noch verhältnismäßig harmlos erscheint, wird bedrohlich, wenn man bedenkt, dass auch Kraftwerke und andere kritische Infrastrukturen ähnliche Systeme nutzen. Nach einer Einführung in den KNX Bus geht der Vortrag auf Schwachstellen und deren mögliche Folgen in automatisierten Gebäuden ein. Es wird gezeigt, dass sich aus scheinbar harmlosen Sensoraktivitätsdaten bereits intime, personenbezogene Informationen herausarbeiten lassen. Um die Sicherheit bereits installierter, langlebiger Gebäudeinfrastrukturen dennoch zu erhöhen, werden bereits bekannte Verfahren aus der IP-Welt auf Feldbusse übertragen. Netzwerksegmentierung, IDS und Filterung sind erste Ansätze, auf die der Vortrag eingeht. Es werden deren Möglichkeiten und Grenzen beschrieben. Darüber hinaus wird ein entwickelter Testdatensatz zur Evaluierung solcher und anderer Ansätze vorgestellt. about this event: https://fahrplan.events.ccc.de/camp/2019/Fahrplan/events/10349.html

Aug 22, 201946 min

Domain computers have accounts, too! (camp2019)

In Microsoft Active Directory, computers also have their accounts. We used to consider them useless when they turned up during pentests, but recent research showed that successfully relaying a machine account can actually lead to completely owning the machine. This talk will explain the foundation of such attacks and end with a demonstration of how a non-privileged domain user can get SYSTEM privileges on remote machines. Active Directory is notorious for using long-broken protocols and preserving them for ages because backwards compatibility. In recent years, pentesters are realizing more and more how terrible these protocols can be, and security experts are finding more and more abuse scenarios. Take for example the NTLMv2 challenge-response protocol: It was first introduced back in Windows NT 4.0 SP4 and is still readily available on modern windows. Apart from not being very resistant to cracking (using just a few MD5s), it turned out it's not resistant to MITM attacks at all. An attacker in a MITM position can relay any authentication attempts to almost any target. There were some mitigitations for this over the years, but we are just now starting to see people actually starting to use them. So when relaying came to existence, security researches focused on "what can we do with this"? Obviously, if you manage to succesfully relay a Domain Administrator account, you have won; but that's not always possible. Another protocol used extensively in Active Directory is Kerberos. The Microsoft implementation has several delegation/impersonation techniques available. And now, we know how to combine all these to be able to impersonate any user to a computer, given we were able to relay that computer's authentication at least once. The talk will cover these main areas: <ul> <li>NTLM Relaying</li> <li>Kerberos delegation</li> <li>Getting machines to authenticate to us</li> </ul> All tools necessary to perform this attack will be released as impacket modules. This talk is mainly based on research by @tifkin_ (Lee Christensen), @harmj0y (Will Schroeder), @enigma0x3 (Matt Nelson), @elad_shamir (Elad Shamir), @_dirkjan (Dirk-jan). about this event: https://fahrplan.events.ccc.de/camp/2019/Fahrplan/events/10207.html

Aug 22, 201940 min

Neue europäische Überwachungslandschaft (camp2019)

Mit neuen Verordnungen und Richtlinien wachsen in der Europäischen Union weitere Datentöpfe heran. Internetanbieter sollen außerdem Inhalte entfernen und Telekommunikationsdaten auf Verlangen herausgeben. Auch der Kreis der Zugriffsberechtigten wird deutlich erweitert. Ganz legal könnten sogar US-Behörden bald in Europa Abhören dürfen. Unter dem Stichwort „Interoperabilität“ vernetzt die Europäische Union ihre großen Datenbanken im Bereich Justiz und Inneres. Der Beschluss fiel bereits, nun steht die Umsetzung an. Fingerabdrücke und Gesichtsbilder werden in einem „gemeinsamen Identitätsspeicher“ abgelegt und mit einem „Europäischen Suchportal“ prozessiert. Mit dem Projekt wird der polizeiliche Datenverkehr drastisch steigen, allein Europol rechnet mit 100.000 täglichen Abfragen seiner Dateien. Im Herbst, wenn sich das neue Parlament konstituiert hat, will die EU außerdem den Zugriff auf elektronische Beweismittel auf drei Wegen vereinfachen. Die „E-Evidence“-Verordnung“ soll die polizeiliche Abfrage von Daten bei Internetfirmen in anderen EU-Staaten unter Androhung hoher Bußgelder drastisch erleichtern. Für Firmen mit Sitz in den USA plant die EU-Kommission ein Durchführungsabkommen im Rahmen des „CLOUD Act“, den die US-Regierung erlassen hat. Dann können auch US-Behörden Daten von Sozialen Netzwerken oder Messengern in Europa abfragen, möglich wäre sogar das Abhören in Echtzeit. Zusätzlich verhandelt auch der Europarat über die schnelle Herausgabe elektronischer Beweismittel. Die „Budapest-Konvention“ zur Kooperation bei Computerstraftaten soll um eine „Sicherungsanordnung“ erweitert werden. Ebenfalls auf der Tagesordnung stehen die weiteren Verhandlungen für eine Verordnung zur „Verhinderung der Verbreitung terroristischer Online-Inhalte“. Hierzu sollen die Strafverfolgungsbehörden Anordnungen erlassen, denen innerhalb einer Stunde entsprochen werden muss. Die Firmen sollen außerdem Uploadfilter („automatisierte Werkzeuge“ gegen erneutes Hochladen) installieren. Auch das BKA beteiligt sich an den Vorbereitungen mit einer „nationalen Meldestelle“, die seit ihrem kurzen Bestehen bereits 6.000 Meldungen zur Entfernung von Inhalten verschickt hat. Schließlich arbeitet die EU an einer Neuauflage der Vorratsdatenspeicherung von Telekommunikationsdaten. Im Juni haben die Innenminister hierzu Schlussfolgerungen erlassen, die den Fahrplan vorgeben. Zwar ist die Rede von einer „beschränkten“ Vorratsdatenspeicherung. Tatsächlich wollen die Polizeien und Geheimdienste aber nur auf wenige Informationen verzichten, darunter die Länge genutzter Antennen, die Verbindungsqualität oder die Zahl der Klingeltöne des genutzten Telefons. Auch Berufsgeheimnisträger werden anlasslos überwacht, außer sie stellen einen Antrag auf Befreiung. Längst beschlossen und umgesetzt ist die EU-Richtlinie zur Speicherung von Fluggastdaten. Airlines, Reisebüros und andere Reiseanbieter müssen vor jedem internationalen Flug „Passenger Name Records“ (PNR) an die zuständige Fluggastdatenzentralstelle übermitteln. Allein in Deutschland werden in den nächsten Monaten 500 neue Stellen bei BKA, Bundespolizei, Zoll und Verwaltungsamt besetzt. Diese ufer- und anlasslose Vorratsdatenspeicherung ist ein gutes schlechtes Beispiel, weshalb den noch zu beschließenden EU-Vorhaben entschlossen entgegengetreten werden muss. about this event: https://fahrplan.events.ccc.de/camp/2019/Fahrplan/events/10195.html

Aug 22, 201942 min

Elektroschrott - Welchen letzten Weg geht mein PC? (camp2019)

Elektronikschrott ist eine Handelsware. Schrott wird zu Gold. Geräte werden überall in der Welt mal gut, mal nicht so gut zerlegt. Wer verdient daran? Und was können wir tun, dass sich der Export nicht mehr lohnt? Die digitale Gesellschaft produziert Elektronikschrott. Dieser besteht aus Kunststoffen, Metallen und Platinen, die unterschiedlichen Verwertungswegen zugeführt werden müssen. Die beste Trennung ist immer noch das Zerlegen per Hand. Dabei können außerdem nutzbare Einzelteile extrahiert und direkt weiterverwendet werden. Dieses Vorgehen ist ökologisch sinnvoll, aber nicht besonders ökonomisch. Das spielt aber im Rahmen eines "Dismantling Cafés" (vis á vis dem Repair Café) keine Rolle. Dafür gibt es die Sicherheit, dass die eigenen Geräte nicht in einer der zahlreichen Dokumentationen über Agbotbloshie, den großen Elektroschrottplatz in Ghana, auftauchen. about this event: http://talx.thm.cloud/thms/talk/GYWNQP/

Aug 22, 201939 min

Introduction to OpenGLES and GLSL programming (camp2019)

This foundation talk describes the basic concepts of the OpenGLES 2.0 real-time rasterizer. We will explain the different stages of the rendering pipeline, briefly introduce the mathematics involved, show the boilerplate code required to setup an OpenGLES program, and finally look at the real fun stuff, which is the GLSL language used in vertex and fragment shaders. From notebooks and smartphones to embedded systems and game consoles, every modern computing platform contains chips for hardware accelerated 3d rendering. The OpenGL standard and API describes the drawing directives provided by these chips and is used to compose and animate user interfaces and to render interactive virtual scenes. Basically, every pixel that you see has been processed by an OpenGL pipeline. Engines like Unity3d provide a convenient way to describe and render threedimensional scenes without having to deal with the low level drawing directives. But this convenience makes it difficult to understand the path by which your logic becomes pixels, and coding closee to the hardware can be a lot of fun. This foundation talk describes the basic concepts of the OpenGLES 2.0 real-time rasterizer. We will explain the different stages of the rendering pipeline, briefly introduce the mathematics involved, show the boilerplate code required to setup an OpenGLES program, and finally look at the real fun stuff, which is the GLSL language used in vertex and fragment shaders. After watching this talk, you will have a better understanding of the pipelines that are used to create the pixels on your screen. If you already know a high-level programming language such as C/C++, Java or Go, the examples provided will help you get started with coding your own 3d app, game or demo. about this event: https://fahrplan.events.ccc.de/camp/2019/Fahrplan/events/10256.html

Aug 22, 201938 min

Participatory art event tools, co-creation and silk road networks (camp2019)

The Borderland is a participatory art event in Denmark with 3210 co-creators. Over the last three years, we have created online tools to keep participation and co-creation high as the event has tripled in size in only three years. This seminar is about the design philosophy behind these tools, drawing parallels to the ancient silk road. These tools have since been spread to at least five other events around the world. In developing the Borderland community online and offline, we've built tools that help us create denser networks, allowing for share creative processes, distributed art-grant allocation, empowered community members and decentralized decision making. These tools, called Dreams and Realities are run alongside a customized version of the Loomio platform and our own instance of the Pretix ticketing platform. Dreams is for distributed art-grant distribution and project guidance. Realites is for stakeholder-mapping to understand how the needs, responsibilities, people and dependencies fit together in a decentralized organization. about this event: https://fahrplan.events.ccc.de/camp/2019/Fahrplan/events/10204.html

Aug 22, 201943 min

Sinn von Unsinn unterscheiden - Glaub ich's oder glaub ich's nicht? (camp2019)

Pyramiden wurden von Außerirdischen gebaut! Impfen macht Autismus! Gott hat die Welt geschaffen! Kornkreise, Handystrahlung, Chemtrails, Homöopathie, Astrologie, Wasserkristallbilder, Aurafotografie, Quantenheilung... about this event: http://talx.thm.cloud/thms/talk/ARDC3J/

Aug 22, 201957 min

#Fusionbleibt (camp2019)

Polizeiwache mitten auf dem Festival? Wasserwerfer? Räumpanzer? WTF?? dachte sich da auch das Fusion Festival. Der Kampf gegen die absurden Pläne von Polizeipräsident Nils Hoffmann-Ritterbusch konnte zum Glück gewonnen werden. Und ist ein Lehrstück dafür, dass zivilgesellschaftlicher Druck eben doch Berge versetzen kann. Wir lassen Drohungen, Protest und Absurditäten aus diesem Lehrstücks gemeinsam Revue passieren. Und ja: es darf gelacht werden. about this event: https://fahrplan.events.ccc.de/camp/2019/Fahrplan/events/10438.html

Aug 22, 201951 min

What you see is not what you get - when homographs attack (camp2019)

This talk offers a brief overview about homograph attacks, describes part of the mechanics behind the registration of homograph domains, highlights their risks and presents a chain of two practical exploits against Signal, Telegram and Tor Browser that could lead to nearly impossible to detect phishing scenarios and also situations where more powerful exploits could be used against an opsec-aware target. Since the introduction of Unicode in domain names (known as Internationalized Domain Names, or simply IDN) by ICANN over two decades ago, a series of brand new security implications were also brought into light together with the possibility of registering domain names using different alphabets and Unicode characters. This talk offers a brief overview about homograph attacks, describes part of the mechanics behind the registration of homograph domains, highlights their risks and presents a chain of two practical exploits against Signal, Telegram and Tor Browser that could lead to nearly impossible to detect phishing scenarios and also situations where more powerful exploits could be used against an opsec-aware target. Historical security issues related to Unicode and confusable homographs, as well as other attack vectors not discovered by the author will also be explored in this presentation. about this event: https://fahrplan.events.ccc.de/camp/2019/Fahrplan/events/10258.html

Aug 22, 201929 min

Updates from the Onion (camp2019)

The Tor Project is building usable free software to fight surveillance and censorship across the globe. In this talk we'll give an update on what we have been up to in the past months, what happened in the wider Tor ecosystem, and what lies ahead of us. In the last year the Tor Project has been working hard on improving the software, building and training communities around the world as well as creating an anti-censorship team and roadmap that can push forward technologies to circumvent censorship. This talk will cover major milestones we achieved and will give an outline about what is lying ahead. In particular, we'll talk about the release of Tor Browser for Android and restructuring our anti-censorship efforts as well as working on next generation pluggable transports. Moreover, we'll explain our defense against website traffic fingerprinting attacks and plans for improving onion services and making them more usable (DDoS resistance, better user interfaces for authentication and dealing with errors). Finally, we'll shed some light on efforts to get Tor support directly embedded into other browsers, like Firefox and Brave, and educating users both by reorganizing the content on our website and extensive trainings throughout the world. about this event: https://fahrplan.events.ccc.de/camp/2019/Fahrplan/events/10340.html

Aug 22, 201943 min

Taking Bluetooth lockpicking to the next level (camp2019)

If hacking chinese padlocks and bike sharing systems isn't enough any more, let's go and open some new doors. Like the ones of some 37th floor Hotel Suites... We're taking Bluetooth LE hacking from toys and padlocks to the real world. Improving the tools and methods we used in previous research to break the AES cryptography of the NOKE Padlock, we went to do the one thing a mobile hotel key is supposed to prevent: wirelessly sniff someone entering his room - or just unlocking the elevator - and then reconstruct the needed data to open the door with any BTLE enabled PC or even a raspberry pi. In this talk we will show and explain the tools and methods we used and developed to break the BTLE based mobile phone key system of a large hotel chain. And then come from the academic proof of concept to a reliable setup that can be used in real life scenarios to carry out the attack. Methods shown will cover the reverse engineering of the wireless protocol based on BTLE captures, analyzing phone apps and intercepting the TLS encrypted traffic to the back end API, which in combination led to the compromise of a system used in quite some big and expensive hotels for their "next level" customer experience: mobile room keys. about this event: https://fahrplan.events.ccc.de/camp/2019/Fahrplan/events/10241.html

Aug 22, 201946 min

(emulate|fuzz|break) kernels (camp2019)

This talk will give an introduction to kernel fuzzing using *unicorefuzz*. Yes, yes. We all know fuzzing is a powerful tool to find bugs. For user space software, this is so 2014. Fuzzing kernels, however, can still be a daunting task. The state of the art kernel fuzzer, syzkaller, is somewhat complex to set up. So many unhappy parsers in the kernel remain unfuzzed to this day! Why can we not simply start fuzzing from some random breakpoint in the kernel, you ask? Well of course we can. Let's drop the whole thing into Unicorn Engine, a CPU emulator, and give it input. Simple as that. To stay on the punny side of things, we shall call this method *unicorefuzz*. about this event: http://talx.thm.cloud/thms/talk/QULQKV/

Aug 22, 201922 min

Cryptography of Killing Proof-of-Work (camp2019)

We briefly discuss the range of cryptographic primitives being used by protocols that seek to make proof-of-work protocols obsolete. We shall focus primarily on these cryptographic building blocks themselves, not overly on the different protocols built form them. There are a handful of protocols consuming enormous amounts of energy in proof-of-work schemes, which provide only rather tenuous security assurances. In practice, proof-of-work also invalidates these protocols original goal of being distributed. There is also a zoo of protocols designs, both new and from the 80s, that provide far stronger security than proof-of-work at minimal cost. We shall discuss the distinctive cryptographic primitives used by these protocols, without examining any of these critters too closely. In essence, our taxonomy splits as blind signatures vs. verifiable random functions (VRFs) vs. randomness beacons, with the latter consisting of publicly verifiable secret sharing (PVSS) and verifiable delay functions (VDFs). We only have time for a cursory look at the mathematics usable to build each of these, but this should explain some of their uses, strengths, and weaknesses. about this event: http://talx.thm.cloud/thms/talk/Z3VR8P/

Aug 22, 201927 min

E-Mail-Privatheit und Mailbox-Verschlüsselung (camp2019)

Überblick über den aktuellen Stand der Privatheit von E-Mails und Präsentation von [Userli](https://systemli.github.io/userli/), einer Webapplikation um E-Mailboxen zu verschlüsseln. Zuerst werden die derzeitigen Probleme der Privatheit von E-Mail beleuchtet. Dies soll zeigen, dass es sich um eine Vielzahl von Problemen handelt, welche einzeln gelöst werden müssen. Danach wird Userli präsentiert, welches einen Teil dieser Probleme angeht: Die Privatheit des E-Mail-Storage. Userli ist eine FOSS-Webapplikation um die Verwaltung von E-Mail-Konten für Communities zu unterstützen und Postfächer zu verschlüsseln. Auch die Admins eines Servers können dann nicht mehr in die gespeicherten E-Mails schauen. Userli fokussiert sich auf die Selbstverwaltung kleiner Communities und bietet daher auch Einladungsmechanismen, Domain-spezifische Admins und weitere Rollen. Alias-Adressen helfen deine Identität vor Dritten zu verschleiern. Userli verwendet das Dovecot MailCrypt Plugin und libsodium um Postfächer zu verschlüsseln und einen Passwort-Reset-Mechanismus anzubieten, welcher ohne persönliche Informationen auskommt. about this event: http://talx.thm.cloud/thms/talk/ACSFZ7/

Aug 22, 201935 min

Denn so wissen wir, was sie tun: Das Berliner Transparenzgesetz (camp2019)

Ein Hoch auf Volksentscheide! Wir erzählen vom Berliner Volksentscheid für ein Transparenzgesetz, das wir ins Leben gerufen haben. Hier könnt ihr unterschreiben. Und wir zeigen, wie ihr mitmachen könnt. Im August hat die Unterschriftensammlung für das Berliner Transparenzgesetz begonnen. Ein breites Bündnis aus Open Knowledge Foundation, Mehr Demokratie, CCC und vielen weiteren hat einen 64-seitigen Gesetzentwurf geschrieben, der in Berlin zu mehr Transparenz und Bürgerbeteiligung führen würde. Und nebenbei müsste die Berliner Verwaltung auch den Quelltext ihrer Software offenlegen. about this event: http://talx.thm.cloud/thms/talk/MRJQ7S/

Aug 21, 201927 min

A mobile phone that respects your freedom (camp2019)

Motivation and challenges building a mobile phone that respects your freedom, privacy and digital rights - and is hackable. This talk will present a summary of a two year journey, which is still ongoing. Today mobile phones are _the_ computing device of the decade, maybe even of this century. Almost everyone carries one, every day to every place. They are pretty much always connected and we entrust almost our entire digital life to them - any form of communication (voice, text, video), all kinds of entertainment (reading, web surfing, video/movies), personal information (address books, social media), location (navigation, location sharing) etc. Pretty much our entire digital life is mirrored by these devices and to a growing extent happening right on them. What is often not fully recognized is that this huge ecosystem of mobile hard- and software is controlled by only a very few globe spanning companies. Our digital life is to a large part controlled by these companies and currently there is little way around them. This talk will present the experiences we had and have in this industry creating a mobile phone that is running 100% free software, respects the user's digital rights and gives back full control over data and communication to the user - by separating radios from the main CPU, by providing hardware kill switches and by using only free software for the full stack. We will also talk about the huge challenges encountered, from CPU choice to radio choice up through the software stack. It will also share our approaches to solve these challenges and share experience in working with hardware manufacturing companies (globally), from electronics design to product manufacturing. about this event: https://fahrplan.events.ccc.de/camp/2019/Fahrplan/events/10238.html

Aug 21, 201945 min

TAPS Transport Services API (camp2019)

In the last year, a group of researchers and some industry people at the IETF decided to join forces and design a replacement of the BSD Socket API. This talk gives an overview about why the BSD Socket API is considered harmful for the Internet's future and how TAPS tries to solve this problem. Besides the facts, also gives some hints about how standardisation at the IETF works and why all this takes so long… The BSD Socket API was designed more than 30 years ago. No one back than imagined hosts with multiple access networks, concurrent use of multiple communication protocols, e.g., IPv4 vs IPv6 and TCP/TLS vs QUIC, and incorporating quality of service (QoS), security and cost constrains for setting up communications. The result is a complex ecosystem of APIs and techniques that must be manually combined in order to write state of the art network applications. The talk will give a brief overview on what choices state of the art network applications can make, why the BSD socket API does not support it and how TAPS tries to solve this. I will also talk a little bit about how standardisation at the IETF works, why one may want to get involved and why all this takes so long… about this event: https://fahrplan.events.ccc.de/camp/2019/Fahrplan/events/10298.html

Aug 21, 201944 min

500.000 Recalled Pacemakers, 2 Billion $ Stock Value Loss (camp2019)

During an independent security assessment of several pacemaker vendors multiple lethal and highly critical vulnerabilities were found. Based on previous experience with one specific vendor a new way of monetising vulnerabilities has been chosen. After going public a huge discussion on vulnerability disclosure ethics and responsibilities began. The stock value of the affected vendor dropped by 2 billion dollar just in one single day. The security researchers got discredited and a huge lawsuit was started. After a year of mutual accusations and denial more than 500.000 pacemakers got recalled. This talk will provide insights into pacemaker security and share first-hand experience gathered during this project. A special focus will also be on ethical vulnerability disclosure and lessons learned for future security research. about this event: https://fahrplan.events.ccc.de/camp/2019/Fahrplan/events/10288.html

Aug 21, 201944 min

Dissecting the AMD Platform Security Processor (camp2019)

The AMD Platform Security Processor (PSP) is a security subsystem in AMD CPUs comparable to the Intel ME and was introduced in 2013. It is essential for system startup – in fact, in runs before the main processor is even started – and offers runtime services to the main processor. For this, it has full access to the system memory space (inlcuding MMIO). The PSP runs undocumented, proprietary firmware. This talk presents efforts of investigating what the PSP does and if it's secure. For the first time, it documents the PSP firmware's proprietary filesystem and provides insights into reverse-engineering such a deeply embedded system as the PSP. The talk further sheds light on how we might regain trust in AMD CPUs despite the delicate nature of the PSP. With the ongoing digitalization, not only the number of IT systems is increasing in many domains, but also the amount of software and hardware that forms the trusted computing base of an application. Applications in industrial systems, infrastructure and consumer electronics rely on the security of these systems. Emerging security technologies try to mitigate the risk of insecure software and hardware by embedding secure components into these untrusted systems. AMD introduced the AMD Secure Processor to provide a trusted execution environment for critical operations. This talk comprehensively analyzes the undocumented and largely unknown security co-processor and discovers its inner workings. It aims to find out if it is able to keep its promise – or if it opens up another attack vector. about this event: http://talx.thm.cloud/thms/talk/LEA7LY/

Aug 21, 201949 min

Fully Open, Fully Sovereign mobile devices (camp2019)

Removing the barriers to making network independent mobile communications. In this talk I will discuss our thinking and progress towards making personal mobile communications devices, i.e., things that you use like a smart-phone, but that are fully under the control of the owner. While this has been done before, we have been focusing on how to make this much easier to do, so that individuals or small teams can create their own custom devices, with whatever features, inclusions and physical form they like, without huge time or cost requirements. This makes it possible to solve security and privacy problems, and also problems like creating custom devices for people living with disability, so that they can have a device that works for them and with their abilities and needs. I will discuss our work-in-progress in this area, the MEGAphone, which is not only a mobile phone, but also includes UHF packet radio and a modular expansion scheme, that can allow allow the incorporation of satellite and other communications. It is also backwards compatible with the Commodore 64, so can already play loads of privacy-preserving games, and has its own open-source slide presentation software that we hope to use to deliver the talk. Private UHF and VHF radio communications is a complex space, in terms of regulation, which we have some experience in due to the Serval Project, which has informed our design of the MEGAphone. I will thus discuss issues such as using "license free" bands around the world, as well as options for using either licensed spectrum or existing legacy public spectrum allocations, such as Citizen Band (CB) radio. As the MEGAphone platform is FPGA based, it is quite possible to implement software defined radio solutions to allow flexible and low-cost access to such spectrum. about this event: https://fahrplan.events.ccc.de/camp/2019/Fahrplan/events/10378.html

Aug 21, 201942 min

Achtung, Datenpannen! (camp2019)

<p>Eine Mischung aus einem Vortrag und einer Spiel- und Lernshow rund um die Datenschutz-Grundverordnung, die spielerisch Wissenswertes rund um Datenschutz und die Datenschutz-Grundverordnung vermittelt – anhand von tatsächlichen Beratungsanfragen und Datenpannen-Meldungen, die tagtäglich bei den Aufsichtsbehörden eingehen. Im Stil der Spielshow „Der Große Preis“ stehen Kandidaten Rede und Antwort zu skurrilen Fällen und heiß diskutierten Problemen rund um Datenschutz, technischen Maßnahmen und die DS-GVO.</p> <p>Bei Diskussionen über Datenschutz kommen technische Maßnahmen aus dem Bereich der IT-Sicherheit bisher oftmals viel zu kurz. Dabei können fehlende oder falsch implementierte Maßnahmen Sanktionen der Aufsichtsbehörden nach sich ziehen.</p> <p>Die große <strong>Datenschutz- und DSGVO-Show</strong> vermittelt auf spielerische Weise rechtliche, technische und praktische Hilfe rund um Datenschutz und die EU-Datenschutz-Grundverordnung. </p> <ul> <li>Welche Verschlüsselungs-Verfahren muss ein Datenverarbeiter verwenden, um kein Bußgeld zu riskieren?</li> <li>Erfüllt ein verschlüsselter ZIP-Anhang in einer E-Mail die Anforderungen der DS-GVO auf „Sicherheit der Verarbeitung“?</li> <li>Oder die „bisher ungeknackte Vollbitverschlüsselung“?</li> <li>Ist ein Messenger-Dienst „sicher“, wenn er Telefonnummern als SHA-256-Hash speichert?</li> <li>Muss ein Online-Shop wirklich alle Kunden informieren, wenn „ein Hacker“ erfolgreich „nur die E-Mail-Adressen der Kunden“ kopiert hat?</li> <li>Und was ist mit Google Analytics oder Facebook-Plugins auf Websites?</li> <li>Welche Rechte hat ein Betroffener gegenüber Datenkraken?</li> </ul> <p>Die Moderatoren sind der <em>Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg</em> Stefan Brink und zwei Referenten und berichten aus der praktischen Arbeit einer Aufsichtsbehörde. Vor und während dem eigentlichen Quiz geben sie eine kurze Einführung über häufige Datenpannen-Meldungen, rechtliche Grundlagen, Hinweise zu technischen Maßnahmen nach Artikel 32 DS-GVO und die oftmals schwierige Risikoabschätzung.</p> <p>Im Quiz selbst müssen die Kandidaten in ihren Antworten praktische Lösungsvorschläge für häufige technische und rechtliche Probleme vorschlagen, zum Beispiel welche technischen Maßnahmen bei bestimmten Datenpannen nach dem „Stand der Technik“ angebracht sind, ob man als Website-Betreiber denn nun Google Analytics nutzen darf oder wie man sich gegen rechtswidrige Datensammler wehrt. Dadurch können Teilnehmer wie Zuschauer die praktische Anwendung der DS-GVO spielerisch lernen.</p> about this event: https://fahrplan.events.ccc.de/camp/2019/Fahrplan/events/10344.html

Aug 21, 20191h 48m

Hambacher Forst #hambibleibt (camp2019)

Seit 2012 ist der Hambacher Wald besetzt. about this event: https://fahrplan.events.ccc.de/camp/2019/Fahrplan/events/10389.html

Aug 21, 201943 min

Tales from Hardware Security Research (camp2019)

Almost every microcontroller features firmware readout protection. It aims at securing the code, algorithms, and cryptographic keys against unauthorized access. Despite datasheets are promising strong security, our research shows that this is often far from being true. In this talk we want to shed light onto the "why?" and especially "how?" we approach the security testing of such protection mechanisms. Furthermore, we will talk about our attempts, discussions, and hassles from the vulnerability disclosure process - from successful ones to dead ends. Since several years, we, Johannes and Marc, do practical research in the field of embedded system security at a research institute. In this talk, we want to give an insight into the daily work as hardware security researchers. This ranges from giving recommendations on how to secure systems up to verifying microcontroller security in real environments. However, no practical experience and information on the resilience of common microcontrollers is publicly available - a gap we want to close. Especially when trying to make use of the integrated security features, their effectiveness often collapses quickly due to design weaknesses. Our focus lies on firmware protection mechanisms since they often are the root of security in embedded systems. During our research we were able to circumvent several mechanisms implemented from different manufacturers. In most cases, each attack requires only low-priced equipment, thereby increasing the impact of each weakness and resulting in a severe threat altogether. We will present one of those attacks, which can be performed within minutes, on stage. Due to the severe impact of these results, we immediately informed the manufacturers in a coordinated disclosure process. However, this is often not as simple as expected and maybe even risky. In this talk we will shortly state the chosen approach and will then compare our expectations on coordinated disclosure with the real reactions of the addressed manufacturers - ranging from a friendly discussion, over tricking-into-NDA, up to ghosting. Finally we will give some ideas on how to read between the lines in datasheets. Additionally, we will outline the legal gray area of applied security research in academia. about this event: https://fahrplan.events.ccc.de/camp/2019/Fahrplan/events/10292.html

Aug 21, 201945 min

Robotron (camp2019)

In den letzten 2 Jahren habe ich mich in meiner künstlerischen Arbeit mit der Computerherstellung in der DDR beschäftigt. Technikproduktion in der DDR war durch Planwirtschaft und dem COCOM-Hochtechnologieembargo besonderen Bedingungen unterworfen. Entlang der künstlerischen Ausseinandersetzung möchte ich in dem Vortrag ein Bild über Ostdeutsche Computertechnologie nachzeichnen. Die Web Serie Robotron – a tech opera spielt im VEB Kombinat Robotron, dem größten Computerhersteller der ehemaligen DDR und einer der bedeutendsten Produzenten von Informationstechnologie im sozialistischen Osteuropa. Anhand der eigenen Familiengeschichte zeichne ich eine Technikgeschichte nach die heute niemanden mehr interessiert. Weil sie nicht der Logik einer Erfolgsgeschichte entspricht und es sich bereits um obsolete Technik handelt. Als zeitgenössisches Netzformat tauchen in den meisten ASMR Videos nur aktuelle High-tech Utensilien auf um Tingles (Kopfkribbeln) hervorzurufen. In Soft Nails ~ ♥ [ASMR] Kleincomputer Robotron KC87 ♥ greife ich bewusst auf High-tech aus der DDR zurück und überführe sie in ein popkulturelles Format. Der Versuch einer gängigen US-amerikanischen Technikerfolgsgeschichte ein alternatives Narrativ entgegensetzen/ hinzufügen. In der Arbeit The Adventures of WH beschäftige ich mich in Kollaboration mit der Künstlerin Anne Baumann, mit Werner Hartmann (1912 - 1988), mein Stiefopa und der Begründer der Mikroelektronik in Ostdeutschland. Von 1961 – 1974 war er Leiter der AME, auch genannt AMD (Arbeitstelle für Molekularelektronik Dresden). Werner Hartmann gehörte einer wissenschaftlichen Elite in der DDR an und wurde aufgrund seiner Parteilosigkeit seit 1965 in der DDR systematisch beschattet und sogar 1974 wegen Spionage-Vorwürfen als Direktor der Arbeitsstelle für Molekularelektronik in Dresden suspendiert. Die Stasi hat 49 Ordner zur Überwachung von WH angelegt. Parallel legte WH ein Archiv mit seinen Memoiren (wissenschaftl. Tätigkeit in der Nazizeit, Sowjetunion und der DDR) sowie seinen Gedanken zur Mikroelektronik, u.a. an. about this event: https://fahrplan.events.ccc.de/camp/2019/Fahrplan/events/10293.html

Aug 21, 201932 min

Lightning Talks (camp2019)

about this event: https://fahrplan.events.ccc.de/camp/2019/Fahrplan/events/10380.html

Aug 21, 20192h 58m

OpenCodes (camp2019)

Computer können Kunst erzeugen. Museen können Kunst ausstellten. Wie kann das zusammen kommen? Und welche Rolle spielen Community- und OpenSource-Gedanken darin? Der Vortrag ist die Geschichte eines Ausstellungs- und Bildungskonzeptes, welches auch von Hackern entworfen wurde. Die Ausstellung 'Open Codes' wurde zusammen mit Karlsruher Communities, unter anderem dem Entropia, FabLab und Freifunk entworfen und erweitert. Es geht um einen Blick hinter die Kulissen einer Gesellschaft, die immer weiter in das Digitale wandert. Kostenloser Eintritt, Freifunk-WLAN, Tische, Sofas, Tischtennisplatte, kostenlose Getränke und Snacks, Hackathons, die Gulaschprogrammiernacht, PyCon, Wikimedia usw. lassen einen fast vergessen, dass man in einem Museum steht. Programmieren und hacken im Museum, wie geht das? Die Ausstellung ist weit mehr als eine kuratierte Sammlung von Medienkunstwerken, die sich mit dem Thema Code befasst. Es werden auch Themen wie OpenSource und die Hackercommunity greifbar gemacht. Die Werke sind Eckpunkte für Diskussionen, die bereits in Hacker-, Mackerspaces und digitalen Communities passiert. Der Vortrag verfolgt den gesamten Weg der letzten drei Jahre: von der ersten Konzeptskizze und Tschunkparties mit Kuratorinnen und Hackern über die Ausstellungseröffnung mit Feldtelefon, Hackcenter und Häppchen, "Bitte nicht hacken, das ist Kunst"-Schildern bis zu einer Lovestory - Still a Better Love Story than Twilight - zwischen zwei Welten, die anders nicht sein könnten. Da dürfen Indien und China auch nicht fehlen... about this event: https://fahrplan.events.ccc.de/camp/2019/Fahrplan/events/10400.html

Aug 21, 201935 min

Anykernels meet fuzzing (camp2019)

Battle of making the NetBSD better software by leveraging anykernels The NetBSD offers RUMP anykernel which lets users to do the magic and execute drivers, network stacks or file systems in userspace. Having kernel parts running in user space is a great opportunity to fuzz them efficiently without fancy kernel approaches. First general information about RUMP will be discussed to get the audience familiar with the subject, then results focused on testing network stack will be presented along with encountered problems and other fuzzing efforts that currently are taking place in the NetBSD project. about this event: https://fahrplan.events.ccc.de/camp/2019/Fahrplan/events/10334.html

Aug 21, 201943 min