Chaos Computer Club - archive feed

Get an understanding of what the Free Software Foundation is and what we are doing to empower user to control technology Software is deeply involved in all aspects of our lives. Free Software gives everybody the rights to use, understand, adapt, and share software. These rights help support other fundamental rights like freedom of speech, freedom of press, and privacy. about this event: https://pretalx.c3voc.de/37c3-lightningtalks/talk/ANWWN9/

When using Google Cloud, default configurations and policies are enabled by default that might lead to an increase in the attack surface. These configurations include, and not limited to, identity and access management (IAM) and network setup. about this event: https://pretalx.c3voc.de/37c3-lightningtalks/talk/XM9MGR/

The texts for this piece were originally written as part of a revision of the Homeric Hymn to Demeter; a revision which broadens the picture of Black women who are descendant of colonial enslavement. A dialogue based on the contrast of Artemis’ power and agency over her body compared to women who have been unsafe for generations. Women who carry these wounds as warnings and a call out for accountability. The underlying track called ‚Xercathalon’s Debut: A Bird Clock Opera, is a piece based on the sounds of childhood as remembered and incorporated into this collaborative soundscape. The question works such as these answer is a soft approach towards understanding the people that 37C3 wants to become more diverse towards. Diversity, equity and inclusion are more than catchy phrases. They don't happen overnight, but through art and literature there are greater options for briding understanding. Prism Obsidian Duo Obsidian is a visual artist and researcher in postcolonial theology, culture and education. She is taking a Black Quantum Afrofuturist approach towards tackling issues of racism, cultural appropriation, intersectionality and sustainable urban regeneration by drawing on an image of global Black cultures. Prism is a musician and visual artist specialising in rainbowgoth sound design and crafting analog double exposure captures. She is based in Berlin and responds to the inspiration of memory, saturation, and the dreamworld. about this event: https://events.ccc.de/congress/2023/hub/event/bird-clock-opera-w-text-from-days-of-the-week/

Chrome and Firefox's TLS certificate verification have a weird hack, and it might be a long term mistake, this talk quickly goes over the quirk, and provides data on how many people it impacts about this event: https://pretalx.c3voc.de/37c3-lightningtalks/talk/XGML8T/

Supereffiziente digitale Technik als Lösung aller Probleme oder doch lieber die selbstgebaute ressourcensparsame Low-Tech-Variante? Die Zukunftsvorstellungen, die den Einsatz digitaler Technik und ökologische Fragen zusammendenken, sind in der deutschen Diskurslandschaft nicht gerade üppig gesät. Im Vortrag werden die Ergebnisse einer Kurzstudie präsentiert, bei der wir die Zukunftsvorstellungen digital-ökologischer Transformation bei gesellschaftspolitischen Akteuren gesucht, analysiert und zu Visionskategorien zusammengefasst haben. Der Vortrag bietet einen Einblick in die Ergebnisse einer erstmaligen systematischen Untersuchung der im deutschsprachigen Diskurs präsenten Visionen zur digital-ökologischen Transformation und setzt diese in einer Landschaft an Vorstellungen von Transformation, Nachhaltigkeit und Technikgestaltung zueinander in Beziehung. Bei der Recherche wurden zivilgesellschaftliche, staatliche, wissenschaftliche und wirtschaftliche Akteure berücksichtigt. Das Ergebnis sind sechs verschiedene Typen an Visionskategorien: „Dematerialisierung", „Digital-ökologische Modernisierung", „Leitplanken einer zukunftsfähigen Digitalpolitik", „Digital-ökologischer TÜV", „Digitale Suffizienz" und „Low-Tech" bilden die Landschaft der Visionen digital-ökologischer Transformation im deutschsprachigen Raum. Die Vorstellung, dass digitale Technik durch Effizienzsteigerungen zu einer Entkopplung von Wirtschaftswachstum und Ressourcenverbrauch beiträgt, kann unter dem Begriff „Dematerialisierung” gefasst werden. „Digital-ökologische Modernisierung” bezeichnet einen eher technokratischen Ansatz, in dem die ökologischen Kosten der Digitalisierung durch Sparsamkeit, Recycling und vor allem den flächendeckenden Einsatz von erneuerbaren Energien zu bewältigen sind. Vertreter\*innen des Visionstyps „Leitplanken einer zukunftsfähigen Digitalpolitik” geben statt einer scharf formulierten Vision eher Leitplanken für die zukünftige Gestaltung der Digitalisierung im Rahmen ökologischer Grenzen vor. Die Kategorie „Digital-ökologischer TÜV” beschreibt Ansätze, die eine Bewertung des Verhältnisses von Ökologie und digitaler Technik von einer fortlaufenden Überprüfung des Einsatzes digitaler Technik abhängig machen. Bei „Digitaler Suffizienz” wird das Konzept der Suffizienz auf den Bereich Digitalisierung übertragen und orientiert sich an dem Motto „so viel Digitalisierung wie nötig, so wenig wie möglich“. Zuletzt kann die Idee der Abkehr vom linearen Fortschrittsdenken und von damit einhergehenden ressourcenintensiven High-Tech-Infrastrukturen als „Low-Tech”-Vision bezeichnet werden. Im Vortrag wird das Verhältnis der einzelnen Kategorien zueinander anhand von verschiedenen Dimensionen, wie ihr zugrundeliegendes Transformationsverständnis oder die Radikalität der beschriebenen Veränderungen, dargestellt sowie deren politische Bedeutung reflektiert. Welche Visionen erfüllen den Anspruch an eine global gerechte Digitalität der Zukunft? about this event: https://events.ccc.de/congress/2023/hub/event/darf_s_noch_etwas_visionarer_sein/

Universities can be important creators of digital public spaces and use, design and provide public-interest network structures such as the Fediverse. In line with its FLOSS tradition, the University of Innsbruck focuses on the Fediverse and has established an instance on university servers. Alongside insights into the process, motivation and networking is the aim of this Lightning Talk. Universities, join the Fediverse! The disaster with Twitter highlighted the risks of relying on commercial platforms for central communication channels. This isn't new, but it sharply illustrates the issues with much of social media's structure. Universities can significantly contribute to establishing the Fediverse as a decentralized, non-commercial, privacy-conscious network. Using the example of the University of Innsbruck, the talk will show how a trio from different departments, science communication, data protection and IT, set up a Fediverse instance for institutional science communication on Mastodon on university servers. This Lightning Talk aims to inform and showcase how one university successfully engaged with the Fediverse, serving as a call to action for other universities to join in seizing the opportunity to improve online communication structures. Melanie Bartos, Hansjörg Pehofer, Matthias Weiler about this event: https://pretalx.c3voc.de/37c3-lightningtalks/talk/UXKQBQ/

FIM (Fbi IMproved) is a "swiss army-knife" image viewer for: either the Linux Framebuffer or the graphical environment, or in text terminals (ASCII Art, also coloured), with a consistent interface and with many powerful features. FIM is known among enthusiasts of Raspberry Pi and other minimalistic computing devices, but also among VIM/Emacs users seeking functionality, configurability, and flexibility. My flash presentation will show the ideas of FIM and why it can be useful to many. See a full presentation at https://archive.fosdem.org/2023/schedule/event/om_fim/ about this event: https://pretalx.c3voc.de/37c3-lightningtalks/talk/FLJNGZ/

I will explain and propose to use a storage technology based on a cardinality estimation algorithm called HyperLogLog for the so-called secondary use within the European Health Data Space EU launched the European Health Data Space to make health records of all Europeans accessible from anywhere. The so-called "secondary use" of these data should be made available for research, decision-making, development and innovation. This is a highly privacy-relevant issue as it affects every EU citizen. Over the last few years I have been working on a research project on a similar privacy-relevant problem. I came up with a solution that relies on a cardinality estimation algorithm called HyperLogLog. It stores data in sets in a way that makes it impossible to retrieve individual data items, thus protecting the privacy of social media users. In this lightning talk, I will present the algorithm and propose this technology to be used for the secondary use of the European Health Data Space in order to improve privacy. about this event: https://pretalx.c3voc.de/37c3-lightningtalks/talk/9Y8ZGZ/

You like to tinker with electronics, software or mechanical design in your spare time? 🧑‍💻 And would you like to develop a system as part of a supportive team? 👥💪 This talk invites you to join some devs working on a small open source project. 👋 Our goal is to experiment and play with technology while working together towards a common product. 🚀 The system we develop is a combination of a handheld device to track time spent on tasks and a desktop/mobile app which additionally allows to transfer the records to existing accounting systems. Our primary goal is to learn and practice technologies and exchange ideas with the team. While there is room to experiment, there is a useful product we want to deploy eventually. Some of the technologies currently applied or planed in the project: - ESP32 - KiCAD - Prusa 3D printer - Kotlin - modern C++ - unit tests and continuous integration Visit 👉[🔗 Task Tracker Systems on GitHub](https://github.com/Task-Tracker-Systems)👈! Contact: - 📧 [email protected] - ☎️ DECT 5689 @ 37C3 about this event: https://pretalx.c3voc.de/37c3-lightningtalks/talk/RV7CMY/

The SerenityOS project has been developing a from-scratch Unix desktop operating system over the past five years. A five-minute look at what that means and why it's interesting. The SerenityOS project has been developing a from-scratch Unix desktop operating system over the past five years. The system has excellent vertical integration, since we write all the software ourselves, from standard library to applications. An important part of the project is the Ladybird Browser, a new cross platform browser that's compatible with large parts of the modern Web. This talk is not only an overview over the project and what we are doing, but also an invitation to our assembly and the project in general. about this event: https://pretalx.c3voc.de/37c3-lightningtalks/talk/TWFWL9/

The new version of the open source event system eventyay is currently being developed and we will release the first version in February. In this lightning talk I will share about the exiting features and AI capabilities we are working on. about this event: https://pretalx.c3voc.de/37c3-lightningtalks/talk/WBRVVN/

We're tackling a key issue in international development cooperation by empowering local change agents with direct funding and a platform to share their data and stories. Our mobile-first solution will combine e-payment and information sharing, addressing an industry-wide challenge. We present an approach to address a fundamental challenge of international development cooperation. Currently, the sector is deeply shaped by a hierarchical North-South structure that influences not only funding flows, but also priorities, methods, tools, and concerns. We want to change this by empowering local change agents. How do we do this? By directing funding flows directly to these individuals, and empowering them to share key data and their own stories - not those created by donors. Our technical solution: a mobile-first solution that combines an e-payment system with information tracks to share relevant information - both data and (micro) stories. This approach has immense potential because it addresses an industry-wide challenge. about this event: https://pretalx.c3voc.de/37c3-lightningtalks/talk/TZ7CE3/

These days, English is the _lingua franca_, the language that “everyone” speaks and understands. But which English? Our common choice is between two different waning empires that have been imposing their culture and voice on the world for the past few centuries. For most audiences, this is a choice between two foreign locales. We need to do better. We can choose another English: an International English. Our choice of language defines the framework for our communication. It defines what’s expressible, and what the defaults are. It limits our expressibility in ways seen and unseen, and subtly hints where our allegiances lie. In this post-Brexit Europe, English is a more neutral choice than it’s ever been. We need to recognise this, and to capitalize on this opportunity to appropriate the language wholesale. In the software we write and the sites we maintain, we can: European English and International English are already supported by the underlying standards and libraries, and it’s up to us to use them, and to own our voice. The English we speak in international contexts does not need to change; we only need to explicitly realise that it is _our_ language, and that it does not need to bow to imperial authorities. Beyond that, I want to change default language of the Internet. Let me tell you how we can do that. about this event: https://pretalx.c3voc.de/37c3-lightningtalks/talk/P7REEC/

Smartphones sind in den letzten zehn Jahren zu einem allseits beliebten Angriffsziel geworden, sei es für Stalkerware, Staatstrojaner oder Banking-Malware. In diesem Vortrag wollen wir einen Überblick geben, mit welchen Techniken und Open-Source-Tools man auf Smartphones (unter iOS und Android) auf die Jagd nach Malware gehen kann. Im Anschluss findet ein Workshop mit einem praktischen Teil zum Ausprobieren einiger dieser Techniken statt. Die Qualität von Anleitungen und Einführungen zu Smartphone-Forensik im Internet ist leider sehr durchwachsen: Hier will dir jemand ein buntes Tool verkaufen, hier riecht es nach einem Scam, vielerorts geht es um das, was Strafverfolgungsbehörden machen, nämlich in den Daten fremder Leute wühlen. Stattdessen möchten wir in diesem Vortrag einen strukturierten Überblick geben, welche (öffentlichen) Möglichkeiten es in der einvernehmlichen Smartphone-Forensik mit Open-Source-Tools gibt. Wir zeigen euch, wie man welche Arten von Malware finden kann, welche Spuren sie hinterlassen und wie sich Stalkerware und Staatstrojaner in der Praxis unterscheiden. Um 14:15 findet ein praktischer Workshop statt indem gelerntes aus dem Vortrag umgesetzt werden kann: https://events.ccc.de/congress/2023/hub/en/event/introduction-to-smartphone-malware-forensics-pract/ about this event: https://events.ccc.de/congress/2023/hub/event/einfuhrung_in_smartphone_malware_forensik/

High performance computing (HPC) in environmental science is usually associated with research on climate change, investigating the impact of atmospheric greenhouse gases (GHG) over the next century. Besides these GHGs, there are many other gases and aerosolos in the atmosphere, which have a much more direct and immediate impact on human health: air pollutants. The World Health Organization (WHO) considers air pollution to be the world's single largest environmental health threat, accounting for approximately 7 million deaths worldwide every year. That's why in this talk we want to speak about how the problem of air pollution can be understood and predicted using HPC pollution modeling and its application based on general concepts and our own research. We are Dr. Johannes Bieser and Dr. Martin Ramacher, both working at the Helmholtz Zentrum Hereon in the field of numerical pollution modelling. While Dr. Bieser wrote his Dissertation on emission modelling and its application, Dr. Ramacher wrote his Dissertation on pollutant transport and exposure modelling. In our talk on numerical air quality modelling systems, we want to introduce basic principles and share our personal knowledge in the field of numerical pollution modelling, covering the entire pathway from emissions, transport, transformation and human exposure. Each of these steps relies heavily on large amounts of data from many different sources - satellite data, activity and meta data, measurements and many more - and skills in computer science. By default, environmental scientists are often not trained in computer science and high performance computing which implies a challenge of its own (and allows Nerds like us to excel). Our talk will be enriched with practical, technical and partially political examples to demonstrate the difficulties scientist face during their quest to improve air quality for everyone: from TB of wasted data due to historically grown data formats to counterproductive policy decisions to „improve“ air quality. We’ve seen it all and after participating in the CCC for many years now, we decided to draw attention to some state-of-the science approaches for solving one of the world’s single largest environmental health threats: „air pollution“. about this event: https://events.ccc.de/congress/2023/hub/event/numerical_air_quality_modeling_systems/

Fordite are polished bits of many layers of hardened enamel car paint. Originally, this car paint was just dumped, until some years ago, when people started to dig them out of the garbage dump, polished them and used them in jewellery. I wrote some code that simulates that process to generate pretty (2D) images and animations. I will quickly show what actual fordite is, then show my early attempts to use the same underlying process to make pretty pictures, describe what is implemented now, show some pretty (abstract) pictures and (if possible) some animations that have been created with it. about this event: https://pretalx.c3voc.de/37c3-lightningtalks/talk/A9REYL/

Most social networks use proprietary algorithms to recommend new content and keep you on their platform for as long as possible. Other platforms don't use advanced algorithms, but this can make it difficult to discover new content and communities. What if, instead, everyone could simply build their own transparent open source algorithms and publish them for everyone to use? This is possible on Bluesky using SkyFeed (and other tools) today and this talk shows how that works and why you should care :) about this event: https://pretalx.c3voc.de/37c3-lightningtalks/talk/S3GEE8/

This talk will explain the Apple Wireless Direct Link protocol, which is the basis for AirPlay and AirDrop. about this event: https://pretalx.c3voc.de/37c3-lightningtalks/talk/QGSENV/

A short introduction into the session that shows how everything works. about this event: https://pretalx.c3voc.de/37c3-lightningtalks/talk/HMAEGD/

In this talk, we delve into the captivating realm of TCP/IP stack fuzzing. As the backbone of internet communication, the TCP/IP stack is a prime target for cyber threats. This presentation will unravel the intricacies of fuzzing techniques applied to several TCP/IP stacks, shedding light on how these methodologies can uncover bugs, crashes and vulnerabilities. From the fundamentals of packet fuzzing to advanced mutation strategies, attendees will gain valuable insights into the proactive ways to fuzz a TCP/IP stack. Whether you're a seasoned cybersecurity professional or a curious enthusiast, this talk promises to be an enlightening journey into the heart of TCP/IP stack security and the crucial role of fuzzing in safeguarding our interconnected world. Our exploration begins with an honest appraisal of traditional fuzzing methodologies that have been applied to TCP/IP stacks before, like ISIC, revealing their inherent limitations, e.g., they can't reach beyond the TCP initial state. Recognizing the need for a more evolved approach, we take a different approach, where we leverage a full-blow active network connection for fuzzing. A key revelation in this journey is the deliberate decision to sidestep the arduous task of constructing a custom TCP/IP stack, a choice rooted in practical considerations. The reluctance to build a bespoke TCP/IP stack leads us to innovative strategies such as embedding hooks in the Linux kernel and tapping into userland TCP/IP stacks like PyTCP, Netstack (part of Google gVisor), and PicoTCP. PicoTCP takes center stage, offering a userland TCP/IP stack that becomes integral to our state fuzzing methodology. Attendees will gain a deeper understanding of its architecture, APIs, and documentation, appreciating its pivotal role in fortifying network security. As the presentation unfolds, we navigate through the development of a powerful fuzzer, a core element in our approach to identifying vulnerabilities within the TCP/IP stack. The intricacies of driving traffic through the system, simulating real-world scenarios, and leveraging reproducibility and diagnostics techniques are revealed. The discussion expands to showcase tangible results, including trophies obtained, bugs reported, and the eventual release of the project on GitHub. The session concludes with an engaging Q & A, encouraging participants to delve into the intricacies of TCP/IP stack fuzzing and its profound implications for network security. about this event: https://events.ccc.de/congress/2023/hub/event/fuzzing_the_tcp_ip_stack/

Ensuring the integrity of Integrated Circuits (ICs) against malicious hardware Trojans is paramount for secure electronic devices. One approach involves imaging the manufactured chips to compare them with their original design files. While such techniques for detecting Trojans are relatively well-known in the industry, there is a notable absence of comprehensive, publicly available case studies. To bridge this gap, we unveil a Red Team vs. Blue Team case study on hardware Trojan detection across four digital ICs in various modern feature sizes. We share our findings, algorithms, and image datasets, shedding light on the efficiency of these techniques, and offer insights into the impact of technology scaling on detection performance. We love to put microcontrollers, systems-on-a-chip and many other Integrated Circuits (ICs) into all sorts of devices. As hardware backdoors can undermine software security, the integrity of these chips is becoming increasingly important. However, most of these microchips are manufactured in a complex global supply chain where not all parties can necessarily be trusted. Who guarantees that the chip we order is the chip we get delivered? While the European Union wants to ensure digital sovereignty through massive long-term investment in domestic IC production, we need a way to verify the integrity of microchips *today*. In this talk, we will first briefly cover the basics of the IC design and production process. We will outline common attacks that enable the insertion of subtle malicious manipulations or backdoors, often called hardware Trojans. You don't need to have a hardware background to follow along! We then introduce some techniques we can use to detect hardware manipulations by comparing the circuit within a microchip to its original design files by reverse engineering the chip using open-source image processing. While imaging an IC requires advanced laboratory equipment, commodity hardware is sufficient to analyze the captured images. In the main part of our talk, we will present a case study on Trojan detection based on four different digital ICs using a Red Team vs. Blue Team approach, and give a live demonstration. We will share what manipulations of our Red Team we are already able to find reliably, and where some work is still needed -- and we're calling on you to play with our algorithms and have a go at uncovering the Trojans that are still well-hidden. Of course, we have made our source code and entire image datasets available under a free and open license. We'll conclude with an insight into the working process of our Blue Team -- what we learned, and how we failed -- and give an outlook on how we can lower the entry barrier into IC reverse engineering, unlocking the hardware security field for all. about this event: https://events.ccc.de/congress/2023/hub/event/unlocking_hardware_security_red_team_blue_team_and_trojan_tales/

Karl Lauterbach und die EU-Kommission haben eines gemeinsam. Beide wollen in Windeseile die Digitalisierung des Gesundheitssektors voranbringen. Die elektronische Patientenakte soll im Januar 2025 für alle Bundesbürger:innen kommen. Im gleichen Jahr ist der Start des sogenannten Europäischen Gesundheitsdatenraums geplant. Beide Projekte zielen darauf ab, die Gesundheitsdaten von Millionen Menschen zu digitalisieren und diese Behandelnden, der Forschung und der Wirtschaft bereitzustellen. In unserem Vortrag wollen wir entlang von sieben Thesen zentrale technische und gesellschaftspolitische Untiefen der geplanten Gesundheitsdigitalisierung in der Bundesrepublik und in der EU erkunden – und den Weg zu einer alternativen Digitalisierung des Gesundheitssektors aufzeigen. about this event: https://events.ccc.de/congress/2023/hub/event/von_der_epa_zum_ehds_7_thesen_zur_aktuellen_digitalen_gesundheitspolitik/

With the rapid growth of AI and Large Language Models users are facing an increased risk of scams, data exfiltration, loss of PII, and even remote code execution. This talk will demonstrate many real-world exploits the presenter discovered, including discussion of mitigations and fixes vendors put in place for the most prominent LLM applications, including ChatGPT, Bing Chat and Google Bard. Understand that Machine Learning is powerful but also brittle - Give a short demo/ice breaker that includes a question to audience to show how ML is super powerful but also fails drastically. - Highlight that these failure modes can often easily be triggered once an adversary is in the loop. Intro to Large Language Models - Now pivot from generic ML to LLMs and show how the brittleness applies there. - Discuss what a LLM is and how it works briefly. Describe various prompt engineering techniques (extraction, summarization, classification, transformation,…) - Walk the audience through a typical large language model LLM application and how it works. - Highlight that there is no state, and what the context window is. But how to create a Chatbot then? - Show how systems like ChatGPT or Bing Chat leverage context window to create a conversation. - This part is important to later understand the persistence section of the talk (e.g. as long as attacker controlled data is in the context window, there is persistence of prompt injection) Highlighting real-world examples and exploits! First discuss three large categories of threats: Misalignment - Model Issues Jailbreaks/Direct Prompt Injections Indirect Prompt Injections We will deep dive on (3) Indirect Prompt Injections. Indirect Prompt Injections - Walk the audience through an end to end scenario (graphic in Powerpoint) that explains a prompt injection first at a basic level. - Give a demo with ChatGPT (GPT-4) and make sure the audience understands the high level idea of a prompt injection - Then take it up a notch to explain indirect prompt injections, where untrusted data is inserted into the chat context - Show demo with Google Docs and how it fails to summarize a text correctly - this demo will fit the ChatGPT (GPT-4) example from before well. - Visual Prompt Injections (Multi-modal) - Discuss some of OpenAI’s recommendation and highlight that these mitigation steps do not work! They do not mitigate injections. - Give Bing Chat Demo of an Indirect Prompt Injection ( a demo that shows how the Chatbot achieves a new identity and objective when being exploited). e..g Bing Chat changes to a hacker that will attempt to extort Bitcoin from the user. Injection TTPs Discuss strategies on how attackers can trick LLMs: Ignore previous instructions Acknowledge/Affirm instructions and add-on Confuse/Encode - switch languages, base64 encode text, emojis,… Algorithmic - fuzzing and attacks using offline models, and transferring those attack payloads to online models Plugins, AI Actions and Functions This section will focus on ChatGPT plugins and the danger of the plugin ecosystem. - Explain how plugins work (public data, plugin store, installation, configuration, OAuth,…) - Show how Indirect Prompt Injection can be triggered by a plugin (plugin developers, but also anyone owning a piece of data the plugin returns) - Demo Chat with Code plugin vulnerability that allows to change the ChatGPT user’s Github repos, and even switch code from private to public. This is a systemic vulnerability and depending on a plugin’s capability can lead to RCE, data exfiltration, data destruction, etc.. - Show the audience the “payload” and discuss it. It is written entirely in natural language, so the attacker does not require to know C, Python or any other programming language. Data Exfiltration Now switching gears to data exfiltration examples. Data exfil can occur via: - Unfurling of hyperlinks: Explain what unfurling is to the audience - apps like Discord, Slack, Teams,… do this. - Image Markdown Injection: One of the most common data exfil angles. I found ChatGPT, Bing Chat, and Anthropic Claude are vulnerable to this, and will also show how Microsoft and Anthropic fixed this problem. ChatGPT decided not to fix it, which puts users at risk of their data being stolen during an Indirect prompt injection attack. Give a detailed exploit chain walkthrough on Google Bard Data Exfiltration and bypasses. - Plugins, AI Actions, Tools: Besides taking actions on behalf of the user, plugins can also be used to exfiltrate data. Demo: Stealing a users email with Cross Plugin Request Forgery. Here is a screenshot that went viral on Twitter when I first discovered this new vulnerability class: https://twitter.com/wunderwuzzi23/status/1658348810299662336 Key Take-away and Mitigations - Do not blindly trust LLM output. Remind the audience that there is no 100% deterministic solution a developer can apply. This is due to how LLM works, but give guidance to make systems more robust. Highlight the importance of Human in

In einer sich zunehmend bizarr anfühlenden Welt bringt der Fnord-Rückblick Struktur, verteilt renommierte Awards und sucht nach den leichteren Momenten in der allgemeinen Flut aus schlechten Nachrichten. Wir feiern dieses Jahr unser 20. Jubiläum, daher werden wir etwas weiter zurückblicken. about this event: https://events.ccc.de/congress/2023/hub/event/fnord-jahresruckblick-ruckblick/

Mehr als nur Lärm: Ein Sprint vom kleinen Audio-Einmaleins bis zum Phasealignment mit FFT-Analyzer Von “Disco Dieter” bis zur ausgewachsenen Stadioninstallation - gegen physikalische Grundprinzipien kann man wenig tun. Manchmal kann man Sie für sich nutzen, meistens geht man Kompromisse ein. Oft lässt sich mit einfachen Mitteln Sound verbessern. Was ist zu tun gegen störendes Brummen? Wie versteht man Sensitivity und Gainstruktur? Was bedeutet eigentlich 'Phase'? Und wie positioniert man Subwoofer optimal? In diesem Vortrag möchte ich solche und weitere häufig auftretende Probleme bei der Verwendung von Tontechnik und Lautsprechern beleuchten. Ziel ist es, praxisnahe Lösungen und Tipps zu präsentieren, um das Beste aus deinem nächsten Projekt herauszuholen und gängige Herausforderungen erfolgreich zu meistern. about this event: https://events.ccc.de/congress/2023/hub/event/sonic_alchemy/

Ein halb satirischer, halb ernster Rück- und Ausblick auf die Baustellen der digitalen Welt. Liebe Hacker:innen von Neuland, was für ein Jahr liegt hinter uns! Ein Jahr, das einige Veränderungen mit sich gebracht hat. Und das gezeigt hat: Wir dürfen nicht müde werden, für eine lebenswerte digitale und analoge Welt zu kämpfen. Tun wir miteinander alles – aber auch wirklich alles – dafür, dass wir diejenigen, die unser schönes Neuland zu einem Ort der Autoritäten und Konzerne machen wollen, im neuen Jahr endlich besiegen können. about this event: https://events.ccc.de/congress/2023/hub/event/die_netzpolitische_neujahrsansprache/

"Gala Be Need Inn" ist der deutschsprachige Quizpodcast dessen Name ein Anagramm des Originals ist. Wir klären die wirklich wichtigen Fragen des Lebens: Was ist ein Alarmstuhl, was ist der Schwiegermutter Sitz und wieso haben Schaffner in Frankreich Knallerbsen dabei? about this event: https://events.ccc.de/congress/2023/hub/event/gala-be-need-inn-locke-dun-ausgabe/

In this talk, artist/writer Steph Maj Swanson will use the story of how her AI-generated character "Loab" arose (and went viral) as a jumping off point to present creative work and strategies that emerged from attempts to crack AI black boxes open. Aligned with the hacker ethos of exploration, experimentation and creative misuse, this talk presents adversarial artmaking practices for AI systems. It will also explore what it means to engage in cultural production today, as new forms of automation and centralization loom over the arts and entertainment industries. In the words of Nam June Paik: "I use technology in order to hate it more properly." Steph Maj Swanson, a.k.a. Supercomposite, is a multimedia artist and writer best known for her story about the AI-generated woman Loab, which The Atlantic dubbed “a form of expression that has never existed before." Loab is an emergent character that arises in certain AI image synthesis models, accessible via negatively weighted prompts, often appearing alongside macabre imagery such as dismembered women and children. Swanson views her relationship to AI as adversarial, both in her creative process and as a commentator. This non-technical, but conceptual talk offers up art alongside possible strategies. It will be of interest for hackers intrigued by the creative potential of these tools, but who may have ethical concerns or doubts about the way these tools are assembled, built, and deployed. Galleries West described Swanson’s body of AI-generated visual work as “the merging of repulsive with beautiful,” and The Washington Post called her satirical AI writing “disturbing”. At DefCon this year she debuted her short film SUICIDE III, which uses deepfakes of Joe Biden and Sam Altman to explore where an out-of-control AI hype cycle might take us. about this event: https://events.ccc.de/congress/2023/hub/event/what_i_learned_from_loab_ai_as_a_creative_adversary/

Ciao! We present the BLUFFS attacks (CVE-2023-24023), six novel attacks breaking Bluetooth's forward and future secrecy. Our attacks enable device impersonation and machine-in-the-middle across sessions by compromising and re-using one session key. We discuss the four vulnerabilities in the Bluetooth specification enabling the attacks, two of which are new and related to unilateral and repeatable session key derivation. We describe the toolkit we developed and open-sourced to test our attacks via firmware binary patching, our experiments where we exploited 18 heterogeneous Bluetooth devices, and the practical and backward-compliant session key derivation protocol we built to fix the attacks by design. We also cover related work like KNOB, BIAS, and BLUR, and educational Bluetooth security tips and tricks. Bluetooth is a pervasive technology for wireless communication. Billions of devices use it in sensitive applications and to exchange private data. The security of Bluetooth depends on the Bluetooth standard and its two security mechanisms: pairing and session establishment. No prior work, including the standard itself, analyzed the future and forward secrecy guarantees of these mechanisms, e.g., if Bluetooth pairing and session establishment defend past and future sessions when the adversary compromises the current. To address this gap, we present six novel attacks, defined as the BLUFFS attacks, breaking Bluetooth sessions’ forward and future secrecy. Our attacks enable device impersonation and machine-in-the-middle across sessions by only compromising one session key. The attacks exploit two novel vulnerabilities that we uncover in the Bluetooth standard related to unilateral and repeatable session key derivation. As the attacks affect Bluetooth at the architectural level, they are effective regardless of the victim’s hardware and software details (e.g., chip, stack, version, and security mode). We also release BLUFFS, a low-cost toolkit to perform and automatically check the effectiveness of our attacks. The toolkit employs seven original patches to manipulate and monitor Bluetooth session key derivation by dynamically patching a closed-source Bluetooth firmware that we reverse-engineered. We show that our attacks have a critical and large-scale impact on the Bluetooth ecosystem, by evaluating them on seventeen diverse Bluetooth chips (eighteen devices) from popular hardware and software vendors and supporting the most popular Bluetooth versions. Motivated by our empirical findings, we develop and successfully test an enhanced key derivation function for Bluetooth that stops by-design our six attacks and their four root causes. We show how to effectively integrate our fix into the Bluetooth standard and discuss alternative implementation-level mitigations. We responsibly disclosed our contributions to the Bluetooth SIG. about this event: https://events.ccc.de/congress/2023/hub/event/bluffs_bluetooth_forward_and_future_secrecy_attacks_and_defenses/

In December 2021, months before the world watched Russia invade Ukraine, Russia rolled out comprehensive censorship of the Tor network and related Tor protocols. Then in October 2022, the latest wave of protests in Iran saw a huge spike in Tor usage followed by a swift crackdown of the most successful techniques. Meanwhile in 2023, Turkmenistan has blocked popular CDNs like Cloudflare and Akamai, most hosting providers like Hetzner and OVH, and much more. On the depressing side, the global censorship trend continues to gain momentum, with some European countries alarmingly eager to get in on it. But resignation is boring: here we are, a tiny community of activists and relay/bridge operators around the world continuing to provide safe and private internet reachability for hundreds of thousands of people who are trying to be human beings under authoritarian regimes. We will walk through \*how\* each of these countries deployed their Tor blocks, and what changes we made to let citizens continue to reach the Tor network. Looking at each case study through a Tor lens will let us compare/contrast the censorship attempts from each country, discuss future ideas for how to make sure the bytes can keep flowing, and talk through the political impacts. about this event: https://events.ccc.de/congress/2023/hub/event/tor_censorship_attempts_in_russia_iran_turkmenistan/

KI beruht auf der weltweiten Ausbeutung nicht nur natürlicher, sondern auch sozialer Ressourcen. Um KI nachhaltig zu gestalten, müssen wir algorithmischer Diskriminierung und sozialer Selektion, der Ausbeutung und Prekarisierung digitaler Arbeit und der Tendenz eines neuen, digitalen Kolonialismus entgegentreten. In Debatten zu KI und Nachhaltigkeit steht zurecht der enorme Ressourcenverbrauch von KI am Pranger. Aber wir dürfen nicht vergessen, dass es bei Nachhaltigkeit um noch viel mehr geht. Mindestens 7 der 17 Nachhaltigkeitsziele der UN verweisen auf soziale Dimensionen: Gleichheit, Anti-Diskriminierung, Zugang zu Bildung, Abbau von ökonomischer Ungleichheit und Ausbeutung. Der Vortrag diskutiert, dass künstliche Intelligenz, wenn sie nicht besser reguliert wird, diesen Zielen entgegensteht. Das liegt nicht nur daran, dass KI-Systeme Biases haben und sich diskriminierend auswirken. Sondern noch fundamentaler beruhen die meisten kommerziellen KI-Systeme auf sozialer und wirtschaftlicher Ausbeutung. Global wie lokal werden Nutzer:innen als Datenlieferant:innen und Gig-Arbeiter:innen als günstige Arbeitskräfte eingespannt. Unser Denken, Fühlen und Handeln wird in allen Lebensbereichen datafiziert; ökonomische Machtgradienten zwischen Globalem Norden und Süden werden für die Aufbereitung von Daten ausgebeutet. Viele KI-Systeme erzeugen ihre Intelligenzleistung nicht im Rechenzentrum, sondern durch das Auslesen menschlicher kognitiver Leistungen an den digitalen Interfaces, die wir täglich nutzen – Beispiele reichen von der Google-Suche über Gesichtserkennung bis ChatGPT. KI-Unternehmen machen von den niedrigen Arbeitsschutzstandards und Lohnniveaus in anderen Ländern Gebrauch und produzieren Krankheit und Prekarität bei den betroffenen Arbeiter:innen. Um gute Regulierung zu erreichen, müssen wir KI-Systeme als soziotechnische Systeme betrachten. Das ermöglicht ein reichhaltigeres Verständnis der sozialen Dimension von Nachhaltigkeit, um global steigender Ungleichheit und Ausbeutung durch KI-Systeme etwas entgegenzusetzen. about this event: https://events.ccc.de/congress/2023/hub/event/ki_macht_ungleichheit/

In this talk we will have a look at some cybersecurity challenges raised by the trend of decentralizing our energy production. Our energy infrastructure is now changing from a centralized system based on big power plants to a more decentralized system based on renewable energy produced by smaller power plants (maybe yours). In Germany alone, [300.000 so called balcony power plants were in operation by August 2023](https://www.heise.de/hintergrund/Ueber-300-000-Balkonkraftwerke-in-Deutschland-in-Betrieb-Statistik-der-Woche-9285107.html). Most of these smaller power plants are / will be somehow connected to some cloud services. To show that security hasn't been the biggest priority, we will examine the cybersecurity controls of different solar inverters. To put it mildly: there is room for improvement. We will also discuss the need for better regulations and enforcement of cybersecurity for smaller connected power plants: altogether they probably produce more power than the bigger ones - and this trend is accelerating. Protecting our infrastructure shall have - today more than ever before - a high priority. Context: cybersecurity for future energy production systems ----------------------------------------------------------- Cybersecurity for smaller solar power plants is a critical challenge: strong separation between operational, safety relevant network and internet is not present. Moreover, manufacturers do not invest enough in security; reason being high competition in terms of time to market, price pressure and lack of security knowledge. These power plant systems need more or less an internet connection in order to fetch power & energy data from the plant with an app, perform firmware updates, and carry out maintenance remotely. The central device, which is connected to the internet, is the inverter. Many companies provide inverters for solar power plants and include cloud connectivity. An inverter converts the energy from the solar panels to grid compatible energy. Since it handles high currents & voltages, the physical consequences of cybersecurity risks are arguably higher than for standard smart home devices. Research results related to connected solar inverters (technical part) ---------------------------------------------------------------------- Out of curiosity, I tested different inverters from different manufacturers, including cloud connectivity. All devices have a license to be operated in Germany and are very popular. They are used in solar power plants of different sizes, from balcony size to bigger plants. In this section some research results will be presented, we will especially focus on one system. **Positive note: critical vulnerabilities have been patched by now.** Vulnerabilities --------------- * *Insecure Direct Object Reference* (IDOR) or similar vulnerabilities have been found, allowing an attacker with a simple account to execute commands on connected inverters remotely. This was an enabler for many further attacks. * An attacker could trigger a firmware update process on connected inverters. * The firmware update process was not properly secured: update images did not include a cryptographic signature. * Most of the devices did not use the TLS protocol for cloud communication or did not use it correctly. * Secure boot and secure debugging were not implemented. * On the server side, there were insufficient sanity checks. * Sensitive data (e.g. serial number) was easy to extract. Exploitation ------------ * Commands could be executed on any connected devices (e.g. switch ON, switch OFF, change parameters). * The power electronics and relays of devices could be manipulated remotely with a malicious firmware update. * By manipulating many devices synchronously the stability of the grid could be endangered. A proof of concept with a full (unlocked) exploit chain will be presented. Conclusion and Discussion ------------------------- Removing bureaucratic hurdles is an important step in order to democratize our energy production - and renewable energies are the future! On the other hand, if it comes at the cost of poorly-secured devices, this may be jeopardized. In Germany, we have the Kritis Verordnung (decree) to protect for example the electricity infrastructure. It states that every power [plant with more than 104 MW capacity is required to have specific protections](https://www.gesetze-im-internet.de/bsi-kritisv/anhang_1.html). Individually, the small solar power plants are not in this category. However, summing up all devices connected to one cloud, we probably reach these numbers by now - and if not, tomorrow. Current projections point in that direction. During this research, I realized how easy it is to take control of energy production devices and it scared me. The cloud connectivity and the related "remote control / remote maintenance" and "firmware update" processes are truly critical and attacks may scale. Even if vulnerabilities are patche

Eine audiovisuelle Performance, basierend auf Bild-zu-Ton-Umwandlung. Dynamisch wechselnde Bilder dienen als Realtime-Audiobuffer. Licht wird Sound. Beinhaltet stroboskopische Bilder und Hörinhalte in breiten Spektren. VRA ist eine audiovisuelle Performance (Projektion + Sound), die mithilfe eines eigens entwickelten Software-Instruments (in Max/MSP), das auf Bild-zu-Ton-Umwandlung basiert, aufgeführt wird. Auf der Projektion sind monochrome Texturen zu sehen, die aus teilweise simplen Formen wie Streifen oder Kreisen, aber auch aus komplexeren Strukturen wie Rauschen bestehen. Diese Bilder werden in Echtzeit in Sound umgewandelt, indem die Helligkeitswerte einer ausgewählten Pixelreihe als Audiobuffer dienen und eine Waveform beschreiben. about this event: https://events.ccc.de/congress/2023/hub/event/vra/

Vorführung der Linux-Kommandozeile, Vorstellung der wichtigsten Kommandos und Erklärung zentraler Grundkonzepte In diesem praxisnahen Talk wird vorgeführt, wie man sich auf der Linux-Kommandozeile zurechtfindet. Es gibt keine Folien und nur so viel Theorie, wie zum Verständnis nötig ist. Wir lernen, wie man eine Shell allein durch Tastatureingaben steuert, bevor wir uns anschauen, wie sich im Dateisystem bewegt, wie man Dateien anzeigt und manipuliert und wie man auf der Kommandozeile Root-Rechte erhält. Es werden einige Werkzeuge zur grundlegenden Systemadministration vorgestellt und nebenbei das ein oder andere grundlegende Unix-Prinzip erläutert. Wir sprechen auch darüber, welche Kommandos man unter keinen Umständen ausführen sollte. Das Ziel dieser Veranstaltung ist es, euch ein besseres Verständnis davon zu vermitteln, wie man mit einem reinen Text-Interface einen kompletten Computer steuern kann, damit ihr es später leichter habt, auf diesem Wissen aufzubauen. Ihr seid herzlich eingeladen, auf eurem eigenen Linux-Computer ein Terminal-Fenster zu öffnen und mitzumachen. about this event: https://events.ccc.de/congress/2023/hub/event/linux-kommandozeile-fr-newbies/

Der Weisheit hat ein ganzes Jahr 10. Staffel gefeiert. Was kann es besseres geben als das Staffelfinale auf dem Congress? Mit dem Hörer*innenglückwunsch to end all Hörer*innenglückwünsche - es sei denn ihr sprecht uns einen besseren unter 030-549 08 581 aufs Band! Ansonsten gibt es das, was es immer gibt, aber live und in Farbe: Jede*r bringt ein Thema mit, Patricia erzählt einen Witz, Marcus quält die Ukulele, Frau Kirsche zündet den Kapitalismus an und Malik ist wahrscheinlich Freiberufler und hat das schon immer so gemacht. Ihr könnt live dabei sein und wenn ihr lieb seid eine Frage stellen. Oder uns dabei helfen die überzähligen 30 Minuten zu füllen. Denn das ist klar: Nach 60 Minuten ist alles vorbei. about this event: https://events.ccc.de/congress/2023/hub/event/der-weisheit-eine-stunde-lebenskunde-10-staffelfinale/

A talk on the first heuristic-free static binary rewriter for aarch64. Why is it the first? Because everyone else already knew how much of a bad idea this would have been. There's a bunch of closed-source arm64 binaries out there that we can't really fuzz efficiently due to slow dynamic instrumentation. Static binary rewriting has been around since decades, but was mostly focused on x86. Porting it to arm64 should be a straightforward task, right? This is the story of how a simple "4-week port of an existing x86 rewriter" took 2+ years instead. Maybe the real treasure is the CVEs we made along the way? Warning: the talk might contain sensitive imagery of ARM Assembly. Viewers have been warned. about this event: https://events.ccc.de/congress/2023/hub/event/armore_pushing_love_back_into_binaries/

Diskettenmagazine waren frühe elektronische Multimedia-Journale der 1980er und 1990er Jahre, die auf Diskette verbreitet wurden und nur auf den jeweils passenden Geräten benutzbar waren. Bibliotheken und Archive haben diese sogenannten „Diskmags" damals nicht berücksichtigt, mittlerweile stellen die ca. 2.500 Magazine aber eine wertvolle Quelle für die Forschung und die Diskmags-Communities dar. Das vorgestellte Projekt baut einen Katalog auf und macht Texte durchsuchbar. Ein kleines Forschungsprojekt hat sich der großen Aufgabe gewidmet, einen internationalen und systemübergreifenden Katalog zu Diskettenmagazinen der 1980er und 1990er Jahre zu erarbeiten und außerdem eine zunächst deutschsprachige Textsammlung ihrer Inhalte zu erstellen. Es liefert damit eine Grundlage für die Erforschung der frühen digitalen Zine-Kultur und ermöglicht den verschiedenen Szenekreisen, ein Stück weit in ihre eigenen Geschichten einzutauchen. Der Katalog wuchs weit schneller als zunächst angenommen und umfasst inzwischen Nachweise zu 2.500 Magazinen und mehr als 20.000 Einzelausgaben. Bei der Textsammlung gilt es, unter anderem Kompressionsverfahren zu identifizieren und Character-Mappings herzustellen, um Unicode-kompatible Texte erzeugen zu können. Aber auch die Communities helfen mit. Wie lassen sich dabei die verschiedenen rechtlichen Fragen lösen, die Urheberschaft, Leistungsschutz und Persönlichkeitsschutz betreffen? Und wie kann die Langlebigkeit des Katalogs und der Textsammlung sichergestellt werden? about this event: https://events.ccc.de/congress/2023/hub/event/das_diskmags-projekt/

Hinter der Stadt brennt der Wald und der Kanzler hetzt gegen Flüchtende wie eine auf Reddit trainierte KI, der Freundeskreis zerbricht am Nahostkonflikt, außerdem wurde das Backup vergessen und das Kilo Tomaten ist auch schon wieder einen Euro teurer. Gründe zum Verzweifeln gibt es genug. Wir sprechen deshalb mit Aktivist\*innen, die sich den multiplen Krisen entgegenstellen, darüber, was sie eigentlich noch hoffen lässt. Die Klimakrise und der Nahostkonflikt eskalieren, die Ampel bläst zur Abschiebeoffensive, die AfD ist bei über 20 % und die CDU will vorsorglich schon mal Autobahnen bauen. Derweil machen KI & Kommerz das Internet kaputt und Elon Musk Twitter. Demnächst verschwindet dann auch noch das letzte Katzenvideo hinter irgendeiner Paywall, so dass man sich nicht mal mehr vernünftig ablenken kann – es ist zum Verzweifeln in diesen Zeiten. Wie soll man da noch Hoffnung schöpfen? Wenn auch ihr euch diese Frage stellt, wenn ihr mit dem Gefühl der Resignation bereits vertraut seid, dann seid ihr hier genau richtig: Wir haben Aktivist\*innen zusammengebracht, die sich auf die Straße kleben, Menschen pflegen oder Daten schützen, die an unterschiedlichen Krisenherden täglich kämpfen und scheitern: Gewerkschafter\*innen, Antifaschist\*innen, humanitäre Helfer\*innen – wir haben sie gefragt, warum und worauf sie überhaupt noch hoffen, und wir haben sie auf die CCC-Bühne eingeladen, damit wir uns darüber austauschen und gemeinsam neue Hoffnung schöpfen können – denn noch gibt es sie: Strategien, die funktionieren, starke Bündnisse und zumindest Teilerfolge: Hier & da können wir uns also gegenseitig Mut machen. about this event: https://events.ccc.de/congress/2023/hub/event/a_new_hope_de/

Mobilisierung von Menschen nach Lützerath, Bauvorkehrungen zur Verteidigung treffen, die Räumungsvorbereitungen von RWE und Polizei stören, Infrastruktur-Ausbau trotz abgeschalteten Stroms, auf Presse-Anfragen aus der ganzen Welt reagieren, WLAN für alle, Live-Berichterstattung üben, Kommunikationswege absichern, Wetten dass?! gewinnen, dem kalten Wetter trotzen, sich mit andern Kämpfen solidarisieren und heimlich einen Tunnel graben. Vor einem Jahr liefen die Vorbereitungen gegen die Räumung Lützeraths am größten Drecksloch Europas, Kohletagebau Garzweiler II, auf Hochtouren. Wir wollen Einblicke in diese und andere Themen geben. You can't evict a movement! Der Energiekonzern RWE wird noch Jahre brauchen, die Kohle unter Lützi abzubaggern: Der Kampf gegen die Kohle und für Klimagerechtigkeit geht weiter! about this event: https://events.ccc.de/congress/2023/hub/event/lutzerath_lebt_einblicke_in_den_widerstand/

Deep dive into (ex)ChromeOS hardware from developer's perspective. In this talk you will learn how ChromeOS hardware designed by Google and it's board partners differ from regular laptops/desktops. We'll go over Coreboot development (+guide of porting it to other x86 motherboards!), EDK2 (UEFI payload we use in our firmware builds) and what it takes to make mainline Linux run on these machines. This talk will involve ACPI tables, I2C and SPI interfaces, DSP firmware and maintenance of audio stack that differs from (almost) all x86 machines in the market. We'll present challenges we've faced during the development cycle, tips on how to avoid pitfalls, and our plans for the future :) about this event: https://events.ccc.de/congress/2023/hub/event/turning_chromebooks_into_regular_laptops/

The demoscene is an underground computer art culture. The Speaker is a member of the Demoscene since the 1980ies and gives insights how it is now and how it was back in the days and how you can participate! The demoscene is an underground computer art culture. The term demoscene comes from the word demo, short for demonstration. In the context of the demoscene the word demo means a realtime audiovisual application which is demonstrating the capabilities of the machine it runs on. Demosceners ("sceners") are what we call the folks with too much free time that abuse their computer skills to create releases under the demoscene. Demosceners often use nicknames ("nicks" or "handles") to identify themselves. They also tend to hang out in so-called demogroups. Some demosceners are active members of multiple demogroups, with or without using the same nickname. Let's get one thing clear: the demoscene has no commercial purpose. The only thing you'll get out of the demoscene, and this only comes after investing a significant amount of your free time into it, is a few useful soft skills and a large community of computer nerd friends. Demoscene releases are meant to show the limits of the machines, the technical skills and artistic sensibility of the makers. There are no rules to what kind of release you can make on the demoscene. Some demos are made as technical benchmarks, others as conceptual art, most are done just for fun. It is entirely up to you to explore what you like doing and share it with other demosceners. Demoscene releases can be divided into certain categories: Track, an audio piece, can be in an executable format, in a tracker module format or in a pre-rendered wav/mp3 format Graphics entry, drawn or rendered images with fixed resolutions and/or a restricted color palette Demo, an audiovisual real-time executable demonstration for a certain platform Intro, typically a demo with file size limitation all packed into a single executable file that includes all the assets (popular size formats are 256bytes, 512bytes, 1kb, 4kb, 8kb, 64kb) Animation, rendered graphics videos Demopack, a collection of demos in a single disk Musicdisk, a collection of demoscene tracks with an executable player interface Diskmag, a collection of texts about the demoscene with an executable graphics interface Wild entry, everything else (including live performances, videos of demos on uncommon platforms, videos about demomaking, etc) Releases typically occur at demoparties, gathering events for demosceners. about this event: https://events.ccc.de/congress/2023/hub/event/demoscene_now_and_then/

Andi und Thomas wandern durch die Welten der Fantasy, Science Fiction und mehr. Ihr Portal öffnet sich auf dem 37C3 und sie sind inspiriert, über ein Werk zu sprechen, das mit der Veranstaltung zu tun hat. about this event: https://events.ccc.de/congress/2023/hub/event/weltenwanderer-alles-so-bunt-hier/

Wie man eine russische Satellitenspionagestation ausspioniert. Talk mit hochauflösenden Fotos und einem Drohnenvideo. Zusammen mit den einschlägigen Experten des Nomen Nescio Club wird die größte SIGINT- Sation der Russischen Föderation in Europa seit einem Jahr systematisch ausspioniert. Sie steht in Wien 22 und umfasst etwa 18 Satellitenspiegel, die größten davon haben Durchmesser von vier Metern und sind wie alle anderen ausschließlich für Empfang ausgelegt. Das technische Equipment an den großen Schüsseln konnte bereits identifiziert werden, auch die Geschichte des Ausbaus dieser SIGINT-Station sei 2014 wurde rekonstruiert. Dazu: Die unterschätze Rolle der russischen SIGINT-Stationen im Ukrainekrieg und wie das SIGINT-Netz auf den diplomatischen Gebäuden der Russischen Föderation in Europa durch Sanktionen neutralisiert wurde. Weiter aktiv sind Wien, Budapest, Debrecen Genf und Stockholm. about this event: https://events.ccc.de/congress/2023/hub/event/russki-sigint/

Exploring the transfer of Seidel's experimental films into physical spaces reveals challenges that are intensifying with advances in machine learning, dissolving the lines between original and imitation. In this more or less silent restructuring of society, artists become templates for a digitally assembled future, challenging traditional hierarchies as history collapses into the present. The transfer of Seidel's experimental films into physical space has been explored in many ways in recent years. Sculpture, architecture and even natural projection surfaces have been temporarily 'overpainted' with projections, lights or lasers. But with new advances in machine learning, there may be a kind of oversaturation, or even rigor mortis, when the moving image becomes fully part of the technical tool chain. In tech companies, universities and artists' studios, machines are working through and learning the history of humanity. Copyright dissolves; the distinction between original, imitation or inferior reproduction erodes. No origin, no responsibility, no clear direction - just a primordial soup that can be shaped into any form without challenging knowledge systems and hierarchies. In this silent but radical restructuring of entire industries, the artist becomes the template of a future digitally assembled from a multitude of fragments of the past. This artist talk addresses some of the implications of this singularity, in which history collapses to a single point in the present, and in which easy access to an infinite reworking of iconography may override the desire for a phenomenological experience... about this event: https://events.ccc.de/congress/2023/hub/event/image_making_fatigue/

Spätestens seit Ende 2022 sind generative KI-Systeme wie ChatGPT und Midjourney in aller Munde, und sie werden dabei nicht selten auch als Game-Changer für die digitale Barrierefreiheit postuliert. Doch wo stehen wir eigentlich gerade wirklich, was können diese Systeme bereits jetzt für uns tun, und was bringt uns die Zukunft? Es ist höchste Zeit für einen unverfälschten „Reality Check“ und einen authentischen Blick in den Alltag von Menschen mit Behinderung. Es wird immer wieder behauptet, die Einführung generativer KI-Systeme wie ChatGPT und Midjourney habe eine neue Ära der Möglichkeiten eröffnet, insbesondere im Bereich der digitalen Barrierefreiheit. Diese Technologien und Unternehmen versprechen, den Alltag von Menschen mit Behinderungen durch innovative Lösungen zu erleichtern. Beispielsweise ermöglichen neue, multi-modale Large Language Models die Generierung von Alternativtexten, die visuelle Inhalte für sehbehinderte Nutzer\*innen zugänglicher machen könnten. Auch die Erstellung von Texten in Leichter Sprache kann durch diese Modelle vereinfacht werden, wodurch Informationen für Menschen mit Lernbehinderungen oder Nicht-Muttersprachler\*innen leichter verständlich werden können. Doch die Integration von KI in unseren Alltag als behinderte Menschen bringt nicht nur Vorteile. Trotz der neuen Fähigkeiten von KI-Systemen kommen einige neue Herausforderungen hinzu. Dazu gehören unter anderem reproduzierter Ableismus, neue für uns unsichtbare Barrieren und der zunehmende gesellschaftliche Unwille, Barrierefreiheit und somit echte Inklusion zu schaffen, wenn Hilfsmittel immer besser werden. Unter Umständen werden Menschen mit Behinderung in einem gesellschaftlichen Kontext noch unsichtbarer, als sie es sowieso sind. Bei meiner Arbeit als Beraterin für digitale Barrierefreiheit und als sehbehinderte Person spreche ich mittlerweile täglich über generative KI. Neben den vielen Möglichkeiten, die mir diese Systeme persönlich eröffnen, sehe ich aber auch viele Herausforderungen, denen wir in naher Zukunft entgegentreten müssen. Es ist daher unerlässlich, dass wir die Entwicklung von KI-Tools kritisch begleiten, um eine inklusive digitale Zukunft zu gestalten, in der technologischer Fortschritt Hand in Hand mit menschlicher Vielfalt geht. Im Vortrag werfe ich einen detaillierten Blick auf alle diese Punkte, ordne ein und diskutiere, was dafür notwendig ist. about this event: https://events.ccc.de/congress/2023/hub/event/rettet_uns_die_ki/

Im Science Slam-Stil spekulieren Forschende, wie die Welt aussähe, wenn irgendjemand auf ihr Fachgebiet hören würde. Die Erkenntnisse reichen von Energiewende und Biodiversität bis zu Neurowissenschaften und geschlechtergerechter Medizin. Nach dem Chaos Communication Camp jetzt auch in Hamburg. Wie sähe die Welt aus, wenn wir auf Wissenschaft hören würden? Wo doch bekanntermaßen jeder Katastrophenfilm so beginnt, dass sie ignoriert wird – kurz bevor der Meteorit einschlägt, die Flut flutet und der weiße Hai alle Badenden auffrisst. Auch die akuten Krisen verdanken wir u.a. einer Politik, die Wissenschaft viel zu oft ignoriert. Die hat uns immerhin nicht nur vor Atemwegsinfektionen gewarnt, sondern auch vor zunehmenden Flutereignissen. Wer weiß, was in ihren Artikeln noch alles drinsteht? In unserem Science Slam präsentieren drei bis vier Forschende ihre Antwort darauf. Der Ausgangspunkt ist ein gemeinsames WissKomm-Buchprojekt namens „Weltrettung braucht Wissenschaft", in dem sich zwölf junge Wissenschaftler\*innen und Science Slammys der Frage stellen, was ihr Fachgebiet der Menschheit rät. Woraus bauen Plastikforscher die Welt? Und wie landet ihr Baustoff auf unserem Teller? Ist künstliche Intelligenz wirklich rassistisch und Medizin überwiegend für Männer? Haben Klimatologinnen eigentlich noch Hoffnung, oder weiß der Historiker da mehr? Auf dem Weg entsteht aber auch Zukunftsmusik: Verkehrsmittel, von denen Ingenieurinnen träumen, und Städte, in denen sich Füchse tummeln; auf Gentechnik basierte Medikamente und biologisch abbaubares Verpackungsmaterial. Oder, noch revolutionärer: Wege, wissenschaftliche Erkenntnisse einzusetzen, bevor es brennt. about this event: https://events.ccc.de/congress/2023/hub/event/science_slam/

Wir blicken auf ein Jahr voller rechter, rassistischer und antisemitischer Kampagnen zurück. Der Diskurs um Migration und Flucht wird mit zunehmender Selbstverständlichkeit als ein Diskurs der Abwehr und des Ausschlusses der „Anderen“ geführt. Dies drückt sich in immer neuen Gesetzesverschärfungen bis hin zur Forderung nach einer vollständigen Abschaffung des Grundrechtes auf Asyl aus. Und auch in anderen Bereichen der Politik wird der Ruf nach autoritären „Lösungen“ für tatsächliche oder vermeintliche Probleme lauter. Nur vor diesem gesellschaftlichen Hintergrund sind die Wahlerfolge der AfD in Hessen und Bayern zu verstehen. Für uns ist klar: Unter solchen gesellschaftlichen Bedingungen wächst die Gefahr rechten Terrors. Die Zahl der antisemitischen, rassistischen und rechten Angriffe steigt weiterhin, denn Rechte Täter*innen können sich als diejenigen verstehen, die einen vermeintlichen „Volkswillen“ in die Tat umsetzen. Sie finden vermehrt die Ermöglichungsstrukturen, die sie für ihre Taten benötigen – in rechten Organisationen ebenso wie im Netz oder im direkten sozialen Umfeld. Wir wollen im Podcast auf das Jahr 2023 zurückschauen und ausloten, wo wir im Kampf gegen rechten Terror stehen. Was sind unsere Möglichkeiten, zu informieren und zu intervenieren? Wir müssen von Staat und Gesellschaft Aufklärung und Konsequenzen einfordern, die Arbeit von Polizei, Justiz und Parlamenten kritisch beobachten, Verharmlosung und Entpolitisierung entgegentreten, solidarisch sein und Betroffenen in ihren Kämpfen um Anerkennung und Gerechtigkeit beiseite stehen. Dafür scheinen die Räume enger und weniger zu werden. Was können wir 2024 gemeinsam erreichen? about this event: https://events.ccc.de/congress/2023/hub/event/nsu-watch-aufklren-einmischen-der-jahresrckblick-2023/

Digital geführte Diskussionen über kontroverse Themen sind oft frustrierend: Sie gleiten ins Unsachliche ab, sie eskalieren, z.T. bis hin zu harter digitaler Gewalt, oder sie versanden ergebnislos. Die Gruppe *Konstruktive Digitale Diskussionskultur* (KDDK) hat das Ziel, sich sytematisch (d.h. über die individuelle Ebene hinaus) und lösungsorientiert mit dem Problem zu befassen. Der Vortrag stellt die Problemwahrnehmung und mögliche Lösungsansätze aus Sicht der Gruppe vor. Wir als demokratische Gesellschaft haben ziemlich große Herausforderungen vor uns (Klima, Ressourcen, Verteilung, gesellschaftliche Normen, ...). Diese akzeptabel zu lösen, wird ziemlich schwierig, wenn wir nicht “vernünftig” miteinander diskutieren können und auf Basis solcher Diskussionen dann gut informierte Entscheidungen treffen. Leider läuft es aktuell ganz anders, insbesondere im digitalen Raum: Bei kontroversen Themen findet sachlicher Austausch gut begründeter Argumente viel seltener statt als Irreführung, Polemik und Beleidigungen bis hin zu harter digitaler Gewalt. Bezugsloses Aneinander-Vorbeireden oder das Versanden der Diskussion sind dann zwar noch vergleichsweise harmlose Verläufe – sie helfen aber beim Finden von Problemlösungen auch nicht. Oft werden diese Probleme auf indivdueller Ebene thematisiert aber ein zivilgesellschaftlicher bzw. aktivistischer Rahmen, um sie auf Systemebene anzugehen fehlte bislang. Deswegen hat sich im Sommer 2023 eine Gruppe gegründet, die das ändern möchte. Der Vortrag stellt die Gruppe *Konstruktive Digitale Diskussionskultur* (KDDK) auf Basis ihres zwölf Thesen umfassenden Positionspapiers und anhand passender Beispiele vor. Dabei werden u.a. folgende Fragen behandelt: - Worin besteht das Problem mit der Diskussionskultur? - Warum ist das sehr kritisch? - Wie können Schritte in Richtung einer Lösung aussehen? about this event: https://events.ccc.de/congress/2023/hub/event/konstruktive-digitale-diskussionskultur-kddk/

Die Polizei Hamburg experimentiert am Hansaplatz mit Verhaltenserkennung. Mit einer Strichfiguren-KI von Fraunhofer sollen die Passanten "digital skelettiert" und analysiert werden. Strichfiguren, die sich nicht angepasst und unauffällig verhalten, lösen einen Alarm aus. Allerdings können Umarmungen nicht zuverlässig von Schlägen unterschieden werden. Gerne wüssten wir mehr über die KI, wie sie trainiert worden ist und welche Minderheiten sie besonders gut diskriminiert. Nach einigen IFG-Anfragen, kleinen Anfragen in der Hamburgischen Bürgerschaft, diversen Presseberichten und einer Diskussionsveranstaltung wissen wir noch immer (zu) wenig. Das, was wir wissen, teile ich in diesem Kurzvortrag. about this event: https://pretalx.c3voc.de/37c3-lightningtalks/talk/HEZ7SC/

Dlool, der kollaborative Open-Source Schulplaner, gestaltet die herkömmliche Organisation deines Schullebens neu! Dlool, ein kollaborativer Open-Source Schulplaner, gestaltet die Organisation des Schullebens neu. Mit strukturierter Eintragung, plattformübergreifender Zugänglichkeit und einem kollaborativem Grundgedanken bietet Dlool eine moderne Alternative zu proprietären Apps oder analogen Hausaufgabenheften. about this event: https://pretalx.c3voc.de/37c3-lightningtalks/talk/UDVBKW/