Chaos Computer Club - archive feed

How can we efficiently replicate metadata and content between media platforms? After an intro to the day, this presentation introduces current approaches towards self-certifying data structures as a future-proof model for content broadcast and exchange. about this event: https://pretalx.c3voc.de/ecb2022/talk/9A9YW7/

Discussion about datamodel about this event: https://pretalx.c3voc.de/ecb2022/talk/7XDJ3D/

Infrastructure Review der GPN20 about this event: https://cfp.gulas.ch/gpn20/talk/FSCKSV/

Fuzion ist ein Open Source Projekt, das vor drei Jahren gestartet wurde mit dem Ziel, eine neue Programmiersprache für sicherheitskritische Anwendungen zu entwickeln. Der Vortrag erklärt, wie Sicherheitsprobleme wie log4shell oder spring4shell automatisch erkannt werden. Der Ansatz von Fuzion ist es, Bestandteile anderer Sprachen in ein einziges, einheitliches Konzept zu vereinigen. Beispiele dieser Bestandteile sind Funktionen, Klassen, Methoden, Packages, Argumente. Fuzion vereinheitlicht diese als Fuzion Features. Das macht die Sprache einfacher und gleichzeitig mächtiger. Fuzion unterstützt pur funktionale Programmierung ohne mutierbare Variablen. Nicht-funktionale (Seiten-) Effekte werden als Fuzion Effects modelliert und werden Teil der Signatur von Features. Fuzion definiert ein einfaches Zwischenformat, das es ermöglicht, mächtige statische Analysewerkzeuge zu entwickeln um Sicherheitsaspekte nachzuweisen. Fuzion ist ein Open Source Projekt, das vor drei Jahren gestartet wurde mit dem Ziel, eine neue Programmiersprache für sicherheitskritische Anwendungen zu entwickeln. Der Vortrag erklärt, wie Sicherheitsprobleme wie log4shell oder spring4shell automatisch erkannt werden. Der Ansatz von Fuzion ist es, Bestandteile anderer Sprachen in ein einziges, einheitliches Konzept zu vereinigen. Beispiele dieser Bestandteile sind Funktionen, Klassen, Methoden, Packages, Argumente. Fuzion vereinheitlicht diese als Fuzion Features. Das macht die Sprache einfacher und gleichzeitig mächtiger. Fuzion unterstützt pur funktionale Programmierung ohne mutierbare Variablen. Nicht-funktionale (Seiten-) Effekte werden als Fuzion Effects modelliert und werden Teil der Signatur von Features. Fuzion definiert ein einfaches Zwischenformat, das es ermöglicht, mächtige statische Analysewerkzeuge zu entwickeln um Sicherheitsaspekte nachzuweisen. Fuzion ist ein Open Source Projekt, das vor drei Jahren gestartet wurde mit dem Ziel, eine neue Programmiersprache für sicherheitskritische Anwendungen zu entwickeln. Der Vortrag erklärt, wie Sicherheitsprobleme wie log4shell oder spring4shell automatisch erkannt werden. Der Ansatz von Fuzion ist es, Bestandteile anderer Sprachen in ein einziges, einheitliches Konzept zu vereinigen. Beispiele dieser Bestandteile sind Funktionen, Klassen, Methoden, Packages, Argumente. Fuzion vereinheitlicht diese als Fuzion Features. Das macht die Sprache einfacher und gleichzeitig mächtiger. Fuzion unterstützt pur funktionale Programmierung ohne mutierbare Variablen. Nicht-funktionale (Seiten-) Effekte werden als Fuzion Effects modelliert und werden Teil der Signatur von Features. Fuzion definiert ein einfaches Zwischenformat, das es ermöglicht, mächtige statische Analysewerkzeuge zu entwickeln um Sicherheitsaspekte nachzuweisen. Ressourcen: Webseite: https://flang.dev Twitter: @FuzionLang GitHub: https://github.com/tokiwa-software/fuzion about this event: https://cfp.gulas.ch/gpn20/talk/QCEVG9/

Steckverbinder gibt es nur in weiblich und männlich, oder? Genauso wie die echte Welt viel bunter ist, gibt es auch in der Verbindungstechnik unzählige Arten und Weisen, wie Energie oder Daten jenseits der üblichen Heteronormativität übertragen werden können. Und hinter den mechanischen Lösungen verbergen sich sehr oft interessante Probleme und Anwendungen. Elektrische Verbindungstechnik ist in unserer Welt so omnipräsent, dass man sie oft als gegeben hinnimmt und gar nicht genauer fragt, warum Steckverbinder eigentlich so funktionieren, wie sie das tun. Heteronormativ, male <> female. Welche Grundkonzepte gibt es, und was sind die Ideen dahinter? Doch das eigentlich Spannende sind ja die Dinge, die seltener vertreten sind, vor allem in einem Feld, in dem viel genormt ist und noch mehr nur als 'Industriestandard' existiert. Und so sind die interessantesten Steckverbinder oft die, die nicht in die üblichen Kategorien passen, warum auch immer. Und natürlich dürfen die schönsten Steckverbinder-Anekdoten auch nicht fehlen, genauso wenig wie der HDMI auf Gardena Adapter. about this event: https://cfp.gulas.ch/gpn20/talk/Q8CWJM/

Die Nachlese der besten Demos der letzten paar Jahre Demos sind live-gerenderte Computergrafikanimationen, die oft mit einer Größenbeschränknung daherkommen. Verschiedene Gruppen versuchen sich gegenseitig mit Stil, epischem Effektbombastement und technischer Raffinesse zu überbieten und das ganze im Zweifelsfall in obszön kleine Dateigröße zu packen. Also, greift euch ein ~Bier~ Tschunk und genießt Strobo und Effektgeballer! about this event: https://cfp.gulas.ch/gpn20/talk/ZCNJU3/

Für den hybriden Kongress »Ohne NATO leben – Ideen zum Frieden« haben die FIfF-Mitglieder Christian Heck und Hans-Jörg Kreowski einen Online-Beitrag zu "Künstliche Intelligenz als Waffe" produziert. Der Kongress fand am 21. Mai in Berlin in der Humboldt-Universität und online statt. Für den hybriden Kongress »Ohne NATO leben – Ideen zum Frieden« haben die FIfF-Mitglieder Christian Heck und Hans-Jörg Kreowski einen Online-Beitrag zu "Künstliche Intelligenz als Waffe" produziert. Der Kongress fand am 21. Mai in Berlin in der Humboldt-Universität und online statt. about this event: https://fiff.de

Zwei Jahre "Kontaktreduzierung" haben eine lange Liste an neuen, modernen oder einfach nur "interessanten" Kommandozeilenwerkzeugen für Linux hervor gebracht. Schaut vorbei, wenn ich erkläre, warum ihr eure bekannten und gelibeten Werkzeuge auf der Kommandozeile gegen neue, bessere Versionen eintauschen solltet und ich euch Werkzeuge aufzeige, die ihr eventuell noch gar nicht kanntet. Macht euch doch eure tagtägliche Arbeit auf der Kommandozeile einfacher. Und ja, "Save the planet! Recycle talks!" gilt auch 2022. Ein paar "must haves" aus meinen früheren Talks werde sich sicher auch wieder erwähnen. Und die Witze sind auch nicht besser geworden. "Linux ohne einer Kommandozeile ist wie ein Himmel ohne Sterne." about this event: https://cfp.gulas.ch/gpn20/talk/ZT8ZGY/

Betrachtung Norm ETSI/EN 303 645 "Cyber Security for Consumer Internet of Things" Um eine Basis für sichere IoT Hardware zu schaffen, hat die ETSI die praktische Norm EN 303 645 "Cyber Security for Consumer Internet of Things" herausgebracht. Im Talk betrachten wir u.a. - Aufbau und Inhalte der Norm EN303645 - Ganzheitlicher Ansatz zu sicheren IoT-Geräten - Best Practices zur Umsetzung einzelner Punkte about this event: https://cfp.gulas.ch/gpn20/talk/PSA8ND/

Datenökonomie im Gesundheitsdatenraum klingt genauso sexy wie Darmspiegelung im Endoskopieraum – man fragt sich muss das sein? Datenökonomie findet statt, jetzt. Allerdings noch sehr begrenzt. Als Arzt interessiert mich natürlich besonders der Gesundheitsdatenraum. Gegenwärtig stehen Medienbrüche, inkompatible Datenformate, fehlende digitale Akzeptanz der Datenweitergabe im Gesundheitswesen im Wege. Das soll sich ändern. 2020 veröffentlichte die EU-Kommission ein Strategiepapier zur Datenökonomie: die EU-Datenstrategie (1). Auf 39 Seiten wird dort zur Entwicklung verschiedener Datenräumen in der Datenwirtschaft aufgerufen. Andrus Ansip, der Vizepräsident der EU-Kommission von 2017 beschreibt: „Es sollte ein freier Datenfluss zwischen Standorten, über Grenzen hinweg und innerhalb eines einheitlichen Datenraumes möglich sein. Wenn unsere Datenwirtschaft Wachstum und Beschäftigung hervorbringen soll, müssen Daten genutzt werden. Dafür müssen sie allerdings verfügbar sein und analysiert werden können.“ Die Fragen, muss das sein? und brauchen wir wirklich Wachstum?, entsprechen im gegenwärtigen ökonomischen Mainstream in etwa der Frage, muss ich vor der Darmspiegelung ein Abführmittel trinken. Hier gibt es kein Nein! In Anbetracht der begrenzten Ressourcen und der Umweltkrise sind andere Fragen allerdings genauso wichtig: Was passiert im Gesundheitsdatenraum? Welche Schutzkonzepte für die Menschen sind vorgesehen? Braucht Datenökonomie im Gesundheitsdatenraum überhaupt Wachstum? Oder ist Datenökonomie vielleicht sogar der Weg, heraus aus dem Wachstum, hinein in eine nachhaltige Degrowth-Ökonomie? Und als Arzt möchte ich noch hinzufügen, dass eine Vorsorgedarmspiegelung sein muss. Schauen Sie rein in meinen Talk, hier wird der Gesundheitsdatenraum ganzheitlich behandelt. (1) https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:52020DC0066&from=DE about this event: https://cfp.gulas.ch/gpn20/talk/QZKCCE/

How to prevent using smartphones as Bugs - Overview of technologies and solutions. In our world electronic espionage is constantly increasing. Even without expert knowledge is possible to turn modern smartphones into audio bugs. By hacked smartphones it is possible for attackers to listen to the Audio in the room. In this talk we show and compare different approaches and solutions to prevent mobile phones getting misused for audio surveillance. about this event: https://cfp.gulas.ch/gpn20/talk/EALKLP/

A 60min lightning talk session about this event: https://cfp.gulas.ch/gpn20/talk/FY7EUH/

Serum is standard for serializable, easy-to-observe, cross-language, error handling. It's meant to be a "just enough" standard: canonically defined in JSON, easy to adopt, and easy to extend -- and just enough structure to support static analysis. Serum is meant to work within languages that have a "errors are values" philosophy, but can work with exception-oriented languages too. Along with the Serum specifications, we also introduce go-serum-analzyer, a static analysis tool which can be used in golang programs to analyze their error handling, and enforce contracts and documentation about error codes that functions may yield. about this event: https://cfp.gulas.ch/gpn20/talk/ZJJKTG/

DDoS ist seit Jahren in aller Munde, aber was ist ein DDoS eigentlich? Woher kommt er und was kann ich dagegen tun? In diesem Talk erklären wir die Grundlagen und bieten einige Möglichkeiten zur Prävention und Selbstverteidigung für jede/n, vom kleinen Webhoster bis zum Multi-Terabit internationalen Backbone. about this event: https://cfp.gulas.ch/gpn20/talk/NXHD8F/

Stellt euch vor, ihr würdet zur Arbeit mit einem System gezwungen, - bei dem Anschluss und die nötigen Geräte wochenlang nicht funktionieren, - das dann permanent Systemabstürze wegen elektrostatischer Entladungen erzeugt, - bei dem der nötige elektronische Versand von Formularen nicht funktioniert, - bei dem ihr wegen Störungen teilweise wochenlang abgehängt seid, - wofür ihr teure Updates installieren müsst, ob ihr wollt oder nicht, - bei dem ihr Bauchschmerzen habt, was mit sensiblen Daten eurer Kunden passiert, die zentral in Clouds gespeichert werden (alternativlos vorgegeben). Ihr fürchtet um Vertrauen und Schweigepflicht. Wehe aber, ihr installiert und nützt dieses System nicht! Wer sich verweigert, bekommt weniger Honorar für seine Arbeit! Wo sich dieser Wahnsinn abspielt? Im deutschen Gesundheitswesen. Der Anschluss an die Telematikinfrastruktur (TI) zur Vernetzung von Praxen, Kliniken und anderen Akteuren ist seit 2018 Pflicht. Darüber läuft nun auch die elektronische Patientenakte (ePA), die die Gesetzlichen Krankenkassen seit 1.1.2021 anbieten müssen. Die Nachfrage der Patienten hält sich bisher in Grenzen, in meiner Praxis gleich null. Die zentrale Speicherung sensibler Daten in Clouds verunsichert viele Menschen. Sie wollen sich oft auch mit nötiger Technik und PINs nicht beschäftigen - verständlich. Und das E-Rezept, kurz vor Zwangseinführung zum 1.1.2022 doch noch verschoben, können viele meiner Patienten gar nicht empfangen – über die Hälfte aller 65-Jährigen nützt kein Smartphone. Papier, Fax und Rezept mögen oldfashioned und rückständig sein. Aber sie sind einfach, schnell zu bedienen und relativ billig. TI und ePA aber sind komplex (Entropie!), teuer, bringen wenig Mehrwert und bremsen dafür den workflow in den Praxen. Burnout durch digitalisierungsbedingte Mehrarbeit? In den USA heute schon Realität. Gesünder macht die ePA leider auch nicht. Patienten brauchen eher analoge Beratung und Beziehung. Jetzt aber werden Ärzte und Patienten zu Datenlieferanten für die Industrie gemacht – die schon großes Interesse an den Daten signalisiert hat. Das deutsche Gesundheitswesen bisher ist gut, aber sowieso schon teuer. Der nötige Aufwand für entsprechenden Output (Entropie!) wird durch TI und ePA nur verstärkt. Dabei gäbe es andere dringende Notwendigkeiten im Gesundheitswesen. Vorschläge für eine sichere, dezentrale e-Health-Struktur wurden bereits gemacht, bisher aber ignoriert. Manches wäre ja sinnvoll, etwa schnelle Befundübermittlung auf sicheren Kanälen direkt an Patienten und Kollegen – ohne Speicherung auf Servern. Es müsste einfach bedienbar sein, Mehrwert haben – und freiwillig sein! about this event: https://cfp.gulas.ch/gpn20/talk/GREC7K/

The speaker is neither an economist nor a professional sysadmin. Still, he likes to invite to a thought experiment on alternative payment/organization schemes for computational resources "in the cloud". Could such schemes help regulate or reduce the load in data centers? Could they help keeping the power grid stable? about this event: https://cfp.gulas.ch/gpn20/talk/KRSXCZ/

Die Digitaltechnik hat unsere Welt auf den Kopf gestellt. Aber trotzdem gibt es viele Bereiche, zB. künstliche Intelligenz, die extrem anspruchsvolle Rechnungen benötigen. Es werden neue Computerarchitekturen gebraucht, um dort Fortschritte zu machen. In diesem Vortrag will ich das Feld des "unconventional Computings" abstecken und die Zukunftstechnik "Continous Computing" (auch bekannt als Analogrechnen) vorstellen. Am Ende erzähle ich, wie man Analogrechner hackt. Unser tragbarer Open Source Analogrechner "The Analog Thing" steht auf den roten Tischen. Der Vortrag richtet sich an alle, die über den Tellerrand der gewohnten algorithmischen Informationsverabreitung schauen wollen. Aktuelle Themen wie Quantencomputing und Künstliche Intelligenz werden im Zusammenhang mit den Fronten der Computersimulation allgemeinverständlich erklärt. [Der Sprecher](https://svenk.org) ist Mitgründer des [Berliner Deep-Tech-Startups Anabrid](https://anabrid.com), welches die historische Technik der Analogrechner auf einen Mikrochip bringen möchte. Es handelt sich dabei um eine enorm schnelle und energiesparsame Art der Informationsverarbeitung. In diesem einstündigen Vortrag wird auf viele technische Aspekte eingegangen werden können, die erkären, warum einige Entwicklungen in der Prozessortechnik in eine Sackgasse führen und Alternativen nötig sind. Ein Highlight des Vortrags wird die Vorstellung des kleinen Lehr-Analogrechners [The Analog Thing](https://the-analog-thing.org), mit dem auf der Bühne einige interessante Probleme gelöst werden, soweit es die Zeit zulässt. Ein Veritasium-Video, einen TEDx-Talk und noch mehr Videos und Podcats zum Thema gibt es auf https://anabrid.com/videos-podcasts/ about this event: https://cfp.gulas.ch/gpn20/talk/LW7W79/

In summer 2021 I migrated my personal infra from a simple docker-compose based host to my very own Kubernetes cluster. Why? Because I wanted to. Other people made sourdough, I made overengineered infrastructure. In this talk I‘m gonna be explaining how I did it, what difficulties I faced and answer the question if it even was a good idea and if others should do this as well. Kubernetes is about as enterprise as software can get, while also not steering into the terrible NDA plagued environment that most enterprise solutions seem to be living in. It has a large and very welcoming community, who will happily help newcomers out. Seems like a pretty great place to start if you want to learn more about cloud hosting and enterprise stuff in general. Well, that’s what I did. In my dayjob, I don’t do much infrastructure related tasks. I‘m mostly a frontend developer and while I knew my way around a docker environment, I knew that if I wanted to do more infra stuff, I’d have a lot to learn. Over the course of a month, I set up a testing cluster on a couple of VMs at home, migrated all of my applications to work on that, and deployed on my own public production cluster. This whole process was really fun and I learned a lot, however it also was not entirely without tears. More than a year later, everything is still running without any major outages or security incidents. [insert funny Star Trek enterprise joke somewhere in here] about this event: https://cfp.gulas.ch/gpn20/talk/QNVWV9/

We use them everyday: Touchscreens, keyboards, screens, these are all interfaces our brain uses to interact with the digital world. But what comes after VR glasses and haptic feedback? This is a hacker-friendly introduction to the biological, technical and ethical challenges of high-bandwidth direct brain communication. cw: blood, pictures of brains Like computers, our brain uses electrical signals for computation. By building devices capable of recording and decoding these patterns of neural activity, we can read information from the brain. By encoding and stimulating neurons using electric fields, we can establish bidirectional brain-machine communication. This talk highlights why increasing the bandwidth of our interaction with computers is a key technology in the Information Age. We talk about where we are today, comparing non-invasive (EEG, EOG, MRI) and partially invasive (ECoG and endovascular) to invasive (microelectrode array) approaches. After this talk, you'll have a basic understanding of current engineering challenges, and why your next open-source project should be a brain-machine interface. about this event: https://cfp.gulas.ch/gpn20/talk/ZKYMZD/

With the LHC having begun Run 3 and the High-Luminosity upgrades of the accelerator and it’s experiments well underway, it is as important as ever to try and convey the passion and motivation behind this massive endeavour. This talk will try to convey the what, why and how of the hunt for the unknowns of the Universal machinery to the uninitiated. It will try to give an overview of the basics of the (little?) we know and what is still out there and then give a guided tour through this truly magnificent effort focusing on the CMS (Compact Muon Solenoid) detector. It will finish by telling a few stories from the front line of trying to build one of the most ambitious (Sub)Detectors in the history of the LHC for the High luminosity upgrade of the CMS detector. The abstract may sound daunting, but rest assured, that is the case for everyone at some point. In this talk I’d like to share the principles and functioning of one of the most complex machines I know of in a way that makes sense. I have had the privilege of working at CERN on the HGCAL subdetector of CMS and was able to gather first hand experience of the many different challenges of building this one of a kind machine that at the end of the day is nothing more than a terribly overengineered photo camera. I hope that I can share my motivation and passion with you and get you stoked for all of what is still to come. about this event: https://cfp.gulas.ch/gpn20/talk/XEB3EF/

This talk will give an introduction into the concept of unikernels and basic operating system security features and will discuss how this security features are (not) implemented in unikernels. When creating a unikernel, the application is compiled together with an operating system library into a single address space image. Thus, it only contains the code necessary to fulfill the single purpose it was created for. Most unikernels run on top of a hypervisor. Due to the minimalist approach, unikernels are very resource efficient, which makes them attractive for cloud and high performance computing. Multiple unikernels claim to be more secure than a traditional operating system due to their massively reduced attack surface. But is this really true? Or are they too minimalist and leave out important security features? What are the implications of a single address space? Is every security problem solved when rewriting the unikernel in Rust? While there are multiple papers analyzing unikernels from a performance perspective, there are only few analyzing them from a security perspective and none of them analyzes a unikernel written in a memory safe language from scratch. Thus, I decided to analyze and discuss unikernel security in my master thesis. The core part is an extensive analysis of the RustyHermit unikernel, a unikernel written in Rust and developed as a research project at RWTH Aachen University. In addition, I analyzed multiple unikernels for the most basic security features present in traditional operating systems, e.g. ASLR, W^X and stack canaries. about this event: https://cfp.gulas.ch/gpn20/talk/UDRUQZ/

Code for Germany <b>Kaleidoskop</b> <a href="https://codefor.de/">Code for Germany</a> verbindet Menschen mit ähnlichen Interessen aus ganz unterschiedlichen Bereichen, die sich in <b>Open Knowledge Labs</b> für Freie und Offene Software, Offene Daten und Open Government engagieren. Vertreter*Innen aus mehreren Labs berichten über ihre Themen, Ideen und Forderungen. Fragen und Anregungen sind willkommen! about this event: https://cfp.gulas.ch/gpn20/talk/NR8SVW/

Du "benützt" schon ssh auf der Kommandozeile? Wenn Du dich per ssh wohin verbindest, gibst du Benutzername, Hostnamen und privaten Schlüssel jedes mal as Parameter an? Du meldest dich manuell am jump/bastion host an, bevor Du dich auf Dein eigentliches Zielsystem anmeldest? Dann schau in meiner Session vorbei, in deren Rahmen ich Dir zeige, wie Du Dir Deine Arbeit mit ssh einfacher und effektiver gestalten kannst. Und das alles mit minimalem Aufwand und geringer Vorbereitung. Weiters werfen wir natürlich einen Blick auf best practices und wie ihr euer SSH Setup verbessern könnt. Am meisten nimmst Du aus dem Talk mit, wenn Du ssh schon mal verwendet, aber ansonsten noch nicht viel darüber nachgedacht hast. SSH EinsteigerInnen sind selbstverständlich auch herzlich willkommen. SSH Profis finden maximal die Witze in diesem Vortrag interessant. about this event: https://cfp.gulas.ch/gpn20/talk/LEZ8RD/

Eine Gartenhütte ohne Anschluss ans öffentliche Stromnetz mit einer Solar-Inselanlage elektrifizieren ist nicht schwer, muss aber geplant werden. Ich möchte die folgenden Fragen klären: Welches Panel, welchen Laderegler, welche Batterie und wie kommt das ganze zusammen. Ich beschreibe und erläutere den Neuaufbau meiner Solar-Inselanlage und erkläre wie man selbst eine solche realisieren kann. Wie wähle ich die Komponenten, worauf muss man achten bei der Umsetzung damit das ganze auch elektrisch halbwegs sicher ist. Und wofür ich den geernteten Strom dann letztlich nutze. about this event: https://cfp.gulas.ch/gpn20/talk/WGJEJS/

Schweißen aus Nerdsicht. Basics, Metallurgie und worin man sonst noch abtauchen kann. Aus dem "ich brate mir einen" ist im Laufe der Zeit ein "Oh, das ist komplexer als gedacht". Je tiefer es in diesen Kaninchenbau hinab geht, desto spannender wird das Ganze. about this event: https://cfp.gulas.ch/gpn20/talk/WXNW7T/

May Contain Hackers is the 2022 Dutch hacker camp in the tradition of European hacker camps. The organization comes from all kinds of hacker platforms and meets wherever they can. Join this session if you want to know more about the MCH organization, the next Dutch camp and talk to others from the organization. This talk details the progress of the May Contain Hackers 2022 camp. It shows where the organization is at and what the next steps will be to come to a happy camp. about this event: https://cfp.gulas.ch/gpn20/talk/9QVMHG/

Der Ende 2020 in Kraft getretene Medienstaatsvertrag erlegt Online-Medien behördlich kontrollierbare Wahrheitspflichten auf - im Gegensatz zu Presse und Rundfunk Zur Bekämpfung politisch unerwünschter Fakenews und Hate-Speech regulierte man nach den Plattformbetreibern auch die sogenannten reichweitenstarken Online-Medien. Seit Inkrafttreten des Medienstaatsvertrags am 7.11.2020 müssen Online-Medien nachweisen, dass sie sogenannte journalistische Sorgfaltspflichten beachten und wahrheitsgemäß berichten. Konventionelle Medien dürfen jedoch weiterhin ohne staatliche Sanktionen lügen. Bislang machten die Landesmedienanstalten von ihrer Zensurmacht kaum Gebrauch. Erstmals nun wurde ein Privatmann wegen eines missverständlichen Blopgpostings über schnüffelnde Hunde mit einem Maulkorb und Bußgeld belegt. Juristen halten den Medienstaatsvertrag für verfassungswidrig - und den konkreten Fall für einen dicken Hund. about this event: https://cfp.gulas.ch/gpn20/talk/VHUMU8/

In dem Vortrag soll es darum gehen zu erklären und vereinfacht darzustellen wie der die Wirbelsäule und die umliegende Muskulatur aufgebaut ist wie diese zusammen arbeitet und wie es letztendlich zu Rückenschmerzen kommt. Wie man mit Rückenschmerzen umgeht sie vorbeugt oder selbst lindern kann. about this event: https://cfp.gulas.ch/gpn20/talk/K9XUXV/

This talk tries to cover the following: * What is the IHL * History of the IHL * Contents of the IHL With what is currently happening in 2022 it seams the right time to talk about a the international humanitarian law. Not many people seam to know what regulations there are and what they contain. This talk tries to change that. about this event: https://cfp.gulas.ch/gpn20/talk/3RCGMG/

Kulturgeschichtlicher Vortrag über Entwicklung der Pressefreiheit als Vorraussetzung für eine funktionierende Demokratie In Spätantike und Mittelalter lähmte die Zensur den kulturellen Fortschritt. Die Erfindung des Buchdrucks vervielfachte Informationen sowie unterschiedliche Meinungen, was Staat und Kirche alsbald einhegten. Im Zeitalter der Aufklärung erkannte man Pressefreiheit als Voraussetzung der Demokratie, nach der Französischen Revolution garantierte man sie als Menschenrecht, in Deutschland wurde sie erstmals im Kaiserreich Gesetz. Der scharfen politischen Presse der Weimarer Republik folgte die totalitäre Medienkontrolle der Nazis. Die Erfahrungen mit Monopol und Missbrauch von Medienmacht prägten das deutsche Presse- und Rundfunkrecht. Aus dem Grundrecht der Menschenwürde leitete man Persönlichkeitsrechte her, die dem Individuum Ansprüche gegen Rufmord gewähren. about this event: https://cfp.gulas.ch/gpn20/talk/URDD8C/

Radiosonden sind die Messgeräte, die an Wetterballons hängend tagtäglich Daten für die Wettervorhersage generieren. Diese Geräte sind Einweg-Wegwerfprodukte, die nach der Landung die Umwelt vermüllen. Doch nicht nur der Wetterdienst weiß, wo die Sonden unterwegs sind - wir können sie einsammeln und für unsere eigenen Zwecke hacken. Was ursprünglich einmal das Hobby von einigen Funkamateuren war, ist dank der fortschreitenden Technik moderner Radiosonden heute deutlich einfacher geworden. Trotzdem ist die Sondenjagd immernoch eine extremere Form des Geocaching. Nach einem kurzen Primer was Radiosonden eigentlich sind, wer sie wann und wo startet und wie daraus die Wettervorhersage wird, gucken wir uns die Hardware an, und wie wir die Sondensignale selber empfangen können. Danach geht es ans Eingemachte. Wie läuft eine Sondenjagd ab, was sollte man dabei haben und was macht man, wenn auch andere es auf die Sonde abgesehen haben? Abschließend soll es dann um die Nachnutzungsmöglichkeiten der Hardware gehen. Zuletzt werfen wir noch einen Blick darauf, wie die Community mit den durch Amateuren generierten Daten auch Wetterdiensten helfen kann. about this event: https://cfp.gulas.ch/gpn20/talk/UE7LWK/

3D-Druck für mobile Luftfilter, schwedische Feinstaubmesser und Simulationen Luftfilter können nicht nur helfen Infektionen zu vermeiden, sondern dezimieren auch Feinstaub und die Pollenbelastung und reduzieren Lötdämpfe. Ein parametrisiertes und optimiertes Luftfiltermodell ermöglicht durch 3D-Druck den einfachen Aufbau von per RiSU-konformen Niederspannung wie USB oder 12V-betriebenen Filtern. Mit einem Staubsensor eines schwedischen Möbelhauses wird die Filterwirkung selbst sichtbar, der Filtereinsatz automatisch steuerbar und der Verlauf der gemessenen Feinstaubbelastung vergleichbar zur erwarteten simulierten Luftreininigung in Innenräumen. about this event: https://cfp.gulas.ch/gpn20/talk/UVTFCS/

Wie funktioniert Farbwahrnehmung? Was genau meinen wir, wenn wir "#ff0000" sagen? Was sind unmögliche Farben? Und gibt es eigentlich pinkes Licht? All diese Fragen werde ich in diesem Vortrag beantworten! Wir machen eine Reise durch Physik, Biologie und Informatik, die bei diesem Thema auf sehr befriedigende Art und Weise zusammenspielen! about this event: https://cfp.gulas.ch/gpn20/talk/VXHVG3/

Have you ever struggled with keeping examples and documentation up-to-date? Do you write standards and test fixtures that need to be used in lots of languages, so you need a format everyone can agree on? And lastly, do you use Markdown? Testmark is a simple convention for annotating code blocks in markdown so they can be loaded into your program as data. It's great for test fixtures and executable examples. Libraries let you treat it as a pseudofilesystem: you can put as many data hunks as you want in one file, and also update them programmatically. The testmark parsers also carefully leave the rest of your markdown _alone_, meaning you can intersperse whatever prose and styling with your code blocks you want. In this talk, we'll show the testmark syntax, the testmark libraries (yes, in multiple languages), and examples of testmark in the wild and the impact it had on projects that adopted it. Also, there are extensions to testmark dedicated to blackbox testing of executables; come see those in action too! about this event: https://cfp.gulas.ch/gpn20/talk/EYQZZS/

Die Erkennung von Angriffen auf Netzwerke setzt die Arbeit mit hostbasierten Indikatoren voraus, die über das normal übliche "syslog"-Maß "ssh-Login als User U mit Key X", "User U wird root", "Logout User U" hinausgehen. Linux Audit Subsystem ("auditd") ist geeignet, um feingranulare Events aufzuzeichnen, aber das Format taugt nicht zur Weiterverarbeitung. Ich gehe auf die Probleme des Formats ein, zeige, wie man dieses Problem mit vertretbarem CPU-Overhead gelöst bekommt und was man bei der Gelegenheit noch tun kann, um dem Analysten, der in sein SIEM starrt, die Arbeit zu erleichtern. Netzwerktraffic im Klartext ist eher zu einer Seltenheit geworden, das ist natürlich gut. Die Kehrseite der Medallie ist, dass für die Erkennung von Angriffen in Unternehmens- und anderen Netzwerken netzwerkbasierte Indikatoren an Bedeutung verloren haben und hostbasierte Indikatoren heute eine größere Rolle spielen. Wir wollen nicht nur schauen sondern sehen, sind aber nicht bereit, dafür auf jedem System eine Horde von Blockchain-AI-EDR-Agenten zu installieren. Also müssen wir etwas fürs Logging tun, und zwar mehr als die üblichen Authentifizierungs- und Autorisierungs-Events. Für Windows gibt es hierfür das bei SysInternals entwickelte "Sysmon", es ist closed source aber kostenlos und kein von Microsoft unterstütztes Produkt. Auf Linux-Systemen haben wir dafür seit 15 Jahren mit dem Audit-Subsystem eine gut funktionierende aber leider schlecht verständliche Quelle der Wahrheit: Das textbasierte Logformat ist für typische SIEM-Systeme zu irregulär und schlecht zu parsen. Unterschiedliche Aspekte eines Events sind auf mehrere Zeilen verteilt; nun sind die üblichen SIEM-Systeme im Kern eher Suchmaschinen und nicht besonders gut darin, JOIN-Operationen auszuführen. Leider ist das alles kaum noch zu ändern, weil die Rohdaten direkt im Kernel-Code erzeugt werden und als Teil einer Kompatibilitätszusage verstanden werden. Bestehende Lösungsansätze ersetzen ohne Not das bestehende auditd-Userland (go-audit, auditbeat), bringen große Performanceprobleme mit sich (auditbeat, osquery, Skriptsprachen) oder setzen mit eBPF ohne Not auf "shiny new tech", ohne daraus einen Erkenntnis- oder Performancegewinn zu ziehen (Sysmon for Linux). Um die bestehenden Schmerzen zu lindern, ist [LAUREL](https://github.com/threathunters-io/laurel) als _auditd_-Plugin entstanden, das die Events in Echtzeit aufbereitet und in ein SIEM- und Analysten-verträgliches JSONlines-Format kodiert. Dabei kommt LAUREL auch bei hoher Event-Rate mit vertretbarem CPU-Overhead aus. War es ursprünglich als reines Umkodierungstool gedacht, fallen nach der ersten produktiven Bewährungsprobe natürlich weitere Use-Cases auf, mit der wir uns z.B. über die Markierung von Prozess-Beziehungen die Arbeit erheblich ereleichtern können, ohne dass aus dem Plugin zur Log-Aufbereitungs gleich ein EDR-Agent mit zu vielen Rechten und Pflichten werden muss. about this event: https://cfp.gulas.ch/gpn20/talk/EM3NJD/

Brief introduction to some neat and underappreciated Postgres features that let you do stuff within the database that you probably hadn't imagined was even possible. Sounds complicated? Don't be daunted! If you know some SQL and a programming language, that should be enough to follow along. Postgres gives you the power to write your own functions that run *in the database*. This talk will give an overview over *why* you might want to do that and demonstrate with some hands-on examples. For even more magic, we will look at triggers, which let you automatically run functions when data is being modified. Slides: https://leftshift.github.io/postgres-functions-triggers/#/ about this event: https://cfp.gulas.ch/gpn20/talk/PHPHGW/

Um den Jahreswechsel ging ein Aufschrei durch die IT-Abteilungen der Welt, der es bis in die Mainstream-Medien geschafft hat. Noch Wochen später zeigen sich Folgeprobleme in weit verbreiteter Software. In Log4j, einer weit verbreiteten Java-Bibliothek wurde eine massive Sicherheitslücke gefunden, die die Ausführung von Schadcode auf einem entfernten System erlaubt. In diesem Vortrag soll rekapitulierend erklärt werden, warum und wann es zu dem Problem kam und welche Auswirkungen bisher erkennbar sind. Ausserdem werden die technischen Details der Schwachstelle erklärt und in einer Live-Demo gezeigt, wie die Schwachstelle ausgenutzt werden kann. about this event: https://cfp.gulas.ch/gpn20/talk/77BCXN/

The ECDSA signature scheme, which is used in Bitcoin, Ethereum and others, requires a fresh secret number, the 'nonce', for each signature. When this number is not generated uniformly at random, the security of the signature is in danger, and the private key may be recovered from the signatures, using a lattice-based algorithm. In this talk, we have a brief look at the math behind elliptic curve signatures and how to break the encryption when the “random nonce” isn't really random. Nadia Heninger and Joachim Breitner ran ran these attacks against some blockchains and not only found vulnerable implementations, but could even find traces of bad programming by malicious parties out there. The talk has some brief section of serious math (lattice reduction), but the rest is accessible and hopefully entertaining to all. about this event: https://cfp.gulas.ch/gpn20/talk/YPWBLP/

Flugsimulatoren bieten einem viele Möglichkeiten Dinge zu probieren, die man so nie machen könnte. Richtig faszinierend wird es, wenn man in einem der Online Netzwerken unterwegs ist. Ich möchte euch erzählen, welche Netzwerke es gibt, was man braucht, und was man auf keinen Fall tun sollte. Fliegen ist faszinierend. Große, blechernde Doßen die mit Hilfe von vielen Explosionen, Menschen auf schnellste weiße von A nach B bringen. Die meisten werden die Faszination des Filegens nur als Passagier erleben. Doch wer mehr möchte hat zwei Möglichkeiten: Einen Flugschein machen (teuer) oder einen Simulator installieren (kann auch teuer werden :P). Nachdem man die Grundlagen des Fliegens raus hat, fragt man sich oft "Und jetzt?". Da kommen das Online Fliegen ins Spiel: Auf Realismus getrimmte Netzwerke, mit Ausbildungssystemen, und einer menge neuer Dinge die man erlernen muss. Für viele wirkt dies oft einschüchternd, oder wissen nicht wo und wie sie anfangen sollen. Hier möchte ich mit diesem Vortrag helfen. Grob geht es darum - Welche Netzwerke gibt es - Wie unterscheiden sich diese - Wie ist so ein Netzwerk aufgebaut - Was brauch ich, um in einem Netzwerk fliegen zu können - Was kann ich tun / Was sollte ich nicht machen - Wie mache ich meinen ersten Flug about this event: https://cfp.gulas.ch/gpn20/talk/BZPSC9/

A 60min lightning talk session about this event: https://cfp.gulas.ch/gpn20/talk/QCRWZH/

Ein Studentenwohnheim ersetzt seine Netzwerkhardware und nimmt dies zum Anlass die Netzwerkautomatisierung komplett neu zu denken und zu entwickeln. Dieser Talk gibt einen Einblick in den Entwicklungsprozess, die fertige Infrastruktur und Stolpersteine. Das Hans-Dickmann-Kolleg (HaDiKo) in Karlsruhe ist das größte selbstverwaltete Studentenwohnheim in Deutschland. Die Abteilung HaDiNet des HaDiKo e.V. versorgt die 1102 Bewohner u.A. mit Internet. Nachdem die bestehende Infrastruktur auf HP Procurve 5400zl so langsam ihren Geist aufgibt, wurde beschlossen auf Aruba CX zu migrieren. Der Technologiewechsel wurde zum Anlass genommen die bestehende Automatisierung vom Netzwerk, welche basierend auf Eingaben in der Benutzer-/Vertragsverwaltung Einstellungen auf den Switches vornimmt, in Gänze zu überdenken und eine zukunftsfähige, erweiterbare Plattform zu schaffen, mit der das Netzwerk langfristig betrieben werden kann. Dieser Talk bietet, am Beispiel der Umgestaltung der Infrastruktur, einen Einblick in die Arbeit als ISP, in Probleme bei Automatisierungen und das Management von Abhängigkeiten. about this event: https://cfp.gulas.ch/gpn20/talk/Q939G9/

Eine kurze Einführung in Supraleiter. Dabei wird erklärt, was Supraleiter eigentlich sind, und einige Beispiele gegeben, wozu man diese verwenden kann. about this event: https://cfp.gulas.ch/gpn20/talk/Q7JC9P/

In diesem Talk wird es darum gehen eine kleine Einführung in Kubernetes zu geben, ausgeschmückt mit Anekdoten aus der Praxis und absoluten anti-patterns die es zu vermeiden gilt about this event: https://cfp.gulas.ch/gpn20/talk/AV8ENB/

In der modernen Softwareentwicklung wird häufig auf die Verwendung externer Bibliotheken gesetzt. Bei einem neuen Projekt auf der “grünen Wiese” sind diese leicht auf einem aktuellen Stand zu halten, doch was passiert mit langlebigen Projekten? Bei größeren Anwendungen kann hier schnell eine dreistellige Anzahl von Bibliotheken benötigt werden, entsprechend groß ist der Aufwand, diese stetig auf einem aktuellen Stand zu halten, um z.B. etwaige Sicherheitsprobleme schnell zu patchen. Diese Aufwände lassen sich zum Glück einfach automatisieren. In einer Demo wird gezeigt, wie man dies z.B. mit “Renovate” als Teil von Continuous Integration erreichen kann, und Voraussetzungen besprochen. Darüber hinaus werden auch Auswirkungen auf Prozesse im Software-Entwickler- bzw. Projekt-Alltag Teil des Vortrags werden. Der Vortrag richtet sich an Software-Entwickler. Grundlegendes Verständnis von Continuous Integration ist hilfreich. about this event: https://cfp.gulas.ch/gpn20/talk/3SKYGQ/

In software engineering, continuous integration is common practice nowadays. Common CI setups have a few drawbacks. This talk highlights them and introduces a different approach with additional benefits. Many projects will operate on the premise that there is merit in an "evergreen" main (git) branch, i.e. that for each of the commits on that branch passed some CI jobs. Common CI setups will schedule runs for a number of jobs for newly created or updated branch tips in some development repository, including the main branch. However, the latter will only be tested after the merge is done and that test may fail. The speaker proposes a different workflow which avoids this problem and, in theory, introduces opportunities to safe operational costs by requiring less CI runs overall. about this event: https://cfp.gulas.ch/gpn20/talk/XHJDRA/

Sicherheit von elektrischen Installationen und Anlagen Elektrotechnik ist Sicherheitstechnik. Ob am Arbeitsplatz, im Hackerspace, zu Hause oder auf Reisen - oft sind wir mit teils „kreativen“ elektrischen Installationen konfrontiert. In diesem Talk geht es hauptsächlich um die elektrische Sicherheit von Anlagen und Installationen: - was müssen wir beim Installieren/ Erweitern beachten - physiologische Auswirkungen von Strom - rechtliche Grundlagen und Normen - Beispiele aus der Praxis eines Prüfers about this event: https://cfp.gulas.ch/gpn20/talk/3XH7UG/

Querfunk 104,8Mhz - Das Freie Radio Karlsruhe stellt sich vor. Na, auch zusammen gezuckt bei der Silbe „Quer“? Ihr braucht euch auf jeden Fall keine Sorgen machen. Die Schwurbler werden die GPN nicht infiltrieren! Wir sind‘s nur :) Euer Freies Radio für Karlsruhe und Umgebung. Wir sind ein gemeinnütziger Verein von Hobbyisten und semi-professionals die einfach Bock auf Radio haben. So richtig mit UKW-Frequenz und Studios, weil online kann ja jeder. Um genau zu sein ist „broadcast yourself“ seit unserer Gründung 1995 unser Ding und wenn das mit der Sendelizenz nicht geklappt hätte, hätten wir halt einen Piratensender aufgemacht. Querfunk - Wir lassen uns nicht gerade biegen! about this event: https://cfp.gulas.ch/gpn20/talk/T3JAUA/

Warpforge is a "Build Anything" tool for the modern era with a deep emphasis on the ability to "factory reset" the build environment at any time -- and not just reset one environment to a checkpoint, but also to be able to effortlessly reproduce all the prior builds and computations that produce the "factory floor" itself, too: on demand, and without fuss. How much time have you lost to debugging library versioning mismatches? How often has a system update left your machine in a broken state? How often have you installed something on your machine just to try to "make it work"? If you've moved to containers -- how much time have you spent trying to build "the perfect base image", and trying to maintain and wrangle your container build scripts? How much work would still remain in front of you if you needed to reproduce a container image you snapshotted months ago? If the answer to any of these questions troubles you -- we hope Warpforge will present a viable way to help fix all that. In this talk, we'll introduce Warpforge, describe its objectives, give an overview of its declarative API, briefly cover how the guts work (spoiler: LOTS of hashes)... and ultimately, demonstrate it working, live, because seeing is believing. Also in this talk, we'll discuss some conventions in package management and dynamic library linking -- and how we can do these differently, to produce systems of more reusable components. We've started pursuing this together with building Warpforge, in a quest to make the most transparent and the most reusable systems possible. Comparisons to Bazel/Blaze, Nix, Guix, and even to Docker all abound -- we hope you'll find some of the best parts of each visible in Warpforge, plus a few key innovations and user experience improvements of our own, together all in one bundle. Warpforge's approach to becoming a powerful "Build Anything" tool is to orient itself around providing the user with "computation-addressable" systems -- meaning: the same idea as content-addressable systems, but now extended to also apply to data processing and software compilation. The use of cryptographic hashes to identify data has valuable properties for both security and for simplifying organization; in Warpforge, we apply that same idea to hashing the descriptions of environments and the computations we want to run within them, for similar victories in both security and simplification. What Git did for source code version control, Warpforge wants to do for build instructions and data processing: decentralized, snapshottable, portable, and utterly agnostic to whatever you put in it. Warpforge is granular: although it uses containers for hermeticity, Warpforge lets you compose the filesystem from as many pieces as you want. Warpforge features a freeform filesystem assembly syntax, which lets you state any content you want shall appear at any path you want. This stands in stark contrast to most other container systems which limit you to monolithic "images" -- which invariably devolve into balls-of-mud, becoming difficult to maintain, difficult to introspect, and almost impossible to compose. Warpforge is a hackable tool. Everything works via a JSON API. There are both "high" and "low" level variants of this API: the "high" level lets you describe pipelines of computations, wired together with human-readable names of your choosing; the "low" level API always uses only content-addressable hashes for all data input, and always hashes things immediate upon output. The interaction of these two APIs is the secret sauce: it makes a system that's both usable and also highly precise and highly auditable and reproducible. Warpforge aims to be a developer productivity tool, but at the same time, shift the culture: much like Git taught the world about hash trees, Warpforge wants to teach the world about reproducible builds. Because every output is hashed, computation that fails to reproduce the same output becomes noticed immediately. Warpforge is a perfect tool for those interested in SBOMs (Software Bill Of Materials). Because Warpforge identifies all inputs explicitly, it can very naturally produce an SBOM. In fact, it does so in standard operation -- and unlike many other sytems, Warpforge doesn't just produce a descriptive, after-the-fact SBOM: Warpforge instructions are actually a load-bearing bill-of-materials by nature. Warpforge stops slightly short of doing package management. However, Warpforge does offer some suggestions on ways to build package management systems... with more merkle trees, so that things remain reproducible, introspectable, and auditable even as they grow in systemic complexity. (That's enough spoilers; come the talk to see how!) You can find out more about Warpforge at http://warpforge.io/ and https://github.com/warpfork/warpforge/ . about this event:

Im Source von Quake III Arena von 1999 findet sich ein auf den ersten Blick kurioser Algorithmus <tt>Q_rsqrt</tt> mit "<i>evil floating point bit level hacking</i>" zur schnellen und genauen Berechnung des Kehrwerts von Quadratwurzeln, der ein Grund für die schnelle Grafik des Spiels ist. Was für Prinzipien stecken hinter der Konstruktion des Verfahrens, und warum ist die Idee des Algorithmus über 20 Jahre später immer noch relevant? https://github.com/id-Software/Quake-III-Arena/blob/master/code/game/q_math.c /* Copyright (C) 1999-2005 Id Software, Inc., GPLv2 */ float Q_rsqrt( float number ) { long i; float x2, y; const float threehalfs = 1.5F; x2 = number * 0.5F; y = number; i = * ( long * ) &y; // evil floating point bit level hacking i = 0x5f3759df - ( i >> 1 ); // what the fuck? y = * ( float * ) &i; y = y * ( threehalfs - ( x2 * y * y ) ); // 1st iteration // y = y * ( threehalfs - ( x2 * y * y ) ); // 2nd iteration, this can be removed return y; } about this event: https://cfp.gulas.ch/gpn20/talk/DJHG7X/

The European Union’s General Data Protection Regulation (*GDPR*) requires websites to inform users about personal data collection and request consent for cookies. Yet the majority of websites do not give users any choices, and others attempt to deceive them into accepting all cookies. We document the severity of this situation through an analysis of potential GDPR violations in cookie banners in almost 30k websites. We identify six novel violation types, such as incorrect category assignments and misleading expiration times, and we find at least one potential violation in a surprising 94.7% of the analyzed websites. We address this issue by giving users the power to protect their privacy. We develop a browser extension, called CookieBlock, that uses machine learning to enforce GDPR cookie consent at the client. It automatically categorizes cookies by usage purpose using only the information provided in the cookie itself. At a mean validation accuracy of 84.4%, our model attains a prediction quality competitive with expert knowledge in the field. Additionally, our approach differs from prior work by not relying on the cooperation of websites themselves. We empirically evaluate CookieBlock on a set of 100 randomly sampled websites, on which it filters roughly 90% of the privacy-invasive cookies without significantly impairing website functionality. about this event: https://cfp.gulas.ch/gpn20/talk/EDN8N9/