https://media.ccc.de/c/eh19 This feed contains all events from eh19 as mp3 see video outro Thu, 23 Jan 2025 18:44:22 -0000 https://static.media.ccc.de/media/conferences/eh2019/eh19-logo.png https://media.ccc.de/c/eh19 https://media.ccc.de/v/eh19-136-infrastruktur-review <p>-</p> about this event: https://conference.c3w.at/eh19/talk/N7LVYM/ Mon, 22 Apr 2019 00:00:00 +0200 https://cdn.media.ccc.de/events/eh2019/mp3/eh19-136-deu-Infrastruktur-Review_mp3.mp3?1555941480 a715834a-598a-59ec-b010-ff14516e5b71 2019-04-22T00:00:00+02:00 fredl, pascoda No eh19, 136, eh19, easterhegg, Wien, c3w, Infrastructure Review <p>-</p> about this event: https://conference.c3w.at/eh19/talk/N7LVYM/ 00:39:37 https://media.ccc.de/v/eh19-108-jetzt-ist-ende- Schön war es! about this event: https://conference.c3w.at/eh19/talk/N33NN9/ Mon, 22 Apr 2019 00:00:00 +0200 https://cdn.media.ccc.de/events/eh2019/mp3/eh19-108-deu-Jetzt_ist_Ende_-_mp3.mp3?1555940001 436863aa-f9eb-5063-b747-f0e57d7db7a1 2019-04-22T00:00:00+02:00 fredl, pascoda No eh19, 108, eh19, easterhegg, Wien, c3w Schön war es! about this event: https://conference.c3w.at/eh19/talk/N33NN9/ 00:09:24 https://media.ccc.de/v/eh19-111-die-zwiebelfreunde-riseup-durchsuchungen Mitte 2018 wurde durchsucht. Ein Blick auf die Akten, die Rechtslage, und Ideen für die Zukunft. Es gibt schon einige Vorträge zur rechtlichen Situation und Verhaltenshinweisen bei Hausdurchsuchungen. Hier möchte ich etwas detaillierter auf die Durchsuchungen bei den Zwiebelfreunden eingehen, mit netten Zitaten aus den Ermittlungsakten, und zwischendrin Inspiration für technische Maßnahmen und Projektideen bieten, die wir seitdem so diskutiert haben. Presseschau: https://blog.torservers.net/20180704/coordinated-raids-of-zwiebelfreunde-at-various-locations-in-germany.html about this event: https://conference.c3w.at/eh19/talk/E7D8TQ/ Mon, 22 Apr 2019 00:00:00 +0200 https://cdn.media.ccc.de/events/eh2019/mp3/eh19-111-deu-Die_Zwiebelfreunde_Riseup_Durchsuchungen_mp3.mp3?1555939955 458227d2-7434-527f-9771-ba3eaf0a1147 2019-04-22T00:00:00+02:00 mo No eh19, 111, eh19, easterhegg, Wien, c3w Mitte 2018 wurde durchsucht. Ein Blick auf die Akten, die Rechtslage, und Ideen für die Zukunft. Es gibt schon einige Vorträge zur rechtlichen Situation und Verhaltenshinweisen bei Hausdurchsuchungen. Hier möchte ich etwas detaillierter auf die Durchsuchungen bei den Zwiebelfreunden eingehen, mit netten Zitaten aus den Ermittlungsakten, und zwischendrin Inspiration für technische Maßnahmen und Projektideen bieten, die wir seitdem so diskutiert haben. Presseschau: https://blog.torservers.net/20180704/coordinated-raids-of-zwiebelfreunde-at-various-locations-in-germany.html about this event: https://conference.c3w.at/eh19/talk/E7D8TQ/ 00:48:56 https://media.ccc.de/v/eh19-144-wir-kippen-die-pnr-richtlinie- Dieser Talk gibt einen Überblick über die EU-Richtlinie zur Verwendung von Fluggastdatensätzen (PNR), die österreichische Umsetzung, sowie den Stand der Beschwerde und Kampagne von der Gesellschaft für Freiheitsrechte e.V. (GFF) und epicenter.works dagegen. Am 27. April 2016 wurde die EU-Richtline zur Verwendung von Fluggastdatensätzen (PNR) beschlossen. Seit 2018 werden nun eine lange Reihe an Daten aller Menschen, die in die oder aus der EU fliegen, gespeichert und automatisch analysiert. In vielen Ländern - wie auch Österreich - kommen auch innereuropäische Flüge hinzu. Der EuGH hat schon den PNR-Datenaustausch mit Kanada für grundrechtswidrig erklärt. Gemeinsam mit der Gesellschaft für Freiheitsrechte e.V. (GFF) wird epicenter.works nun mit dem Ziel, die Richtlinie vor dem EuGH zu kippen, dagegen Beschwerde erheben. Dieser Talk gibt einen Überblick über die Richtlinie, die österreichische Umsetzung, sowie den Stand der Beschwerde und Kampagne dagegen. about this event: https://conference.c3w.at/eh19/talk/MUCRUD/ Mon, 22 Apr 2019 00:00:00 +0200 https://cdn.media.ccc.de/events/eh2019/mp3/eh19-144-deu-Wir_kippen_die_PNR-Richtlinie_mp3.mp3?1555935824 5ad8b048-a657-5dbe-9b06-36af39acec5e 2019-04-22T00:00:00+02:00 Angelika Adensamer No eh19, 144, eh19, easterhegg, Wien, c3w Dieser Talk gibt einen Überblick über die EU-Richtlinie zur Verwendung von Fluggastdatensätzen (PNR), die österreichische Umsetzung, sowie den Stand der Beschwerde und Kampagne von der Gesellschaft für Freiheitsrechte e.V. (GFF) und epicenter.works dagegen. Am 27. April 2016 wurde die EU-Richtline zur Verwendung von Fluggastdatensätzen (PNR) beschlossen. Seit 2018 werden nun eine lange Reihe an Daten aller Menschen, die in die oder aus der EU fliegen, gespeichert und automatisch analysiert. In vielen Ländern - wie auch Österreich - kommen auch innereuropäische Flüge hinzu. Der EuGH hat schon den PNR-Datenaustausch mit Kanada für grundrechtswidrig erklärt. Gemeinsam mit der Gesellschaft für Freiheitsrechte e.V. (GFF) wird epicenter.works nun mit dem Ziel, die Richtlinie vor dem EuGH zu kippen, dagegen Beschwerde erheben. Dieser Talk gibt einen Überblick über die Richtlinie, die österreichische Umsetzung, sowie den Stand der Beschwerde und Kampagne dagegen. about this event: https://conference.c3w.at/eh19/talk/MUCRUD/ 00:34:55 https://media.ccc.de/v/eh19-168-anatomie-eines-containerfhigen-linux-kernel-rootkits Dieser Vortrag gibt Einblick in die Implementierung eines containerfähigen Linux-Kernel-Rootkits. Linux-Container sind nicht zuletzt seit der Veröffentlichung von Docker sehr beliebt. Deshalb kann davon ausgegangen werden, dass es in naher Zukunft vermehrt Angriffe auf Container geben wird. Schafft es ein Angreifer, die Sicherheitsvorkehrungen zu durchbrechen, kann er ein Rootkit im System platzieren. Dieser Vortrag zeigt, wie ein solches Rootkit im Detail programmiert sein könnte. Zu Beginn werden Rootkits im allgemeinen erläutert, weiters wird der Aufbau von Containern, und welche Technologien dabei zum Einsatz kommen, erläutert. Es wird auch ein Einblick in die Funktionsweise von Linux-Kernel-Rootkits gegeben, um danach, durch die Implementierunge des Rootkits “themaster“, die Anatomie eines containerfähigen Linux-Kernel-Rootkits zu untersuchen. Dabei hat sich herausgestellt, dass bei bestimmten Funktionen das Verändern von Systemcalls und bei anderen das Verändern von Dateioperationen im virtuellen Dateisystem besser geeignet ist. Weiters wurden Backdoorfunktionen implementiert, welche zum einen die Privilegien eines Benutzers im Container ausweiten können und zum anderen einen Ausbruch in Form von Kommandos mit allen Berechtigungen im globalen System erlauben. about this event: https://conference.c3w.at/eh19/talk/D8GMPM/ Sun, 21 Apr 2019 00:00:00 +0200 https://cdn.media.ccc.de/events/eh2019/mp3/eh19-168-deu-Anatomie_eines_containerfaehigen_Linux-Kernel-Rootkits_mp3.mp3?1555890185 317d369c-e694-573a-8ad6-e6e50eedd196 2019-04-21T00:00:00+02:00 Wolfgang Hotwagner No eh19, 168, eh19, easterhegg, Wien, c3w Dieser Vortrag gibt Einblick in die Implementierung eines containerfähigen Linux-Kernel-Rootkits. Linux-Container sind nicht zuletzt seit der Veröffentlichung von Docker sehr beliebt. Deshalb kann davon ausgegangen werden, dass es in naher Zukunft vermehrt Angriffe auf Container geben wird. Schafft es ein Angreifer, die Sicherheitsvorkehrungen zu durchbrechen, kann er ein Rootkit im System platzieren. Dieser Vortrag zeigt, wie ein solches Rootkit im Detail programmiert sein könnte. Zu Beginn werden Rootkits im allgemeinen erläutert, weiters wird der Aufbau von Containern, und welche Technologien dabei zum Einsatz kommen, erläutert. Es wird auch ein Einblick in die Funktionsweise von Linux-Kernel-Rootkits gegeben, um danach, durch die Implementierunge des Rootkits “themaster“, die Anatomie eines containerfähigen Linux-Kernel-Rootkits zu untersuchen. Dabei hat sich herausgestellt, dass bei bestimmten Funktionen das Verändern von Systemcalls und bei anderen das Verändern von Dateioperationen im virtuellen Dateisystem besser geeignet ist. Weiters wurden Backdoorfunktionen implementiert, welche zum einen die Privilegien eines Benutzers im Container ausweiten können und zum anderen einen Ausbruch in Form von Kommandos mit allen Berechtigungen im globalen System erlauben. about this event: https://conference.c3w.at/eh19/talk/D8GMPM/ 00:34:20 https://media.ccc.de/v/eh19-173-internet-exchanges-and-why-we-need-them Wieso brauchen wir internet exchanges und wieso ist das auch für einen Enduser relevant. Der Talk handelt über die Struktur des Internets Wieso brauchen wir internet exchanges und wieso ist das auch für einen Enduser relevant Eine kleine Zusammenfassung der Geschichte des Internet, Was sind Transitprovider und was sind Peering Points WIeso ist es für uns wichtig (Latenz, Abhören) Wie erkennt man dass der Provider darauf achtet? Kleine Vorstellung des CHIX (Neuer IXP in der Schweiz) about this event: https://conference.c3w.at/eh19/talk/HYXUXF/ Sun, 21 Apr 2019 00:00:00 +0200 https://cdn.media.ccc.de/events/eh2019/mp3/eh19-173-deu-Internet_Exchanges_and_why_we_need_them_mp3.mp3?1555889062 648758a2-aff9-53b8-982d-308c664302fd 2019-04-21T00:00:00+02:00 Silvan Gebhardt No eh19, 173, eh19, easterhegg, Wien, c3w Wieso brauchen wir internet exchanges und wieso ist das auch für einen Enduser relevant. Der Talk handelt über die Struktur des Internets Wieso brauchen wir internet exchanges und wieso ist das auch für einen Enduser relevant Eine kleine Zusammenfassung der Geschichte des Internet, Was sind Transitprovider und was sind Peering Points WIeso ist es für uns wichtig (Latenz, Abhören) Wie erkennt man dass der Provider darauf achtet? Kleine Vorstellung des CHIX (Neuer IXP in der Schweiz) about this event: https://conference.c3w.at/eh19/talk/HYXUXF/ 00:31:25 https://media.ccc.de/v/eh19-164-ein-leben-ohne-sticker-ist-mglich-aber-sinnlos Sticker sind ein wesentlicher Bestandteil unserer Kultur, unserer Werte. Sticker sind überall! Aber warum? Dieser Talk soll einen seriösen Einblickin die neue wissenschaftliche Disziplin "Stickerforschung" geben. Aktuelle Forschungsergebnisse! Beim 35c3 gab es ca 72 Stunden durchgehend (!) eine Schlange bei den Stickertischen neben dem Infodesk. Es wurden extra Sticker-Engel abgestellt, die diese Tische betreuten. Es scheint also wichtig zu sein. Deswegen wurde am Institut für Paradoxe Intervention (IPI) ein Department für Stickerforschung mit namhaften Spezialisten besetzt. Diese Präsentation der Stickerforschung vertieft einerseits die Kenntnisse der Teilnehmenden im Fachbereich "Panini-Psychologie (PaPsy)", bietet aber auch einen faszinierenden Einblick in die neuesten Forschungsergebnissen der Arbeitsgruppen "Sticker am Laptop" sowie "Sticker am Klo". Special: Alle Teilnehmenden erhalten eine Anleitung für die Organisation der eigenen Stickersammlung! about this event: https://conference.c3w.at/eh19/talk/WPQX9H/ Sun, 21 Apr 2019 00:00:00 +0200 https://cdn.media.ccc.de/events/eh2019/mp3/eh19-164-deu-Ein_Leben_ohne_Sticker_ist_moeglich_aber_sinnlos_mp3.mp3?1555888296 39151e7e-9ca2-594c-8888-7faa6504e32d 2019-04-21T00:00:00+02:00 eckartt No eh19, 164, eh19, easterhegg, Wien, c3w Sticker sind ein wesentlicher Bestandteil unserer Kultur, unserer Werte. Sticker sind überall! Aber warum? Dieser Talk soll einen seriösen Einblickin die neue wissenschaftliche Disziplin "Stickerforschung" geben. Aktuelle Forschungsergebnisse! Beim 35c3 gab es ca 72 Stunden durchgehend (!) eine Schlange bei den Stickertischen neben dem Infodesk. Es wurden extra Sticker-Engel abgestellt, die diese Tische betreuten. Es scheint also wichtig zu sein. Deswegen wurde am Institut für Paradoxe Intervention (IPI) ein Department für Stickerforschung mit namhaften Spezialisten besetzt. Diese Präsentation der Stickerforschung vertieft einerseits die Kenntnisse der Teilnehmenden im Fachbereich "Panini-Psychologie (PaPsy)", bietet aber auch einen faszinierenden Einblick in die neuesten Forschungsergebnissen der Arbeitsgruppen "Sticker am Laptop" sowie "Sticker am Klo". Special: Alle Teilnehmenden erhalten eine Anleitung für die Organisation der eigenen Stickersammlung! about this event: https://conference.c3w.at/eh19/talk/WPQX9H/ 00:40:15 https://media.ccc.de/v/eh19-167-open-souce-control-fr-camping-fahrzeuge Camping Fahrzeuge haben propitäre Steuerungen, gemeinsame Steuerung meisst nicht möglich oder teuer. Dieser Talk gibt den Stand einer Hersteller übergreifenden Steuerung gängiger Komponenten in Freizeitfahrzeugen Genervt von Überteuerten und komplizierten "SMS" Fernsteuerungen ? Ein Open Source Projekt das ein zentraler Anlaufpunkt im Fahrzeug bietet, monitoren aller Parameter im Fahrzeug, steuern gängiger Komponenten, wie Heizung, Klima, Batteriesensoren etc. remote Control von anywhere. Alle Hersteller machen einen großen Geheimnis um Protokolle, Steuerungen sind nicht miteinander kompatibel oder man macht propitäre eigene Busse. Ein Überblick über die vorhanden Systeme der Hersteller, CI-Bus, Ti-Bus, LIN-Bus, was für Sensoren kann ich benutzen, was gibt es von Automobil Zulieferen. Zusatzboard mit DC/DC Wandler und Bus Transceivern zum Raspberry PI. Außerdem noch ein kurzes Feedback zum letzjährugen Talk "Easterhegg 2018 - "Sicherheitschlösser" in Campingfahrzeugen und ihre versteckten Generalschlüssel" about this event: https://conference.c3w.at/eh19/talk/XXYGYM/ Sun, 21 Apr 2019 00:00:00 +0200 https://cdn.media.ccc.de/events/eh2019/mp3/eh19-167-deu-Open_Souce_Control_fuer_Camping_Fahrzeuge_mp3.mp3?1555888204 69bd5b99-fbd1-568f-8cde-9694b6f7e319 2019-04-21T00:00:00+02:00 RFguy No eh19, 167, eh19, easterhegg, Wien, c3w Camping Fahrzeuge haben propitäre Steuerungen, gemeinsame Steuerung meisst nicht möglich oder teuer. Dieser Talk gibt den Stand einer Hersteller übergreifenden Steuerung gängiger Komponenten in Freizeitfahrzeugen Genervt von Überteuerten und komplizierten "SMS" Fernsteuerungen ? Ein Open Source Projekt das ein zentraler Anlaufpunkt im Fahrzeug bietet, monitoren aller Parameter im Fahrzeug, steuern gängiger Komponenten, wie Heizung, Klima, Batteriesensoren etc. remote Control von anywhere. Alle Hersteller machen einen großen Geheimnis um Protokolle, Steuerungen sind nicht miteinander kompatibel oder man macht propitäre eigene Busse. Ein Überblick über die vorhanden Systeme der Hersteller, CI-Bus, Ti-Bus, LIN-Bus, was für Sensoren kann ich benutzen, was gibt es von Automobil Zulieferen. Zusatzboard mit DC/DC Wandler und Bus Transceivern zum Raspberry PI. Außerdem noch ein kurzes Feedback zum letzjährugen Talk "Easterhegg 2018 - "Sicherheitschlösser" in Campingfahrzeugen und ihre versteckten Generalschlüssel" about this event: https://conference.c3w.at/eh19/talk/XXYGYM/ 00:45:36 https://media.ccc.de/v/eh19-149-black-box-live-protocol-fuzzing Ohne viel Aufwand ganze IoT Systeme testen. Das verspricht Black-Box Live Protocol Fuzzing. Der Fuzzer hängt sich in die Kommunikation und ändert diese auf dem Weg um Schwachstellen aufzudecken. Fuzzing ist eine automatische Testmethode. Eine hohe Anzahl an Tests wird automatisch generiert und an ein Zielsystem geschickt. Fuzzing sollte Teil eines Zuverlässigkeitstests sein. Gerade für IoT-Geråte liegt oft kein Quellcode vor und Binaries sind nur schwer zu extrahieren. Weiterhin kann mit begrenztem Aufwand oft nur auf die Netzwerkschnittstellen zugegriffen werden. Dieser Talk stellt einen Black-box Fuzzer vor, welcher Netwerkverkehr zwischen zwei oder mehr Systemen veråndert. Er basiert darauf, dass das Protokoll bekannt ist um bessere Testfålle zu generieren. Der Fuzzer muss allerdings nicht selber das Protokoll beherschen, sondern verlåsst sich darauf, dass die zu testenden Systeme ausreichend Traffic generieren. Um die Datenfelder aus den Paketen zu extrahieren wird Scapy genutzt, sodass viele Protokolle out of the box unterstüzt werden. Das Fuzzing selber wird von general-purpose Fuzzern wie Radamsa unterstützt. about this event: https://conference.c3w.at/eh19/talk/MXFJEH/ Sun, 21 Apr 2019 00:00:00 +0200 https://cdn.media.ccc.de/events/eh2019/mp3/eh19-149-deu-Black-Box_Live_Protocol_Fuzzing_mp3.mp3?1555888384 19c5dfb0-f259-5082-8688-86966fb3bde8 2019-04-21T00:00:00+02:00 Timo Ramsauer No eh19, 149, eh19, easterhegg, Wien, c3w Ohne viel Aufwand ganze IoT Systeme testen. Das verspricht Black-Box Live Protocol Fuzzing. Der Fuzzer hängt sich in die Kommunikation und ändert diese auf dem Weg um Schwachstellen aufzudecken. Fuzzing ist eine automatische Testmethode. Eine hohe Anzahl an Tests wird automatisch generiert und an ein Zielsystem geschickt. Fuzzing sollte Teil eines Zuverlässigkeitstests sein. Gerade für IoT-Geråte liegt oft kein Quellcode vor und Binaries sind nur schwer zu extrahieren. Weiterhin kann mit begrenztem Aufwand oft nur auf die Netzwerkschnittstellen zugegriffen werden. Dieser Talk stellt einen Black-box Fuzzer vor, welcher Netwerkverkehr zwischen zwei oder mehr Systemen veråndert. Er basiert darauf, dass das Protokoll bekannt ist um bessere Testfålle zu generieren. Der Fuzzer muss allerdings nicht selber das Protokoll beherschen, sondern verlåsst sich darauf, dass die zu testenden Systeme ausreichend Traffic generieren. Um die Datenfelder aus den Paketen zu extrahieren wird Scapy genutzt, sodass viele Protokolle out of the box unterstüzt werden. Das Fuzzing selber wird von general-purpose Fuzzern wie Radamsa unterstützt. about this event: https://conference.c3w.at/eh19/talk/MXFJEH/ 00:36:10 https://media.ccc.de/v/eh19-116-generative-adversarial-networks-fr-anfnger Eine Einführung in die Unsupervised Machine Learning Methode der Generative Adversarial Networks Zielgruppe: Entwickler, Minimale Machine Learning Kenntnisse / Vokuabular vorteilhaft aber nicht nötig GANs sind ein relativ neuer Unsupervised Machine Learning Trend der einige vielversprechende Erfolge in [Medikamentenforschung](https://medium.com/neuromation-io-blog/creating-molecules-from-scratch-i-drug-discovery-with-generative-adversarial-networks-9d42cc496fc6), data augmentation, Segmentierung, style transfer gezeigt hat. Dieser Vortrag gibt einen Überblick über den Bereich der GANs, die Geschichte und die praktischen Anwendungen. DIe Zielgruppe sind keine Spezialisten, sondern normale Softwareentwickler. Der Talk ist in der 2. Version und wurde soweit es bei dem Thema geht für das Easterhegg eingedeutscht. about this event: https://conference.c3w.at/eh19/talk/YTFLN7/ Sun, 21 Apr 2019 00:00:00 +0200 https://cdn.media.ccc.de/events/eh2019/mp3/eh19-116-deu-Generative_Adversarial_Networks_fuer_Anfaenger_mp3.mp3?1555885993 e5d8d6ef-b5c5-5987-b13b-73774629ccf3 2019-04-21T00:00:00+02:00 M No eh19, 116, eh19, easterhegg, Wien, c3w Eine Einführung in die Unsupervised Machine Learning Methode der Generative Adversarial Networks Zielgruppe: Entwickler, Minimale Machine Learning Kenntnisse / Vokuabular vorteilhaft aber nicht nötig GANs sind ein relativ neuer Unsupervised Machine Learning Trend der einige vielversprechende Erfolge in [Medikamentenforschung](https://medium.com/neuromation-io-blog/creating-molecules-from-scratch-i-drug-discovery-with-generative-adversarial-networks-9d42cc496fc6), data augmentation, Segmentierung, style transfer gezeigt hat. Dieser Vortrag gibt einen Überblick über den Bereich der GANs, die Geschichte und die praktischen Anwendungen. DIe Zielgruppe sind keine Spezialisten, sondern normale Softwareentwickler. Der Talk ist in der 2. Version und wurde soweit es bei dem Thema geht für das Easterhegg eingedeutscht. about this event: https://conference.c3w.at/eh19/talk/YTFLN7/ 00:42:02 https://media.ccc.de/v/eh19-157-smart-vacuum-cleaners-as-remote-wiretapping-devices Exploiting Neato Connected firmware to control high-end vacuum cleaners The Neato Botvac Connected vacuum cleaners offer a nice platform with up-to-date sensors, including laser scanner mapping your home. The newest Neatos, which are coupled to cloud services over WiFi, run QNX and little was known about them so far. Connected vacuum cleaners are an interesting target regarding privacy, security and safety, as they have access to your home and move freely therein. The firmware is protected by a write-only interface and an undocumented chip layout - extracting it is a very interesting process. It is a struggle against proprietary chips and QNX systems. We found an upload serial console, which is their anti brick interface, that only accepts QNX file systems, and guessed the chip family correctly, enabling us to print out some memory contents over the serial console. To actually extract something meaningful from this memory, we performed a regular firmware update process on the robot and rebooted into our modified minimal QNX without re-initializing memory---thereby stealing their complete firmware. Based on the firmware extraction, we found many interesting firmware internals. We analyzed weak encrypted coredumps produced by the vacuum cleaner during Web interface fuzzing. By this, we identified a buffer overflow vulnerability, which enables remote command execution (RCE) with root privileges on the robot. Our RCE vulnerability works without prior authentication and---before Neato was informed and rolled out a bugfix---executable via their cloud infrastructure by anyone guessing or knowing a robot's serial ID, which is printed on packing and robots. An attacker could leverage the RCE to extract sensitive information from the robot and harm the user's privacy. We explain the vulnerability, our exploit and how we overcame obstacles during proof of concept development. about this event: https://conference.c3w.at/eh19/talk/WREMAD/ Sun, 21 Apr 2019 00:00:00 +0200 https://cdn.media.ccc.de/events/eh2019/mp3/eh19-157-eng-Smart_vacuum_cleaners_as_remote_wiretapping_devices_mp3.mp3?1555883883 81fb366e-aad4-57a9-a034-487c8d583276 2019-04-21T00:00:00+02:00 jiska, Johannes No eh19, 157, eh19, easterhegg, Wien, c3w Exploiting Neato Connected firmware to control high-end vacuum cleaners The Neato Botvac Connected vacuum cleaners offer a nice platform with up-to-date sensors, including laser scanner mapping your home. The newest Neatos, which are coupled to cloud services over WiFi, run QNX and little was known about them so far. Connected vacuum cleaners are an interesting target regarding privacy, security and safety, as they have access to your home and move freely therein. The firmware is protected by a write-only interface and an undocumented chip layout - extracting it is a very interesting process. It is a struggle against proprietary chips and QNX systems. We found an upload serial console, which is their anti brick interface, that only accepts QNX file systems, and guessed the chip family correctly, enabling us to print out some memory contents over the serial console. To actually extract something meaningful from this memory, we performed a regular firmware update process on the robot and rebooted into our modified minimal QNX without re-initializing memory---thereby stealing their complete firmware. Based on the firmware extraction, we found many interesting firmware internals. We analyzed weak encrypted coredumps produced by the vacuum cleaner during Web interface fuzzing. By this, we identified a buffer overflow vulnerability, which enables remote command execution (RCE) with root privileges on the robot. Our RCE vulnerability works without prior authentication and---before Neato was informed and rolled out a bugfix---executable via their cloud infrastructure by anyone guessing or knowing a robot's serial ID, which is printed on packing and robots. An attacker could leverage the RCE to extract sensitive information from the robot and harm the user's privacy. We explain the vulnerability, our exploit and how we overcame obstacles during proof of concept development. about this event: https://conference.c3w.at/eh19/talk/WREMAD/ 00:39:27 https://media.ccc.de/v/eh19-76-kernreaktoren Wir funktionieren Kernreaktoren Tschernobyl und Fukushima about this event: https://conference.c3w.at/eh19/talk/BVSYGQ/ Sun, 21 Apr 2019 00:00:00 +0200 https://cdn.media.ccc.de/events/eh2019/mp3/eh19-76-deu-Kernreaktoren_mp3.mp3?1555879500 6b660983-80d1-5bca-8065-0d5a4d51a449 2019-04-21T00:00:00+02:00 Regine Zawodsky No eh19, 76, eh19, easterhegg, Wien, c3w Wir funktionieren Kernreaktoren Tschernobyl und Fukushima about this event: https://conference.c3w.at/eh19/talk/BVSYGQ/ 02:01:02 https://media.ccc.de/v/eh19-133-nuclear-propulsion-from-the-somewhat-reasonable-to-the-utterly-insane A brief tour of propulsion systems utilising nuclear reactions. What could possibly go wrong? Nuclear reactions offer big advantages for propulsion systems and rockets in particular. Able to run at high temperatures, they are efficient. In rockets, transporting as much energy in as little mass as possible is key to successful rocketry. Nuclear fuels offer great potential, as they have a much higher energy per mass ratio than chemical fuels. I'll walk you through some of the great ideas humanity had to access this potential. about this event: https://conference.c3w.at/eh19/talk/7BR9GT/ Sun, 21 Apr 2019 00:00:00 +0200 https://cdn.media.ccc.de/events/eh2019/mp3/eh19-133-eng-Nuclear_Propulsion_-_From_The_Somewhat_Reasonable_To_The_Utterly_Insane_mp3.mp3?1555879535 b3de8588-0b08-5c0b-b7eb-152aedeea572 2019-04-21T00:00:00+02:00 Paulchen No eh19, 133, eh19, easterhegg, Wien, c3w A brief tour of propulsion systems utilising nuclear reactions. What could possibly go wrong? Nuclear reactions offer big advantages for propulsion systems and rockets in particular. Able to run at high temperatures, they are efficient. In rockets, transporting as much energy in as little mass as possible is key to successful rocketry. Nuclear fuels offer great potential, as they have a much higher energy per mass ratio than chemical fuels. I'll walk you through some of the great ideas humanity had to access this potential. about this event: https://conference.c3w.at/eh19/talk/7BR9GT/ 00:45:12 https://media.ccc.de/v/eh19-189-treiber-in-high-level-programmiersprachen Treiber werden üblicherweise in C geschrieben. Wir zeigen wie man Netzwerktreiber in Rust, Go, OCaml, Haskell, C#, Python und Swift schreibt. Treiber in Betriebssystemen werden üblicherweise in der selben Sprache wie das System geschrieben -- also in C oder eingeschränkten Varianten von C++. In der Welt der Netzwerktreiber gibt es einen Trend dazu den Treiber aus dem Kernel in normale Prozesse zu verlagern. Dadurch fällt die Einschränkung in der Sprachwahl weg, aber gängige Treiber wie DPDK werden trotzdem noch in C geschrieben. Wir haben Netzwerktreiber für Intel 10 Gbit/s Netzwerkkarten in Rust, Go, OCaml, Haskell, C#, Python und Swift geschrieben. Alle Implementierungen sind komplett im Userspace laufende PCIe Treiber die in jeweils ca. 1.000 Zeilen Code demonstrieren dass es möglich ist andere Sprachen als C zu benutzen. Der Talk geht auf die Vor- und Nachteile der einzelnen Sprachen ein, insbesondere welche Sicherheitsfeatures von Sprachen für bessere Treiber benutzt werden können und wie viel Performance diese Sicherheitsfeatures kosten. Zusätzlich dazu haben wir noch Unterstützung für die IOMMU implementiert und evaluieren ob sich die Nutzung dieser Hardware lohnt. Weitere Informationen zu den verschiedenen Projekten finden sich auf unserer GitHub-Seite: https://github.com/ixy-languages/ixy-languages/ Dieser Talk ist ein Update zu [unserem Talk auf dem 35C3](https://media.ccc.de/v/35c3-9670-safe_and_secure_drivers_in_high-level_languages), seitdem hat sich viel getan: * Performance- und Latenzmessungen für alle Sprachen * Warum ist Rust langsamer als C? Ergebnisse basierend auf Performancecountern der CPUs * Meta-Analyse der Implementierungen: Welche Sprache bietet welche Sicherheitsfeatures? Wie groß/komplex sind die verschiedenen Implementierungen? about this event: https://conference.c3w.at/eh19/talk/J8GFMY/ Sun, 21 Apr 2019 00:00:00 +0200 https://cdn.media.ccc.de/events/eh2019/mp3/eh19-189-deu-Treiber_in_High-Level_Programmiersprachen_mp3.mp3?1555868916 e1eda897-6cc5-54f9-bf41-7c3aa6298207 2019-04-21T00:00:00+02:00 Paul Emmerich, Simon Ellmann No eh19, 189, eh19, easterhegg, Wien, c3w Treiber werden üblicherweise in C geschrieben. Wir zeigen wie man Netzwerktreiber in Rust, Go, OCaml, Haskell, C#, Python und Swift schreibt. Treiber in Betriebssystemen werden üblicherweise in der selben Sprache wie das System geschrieben -- also in C oder eingeschränkten Varianten von C++. In der Welt der Netzwerktreiber gibt es einen Trend dazu den Treiber aus dem Kernel in normale Prozesse zu verlagern. Dadurch fällt die Einschränkung in der Sprachwahl weg, aber gängige Treiber wie DPDK werden trotzdem noch in C geschrieben. Wir haben Netzwerktreiber für Intel 10 Gbit/s Netzwerkkarten in Rust, Go, OCaml, Haskell, C#, Python und Swift geschrieben. Alle Implementierungen sind komplett im Userspace laufende PCIe Treiber die in jeweils ca. 1.000 Zeilen Code demonstrieren dass es möglich ist andere Sprachen als C zu benutzen. Der Talk geht auf die Vor- und Nachteile der einzelnen Sprachen ein, insbesondere welche Sicherheitsfeatures von Sprachen für bessere Treiber benutzt werden können und wie viel Performance diese Sicherheitsfeatures kosten. Zusätzlich dazu haben wir noch Unterstützung für die IOMMU implementiert und evaluieren ob sich die Nutzung dieser Hardware lohnt. Weitere Informationen zu den verschiedenen Projekten finden sich auf unserer GitHub-Seite: https://github.com/ixy-languages/ixy-languages/ Dieser Talk ist ein Update zu [unserem Talk auf dem 35C3](https://media.ccc.de/v/35c3-9670-safe_and_secure_drivers_in_high-level_languages), seitdem hat sich viel getan: * Performance- und Latenzmessungen für alle Sprachen * Warum ist Rust langsamer als C? Ergebnisse basierend auf Performancecountern der CPUs * Meta-Analyse der Implementierungen: Welche Sprache bietet welche Sicherheitsfeatures? Wie groß/komplex sind die verschiedenen Implementierungen? about this event: https://conference.c3w.at/eh19/talk/J8GFMY/ 00:51:43 https://media.ccc.de/v/eh19-190-autistische-wahrnehmungen Der Vortrag zum Podcast – Was ist Autismus? Seit Greta Thunberg und Friday for Future ist Autismus auch in den Massenmedien angelangt. Und auch im Chaosumfeld gibt es viele Autist:innen. Deshalb möchte ich Euch in diesem Vortrag etwas über Autismus und meine Wahrnehmung erzählen. Ich rede darüber, warum Autist:innen die Welt anders wahrnehmen und warum manche schneller überreizt sind. Ich rede über die Stärken und über die Schwächen, wie Overloads und Meltdowns. Denn: Nicht alle Autisten sind gut in Mathe und Informatik und manche reden trotzdem viel... about this event: https://conference.c3w.at/eh19/talk/TUQMZW/ Sun, 21 Apr 2019 00:00:00 +0200 https://cdn.media.ccc.de/events/eh2019/mp3/eh19-190-deu-Autistische_Wahrnehmungen_mp3.mp3?1555863635 7f58ea23-0bb4-502b-a754-a2c31c713398 2019-04-21T00:00:00+02:00 fairsein No eh19, 190, eh19, easterhegg, Wien, c3w Der Vortrag zum Podcast – Was ist Autismus? Seit Greta Thunberg und Friday for Future ist Autismus auch in den Massenmedien angelangt. Und auch im Chaosumfeld gibt es viele Autist:innen. Deshalb möchte ich Euch in diesem Vortrag etwas über Autismus und meine Wahrnehmung erzählen. Ich rede darüber, warum Autist:innen die Welt anders wahrnehmen und warum manche schneller überreizt sind. Ich rede über die Stärken und über die Schwächen, wie Overloads und Meltdowns. Denn: Nicht alle Autisten sind gut in Mathe und Informatik und manche reden trotzdem viel... about this event: https://conference.c3w.at/eh19/talk/TUQMZW/ 00:37:14 https://media.ccc.de/v/eh19-120-ethik-in-einer-digitalisierten-welt-netzwerke-in-theorie-und-praxis **Netzwerke in Theorie und Praxis** - Netzwerke, wie sie entstehen und wie sie wirken. Chancen und Risken einer *digitalisierten Welt* aus dem Blickwinkel von Ethik und Philosophie. Netzwerke, wie sie entstehen und wie sie wirken. Chancen und Risken einer „digitalisierten Welt“ aus dem Blickwinkel von Ethik und Philosophie. Visualisierungen von Datenverbindungen, Netzwerkeffekten und den Prinzipien der Netzwerkentstehung zeigen sowohl Chancen als auch Risken für die Entwicklung einer **Digitalisierten Gesellschaft**. Anhand der aufgezeigten Szenarien führen grundsätzliche ethische und gesellschaftliche Fragen im Gegensatz zu technischen Möglichkeiten zu einander oft widersprechenden Antworten. Dieser Talk betrachtet Fragen und Antworten sowohl aus der Sicht der Technologie als Werkzeug, als auch aus Sicht von Ethik und Philosophie mit Blick auf Gestaltungsmöglichkeiten für eine lebenswerte Gesellschaft. about this event: https://conference.c3w.at/eh19/talk/RVEWW9/ Sun, 21 Apr 2019 00:00:00 +0200 https://cdn.media.ccc.de/events/eh2019/mp3/eh19-120-deu-Ethik_in_einer_digitalisierten_Welt_-_Netzwerke_in_Theorie_und_Praxis_mp3.mp3?1555861155 45cab74b-559c-549a-968b-041878d42748 2019-04-21T00:00:00+02:00 Walter Karban No eh19, 120, eh19, easterhegg, Wien, c3w **Netzwerke in Theorie und Praxis** - Netzwerke, wie sie entstehen und wie sie wirken. Chancen und Risken einer *digitalisierten Welt* aus dem Blickwinkel von Ethik und Philosophie. Netzwerke, wie sie entstehen und wie sie wirken. Chancen und Risken einer „digitalisierten Welt“ aus dem Blickwinkel von Ethik und Philosophie. Visualisierungen von Datenverbindungen, Netzwerkeffekten und den Prinzipien der Netzwerkentstehung zeigen sowohl Chancen als auch Risken für die Entwicklung einer **Digitalisierten Gesellschaft**. Anhand der aufgezeigten Szenarien führen grundsätzliche ethische und gesellschaftliche Fragen im Gegensatz zu technischen Möglichkeiten zu einander oft widersprechenden Antworten. Dieser Talk betrachtet Fragen und Antworten sowohl aus der Sicht der Technologie als Werkzeug, als auch aus Sicht von Ethik und Philosophie mit Blick auf Gestaltungsmöglichkeiten für eine lebenswerte Gesellschaft. about this event: https://conference.c3w.at/eh19/talk/RVEWW9/ 00:44:08 https://media.ccc.de/v/eh19-184-einfhrung-in-regulre-ausdrcke Einführung in reguläre Ausdrücke auch für Leute, die noch wie von regulären Ausdrücken gehört haben, sie aber trotzdem brauchen könnten. In diesem Talk gebe ich eine Einführung in reguläre Ausdrücke, die auch für meine Kollegen aus dem Großrechnerumfeld geeignet ist, die von dem Thema noch nie gehört haben. Für wen können reguläre Ausdrücke hilfreich sein? Aus meiner Sicht schon für alle, die etwas komplexere Zeichenketten auf einmal suchen oder ersetzen wollen. about this event: https://conference.c3w.at/eh19/talk/BYWJA8/ Sun, 21 Apr 2019 00:00:00 +0200 https://cdn.media.ccc.de/events/eh2019/mp3/eh19-184-deu-Einfuehrung_in_regulaere_Ausdruecke_mp3.mp3?1555859824 1336e3ec-c48e-53b5-87b5-ceac47d73707 2019-04-21T00:00:00+02:00 Habrok No eh19, 184, eh19, easterhegg, Wien, c3w Einführung in reguläre Ausdrücke auch für Leute, die noch wie von regulären Ausdrücken gehört haben, sie aber trotzdem brauchen könnten. In diesem Talk gebe ich eine Einführung in reguläre Ausdrücke, die auch für meine Kollegen aus dem Großrechnerumfeld geeignet ist, die von dem Thema noch nie gehört haben. Für wen können reguläre Ausdrücke hilfreich sein? Aus meiner Sicht schon für alle, die etwas komplexere Zeichenketten auf einmal suchen oder ersetzen wollen. about this event: https://conference.c3w.at/eh19/talk/BYWJA8/ 00:21:29 https://media.ccc.de/v/eh19-183-tls-konfiguration-im-jahr-2019 Eine Einführung für interessierte Admins, die unabhängig vom Betriebssystem und der verwendeten Software in der Lage sein möchten, die bestmögliche TLS-Konfiguration für ihren spezifischen Einzelfall zusammenzustellen. Empfehlungen für die perfekte™ TLS-Konfiguration von $Software gibt es wie Sand am Meer - leider meist ohne nähere Erklärung der gewählten Parameter. Wer seine TLS-Konfiguration nicht blind von irgendwo kopieren, sondern verstehen und ggf. auch anderen erklären können möchte, ist hier richtig. Kryptographie-Vorkenntnisse sind hilfreich aber keine Voraussetzung, um dem Talk folgen zu können. about this event: https://conference.c3w.at/eh19/talk/9HLKJU/ Sun, 21 Apr 2019 00:00:00 +0200 https://cdn.media.ccc.de/events/eh2019/mp3/eh19-183-deu-TLS-Konfiguration_im_Jahr_2019_mp3.mp3?1555859556 51bbfc4c-ee81-57db-83d6-15255179dde9 2019-04-21T00:00:00+02:00 Pascal Ernster No eh19, 183, eh19, easterhegg, Wien, c3w Eine Einführung für interessierte Admins, die unabhängig vom Betriebssystem und der verwendeten Software in der Lage sein möchten, die bestmögliche TLS-Konfiguration für ihren spezifischen Einzelfall zusammenzustellen. Empfehlungen für die perfekte™ TLS-Konfiguration von $Software gibt es wie Sand am Meer - leider meist ohne nähere Erklärung der gewählten Parameter. Wer seine TLS-Konfiguration nicht blind von irgendwo kopieren, sondern verstehen und ggf. auch anderen erklären können möchte, ist hier richtig. Kryptographie-Vorkenntnisse sind hilfreich aber keine Voraussetzung, um dem Talk folgen zu können. about this event: https://conference.c3w.at/eh19/talk/9HLKJU/ 00:48:58 https://media.ccc.de/v/eh19-179-das-neue-eventphone-poc-telefonsystem Wir haben im letzten Jahr die Hard- und Software des Phone Operation Center (PoC) fast vollständig ersetzt. In diesem Vortrag wollen wir die neue Soft- und Hardware etwas näher Vorstellen. Seit dem letzten Easterhegg (in Würzburg 2018) ist die Hard- und Software des Phone Operation Center (PoC) fast vollständig ersetzt. Der größte Schritt aus Benutzersicht war, die langen DECT Registrierungsschlangen gegen eine Selbst- oder Auto-Registrierungsfunktion zu tauschen. Auf dem Easterhegg 2018 gab es den ersten großen Test und wir haben [viel dabei gelernt](https://eventphone.de/blog/2018/04/01/dect-deregistrierung-easterhegg-2018/). Der zweite Test im August 2018 auf dem EMF Camp in England verlief reibungslos. Auf dem 35C3 gab es die Feuerprobe und wir brachen alle Rekorde. Während des Congresses wurden [über 6400](https://de.wikipedia.org/wiki/Phone_Operation_Center) Nebenstellen genutzt (3861 DECT, 1346 SIP, 1281 GSM) und etwa 269.800 Gespräche geführt. Das wäre mit dem alten System nicht möglich gewesen. Auf dem 35C3 haben wir im Open Infrastructure Orbit den Vortrag: [Eventphone: früher, heute, morgen.](https://eventphone.de/blog/2018/12/30/eventphone-fruher-heute-morgen-vortrag-auf-dem-35c3/) gehalten und haben dabei einen Überblick über die Geschichte des PoC, die Funktionen und das *Warum?* des neuen Systems gegeben. Es ist sinnvoll, sich diesen Vortrag vorher anzusehen. In dem Vortrag auf dem Easterhegg 2019 soll es nach einer kurzen Zusammenfassung des *Warum alles neu bauen?* und der Erläuterung der wichtigsten neuen Funktionen, hauptsächlich um das *Wie?* gehen. Es wird also technisch, aber mit dem Anspruch verständlich zu bleiben, um vielleicht doch noch ein paar neue Leute von der recht alten, vermeintlich abgehangenen, Technologie Drahtlostelefonie [(DECT)](https://de.wikipedia.org/wiki/Digital_Enhanced_Cordless_Telecommunications) zu begeistern. about this event: https://conference.c3w.at/eh19/talk/VCBFK8/ Sun, 21 Apr 2019 00:00:00 +0200 https://cdn.media.ccc.de/events/eh2019/mp3/eh19-179-deu-Das_neue_Eventphone_PoC_Telefonsystem_mp3.mp3?1555964856 598090e5-63b6-58d5-a539-823e5741e7d5 2019-04-21T00:00:00+02:00 ST, thomasDOTwtf, Garwin No eh19, 179, eh19, easterhegg, Wien, c3w Wir haben im letzten Jahr die Hard- und Software des Phone Operation Center (PoC) fast vollständig ersetzt. In diesem Vortrag wollen wir die neue Soft- und Hardware etwas näher Vorstellen. Seit dem letzten Easterhegg (in Würzburg 2018) ist die Hard- und Software des Phone Operation Center (PoC) fast vollständig ersetzt. Der größte Schritt aus Benutzersicht war, die langen DECT Registrierungsschlangen gegen eine Selbst- oder Auto-Registrierungsfunktion zu tauschen. Auf dem Easterhegg 2018 gab es den ersten großen Test und wir haben [viel dabei gelernt](https://eventphone.de/blog/2018/04/01/dect-deregistrierung-easterhegg-2018/). Der zweite Test im August 2018 auf dem EMF Camp in England verlief reibungslos. Auf dem 35C3 gab es die Feuerprobe und wir brachen alle Rekorde. Während des Congresses wurden [über 6400](https://de.wikipedia.org/wiki/Phone_Operation_Center) Nebenstellen genutzt (3861 DECT, 1346 SIP, 1281 GSM) und etwa 269.800 Gespräche geführt. Das wäre mit dem alten System nicht möglich gewesen. Auf dem 35C3 haben wir im Open Infrastructure Orbit den Vortrag: [Eventphone: früher, heute, morgen.](https://eventphone.de/blog/2018/12/30/eventphone-fruher-heute-morgen-vortrag-auf-dem-35c3/) gehalten und haben dabei einen Überblick über die Geschichte des PoC, die Funktionen und das *Warum?* des neuen Systems gegeben. Es ist sinnvoll, sich diesen Vortrag vorher anzusehen. In dem Vortrag auf dem Easterhegg 2019 soll es nach einer kurzen Zusammenfassung des *Warum alles neu bauen?* und der Erläuterung der wichtigsten neuen Funktionen, hauptsächlich um das *Wie?* gehen. Es wird also technisch, aber mit dem Anspruch verständlich zu bleiben, um vielleicht doch noch ein paar neue Leute von der recht alten, vermeintlich abgehangenen, Technologie Drahtlostelefonie [(DECT)](https://de.wikipedia.org/wiki/Digital_Enhanced_Cordless_Telecommunications) zu begeistern. about this event: https://conference.c3w.at/eh19/talk/VCBFK8/ 00:41:52 https://media.ccc.de/v/eh19-145-wie-geo-mashups-die-welt-vertaggen- Geo-Mashups am Beispiel von Geopedia & GeoTube; wer erlaubt Zugriff auf welche Daten? Was geht, was ging und was wird (nicht mehr) funktionieren? * Geschichte von Geo-Mashups (GeoFeedia) * Google Maps und der Wikipedia Layer => führte zu Places * Geopedia (mehrsprachiges Reise- und InfoTool) * Das Ende von Instagram-Geodaten * Die Geodaten bei Twitter und YouTube sind immer noch da * Was ist eigentlich mit Geodaten aus Facebook (FB Pages) * Aktueller Stand der Geodaten auf YouTube am Beispiel von GeoTube * Privatsphäre und "öffentliche" YouTube-Daten * Geo-IP tagging (Provider/Upload-Filter/MaxMind) ###### Links * [Geopedia](https://www.geopedia.at) * [GeoTube](http://www.geotube.info) (*beta*) about this event: https://conference.c3w.at/eh19/talk/SG9B83/ Sun, 21 Apr 2019 00:00:00 +0200 https://cdn.media.ccc.de/events/eh2019/mp3/eh19-145-deu-Wie_Geo-Mashups_die_Welt_vertaggen_mp3.mp3?1555857454 210b1e90-42a5-5f93-a0fd-6eef22df57ec 2019-04-21T00:00:00+02:00 Michael Schön No eh19, 145, eh19, easterhegg, Wien, c3w Geo-Mashups am Beispiel von Geopedia & GeoTube; wer erlaubt Zugriff auf welche Daten? Was geht, was ging und was wird (nicht mehr) funktionieren? * Geschichte von Geo-Mashups (GeoFeedia) * Google Maps und der Wikipedia Layer => führte zu Places * Geopedia (mehrsprachiges Reise- und InfoTool) * Das Ende von Instagram-Geodaten * Die Geodaten bei Twitter und YouTube sind immer noch da * Was ist eigentlich mit Geodaten aus Facebook (FB Pages) * Aktueller Stand der Geodaten auf YouTube am Beispiel von GeoTube * Privatsphäre und "öffentliche" YouTube-Daten * Geo-IP tagging (Provider/Upload-Filter/MaxMind) ###### Links * [Geopedia](https://www.geopedia.at) * [GeoTube](http://www.geotube.info) (*beta*) about this event: https://conference.c3w.at/eh19/talk/SG9B83/ 00:49:23 https://media.ccc.de/v/eh19-186-all-your-fitness-data-belongs-to-you-reverse-engineering-the-huawei-health-android-app This talk describes the reversing process of the Huawei Health app. In this context, the proprietary BLE Huawei Link Protocol v2 will be disclosed, which allows the use of the Huawei fitness devices without the Health App and its accompanying ecosystem. Fitness wristbands and watches, so-called fitness trackers are constantly gaining in popularity. They can record a variety of private data (e.g. pulse, steps, calorie consumption, sports activity), which may also be of interest to other individuals. By now, the first insurance companies are already offering superior rates for providing them with the captured fitness data. Due to the great demand, it is not surprising that many well-known manufacturers offer fitness trackers. With the Huawei Band 3 Pro, the Huawei Watch GT and the Honor Band 4 (Honor is a sub-brand of Huawei), Huawei also sells a wide range of varying trackers. All these trackers are controlled with the Huawei Health App, which is available for both Android and iOS. Huawei is using Bluetooth Low Energy (BLE) for the communication between smart phones and the addressed fitness devices. Built upon BLE, the proprietary protocol Huawei Link Protocol v2 is used. Since the protocol is not documented and partially encrypted, breaking out of the Huawei ecosystem is not simple. Until now, users have been bound to the Huawei Health App and its corresponding cloud environment and had to accept that their data is uploaded to Chinese servers. During this talk the following, generally applicable methods for reverse engineering of Android applications are discussed: <ul> <li>Different methods to extract the app from the smart phone</li> <li>Static analysis and deobfuscation of complex multidex applications (the Huawei Health App comprises over 13.000 classes and far over 64K methods) with Jadx [1] and Android Studio [2]</li> <li>Dynamic analysis and instrumentation with Frida [3] to intercept the Bluetooth communication and to circumvent the code signing protection</li> </ul> Furthermore, the subsequent results concerning the Huawei Health App and the Huawei Link Protocol v2 will be presented: <ul> <li>The structure of the Huawei Link Protocol v2, including the handshake and cryptographic authentication between fitness tracker and smart phone</li> <li>The readout of the fitness data stored (beside the cloud) on the smart phone in an encrypted local SQLite database (SQLite Encryption Extension), including the retrievement of the encryption key</li> </ul> [1] https://github.com/skylot/jadx <br /> [2] https://developer.android.com/studio/ <br /> [3] https://www.frida.re/ about this event: https://conference.c3w.at/eh19/talk/3XYZYY/ Sat, 20 Apr 2019 00:00:00 +0200 https://cdn.media.ccc.de/events/eh2019/mp3/eh19-186-eng-All_Your_Fitness_Data_Belongs_to_You_Reverse_Engineering_the_Huawei_Health_Android_App_mp3.mp3?1555841315 720b99fd-6752-5449-81e3-af998bebcbd1 2019-04-20T00:00:00+02:00 Christian Kudera No eh19, 186, eh19, easterhegg, Wien, c3w This talk describes the reversing process of the Huawei Health app. In this context, the proprietary BLE Huawei Link Protocol v2 will be disclosed, which allows the use of the Huawei fitness devices without the Health App and its accompanying ecosystem. Fitness wristbands and watches, so-called fitness trackers are constantly gaining in popularity. They can record a variety of private data (e.g. pulse, steps, calorie consumption, sports activity), which may also be of interest to other individuals. By now, the first insurance companies are already offering superior rates for providing them with the captured fitness data. Due to the great demand, it is not surprising that many well-known manufacturers offer fitness trackers. With the Huawei Band 3 Pro, the Huawei Watch GT and the Honor Band 4 (Honor is a sub-brand of Huawei), Huawei also sells a wide range of varying trackers. All these trackers are controlled with the Huawei Health App, which is available for both Android and iOS. Huawei is using Bluetooth Low Energy (BLE) for the communication between smart phones and the addressed fitness devices. Built upon BLE, the proprietary protocol Huawei Link Protocol v2 is used. Since the protocol is not documented and partially encrypted, breaking out of the Huawei ecosystem is not simple. Until now, users have been bound to the Huawei Health App and its corresponding cloud environment and had to accept that their data is uploaded to Chinese servers. During this talk the following, generally applicable methods for reverse engineering of Android applications are discussed: <ul> <li>Different methods to extract the app from the smart phone</li> <li>Static analysis and deobfuscation of complex multidex applications (the Huawei Health App comprises over 13.000 classes and far over 64K methods) with Jadx [1] and Android Studio [2]</li> <li>Dynamic analysis and instrumentation with Frida [3] to intercept the Bluetooth communication and to circumvent the code signing protection</li> </ul> Furthermore, the subsequent results concerning the Huawei Health App and the Huawei Link Protocol v2 will be presented: <ul> <li>The structure of the Huawei Link Protocol v2, including the handshake and cryptographic authentication between fitness tracker and smart phone</li> <li>The readout of the fitness data stored (beside the cloud) on the smart phone in an encrypted local SQLite database (SQLite Encryption Extension), including the retrievement of the encryption key</li> </ul> [1] https://github.com/skylot/jadx <br /> [2] https://developer.android.com/studio/ <br /> [3] https://www.frida.re/ about this event: https://conference.c3w.at/eh19/talk/3XYZYY/ 00:41:32 https://media.ccc.de/v/eh19-163-iot-6lowpan-coap-ble-rpl-dtls IoT without wifi, with low power technology on standardized protocols. IETF has been working on this for >10 years There has been plenty of work in the field of IoT, even tho many people just associate WIFI with it, there are low power alternatives. Especially IETF has been working on this for a long time, to have a set of standards available. Many "solve" IoT by shrinking linux systems into 10 Euro boxes, which they consider small, but there are microcontrollers being able to join the internet, and IPv6 connectivity with end to end encryption is perfectly fine to do in 16 KByte of RAM and with 128 KByte of flash. This talk revolves around microcontrollers who speak IEEE 802.15.4, most popular for being used in Zigbee, or ZLL(Lightbulbs). There is no need to not be able to join the internet, and have a restful Interface. 6LoWPAN enables communication and brings IPv6 down to small devices and takes PHY/MAC limitations into account. Be it BLE, Bluetooth, or IEEE 802.15.4. CoAP - Constraint Application Protocol, just like HTTP a restful protocol DTLS - Some Security as topping All in all there is no need why a "light on" commando should be TCP, many layers of abstraction, when a 50 Byte packet does the job just fine. Standardized and open. Let's get together and start tinkering in this field, which is intended to be open without any stakeholders to keep it closed like some patented IoT offerings. about this event: https://conference.c3w.at/eh19/talk/G88JSJ/ Sat, 20 Apr 2019 00:00:00 +0200 https://cdn.media.ccc.de/events/eh2019/mp3/eh19-163-deu-IoT_-_6LoWPAN_CoAP_BLE_RPL_DTLS_mp3.mp3?1555836275 4d840d36-1b6a-582f-803e-01f90a5f696a 2019-04-20T00:00:00+02:00 mwfc No eh19, 163, eh19, easterhegg, Wien, c3w IoT without wifi, with low power technology on standardized protocols. IETF has been working on this for >10 years There has been plenty of work in the field of IoT, even tho many people just associate WIFI with it, there are low power alternatives. Especially IETF has been working on this for a long time, to have a set of standards available. Many "solve" IoT by shrinking linux systems into 10 Euro boxes, which they consider small, but there are microcontrollers being able to join the internet, and IPv6 connectivity with end to end encryption is perfectly fine to do in 16 KByte of RAM and with 128 KByte of flash. This talk revolves around microcontrollers who speak IEEE 802.15.4, most popular for being used in Zigbee, or ZLL(Lightbulbs). There is no need to not be able to join the internet, and have a restful Interface. 6LoWPAN enables communication and brings IPv6 down to small devices and takes PHY/MAC limitations into account. Be it BLE, Bluetooth, or IEEE 802.15.4. CoAP - Constraint Application Protocol, just like HTTP a restful protocol DTLS - Some Security as topping All in all there is no need why a "light on" commando should be TCP, many layers of abstraction, when a 50 Byte packet does the job just fine. Standardized and open. Let's get together and start tinkering in this field, which is intended to be open without any stakeholders to keep it closed like some patented IoT offerings. about this event: https://conference.c3w.at/eh19/talk/G88JSJ/ 00:46:14 https://media.ccc.de/v/eh19-193-3d-druck-fr-den-weltraum Die meisten kennen 3D-Druck aus dem Hackspace oder haben einen Zuhause stehen. Doch wie sieht es aus wenn es um Anwendungen im Weltraum geht? Ich werde Technologien und Anwendungen präsentieren die dafür in Frage kommen, mit Fokus auf Laserstrahlschmelzen. Dieser Vortrag soll einen Überblick geben wie es um 3D-Druck für Weltraumanwendungen (Raketentriebwerke, strukturelle Bauteile für Satelliten) derzeit steht. Begonnen mit einer Einführung in das Prinzip der additiven Fertigung, darauf aufbauend werden die Verfahren, welche für Space-Anwendungen in Frage kommen, einzeln vorgestellt. Anschließend werden einige aktuelle Anwendungsfälle, welche 3D-Druck nutzen, vorgestellt. Zu einigen Anwendungsbeispielen werde ich auch Demoteile mitnehmen. about this event: https://conference.c3w.at/eh19/talk/D8PZME/ Sat, 20 Apr 2019 00:00:00 +0200 https://cdn.media.ccc.de/events/eh2019/mp3/eh19-193-deu-3D-Druck_fuer_den_Weltraum_mp3.mp3?1555806134 208337a6-f9be-5762-a1d9-3218e1707a6d 2019-04-20T00:00:00+02:00 ripper No eh19, 193, eh19, easterhegg, Wien, c3w Die meisten kennen 3D-Druck aus dem Hackspace oder haben einen Zuhause stehen. Doch wie sieht es aus wenn es um Anwendungen im Weltraum geht? Ich werde Technologien und Anwendungen präsentieren die dafür in Frage kommen, mit Fokus auf Laserstrahlschmelzen. Dieser Vortrag soll einen Überblick geben wie es um 3D-Druck für Weltraumanwendungen (Raketentriebwerke, strukturelle Bauteile für Satelliten) derzeit steht. Begonnen mit einer Einführung in das Prinzip der additiven Fertigung, darauf aufbauend werden die Verfahren, welche für Space-Anwendungen in Frage kommen, einzeln vorgestellt. Anschließend werden einige aktuelle Anwendungsfälle, welche 3D-Druck nutzen, vorgestellt. Zu einigen Anwendungsbeispielen werde ich auch Demoteile mitnehmen. about this event: https://conference.c3w.at/eh19/talk/D8PZME/ 00:40:26 https://media.ccc.de/v/eh19-209-auskunftsbegehren "Ich stell mir das jetzt nicht so schwer vor" - Berühmte (letzte) Worte. Auch wir haben sie gesagt und 2 Wochen vor dem Datenschutztag begonnen eine Ausfüllhilfe zu erstellen. Es wurde eine "very early alpha" daraus. Und wir arbeiten weiter... "Ich stell mir das jetzt nicht so schwer vor" - Berühmte (letzte) Worte. Auch wir haben sie gesagt und 2 Wochen vor dem Datenschutztag begonnen eine Ausfüllhilfe zu erstellen (programmieren wäre hier übertrieben). Es wurde eine "very early alpha" daraus. Und wir arbeiten weiter. ... Dies ist die Story wie es zur "very early alpha" kam, was sie kann , wo sie Zicken macht und wie es weiter geht. Es geht hier nicht um rechtliches sondern um den technischen Hintergrund (und die Probleme die sich damit ergeben), wobei wir uns natürlich freuen würden wenn mal jemand der sich rechtlich damit auskennt darüber schaut. about this event: https://conference.c3w.at/eh19/talk/8XFVS9/ Sat, 20 Apr 2019 00:00:00 +0200 https://cdn.media.ccc.de/events/eh2019/mp3/eh19-209-deu-Auskunftsbegehren_mp3.mp3?1555799953 e218d9b5-72b7-509a-9963-f5a5171ae568 2019-04-20T00:00:00+02:00 Rabenkind No eh19, 209, eh19, easterhegg, Wien, c3w "Ich stell mir das jetzt nicht so schwer vor" - Berühmte (letzte) Worte. Auch wir haben sie gesagt und 2 Wochen vor dem Datenschutztag begonnen eine Ausfüllhilfe zu erstellen. Es wurde eine "very early alpha" daraus. Und wir arbeiten weiter... "Ich stell mir das jetzt nicht so schwer vor" - Berühmte (letzte) Worte. Auch wir haben sie gesagt und 2 Wochen vor dem Datenschutztag begonnen eine Ausfüllhilfe zu erstellen (programmieren wäre hier übertrieben). Es wurde eine "very early alpha" daraus. Und wir arbeiten weiter. ... Dies ist die Story wie es zur "very early alpha" kam, was sie kann , wo sie Zicken macht und wie es weiter geht. Es geht hier nicht um rechtliches sondern um den technischen Hintergrund (und die Probleme die sich damit ergeben), wobei wir uns natürlich freuen würden wenn mal jemand der sich rechtlich damit auskennt darüber schaut. about this event: https://conference.c3w.at/eh19/talk/8XFVS9/ 00:29:55 https://media.ccc.de/v/eh19-142-der-klarnamenzombie Immer wieder fordern Politikerinnen und Politiker die Schaffung einer Klarnamenspflicht. Wir klären auf, was hinter der Klarnamenspflicht steckt, weshalb sie problematisch ist und das vorgebliche Ziel nicht erfüllen kann. Immer wieder fordern Politikerinnen und Politiker die Schaffung einer Klarnamenspflicht. Zuletzt auch die österreichische Bundesregierung in Form eines "digitalen Vermummungsverbots". Wir klären auf, was hinter der Klarnamenspflicht steckt, weshalb sie problematisch ist und das vorgebliche Ziel nicht erfüllen kann. Wir argumentieren uns durch das Bullshitbingo der Befürworter der Klarnamenspflicht und zeigen anhand von Beispielen, wie gefährlich diese Entwicklung wäre. Das Ziel unseres Vortrags ist eine grundlegende Argumentationsbasis, die man für Debatten um die Klarnamenpflicht heranziehen kann. about this event: https://conference.c3w.at/eh19/talk/3KKQXS/ Sat, 20 Apr 2019 00:00:00 +0200 https://cdn.media.ccc.de/events/eh2019/mp3/eh19-142-deu-Der_Klarnamenzombie_mp3.mp3?1555792448 8d3ca632-2245-5110-a092-a8109c388c9d 2019-04-20T00:00:00+02:00 Erwin Ernst 'eest9' Steinhammer, Iwona Laub No eh19, 142, eh19, easterhegg, Wien, c3w Immer wieder fordern Politikerinnen und Politiker die Schaffung einer Klarnamenspflicht. Wir klären auf, was hinter der Klarnamenspflicht steckt, weshalb sie problematisch ist und das vorgebliche Ziel nicht erfüllen kann. Immer wieder fordern Politikerinnen und Politiker die Schaffung einer Klarnamenspflicht. Zuletzt auch die österreichische Bundesregierung in Form eines "digitalen Vermummungsverbots". Wir klären auf, was hinter der Klarnamenspflicht steckt, weshalb sie problematisch ist und das vorgebliche Ziel nicht erfüllen kann. Wir argumentieren uns durch das Bullshitbingo der Befürworter der Klarnamenspflicht und zeigen anhand von Beispielen, wie gefährlich diese Entwicklung wäre. Das Ziel unseres Vortrags ist eine grundlegende Argumentationsbasis, die man für Debatten um die Klarnamenpflicht heranziehen kann. about this event: https://conference.c3w.at/eh19/talk/3KKQXS/ 00:24:05 https://media.ccc.de/v/eh19-128-ein-augenblick-ein-stundenschlag-tausend-jahre-sind-ein-tag- Was ist Zeit? Dieser philosophischen Frage werde ich zwar nicht auf den Grund gehen. Dafür werde ich erklären was eigentlich eine Sekunde ist und wieso Zeitzonen keine ganz schlechte Idee sind. Eine Reise in die Abgründe der Zeit. Wieso hat ein Tag 24 Stunden, wie lang ist eine Sekunde und was ist eigentlich die Atomzeit? Dieses sind nur einige der Fragen, die dieser Talk versucht zu beantworten. In unserer moderen Gesellschaft spielt die Zeit eine immer größere Bedeutung. Doch dabei ist oft gar nicht so klar, wie die Zeiteinheiten definiert sind. Dazu kommen die unterschiedlichen Zeitskalen mit denen wir dabei hantieren. Und dann ist da natürlich auch noch die Frage wer oder was ein Erdrotationsservice ist und was dieser mit massenweise abstürzenden Servern im Sommer 2012 zu tun hat. Das alles und noch viel mehr versuche ich im Rahmen dieses Talks aus dem Dunkel und das Licht zu führen. about this event: https://conference.c3w.at/eh19/talk/QTCSJM/ Sat, 20 Apr 2019 00:00:00 +0200 https://cdn.media.ccc.de/events/eh2019/mp3/eh19-128-deu-Ein_Augenblick_Ein_Stundenschlag_Tausend_Jahre_sind_ein_Tag_mp3.mp3?1555784238 39c3d09d-5be6-56b0-828f-0decd6c47d00 2019-04-20T00:00:00+02:00 telegnom No eh19, 128, eh19, easterhegg, Wien, c3w Was ist Zeit? Dieser philosophischen Frage werde ich zwar nicht auf den Grund gehen. Dafür werde ich erklären was eigentlich eine Sekunde ist und wieso Zeitzonen keine ganz schlechte Idee sind. Eine Reise in die Abgründe der Zeit. Wieso hat ein Tag 24 Stunden, wie lang ist eine Sekunde und was ist eigentlich die Atomzeit? Dieses sind nur einige der Fragen, die dieser Talk versucht zu beantworten. In unserer moderen Gesellschaft spielt die Zeit eine immer größere Bedeutung. Doch dabei ist oft gar nicht so klar, wie die Zeiteinheiten definiert sind. Dazu kommen die unterschiedlichen Zeitskalen mit denen wir dabei hantieren. Und dann ist da natürlich auch noch die Frage wer oder was ein Erdrotationsservice ist und was dieser mit massenweise abstürzenden Servern im Sommer 2012 zu tun hat. Das alles und noch viel mehr versuche ich im Rahmen dieses Talks aus dem Dunkel und das Licht zu führen. about this event: https://conference.c3w.at/eh19/talk/QTCSJM/ 00:59:55 https://media.ccc.de/v/eh19-114-nutrition-hacks Ausgwogene, gesunde Ernährung hilft uns körperlich und geistig leistungsfähig zu sein. Ich führe die wichtigsten Begriffe der Ernährungslehre ein und zeige alltagstaugliche Hacks um eine ausgewogene Ernährung mit wenig Aufwand zu realisieren. In diesem Vortrag werden die wichtigsten Begriffe der Ernährungslehre, wie z. B. Kilokalorien, Makro- und Mikronährstoffe eingeführt und die Zusammenhänge aufgezeigt. Ich werde darauf eingehen, welche Nährstoff in welcher Menge zugeführt werden sollten und welche Aufgaben diese in unserem Körper erfüllen um uns fit und leistungsfähig zu halten. Ich zeige die Parallelen der Ernährung von Sportlern zu einer generellen "High-Performance-Ernährung" auf und zeige hierbei insbesondere welche Vorteile es hat die vom Körper benötigten Nährstoffe in ausreichender Menge zuzuführen. Neben all der Klärung von Fachbegriffen und all den wichtigen und weniger wichtigen Zahlen will ich eine Handreichung bieten um es allen Nerds so leicht wie möglich zu machen sich ohne großen Aufwand im Alltag bewusster und ausgwogener zu ernähren und somit ihre körperliche und geistigen Ziele zu erreichen. Auch werde ich mit einigen Ernährungsmythen aufräumen. Dieser Vortrag ist keine Anleitung zur Gewichtsreduktion oder zu irgendeiner speziellen Diät! about this event: https://conference.c3w.at/eh19/talk/CLNQJW/ Sat, 20 Apr 2019 00:00:00 +0200 https://cdn.media.ccc.de/events/eh2019/mp3/eh19-114-deu-Nutrition_Hacks_mp3.mp3?1555783394 9c1e1638-3379-51e5-8fa0-8cbe690a01a2 2019-04-20T00:00:00+02:00 gvinevere No eh19, 114, eh19, easterhegg, Wien, c3w Ausgwogene, gesunde Ernährung hilft uns körperlich und geistig leistungsfähig zu sein. Ich führe die wichtigsten Begriffe der Ernährungslehre ein und zeige alltagstaugliche Hacks um eine ausgewogene Ernährung mit wenig Aufwand zu realisieren. In diesem Vortrag werden die wichtigsten Begriffe der Ernährungslehre, wie z. B. Kilokalorien, Makro- und Mikronährstoffe eingeführt und die Zusammenhänge aufgezeigt. Ich werde darauf eingehen, welche Nährstoff in welcher Menge zugeführt werden sollten und welche Aufgaben diese in unserem Körper erfüllen um uns fit und leistungsfähig zu halten. Ich zeige die Parallelen der Ernährung von Sportlern zu einer generellen "High-Performance-Ernährung" auf und zeige hierbei insbesondere welche Vorteile es hat die vom Körper benötigten Nährstoffe in ausreichender Menge zuzuführen. Neben all der Klärung von Fachbegriffen und all den wichtigen und weniger wichtigen Zahlen will ich eine Handreichung bieten um es allen Nerds so leicht wie möglich zu machen sich ohne großen Aufwand im Alltag bewusster und ausgwogener zu ernähren und somit ihre körperliche und geistigen Ziele zu erreichen. Auch werde ich mit einigen Ernährungsmythen aufräumen. Dieser Vortrag ist keine Anleitung zur Gewichtsreduktion oder zu irgendeiner speziellen Diät! about this event: https://conference.c3w.at/eh19/talk/CLNQJW/ 00:50:24 https://media.ccc.de/v/eh19-115-wie-ich-die-regierung-gehackt-habe Edu-taining Hacking-Stories, Tipps zur sicheren Anwendungsentwicklung, Pentesting und CTFs *Zielgruppe: Entwickler* Die Inspiration für diesen Talk kommt von einem XSS-Fehler in einer unwichtigen .gv.at Domain, mit dem ich Freunde und MItarbeiter von meinen "hacking skills" begeistern konnte. Daraus wurde dann ein weiterer (firmeninterner) Hack und ein Fortbildungs-Talk der jetzt in Version 2.0 fürs Easterhegg eingedeutscht und de-branded wurde. Der Haupt-Teil des Talks befasst sich mit intuitiven, theoretischen und praktischen Tipps zu Anwendungssicherheit, Pen-Testing und mit Beispielen aus HITCON-CTF-2018 und SHA2017 analyisieren werden typische Sicherheits-Probleme aufgearbeitet. Für "Security Professionals" wird der Talk vermutlich zu oberflächlich sein. about this event: https://conference.c3w.at/eh19/talk/YPEHCF/ Sat, 20 Apr 2019 00:00:00 +0200 https://cdn.media.ccc.de/events/eh2019/mp3/eh19-115-deu-Wie_ich_die_Regierung_gehackt_habe_mp3.mp3?1555782065 3ac46290-51e0-5ee2-93a0-8fb4b99cf67c 2019-04-20T00:00:00+02:00 M No eh19, 115, eh19, easterhegg, Wien, c3w Edu-taining Hacking-Stories, Tipps zur sicheren Anwendungsentwicklung, Pentesting und CTFs *Zielgruppe: Entwickler* Die Inspiration für diesen Talk kommt von einem XSS-Fehler in einer unwichtigen .gv.at Domain, mit dem ich Freunde und MItarbeiter von meinen "hacking skills" begeistern konnte. Daraus wurde dann ein weiterer (firmeninterner) Hack und ein Fortbildungs-Talk der jetzt in Version 2.0 fürs Easterhegg eingedeutscht und de-branded wurde. Der Haupt-Teil des Talks befasst sich mit intuitiven, theoretischen und praktischen Tipps zu Anwendungssicherheit, Pen-Testing und mit Beispielen aus HITCON-CTF-2018 und SHA2017 analyisieren werden typische Sicherheits-Probleme aufgearbeitet. Für "Security Professionals" wird der Talk vermutlich zu oberflächlich sein. about this event: https://conference.c3w.at/eh19/talk/YPEHCF/ 00:52:26 https://media.ccc.de/v/eh19-129-domain-automatisierung-mit-cryptdomainmgr Cryptdomainmgr ist ein Python-Programm, welches TLS-Zertifikate, TLSA-Domaineinträge und DKIM-Schlüssel automatisch erneuert. Das Verfahren "DNS-Based Authentication of Named Entities" (DANE) koppelt TLS-Zertifikate über Hashwerte (TLSA-Einträge) an die DNS-Zone. Im Falle einer kompromittierten Zertifizierungsstelle (CA) kann über den DNS-Eintrag die Richtigkeit des Zertifikates nachgewiesen werden. An unberechtigte Dritte ausgestellte Zertifikate werden entlarvt. Die DNS-Zone darf jedoch nicht kompromittiert sein und sollte per DNSSEC abgesichert werden. Um den Versand betrügerischer E-Mails zu erschweren, signieren Mailserver E-Mails mit mit einem DKIM-Schlüssel. Die Signatur kann über den DKIM-Eintrag in der Absenderdomain validiert werden. Das Fälschen der Absenderdomain wird dadurch entdeckt. Die asymmetrischen Schlüsselpaare für die DKIM-Signatur und TLS-Zertifikate müssen regelmäßig erneuert werden, um den Angriffszeitraum bei gebrochenen Schlüsseln gering zu halten. Cryptdomainmgr erneuert die Schlüssel sowie DH-Parameter automatsich lückenlos ohne Downtime in drei Phasen: Prepare, Rollover, Cleanup. Auch negative Caching stellt dadurch kein Problem dar. about this event: https://conference.c3w.at/eh19/talk/VTVWTG/ Sat, 20 Apr 2019 00:00:00 +0200 https://cdn.media.ccc.de/events/eh2019/mp3/eh19-129-deu-Domain-Automatisierung_mit_cryptdomainmgr_mp3.mp3?1555776425 5d71aae2-bc0c-52d0-80d1-443103928101 2019-04-20T00:00:00+02:00 Stefan Helmert (Tesla42) No eh19, 129, eh19, easterhegg, Wien, c3w Cryptdomainmgr ist ein Python-Programm, welches TLS-Zertifikate, TLSA-Domaineinträge und DKIM-Schlüssel automatisch erneuert. Das Verfahren "DNS-Based Authentication of Named Entities" (DANE) koppelt TLS-Zertifikate über Hashwerte (TLSA-Einträge) an die DNS-Zone. Im Falle einer kompromittierten Zertifizierungsstelle (CA) kann über den DNS-Eintrag die Richtigkeit des Zertifikates nachgewiesen werden. An unberechtigte Dritte ausgestellte Zertifikate werden entlarvt. Die DNS-Zone darf jedoch nicht kompromittiert sein und sollte per DNSSEC abgesichert werden. Um den Versand betrügerischer E-Mails zu erschweren, signieren Mailserver E-Mails mit mit einem DKIM-Schlüssel. Die Signatur kann über den DKIM-Eintrag in der Absenderdomain validiert werden. Das Fälschen der Absenderdomain wird dadurch entdeckt. Die asymmetrischen Schlüsselpaare für die DKIM-Signatur und TLS-Zertifikate müssen regelmäßig erneuert werden, um den Angriffszeitraum bei gebrochenen Schlüsseln gering zu halten. Cryptdomainmgr erneuert die Schlüssel sowie DH-Parameter automatsich lückenlos ohne Downtime in drei Phasen: Prepare, Rollover, Cleanup. Auch negative Caching stellt dadurch kein Problem dar. about this event: https://conference.c3w.at/eh19/talk/VTVWTG/ 00:44:35 https://media.ccc.de/v/eh19-124-das-groe-eh19-gewaffel Jeder kennt sie. Die süßen Teigstücke in Herzform. Aber keiner kennt wirklich ihren kompletten Lebenszyklus. Wir präsentieren den Lebenslauf einer Waffel: Von den rohen Zutaten bis zur fertigen Waffel. Und je nach Publikumsbeteiligung auch weiter... Das [C3WOC](https://c3woc.de/) ist nun auch nach Wien gekommen und zeigt auf dem Easterhegg, wie das mit den Waffeln wirklich funktioniert. Dieses mal wird auf der Easterhegg Bühne live und in Farbe gezeigt, wie eine Waffel entsteht. Von der Geburt der Waffel aus roher Masse beginnt ein junges Waffelhäschen zu entstehen. Es geht über vom flüssigen Agregatzustand in den festen über. Mit vielen köstlichkeiten bepackt verlässt das Waffelhäschen das C3WOC um mit einem Chaoten zu "fusionieren". Dabei stärkt es den Chaoten und hilft ihm hoffentlich mit neuer Kreativität und Energie viele tolle Projekte zu basteln. about this event: https://conference.c3w.at/eh19/talk/MME8HQ/ Sat, 20 Apr 2019 00:00:00 +0200 https://cdn.media.ccc.de/events/eh2019/mp3/eh19-124-deu-Das_grosse_EH19_gewaffel_mp3.mp3?1555776304 96fc2e73-9f43-54ae-8d2c-5642ec87dd4e 2019-04-20T00:00:00+02:00 L3D No eh19, 124, eh19, easterhegg, Wien, c3w Jeder kennt sie. Die süßen Teigstücke in Herzform. Aber keiner kennt wirklich ihren kompletten Lebenszyklus. Wir präsentieren den Lebenslauf einer Waffel: Von den rohen Zutaten bis zur fertigen Waffel. Und je nach Publikumsbeteiligung auch weiter... Das [C3WOC](https://c3woc.de/) ist nun auch nach Wien gekommen und zeigt auf dem Easterhegg, wie das mit den Waffeln wirklich funktioniert. Dieses mal wird auf der Easterhegg Bühne live und in Farbe gezeigt, wie eine Waffel entsteht. Von der Geburt der Waffel aus roher Masse beginnt ein junges Waffelhäschen zu entstehen. Es geht über vom flüssigen Agregatzustand in den festen über. Mit vielen köstlichkeiten bepackt verlässt das Waffelhäschen das C3WOC um mit einem Chaoten zu "fusionieren". Dabei stärkt es den Chaoten und hilft ihm hoffentlich mit neuer Kreativität und Energie viele tolle Projekte zu basteln. about this event: https://conference.c3w.at/eh19/talk/MME8HQ/ 00:37:11 https://media.ccc.de/v/eh19-200-cccamp-badge-talk Auch 2019 soll es für die Chaosfamily - wie schon im Sommer 2011 & 2015 - wieder ein communitygeschaffenes und facettenreiches Camp-Badge geben. Diesmal wollen wir das Badge noch besser in unser Camp mit all seinen Villages integrieren. Neben einem Überblick zu fest geplanten Features reißen wir im Vortrag auch die bisher aufgetretenen Dead Ends an. Wir zeigen euch unseren aktuellen Stand, woran wir noch arbeiten und bei welchen Features wir noch nach motivierter sowie kompetenter Unterstuetzung suchen. Ebenso möchten wir Euch von spaßigen Interhacktions berichten, die ihr nutzen könnt um das Badge mit euren eigenen Ideen zu erweitern. Durch die Interhacktions sollen den Campbesucher*innenn bereits zu Veranstaltungsbeginn unterschiedliche Basis-Funktionalitäten angeboten werden. Die Infrastruktur des Badges soll so Neulinge wie alte Hasen gleichermaßen zu Basteln, Coden und Austausch motivieren. Der darauf folgende Workshop dient vorrangig dafür, zu einzelnen Interhacktions freiwillige Teams mit festen Verantwortungsentitäten zu bilden. about this event: https://conference.c3w.at/eh19/talk/DA7KTT/ Sat, 20 Apr 2019 00:00:00 +0200 https://cdn.media.ccc.de/events/eh2019/mp3/eh19-200-deu-CCCamp_Badge_Talk_mp3.mp3?1555775956 76f25555-9427-5509-aa8a-9f7f8e4be83f 2019-04-20T00:00:00+02:00 cccamp badge team No eh19, 200, eh19, easterhegg, Wien, c3w Auch 2019 soll es für die Chaosfamily - wie schon im Sommer 2011 & 2015 - wieder ein communitygeschaffenes und facettenreiches Camp-Badge geben. Diesmal wollen wir das Badge noch besser in unser Camp mit all seinen Villages integrieren. Neben einem Überblick zu fest geplanten Features reißen wir im Vortrag auch die bisher aufgetretenen Dead Ends an. Wir zeigen euch unseren aktuellen Stand, woran wir noch arbeiten und bei welchen Features wir noch nach motivierter sowie kompetenter Unterstuetzung suchen. Ebenso möchten wir Euch von spaßigen Interhacktions berichten, die ihr nutzen könnt um das Badge mit euren eigenen Ideen zu erweitern. Durch die Interhacktions sollen den Campbesucher*innenn bereits zu Veranstaltungsbeginn unterschiedliche Basis-Funktionalitäten angeboten werden. Die Infrastruktur des Badges soll so Neulinge wie alte Hasen gleichermaßen zu Basteln, Coden und Austausch motivieren. Der darauf folgende Workshop dient vorrangig dafür, zu einzelnen Interhacktions freiwillige Teams mit festen Verantwortungsentitäten zu bilden. about this event: https://conference.c3w.at/eh19/talk/DA7KTT/ 00:42:26 https://media.ccc.de/v/eh19-130-ansible-projekt-fr-mailserver-mailingliste-cms-und-groupware-mit-nutzerverwaltung Komplettpaket aus postfix, dovecot, rspamd, tine20 und grav. Wer kennt das nicht? Man möchte einen Webauftritt bereitstellen, welcher neben einer Webseite mit Content-Management-System auch noch ein E-Mail-Postfach inklusive Spamfilter bietet. Eine Mailingliste ist auch noch wünschenswert. Die E-Mail-Postfächer sollten per Webinterface erreichbar sein und ein E-Mail-Programm sollte alle Einstellungen selbst herausfinden. Dieses Ansible-Projekt erlaubt das parametrische Deployment des beschriebenen Systems auf eine oder mehreren Domains. DNS-Einträge inkl. CAA, Letsencrypt-Zertifikate, TLSA und DKIM werden über den Cryptdomainmgr automatisch gehandhabt. Die Zertifikats-Erneuerung nutzt DNS-01-Authentication. Es wird ein SSL-Labs-Score von 100 in allen vier Kategorien erreicht. SPF, ADSP, und DMARC werden unterstützt. Thunderbird-Autoconfig und Microsoft-ActiveSync-Autodiscover für Android-Smartphones funktionieren problemlos. Neben Kontakt- und Kalendersynchronisation über ActiveSync werden CardDav und CalDav unterstützt. Neue Nutzer und Gruppen können über tine20 angelegt werden. Sie werden in einer mysql-Datenbank gespeichert. Jeder Benutzer bekommt ein E-Mail-Postfach sowie eine OpenID. Der Spamfilter rspamd bietet neben einer Weboberfläche, DKIM-Signierung und -Prüfung auch Lernen von Spam und Ham bei der Markierung der Mails im Thunderbird. Mailinglisten über mailman und das Flatfile-CMS Grav runden das Projekt ab. about this event: https://conference.c3w.at/eh19/talk/KBQVY9/ Sat, 20 Apr 2019 00:00:00 +0200 https://cdn.media.ccc.de/events/eh2019/mp3/eh19-130-deu-Ansible-Projekt_fuer_Mailserver_Mailingliste_CMS_und_Groupware_mit_Nutzerverwaltung_mp3.mp3?1555776035 1831ec0e-98c1-58a1-9131-cc74571b1106 2019-04-20T00:00:00+02:00 Stefan Helmert (Tesla42) No eh19, 130, eh19, easterhegg, Wien, c3w Komplettpaket aus postfix, dovecot, rspamd, tine20 und grav. Wer kennt das nicht? Man möchte einen Webauftritt bereitstellen, welcher neben einer Webseite mit Content-Management-System auch noch ein E-Mail-Postfach inklusive Spamfilter bietet. Eine Mailingliste ist auch noch wünschenswert. Die E-Mail-Postfächer sollten per Webinterface erreichbar sein und ein E-Mail-Programm sollte alle Einstellungen selbst herausfinden. Dieses Ansible-Projekt erlaubt das parametrische Deployment des beschriebenen Systems auf eine oder mehreren Domains. DNS-Einträge inkl. CAA, Letsencrypt-Zertifikate, TLSA und DKIM werden über den Cryptdomainmgr automatisch gehandhabt. Die Zertifikats-Erneuerung nutzt DNS-01-Authentication. Es wird ein SSL-Labs-Score von 100 in allen vier Kategorien erreicht. SPF, ADSP, und DMARC werden unterstützt. Thunderbird-Autoconfig und Microsoft-ActiveSync-Autodiscover für Android-Smartphones funktionieren problemlos. Neben Kontakt- und Kalendersynchronisation über ActiveSync werden CardDav und CalDav unterstützt. Neue Nutzer und Gruppen können über tine20 angelegt werden. Sie werden in einer mysql-Datenbank gespeichert. Jeder Benutzer bekommt ein E-Mail-Postfach sowie eine OpenID. Der Spamfilter rspamd bietet neben einer Weboberfläche, DKIM-Signierung und -Prüfung auch Lernen von Spam und Ham bei der Markierung der Mails im Thunderbird. Mailinglisten über mailman und das Flatfile-CMS Grav runden das Projekt ab. about this event: https://conference.c3w.at/eh19/talk/KBQVY9/ 00:46:24 https://media.ccc.de/v/eh19-198-django-fr-admins Uns wurden Hoverboards versprochen, stattdessen bekamen wir Webscheiß. Einiger davon ist in Python/Django geschrieben, und hier wird erklärt, wie er gemeinhin installiert, gesichert, gewartet, und debugged werden kann. Wie Admins gemeinhin wissen, hat jeder Webscheiß, sei er geschrieben in Ruby on Rails, Django, oder beliebigen Node.js-Frameworks seine Eigenheiten, und keiner davon lässt sich so maintainen, wie man will. Noch dazu kommt natürlich jeder davon mit einem eigenen Paketmanager, von denen jeder anders kaputt ist und gerne alle paar Jahre ersetzt wird. Für den konkreten Auswuchs "Django" dieses Problems erzählt rixx, wie man mit Django in Python geschriebene Webanwendungen richtig aufsetzt, maintained, um Entwicklerfehler herumarbeitet, Updates einspielt, usw. about this event: https://conference.c3w.at/eh19/talk/JREHBV/ Sat, 20 Apr 2019 00:00:00 +0200 https://cdn.media.ccc.de/events/eh2019/mp3/eh19-198-deu-Django_fuer_Admins_mp3.mp3?1555776184 9463b562-8353-562e-8484-f9cac7749407 2019-04-20T00:00:00+02:00 rixx No eh19, 198, eh19, easterhegg, Wien, c3w Uns wurden Hoverboards versprochen, stattdessen bekamen wir Webscheiß. Einiger davon ist in Python/Django geschrieben, und hier wird erklärt, wie er gemeinhin installiert, gesichert, gewartet, und debugged werden kann. Wie Admins gemeinhin wissen, hat jeder Webscheiß, sei er geschrieben in Ruby on Rails, Django, oder beliebigen Node.js-Frameworks seine Eigenheiten, und keiner davon lässt sich so maintainen, wie man will. Noch dazu kommt natürlich jeder davon mit einem eigenen Paketmanager, von denen jeder anders kaputt ist und gerne alle paar Jahre ersetzt wird. Für den konkreten Auswuchs "Django" dieses Problems erzählt rixx, wie man mit Django in Python geschriebene Webanwendungen richtig aufsetzt, maintained, um Entwicklerfehler herumarbeitet, Updates einspielt, usw. about this event: https://conference.c3w.at/eh19/talk/JREHBV/ 00:39:02 https://media.ccc.de/v/eh19-155-anonymitt-nach-tor Anonymität im Internet -- was gibs da neben Tor eigentlich noch? Anonymität im Internet -- was gibs da neben Tor eigentlich noch? Kurze Theorie, dann Vergleich von praxisnahen Systemen und dem neuesten heißen Scheiß aus der Forschung. * Kurz: Anonymität, was ist das überhaupt? * Tor und andere Anonymisierungsdienste mit niedriger Latenz: Problem Traffickorrelation * Kurz-Einschub: Wird Tor jetzt in Deutschland und in Österreich illegal? Der Relaybetrieb? * Alternativen DC-Netze, Broadcast, Mixes (z.B. Herd, Dissent, Riffle, Vuvuzela, Riposte, Loopix) Konsequenz: Natürlich bei unserem Projekt "[Katzenpost](https://katzenpost.mixnetworks.org/)" mitmachen! (irc.oftc.net, #katzenpost) about this event: https://conference.c3w.at/eh19/talk/M7RJ9V/ Fri, 19 Apr 2019 00:00:00 +0200 https://cdn.media.ccc.de/events/eh2019/mp3/eh19-155-deu-Anonymitaet_nach_Tor_mp3.mp3?1555754016 e51e5695-68c6-52f8-828b-472a204ffaec 2019-04-19T00:00:00+02:00 mo No eh19, 155, 2019, eh19, easterhegg, Wien, c3w Anonymität im Internet -- was gibs da neben Tor eigentlich noch? Anonymität im Internet -- was gibs da neben Tor eigentlich noch? Kurze Theorie, dann Vergleich von praxisnahen Systemen und dem neuesten heißen Scheiß aus der Forschung. * Kurz: Anonymität, was ist das überhaupt? * Tor und andere Anonymisierungsdienste mit niedriger Latenz: Problem Traffickorrelation * Kurz-Einschub: Wird Tor jetzt in Deutschland und in Österreich illegal? Der Relaybetrieb? * Alternativen DC-Netze, Broadcast, Mixes (z.B. Herd, Dissent, Riffle, Vuvuzela, Riposte, Loopix) Konsequenz: Natürlich bei unserem Projekt "[Katzenpost](https://katzenpost.mixnetworks.org/)" mitmachen! (irc.oftc.net, #katzenpost) about this event: https://conference.c3w.at/eh19/talk/M7RJ9V/ 00:54:30 https://media.ccc.de/v/eh19-182--das-recht-hat-der-politik-zu-folgen-und-nicht-die-politik-dem-recht-oder-doch-nicht- "Das Recht hat der Politik zu folgen und nicht die Politik dem Recht", sagte der Innenminister. Was will er uns damit sagen? Wozu braucht es Grundrechte, und woher kommen diese? Im Jahr 1687 wurde der englische König Karl II. gezwungen, seine Unterschrift unter den "Habeas Corpus Act" zu setzen. Damit konnte erstmals willkürliche, unbegründete und oft erpresserische Verhaftung verhindert werden. Die französische Revolution 1789 hat erstmals umfasssende Menschenrechte festgeschrieben und versucht, mit "Freiheit, Gleichheit, Brüderlichkeit" den Kerngedanken der Aufklärung zu folgen. Seitdem wurden Grundrechte, allgemeine Menschenrechte, die für Alle gelten, weiterentwickelt. Doch der aktuelle Bestand an Grundrechten war kein Geschenk vom lieben Gott, von Kaisern oder Königen. Jeder einzelne Entwicklungsschritt wurde mühsam, zumeist als Folge blutiger Auseinandersetzungen, erkämpft. Doch selbst heute ist das so hoch entwickelte Europa noch weit von Gleichstellung und Gleichbehandllung entfernt. Wo stehen wir heute, warum dürfen wir unsere Rechte nicht als selbstverständlich sehen und warum müssen wir für Erhalt und Erweiterung der Grundrechte aktiv bleiben? about this event: https://conference.c3w.at/eh19/talk/PUUXHW/ Fri, 19 Apr 2019 00:00:00 +0200 https://cdn.media.ccc.de/events/eh2019/mp3/eh19-182-deu-Das_Recht_hat_der_Politik_zu_folgen_und_nicht_die_Politik_dem_Recht_oder_doch_nicht_mp3.mp3?1555761847 e88c7a5e-94e7-5ada-bbd5-762a052002c2 2019-04-19T00:00:00+02:00 Herbert, Christof No eh19, 182, 2019, eh19, easterhegg, Wien, c3w "Das Recht hat der Politik zu folgen und nicht die Politik dem Recht", sagte der Innenminister. Was will er uns damit sagen? Wozu braucht es Grundrechte, und woher kommen diese? Im Jahr 1687 wurde der englische König Karl II. gezwungen, seine Unterschrift unter den "Habeas Corpus Act" zu setzen. Damit konnte erstmals willkürliche, unbegründete und oft erpresserische Verhaftung verhindert werden. Die französische Revolution 1789 hat erstmals umfasssende Menschenrechte festgeschrieben und versucht, mit "Freiheit, Gleichheit, Brüderlichkeit" den Kerngedanken der Aufklärung zu folgen. Seitdem wurden Grundrechte, allgemeine Menschenrechte, die für Alle gelten, weiterentwickelt. Doch der aktuelle Bestand an Grundrechten war kein Geschenk vom lieben Gott, von Kaisern oder Königen. Jeder einzelne Entwicklungsschritt wurde mühsam, zumeist als Folge blutiger Auseinandersetzungen, erkämpft. Doch selbst heute ist das so hoch entwickelte Europa noch weit von Gleichstellung und Gleichbehandllung entfernt. Wo stehen wir heute, warum dürfen wir unsere Rechte nicht als selbstverständlich sehen und warum müssen wir für Erhalt und Erweiterung der Grundrechte aktiv bleiben? about this event: https://conference.c3w.at/eh19/talk/PUUXHW/ 02:01:23 https://media.ccc.de/v/eh19-147-wie-frei-ist-unser-internet-netzneutralitt-in-europa-auf-dem-prfstand Europa hat nun seit 2,5 Jahre einen gesetzlichen Schutz der Netzneutralität. Dieser Talk liefert eine kritische Reflektion über den Status-Quo und die bevorstehende Reform der europäischen Regeln zur Netzneutralität in 2019. In Europa wurde 2016 nach jahrelangem Kampf eines der Grundprinzipien des Internets, die Netzneutralität gesetzlich abgesichert. 2019 stehen diese Regeln auf dem Prüfstand und werden von der EU reformiert. Dieser Talk widmet sich der Ist-Situation nach 2,5 Jahren Netzneutralität in den Netzen Europas und basiert auf Studie des Vereins epicenter.works mit einer Vollerhebung aller Zero-Rating angebote. Darüber hinaus werden zentrale Themen der bevorstehenden Reform angesprochen, wie 5G und Spezialdienste. Zuletzt widmen wir uns noch den Datenschutzproblemen die auftauchen, wenn Provider allzustark in das Internetverhalten ihrer Nutzer eingreifen. about this event: https://conference.c3w.at/eh19/talk/FSUFCC/ Fri, 19 Apr 2019 00:00:00 +0200 https://cdn.media.ccc.de/events/eh2019/mp3/eh19-147-deu-Wie_frei_ist_unser_Internet_Netzneutralitaet_in_Europa_auf_dem_Pruefstand_mp3.mp3?1555718660 5ae4bf60-023d-5d6c-b54f-911b84ac7582 2019-04-19T00:00:00+02:00 Thomas Lohninger No eh19, 147, 2019, eh19, easterhegg, Wien, c3w Europa hat nun seit 2,5 Jahre einen gesetzlichen Schutz der Netzneutralität. Dieser Talk liefert eine kritische Reflektion über den Status-Quo und die bevorstehende Reform der europäischen Regeln zur Netzneutralität in 2019. In Europa wurde 2016 nach jahrelangem Kampf eines der Grundprinzipien des Internets, die Netzneutralität gesetzlich abgesichert. 2019 stehen diese Regeln auf dem Prüfstand und werden von der EU reformiert. Dieser Talk widmet sich der Ist-Situation nach 2,5 Jahren Netzneutralität in den Netzen Europas und basiert auf Studie des Vereins epicenter.works mit einer Vollerhebung aller Zero-Rating angebote. Darüber hinaus werden zentrale Themen der bevorstehenden Reform angesprochen, wie 5G und Spezialdienste. Zuletzt widmen wir uns noch den Datenschutzproblemen die auftauchen, wenn Provider allzustark in das Internetverhalten ihrer Nutzer eingreifen. about this event: https://conference.c3w.at/eh19/talk/FSUFCC/ 00:50:58 https://media.ccc.de/v/eh19-197-activitypub-the-fediverse-and-everything- Yes, we want to talk about ActivityPub - because it's what drives many popular fediverse services (e.g. mastodon). We will cover history and basic structure of the spec. And then discuss whether or not this a case of XKCD 927 and if Moxie Marlinspike's blogpost applies. This talk will provide a complete picture of the current form of whats known as "ActivityPub". We will answer all the big Qs: - What is it? - Where did it come from? - What is it good for? - Is this the bootloader of skynet or just another instance of XKCD 927 https://xkcd.com/927/? - Who is behind all of this? about this event: https://conference.c3w.at/eh19/talk/AUSLFD/ Fri, 19 Apr 2019 00:00:00 +0200 https://cdn.media.ccc.de/events/eh2019/mp3/eh19-197-deu-ActivityPub_the_Fediverse_and_Everything_mp3.mp3?1555714386 34a02ed2-892e-5a40-96a6-f997d42ab784 2019-04-19T00:00:00+02:00 Paul Fuxjäger No eh19, 197, 2019, eh19, easterhegg, Wien, c3w Yes, we want to talk about ActivityPub - because it's what drives many popular fediverse services (e.g. mastodon). We will cover history and basic structure of the spec. And then discuss whether or not this a case of XKCD 927 and if Moxie Marlinspike's blogpost applies. This talk will provide a complete picture of the current form of whats known as "ActivityPub". We will answer all the big Qs: - What is it? - Where did it come from? - What is it good for? - Is this the bootloader of skynet or just another instance of XKCD 927 https://xkcd.com/927/? - Who is behind all of this? about this event: https://conference.c3w.at/eh19/talk/AUSLFD/ 00:52:43 https://media.ccc.de/v/eh19-134-reanimation-datenschleuder Vor zwei Jahren stand auf dem Easterhegg-Fahrplan ein Treffen zur Reanimation der Datenschleuder. Seitdem arbeitet ein Team daran, dass es wieder eine Datenschleuder gibt. Darüber, warum und wie wir das machen und wie ihr das auch machen könnt, wollen wir reden. Schon auf dem initialen Treffen zur Reanimation der Datenschleuder stand als erstes die Frage im Raum, ob es überhaupt noch Sinn macht ein "regel"-mäßiges Print-Produkt herauszugeben. Nachdem genügend Leute sich dafür aussprachen war schnell klar, dass viel Arbeit vor uns liegt. Der Umstieg von InDesign auf TeX war schon lange in Planung. Wie wollen wir als Redaktion zusammenarbeiten? Und wo kommen die Inhalte her? Aber auch organisatorisch gab es viel herauszufinden: Wie wird eine Datenschleuder gedruckt, eingetütet und versendet? Wir werden euch die Geschichte der Reanimation erzählen und berichten wie die aktuelle Datenschleuder-Redaktion arbeitet. Schlussendlich ist die Datenschleuder ein Fachblatt des ganzen Clubs, daher wollen wir von euch wissen: Was plant ihr mit der Datenschleuder? about this event: https://conference.c3w.at/eh19/talk/KY8ZPV/ Fri, 19 Apr 2019 00:00:00 +0200 https://cdn.media.ccc.de/events/eh2019/mp3/eh19-134-deu-Reanimation_Datenschleuder_mp3.mp3?1555714535 3d497cb1-ee6a-5ea8-bd1b-c65d7f1d7cb1 2019-04-19T00:00:00+02:00 vollkorn, TVLuke No eh19, 134, 2019, eh19, easterhegg, Wien, c3w Vor zwei Jahren stand auf dem Easterhegg-Fahrplan ein Treffen zur Reanimation der Datenschleuder. Seitdem arbeitet ein Team daran, dass es wieder eine Datenschleuder gibt. Darüber, warum und wie wir das machen und wie ihr das auch machen könnt, wollen wir reden. Schon auf dem initialen Treffen zur Reanimation der Datenschleuder stand als erstes die Frage im Raum, ob es überhaupt noch Sinn macht ein "regel"-mäßiges Print-Produkt herauszugeben. Nachdem genügend Leute sich dafür aussprachen war schnell klar, dass viel Arbeit vor uns liegt. Der Umstieg von InDesign auf TeX war schon lange in Planung. Wie wollen wir als Redaktion zusammenarbeiten? Und wo kommen die Inhalte her? Aber auch organisatorisch gab es viel herauszufinden: Wie wird eine Datenschleuder gedruckt, eingetütet und versendet? Wir werden euch die Geschichte der Reanimation erzählen und berichten wie die aktuelle Datenschleuder-Redaktion arbeitet. Schlussendlich ist die Datenschleuder ein Fachblatt des ganzen Clubs, daher wollen wir von euch wissen: Was plant ihr mit der Datenschleuder? about this event: https://conference.c3w.at/eh19/talk/KY8ZPV/ 00:36:10 https://media.ccc.de/v/eh19-174-geschichten-aus-der-cobol-gruft In diesem Talk werden wir uns eine richtige Untote unter den Programmiersprachen etwas genauer anschauen. Unter Anderem stelle ich Details vor, die heute furchterregend sind, zu ihrer Zeit aber wie eine gute Idee aussahen oder technisch notwendig waren. In diesem Talk werde ich eine Einführung in COBOL geben. Dabei gehe ich insbesondere auf die Spracheigenschaften ein, die aus heutiger Sicht nur schwer verständlich, im historischen Kontext aber erklärbar sind. about this event: https://conference.c3w.at/eh19/talk/N8TLXU/ Fri, 19 Apr 2019 00:00:00 +0200 https://cdn.media.ccc.de/events/eh2019/mp3/eh19-174-deu-Geschichten_aus_der_COBOL-Gruft_mp3.mp3?1555707305 2d9b61fa-26ce-550f-85a0-812f57b03610 2019-04-19T00:00:00+02:00 Habrok No eh19, 174, 2019, eh19, easterhegg, Wien, c3w In diesem Talk werden wir uns eine richtige Untote unter den Programmiersprachen etwas genauer anschauen. Unter Anderem stelle ich Details vor, die heute furchterregend sind, zu ihrer Zeit aber wie eine gute Idee aussahen oder technisch notwendig waren. In diesem Talk werde ich eine Einführung in COBOL geben. Dabei gehe ich insbesondere auf die Spracheigenschaften ein, die aus heutiger Sicht nur schwer verständlich, im historischen Kontext aber erklärbar sind. about this event: https://conference.c3w.at/eh19/talk/N8TLXU/ 00:43:36 https://media.ccc.de/v/eh19-159-open-source-wenn-dein-tglich-brot-fr-jeden-einsehbar-ist Wie sich die tägliche Arbeit verändert, wenn man ausschliesslich an einem OpenSource Projekt arbeitet. In der IT redet momentan jeder über Container und will sie nutzen. Bei amazee.io betreiben wir seit vielen Jahren Webhosting für unsere Kunden. Vor mehr als 2 Jahren haben wir unseren gesamten Hosting Stack als Open Source Projekt veröffentlicht. Das Projekt heisst Lagoon und ist hier einsehbar - https://github.com/amazeeio/lagoon/ Ich werde nicht nur über die Technik dahinter sprechen, sondern auch über die Beweggründe und die spannende Arbeit an einem OpenSource Projekt. Wir sind der festen Überzeugung, dass dies der richtige Weg ist. Da zwei Jahre ein guter Zeitraum ist über viele Aspekte des Projekts und der täglichen Arbeit daran zu sprechen. about this event: https://conference.c3w.at/eh19/talk/LKRHTU/ Fri, 19 Apr 2019 00:00:00 +0200 https://cdn.media.ccc.de/events/eh2019/mp3/eh19-159-deu-Open_Source_-_Wenn_dein_taeglich_Brot_fuer_jeden_einsehbar_ist_mp3.mp3?1555702595 f00292c0-a169-5ddc-88bf-aec0802a4a6d 2019-04-19T00:00:00+02:00 Bastian W. / @dasrecht No eh19, 159, 2019, eh19, easterhegg, Wien, c3w Wie sich die tägliche Arbeit verändert, wenn man ausschliesslich an einem OpenSource Projekt arbeitet. In der IT redet momentan jeder über Container und will sie nutzen. Bei amazee.io betreiben wir seit vielen Jahren Webhosting für unsere Kunden. Vor mehr als 2 Jahren haben wir unseren gesamten Hosting Stack als Open Source Projekt veröffentlicht. Das Projekt heisst Lagoon und ist hier einsehbar - https://github.com/amazeeio/lagoon/ Ich werde nicht nur über die Technik dahinter sprechen, sondern auch über die Beweggründe und die spannende Arbeit an einem OpenSource Projekt. Wir sind der festen Überzeugung, dass dies der richtige Weg ist. Da zwei Jahre ein guter Zeitraum ist über viele Aspekte des Projekts und der täglichen Arbeit daran zu sprechen. about this event: https://conference.c3w.at/eh19/talk/LKRHTU/ 00:39:32 https://media.ccc.de/v/eh19-169-ki-basierte-modifikation-von-videostreams-aus-berwachungskameras In diesem Talk wird die KI-basierte Manipulation von Videos gezeigt. Als Beispiel werden Personen aus der Echtzeitübertragung einer IP-Kamera entfernt, um unbemerkt Objekte zu platzieren. Um dies zu ermöglichen wird zusätzlich ein Angriffsvektor auf IP-Kameras gezeigt. Deep Learning ermöglicht beeindruckende Lösungen für die Echtzeitanalyse von Videosstreams, zum Beispiel dem Erkennen von Objekten. Unsere Forschungsgruppe verwendet Deep-Learning-basierte Methoden im Kontext von Videoüberwachung, auch aus Sicht eines Angreifers. Wir zeigen mittels eines aktuellen Showcase, wie die Objekterkennung mit weiteren Methoden kombiniert werden kann, um Personen aus der Echtzeitübertragung einer IP-Kamera zu entfernen. Dies ermöglicht beispielsweise das unbemerkte entfernen und platzieren von Objekten. Da kein voraufgezeichnetes Material verwendet wird, läuft der Zeitcode im Bild hierbei nahtlos weiter. Ebenfalls live werden Modifikationen an der Firmware der Kamera vorgenommen, um einen Angreifer die Manipulation des Videostreams zu ermöglichen. Dafür wird ein selbst entwickeltes Werkzeug für Sicherheitsanalysen eingesetzt, das flexibel und interaktiv zur Veränderung von Firmware verwendet werden kann. Abschließend sprechen wir über die aktuellen Einschränkungen des gezeigten Showcase und was zur Vermeidung eines solchen Szenarios nötig ist. about this event: https://conference.c3w.at/eh19/talk/38Q7JY/ Fri, 19 Apr 2019 00:00:00 +0200 https://cdn.media.ccc.de/events/eh2019/mp3/eh19-169-deu-KI-Basierte_Modifikation_von_Videostreams_aus_Ueberwachungskameras_mp3.mp3?1555697945 5cd6ffce-5896-56a9-ab7b-e72d18d54482 2019-04-19T00:00:00+02:00 Alexander Aigner, Harald Lampesberger, Eckehard Hermann, Rene Zeller No eh19, 169, 2019, eh19, easterhegg, Wien, c3w In diesem Talk wird die KI-basierte Manipulation von Videos gezeigt. Als Beispiel werden Personen aus der Echtzeitübertragung einer IP-Kamera entfernt, um unbemerkt Objekte zu platzieren. Um dies zu ermöglichen wird zusätzlich ein Angriffsvektor auf IP-Kameras gezeigt. Deep Learning ermöglicht beeindruckende Lösungen für die Echtzeitanalyse von Videosstreams, zum Beispiel dem Erkennen von Objekten. Unsere Forschungsgruppe verwendet Deep-Learning-basierte Methoden im Kontext von Videoüberwachung, auch aus Sicht eines Angreifers. Wir zeigen mittels eines aktuellen Showcase, wie die Objekterkennung mit weiteren Methoden kombiniert werden kann, um Personen aus der Echtzeitübertragung einer IP-Kamera zu entfernen. Dies ermöglicht beispielsweise das unbemerkte entfernen und platzieren von Objekten. Da kein voraufgezeichnetes Material verwendet wird, läuft der Zeitcode im Bild hierbei nahtlos weiter. Ebenfalls live werden Modifikationen an der Firmware der Kamera vorgenommen, um einen Angreifer die Manipulation des Videostreams zu ermöglichen. Dafür wird ein selbst entwickeltes Werkzeug für Sicherheitsanalysen eingesetzt, das flexibel und interaktiv zur Veränderung von Firmware verwendet werden kann. Abschließend sprechen wir über die aktuellen Einschränkungen des gezeigten Showcase und was zur Vermeidung eines solchen Szenarios nötig ist. about this event: https://conference.c3w.at/eh19/talk/38Q7JY/ 00:42:38 https://media.ccc.de/v/eh19-107-erffnung Der Eröffnungstalk! about this event: https://conference.c3w.at/eh19/talk/8EGDKC/ Fri, 19 Apr 2019 00:00:00 +0200 https://cdn.media.ccc.de/events/eh2019/mp3/eh19-107-deu-Eroeffnung_mp3.mp3?1555696295 9e9fb278-346a-5d92-b0b4-4aa75edd7577 2019-04-19T00:00:00+02:00 fredl, pascoda No eh19, 107, 2019, eh19, easterhegg, Wien, c3w Der Eröffnungstalk! about this event: https://conference.c3w.at/eh19/talk/8EGDKC/ 00:09:50 media.ccc.de / RSS 0.3.1 CCC media team media@c3voc.de CCC media team No CCC Congress Hacking Security Netzpolitik A wide variety of video material distributed by the CCC. All content is taken from cdn.media.ccc.de and media.ccc.de A wide variety of video material distributed by the Chaos Computer Club. This feed contains all events from eh19 as mp3