Chaos Computer Club - Easterhegg 20 - Back to root (low quality webm)

Digitalisierung heißt, von den Besten lernen (eh20)

Mon, 10 Apr 2023 15:00:00 +0200

Digitaler Online Perso, BundID, Elster-Zertifikat, AusweisApp2 - Deutschland legt das Fax zur Seite und steht vor dem Abgrund der Digitalisierung. Österreich ist schon einen Schritt weiter. Lasst mir Euch einen Abriss über die (Miss-)Erfolge der Digitalisierung in Österreich, dem selbsterklärten E-Government Vorreiter geben. Und nein, es wird nicht nur ein Bashing der üblichen Verdächtigen, auch (überraschend) gut funktionierende Lösungen und warum sie funktionieren, werden vorgestellt. Ev. können sich die deutschen Landesbehörden hier das eine oder andere Abschauen. about this event: https://cfp.eh20.easterhegg.eu/eh20/talk/QP3LKS/

Räumt auf und geht nach Hause! (eh20)

Mon, 10 Apr 2023 16:00:00 +0200

Rauswurf, Infra Review Abbauhinweise Man soll ja aufhören wenns am schönsten ist about this event: https://cfp.eh20.easterhegg.eu/eh20/talk/X8ZWH3/

Ich hab in der Blockchain-Szene gearbeitet, so dass ihr es nicht müsst (eh20)

Mon, 10 Apr 2023 14:00:00 +0200

Warum die Blockchain-Szene wichtige Fragen stellt - aber zu den falschen Antworten kommt. Und warum wir als CCC-Community deutlich besser geeignet sind, ordentliche Antworten auf diese Fragen zu stellen - es aber wahrscheinlich nie tun werden. Und warum darunter gerade viele kleinen Menschen leiden werden. Ich bin vor ein paar Jahren relativ zufällig in Kontakt mit der Blockchain-Szene gekommen. Zuvor hatte ich bei CAcert, einer offenen, freien CA gearbeitet. Meine Erfahrungen, wie man Kryptografie in menschliche Prozesse und Strukturen ("Governance") einbinden kann, wurden und werden dort dringend benötigt, gefragt aber auch sehr kontrovers aufgenommen. Ein kleiner Einblick in die Szene derer, die public Blockchains bauen und weiterentwickeln. Wer sind eigentlich die Designer hinter den Blockchains? (Nein ich haben Satoshi Nakamoto nicht interviewt) Und wie denken sie? Damit meine ich nicht die Masse an Menschen, die mehr oder weniger Geld in "Crypto" anzulegen versuchen, sondern die, die tatsächlich diese Blockchains bauen und betreiben und sich mit den entsprechenden Techniken beschäftigen. Dabei sind Ideen wie "Libertarismus", "Trustless", "Win-Lose", "positive und negative Freiheiten" und "Code is Law" zentral, von denen viele hier wenig wissen, die aber zum Verständnis vieler Ansätze unverzichtbar sind. Ich möchte einen Einblick in diese teilweise sehr befremdliche Gedankenwelt geben und auch aufzeigen, wo sich dort große Fallstricke auftun. Diese werden zwar teilweise auch in der Blockchain-Builder-Szene wahrgenommen, aber die richtigen Antworten haben es dort ohne Input von außen sehr schwer. about this event: https://cfp.eh20.easterhegg.eu/eh20/talk/TLDRTF/

OWASP Raider: a novel framework for manipulating HTTP processes of persistent sessions (eh20)

Mon, 10 Apr 2023 13:00:00 +0200

Raider was created to fill a gap in current tooling for pentesting the authentication process. It abstracts the client-server information exchange as a finite state machine. Each step comprises one request with inputs, one response with outputs, arbitrary actions to do on the response, and conditional links to other stages. Thus, a graph-like structure is created. This architecture works not only for authentication purposes but can be used for any HTTP process that needs to keep track of states. A few years ago, the author had the task of helping developers to build OAuth directly from RFCs, supporting them with security topics and questions. In the beginning, the project ran into some challenges. Early on, we faced the fact that authentication is a stateful process, while HTTP is a stateless protocol. BurpSuite and ZAProxy were incepted when the web did not have states, so they inherited a stateless architecture. REST APIs became popular some years after those tools were created. They have workarounds like Burpsuite macros and ZAP Zest scripts to pass information between requests, but we found that functionality lacking and too complex to implement. So the author wrote custom python scripts to pentest this. It worked fine, but doing this makes the scripts usable only on this system. Therefore, the author decided to create a tool that fills that gap. Raider's configuration is inspired by Emacs. Hylang is used, which is LISP on top of Python. LISP is used because of its "Code is Data, Data is Code" property. It would also allow generating configuration automatically easily in the future. Flexibility is in its DNA, meaning it can be infinitely extended with actual code. Since all configuration is stored in cleartext, reproducing, sharing or modifying attacks becomes easy. Links to the project: - Website: https://raiderauth.com/ - Source: https://github.com/OWASP/raider - Documentation: https://docs.raiderauth.com/en/latest/ - Twitter: @raiderauth - Mastodon: @raiderauth@infosec.exchange about this event: https://cfp.eh20.easterhegg.eu/eh20/talk/R38RUP/

Docker BugBounty Erlebnisse (eh20)

Sun, 09 Apr 2023 17:00:00 +0200

Zusammenfassung: In diesem Talk, würde berichten wir aus unseren Erlebnissen, die wir hatten mehreren Dutzend Firmen über gefundene Credentials von ihnen zu berichten. Beschreibung: Über mehrere Monate verteilt, haben wir Dockerhub nach Credentials gescannt, mit einem eigenen kleinen Tool. Verantwortungsbewusst, wie wir sind, haben wir diese Firmen angeschrieben und ein Responsible Disclosure Prozess angestoßen. Dass sich dabei nicht jede Firma zurückgemeldet hat, kann man sich denken. Wir werden uns ein paar Statistiken auswerten und natürlich erklären, wie es dazu kommen kann, dass immer noch oft Credentials in Dockerhub und auch woanders landen. Zusätzlich zeigen wir unsere Herangehensweise bei der Kommunikation. Und mit welchen einfachen Mitteln Firmen diesen Prozess deutlich beschleunigen können. about this event: https://cfp.eh20.easterhegg.eu/eh20/talk/YQ7SKL/

Musikvideos durch KI (eh20)

Sun, 09 Apr 2023 22:00:00 +0200

KI-generierte Visualisierungen entwickeln sich zunehmend von einem Gimmick zu einem eindrucksvollen Assistenztool für die Kreation. Wir entwickeln ein Tool, das Musikstücke visualisiert - anhand von Text- und Stilprompts oder komplett autonom. Generative KI hat durch ChatGPT und DALL-E 2 einen gewissen Bekanntheitsgrad erreicht. Open Source Modelle wie Stable Diffusion ermöglichen jedem, diese Technologie zu nutzen. Wir zeigen, wie man diese Modelle für die Synthese von Musik und Video nutzen kann. Was geht heute? Was wird in den nächsten Monaten und Jahren möglich sein? Wir beleuchten dabei die ethischen Fragen von KI-Videos und diskutieren die Frage, ob KI Modelle von Künstlern 'klauen'. about this event: https://cfp.eh20.easterhegg.eu/eh20/talk/DHS3NN/

Rosenpass – Ein VPN zum Schutz vor Quantencomputern (eh20)

Sun, 09 Apr 2023 21:00:00 +0200

Post Quantum Crypto für WireGuard VPN Rosenpass ist ein neues FOSS Projekt, in dem wir ein Add-on für WireGuard entwickeln, das Post-Quantum-Sicherheit ermöglicht. Moderne asymmetrische Kryptografie basiert auf mathematischen Problemen, die von heutigen Computern nicht effizient gelöst werden können. Quantencomputer könnten diese Probleme mit Hilfe von Shors Algorithmus lösen, damit werden viele der modernen Kryptosysteme unbrauchbar. Zum Glück hat es aber noch niemand geschafft, einen Quantencomputer zu bauen, der ausreichend mächtig ist, um in der Praxis kryptografische Verfahren brechen zu können. Dennoch ist es wichtig kryptografische Verfahren zu entwickeln, die auch von Quantencomputer nicht angegriffen werden können, um vorbereitet zu sein, sobald Quantencomputer einsatzfähig sind. Insbesondere Angriffen, bei denen verschlüsselte Daten heute gespeichert werden, um sie, sobald das möglich wird, zu entschlüsseln, muss vorgebeugt werden. Kryptograf\*innen und Ingenieur\*innen arbeiten also hart daran, unsere Kryptografie abzusichern und Rosenpass ist Teil dieses Prozesses. Wir haben den Stand der Kryptografischen Forschung und der Post-Quanten-Krypto Standardisierungsprozesse auf WireGuard angewendet und eine Methode genutzt um WireGuard absichern zu können ohne die WireGuard Implementierung selbst verändern zu müssen. Das ist wichtig, denn WireGuard läuft im Kernel und genießt viel Vertrauen in der FOSS-Community. Gemeinsam sind WireGuard + Rosenpass so stark wie das stärkste Glied in der kryptografischen Kette. Neben der Implementierung in Rust setzt Rosenpass auch kryptografische Impulse; wir haben selbst einige Verbesserungen am Protokoll vorgenommen, um die Sicherheit gegen DOS-Angriffe zu verbessern und übertreffen in diesen Bereichen sogar das ursprüngliche WireGuard Protokoll. Wir haben mathematische Sicherheitsanalysen mithilfe von ProVerif angefertigt und sind dabei, einen vollwertigen Sicherheitsbeweis mithilfe des Beweisassistenten CryptoVerif anzufertigen. In dem Vortrag stellen wir das Projekt und die Features von Rosenpass vor und geben Einblicke, in den Prozess kryptografische Protokolle zu entwickeln und mathematische Beweise über deren Sicherheit durchzuführen. Eine Einführung in die Quantum-Hardening allgemein findet sich in unserem [DiVOC-19-Vortrag](https://media.ccc.de/v/DiVOC-19-quantum). about this event: https://cfp.eh20.easterhegg.eu/eh20/talk/7HDPSA/

IDs (eh20)

Sun, 09 Apr 2023 20:00:00 +0200

Ein lustiger Rundgang durch die Welt der Identifier in dezentralen Systemen. Mit vielen Beispielen aus der realen Welt! Dieser Vortrag bringt euch bei was ihr beim Design von verteilten Systemen beherzigen solltet, oder mit den Worten von [5stardata.info](https://5stardata.info/) – "use URIs to denote things, so that people can point at your stuff" Außerdem bekommt ihr Antworten auf folgende Fragestellungen: * Was ist so ein Uniform Resource Identifier (URI) eigentlich genau und warum braucht es neben der URL eines Entities noch weitere IDs? * Wie geht man damit um bestimmte Identifier eigentlich nicht veröffentlichbar sind, obwohl sie perfekt dafür geeignet wären das Entity eindeutig zu identifizieren? * Was sind best-practices für external/alternate IDs aus anderen beteiligen Systemen? * … about this event: https://cfp.eh20.easterhegg.eu/eh20/talk/WJTKUQ/

Hamburg Werbefrei: auf zum Volksbegehren! (eh20)

Sun, 09 Apr 2023 18:00:00 +0200

Hamburg Werbefrei ist eine Volksinitiative, die sich gegen die Vereinnahmung des öffentlichen Raumes und unserer Gedankenwelten durch immer aggressivere, omnipräsente Außenwerbung stemmt. Letztes Jahr haben wir mit 15.000 Unterschriften die erste Hürde genommen und steuern nun auf ein Volksbegehren zu. Zu diesem Anlass wollen wir einmal das Jahr 2022 Revue passieren lassen und in die (nahe) Zukunft blicken und auch für die aktive Teilnahme am Volksbegehren werben – wir freuen uns über jede Hilfe beim nächsten Unterschriftensammeln. Unsere Erfolg hat dem CCC sehr viel zu verdanken, da wir schon zwei Vorträge im Rahmen von Chaos-Veranstaltungen halten durften - vor einem adblocker-affinen und an gesellschaftspolitischen Fragen interessierten Publikum. Auch befinden wir uns in einem Netzwerk aus Initiativen, die die Stadt menschen-, umwelt- und klimafreundlicher gestalten wollen. Die Stadt Hamburg verkauft die Aufmerksamkeit ihrer Insassen an Werbekunden - für ein paar Millionen jährlich. Mächtige Werbekonzerne haben die Stadt unter sich aufgeteilt und machen sich "unentbehrlich", weil sie auch sogenannte Stadtmöblierung wie Fahrgastunterstände an den Bushaltestellen stellen. Anders als im Web ist es hier unmöglich, die blinkenden und störenden Anzeigetafeln zu umgehen. Die optische Reizdichte wird dabei Jahr für Jahr verstärkt, die Schmerzgrenze ist für viele längst überschritten. Wer wünscht sich unter diesen Umständen keinen Werbeblocker für Hamburg? Hamburg Werbefrei stellt die Frage, wer eigentlich den öffentlichen Raum gestalten darf - und will den Hamburger:innen das Recht auf Mitbestimmung zurückgeben. Unser Vortrag wird aus einem Jahresrückblick der Volksinitiative, einer Vorstellung des kommenden Volksbegehrens und auch wieder einigen Ausflügen für Datenfans bestehen. about this event: https://cfp.eh20.easterhegg.eu/eh20/talk/98USLF/

Fail till success - RSA-Verschlüsselung zwischen Android, iOS und Java (eh20)

Sun, 09 Apr 2023 16:00:00 +0200

Eine Geschichte aus der Softwareentwicklung ... .. . Ein Ausflug in die Welt der Kryptographie mit Hürden, Überraschungen und Erkenntnisse zur RSA-Verschlüsselung unter Android, iOS und Java. Die Aufgabe, die dem Vortrag zugrunde liegt: * Daten sollen verschlüsselt von einem Java-Microservice auf Mobile Apps übertragen werden. Nebenbedingungen: * Da ausschließlich die Endgeräte die Entschlüsselung durchführen dürfen, wird das asymmetrische Verfahren RSA verwendet - dabei soll auf BSI-Konformität geachtet werden. * Obwohl RSA schon seit längerem von den beiden vorherrschenden Betriebssystemen unterstützt wird, sind diese nicht uneingeschränkt kompatibel ... .. . Während der Entwicklung stellt sich heraus, dass die Systeme 'nicht die gleiche Sprache sprechen'. Dies gilt nicht nur in Bezug auf die zugrundeliegenden Programmiersprachen, sondern im speziellen für die verwendeten RSA Key-Formate. Ein Ausflug in die Welt der Kryptographie mit Hürden, Überraschungen und Erkenntnisse zur RSA-Verschlüsselung unter Android, iOS und Java. about this event: https://cfp.eh20.easterhegg.eu/eh20/talk/QEDE7K/

Rechenschaftsbericht der Wau Holland Stiftung (eh20)

Sun, 09 Apr 2023 14:00:00 +0200

Die Wau Holland Stiftung berichtet. Covid ist vorbei und endlich können wir die Tradition fortführen, auf dem EH20 unsere Aktivitäten der letzten drei Jahren vorzustellen und eure Fragen zu beantworten. about this event: https://cfp.eh20.easterhegg.eu/eh20/talk/9YWBF8/

20 EasterHeggs: Alle Tassen im Schrank (eh20)

Sat, 08 Apr 2023 22:00:00 +0200

Präsentation einer vollständigen Sammlung EasterHegg-Tassen samt Fakten und Anekdoten der einzelnen Veranstaltungen Der Vortragende ist eine der wenigen Personen, die alle EasterHeggs von 2001 an besucht hat und somit eine vollständige Sammlung aller EasterHegg-Tassen besitzt. Im Rahmen dieses Talks werden die Tassen präsentiert und einige Anekdoten zum Zeitgeist der jeweiligen Veranstaltung wiedergegeben. Die Zuhörendenschaft ist eingeladen, auf einen Ausflug in 22 Jahre Event-Historie mitzukommen. Teilnehmende von längst vergangenen EasterHeggs dürfen gerne mit eigenen Anekdoten dazu beitragen. about this event: https://cfp.eh20.easterhegg.eu/eh20/talk/DSDPMZ/

Logbuch:Netzpolitik 457 (eh20)

Sat, 08 Apr 2023 20:00:00 +0200

Live-Podcast mit khaleesi, Linus Neumann und Tim Pritlove Logbuch:Netzpolitik (LNP) ist der Versuch, das netzpolitische Geschehen im deutschsprachigen Raum weitgehend neutral, unaufgeregt und meist gut gelaunt in einem regelmässigen Podcast einzufangen. Der Podcast soll Einblicke in die Themen aber auch Verständnis für die Hintergründe bieten. https://logbuch-netzpolitik.de/lnp457-nicht-normgerecht about this event: https://cfp.eh20.easterhegg.eu/eh20/talk/UZA9L3/

EHDS - Das Ende der ärztlichen Schweigepflicht (eh20)

Sat, 08 Apr 2023 18:00:00 +0200

Nicht nur Ärzte sollen Daten herausgeben, sondern z.B. auch Pflegedienste, Psychotherapeuten und ambulante Sozialpsychiatrie. Schon im September entscheidet das Europaparlament darüber, wer wieviel Geld mit deinen medizinischen Daten verdienen kann - und Du bekommst nichts ab. Die EU-Kommission hat am 03.05.22 ein "Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the European Health Data Space" (https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A52022PC0197) vorgelegt. Was zunächst wie eine Regulierung von etwas bereits existentem erscheinen will, wird bei seiner Verwirklichung extreme Konsequenzen für das Selbstbestimmungsrecht, das Vertrauensverhältnis zwischen Kranken und Heilenden sowie die Privatsphäre im Allgemeinen haben. Wo die Patientenrechte vollmundig angepriesen werden, steht unterm Strich nichts anderes als Entmündigung, die Pflicht zu einer elektronischen Patientenakte (ePA) und der Verlust von allen Rechten Einzelner an ihren Daten. Nicht einmal ein Widerspruchsrecht würde dann noch existieren. Die Schaffung zentraler nationaler und europäischer Datensammlungen erscheint gerade vor dem Hintergrund der "kompetenten" Umsetzung anderer EU-Projekte (AI-Act etc.) extrem fahrlässig. Tatsächlich hätte die Regelung in der vorliegenden Weise für alle Beteiligten von Patientin bis Arzt nur Nachteile - außer für die industrielle IT. Der Gesetzgebungsprozess ist bereits weit fortgeschritten - Anfang Februar war Einsendeschluss für "Draft reports", am 23.03.23 endete das "Tabling of Amendments", am 06.07.23 wird über den Bericht und im September 2023 über die Verordnung abgestimmt - die auch eine deutliche Kompetenzüberschreitung der EU-Kommission darstellt, weil Entscheidungen in Gesundheitsangelegenheiten Sache der einzelnen Staaten sind. about this event: https://cfp.eh20.easterhegg.eu/eh20/talk/STNQNL/

Buntes Bug Bounty - Teil II - Update aus dem Cybersicherheitsdialog (eh20)

Sat, 08 Apr 2023 17:00:00 +0200

Ein Plädoyer für anonyme, niedrigschwellige, rechtssichere und ethische Disclosure Prozesse Wenn der Bund ein Angebot schafft, das Sicherheitsforscher:innen befähigt, Beiträge zur Verbesserung der Informationssicherheit durch Beteiligungsprozesse zu schaffen, mag dies die Auswirkungen des Hackerparagrafen mildern. Wir haben das Abenteuer gestartet, zu versuchen dieser Frage im Rahmen des BSI Cybersicherheitsdialog auf den Grund zu gehen. Eine erste Vorstellung des Themas gab es im Rahmen der Jahresendveranstaltung 2022 auf der Hacking in Parallel [0][1] und im Rahmen des Netzpolitischen Abend 124 [2] am 07.03.2023 Das Melden von Sicherheitslücken und Datenlecks ist in Deutschland aktuell ein riskantes und aufwändiges Unterfangen. Erfahrungsgemäß besteht 60 bis 80 Prozent des Aufwandes darin, die Lücke und das Datenleck so zu dokumentieren, dass die Sicherheitsforscher:innen juristisch nicht angreifbar sind. Sowohl vonseiten der EU [3] als auch die Deutsche Bundeswehr [4] gibt es hier bereits etablierte Angebote. Entsprechend haben wir im Rahmen des Cybersicherheitsdialog des BSI [5] im September diesen Jahres das Projekt “B3 - Buntes Bug Bounty” gestartet. Ziel des Projektes ist es, einen ethischen, niedrigschwelligen und rechtssicheren Meldeprozess für Sicherheitslücken und Datenlecks zu entwickeln. Im Rahmen des Vortrags soll der aktuelle Stand der Diskussion vorgestellt und zur Teilnahme an der Diskussion eingeladen werden. [0] https://pretalx.c3voc.de/hip-berlin-2022/talk/CLCACQ/ [1] media. ccc.de Link wenn die Einreichung online ist [2] Link zum NPA 124 wenn der dieser im Netz steht. [3] https://joinup.ec.europa.eu/collection/eu-fossa-2/about [4] https://www.bundeswehr.de/de/security-policy [5] https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Leistungen-und-Kooperationen/Digitaler-Verbraucherschutz/Projekt-Dialog-fuer-Cyber-Sicherheit/Dialog-fuer-Cyber-Sicherheit_node.html Sollte ein:e Sicherheitsforscher:in aktuell eine Sicherheitslücke finden und dabei ggf. auch noch über ein Datenleck stolpern, entstehen eine Reihe von Fragen: * Habe ich mich strafbar gemacht, wenn ja wie dolle? #Hackerparagraph * Wem melde ich die Lücke? * Wem melde ich das Datenleck? * Kann ich das ethisch vertreten? * Wie viel Arbeit wird das? Wie die aktuellen Antworten auf diese Fragen aussehen, was sich verbessern ließe und was passieren müsste, damit das passiert, versuchen wir im Rahmen des Cybersicherheitsdialog des BSI öffentlich zu diskutieren. Dies passiert im Zeitraum von März - September 2023. Eine erste Vorstellung des Themas gab es im Rahmen der Jahresendveranstaltung 2022 auf der Hacking in Parallel [0][1] und im Rahmen des Netzpolitischen Abend 124 [2] am 07.03.2023. Geplant ist eine Vortragsreihe im Rahmen des Cybersicherheitsdialog mit verschiedenen Blickwinkeln auf das Thema. Das BSI stellt sich mit seinen Coordinated Vulnerability Disclosure Prozessen der Diskussion, auch andere Perspektiven sollen vorkommen wie die der Open Source Community mit Brian Behlendorf [3] oder die Frage, was bei Bug Bounty Programmen alles falsch gemacht werden kann – mit Katie Moussouris [4]. Um einen echten Dialog zu schaffen, haben wir eine Webseite [5] mit git im Aufbau, um eine offene Diskussion zu ermöglichen und wollen das Thema auf verschiedenen Veranstaltungen vorstellen (re:publica, Troopers, Camp, etc.) und eben auf der easterhegg. Mehr zum Inhalt: Die Arbeit von ehrenamtlichen Sicherheitsforscher:innen wird von den Organisationen, deren Systeme betroffen sind, nicht notwendigerweise positiv aufgenommen - siehe CDU Connect-App [6]. Auch kann das Melden von Sicherheitslücken bei Bekanntwerden der meldenden Person für diese zu Repressalien führen wie der Fall der log4j Lücke gegenüber dem Unternehmen AliBaba [7][8]. Ebenfalls ist nicht immer einfach erkennbar, wem eine Lücke und ein entsprechendes Leck zu melden sind: * der Organisation, die die Software einsetzt? * der Organisation, die die Software anbietet oder entwickelt? * Was ist zu tun, wenn es keine security.txt gibt? * Wendet sich eins an die Adresse im Impressum? * Im Falle eines Datenlecks, welcher Landesdatenschutzbeauftragte (LfDI) ist zuständig? * Der des Landes der Filiale, die im Impressum steht, der des Bundeslandes, in dem die Firma ihren Hauptsitz hat? * Was passiert, wenn das Datenleck an den falschen LfDI gemeldet wird? * Wieso wollen BfDI und LfDIs wissen, wer ich bin? * Wie kann ich sicher sein, dass das BSI aus der Lücke keinen Staatstrojaner macht? etc. etc. Wie das aus Sicht von Sicherheitsforscher:innen funktioniert, haben Zerforschung und Linus in dem Vortrag: “Deine Software, die Sicherheitslücken und ich” [9] dargestellt. Damit sich das bessert wollen wir – als konstruktiven Beitrag zur Debatte um Sicherheitsforschung auf Bundes- [10] und Europäischer Ebene [11] dem Bund vorschlagen, dass er Sicherheitsforscher:innen einlädt, Beiträge zur Verbesserung der Informationssicherheit durch Beteiligungsmöglichkeiten für Hacker:innen zu schaffen. Das wird durch das Ausloben eines “Bunten Bug Bounties” und das Einrichten einer one-stop-shop Meldestelle für Sicherheitslücken und Datenlecks ermöglicht. Vorbilder gibt es genug, die Bundeswehr [12] und die Niederlande [13] können hier beispielhaft genannt werden. Die Bundeswehr verspricht Sicherheitsforscher:innen, sie nicht anzuzeigen, die Niederlande garantieren, dass die Meldung veröffentlicht werden darf und es gibt ein T-Shirt [14]. Die EU zahlt mit EU-Fossa [15] sogar Geld für Fixes von Lücken in relevanten Open Source Frameworks. Ziel des Projektes ist es herauszufinden: * Wie könnte ein entsprechender Prozess aussehen? * Kann das rechtssicher gestaltet werden? * Wie passt das mit dem Cyber Resilience Act der EU [16] zusammen? Im Vortrag wollen wir den aktuellen Stand des Projektes vorstellen und die Community zur Diskussion einladen. Weiteres Demnächst unter: www.inoeg.de/b3 [0] https://pretalx.c3voc.de/hip-berlin-2022/talk/CLCACQ/ [1] media. ccc.de Link wenn die Einreichung online ist [2] Link zum NPA 124 wenn der dieser im Netz steht. [3] https://de.wikipedia.org/wiki/Brian_Behlendorf [4] https://en.wikipedia.org/wiki/Katie_Moussouris [5] www.inoeg.de/b3 [6] https://www.zeit.de/digital/datenschutz/2021-08/cdu-connect-app-it-sicherheit-lilith-wittmann-forscherin-klage [7] https://winfuture.de/news,127162.html [8] https://www.scmp.com/tech/big-tech/article/3160670/apache-log4j-bug-chinas-industry-ministry-pulls-support-alibaba-cloud [9] https://securitytxt.org/ [10] https://media.ccc.de/v/rc3-2021-xhain-278-deine-software-die-si [11] https://netzpolitik.org/2022/hackerparagrafen-sicherheit-fuer-die-sicherheitsforschung/ [12] https://www.ccc.de/de/updates/2022/zero-day-schwarzmarkt-trockenlegen [13] https://www.bundeswehr.de/de/security-policy [14] https://www.government.nl/topics/cybercrime/fighting-cybercrime-in-the-netherlands [15] https://medium.com/pentesternepal/hacking-dutch-government-for-a-lousy-t-shirt-8e1fd1b56deb [16] https://joinup.ec.europa.eu/collection/eu-fossa-2/about [17] https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act about this event: https://cfp.eh20.easterhegg.eu/eh20/talk/XEGM7H/

Was ihr über die neuen Polizeipanzer wissen müsst (eh20)

Sat, 08 Apr 2023 16:00:00 +0200

Kauft man der Polizei einen Panzer, ist das eine Verwaltungshandlung. Werden 55 "Sonderwagen" gekauft, ist das eine politische Aktion. Und dies tat das Innenministerium unter Horst Seehofer. Für rund eine Millionen Euro pro Stück von einem Rüstungskonzern. Der Vortragende berichtet von der Recherche zu den 15-Tonnen-Maschinen zur Aufstandsbekämpfung. Weiterführende Links - VICE: Survivor R: So viel Geld verballert die Polizei für ihre Panzerfahrzeuge: https://www.vice.com/de/article/pkg8ay/survivor-r-geld-polizei-panzerfahrzeuge-steuern - CILIP: BMI entscheidet sich für "Survivor R" von Rheinmetall: https://www.cilip.de/2021/12/11/bundesinnenministerium-kauft-polizeipanzer-survivor-r-von-rheinmetall/ - netzpolitik.org: Informationsfreiheit vor Gericht: Keine Dokumente zur Aufrüstung der Polizeien mit Panzern: https://netzpolitik.org/2021/informationsfreiheit-vor-gericht-keine-dokumente-zur-aufruestung-der-polizeien-mit-panzern/ - FragDenStaat: Bundesregierung will Dokumente über Polizeipanzer geheimhalten: Wir klagen!: https://fragdenstaat.de/blog/2020/06/09/klage-polizeipanzer-intransparenz/ about this event: https://cfp.eh20.easterhegg.eu/eh20/talk/TDTDWL/

WomoLIN, MQTT, IP V6 und Single Pair Ethernet als Open Source Ökosystem (eh20)

Sat, 08 Apr 2023 14:00:00 +0200

Die Welt der Caravans und Wohnmobile ist nach wie vor im letzten Jahrhundert stehen geblieben, veraltete Protokolle, Bedien Konzepte, Ansätze der Automatisierung sind propitäre Lösungen die nie ein ganzheitliche Sicht auf Hard und Software haben. Das WomoLIN Projekt, vorgestellt auf dem Easterhegg in Wien und auf dem DiVoc hat ja den Ansatz gemacht, dieses zu ändern. Mittlerweile ist ja einiges an Zeit vergangen, in dieser Zeit wurde mit großem Erfolg Protokolle einiger Hersteller und auch der unter NDA stehende CI-Bus, reverse Engineert. Eine mittlerweile sehr aktive Community rund um das Projekt hat diese auf den ESp32 als auf den Raspberry PI portiert. Die Einbindung erfolgt aller Komponenten werden in den zentralen Core, der als MQTT Brocker fungiert, weitere Module, wie z.B. der zentrale Elektroblock, Tank und Gasflaschen Sensor, Dimmermodul, als auch der zentrale Touchdisplay werden über 100 mbit Single Wire Ethernet vernetzt. Über IP V6 Broadcast melden sich die Komponenten am MQTT Brocker an. Im Vortrag eine kurze Übersicht über die reverse engineerten Protokolle, die Knackpunte der Single Pair Ethernet Entwicklung und den aktuellen Stand der Hard und Software. about this event: https://cfp.eh20.easterhegg.eu/eh20/talk/EWW9ZS/

Das PLATO-System - Ein unbekannte aber prägende Perle im Urschleim unser Cyberkultur (eh20)

Fri, 07 Apr 2023 23:00:00 +0200

Zu einer Zeit, als Steve Jobs noch ein Teenager war und Mark Zuckerberg noch nicht einmal geboren wurde, schuf eine Gruppe visionärer Ingenieure und Designer - einige von ihnen waren nur Schüler - Ende der 1960er und 1970er Jahre ein Computersystem namens PLATO Lichtjahre voraus. PLATO-Ingenieure haben nicht nur mit Plasma-Displays und Touchscreens bedeutende Hardware-Durchbrüche erzielt, sondern PLATO-Programmierer haben auch eine lange Liste von Software-Innovationen entwickelt: Chatrooms, Instant Messaging, Message Boards, Bildschirmschoner, Multiplayer-Spiele, Online-Zeitungen, interaktive Belletristik, und Emoticons. Gemeinsam hat die PLATO-Community Pionierarbeit geleistet, was wir jetzt heute gemeinsam als "dieses Internet" betreiben. Sie gehörten zu den Ersten, die das Potenzial und den Umfang der sozialen Vernetzung von Computern lange vor der Schaffung des Internets identifizierten und erkannten. PLATO war das Grundmodell für jede Online-Community, die in ihre Fußstapfen treten sollte. Wer die Geschichte des "Friendly Orange Glows" verschlungen hat, wird verstehen, warum Teile der PLATO DNA tief in unserer Cyberkultur eingeflossen sind. Bei der Beschreibung des Wunders wird den damit verbundenen den Menschen, Ideen und Werten der geschichtlich kulturelle Fokus geben, den sie verdient haben und ein Bogen übers Heute in unsere Zukunft gespannt. Starwars Trilogie wars gestern: Der Vortrag (1/3) bildet das spannenden technischen Fundament für kommende Teil 2 & 3, welcher dann die Kultur, den Geist und die Werte von damals auf die Kultur in Organisation und Konzernen von heute in Tiefe mappen .. -nudge-nudge-wink-wink- freue mich auf Euch .. es lohnt sich ;) about this event: https://cfp.eh20.easterhegg.eu/eh20/talk/W3QCPS/

Chatkontrolle - Mehr Überwachung für alle (eh20)

Fri, 07 Apr 2023 21:00:00 +0200

Seit fast einem Jahr läuft das Vorhaben der EU-Kommission, was als Chatkontrolle bekannt geworden ist, jetzt schon. In diesem Talk werfen wir einen Blick darauf wo wir gerade im Gesetzgebungsprozess sind, was als nächstes passiert und was passieren muss damit wir dieses riesige Überwachungspaket noch aufhalten können. Inklusive EU-Gesetzgebung für Anfängerinnen. Die Pläne der EU zur Chatkontrolle, die im konkreten Entwurf auf das Auffinden von Material der sexuellen Ausbeutung von Kindern und Jugendlichen sowie sexuellen Annäherungsversuchen durch Erwachsene beschränkt bleiben, sehen unter anderem vor, dass Kommunikations- und Hostingdienste zum Scannen sämtlicher Inhalte verpflichtet werden können. Nicht nur soll dabei auch mittels machine learning bislang unbekanntes Bild- und Videomaterial gefunden und gemeldet werden, sondern auch Textnachrichten analysiert und nach verdächtigem Verhalten gesucht werden. Verschlüsselte Kommunikation ist nicht ausgenommen, so dass eine Umsetzung der Pläne einen massiven Angriff auf Ende-zu-Ende Verschlüsselung darstellt und zur umfassenden Verbreitung von Client-Side-Scanning führen wird. Dass der Einsatz dieser dystopischen Überwachungsinstrumente mittelfristig nicht auf Missbrauchsdarstellungen von Kindern und Jugendlichen beschränkt bliebe, liegt auf der Hand. Der EU-Gesetzgebungsprozess ist lang, zäh und verwirrend. In diesem Talk wird es nicht nur darum gehen wo wir mit der Chatkontrolle gerade stehen sondern auch welche EU Institutionen wann, wie und wo an welchem Hebel sitzen. Wusstet ihr das sich so ein Gesetzesvorschlag häufig noch sehr stark verändert und der Rat zwischendurch fast alle "Safeguards" für digitale Menschenrechte aus dem Vorschlag gestrichen hat?! Auch auf diesen Aspekt werden wir in dem Vortrag schauen about this event: https://cfp.eh20.easterhegg.eu/eh20/talk/ACHJEJ/

unchanging.ink -- Merkle-Bäume für Digitale Notariate (eh20)

Fri, 07 Apr 2023 22:00:00 +0200

Man braucht nicht fünf Blockchains für einen Zeitstempel. Ein öffentlich geführter Merkle-Tree kann -- mit einigen Kniffen -- sichere digitale Zeitstempel-Dienste auch für eine große Anzahl an Operationen pro Sekunde anbieten. Und das kostengünstig und ohne die Umwelt mit nutzlosem Blockchain-Kladderadatsch zu belasten. Die Idee aus https://web.archive.org/web/20210408041513/https://twitter.com/andreasdotorg/status/1369985165628481542 sieht ein einfaches digitales Notariat vor, welches nichts weiter tut, als Hash-Werte inhaltsneutral zu beglaubigen. Der wichtigste Trick ist, dass Zeitstempel *in sich* wirksam sind, also keinen Konsens-Algorithmus benötigen. Ich stelle eine Implementierung dieses Konzepts, unchanging.ink, vor, welche als Open Source vorliegt. Auf dem Weg dorthin erkläre ich die Grundlagen und Optimierungen die diesen Dienst möglich, und performant, machen. unchanging.ink * erstellt Timestamps in unter 5s * erlaubt Verifizierung vollständig offline * zielt auf mehrere Tausend op/s, was für ein ganzes Land ausreichen sollte * erlaubt Live-Monitoring um sicherzustellen, dass der Dienst selbst nicht betrügt * enthält keine geheimen Schlüssel und verlangt kein Vertrauen in den Dienstbetreiber about this event: https://cfp.eh20.easterhegg.eu/eh20/talk/J39JCA/

Start Your Engines (eh20)

Fri, 07 Apr 2023 16:30:00 +0200

Opening des EH20 Das Opening about this event: https://cfp.eh20.easterhegg.eu/eh20/talk/MCPAX3/

Traut Euch, Talks zu halten (eh20)

Fri, 07 Apr 2023 17:05:00 +0200

In der Datenschleuder aus Januar 2023 erschien mein Artikel zum Schreiben und Halten von Talks, auf dessen Inhalte ich in diesem Talk mit Tipps und meinen eigenen Erfahrungen eingehen werde. Und wenn ich schon die Datenschleuder anspreche kann ich gleich "leaken", wie ein Artikel von mir dort erschienen ist. Viele Wege führen zum Talk, am Anfang steht wohl immer... eine Frage, eine Idee für ein Thema. Ich möchte Euch in diesem Talk auf meinen Weg von der Idee bis ans Speaker-"Pult" mitnehmen: von der Idee zum CfP warten und hoffen, dass der Talk (nicht!) angenommen wird Erstellen der Folien - mit praktischen Tipps zur Gestaltung - Probe halten - wisst Ihr, was Rubber Ducking ist? - und mich dann wirklich ans Reden trauen. Das Imposter Syndrome hat heute einen besonderen Platz verdient. Lasst uns zusammen versuchen, das zu verstehen und ... zumindest was Euren Mut, Talks zu halten, angeht ... zu "besiegen"! Ich hoffe, der Waffelkeksopa übrigens auch, dass Ihr durch diesen Talk den Mut findet, selbst Talks einzureichen und so zu einem bunteren Fahrplan beizutragen. Ihr wisst schon: Damit der Waffelkelsopa nicht meckert, weil er zu viele Talks halten muss. In diesem Talk nehme ich auch mit auf den Weg meines Datenschleuder-Artikels von der Idee bis zur Veröffentlichung. Dieser Blick hinter die Kulissen erfolgt anonym und mit der Redaktion abgesprochen, über die Inhalte verraten ich Euch deshalb in der Beschreibung noch nichts. about this event: https://cfp.eh20.easterhegg.eu/eh20/talk/B8CSAK/

The MCH2022 aftermath talk (eh20)

Fri, 07 Apr 2023 20:00:00 +0200

MCH2022 summer hacker camp happened last summer, a lot of people from the CCC helped out making this a success. This talk shows the aftermovie and goes into memories and the details of finances and things that are still open. about this event: https://cfp.eh20.easterhegg.eu/eh20/talk/QLBKXN/

Howto CCCamp 23 (eh20)

Fri, 07 Apr 2023 18:00:00 +0200

Informationen für Teilnehmende / Villages zum CCCamp 23. Vorstellung vom Anreise- und Mitmachkonzept sowie Gelegenheit offene Fragen zu diskutieren. Das 7. Chaos Communcation Camp vom 15. - 19. August steht vor der Tür und die Vorbereitung läuft schon auf Hochtouren. In diesem Talk möchten wir Euch mit Informationen zum Planungsstand versorgen, Euch unser Anreise- und Mitmachkonzept vorstellen welches insbesondern ein Augenmerk auf das Thema Nachhaltigkeit legt. Neben dem Infoblock wird es die Möglichkeit geben, alle euch auf der Zunge brennenden Fragen zum diesjährigen Chaos Communication Camp zu diskutieren. (Bild von Mitch Altman, Lizenz CC BY-SA 2.0, https://flickr.com/photos/maltman23/48845750657/) about this event: https://cfp.eh20.easterhegg.eu/eh20/talk/UKFSYW/