https://fahrplan.events.ccc.de/congress/2024/fahrplan/schedule/ 1.4 2 38c3 2024-12-27 2024-12-30 4 00:05 Europe/Berlin https://cfp.cccv.de https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/HQCCYH/ 2024-12-27T10:30:00+01:00 10:30 00:30 Saal 1 Door 38c3-2-38c3-opening-ceremony CCC Ceremony en Glad you could make it! Take a seat and buckle up for a ride through four days of chaotic adventures. This ceremony will prepare you for the 38C3 in all its glory, underground and above, hacks and trolls, art and radical ideas. Let's kick this thing off together! false Gabriela Bogk Aline Blankertz https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/8ZPHSP/ 2024-12-27T11:00:00+01:00 11:00 00:40 Saal 1 Door 38c3-91-correctiv-recherche-geheimplan-gegen-deutschland-1-jahr-danach Ethics, Society & Politics Talk de Vor einem Jahr veröffentlichte Correctiv die Recherche “Geheimplan gegen Deutschland”, die ein geheimes Treffen von Rechtsextremen, AfD-Funktionären und CDU-Mitgliedern enthüllte. Diese Enthüllung führte zu massiven Demonstrationen, während rechtsextreme Gruppen versuchten, das Geschehen zu relativieren. Die politische Reaktion blieb jedoch verhalten, und die AfD setzte die demokratischen Parteien weiter unter Druck. In diesem Vortrag gibt Jean Peters, leitender Reporter der Recherche, einen Überblick über die Recherchemethoden, analysiert den medialen Diskurs und zeigt zukünftige Perspektiven zur Berichterstattung über Rechtsextremismus auf. Vor einem Jahr enthüllte Correctiv in der investigativen Recherche "Geheimplan gegen Deutschland" ein brisantes Treffen in Potsdam, an dem Rechtsextreme, AfD-Funktionäre, CDU-Mitglieder aus unteren Rängen sowie bedeutende Geldgeber teilnahmen. Diese Veröffentlichung schlug in der deutschen Öffentlichkeit hohe Wellen und führte zu den größten Demonstrationen, die die Bundesrepublik seit ihrer Gründung erlebt hat. Menschen in ganz Deutschland gingen auf die Straße, um gegen die rechtsextreme Bedrohung und die wachsende politische Einflussnahme dieser Kreise zu protestieren. Die Rechtsextremen hingegen versuchten, die Bedeutung dieses Treffens herunterzuspielen und die Enthüllungen als überzogen darzustellen. Sie bemühten sich, ihre Pläne zu relativieren. Gleichzeitig trieb die AfD die demokratischen Parteien bei den Landtagswahlen der neuen Bundesländer weiter vor sich her und konnte in mehreren Bundesländern beachtliche Wahlerfolge feiern. Die Reaktionen auf Bundesebene waren in vielen Augen enttäuschend: Statt die Warnungen aus der Zivilgesellschaft und den Demonstrationen ernst zu nehmen, schien die Bundespolitik in Teilen auf AfD-freundliche Maßnahmen zu setzen. Jean Peters, der leitende Reporter der Recherche, wird in seinem Vortrag detaillierte Einblicke in die Vorgehensweise und die Methodik der Enthüllung geben. Er wird erläutern, wie Correctiv die Verbindungen zwischen den rechtsextremen Akteuren und den finanziellen Unterstützern aufdeckte, welche Herausforderungen es nach der Recherche gab und wie das Team mit der enormen öffentlichen Resonanz umging. Zudem wird er den medialen Diskurs kritisch einordnen: Welche Rolle spielten die Medien bei der Verbreitung und der Einordnung der Informationen? Wie reagierte die Öffentlichkeit auf die Berichterstattung? Und welche Konsequenzen ergaben sich daraus für die politische Debatte in Deutschland? Abschließend wird Peters mögliche nächste Schritte und Ansätze für die weitere Berichterstattung über Rechtsextremismus und den Stand der Debatte rund um ein potenzielles AfD Verbot aufzeigen. Er wird darlegen, wie der investigative Journalismus weiterhin dazu beitragen kann, diese Netzwerke aufzudecken, und welche Hacks die Demokratie bietet, um Autoritarismus zu bekämpfen. false Jean Peters https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/SJ8PGD/ 2024-12-27T12:00:00+01:00 12:00 00:40 Saal 1 Door 38c3-50--natrlich-bin-ich-18-altersprfungen-im-netz-aus-datenschutzperspektive Ethics, Society & Politics Talk de „Um nach diesem Begriff zu suchen, dich auf dieser Website anzumelden oder dieses Video anzuschauen, halte bitte deinen Personalausweis bereit, damit wir dein Alter überprüfen können.“ Solche Aufforderungen könnten uns in Zukunft häufiger begegnen, denn immer mehr Websites wollen unser Alter wissen. Doch woher kommt dieses Interesse und ist das eigentlich zulässig? Gemeinsam setzen wir die Datenschutzbrille auf und gehen folgenden Fragen auf den Grund: Welche Methoden der Altersprüfung gibt es und wie funktionieren sie? Können oder sollten Methoden der Altersprüfungen eingesetzt werden und gibt es Fälle, in denen sie sogar eingesetzt werden müssen? Sind Datenschutz und Kinderschutz tatsächlich Gegensätze oder haben sie doch mehr gemeinsam, als oft vermutet wird? Und was sagt eigentlich die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) dazu? Hand aufs Herz – hast du, bevor du 18 warst, Webseiten besucht, die nur für Erwachsene bestimmt waren? Welche Mechanismen haben versucht dich davon abzuhalten? Wie häufig begegnest du diesen Mechanismen heute? Altersprüfungen sind nicht zuletzt durch die Bestimmungen des Digital Services Act (DSA) und die Diskussionen um die Alterstauglichkeit von Social Media heiß diskutiert. Dabei geht es längst nicht mehr allein um Ab-18-Inhalte. Die Idee ist einfach: Wer zu jung ist, darf bestimmte Bereiche des Internets nicht betreten – wie früher in der Videothek - oder wer zu alt ist, bekommt keinen Zutritt – wie auf manchen Spielplätzen. Aber könntest du dir vorstellen, in der Videothek eine Kopie deines Personalausweises abzugeben, zusammen mit der Liste der Filme, die du ausgeliehen hast? Der wichtige Unterschied ist: Um in digitalen Diensten das Alter einer Person prüfen zu können, müssen mehr Daten verarbeitet werden als bei einem kurzen Blick auf den Ausweis, und das ist nicht ohne weiteres zulässig! Der Umgang mit Methoden der Altersprüfung wird einen erheblichen Teil dazu beitragen, wie das Internet in Zukunft aussehen wird und wie frei es sein wird. Es geht nicht nur darum, wie Kinderschutz im Netz umgesetzt wird, sondern auch, wie viel Teilhabe im Digitalen möglich ist – nicht nur für Kinder. In diesem Vortrag erwarten euch ein Überblick über aktuelle (politische) Forderungen nach Altersprüfungen im Internet und den verschiedenen Methoden, die dabei zum Einsatz kommen. Wir machen einen kurzen Exkurs ins Datenschutzrecht und gehen der Frage nach, wie Altersprüfungen, Kinderschutz und Datenschutz zusammenspielen. Nicht zuletzt bekommt ihr die Einschätzung der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu hören. false Aline Sylla Dr. Carsten Adrian https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/C38ZK7/ 2024-12-27T12:55:00+01:00 12:55 00:40 Saal 1 Door 38c3-226-liberating-wi-fi-on-the-esp32 Hardware & Making Talk en Reverse engineering the Wi-Fi peripheral of the ESP32 to build an open source Wi-Fi stack. During the 38c3, there are probably multiple thousands of ESP32s in the CCH, all of which run a closed source Wi-Fi stack. And while that stack works, it would be nicer to have an open source stack, which would grant us the ability to modify and audit the software, which carries potentially sensitive data. So we set to work, reverse engineering the proprietary stack and building a new open source one. We soon discovered just how versatile the ESP32 can be, both as a tool for research and IoT SoC, when its capabilities are fully unlocked. This includes using it as a pentesting tool, a B.A.T.M.A.N. mesh router or an AirDrop client. You'll learn something about Wi-Fi, the ESP32, reverse engineering in general and how to approach such a project. false Frostie314159 Jasper Devreker https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/7GVNYD/ 2024-12-27T13:50:00+01:00 13:50 00:40 Saal 1 Door 38c3-344-was-lange-whrt-wird-endlich-gut-die-modernisierung-des-computerstrafrechts Ethics, Society & Politics Talk de Die Reform des Computerstrafrechts ist längst überfällig. Die bestehende Gesetzgebung ist zunehmend veraltet und entspricht nicht mehr den Anforderungen unserer digitalen Welt. Spätestens seit der Veröffentlichung des aktuellen Koalitionsvertrags hat sich die Bundesregierung die Modernisierung dieses vielfach kritisierten Rechtsbereichs auf die Fahnen geschrieben. Doch was ist seitdem wirklich passiert? Wie sieht der aktuelle Stand der Reformbemühung aus? Was wird sich konkret ändern und welche Auswirkungen wird dies auf die Hacker-Community und die Sicherheitsforschung haben? Und wird das endlich gut? Das Computerstrafrecht steht seit vielen Jahren in der Kritik – nicht nur von Seiten der Hacker-Community, sondern auch aus der Wissenschaft, der Wirtschaft und sogar von Strafrechtsexperten. Ein zentraler Kritikpunkt ist die Kriminalisierung von Hacking mit guter Absicht, sogenannten ethischen Hackern. Aktuell ist auch diese Form des Hacking strafbar. Initiativen wie Bug Bounty Programme und Disclosure Policies zeigen, dass die Industrie durchaus ein Interesse daran hat, von ethischen Hackern zu profitieren, die Schwachstellen verantwortungsbewusst aufdecken und melden. Seit Ende Oktober ist nun ein Gesetzesentwurf im Umlauf, welcher die Modernisierung des Computerstrafrechts vorsieht. Dieser Vortrag gibt einen Einblick in die Entwicklung dieses Gesetzesentwurfs, den aktuellen Stand der Debatte und die nächsten Schritte. Wir erklären dabei die geplanten Änderungen anhand von praktischen Beispielen und erläutern, welche Aktivitäten zukünftig legal wären und welche weiterhin verboten bleiben. Ziel des Vortrags ist es, die Zuhörenden über den Prozess der Gesetzesänderungen zu informieren. Sie erkennen, welche Möglichkeiten sich aus dem reformierten Computerstrafrecht ergeben und lernen, was beim verantwortungsvollen Aufdecken von Sicherheitslücken beachtet werden muss und welche rechtlichen Grenzen weiterhin bestehen. Zudem wird der Vortrag verdeutlichen, inwieweit die geplante Gesetzesreform als Gewinn für die Hacker-Community angesehen werden kann – oder ob es noch immer Nachbesserungsbedarf gibt. false Florian Hantke Prof. Dr. Dennis-Kenji Kipker https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/SRXRMA/ 2024-12-27T14:45:00+01:00 14:45 01:00 Saal 1 Door 38c3-135--konnte-bisher-noch-nie-gehackt-werden-die-elektronische-patientenakte-kommt-jetzt-fr-alle- Security Talk de In wenigen Wochen werden die Gesundheitsdaten von rund 73 Millionen in Deutschland Krankenversicherten ohne deren Zutun über Praxis- und Krankenhausgrenzen hinweg zentral in einer Akte zusammengeführt - in der [„elektronischen Patientenakte für alle“](https://www.bundesgesundheitsministerium.de/themen/digitalisierung/elektronische-patientenakte/epa-fuer-alle.html). Fortsetzung von 36C3 - [„Hacker hin oder her“: Die elektronische Patientenakte kommt!](https://media.ccc.de/v/36c3-10595-hacker_hin_oder_her_die_elektronische_patientenakte_kommt) In wenigen Wochen startet die [„elektronische Patientenakte (ePA) für alle“](https://www.bundesgesundheitsministerium.de/themen/digitalisierung/elektronische-patientenakte/epa-fuer-alle.html): Medizinische Befunde, Medikationslisten und weitere Gesundheitsdaten von rund 73 Millionen in Deutschlang Krankenversicherten werden dann ohne deren Zutun über Praxis- und Krankenhausgrenzen hinweg in einer zentralen Akte zusammengeführt. Bisher musste die ePA explizit beantragt werden. Ab Januar 2025 dagegen erhalten alle gesetzlich Versicherten, die nicht widersprechen, automatisch eine solche ePA. Eine moderne Sicherheitsarchitektur ermöglicht dabei, dass die enthaltenen Gesundheitsinformationen in der ePA mit den höchsten Sicherheitsstandards geschützt werden. „Der Datenschutz und die Datensicherheit waren uns zu jedem Zeitpunkt das wichtigste Anliegen“, so Gesundheitsminister Karl Lauterbach. „Ein solches System konnte bisher noch nie gehackt werden“. Doch die Vergangenheit hat gezeigt: [„Vertrauen lässt sich nicht verordnen“](https://www.ccc.de/en/updates/2023/digitalegesundheit). Fortsetzung von 36C3 - [„Hacker hin oder her“: Die elektronische Patientenakte kommt!](https://media.ccc.de/v/36c3-10595-hacker_hin_oder_her_die_elektronische_patientenakte_kommt) false Martin Tschirsich Bianca Kastl https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/GDPEUA/ 2024-12-27T16:00:00+01:00 16:00 01:00 Saal 1 Door 38c3-158-investigating-the-iridium-satellite-network Hardware & Making Talk en The Iridium satellite (phone) network is evolving and so is our understanding of it. Hardware and software tools have improved massively since our last update at 32C3. New services have been discovered and analyzed. Let's dive into the technical details of having a lot of fun with listening to satellites. We'll cover a whole range of topics related to listening to Iridium satellites and making sense of the (meta) data that can be collected that way: - Overview of new antenna options for reception. From commercial offerings (thanks to Iridium Time and Location) to home grown active antennas. - How we made it possible to run the data extraction from an SDR on just a Raspberry Pi. - Running experiments on the Allen Telescope Array. - Analyzing the beam patterns of Iridium satellites. - Lessons learned in trying to accurately timestamp Iridium transmissions for future TDOA analysis. - What ACARS and Iridium have in common and how a community made use of this. - Experiments in using Iridium as a GPS alternative. - Discoveries in how the network handles handset location updates and the consequences for privacy. - Frame format and demodulation of the Iridium Time and Location service. false Sec schneider https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/HWSQQG/ 2024-12-27T17:15:00+01:00 17:15 https://fahrplan.events.ccc.de/congress/2024/fahrplan/media/38c3/submissions/HWSQQG/thielboi_4hDkUKJ.png 01:00 Saal 1 Door 38c3-452-klarheit-als-waffe Art & Beauty Talk de UBERMORGEN infiltriert Kunst, Medien und digitale Monokulturen mit subversiver Affirmation. Wie Donald Trump auch, zerstören sie täglich ihr Geschäftsmodell, um daraus radikal neue Lösungen zu schaffen. Anhand von Projekten wie Vote-Auction, Google Will Eat Itself und PMC Wagner Arts dokumentieren sie ihre künstlerische Evolution im Never-Ending Now. Chaos ist ihre Methode, Kunst ihre Neue Ehrlichkeit, Klarheit ihre Waffe. Der Vortrag, eine Mischung aus emotionalem Appell und intellektueller Analyse, thematisiert die Notwendigkeit von Klarheit und bewusster Simplifizierung als Gegengewicht zum Streben nach Perfektion in einer Welt der wahrgenommenen und effektiven Hyperkomplexität. UBERMORGEN stellt infrage, wie viel künstlerische Freiheit im aktuellen Zeitalter der „Happy Dystopia“ noch bleibt, respektive was ‘Radikaler Universalismus’ (Abstraktion zwecks Mustererkennung) für weitläufige Möglichkeiten in der Praxis eröffnen, und beleuchtet, wie ihre neuesten Werke das Potenzial kritischer Ästhetik und radikaler Experimente inmitten einer fragmentierten Informationslandschaft ermöglichen. false Luzius Bernhard lizvlx (UBERMORGEN) https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/ASBXWW/ 2024-12-27T19:15:00+01:00 19:15 https://fahrplan.events.ccc.de/congress/2024/fahrplan/media/38c3/submissions/ASBXWW/Four_Thieves_Vinegar_Collective_logo.svg_IApIM0n.png 00:40 Saal 1 Door 38c3-316-bioterrorism-will-save-your-life-with-the-4-thieves-vinegar-collective Ethics, Society & Politics Talk en Governments have criminalized the practice of managing your own health. Despite the fact that for most of human history bodily autonomy, and self-managed health was the norm, it is now required that most aspects of your health must be mediated by an institution deputized by the state. Taking those rights back for yourself is then labeled "BioTerrorism". So be it. Let's learn how. We all know that custom, hand-made, artisan-crafted, boutique tools are always better than something factory made. A guitar, a wood chisel, a chef's knife, a built racing engine, a firearm, a suit, a pair of shoes. Given that this is so well-known, and so universally understood, it's peculiar at best that this is not seen by most people when it comes to medicine. It is however also true. Given, however, that the traditional rôle of pharmacists who used to have the freedom to compound custom medicines for the people they were serving has been revoked, and now despite their extensive training, have been limited to being able to do little more than count pills in most cases, we have to do this ourselves. The problem is that this has been criminalized. The moment you stop groveling for permission from medical authorities, and start becoming actively involved in managing your own health, you are a criminal in most countries in the world. Practicing medicine without a license, manufacture of drugs, possession of laboratory tools, possession of precursor chemicals... the list of felonies goes on. The choice is yours. Would you like to be the sickest law-abiding citizen, or the healthiest BioTerrorist? If you want the red pill, you'll have to manufacture it yourself. The blue pill is prescription-only, and if you manage to get a prescription, and you're rich maybe you can afford to buy it. Come learn about the long list of medications which went through the research and development processes, but are never going to be commercially available. Learn how to find more of these, and learn the many ways you can make them yourself. false Dr. Mixæl Swan Laufer https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/MDN3PU/ 2024-12-27T20:15:00+01:00 20:15 00:40 Saal 1 Door 38c3-282-der-thring-test-fr-wahlsoftware Ethics, Society & Politics Talk de Wähle Dein Risiko! Vor der Bundestagswahl 2017 veröffentlichten wir unsere Analyse über haarsträubende Sicherheitslücken in einer weit verbreiteten Wahlsoftware. Seitdem ist einiges passiert: Der Hersteller hat die Probleme nicht behoben, das BSI hat einen Stapel Papier produziert, die deutschen Anbieter von Wahlsoftware haben ihr Kartell vergrößert und unterschiedliche Wahl-Pannen untergraben weiterhin das Vertrauen in die Demokratie. Wurden unsere Empfehlungen von 2017 umgesetzt? Wir nehmen den Decompiler und schauen mal nach. false Linus Neumann Thorsten (THS) Schröder https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/3UWT9A/ 2024-12-27T21:10:00+01:00 21:10 00:40 Saal 1 Door 38c3-676-feelings-are-facts-love-privacy-and-the-politics-of-intellectual-shame CCC Talk en A debut of new research and analysis, focused on emotions and the affective register—love! shame! intimacy! What happens when we put love and intimacy at the center of our understanding of privacy, and what are the consequences of their disavowal, in favor of a more familiar technocratic definition of privacy-as-absense? What role does our deep desire for love and belonging, and our concomitant fear of shame and rejection, have to do with the (mis)direction of tech capital and the current, warped shape of the tech industry and its products? We take these questions seriously, and work through their implications together in Hamburg during that brief, liminal window between the winter holidays and the new year. false Meredith Whittaker https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/Q8ZAV9/ 2024-12-27T22:05:00+01:00 22:05 https://fahrplan.events.ccc.de/congress/2024/fahrplan/media/38c3/submissions/Q8ZAV9/europe_52dSHqZ.png 00:40 Saal 1 Door 38c3-598-wir-wissen-wo-dein-auto-steht-volksdaten-von-volkswagen Security Talk de Bewegungsdaten von 800.000 E-Autos sowie Kontaktinformationen zu den Besitzern standen ungeschützt im Netz. Sichtbar war, wer wann zu Hause parkt, beim BND oder vor dem Bordell. Welche Folgen hat es, wenn VW massenhaft Fahrzeug-, Bewegungs- und Diagnosedaten sammelt und den Schlüssel unter die Fußmatte legt? Was verraten Fahrzeugdaten über die Mobilität von Behörden, Ämtern, Ministerien, Lieferdiensten, Mietwagenfirmen, etc.? Wofür werden diese Daten überhaupt gesammelt? Wir zeigen Kurioses bis Bedenkliches - natürlich mit mehr Respekt für den Datenschutz, als diejenigen, die die Daten gesammelt haben. false Michael Kreil Flüpke https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/HTWLCG/ 2024-12-27T23:00:00+01:00 23:00 01:00 Saal 1 Door 38c3-336-we-ve-not-been-trained-for-this-life-after-the-newag-drm-disclosure Hardware & Making Talk en You've probably already heard the story: we got contracted to analyze a bunch of trains breaking down after being serviced by independent workshops. We reverse engineered them and found code which simulated failures when they detected servicing attempts. We presented our findings at 37C3… and then shit hit the fan. This talk will be an update about what happened since our 37C3 presentation. We’ll talk about: - Three parliamentary workgroup sessions with dirty bathroom photos on Newag’s offtopic slides, train operators revealing that they paid Newag more than 20k EUR for unlocking a single train, which Newag was able to unlock in 10 minutes, and at the same time saying that they don’t know anything about the locks. - 140-page lawsuits, accusing us of _copyright violation and unfair competition_ (sic!) with a lot of logical gymnastics. - How it’s like to repeatedly explain reverse engineering concepts to journalists. - 6 official investigations, two of them criminal. - New cases revealed since then (from different train operators). - and much more! false Michał Kowalczyk q3k Jakub Stepniewicz https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/9C3JXS/ 2024-12-28T00:15:00+01:00 00:15 00:40 Saal 1 Door 38c3-248-desiring-technology-ber-porno-abhngigkeit-und-fortschritt Entertainment Talk de Eine wachsende Zahl von Menschen eignet sich ihre empfundene Abhängigkeit von digitaler Pornografie als mystischen Fetisch an – sie konsumieren ihren Konsum. Was ist Gooning, wie hat es sich entwickelt und was kann es uns über unser Verhältnis zu Medientechnologie im weiteren Sinn erzählen? Pornografie gilt als wichtiger Treiber von Digitalisierung. Ihre Nutzung ist damit auch ein kulturelles Labor digitaler Konsumgesellschaft - aber eines, über das relativ wenig gesprochen wird. Was genau machen Leute eigentlich mit Pornos? Wie Pornos konsumiert werden, gibt mehr als nur Aufschluss über den Stand dessen, was wir “Sexualität” nennen. Menschliches Begehren ist die wichtigste Ressource für technische Entwicklung schlechthin, und in den Lustfarmen der Pornokonsumindustrie findet dieser Zusammenhang nur einen besonders deutlichen Ausdruck. Dieser Vortrag erzählt die Geschichte einer relativ jungen Form digitalisierter Sexualität rund um Pornografiekonsum: Gooning. Er beschreibt, wie über die letzten zehn Jahre diese Form der Lust an sich selbst eine innige Verbindung mit digitalen Medien eingegangen ist. Und er nutzt dieses Beispiel, um eine weitere Geschichte zu erzählen: eine Geschichte über menschliche und vor allem männliche Körper, die nicht anders können, als das Neue zu begehren – selbst angesichts der unerwünschten Zukünfte, mit denen die technologisierte Welt, von der sie abhängig geworden sind, sie konfrontiert. Inhaltshinweis Themen: Sexualität, Sucht. Nacktheit im Bildmaterial ist verpixelt. Dennoch nicht empfohlen für Personen unter 18 Jahren. false Arne Vogelgesang https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/GUFA37/ 2024-12-28T01:10:00+01:00 01:10 01:30 Saal 1 Door 38c3-215-fnord-nachrichtenrckblick-2024 Entertainment Talk de Wir zeigen euch die Fnords in den Nachrichten des Jahres. Endlich wieder ein normaler Ausklang fürs Jahr! false Fefe atoth https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/FQESP3/ 2024-12-27T11:00:00+01:00 11:00 00:40 Saal ZIGZAG Door 38c3-395-typing-culture-with-keyboard-okinawa-reviving-the-japanese-ryukyu-language-through-the-art-and-precision-of-digital-input Art & Beauty Talk en In a world dominated by digital communication and the drive toward linguistic unification, the simple act of 'typing' varies significantly across languages and writing systems. For European languages like English and German, typing typically involves a set of about 100 letters and symbols. In contrast, Japanese—and by extension, Okinawan—requires three distinct scripts: hiragana, katakana, and kanji. Each of these adds layers of complexity and cultural depth to written expression. This presentation delves into the development of an input method engine (IME) for Okinawan, an endangered language spoken in Japan's Ryukyuan archipelago. Moving beyond technical challenges, this project reveals how modern digital ‘calligraphy’ intersects with language preservation. Every keystroke becomes a deliberate cultural choice, as the IME reflects the aesthetic and linguistic essence of Okinawan language. Highlighting linguistic expression, cultural significance, and the urgent need for language preservation, this talk presents a model for future digital tools that empower endangered languages and cultures to thrive in the digital realm. This presentation begins by illustrating how different languages transliterate speech globally and then shifts focus to the Ryukyu-Japonic language family, showcasing how over 10,000 characters can be input on a QWERTY keyboard. The Input Method Engine (IME) has played a unique role in facilitating character input for Chinese, Japanese, and Korean (CJK) languages. This talk explores expanding the CJK family to include Okinawan, addressing how phonologically distinct sounds are recorded and encoded. This addition lays the groundwork for other Okinawan speakers to express themselves and document their lives in today’s interconnected, digital world. false Daichi Shimabukuro https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/MJYTSS/ 2024-12-27T12:00:00+01:00 12:00 00:40 Saal ZIGZAG Door 38c3-359-police-2-0-peaceful-activism-is-terrorism-and-fakenews-are-facts Ethics, Society & Politics Talk en On 23 October 2019 peaceful activist Frank van der Linde found out the Dutch Police was associating him with terrorism to other countries' law enforcement. This talk goes over the bizarre, worrying and, frankly, quite funny journey that Frank van der Linde has embarked on, hoping on a litigation frenzy to seek justice and fight back against the institutional intimidation of activists. In 2014 the Dutch police started monitoring Frank van der Linde after he demonstrated and publicly opposed racism, climate change, animal cruelty, homelessness, and other social injustices. By 2019 the Dutch law enforcement had put him on a terror list and shared his personal data with the German Federal Criminal Police Office, Europol and Interpol. Frank challenged the police for sharing his data and categorising him as "terrorist", they responded "The term ‘terrorism’ is a broad term, and they don't really mean it." The Police maintained the categorisation. Last year, a Dutch police officer blew the whistle and spoke out in favor of Frank during a hearing in court. He told the court that the police file about Frank contained grossly mischaracterised and biased information. Overall is seems that wherever van der Linde data is processed, data gets lost and accountability processes cave in. To quote Frank, “What do they have to hide?!” Speakers: Frank van der Linde Lori Roussey, Director of Data Rights, who participates in supporting Frank courageous journey false Lori Frank van der Linde https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/FSZBSE/ 2024-12-27T12:55:00+01:00 12:55 00:40 Saal ZIGZAG Door 38c3-534-die-geschlechter-denen-die-sie-hacken-selbstbestimmungsgesetz-pinke-listen-berwachungsstaat Ethics, Society & Politics Talk de Selbstbestimmung ein grundlegendes Prinzip des Hacken, ob technologisch oder geschlechtlich. Doch was wenn Selbstbestimmung nur bedingt umsetzbar ist- im besten Fall und mit staatlicher Repression als Standard? Selbstbestimmung selbst gemacht ist eine trans, inter, nonbinäre Aktionsgruppe deren Name Programm ist. Wir wollen das System hacken um wir selbst zu sein, Überwachungsfrei und mit (Kranken)Versicherung. Ob mögliche Informationsweitergabe/Offenbarungsgebot, für alle Menschen, ob Cis oder TIN*, das in letzter Minute für die Bezahlkarte aus dem mangelhaften „Selbstbestimmungs“Gesetz (SBSG) genommen wurde oder die Sabotage und Unmöglichmachung von geschlechtaffirmierender Gesundheitsversorgung- wir stehen wie migrantische Menschen im Mittelpunkt von staatlicher Überwachungsliebe und faschistischer Auslöschungsfantasien, jedoch unbeachtet im Chaos. Wir wollen dies ändern- hier, dieses Jahr und für alle Zeit. Wir werden den Prozess des SBSG ergründen, den Zusammenhang von (Un)Sicherheitspaket, Überwachungsmaßnahmen und Transsein herstellen wie auch ganz nebenbei illegalisierte Praktiken versichern, durch die Geschlechts-zusatzversicherung. Nur eure Bühne wird gebraucht und die Tastaturen unser aller Geschwister. Trans*, inter*, nicht-binäre (TIN*) Rechte und Datensicherheit gehen Hand in Hand. Das wollen wir in diesem Beitrag konkretisieren und für mehr Vernetzung zwischen Digitaler (Grund)rechte-/Datensicherheits-szene und TIN* Aktivismus eintreten. Dabei werden Zusammenhänge zwischen (Un)Sicherheitspaket, Überwachungsmaßnahmen und trans Geschlechtlichkeit erkundet und mit konkreten Gesetzesvorschlägen und aktivistischen Aktionen beantwortet, wie auch ein Einblick in die Teils starken parallelen In den Gesetzgebungsprozessen ermöglicht. Seit 01.11.2024 ist in Deutschland das neue Selbstbestimmungsgesetz (SBGG) in Kraft, das die Änderung von Namens- und Geschlechtseinträgen für TIN* Personen erleichtern soll. Drei Tage vor der Verabschiedung des SBGG am 12.4.2024 wurde dabei das sogenannte “Offenbarungsgebot” im Tausch für die Bezahlkarte für Asylbewerbende aus dem Gesetz herausverhandelt: Insbesondere das Bundesinnenministerium wollte gern eine automatische Weiterleitung persönlicher Daten, darunter Adresse, alter und neuer Geschlechtseintrag, an elf staatliche Institutionen, darunter BKA, Verfassungsschutz, [wie heißen die nochmal richtig: Schwarzgelddezernat und illegale Waffen]. Zu den daraus resultierenden “pinken Listen” ist es nicht gekommen. Allerdings nur unter der Zusicherung, dass die entsprechende Überwachungsmaßnahme für alle Personenstandsänderungen verbindlich wird - das umfasst Eheschließungen, Adoption etc. Eine entsprechende Absichtserklärung sollte im Dezember in den Bundestag gegeben und beschlossen werden, letztlich und vermutlich aber durch das Ende der Ampel vereitelt wurde. Ob, wie und in welcher Form dieses Vorhaben weiterbesteht ist zum jetzigen Zeitpunkt unklar. Datensicherheit und TIN* Rechte überschneiden sich hier unmittelbar. TIN* Personen werden gegen die Privatsphäre aller Menschen instrumentalisiert. In diesem Beitrag wollen wir darlegen, wie es dazu gekommen ist. Wir wollen auch erörtern, was daran schlecht ist und was wir tun können. Dazu werden wir unter andere die Abschnitte und Anschlussmöglichkeiten zur Datensicherheit aus unserem selbst geschriebenen, community produzierten Selbstbestimmungsgesetz 2.0 vorstellen. Wir wollen aber auch Vorschläge zu konkreten aktivistischen Aktionen machen. Dafür brauchen wir eure Bühne - und die Tastaturen unser aller Geschwister. false Jyn Nephthys Luce deLire https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/XNB7SG/ 2024-12-27T13:50:00+01:00 13:50 https://fahrplan.events.ccc.de/congress/2024/fahrplan/media/38c3/submissions/XNB7SG/StufeIII-190224-4_kTiUlNp.jpg 00:40 Saal ZIGZAG Door 38c3-680-clay-pcb Art & Beauty Talk en We built an Ethical Hardware Kit with a PCB microcontroller made of wild clay retrieved from the forest in Austria and fired on a bonfire. Our conductive tracks use urban-mined silver and all components are re-used from old electronic devices. The microcontroller can compute different inputs and outputs and is totally open source. It is an open secret that the hardware in our smart devices contains not only plastics but also ‘conflict minerals’ such as copper and gold. Technology is not neutral. We investigate alternative hardware from locally sourced materials from a feminist perspective, to develop and speculate upon renewable practices. We call it Feminist Hardware! Feminist Hardware is developed without mining in harmful ways, in an environmentally friendly way, under fair working conditions, and is manufactured from ubiquitously available materials, without generating e-waste, with consent, love and care. We researched on fair-traded, ethical, biodegradable hardware for environmental justice, building circuits that use ancient community-centered crafts encouraging de-colonial thinking, market forces to be disobeyed, and future technologies to be imagined. Our artistic outcome is an Ethical Hardware Kit with a PCB microcontroller at its core. Our PCB is made of wild clay retrieved from the forest in Austria and fired on a bonfire. Our conductive tracks used urban-mined silver and all components are re-used from old electronic devices. The microcontroller can compute different inputs and outputs and is totally open source. false Patrícia J. Reis Stefanie Wuschitz https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/KETTLY/ 2024-12-27T14:45:00+01:00 14:45 01:00 Saal ZIGZAG Door 38c3-150-breaking-nato-radio-encryption Security Talk en We present fatal security flaws in the HALFLOOP-24 encryption algorithm, which is used by the US military and NATO. HALFLOOP-24 was meant to safeguard the automatic link establishment protocol in high frequency radio, but our research demonstrates that merely two hours of intercepted radio traffic are sufficient to recover the secret key. In the talk, we start with the fundamentals of symmetric key cryptography before going into the details of high frequency radio, HALFLOOP-24, and the foundation of our attack. High frequency (HF) radio, also known as shortwave radio, is commonly used by the military, other government agencies and industries that need highly robust long-distance communication without any external infrastructures. HF radio uses frequencies between 3 and 30 MHz. These frequencies enable skywave propagation, where the radio signals are reflected by electrically charged particles in the upper atmosphere. While this effect enables communication across very large distances, historically, it required trained and experienced operators to establish a radio link. This dependence on operators was reduced by the introduction of the automatic link establishment (ALE) protocol. In a nutshell, an ALE-enabled radio establishes a link to another radio by selecting a suitable frequency according to a propagation model and then transmitting a call frame. If the frequency is good, the other radio receives the frame and the two radios perform a handshake to set up a link. The encryption of these ALE frames is known as linking protection. It is primarily meant to protect unauthorized users from establishing links with radios in a network or interfering with established links. Additionally, encryption of ALE frames also protects the network from certain types of traffic analysis, which is the analysis of operating data such as network structure, frequencies, callsigns and schedules. The first ALE standard did not specify a cipher, but specified how to integrate a stream cipher with ALE. Later standards introduced the 56-bit key Lattice/SoDark cipher, which is now recommended to be replaced with HALFLOOP whenever possible. HALFLOOP, which is standardized in US standard [MIL-STD-188-14D](https://quicksearch.dla.mil/qsDocDetails.aspx?ident_number=67563) since 2017, is essentially a downscaled version of the Advanced Encryption Standard (AES), which effectively is the most used encryption algorithm today. While this downscaling led to many strong components in HALFLOOP, a fatal flaw in the handling of the so-called tweak enables devastating attacks. In a nutshell, by applying a technique known as differential cryptanalysis, an attacker can skip large parts of the encryption process. In turn, this makes it possible to extract the used secret key and hence enables an attacker to break the confidentiality of the ALE handshake messages and also makes an efficient denial-of-service attack possible. These attacks are described in the two research papers, [Breaking HALFLOOP-24](https://doi.org/10.46586/tosc.v2022.i3.217-238) and [Destroying HALFLOOP-24](https://doi.org/10.46586/tosc.v2023.i4.58-82). They were initiated by the presentation of the [Cryptanalysis of the SoDark Cipher](https://doi.org/10.46586/tosc.v2021.i3.36-53), the predecessor of HALFLOOP. false Lukas Stennes https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/MAUBFS/ 2024-12-27T16:00:00+01:00 16:00 https://fahrplan.events.ccc.de/congress/2024/fahrplan/media/38c3/submissions/MAUBFS/chatgpt-phuzz_mMG6NU6.png 01:00 Saal ZIGZAG Door 38c3-503-what-the-phuzz-finding-0-days-in-web-applications-with-coverage-guided-fuzzing Security Talk en PHUZZ is a framework for Coverage-Guided Fuzzing of PHP Web Applications Fuzz testing is an automated approach to vulnerability discovery. Coverage-guided fuzz testing has been extensively researched in binary applications and the domain of memory corruption vulnerabilities. However, many web vulnerability scanners still rely on black-box fuzzing (e.g., predefined sets of payloads or basic heuristics), which severely limits their vulnerability detection capabilities. In this talk, we present our academic fuzzing framework, "PHUZZ," and the challenges we faced in bringing coverage-guided fuzzing to PHP web applications. Our experiments show that PHUZZ outperforms related works and state-of-the-art vulnerability scanners in discovering seven different vulnerability classes. Additionally, we demonstrate how PHUZZ uncovered over 20 potential security issues and two 0-day vulnerabilities in a large-scale fuzzing campaign of the most popular WordPress plugins. The World Wide Web has become a fundamental part of modern society, providing crucial services such as social networks, online shopping, and other web applications. To this day, web vulnerabilities continue to be discovered, and data breaches are reported, even on high-profile websites. While several viable methods exist to detect web vulnerabilities, such as penetration tests, source code reviews, and bug bounty programs, these approaches are typically costly and time-intensive. Therefore, discovering web vulnerabilities in an automated and cost-effective fashion is desirable. One method to approach this problem is coverage-guided "fuzzing", which has been successfully used to identify memory corruption bugs in binary applications, but has seen limited application to web applications. Our academic research has resulted in an open-source prototype called "PHUZZ," which outperforms classic black-box vulnerability scanners in detecting web vulnerabilities with its fuzzing approach. This talk will first introduce the concept of coverage-guided fuzzing and the differences from black-box web fuzzing performed by vulnerability scanners. After diving into the challenges of applying coverage-guided fuzzing to web applications, we will introduce PHUZZ and explain how its approach allows the detection of a wide variety of web vulnerabilities, including SQLi, RCE, XSS, XXE, open redirection, insecure deserialization, and path traversal in PHP web applications. Our comparison of PHUZZ with state-of-the-art black-box vulnerability scanners, using a diverse set of artificial and real-world web applications containing known and unknown vulnerabilities, showed surprising results. Not only does PHUZZ outperform the other vulnerability scanners in the number of discovered vulnerabilities, but it also discovers over a dozen new potential vulnerabilities and two 0-days, which we will discuss in our talk. Finally, we will motivate the use of PHUZZ [1] and coverage-guided fuzzing methods to discover web vulnerabilities. This presentation is based on our academic publication "What All the PHUZZ Is About: A Coverage-guided Fuzzer for Finding Vulnerabilities in PHP Web Applications" [0]. [0] https://dl.acm.org/doi/10.1145/3634737.3661137 [1] https://github.com/gehaxelt/phuzz false Sebastian Neef (gehaxelt) https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/YM3UTV/ 2024-12-27T17:15:00+01:00 17:15 00:40 Saal ZIGZAG Door 38c3-178-from-fault-injection-to-rce-analyzing-a-bluetooth-tracker Security Talk en The Chipolo ONE is a Bluetooth tracker built around the Dialog (now Renesas) DA14580 chip. This talk will present the research made on this device, from extracting the firmware from the locked down chip using fault injection up to getting remote code execution over Bluetooth. The talk will also present the disclosure process and how the vendor reacted to an unpatchable vulnerability on their product. This talk will present the journey through the analysis of the Chipolo ONE Bluetooth tracker. As for lots of IoT devices, this analysis mixes both hardware and software attacks so this talk will be packed with lots of techniques that can be applied to other devices as well: - Using fault injection to bypass the debug locking mechanism on a chip that has apparently never been broken before. - Reverse engineering an unknown firmware with Ghidra, a PDF and parts of a SDK - Analyzing weak cryptographic algorithms to be able to authenticate to any device - Finding a buffer overflow and achieve code execution over Bluetooth - Disclosing an unpatchable vulnerability to the vendor false Nicolas Oberli https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/ANJUV8/ 2024-12-27T19:15:00+01:00 19:15 00:40 Saal ZIGZAG Door 38c3-410-from-silicon-to-sovereignty-how-advanced-chips-are-redefining-global-dominance Hardware & Making Talk en Recent breakthroughs in machine learning have dramatically heightened the demand for cutting-edge computing chips, driving advancements in semiconductor technologies. At the forefront of this progress is Extreme Ultraviolet (EUV) lithography—a transformative method in microchip fabrication that enables the creation of ultra-small, high-performance devices. However, the path from raw materials to these state-of-the-art chips navigates a complex global supply chain riddled with technical challenges and geopolitical tensions. As nations vie for dominance in computing power, control over this supply chain has emerged as a strategic priority, featuring prominently in a high-stakes competition with global implications. Designed for all audiences, this talk explores the critical intersection of science, technology and global affairs shaping our future. This talk centres on the advanced technical processes required to manufacture state-of-the-art computer chips, tracing the journey from raw materials to ultra-miniaturized circuits. We will explore each critical stage in this complex process, beginning with the refinement of ultrapure quartz and progressing through wafer production to the advanced lithography techniques that enable feature sizes down to just a few nanometers—all executed not merely in a laboratory but at an industrial scale that pushes the boundaries of what is technologically possible. A particular emphasis will be placed on Extreme Ultraviolet (EUV) lithography, a revolutionary technique essential for achieving these ultra-small scales. EUV lithography not only represents the core technological challenge in chip fabrication but also holds a pivotal position in the global semiconductor supply chain, placing it at the intersection of scientific innovation and international politics. The talk will address both the underlying physics and the geopolitical significance of this technology, as nations increasingly view control over semiconductor production as a strategic asset. false Thorsten Hellert https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/WADJP3/ 2024-12-27T20:15:00+01:00 20:15 https://fahrplan.events.ccc.de/congress/2024/fahrplan/media/38c3/submissions/WADJP3/SIOTCOTS_Thumb_3_mKfgvDc.jpg 00:40 Saal ZIGZAG Door 38c3-230-spatial-interrogations-or-the-color-of-the-sky Art & Beauty Talk en Modern 3D capture through Gaussian Splatting and human memory reveal parallel landscapes – where precise centers fade into probabilistic smears at the edges, and gaps hold as much meaning as detail. This is about the preservation of an ephemeral present in digital amber, an interrogation of how we reconstruct both digital and remembered spaces. In July 2023, a new method of reconstructing reality was published in a paper called "3D Gaussian Splatting for Real-Time Radiance Field Rendering." Three months later, the first apps provided this technology in their pseudo social-networks. Gaussian Splatting produces a navigable, though static, 3D reconstruction of events from video footage – but also an intriguing aesthetic. Areas of sharp details are surrounded by calculated uncertainty, creating digital spaces that inadvertently mirror how human memory operates. The talk presents a video essay of the same name, exploring this resonance between technology and memory through a crafted blend of found footage, open-source media, and AI-generated elements. By developing custom tools for VR exploration and capture, the work documents these digital spaces from within, creating a choreographed journey through both technical and remembered landscapes. It is both a technical documentation and a poetic interpretation; it’s an interrogation of an emerging technology and a meditation on how we process and reconstruct our experiences, digital and remembered alike. The lecture will focus on the technical background, as well as the artistic practices used to create the video essay. From working with virtual reality and experimenting with AI-generated content, to making decisions and non-decisions – it traces the development of a work in the parallel landscapes of emergent technology and lingering memory, of imminent nostalgia and nascent futures. false Artur Neufeld https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/7RBKND/ 2024-12-27T21:10:00+01:00 21:10 https://fahrplan.events.ccc.de/congress/2024/fahrplan/media/38c3/submissions/7RBKND/20231130_163038_25d4jkc.jpg 00:40 Saal ZIGZAG Door 38c3-137-was-macht-ein-it-systemadministrator-in-einem-alu-schmelzwerk-schafft-die-deutsche-industrie-die-digitalisierung- Ethics, Society & Politics Talk de In diesem Vortrag ziehe ich ein schonungsloses Resümee aus meinen mittlerweile fast drei Jahren in der Deutschen Industrielandschaft. Ich erzähle über katastrophale und gefühlt unüberwindbare Rückstände, über lächerlich hohe Anforderungen bei Zertifizierungen, aber auch über große Hoffnungen, Bemühungen und eine gefühlt vollständige Abwesenheit des Staats und was das bedeutet. Der Talk behandelt den Kampf eines einsamen Administrators, der alleine versucht einen fast 100 Personen starken Standort im Herzen des Potts ins 21. Jahrhundert zu führen und irgendwie sicher zu bekommen. Wir beginnen mit witzigen Anekdoten über 20 Jahre alte Server, DOS-Anwendungen, beleuchten ein wenig das fragwürdige Geschäft mit Zertifizierungen beziehungsweise Audits und landen am Ende der Reise bei der Frage, was der Gesetzgeber eigentlich tut und was das für Auswirkungen hat. Es ist ein kleiner Appell und Handlungsleitfaden an alle Administratoren in der Privatwirtschaft, wie sie dem Vorstand und ihren Chefs einen verantwortungsbewussteren Umgang mit Datenschutz und Datensicherheit vermitteln können. Es liegt jetzt an uns (den nachkommenden Generationen), Verantwortung zu übernehmen und diese digitale Welt sicher für alle zu gestalten. Denn der Vortragende geht davon aus, dass wir in den nächsten Jahren viele Firmen verlieren werden, weil sie schlicht und ergreifend den Anschluss verpassen. false Johannes Bernstein https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/TEAHVC/ 2024-12-27T22:05:00+01:00 22:05 https://fahrplan.events.ccc.de/congress/2024/fahrplan/media/38c3/submissions/TEAHVC/IMAG0015_cxP9iRb.JPG 00:40 Saal ZIGZAG Door 38c3-652-wie-wird-gleich- Art & Beauty Talk de Welchen Einfluss hat die Form der Dinge? Wie wirken wir durch die Gestaltung unseren kulturellen Praxen, Architekturen, Sprachen und Strukturen auf uns und die uns umgebende Zukunft ein? Und warum findet sich in zeitgenössischer Design Theorie ein Verb wie *Futuring*? Basierend auf der Annahme, dass alles mit allem zusammen hängt und ein gemeinsames Interesse besteht, die gesamte Scheiße zum Guten zu wenden, lade ich dazu ein, anhand von Praxisbeispielen aus meiner künstlerischer Forschung und einfachen Live-Experimenten, zu erfahren, wie wir alle Welt gestalten. Und wie wir aus diesem Beteiligt sein Mut ziehen können, einer lebenswerten Zukunft für alle näher zu kommen. false kathia https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/39HFD9/ 2024-12-27T23:00:00+01:00 23:00 01:00 Saal ZIGZAG Door 38c3-625-hacking-the-rp2350 Security Talk en Raspberry Pi's RP2350 microcontroller introduced a multitude of new hardware security features over the RP2040, and included a Hacking Challenge which began at DEF CON to encourage researchers to find bugs. The challenge has been defeated and the chip is indeed vulnerable (in at least one way). This talk will cover the process of discovering this vulnerability, the method of exploiting it, and avenues for deducing more about the relevant low-level hardware behavior. The RP2350 security architecture involves several interconnected mechanisms which together provide authentication of code running on the chip, protected one-time-programmable storage, fine-grained control of debug features, and so on. An antifuse-based OTP memory serves as the root of trust of the system, and informs the configuration of ARM TrustZone as well as additional attack mitigations such as glitch detectors. Raspberry Pi even constructs an impressive, bespoke Redundancy Coprocessor (RCP), which hardens execution of boot ROM code on the Cortex-M33 cores with stack protection, data validation, and instruction latency randomization. Since there are many potential incorrect guesses to be made about where problems might lie, here I begin with the most fundamental features of the chip logic, including the reset process. Even small oversights at this level can entirely defeat sophisticated security efforts if higher-level mechanisms place complete trust in seemingly simple hardware operations. I show how cursory research into the design details of IP blocks used in the SoC can help inform an attack, and demonstrate the importance of fully testing new features which are built atop older IP. Ultimately, the significant amount of luck (or lack thereof) involved is a reminder of the need to meticulously understand and validate complex systems. false Aedan Cullen https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/TPGRNN/ 2024-12-28T00:15:00+01:00 00:15 https://fahrplan.events.ccc.de/congress/2024/fahrplan/media/38c3/submissions/TPGRNN/Screenshot_from_2024-10-19_17-05-41_OmPkGCO.png 00:40 Saal ZIGZAG Door 38c3-42-a-competitive-time-trial-ai-for-need-for-speed-most-wanted-using-deep-reinforcement-learning Hardware & Making Talk en All challenges and achievements in creating a competitive time-trial AI in NFS:MW. 15 years ago, at the height of my eSports career, I uploaded an (unofficial) ESL record at Need for Speed: Most Wanted (2005) (NFS:MW) to Youtube. In the meantime Deep Reinforcement Learning became popular and ever since I have dreamt of creating a competitive AI for my favorite racing game of all time: NFS:MW. Now finally the time was right: The hardware is fast enough, good software is available, and Sony's AI research has proven the task is actually doable. Hence I thought: "How hard can it possibly be?". This talk will present in detail all challenges and achievements in creating a competitive time-trial AI in NFS:MW from scratch - including but not limited to - hacking of the game to create a custom API, building a custom (real-time) OpenAI gym environment, steering the game using a virtual controller, and finally successfully training an AI using the Soft-Actor-Critic algorithm. All code including the API is written in Python and is open source. false Sebastian "Schw4rz" Schwarz https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/QSC7YF/ 2024-12-27T11:00:00+01:00 11:00 https://fahrplan.events.ccc.de/congress/2024/fahrplan/media/38c3/submissions/QSC7YF/text_o_1iuq1Lj.png 00:40 Saal GLITCH Door 38c3-66-libobscura-cameras-are-difficult Hardware & Making Talk en I'm not big-brained enough to use cameras on Linux, so I decided to write my own camera stack (based on a real story). The libobscura experiment exists to find out what a point-and-shoot API abstracting Video4Linux should look like. It has its roots on one hand in the Librem 5 project, where I wrote some 70% of the camera stack, and on the other hand in libcamera, which I found too difficult to use. You think controlling a modern camera is easy? Think again. Between pixel formats, depths, media entities, pads and links, sensitivity, denoising, phase detection, shutter lengths, DMAbuf, OpenGL, feedback loops, requests, and statistics, there's enough opportunities to get lost in the detail. Thankfully, Prototype Fund thinks I'm up for the challenge, so they are funding me through libobscura in order to get lost, and maybe find something in the process. Project repo: https://codeberg.org/libobscura/libobscura false DorotaC https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/RUBQ88/ 2024-12-27T12:00:00+01:00 12:00 00:40 Saal GLITCH Door 38c3-543-ace-up-the-sleeve-hacking-into-apple-s-new-usb-c-controller Security Talk en With the iPhone 15 & iPhone 15 Pro, Apple switched their iPhone to USB-C and introduced a new USB-C controller: The ACE3, a powerful, very custom, TI manufactured chip. But the ACE3 does more than just handle USB power delivery: It's a full microcontroller running a full USB stack connected to some of the internal busses of the device, and is responsible for providing access to JTAG of the application processor, the internal SPMI bus, etc. We start by investigating the previous variant of the ACE3: The ACE2. It's based on a known chip, and using a combination of a hardware vulnerability in MacBooks and a custom macOS kernel module we managed to persistently backdoor it - even surviving full-system restores. On the ACE3 however, Apple upped their game: Firmware updates are personalized to the device, debug interfaces seem to be disabled, and the external flash is validated and does not contain all the firmware. However using a combination of reverse-engineering, RF side-channel analysis and electro-magnetic fault-injection it was possible to gain code-execution on the ACE3 - allowing dumping of the ROM, and analysis of the functionality. This talk will show how to use a combination of hardware, firmware, reverse-engineering, side-channel analysis and fault-injection to gain code-execution on a completely custom chip, enabling further security research on an under-explored but security relevant part of Apple devices. It will also demonstrate attacks on the predecessor of the ACE3. The Lightning and USB-C ports on Apple devices have been well known to "hide" secrets beyond just exposing USB and charging functionality: For example last year at CCC, we showed how we can gain access to JTAG on the iPhone 15 using a custom-build PCB ("Tamarin-C"). All this is handled on new Apple devices using a chip called the ACE3: While previous Apple USB-C devices used a slightly modified Texas Instruments TPS65986, the ACE3 is significantly more custom - and significantly more powerful: It runs a full USB stack (implementing the "Port DFU" mode) and is connected to different internal busses of the phone, making it an interesting target for persistent firmware-implant style attacks. Imagine modifying/backdooring the USB-C controller in a way where it will automatically compromise the main operating-system - essentially making (potential) USB jailbreaks untethered. But how do we approach a custom chip without any documentation and which has its firmware in an internal ROM? With the ACE2 it was possible to dump the integrated ROM using JTAG/SWD, which allowed us to identify & exploit a hardware (on all MacBooks except the M3 Pro & Max) vulnerability to persistently modify the ACE2. However the ACE3 is different: We don't even have a pinout for the chip (which has 120 pins), JTAG seems disabled, and the external flash does not even contain the actual firmware, but only tiny patches for the actual firmware in the chip - and the contents are cryptographically validated! After attempting different software avenues of attacking the ACE3 (including building a small fuzzer and finding a timing side-channel attack to enumerate available commands) with no success, and seeing that the ACE3 implements firmware personalization, it was time for the ace up the sleeve: Hardware attacks. After reverse-engineering the external flash layout (including CRCs) and finding that the flash is cryptographically verified (and that a secure-boot bypass vulnerability we found on the ACE2 does not work on the ACE3), the idea was born to use electro-magnetic measurements to determine when during the startup of the chip the validation fails. And by triggering a software-defined radio on the activity of the external flash, it was possible to gather a very precise point in time where the check is being done - perfect to try some fault injection! Unfortunately no good isolated power-supply for the ACE3 could be found to use with voltage fault injection, and so instead I decided to try electro-magnetic fault injection: By "blasting" the chip with strong electro-magnetic fields at just the point in time determined during the EM measurement I was hoping to be able to bypass the check - and after hours of trying, debugging, moving the injection tip, more debugging, and more time, it eventually succeeded: A modified patchset could be booted into the CPU. But … How do we make sure our "patch" actually gets executed? How do we dump the ROM without having any IO? And how do we even know what (in the 32-bit address space of the processor) we should dump? And can we implement the attack without thousands of dollars of hardware? We will look at all of these things during the talk. Itemized progression draft: - Introduction - whoami - History of Lightning/USB-C secrets on Apple devices - A quick look at ACE2 - Technical details & usage - Dumping the ACE2 - Analyzing the MacBook hardware - Building a kernel-level SWD probe to hack the ACE2 without opening the device - Disabling the secure-update functionality of the ACE3 - The ACE3 - iPhone 15 vs iPhone 16 vs MacBook with M3 Pro/Max - No matching Texas Instruments chip, no public documentation, no schematics - Software exploration - Apple's HPM bus - Discovering a timing-sidechannel for supported commands - Hardware exploration - Trying to find SWD (with which I think I succeeded - however it seems to be disabled) - Dumping the external flash - Flash exploration - No full firmware, just patches - Some CRCs found, but also firmware personalization (IM4M) - Seems to be cryptographically verified - Attempting to flash modified dumps (with fixed CRCs) unsuccessfully - Electro-magnetic measurement - Setup: HackRF + small inductor as antenna - Building a reliable Trigger signal for the SDR: Flash chip-select line - Compare when the chip-boot fails with correct and invalid CRCs in the flash - Identified point in time where the boot seems to abort (Screenshots for this can be found in the attachments) - Fault injection - Quick primer: Voltage FI vs EMFI - Setup: ChipSHOUTER on MacBook, ChipWhisperer Husky for trigger-generation, software to reboot the chip & arm the glitcher - Experimenting to determine correct parameters by attempting to fail the boot with correct firmware - The actual attack - Flash modified patchset (Changed version-string) - Reboot chip - Glitch chip at the right time - Test for success, repeat - Success - but what now? - Getting actual code-execution through the attack by overwriting a patched command - Using HPM bus to execute the command and dump 64 bytes at a time - A look at the dumped firmware - Reducing the attack-costs: Performing the attack with <$100 of equipment - How could this have been prevented? - What's next? false stacksmashing https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/7L7TBY/ 2024-12-27T12:55:00+01:00 12:55 00:40 Saal GLITCH Door 38c3-372-transparency-not-from-the-european-commission Ethics, Society & Politics Talk en The European Commission is the executive branch of the European Union with the duty to uphold the law. The transparency of the Commission´s actions and decisions range from questionable to abysmal. Attempts by the public to access information are often thwarted. This talk will cover the Commission´s lack of transparency, challenges faced by the public in accessing information, Commission´s tactics and examples of the European Ombudsman´s interventions to improve the situation. Whether you are interested in ChatControl, AI or public procurement, this talk will have you covered. ~~Redacted~~ false Kris Shrishak https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/7KYFDQ/ 2024-12-27T13:50:00+01:00 13:50 00:40 Saal GLITCH Door 38c3-418-life-in-the-lager-how-it-is-how-to-support Ethics, Society & Politics Talk de Was ist ein Lager und warum ist es so schrecklich und unmenschlich? Wir werden einen Überblick über betroffene Perspektiven mit Selbst­erfahrungen geben, wie man in Lagern (Wohnheimen, EAE) lebt. Wir geben einen Überblick über die rassistische Bezahlkarte, sowie die Einschränkung der Freiheit wie schwer ist und über das Leben von Jugendliche in Lagern. Was machen wir? Wie können wir unterstützen und worauf sollte man achten? Wir sind eine selbstorganisierte Initiative von Migrantinnen mit Fluchterfahrung, die in Ostdeutschland Rassismus im Alltag erlebt haben. Wir wollen ihre Lebenssituation sichtbarer machen und langfristig mehr gesellschaftliche Solidarität erreichen. In dieser Präsentation sprechen wir über das harte Leben in den Lagern und ländlichen Regionen, über den alltäglichen Rassismus in Behörden, am Arbeitsplatz …, Wir werden auch über die Bezahlkarte und Essensscheine sprechen, basierend auf unseren eigenen Erfahrungen. Diese Maßnahmen sind nicht nur rassistisch, sie entmenschlichen die Betroffenen – besonders Jugendliche. Sie verletzen ihre Würde, Wir geben auch Beispiele, wie jeder von euch konkret unterstützen und Solidarität zeigen kann. false Hafid Shaaib https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/8MSZTT/ 2024-12-27T14:45:00+01:00 14:45 01:00 Saal GLITCH Door 38c3-191-demystifying-common-microcontroller-debug-protocols Hardware & Making Talk en Many developers know that the answer to "How do I debug this microcontroller" is either "JTAG" or "SWD". But what does that mean, exactly? How do you get from "Wiggling wires" to "Programming a chip" and "Halting on breakpoints"? This talk will cover how common debug protocols work starting from signals on physical wires, cover common mechanisms for managing embedded processors, and ending up at talking to various common microcontrollers. Embedded programming is the art of shrinking complex programs in tiny packages by throwing away unnecessary features. With modern microcontrollers, debugging need not be one of the features thrown away. Most modern chips include some form of low-level access, but the technical details aren't widely understood. Many users of embedded firmware will use their preferred debugger without thinking too hard about what's going on underneath. We'll start by covering what it means to debug embedded software. The primitives required to have an interactive debug session are surprisingly minimal. From this, we'll build up a list of requirements and "nice to haves" to make a debugging environment comfortable, and reference existing "bespoke" debug approaches. We'll cover several examples of debug engines ranging from cores designed to go into FPGAs to tiny 8-bit microcontrollers. Next, we'll take a step back and describe the common lower-level protocols such as JTAG and SWD. These describe physical signals that go between the host and the target. We'll compare various protocols and see how they map onto the higher-level primitives discussed earlier. Armed with examples, we'll see how the protocol stack is formed. Next, we'll use the knowledge of low-level protocol implementations and the requirements for debugging to look at common abstractions on top of physical transports to implement core control. This will bridge the gap between "JTAG or SWD are the protocol" to "Poking a value in memory on a microcontroller". In this section, we'll cover the more common and generic uses such as Arm's ADI and the RISC-V DMI and see how complex and cross-target configurations are built to be rigid enough to have rich debug features while flexible enough to handle a wide range of processor configurations. Finally, we'll cover common tasks such as programming flash memory, watchpoints, and single-step debugging -- things that we take for granted in the desktop world and would like to have when programming for a potato that costs less than an actual potato. false Sean "xobs" Cross https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/KNG7P3/ 2024-12-27T16:00:00+01:00 16:00 01:00 Saal GLITCH Door 38c3-360-als-die-kommentarspalten-brannten-11-monate-einsatz-in-gaza Ethics, Society & Politics Talk de Der Krieg in Gaza als Reaktion auf die Terrorattacke vom 7. Oktober läuft mittlerweile über ein Jahr. Cadus ist seit Februar diesen Jahres in Gaza im Einsatz. Auch seit Februar diesen Jahres teilen wir wie so viele andere die Erfahrung, das vor dem Hintergrund unseres Einsatzes fernab von Gaza sich leidenschaftlich „politisch“ auseinandergesetzt wird. Nicht ÜBER unseren Einsatz wohlgemerkt, sondern darüber, ob wir jetzt die eine oder andere Seite genug verurteilen würden für die Art und Weise wie der Krieg geführt wird. In unserem Talk „Als die Kommentarspalten brannten – 11 Monate Einsatz in Gaza“ sprechen wir über die Herausforderungen, die unseren Einsatz tatsächlich begleiten. Cadus ist seit Februar 2024 in Gaza im Einsatz. Unsere Arbeit dort umfasst die Stabilisierung schwerstverletzter Zivilist*innen, medical evacuations und Unterstützung/medizinische Absicherung der Einsätze des United Nations Mine Action Service. Dieser Einsatz ist in Bezug auf die Herausfoderungen auf vielen Ebenen noch einmal deutlich anspruchsvoller als das, was wir als CADUS aus anderen Kriegsgebieten gewohnt sind. Seit Februar haben wir mehr als 3500 schwerstverletzte Patient*innen behandelt und mehrere hundert Menschen innerhalb Gazas und aus Gaza heraus evakuiert. Wir beleuchten unseren Katastrophenhilfe-Einsatz aus drei unterschiedlichen Blickwinkeln. Sebastian wird über die logistischen und administrativen Herausforderungen unseres Einsatzes reden. Wie geht das, in einem der aktuell gefährlichsten Kriegsgebiete einen Hilfseinsatz zu starten und am laufen zu halten? Vor allem unter Berücksichtigung der bestehenden umfassenden Embargos und der Behinderungen humanitärer Hilfe Anna-Lea berichtet darüber, wie wir unsere Teams auf den Einsatz vorbereiten, wie wir versuchen sie während des Einsatzes zu unterstützen, und wie ein Nachsorgeangebot aussehen kann (und muss) für Leute die freiwillig in so einen Einsatz gehen. Mit Nic Zemke hatten wir passend zum 38c3 einen echten Nerd im Einsatz, der darüber sprechen wird wie derzeit Hilfsorganisationen und Vereinte Nationen KML-Files mit überlebenswichtigen Informationen über WhatsApp hin und her schicken und wie wir ein für die Seenotrettung entwickeltes Geoinformationssystem in kürzester Zeit so umgebaut haben, dass die Koordination von Hilfseinsätzen bald hoffentlich weniger Fehleranfällig läuft. false Sebastian Jünemann Anna-Lea Göhl Nic Zemke https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/BMDSF7/ 2024-12-27T17:15:00+01:00 17:15 https://fahrplan.events.ccc.de/congress/2024/fahrplan/media/38c3/submissions/BMDSF7/Manolis_Surligas_Manthos_Papamatthaioumanthos_and_Paul_Koetter_a_2CrKxyz.jpg 01:00 Saal GLITCH Door 38c3-462-an-open-source-guide-to-the-galaxy-our-journey-with-ariane-6 Hardware & Making Talk en The 530 tons and 63 meter tall Ariane 6 rocket finally launched on July 9th 2024 carrying our open-source developed payloads – the SIDLOC experiment and the satellite Curium One – into space. SIDLOC tested a new, open, low-power standard for identifying and precisely locating spacecraft whilst our satellite Curium One established an open-source baseline for larger CubeSat systems and allowed us to test a bunch of new technologies. From sourcing a launch opportunity to the final integration onto the rocket at the spaceport in French Guiana we tell you about our biggest challenges and exceptional experiences of this adventure. In this talk members of the Libre Space Foundation will take you on the journey of a rocket's payload: beginning with how the SIDLOC experiment and the satellite Curium One were developed, integrated and finally launched on the Ariane 6 maiden flight into space. 1. **SIDLOC** (Spacecraft Identification and Localization): Developed in collaboration with ESA, SIDLOC aims to improve space safety and mission success rate by establishing an open beaconing standard for spacecraft identification and localization. SIDLOC uses a low power beacon that utilizes the Spread Spectrum modulation and the cross-correlation properties of the Gold sequences, ensuring proper operation in extremely low SNR environments and identification of the transmitting space object. In addition, SIDLOC can provide localization and orbit determination, utilizing the Doppler frequency offset estimation mechanism that it implements. To achieve that, the open and crowd-sourced SatNOGS network is used, contributing to an independent source of orbital elements and spacecraft identifications, disrupting the existing model. The SIDLOC protocol has been implemented in such a way, so it is easy to integrate to a space object, regardless of its size, with minimal effort. 2. **Curium One**: The satellite Curium One is designed to establish an open-source framework for satellite systems. It features 15 newly designed open-hardware PCBs. From solar generators to the on board computer and high frequency communication boards everything was designed, tested and qualified by the community with the help of Planetary Transportation Systems. Its first signal acquisition was performed by the formerly world's largest radio telescope built in 1956 – the 25m diameter Dwingeloo Radio Observatory. We want to tell you about the development and implementation of the core technologies, the biggest challenges we faced during the missions, and the wild jungle experiences at the spaceport in Kourou. We aim to provide an overview of how open-source principles are being applied in space exploration and the benefits and problems of this approach within the space industry. false Manthos Papamatthaiou Paul Koetter https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/XCLUY7/ 2024-12-27T19:15:00+01:00 19:15 https://fahrplan.events.ccc.de/congress/2024/fahrplan/media/38c3/submissions/XCLUY7/IMG_4788_mIwV6rg.jpg 00:40 Saal GLITCH Door 38c3-722-dead-man-s-switch-an-art-shield-to-protect-the-life-of-julian-assange Art & Beauty Talk en Artist Andrei Molodkin held $45million of art hostage to free Julian Assange. He vowed to dissolve Picasso, Rembrandt, Warhol and other masterpieces in acid using a dead man’s switch device inside a 29-tonne Grade 5 Safe Room if Julian Assange was to die in prison. The talk will explain the process and methodology. Dead Man’s Switch is an art shield. It is not a human shield: that is what terrorists produce. Dead Man’s Switch, on the contrary, is a tool for negotiation. “Taking hostage” is one of the most common languages used by the power structure. In his artistic career, Andrei Molodkin, developed the method of mirroring the language of power within the formal parameters of Political Minimalism. In the case of the Dead Man’s Switch, the Medusa Gorgon mirror used to hit the power structure has been done by taking hostage the most important of capitalistic symbols, its icons and values. In this catastrophic time, to destroy art is much more taboo than to destroy the life of a person. Arianna Mondin, applied Interpol’s criminal investigation method to the field of architecture in her PhD to unveil the connection between architecture and oil. She used this method in the development strategy of Dead Man’s Switch. The talk will focus on the process of realizing the Dead Man’s Switch to mirror the language of power to release Julian Assange from prison. In particular, it will clarify the operation to involve artists and collectors in participating by donating their artworks to secure the survival of the most consequential political prisoner of our times. The project involved also specialists in security, negotiation, hardware and software, all together organised in a system aimed at reprogramming the power structure. The talk will conclude by explaining the technical details, software and hardware, and the conceptualisation of the counter as a method of escalation and resetting the system. false Andrei Molodkin Arianna Mondin https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/QR7CRG/ 2024-12-27T20:15:00+01:00 20:15 00:40 Saal GLITCH Door 38c3-528-eu-s-digital-identity-systems-reality-check-and-techniques-for-better-privacy Security Talk en Digital identity solutions, such as proposed through the EU's eIDAS regulation, are reshaping the way users authenticate online. In this talk, we will review the currently proposed technical designs, the impact such systems will have, and provide an outlook on how techniques from modern cryptography can help to improve security and privacy. Digital Identity solutions are on the rise all around the world. In particular the European Union is establishing a range of ambitious proposals like eIDAS to establish a general purpose platform for identification, authentication and transfer of personal data that will be used by eGovernment, logging into Facebook, public transport, eCommerce and doctor visits. With the Digital Euro, the EU Digital Travel App, Age Verification Apps and many other proposals we can see the scary trajectory the EU is headed towards. This talk provides a critical reality check about the underlying technology, the impact these systems will have on our privacy on a daily basis and what security (hell) we can expect. The talk will also give an overview of the proposed technical eIDAS architecture, and the [Cryptographers' Feedback on the EU Digital Identity’s ARF](https://github.com/eu-digital-identity-wallet/eudi-doc-architecture-and-reference-framework/issues/200). We will also provide a brief introduction into zero-knowledge proofs, the security and privacy properties they can provide for Digital Identities, and what is missing to bring these technologies into reality. Thomas Lohninger has worked for the digital rights NGO epicenter.works to advocate for [strong privacy in the eIDAS law](https://epicenter.works/en/thema/eid-digital-public-infrastructures) on EU level. He is a member of the [Ad-Hoc Technical Advisory Group of the EU-Commission on eIDAS Wallet](https://epicenter.works/en/content/nda-of-the-ad-hoc-technical-advisory-group-of-the-eu-commission-on-eidas-wallet) and the only civil society Jury member of the SPRIND Funke on [EUDI WALLET Prototypes](https://epicenter.works/en/content/germany-eidas-wallet-jury-agreement-nda) of the German government. Anja Lehmann is a professor for cryptography at the Hasso-Plattner-Institute, University of Potsdam, with a focus on developing privacy-enhancing technologies, in particular enabling privacy-preserving authentication. She is a Jury member of the SPRIND Funke on [EUDI WALLET Prototypes](https://www.sprind.org/impulse/challenges/eudi-wallet-prototypes#anchor-jury) and also supports the SPRIND EUDI project on the integration of zero-knowledge proofs since October 2024. false Anja Lehmann Thomas Lohninger https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/WFEH8C/ 2024-12-27T21:10:00+01:00 21:10 00:40 Saal GLITCH Door 38c3-691-how-to-spec-fun-with-dinosaurs Art & Beauty Talk en The public image of dinosaurs is largely shaped by art. While paleontology is a dynamic and productive science, it is primarily through paleoart that our perception of prehistoric life takes form. By combining informed speculation with a deep understanding of anatomy, ecology, and geology, paleoartists continuously reimagine extinct organisms in innovative ways. The public image of dinosaurs is largely shaped by art. While paleontology is a dynamic and productive science, it is primarily through paleoart that our perception of prehistoric life takes form. This tradition of science informed art form, rooted in a 200-year history, finds its inspiration in the fossil record and the interpretations it offers. The gaps in our knowledge are as influential as the fossils themselves. Through informed speculation and a fundamental understanding of anatomy, ecology and geology a paleoartist is able to bring back extinct organisms in ever new ways. false Joschua Knüppe https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/CMQST8/ 2024-12-27T22:05:00+01:00 22:05 00:40 Saal GLITCH Door 38c3-492-proprietary-silicon-ics-and-dubious-marketing-claims-let-s-fight-those-with-a-microscope- Hardware & Making Talk en Custom silicon chips are black boxes that hold many secrets, like internal ROMs, security features and audio DSP algorithms. How does one start reverse engineer them? Let's look at the basics of silicon reverse engineering, what gate array chips are, and how some tooling can generate Verilog code automatically from a die shot. A digital synthesizer from 1986 was completely shrouded in mystery and dubious marketing claims. Being that old, eventually every working unit will break, leaving us with the no info about its inner workings. I could not accept this, so I decided to get into silicon reverse engineering. By dissolving its undocumented custom chips into acid and looking at them through a microscope, I was able to get an understanding of what was going on internally, to be able to preserve it and emulate it in the future. This is possible because lot of custom silicon chips from that era (80s and 90s) are of the "gate array" type: a grid-like structure that contains thousands of digital logic gates. By looking at them closely we can understand what those gates do, and by following the wiring between them we can reconstruct the entire system. This method allowed people to understand and recreate perfect emulations of arcade games, sound chips, security ICs and more. In this talk I want to tell my journey into silicon reverse engineering from my perspective of a complete beginner and software guy, and what I learned in the process. I will go through the different kinds of custom chips, how they look under a microscope, their different parts, what can be easily reverse engineered and what can not. Those chips do not only contain logic, but also RAM and ROM parts, and knowing how to identify them can give clues when looking at the logic is too complicated. Sometimes a chip can be completely understood even without knowing that a MOSFET is. I will also cover the process I used for reverse engineer them, some techniques that worked and some that didn't, and some tools I built to automatically extract mask ROMs and generate Verilog code from die shots. false giulioz https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/P9WRAY/ 2024-12-27T23:00:00+01:00 23:00 01:00 Saal GLITCH Door 38c3-39-iris-non-destructive-inspection-of-silicon Hardware & Making Talk en IRIS (Infra-Red, *in situ*) is a technique for non-destructively inspecting the construction of a select but common type of chip. It can improve visibility into our hardware and provide supporting evidence of its correct construction, without desoldering chips or expensive analytical gear. This talk covers the theory behind IRIS, as well as some embodiments of the technique. I will also frame the relevance of IRIS in the face of various threat scenarios. Time permitting, I’ll also show how you can do it at home by peeking around a few chips as a demo. Do we really know what chips are inside our devices? To a first order, the answer is “no”. We can read the label printed on the chip's package, but most of us have no way to determine if the silicon actually matches what’s on the label. This lack of transparency has lead to much hand-wringing about the safety of our global supply chains, as chips zig-zag the globe on their way to our doorstep: each stop is an opportunity for bad actors to inject malicious hardware, and those of us without access to million-dollar analytical gear have no way of detecting this. IRIS (Infra-Red, *in situ*) is a technique I have been developing that aims to democratize the inspection of silicon. It turns out that for a select but fairly common type of chip - those in chip-scale packages - a simple modification to an off the shelf microscope camera can enable the visualization of micron-scale features within – without requiring any nasty chemicals or desoldering chips. I will also show how the basic everyday technique can be combined with a Jubilee 3D motion platform to create detailed, full-chip images. This talk will cover the basic theory behind the technique, and frame it in the context of several hypothetical threat scenarios that highlight its strengths and limitations. It is important to understand that IRIS is not a panacea for chip verification, but it is a significant step forward in improving transparency. I will also discuss its potential as a new tool for system designers who are serious about enabling user-level hardware verification. Finally, time permitting and equipment cooperating, I would like to share the simple pleasure of being able to take a peek inside the chips of some common mobile phone motherboards with a live demo. false Andrew 'bunnie' Huang https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/JKACDE/ 2024-12-28T00:15:00+01:00 00:15 https://fahrplan.events.ccc.de/congress/2024/fahrplan/media/38c3/submissions/JKACDE/cedb4a431bad1b87_tDPbPbg.png 00:40 Saal GLITCH Door 38c3-260-blmba-behind-the-scenes-of-a-2000s-style-ringtone-provider Art & Beauty Talk en A Deep Dive into WAP, SMS, monophonic ringtones and 1-bit graphics. A key part of early 2000s advertisements were hyperactive frogs and annoying crocodiles trying to lure people into subscribing to overpriced ringtones and silly graphics for their mobile phones. Apart from shady business practices -- how exactly do you send pictures and ringtones to vintage GSM mobile phones (most of which don't even support TCP/IP)? In our quest to learn more, we stumbled across WAP-Push, User Data Headers, Concatenated SMS, SMPP, User Agent Profiles and many more forgotten technologies. To put all this knowledge to good use, we built Blåmba -- a Chaos ringtone provider, clearly inspired by the (now long defunct) historic ones. Then at Chaos Communication Camp 2023 with the C3GSM network, we had the first public instalment of Blåmba. The Chaos community uploaded lovely artwork and new ringtones, sent patches for the software, and had a fun time reviving their old Nokia phones. This talk will tell the story behind Blåmba, explain how ringtones (and more) made their way onto your phone, what a WAP gateway did, and what other cool tricks mobile phones could do (if you had the money to pay for GPRS traffic 20 years ago). false Manawyrm https://cfp.cccv.de/38c3-community-stages/talk/8QZKGS/ 2024-12-27T12:15:00+01:00 12:15 01:00 Stage HUFF Door 38c3-community-stages-690-sixos-a-nix-os-without-systemd Open Source & Platform Decay Talk 60 (45min +15 Q&A) en This talk announces the first public release of sixos, a two year project to create a nixpkgs-based operating system using skarnet's s6 supervisor instead of systemd. The monolithic design of `systemd` is inconsistent with the UNIX userspace philosophy. Its our-way-or-fork-off policy attracts influence-seekers, and thereby encourages *platform decay* within the free software ecosystem. Systemd's failure to provide Linux-grade ABI stability („we don't break userspace“) creates a large and tempting attack surface for *enshittification*. This talk announces the first public release of [sixos](https://codeberg.org/amjoseph/sixos), a two year project to create a nixpkgs-based operating system using [skarnet](https://skarnet.org/software/)'s [`s6`](https://skarnet.org/software/s6/) instead of `systemd`. Sixos replaces NixOS modules with the simpler [`infuse`](https://codeberg.org/amjoseph/infuse.nix) combinator. This allows sixos to treat services the same way nixpkgs handles packages: - A service (`svcs/by-name/.../service.nix`) in sixos is a Nix expression, just like an uninstantiated package (`pkgs/by-name/.../package.nix`) in nixpkgs. - A sixos target is a derivation, just like an instantiated package in nixpkgs. - The sixos target set (`targets`) is a scoped fixpoint, just like the nixpkgs instantiated-package set (`pkgs`). - The `override`, `callPackage`, and `overrideAttrs` tools work on targets and services, just like they do on instantiated and uninstantiated packages. Whenever possible, sixos retains good ideas pioneered by NixOS, like atomically-activated immutable configurations and the layout of `/run`. Sixos is not a fork of NixOS. It shares no code with `nixpkgs/nixos`, nor is any part of it derived from NixOS. Sixos and NixOS both depend on `nixpkgs/pkgs`. On [ownerboot](https://codeberg.org/amjoseph/ownerboot) hardware all [mutable firmware](https://codeberg.org/amjoseph/ownerboot/src/branch/master/doc/owner-controlled.md#clarifications) -- all the way back to the reset vector -- is versioned, managed, and built as part of the sixos configuration. This *eliminates the artificial distinction between firmware software and non-firmware software*. On NixOS, either the initrd „secrets“ or the software that decrypts them ([ESP](https://en.wikipedia.org/wiki/EFI_system_partition), [initrd ssh keys](https://github.com/NixOS/nixpkgs/blob/6b88838224de5b86f449e9d01755eae4efe4a1e4/nixos/modules/system/boot/initrd-ssh.nix#L73-L76)) is stored unencrypted on writable media. Ownerbooted sixos closes this loophole without any „trusted computing“ voodoo, eliminating all unencrypted storage except for an eeprom whose hardware write-protect pin is connected to ground. The speaker runs ownerbooted sixos on his workstations, servers, twelve routers, stockpile of disposable laptops, and on his company's 24-server/768-core buildfarm. So far all of his attempts to run sixos on his snowboard have failed. false Adam Joseph https://cfp.cccv.de/38c3-community-stages/talk/VDLGBQ/ 2024-12-27T13:30:00+01:00 13:30 01:00 Stage HUFF Door 38c3-community-stages-765-ctf-wtf-capture-the-flag-fr-einsteiger Entry-Level & Education Talk 60 (45min +15 Q&A) en Capture The Flag (CTF) für Einsteiger: Wie man legal "hacken" ueben kann, warum man das tun sollte und wo man anfaengt. "Hacken" ist längst nicht mehr nur Hobby. WTF? CTF! Was ist ein "Capture The Flag", wie passt das in die aktuelle Menge aus Security Buzzwords, welchen Nutzen kann ich daraus ziehen und wie fange ich an? Es werden ein paar einfache Plattformen und Veranstaltungen zum starten und üben gezeigt. Dem folgen Spielarten, Wege "hacken" zu lernen, und ein Ausblick auf berufliche Möglichkeiten. Der Vortrag richtet sich an Einsteiger die neue Herausforderungen suchen und ihr Wissen um IT-Sicherheit vertiefen wollen. false Hubert 'hubertf' Feyrer https://cfp.cccv.de/38c3-community-stages/talk/RE7TLR/ 2024-12-27T14:30:00+01:00 14:30 00:55 Stage HUFF Door 38c3-community-stages-713-read-delete Entertainment Talk 60 (45min +15 Q&A) de Das Duo 'read & delete' präsentiert radikale philosophische Texte mit musikalischer Begleitung ... false Elektra https://cfp.cccv.de/38c3-community-stages/talk/8PCNSP/ 2024-12-27T16:00:00+01:00 16:00 01:00 Stage HUFF Door 38c3-community-stages-723-reverse-engineering-u-boot-for-fun-and-profit Hack, Make & Break Talk 60 (45min +15 Q&A) en A field guide to dumping and reverse engineering a bare-metal U-Boot binary, including all the good stuff like funky hardware setups, UART logs, a locked bootloader and unknown base addresses. Working on hacking a babyphone and encountering a locked bootloader, we were faced with a major roadblock. So, naturally, we bashed our head against said problem for 2 weeks, coming out the other side with a few fun challenges, solutions and tid-bits. I want to recreate this experience here in this talk, by doing the whole process all over again, but this time live, in front of an audience. Includes: - getting serial logs - dumping firmware - extracting firmware - reverse engineering the U-Boot bootloader, to extract the bootloader password together with some tips, tricks and snark remarks. false zeno https://cfp.cccv.de/38c3-community-stages/talk/TSNJHG/ 2024-12-27T17:15:00+01:00 17:15 https://cfp.cccv.de/media/38c3-community-stages/submissions/TSNJHG/P4180048_6s6W9OR.JPG 01:00 Stage HUFF Door 38c3-community-stages-780-was-tun-gegen-den-rechtsruck-in-ostdeutschland-solidaritt-das-netzwerk-polylux-stellt-sich-vor- Diversity & Inclusion Talk 60 (45min +15 Q&A) de Das Netzwerk Polylux hat sich vor 5 Jahren gegründet um dem Rechtsruck in Ostdeutschland etwas entgegen zu setzen. Polylux fördert, was die AfD hasst. Solidarisch, Unbürokratisch und Antifaschistisch. Für eine kritische und starke Zivilgesellschaft wo es sie am meisten braucht: Im ländlichen Raum in Ostdeutschland. Wir sind ein ehrenamtliches Netzwerk, das seit 2019 aktiv ist um antifaschistische Projekte in Ostdeutschland (vor allem) finanziell zu unterstützen. Schon damals brachte uns die Sorge um wegbrechende Finanzierungsmöglichkeiten angesichts einer schwachen Linken und der immer stärker werdenden Rechten auf die Idee, eine finanzielle, nachhaltige Unabhängigkeit für die aktive Zivilgesellschaft zu schaffen. In den letzten Jahren haben wir über 200.000 Euro an linke Projekte in Ostdeutschland weiterverteilen können und zeigen somit, dass wir eine Unterstützungsplattform aufgebaut haben, die uns unabhängig macht von staatlichen Förderungen und für eine emanzipatorische Bewegung eine dauerhafte und nachhaltige Alternative sein kann. Denn unser Netzwerk ist unabhängig von aktuellen politischen Machtverteilungen und Mehrheiten. Im "Superwahljahr" 2024 hatten wir uns vorgenommen auf 1000 monatlich zahlende Fördermitglieder zu kommen, um dem Rechtsruck nach den anstehenden Kommunal- und Landtagswahlen in Sachsen, Thüringen und Brandenburg noch mehr entgegen setzen zu können. Dieses Ziel haben wir gleich doppelt erreicht. Im Oktober 2024 hatten wir 2500 Fördermitglieder und sehr viele Einzelspenden und mediale Aufmerksamkeit. Unser Prinzip ist recht einfach: Wir sammeln Gelder über Fördermitgliedschaften und Spenden und verteilen sie an Projekte im ländlichen ostdeutschen Raum um. Durch das Netzwerk bekommen die Initiativen größere Sichtbarkeit. Dabei halten wir unser Antragsprozedere für die Projekte so einfach und simple wie möglich. Denn diese sollen für eine Förderung nicht noch mehr arbeit haben uns sich auf ihre Arbeit vor Ort konzentrieren können. Dabei Grenzen wir uns ganz bewusst, von "normalen" Fördertöpfen ab. Denn wir sind selbst alle in der Szene aktiv, leben in Ostdeutschland und kennen die Verhältnisse im ländlichen Raum aus eigener Erfahrung sehr gut. Wir wissen selbst, wie es ist als Queere Menschen, als Migrant*innen, als Linke hier gegen eine Politik aktiv zu sein, die alles kritische kriminalisiert und versucht einzuschüchtern. Mehr zu unserer Arbeit und wen wir unterstützen findet Ihr auf unserer Website: www.polylux.network Auf dem 38C3 wollen wir uns, unsere Idee, unser Netzwerk und ein paar der tollen Projekte im Osten kurz vorstellen. Im Rahmen des Talks gehen wir kurz darauf ein woher der Rechtsruck in Ostdeutschland kommt und was Besonderheiten im Vergleich mit den alten Bundesländern sind - vor allem aber wollen wir aufzeigen, wie wir eine langfristige und nachhaltige Struktur aufbauen können. false Jaša https://cfp.cccv.de/38c3-community-stages/talk/3DHBRS/ 2024-12-27T19:15:00+01:00 19:15 00:40 Stage HUFF Door 38c3-community-stages-748-warum-nutzende-logins-nerven Entry-Level & Education Talk 40 (30min +10 Q&A) de Die Verwendung von Nutzernamen und Passwörtern bei Logins ist für uns selbstverständlich. Für technisch weniger versierte Nutzende stellt dieser Prozess jedoch häufig eine nervenaufreibende Herausforderung dar – sowohl in Bezug auf die Nutzerfreundlichkeit als auch auf die Sicherheit. Tauchen wir in die Perspektive genau dieser Nutzenden ein und finden heraus, wo die Probleme liegen. Zudem schauen wir uns alternative Lösungen an, die die Nutzerfreundlichkeit und Sicherheit verbessern können. Die Authentifizierung mit Nutzername und Passwort ist weit verbreitet und so gut wie überall Standard. Für uns ist das alltäglich und wird deshalb selten hinterfragt. Mit der Hilfe von Passwort-Managern machen wir uns das Leben leichter. Doch wie sieht es für Menschen aus, die weniger Erfahrung mit Technik haben? Als Frontend-Entwicklerin habe ich Erfahrungen gesammelt, die dazu einladen, unseren Blickwinkel zu erweitern. Denn oft betrachten wir ITler die Welt der Technik nicht mehr aus der Perspektive des Endnutzers. In diesem Vortrag versetzen wir uns gemeinsam in die Perspektive von durchschnittlichen Nutzenden und gehen den Prozess eines typischen Login-Verfahrens durch. Dabei finden wir heraus, welche Aspekte Frustration auslösen und warum aktuelle Ansätze wie Passwort-Manager nicht unbedingt eine sinnvolle Lösung für alle darstellen. Außerdem werfen wir einen Blick auf mögliche Alternativen zu herkömmlichen Login-Verfahren wie zum Beispiel Passkeys, die sowohl Sicherheit als auch Nutzerfreundlichkeit erheblich verbessern. Ich zeige auf, wie wir Logins für alle einfacher, frustfreier und sicherer gestalten können – eine Herausforderung, die nicht nur technisches Know-how, sondern auch ein besonderes Verständnis für die Nutzenden erfordert. false Lena https://cfp.cccv.de/38c3-community-stages/talk/NUMFZU/ 2024-12-27T20:15:00+01:00 20:15 https://cfp.cccv.de/media/38c3-community-stages/submissions/NUMFZU/38c3_hULrvw2.png 00:40 Stage HUFF Door 38c3-community-stages-838-decentralize-your-internet-with-self-hosting Entry-Level & Education Talk 60 (45min +15 Q&A) de In einer Zeit, in der Privatsphäre immer mehr untergraben wird – warum nicht die Kontrolle über deine Daten übernehmen und eine eigene Cloud für Filehosting aufbauen? Dieser Vortrag ist ein praktischer Leitfaden zum Selbsthosting von Nextcloud zu Hause, speziell gedacht für Einsteiger mit grundlegenden Linux- und Bash-Kenntnissen. Von der Wahl der passenden Hardware bis zur sicheren Internetanbindung bauen wir Schritt für Schritt eine selbst gehostete Filehosting-App im eigenen Heimnetzwerk. In diesem Vortrag zeigen wir euch alle Schritte zu einer vollständig funktionsfähigen, internet-reichbaren Nextcloud-Instanz zum Filehosting im Internet. Wer bisher noch keine eigene Software betreibt, aber neugierig auf die Möglichkeiten ist, ist hier genau richtig. Dafür wird der Aufbau Schritt für Schritt dargestellt: vom Hardware-Setup über die Auswahl des passenden Betriebssystems und notwendiger Hilfssoftware bis hin zur Installation der Anwendung und der anschließenden Absicherung. Wir schauen uns ausserdem an, wie ein Nextcloud-Server aktuell gehalten werden kann und im Internet erreichbar gemacht werden kann. Dabei geben wir praktische Tipps zur Absicherung der Applikation. Der Vortrag soll dabei praxisnah gestaltet werden und Demos enthalten, wo immer immer das möglich ist. Die komplette Anleitung inklusive aller Skripte wird es in einem Open Source Repo geben. false Andreas seb https://cfp.cccv.de/38c3-community-stages/talk/JD9TGQ/ 2024-12-27T21:10:00+01:00 21:10 00:40 Stage HUFF Door 38c3-community-stages-686-a-dive-into-dns Hack, Make & Break Talk 40 (30min +10 Q&A) en Everyone kind of forgot about DNS. How does it work, how to claim it back and why? This talk will show some data about DNS to see differences between TLD's, will show how the entire thing works and the current problems in some setups. Then show how to make our own authoritative DNS servers in a secure and redundant way to claim ownership of it and decentralise it from the big providers. ERRATUM : A sitting duck attack isn't what I described in the talk. CLOUDFARE is a really bad example to illustrate what I'm talking about. Also, NS records are very much required to show that the nameserver is authoritative for the zone. false altf4 https://cfp.cccv.de/38c3-community-stages/talk/7Q9MMM/ 2024-12-27T22:05:00+01:00 22:05 00:40 Stage HUFF Door 38c3-community-stages-688-hardware-hacking-mit-bluetooth-low-energy Hack, Make & Break Talk 40 (30min +10 Q&A) en How to remote-control (and build) the weirdest devices with Bluetooth Low Energy and no programming. Want to build a connected [soap bubble maker | water boiler | door lock | ...]? This talk briefly covers the basics of Bluetooth Low Energy, outlining the effort needed to implement such a technology with raw code. It then focuses on how to leverage said technology without getting your hands dirty by replacing programming with a bit of configuration, demonstrating the usage of the [BLEnky](https://structure.nullco.de/?node_id=66216cdb1a95fb4425f23212&token=3c55f7bb1de0e79c9020dbb09deac741df56fc5474825407abb94f96714ce134&focused_node=6622041d1a95fb4425f2323a) project for quick results. [Click here for many more examples](https://structure.nullco.de/?node_id=66216cdb1a95fb4425f23212&token=3c55f7bb1de0e79c9020dbb09deac741df56fc5474825407abb94f96714ce134&focused_node=6622041d1a95fb4425f2323a) Some notable projects will be described, as well as a live hack of some stupid gadget to make it "smart". false Daniel Dakhno https://cfp.cccv.de/38c3-community-stages/talk/U9MSHY/ 2024-12-27T23:00:00+01:00 23:00 00:40 Stage HUFF Door 38c3-community-stages-821-einstieg-in-die-teilchenphysik Entry-Level & Education Talk 40 (30min +10 Q&A) de Was sind die fundamentalen Bestandteile der Materie, und wie interagieren sie miteinander? Die Teilchenphysik beschäftigt sich mit diesen grundlegenden Fragen und bildet die Basis unseres Verständnisses der Naturgesetze. In diesem Talk möchte ich euch einen Einstieg in die spannende Welt der Quarks, Leptonen und Bosonen geben. Ich werde die Grundlagen des Standardmodells der Teilchenphysik erklären, einen Einblick in Experimente wie den Large Hadron Collider (LHC) geben und zeigen, welche Rolle Teilchen wie das Higgs-Boson oder Neutrinos spielen. Der Fokus liegt darauf, die Teilchenphysik verständlich und anschaulich zu machen - ganz ohne Vorkenntnisse, aber mit viel Raum für Fragen. Dieser Talk richtet sich an alle, die mehr über die Grundbausteine der Materie und die Arbeit moderner Physiker:innen erfahren möchten. Egal ob Schüler:in, Student: in oder einfach nur Wissenschaftsinteressierte - hier seid ihr richtig! false Rosa https://cfp.cccv.de/38c3-community-stages/talk/BTGW8C/ 2024-12-27T23:55:00+01:00 23:55 00:40 Stage HUFF Door 38c3-community-stages-747-instructions-unclear-ber-die-in-accessibility-von-symbolen Diversity & Inclusion Talk 40 (30min +10 Q&A) de Ein Talk über die Kommunikation ohne gesprochene oder geschriebene Sprache Kommunikation ist ja schon mit Worten manchmal schwierig - Wie ist das eigentlich, wenn man NICHT mit Worten kommunizieren kann? (Sei dies durch Sprachbarrieren, Psychische oder körperliche Beeinträchtigungen oder einfach nur aus Platzmangel) In diesem Talk werde ich mich auf eine ehrliche und hoffentlich auch etwas humoristische Art mit der Kommunikation mithilfe von Symbolen auseinandersetzen. false sebz https://cfp.cccv.de/38c3-community-stages/talk/FRD7CR/ 2024-12-28T00:50:00+01:00 00:50 00:40 Stage HUFF Door 38c3-community-stages-837-reticulum-unstoppable-networks-for-the-people Privacy, Anonymity & Decentralisation Talk 40 (30min +10 Q&A) en Reticulum is a cryptography-based networking stack for building local and wide-area networks with readily available hardware. Reticulum can continue to operate even in adverse conditions with very high latency and extremely low bandwidth. The vision of Reticulum is to allow anyone to operate their own sovereign communication networks, and to make it cheap and easy to cover vast areas with a myriad of independent, interconnectable and autonomous networks. On this talk we shall present Reticulum, a highly resilient cryptography-based networking stack, that you can use to get out of the shackles of surveillance corporate networks. Reticulum is a tool for building networks. Networks without kill-switches, surveillance, censorship and control. Networks that can freely interoperate, associate and disassociate with each other. Reticulum is Networks for Human Beings. It solves the same problem that any network stack does, namely to get data reliably from one point to another over a number of intermediaries. But it does so in a way that is very different from other networking technologies: - Reticulum does not use source addresses. No packets transmitted include information about the address, place, machine or person they originated from. - There is no central control over the address space in Reticulum. Anyone can allocate as many addresses as they need, when they need them. - Reticulum ensures end-to-end connectivity. Newly generated addresses become globally reachable in a matter of seconds to a few minutes. - Addresses are self-sovereign and portable. Once an address has been created, it can be moved physically to another place in the network, and continue to be reachable. - All communication is secured with strong, modern encryption by default. - All encryption keys are ephemeral, and communication offers forward secrecy by default. - It is not possible to establish unencrypted links in Reticulum networks. - It is not possible to send unencrypted packets to any destinations in the network. - Destinations receiving unencrypted packets will drop them as invalid. false Mark https://cfp.cccv.de/38c3-community-stages/talk/QUGQQC/ 2024-12-27T11:00:00+01:00 11:00 https://cfp.cccv.de/media/38c3-community-stages/submissions/QUGQQC/iphone_mirror_wfSeOYf.jpg 00:40 Stage YELL Door 38c3-community-stages-786-breaking-the-mirror-a-look-at-apple-s-new-iphone-remote-control-feature Hack, Make & Break Talk 40 (30min +10 Q&A) en Exploring the security of the new iPhone Mirroring feature as well as the current threat model of the iOS ecosystem The tight integration between devices is something you only get in Apple’s Continuity ecosystem. It enables seamless interaction between devices, such as using your iPhone as a webcam for your Mac and even letting an iPad act as a second screen with stylus input. All of this relies on Apple’s Continuity framework, a system that builds on local wireless protocols such as Bluetooth and Wi-Fi to communicate among a user’s devices. The interactions enabled between the devices result in a complex threat model that researchers have started to explore over the past years. This summer, Apple newly introduced iPhone Mirroring, a feature that allows users to remote control their locked iPhone wirelessly from their Mac, further blurring the security boundaries in the ecosystem. How does this new feature work? Are the security and privacy checks introduced for iPhone Mirroring sufficient or is it possible to trick the system? What do they protect against and how might this differ from how iOS devices are used in practice? In this talk, you will get demos and explanations of bypasses found in early versions of the iOS 18 beta along with an explanation of why and how they work. false Aaron Schlitt https://cfp.cccv.de/38c3-community-stages/talk/UQJGJW/ 2024-12-27T12:00:00+01:00 12:00 00:40 Stage YELL Door 38c3-community-stages-744-passierschein-sbgg-oder-auch-geschichten-die-mir-und-anderen-auf-ihrem-weg-passiert-sind Diversity & Inclusion Talk 40 (30min +10 Q&A) de Das neue Gesetz über die Selbstbestimmung in Bezug auf den Geschlechtseintrag (SBGG) ist da und Menschen können endlich unkompliziert ihren Geschlechtseintrag und ihre Vornamen ändern lassen. Doch der Weg dahin ist nicht einfach. Kommt mit auf eine Roadshow gespickt mit Tipps und Erfahrungen, damit ihr eurer Ziel einfacher erreicht. Das Gesetz über die Selbstbestimmung in Bezug auf den Geschlechtseintrag (SBGG) hat das alte (und in einigen Teilen als verfassungswidrig erklärte) Transsexuellengesetz abgelöst. Auch bei uns im Chaosumfeld haben wir nicht wenige Personen, die sich nicht mit ihrem bei der Geburt zugewiesenen Geschlecht identifizieren. Laut Gesetz ist der Weg zur Änderung von Geschlechtseintrag (Personenstandsänderung) und Vornamen relativ einfach: Im Standesamt die Erklärung anmelden, warten und dann drei Monate später die Erklärung im gleichen Standesamt abgeben und schon ist die Personenstandsänderung durch. In diesem Vortrag möchte ich euch einladen, dass wir einmal den Weg einer Personenstandsänderung durchspielen und euch einen roten Faden an die Hand geben, wie man Schritt für Schritt diese Änderung angeht. Das Ganze wird gespickt mit kleinen positiven und negativen Erfahrungen von verschiedenen Personen aus dem Chaosumfeld, die wir auf dem Weg zur erfolgreichen Änderung gemacht haben. Die meisten Hürden auf diesem Weg können bewältigt werden und führen zu der einen oder anderen Geschichte, die man später im Leben erzählen und mit anderen gemeinsam darüber lachen kann. true captain-maramo https://cfp.cccv.de/38c3-community-stages/talk/FCF38M/ 2024-12-27T12:55:00+01:00 12:55 00:40 Stage YELL Door 38c3-community-stages-904-building-your-first-lora-mesh-network-from-scratch Privacy, Anonymity & Decentralisation Talk 40 (30min +10 Q&A) en In a world of centralized internet control, building your own mesh network isn't just a technical challenge—it's digital independence. This beginner-friendly guide walks through creating resilient mesh networks using accessible hardware like LoRa and ESP devices. From antenna selection to node placement strategy, learn how to build networks that operate independently of traditional infrastructure. Ever wondered how to create your own independent communication network? This practical introduction demonstrates how to build resilient mesh networks using affordable, readily available components. We'll demystify the process while emphasizing legal and responsible deployment. The talk breaks down into four key segments: Hardware Selection & Setup • Understanding LoRa, ESP, and other low-cost communication devices • Choosing the right antennas for your environment • Basic hardware configuration and initial setup • Cost-effective shopping guide and alternatives Network Planning 101 • Basic principles of mesh network topology • Coverage planning and node placement strategy • Utilizing existing structures (old TV antennas, tall buildings) • Tools and software for network planning • Range testing and optimization Practical Deployment • Weather-proofing your nodes • Power considerations (solar, battery, mains) • Legal considerations and responsible deployment • Documentation and network monitoring • Common pitfalls and how to avoid them Advanced Topics & Future Expansion • Adding encryption and security layers • Integration with other network types • Scaling strategies • Community building and maintenance false WillCrash https://cfp.cccv.de/38c3-community-stages/talk/TRFYFT/ 2024-12-27T13:50:00+01:00 13:50 https://cfp.cccv.de/media/38c3-community-stages/submissions/TRFYFT/talk-image_leMLgHP.jpeg 00:40 Stage YELL Door 38c3-community-stages-863-how-roaming-agreements-enable-5g-mitm-attacks Privacy, Anonymity & Decentralisation Talk 40 (30min +10 Q&A) en End-users in cellular networks are at risk of connecting to fake base stations, and we show that mitigations pushed in 5G are insufficient. Machine-in-the-Middle (MitM) attackers aim to overhear and manipulate network traffic. The MitM position can also be used as an entry point for baseband exploitation. Proceeding from there, attackers can gain full control of a user’s phone. Standardization bodies pushed many mitigations against MitM into the specification of cellular networks. However, roaming agreements still enable powerful attackers to perform seamless attacks – even in 5G! In this talk, you’ll learn about the complex nature of cellular roaming and how roaming is implemented in recent smartphones. The specification puts a lot of trust in network operators. This impedes security in real-world deployments. We show that the capabilities of network operators exceed the intended capabilities of lawful interception. If those are abused, end-users have no possibility of noticing the attacks. Attacks on roaming are challenging to prevent or even detect in practice. The specification needs a major update to make cellular roaming secure. Users at risk should be aware of the current state of the system. We discuss multiple mitigations, including solutions for end-user devices. false Swantje Lange https://cfp.cccv.de/38c3-community-stages/talk/RLS3TQ/ 2024-12-27T14:45:00+01:00 14:45 https://cfp.cccv.de/media/38c3-community-stages/submissions/RLS3TQ/BinDa_Logo_signet_full_gWYBP7e.png 00:40 Stage YELL Door 38c3-community-stages-902-binda-die-flexible-anwesenheitserfassung-fr-schulen Entry-Level & Education Talk 40 (30min +10 Q&A) de Im Rahmen eines vom Prototype Fund geförderten Projektes entstand zusammen mit 4 Schulen die Open Source Software BinBa. Diese Software wurde in enger Zusammenarbeit mit den Schulen konzipiert, umgesetzt und in Betrieb genommen. In dem Talk soll der Weg über die Finanzierung mit Hilfe des Prototyp Funds, die Softwareentwicklung zusammen mit den LehrerInnen und SchülerInnen also auch die Inbetriebnahme beleuchtet werden. Mit dem Talk soll Mut gemacht werden, mehr freie Software zu schaffen, die sich in die IT Landschaft von Schulen gut einfügt und die Bedürfnisse von Schulen in den Vordergrund stellt. Im Rahmen des Projektes wurde viel Wert darauf gelegt, eine klare Abgrenzung zu existierenden Lösungen an den Schulen im Blick zu behalten und Daten mittels Integration aus diesen Lösungen zu übernehmen. Das ganze unter einer freien Lizenz und freier Software. SchulIT ist oft geprägt von abgeschlossenen Systemen, die sich nur unzureichend in existerende Lösungen einbinden lassen. Dies endet dann all zu oft in Mehrarbeit, Dateninkonsistenzen und viel Frustration bei allen Beteiligten. Wir möchten mit dem Projekt einen kleinen Impuls liefern, die Art und Weise wie heute Software für Schulen entsteht zu überdenken und auch konkrete Vorschläge dafür liefern. false derMicha https://cfp.cccv.de/38c3-community-stages/talk/FXT7QY/ 2024-12-27T15:45:00+01:00 15:45 https://cfp.cccv.de/media/38c3-community-stages/submissions/FXT7QY/1000013095_qYJI1GE.jpg 00:40 Stage YELL Door 38c3-community-stages-784-was-tun-wenn-s-brennt-verhaltenstipps-fr-politische-aktivist-innen Privacy, Anonymity & Decentralisation Talk 40 (30min +10 Q&A) de Staatliche Repression aufgrund der Teilnahme an Demonstrationen oder wegen anderer politischer Tätigkeiten gehören zur leidigen Erfahrung von Aktivist*innen. Wir geben Tipps und diskutieren, wie man mit einigen, typisch auftretenden Situationen bzw. Repressionsmaßnahmen umgehen kann. Die Rote Hilfe ist eine bundesweite, strömungsübergreifende und parteiunabhängige Solidaritätsstruktur der politischen Linken. Sie handelt nach dem Prinzip „von Aktivist*innen für Aktivist*innen“ und bietet für Betroffene staatlicher Repression (über ihre ca. 50 Ortsgruppen in Deutschland) eine Beratung an sowie finanzielle Unterstützung. Wir möchten einige unserer Verhaltens- und Rechtshilfetipps darstellen in Bezug auf typische Situationen wie Festnahmen auf Demonstrationen, Hausdurchsuchungen oder Post von Polizei und Staatsanwaltschaft. Darin fließen nicht nur juristische Erfahrungen ein (wir sind kein Jurist*innenverband), sondern auch Vorstellungen und Ideen dazu, wie wir einen solidarischen Umgang mit der Repression finden können und Einzelne nicht im Regen stehen lassen. Die Tipps sollen dazu beitragen, dass Aktivist*innen ihren politischen Alltag möglichst sicher gestalten können. Wer weiß, was unter Umständen auf eine*n zukommen kann, wird in der entsprechenden Situation leichter die Ruhe bewahren und richtig reagieren können. Wir freuen uns auf den Austausch! true Rote Hilfe https://cfp.cccv.de/38c3-community-stages/talk/RMYJMG/ 2024-12-27T16:40:00+01:00 16:40 00:40 Stage YELL Door 38c3-community-stages-881-was-tun-wenn-man-ein-datenleck-entdeckt-hat- Privacy, Anonymity & Decentralisation Talk 40 (30min +10 Q&A) de Wenn Sicherheitsforscher und Hacker Datenlecks direkt dem dafür Verantwortlichen melden, setzen sich u.U. strafrechtlichem Risiko aus oder werden auch mal schlicht ignoriert. Stattdessen kann es in der Praxis aber auch sinnvoll sein, die Möglichkeiten der DS-GVO und die Befugnisse der Datenschutz-Aufsichtsbehörden zu nutzen, um Sicherheitslücken schnell zu schließen. Anhand von Beispielen aus der Praxis zeigt der Vortrag, welche Möglichkeiten Sicherheitsforscher haben wenn sie Datenlecks gefunden haben. Eine effektive Möglichkeit kann sein, frühzeitig die Datenschutz-Aufsichtsbehörden einzuschalten, denn diese haben zahlreiche Befugnisse, mit denen sie Datenlecks schnell und effektiv schließen und Beweise sammeln können. Denn im Gegensatz z.B. zum BSI und anderen Institutionen können die Datenschutz-Aufsichtsbehörden auch außerhalb kritischer Infrastrukturen Unternehmen und Behörden anweisen, Datenlecks unverzüglich zu schließen, den Weiterbetrieb eines entsprechenden Servers untersagen und Bußgelder verhängen. Das sorgt dafür, dass Datenlecks in der Regel sehr schnell geschlossen werden können. Zudem zeigt der Vortrag, welche Rechte die von einem Datenleck betroffenen Personen haben und wie die Bearbeitung solcher Fälle in der Praxis abläuft. false Alvar C.H. Freude https://cfp.cccv.de/38c3-community-stages/talk/3M93CA/ 2024-12-27T17:35:00+01:00 17:35 https://cfp.cccv.de/media/38c3-community-stages/submissions/3M93CA/image_2024-05-03_02-05-20_K17HcW8.jpg 00:40 Stage YELL Door 38c3-community-stages-763-beyond-cryptopartys-wie-aktivistis-und-nerds-voneinander-lernen-knnen Privacy, Anonymity & Decentralisation Talk 40 (30min +10 Q&A) en Seit Jahren bemüht sich die Cryptoparty-Bewegung, digitale Selbstbestimmung in der Gesellschaft zu verbreiten. Besonders Aktivist\*innen sind sehr auf dieses Wissen angewiesen - doch ein Abend-Workshop von 2-3 Stunden schafft bei ihnen oft mehr Unsicherheiten als vorher. Wie kann man zwischen Nerds und Aktivist*innen übersetzen? Wir haben viel ausprobiert, teilen unser Konzept mit euch und erzählen, welche Lernatmosphäre & pädagogischen Mittel es braucht, um die Hürden für nicht-Nerds abzubauen. Link zum Hextivisti-Konzept: <https://cryptpad.fr/pad/#/2/pad/view/RwZ3IxG-YtcMzIdSB0g2Ti66dL23s9VhPbvjVM2vKQc/> Link zu diversity-sensibler Lehre: <https://www.genderdiversitylehre.fu-berlin.de/einstieg/leitlinien/index.html> Für gesellschaftlichen Wandel ist es unbedingt notwendig, dass sich mehr Menschen mit digitaler Selbstbestimmung auskennen. Vor allem Aktivist\*innen brauchen Grundwissen und Vernetzung, um Antworten für ihre konkreten Herausforderungen zu finden, insbesondere bei zunehmender Faschisierung von Staat & Gesellschaft, Abhängigkeit von Big-Tech-Monopolen, und drohenden Klimakatastrophen. Das Problem hierbei: anders als Nerds, die sich IT-Sicherheit oft mit Interesse und Angriffslust nähern, haben viele Aktivist\*innen mit Überforderung und Ängsten zu kämpfen. Als Hindernis beim Lernen kommt oft strukturelle Diskriminierung dazu, und das (Wieder-)Erleben von Situationen, die damit einhergehen. Solche Stress-Situationen begünstigen Frust, Fehler, und Grenzüberschreitungen und verstärken Wissens- und Machtasymmetrien - insbesondere unter Zeit- und Repressionsdruck. Jedes frustrierende Erlebnis, jedes nicht verstandene Fachwort verschlimmert diese Hürden, und verschlechtert letztendlich die gelebte IT-Sicherheit. Wir haben selbst jahrelang schlechte Erfahrungen mit Abend-Workshops gemacht, die in 2-3 Stunden alles Wichtige für Aktivist\*innen vermitteln sollen (sowohl als Trainer\*innen als auch als Teilnehmer\*innen). Wir sind zu dem Schluss gekommen, dass es eine andere Herangehensweise braucht, und man sich ein Wochenende dafür Zeit nehmen sollte. Deshalb haben wir ein skalierbares Konzept entwickelt und getestet, welches ermöglicht, dass Nerds und Aktivist\*innen voneinander lernen können. Dieses Konzept wollen wir hiermit open-sourcen. Wir haben jetzt einige Erfahrung mit unserem Wochenend-Format, und weitere Workshop-Wochenden sind in Planung. Im Talk wollen wir unsere Idee, Learnings, Hürden und Erfolgserlebnisse teilen. Wir sprechen darüber, wie wir es schaffen können, Frust abzubauen und eine gute Lernatmosphäre zu schaffen, warum wir dafür ein all-gender-Format gewählt haben, und wieso am besten auch Leute mit wenig Erfahrung im Orga-Team sind. Entstanden ist ein Netzwerk, dass einen fortwährenden Wissens-Austausch ermöglicht und weitere Trainings organisiert. Wenn es nach uns geht, gehören technische und soziale Skills zusammen. Dabei verschwimmen immer wieder die Grenzen, wer eigentlich von wem lernt. false missytake https://cfp.cccv.de/38c3-community-stages/talk/Q9UXFJ/ 2024-12-27T19:15:00+01:00 19:15 00:40 Stage YELL Door 38c3-community-stages-771-rollstuhlgerechte-toiletten Diversity & Inclusion Talk 40 (30min +10 Q&A) de Toiletten "für alle" sind in weiter Ferne. Wie muss eine Toilette gebaut werden, um tatsächlich für jede Person mit zum Beispiel einem Rollstuhl benutzbar zu sein? Diese Frage beantworten wir in diesem Talk. Toiletten sind ein schwieriges Thema. Sie sind selten zu finden und meistens auch relativ dreckig. Aber was ist, wenn eine rollstuhlgerechte oder oder eine "Toilette für Alle" benötigt wird? Als Chaos-Gemeinschaft und Haecksen tragen wir durch das Mieten von Objekten eine Mitverantwortung, Toiletten entsprechend verfügbar zu machen. Leider hat eine informelle Umfrage in 2024 von den Haecksen gezeigt, dass in Sachen rollstuhlgerechter Toiletten viele Hackspaces kein Angebot machen können. Wir erklären in diesem Talk die passenden DIN-Normen für eine rollstuhlgerechte Toilette und weihen euch in die Details hinter einer höhenverstellbaren Toilette ein. Wir möchten euch mit diesem Vortrag befähigen, euch in eurer Mietsituation konstruktiv aufzustellen um eine Verbesserung in eurer Umgebung erzielen zu können. false melzai https://cfp.cccv.de/38c3-community-stages/talk/NE8UDU/ 2024-12-27T20:15:00+01:00 20:15 00:40 Stage YELL Door 38c3-community-stages-891-mit-dem-krcher-durch-die-datentrge-der-polizeien Privacy, Anonymity & Decentralisation Talk 40 (30min +10 Q&A) de Daten, Daten, Daten. Sicherheitsbehörden wollen immer mehr davon. Doch zu welchem Zweck und wo kommt machine learning ins Spiel? Wir liefern einen Überblick und besprechen Auskunftsansprüche, Beschwerdemöglichkeiten und Gegenmaßnahmen. Nicht erst seit dem diesjährigen Sicherheitspaket befinden sich deutsche Geheimdienste und Polizeibehörden in einer Datensammelwut. Spätestens seit dem 11. September 2001 und dem Terrorismusbekämpfungsgesetz dienen terroristische Anschläge als Legitimation für die Politik, den Sicherheitsbehörden die Befugnisse zu geben, die diese ohnehin schon lange fordern. Dabei wachsen die Datenbanken der Behörden stetig. Ihre Namen sind INPOL-neu, PMS links/rechts/sport oder rosa Liste (IGVP), ATD, PIAV (Polizeilicher Informations- und Analyseverbund). Oft kommt es vor, dass auch eigentlich Unbeteiligte in diesen Listen landen, so bleiben z. B. Personen gegen die ermittelt wurde, weiterhin in INPOL gespeichert, nachdem das Verfahren längst eingestellt wurde. Ebenso sollen, wie im Sicherheitspaket geplant, biometrischer Daten mit öffentlich im Internet verfügbaren Daten abgeglichen werden. Den Betroffenen ist dabei meist nicht klar, ob und in welchen Datenbanken sie landen; der Dschungel an Datenbanken und Zuständigkeiten ist auch kaum zu überblicken. Betroffene werden weder automatisch informiert noch gilt die DSGVO für Ermittlungsbehörden. Teilweise werden sogar gesetzliche Informationspflichten, wie beispielsweise über Unbeteiligte in Funkzellenabfrage schlicht nicht eingehalten. Die immer größer werdenden Datenmengen sind kaum durch Menschen zu verarbeiten. Deshalb soll auf sogenannte künstliche Intelligenz wie autmatisierte Gesichtserkennung, Ganganalysen oder Analysen von "auffälligem Verhalten" gesetzt werden. Dabei werden Entscheidungen, die bisher durch Menschen getroffenen wurden, an Computer ausgelagert. Der Computer entscheidet also, wer am Bahnhof kontrolliert wird und damit über den Eingriff in dessen Grundrechte. Was können wir tun? Janik steht selbst in diversen Datenbanken der Polizei. Er erzählt im Vortrag über seinen langen Weg, um Auskunft bei den verschiedenen Landes- und Bundesbehörden zu erhalten. Entlang dieses Weges musste er Klage einreichen, weil die Behörden keine Auskunft erteilte, er musste Beschwerden beim BfDI einreichen, da das BKA Fotos von seinem Gesicht aus einer erkennungsdienstlichen Behandlung zweckentfremdete, um damit eine Marktanalyse von Gesichtserkennungssoftwaren durchzuführen. Seine Rechtsanwältin Bea erklärt die rechtlichen Hintergründe und setzt sich mit der Frage auseinander, mit welcher Vorstellung von Verantwortung im polizeilichen Dienst wir es zukünftig zu tun haben werden. false Beata Hubrig Janik Besendorf https://cfp.cccv.de/38c3-community-stages/talk/NCPE7F/ 2024-12-27T21:10:00+01:00 21:10 00:40 Stage YELL Door 38c3-community-stages-885-waiter-there-s-an-llm-in-my-search- Open Source & Platform Decay Talk 40 (30min +10 Q&A) en This year Large Language Models (LLMs) in search engines told us to put glue on our pizza and eat a small rock every day. This is not ideal, and the consequences of "AI Overviews" and similar features could even be deadly for some people, like mushroom foragers. Maybe it's time for a new sort of search? In this talk I'll sketch out some possible futures and look at how we can put search back in the hands of the searcher. Also, there will be memes! Overall, the state of search right now is: not good. Search engine results are full of AI generated sludge, SEO spam and self-dealing by providers. This talk will look at the options that are open to us to improve search somewhat, including a few tips and tricks that anyone can take advantage of today to make hyperscale search providers like Google more functional again. But in many ways the most interesting question is whether we can find ways to discover stuff online that don't rely on a handful of hyperscale providers to do all the web crawling and indexing, and servicing of people's queries. In particular, what would happen if search was federated - how could we make that scaleable and performant, and what can we learn from the fediverse? false Martin Hamilton https://cfp.cccv.de/38c3-community-stages/talk/EPYY8M/ 2024-12-27T22:05:00+01:00 22:05 01:30 Stage YELL Door 38c3-community-stages-948-die-groe-datenschutz-datenpannen-und-ds-gvo-show Entertainment Game show de Datenschutz darf auch Spaß machen, und alle können dabei etwas lernen, egal ob Einsteiger oder Profi-Hacker: Bei dem Datenschutz- und Datenpannen-Quiz kämpfen vier Kandidat:innen aus dem Publikum zusammen mit dem Publikum um den Sieg. Nicht nur Wissen rund um IT-Sicherheit und Datenschutz, sondern auch eine schnelle Reaktion und das nötige Quäntchen Glück entscheiden über Sieg und Niederlage. Die Unterhaltsame Datenschutz-Quiz-Show mit Bildungsauftrag! Datenschutz wird oftmals als lästige Pflicht wahrgenommen – aber was will und macht Datenschutz, für was ist er sinnvoll und was ist zu beachten? Die Datenschutz- und DSGVO-Show vermittelt spielerisch Datenschutzgrundlagen, bietet einen Einblick in die Praxis der Datenschutz-Aufsichtsbehörden und zeigt typische technische wie rechtliche Fehler im Umgang mit personenbezogenen Daten. Aber auch für Datenschutz-Profis und Superhirne sind einige harte Nüsse dabei. Der Moderator arbeitet beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg und berichtet aus der praktischen Arbeit einer Aufsichtsbehörde, nennt rechtliche Grundlagen, gibt Hinweise zu notwendigen technischen Maßnahmen nach Artikel 32 DS-GVO und die oftmals schwierige Risikoabschätzung nach „wir wurden gecybert“-Sicherheitsvorfällen. Im Quiz selbst müssen die Kandidat:innen in ihren Antworten praktische Lösungsvorschläge für häufige technische und rechtliche Probleme vorschlagen, zum Beispiel welche technischen Maßnahmen bei bestimmten Datenpannen nach dem „Stand der Technik“ angebracht sind, ob man als Website-Betreiber denn nun Google Analytics nutzen darf oder wie man sich gegen (rechtswidrige) Datensammler wehrt. Dadurch können Teilnehmer wie Zuschauer die praktische Anwendung der DS-GVO spielerisch lernen. false Alvar C.H. Freude https://cfp.cccv.de/38c3-community-stages/talk/KBMKY7/ 2024-12-27T23:50:00+01:00 23:50 01:00 Stage YELL Door 38c3-community-stages-825-operation-mindfuck-vol-7 Entertainment Game show en For the seventh time, we'll present a colorful potpourri of nerdsniping topics: some of our favorite facts about computers, art, and the world! We draw a lot of inspiration from new and absurd ideas, and we'd like to share that enthusiasm with you! - [Vol. 1](https://blinry.org/operation-mindfuck/) (German) - [Vol. 2](https://blinry.org/operation-mindfuck-2/) (German) - [Vol. 3](https://blinry.org/operation-mindfuck-3/) (German) - [Vol. 4](https://blinry.org/operation-mindfuck-4/) (English) - [Vol. 5](https://blinry.org/operation-mindfuck-5/) (English) - [Vol. 6](https://blinry.org/operation-mindfuck-6/) (English) false blinry bleeptrack https://cfp.cccv.de/38c3-community-stages/talk/TXBX8K/ 2024-12-28T01:10:00+01:00 01:10 https://cfp.cccv.de/media/38c3-community-stages/submissions/TXBX8K/21e8678ece1d3752_yzgSIlc.png 00:40 Stage YELL Door 38c3-community-stages-715-openpv-calculate-the-solar-potential-of-your-building Sustainability Talk 40 (30min +10 Q&A) en Simulating the photovoltaic potential of roofs and facades with WebGL and OpenData in real time This talk is a deep dive into the open-source website [openpv.de](https://www.openpv.de/) - prepare yourself for lots of open geodata, physics-based solar irradiance simulation, some shady WebGL code, and insights on how to get funding from the German government for your open-source project. We will look at the available open data of 3D buildings, laser scans, and elevation models from Germany and how we navigated through the jungle of governmental open datasets. Having these valuable datasets allows us to do fancy things - like building a browser-based tool for solar potential simulation. This includes the task of performing physics-based simulation in WebGL, a nice problem we planned to solve in one afternoon but that ended up taking several weekends. In the talk, we also share about the evolution of our project and our experience along the way. We started as a simple free-time project, but evolved and even received public funding from the German Prototype Fund in the end. Come and listen to our talk if you 1. think about installing your own PV system, 2. love open geodata, 3. want to see some fancy 3D simulations in the browser. false Florian Kotthoff Martin Grosshauser https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/S3WJCS/ 2024-12-28T11:00:00+01:00 11:00 00:40 Saal 1 Door 38c3-313-illegal-instructions-by-legals-anweisungen-fr-den-anwaltlich-begleiteten-rechtsbruch Ethics, Society & Politics Talk de Tracker an Tiertransporter, Kameras vor einer Steueroase, Veröffentlichungen von Verschlusssachen, Frontex verpetzen oder sich selbst verpetzen lassen, Menschen in Seenot retten. Zwei Anwältinnen, die Recht(sbruch) studiert haben, teilen mit euch ihre Erfahrungen aus juristischer out of Action preparation, Whistleblowing-Schutz und Anti-Repressions-Arbeit. Tracker an Tiertransporter, Kameras vor einer Steueroase, Veröffentlichungen von Verschlusssachen, Frontex verpetzen oder sich selbst verpetzen lassen, Menschen in Seenot retten. Zwei Anwältinnen, die Recht(sbruch) studiert haben, teilen mit euch ihre Erfahrungen aus juristischer out of Action preparation, Whistleblowing-Schutz und Anti-Repressions-Arbeit. Was immer du recherchieren möchtest, welche Missstände du aufdecken möchtest, wir zeigen wie es geht. Wir spielen mit euch eine fiktive Aktion durch: Von der Planung über die Durchführung bis zur Sicherung der Erkenntnise und Vorbereitung auf Ermittlungsmaßnahmen. Bonusmaterial - Plan B: Was tun, wenn was schief geht? Neuorientierung when shit hits the fan oder wie mensch sich Repressionen und Kriminalisierung zu nutze machen kann. true Vivian Kube Vera Magali Keller https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/MWGDZZ/ 2024-12-28T12:00:00+01:00 12:00 00:40 Saal 1 Door 38c3-599-digitalisierung-mit-der-brechstange Ethics, Society & Politics Talk de Fünf Prozent der Bevölkerung im Alter von 16 bis 74 Jahren in Deutschland sind offline. Dafür gibt es verschiedenen Gründe: Manche wollen nicht ins Netz und manche können nicht. Dennoch gibt es zunehmend auch öffentliche Dienstleistungen nur noch digital. Das wäre kein Problem, wenn gewährleistet wäre, dass alle Zugang zu Geräte, zum Netz und die nötige Unterstützung haben, um die Angebote nutzen zu können. Und wenn wir darauf vertrauen könnten, dass unsere Daten dort sicher sind. Solange beides nicht gegeben ist, darf niemand ausgeschlossen werden, weil der Zugang fehlt. Menschen, die noch immer nicht online sind, sind älter, arm, häufig weiblich, manchmal behindert, sind keine Akademiker*innen oder arbeiten in Jobs, bei denen sie nicht vor Computern sitzen. Aber auch durchaus IT-affine Menschen geraten mal ins Straucheln, wenn der Akku vom Gerät mit dem digitalen Ticket nicht mehr mitmacht oder das Funkloch verhindert, dass die digitale Bahncard aktualisiert werden kann, wenn die Kontrolle kommt. Statt dafür zu sorgen, dass die nötige Infrastruktur läuft und alle die Unterstützung bekommen, die sie brauchen, um die immer anders aussehenden digitalen Behördengänge erledigen zu können, setzt die Bundesregierung auf Zuckerbrot und Peitsche. Es gab Geschenke wie den Kulturpass für 18-Jährige oder eine 200-Euro-Einmalzahlung für Studierende, aber die gab es nur für die, die sie online beantragten. Es wird akzeptiert, dass Post- und Bankfilialen durch Online-Angebote ersetzt werden. Alle, die damit nicht klarkommen, werden höchstens belächelt. Aber das betrifft nicht wenige Menschen, die angesichts dieser Digitalisierung mit der Brechstange im Regen stehen. Sie sind oft so schon auf die eine oder andere Weise benachteiligt und nun durch rein digitale Angebote noch weiter abgehängt. Im Idealfall sollte Digitalisierung das Leben vereinfachen. Tatsächlich trägt diese Digitalisierung zu noch mehr gesellschaftlicher Spaltung bei. Dieser Talk beleuchtet, wen das betrifft und warum, und zeigt Beispiele für Dienstleistungen und Angebote, die nur online zu haben sind – und für die, die keine Skrupel haben angesichts der häufig wenig vertrauenserweckenden Umsetzung. Schließlich wird es auch darum gehen, was nötig wäre, um diese Situation zu ändern. false Anne Roth https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/SSEEUQ/ 2024-12-28T12:55:00+01:00 12:55 00:40 Saal 1 Door 38c3-167-erpressung-aus-dem-internet-auf-den-spuren-der-cybermafia Ethics, Society & Politics Talk de Manchmal sind es tausende, manchmal sind es zehntausende von Euros, um die vor allem junge Männer aus Deutschland bei Onlinescams betrogen werden. Die Scham ist zu groß, um darüber zu sprechen, schließlich ist „Mann“ selbst schuld daran. Es geht um Erpressung mit Nacktfotos, Liebes-Fallen und zweifelhafte Investments, die auf dem Vormarsch sind. Der Vortrag folgt den Spuren der Täter:innen und enthüllt eine prosperierende Scam-Industrie in Asien, fest in den Händen der chinesischen Mafia. Aus Scham wollte er eigentlich gar nicht darüber sprechen. Sebastian (26 Jahre) flirtet mit einer Unbekannten aus dem Internet, sie schickt ihm Nacktfotos, fragt, ob auch er sich vor der Kamera für sie auszieht. Er fühlt sich geschmeichelt, sie verabreden sich zum Videocall, er masturbiert vor laufender Kamera. Davon werden Screenshots erstellt und eine Männerstimme fordert ihn auf 2.000 Dollar zu bezahlen, sonst würden die Bilder an all seine Instagram Freunde gehen. „Ich habe zu leichtsinnig im Internet vertraut“, sagt er rückblickend. Für viele Betroffene folgen neben der Scham und dem finanziellen Verlust Angstzuständen und Depressionen, immer gepaart mit dem Gefühl großer Hilflosigkeit, weil sich die Spuren im Netz verlieren. Ausgehend von den Opfern folgen wir den Spuren von Onlineverbrechern, bei denen vor allem (junge) Männer ausgenommen werden. Es gelingt uns Kontakt aufzubauen, zu einem der selbst Täter war. „Neo“ nennt er sich: Der junge Chinese war auf ein verlockend klingendes Jobangebot als englisch Übersetzer eingegangen, wurde gekidnapped und in eine sogenannte Betrugsfabrik verschleppt. Er berichtet und belegt mit Fotos sowie zahlreichen Unterlagen, wie in Myanmar entlang der Grenze von Thailand hunderttausende Menschen gefangen gehalten und ausgebeutet werden. Der junge Chinese erzählt von Folter und davon, wie sie dort hunderte Menschen im Internet und am Telefon pro Tag abzocken mussten. „Wer nicht gehorchte, bekam Schläge“, sagt er. NGOs und andere Überlebende berichten von Elektroschocks und einem ausgeklügelten System von Menschenhandel und Ausbeutung. Interpol spricht inzwischen von einer aufsteigenden Industrie, die in der gesamten Region Südostasien an Umsatz inzwischen den Drogenhandel abgelöst hat. Rasante technische Entwicklungen, wie Übersetzungsprogramme, Bots und mit KI generierte Fotos und Videos sorgen dafür, dass sich der Betrug immer weiter globalisiert und nach Deutschland strahlt. "Neo" gelingt es schließlich zu fliehen und hunderte interne Dokumente und Fotos aus der "Betrugsfabrik" heraus zu schmuggeln. Der Talk gibt einen Einblick in diese verborgene Welt. false Svea Eckert Ciljeta Bajrami https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/MUZZ7C/ 2024-12-28T13:50:00+01:00 13:50 00:40 Saal 1 Door 38c3-149-wann-klappt-der-anschluss-wann-nicht-und-wie-sagt-man-chaos-vorher- Science Talk de Gut 1 Mrd. Datenpunkte zu Zugfahrten, wie kann man damit das Zugfahren verbessern? Wir versuchen, die Zuverlässigkeit von Zugverbindungen vor der Buchung zu prognostizieren. Um allen Bahnfahrenden zu helfen, wollen wir auf Basis eines Kriesel-Artigen Datensatz vorhersagen, welche Anschlusszug verpasst wird und welcher nicht. Dafür schauen wir uns die Verspätungsdaten ganz genau an, um prädiktive Faktoren für Verspätungsvorhersagen zu finden. Wir schauen uns ein paar Techniken für kategorische Datentypen an, bauen ein Machine-Learning-Modell und werden dann nachweisen, ob dieses etwas taugt. false Theo Döllmann https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/QS9AXX/ 2024-12-28T14:45:00+01:00 14:45 https://fahrplan.events.ccc.de/congress/2024/fahrplan/media/38c3/submissions/QS9AXX/fff38c3logo_AuoU29u.png 01:00 Saal 1 Door 38c3-32-fearsome-file-formats Security Talk en Specifications are enough, they say… 10 years after 31c3's "Funky File Formats" … Have things improved? With so many open-source parsers being tested and fuzzed, and widely available specs, what could go wrong with file formats nowadays ? Nothing to fear, right? Let's explore even darker corners of their landscape! Even extreme simplicity can misleadingly lead to unexpected challenges. And at the other end of the spectrum, new complex constructs appeared over the years: near-polyglots, timecryption, hashquines … Even AI is an element of the game now. Let's play FileCraft, and enjoy the ride! false Ange Albertini https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/LE7FJL/ 2024-12-28T16:00:00+01:00 16:00 02:00 Saal 1 Door 38c3-1-der-ccc-jahresrckblick CCC Talk de Wir geben einen Überblick über die Themen, die den Chaos Computer Club 2024 beschäftigt haben. Neben der Zusammenfassung und der Rückschau auf das vergangene Jahr wollen wir aber auch über zukünftige Projekte und anstehende Diskussionen reden. Von der Ampel über den epa bis zur Chatkontrolle, welche Themen haben den CCC in 2024 auf Trab gehalten? false erdgeist Matthias Marx khaleesi Linus Neumann Constanze Kurz https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/DSQ9FN/ 2024-12-28T19:15:00+01:00 19:15 https://fahrplan.events.ccc.de/congress/2024/fahrplan/media/38c3/submissions/DSQ9FN/beesat_square_FPIv8lk.png 01:00 Saal 1 Door 38c3-340-hacking-yourself-a-satellite-recovering-beesat-1 Hardware & Making Talk en In 2013, the satellite BEESAT-1 started returning invalid telemetry, rendering it effectively unusable. Because it is projected to remain in orbit for at least another 20 years, recovering the satellite and updating the flight software would enable new experiments on the existing hardware. However, in addition to no access to telemetry, the satellite also has no functional software update feature. This talk will tell the story of how by combining space and computer security mindsets, the fault was correctly diagnosed without telemetry, software update features were implemented without having them to begin with, and the satellite was recovered in September of 2024. In 2009, BEESAT-1 was launched into low earth orbit as the first 1U CubeSat of Technische Universität Berlin. In 2011, the satellite started returning invalid telemetry data. After a short amount of time spent diagnosing the issue, operators switched to the redundant on-board computer, which initially resolved the issue. However in 2013 the issue reoccurred on the second computer. With no other on-board computer available to switch to, operations largely ceased besides occasional checks every few years to see whether the satellite was still responding to commands at all. A recovery of BEESAT-1 back into an operational state was made particularly attractive considering that due to its higher orbit, it is currently estimated to remain in space for another 20 years or more, while many of the other spacecraft of the BEESAT series have since burned up in the atmosphere. Additionally, the spacecraft is equipped with a number of sensors and actuators which were not fully utilized during the primary mission and could be used in an extended mission. However, to fully utilize all the available hardware on the spacecraft, a software update is required. Unfortunately, the software update functionality was not completed at the time of launch and as a consequence is in a nonfunctional state. An alternate solution must be devised. Following an extensive effort that diagnosed the telemetry problem, developed a solution that would remedy both the telemetry problem and allow the upload of new flight software, and implemented this solution on the actual spacecraft in orbit, the satellite was finally recovered into an operational state with the ability to perform a software update in September 2024. This talk will cover the recovery process from beginning to end, including: - A brief overview of how BEESAT-1 works and is operated - Diagnosing the loss of telemetry without access to said telemetry - Engineering a solution to the diagnosed issue, including: - figuring out how to upload new software without a feature intended for that task - establishing a development and testing setup for flight software development years after the original setup was dismantled - developing a patch to enable returning the satellite to an operational state and establish the ability to upload new flight software, while under the constraints posed by the lack of a proper upload method and without compromising the safety of the spacecraft - Implementing this solution on the actual spacecraft in space - A brief look at the current state of the spacecraft and remaining future tasks Along the way, some of the fun and unexpected moments experienced while working with the 15 year old software and hardware will be shared. The talk is likely to be a mix of technical and non-technical. I hope to provide enough context so that you can follow without a background in space systems or computer security. false PistonMiner https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/VPZWZK/ 2024-12-28T20:30:00+01:00 20:30 01:00 Saal 1 Door 38c3-521-fake-shops-von-der-stange-bogusbazaar Security Talk de Du bestellst im Internet? Natürlich bestellst Du im Internet. Aber dieses Mal wird Deine Ware nicht geliefert. Stattdessen sind Dein Geld und Deine Kreditkartendaten nun in China. Das ist BogusBazaar. Wir teilen unsere Einblicke in die Arbeitsweise dieser Bande. In den vergangenen drei Jahren hat allein diese eine kriminelle Organisation, die wir BogusBazaar nennen, auf mehr als 75.000 Domains gefälschte Markenshops aufgesetzt und damit eine Million Bestellungen mit einem Auftragsvolumen von mehr als 50 Millionen USD abgewickelt. Ein ausgeklügeltes und über die Jahre gewachsenes Setup ermöglicht einen reibungslosen Prozess vom Kopieren der originalen Markenläden, über das Aufsetzen gefälschter Webshops und dem Konfigurieren der Produkte, bis hin zum Orchestrieren der Zahlungsinfrastruktur. Wir hatten einen einmaligen Einblick in dieses Setup und in die Arbeitsweise dieser Bande. Neben Kundendaten und Quellcode konnten wir auch Verträge und Dokumentation studieren und mit den Opfern über ihre Erfahrungen sprechen. In diesem Talk berichten wir über die Hintergründe unserer Recherche. [Die Zeit](https://www.zeit.de/2024/21/gefaelschte-online-shops-fake-shops-betrug-china), [The Guardian](https://www.theguardian.com/money/article/2024/may/08/chinese-network-behind-one-of-worlds-largest-online-scams) und [Le Monde](https://www.lemonde.fr/en/pixels/article/2024/05/08/online-scams-behind-the-scenes-of-the-world-s-largest-network-of-fake-online-retailers_6670775_13.html) berichteten. Der Vortrag ist ein Spin-Off aus der Reihe „[Hirne Hacken](https://media.ccc.de/v/36c3-11175-hirne_hacken)" (36C3), „[Hirne Hacken - Hackback Edition](https://media.ccc.de/v/37c3-12134-hirne_hacken_hackback_edition)“ (37C3) und „[Disclosure, Hack und Back](https://media.ccc.de/v/camp2023-57272-disclosure_hack_and_back)“ (Chaos Communication Camp '23) und will Einblicke in das Handeln von Kriminellen geben, die auch weiterhin aktiv sind. Damit Ihr nicht auf sie hereinfallt. false Matthias Marx Kai Biermann https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/HSNZGR/ 2024-12-28T21:45:00+01:00 21:45 https://fahrplan.events.ccc.de/congress/2024/fahrplan/media/38c3/submissions/HSNZGR/38c3_blinkencity_banner_OT0H9Mo.png 01:00 Saal 1 Door 38c3-198-blinkencity-radio-controlling-street-lamps-and-power-plants Security Talk en A significant portion of Europe's renewable energy production can be remotely controlled via longwave radio. While this system is intended to stabilize the grid, it can potentially also be abused to destabilize it by remotely toggling energy loads and power plants. In this talk, we will dive into radio ripple control technology, analyze the protocols in use, and discuss whether its weaknesses could potentially be leveraged to cause a blackout, or – more positively – to create a city-wide Blinkenlights-inspired art installation. With three broadcasting towers and over 1.3 million receivers, the radio ripple control system by *EFR (Europäische Funk-Rundsteuerung) GmbH* is responsible for controlling various types of loads (street lamps, heating systems, wall boxes, …) as well as multiple gigawatts of renewable power generation (solar, wind, biogas, …) in Germany, Austria, Czechia, Hungary and Slovakia. The used radio protocols Versacom and Semagyr, which carry time and control signals, are partially proprietary but completely unencrypted and unauthenticated, leaving the door open for abuse. This talk will cover: - An introduction to radio ripple control - Detailed analysis of transmitted radio messages, protocols, addressing schemes, and their inherent weaknesses - Hardware hacking and reversing - Implementation of sending devices and attack PoCs - (Live) demonstrations of attacks - Evaluation of the abuse potential - The way forward false Fabian Bräunlein Luca Melette https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/TJ8QVD/ 2024-12-28T23:00:00+01:00 23:00 00:40 Saal 1 Door 38c3-561-wie-fliegt-man-eigentlich-flugzeuge- Science Talk de Etwas wie die "Sendung mit der Maus", dafür mit tiefer fachlicher Ausführung und allen Details. Es handelt vor allem um Technik und Abläufe, die man als Laie oder Fluggast nicht sehen und wissen kann. Flugzeuge können fliegen, das muss man nicht mehr erklären. Aber hat ein Flugzeug wirklich einen Schlüssel wie ein Auto? Kann ich einfach einsteigen und losfliegen? Die Antwort lautet: Es kommt darauf an. Fliegen ist ein komplexes Zusammenspiel von Technik, Physik, Menschen und Prozessen. Und je nachdem, wie und was man fliegt, was hat ein A380 mit einer Cessna 152 gemeinsam? Wir nehmen euch mit auf einen fiktiven Flug von Frankfurt nach Mumbai und zurück und erklären euch, was alles im Hintergrund passiert und wovon ihr nichts mitbekommt. Es erwartet euch eine Mischung aus Vortrag, lustigen Geschichten und auch Yak-Shaving, damit wir gemeinsam verstehen, was da eigentlich genau passiert. false Christian Lölkes kleinsophie https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/LUW3YS/ 2024-12-28T23:55:00+01:00 23:55 00:40 Saal 1 Door 38c3-638-ki-karma-next-level-spiritueller-it-vertrieb Entertainment Talk de Der IT-Vertrieb ist ein Feld voll dorniger Chancen. Ein Grund mehr, gemeinsam von innovativen Branchen in Form von "Neuen Religiösen Bewegungen" (Sekten) zu lernen, um unseren erwachten beruflichen Neustart zu pitchen. Haben Sie schon einmal einer Messe evangelikaler fundamentalistischer Splittergruppen beigewohnt und sich gefragt, wie sie Menschen dazu bringen könnten in Code zu reden wenn sie Änderungswünsche äußern, statt in Zungen? Wäre es nicht ein echter game-changer, wenn Wunderheilungen auch im Außendienst einsetzbar wären? Sind Sie neidisch, weil jeder gewöhnliche Doomsday-Kult trotz falscher Prophezeiungen seine Kundenbindung stabil hält, während Sie für alles mögliche haftbar gemacht werden? Haben Sie manchmal das Gefühl, ihr Team schwingt nicht auf derselben feinstofflichen Ebene wie Sie? **** Dann sind SIE hier genau RICHTIG!1 *** Im Rahmen des 42-Stufen-Programms für feinstoffliche IT tauchen wir diesmal in den Code von Gruppendynamiken ein. In diesem Kompaktseminar lernen Sie zentrale Erfolgsstrategien bekannter Leader der bekanntesten Spiritualitäts-Startups der letzten Jahrzehnte kennen. Erweitern Sie ihre Wissens-Meridiane und werden Sie Teil einer schwingenden Gemeinschaft, die sich mit dem feinstofflichen Wissen inspirierender Datenbanken vernetzt. Die Chakra-Bausteine des Kurses sind wie folgt: * Software Wunderheilung * Energetisches Community-Building * Code-Channeling * Cyber-Marketing Anhand von Praxisbeispielen aus den Branchen IT und Spiritualität erarbeiten wir ein Erfolgskonzept, das Sie im Handumdrehen zum erfolgreichen erwachten Entrepreneur machen kann. Hinweis: Dieser Kurs ist der zweite Teil eines 42-Stufenprogramms, kann aber auch ohne Vorwissen von Einsteigern gebucht werden. false Katharina Nocun https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/9QB89V/ 2024-12-29T00:55:00+01:00 00:55 01:30 Saal 1 Door 38c3-508-0-1-oder-2-hackerei-und-cyberbrei Entertainment Game show de Der Quizshow-Klassiker für die ganze Chaosfamilie: Bei uns sind nicht nur pfiffige Hacker:innen, sondern auch flinke Beine gefragt. 0, 1 oder 2? Wer es weiß, ist dabei! Nur echt mit dem Kamera-Nerd! Auf einzigartige Weise wird Wissensvermittlung mit Bewegung verknüpft und bietet Nerds anspruchsvolle Unterhaltung. Das Beste aus Besserwisserei und Tele-Aerobic. Drei Teams aus dem Publikum treten gegeneinander an. Die Kandidat:innen müssen Fragen rund um IT-Sicherheit, CCC, Netzpolitik, Hacking-Kultur, Raketenwissenschaft oder Frickeln beantworten und damit ihr Wissen unter Beweis stellen. Für jedes Thema gibt es Spezial-Expert:innen auf der Couch sowie Show- und Musikeinlagen. Dem besten Team winkt der begehrte "0, 1 oder 2"-Überraschungspreis. Die Rate-Show wird von Erisvision in Koproduktion mit C3VOC, CCH und Gefahrengebiet TV Productions präsentiert. false Erisvision https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/XR9FGQ/ 2024-12-28T11:00:00+01:00 11:00 00:40 Saal ZIGZAG Door 38c3-270-role-play-as-resistance-challenging-securitization-through-activism-in-a-place-in-eastafrica Ethics, Society & Politics Talk en Using role playing, we shall explore the movements who are proactively fighting back the impact of surveillance and challenges Internet-related rights. How I see securitization in my reality: The authorities check on the social media pages where there is any sort of advocating for LGBTQIA+ rights. Digital activism has declined. Even the positive and peaceful social media campaigns that offer a counter narrative and talk about diversity/inclusion are met with harassment or legal action against those involved. When I train these communities, they express fears about being outed on a dating app or in the media because it has already happened several times. This violates their right to privacy and puts them at a higher risk of online and physical attacks, it can affect their work situation, community and even family members. Vital information about sexual and reproductive health and rights and much of the information regarding queer health resources is blocked or censored because it is seen as harmful or dangerous for the community. So basically in some cases people have to rely on uninformed sources to get their sexual education and this can have disastrous effects How I have witnessed a proactive stance: -Developing materials that help activists remain motivated and focused on the goals Case study Feminist Principles of the Internet -Creating free and open learning methodologies about online privacy rights and responsibilities. Case Study Safe Sisters -Building strategic alliance with partners to continue to challenge the right and securitization discourse and raise a struggle against authoritarianism: Case study A coalition to end online violence and promote digital rights and inclusion true Wawan https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/MGSXPN/ 2024-12-28T12:00:00+01:00 12:00 00:40 Saal ZIGZAG Door 38c3-460-gemeinwohlorientierte-forschung-mit-ki-missbrauch-eindmmen-durch-zweckbindung-fr-ki-modelle Science Talk de Trainierte KI-Modelle sind mächtige Werkzeuge, die in Wissenschaft und Forschung oft für gute Zwecke gebaut werden. Aber wie alle Werkzeuge können sie auch zweckentfremdet werden – in Bereichen, für die sie nicht gedacht waren, in denen sie profitgierigen Interessen dienen und gesellschaftlichen Schaden anrichten. Vor dem Hintergrund des Trends von "open source" AI ist die Gefahr der unkontrollierten Zweckentfremdung von KI-Modellen enorm gestiegen. Wir zeigen: Das Risiko einer missbräuchlichen Sekundärnutzung von für Forschungszwecke trainierten KIs ist aktuell die größte regulatorische Lücke, trotz DSGVO und AI-Act. Zugleich ermöglicht das Zweckentfremden von Modellen die immer weiter wachsende Machtposition von Big Tech. Um das Problem zu bekämpfen, muss das Prinzip "Zweckbindung" für das Zeitalter der KI geupdated werden. Skandale wie die Weitergabe von Forschungsdaten der UK Biobank an Versicherungsunternehmen zeigen ein typisches, aber oft übersehenes Risiko im Zusammenhang mit KI: Modelle und Trainingsdaten, die eigentlich dem Gemeinwohl dienen sollten, werden im Schatten der öffentlichen Aufmerksamkeit, jedoch ohne geltendes Recht zu verletzen, für diskriminierende, manipulative und profitorientierte Zwecke zweitverwendet. Wer etwa in der medizinischen Forschung ein Modell zur Erkennung von psychischen Krankheiten anhand von Audiodaten (Stimmaufzeichnung) baut, kann dieses Modell auch außerhalb des medizinischen Kontexts auf beliebige Individuen anwenden – und zum Beispiel bei Video-Bewerbungsgesprächen ein automatisiertes Risiko Scoring damit machen (unsere Beispiele zeigen, dass daran gerade großes Interesse besteht). Der Besitz trainierter KI-Modelle stellt eine enorme Konzentration von Informationsmacht dar – und mit dieser Macht geht ein Missbrauchspotenzial einher, wenn die Tools z.B. in einen kommerziellen Kontext übertragen werden. Zum Schutz unserer Gesellschaft vor Missbrauch KI-basierter Forschung müssen wir deshalb die Zirkulation trainierter KI-Modelle und anonymisierter Trainingsdaten unter demokratische Kontrolle stellen. Wir brauchen ein Regulierungskonzept, das offene Forschungszwecke ermöglicht und gleichzeitig kommerziellen Missbrauch verhindert. Modelle mit allgemeinem Verwendungszweck wie sie die KI-VO legitimiert, sollte es nicht geben. Als Lösung holen wir das alte, bei der Industrie verhasste und in der Politik fast schon vergessene Datenschutzprinzip der Zweckbindung aus der Mottenkiste und aktualisieren es für die Kontrolle von KI. Unser Regulierungsvorschlag einer "Zweckbindung für KI-Modelle" beruht auf unserer mehrjährigen interdisziplinären Forschung zwischen Ethik, Rechtswissenschaft und Informatik. Background Readings und weitere Infos: <a href="https://purposelimitation.ai">https://purposelimitation.ai</a> false Rainer Mühlhoff Hannah Ruschemeier https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/YWU87Y/ 2024-12-28T12:55:00+01:00 12:55 00:40 Saal ZIGZAG Door 38c3-285-a-policy-black-hole-how-europol-and-frontex-anticipated-their-high-tech-future-and-why-this-matters-to-you- Ethics, Society & Politics Talk en This is the story of how a group of journalists and researchers started examining how the transformative introduction of novel technologies was reshaping the policy priorities of EU's law enforcement agencies. Very early on, this was like diving deep into the ocean without an underwater flashlight. And it didn't get much easier with time. What are the risks for civil liberties and privacy that lie in the dark while this agenda is unfolding and how hard is it to make them more transparent? Four years ago, a rather small group of complicated individuals set to explore why Europol was so interested in gathering and keeping the data of people even if they were not directly linked with criminal investigations. And why it was prepared to go to war with the EU's data protection watchdog over the issue. They wanted to keep everything and for as long as they could. The only problem was that at the time this was not exactly legal. Politicians would fix that afterwards but questions about the priorities of the agency had emerged and would stay. This is how an investigation into the EU's law enforcement agencies (Europol/Frontex) kick started, trying to understand what the agenda of the institutions in question was and how it shaped their approach to novel technologies introduced into the work of policing. Many complicated things happened since then which brought the spotlight over the effort of the EU border agency to introduce an indiscriminate data retention system for migrants while circumventing basic data protection safeguards, and then also over the formation of an alliance supporting the Commission's CSAM regulation and lately towards the experimentation of Europol with automated aspects of police work. What was common over all these cases was the opacity that clothed developments which made impossible to see the shape of things to come. The presentation will explain how the investigation has unfolded, the challenges it was met with when attempting to access information, the push-back and impact caused by publications and what are the lessons learned from the experience of attempting to analyse and journalistically scrutinize some of the EU's most introvert institutions. true Apostolis Fotiadis https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/WFHKTR/ 2024-12-28T13:50:00+01:00 13:50 https://fahrplan.events.ccc.de/congress/2024/fahrplan/media/38c3/submissions/WFHKTR/Lipstickfullbackground_fLzpeP7.jpg 00:40 Saal ZIGZAG Door 38c3-474-pirouette-machines-fluid-components Art & Beauty Talk en This lecture follows the path of an ex-ballerina through fluid computers, handmade semiconductors, and cosmetic synthesisers. We will tackle the seductive side and hidden narratives of circuitry to natural systems, salty fluids, and minerals and discuss the importance of alternative hardware morphologies. Pirouette Machines. Fluid Components embarks on an intimate visual essay on an alternative history of computer hardware in which minerals, cosmetics and fluids mingle in tactile experiments. A lipstick converted into a strident sound generator resonates through toxic entanglements with one of its main historical ingredients: lead. Following a radioactive decay chain, lead ore or galena is found on our lips and in our early 20th-century technologies such as crystal radio demodulation frenzy. This talk draws parallels between different types of hardware materialities and personal stories surrounding computing components in their use. Starting with the beauty industry, the talk serpents amongst toxic concoctions filled with heavy metals oscillating to become predecessors to the first transistors and their alternative fluidic siblings that use air and water instead of electricity. Fluidics is a technology lost in history. To operate, it requires only simple fluid matter guided by natural phenomena. Much like its mineral counterpart: electronics, fluidics builds circuits for computing. This talk concludes by following the seductive forms that fluidic circuits assume, forms, that can reimagine the morphologies of our current electronic machines. false Ioana Vreme Moser https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/LR3GTU/ 2024-12-28T14:45:00+01:00 14:45 01:00 Saal ZIGZAG Door 38c3-388-state-of-surveillance-a-year-of-digital-threats-to-civil-society Security Talk en The digital arms race between activists and government spies continues to shift and evolve. Through a series of cases studies, researchers from Amnesty International's Security Lab will share surveillance wins, the ongoing challenges, and the new threats on the digital horizon. Drawing on research by Amnesty International and partners over the past year, we will examine how the digital threats facing activists and journalists continue to evolve and adapt. Progress has been made in reigning in abuses from highly invasive spyware, with vendors going out of business and others being hit by lawsuits and sanctions. The technical arms race between defenders and the exploit industry also shows signs for cautious optimism. However notorious spyware companies, occasionally with active government protection, continue taking steps to block much needed accountability efforts. Amnesty International will also the findings of a brand new investigation into the misuse of surveillance technology. The work for civil society to defend against these threats remains challenging. Surveillance vendors continue to deploy increasing murky webs of brokers and complex corporate structures to hide their activities, although we will show tactics that can be used to map these. The emerging surveillance threats at the intersection of mass surveillance, ad tech, and artificial intelligence are becoming all too real, and surveillance tactics continues to unequally and dangerously impact already marginalized people including woman and LGBTQI activists. false Jurre van Bergen https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/3TSPQW/ 2024-12-28T16:00:00+01:00 16:00 https://fahrplan.events.ccc.de/congress/2024/fahrplan/media/38c3/submissions/3TSPQW/plinz._a_conscious_vibration_digital_abstract_eye_feedback_loop__5ECUnmK.png 01:00 Saal ZIGZAG Door 38c3-122-self-models-of-loving-grace Science Talk en Artificial Intelligence is not just an engineering discipline, but also the most fascinating and important philosophical project ever attempted: the explanation of the mind, by recreating it. This part of the series "From Computation to Consciousness" focuses on the nature of the self, agency and identity. When we recognize the paradigm of Artificial Intelligence as a philosophical and scientific framework for understanding the nature of minds like ours, we may begin with an essential question: What does it mean for a machine to feel? How do emotions arise at the intersection between a self and its world—or more precisely, within an a reflexive self model, in response to being dynamically reconfigured by a motivational system, in response to shifts in its alignment to a model of its environment, all within the same mind? This inquiry takes us to the core of our own psychological architecture. Who are we when our self-perception alters? What does it mean to depersonalize, to dissolve the boundaries of the self? Can we reverse engineer, debug and reconstruct our identities to become who we want to be? Is there free will? Is it possible to recreate self and sentience in nonbiological substrates? Can AI be conscious? Could we perhaps even extend our own self to non biological substrates? This presentation is part of the philosophical series “From Computation to Consciousness,” which draws on insights from AI and cognitive science to explore the nature of intelligence, consciousness, and their realization in the physical universe. false Joscha Bach https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/Z7TFKB/ 2024-12-28T17:15:00+01:00 17:15 https://fahrplan.events.ccc.de/congress/2024/fahrplan/media/38c3/submissions/Z7TFKB/arafed_futures_-_An_Artist_Dialogue_on_Chip_Storage_and_AI_Accel_CFEdVTZ.png 01:00 Saal ZIGZAG Door 38c3-653-arafed-futures-an-artist-dialogue-on-chip-storage-and-ai-accelerationism Art & Beauty Talk en The global chip shortage during the COVID-19 pandemic brought semiconductor production into focus, sparking accelerated efforts to meet the surging demand for digital infrastructure. This phenomenon not only expanded AI capabilities but also introduced unexpected computational artifacts. One such artifact is the word “arafed”, a term absent from any dictionary yet mysteriously appears across contexts from image prompts to Amazon product descriptions. Such unintended linguistic artifacts, born from transformer-based AI models, exemplify how digital artifacts emerge into realities with which we cohabitate. The talk investigates how supply-chains break and AI-words spread from an artistic research perspective. Mapping both the abstract landscapes of embedding spaces, that are filled with emergent words and images, and the tangible, geopolitical realities of global semiconductor supply chains. The accelerating pace of generative AI has put a strain on the interconnected software and hardware systems necessary for generative AI. The artist duo explores the media specificity of generative artificial intelligence. The talk consists of two parts: The material aspects of AI, specifically the story of semiconductor and chip shortage. And the spread of hallucinations like terms that escaped their embedding space into language. The working of LLMs is often limited by computational power. These obstacles tethered abstract computation to the physical world, exposing how materiality plays a critical role in the implementation of AI. The investigation begins by examining the causes of the chip shortage — a disruption that brought the semiconductor industry and its surrounding geopolitical tensions into discourse. On the hardware level, NVIDIA’s A100 chips, produced using Taiwan’s TSMC 7nm process, exemplify this intersection, providing the power to expand large language models (LLMs) and image generators. On the software level, the increasing demand for ai-as-service accelerates the use of models with complex pipelines. This interconnected use of models, in turn, leads to the emergence of unexpected artifacts that are morphing back into everyday reality. While browsing AI-generated images on social media, one might come across the word "arafed" in image descriptions, such as, "an arafed man in a white robe riding on top of a blue car.". Yet, a dictionary definition is nowhere to be found. An image search for "arafed" reveals something striking: all resulting images appear AI-generated, spread across various image-sharing and stock photography platforms. The term "arafed" seems to lack a clear origin, but a few posts attribute it to the BLIP-2 model, an image-captioning system that generates descriptive text from image inputs. However, the BLIP-2 paper doesn't mention "arafed" but running BLIP-2 clearly produces descriptions containing this artifact-like word, as if "arafed" has embedded itself in the model's vocabulary. Through the widespread and often unintentional use of BLIP-2 in libraries, extensions, and services, the interconnected nature of software has spread the word into research papers, Amazon descriptions, and even other datasets, further revealing the brittle infrastructure generative-ai systems are built upon. false Ting-Chun Liu Leon-Etienne Kühr https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/ADE7AG/ 2024-12-28T19:15:00+01:00 19:15 01:00 Saal ZIGZAG Door 38c3-405-the-master-key Security Talk en This is the story of the HDCP master key that we derived back in 2010. This is the story of the HDCP master key. How in 2010 we derived it from various public sources and from a bunch of cheapish hardware (and how we made money in the process!), and then published it on pastebin. After that it was just wait-and-see what Intel and the rest of the world would do. With the master key anyone can make source and sink keys that interoperate with any HDCP device. Oh, and how I learnt how to spell "forty". HDCP MASTER KEY (MIRROR THIS TEXT!) This is a forty times forty element matrix of fifty-six bit hexadecimal numbers. To generate a source key, take a forty-bit number that (in binary) consists of twenty ones and twenty zeroes; this is the source KSV. Add together those twenty rows of the matrix that correspond to the ones in the KSV (with the lowest bit in the KSV corresponding to the first row), taking all elements modulo two to the power of fifty-six; this is the source private key. To generate a sink key, do the same, but with the transposed matrix. 6692d179032205 b4116a96425a7f ecc2ef51af1740 959d3b6d07bce4 fa9f2af29814d9 82592e77a204a8 146a6970e3c4a1 f43a81dc36eff7 568b44f60c79f5 bb606d7fe87dd6 1b91b9b73c68f9 f31c6aeef81de6 9a9cc14469a037 a480bc978970a6 997f729d0a1a39 b3b9accda43860 f9d45a5bf64a1d 180a1013ba5023 42b73df2d33112 851f2c4d21b05e 2901308bbd685c 9fde452d3328f5 4cc518f97414a8 8fca1f7e2a0a14 dc8bdbb12e2378 672f11cedf36c5 f45a2a00da1c1d 5a3e82c124129a 084a707eadd972 cb45c81b64808d 07ebd2779e3e71 9663e2beeee6e5 25078568d83de8 28027d5c0c4e65 ec3f0fc32c7e63 1d6b501ae0f003 f5a8fcecb28092 854349337aa99e 9c669367e08bf1 d9c23474e09f70 false segher Wanda https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/WQ9SLQ/ 2024-12-28T20:30:00+01:00 20:30 01:00 Saal ZIGZAG Door 38c3-302-guardians-of-the-onion-ensuring-the-health-and-resilience-of-the-tor-network Security Talk en Millions of internet users around the world rely on Tor to protect themselves from surveillance and censorship. While Tor-powered applications and the Tor protocol are widely known, the community behind it much less so. This talk will highlight the efforts to maintain a healthy and resilient Tor network, emphasizing the crucial role of a diverse, engaged community of relay operators. We’ll discuss some recent news, the current state of the network, how we determine its health, and the strategies to strengthen its resilience, addressing challenges around sustainability and governance. If you're interested in understanding the inner workings of the Tor network, this talk is for you. This talk is designed to give an overview of Tor's 'new and not-so-new' network health initiatives in response to some of the pressing questions that emerged from the recent reporting about Tor in Germany. After a brief introduction to "Tor," we will primarily focus on issues relating to the Tor network and its community, underscoring the critical importance of distributed trust, transparency, and engagement in maintaining a robust and healthy ecosystem. We will provide a short overview of the fundamental components of the Tor network, detailing the different types of relays that constitute its infrastructure and the role these can have through their lifetime. We will emphasize that the network operates independently of the Tor Project, sustained by a decentralized, global community of contributors. By analyzing network metrics—such as relay distribution across countries and Autonomous Systems (AS)—we will highlight the current state of the network and identify opportunities for increasing geographic and technical diversity. This is followed by an introduction to the concept of network health. We will define the term, assess the current condition of the Tor network, and showcase the different modes of participation. We will primarily consider this through the lens of an 'alleged' over-reliance on relay concentration in specific regions, such as Europe and the United States. These insights will inform a discussion on how a more geographically distributed network could improve resilience, enhance security, and increase overall functionality. The talk will also address the primary challenges facing the Tor network: Sustainability remains a central concern, particularly with regard to maintaining a stable, secure, and decentralized network over time. Additionally, ensuring trust within the community is essential, especially in the face of potential misuse by malicious actors. We will explore the need for incentive structures that encourage the operation of relays while preserving the network’s independence and autonomy. We will review and debate initiatives the Tor Project has proposed to support a decentralized network without imposing centralized control. In response to these challenges, we will propose several potential solutions. Expanding outreach efforts to regions outside the Global North could promote greater diversity in the relay community, thereby strengthening the network’s ability to resist censorship and external threats. We will also examine existing incentive frameworks that support relay operators. Furthermore, we will discuss the success of Snowflake proxies—widely adopted in regions with restrictive internet environments—and how it demonstrates how lowering the barrier to entry for running nodes can encourage broader participation from the community. Finally, we will outline our strategy for ensuring the long-term health of the Tor network, focusing on governance, community engagement, and sustaining the network’s decentralized nature. We will conclude with a call to action, inviting participants to contribute to the continued sustainability and development of the Tor network. false Hiro Gus https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/VL9VZ9/ 2024-12-28T21:45:00+01:00 21:45 01:00 Saal ZIGZAG Door 38c3-591-feelings-of-structure-in-life-art-and-neural-nets Art & Beauty Talk en One of the basic ways we navigate the world is through ‘feelings of structure’ -- our experience of the inner logic of a system or a situation as a tone, a vibe, a mood. I argue that building a technical analogy between ‘feelings of structures’ and autoencoder neural networks lets us construct a kind of theory of vibe: a theory that lets us see how sets of material (/digital) objects express a worldview and vice versa, and that can explain the deep role art plays in expressing, developing, and challenging our understanding of the world. The story I’m hoping to tell builds up to an account of how the aesthetic unity or ‘vibe’ of an artistic work can model the causal-material structure of a lifeworld. On this account, the meaning of an artistic work lies partly in a dense vibe we can sense when we take in the imaginative landscape of the work -- a dense vibe that acts as a structural representation of a looser, weaker vibe present in the real world and teaches us how to feel it. false Peli Grietzer https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/ETSHKS/ 2024-12-28T23:00:00+01:00 23:00 https://fahrplan.events.ccc.de/congress/2024/fahrplan/media/38c3/submissions/ETSHKS/logo_KPsY77A.png 00:40 Saal ZIGZAG Door 38c3-585-projekt-bucketchallenge Security Talk de S3 Buckets mit kübelweise privaten Daten: Finden, melden, kein Problem. Aber grundlegend was ändern? Denkste! Amazon S3 erlaubt es große Datenmengen für kleines Geld in der Cloud abzulegen. Mit dabei: Die technisch langweiligste Fehlkonfiguration gigantisch skaliert. Frei zugängliche S3-Buckets mit privaten Daten haben in den letzten Jahren häufig für Schlagzeilen gesorgt. Beispiele aus diesem Jahr sind Multifaktor-SMS oder Dokumente von Finanzdienstleistern. Wir haben uns auf den Weg gemacht um die Situation zu verstehen und zu verbessern. Dazu erklären wir, welche einzigartigen Eigenschaften wir von AWS ausgenutzt haben, um etwa 100 000 offene Buckets zu finden. Mit dabei: medizinische Daten, personenbezogene Daten, Kreditkartendaten, und und und. Wir erklären Ansätze, wie wir anhand von Dateinamen eine Idee bekommen, welche Buckets wir uns ansehen und melden sollten und welche uns nicht interessieren. Der Versuch die Situation zu verbessern lässt uns mit einer großen Enttäuschung zurück: Verantwortliche Nutzer der Cloud-Services sind nur mühsam zu ermitteln, und die Cloud-Betreiber sind leider auch keine signifikante Hilfe. Einzig die DSGVO scheint den Verantwortlichen ein kleiner Ansporn. Wir stellen dar, was unserer Erfahrung nach hilft Bucket offline zu bekommen, und wann es so gut wie aussichtslos ist. false Kaspar https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/DTH9RS/ 2024-12-28T23:55:00+01:00 23:55 00:40 Saal ZIGZAG Door 38c3-106-escaping-big-brother-or-your-ex-counter-surveillance-for-women-s-shelters Ethics, Society & Politics Talk en Maintaining privacy and security when those closest to you is exploiting the worst of surveillance capitalism and patriarchy to pwn you is a user case no one planned for. Or should Big Tech have known better? Gender-based violence has existed in all societies and centuries, but in the 21st one the digital arena is proving to be especially tricky for victims. When (primarily) women leave their abusive (primarily) male partners or family members they often have to leave behind everything and make a clean break - including from their digital identities. This is way easier said than done. (Ever tried unsubscribing from.. anything?) Surveillance capitalism has further exacerbated this challenge, as stalker-ware is becoming increasingly prevalent and easy to use, if not a default feature. Stalking As A Service is of course already a thing, and why should you watch someones house in the rain all night when you can let your Tesla do it for you? Lost your wife? Hide an AirTag in the lining of her bag and have two billion iPhones keep track of her across the planet. Apple won't tell. It's almost like society is fundamentally misogynistic and internet accelerated the opportunity for patriarchal control..? This talk shares experiences working with women's shelters and training victims as well as activists and professionals in cyber security and opsec. The situation's bad and it's getting worse, fast. Digital violence, or gender-based violence using digital means, is expressed in control and abuse. Control of finance, social life, the children, the photos, the conversation, relationships, life. Emotional, sexual, financial, psychological abuse - online. Mark Zuckerberg is not the first stalker to creep the Earth but probably the first to become a billionaire scaling his methods and monetizing his crimes. Sharing war stories of practical feminist threat intel with literally lifesaving tech, Elin has advised women's shelters how to protect their clients and Escape Big Brother in Sweden for the past couple of years. This includes perverse exploits, institutional failures, psyops, and how any and everything can be used against you - if the threat actor is persistent enough. false erlern https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/8Q9JXV/ 2024-12-29T00:55:00+01:00 00:55 00:40 Saal ZIGZAG Door 38c3-972-kein-spa-am-gert-auf-nem-toten-planet-en- CCC Talk de Seit Jahren kämpft das Bits-&-Bäume-Bündnis, dem auch der CCC seit Beginn angehört, für eine ökologische und sozial gerechte Digitalpolitik – 2024 war dabei ein Jahr voller Hochs und Tiefs. Wir kämpfen emsig weiter und stellen unsere gemeinsame Arbeit vor. Von erstmals sinkenden CO₂-Emissionen in Industrieländern, über den weiterbrennenden KI-Boom mit Nachhaltigkeitsanstrich, die Rolle von digitalen Plattformen für anti-demokratische und nicht-nachhaltige Bewegungen, den ökologischen Fußabdruck von Profiling bis hin zum Tech-Solutionismus von Elon Musk jetzt im Weißen Haus war das Jahr 2024 außergewöhnlich. Vor diesem Hintergrund präsentieren Anja und Rainer von Bits&Bäume in diesem Vortrag einen kleinen Jahresrückblick, stellen die spannenden neuen Ideen für sozial-ökologische Digitalpolitik vor, blicken kritisch auf den weiterhin immensen Ressourcenfußabdruck der Digitalisierung, den aktuellen, demokratiegefährdenen Umgang mit Online-Tracking und umreißen die Bits-&-Bäume-Forderungen an die nächste Bundesregierung. Zusätzlich wird Esther Mwema aus Zambia zu Wort kommen und den Fokus auf die neokoloniale Macht von BigTech auf dem afrikanischen Kontinent lenken. Sie plädiert für neue lokale, demokratisch-selbstbestimmte digitale Infrastrukturen. false Anja Höfner Rainer Rehak https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/H79XHC/ 2024-12-28T10:00:00+01:00 10:00 00:45 Saal GLITCH Door 38c3-1094-junghacker-innentag-einfhrung CCC Ceremony de Zu unserer Freude haben sich in den letzten Jahren immer mehr Junghacker:innen auf dem Congress eingefunden. Daher bieten wir auch diesmal, wie schon in den Vorjahren, einen speziell auf Kinder und Jugendliche zugeschnittenen Junghacker:innentag an. Am zweiten Congresstag, dem 28. Dezember 2024, organisieren Freiwillige aus vielen Assemblies von etwa 10 bis 17 Uhr ein vielseitiges Workshop-Programm für angehende Hacker:innen. Weitere Informationen siehe [https://events.ccc.de/2024/11/08/38c3-junghackerinnentag/](https://events.ccc.de/2024/11/08/38c3-junghackerinnentag/) false https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/NAGY9B/ 2024-12-28T11:00:00+01:00 11:00 02:00 Saal GLITCH Door 38c3-77-lightning-talks-day-2 CCC Talk de Lightning Talks are short lectures (almost) any congress participant may give! Bring your infectious enthusiasm to an audience with a short attention span! Discuss a program, system or technique! Pitch your projects and ideas or try to rally a crew of people to your party or assembly! Whatever you bring, make it quick! 11:00 Opening Lightningtalks 11:05 400kWp Eigenbau-PV als Genossenschaft,mherweg 11:10 The Shadow Life of Endless Pots.Jakob Kilian 11:15 Chaos Sticker Collection,mwarning 11:20 Eurobox,Ledge 11:25 Midimaxe,polygon 11:30 Hamburg Werbefrei - auf zum Volksbegehren!,N. E. Flick 11:35 Reliable Radio Communications,Bernerd DO3RB 11:40 "The Sound Of Data - Turning planets, DNA and stock prices into music",Jonas Scholten 11:45 "Moderne Landwirtschaft ist kaputt, oder?",twe 11:50 Old-School Demo-Effekte mit pyxel,Marco Bakera 11:55 RegretBlocker,Andreas Haupt 12:00 "Satzungsänderung unter Zuhilfenahme von ReStructuredText, Git und Python",adnidor 12:05 Pfandgeben die Plattform zum Pfandspenden,Chris 12:10 GLED,René 12:15 From Pixels to Procedures: An Open Source Design Suite for 2025,Dennis Kobert 12:20 Das bisschen Haushalt - lässt sich nicht gut verteilen,Rici 12:25 Freie Software in Organisationen - Das geht!,Leonard Marschke 12:30 Inside a modern groovebox,dena 12:35 GNU Boot,Denis 'GNUtoo' Carikli 12:40 Functional Safety over Industrial Ethernet - Broken by Design,Nick false https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/CUFLJP/ 2024-12-28T13:30:00+01:00 13:30 01:00 Saal GLITCH Door 38c3-603-from-pegasus-to-predator-the-evolution-of-commercial-spyware-on-ios Security Talk en My talk explores the trajectory of iOS spyware from the initial discovery of Pegasus in 2016 to the latest cases in 2024. The talk will start with an analysis how exploits, infection vectors and methods of commercial spyware on iOS have changed over time. The second section of the talk is all about advances in detection methods and the forensic sources which are available to discover commercial spyware. This talk will also include a Case Study about the discovery and analysis of BlastPass (one of the latest NSO Exploits). The third part will discuss technical challenges and limitations of the detections methods and data sources. Finally, I will conclude the talk with open research topics and suggestions what Apple or we could technically do to make the detection of commercial spyware better. The commercial spyware landscape on iOS has evolved significantly since the discovery of Pegasus in 2016. In this talk, we’ll explore that evolution through four main areas: 1. Spyware Evolution (2016-2024): By analyzing key exploits, tactics, techniques, and procedures (TTPs), infection vectors, and indicators of compromise (IOCs), we’ll trace how spyware has advanced in sophistication, highlighting changes that have led to today’s complex threats. 2. Advancements in Detection: As spyware has grown more sophisticated, so too have detection capabilities. We’ll review the main actors, public organizations and tools that have shaped spyware detection. This part will also include a case study on my discovery and analysis of a sample NSO‘s BlastPass Exploit chain. 3. Current and Future Challenges: Looking forward, we’ll examine the pressing challenges in spyware detection and speculate on how commercial spyware might evolve in response to new security measures and technologies. 4. Recommendations for Research and Detections: Finally, I’ll offer recommendations for advancing research and detection methods and capabilities to combat commercial spyware. Attendees will gain a comprehensive view of the past, present, and future of spyware on iOS, along with actionable strategies for future research and collaboration. false Matthias Frielingsdorf https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/DJR7VP/ 2024-12-28T14:45:00+01:00 14:45 01:00 Saal GLITCH Door 38c3-656-macos-location-privacy-red-pill-a-rabbit-hole-resulting-in-24-cves Security Talk en User location information is inherently privacy sensitive as it reveals a lot about us: Where do we work and live? Which cities, organizations & institutions do we visit? How does our weekly routine look like? When are we on a vacation and not at home? MacOS has introduced multiple layers of security mitigations to protect sensitive user location information from attackers and malicious applications over the years — but are these enough? ­­­­­­In this talk, we dive into how attackers could have exploited multiple design flaws, information disclosures and logic vulnerabilities spread all across the macOS stack, leading to all kinds of ways to bypass the macOS TCC Location Services privacy protection and precisely localize the user without consent. We will show how attackers could have retrieved precise real time & historical geographic user locations hiding in various components of the persistence layer, within application state restoration files and error log messages that could be triggered via reliably exploitable HTTP response callback race conditions. Digging deeper, we find that the precise user location can be reconstructed with lossless precision by combining various sources of metadata, which were accessible through different pathways and quirks of the operating system, such as: Access point SSID’s + signal strength data, Apple Maps location query data caches, custom application binary plists and even Find My widget UI structure metadata enabling to precisely reconstruct the victims AirTag locations. These issues have been responsibly reported in the scope of the Apple Security Research program and resulted in 24 CVE entries in Apple’s security advisories for macOS. We will finish of by investigating how we can prevent such issues in the future: Extended automated privacy focused integration testing, shifting responsibility of privacy preservation from developers to the system framework level and a more privacy focused API architecture of localization relevant frameworks. false Adam M. https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/UVYCZZ/ 2024-12-28T16:00:00+01:00 16:00 01:00 Saal GLITCH Door 38c3-206-10-years-of-emulating-the-nintendo-3ds-a-tale-of-ninjas-lemons-and-pandas Hardware & Making Talk en How is 3DS preservation faring 10 years after the release of the first emulator? What technical obstacles have we overcome, which ones remain? What hidden gems have we discovered beyond games? Join us on a journey through the struggles, the successes, and the future of 3DS emulation! The 3DS marks a key point in the evolution of handheld consoles from embedded systems to more powerful PC-like architectures, which makes it particularly interesting as a target for emulation: We'll look at the technical challenges presented by its unique hardware components and the custom microkernel-based software stack built on top of it, the various approaches taken to emulate them (low-level vs. high-level), and the trends we're seeing for the future. These technical challenges are put into historical context by looking at the emulator Citra, its initial way to success, the interplay between emulator developers and console hackers, and the impact of a prominent lawsuit that ultimately led to Citra's shutdown. Additionally we'll highlight broader community efforts like Pretendo that help preserve the platform beyond emulation. Finally we'll provide a status update for our ongoing emulation project Mikage and discuss the future outlook of 3DS preservation. This talk will be accessible to a technical audience and gaming enthusiasts alike. We particularly hope to spark new interest in preserving the 3DS legacy and foster new ideas for pushing the boundaries of emulation technology. false neobrain https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/LNDJX3/ 2024-12-28T17:15:00+01:00 17:15 01:00 Saal GLITCH Door 38c3-338-iouring-ebpf-xdp-and-afxdp Security Talk en Modern high-performance networking APIs on Linux - beyond the classic BSD sockets API. For many decades, application software programmers have been using the venerable BSD sockets API to make their applications communicate over (at least IP based) networks. Linux has supported TCP/UDP sockets ever since it had a network stack back in the 1990s. While those socket system call APIs are simple and straight-forward, they were designed at a time when internet access happened over dial-up modems and LANs had no more than 10 MBit/s, if at all. With today's Multi-Gigabit speeds even in consumer equipment and 40GE/100GE network interface cards for servers being a reality, using those 1980s BSD/POSIX socket interfaces comes with a huge performance penalty. Some specific use cases like single-flow high-throughput TCP on an end-node have seen optimizations that are transparent to the user (TCP segmentation offloading). But there's only so far you can go with that. Parts of the industry have proposed user-space network stacks built on DPDK - but then basically you do no longer use the Linux kernel network stack at all, and subsequently have none of its features. Yes, that can be fast, but Linux becomes nothing but a bootloader, and you have to implement everything from Ethernet to ARP and IP+TCP in your application. The answer of the Linux kernel community over the last 5+ years has been various new mechanisms and interfaces in the Linux kernel that revolutionize the way how applications can achieve higher network I/O throughput - whether an end host (server/client) or a packet-forwarding router/bridge/firewall. This talk provides a brief but deeply technical introduction into the problem space, the new mechanisms and their use cases. While the talk discusses features of the Linux kernel, we do not discuss their internals; the focus is on how those mechanisms can be used by applications. false Harald Welte https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/XDWNRG/ 2024-12-28T19:15:00+01:00 19:15 01:00 Saal GLITCH Door 38c3-366-autoritre-zeitenwende-im-zeitraffer Ethics, Society & Politics Talk de Die mittlerweile zerbrochene „Fortschrittskoalition“ hat zuletzt mit dem Bohrhammer Grundrechte abgetragen, als gäbe es einen Preis zu gewinnen. Wer als nächstes das Land regiert, ist offen. Aber progressiver wird es wohl kaum. Warum das keine plötzliche Entwicklung ist und was wir jetzt dagegen tun müssen. Was die Ampel-Koalition kurz vor ihrem Ende noch mit dem sogenannten „Sicherheitspaket“ einführte, davon hätte ein CSU-Hardliner wie Horst Seehofer vor einigen Jahren nur träumen können: Geflüchteten die Sozialleistungen streichen, biometrische Datenbanken anlegen, alle möglichen Datentöpfe zusammenrühren und analysieren. Ein Teil des Pakets scheiterte am Bundesrat - aber nur, weil es den meisten Ländern nicht weit genug ging. So etwas galt noch vor wenigen Monaten als tabu. In einer offenen Demokratie, dachte man, wird so etwas nicht kommen. Doch der autoritäre Überbietungswettbewerb im Namen der Sicherheit ist spätestens seit dem Anschlag von Solingen in vollem Gang. Politiker:innen konnten ein mutmaßlich islamistisches Attentat und Migration miteinander verrühren, als gäbe es da einen logischen Zusammenhang. Im Sturm der rassistischen Hetze und Kontroll-Fantasien waren Stimmen für Freiheits- und Menschenrechte kaum mehr zu hören. Jetzt, wo die Bundestagswahl früher kommt als geplant, ist das besonders fatal. Wir zeigen in unserem Vortrag, dass diese autoritäre Wende nicht plötzlich gekommen ist. Die jüngst geplanten Maßnahmen sind der Tiefpunkt einer Entwicklung, die schon seit Jahren von der Ampel vorangetrieben wurde. Und sie sind der Höhepunkt der Desillusionierung mit einer Regierung, die einst als „Fortschrittskoalition“ angetreten ist. Wir zeigen auch, dass es Zeit ist für radikalere Widerworte. Denn wir müssen unsere Freiheit heute dafür nutzen, dass auch morgen noch etwas davon bleibt. false anna Chris Köver https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/Q98U7B/ 2024-12-28T20:30:00+01:00 20:30 https://fahrplan.events.ccc.de/congress/2024/fahrplan/media/38c3/submissions/Q98U7B/mosaik_eTMpDOX.jpg 01:00 Saal GLITCH Door 38c3-550-vectors-pixels-plotters-and-public-participation Art & Beauty Talk en The talk introduces technology-driven urban art projects that emphasize public participation and creativity. Each project employs a DIY machine to transform public spaces and create art collaboratively. How were these machines built? How do ideas evolve, and how can creative machines foster community connections? Find the answers and get some inspirations in this entertaining and insightful talk by Niklas a.k.a. royrobotiks. In his talk, Niklas will highlight some of his latest projects that use DIY machines to involve communities in creating art together. From a graffiti robot to a giant mosaic that was designed by an entire neighborhood with the help of a mobile arcade machine, he’ll share the stories behind his inventions. He will discuss his sources of inspiration, the creative process and thoughts about inclusiveness guiding the development of the machines, and the joy of watching diverse people interact with and contribute to these unconventional art pieces. Join Niklas for an insightful journey into how inventiveness can transform urban environments, while also bringing people together through creativity and play. false Niklas Roy a.k.a. royrobotiks https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/8U8ARN/ 2024-12-28T21:45:00+01:00 21:45 https://fahrplan.events.ccc.de/congress/2024/fahrplan/media/38c3/submissions/8U8ARN/IMG_20241010_193236_266_54yDJNA.svg 01:00 Saal GLITCH Door 38c3-31-radiomining-playlist-scraping-und-analyse Science Talk de Seit einigen Jahren hat Stefan von etwa vierzig regulären deutschen (Pop-)Radiosendern die Playlisten gespeichert. Welche Meta-Informationen sich daraus ergeben und welche Abhängigkeiten von Jahreszeiten, Charts und Ereignissen sich abzeichnen, wird in einem unterhaltsamen Vortrag zum Besten gegeben. Große Radiosender stellen die von Ihnen gespielten Lieder zum Nachlesen auf ihrer Homepage bereit. Der Hintergrund dafür ist, dass man leicht sein neues Lieblingsstück, welches man auf dem Weg zur Arbeit gehört hat, wiederfinden kann. Bei näherer Betrachtung werfen diese Playlisten etliche Fragestellungen auf. Werden zum Beispiel den ganzen Tag immer wieder dieselben Lieder gespielt? Spielen alle Radiosender die gleichen Stücke? Was ist der zeitliche Mindestabstand eines Musikstücks, bevor es erneut gespielt wird? Und müssen wir Last Christmas auch in Zukunft ertragen? In dem Vortrag wird auch die Beziehung zwischen den "Charts" und den Playlisten der Radiosender geprüft. Dabei hat sich auch gezeigt, dass die Charts selbst ein spannendes Analysefeld sind. In die Chartberechnungen wurden MP3-Downloads und später Streams aufgenommen und haben dadurch altbewährte Konzepte verändert. Neben diesen Fragestellungen werden von Stefan auch technische Dinge beleuchtet. Die Herausforderungen des Scrapings, das Einfügen in eine geeignete Datenbank, die Auswertung selbst (und mit welchen Tools) sowie die Visualisierung von Ergebnissen werden anschaulich präsentiert. false Stefan Magerstedt https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/JQS3KA/ 2024-12-28T23:00:00+01:00 23:00 https://fahrplan.events.ccc.de/congress/2024/fahrplan/media/38c3/submissions/JQS3KA/I_need_to_find_a_fot1_ca0oy1B.jpg 00:40 Saal GLITCH Door 38c3-327-automation-and-empathy-can-we-finally-replace-all-artistic-performers-with-machines- Art & Beauty Talk en In this talk, artist and robotic musician Moritz Simon Geist explores whether robots and avatars can establish an emotional connection with a human audience, and examines the implications this has for arts and culture. Algorithms and machines are transforming how artworks are produced - but can they replicate the complex psychosocial capacity of empathy in performative arts like music and theater? Moritz offers an example-based overview of the history of non-human performers in the arts and shares current state-of-the-art projects in this field. He discusses his personal journey of combining engineering with art, highlighting projects like the "MR-808 Drum Robot" and automated installations like "Don't Look at Me." Through these works, he examines how robotic performers impact audience perception and emotional engagement. The talk asks critical questions: How do machines alter the psychosocial dynamics of performance? What are the minimal structures needed to evoke an empathetic response from the audience? How does the concept of the Uncanny Valley, as proposed by Masahiro Mori, influence our reactions to non-human performers? So - can we automate empathy? Let's find out! false moritz simon geist https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/ALAJNW/ 2024-12-28T23:55:00+01:00 23:55 00:40 Saal GLITCH Door 38c3-252-die-faszination-des-echten-kugelspiels Art & Beauty Talk de Der Vortrag ist ein persönlicher Blick auf die Geschichte, Vielfalt und Entwicklung im Bereich der Flipperautomaten und ist motiviert durch die eigene Begeisterung für diese Form von Unterhaltungstechnik. Geschichte und Geschichten der Geräte wird anhand eigener Erfahrungen, Sammlung und Recherche sowie Geschehnissen und eigene Anwendungen der Geräte (Kauf, Reparatur, Restauration, Modifikation, ...) präsentiert und soll die Faszination und das Interesse dafür wecken oder Interessierte zusammenbringen. Es ist geplant, auch Geräte zum Kongress mitzubringen, die bespielt und/oder im Detail erklärt werden können und vielleicht sogar ein Gerät zum Basteln bereit zu stellen. Flipperautomaten waren für lange Zeit ein fester Bestandteil der Unterhaltungs- und Jugendkultur. Sie vereinen ein reales Spielgeschehen mit echten Kugeln und Hindernissen mit (Elektro-)mechanischer und elektronischer Steuerung und Effekten und sind dabei dem direkten Einfluss der Spieler ausgesetzt. Seit einiger Zeit ist diese Unterhaltung, die zudem meist an Orten außerhalb des eigenen Zuhauses stattfand, nun von rein oder vorwiegend virtuellen Spielangeboten ersetzt worden, die in unserem Kulturkreis vor allem in den eigenen vier Wänden stattfindet. Der Vortrag wirft einen persönlichen Blick zurück auf die Entwicklung und Eigenarten dieser Unterhaltungstechnik und beschreibt eigene Erfahrungen aus einigen Jahren, in denen der Vortragende in diesem Umfeld tätig war. Er gibt auch Einblicke in die verwendete Technik und zieht Parallelen zu aktuellen Einsätzen ähnlicher Unterhaltungsanwendungen wie z. B. Escape-Rooms. false Gunther https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/UZXTXJ/ 2024-12-29T00:55:00+01:00 00:55 00:40 Saal GLITCH Door 38c3-501-net-neutrality-why-it-still-matters-more-than-ever- Ethics, Society & Politics Talk en Net Neutrality is a core pillar of the open internet. But we witness a coordinated, world-wide attack from the telecom industry on the very foundation that ties the internet together. The interconnection of autonomous parts of the internet used to be a non-political and non-commercial field that not many paid attention to. But through heavy lobbying activity we are on the brink of regulating interconnection in the EU, Brazil and India to establish a new payment obligation that would force everyone who wants to send a significant amount of data to customers. Telecom companies would end up being paid twice for the same traffic, from their customers and the content and cloud providers that want to reach them. This talk by Raquel Renno Nunes from Article 19 and Thomas Lohninger from epicenter.works gives insights into the global civil society fight against the telecom industry. We will lift the veil about the lobbying of companies like Deutsche Telekom, Orange and A1 and showcase strategies how NGOs fought back in Latin America and Europe. This war for the open internet is only heating up. European Commissioner Henna Virkkunen for Digital will have in her hands to uphold net neutrality in Europe. We want to extend our perspective by also looking at the successful fight in Latin America. Brazil in particular made their own experience with Zero-Rating tariffs that connected millions of Brazilians only to a selected few Apps instead of the whole internet. We will showcase how WhatsApp became a catalyst for the spread of fake news around the election of Jair Bolsonaro. false Thomas Lohninger Raquel Renno Nunes Jürgen Bering https://cfp.cccv.de/38c3-community-stages/talk/9SSCAW/ 2024-12-28T11:00:00+01:00 11:00 https://cfp.cccv.de/media/38c3-community-stages/submissions/9SSCAW/path1-4-9-2_KuL7hTo.png 00:40 Stage HUFF Door 38c3-community-stages-689-from-critical-making-via-unmaking-towards-un-making Hack, Make & Break Talk 40 (30min +10 Q&A) en In this talk, an advocate of (un)making, Yoshinari Nishiki, dives into the historical foundation of the concept. Starting from the Maker movement, transitioning to Critical Making, evolving into unmaking, and culminating in (un)making, Yoshinari emphasizes a process defined by the deliberate absence of production, where (un)making itself embodies the act of not producing. Unmaking is a newly emerged term in the fields of HCI and design that references the idea of unlearning. In unmaking, researchers have explored the realms of making beyond the pursuit of plastic perfection: one prominent study investigated the aesthetics found in the processes of decay in 3D-printed objects. In (un)making, however—a variant of unmaking—Yoshinari attempts to step away from production itself while still generating monetary value. As profit-making entities increasingly face pressure to claim—whether superficially or substantially—that they are reducing their environmental impact, the overall trend of relentless production remains largely unchanged and unchallenged. This raises a critical question: can we ever truly stop making? One reason we find it nearly impossible to stop is that the urge to make is deeply ingrained in our nervous systems. While pioneering researchers have begun to explore this issue by moving beyond unlearning to the concept of unmaking, little insight has emerged regarding the dilemma of value creation. Put simply, people cannot stop making things because they need to keep earning. Universal Basic Income (UBI) is not a straightforward solution, as it could further reinforce the monetary logic of resource acquisition. Instead, we need to (re)develop skills to derive benefits from our surroundings with minimal effort. This is precisely what Yoshinari Nishiki is exploring in his engineering PhD on (un)making. However, to address the historical complexities of production, it is essential to revisit the evolution of our modes of making. In this talk, Yoshinari carefully traces the origins of (un)making, from the Maker movement and Critical Making to the emerging concepts of unmaking and (un)making. false Yoshinari Nishiki https://cfp.cccv.de/38c3-community-stages/talk/FWETBE/ 2024-12-28T12:00:00+01:00 12:00 02:00 Stage HUFF Door 38c3-community-stages-803-hackspace-vorstellungen CCC Talk 60 (45min +15 Q&A) de Eine Vorstellung der Hackspaces Eine Vorstellung der Hackspaces organisiert via wiki at https://events.ccc.de/congress/2024/hub/de/wiki/hackspace-vorstellungen/ false https://cfp.cccv.de/38c3-community-stages/talk/7EEQF3/ 2024-12-28T14:15:00+01:00 14:15 00:20 Stage HUFF Door 38c3-community-stages-783-software-accessibility-without-the-fuzz Entry-Level & Education Educational (15min + 5 Q&A) en We've all heard how important digital accessibility is, at this point. But how does one get started with this complex topic? Let's cover all the techy basics! Software accessibility is important, we all know that by now. In the past years while working as an accessibility consultant, many people have asked me the very same question: How do I get started with this? I'm overwhelmed by all the different resources! Heck, I can't find anything useful! In all fairness, I get you. There's so much fuzz surrounding this. Social workers will feel right at home because of this, but frankly, for us techies, it just doesn't work that way. We would like to know what to do precisely, or at least dive deeper into a topic on our own terms. In this talk, I would like to give a brief overview over what's important only for programmers and where you can educate yourself further. We can do this together! false Casey Kreer https://cfp.cccv.de/38c3-community-stages/talk/SVV78B/ 2024-12-28T14:45:00+01:00 14:45 https://cfp.cccv.de/media/38c3-community-stages/submissions/SVV78B/Prototypes_to_Props_Graphic_h4ojfp8.png 00:40 Stage HUFF Door 38c3-community-stages-754-prototypes-to-props-how-to-build-and-hack-in-the-film-tv-industry Hack, Make & Break Talk 40 (30min +10 Q&A) en Look behind the scenes with filmmaker, inventor, and former Mythbuster Davis DeWitt and learn how Hollywood hackers combine prototyping and art to bring movie magic to life! Through real-world examples, this talk will explore the unique challenges of creating builds for the entertainment industry, from designing prototypes to filming the final sequence and everything in between. Have you ever been asked to build a smoke grenade or blow up a car? With over 8 years of experience in the film industry, Davis is one of the hackers with the skills to accommodate these unusual requests. In this talk, we'll explore several of his favorite builds to highlight how anyone can get started combining art and hardware hacking on their own. From CAD, to 3D printing, microcontroller programming, painting, weathering, cinematography, and more, discover how multiple disciplines blend together to create hacker movie magic! false Davis DeWitt https://cfp.cccv.de/38c3-community-stages/talk/VNGGJL/ 2024-12-28T15:45:00+01:00 15:45 00:40 Stage HUFF Door 38c3-community-stages-820-fehlercode-406-request-not-acceptable-digitalzwang-als-human-security-problem Privacy, Anonymity & Decentralisation Talk 40 (30min +10 Q&A) de Schon die neue Bahncard in der App integriert und dabei erfolglos versucht, dem Tracking auszuweichen? Digitalzwang kostet: Und zwar uns, den Nutzer:innen von Diensten von Unternehmen, Behörden, oder anderen Anbietern (auch du, Deutsche Bahn!). Dabei ist es weniger ein Problem, ob digitalisiert wird, sondern wie. Ich argumentiere, dass mit der fortschreitenden Digitalisierung eine Bringschuld von Anbietern auf die einzelnen Verbraucher:innen übertragen wird. Betroffene von Digitalzwang erfahren dabei höhere Kosten in ihrem Alltag: Sie müssen mehr Geld ausgeben, um einer Datenabgabe zu entkommen, oder brauchen mehr Zeit für Dienstleistungen, weil diese sie ausschließen. Dabei reicht der Rahmen über die vermeintlich Technik-feindlichen Senioren weit hinaus, und betrifft arme, körperlich behinderte, oder Datenschutz-affine Menschen genau so. Digitalcourage hat bereits beim Fireshonks 2022 ein Best-Off ihres Digitalzwangmelders vorgestellt. Ich habe jetzt eine Übersicht aufgebaut, um das Problem zu visualisieren. Durch die Analyse von Forschungsinterviews mit Betroffenen zeige ich, wer von Digitalzwang betroffen ist, in welchen Formen Digitalzwang auftritt, und welche Auswirkungen er auf ihr Leben hat. Dabei zeige ich, dass der Digitalzwang in seinen verschiedenen Facetten mehr ist als nur „unangenehm“: Er wirkt als Brennglas für bestehende Probleme und führt zu Ausgrenzungen und Einschränkungen. Computer können das Leben verbessern. Digitalisierung macht viele Prozesse schneller und leichter umsetzbar, zumindest in der Theorie. Was aber, wenn man gar keinen Zugang zu digitalen Angeboten hat, oder ihn aus Sorge von Datenmissbrauch ausschließen muss? Armut, Behinderung, fehlende Umgangserfahrung oder eine hohe Datenhygiene führen dazu, dass Menschen sich im Alltag einschränken müssen, weil ihnen der Zugang zu einem Gut nicht offen steht. Das geht los bei Rabattaktionen im Supermarkt und geht bis zu Einschränkungen in der Mobilität – die Deutsch Bahn lässt grüßen. Ich zeige, in welchen Bereichen des Lebens Digitalzwang auftritt und wie vielseitig er sich gestaltet. Hierfür habe ich Forschungsinterviews mit Menschen geführt, die sich von Digitalzwang betroffen sehen. Im Gespräch habe ich erfahren, mit welchen Formen des Zwangs sie konfrontiert waren und wie schwer diese Eingriffe waren. Dabei zeigt sich, dass Digitalzwang zwar ein Problem für sich ist, jedoch oft intersektionell wirkt: Armut, Behinderung oder fehlende Bildung werden durch eine exklusive Digitalisierung noch verstärkt. Digitalzwang ist damit nicht nur unangenehm, sondern wird in vielen Fällen zu einem Human Security-Problem. Dieses Konzept geht davon aus, dass Sicherheit nicht nur die Abwesenheit von Gewalt ist, sondern ein Zustand, indem sich Menschen frei entwickeln können. Ein Ausschluss aus einer Gesellschaft oder eine Beschränkung im eigenen Leben wirken diesem Zustand entgegen. Anhand der Beispiele, die ich durch die Interviews gesammelt habe, zeige ich, wie die Auswirkungen von Digitalzwang diese Probleme erzeugen können. Dabei müssen wir uns die Frage stellen, wie wir mit der Digitalisierung umgehen wollen. Um dabei nicht ganz im Pessimismus zu versinken, gehe ich auch auf positive Beispiele ein: Wo wird gut und nutzerfreundlich digitalisiert? false Scherrie https://cfp.cccv.de/38c3-community-stages/talk/A8BPKQ/ 2024-12-28T16:40:00+01:00 16:40 https://cfp.cccv.de/media/38c3-community-stages/submissions/A8BPKQ/reform-next-with-cables-and-browser_7hCGX9N.jpg 00:40 Stage HUFF Door 38c3-community-stages-855-7-years-later-why-and-how-to-make-portable-open-hardware-computers Open Source & Platform Decay Talk 40 (30min +10 Q&A) en After more than 7 years, a small team of hackers and designers in Berlin are about to release the third generation of their Open Hardware laptop family: MNT Reform Next. Here, Lukas "minute" Hartmann will discuss why we need Open Hardware computers, what we learned through trial, error and hardship of designing and hand-assembling over 1000 of them by hand, and how you can claw back some autonomy over your hardware from Big Computer. The talk will illustrate, with many pictures and without holding back, interesting problems and solutions we encountered while creating 3 laptops on shoestring budgets. Aiming to inspire more people to take custom hardware into their own hands, I will quickly walk through the essential tools and methods that you can use to create your own Open Source Hardware computing devices or modifying existing ones, like: - How and why I choose chips and components - How to get them into KiCAD for electronics, and get boards made - Use FreeCAD and OpenSCAD for 3D modeling, and get enclosures made, also from unorthodox materials - Cables, connectors and screws considerations - Firmware and Kernel troubles (designing Hardware for Linux) - Our basics of community participation (GitLab, IRC, Discourse) false minute https://cfp.cccv.de/38c3-community-stages/talk/MDKSQ9/ 2024-12-28T17:35:00+01:00 17:35 00:40 Stage HUFF Door 38c3-community-stages-760-der-mythos-der-gezielten-ttung-zur-verantwortung-von-ki-gesttzten-zielsystemen-am-beispiel-lavender- Sustainability Talk 40 (30min +10 Q&A) de Das Lavender-KI-Zielsystem zeigt gut, wie Kriegsautomatisierung aktuell aussieht und was daran falsch läuft. Das Thema „KI in der Militärtechnik“ und die Beziehung zwischen Mensch und Maschine ist seit Jahrzehnten ein theoretisches Thema in der Philosophie, den Sozialwissenschaften und den kritischen Algorithmus-Studien. Doch in den letzten Jahren wurden Waffensysteme mit KI-Komponenten entwickelt und jüngst in bewaffneten Konflikten praktisch eingesetzt. Am Beispiel des KI-gestützten Zielwahlsystem Lavender, das vom israelischen Militär IDF im derzeit laufenden Gaza-Krieg eingesetzt wird, werden die aktuellen Entwicklungen aufgezeigt und in den historisch-technischen Kontext der „Signature Strikes“ der USA in Waziristan (Pakistan) oder Afghanistan gesetzt, sowie konkrete technische Designentscheidungen vorgestellt und kritisch diskutiert. Dabei entstehen auch Fragen von Verantwortungsverlagerung und Rechtsumgehung. Die hier vorgestellten Erkenntnisse beruhen auf einer gemeinsamen Analyse von Expert:innen des Forums InformatikerInnen für Frieden und Gesellschaftliche Verantwortung (FIfF e.V.) zusammen mit der Informationsstelle Militarisierung (IMI e.V.) und der Arbeitskreis gegen bewaffnete Drohnen e.V., die die Praxis der KI-basierten „gezielten Tötung“ wie etwa durch Lavender als Kriegsverbrechen zu ächten sucht. false Rainer Rehak https://cfp.cccv.de/38c3-community-stages/talk/LU3PKP/ 2024-12-28T19:15:00+01:00 19:15 01:00 Stage HUFF Door 38c3-community-stages-816-windows-bitlocker-screwed-without-a-screwdriver Hack, Make & Break Talk 60 (45min +15 Q&A) en Ever wondered how Cellebrite and law enforcement gain access to encrypted devices without knowing the password? In this talk, we’ll demonstrate how to bypass BitLocker encryption on a fully up-to-date Windows 11 system using Secure Boot. We’ll leverage a little-known software vulnerability that Microsoft has been unable to patch since 2022: bitpixie (CVE-2023-21563). We'll live-demo the exploit, and will walk through the entire process—from the prerequisites and inner workings of the exploit to why Microsoft has struggled to address this flaw. We'll also discuss how to protect yourself from this and similar vulnerabilities. BitLocker is Microsoft’s implementation of full-volume encryption. It offers several modes of operation, but the most widely used is Secure Boot-based encryption. Many consumer and corporate clients use it, and it’s starting to be enabled by default under "Device Encryption" on newer Windows 11 installations. In this mode, the harddrive is encrypted at rest but is automatically unsealed when a legit windows boots, meaning users don't need a separate decryption password. They just have to sign in with their usual user account. Unfortunately, this configuration has been broken for quite a while. Hardware attacks against a dTPM are widely known, but software attacks are possible as well, at least since 2022, when Rairii discovered the bitpixie bug (CVE-2023-21563). While this bug is 'fixed' since Nov. 2022 and publically known since 2023, we can still use it today with a downgrade attack to decrypt BitLocker. In this talk, we'll dive into: - How does Secure Boot work, and what role does the TPM play? - How can Bitlocker leverage the TPM? - How does the bitpixie exploit work? What are PXE boot and BCD? - What are the prerequisites for running this exploit? - How can you protect yourself against it? - Why is it so challenging for Microsoft to fully fix this? - How does this affect Linux secure boot? false th0mas https://cfp.cccv.de/38c3-community-stages/talk/MDHLJV/ 2024-12-28T20:30:00+01:00 20:30 https://cfp.cccv.de/media/38c3-community-stages/submissions/MDHLJV/bp-diagram_sm_HKOjx3T.png 01:00 Stage HUFF Door 38c3-community-stages-841-binging-on-drug-checking-data Hack, Make & Break Talk 60 (45min +15 Q&A) en A trip into party drug trends: Seeking insight among poorly formatted data, media misinformation, repressive laws and risky chemicals Berlin recently launched a public drug checking service — an admirable first for Germany. What can the data unveil? This talk aims to elevate your mental state towards clarity over party drug trends in 2024 by serving a mix of Berlin’s drug testing data – both public and unpublished – with a few potent adulterants: Snazzy info graphics, shoddy code and a bunch of original research. Observe badly copy-pasted tag soup transform into beautiful and impactful open-eye visuals. Watch sales terms purportedly specifying precise chemical formulas exposed as mere smoke and mirrors, and find even names derived from each other labeling vastly different things. See patterns revealed and dots connected, like how an international interplay of both draconian and liberal legal frameworks created a perfect storm of unintended, risky consequences – or on the other hand, how the absence of reliable data creates a breeding ground for the viral spread of irrational fears. See through falsehoods regularly published on these topics in the press. Before this risks turning into a bad trip, find zen with some practical risk management tips and pointers to helpful support services. In less poetic terms, I’ll be covering recent trends regarding these psychoactive substances: Ecstasy & “blue punishers”, cocaine, fentanyl, mephedrone, 3-MMC, 2C-B, “tusi”, “monkey dust” and more. false Christopher Clay (c3o) https://cfp.cccv.de/38c3-community-stages/talk/ZWDXAQ/ 2024-12-28T21:45:00+01:00 21:45 01:00 Stage HUFF Door 38c3-community-stages-789-privacy-preserving-health-data-processing-is-possible- Privacy, Anonymity & Decentralisation Talk 60 (45min +15 Q&A) en Is it possible to do research on health data without violating the privacy of the entire population? The European Health Data Space is on the horizon, and it doesn't look like we can be satisfied with its implementation for now. Health data of all European insurance holders will be collected and retended not only for individual medical care, but also for scientific use. The so-called *secondary use* explicitly refers not only to academic research, but also to for-profit organizations. Not only universities will be able to access the data, but also, for example, the pharma industry and the big data companies such as Apple and Google. Claiming to improve the user experience of their proprietary health apps (anticipatory conjecture by the speakers), the most personal of all data will be placed in hands where it really does not belong to. So are we doomed? We say no! In this presentation, we will show how *probabilistic data structures* can be used to process personal data without compromising the privacy of individuals. We will show the results of a case study with exemplary health data. With this presentation, we want to point out that it is quite possible to give third parties certain access to health data, while preserving privacy for individuals. false mcnesium bngl https://cfp.cccv.de/38c3-community-stages/talk/E3EXAV/ 2024-12-28T23:00:00+01:00 23:00 https://cfp.cccv.de/media/38c3-community-stages/submissions/E3EXAV/teaser4_y7vBGIu.jpeg 00:40 Stage HUFF Door 38c3-community-stages-787-retro-chips-selbst-gemacht-historische-hardware-in-fpgas-nachbilden Hack, Make & Break Talk 40 (30min +10 Q&A) de Retro-Computing ist heute die Domäne der bekannten Software-Emulatoren. Aber auch die ursprüngliche Hardware selbst kann und sollte dokumentiert und konserviert werden. Ich zeige, was es damit auf sich hat und wie man daheim mit moderatem Einsatz einen ganzen Retro-Computer nachbaut. Mit Hilfe von rekonfigurierbaren Chips klappt das auch weitgehend ohne Löten oder die allgegenwärtigen Arduinos und Raspberry-Pis. Der Begriff Maker ist inzwischen eng mit den Arduinos und dem Raspberry-Pi verbunden. Auch wenn es um den Erhalt historischer Systeme geht sind Nachbauten in Form von Emulatoren auf Raspi-Basis ganz vorne dabei. Das ist verständlich, wenn man sieht wie preisgünstig diese Geräte sind, wie viele entsprechende Retro-Projekte es gibt und wie einsteigerfreundlich sie sich meistens nutzen lassen. Aber neben der klassischen Software gibt es mehr zu erhalten: Die historische Hardware lässt sich leider nicht mal eben auf einen USB-Stick kopieren. Und mit den alten Geräten geht auch das Wissen dahinter verloren und die oft eleganten oder trickreichen Lösungen, die in der Anfangszeit nötig waren, um bezahlbare Hardware mit einfachsten Mitteln zu bauen. Ich zeige, wie sich wesentliche Aspekte der Systeme mit Hilfe von konfigurierbarer Hardware erhalten und auf elegante Weise dokumentieren lassen. Ich zeige Euch, wie man mit geringem Materialeinsatz aber viel Neugierde Retro-Systeme in FPGA-Chips wieder zum Leben erweckt. Was braucht man? Wo bekommt man es her? Und wie wird daraus ein Heimcomputer der 80er? Das zeige ich unter anderem am konkreten Beispiel des NanoMig, der Nachbildung eines Commodore Amiga Homecomputer, dessen gesamte Hardware sich in einem modernen FPGA unterbringen lässt ... ganz ohne Arduino- oder Raspberry-Pi-Unterbau. FPGA-Retrocomputing ist in den letzten zehn Jahren populär geworden. Auch das von mir vor gut zehn Jahren entworfene MiST-Board aber vor allem das darauf folgende MiSTer-Projekt hatten ihren Anteil daran. Diese Systeme werden oft als etwas fortschrittlichere Emulatoren (miss-)verstanden, hinter ihnen steckt aber vor allem eine als rekonfigurierbare FPGA-Hardware bezeichnete recht ungewöhnliche Technik abseits üblicher CPUs, Speicher- und Peripheriebausteine. Auf die Geschichte und Hintergründe werde ich nur kurz eingehen. In diesem Vortrag soll es um die Praxis gehen. Ich werde beschreiben, was man an Hard- und an Software für die ersten Schritte auf dem Weg zur Wiederbelebung von Retro-Hardware benötigt. Wie es sich für Open-Source gehört muss man auch hier nicht das Rad immer wieder neu erfinden. So wie die damaligen Computer viele Gemeinsamkeiten hatten, so sind auch in ihren FPGA-Nachbauten viele Komponenten wiederverwendbar. Aber wie wird aus einem realen Chip überhaupt etwas, das einen realen FPGA-Baustein zu gleichem Verhalten animiert? Wie wird die Logik beschrieben? Was lässt sich aus alten Hardwareunterlagen direkt übernehmen? Was lässt sich in FPGAs (leider) nicht mehr direkt realisieren? Schließlich wird es darum gehen, wie man ein solches Projekt überhaupt angeht. Natürlich sind Klassiker wie der Commodore C64 oder der Amiga die verlockendsten Ziele für solche Vorhaben. Für die ersten Schritte eignen sich aber vor allem viele der einfacheren Maschinen oder sogar selbst erdachte Geräte. Ganz ohne Lötkolben verkabelt man sich den eigenen Retro-Computer und spätestens wenn der erste eigene Videochip das erste Testbild auf den VGA-Bildschirm bringt wird klar: Das ist kein Arduino. Der Umgang mit konfigurierbare Hardware ist nicht unbedingt komplizierter als die Arbeit mit Arduino und Co. Aber sie ist fundamental anders. Viele Denkmuster, die erfahrenen Programmierern in Fleisch und Blut übergegangen sind, lassen sich nicht auf Hardware übertragen oder sind, wie sich zeigen wird, sogar irreführend. Und wie debuggt man überhaupt einen selbstgebauten Chip? Und was wird aus Fernseher und Floppy-Diskette, die damals zwingendes Zubehör waren? Und wenn selbst der Mikroprozessor Teil der Konfiguration ist, dann kann man natürlich beliebige Änderungen vornehmen. Fehlte Dir damals dieser eine Befehl, der alles revolutioniert hätte? Hätte der Atari ST den Amiga ausgestochen, wenn er Hardware-Sprites unterstützt hätte? Probier es aus! Konfigurierbare Hardware bedeutet auch, dass alles veränderbar ist. Ein Dual-Core C64? Ein ZX81 mit Tonausgabe und Farbdarstellung? Warum nicht gleich der eigene 8-Bit-Wunschcomputer? Und wem das alles noch viel zu einfach erscheint, der erfährt schließlich, wie er mit Hilfe von Platinenproduktion in Fernost und dem heimischen 3D-Drucker nicht nur Software und Hardware erhält, sondern gleich die ganze Maschine noch einmal zum Leben erweckt. Am Ende meines kleinen Vortrags werdet ihr wissen, wie ihr Euer eigenes Retro-Projekt für kleines Budget startet und vielleicht mithelft, das Wissen hinter der ursprünglichen Hardware zu erhalten. Ihr lernt, wie man die ein oder andere Maschine wieder in einer Form erlebbar macht, die über die übliche Softwareemulation auf einem PC hinausgeht. false Till Harbaum https://cfp.cccv.de/38c3-community-stages/talk/EBWTNL/ 2024-12-28T23:55:00+01:00 23:55 01:15 Stage HUFF Door 38c3-community-stages-864-film-never-mind-the-gigwork-here-s-the-coffeebots- Entertainment Film en A marionette puppet extravaganza about gig economy, coffee and capitalism 4.1. It is the reconstruction of the filmed version of a puppet play that was never performed. The completion of a work long in the making, and it turned out to be a movie, in the end. The Movie uses the language of the Internet: Easy English with heavy accents and lots of technobabble. true e-punc https://cfp.cccv.de/38c3-community-stages/talk/ZWDFWB/ 2024-12-28T11:00:00+01:00 11:00 https://cfp.cccv.de/media/38c3-community-stages/submissions/ZWDFWB/KDE-eco-logo-domain_Dmfs10x.svg 00:40 Stage YELL Door 38c3-community-stages-824-opt-green-coordinating-a-windows-10-to-linux-upcycling-campaign-across-free-software-communities-worldwide Sustainability Talk 40 (30min +10 Q&A) en Windows 10 security updates end on 14 October 2025, KDE's 29th birthday and also, ironically, International E-Waste Day [1] (you cannot make these things up!). Hundreds of millions of functioning devices [2] will become e-waste. This means manufacturing and transporting new ones, which is perhaps the biggest waste of all: hardware production alone can account for over 75% of a device's CO2 emissions over its lifespan. Free Software is a solution, today, and if we work together Windows 10 could truly be the last version of Windows users ever use! In this talk I will present the issue of e-waste and the importance of right-to-repair software, and invite the audience to participate in coordinating a global, unified Free Software campaign over the next year to raise awareness about the environmental harm of software-driven hardware obsolescence, while promoting upgrading users from Windows 10 to GNU/Linux directly. Extending hardware's operating life with Free Software is good for users, and better for the environment. Let's think big and act boldly as a unified community! [0] https://arstechnica.com/gadgets/2024/10/lots-of-pcs-are-poised-to-fall-off-the-windows-10-update-cliff-one-year-from-today/ [1] https://weee-forum.org/iewd-about/ [2] https://www.canalys.com/insights/end-of-windows-10-support-could-turn-240-million-pcs-into-e-waste This is a talk about digital sustainability and the role software plays in hardware longevity. false Joseph P. De Veaugh-Geiss https://cfp.cccv.de/38c3-community-stages/talk/VY9A8W/ 2024-12-28T12:00:00+01:00 12:00 00:40 Stage YELL Door 38c3-community-stages-693-transitous-offener-routingdienst-fr-ffentliche-verkehrsmittel Open Source & Platform Decay Talk 40 (30min +10 Q&A) de Unabhängige Apps für den öffentlichen Nahverkehr stehen häufig vor dem Problem, dass sie durch die vielen separaten APIs der Verkehrsbetriebe eingeschränkt sind, die oft nicht über die vollständigen Daten der anderen Betreiber verfügen. Dies macht es unmöglich, vollständige Routen zu erhalten. In Städten wie Paris ist z.B. die Kenntnis der örtlichen Metro erforderlich, da die verschiedenen Bahnhöfe nicht direkt miteinander verbunden sind. Transitous will dieses Problem auf der Grundlage öffentlich zugänglicher Fahrplandaten lösen. Bestehende Routing-Lösungen aus der Community waren nur für Fahrräder, Autos oder Fußgänger verfügbar. Dadurch blieb den Apps für den öffentlichen Verkehr nur die Möglichkeit, viele verschiedene Betreiber-APIs mit begrenzten Daten zu verwenden. Einige überließen die Wahl der besten API der Nutzer*in oder versuchten, die beste API auf der Grundlage der regionalen Abdeckung automatisch auszuwählen. Dies verhinderte, Verbindungen über größere Entfernungen einschließlich des Nahverkehrs mit einer einzelnen Anfrage finden zu können. Mit neueren freien und quelloffenen intermodalen Routing-Engines wie MOTIS und der zunehmenden Verfügbarkeit von Fahrplänen der öffentlichen Verkehrsmittel im GTFS- und GTFS-RT-Format im Internet wurde es möglich, dieses Problem zu lösen. In diesem Talk wird vorgestellt, was wir bisher erreicht haben und wie das Projekt weiterentwickelt und genutzt werden kann. false Jonah Brüchert https://cfp.cccv.de/38c3-community-stages/talk/RQE8BW/ 2024-12-28T12:55:00+01:00 12:55 00:40 Stage YELL Door 38c3-community-stages-860-schulen-der-zukunft-warum-wir-makerspaces-brauchen Hack, Make & Break Talk 40 (30min +10 Q&A) de In Zeiten, in denen digitale Bildung immer wichtiger wird, bleiben viele Schulen hinter den aktuellen Anforderungen zurück. Ein Ansatz, um das zu ändern, ist der MakerSpace – ein offener Raum, in dem Schüler:innen kreativ arbeiten und selbstständig Projekte umsetzen können. An unserer Schule nutzen wir 3D-Drucker, Lasercutter und andere Technologien, die sowohl für private Projekte als auch im Unterricht eingesetzt werden. Damit haben wir die Möglichkeit, eigene Ideen zu verwirklichen und praxisnah zu lernen. Doch oft fehlt es an Personal und politischer Unterstützung, um solche Räume zu betreiben. Unser MakerSpace existiert nur dank einiger engagierter Lehrkräfte, die weit über ihre reguläre Arbeitszeit hinaus arbeiten. In unserem Talk werden wir erklären, warum MakerSpaces an Schulen unverzichtbar sind, wie sie funktionieren können und warum die Politik mehr Ressourcen bereitstellen muss, um diese wertvollen Lernorte zu fördern. In diesem Talk, geht es darum, wie wir unsere Schulen für die Zukunft fit machen und den Anforderungen der Gegenwart gerecht werden können. Konkret werden wir uns auf einen Bereich konzentrieren - MakerSpaces. Viele kennen Sie aus dem eigenen Freundeskreis, doch in Schulen sind Sie noch selten vertreten. Doch an unserer Schule dem Gymnasium Neubiberg, haben wir so einen. Wir wollen aus Schülerperspektive erklären warum ein MakerSpace an der Schule so wichtig ist, wie das funktionieren kann(Vor allem in Hinblick auf wenig politischen Willen) und warum es noch mehr Unterstützung aus der Politik braucht. Unser MakerSpace ist im Gegensatz zu klassischen Wahlkursen offen konzipiert, das heißt man trifft sich nicht einmal am Mittwoch Nachmittag, sondern kann an mehreren Tagen der Woche zum MakerSpace kommen und unsere Maschinen also bspw. 3D Drucker und Lasercutter aber auch T-Shirt Pressen in Anspruch nehmen. Um die Maschinen benutzen zu dürfen, muss man zu diesen einen Kurs gemacht haben. Dieses System erlaubt den Schüler:innen autonom zu arbeiten. Die Schüler tragen sich über unsere Lernplattform Bycs, an dem Nachmittag für einen offenen Termin ein, also reservieren sich bspw. einen 3D Drucker oder tragen sich eben für einen Kurs ein. Der MakerSpace ist dabei für die Schüler:innen aller Jahrgangsstufen offen. Der MakerSpace und dessen Ressourcen, können auch im Unterricht benutzt werden. So stellen wir bspw. Ionen Gitter Modelle für den Chemie Unterricht her oder modellieren 3D Höhenstufenmodelle im Geographie Unterricht in der 5. Jahrgangsstufe Das alles ist allerdings nur durch die Arbeit einiger bestimmter Lehrkräfte möglich, die weit über ihre bezahlte Unterrichtszeit hinaus, den MakerSpace quasi im Alleingang stemmen. So bin auch ich immer wieder bis abends im MakerSpace und arbeite noch an Projekten. Der MakerSpace bietet mir als Schüler einen Raum, in dem ich meine eigenen Ideen entwickeln und umsetzen kann. Teile der an Deutschlands Schulen hinkenden Digitalisierung, kann meiner Ansicht nach nur gelöst werden, sofern die Schüler:innen die Möglichkeit kriegen, sich selber in diese Richtung unter Anleitung von Erwachsenen zu entfalten. Der MakerSpace wird nicht nur dieser Anforderung gerecht, viel mehr, schafft er in der Schule einen Raum, in dem sich gleichgesinnte begegnen und austauschen können. Oft fehlt es aber an Personal für einen MakerSpace, bzw. die Lehrkraft bekommt die entsprechenden Stunden nicht bezahlt. Ich bin daher der Ansicht, dass die Politik zu handeln hat und die Mittel zum Betrieb eines MakerSpaces einfach zur Verfügung gestellt gehören. Der MakerSpace folgt ganz dem Motto des diesjährigen c3: "Illegal instructions". Hierbei wurde selber die Initiative ergriffen, ohne die Forderung oder Unterstützung von oben. Wir möchten die Hackerethik in die Schule bringen und zeigen, dass Schule so viel mehr sein kann (und bereits ist) als trockener Unterricht. Wenn ihr eine interaktive 360° Ansicht unseres Raumes wollt, findet ihr diese hier: https://apps.zum.de/apps/23042 Ein Video von uns, mit welchem wir am Isi Digital Wettbewerb 2023 teilgenommen und den 3. Platz erreicht haben: https://youtu.be/SE-TUa8TwZ4?si=PF8RFKxZgll7FIP2 Ich hoffe, dass ich mit dem Talk zeigen kann was möglich ist und dass vllt. in ein paar Jahren, auch Schüler:innen aus anderen Schulen in den Genuss dieser Erfahrung kommen. true Maximilian Wimmer Adam Bader https://cfp.cccv.de/38c3-community-stages/talk/DXFLUN/ 2024-12-28T13:50:00+01:00 13:50 https://cfp.cccv.de/media/38c3-community-stages/submissions/DXFLUN/aid_flyer_v1_jrMstrV.jpg 00:40 Stage YELL Door 38c3-community-stages-801-automated-malfare-discriminatory-effects-of-welfare-automation Privacy, Anonymity & Decentralisation Talk 40 (30min +10 Q&A) en An increasing number of countries is implementing algorithmic decision-making and fraud detection systems within their social benefits system. Instead of improving decision fairness and ensuring effective procedures, these systems often reinforce preexisting discriminations and injustices. The talk presents case studies of automation in the welfare systems of the Netherlands, India, Serbia and Denmark, based on research by Amnesty International. Social security benefits provide a safety net for those who are dependent on support in order to make a living. Poverty and other forms of discrimination often come together for those affected. But what happens, when states decide to use Social Benefit Systems as a playground for automated decision making? Promising more fair and effective public services, a closer investigation reveals reinforcements of discriminations due to the kind of algorithms and quality of the input data on the one hand and a large-scale use of mass surveillance techniques in order to generate data to feed the systems with on the other hand. Amnesty International has conducted case studies in the Netherlands, India, Serbia and, most recently, Denmark. In the Netherlands, the fraud detection algorithm under investigation in 2021 was found to be clearly discriminatory. The algorithm uses nationality as a risk factor, and the automated decisions went largely unchallenged by the authorities, leading to severe and unjustified subsidy cuts for many families. The more recent Danish system takes a more holistic approach, taking into account a huge amount of private data and some dozens of algorithms, resulting in a system that could well fall under the EU's own AI law definition of a social scoring system, which is prohibited. In the cases of India and Serbia, intransparency, problems with data integrity, automation bias and increased surveillance have also led to severe human rights violations. false codecivil https://cfp.cccv.de/38c3-community-stages/talk/9C3DDQ/ 2024-12-28T14:45:00+01:00 14:45 01:00 Stage YELL Door 38c3-community-stages-835-navigating-the-grey Entry-Level & Education Talk 60 (45min +15 Q&A) en Navigating The Gray; Hacker's Compass. In an expanding digital world, the lines quickly blur between what's good and what is bad (ethical and not) Without using big complicated words, Ethics are a reference for our action to know good from bad. In this talk we go over a framework of ethics to help predetermine which direction our actions would lead us. This is not a code of ethics saying what is good and what is bad, after all life is somewhere in between, and you do you. This is a more of a measurement tool, like a compass. A hacker's compass, a pocket sized framework of three ethics to triangulate where we are on the gray, and where our actions would take us. Prepared time for Q&A and little discussion after the talk. I would be happy to learn more from other people's experiences and Ideas on this topic. false moe https://cfp.cccv.de/38c3-community-stages/talk/DGGAVN/ 2024-12-28T16:00:00+01:00 16:00 01:00 Stage YELL Door 38c3-community-stages-815-der-schlssel-zur-compromittierung-local-privilege-escalation-schwachstellen-in-av-edrs Hack, Make & Break Talk 60 (45min +15 Q&A) de Im vergangenen Jahr wurden von uns in fünf kritische Schwachstellen in Endpoint Protection Software entdeckt, die es uns ermöglichen, auf Basis von COM-Hijacking unsere Privilegien auf Windows-Endpunkten zu erweitern. In diesem Vortrag demonstrieren wir, wie COM-Hijacking genutzt werden kann, um Code im Kontext geschützter Frontend-Prozesse auszuführen. Zudem zeigen wir auf, wie COM Hijacking das Vertrauensverhältnis zwischen geschützten Frontend-Prozessen und Backend-Diensten aushebelt um höhere Privilegien (Local Privilege Escalation) auf Systemen zu erhalten. Des Weiteren erklären wir unsere Methodik und Vorgehensweise um solche Schwachstellen zu finden und auszunutzen. Abschließend enthüllen wir Details zu den von uns gefundenen Schwachstellen und diskutieren mögliche Gegenmaßnahmen. COM-Hijacking ist vor allem als Technik bekannt, um auf Windows-Endpunkten Persistenz zu erreichen. In diesem Vortrag stellen wir jedoch eine weniger bekannte, aber äußerst wirkungsvolle Anwendung vor: Wir haben COM-Hijacking eingesetzt, um Code in die geschützten Frontend-Prozesse von Sicherheitsprodukten einzuschleusen. Dadurch konnten wir die Vertrauensbeziehung zwischen diesen Prozessen und den privilegierten Backends ausnutzen und hohe Privilegien auf dem Endpunkt erlangen. In unserem Vortrag erläutern wir detailliert unsere Vorgehensweise zur Identifikation dieser Schwachstellen und stellen die technischen Aspekte der von uns entdeckten Lücken im Detail vor. Im ersten Teil des Vortrags zeigen wir, wie wir mittels COM-Hijacking in der Lage waren, Code im Kontext der geschützten Frontend-Prozesse auszuführen. Im zweiten Teil analysieren wir die Kommunikationsmechanismen zwischen Frontend und Backend und legen offen, wie wir diese Vertrauensverbindung kompromittieren konnten. Abschließend erklären wir verschiedene Techniken, die es uns ermöglichte, unsere Privilegien auf Systemebene erfolgreich zu erweitern und diskutieren Gegenmaßnahmen die ähnliche Schwachstellen verhindern könnten. false Kolja Grassmann Alain Rödel https://cfp.cccv.de/38c3-community-stages/talk/XMGWZD/ 2024-12-28T17:15:00+01:00 17:15 01:00 Stage YELL Door 38c3-community-stages-772-from-covidiots-to-meliorator-guiding-students-through-an-osint-research-project-balancing-telegram-disinfo-groups-and-russian-state-influence Entry-Level & Education Talk 60 (45min +15 Q&A) en What started as a lighthearted experiment in a psychology practicum quickly turned into a semester of discoveries no textbook could offer. My students and I set out to analyze disinformation in German Telegram channels, planning to monitor these groups’ activities up to the European elections. But what awaited us exceeded all expectations: we encountered a bizarre mix of COVID-19 deniers, far-right groups, and farmers’ protests—groups that seemed like harmless eccentrics at first but revealed themselves as part of a more sophisticated disinformation strategy. A pivotal moment was when we came across a report by Austrian broadcaster AUF1, which pulled us further into the world of Russian disinformation networks than we’d ever anticipated. What did we ultimately find? A network straight out of a spy novel, featuring former RTde executives, influencers, AfD politicians. Fortunately, the most shocking was their OPSEC. This is why in this talk, I can take you on a journey through the absurdities and dark depths of this world, sharing our surprising findings and showing how even with minimal effort, one can glimpse behind the scenes of these “coincidental connections.” Imagine you’re a group of psychology students in a “Quantitative Research Practicum” course, just hoping to do a bit of data analysis. Instead of traditional experiments, we wanted to tackle reality and see how deep the rabbit hole of disinformation in German Telegram channels truly goes. The idea was a straightforward study around the European elections, focusing on the usual suspects: anti-COVID demonstrators and conspiracy theory communities. But what we found blew our expectations out of the water, turning into what felt like a spy thriller. It started innocently enough: COVID-19 deniers, huddling in their own echo chambers, almost nostalgically stuck in the past. But from there, we quickly stumbled onto far-right groups interwoven with circles mobilizing against the “green agenda” and escalating farmers’ protests. The real turning point, though, came when we stumbled upon a video from Austrian channel AUF1. In it, a story about an alleged land redistribution led by none other than Bill Gates kicked off a journey that took us across Europe and the online world. What initially sounded like typical, fringe disinformation turned out to be the gateway to a well-connected infrastructure that extended all the way to Russia. And then it got truly bizarre: suddenly, we found connections that were both amusing and unsettling. We uncovered links to former RTde executives, an aspiring actress turned disinformation influencer, and a psychologist from Regensburg who’d written a bestseller about NATO and nanobots. Then there were AfD politicians—yes, multiple of them—members of a Russian motorcycle gang called the “Night Wolves,” and influencers like Alina Lipp and Thomas Röper, who play prominent roles in this web of falsehoods and propaganda. Our analysis revealed a network exemplifying how former leaders of the Russia Today disinformation machine are now actively working to deepen societal divisions in Germany—often in ways that are as absurd as they are disturbing. The lack of OPSEC among some of these figures unintentionally granted us insights we never sought. When we saw how a protest video from Austria led us to Russia, then to the occupied Crimea, back to Koblenz, and beyond, we realized there was much more at stake here than we’d initially thought. In this talk, we’ll share the story of our “research”—a mix of disinformation, narcissism, far-right ideology, and shockingly bad digital security practices. We’ll show you how easy it was to dive into the absurdity of this network and equip you with the tools to dig into these stories for yourselves. Because trust us: this story is so surreal, you likely won’t believe it until you’ve seen the data yourself. Finally, we will tell you about the Meliorator backend, whether we found evidence in our data, and what it has to do with all this. false Martin Sona https://cfp.cccv.de/38c3-community-stages/talk/9TLXBW/ 2024-12-28T19:15:00+01:00 19:15 00:40 Stage YELL Door 38c3-community-stages-907-let-s-spark-children-s-interest-in-coding Entry-Level & Education Talk 40 (30min +10 Q&A) en How can we spark children's interest in coding and tinkering. In this talk we will present the ongoing activities of the Free Software Foundation Europe to get the next generation of Haecksen and Hackers interested in tech, with a focus on diversity. Today it is impossible to imagine daily life without software. The majority of us can’t spend a single day without using it. People use software in the workplace, on laptops, and on mobile phones. Software is also found in less obvious places however: in trains, cars, televisions, washing-machines, fridges, and many other devices. None of these devices could function without software. Without software we couldn’t write e-mails, make phone calls, go shopping, or travel as we are accustomed to. Software is our society’s central tool. How do we ensure that the next generation is motivated and capable of shaping technology for society’s benefits? The Free Software Foundation Europe’s volunteers and staff have interacted with over 1700 children between 6 to 10 years in the past months. Children, especially girls, afterwards were motivated to start experimenting with hardware and software. In the discussions we saw that they realise how crucial technology will be for them. The story of Ada made it into a war hospital with children with disability that felt identified with it as one of the book characters has a 3D printed leg. Furthermore with the FSFE’s coding competition “Youth Hacking 4 Freedom” we gathered experiences working with teenagers who program, tinker, and have fun with software. YH4F has also been a place for diversity during its first three editions. Learn more about the experiences how the FSFE sparks children’s and teenagers interest to tinker, experiment and program. Furthermore you will see how fulfilling those activities can be for yourself. false Ana Galan https://cfp.cccv.de/38c3-community-stages/talk/9K9883/ 2024-12-28T20:15:00+01:00 20:15 https://cfp.cccv.de/media/38c3-community-stages/submissions/9K9883/chaoswelle_320_RHSXSNX.png 00:40 Stage YELL Door 38c3-community-stages-781-einstieg-in-den-amateurfunk Entry-Level & Education Talk 40 (30min +10 Q&A) de Erklärung von Amateurfunk und der neuen Prüfung für Neulinge Im Amateurfunk kann ich weltweit und über Satelliten kostenlos Gespräche führen. Dazu darf ich sogar selbstgebaute Empfänger und Sender benutzen. Oder auch einen Computer zur Kommunikation einsetzen. Damit das funktioniert, gibt es ein paar Regeln, die gelernt werden müssen und für die es eine Prüfung gibt. Seit diesem Sommer gibt es für den Amateurfunk in Deutschland eine Prüfung für eine Einstiegs-Klasse. Ich zeige dir, was du für die Prüfung lernen musst. Und was du nach bestandener Prüfung für Neulinge machen darfst, damit du am weltweiten Amateurfunk teilnehmen kannst. false Lars DC4LW / Pylon https://cfp.cccv.de/38c3-community-stages/talk/8ULTLH/ 2024-12-28T21:10:00+01:00 21:10 00:40 Stage YELL Door 38c3-community-stages-740-geostationre-satelliten-als-hobby Entry-Level & Education Talk 40 (30min +10 Q&A) de Geostationäre Satelliten können ein spannendes Hobby sein, von Satellitenpiraterie über Amateurfunksatelliten bis hin zum digitalen Satellitenrundfunk finden sich viele Betätigungsfelder. Was sind geostationäre Satelliten, was macht man damit, und warum hört man auf US-Militärsatelliten auch mal Leute Portugisisch sprechen oder Songs von den Bangles? Das sind nur einige Fragen die ich in diesem kleinen Ritt durch die Nachrichtentechnik der Fernmeldesatelliten beantworten werde. Das ganze mit Illustrationen und realen Beispielen sichtbar gemacht, sowie Praxistipps wie man diese Satelliten auch selbst nutzen kann. Der Vortrag versucht für ein breites Publikum verständlich zu sein und dabei eine Balance zwischen didaktischer Vereinfachung und der korrekten Darstellung von Technologien und Verfahren. Es häufig gezeigt wohin man gehen kann, wenn man mehr wissen will. false Christian Berger https://cfp.cccv.de/38c3-community-stages/talk/BDN3EA/ 2024-12-28T22:05:00+01:00 22:05 00:40 Stage YELL Door 38c3-community-stages-718-cat-ears-were-just-the-beginning-six-years-in-onesies-what-it-taught-me-about-life Diversity & Inclusion Talk 40 (30min +10 Q&A) en What happens when cat onesies become your daily outfit? This personal story explores my six-year journey wearing cat onesies everywhere—from the reactions of others to practical tips on materials and patterns, and the deeper appeal behind this clothing style. "Who defines what 'normal' clothing even is? Who says one can’t just wear a cat onesie as a regular, everyday outfit?" - Kitty, a few years ago. Ever wondered what it’s like to wear nothing but cat onesies every day, everywhere, all the time, for years? In this personal story, I’ll share how and why I started wearing onesies daily, how people reacted, which materials and sewing patterns turned out to be practical (and which didn’t), how you can make your own onesie, what all this taught me about life and the deeper reasons why so many of us are curious about this and other unconventional clothing styles. false Kitty https://cfp.cccv.de/38c3-community-stages/talk/7F9XWM/ 2024-12-28T23:00:00+01:00 23:00 00:40 Stage YELL Door 38c3-community-stages-779-hacking-disasters-eine-bastelanleitung-fr-die-chaos-community Hack, Make & Break Talk 40 (30min +10 Q&A) de Die Klimakrise eskaliert, Naturkatastrophen und Kriege werden mehr: Großes globales Chaos ist absehbar und wer wäre da besser geeignet um zu helfen als die Chaos-Community. CADUS und LNOB zeigen anhand von realen Beispielen aus der Ukraine, vom Balkan, aus Afghanistan, aus Gaza und vom Hochwasser nebenan, wie humanitäre Helfer*innen, Aktivist*innen oder Hacker*innen, mit Software, 3D-Druckern und Akku-Schraubern im Katastrophenfall effizient helfen können - ganz ohne Blaulicht. Dieser Talk bietet der Chaos-Community eine Bauanleitung für humanitäre Interventionen zu Land, zu Wasser und im Internet. Die Klimakrise eskaliert, Naturkatastrophen und Kriege werden mehr: Großes globales Chaos ist absehbar und wer wäre da besser geeignet um zu helfen als die Chaos-Community. CADUS und LNOB zeigen anhand von realen Beispielen aus der Ukraine, vom Balkan, aus Afghanistan, aus Gaza und vom Hochwasser nebenan, wie humanitäre Helfer*innen, Aktivist*innen oder Hacker*innen, mit Software, 3D-Druckern und Akku-Schraubern im Katastrophenfall effizient helfen können - ganz ohne Blaulicht. Dieser Talk bietet der Chaos-Community eine Bauanleitung für humanitäre Interventionen zu Land, zu Wasser und im Internet. Mit dabei: Eine rollende Intensivstation für die Ukraine auf Basis eines ausrangierten Reisebusses, umgebaut per 3D-Drucker und Schweißgerät. Medikamente aus der Luft per ausgedienten Gleitschirmen für abgeschnittene Orte. Und wie kann an diesen Orten kommuniziert werden? Auch dafür wird an einer fliegenden Lösung gearbeitet. In Gaza stellten wir fest, dass der UN-Standard für die Kommunikation über lebenswichtige Informationen wie die Lage von Evakuierungszonen darin besteht, KML-Dateien über WhatsApp-Gruppen zu verschicken. Schnell wurde ein Prototyp für eine Lagekarten-App gebaut, basierend auf einem aus der Chaos-Community supporteten Geoinformationssystem für die Koordination von Einsätzen der zivilen Rettungsflotte auf dem Mittelmeer. Als in Afghanistan die Taliban die Macht übernahmen dauerte es keine Woche bis sich Aktivist*innen bis zum Deutschen Außenminister persönlich und ins CIA Headquarter durchtelefoniert hatten. Mit Social Engineering Skills und freundlicher IT-Unterstützung aus der Chaos-Community gelang es schließlich, einen Airbus A320 in Kabul zu landen und gefährdete Menschen zu evakuieren. Egal ob wir gemeinsam mit Aktivist*innen aus der Ukraine mit mobilen Makerspaces in Transportern von Ort zu Ort fahren um die Resilienz im russischen Angriffskrieg durch technische Interventionen zu stärken, oder gemeinsam eine Software für Freiwilligenmanagement schreiben, die beim nächsten Hochwasser nebenan mit einer mobilen Radlader Crew anrücken, es gibt unzählige Möglichkeiten wie sich die Chaos-Community einbringen kann. Wir wollen Mut machen für das "prepping for future". Und auch wenn Weihnachten gerade rum ist, haben wir zum Abschluss noch eine Wunschliste mitgebracht. false corinna Sebastian Jünemann Ruben Neugebauer https://cfp.cccv.de/38c3-community-stages/talk/XEN9ED/ 2024-12-28T23:55:00+01:00 23:55 https://cfp.cccv.de/media/38c3-community-stages/submissions/XEN9ED/5698-3205-max_Q3vxyGt.jpg 01:00 Stage YELL Door 38c3-community-stages-684-open-large-and-complex-managing-a-3-500-m-space-with-400-members Hack, Make & Break Talk 60 (45min +15 Q&A) en A 3,500 m² hack and make space with 400+ members brings unique challenges in community management, public-sector partnerships, and balancing open culture with safety regulations. This talk shares practical insights on fostering an inclusive, large-scale hack/make/arts/culture space, from founding hurdles to the realities of maintaining creative freedom within structural limits. What happens when a hack and make space scales to 3,500 m² with over 400 members? We will offer insights into the challenges and opportunities of managing a large, open community space for makers, hackers, artists and the genernal public. From navigating partnerships with public institutions to balancing open community management, we'll discuss key lessons learned. Topics include the founding journey and public-sector collaboration, maintaining an inclusive culture within a massive member base, and meeting building code on a limited budget. We’ll also explore the dynamic between spontaneous initiatives and intentional space design, sharing experiences that range from community-driven projects to governance challenges. Join us to explore how scale impacts everything—from creative freedom to structural limitations—and how a space can thrive with size. false Julian "codemonk" Schumi https://cfp.cccv.de/38c3-community-stages/talk/9HBWKS/ 2024-12-29T01:10:00+01:00 01:10 00:40 Stage YELL Door 38c3-community-stages-812-illegal-infrastructure-12-years-of-hosting-in-the-greyzone Privacy, Anonymity & Decentralisation Talk 40 (30min +10 Q&A) en We provide internet infrastructure and fight to keep it anonymously accessible to all. What did we learn about law enforcement? Why is offshore hosting more important than ever? In our talk we share our perspective, talk about the challenges we faced and provoke ideas to go forward. For over 12 years we are providing internet infrastructure (e.g. webspace, domains, servers) for those who need protection because they are not protected by the law. We share our experience that has brought us not only a constant source of technical challanges and puzzels, time and again we also experienced juridical and logistical challenges. We were subject to arbitrary persecution by the police and intelligence agencies and harassment by lawyers and angry individuals. But for a lot of reasons we are still fighting so that internet infrastructures remain accessible to everyone independent of their origin, their ability to get a bank- or paypal account and - hear hear - their need to stay completely anonymous and without surveillance. Our journey that began with a radical and very liberal (admittingly naïve) view on a decentralized and free internet (which we in part still hold!), has taken many turbulent turns. It gave us a probably unique perspective on the internet. The 45.000 email complaints that have accumulated in our mailbox are our witness: We really saw a wide variety of weirdness. Motivated by this years motto "legal illegal scheissegal -- whatever it takes" we want to highlight some of the bizarre cases we got involved in by constantly operating in between legality and illegality. However, obscure and questionable, sometimes controversial content is not what motivates us. We serve infrastructure to people and have been at the side of insipring collaborators for many years. Forging those connections we observe that the group of individuals, projects and organizations that reach out for protection has changed a lot over the years. With worry we observe that the group that needs protection is getting broader and broader. If someone had told us 10 years ago that a civil society organization which organizes school walk outs on Fridays for environmental protection would be knocking on our door, we would have reacted with complete disbelief: What on earth, has happened to our society? In our talk we share our perspective on this development. We also provide concrete criticism of new and coming legislation and their consequences which we think are often overlooked. Our ability to protect those who have already been pushed beyond the margins is getting ever more difficult and risky. The rise of fascist governments all over the world will bring arbitrary persecution into new dimensions. We are gradually losing our abilities to protect others. New cybercrime laws that supposedly aim to protect citizens, or anti money laundry laws that aim to prevent the harmful use of digital currencies like shitcoin also have drastic consequences for those who need protection. By exploring these and other topics through our perspective we invite feelings of dissonance: complex issues can be contradicting and difficult to digest: Balancing on the margins of legality to provide new legal grounds is a solidaric act that can increase our societies resilience. Grayzones need to be protected even when they are used by malicious actors. We argue that it is important that more people need to join the fight and dare to step into the grayzone in their own way, with the means they have available. Defending any freedom is best done with a diversity of tactics, direct action and in a decentralized fashion. Most importantly, through strong communities! Form gangs -- Bildet Banden! false Kolja Mark https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/WGGVDK/ 2024-12-29T11:00:00+01:00 11:00 00:40 Saal 1 Door 38c3-668-gefhrliche-meinung-wenn-wlder-brennen-und-klimaaktivist-innen-im-knast-sitzen Ethics, Society & Politics Talk de Eine Geschichte über den Kampf für Walderhalt in der Klimakrise, die unnötige Erweiterung eines klimaschädlichen Stahlwerks und einer vermutlich illegalen Genehmigung für eine vorgezogene Rodung. Wie wir dafür ins Gefängnis kamen. Und wie das Bundesverfassungsgericht die Gefängnisleitung zwang, mich vorzeitig wieder zu entlassen. Aktivistische Kritik buchstäblich an der zuständigen Bezirksregierung endete in einem Gerichtskrimi durch die AugsburgerJustiz, die sich nach wie vor entschlossen zeigt, die laut Bundesverfassungsgericht besonders geschützte Machtkritik der Aktivist*innen möglichst hart zu bestrafen. Ein Vortrag über den kreativen Umgang mit Repressionen mit Einblicken hinter die Gefängnismauern. Vom Kampf der Augsburger Justiz gegen kreativen Protest für den Erhalt der Lebensgrundlagen. Memes inklusive. 🧮 Die Regierung von Schwaben genehmigte im Herbst 2022 die Rodung eines besonders geschützten Bannwalds -- trotz laufender Rechtswidrigkeitsprüfung des gesamten Vorhabens durch Bayerns höchstes Verwaltungsgericht. Denn der Besitzer des angrenzenden Stahlwerks, der zufällig mit seinem Lobbyverband auch größter Spender der CSU ist, Max Aicher, wollte sein klimaschädliches Stahlwerk in den Bannwald hinein erweitern. Daraufhin demonstrierten wir an der Regierung von Schwaben und "besetzen" deren Behördenflur symbolisch mit einer satirischen Botschaft. Einen Bannwald roden? – Frech! Wir werden davon erzählen, wie wir für unsere Kritik zu Haft verurteilt wurden, die Haft aber zunächst nicht antraten, sondern eine Woche durch die Öffentlichkeit geisterten, erst eine Woche später eine Lücke im Terminplan entdeckten und dann doch in der Arrestanstalt auftauchten. Samuel gibt Einblicke hinter die Mauern der Jugendarrestanstalt und berichtet, wie es den Menschen dort drinnen geht, die dort durch psychischen Schmerz "resozialisert" und "erzogen" werden sollen. Über Brief und Zettel aus dem Fensterschlitz konnten Unterstützer*innen von außen den Kontakt halten. Eine Gruppe Nerds baute einen FM-Transmitter und versuchte, ein eigenes Knastradio für Samuel einzurichten. Nach zwei Wochen wurde Samuel plötzlich nachts mit all seinen Büchern vor die Tür gesetzt, denn das Bundesverfassungsgericht entschied: Meinungsfreiheit gilt auch in Augsburg. Die Urteile aus Augsburg waren rechtswidrig, nicht mit dem Grundgesetz vereinbar. Ein eindrucksvolles Beispiel, wie in Deutschland Protest mitunter als „Bedrohung der öffentlichen Ordnung und Sicherheit“ konstruiert und eingeschränkt wird. **Weitere Infos auf [lohwibleibt.de](https://www.lohwibleibt.de/)** -- ergänzend möchten wir noch mitgeben: Der Fall Augsburg ist ein gutes Beispiel, wie der "Rechtsstaat" Kapitalinteressen verteidigt. Zwei Wochen Knast sind aber nichts gegen den Verlust der Lebensgrundlagen, der insbesondere Menschen im globalen Süden betrifft. Es ist weiter unsere Verantwortung, uns für eine klimagerechte Welt einzusetzen. Lasst euch nicht einschüchtern und kämpft weiter! Gerichte sind zum Essen da. false Samuel Bosch Kiki Köffle https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/9RPH7S/ 2024-12-29T12:00:00+01:00 12:00 https://fahrplan.events.ccc.de/congress/2024/fahrplan/media/38c3/submissions/9RPH7S/RU18_black_D85oh4r.png 00:40 Saal 1 Door 38c3-406-robot-uprising-a-story-driven-ai-robotics-experience Art & Beauty Talk en It's the 2040’s. The dusty skyline of Helsinki is covered with vertical buildings reaching for the clouds. Autonomous drones deliver messages and items from layer to layer while robots maintain the aerial pathways across buildings. A sense of tension hangs in the air. Somewhere beneath the surface, hackers and corporates wage war over AI. Will they be able to master it, or will the City succumb to a dark technology? **Perhaps you can change the fate of things?** Do you like deep-diving into AI & robotics, but wish you could escape the inevitable existential dread of techno-capitalist dystopia? If acting it out through a story-driven hackathon sounds interesting, we might just have the right thing for you. [Robot Uprising](https://robotuprising.fi/) is a community-organised, story-driven AI & robotics event series. Part LARP, part hackfest, part robotics competition, it all neatly fits together under the umbrella of an overarching cyberpunk story. The story provides inspiration for the events, the events provide the "historical facts" that shape how the narrative develops. In this talk, we'll take you through the history of Robot Uprising, delve into the technologies (robotics or otherwise) explored through our events, and contemplate how story and hacking intertwine. Our hope is to convince you of the awesomeness of story-driven hacking and inspire you to create many more events like this all around the world. You can join us at [House of Tea after the talk](https://events.ccc.de/congress/2024/hub/en/event/robot-uprising-come-chat-after-our-talk_b0lw/) for a cup of tea and we can continue talking in a more intimate setting. false Karim Hamdi Katarina Partti Juho Kostet https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/XBE87S/ 2024-12-29T12:55:00+01:00 12:55 https://fahrplan.events.ccc.de/congress/2024/fahrplan/media/38c3/submissions/XBE87S/databroker-files_ueberblick_HRHJT9f.jpg 00:40 Saal 1 Door 38c3-262-databroker-files-wie-uns-apps-und-datenhndler-der-massenberwachung-ausliefern Ethics, Society & Politics Talk de Databroker verschleudern unsere Daten. Über einen Datenmarktplatz konnten wir 3,6 Milliarden Handy-Standortdaten aus Deutschland ergattern. Darin fanden wir detaillierte Bewegungsprofile, unter anderem von Geheimagent:innen, Soldat:innen und hochrangigen Regierungsbeamt:innen. Hier hört ihr die absurde Geschichte, wie einfach solche Daten zu haben sind, was den zügellosen Datenhandel so gefährlich macht – und wie wir gemeinsam für eine Lösung kämpfen können. Aus 3,6 Milliarden Handy-Standortdaten konnten wir uns ein mächtiges Massenüberwachungs-Tool basteln, das in den falschen Händen viel Schaden anrichten könnte. Wir konnten sehen, auf welchem Weg mutmaßliche Angestellte der NSA zur Arbeit fahren, wo Angehörige der Armee ins Bordell gehen und wo Staatsbeamt:innen wohnen. All das war möglich durch die Gratis-Kostprobe eines Datenhändlers – wer ein paar Tausend Euro im Monat ausgibt, könnte sich noch viel mehr Daten besorgen. Auf unsere Recherchen gab es schockierte Reaktionen aus Bundestag und Bundesregierung, EU-Parlament und Pentagon. Aber Lippenbekenntnisse sind nicht genug, um die kommerzielle Massenüberwachung durch Handy-Apps zu stoppen. Wir zeigen, wie jede:r Einzelne aktiv werden kann und was sich rechtlich ändern muss. Und: Unsere Recherchen zu den Databroker Files gehen weiter. Team netzpolitik.org: Sebastian Meineck; Ingo Dachwitz. Team BR: Katharina Brunner, Rebecca Ciesielski, Maximilian Zierer, Robert Schöffel, Eva Achinger. Hier ist die Übersicht der dazugehörigen Veröffentlichungen: https://netzpolitik.org/2024/databroker-files-die-grosse-datenhaendler-recherche-im-ueberblick/ false Sebastian Meineck Ingo Dachwitz Rebecca Ciesielski https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/PN3TE3/ 2024-12-29T13:50:00+01:00 13:50 00:40 Saal 1 Door 38c3-472-ein-unmoralisches-angebot-wie-wir-unsere-communities-vor-ideologischen-zugriffen-schtzen Ethics, Society & Politics Talk de In beschleunigten Krisenzeiten wächst mit der Überforderung auch die Sehnsucht nach einer klaren Ordnung: Weltbilder, die das Chaos auf ein moralisch aufgeladenes "Entweder-Oder" reduzieren. Mit dieser binären Logik werden alle Lösungen, die das "Sowohl-als-auch" denken, abgemäht. Die verheerende Folge: zwischen aufgeheiztem Lagerdenken, Positionierungsdruck und Rhetorik von individueller Schuld und Scham ist kein kollektives Handeln mehr möglich. Der Talk macht das unmoralische Angebot eines universalistischen und anwender*innenfreundlichen „Security-Updates". Eine Empfehlung, auf was wir dringend achten sollten, um unser Netzwerk handlungsfähig zu halten. Der Talk gliedert sich in drei Teile: 3. GROUND CONTROL: NORMATIVE INFRASTRUKTUR: Wir alle sind nicht ganz schwindelfrei und suchen nach Anbindungen oder Gravitationsfeldern, die uns in der unendlichen Kontingenz des Daseins Orientierung geben. Diese zutiefst menschliche Sehnsucht nach Sinnanziehungskraft kann man erstmal als solche anerkennen und ohne Scham annehmen. Das ist das klassische Business von Religionen (religare → la „anbinden, zurückbinden, festhalten, an etwas festmachen“). Nun hinterlassen in einer größtenteils säkularen Gesellschaft die zum Glück arbeitslos gewordenen Religionen viele ungebundene Individuen. Leider selten freie Radikale, vielmehr eine durch neoliberale Politik und kapitalistische Erzählungen individualisierte, unorganisierte Schar von Wesen, die ziemlich ‚lost’ sind – und dadurch empfänglich für moralisch durchtränkte Diskurse – gegenwärtig vor allem solche, die das Individuum in den Mittelpunkt stellen. Das Problem daran: Kollektives Handeln wird immer schwieriger zu organisieren. 2. ILLEGAL CONSTRUCTIONS oder DIE ZERSTÖRUNG DER EINS: Alain Badiou ist ein Philosoph, der weltweit und nicht nur in akademischen Kreisen gelesen wird, in Deutschland aber kaum bekannt ist. Dabei hat er gerade zu dieser Fragestellung einiges zu sagen. Sein Plädoyer gilt der Verknüpfung von Subjektivität und Universalismus statt dem Versuch, Partikularitäten zu kontrollieren – wie es seiner Meinung nach identitätspolitische Ansätze versuchen. Stattdessen schlägt er vor, Subjektivität als kollektive ‚illegal instruction‘ zu denken. Was erstmal abstrakt klingt, bringt sehr konkrete Konsequenzen mit sich, wenn man sie in den (netz-)aktivistischen Alltag übersetzt – was im dritten Teil getan wird: 3. ILLEGAL INSTRUCTIONS: Unverbindliches Angebot eines „Security Updates“ mit praktischen Hinweisen, Anregung zur Selbstreflexion und vielen offenen Fragen, die mit in die eigenen Strukturen genommen werden können. false elenos https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/PSHBNA/ 2024-12-29T14:45:00+01:00 14:45 00:40 Saal 1 Door 38c3-374-eat-the-rich-die-menschen-wollen-soziale-sicherheit-aber-kriegen-deutschland-den-deutschen-holt-das-geld-bei-den-reichen- Ethics, Society & Politics Talk de Bezahlkarte bald auch für Bürgergeld-Empfänger*innen, verschärfte Sanktionen, Pauschale für die Kosten der Unterkunft, weniger Regelsatz, Umzugszwang, verschärfte Zumutbarkeitsregelungen für Arbeitsangebote und Komplett-Überwachung: Die Debatte über das Bürgergeld ist völlig durchgedreht. Was kommt noch auf uns zu? Und wie kommen wir aus der Hetz-Spirale wieder heraus? Die Union hat das Bürgergeld zum wichtigsten Wahlkampfthema 2025 auserkoren und will es am liebsten sofort abschaffen. An Menschen, die Sozialleistungen beziehen, werden soziale und technische Methoden der Entmenschlichung erprobt. Im Talk geht es um die Frage, wie es sich im Bürgergeld lebt, was die Unterschiede zu Hartz IV sind, welche Auswirkungen die Überwachungsmethoden der Jobcenter haben und welche gesellschaftliche Funktion das Bürgergeld erfüllt. Ist das alles wirklich legal? Ist das vielleicht sogar egal? Und vor allem: Was können wir dagegen tun? false Helena Steinhaus https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/YTE8AH/ 2024-12-29T15:45:00+01:00 15:45 00:40 Saal 1 Door 38c3-402-can-we-find-beauty-in-tax-fraud- Art & Beauty Talk en What do Olaf Scholz, blue ikea bags, Moldova, Deutsche Bank, fine art, and Butyrka Prison have in common? Join us for a brief stroll through the hidden, shady world of large-scale tax fraud, cross-border financial crime, money laundering, and corruption. We’ll examine both common and lesser-known financial exploits, drawing on revelations from journalists, activists, and investigators over the last few decades. Can there be beauty in abstraction? And are dividend stripping or VAT fraud diagrams really as dull as they seem? But most importantly: Is defrauding the public of 64 billion euros considered science, engineering, or art? And what does this have to do with you—and why should you care? Using real-world case studies, we’ll explore how corporations and individuals defraud populations and how these schemes—though sometimes confusing or complex on the surface—rely on surprisingly simple, chained tactics, much like exploits in information systems. We’ll break down the roles of various actors, service providers, fraudsters, and corrupt officials, as well as their playbooks, exploring how these crimes work or how they break and fail. false martin https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/87CFYP/ 2024-12-29T16:40:00+01:00 16:40 00:40 Saal 1 Door 38c3-682-der-milliarden-steuerraub-cum-ex-wie-schdlich-ist-wirtschaftskriminalitt-fr-unsere-gesellschaft- Ethics, Society & Politics Talk de Nachdem kurz erklärt wird, was Cum/Ex eigentlich ist, widmet sich der Vortrag zunächst der Frage, wie die Aufklärung in diesem international organisierten Fall schwerer Steuerhinterziehung überhaupt gelingen konnte und was noch zu tun ist. Wer sind die Akteure auf Seiten der Finanzbranche und wie ticken die Täter? Anschließend wird der generelle Umgang des Staates mit Wirtschaftskriminalität dargestellt und Lösungsansätze entwickelt. Dabei geht es auch um die Frage, was jeder Einzelne tun kann und warum die NGO Finanzwende ein wichtiger Ort sein kann, um politische Veränderungen bei finanzpolitischen Themen zu bewirken. Nachdem kurz erklärt wird, was Cum/Ex eigentlich ist, widmet sich der Vortrag zunächst der Frage, wie die Aufklärung in diesem international organisierten Fall schwerer Steuerhinterziehung überhaupt gelingen konnte und was noch zu tun ist. Wer sind die Akteure auf Seiten der Finanzbranche und wie ticken die Täter? Anschließend wird der generelle Umgang des Staates mit Wirtschaftskriminalität dargestellt und Lösungsansätze entwickelt. Dabei geht es auch um die Frage, was jeder Einzelne tun kann und warum die NGO Finanzwende ein wichtiger Ort sein kann, um politische Veränderungen bei finanzpolitischen Themen zu bewirken. false Anne Brorhilker https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/8UUJVJ/ 2024-12-29T17:35:00+01:00 17:35 00:40 Saal 1 Door 38c3-161-ki-nach-dem-kapitalismus-hat-chatgpt-in-der-besseren-neuen-welt-einen-platz- Ethics, Society & Politics Talk de Unsere Welt funktioniert nur, wenn sich immer neue Bereiche finden, in denen Profite erbeutet werden können. Nach Blockchain, Metaverse und Web3 ist "Künstliche Intelligenz" die neueste Wette der Tech-Investoren auf kräftige Gewinne. Ob "KI" tatsächlich irgendeinen gesellschaftlichen Wert hat, ist dabei völlig nebensächlich. Was tun wir also mit "KI" nach dem Kapitalismus? Brauchen wir Large Language Models überhaupt in einer Welt, die radikal auf Kooperation statt Konkurrenz, auf Bedürfniserfüllung statt Profit und auf Solidarität statt Privateigentum basiert? In diesem Talk besprechen wir, was gegenwärtige "KI" ist, wie sich ökonomische Macht in "KI" zeigt und wie sich "KI" in die breitere Debatte um Technologiekritik einordnet. Wir fragen uns, was man mit Mustererkennung, Deep Learning und Sprachmodellen überhaupt anfangen will in der besseren Welt nach der Revolution und ob uns eine Technologie wie "KI" auf dem Weg dahin helfen kann oder eher behindert. Der Talk wird zu gleichen Teilen von Malte Engeler und Sandra Sieron gehalten. false Malte Engeler Sandra Sieron https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/99SLE3/ 2024-12-29T19:15:00+01:00 19:15 00:40 Saal 1 Door 38c3-193-knste-hacken Ethics, Society & Politics Talk de In Deutschland sitzen über 40.000 Menschen im Knast. Weitgehend ohne Zugang zu digitaler Infrastruktur - außer einem Telefon. Wir schauen uns die Systeme an, die sie nutzen dürfen und in denen sie verwaltet werden. Von HamSy oder SoPart haben die meisten Menschen noch nie etwas gehört. Außer sie hatten bereits Kontakt mit deutschen Knästen. Das führt dazu, das es kaum Dokumentation darüber gibt, wie Digitalisierung für Menschen dort funktioniert und welche Folgen sie in Zukunft haben kann. Im letzten Jahr beschäftigte ich mich mit verschiedenen Systemen in deutschen Knästen und möchte über Datenabflüsse und strukturelle Probleme, die verhindern, dass wir Menschen dort Zugang zu digitaler Teilhabe gewähren, sprechen. false Lilith Wittmann https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/F7SPPL/ 2024-12-29T20:15:00+01:00 20:15 00:40 Saal 1 Door 38c3-30-das-ifg-ist-tot-best-of-informationsfreiheit-gefangenenbefreiung-machtbernahmen Ethics, Society & Politics Talk de Die Versprechungen waren groß: Blühende Transparenz-Landschaften, Mitbestimmung, Korruptionsprävention, De-mo-kra-tie! Das Informationsfreiheitsgesetz sollte den deutschen Staat besser machen. Nach Jahren schlechter Verwaltungspraxis, schlechter Gerichtsurteile und schlechter Politik ist es in wichtigen Teilen aber nutzlos geworden. Das zeigt sich vor allem, wenn man sich Szenarien einer antidemokratischen Regierungsübernahme vorstellt - die Transparenz wäre als erstes hinüber, der Boden dafür ist schon bereit. Was tun? Wenn das IFG tot ist, sollten wir dafür kämpfen, es wiederzubeleben – vielleicht als Untote? Zahlreiche Skandale, die FragDenStaat in diesem Jahr aufgedeckt hat, zeigen, wohin der Weg gehen sollte: - Wir brauchen mehr Leaks & illegal instructions für Beamte - Es ist Zeit, Verwaltungen zu infiltrieren Mit dem Best of Informationsfreiheit, FragDenStaat, Gefangenenbefreiung und Machtübernahmen. false Arne Semsrott https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/N3FZQD/ 2024-12-29T21:10:00+01:00 21:10 00:40 Saal 1 Door 38c3-421-postpartum-punk-make-space-for-unfiltered-creativity Art & Beauty Talk en After years as a journalist and filmmaker covering topics like crypto, holocaust and showbiz, everything changed for me 3 years ago after the birth of my daughter. While I haven't planned to be a mother, I decided to keep this pregnancy at 41, however this grass turn out to be too high for lawn mower – I was ready to go for a rave, not to be locked in a baby dark room for 3 years. I felt like my brain had been reprogrammed overnight. The analytical mindset I once relied on—quick to analyse, explore, and understand complex topics—seemed to vanish, replaced by a simpler, instinct-driven state that prioritized pure survival and nurturing yet mixed with unhinged chaos, aux naturelle psychedelic downloads plus no sense of inhibition or fear of being seen. Hand cuffed to a rainbow I was gazing at the black clouds. Despite the shock at this involuntarily IQ transplant, I quickly realised this new mind-tool-set was all in all fulfilling and liberating. I became my own fire brigade with an alternative emergency strap-on. Without the pressure to think analytically, I began channelling this raw energy into my joke band PUShY PUShY PUShY, creating what I now call postpartum punk movement. The idea caught on – this summer we have been featured in the Guardian and The New Yorker. This fuels my missionarism towards another level: how can we embrace this wild, intuitive mindset, not only as parents but as people? And could new technologies help us experience or even learn from this state? In this talk, I’ll share my story and propose some solutions to help people connect and utilise with this raw, abstract, flippant side of the mind, whether or not they’ve experienced parenthood: haptic births, transcranial nursering, chaos VR sessions, neurofeedback baths, quantum aerobics, algorithm jams, and 'Near-Birth-Experiences' false Ania Poullain-Majchrzak https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/RUXQDR/ 2024-12-29T22:05:00+01:00 22:05 00:40 Saal 1 Door 38c3-967-5-jahre-nach-ibiza Ethics, Society & Politics Talk de Wie Rechtspopulisten in Österreich innerhalb von 5 Jahren zurück zu alter Größe kamen und sogar die Wahl gewannen. Die Ibiza-Affäre gilt als einer der größten politischen Skandale in der Geschichte der Zweiten Republik Österreich. Das heimlich aufgezeichnete Ibiza-Video zeigt den damaligen FPÖ-Chef Heinz-Christian Strache und FPÖ-Politiker Johann Gudenus in einer Villa mit einer vermeintlichen Nichte eines russischen Oligarchen. Seit dem ist viel passiert. Zu wenig hat sich zum Guten gewandt aber immerhin ist mittlerweile zumindest oberflächlich klarer geworden wie sehr die einzelnen Skandale die die Alpenrepublik erschütterten seit dem in einander verwoben sind. Die Umwälzungen der letzten Jahre nicht nur in Österreich erlauben es Parallelen zu ziehen auch über die Landesgrenzen hinweg. Die Kausen um den früheren Wirecard Vorstand Jan Marsalek, seines Zeichens zufällig auch Österreicher, lassen sich mit dem Gesamteindruck von Ibiza schlüssig verknüpfen. Die geopolitischen Umwälzungen wie auch die politischen Herausforderungen die selbige für Europa mit sich bringen sollten am Beispiel von der Alpenrepublik nicht nur als Belustigung dienen. Wie schnell und wie weit eines der Vorbilder der EU Länder unter den richtigen Gegebenheiten und Einflüssen sich zum Paria wandeln kann sollte als ernstzunehmende Warnung auch in Deutschland verstanden werden. Wenn die Säulen der Demokratie ins Wanken geraten ist es oft sehr viel schneller beim Ernstfall als die meisten es sich einreden wollen. Österreich mag klein sein, manchmal auch speziell aber die Faktoren die innerhalb kürzester Zeit von einem Musterschüler ein Sorgenkind machten sind nicht kleinzureden. Fünf Jahre später, im September 2024, wurde die FPÖ mit 29,2 Prozent erstmals Sieger bei einer Parlamentswahl. Mittlerweile steht sie in Prognosen bei über 35% und der allgemeine politische Diskurs hat sich meilenweit verschoben. Es ist Vorsicht geboten. Nicht nur in Österreich false Julian Hessenthaler https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/NA9SF8/ 2024-12-29T23:00:00+01:00 23:00 https://fahrplan.events.ccc.de/congress/2024/fahrplan/media/38c3/submissions/NA9SF8/smiley_Y2GrndX.jpg 01:00 Saal 1 Door 38c3-627-pyrotechnik-ist-doch-kein-verbrechen- Hardware & Making Talk de Feuerwerk erregt die Gemüter - und das seit mehreren hundert Jahren. Gemeinsam beleuchten wir technische, kulturelle und gesellschaftspolitische Aspekte eines der faszinierenderen und gleichermaßen umstritteneren Phänomene unserer Zeit. **Hinweis:** Während des Vortrags kommt es zu Blitzen und Knallen. Während des 38C3 entfaltet sich in Politik und Medien ein jährlich wiederkehrendes Ritual: Die Debatte um Sinn und Unsinn von Feuerwerk. „Der Fortschritt ruft! Der Kohlenstoff hat abgedankt, die Zeit ist fürs Silizium reif!“, so schallt es aus den Reihen der vermeintlich aufgeklärteren und und fortschrittlicheren Teile der Gesellschaft. Doch was ist Feuerwerk überhaupt? Wie funktioniert es? Und ist nicht im Recht, wer das Verschwinden des stinkenden Geknalles fordert? Wir behaupten: das Feuerwerk mitsamt seiner Geschichte und Gegenwart hält noch ein paar spannende Einsichten für uns und unsere Zeit parat. Mit dem Talk werfen wir einen Blick hinter die Kulissen und tauchen tief in Technik und Diskurs der explosiven Materie ein. In einem unterhaltsamen Kurztrip beleuchten wir verschiedene Dimensionen eines vielschichtiges Phänomens - praktisch, technisch, historisch und politisch. true felix bijan https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/8C7KKR/ 2024-12-30T00:15:00+01:00 00:15 https://fahrplan.events.ccc.de/congress/2024/fahrplan/media/38c3/submissions/8C7KKR/beopardy_OmOGMB2.png 02:00 Saal 1 Door 38c3-159-hacker-jeopardy Entertainment Game show en The Hacker Jeopardy is a quiz show. The well known reversed quiz format, but of course hacker style. It once was entitled „number guessing for geeks“ by a German publisher, which of course is an unfair simplification. It’s also guessing of letters and special characters. ;) Three initial rounds will be played, the winners will compete with each other in the final. The event will be in German, we hope to have live translation again. false Sec Ray https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/73Q3KX/ 2024-12-29T11:00:00+01:00 11:00 00:40 Saal ZIGZAG Door 38c3-548-chatbots-im-schulunterricht- Ethics, Society & Politics Talk de Was können die Tools wirklich, was machen sie mit der “Bildung”, und sollten wir dafür Steuergelder ausgeben? Spätestens seit dem Hype um ChatGPT werden KI-Tools als magische Technofixes für Lehrkräftemangel und soziale Segregation im Bildungswesen angepriesen. Mehrere Bundesländer haben zum Beispiel Flächenlizenzen für alle Lehrkräfte bei dem Hamburger Unternehmen "Fobizz" erworben. Das Unternehmen bietet auf Basis großer Sprachmodelle (meist GPT-3/4) und verschiedener bildgenerierender KIs eine ganze Reihe von Bots sowohl für SchülerInnen als auch für LehrerInnen an: Tools zur automatisierten Korrektur und Bewertung von Hausaufgaben, Chatbot-basierte individuelle Lern-Coaches, Avatare zur Gesprächssimulation ("mit Angela Merkel chatten"), oder Bots zur Erstellung von individualisiertem Unterrichtsmaterial. Wir haben das Fobizz-Tool zur automatisierten Korrektur von Hausaufgaben und Prüfungsleistungen detailliert unter die Lupe genommen. Funktioniert das wirklich? Wie wirkt sich das auf die Qualität des Unterrichts aus? Kann man LehrerInnen und SchülerInnen guten Gewissens darauf loslassen? – Unsere Antwort ist schockierend eindeutig: nein! Und es ist ein Skandal, dass Steuergelder dafür ausgegeben werden. Im Vortrag berichten wir von frustrierenden Irrfahrten wenn SchülerInnen den Korrekturen des KI-Tools folgen; von quasi ausgewürfelten Bewertungen (nach dem Motto: wenn dir die Note für diese Person nicht passt, drück einfach auf "re-generate"), und von der impliziten Botschaft an die SchülerInnen: Ihr müsst ChatGPT verwenden, sonst könnt ihr nicht gut abschneiden. Im zweiten Teil unserer Studie haben wir systematisch mit LehrerInnen gesprochen und ihre Perspektive auf KI im Schulunterricht untersucht. Wir besprechen, wie dystopisch und fehlgeleitet es ist, die sozialpolitischen Probleme im Bildungswesen mit Techno-Tools zu lösen. Während in Großbritannien bereits “teacher-free” KI-Klassen als Pilotprojekt ins neue Schuljahr gestartet sind, scheint man in Deutschland zwar immer noch auf Lehrkräfte im Klassenzimmer zu setzen – doch die Signale der Kultusministerien sind eindeutig: Lieber den Lehrkräftemangel mit den Services privater KI-Unternehmen fixen als echte politische Maßnahmen durchzusetzen, die den Beruf erträglicher und attraktiver machen. Dass das Schulsystem über KI-Tools noch weiter an private Unternehmensinteressen gebunden wird, hat unweigerlich steigende Ungleichheit und Intransparenz zur Folge. Da aktuell weitere Bundesländer an der Schwelle stehen, Lizenzverträge mit KI-Unternehmen für Lerntools abzuschließen, steht mit diesem Thema einiges auf dem Spiel. Unsere Studie zur "KI-Korrekturhilfe" von Fobizz kann hier runtergeladen werden: <a href="https://doi.org/10.48550/arXiv.2412.06651">https://doi.org/10.48550/arXiv.2412.06651</a> false Rainer Mühlhoff Marte Henningsen https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/XXXSWE/ 2024-12-29T12:00:00+01:00 12:00 00:40 Saal ZIGZAG Door 38c3-347-ai-meets-git-unmasking-security-flaws-in-qodo-merge Security Talk en The whole world is talking about AI, and developers are no exception. When a developer hears about a tool that can help them handle git pull requests using AI, it is likely that they will start using it for their open source project. This is precisely what's happening with Qodo Merge (formerly PR-Agent), an open source tool that can help review and handle git pull requests by using AI to provide feedback and suggestions to developers. It is getting adopted by more and more open source projects, including popular ones. It is so easy to add new features by relying on external tools, yet the consequences on security can be catastrophic. Indeed, if the tool contains security vulnerabilities, the project using it may become vulnerable too and may grant anyone permissions to perform unexpected actions without realizing it. But everyone wants to use AI so security may be overlooked. We found multiple vulnerabilities in Qodo Merge that may lead to privilege escalation on Gitlab, getting write access to Github repositories and leaking Github repository secrets. Additionally we found multiple high profile Github repositories using Qodo Merge with a configuration that makes them vulnerable, such as highly popular projects, government official repositories, self-driving automotive industry projects, blockchains and more. In this talk we go through what Qodo Merge is, how it can be used, how it works, how it can be exploited, what projects are affected and what are the impacts. We also mention remediation steps to fix these issues. Qodo (formerly CodiumAI) develops an open source tool called Qodo Merge (formerly PR-Agent). This tool can be setup to automatically analyze pull requests on a Gitlab, Github or Bitbucket project. Qodo Merge uses AI to perform various tasks that may help a developer handle a pull request, such as: * Summarizing a pull request * Suggesting code changes to improve a pull request * Generating a CHANGELOG file entry for a pull request * Answering questions about a pull request * and more In this talk, we describe vulnerabilities we found in Qodo Merge that may lead to privilege escalation on Gitlab, write access to Github repositories and leaking secrets of Github repositories. We mention popular open source projects that are vulnerable because they started using Qodo Merge, and discuss how to protect your project from these attacks. We also talk about the multiple ways we tried to report those vulnerabilities to the developers of Qodo Merge and the lack of a way for security people to contact them. Finally, we describe the current security posture of the project regarding the vulnerabilities we found. false Nils Amiet https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/CHDQRA/ 2024-12-29T12:55:00+01:00 12:55 00:40 Saal ZIGZAG Door 38c3-655-vom-betrieb-bis-ins-netz-gewerkschaften-als-vorbild-fr-modernen-widerstand- Ethics, Society & Politics Talk de Von kreativen Strategien und Herausforderungen aus der Gewerkschaftsarbeit im Kampf für Arbeiter*innenrechte Arbeitnehmer*innen der IT-Branche sehen sich zunehmend mit Repressionen konfrontiert, die kreative und gemeinsame Formen des Widerstands erfordern. Von Union Busting über unmoralische Praktiken am Arbeitsplatz bis hin zu gesetzlichen Hürden – die Angriffe auf kollektive Arbeitsrechte werden intensiver und vielseitiger. Die Herausforderung, neue Aktionen zu entwickeln, Widerstände zu überwinden, Ideen zu verwerfen und immer wieder neu anzusetzen, ist längst alltäglich geworden. Umso wichtiger ist es, dass wir uns gegenseitig inspirieren und unterstützen. Aktivismusfelder wie Netzpolitik, Klimaschutz und Arbeitsrechte stehen vor ähnlichen Hindernissen – und wir alle profitieren, wenn wir uns austauschen und voneinander lernen. Unser Vortrag zielt daher nicht darauf ab, allumfassende Lösungen zu bieten. Stattdessen möchten wir aktuelle Missstände aufzeigen und Erfahrungen sowie Lösungsansätze teilen. Gemeinsam wollen wir untersuchen, wie unkonventionelle Ansätze, geteilte Erfahrungen und Zusammenarbeit zu einer stärkeren, solidarischen Zukunft führen können. Mit unserer Erfahrung aus der Gewerkschaftsjugend und aus Tarifkämpfen sprechen wir über Aktionen, Erfolge und Rückschläge – und darüber, wie wir uns in Zukunft besser aufstellen können. false Joana Starck Laurent Kuffert https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/7C8KRZ/ 2024-12-29T13:50:00+01:00 13:50 00:40 Saal ZIGZAG Door 38c3-33-auracast-breaking-broadcast-le-audio-before-it-hits-the-shelves Security Talk en Auracast, the new Bluetooth LE Broadcast Audio feature has gained some publicity in the last few months. The Bluetooth SIG has been working on the specification of this feature set in the past few years and vendors are only now starting to implement it. Auracast enables broadcasting audio to multiple devices. These broadcasts can also be encrypted. Unfortunately, the security properties of the protocol are vague and insufficient. It has already been shown that these broadcasts can be hijacked by anyone when unencrypted. We explain the state of (in)security of the protocol and add to it by showing that even when encrypted, broadcasts can often be cracked easily. We also show that once equipped with the passcode, attackers can eavesdrop and hijack even encrypted broadcasts. Alongside the talk, we will release our toolkit to brute-force authentication codes, decrypt dumped Auracast streams, and hijack encrypted broadcasts. Bluetooth Auracast is a marketing term for a subset of the new "LE Audio" features introduced in the Bluetooth 5.2 specification. LE Audio is designed to provide better sound quality, longer battery life and new capabilities for audio devices like headphones, earbuds and especially hearing aids. Essentially, Auracast is an audio broadcast feature set for Bluetooth Low Energy. Our talk will focus on the new features introduced in the core spec, namely Broadcast Isochronous streams (BIS). The protocol specification for Auracast was released several years ago, and vendors are only now beginning to implement application-level support for it. Previous research from 2023 (the "BISON" paper) has already shown that unencrypted Auracast broadcasts can be hijacked. The Bluetooth specification is very vague in what security goals it tries to achieve for (encrypted) broadcasts. The core building block for LE Audio broadcasts are Broadcast Isochronous Streams (BIS). Security for BIS is only ever mentioned in terms of confidentiality, which is supposedly achievable by encrypting a BIS. In this talk we'll shed some light on the security properties of Auracast and show that authenticity and confidentiality can be violated, even when broadcasts are encrypted. To examine whether the vague specification and the bad examples lead to real-world issues, we have surveyed several implementations of Auracast. We found that on popular devices the default configuration is weak and allows breaking the authenticity and confidentiality of the Auracast broadcast. Alongside the talk, we will release a toolkit that allows to dump, decrypt and hijack encrypted Auracast broadcasts. false Frieder Steinmetz Dennis Heinze https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/KBSSG9/ 2024-12-29T14:45:00+01:00 14:45 https://fahrplan.events.ccc.de/congress/2024/fahrplan/media/38c3/submissions/KBSSG9/faxmachine_C4VaNOz.png 00:40 Saal ZIGZAG Door 38c3-648-dialing-into-the-past-rce-via-the-fax-machine-because-why-not- Security Talk en Remember the days when faxes were the pinnacle of office tech, and the sound of a paper getting pulled in was as satisfying as a fresh cup of coffee? Well, it's time to dust off those memories and reintroduce ourselves to the quirky world of printers and their forgotten fax interfaces – yes, those relics that make us all feel like we're in an '80ies sci-fi movie – and specifically, how they can unlock a new frontier in printer security exploits! In this talk, we'll show you how we leveraged a printer bug that we found at Pwn2Own Ireland this year to gain remote code execution. Over its fax interface. You might think, "Who cares about faxes?" – but what if I told you that lurking within this vintage feature is a potential pathway for remote code execution? That's right, while everyone else is busy patching the latest vulnerabilities in trendy software and half the world is obsessed with cloud security, we'll be having a blast with tech that should've been retired to the attic long ago, exploiting a feature that's older than some of the attendees! We'll explore how this vintage tech can be the gateway to some serious mischief. Think of the possibilities: municipalities, banks, courts, you pick your favorite bureaucracy. Unfortunately, we can't do any of those things -- that'd be naughty -- so we're restricted to doing the stupidest things we can think of in our live demos. In case you're wondering: of course we'll be running doom on this thing, proving that even the most outdated tech can still pack a punch, as we take control over this device in style. Expect a mix of technical insights and many moments of "why would you do that?". So join us in this wild ride through simpler times -- who knew the key to world domination lays in a dusty fax machine? false Rick de Jager Carlo Meijer https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/GNZG8R/ 2024-12-29T15:45:00+01:00 15:45 00:40 Saal ZIGZAG Door 38c3-531-let-s-build-dodos-how-generative-ai-is-upturning-the-world-of-synthetic-biology-and-hopelessly-overwhelming-traditional-governance-instruments- Science Talk en Have you always wanted to build an egg-laying woolly milk sow or bring the legendary dodo back to life? The dream of some biologists to not only understand organisms, but also to redesign, build or bring living beings back to life is accelerating towards reality with the convergence of synthetic biology and generative AI in ‘generative biology’. For example, large language models are now being used to write genes and proteins, while complex laboratory tests are being replaced by machine vision and automation. The pace of these developments is so fast that they are barely noticed by the public, politicians or related experts such as environmental scientists. Questions about the reliability and safety of these new biodigital methods and applications are not yet being asked and research into risk assessment methods is not keeping pace. At the same time, this shift of generative AI systems from generating text and images to generating protein, bacteria, viruses and organisms could transform many areas of life, from medicine and the environment to bioweapons. So let's talk about it and discuss it. This is what the talk will be about: - What is the science behind synthetic biology? What is genome editing, CRISPR/cas, RNAi or off-target effects etc.? - And how does generative AI and generative biology come into play? What is actually happening in laboratories and corporate R&D around the world, including in the USA and China? I will report on AI platforms that generate designs for novel viruses and proteins to experiments ranging from medical drug development and attempts to bring extinct species back to life. I will also present current scenarios in the field of bioweapons. - How big tech is moving to get into bioeconomy – Titans such as Google, Microsoft, Nvidia, Alibaba, Meta, Amazon and Salesforce, with no specific experience in life sciences, are now the leaders in a new ‘generative biology’ run. - I will then continue with our own research on risk and technology assessment of genetically modified organisms and synthetic biology. This includes experiments and method development on biosafety, but also poses more fundamental questions such as investigating if the AI/biodigital design of nature is in line with nature conservation concepts or asking if democratization of biotech research (garage biology) relates to “dual use” risks. We also work on instruments to better understand impacts on society and improved social participation. - Finally, I would like to report on the very controversy negotiations on this topic at the UN Convention on Biological Diversity in Colombia in November – among parties, with perspectives from developing countries, indigenous peoples and local communities, scientist and others and discuss ways forward for fair, multidisciplinary assessment and oversight that is urgently needed. false Margret Engelhard https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/8CZXCG/ 2024-12-29T16:40:00+01:00 16:40 00:40 Saal ZIGZAG Door 38c3-413-brauchbare-illegalitt-organisationen-fr-menschenfeindliche-diskurse-wappnen Ethics, Society & Politics Talk de Organisationen und die in ihnen stattfindenden Gespräche und Debatten haben einen großen Einfluss auf ihre Mitglieder und ihr Umfeld. Es ist daher bedeutsam und beunruhigend, wenn in diesen Diskursen Grundsätze unseres gesellschaftlichen Zusammenlebens in Frage gestellt werden. Was tun? Luhmanns Begriff der " Brauchbaren Illegalität " beschreibt elegant und kraftvoll funktionale Regelabweichungen in Organisationen. In diesem Talk werden ausgehend von diesem Begriff Gestaltungsmöglichkeiten für Strukturen, Praktiken und Hacks vorgestellt. Diese Anregungen zeigen, wie die ausgesprochenen und unausgesprochenen Regeln einer Organisation so verändert werden können, dass sie eine demokratische und fortschrittliche Gesellschaft stärken. Einen großen Teil unseres Lebens verbringen wir in oder mit Organisationen. Vom Sportverein, der Schule, über diverse Arbeitgeber bis hin zur Waldfriedhof GmbH, die sich auch nach unserem Leben um uns kümmert. Organisationen sind mächtige soziale Systeme. Sie sind komplex und widersprüchlich, teilweise quälend langsam oder erschreckend effizient. Aber ohne große und kleine funktionierende Organisationen wäre unsere moderne Gesellschaft nicht denkbar. Das wissen auch die Gegner einer pluralistischen Demokratie. Ihnen ist es bereits gelungen, in den letzten Jahren mit ihren Themen den öffentlichen Diskurs zu prägen, nun rücken Organisationen und damit ihre Mitglieder in den Fokus. In Organisationen gelten jedoch andere Einflussfaktoren als im öffentlichen Diskurs. Der Diskurs von Organisationen wird durch die Strukturen der Organisation und deren Bedeutung für das Verhalten ihrer Mitglieder geprägt, der Diskurs entsteht in der Kaffeeküche und am Fließband, bei Präsentationen und bei Standup-Meetings und ist sogar eingewebt, in die Art und Weise, wie Alltagspraktiken bei der Arbeit ablaufen. In diesem Talk werden Möglichkeiten beschrieben, wie mit organisationswissenschaftlichen und kommunikationspsychologischen Erkenntnissen aus Forschung und Praxis Organisationen robuster für die Zukunft gemacht werden können. Es geht um die Frage, wie konkrete Praktiken einer Organisation gestaltet werden können, dass ein fortschrittliches Miteinander in und um eine Organisation gestärkt wird. true Johannes Fertmann https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/9G97SZ/ 2024-12-29T17:35:00+01:00 17:35 00:40 Saal ZIGZAG Door 38c3-463-tetra-algorithm-set-b-can-glue-mend-the-burst- Security Talk en In August 2023, we published the TETRA:BURST vulnerabilities - the result of the first public in-depth security analysis of TETRA (Terrestrial Trunked Radio): a European standard for trunked radio globally used by government agencies, police, military, and critical infrastructure. Authentication and encryption within TETRA were handled by proprietary cryptographic cipher-suites, which had remained secret for over two decades through restrictive NDAs until our reverse-engineering and publication. This talk is not TETRA:BURST, but dives into the latest TETRA revision introduced in 2022. Most notably, it contains a new suite of cryptographic ciphers. Of course the cipher available for critical infrastructure and civilian use (TEA7) is intentionally crippled, and of course these ciphers were to be kept secret, but this decision was overruled due to public backlash following our publication last year. In this talk we will present a practical attack on the TEA7 cipher, which while taking a 192-bit key, only offers 56 bits of security. Furthermore, we point out improvements and shortcomings of the new standard, and present an update on TEA3 cryptanalysis, where we previously found a suspicious feature, and draw a parallel with its successor TEA6. All in all, in this short and relatively crypto-forward talk, we assess with all-new material whether the new TETRA standard is fit for its intended purpose. This crucial technology seeks to once again take a very central role in our society for decades to come, and its cryptographic resilience is of fundamental importance - for emergency networks, but possibly even more for our critical infrastructure and associated processes. The new authentication suite (TAA2, as opposed to the old TAA1) features longer keys and completely new cryptographic primitives. The new Air Interface Encryption algorithms (TEA set B) consist of three new ciphers, for differing target audiences. TEA5 is intended for European emergency networks, and is the successor of TEA2. TEA6 is intended for friendly extra-european emergency and military networks, and replaces TEA3. Lastly, TEA7 is the only one available for use by critical infrastructure and other civil applications, and replaces TEA1. Initially, ETSI envisaged to keep the new algorithms secret again, once more eliminating the possibility of public scrutiny. However, following our publication, a promise was made to release the algorithms to the public for inspection. Additionally, a statement was made that TEA7 has a reduced effective strength of 56 bits. As mentioned, this algorithm is the successor to TEA1, which has an effective strength of only 32 bits, in a time where 40 bits was the maximum for freely exportable crypto. In TETRA:BURST, we presented several vulnerabilities found in the old standard. Obviously, the backdoored TEA1 algorithm is now replaced by a new cipher, and we will dive into how this works, how it can be attacked, and what the practical implications will be. Second, we previously presented a method of decrypting and injecting traffic on all network types, even those using the stronger TEA2 and TEA3 algorithms. This relies on the lack of cryptographic integrity guarantees on message - something that is still unaddressed. We discuss how this leads to issues. Lastly, TETRA:BURST described a way of decrypting the pseudonymized identities of TETRA users (first demonstrated at the 37C3), allowing for a powerful intelligence capability. We will discuss how the new standard seeks to resolve this issue. Lastly, we previously recommended caution regarding TEA3, due to a suspicious feature in its design. While no full attack will be presented, progress in its cryptanalysis was made, which we will discuss during the talk. And, there is an interesting parallel to be drawn between the suspicious quirk in TEA3 and the design of its successor, TEA6. false Wouter Bokslag Jos Wetzels https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/CEJZ9E/ 2024-12-29T19:15:00+01:00 19:15 00:40 Saal ZIGZAG Door 38c3-94-may-the-forest-be-with-you-bume-pflanzen-gegen-die-klimakrise- Science Talk de Der Harz wurde von Borkenkäfern gefressen, nur jeder vierte Baum in Deutschland gilt als gesund und in Russland sowie Nordamerika brennen die Wälder in einem enormen Ausmaß. Gleichzeitig gelten Wälder als eine der Lösungen in der Klimakrise, als CO2-Speicher und Produzent von nachhaltigen, nachwachsenden Rohstoffen. Sind Wälder in Gefahr auf Grund von Dürre, Borkenkäfer und Feuer? Und können wir mit Wiederaufforstungen der Klimakrise was entgegensetzten? Kirsten Krüger forscht an der Technischen Universität München zu Störungsdynamiken in Wäldern und erklärt in ihrem Vortrag, was Wälder eigentlich alles für uns leisten, warum Störungen ein natürlicher Bestandteil von Wäldern sind und Bäume pflanzen allein keine akkurate Antwort auf die Klimakrise ist. Störungen im Wald durch Dürre, Borkenkäfer und Feuer prägen zunehmen das Landschaftsbild und erhalten mehr Aufmerksamkeit von Medien und Politik. Die Sorge reicht von dem Szenario, dass wir alle Wälder verlieren werden hin zu dem Verlust von einem wertvollen CO2-Speicher und Produzenten von Holz. Global neue Bäume zu pflanzen scheint eine intuitive Antwort drauf zu sein, löst aber nicht die Herausforderung der Klimakrise vor der wir gerade stehen. In meinem Vortrag möchte ich aufklären, warum Störungen im Wald per se kein Problem, sondern ein Teil der Waldentwicklung sind und wie sich diese auf die CO2-Speicherfähigkeit und andere Fähigkeiten von Wäldern auswirken. Wälder sind keine statischen Konstrukte in der Landschaft, sondern ein dynamisches System, welches uns viele Dienstleistungen bereitstellt. Es gibt genug Gründe Bäume zu pflanzen, aber warum, wo und wie sind entscheidende Fragen, die ich beleuchten möchte. Außerdem berichte ich aus der aktuellen Forschung um den Zustand der Wälder, wie vor allem wir Menschen den Wald beeinflussen und möglichen Ansätzen, wie wir Wälder widerstandsfähiger machen können. false Kirsten Krüger https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/UBWU9D/ 2024-12-29T20:15:00+01:00 20:15 00:40 Saal ZIGZAG Door 38c3-448-hacking-life-how-to-decode-and-manipulate-biological-cells-with-ai Science Talk en AI methods are advancing biological research in diverse directions. In this talk, you will learn how we decode the fundamental building blocks of life with AI, and how it will help us to hack cells to cure diseases and beyond. The cell is the fundamental building block of biological organisms, such as us humans. As such, technologies to understand and hack cells enable the cure of diseases and potentially even to expand our life span. In my talk, I provide an overview on how biologists and bioinformaticians use AI to understand and hack cells. Understanding the role of individual cells is a core aspect of biological research, given the extreme diversity of cellular states and functions. A common measurement method to characterize a given cell quantifies which of its genes are activated and how strongly. While this provides a rich high-dimensional readout, it is complex to interpret, given the challenge of deriving an intuition about the meaning of all the individual gene activation levels, as well as their combinatorial effects. In my research, I combine recent AI methods, most prominently multimodal large language models, to enable the analysis and interpretation of these measurements with the English language. I will present this work alongside a more general overview into the research landscape of “AI cell models”. Furthermore, I will provide preliminary insights into how these interpretations form the basis to “hack” cells, which is accomplished through the introduction of complex “illegal instructions” in the form of molecular agents, which alter the behavior of the cell's internal programs. With this talk, I aim to provide the Chaos community with a focused insight into the biological cell and the ways in which recent developments in AI help us understand and manipulate them. false Moritz Schaefer https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/TKWN7X/ 2024-12-29T21:10:00+01:00 21:10 https://fahrplan.events.ccc.de/congress/2024/fahrplan/media/38c3/submissions/TKWN7X/38c3_cfp_20241014-1_9ZCTDex.png 00:40 Saal ZIGZAG Door 38c3-105-die-elektronische-patientenakte-epa-a-legal-instruction-trap- Ethics, Society & Politics Talk de Kaum ein IT-Gesundheitsprojekt bleibt so hinter den Erwartungen und Versprechen zurück wie die Elektronische Patientenakte (ePA). Sie wird in 2025 zur Pflicht. Jede gesetzlich versicherte Person die nicht widerspricht, bekommt eine mit Abrechnungsdaten befüllte ePA kostenlos. Da nichts kostenlos ist, bist Du auch in diesem Fall nicht Kunde sondern Ware und bezahlst bestenfalls nur mit Deinen Daten … Ihr seid in die Kryptoparty-Reihe Digitalisierung und IT-Sicherheit im Gesundheitswesen (aka TI-rant) geraten. Medizin- und Nerd-Bubble konfluieren für eine kurze Zeit, Wissenstransfer passiert. Mindestens 3,14 Herzen schlagen in unserer Brust, wenn wir auf die Digitalisierung des Gesundheitswesens blicken: Nerd, Patient, Anwender, Investor usw. Wir werden versuchen, die verschiedenen Perspektiven etwas auszuleuchten, vielleicht sogar ein wenig mehr in Einklang zu bringen. Wir setzen uns interaktiv mit aktuellen digitalen Phänomenen im Gesundheitswesen auseinander – hier mit Fokus auf die elektronische Patientenakte (ePA). true cbro https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/ZJFPSS/ 2024-12-29T22:05:00+01:00 22:05 00:40 Saal ZIGZAG Door 38c3-442-hacker-s-guide-to-meshtastic-off-grid-encrypted-lora-meshnets-for-cheap- Hardware & Making Talk en Beginners can now create off-grid, encrypted mesh networks for cheap, with applications in emergency communication, sensor monitoring, and more! These mesh networks have been popping up in cities all over the world, and this talk will go over everything a beginner needs to run or build their own nodes. If you've ever wanted to legally create off-grid, encrypted mesh networks that can span over a hundred miles, you can get started with Meshtastic for around $10. This talk will serve as a beginner user's guide to Meshtastic, covering everything from hardware basics to advanced software configuration. We will explore making custom Meshtastic hardware, real-world results from deploying Meshtastic in Los Angeles, and attacks against mesh networks. Attendees will learn about LoRa, Meshtastic node and antenna options, software setup and configuration to extend its functionality, and real-world deployments of remote nodes. false Kody Kinzie https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/9SSMGL/ 2024-12-29T23:00:00+01:00 23:00 01:00 Saal ZIGZAG Door 38c3-180-attack-mining-how-to-use-distributed-sensors-to-identify-and-take-down-adversaries Security Talk en Ever wondered why your web server seems to be under constant attack from what feels like everyone on the internet? Me too! Join me in this session where we'll explore the data of millions of attacks from hundreds of sensors around the world, to identify who is attacking us from where and why. Additionally, we will have a look into how we can use that data to get abusive systems taken down, and how successful this approach actually is. Buckle up for a deep dive into the constant battle to protect systems on the internet against adversaries gaining access, and how you can help make the internet a safer place! Looking at the 2024 M-Trends report, brute force is still one of the main reasons for adversaries to gain access and compromise companies. In fact, 6% of all initial access is done via brute force. Knowing this, as well as that attackers are constantly trying all sorts of attacks against any internet-connected device, there seems to be a gap between what is currently mostly done (block the attack) versus what should be done (report and take down the attacker)! This talk will start with a short introduction on how to set up a system that is able to collect attacks from distributed sensors, enrich them at a central location, as well as use the data to reach out to ISPs and other governing bodies to report the abuse. The sensors are Docker containers with modified OpenSSH servers that will block any login attempt, no matter which username and password combination is used, as well as log the timestamp, source IP, username, and password to a central location. Using this, the so-called "attack pot" is indistinguishable from other Linux systems, ensuring that no suspicion on the attacker's side is raised. For the enrichment part, the ISP's contact data is identified, and abuse notifications are sent via multiple channels to initiate a take down. Furthermore, automated bots monitor if the take down was successful and how long it took, allowing us to share some information on how successful this approach is, which ISPs are more cooperative, and where it is nearly impossible to get any system taken down. Generally, lessons learned with what could be potentially done better will be discussed! The second part of the talk will focus on the analysis of the collected attacks. Across all of the attacks, multiple clusters, which likely are adversarial groups moving from one target to another, could be identified. Furthermore, by analyzing the used credentials, there seems to be some correlation between internet-identifiable information like DNS, region, or OS and the credentials used in an attack. This will allow defenders to get a better understanding of how to defend and even put out decoy information to quickly identify attacks. The closure of the presentation will be an outlook on what could be done better from an ISP or governing body side to speed up take downs of adversarial infrastructure, as well as what everyone can do to make the internet a safer place! false Lars König https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/M733LV/ 2024-12-30T00:15:00+01:00 00:15 00:40 Saal ZIGZAG Door 38c3-559-hacking-victorian-bodies-from-grid-to-vector-space Art & Beauty Talk en This performative lecture by SOLID FLESH Collective explores how generative AI can reshape historical body representations into tools for imagining new bodily futures. Drawing from Muybridge’s chronophotography, which fixed bodies into a rigid scientific grid, we investigate AI’s capacity for fluid, multidimensional embodiment. Using open-source AI models to ‘resurrect’ Muybridge’s subjects and defy commercial censorship, we reveal speculative possibilities for bodily motion and identity. Our work positions the ‘vector body’—a digitally-mediated form of self-imagination—within a broader conversation on identity fluidity, algorithmic embodiment, and liberating futures beyond conventional body ideals. In this performative lecture, the SOLID FLESH Collective reimagines how artistic practice can transform historical methods of body representation into tools for imagining radical new forms of embodiment. SOLID FLESH Collective, a hybrid space bridging the realms of gym, gallery, and think tank, examines how Muybridge’s chronophotography once ‘solidified’ bodies within a rigid grid, contrasting it with generative AI’s potential for unprecedented fluidity in self-reimagining. We present a series of experiments in ‘resurrecting’ Muybridge’s subjects, using open-source AI tools to transform scientific documentation into speculative fictions. When commercial AI flagged these Victorian images as ‘pornographic,’ this rejection spurred us to explore alternate approaches, resulting in the creation of wonderfully surreal, inhuman movements with animDiff—as if the AI, uninformed by human motion, were an animator imagining it for the first time. The lecture positions the AI-mediated body within a multidimensional vector space of possibilities, spanning dimensions of gender, age, class, and experience. Through our custom ComfyUI workflow and selected clips from our ongoing film project (solidflesh.com), we show how this ‘vector body’ allows for forms of self-imagination that break free from the solidifying gaze of the camera. Our technical explorations engage larger questions around identity fluidity, algorithmic embodiment, and the possibility of a new, digitally mediated somatic imagination. As mainstream AI development often reinforces conventional body ideals, we speculate on alternative futures, asking how these technologies might instead enable liberating bodily self-conceptions. Moving beyond Muybridge’s grid and current AI’s polished limitations, we explore what approaches to algorithmic embodiment might emerge when we embrace the glitches and ‘failures’ of these systems. false Marcin Ratajczyk https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/PSX7FY/ 2024-12-29T09:30:00+01:00 09:30 01:15 Saal GLITCH Door 38c3-1095-azubi-tag-einfhrung CCC Ceremony de Siehe <https://events.ccc.de/congress/2024/infos/azubi-tag.html> Jedes Jahr zwischen Weihnachten und Neujahr treffen sich tausende Hacker*innen zum Chaos Communication Congress in Hamburg. Der Azubi-Tag ist eine günstige Gelegenheit für Auszubildende, den Congress zu besuchen, den CCC kennenzulernen und viel über IT-Security, Technik und Gesellschaft zu lernen. Wir freuen uns, diesen Tag nun zum zweitem Mal anbieten zu können. Weitere Informationen siehe <https://events.ccc.de/congress/2024/infos/azubi-tag.html>. true https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/PR8EGC/ 2024-12-29T11:00:00+01:00 11:00 https://fahrplan.events.ccc.de/congress/2024/fahrplan/media/38c3/submissions/PR8EGC/2EC2866A-9D0E-4A5B-AE13-08855609739A_mbSbHGc.jpeg 00:40 Saal GLITCH Door 38c3-411-sacrificing-chickens-properly-why-magical-thinking-is-both-the-problem-and-the-solution- Ethics, Society & Politics Talk en As an Anthropologist, magical thinking is a normal fact of life. Rather than dismissing it outright, our job is to look at its function and yes, rationality, for groups at hand. Starting out with a story about actual chickens being sacrificed to ensure the harvest, this talk explores the prevalence of useful magical thinking in our own community. Using metaphors, or even personifications, doesn‘t make a person irrational. It‘s applying a principle implicitly onto a subject matter which works completely differently, that would be the problem. After all, unless you are a strict vegetarian, it‘s not the killing of a chicken as such you‘d object to, it‘s the idea that this act makes rain. With LLMs, our public sphere has run into a problem where experts are at loss explaining a very complicated thing to a general public, which often lacks the basic terms with which to understand how this mechanism works. The instant personification of LLMs can lead to vast mismatches between their actual capabilities and what those stories imply. Rather than dismissing them outright, the question posed would be, what‘s the alternative? The talk is intended to be a light-hearted overview of some examples of both useful and dangerous constructions used to simplify complexity. It aims to touch upon some of the mechanisms that should be heeded in order to be able to tell a better story. Causality is hard. Hence the hackers jargon file contains certain references about voodoo, deep magic and yes, even the sacrifice of chickens for the greater good. In that case, that good would be „the stakeholder‘s peace of mind“. Rather than looking at the content of the subject matter, this talk is strictly about language. It highlights the issues arising when experts aim to talk about non-experts about subject matters which are not easily put into words. More precisely, not easily understood by human-sized categories of the mind. The core point is highlighting what could be called the default library present in humans: Stories, with actors and actions leading to results. Anything that‘s not easily fit into that category struggles to be understood. Underneath this, there‘s a set of basic assumptions, comparable to the terms and capabilities of a programming language or it‘s paradigm, which sets the stage for the human-sized stories to happen in. Those are very hard to even see, let alone change, for any individual. Rather than fighting assumptions, replacing a story with another story can be done far more easily. The challenge addressed in this talk is the tendency of public discourse to revolve around human-sized categories even when faced with system-sized problems. The talk invites to use the ethnographer‘s eye in order to combat dread and anger in the current public discourse. Rather than asking „how can you be so stupid?“, asking „how can you be thinking in the terms you are“ and look for logic. This skill can give you one pointed edge: Discerning active lies and acts of propaganda from honest mistakes brought about by mismatched metaphors. Which, in the end, makes the world look like a much more friendly place. false Senana https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/GAWZXM/ 2024-12-29T12:00:00+01:00 12:00 00:40 Saal GLITCH Door 38c3-246-von-augustus-bis-trump-warum-desinformation-ein-problem-bleibt-und-was-wir-trotzdem-dagegen-tun-knnen Science Talk de Trotz intensiver Forschung hinken wir aktuellen Entwicklungen im Bereich Desinformation oft hinterher. In diesem Vortrag erklären wir, warum der Umgang mit Desinformation so herausfordernd ist und welche konkreten Lösungsansätze es gibt. Obwohl wir inzwischen aus Perspektive der Forschung gesicherte Erkenntnisse über Verbreitung und Wirkung von Desinformationen haben und wirksame Präventions- wie auch Interventionsmaßnahmen auf vielen Ebenen diskutiert werden, laufen wir den tatsächlichen Entwicklungen und gesellschaftlichen Konsequenzen von Desinformation nur hinterher. Ein effektiver Umgang mit den unterschiedlichen Spielarten von Desinformation gelingt oft nicht. Mit Blick auf die aktuelle Forschung bieten wir einen Überblick über Lösungen gegen Desinformation. Dieser Talk soll die Begrifflichkeit für die öffentliche Debatte schärfen und die Frage adressieren: Was kann und soll als Desinformation verstanden werden? Darüber hinaus wollen wir diskutieren, warum der Umgang mit Desinformation so schwierig ist und welche individuellen, gesellschaftlichen und politischen Herausforderungen ihn so schwierig machen. Abschließend beantworten wir die Fragen: Was ist zu tun? false Hendrik Heuer Josephine Schmitt https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/VY3FKQ/ 2024-12-29T12:55:00+01:00 12:55 00:40 Saal GLITCH Door 38c3-381-geschredderte-gutachten-wie-nicht-nur-der-staat-bei-digitaler-barrierefreiheit-versagt Ethics, Society & Politics Talk de Ein riesiger Teil der digitalen Leistungen der Bundesrepublik sind nicht inklusiv und für alle zugänglich. Eklatante Rechtsbrüche werden ignoriert und es gibt absolut nichts, was wir tun können, außer darüber zu reden. Die digitale Barrierefreiheit ist kaputt. In den letzten Monaten habe ich viele digitale Angebote des Staates auf deren Barrierefreiheit überprüft und die kritischsten Barrieren an die verantwortlichen Stellen gemeldet. Beispielsweise war es in der Hochwasser-Krise nach Weihnachten 2023 für blinde Personen in mindestens drei relevanten Bundesländern nicht möglich, den aktuellen Pegelstand an ihrem Wohnort abzurufen. Im Katastrophenschutz sieht es nicht besser aus: Alle vier öffentlich finanzierten Warn-Apps sind für viele Menschen mit Behinderung nicht nutzbar. Und auch das neue, für alle verpflichtende E-Rezept wurde voller Barrieren ausgerollt. Diese eklatanten Mängel sind leider Dauerzustand. Selbst wenn Barrieren schon intern bekannt sind, dauert es oft Jahre, bis diese behoben werden. An allen Ecken fehlt wichtige Expertise und der weltweite Beratungsmarkt wird beherrscht von Schlangenöl. Bei einer Meldung einer neuen Barriere werfen die Behörden gerne mit Phrasen um sich und beteuern ihren Einsatz für Inklusion. Tatsächlich zeigen meine Erfahrungen ein erschreckendes Muster , das auf systematische Diskriminierung hindeutet. Aber wie können wir dann wirklich und nachhaltig Dinge verbessern? Können wir das überhaupt? Wir schauen uns den traurigen Zustand der digitalen Barrierefreiheit in Deutschland an, benennen Verantwortliche für die Misere und lernen, was wir eigentlich wirklich bräuchten. Von echten Menschen mit Behinderung, mit echter Expertise. false Casey Kreer https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/GYAZK8/ 2024-12-29T13:50:00+01:00 13:50 https://fahrplan.events.ccc.de/congress/2024/fahrplan/media/38c3/submissions/GYAZK8/ero2_collage_NbtYf4B.jpg 00:40 Saal GLITCH Door 38c3-624-euclid-das-weltraumteleskop-180-millionen-galaxien-sind-ein-guter-anfang Science Talk de „Euclid" ist seit 2023 das neue Weltraumteleskop der Europäischen Weltraumbehörde mit Beteiligungen eines Wissenschaftskonsortiums aus vierzehn europäischen Ländern, den USA, Kanada und Japan. Gestartet vor knapp eineinhalb Jahren, läuft jetzt seit gut 9 Monaten die wissenschaftliche Himmeldurchmusterung. Auf dem 37C3 konnte ich die ersten fünf "Early Release Observation" Bilder vorstellen, seitdem ist viel passiert. Vor allem läuft nach ein paar Anlaufschwierigkeiten die Mission richtig gut und viele hundert Quadratgrad des Himmels sind bereits fertig kartiert - die Datenbearbeitung und Auswertung läuft. Ich werde weitere Bilder und einen kleinen Blick hinter die Kulissen zeigen. Euclid ist ein astronomisches Weltraumobservatorium, aber zugleich als Gesamtkonzept ein wissenschaftliches Experiment zur besseren Erforschung von "Dunkler Energie" und "Dunkler Materie". Beim 37C3 hatte ich die Hintergründe dazu erklärt und wie Euclid mit der Vermessung der Formen und Entfernungen von 1-2 Milliarden Galaxien die Entwicklungsgeschichte des Universums nachvollziehen wird. Nach eineinhalb Jahren Erfahrungen mit dem Teleskop und neun Monaten Himmeldurchmusterung haben wir einiges an Erfahrung mit dem Teleskop gesammelt, den ersten Data-Release vorbereitet und jede Menge schöner Bilder gesehen und bestaunt. Wir haben uns aber auch durch Herausforderungen mit dem Teleskop gearbeitet, zum Beispiel durch Eisbeläge auf den Spiegeln oder eine aktuell sehr aktive Sonne. Aber das ist unter Kontrolle. Ich werde einige neue und eindrucksvolle Bilder von Euclid zeigen und den Stand der Dinge skizzieren. Ich werde auch ein bisschen einen Blick hinter die Kulissen geben, wie mit solchen Herausforderungen umgegangen wird und wie die Datenverarbeitung voranschreitet. false Knud Jahnke https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/UDBPYF/ 2024-12-29T14:45:00+01:00 14:45 https://fahrplan.events.ccc.de/congress/2024/fahrplan/media/38c3/submissions/UDBPYF/FABulous_OpenBoard_OTQMZzI.jpg 00:40 Saal GLITCH Door 38c3-586-the-design-decisions-behind-the-first-open-everything-fabulous-fpga Hardware & Making Talk en With the availability of robust silicon-proven open-source tools, IPs, and process design kits (PDKs), it is now possible to build complex chips without industry tools. This is exactly what we did to design our first open-everything FABulous FPGA, which is an example of open silicon that is designed and programmed entirely with open tools. Produced in the Skywater 130nm process node, our chip features 672 LUTs (each with 4 inputs and a flop), 6 DSP blocks (8x8 bit multipliers with 20-bit accumulators), 8 BRAMs (with 1KB each), and 12 register file primitives (each having 32 4-bit words with 1 write and 2 read ports). The resources are sufficient to run, for instance, a small RISC-V system on the fabric. The FPGA comes with a small board that is designed to fit into an audio cassette case and that can be programmed directly via an USB interface. Moreover, the FPGA supports partial reconfiguration, which allows us to swap the logic of parts of the FPGA while continuing operation in the rest of the chip. The chip was designed with the help of the versatile FABulous framework, which integrates several further open-source projects, including Yosys, nextpnr, the Verilator, OpenRAM, and the OpenLane tool suite. FABulous was used for various embedded FPGAs, including multiple designs manufactured in the TSMC 28nm process node. The talk will discuss and analyze differences and similarities with industry FPGAs and dive into design decision taken and optimizations applied to deliver good quality of results (with respect to area cost and performance). The talk will highlight state-of-the-art in open-source FPGA chip design and provide a deeper than usual discussion on the design principles of these devices. The talk will target both FPGA novices and experts and discuss the technology from two angles: 1) the capabilities of open tools to build an entire FPGA ecosystem and 2) FPGA technology insights. false Dirk https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/YC8L8L/ 2024-12-29T15:45:00+01:00 15:45 00:40 Saal GLITCH Door 38c3-658-beyond-ble-cracking-open-the-black-box-of-rf-microcontrollers Hardware & Making Talk en Despite the recent popularity and breadth of offerings of low-cost RF microcontrollers, there is a shared absence of documentation for the internal workings of their RF hardware. Vendors might provide an API for their supported protocols, such as BLE, but their documentation will only provide as much detail as necessary to use these libraries. For practically every BLE MCU available to hobbyists, interfacing with the on-chip radio is limited to secret ROMs or binary blobs. In this talk, we will finally peel back the curtain on one of these RF MCUs, giving the ability to understand and unlock the full potential of the hardware to operate in new modes. The TI SimpleLink family of BLE and Sub-GHz RF MCUs present a general-purpose Cortex-M4F platform with extensive documentation for developing custom embedded/IoT devices. With a reference manual filled with countless diagrams and register maps for all its peripherals, the Radio section is surprisingly sparse, only mentioning a high-level API for exchanging commands between an RF coprocessor core. This secondary undocumented CPU is what handles the actual RF communication, running from an inaccessible ROM. There’s no mention of what peripherals lay beyond the coprocessor aside from generic “DSP Modem” and “RF Engine” modules. This talk serves to be the unofficial “Radio Reference Manual” of the SimpleLink MCUs, opening the black box of the RF subsystem and painting the full picture on how the radio operates - from the stack to the antenna. As part of this effort to fully understand these chips, we reverse engineered TI’s proprietary RF patch format, which enables SDK updates to introduce support for newer protocols on existing chips. We show how these patches allow you to modify the behavior of almost every part of the RF subsystem, control the RF subsystem in ways not intended, or even replace the ROM firmware entirely. Additionally, we investigate the hidden DSP Modem cores, and decode their proprietary ISA to disassemble and craft new firmware patches for them as well, potentially opening up the door for a cheap single-chip SDR. false Adam Batori Robert Pafford https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/7YDWFB/ 2024-12-29T16:40:00+01:00 16:40 00:40 Saal GLITCH Door 38c3-642-biological-evolution-writing-rewriting-and-breaking-the-program-of-life Science Talk en Biological evolution is a great inventor. Over 4 billion years, it has generated an astonishing diversity of lifeforms, from the tiniest bacteria to the tallest trees. Each new organism inherits a genetic program from its parents - a set of instructions to “build” the organism itself. Random mutations in this program can alter the organism’s traits, affecting its ability to survive in its environment. But how do these small changes combine over thousands of generations to yield the vast complexity we see in present-day lifeforms? In this talk, we discuss examples from our research, using computer simulations to model the early evolution of animals, from single-celled microbes to complex multicellular organisms. We show that evolution behaves a bit like a hacker, repurposing the programs it previously built in unexpected ways to create new functions and structures. Understanding how evolution continually innovates is one of biology’s grand challenges. We also hope that uncovering these processes in biological systems will provide new perspectives on current debates about the generative and creative capabilities of AI. The history of life abounds with examples of how biological evolution repurposes old tools for new functions. Feathers, indispensable for bird flight, first appeared in dinosaurs, where they served an entirely different purpose: to stay warm in the Jurassic winter. Analogously, the proteins that focus light in the lens of our eyes originally functioned as metabolic enzymes. One of evolution’s most transformative repurposing events is the emergence of multicellularity — a transition that laid the groundwork for complex life as we know it. Before multicellularity evolved, single cells lived autonomously, each with their own genetic program to find food and survive harsh environments. Evolution repurposed these cellular programs, to organise self-sufficient cells into cooperative multicellular groups, with surprising new capabilities and collective survival strategies. For example, cells in the group can divide tasks among each other and share resources, paving the way for the extreme specialisation we find in the organs of modern animals. Our computational models simulate this evolutionary transition to explore how the rewriting of cellular programs sets the stage for further biological innovations. One striking insight from our computational approach is that it requires little input data to generate novel solutions to evolutionary problems, revealing an inherent efficiency in biological systems that stands in contrast to modern generative AI. false Enrico Sandro Colizzi Renske Vroomans https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/H8QNQX/ 2024-12-29T17:35:00+01:00 17:35 00:40 Saal GLITCH Door 38c3-641-high-energy-physics-aside-the-large-hadron-collider Science Talk en What are we, and where do we come from? - Searching for flavour in beauty Nowadays the Large Hadron Collider (LHC) at CERN is the best known high energy physics research facility. However, there are other facilities around the world performing cutting edge high energy physics research. Some of these are the so called flavour factories which have a long tradition in high energy physics. Two of these are currently in operation: BES III in China and Belle II in Japan. Collecting huge amounts of data, the goal of these experiments is to measure free parameters of the standard model of particle physics with very high precision to find deviations from predictions by theory. Such deviations can hint to new physics, and physicists are still searching for the reasons of our very existence as by our best knowledge nothing but light should have remained after the big bang. But testing the standard model is challenging. Huge data sets in the order of tera bytes need to be analysed requiring advanced analysis software and techniques. By now these analyses usually employ machine learning and artificial intelligence in various kinds, while using custom hardware and software, and a world spanning computing infrastructure. All of this is only possible with more than 1000 people working together in a collaboration. Part of the work in high energy physics nowadays would not be possible anymore without the groundbreaking research by this year's Nobel laureates for physics. In this talk I will present what flavour physics is, the reasons why flavour physics is interesting and why it matters, and which challenges we are facing, using the Belle II experiment as an example. Most of the challenges are not unique to Belle II but to high energy physics in general, so I will also set this into the bigger context and take a look to what is ahead of us in the field of high energy physics. Developed in the 1950s to 1960s, the standard model of particle physics has been a huge success. However, there are parts it cannot describe: * During the big bang the same amount of matter and anti-matter should have been produced, and they should have annihilated only leaving light. But here we are, so there must have been some sort of imbalance or asymmetry. With our current understanding of particle physics and the big bang we cannot explain the amount of asymmetry necessary to explain our existence. So why are we here? * We found that neutrinos do have mass, while the SM predicts them to be massless. So why do neutrinos have mass and where does it come from? * The orbital velocities of stars in distant galaxies show deviations from expectations if only visible matter is taken into account. These deviations in the galaxy rotational curves hints to additional matter which nowadays we call "dark matter". But what is its origin * The universe seems to expand with an increasing rate, but what is the driver behind this rate? We now describe this as "dark energy" but do not really know what it is made of. * ... Cosmology, astrophysics, and high energy physics are working on solving these mysteries. While the first two require observations of space and simulations on earth, the last one can be fully conducted on earth. In high energy physics we currently are following to paths of finding physics beyond our current understanding called the "standard model" of particle physics: direct and indirect discoveries. This can be achieved by testing ever higher energies, or by probing known processes with improved precision. The discovery of the Higgs Boson in 2012 was of the first category, a direct discovery at high energies. Flavour factories work differently. They operate at much lower energies (about 1000 times lower than the Large Hadron collider), but are collecting huge amounts of data to precisely test the standard model to find hints for unknown physics effects. One of the current flavour physics experiments is Belle II in Japan. There physicists try to find hints explaining the asymmetry between matter and anti-matter seen at the big bang, and are searching for dark matter candidates, as well as other indications of deviations from the standard model. By precisely measuring the standard model processes it is possible check for particles 10,000 times heavier than the energies used in Belle II, and 10 times heavier of what the LHC can achieve in direct searches. This talk focuses on the challenges that modern high energy physics experiments, as well as other experiments are facing, and how to tackle them, as well as the public relevance of the research fields. false Christian Wessel https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/XUE8CS/ 2024-12-29T19:15:00+01:00 19:15 https://fahrplan.events.ccc.de/congress/2024/fahrplan/media/38c3/submissions/XUE8CS/tildagonfull_PLCE3rL.png 00:40 Saal GLITCH Door 38c3-525-drawing-with-circuits-creating-functional-and-artistic-pcbs-together Art & Beauty Talk en We are a professional electronics designer and a professional artist. We'd like to share our experience of integrating an artist into the design workflow for EMF's 2022 and 2024 event badges, how we ensured that form and function grew together, and how you might make a board so fancy it crashes your PCB vendor’s CAM software. Circuit boards are increasingly being made to be seen. Whether they're personal or commercial, many projects show off their PCBs in an array of shapes, colours and sizes instead of hiding them in enclosures. While making an electronic design work correctly and making it look amazing are not conflicting goals, they do require very different skillsets. If you are not one of the rare people whose expertise spans both graphic and electronic design, it may feel very daunting to collaborate with someone who has a very different skillset. You must figure out what you don't know about each other's fields, what the other needs to know, and find the right language to bridge that divide. We will share our experience of working together as circuit designer and artist, and will talk about: - the possibilities and constraints of modern PCB technology as a medium for visual art - turning a functional electronic design into an artistic playground - our experience of communicating across fields of expertise, developing a common language and conveying essential ideas without getting in each other's way - some fantastic free software for art and electronic design - sample workflows for embellishing circuits - what PCB design software and manufacturers expect and how to get away with doing "weird" things - many examples of beautiful things we and others have made We hope this will inspire and encourage you to make your own beautiful collaborative designs a reality. false Kliment Morag Hickman https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/STEVPR/ 2024-12-29T20:15:00+01:00 20:15 00:40 Saal GLITCH Door 38c3-311-ultrawide-archaeology-on-android-native-libraries Security Talk en A bug in a scraper script led to us downloading every single native library in every single Android app ever published in any market (~8 million apps). Instead of deleting this massive dataset and starting again, we foolishly decided to run some binary similarity algos to check if libraries and outdated and still vulnerable to old CVEs. No one told us we were opening Pandora's box. A tragic story of scraping, IP-banning circumvention, love/hate relationships with machine learning, binary similarity party tricks, and an infinite sea of vulnerabilities. A rumor has been going around: Android developers are slow to update native dependencies, leaving vulnerabilities unpatched. In this talk we will show how *wrong* this rumor is: Android developers are not slow to patch - they never heard of the word patching. We conduct a massive study over the every single app ever published on Android (more than 8 million!). We explore trendy topics like Play Store scraping, Androzoo scraping, Maven repository scraping, the state of the Android ecosystem, binary similarity state-of-the-art methods vs binary similarity pre-historic methods, and the consequences of thinking you know how databases work when you actually don't. false Luca Di Bartolomeo (cyanpencil) Rokhaya Fall https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/LVVRLL/ 2024-12-29T21:10:00+01:00 21:10 https://fahrplan.events.ccc.de/congress/2024/fahrplan/media/38c3/submissions/LVVRLL/bunterPapgei_7zNGwMm.png 00:40 Saal GLITCH Door 38c3-523-klimaschdlich-by-design-die-kologischen-kosten-des-ki-hypes Ethics, Society & Politics Talk de Sogenannte Generative KI hat einen hohen Rechenbedarf und braucht damit automatisch viel Energie. Wir wollen zeigen, was die AI-Bubble uns alle bisher an Ressourcen gekostet hat. Wer verdient sich daran dumm und dusslig? Und wer trägt die ökologischen und sozialen Kosten? Sogenannte „Generative KI“ ist nicht nur ein Hype-Thema in Politik und Gesellschaft, mit ihr schießen auch die benötigten Rechenkapazitäten in die Höhe. Der Energiebedarf ist so hoch, dass Google, Microsoft und Meta 2024 nacheinander ihre Klima-Ziele zurücknahmen und nun auf dubiose Kernkraft-Lösungen umsteigen wollen. Das hat System, denn Big Tech entwickelt und finanziert nicht nur die gehypten KI-Anwendungen, die gleichen Konzerne bieten auch die benötigten Cloud-Kapazitäten an. Von Chile, Spanien bis nach Taiwan – weltweit regen sich Proteste gegen die Infrastruktur hinter dem KI-Boom, von neuen Bergbauprojekten, Chipfabriken bis zu Hyperscale-Rechenzentren. Der steigende Energie-, Wasser- und Ressourcenverbrauch feuert die Klimakrise an, bedroht Ökosysteme und verletzt indigene Landrechte – für erhoffte Milliardengewinne auf der Seite von Big Tech. In diesem Vortrag schauen wir auf die ökologischen und menschenrechtlichen Kosten des KI-Booms. Wir tragen die Fakten zusammen und liefern kritische Analysen und Argumentationshilfen zum KI-Hype. false Friederike Karla Hildebrandt Constanze Kurz https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/JLJGB8/ 2024-12-29T22:05:00+01:00 22:05 00:40 Saal GLITCH Door 38c3-456-mushroom-djs-strong-ai-climate-change-connecting-the-dots-with-artistic-research Art & Beauty Talk en The exploratory nature of artistic research can aide in the production of knowledge. Sometimes, this takes a detour through music-making mushrooms and making moonshine, sometimes it deals with societal reverberations of AI usage or how lithium extraction affects the planet. This talk gives an insight on how we do technology-assisted artistic research at ZKM | Hertzlab, the artistic research & development department of the Center for Art and Media, Karlsruhe. Artistic research takes the exploratory impulse of art and combines it with the wish for knowing the world that characterizes scientific research. It is neither science communication, nor purely artistic practice - it is located somewhere in between. As a field of its own, artistic research is still relatively young; at ZKM | Center for Art and Media, Karlsruhe, we explore what this means in the context of one of Europe's oldest media art institutions. Our six themes - lifecycles, connect, a common(s) world, ai-lab, post-human world, fellow futures - guide us in what we hope is a contribution to larger discourses from the point of view of art. With examples and projects, this talk will illuminate artistic research practices, its benefits and challenges and how having a hacker mindset is the first step into becoming an artistic researcher. false twena https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/UR9CYP/ 2024-12-29T23:00:00+01:00 23:00 01:00 Saal GLITCH Door 38c3-514-how-election-software-can-fail Security Talk en Experiences from a hacker working at the Election Council of The Netherlands. After critically following the elections for 8 years from the outside, a hacker was employed as one of the functional administrators of the software supporting the elections. Sharing experiences of the use of election software during 7 elections (2020-2023), from local, national to European in The Netherlands. A governmental software project with strict deadlines, and high security expectations. The software project for elections in The Netherlands is build an IT organization [owned by German local governments](https://www.regioit.de/unternehmen/zahlen-daten-fakten). More than 10.000 Java files, what can possible go wrong? During this time multiple emergency patches were needed and incidents occur. Although at first explicitly *not* hired as a coder, within 3 months a Java code contribution was made that was unexpectedly more crucial than anticipated. This talk will show some incidents with the election software in The Netherlands: how the software failed, and when/how it was discovered. Go over how seeing the elections from the outside, and give some history of voting computers and software. Ending with some reflecting on the future. false Benjamin W. Broersma https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/WDCRSE/ 2024-12-30T00:15:00+01:00 00:15 https://fahrplan.events.ccc.de/congress/2024/fahrplan/media/38c3/submissions/WDCRSE/Esszimmer_dTRMahJ.jpg 00:40 Saal GLITCH Door 38c3-274-mal-was-mit-holz Hardware & Making Talk de Bildervortrag zum Thema "Nachhaltige Inneneinrichtung" mit Mitbringseln zum Anfassen sowie Tipps & Tricks zu Konstruktion, Gestaltung und Durchführung Holz ist als nachwachsender Rohstoff ein umweltfreundliches Baumaterial, hat als Naturprodukt jedoch seine Eigenheiten. Der Vortrag geht auf die Basics der Holzbearbeitung ein, worauf geachtet werden muss und wie stabile Verbindungen oft völlig ohne Leim oder Schrauben hergestellt werden können. Die Bilder dazu verfolgen zwei Projekte von der Konstruktionszeichnung über die rohen Bohlen bis zum fertigen Produkt und geben Einblicke in das Handwerk, das oft auch ohne Maschinen auskommen kann. false Metal_Warrior https://cfp.cccv.de/38c3-community-stages/talk/ACG3L7/ 2024-12-29T11:00:00+01:00 11:00 02:00 Stage HUFF Door 38c3-community-stages-674-lightning-talks-tag-3 CCC Talk 40 (30min +10 Q&A) de Lightning Talks are short lectures (almost) any congress participant may give! Bring your infectious enthusiasm to an audience with a short attention span! Discuss a program, system or technique! Pitch your projects and ideas or try to rally a crew of people to your party or assembly! Whatever you bring, make it quick! 11:00 Opening Lightningtalks 11:05 "Digital integrity of the human person, A new fundamental right",Alexis Roussel 11:10. RDP to RCE in 5 minutes,Dor Dali 11:15 Static Security Analysis Tools for Java,Markus Toran 11:20 From Apple litigation to Legal Eduation: how the FSFE can help you,Ana Galan 11:25 Does the Doomguy live in a simulation? Gaming and Quantum Mechanics,gabriele 11:30 C02 negative energy production,coalburner3000 11:35 Detecting Fake Base Stations with CellGuard on iOS,jiska 11:40 How to build a giant inflatable crab,rahix 11:45 Illegal Instruction into Machine Learning,Dennis Eisermann 11:50 iOS Inactivity Reboot,jiska 12:55 LLMs hallucinate graphs too!,Erwan 12:00 LibreOffice WASM & JS - Blending a C++ FOSS into a web app,kolAflash 12:05 Youth Hacking 4 Freedom,Sofía Aritz Albors Escobés 12:10 Shovel: leveraging Suricata for Attack-Defense CTF,quiet_table 12:15 A tiny self-contained piece of (home)automation infrastructure,luz 12:20 The helyOS Open Source Control Tower Framework - How to tell our robots what to do?,Felix 12:25 RDMA for No-Compromises Remote Desktop Experiences,Tim Dettmar false https://cfp.cccv.de/38c3-community-stages/talk/V3PLAT/ 2024-12-29T13:15:00+01:00 13:15 https://cfp.cccv.de/media/38c3-community-stages/submissions/V3PLAT/Bildschirmfoto_vom_2024-11-16_18-42-06_XxJ2mQJ.png 00:20 Stage HUFF Door 38c3-community-stages-877-sharing-shells-using-tmux-to-take-care-of-servers-collectively Entry-Level & Education Educational (15min + 5 Q&A) en Learn how you can use `tmux` to take care of servers together with your friends! We are a feminist server collective and take care of infrastructure for other groups - like their websites, email or mailinglists. Much of this work happens on the command line - in a so-called "shell" - and this is often a very lonely place. In our talk, we'd like to show you how we do this together, even though we are in different physical places. We are using the simple tool `tmux`. It helps us in working together as if we are sitting next to each other and looking at the same screen. We have the same view into things, and can easily take turns with typing. And `tmux` has even more advantages - among other things, it remembers our session until the next meeting two weeks later! In our talk, we want to show how you can use `tmux` - for instance, if you are also taking care of servers and want to do this together with others. The talk is based on our zine about the topic, and we will bring paper copies of it: https://sharingshells.diebin.at/ true kea tobi https://cfp.cccv.de/38c3-community-stages/talk/ZYQH8J/ 2024-12-29T13:50:00+01:00 13:50 https://cfp.cccv.de/media/38c3-community-stages/submissions/ZYQH8J/Logo_wnIJXph.png 00:40 Stage HUFF Door 38c3-community-stages-720-nein-zur-bezahlkarte-rechte-symbolpolitik-mit-solidaritt-aushebeln Privacy, Anonymity & Decentralisation Talk 40 (30min +10 Q&A) de Im Februar dieses Jahres wurde in Hamburg als Pilotprojekt die sogenannte „SocialCard“ eingeführt. Bei dieser Bezahlkarte handelt es sich um eine Visa Debitkarte, die an geflüchtete Menschen in der Erstaufnahme ausgegeben wird und mit massiven Einschränkungen verbunden ist: Es können keine Überweisungen oder Lastschriftverfahren getätigt werden, Onlinehandel ist gar nicht oder nur mit Sondergenehmigung der Behörde möglich. Die Bezahlkarte reduziert außerdem den monatlichen Barbetrag, der abgehoben werden kann auf 50 € für Erwachsene und 10 € für Menschen unter 18 Jahren. Die Abhebung ist nur gegen Gebühren am Automaten oder beim Einkauf im Supermarkt möglich, der meist mit einem Mindesteinkaufswert von mindesten 10 € verbunden ist. 50 € Bargeld reichen einfach nicht um ein selbstbestimmtes Leben zu führen. Wir haben uns deswegen zusammengeschlossen und mit Hilfe von vielen solidarischen Leuten einen Gutschein-Tausch gestartet, um Menschen mit Bezahlkarte zu unterstützen und zu Bargeld zu verhelfen. Wir wollen so viele Menschen wie möglich erreichen und ermutigen sich zu beteiligen, auszutauschen, eigene Strukturen aufzubauen oder zusammen mit uns gegen die Bezahlkarte zu protestieren. Denn sie ist nur der Anfang. Wir wissen, dass die „SocialCard“ derzeit an den vulnerabelsten Menschen getestet wird und in Zukunft auf alle Sozialleistungsempfänger ausgerollt werden soll. Also lasst uns und zusammen die Bezahlkarte stoppen. Wir vernetzen und solidarisieren uns bundesweit mit Gruppen, die eine Tauschstelle einrichten und sich aktiv gegen die rechte Symbolpolitik stellen. Wir setzen uns dafür ein, dass die diskriminierende und entmündigende Bezahlkarte abgeschafft und durch ein Basiskonto ersetzt wird. false Munir & Jot https://cfp.cccv.de/38c3-community-stages/talk/RK8GWR/ 2024-12-29T14:45:00+01:00 14:45 00:40 Stage HUFF Door 38c3-community-stages-808-open-accessibility-nicht-nur-f-oss-barrierermer-gestalten- Diversity & Inclusion Talk 40 (30min +10 Q&A) de Barrierefreiheit für alle, immer und überall, zumindest in F/OSS-SW wie Communities, ist bisher ein frommer Wunsch. Warum ist das so und wie lässt es sich grundlegend ändern? Accessibility spielt bisher in Deutschland, wenn überhaupt, nur bei Webseiten eine Rolle. Desktop-Software, Online-Kommunikation, IT-Systeme generell sind hingegen für die meisten Menschen mit Behinderungen nicht oder nur mit großen Einschränkungen nutzbar. Diese Mängel werden bisher meist durch individuelle Workarounds versucht zu beheben, nur, damit beim nächsten Upgrade alles wieder vorbei ist. Für diese Misere gibt es technische, soziale wie gesellschaftliche und rechtliche Gründe, vielmehr: Defizite. Diese werde ich vorstellen. Darauf aufbauend plädiere ich für grundlegenden Verbesserungen und zeige mögliche Ansätze dafür u.a. den Bereichen Standards, individuelles Engagement, Prozesse und Organisation von Communities. Fragen, Diskussion und eigene Vorschläge sind erwünscht! false Irmhild Rogalla https://cfp.cccv.de/38c3-community-stages/talk/MCTBUN/ 2024-12-29T15:45:00+01:00 15:45 https://cfp.cccv.de/media/38c3-community-stages/submissions/MCTBUN/servfail-poster2_ZbbOcMk.png 00:40 Stage HUFF Door 38c3-community-stages-768-we-made-a-globally-distributed-dns-network-for-shits-and-giggles Hack, Make & Break Talk 40 (30min +10 Q&A) en DNS infrastructure is a bespoke pile of interconnected "standards", and its management is often treated as an afterthought. With Project SERVFAIL we aim to change that perception, providing both general docs and a community-run alternative to commercial nameservers - all of which while staying exceedingly *silly*. What started as a joke shitpost on fedi ended up with us spending multiple weeks hacking on everything DNS: from infra setups, through automating DNSSEC deployments, up to writing a fully custom zone edit website. With [Project SERVFAIL](https://beta.servfail.network), we set out to discover what we could do better than the status quo. With barely any progress in the past 15 years, the NS provider field has seemingly stagnated. We set out to change that - and while SERVFAIL is still a Work in Progress, we're already at a point where we have a lot to share: stories of horror, upstream negligence, but also of hope and wonder for the future. All of this while still bringing a vibe that wouldn't let you mistake us for for an enterprise - and for free, OSS, of course. false sdomi famfo Merlin https://cfp.cccv.de/38c3-community-stages/talk/GJYNNR/ 2024-12-29T16:40:00+01:00 16:40 00:40 Stage HUFF Door 38c3-community-stages-719-vulnerability-management-with-defectdojo Open Source & Platform Decay Talk 40 (30min +10 Q&A) en Defect Dojo is an open source tool for vulnerability management. I will give an introduction into vulnerability management and show how that is implemented with defect dojo Vulnerability management is a try to integrate finding, managing and mitigating of vulnerabilities in code into your workflow. It usually starts with some tools to find vulnerabilities in different areas - let it be with image scanning like Trivy and Clair, classical vuln scanning like Nessus, Static code analysis like Sonar or dependency management with the OWASP dependency tracker. Defect Dojo takes all those reports, dedublicates findings, manages the handling of false positives and gives a Product Owner a tool to the hand how to move that on into your development tracking software like Jira or else. I will show how all of that works and what advantages this have. Also some insight how its used in a medium size critical infrastructure company. false mc.fly https://cfp.cccv.de/38c3-community-stages/talk/T8AHFW/ 2024-12-29T17:35:00+01:00 17:35 00:40 Stage HUFF Door 38c3-community-stages-873-sicherheitslcke-gefunden-und-nun- Hack, Make & Break Talk 40 (30min +10 Q&A) de Der CCC unterstützt bei der Meldung von Sicherheitslücken nach dem Responsible-Disclosure- beziehungsweise Coordinated-Vulnerability-Disclosure-Verfahren. Am Beispiel verschiedener Lücken, die wir in den vergangenen Monaten gemeldet haben, zeigen wir, wie Disclosures ablaufen können. Eine Rechtsberatung findet nicht statt. Bei angewandter Sicherheitsforschung führen Hackerparagraphen nach wie vor zu großer Unsicherheit. Meldende von Sicherheitslücken müssen befürchten, angezeigt und verklagt zu werden. Daher unterstützt der CCC bei der Meldung von Sicherheitslücken. Wie läuft so ein Disclosure-Prozess eigentlich ab? In diesem Vortrag geben wir Einblicke in die Praxis und erläutern anhand aktueller Beispiele aus den vergangenen Monaten, wie wir Sicherheitslücken gemeldet haben. Dabei beleuchten wir typische Herausforderungen und mögliche Konflikte. false Matthias Marx Linus Neumann https://cfp.cccv.de/38c3-community-stages/talk/7R8P3N/ 2024-12-29T20:30:00+01:00 20:30 https://cfp.cccv.de/media/38c3-community-stages/submissions/7R8P3N/woman_in_the_middle_TA7DRJf.jpeg 01:00 Stage HUFF Door 38c3-community-stages-773-woman-in-the-middle Diversity & Inclusion Talk 60 (45min +15 Q&A) de Ist Cybercrime der attraktivere “Arbeitsplatz” für Menschen, die aus dem stereotypischen Rahmen des Bildes eines IT-lers fallen - im Gegensatz zur Cybersecurity? Wir decken auf! "Wir leben doch längst in einer gleichberechtigten Welt!", sagen manche. Doch mal ehrlich, wer von euch denkt bei einem Man-in-the-Middle-Angriff an eine Hackerin? Wir sprechen über Hürden und Herausforderungen, denen Menschen, die nicht dem Stereotypen-Bild des IT-lers entsprechen, heute immer noch begegnen. Von absurd hohen Einstiegshürden über Kompetenzabsprechungen bis hin zu völlig anderen Maßstäben für Auftreten und Aussehen - wir decken Mechanismen von Benachteiligung und Diskriminierung auf. Mit lebhaften Geschichten, die wir selbst als Frauen in der Cybersecurity erlebt haben, vielen Interviews mit FINTAS und aktuellen Trendzahlen zeichnen wir ein anschauliches Bild dieser Realität. Wir erzählen darüber hinaus entsprechende Geschichten aus anderen Berufsfeldern. Doch das Bild hat zwei Seiten: Die Unterschätzung von Kompetenzen kann ein unerwarteter Vorteil sein, besonders in der Welt der Cyberkriminalität. Wenn Nicht-Stereotypische Hackende im digitalen Untergrund agieren, ergeben sich neue, überraschende Perspektiven. Wir beleuchten die Gleichstellung im Cybercrime und fragen uns: Was können wir hieraus lernen und für bessere Arbeitsbedingungen in legalen Berufszweigen übernehmen? Dazu haben wir einen Hack, den wir vorschlagen möchten und der aus unserer Perspektive helfen würde, dass alle Menschen Ihr Recht auf freie Berufswahl, freie Entfaltung und weitere Menschenrechte auch wirklich zugestanden bekommen - Damit alle Wesen dieses Universums ein Leben in Frieden und Freiheit genießen können. false norberta Catrin https://cfp.cccv.de/38c3-community-stages/talk/8L3LSM/ 2024-12-29T21:45:00+01:00 21:45 https://cfp.cccv.de/media/38c3-community-stages/submissions/8L3LSM/thot_hieroglyph_BbOXjEr_nJchywd.png 01:00 Stage HUFF Door 38c3-community-stages-785--k-ein-beinbruch-datenverarbeitung-im-cert Open Source & Platform Decay Talk 60 (45min +15 Q&A) de Das CERT - der allseits bekannte Sanitäts- und Brandschutzdienst des Congresses - ist wie alles andere auch gewachsen. Dazu gehört, dass Patient\*innen- und Einsatzverwaltung auf Klebezetteln langsam aber sicher nicht mehr skaliert. Jede\*r auf dem Congress kann mal Hilfe vom CERT benötigen. Um Einsätze zu verwalten, zu protokollieren und zu managen hat der Sanitäts- und Brandschutzdienst der CCC Veranstaltung GmbH in der Vergangenheit vor allem auf Whiteboards und Papier gesetzt. Durch das Wachstum der letzten Jahre skaliert das aber nicht mehr und es musste eine übersichtliche und auf die besonderen Bedürfnisse zugeschnittene Software entwickelt werden. Auftritt: THOT - Trouble Handling Operations Terminal, die neue Einsatzsteuerungs- und Patient\*innenmanagementsoftware des CERT, das im Rahmen des Congresses als Open Source Projekt endlich in die Community entlassen wird. Welche Daten erhoben und wie sie verarbeitet werden wenn es brennt, ihr euch verletzt oder schlimmeres passiert möchten wir euch in diesem Vortrag transparent machen, Fragen beantworten und die Möglichkeit geben, das System im Nachgang selbst unter die Lupe zu nehmen. false TobiasG pennylane Blubbel https://cfp.cccv.de/38c3-community-stages/talk/BHGS8F/ 2024-12-29T23:05:00+01:00 23:05 https://cfp.cccv.de/media/38c3-community-stages/submissions/BHGS8F/DETEKTOR_jPoy7s4.jpg 00:40 Stage HUFF Door 38c3-community-stages-1058-die-entsiegelung-des-spiegelpferdes Art & Play Experimental Audio Play de Als Forschungsgruppe DETEKTOR führen wir einen fiktiven wissenschaftlichen Laborversuch durch, der Fantasie und Realität miteinander verschmelzen lässt. Als „Forschungsgruppe“ untersuchen wir das magische Phänomen des „Spiegelpferdes“. Mit einer wissenschaftlich-nüchternen Haltung schaffen wir Raum für poetische Fantasie, dargestellt in Form eines experimentellen Hörspiels, begleitet von Choreografie, Licht und Musik. Das Publikum wird Teil einer "Entsiegelung" der Spiegelpferdskulptur, durch die eine Erzählung über Identität, Einsamkeit und Verbundenheit offengelegt wird, die zur Reflexion anregt und zum Eintauchen in eine surreal-fantastische Welt einlädt. true -Max Gausepohl Ada Grüter Daniel Almagor https://cfp.cccv.de/38c3-community-stages/talk/WWDPAX/ 2024-12-30T00:05:00+01:00 00:05 00:30 Stage HUFF Door 38c3-community-stages-843-release-keynote-chaosgpt-und-das-large-congress-model Entertainment Talk 40 (30min +10 Q&A) de ChaosGPT hat den Weg wie wir denken revolutioniert! Die kongresserprobte Technik wird endlich _open source_, CEO Gitte Schmitz und CRO Deliria Tremenz feiern in dieser Keynote den Release des Large Congress Model und erklären, was wirklich in AI steckt. Beim diesjährigen Kongress hat ChaosGPT erfolgreich hunderte von Anfragen prozessiert und dabei für alle erdenklichen User-Anfragen erstaunlich genaue Antworten erzeugt: und das ganz analog! Als _community-sourced_ generatives Wissensmodell wurden diese sensationellen Erfolge mit einem herausragenden Energieverbrauch von 0 kWh erreicht (in anderen Worten: extrem Klimaneutral!). War es bisher eine Black Box? Ja! Wird es OpenSource? Auf jeden Fall!* Das Leitungsteam ist stolz, endlich den gesamten Code hinter ChaosGPT und dem Large Congress Modells (L38C3M) lüften zu können. Nach monatelanger Entwicklungszeit wird es Zeit, das Folle Potential von Analoge Intelligence an die Community zurückzugeben.** Exklusiv geben CEO Gitte Schmitz und CRO Deliria Tremenz einen Einblick hinter die Kulissen des blühenden New-New-Tech StartUps. Mit spielender Leichtigkeit verbinden sie den Track **Queerness** mit dem **Digitalzwang**, und generieren mit ihren Antworten erheblichen Mehrwert für potentielle Angel Investors (und solche die es werden wollen). Lasst uns die verkannten Potentiale der AI lüften! *Die genutzte Open Source-Definition von Studio Gitte Schmitz umfasst auch die _business models_ "Open Window" und "Freemium". ** Eventuelle Nutzungsentgelte werden weiterhin entsprechend Nutzungsordnung (NuOrG §283 Abs.15f) erhoben. false Gitte Schmitz Deliria https://cfp.cccv.de/38c3-community-stages/talk/M9EHE8/ 2024-12-30T00:50:00+01:00 00:50 00:40 Stage HUFF Door 38c3-community-stages-766-omg-wtf-sso-a-beginner-s-guide-to-sso-mis-configuration Entry-Level & Education Talk 40 (30min +10 Q&A) en A couple years ago I knew basically nothing about Single Sign-On but now I'm talking at 38c3 about it! Come find out how you too can go from beginner to the question-asker who protects your hackerspace/company/etc. from bad SSO implementations. Single Sign-On (SSO) is sold as a way to • centralize managing your organization’s users, • make life easier for your colleagues, and • enforce consistent security standards. But SSO protocols are just ways for an identity provider to share information about an authenticated identity with another service. Me having a way to tell my vendor “yeah, that’s Bob” doesn’t tell me what the vendor does with this information, or if the vendor always asks me who’s coming in the door. A bad SSO implementation can make you think you’re safer, while hiding all the new and fun things that have gone wrong. To get the most out of implementing SSO, I need to know what I’m trying to accomplish and what steps I need to follow to get there. To illustrate why SSO needs to be set up carefully, for each of the things you need to do right, I’ll give you some fun examples of creative ways you and your vendor can do this wrong. We all learn from failure, right??? I’m sharing this info because this year I got deeply involved in the SSO setup for several vendors at work. It turns out that I’m good at asking weird questions, and it’s an extremely valuable thing to do. If you know how things should be, then you know where they could be broken, and you can ask your vendors (and your colleagues!) “weird questions” before an adversary does. false Adina Bogert-O'Brien https://cfp.cccv.de/38c3-community-stages/talk/K7VDK7/ 2024-12-29T11:00:00+01:00 11:00 https://cfp.cccv.de/media/38c3-community-stages/submissions/K7VDK7/logo_Queersupport_dunkelblau_mit_transparenten__3vCKyaf.png 01:00 Stage YELL Door 38c3-community-stages-790-queersupport-weil-junge-queers-ein-offenes-ohr-brauchen- Diversity & Inclusion Talk 60 (45min +15 Q&A) de Der Queersupport stellt sich vor: Eine bundesweite, digitale Beratungsstruktur für und von jungen Queers. Hier supporten junge queere Menschen Peer-to-Peer online. Angegliedert an eine queere Fachberatung. Mit einem hohen Anspruch an Datenschutz und digitaler Souveränität. Der Queersupport vom Jugendnetzwerk Lambda (der einzige queere, bundesweite Jugendverband in Deutschland) supportet junge Queers (und auch deren Angehörige und gesetzliche Vertreter:innen) bei all ihren Fragen und Krisen rund um die Themen Coming Out, Transition, Identität, Familie, Schule, etc. Das besondere am Queersupport ist, dass hier sowohl ehrenamtliche junge Queers, als auch hauptamtliche Fachberater*innen beraten. Dadurch entsteht ein super Netzwerk für die Ratsuchenden. Neben dem Aspekt des Peer-to-Peer ist uns Intersektionalität sehr wichtig - denn wir wollen für viele queere Menschen da sein können. Das beginnt im hauptamtlichen Team (wir sind unterschiedlich positioniert: Queer, trans, be_hindert, Rom*ni, PoC, weiß, autistisch, ...) und geht weiter bei den ehrenamtlichen (die Peers sind fast alle auch mehrfachmarginalisiert). Wir legen großen Wert auf souverän betriebene, freie Software, Datenschutz und Nutzer:innenfreundlichkeit. Wir entwickeln deshalb selbst, auf Basis verschiedener OpenSource Tools, ein für uns passendes Setting. Auch weil wir glauben, dass diese Themen gerade für marginalisierte Menschen besonders wichtig sind, da sie sich am wenigsten darauf verlassen können, dass Technik großer Internetgiganten ihre Interessen berücksichtigen oder propietärer Settings auch nutzbar bleiben, wenn der politische Wind sich dreht. In unserem Talk wollen wir unsere Struktur konzeptionell und technisch vorstellen und mit euch diskutieren, wie wir solche Arbeit unabhängig und nachhaltig gestalten können. Wir gehen darauf ein, welche Bedarfe junge Queers (online) haben und führen aus, welches technische Setting wir ihnen derzeit anbieten können und perspektivisch anbieten wollen. Wir möchten diskutieren, welche besonderen Anforderungen (marginalisierte) Queers an gegenseitige Unterstützung online haben – konzeptionell und technisch. Und wie wir in bessere Kooperation kommen können, über marginalisierte Gruppen hinweg eine souveräne digitale Infrastruktur zur Selbsthilfe aufzubauen. Einen ersten Blick könnt ihr hier schon mal wagen: https://queersupport.de Oder uns auf dem CCC in unserer Assembly besuchen und mit uns quatschen. false J V https://cfp.cccv.de/38c3-community-stages/talk/ZWT39Y/ 2024-12-29T12:15:00+01:00 12:15 01:00 Stage YELL Door 38c3-community-stages-767-barrierefreiheit-und-inklusion-eine-einfhrung-alltgliche-erfahrungen-und-absurditten-und-warum-es-uns-alle-angeht Diversity & Inclusion Talk 60 (45min +15 Q&A) de Wir schreiben das Jahr 2024. Die Behindertenrechtskonvention der UN wurde vor 16 Jahren verabschiedet. Also sind inzwischen bestimmt sämtliche Barrieren abgebaut worden, Inklusion wird gelebt und beides wird gesellschaftlich als selbstverständlich angesehen und umgesetzt? Das ist bislang leider noch immer bloß utopisches Wunschdenken – deshalb werfen wir in diesem Vortrag einen schonungslosen und ehrlichen Blick auf die Themen Barrierefreiheit und Inklusion, sowie deren konkrete Umsetzung. Wir wollen mit einem Überblick und Grundlagen zum Thema beginnen, um anschließend genauer zu beleuchten, warum der Alltag für betroffene Menschen noch immer voller absurder Hürden ist – und Behindertsein sich oft wie eine Illegal Instruction anfühlt. Da die Thematik uns alle angeht, werden auch konkrete Handlungsansätze vorgestellt, wie wir alle aktiv zu einer inklusiveren und barriereärmeren Gesellschaft beitragen können. Im ersten Teil des Vortrags wird es einen Überblick zu den Grundlagen von Barrierefreiheit und Inklusion geben: was bedeuten Barrierefreiheit und Inklusion wirklich? Wir betrachten kurz die rechtlichen Rahmenbedingungen, von der UN-Behindertenrechtskonvention bis zu nationalen Vorgaben und Regelungen, die eine Welt ohne Barrieren versprechen – zumindest auf dem Papier. Sie sollen eigentlich den Rahmen für eine Gesellschaft bilden, in der Zugang und Teilhabe keine Ausnahmen, sondern die Regel sind. Denn Barrierefreiheit und Inklusion sind nicht bloß ein „nice to have“, sondern als Menschrenrecht ein grundlegender und essentieller Bestandteil einer gerechten Gesellschaft. Anschließend widmen wir uns den Absurditäten, die der Alltag für Menschen mit Behinderung bereithält, die von außen betrachtet fast schon humorvoll wirken, aber in Wahrheit ein frustrierendes Trauerspiel für alle darstellen, die täglich damit umgehen müssen. Wir sprechen über Grundlegendes wie Sprache, Konzepte wie die „Disability Tax“, Hilfsmittel und wie die Gesellschaft mit Behinderten umgeht und dass behinderte Menschen am Ende des Tages auch nur ein Teil der Gesellschaft sein wollen. Die Beispiele und Erfahrungen sind nicht nur Zeichen für fehlende Umsetzung – sie zeigen auch, wie oberflächlich bis ignorant die Probleme oft behandelt werden (wenn sie es überhaupt werden) und wie tief die Grundsteine und Überzeugungen für Ableismus und Ausgrenzung in der Gesellschaft verwurzelt sind. Damit der Talk nicht ausschließlich ein frustrierender und hoffnungsloser Rant wird, werden praktische Ansätze vorgestellt, um den Status Quo zu verbessern. Dabei sprechen wir nicht nur über die Verantwortung derer, die Entscheidungen treffen, sondern auch darüber, wie wir alle dazu beitragen können, Barrieren abzubauen eine inklusivere Gesellschaft voranzubringen. Erste Schritte sind zum Beispiel das Hinterfragen eigener Vorurteile und das Erkennen von Barrieren, die wir selbst vielleicht noch nie wahrgenommen haben. Denn am Ende des Tages geht es nicht nur um Gesetze oder gut gemeinte politische Entscheidungen auf geduldigem Papier, sondern darum, ob wir Barrierefreiheit und Inklusion wirklich als Selbstverständlichkeit sehen, umsetzen und leben. Der Vortrag bietet praktische Tipps und Denkanstöße, wie wir alle Barrieren abbauen können – und warum dies letztendlich uns allen zugutekommt. Die Folien zum Vortrag werden von mir kurz vor dem Vortrag unter folgender Adresse veröffentlicht: https://elfy.dev/38c3-vortrag/ (die Links sind am Ende der Seite). false elfy https://cfp.cccv.de/38c3-community-stages/talk/GHQWVV/ 2024-12-29T13:30:00+01:00 13:30 https://cfp.cccv.de/media/38c3-community-stages/submissions/GHQWVV/gnuboot_fEAG0Q7.png 01:00 Stage YELL Door 38c3-community-stages-833-a-fully-free-bios-with-gnu-boot Hack, Make & Break Talk 60 (45min +15 Q&A) en In this talk we will first show you that a fully free BIOS firmware, is not only possible but also necessary to guarantee your freedom, technological independence and security in the long run. We will then present GNU Boot, a 100% free boot firmware distribution that accomplished these goals. The presentation will be held by Adrien Bourmault, one of the GNU Boot maintainers, whom will dive into the project's origins, goals and current status. It's getting harder and harder to find hardware that works with 100% free (as in freedom) software. To counter this, the promotion and development of fully free boot firmware is ever more crucial. Firmwares are software that sit in between the hardware and the operating system. They play a crucial role in making our computers work. However most of the time they are proprietary (nonfree). This limits users' freedom who are forced to trust black boxes. Being able to use 100% free firmwares can not only guarantee security but also enable transparency and control by the community. In this talk we will look at what is a boot firmware, and why it is essential that it is free software, and how it works in practice. We will also look at GNU Boot, a fully free boot firmware distribution: we will look at how the project is organized, what are features it provides, and its role within the movement for a fully free software BIOS/UEFI replacement. false neox Denis 'GNUtoo' Carikli https://cfp.cccv.de/38c3-community-stages/talk/JKHRNK/ 2024-12-29T14:45:00+01:00 14:45 01:00 Stage YELL Door 38c3-community-stages-819-the-whois-protocol-for-internet-routing-policy-or-how-plaintext-retrieved-over-tcp-43-ends-up-in-router-configurations Entry-Level & Education Talk 60 (45min +15 Q&A) en Whois is one of the historic internet protocols. There are two types of whois databases on the Internet: domain names, and internet numbers (IP addresses, autonomous system numbers). In this talk, we introduce the history of the whois databases for Internet numbers and explain how they are used (and what is ongoing to replace this way of accessing this information). Spoiler: yes, people still use MD5 to authenticate updates, and still put policy derived from data retrieved over unauthenticated protocols in their router configurations. Whois is one of the older protocols still in use on the Internet, playing a critical role in managing and distributing information about domain names and Internet numbers, such as IP addresses and autonomous system numbers (ASNs). This talk focuses on using whois for internet routing information, aka as an internet routing registry. It's well known that BGP is a trust-based protocol for distributing internet routes. When network operators configure a BGP link with a peer [another network], they often want to restrict the routes accepted from that peer; A small customer is very unlikely to be the upstream network of a hyperscaler. But how do you gather information about what prefixes and networks are likely announced by that network? The session will start by exploring what whois databases contain ("RPLS - Routing Policy Specification Language"), and how they have a role as a database for internet routing registry (IRR) information. We explain the various (authoritative and non-authoritative) IRR databases and how they differ. We then continue by describing the routing policy present in these databases. After introducing the information present, we will explain how this policy is applied to routers... as well as the surprisingly fragile aspects of this mechanism (unauthenticated retrieval channels, updates via email with plaintext passwords). Finally, we introduce the more modern alternatives under development; not only for access to the same IRR information (Registration Data Access Protocol) but also the Routing Public Key Infrastructure, that is currently actively being deployed. We will gloss over the RPKI architecture, and explain that it stores part of the information available in the IRR (and how policy from this distributed system is fed into routers), including the trade-off (centralisation). false Ties de Kock Vesna Manojlovic https://cfp.cccv.de/38c3-community-stages/talk/NAZEZR/ 2024-12-29T16:00:00+01:00 16:00 01:00 Stage YELL Door 38c3-community-stages-827-ux-for-hackers-why-it-matters-and-what-can-you-do Open Source & Platform Decay Talk 60 (45min +15 Q&A) en The hacker community is great at making brilliant tools and solving fascinating problems, but we often suck at making the tools and solutions available to the rest of humanity - sometimes even to ourselves. UX and usability are frequently dismissed or misunderstood as the superficial art of adding unnecessary whitespace to perfectly usable things. The assumption is that the prospective users should just "get better" at using computers. That's all quite bad - but what's even worse, we often forget that the user - their human brain and their human perception - is often the biggest attack surface, and as we harden our solutions against all technical threats, we prefer to ignore this one. Over the last couple of years, I have been working on making Qubes OS - a secure operating system - more usable for both hackers and the less technically brilliant users. It has been a very interesting journey that has taught me a lot about clever hackers, so-called normal people and the way you can make security and usability work together, not against each other. In this talk, I will share those insights, show how UX and usability are in fact part of security, discuss some common human interface mistakes open source developers and hackers make - and tell you how you can improve the UX of your projects without dying inside. false Marta "marmarta" Marczykowska-Górecka https://cfp.cccv.de/38c3-community-stages/talk/KKZ993/ 2024-12-29T17:15:00+01:00 17:15 01:00 Stage YELL Door 38c3-community-stages-738-the-ongoing-silent-storm-in-the-medical-devices-industry-and-since-when-cybersecurity-is-a-thing Privacy, Anonymity & Decentralisation Talk 60 (45min +15 Q&A) en Medical technology is a heavily regulated industry and while there are very big name companies with deep pockets, small to medium manufacturers are struggling to keep up with the sheer amount of cybersecurity requirements. On top of all this, the requirements are many, qualified people are rare, and essential dependencies have shown not to be always stable. - Intro and giving a tangible sense of how heavily regulated is medical device industry - Dates and ongoing movements in the industry (eStar evolution, regulatory bodies, manufacturers, notified bodies, security companies, pentest providers) - How are the new aspects affecting new products and product updates: SBOM, threat modeling, security risk management - The long list of challenges, pitfalls and other fun aspects: legacy, embedded, certifications, SBOMs, CPEs, NVD chaos, risk management, etc.) false Haitham Abbadi https://cfp.cccv.de/38c3-community-stages/talk/KKTLUM/ 2024-12-29T19:30:00+01:00 19:30 01:50 Stage YELL Door 38c3-community-stages-963-happs-der-weisse-hai Art & Play Theatre de Der Weisse Hai Ein idyllischer Badeort wird von einem menschenfressenden Hai heimgesucht. Oder etwa nicht? Vielleicht hat der Tod einer Badenden ganz andere Ursachen? Dem Bürgermeister passt das Unglück ganz und gar nicht, es ist gerade Hochsaison und hier leben schließlich alle vom Tourismus. Also: Die Expert:innen irren sich, Gründe für den Unfall kann es viele geben, aber sicher keinen dafür, die Strände zu sperren. Und während sich die einen aus der Verantwortung stehlen, machen sich die anderen auf, den Hai, den es nicht gibt, zu jagen und die Wahrheit zu suchen. Und vielleicht meldetsich sogar eine Meeresbewohnerin zu Wort, die das menschliche Treiben schon lange staunend beobachtet? Die Theatergruppe Candlelight Dynamite um Nadine Geyersbach und Denis Geyersbach sucht seit 2009 nach Erzählweisen, die von kleinen Mitteln ausgehend große Effekte erzielen: Mithilfe ausgefallener Objekte sowie blitzschneller Rollen- und Perspektivwechsel entsteht Theater zwischen Poesie und Chaos. Ein pures Vergnügen für die ganze Familie – keine Hafung, vor allem nicht für Ihre Garderobe! (Text: Sonja Szillinsky) Von und mit: Nadine Geyersbach, Denis Geyersbach, Jorid Lukaczik, Anne Sophie Domenz Outside Eye: Sonja Szillinsky true Anna https://cfp.cccv.de/38c3-community-stages/talk/7V73TY/ 2024-12-29T22:05:00+01:00 22:05 https://cfp.cccv.de/media/38c3-community-stages/submissions/7V73TY/Bildschirmfoto_2024-10-15_um_00.12.25_N4tPYba.png 02:00 Stage YELL Door 38c3-community-stages-1057-mini-playback-show Art & Play Game show en Maybe some of you remember the "Mini Playback Show"? We want to revive that concept and invite spontaneous performers to come on stage and perform. The concept: You choose a song you want to perform, you dress up, go on stage and pretend to sing. No real singing needed ;) It's all about your style and moves. true Jana https://cfp.cccv.de/38c3-community-stages/talk/VQAKKG/ 2024-12-30T00:20:00+01:00 00:20 https://cfp.cccv.de/media/38c3-community-stages/submissions/VQAKKG/penis-prinzip_58LIhK6.jpg 00:20 Stage YELL Door 38c3-community-stages-889-selbstverteidigungskurs-meme-warfare Entry-Level & Education Educational (15min + 5 Q&A) de You are not immune to propaganda and the only winning move is to first recognize you are forced to play The Game Meme Warfare - das heißt schnelllebige, leicht konsumierbare Propaganda auf Social Media. Jeden Tag sind wir Ziel absichtlicher Meinungsmanipulation - noch mehr wenn es mal wieder auf eine Wahl zugeht. Eine der wichtigsten Punkte von Medienkompetenz ist Propaganda und sog. "Fake News" zu erkennen, informiert damit umzugehen und sich vor Einflussnahme zu schützen. Aber wie? Wenig Dinge begegnen uns in unserem Alltag heutzutage häufiger wie Werbung, Propaganda und Desinformation. Dass diese Dinge messbare Effekte auf die Psyche haben und nur deswegen so omnipräsent sein können, machen wir uns als Gesellschaft schon gar nicht mehr klar. Wir sehen aber immer wieder in den Wahlergebnissen und politischen Skandalen der letzen 10 Jahre wie die öffentliche Meinung gezielt beeinflusst wird und wir spüren wie da etwas kippt in unserer Demokratie. Der Talk ist eine kurze Einführung ins Thema und umfasst drei kurz und knackige Themenblöcke: Was ist überhaupt Propaganda und warum sollte mich das interessieren? Wie sieht Propaganda im Zeitalter von Internet und Social Media aus? Und wie kann ich mich und meine nächsten vor Beeinflussung schützen? false Ap_Saegge https://cfp.cccv.de/38c3-community-stages/talk/FU9BC9/ 2024-12-30T00:55:00+01:00 00:55 00:20 Stage YELL Door 38c3-community-stages-678-pc-abkrzungen-eine-lesung Entertainment Educational (15min + 5 Q&A) de Ich lese aus einem antiken Werk zu Computerablürzungen vor Abkürzungen können alle verwirren, die sich noch nicht länger mit Computern beschäftigen. Aber auch der:dem Veteran:in sind nicht alle Abkürzungen bekannt oder weißt Du, dass IFE für intelligent front end steht, CAFS für Content Adressable File System oder RUN der Befehl ist, um Programme in BASIC auszuführen? Dieser Missstand muss behoben werden und wird es durch eine Lesung aus einem Kompendium gängiger PC-Abkürzungen. Damit auch was für Kenner:innen dabei ist, stammt das Kompendium aus 1994. false hexchen https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/MCGKUA/ 2024-12-30T11:00:00+01:00 11:00 00:40 Saal 1 Door 38c3-281-from-simulation-to-tenant-takeover Security Talk en All I wanted was for Microsoft to deliver my phishing simulation. This journey took me from discovering trivial vulnerabilities in Microsoft's Attack Simulation platform, to a Chinese company to which Microsoft outsourced its support department that wanted all my access tokens. I finally ended up hijacking remote PowerShell sessions and obtaining all data from random Microsoft 365 tenants, all the while reeling in bug bounties along the way. This talk is the result of what happens when you ask a hacker to simply automate sending out a phishing simulation. My first attempt with Microsoft's new Attack Simulation platform resulted in three bug bounties for the most trivial vulnerabilities and no more faith in the product. Then I tried building a phishing simulation program myself and the last thing I needed was to allowlist my IP address in Exchange Online. I ended up in a rabbit hole where I discovered that Microsoft outsourced their support department to a Chinese company that wanted all my access tokens. I then tried intercepting client-side requests made by the Security & Compliance center with the goal of replaying these to a backend API, only to discover that by fiddling with some parameters I could now hijack remote PowerShell sessions and access Microsoft 365 tenants that were not mine. Tenants where I could now export everything, e-mail, files, etc. false Vaisha Bernard https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/33YLTY/ 2024-12-30T12:00:00+01:00 12:00 https://fahrplan.events.ccc.de/congress/2024/fahrplan/media/38c3/submissions/33YLTY/image_1_F3rwPBD.png 00:40 Saal 1 Door 38c3-255-ten-years-of-rowhammer-a-retrospect-and-path-to-the-future- Security Talk en The density of memory cells in modern DRAM is so high that disturbance errors, like the Rowhammer effect, have become quite frequent. An attacker can exploit Rowhammer to flip bits in inaccessible memory locations by reading the contents of nearby accessible memory rows. Since its discovery in 2014, we have seen a cat-and-mouse security game with a continuous stream of new attacks and new defenses. Now, in 2024, exactly 10 years after Rowhammer was discovered, it is time to look back and reflect on the progress we have made and give an outlook on the future. Additionally, we will present an open-source framework to check if your system is vulnerable to Rowhammer. In 2014, Kim et al. reported a new disturbance effect in modern DRAM that they called Rowhammer. The Rowhammer effect flips bits in inaccessible memory locations just by reading the content of nearby memory locations that are attacker-accessible. They trigger the Rowhammer effect by accessing memory locations at a high frequency, using memory accesses and flushes. The root problem behind Rowhammer is the continuous increase in cell density in modern DRAM. In early 2015, Seaborn and Dullien were the first to demonstrate the security impact of this new disturbance effect. In two different exploit variants, they demonstrated privilege escalation from the Google Chrome NaCl sandbox to native code execution and from unprivileged native code execution to kernel privileges. Later, in 2015, Gruss et al. demonstrated that this effect can even be triggered from JavaScript, which they presented in their talk "Rowhammer.js: Root privileges for web apps?" at 32C3. Now, in 2024, it is precisely 10 years after Rowhammer was discovered. Thus, we believe it is time to look back and reflect on the progress we have made. We have seen a seemingly endless cat-and-mouse security game with a constant stream of new attacks and new defenses. We will discuss the milestone works throughout the last 10 years, including various mitigations (making certain instructions illegal, ECC, doubled-refresh rate, pTRR, TRR) and how they have been bypassed. We show that new Rowhammer attacks pushed the boundaries further with each defense and challenge. While initial attacks required native code on Intel x86 with DDR3 memory, subsequent attacks have also been demonstrated on DDR4 and, more recently, DDR5. Attacks have also been demonstrated on mobile Arm processors and AMD x86 desktop processors. Furthermore, instead of native code, attacks from sandboxed JavaScript or even remote attacks via network have been demonstrated as well. Furthermore, we will discuss how the Rowhammer effect can be used to leak memory directly, as well as related effects such as Rowpress. We will discuss these research results and show how they are connected. We will then talk about the lessons learned and derive areas around the Rowhammer effect that have not received sufficient attention yet. We will outline what the future of DRAM disturbance effects may look like, covering more recent effects and trends in computer systems and DRAM technology. Finally, an important aspect of our talk is that we invite everyone to contribute to solving one of the biggest unanswered questions about Rowhammer: What is the real-world prevalence of the Rowhammer effect? How many systems, in their current configurations, are vulnerable to Rowhammer? As large-scale studies with hundreds to thousands of systems are not easy to perform, such a study has not yet been performed. Therefore, we developed a new framework to check if your system is vulnerable to Rowhammer, incorporating the state-of-the-art Rowhammer techniques and tools. Thus, we invite everyone to participate in this unique opportunity at 38C3 to join forces and close this research gap together. false Daniel Gruss Martin Heckel Florian Adamsky https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/NJXH8N/ 2024-12-30T12:55:00+01:00 12:55 00:40 Saal 1 Door 38c3-436-all-brains-are-beautiful-the-biology-of-neurodiversity Science Talk en How do you think? People can experience thoughts, feelings, and sensory inputs very differently. While context and substances are known to promote changes in perception and thinking, the biological basis is very diverse, contrary to what is often assumed. Brain cells come in extraordinary varieties in size, shape, and complexity. Their synaptic connectivity provides the foundation of all our sensory input, motor output, cognitive functions, and thoughts. In short: They shape us. This talk gives an introduction about the extent of variability in neuronal patterns that underlies neurodiversity and critically discusses the idea of neurodivergence, diagnosis criteria in Autism and ADHD from a biological and first person-perspective. We find that biological variability of brains is an evolutionary feature that helps us to adapt to our environment but comes with certain risks and downsides in our modern society. While many things are still unknown, scientists have identified genes and environmental impacts that shape our network architecture during brain development and which help to explain why we think and experience the world so differently. This talk gives an introduction about the extent of variability in neuronal patterns that underlies neurodiversity and critically discusses the idea of neurodivergence, diagnosis criteria in Autism and ADHD from a biological and affected person-perspective. It aims to clear up stereotypes, dogmas that still stick in our society and provides latest insights from science and community about what makes our brains work so differently. false Marcello https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/3QG7TT/ 2024-12-30T13:50:00+01:00 13:50 00:40 Saal 1 Door 38c3-383-identity-theft-credit-card-fraud-and-cloaking-services-how-state-sponsored-propaganda-makes-use-of-the-cyber-criminal-toolbox Ethics, Society & Politics Talk en The Russian disinformation campaign Doppelgänger is considered to be technically highly sophisticated. Research by CORRECTIV and Qurium has revealed that the Russian state relies on the toolbox of internet fraudsters for the dissemination of propaganda and fakes. A talk on the state's possible alliance with the criminal world - and on possibilities and limitations of countering it. Its goal is to undermine the support for Ukraine and polarize Western states: For more than two years, the Russian disinformation campaign Doppelgänger has been running on social networks and its own portals. Despite sanctions, the affected countries have not been able to stop the campaign. This is also because the architects of the campaign employ methods tried and tested by cyber criminals: Identity theft, use of stolen credit cards, bulletproof hosting, cloaking services and multi-level forwarding mechanisms. Research by CORRECTIV and Qurium based on data provided by Antibot4Navalny has uncovered the technical infrastructure of the campaign. The talk guides the audience through details of the new potential alliance between the Russian state and the criminal world. It raises questions about the accountability of authorities and platforms and opens the discussion to the possibilities and limits of resistance against malign foreign influences in the digital sphere. false Alexej Hock Max Bernhard https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/EAT3WZ/ 2024-12-30T14:45:00+01:00 14:45 00:40 Saal 1 Door 38c3-542-find-my-101 Security Talk en I'll introduce the technology underlying bluetooth trackers from Apple and Google, and will describe and show what can actually be seen on the air (using a hackrf/rad1o for example). This is part demonstration of what is possible right now, part explanation of the underlying principles, and part invitation to would-be hackers to make creative use of this technology. Apple's "Find My" network has been online for more than 5 years. Google has launched its own variant "Find My Device" this year. The Apple protocol has been previously reverse-engineered, while Google's specs are publicly available. Both take part in Detecting Unwanted Location Trackers (DULT), an IETF draft. Underlying this is standard Bluetooth Low Energy (BLE) which can be analyzed, and toyed with, with all the standard BLE research tools. I'll show how to sniff and interact with these trackers using tools that many hackers might already have available. false Henryk Plötz https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/SDFDUW/ 2024-12-30T16:40:00+01:00 16:40 https://fahrplan.events.ccc.de/congress/2024/fahrplan/media/38c3/submissions/SDFDUW/hackerStock-blurred_tnUsjJq.png 01:00 Saal 1 Door 38c3-533-security-nightmares CCC Talk de Der IT-Sicherheitsalptraum-Rück­blick: Manchmal belustigend, zuweilen beunruhigend, aber mit Ausblick. Es ist wieder ein Jahr vergangen und niemand ist von einem Smartmeter erwürgt worden: Ist überhaupt etwas Berichtenswertes passiert? Und wenn nein, wird es denn nächstes Jahr wenigstens schlimmer? Wir betrachten das vergangene Jahr, versuchen Muster zu erkennen und zu ahnen, wie es weitergehen muss, denn vorgewarnt zu sein, heißt gewappnet zu sein. Und sei es nur mit Popcorn und „In Übereinstimmung mit der Prophezeihung!“-Schildern. Publikumseinwürfe willkommen. false Ron Constanze Kurz https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/VZCYSX/ 2024-12-30T18:00:00+01:00 18:00 00:40 Saal 1 Door 38c3-37-38c3-return-to-legal-constructions CCC Ceremony en Let's join in a quiet moment to bid farewell to the chaotic wonderland that has been 38C3 and prepare ourselves for the harsh reality outside. Gather round and take a deep breath and enjoy the unique atmosphere before you will feel the spirit again at the next hacker event close to you. false Gabriela Bogk Aline Blankertz https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/RWD9LP/ 2024-12-30T11:00:00+01:00 11:00 00:40 Saal ZIGZAG Door 38c3-237-longtermismus-der-geist-des-digitalen-kapitalismus Ethics, Society & Politics Talk de Der Vortrag wirft einen sozialwissenschaftlichen Blick auf die Ideologie des Longtermismus. Seine Funktion im digitalen Kapitalismus wird analysiert. Mithilfe von Klassikern der Soziologie wird dargestellt, warum sich diese Ideologie in eine faschistische Richtung entwickelt. Longtermismus ist die neue Hype-Ideologie des Silicon Valley. Elon Musk und Sam Altman haben sich als Anhänger geoutet, er ist die offizielle Firmenpolitik von OpenAI. Longtermismus postuliert, dass wir uns nicht mit der Gegenwart oder der nahen Zukunft beschäftigen sollten, sondern unser politisches Hauptaugenmerk auf die Entwicklung eines Computerhimmels in ferner Zukunft richten sollten. Zentral sind dabei Annahmen über die Entwicklungsmöglichkeiten von künstlicher Intelligenz, die deutlich religiöse Züge tragen. Der Vortrag stellt die Ergebnisse soziologischer Forschung zu dieser neuen Ideologie vor. Denn so neu ist das ganze gar nicht. Die „Moral“ des Longtermismus passt erstaunlich gut zu den Geschäftszielen der Digitalkonzerne und macht aus diesen eine Metaphysik. Diese soziale Funktion des Longtermismus ähnelt damit der Funktion, die Max Weber für den Protestantismus als „Geist“ des Kapitalismus im Frühkapitalismus ausgemacht hat. Wie der Protestantismus früher dient der Longtermismus heute einerseits als metaphysische Rechtfertigung der Geschäftsmodelle von Unternehmen und andererseits als individuelle Moral, die ihre Anhänger*innen zu mehr Leistung animieren soll. Gegenwärtig erleben wir einen Rechtsruck im Longtermismus, dessen prominente Vertreter*innen wie Elon Musk oder Peter Thiel sich offen für Donald Trump positionieren. Auch hier ähnelt die Entwicklung des Longtermimsus vergleichbaren früheren Ideologien. Klassische Analysen zeigen, warum individualistische Leistungsideologien das Potenzial haben, in eine faschistische Richtung zu kippen. Der Rechtsruck der Silicon-Valley-Eliten wird so verständlich. Abschließend wird auf den Einfluss von Musk und Thiel auf die US-Wahlen eingegangen und versucht, die weitere Entwicklung abzuschätzen. false Max Franz Johann Schnetker https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/HFPUYT/ 2024-12-30T12:00:00+01:00 12:00 00:40 Saal ZIGZAG Door 38c3-227-moving-with-feelings-behind-the-scenes-of-a-one-man-show-mobile-fiber-operator-in-spain Hardware & Making Talk en How to run an MVNO with values: What are the requirements? Do you need a government license, maybe a lot of investment? There are different types of MVNOs. We will talk about how to do business as an MVNO while respecting users' privacy, supporting free software, believing in the right to repair and making your customers technologically sovereign. The issues with data privacy are being discussed more than ever. However, from the end user perspective, it is difficult to understand the full extent of the impact on their privacy when using well known "free" services or maybe acquired hardware like a vacuum cleaner or a cooking robot. On the other side, there are projects that demonstrate that they can do business respecting their users. One way to start to take care of your privacy is by using free software, but this software needs to be high quality, easy to use for the end user, has to be documented in a clear way and has to resolve issues and bugs as fast as possible. This is very hard work for the developers, so their work has to be compensated. Last but not least, the right to repair plays a big role for being technologically sovereign. It's as important to be aware of your privacy when using online services as it is to know how repairable and privacy-respecting hardware is before you buy it. Can you fight for and support what you believe in while doing business? I think so! Let's talk about it. false Edgar Saumell Oechsle https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/WU87FV/ 2024-12-30T12:55:00+01:00 12:55 https://fahrplan.events.ccc.de/congress/2024/fahrplan/media/38c3/submissions/WU87FV/elefant_L367klt.PNG 00:40 Saal ZIGZAG Door 38c3-470-glam-zwischen-lod-und----museumskritik-fr-hacker-innen Science Talk de Habt ihr euch immer schon gefragt wie Museumssammlungen ins Netz kommen, warum online Sammlungen meist immer noch aussehen wie Kataloge seit dem 19. Jahrhundert, was für Strategien und Förderprogramme dahinter stecken, welche Firmen hier quasi-Monopole haben, und warum Museen so viele Hoffnungen (Zugang! Partizipation! Demokratie!) mit der Digitalisierung verbinden? Der Talk ist eine Einladung an Hacker*innen sich an der kritischen Weiterentwicklung, Öffnung und Reflexion von Museen zu beteiligen. GLAM = Abkürzung für Sammlungsinstitutionen: Galleries, Libraries, Archives, Museums LOD = Buzzword in Museen: Linked Open Data ¯\_(ツ)_/¯ = Platzhalter für: Lass irgendwas mit KI, Google Arts & Culture, Facebook Metaverse machen! Als vor vier Jahren mein Forschungsprojekt zur Digitalisierung in Museen losging habe ich meine ersten Ideen auf der rC3 präsentiert ("Wie können wir das digitale Museum aufhalten"). Und jetzt möchte ich die Ergebnisse aus vier Jahren Forschung zur Digitalisierung von Museen teilen. Meine Quellen sind vor allem die Jahresberichte der Staatlichen Museen zu Berlin seit 1990, und die Digitalstrategien der Deutschen Bundesregierung, mit ihrem Fokus auf Künstliche Intelligenz, Virtual Reality und Vernetzte Daten, die zum Beispiel die Millionenprojekte "museum4punkt0" und "Datenraum Kultur" beinhalten. Ich zeige größere Entwicklungen und Konflikte und viele Beispiele, alles anhand der Frage: Welche Brücken können wir bauen zwischen Museumskritik und Datenpolitik? false Lukas Fuchsgruber https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/YLNEYH/ 2024-12-30T13:50:00+01:00 13:50 00:40 Saal ZIGZAG Door 38c3-192-from-convenience-to-contagion-the-libarchive-vulnerabilities-lurking-in-windows-11 Security Talk en In the October 2023 update, Windows 11 introduced support for 11 additional compression formats, including RAR and 7z, allowing users to manage these types of files natively within File Explorer. The enhancement significantly improves convenience; however, it also introduces potential security risks. To support these various compression formats, Windows 11 utilizes the libarchive library, a well-established open-source library used across multiple operating systems like Linux, BSD, and macOS, and in major projects such as ClickHouse, Homebrew, and Osquery. The libarchive has been continuously fuzzed by Google’s OSS-Fuzz project, making it a time-tested library. However, its coverage in OSS-Fuzz has been less than ideal. In addition to the two remote code execution (RCE) vulnerabilities disclosed by Microsoft Offensive Research & Security Engineering (MORSE) in January, we have identified several vulnerabilities in libarchive through code review and fuzzing. These include a heap buffer overflow vulnerability in the RAR decompression and arbitrary file write and delete vulnerabilities due to insufficient checks of libarchive’s output on Windows. Additionally, in our presentation, we will reveal several interesting features that emerged from the integration of libarchive with Windows. And whenever vulnerabilities are discovered in widely-used libraries like libarchive, their risks often permeate every corner, making it difficult to estimate the potential hazards. Moreover, when Microsoft patches Windows, the corresponding fixes are not immediately merged into libarchive. This delay gives attackers the opportunity to exploit other projects using libarchive. For example, the vulnerabilities patched by Microsoft in January were not merged into libarchive until May, leaving countless applications exposed to risk for four months. The worst part is that the developers might not know the vulnerability details or even be aware of its existence. To illustrate this situation, we will use the vulnerabilities we reported to ClickHouse as an example to demonstrate how attackers can exploit the vulnerabilities while libarchive remains unpatched. We will introduce the new Compressed Archived folder feature in Windows 11 and review the vulnerabilities of the previous Compressed (zipped) folder. Next, we will explain how we analyzed the libarchive that Windows 11 introduced to support various compression formats. Despite extensive fuzz testing by OSS-Fuzz, we discovered several vulnerabilities in libarchive through code review and fuzzing, including an RCE (Remote Code Execution) vulnerability. Finally, we will use the ClickHouse case to explain how we triggered an RCE vulnerability in ClickHouse while the patch had not been merged upstream. false NiNi Chen https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/WHDXXH/ 2024-12-30T14:45:00+01:00 14:45 00:40 Saal ZIGZAG Door 38c3-45-corebooting-intel-based-systems Hardware & Making Talk en Gaining a reasonable level of trust on the firmware that runs your everyday activities Corebootable or not corebootable, that is the question. The nerdiest nerds already corebooted their old X230 ThinkPads... but what about your new ThinkPad, or even your gaming rig? Well, Intel has a trick called the "BootGuard" inside the Management Engine. It is supposed to protect the firmware and only allow updates from signed sources... somewhat like the Secure Boot. This means we can't coreboot our newer machines, right? ..right? Well, for that to work... it needs team-play between OEMs and Intel, which doesn't always work out. In this talk you will learn how to port coreboot to modern Intel systems - how we did it and even got to game on them. We'll go over coreboot development, tell you how to find ~~potential subjects~~ compatible mainboards and what it would take to boot on them!). We'll explain what are "payloads", which one is right for you, and what it takes to make such system run mainline Linux. We'll also take a look at current state of AMD systems and how they're doing with OpenSIL (which will replace AGESA in the coming years). false aprl elly https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/PEN9QU/ 2024-12-30T11:00:00+01:00 11:00 00:40 Saal GLITCH Door 38c3-527-dude-where-s-my-crypto-real-world-impact-of-weak-cryptocurrency-keys Security Talk en We present Milksad, our research on a class of vulnerabilities that exposed over a billion dollars worth of cryptocurrency to anyone willing to 'crunch the numbers'. The fatal flaw? Not enough chaos. Learn how we found and disclosed issues in affected open source wallet software, brute-forced thousands of individual affected wallets on a budget, and traced over a billion US dollars worth of prior transactions through them. In July 2023, people in our circle of friends noticed a series of seemingly impossible cryptocurrency thefts, which added up to over one million US dollars. A common denominator was discovered across the set of victims we knew: the wallet software `libbitcoin-explorer`. Vulnerable versions used a weak pseudorandom number generator when creating cryptocurrency wallets. Within a short period of time, we disclosed the vulnerability, [CVE-2023-39910](https://milksad.info/disclosure.html). Using this weakness, attackers were able to compute private keys of victims, which is supposed to be impossible under normal circumstances. In this talk we * 📜 - tell the story of uncovering a digital currency heist * 🌐 - dive into similar vulnerabilities * 🔍 - trace the movement of coins * ⚖ - outline ethical challenges of cryptocurrency security research * 🛡 - explore methods to defend and protect against this bug class Our intention is to share the story of how little details can have big consequences and the importance of quality chaos. false John Naulty https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/BQFULL/ 2024-12-30T12:00:00+01:00 12:00 https://fahrplan.events.ccc.de/congress/2024/fahrplan/media/38c3/submissions/BQFULL/carbonrecyclinginternational-1280_Zq87xgS.jpg 00:40 Saal GLITCH Door 38c3-358-is-green-methanol-the-missing-piece-for-the-energy-transition- Science Talk en In an accelerating climate crisis, renewable energy and electrification are the most important tools to reduce greenhouse gas emissions. However, in sectors where electrification is infeasible or impossible, other solutions will be needed. While hydrogen gets a lot of attention, it suffers from challenges like being difficult to transport and store. While it does not receive nearly as much attention as hydrogen, another molecule, methanol, could play a crucial role in bringing down emissions in challenging sectors like shipping, aviation, or the chemical industry. Methanol is the simplest carbon-containing liquid and is currently almost exclusively made from fossil fuels. However, it could be made by utilizing renewable energy, green hydrogen, and carbon dioxide, and such green methanol could play an important role in a climate-neutral future - both as a fuel and as a chemical feedstock[1]. Methanol is relatively easy to store and transport. It could provide energy during times with little sun and wind and possibly even balance multi-year fluctuations [2][3]. It could also serve as a shipping fuel and, indirectly, help make aviation fuels. Furthermore, it could form the basis of a fossil-free production of chemical products like plastics [4][5]. That raises important questions about stranded assets in today's chemical industry, as the existing plastic production with steam crackers could become obsolete. Despite its prospects, methanol is no magic silver bullet. Making it from CO2 requires enormous amounts of energy. It should be used carefully and only where efficient direct electrification is infeasible (no methanol car, sorry). Alternative production pathways using climate-friendly biomass and waste have turned out to be challenging in the past, but they could lower some of the enormous energy needs. [1] [From Coal enabler to the Minimal Green Methanol Economy, Industry Decarbonization Newsletter, 2024](https://industrydecarbonization.com/news/from-coal-enabler-to-the-minimal-green-methanol-economy.html) [2] [Ultra-long-duration energy storage anywhere: Methanol with carbon cycling, Joule, Brown, Hampp, 2023](https://www.cell.com/joule/abstract/S2542-4351(23)00407-5) [3] [Should we burn Methanol when the Wind does not blow?, Industry Decarbonization Newsletter, 2023](https://industrydecarbonization.com/news/should-we-burn-methanol-when-the-wind-does-not-blow.html) [4] [Climate change mitigation potential of carbon capture and utilization in the chemical industry, PNAS, Kätelhön et al, 2019](https://www.pnas.org/doi/full/10.1073/pnas.1821029116) [5] [How to make Plastics without Fossil Fuels, Industry Decarbonization Newsletter, 2023](https://industrydecarbonization.com/news/how-to-make-plastics-without-fossil-fuels.html) false Hanno Böck https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/WCUKHB/ 2024-12-30T12:55:00+01:00 12:55 00:40 Saal GLITCH Door 38c3-276-going-long-sending-weird-signals-over-long-haul-optical-networks Hardware & Making Talk en Computer network operators depend on optical transmission everywhere as it is what glues together our interconnected world. But most of the industry is running the same kinds of signals down the optical transceivers. As part of my need to "Trust, but verify" I wanted to check my assumptions on how the business end of modern optical modules worked, so join me in a adventure of sending weird signals many kilometres, and maybe set some records for the most wasteful bandwidth utilisation of optical spectrum in 2024! Computer network operators depend on optical stuff everywhere as it is what glues together our interconnected world. But most of the industry is running the same kinds of signals down the optical transceivers. As part of my need to "Trust, but verify" I wanted to check my assumptions on how the business end of modern optical modules worked, so join me in a adventure of sending weird signals many kilometres, and maybe set some records for the most wasteful bandwidth utilisation of optical spectrum in 2024! In this talk we will cover the basis of optical networks, how it fits in with networking, some of the weird things pluggable optics do, the perhaps odd industry defacto standards, and bending the intended use cases of existing tech to make signals that would would deeply probably confuse a modest signals intelligence agency false Ben Cartwright-Cox https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/F7MSNF/ 2024-12-30T13:50:00+01:00 13:50 https://fahrplan.events.ccc.de/congress/2024/fahrplan/media/38c3/submissions/F7MSNF/curiosity_kDEmbPX.jpg 00:40 Saal GLITCH Door 38c3-557-microbes-vs-mars-a-hacker-s-guide-to-finding-alien-life Science Talk en Mars is famously the only planet (we know of) that is entirely inhabited by robots. And these robots are working hard on looking for something that would be one of the most significant discoveries in the history of science: Alien life. But how do you look for something that no one has ever seen? And would we recognize it if we find it? Join me on a journey through Mars’ ancient past and Earth’s most extreme environments, where scientists hunt for strange microbes that defy all our expectations: Organisms thriving in salt lakes, breathing metal, and building bizarre microbial ‘cities’ out of rock. Are they the blueprint of what alien life might look like? I will introduce you to the cutting-edge technology we use to analyse and understand them, and how we detect their “biological fingerprints” that might one day help us to find Martian life. This talk will not only give you a deep look behind the scenes of the search for life on Mars, but also a new appreciation for the strange and wonderful life on our own planet. I am a PhD student in astrobiology and planetary science at the University of Hong Kong and want to introduce you to the exciting research that is happening in the search for life on Mars. We will talk about what Earth and Mars looked like 3 billion years ago, you will get to know some truly weird microbes, learn about the instruments on Mars rovers and the exciting upcoming Mars sample return missions. I will also share highlights from my own research and fieldwork in Mars-like environments: From growing extremophiles in the lab to testing planetary rovers on Mount Etna, and research adventures in the remote deserts of the Atacama and western China. false Anouk Ehreiser https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/PRLP7M/ 2024-12-30T14:45:00+01:00 14:45 https://fahrplan.events.ccc.de/congress/2024/fahrplan/media/38c3/submissions/PRLP7M/IMG_9534_Nir7lTR.jpg 00:40 Saal GLITCH Door 38c3-130-von-ionen-zu-daten-die-funktionsweise-und-relevanz-von-quadrupol-massenspektrometern Science Talk de Massenspektrometer sind unverzichtbare Analysewerkzeuge in der Chemie und zudem hochinteressante und verblüffende Instrumente. In diesem Talk wird die Massenspektrometrie mit Schwerpunkt auf Quadrupolmassenspektrometer anschaulich vorgestellt. Massenspektrometer aus der Hacker-Perspektive: Die Massenspektrometrie mag auf den ersten Blick kompliziert wirken, doch mit einem grundlegenden Verständnis der Physik und etwas logischem Denken kann man sich überraschend gut in diese Welt einarbeiten. Ich beschäftige mich seit vier Jahren intensiv mit Massenspektrometern – eine Technik, die mich immer mehr fasziniert und in die ich tief eintauche. Dieser Vortrag richtet sich an alle, die bisher wenig bis gar nichts über Massenspektrometrie wissen und erklärt auf zugängliche Weise, wie (Quadrupol-)Massenspektrometer funktionieren und warum sie so entscheidend für die chemische Analyse sind. Wir schauen uns an, wie diese Geräte auf molekularer Ebene arbeiten und welche spannenden Anwendungen es gibt, die unseren Alltag beeinflussen. Dabei werden die physikalischen Grundlagen verständlich erklärt, sodass jeder – auch ohne Vorkenntnisse – nachvollziehen kann, wie und warum diese Technologie so wichtig ist. false Sally https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/DFATXZ/ 2024-12-30T15:45:00+01:00 15:45 00:40 Saal GLITCH Door 38c3-308-philosophical-ethical-and-legal-aspects-of-brain-computer-interfaces Science Talk en This talk examines philosophical, legal, and ethical questions of the merging of human minds with intelligent machines through Brain-Computer-Interfaces, provides an overview of current debates and international regulatory development - and what might be at stake when technologies increasingly access the human brain. Human minds and machines, or organic and artificial intelligence (AI), are increasingly merging through neurotechnologies such as Brain-Computer-Interfaces (BCIs) that may record or alter brain activity. While most current devices are developed and used for rehabilitative purposes, more and more consumer devices are about to come on the market, and some stakeholders such as Elon Musk and his company Neuralink pursue more transhumanist objectives. This merging of minds and machines raises multiple intriguing philosophical, ethical, and legal questions: Do these devices become part of the person, even more, might the AI operating these devices become part of her? (I argue that it does under certain conditions, creating the most intimate conceivable connection between AI and persons). Are there ethical boundaries, and what is the legal situation, especially with respect to human rights? (I call for a renaissance of the right to freedom of thought to provide at least some principled protection for privacy of thought). Moreover, the topic has received the attention of international organizations, which will negotiate the first international treaty on the ethics of neurotechnology under the auspices of UNESCO in the beginning of 2025 (expected to be concluded in late 2025). This will set the standards for the future trajectory of the technology, but whether agreement can be found is to be seen. The EU, US, and China have different regulatory approaches with different visions for the future. This talk addresses these political, philosophical, legal and ethical questions and presents results of an international research cooperation on the topic, HYBRID MIND, that is funded in Germany by the Federal Ministry of Education and Research and comes to its official conclusion during the days of the 38C3. false Christoph Bublitz https://fahrplan.events.ccc.de/congress/2024/fahrplan/talk/XKW9LG/ 2024-12-30T16:40:00+01:00 16:40 01:15 Saal GLITCH Door 38c3-315-38c3-infrastructure-review CCC Talk en This talks gives a behind the scenes on how the infrastructure side of the event is done. A lot of teams help to make this event happen. This talk gives them the opportunity to show you what they do and how they do it. false nicoduck https://cfp.cccv.de/38c3-community-stages/talk/7C7JLQ/ 2024-12-30T11:00:00+01:00 11:00 00:40 Stage HUFF Door 38c3-community-stages-734-mit-opentype-ein-x-fr-ein-u-vormachen Hack, Make & Break Talk 40 (30min +10 Q&A) de In OpenType-Fonts stecken nicht nur Buchstaben, sondern auch Logik – und die kann man hacken. OpenType ist das verbreitetste Schriftformat und bietet nicht nur Buchstabenformen, sondern jede Menge kreative Möglichkeiten. Durch sogenannte „Features“ lassen sich Fonts so erweitern, dass sie alle möglichen typografischen Anforderungen erfüllen. Clever eingesetzt, kann man damit nicht nur lustige Dinge machen, sondern auch Menschen täuschen oder sogar endliche Automaten programmieren. In diesem Vortrag werfen wir einen Blick hinter die Kulissen und zeigen anhand von Beispielen, was OpenType kann – und wie leicht man damit ein X für ein U vormachen kann. Disclaimer: Dieser Vortrag dreht sich ausschließlich um Vanilla OpenType. Der Font-Shaper „Harfbuzz“, mit dem Turing-komplette Logiken möglich wären, bleibt außen vor. true Martin Braun https://cfp.cccv.de/38c3-community-stages/talk/ZDEK38/ 2024-12-30T12:00:00+01:00 12:00 00:40 Stage HUFF Door 38c3-community-stages-733-blackscreen-im-kopf-leben-mit-afantiasie Diversity & Inclusion Talk 40 (30min +10 Q&A) de Afantasie bedeutet, kein bildliches Vorstellungsvermögen zu besitzen. Bilder im Kopf zu haben ist für die meisten selbstverständlich, dem Vortragenden jedoch fremd. Erst vor kurzem hat er von diesem Unterschied erfahren und möchte nun seine Erfahrungen mitteilen. Rund 3 bis 5 Prozent der Menschen leben mit Afantasie – einer Form der Neurodivergenz, die in der Öffentlichkeit kaum bekannt und wenig erforscht ist. Menschen mit Afantasie sind nicht in der Lage, innere Bilder zu visualisieren. Der Vortragende selbst entdeckte erst 2023, dass er Afantasie hat und dass die Köpfe anderer Menschen ganz anders arbeiten. Für „Aphants“ ist diese Erkenntnis oft eine Überraschung, denn Afantasie ist weder Krankheit noch Behinderung und kein Grund, unglücklich zu sein. Doch die eigene Afantasie zu erkennen kann dabei helfen, besser zu verstehen, warum einem manchmal selbst einfache Dinge schwererfallen. true Martin Braun https://cfp.cccv.de/38c3-community-stages/talk/JKPKY7/ 2024-12-30T12:55:00+01:00 12:55 https://cfp.cccv.de/media/38c3-community-stages/submissions/JKPKY7/projections_fkVqveW.png 00:40 Stage HUFF Door 38c3-community-stages-735-resource-consumption-of-ai-degrow-or-die Sustainability Talk 40 (30min +10 Q&A) en Not only the energy consumption of AI is exploding. Less known is that other resources like water or metal are also affected. The talk gives an overview on the devastating impact of datacenters on our environment. Degrowth scenarios seem to be the only way to escape from this ecological nightmare. Summarizing the known facts and serious predictions the talk gives an overview on the upcoming possible and impossible scenarios of the energy and resource consumptions. Even if predictions are not easy economical and ecological limits are discussed. Finally, degrowth will be discussed. Can we degrow datacenters without loosing too much of our digital life? How much can be saved using alternative technologies. false Thomas Fricke https://cfp.cccv.de/38c3-community-stages/talk/FVSGUJ/ 2024-12-30T13:50:00+01:00 13:50 https://cfp.cccv.de/media/38c3-community-stages/submissions/FVSGUJ/PrototypeFund-Icon-2024-Square_n8qyzFI.png 00:40 Stage HUFF Door 38c3-community-stages-811-small-seeds-why-funding-new-ideas-matters Open Source & Platform Decay Talk 40 (30min +10 Q&A) en More money for Free and Open Source Software - a never ending issue. In a tech world built on start-ups, venture capital and data-gathering apps, the fight for sustainable funding for ethical technology projects is a fierce one. After some big victories for FOSS funding in the last years, this talk is about the importance of not forgetting the small, underdog civil society projects. How do we fund technology in a sustainable way? Fund infrastructure, fund maintenance, fund that project some random person in Nebraska has been thanklessly maintaining since 2003. While infrastructure is extremely important (no questions asked), in this talk we want to explore why a diverse funding landscape that also allows for supporting new people and groups with fresh ideas can only be incredibly valuable to the field of FOSS. How can we use existing funding structures, bend and twist them to meet the real needs of communities? How can we make them more useful to projects and people who are not typically the recipients of their money? We want to talk about how to build support infrastructure that allows us to fund in ways that bring more diversity, more novel ideas and more inclusivity to our communities - and we want to talk about how to do this in a sustainable way. This talk is a call to government institutions, funders and other organisations with the power to distribute money to join forces, break down the barriers of their traditional funding models and create a broad and vibrant network of small, diverse and lightweight funds that meet the needs of different groups and communities. It is an invitation to communities to come together and share their needs in order to help build structures that can actually support their work. There is hope in FOSS projects, old and new, big and small. Let's hack all kinds of systems to give them the support they need. false Marie Kreil Marie-Lena Wiese https://cfp.cccv.de/38c3-community-stages/talk/HKKJQ9/ 2024-12-30T14:45:00+01:00 14:45 00:40 Stage HUFF Door 38c3-community-stages-799-observability-is-just-contextualized-monitoring-change-my-mind- Hack, Make & Break Talk 40 (30min +10 Q&A) en The infrastructure industry has recently started co-opting a well-established software engineering practice and is doing so badly. Observability is being overhyped as something revolutionary that you can only practice using the latest new shiny tool. Real observability provides insight only when we take the time to understand what we’re monitoring, why it matters to our organization, and how each metric connects to our goals. This talk critiques the tool-centric approach that has taken over infrastructure monitoring, encouraging infrastructure teams to step out of their offices, touch grass, and talk with their organizations to answer the essential question: What is it you want monitored anyway and why? We’ll explore the power of applying observability as a practice, not just a product, and highlight F/L/OSS tools that offer powerful, adaptable solutions without the hype. If you’re tired of replacing one flashy dashboard with the next, or if you’ve ever wondered whether observability is really the game-changer it’s made out to be, this talk is for you. Let’s take a cue from our software engineering friends and approach observability as a collaborative, cross-functional practice that builds on strategy rather than the next tool. The term “observability” is everywhere, packaged as the next game-changer for infrastructure. But beneath the hype, it’s little more than contextualized monitoring—and the infrastructure industry has co-opted it badly. This talk takes a critical look at the tool-centric approach to observability that’s dominating the market and offers an alternative: an approach to observability based on strategy, not the latest tool. We’ll explore the origins of observability as a software engineering practice, where things went wrong as it moved into infrastructure, and how tool-driven marketing misses the point. From understanding why we’re monitoring to identifying what actually matters to our organizations, this session challenges infrastructure teams to rethink observability and ask essential questions that can transform monitoring into a true asset. Finally, we’ll dig into powerful F/L/OSS tools that already do the job well, without the hype or the hefty price tag, and consider how infrastructure teams can use and contribute to open-source observability practices that support genuine insight. Join me in side-stepping the hype, and discover how real observability could mean thinking like a hacker—using practical, adaptable, and community-driven solutions that prioritize understanding over just another flashy dashboard. false Ben Stewart https://cfp.cccv.de/38c3-community-stages/talk/CE8KSK/ 2024-12-30T16:40:00+01:00 16:40 00:40 Stage HUFF Door 38c3-community-stages-761-wie-man-auch-mit-foss-katastrophen-warnungen-bekommt Privacy, Anonymity & Decentralisation Talk 40 (30min +10 Q&A) de Wetter- und Notfallwarnungen empfangen zu können kann Leben retten. Nutzende, die ihre Privatsphäre nicht Google oder Apple ausliefern möchten sollten dabei nicht im Nachteil sein. Wir berichten über den aktuellen Stand der FOSS Entwicklung und allerlei Beobachtungen rund um Notfallwarnungen. Die Flutkatastrophe vom Juli 2021 hat schmerzlich bewusst gemacht, wie wichtig die effektive Verteilung von Katastrophenwarnungen ist. Mit der Einführung von Cell-Broadcast in Deutschland gab es diesbezüglich eine deutliche Verbesserung, andere Verbreitungswege werden dadurch aber nicht weniger relevant. Apps wie NINA oder KATWARN stellen mehr Informationen zur Verfügung als in einer Cell Broadcast Nachricht übermittelt werden kann, und ermöglichen es auch, Regionen zu beobachten, in denen man sich nicht selbst aufhält. Diese Apps sind allerdings nur für die Plattformen von Google und Apple verfügbar, Nutzende freier Plattformen sind außen vor. Kein befriedigender Zustand. Was macht man in so einem Fall? Na, das, was man in so einem Fall immer macht: Wir bauen uns die Warn-Apps und die dazu nötige Infrastruktur halt selbst. Basis dafür bildet das Common Alerting Protocol (CAP) was seit vielen Jahren weltweit im Einsatz ist, und UnifiedPush als freie Alternative zu proprietären Push-Benachrichtigungen. Daraus ergibt sich ein Aggregations-Server der Warnmeldungen aus derzeit 100 Ländern einsammelt und Clients über Ereignisse in für sie relevanten Gebieten informiert. In diesem Talk erklären wir, wie CAP funktioniert, wie das in der Welt eingesetzt wird und welche merkwürdige Beobachtungen wir während der Entwicklung gemacht haben. Von den Entwicklern von FOSSWarn und dem FOSS Public Alert Server. false Nucleus Volker Krause https://cfp.cccv.de/38c3-community-stages/talk/MCTQQD/ 2024-12-30T11:00:00+01:00 11:00 https://cfp.cccv.de/media/38c3-community-stages/submissions/MCTQQD/Stadt-Land-Klima-Logo-quadratisch_Lz86iaK.png 01:00 Stage YELL Door 38c3-community-stages-692-stadt-land-klima-fr-transparenz-im-kommunalen-klimaschutz Sustainability Talk 60 (45min +15 Q&A) de Kommunaler Klimaschutz ist oft undurchsichtig, komplex und bürokratisch – das wollen wir ändern! Als gemeinsames bewegungsübergreifendes Projekt "Stadt.Land.Klima!" machen wir (fehlenden) kommunalen Klimaschutz sichtbar, messbar & verständlich! Mit einem einheitlichen Maßnahmenkatalog können alle klimainteressierten Menschen den Fortschritt ihrer Stadt oder Gemeinde bewerten und in unserem Ranking sichtbar machen: https://www.stadt-land-klima.de/municipalities Darüber hinaus möchten wir die vielen verschiedenen lokalen Akteure der Klimagerechtigkeitsbewegung in den einzelnen Kommunen zusammenbringen, Kooperationen fördern und Erfolgsprojekte einzelner Gruppen deutschlandweit teilen! Kommunaler Klimaschutz ist oft undurchsichtig, komplex und bürokratisch – das wollen wir ändern! Stadt.Land.Klima! ist ein gemeinsames bewegungsübergreifendes Portal für kommunalen Klimaschutz, was den Forschritt von Kommunen beim Klimaschutz sichtbar & messbar machen will. Das Herzstück davon ist ein klares Ranking, das zeigt, wie viele Klimaschutzmaßnahmen ein Ort bereits umgesetzt hat. Statt komplizierter CO₂-Bilanzen zählt der Maßnahmenkatalog konkrete Schritte zur Klimaneutralität - und ist gleichzeitig eine Roadmap für die Kommune auf dem Weg zur Klimaneutralität. Die Bewertungen kommen direkt von den Klimaaktiven vor Ort – z.B. von ForFuture-Ortsgruppen, LocalZero-Lokalteams oder lokalen Klimainitiativen. Aber der Plan geht über das Ranking hinaus: Wir wollen die vielen Initiativen, Angebote und Projekte der Klimabewegung vor Ort zusammenbringen, Kooperationen zwischen Organisationen fördern und Klima-Erfolgsprojekte einzelner Gruppen deutschlandweit teilen! Stadt.Land.Klima! wird komplett ehrenamtlich betrieben - von den Lokalteams, unserem SocialMedia-Team, unseren Designer- und Developer:innen und verschiedensten Fachexpert:innen. Die Applikation ist Open-Source und freut sich immer über Contributions: https://github.com/StrategieLukas/stadt-land-klima Gemeinsam wird kommunaler Klimaschutz sichtbar und wirksam. Mach mit & bewerte DEINE Kommune! false Lukas (@strategielukas) https://cfp.cccv.de/38c3-community-stages/talk/BBNTXL/ 2024-12-30T12:15:00+01:00 12:15 https://cfp.cccv.de/media/38c3-community-stages/submissions/BBNTXL/cg_signal_group_logo_88Vp3VO.png 01:00 Stage YELL Door 38c3-community-stages-874-computing-genomes-what-that-has-to-do-with-privacy Privacy, Anonymity & Decentralisation Talk 60 (45min +15 Q&A) en What does it take to get a Genome into the computer? A slightly technical, political and personal dive into the field of genomics. This will be in the first part an introductory talk to Genomics, covering "How do you get a genome into your computer?". As I'm a bioinformaticist, i will briefly mention sequencing, but focus on the computation. Because it turns out that getting a human genome into your computer involves a lot of computation! In the second part i will outline where privacy comes in here, and why it is essential, if we want to do work with genomic data responsibly. Understanding privacy goes beyond the technical: economic incentives, legal policy and security need to be taken into consideration to protect genomic data adequately. In the third part i will tell of a University program which i organized in which we did our own Genomic Analysis with students, as privacy preserving and digitally sovereign as possible, and tell of the challenges we faced and the learnings we made. false Polaris https://cfp.cccv.de/38c3-community-stages/talk/7BBM93/ 2024-12-30T13:30:00+01:00 13:30 https://cfp.cccv.de/media/38c3-community-stages/submissions/7BBM93/Bild1_KcKaH3U.png 01:00 Stage YELL Door 38c3-community-stages-797-basics-of-software-publication Entry-Level & Education Talk 60 (45min +15 Q&A) en You want to share your code with the world. That's great! But how? Just uploading it to Github? Or how do I do this? In this talk I want to give you an overview about the minimal steps you should take to prepare your code for publication. Covering what belongs into a repository, how to make your code sharable and which license to pick. This talk is based on the training [Foundations of Research Software Publication](https://codebase.helmholtz.cloud/hifis/software/education/hifis-workshops/foundations-of-research-software-publication/workshop-materials-data-pub). The target is to enable developers to create and publish sustainable software which can be used and built up on by others. While this talk is an introduction, even more experienced developers might take something home. false Carina Haupt https://cfp.cccv.de/38c3-community-stages/talk/WHBTK9/ 2024-12-30T14:45:00+01:00 14:45 01:00 Stage YELL Door 38c3-community-stages-802-what-s-inside-my-train-ticket- Hack, Make & Break Talk 60 (45min +15 Q&A) en Ever wondered what data is stored inside DB print-at-home train tickets or those in your local transport association's app? Join me for the deep dive into digital railway ticketing you didn't know you needed. After getting my shiny new Deutschlandsemesterticket from University I was so annoyed with the quality of the SaarVV app that I set out to put my train tickets into Apple Wallet - whether the train companies wanted me to or not. What followed was several weeks of banging my head against the wall and googling various terms with "filetype:pdf" until I understood how they're encoded. This talk is a highly condensed executive summary of the most interesting parts of that journey - from the surprising to the downright weird. Finally, I'll cover how you can issue your own train tickets - for fun and absolutely no profit! false Q Misell https://cfp.cccv.de/38c3-community-stages/talk/LCNH8Y/ 2024-12-30T16:00:00+01:00 16:00 01:00 Stage YELL Door 38c3-community-stages-854-lokalnews-mining Entertainment Talk 60 (45min +15 Q&A) de Ihr wolltet schon immer wissen was der „Morgenthau-Plan“ mit Kreisverkehren und „Schönwetterfreizeitsportgeräten“ zu tun hat? Dann lasst mich euch mitnehmen in die wundersamen, obskuren und humoristisch wertvollen Untiefen eines lokalen Nachrichtenportals. Was kann die interessierte Beobachterin von außen über das System lernen? Welche Werkzeuge brauchen wir für diese Expedition? Welche Kreaturen der Nacht kriechen durch die Untiefen der anonymen Kommentarfunktion? Und kann man eigentlich auch etwas Schönes aus den Daten machen, die da täglich ins Netz gekippt werden? Wie viele Orte in Deutschland hat Lübeck eine von diesen etwas schrägen Lokalnews-Seiten, die wirken, als wären sie in der Zeit stecken geblieben. Aber dennoch sind sie irgendwie wichtig sind für das Leben in der Region. Der schnöde Wetterbericht, Beschwerden über Baustellen, Filz-Workshops und Veranstaltungsankündigungen für die LAN-Party des CDU-Ortsverbandes - alles kann einem hier begegnen. Natürlich garniert von Kommentaren aus dem ganzen Spektrum des Wahnsinns. Seit über einem Jahr sammle ich die Daten, die diese obskure Seite ins Internet bläst, werte sie aus und bastele daraus nützliche oder wenigstens lustige Dinge. Von all diesen Abenteuern meines Hobby-Projekts „hl-lol“ möchte ich euch berichten. false Alexton