 So, herzlich willkommen zur Übersetzung zu den Lighting Talks, an Tag 3. Ich glaube es geht gleich los. Es wird sehr schnell gehen, heute fünf Minuten Talks. Die Übersetzer heute sind Tribut, Frau Blauwahl, Step 21, Philipp und Pink Dispatcher. So, es wird wieder eine kurze Einführung geben. Wie das funktioniert mit den Lighting Talks. Und wie das funktioniert für uns, für euch und für alle, für die Sprecher. Wenn ihr vortragt, setzt euch bitte schon vorne hin, wenn ihr heute einen Talk habt, damit ihr ganz schnell zur Bühne kommen könnt, wenn euer Talk dran ist. Denkt dran, ins Mikrofon zu sprechen. Nicht nach hinten umdrehen, dann hört man euch nicht mehr. Nicht auf den großen Bildschirm gucken, denn dann kriegt das Mikrofon das nicht mehr mit. Ihr habt einen Bildschirm vor euch, da könnt ihr eure Folien auch sehen auf dem großen Monitor. Ihr müsst nicht zur Leinwand gucken. Und es gibt diesen Clicker, mit dem ihr die Folien weiter schalten könnt. Es ist ganz einfach. Haltet euren Vortrag, haltet die Zeit ein und dann kriegt ihr auch Applaus am Ende. Und wenn ihr die Bühne verlasst, dann lasst den Clicker da für den nächsten Vortrag. Einige Hinweise für das Publikum. Achtet auf den Zeitkeeper, den Timekeeper, dass dieses Ding hier. Und Alex wird noch kurz erklären, wie das funktioniert. Ja, guten Morgen. Dieses Gerät hilft euch, eurer Zeit einzuteilen auf der Bühne. Und es gibt diese fünf Minuten, sind in drei Phasen eingeteilt, grün, gelb und rotphase. Und am Anfang wird es so aussehen, der Timekeeper zeigt vier Minuten in grün an. Während die Zeit fort schreitet und wenn das oben angekommen ist, dann müsst ihr noch nicht in Panik verfallen. Dann habt ihr immer noch eine Minute Zeit. Und dann geht es weiter und die nächsten Sekunden wird es gelb und die letzten 30 Sekunden wird es rot. Und dann solltest du zum Ende kommen und vielleicht dich verabschieden von dem Publikum. Und wenn es so aussieht und blinkt und wenn du immer noch redest, dann müssten wir deine Aufmerksamkeit kriegen. Und dann werde ich fünf Sekunden vor Ende dieses Zeichen machen und dann wisst ihr ja, was los ist. Und müssen wir das noch mal üben. Im Hexcenter war das lauter. lauter, vorhin fünf, vier, drei, zwei, eins und ein letztes noch und jetzt hier hat alles organisiert, hat alles besorgt, alle Folien besorgt und bitte einen großen Applaus für Getzy, während wir gerade dabei sind, uns zu bedanken noch und Applaus Alex. Für Alex bitte auch einen großen Applaus für und für die Videoleute, die dafür sorgen, dass Timekeeper auch auf dem Bildschirm erscheint und die Slides in verschiedenen Formaten und bitte einen Applaus für alle, die bei den Lightning Talks mitarbeiten. Noch einen Grund für den Applaus, es gibt wieder Übersetzungen, die Englischen werden jetzt Deutsch übersetzt, auf 8014, vielleicht für die Übersetzung der Original-Tone aus dem Saal ist auf 804, die Original-Soundtrack von der Hall wird auf DECT 8004. Das ist genug für den Beginn, so let's start, jetzt fangen wir an, das war die Einführung. Der erste Vortrag ist in Einführung in Pontus. Ich habe etwas gesagt, über den Klicker hier lassen, ich lasse den hier auch mal für den Speaker bereit. Guten Morgen. Das ist eine kleine Einführung in Pontus und Pontus ist eine Exportation Framework. Es funktioniert in Pison und das ist auch für schnelle Applöte zu entwickeln, zum Beispiel in CTFs. Es wurde entwickelt von der Studierendenorganisation Ponies an DQ und man kann es an GitHub downloaden. In diesem Vortrag möchte ich gucken an seinen Beispielcode. Dieser Code fragt nach deinen Namen und nimmt ihn, also hier hier flowen und das wird dann in eine Wild-Look gehen und dann geht es raus wieder mit einem Buffer, mit dem Quit-Word drinnen. Es nimmt den Buffer und schreibt in diese Wild-Looks. Und am Schluss gibt es wieder einen Namen raus. Also man sieht hier ein Format-String. Wenn man das hier benutzt, das Ziel ist, dass wir hier das 7 benutzen. Jetzt müssen wir schauen, dass Pontus hier das annehmen wird. Wir nehmen hier diesen Startbefehl, dann können wir den Prozess benahmen. Das ist einfach. Jetzt müssen wir die Adresse des Systems rausnehmen. Dann müssen wir den GodEntreat zu Free ändern. Dann müssen wir Namen ändern. Wir haben hier gesehen, der Name wurde als Letztes rausgegeben. Wenn das in der letzten Linie ist im System, dann müssen wir das entsprechend rausgeben. Das wäre sehr schön. Zuerst müssen wir wissen, wie wir das abrufen und dann müssen wir den Format-String nehmen. Pontus will dann wissen, wie man das abruft und macht das Format-String. Das ist Pontus Magic, die wir benutzen. Und das ist eine Art, wie man das Format-String benutzen kann. Es gibt ein Folder-Memory-Ausgeber. Es benutzt nur standardisierte Format-String-Techniken. Da kann man drüber lesen überall. Man kann das einfach googeln und dann findet man es ziemlich schnell. Das erste, rausgeben der Adresse des Systems. Was machen wir? Wir machen, was der Dynamik Linker machen würde. Wir haben hier ein kleines Programm, das gestiegen wurde, in C. Wir nehmen die Adresse hier und nehmen das rein. Und wir machen genau das Gleiche, was das Programm machen würde. Wir werden unseren Memory-Leaker benutzen. Wir machen einen Pointer-Chasing und testen die Lookups. Und das sieht es dann aus. Wir benutzen das DIN-Elf. Wir haben es ja schon geschrieben mit Pontus und das ist das Magic-Tour. Nachdem dieser Code ausgeführt wurde, ist nur die Variabletrunner. Und hier ist diese Wissen-Magie drin. Pontus kann das auf jeden Fall machen. So, das ist auch einfach, was wir hier machen. Wir lösen diesen Format-String-Gesploit wieder. Wir schreiben es ab, schreibe F und wir schreiben hier rein und das Execute-Rise. So, wir müssen jetzt nur noch das Free abrufen und das ist ein Trigger hier. Und wir rufen das hier ab und dann reiben wir hier wieder auf. Und dann kommt das Interactive-Mode. Und das sieht das am Schluss aus, wenn man das durchgeführt hat. Wir haben hier das Verbunden zum Local-Host. Dann kommt das Brute-Force-Format-String-Offset. Hier sieht man die Adresse des Systems. Hier sieht man unten CatFlag. Das ist der Schlussausgabe. Und vielen Dank. Als nächstes kommt Konfetti. 16 zu 9. Los geht's. Ja, ist nicht ganz richtig. Ich versuch's trotzdem. Okay, perfekt. Ich bin Christian und ich wollte, will euch das Konfetti-Projekt vorstellen, ein bisschen Hintergrund. Wir haben angefangen, wir haben mit dem Projekt beim Refugee Hackathon angefangen im letzten Jahr und in unserer Freizeit machen wir das weiter. Und das Ziel ist, neue Leute in die Nachbarschaft zu integrieren und dass sie mitmachen und neue und alte Nachbarn zusammenzubringen. Und wir haben die Idee gehabt, Konfetti zu benutzen. Konfetti ist die Idee, dass es Kamerpunkte gibt für die Nachbarschaft und wir versuchen mit der App zu organisieren, das für freiwillige Dienste in der Nachbarschaft und coole Sachen zu machen und am Ende uns gegenseitig mit Konfetti zu bewerfen. Und also man setzt ein Konfetti auf in der Nachbarschaft und wir wollen eine Community to do Liste machen zum Beispiel und wenn alles funktioniert, dann haben wir einen Karma-Kreis, ein Karma-Zirkel und wie das funktioniert hier. Wir wollen zusammen mit Non-Profit-Organisationen zusammenarbeiten und geben den Nachbarn Konfetti und tun es in den Briefkasten und dadurch wird die Nachbarschaft festgelegt und dann können wir die App installieren und haben dann Konfetti. Und es geht mit Android und iOS aber auch im Browser, ist natürlich open-sourced und es ist auch in mehreren Sprachen. Es geht auf Arabisch zum Beispiel, damit die Sprachbarriere nicht so hoch sind, die mobile Apps sind JavaScript und das Work-In-List ist ein January und am Anfang gibt jeder Nachbar hat sein eigenes Konfetti und was man damit machen kann, ist man kann Aufgaben erzeugen. Man kann sagen, das wünsche äußern, was jemand in der Nachbarschaft tun soll in seiner Freizeit. Zum Beispiel kann man den Garten verschönern und irgendjemand sollte das machen oder jemand sollte vielleicht einen Treffen mit Kuchen und Kaffee machen für die Älteren. Wenn man eine eigene Idee hat, kann man sein Konfetti benutzen, um einen Upvotes zu vergeben für Ideen, die es schon gibt. Man kann 20 Konfetti zum Beispiel auf eine Idee werfen, die schon auf der Liste ist, um die Idee zu unterstützen. Das erste, was wir machen wollen, ist eine To-Do-Liste für die Nachbarschaft, sodass man dann sehen kann, was wichtig ist für die Nachbarschaft und das alleine ist ein Ergebnis, das schon interessant ist, selbst wenn das Projekt danach absterbt, vielleicht lokal. Aber was wir wirklich wollen, ist eine aktive Community-Staaten. Jeder kann Taskt starten, kann Informationen machen, reingeben und kann mit dem Treffen, der den Taskt gestartet hat und können sich im echten Leben treffen, dann kann man sich Konfetti dazu verdienen, wenn der Taskt gemacht wurde, die Aufgabe gemacht wurde. Am Anfang gibt man sein Konfetti aus und die Person, die die Arbeit erledigt, bekommt das Konfetti und dann kann der natürlich etwas mitentscheiden, was wichtig ist für die Community und am Ende sollte das Ergebnis sein, dass die Nachbarschaft sich verändert und jeder dort in Frieden miteinander leben will in der Nachbarschaft. Die nächsten Schritte werden sein. Wir wollen eine eigene Non-profit-Organisation machen und wir wollen Networking machen mit anderen NGOs in der Region und was wir im Moment am dringendsten brauchen, ist, dass wir wirklich einen Productions-Service anbieten können. Wir brauchen einen Hoster, wir haben nur ein kleines Budget, wir machen das in unserer Freizeit, aber es wäre gut, wenn jemand vielleicht jemanden kennt, der Server-Hosting anbieten kann für wenig Geld, für so ein Projekt. Dann kommt auf uns zu und lasst uns wissen, hier ist mein Kontakt auf GitHub, da ist die Website und ihr könnt eine Mail schreiben oder ihr könnt mich bei der Bitcoin-Assembly treffen, da bin ich in der Regel und guckt einfach nach dem Symbol und dann findet ihr mich. Vielen Dank. Vielen Dank. Der nächste Talk hat einen Namen Image. Hallo, herzlichen Dank. Was ist IMAG? IMAG ist ein Personalisiertes Informationsmanagement, also PM. Was ist das Problem? Ich habe verschiedene Dinge, die ich machen muss. Ich habe Kontakte, ich habe einen Kalender, ich habe meine Tituliste, ich habe vielleicht ein Tagebuch, ein Tizen, ein Wiki, was man so hat. Es gibt viele sehr gute Tools, die das schon verwalten. Man kennt vielleicht ein paar Taskbarriers, es ist ziemlich ein gutes Tool dafür. Ich fühle zum Beispiel Titulisten oder es gibt Time Warrior oder Call Card. Alle diese Tools machen wirklich eine gute Arbeit. Ich habe einen guten Workflow damit und die funktionieren wirklich gut. Aber das Problem ist, man kann die nicht, die Daten können nicht vernetzt werden. Man hat zum Beispiel die Kontakten, aber man kann die nicht direkt verknüpfen mit zum Beispiel dem Kalender oder meiner Tituliste oder mit deiner Wiki-Seite. Und das ist das Problem, was ich gerne lösen werde mit IMAG. Wie gesagt, IMAG, das ist ein Command Line Pimtweet. Ich habe ungefähr von einem Jahr damit angefangen. Ich habe jetzt die erste Version rausgelassen. Es ist wirklich nur eine Basis-Version und es ist in Rust geschrieben. Das ist eine sehr gute Scheibe, um Sachen zu schreiben. Das Ziel davon ist, wir möchten die Metadaten zusammenziehen, also zum Beispiel vom Kalender. Ich möchte sie nicht duplizieren, aber ich möchte die Metadaten von diesen Daten daraus ziehen. Und diese Metadaten möchte ich dann verknüpfen machen, also sprich, dass man zum Beispiel die Kontakte mit dem Kalender, mit dem Wiki etc., etc. verknüpfen kann. Und dann kann man auch entsprechende Abfragen stellen, also zum Beispiel so data meine Geschichten. Und ein anderes großes Ziel ist, wir möchten nicht exiziente Workflows kaputt machen. Also man möchte weiter die Programme benutzen, die man hat. Also ich möchte dieses Data Mining mit dieser PIM Data machen. Wo kann man das finden? Man kann es im Internet finden. Es gibt eine Mailing List, es gibt eine IC-Channel, es gibt Links. Ich habe auch ein Siegel, TreePository, also man braucht nicht unbedingt GitHub. Und es gibt auch Developer Documentations. Wenn ihr mehr darüber lernen möchtet, das wäre vielleicht ein Projekt, um etwas zu lernen. Vielen Dank. Das nächste ist CVE Search. Auch wieder 4 zu 3. Guten Morgen. Ich zeige euch und erzähle euch etwas über CVE Search. Das ist ein Aggregator für Vulnerabilities. Um das zu erklären, was das ist, will ich kurz erklären, was CVEs sind. CVEs sind Common Vulnerabilities und Exposes. Und die werden verwendet von allen großen Anbietern. Man wird eine eindeutige Kennenkennung für eine Verwundbarkeit und ein Exploit. Und werden in der nationalen Vulnerability Database in den USA gespeichert und von MITA verwaltet. Und die Idee ist, dass diese Vulnerabilities mit Produkten verbunden werden. Und es fängt an mit 4 Zahlen und das haben wir schon ausgeschöpft. Das heißt, es gibt jetzt 4, 5, 6 bis zu 7 CVEs. Und der erste Teil ist das Ja. Und CVEs sind so ähnlich wie CVEs. Und die Idee ist, dass man einen eindeutigen Identifier hat, der genau sagt, was das Produkt ist. Und man kann hier sehen, welchen Format das ist. Es gibt Format 2,3. Es ist jetzt aktuell jeder Teil der CVE sagt, was das Produkt ist. Und nur die ersten 4 aber sind wirklich nötig. Die anderen sind optional. Also was ist CVE-Search? Die Idee war, dass man eine Offline-Datenbank haben. Wieso sollte das Offline sein? Die NWD ist von amerikanischen Regierungen gepflegt, die Datenbank. Und man will nicht immer die amerikanische Regierung anfragen. Ich bin an diesem Produkt interessiert, weil ich die hab und die vielleicht verwundbar sind. Eine Alternative wäre natürlich, dass man auch die schnell nachgucken will, wenn man Prozesse hat und die CVE-Information schnell braucht. Das ist auch ein Grund. Und man kann es auch lokal halten. Und wenn die CVSS ist, der Score zum Beispiel und der CVSS von einem CVE zum Beispiel 5 ist, das ist ein mittlerer Level. Und wenn es ein System aber nicht gut geschützt ist, dann will es vielleicht lokal den Score erhöhen dafür. Man kann es auch anreichern mit weiteren privaten oder öffentlichen Informationen. Das zeige ich später noch kurz. Es gibt Unix Tools dafür, um das abzufragen. Und es gibt auch eine Rest API. Ich gucke, hier sind die Quellen, die wir haben im Moment. Und wir arbeiten immer daran, das weiter zu verbessern. Und die Slides sind zu viel. Ich kann es nur ganz kurz zeigen. Das ist der Überblick über die Applikation. Es gibt etwas in der Mitte, das ist die Datenbank. Und das Grüne sind die Konnektoren und das Web Interface. Man kann es auch selbst mit den Augen angucken. Und die gelben sind die Unix-artigen Tools. Rot sind externe Anwendungen, die man damit verbinden kann mit dem API oder mit den Bots. Gelb ist das, was man selbst machen kann. Und das zeige ich in einem ganz kurzen Beispiel. Hier kann man sehen von den Unix-artigen Tools. In diesem Beispiel, was wir wissen wollen, ist, wir wollen alle CVEs haben, wo der Score 10 ist. Das ist das höchste, die Jumla betreffen. Das heißt, wir suchen nach dem Produkt Jumla und so lassen das sortieren und haben nur dann die CVE-SS-Name von mehr als 10. Und hier ist das Web Interface. Da gibt es, kann man White Listing und Black Listing angeben. Wenn man zum Beispiel Zocker arbeitet und man will alle Vulnerabilities sehen, dann will man nicht die für Vulnerabilities für Produkte her sehen, die man nicht hat. Und die kann man dann Black Listen. Aber wenn man will unbedingt die sehen, die man hatte, können dann rot sein. Man kann aber auch verschiedene andere Farben benutzen. Das ist ein Projekt, was ich nebenbei noch mache. Das ist CVE-Scan. Das macht einen N-Mob-Scan und zeigt dann die Ergebnisse davon an. Und auf der linken Seite kann man sehen, dass die Version und den Hook im API nicht benutzen. Und rechts ist das direkt in CVE-Search integriert mit einem CVE-Search-Plugin. Es gibt, glaube ich, in der letzten Version große Änderungen. Heute Morgen haben wir Version 2.2 released und die Änderungen waren, dass der V-Feed jetzt nicht mehr da ist. Den haben wir ersetzt durch VA4. Das ist ein neues Projekt. Es gibt jetzt einen Plugin Manager, wie ich eben gezeigt habe. Es gibt einen Authentication Manager. Den vorher gab es nur die Autitifizierung an der Datenbank und jetzt gibt es auch eine Autitifizierung über LDAP oder was immer ihr braucht. Es gibt eine Gitter-Community und ihr könnt uns da schnell Kontakt mit uns aufnehmen und es wird neue Feeds geben. Demnächst, wie ihr eine Roadmap sehen könnt. Wir wollen den Code neu machen. Der ist jetzt organisch gewachsen, aber wir wollen, dass wir eine stabilere Codebase haben. Und wir wollen die API vergrößern. In der nächsten Version wird die API komplett neu gemacht werden. Das heißt, wenn man das jetzt schon benutzt und die Hooks ändern will, dann wird das in der neuen Version dann sein. Und wenn es noch Fragen dazu gibt, ich bin in dem Millie Waze Village und ihr könnt mich finden und gerne vorbeikommen. Und das sind meine Kontaktinformationen. Vielen Dank. Der nächste Talk ist TDMR. Guten Morgen. Ich bin Philipp und ich möchte heute darüber reden. TDMR ist ein Reaktionsaufzeichnungsnetzwerk. Ich möchte beginnen mit ein paar Hintergrundinformationen. Ich komme aus Aachen. Das ist in Westdeutschland nahezu Belgien und in Niederlanden. Und in Belgien gibt es Zell und Tyran. Das sind zwei AKWs. Diese beiden AKWs haben viele Zwischenfälle gehabt und zwar zu verschiedenen Gründen, zum Beispiel in Druck, in Errakter und anderen Gründen. Und das ist natürlich ein großes Problem für die Bevölkerung, nicht nur in Belgien, aber auch in Nordrhein-Westfalen und anderen poorten. Und wie wir hier sehen können, es gibt sehr viele Zeitungsartikeln, es gibt Demonstrationen, es gibt Proteste, es gibt Kampagnen dagegen, dass diese AKWs abgeschaltet werden. Aber die laufen immer noch. Und wir haben uns entschieden, wir möchten etwas Produktives machen gegen dieses Risiko. Und was wir damit gemacht haben, das ist das Projekt TDMR, dieses Reaktionsmanagement. Das kommt von VIV, das sind die Informatiker in Verfrieden. Wir machen ja das Projekt Managements, aber wir haben auch sehr wichtige Partnerinnen, zum Beispiel die International Physician for Prangional Nuclear. Das sind unsere medizinischen Beraterinnen und in Archen haben die Archen allein gegen die Atomkraftwerke. Was machen wir? Grundsätzlich haben wir Sensoren verteilt und diese Sensoren machen Messungen von Strahlungen und diese Messungen werden zu einem Server zurückgeschickt. Diese Daten sind verfügbar für die Bevölkerung, man kann das immer sehen auf einer Webpage und auch entsprechend für die Techniker von unserer Gruppe, welche die Daten bewirtschaften. Wir haben Raspberry Pi Sensor genommen und mit dem Geiger-Müller-Zehler und Open Source Hardware. Es gibt noch eine zweite Version, da haben wir Halbleiter Sensoren benutzt, die kann man hier auf dem Bild sehen und da haben wir noch mehr Futures, die wir geplant haben, zum Beispiel bessere Messungen und auch bessere Mobilität mit zum Beispiel Mobinstationen. Wir haben zurzeit LAN und Wi-Fi Konnektoren, damit wir die Daten zurück schicken können. Wir haben ein paar Sensoren schon platziert, welche schon da sind und auch laufen. Die sind in der Nähe von Archen und Jan. Diese Cluster sind für Erdodanzgründe hier, damit wir auch sehen können, wie sich die Radiation ausbrecht, also im Worst-case-Szenario. Hier ist immer eine Zeit-Series von diesen Messungen. Bis jetzt waren wir ziemlich glücklich. Wir haben nur nichts über diese natürlichen Hintergrundstrahlung gehabt und keine kritische Menge an Strahlung. Wir zeichnen diese Daten auf und ist dieser Worst-case wirklich da und haben diese Daten einen platzigen Peak, dann werden die entsprechenden Behörden informiert, dass die entsprechenden Schritte eigentlich finanziert werden können. Wir haben auch Daten für jeden einzelnen Sensor. Laut euch hat sich ein, dass ihr unsere Homepage anguckt, die Homepage ist CDRM.eu. Und ich möchte euch gerne zwei Tipps geben, wenn ihr Probleme habt zu wir das haben und ihr denkt, ihr könnt nichts politisches dagegen machen. Probiert mal eine technische Lösung und wenn ihr nahe wohnt an einem AKW, redet mit uns, falls ihr ein endes Projekt machen möchte. Vielen Dank. Thank you very much. The next talk I think is in German, so I'll translate it into English. Hi, I would like to live in a society where everyone has a fixed income and where we can make the government benefit without any preconditions and we have the project without sanctions. One million times per year, this is just existential minimum and the state reduces that if people don't do completely census measures and so what the existential minimum should be the existential minimum is because it can be reduced further. So some people will live below the minimum. So only 95% let that be done to them because they are intimidated because they don't know about their rights and there are 5% there so called queues and that's called like that because in the job centers they have a code in the forms in the databases and the queue is people who don't agree to everything that's being done to them. So and we know from inside job centers that only 5% know about their rights so there are queues. If there were 10, we couldn't really do the sanctions so we thought challenge accepted that we are going to try to do that. So we made a platform and a campaign to compensate the sanctions, the reductions in state benefits. So if they reduce it by 10, 30 or 100% then from another pot they'll get some money from that so they always get the minimum. So that in the best case the sanctions are not given in the first place, our platform is called sanction free and I tell them which letter I got from the job center and the optimal optimal cover letter for this specific job center can be automatically created and they don't, they will not suffer from any reduction in state benefits that way. If they reduce that anyway then we show them some addresses to get to and we sue the job center because they sometimes do things just because they can. A lot of them are of the sanctions they do are illegal actually and because we make this work for the lawyers much more efficient because we digitize the data and the lawyers can pay us a fee because they save money from that and the money then goes into the compensation for the sanctions, for the reductions in state benefits. So we already came some way and so you can support us with donations on our website and we are just starting an IT team in-house and everything else you can hear from me personally. I still have another 20 seconds so at 5 p.m. today in Hall C4 we will talk about how such platforms and campaigns can work in the future. Thank you. Der nächste Vortrag ist Hacking Windows 95. Hallo zusammen. Das ist mein erster C3 und ich hoffe ihr habt viel Spaß. Wie viele von euch könnt ihr sich an dieses Bild erinnern? Das sind viele sehr gut. Wie bin ich dazu gekommen, dieses Windows zu hacken? Ich war ein CTF, wer von euch ist CTF Player? Noch so viele. Eine dieser Aufgaben war so ein Windows 95 zu hacken in diesem CTF Limit. Wir haben es nicht geschafft im ZEIN-Leader. Also habe ich da draußen Wissenschafts oder ein Forschungsprojekt gemacht und ich habe irgendwann festgestellt, dass es sehr interessant zu sehen, wie kann man sowas hacken, wie funktioniert es? Mein Ziel war, ich möchte existielle Tools benutzen, weil in einem CTF hat man auch keine Zeit, irgendwas Neues zu machen. Ich wollte eine Remote-Code Ausführung erreichen und ich wollte, dass es keine User Interaction gibt dafür. Ich habe angefangen mit der default Windows 95 Installation und damit ich alles hacken kann, habe ich zuerst das Networking ausgeschaltet und dafür habe ich das C-Sharp rausgenommen. Ich denke, das ist ziemlich ähnlich so wie das am CTF auch war. Ich habe zuerst angefangen mit alten Hacken-Tools rum zu gestochen. Ich habe dieses Flugseil gefunden. Wer von euch hat das schon mal gesehen? Keiner, sehr gut. Es ist sehr alt. Es wurde entwickelt in den RF-Rühlen 2000er und es wurde von Chinesen entwickelt. Aber es hat auch ein englisches Menü, was sehr schön ist und es hat eine 150-seitige Dokumentation. Ich habe festgestellt, ich kann Windows 95 nicht damit hacken, also muss ich weiter gucken, was ich finde. Und es gibt auch ein anderes, eine sehr, sehr schöne Schwachstelle in Windows 95, wenn man zu einem SMB-Sharp möchte und es gibt kein User ohne Passwort. Und wenn man als Client die Länge des Passwort gibt, dann wird der Server nur gucken, wie lang das Passwort ist. Das heißt, wenn man einen Nullbyte Passwort schicken, dann kriegt man immer eine Akzeptanz. Aber was auch schön ist, kann auch alle Buchstaben Brutforzen. An diesem Wildshark-Bildschirm sieht man, wie man das macht. Wenn man nicht den richtigen Buchstaben hat, dann geht man zum nächsten und so findet man den nächsten richtigen Buchstaben und geht weiter zum nächsten Buchstaben. Leider habe ich immer noch nicht geschafft, diesen Code auszuführen auf Windows 95, weil es gibt keine geplanten Tasks auf Windows 95. Und auch wenn ich die Files alle überschreiben kann, heißt es nicht, dass ich was damit anfangen kann. Ich habe versucht, ein Ping of Dev zu machen, aber das hat nur so viel, dass Windows 95 einfach crashed ist und es nicht mehr gebotet. Das war nicht das Tee, das war so eine User Interaction. Also habe ich die Spezifikation ein bisschen geändert. Ich habe Windows 95 Plus installiert, weil das kommt mit Scheduled Tasks. Hier haben wir zum Beispiel vier Scheduled Tasks und wenn ich einen von diesen Files ersetze, also ich habe das einfach überschrieben mit meiner eigenen Mobile, damit ich diesen Code ausführen kann. Ich habe das ausgewählt und ich habe es ersetzt mit diesem Nappers. Wer von euch kennt das oder benutzt das? Okay, super. Es war sehr schön, weil es immer noch funktioniert auf Windows 95. Damit musste ich nur vielleicht eine Stunde warten und so bin ich durchgekommen und habe meine reverse Schuhe gekriegt. Wenn ihr Interesse habt in anderen Pine-Projekten, dann könnt ihr meinen Blog angucken oder auf Twitter. Und ich habe auch die ganze Geschichte auf meinem Blog. Vielen Dank. Thank you, thanks a lot. So, next talk is Free Digital Territories. Das ist auch ein, ich glaube es ist auch 4 zu 3. Hallo, ich bin Peggy und das ist Philipp und wir sprechen über ein Projekt, was wir in Brasilien planen. Das heißt Free Digital Territories. Free Digital Territories. Ich bin ein Tech Artist und Community Network Aktivist und Philipp ist auch in der Freifunk-Community und ist auch ein Netzwerk Aktivist und Free Software Entwickler. Wir haben beide mit Flüchtlingen gearbeitet und haben herausgefunden, dass Menschenrechte ein wichtiges Menschenrecht ist, dass man weltweite Verbindungen hat, um Teil der Gesellschaft zu sein. Und die Idee war, dass wir nach Brasilien gegangen sind. Wie kam das? Letztes Jahr wurde ich eingeladen vom Goethe-Institut. Die wurde dort eingeladen für ein Kunststipendium und es gab dort mehrere Künstler zusammen für ein Projekt und ich habe meinen Raspberry Pi mitgebracht und wir haben einige Installationen gemacht und danach kam ein Freund, Fabiana Borgers, die sehr aktiv ist, kam nach Berlin und wir haben uns in Berlin getroffen und wir haben über unsere Möglichkeiten besprochen für Netzwerke und sie hat uns das Baobascha Projekt vorgestellt. Das ist ein großes Projekt in ganz Brasilien und es ist ein digitales Archiv und es ist ein ganz einfacher Server, der lokal ist, wo eingeborene Völker in kleinen Dörfern ihre Bilder auf den Server tun können und dann kann man es auf ein USB Stick tun und kann woanders hin tun und auf einem Meeting kann man die austauschen und es gibt nur sehr wenig Möglichkeiten. Was Fabianan und Karsten Acker, der auch aktiv ist im Baobascha Projekt und die sind in zwei Dörfer gegangen, Diabaravelia und Diapara und in einigen Gruppen mit vielen Eingeborenen und habe dort ein kleines Computerlabour eingerichtet und hat zwei Server dort eingebracht und das hier ist zwischen Rio de Janeiro und Salvador, der Paella und unsere Idee war, dass wir da hingehen und die Server nehmen und sie miteinander verbinden mit Netzwerke und Mesh-Technologie, mit der Freifunk-Technologie und das Problem ist und das ist irgendwo ganz weit draußen, also es gibt keine Infrastruktur und es ist ganz schwer dahin zu kommen, man bekommt keine Hardware, man hat sehr wenig Internetzugang nur. Wenn man was braucht, dann muss man wirklich das selbst besorgen, das heißt wir mussten wirklich alles in unserem Gepäck mitbringen, das ist auch meine Erfahrung von letzten Jahren, es ist wirklich schwer dort Hardware wie Arduino zu bekommen und man kann es kriegen, aber es kostet das Dreifache von dem was hier kostet, also wollten wir einen Austausch machen zwischen dem was man hat und dem was man bekommen kann und wir wollten auch eine Krypto-Kongress machen und es ist wieder CCC, nur größer in Brasilien, es sind Sao Paulo und da haben wir schon Verbindungen zu hackern und die wollen uns auch unterstützen. Ja und wir wollen Verbindungen aufbauen und wir brauchen Hilfe, wir brauchen zum Beispiel Übersetzungen und Kontakt mit der lokalen Tech-Gesellschaft dort, Community dort, der Hacker und Makerspaces und wir sind dankbar für jede Hilfe die wir kriegen können, vielen Dank. Der nächste Talk ist Discrete Linux, guten Morgen, ich bin Marc, das ist auch meine erste CC3, ich möchte euch heute Discrete Linux präsentieren. Discrete Linux ist ein OS mit einem speziellen Punkt, dass es Schutz sein soll gegen Überwachung und Trana. Staatliche Massenüberwachung ist ein großes Problem, es geht auch gegen Organisationen und Bürger und es wird offen benutzt um sensitive Daten anzugreifen, welche irgendwo lokal gespeichert sind und die im Internet nur irgendwo verschlüsselt auftauchen, also Wildtaping hilft denen nicht, das heißt Trana werden hier benutzt, das heißt auch starke End-to-End Verschlüsselung ist komplett nutzlos, wenn das System kontrolliert wird. Wenn die Endpunkte dieser Kommunikation müssen außerhalb dieses anderes Punkt der Trana sein, damit es funktioniert. Das ist das Quantum Theory Projekt, Edward Snowden hat uns vorgestellt, dass es entwickelt wurde um Trana einzusetzen, es ist installiert für Millionen auf Computern und das war der Standort von 2009, also das heißt wir wissen nicht was der Standort ist von heute, aber es gibt unglaublich viele andere kommerzielle Lösungen, die verkauft werden. Es gibt zum Beispiel das faschistische Government aus der Türkei, macht das auch. Was sind die grundlegenden Punkte? Das gibt ein lokales Arbeitsumfeld, das heißt es soll nicht durch Spyware angegriffen werden können und deshalb kann sensive Daten auch noch verwendet werden und wir gehen jetzt kurz durch, wie wir das machen in den nächsten drei Minuten. Der erste Punkt ist mauert die Eingänge zu, das heißt wir machen diese Eingangsgates zu, die normalerweise eigentlich benutzt werden durch diese Schad-Shoftware, das heißt wir möchten diese Network-Attacks verhindern, das heißt Offline-Werkarbeiten ist hier ein großer Punkt. Wir möchten eine verlässliche Kryptografie benutzen. Damit man auch keine Netzwerkerbindung mehr offen kann. Der zweite Punkt ist Attacken über interne Hard-Discs. Wir haben den Linux-König so gepatched, dass es interne Hard-Discs ignoriert werden, das kann das System schützen von bereits infizierten Hard-Discs schützen, welche zum Beispiel schlechte Filmwert drauf haben auf den Controller. Vielleicht habt ihr schon mal über WDLL, das ist ein Tool, das die NSA benutzt, um Filmwert zu infizieren auf Hard-Drives und das überlebt es auch, wenn man das neu installiert. Ich glaube ich habe keine Zeit mehr. Es geht auch um herausnehmbare Hard-Discs. Wir möchten es auch schützen, also wir mauen die als nicht ausführbar und wir nehmen Schutz gegen schlechte Event-Spreading. Wir möchten das Spreaden verhindern und der dritte Punkt ist, mauen die Ausgänge zu, das heißt Trojaner, etc., dass sie nicht mehr rauskommt. Wenn ihr euch gefragt habt, wie das funktionieren sollte, guckt euch mal unsere Homepage an. Ich habe jetzt gerade keine Zeit mehr, so könnt ihr mitmachen und uns kontaktieren könnt. Der nächste Vortrag ist Food-Hacking-Base. Kann ich starten? Hallo zusammen. Ich bin von der Food-Hacking-Base. Ich habe wahrscheinlich festgestellt, wir sind draußen, außen. Wir sind ziemlich froh drüben. Wir sind zumindest sehr, sehr nah. Herzlichen Dank. Vielen Dank für die Orga, dass wir hier sein dürfen. Wo muss ich draufklicken hier? Super. Wie sind wir da jetzt? Wir waren sehr aktiv dieses Jahr. Wir waren der first Make-A-Fail in Europa, das war ein Fair-Rule. Wir haben Kooperationen gemacht mit OpenLabs zum Beispiel, mit verschiedenen Projekten, zum Beispiel X-Mintel-Incubator-Projekte. Und wir haben ja ein lokales Crop-Processing-Projekt. Es geht hier um verschiedene, um und wie man in Tschechien, spezielle Äpfel, wie hier runterfällen. Und wir wollten damit ein bisschen arbeiten. Also haben wir angefangen, die Dinger zu protestieren und haben uns angeguckt, wie das funktioniert. Und hoffen, dass wir ein schönes Produkt machen in der Zukunft, welches vielleicht nützlich sein könnte. Und ihr wisst, wenn man Technologien erfährt, man kann erfahren, was daraus gehört und unser Zelt. Und wir werden nur diskutieren, was wir nächstes Jahr machen, Sider, Galvados und andere Dinge. Wir haben jetzt ein Auto, das wir unsere Sachen auch Rumpern diskutieren können. Jetzt sind wir hier. Ich habe schon gesagt, es ist sehr schön, dass wir wieder hier sein können. Wenn es geht, wir organisieren Essen und Getränken und wir haben auch Workshops. Wer schon bei uns war oder weiß, was bei uns passiert, man kann zum Beispiel lernen, wie man Bier macht oder Käse. Man kann probieren, wie schmeckt zum Beispiel das selbstgemachte Bier oder auch Whiskeys. Das sind Social Events. Wir sind offen für alle. Ihr könnt einfach kommen und experimentieren und erfahren, was bei uns passiert. Natürlich ist der Lehrbereich sehr wichtig. Man kann auch sehen, Hunger ist keine Option. Das ist Camembert auf diesem Wild. Ein sehr schöner Kese, den wir zum Beispiel heute essen werden, am Sieben bei unserem Käse-Tasting. Das sind unsere Pläne für 2017. Ich gehe jetzt weg von Südkorea zurück nach Europa und werde jetzt in Normandie ziehen und werde Cider und Französisch studieren. Wir werden viel mehr Events machen, also wir werden in der Europa herum sein. Wir werden teilnehmen an verschiedenen Summertours. Wir machen eine Tour im Sommer. Ein Teil ist natürlich die T3. Wenn ihr kommen möchtet und gucken, wie wir weiter gekommen sind, dann könnt ihr da vorbeikommen. Wir werden jetzt unser Inkubationsprojekt weiter führen. Das heißt, wenn ihr fermentieren möchtet, wir haben jetzt ein Device, das es macht und können auch erklären, wie das funktioniert. Das heißt, ihr könnt es benutzen, wenn ihr fermentieren möchtet, z.B. für Bier. Man kommt vorbei. Getränkeproduktion. Wir werden sehen, wie das funktioniert. Wir haben ein Konzept für eine kleine Produktion vorgestellt. Das heißt, wir möchten, dass die Hacker viel mehr von ihr eingetränken trinken können. Z.B. in Düsseldorf, die machen ihr eigenes Eier und auch Bier und die bringen das auch zum Congress. Es ist wirklich sehr gutes Bier von Hacker gemacht. Wir werden auch noch in den Sitzblasen. Das war es von mir. Wie gesagt, wir sind nur auf der anderen Seite von der Halle. Das heißt, ihr werdet auch nicht schrinnen. Wir sehen uns bald. Herzlichen Dank. Das ist wunderbar. Alle waren in der Zeit. Manche waren sogar noch schneller fertig. Wenn es nicht in Ordnung ist, dann boot sie einfach raus. Aber vielleicht können die jetzt ein bisschen zusätzliche Zeit gebrauchen können. Es ist nicht schön, bald auszubuhen. Es ist nicht nicht exzellent. Und weiter geht es mit Open Age. Wir sind Mickey und JJ und wir sind die Metaner von Open Age und das ist ein freier Clone von Age of Empires 2. Wir haben die originale Sache benutzt davon, denn wir sind keine Grafik-Designer. Aber man kann eine neue Grafik benutzen und wir wollen aber das exakte Gameplay haben, das ist Original Gameplay und optional noch weitere Verbesserungen haben können. Es gibt natürlich mögliche Verbesserungen, die wir machen können. Eigentlich unendliche Möglichkeiten und freie Software. Wir können das modifizieren, wir können alles hinzufügen, was wir wollen. Wir können aber ein Modding-Interface und tausende von Units, kann man dann Wetter, Feuer, Zombies, was auch immer ihr euch vorstellen könnt. Wir können einige der Beschränkungen aufheben, das heißt zum Beispiel mehr als acht Spieler oder wir haben bessere Matchmaking und wir sind nicht alleine, es gibt andere ähnliche Projekte, die schon zum Teil lange dabei sind und viele davon sind auch schon weiter als wir, weil die schon länger dabei sind. Überwiegend benutzen wir C++14 für die Engine, Python für Skripting und viele viele andere Sprachen noch. Eine der neuen Sachen ist Qt5. Wir haben jetzt das grafische Usen-Interface ausgesucht, was wir benutzen wollen. Es gab einige Kontroversen, Qt5 ist nicht perfekt, aber es ist besser als selbst was zu machen. Das könnt ihr mir glauben. Wir haben auch nur jetzt dynamische Konfigurationen wie von Counter Strike C war und wir haben unsere eigene CI. Wir haben letztes Jahr schon über die CI gesprochen, deswegen zeige ich euch nur einen kurzen Screenshot und hier könnt ihr sehen, könnt ihr live sehen auf GitHub und es war ein Commit, der alles kaputt gemacht hat und wie man sehen ist, die Konfigurations-Step hat funktioniert und alles andere hat nicht funktioniert. Und die Qt5 Usen-Interface ist das ganz neue, der Tolle daran ist, dass es beliebige Auflösungen unterstützt, was früher sicherlich nicht ging. Man kann es einfach live neu laden, man kann Dateien ändern und der Button wird plötzlich neu sein, es wird automatisch funktionieren und alles geht, war einfach verstreut, der Usen-Interface-Stoff und wir haben das jetzt alles schön in einer Stelle versammelt und man kann sehen, man kann hier sehen, dass Units Gebäude angreifen, man kann sehen, wie sie Ressourcen sammeln und kleine Kriege veranstalten und die Icons skalieren, das heißt, man kann es auch auf 4K-Displays anzeigen oder ein Ultra-Wide-Screen, das sieht ziemlich seltsam aus, ob es funktioniert und was als nächstes kommen soll und worüber schon viel nachgedacht haben, ist das Curve-Based Networking System und Flow-Field Pathfinding für Tausende von Units und einen besseren OpenGL-Renderer und Nyan, das ist ein Content Description Format und nach dem Projekt haben wir darüber ein Talk, dann könnt ihr ein Eindruck bekommen, was Nyan ist und bevor das wirklich als fertig bezeichnen können, müssen wir noch einige Python-APIs unterbringen, sodass eigenes AI-Scripting da reingebaut werden können und Maschinen-Learning unterbringen können und Kulturen und Forschung müssen wir natürlich noch machen und 3D-Terrain gibt es auch noch nicht und natürlich ein Netzwerk und Multiplayer ist auch noch nicht fertig. Ja, wir sind seit 2013 dabei und sind die Leiter der C++-Projekt hochgestiegen und sind jetzt auf Rang 27 jetzt und kommt dazu und helft uns ein super Spiel zu bauen und es ist natürlich nur ein Freizeit-Projekt, das heißt, es gibt keine Deadlights und wir hoffen, dass sie auch bei dem nächsten Talk dabei sein, seit wie wir die enorme Komplexität des internen Zustands handhaben von Age of Empires. Ja, vielen Dank. Und das geht weiter mit Nyan. Ja, hier sind wir wieder. Also ich bin immer noch JJ und das ist immer noch und wir zwei haben ein kleines Spinoff zu unserem Hauptprojekt gehabt, der Age of Empires Engine, die es heißt Nyan. Ich nenne es ein hierarchische Wert, Key Value Datenbank mit Inheritans und dynamischem Patching und das klingt sehr kompliziert und wir haben uns da jetzt seit 2013 Gedanken darüber gemacht, als wir diese Age of Empires Engine gebaut haben und das Ziel ist, die Daten für das Spiel irgendwie zu speichern und was wir uns da als Vorgaben gegeben haben ist, dass es als Modding-RP auch benutzbar sein muss, dass man es als Menschen lesen können muss, dass es typensicher ist, dass es zur Laufzeit modifiziert werden kann, also während des Spiel läuft und dass es keine Redundanz gibt und außerdem soll es die Strukturen, die Age of Empires braucht, repräsentieren können und der letzte Punkt war tatsächlich der komplizierteste und das Ergebnis ist, dass wir eine neue Sprache und ein neues Datenbank-Konzept erfunden haben. Also worum geht es hier? Es ist eine Vermischung zwischen Klassen und Objekten und das klingt ziemlich verwirrend, aber es ist leicht zu verstehen. Also wir definieren Objekte und weisen dem Attribute zu und diese Attribute haben Typen und möglicherweise auch ein Default-Wert und wenn ihr jetzt so ein Ding instanzieren wollt, dann macht ihr da einfach eine Ableitung davon und dann überschreibt ihr die Werte. Also der Villager hier, der Bürger hat tatsächlich 25 Lebenspunkte und eine Geschwindigkeit von 1 und jetzt kommt das zweite Konzept dazu, das nennen wir Patch, das ändert diesen Bürger. Wenn wir also den Patch hier anwenden, dann kriegt der Villager zehn zusätzliche Lebenspunkte. Okay, und jetzt schauen wir uns mal ein komplizierteres oder ein vollständiges, na gut, vollständig kann man nicht wirklich sagen, aber ein komplizierteres Beispiel, wo wir sehen können, es gibt immer noch den Villager, es gibt immer noch den Bürger als Einheit, der hat eine bestimmte Menge an Lebenspunkten und jetzt gibt es auch noch zusätzlich ein Gebäude. Und ein Gebäude ist auch eine Einheit, also wir leiten das auch von Einheit ab und wir setzen den Lebenspunkt Wert nicht und auch die Geschwindigkeit nicht, weil ein Gebäude immer noch ein abstraktes Konzept ist, das später abgeleitet werden soll, aber so ein Gebäude kann jetzt Einheiten erzeugen und das kann Technologie erforschen. Also setzen wir diese Felder. Als Beispiel haben wir das Towncenter, also das Rathaus, das kann jetzt Loom erforschen und das kann Bürger erzeugen, aber wir setzen jetzt 2500 HP und das wir setzen aber die Geschwindigkeit nicht, also kriegt es jetzt die Default-Geschwindigkeit, das ist Null, also das Gebäude selbst kann sich nicht bewegen. Und jetzt gibt es hier Loom, das ist definiert als Tech, also Technologie, das definieren wir weiter unten, das hat eigentlich nur einen Kosten und kriegt eine Menge von Patches, die angewendet werden, wenn man das erforscht. Und den Patch, den wir hier anwenden wollen, ist ein Villager Health Boost, das heißt da kriegt der Bürger, also der Villager 15 Lebenspunkte dazu. Also für 50 Kosten kann man 15 Lebenspunkte zu seinen Villagern hinzufügen. Und wie können wir das jetzt einbauen? Naja, ein Mod ist im Wesentlichen dasselbe wie ein Tech, aber hat also eine ganze Menge von Patches, hat einen Beschreibungstext und als Beispielsmod gucken wir uns eine Tentacle Monster Einheit an, die wird einfach wie der Villager, also wie der Bürger definiert, nur dass es hier auch die Tentacle Escape Tech gibt, es wird genauso wie das Loom vorher definiert, nur dass wir das jetzt zusammenbauen als Tentacle Mod, das hat also den Patch Modify Town Center enthalten und das sorgt dafür, dass es den zusätzlichen Forschungszweig gibt und die Fähigkeit für die Einheit und so schreibt man also ein Mod. Ich hoffe euch ist jetzt das Hauptkonzept irgendwie klar, wir müssen da jetzt aber noch weiter machen, denn was wir damit machen können ist, wir können Patches patchen und Patchpatche patchen und so weiter und wir können also auch sowas machen, wie das Mittelalter ist einfach nur ein Patch, was dann dazu führt, dass die Gebäude moderner aussehen und das ganze Ding erlaubt uns also die enorme Komplexität von Einheitskonvertierungen können wir jetzt mit menschenlesbarer Sprache repräsentieren und ich hoffe ihr alle habt jetzt verstanden, was das macht, also danke fürs Zuhören, danke, es wäre super, wenn ihr beim Stuhlsternet-Assembly mal vorbeikommt und uns helft hier großartige Sachen in eurer Freizeit zu programmieren, danke. Und der nächste Talk ist Hacking Docsus. Hallo, ich bin Joe und das ist auch mein erster Kongreis. Es wird ziemlich sicher nicht mein letzter sein. Anfang dieses Jahres habe ich angefangen mit Fritzbox-Kabelmodem rumzuspielen, beim deutschen Hersteller AVM, nach ein bisschen rumspielen und dann, dass ich dann Telnet-Access, Telnet-Zuggefahrte und das ist heiseem angeschaut, heute habe ich halt irgendwie rausgefunden, dass ein Zertifikat da gefunden wurde und ich habe dann mit heise gesprochen und sie haben mit dem Hersteller gesprochen und dann gab es im November ein Artikel dazu, was ich halt gefunden habe ist, dass der private Schlüssel von der Zwischenbehörde des Zertifikats halt auf dem Gerät war und was man halt wirklich nicht auf dem Gerät lassen sollte, wenn das zum Kunden geht. Und naja, sie wussten wahrscheinlich schon seit 2015, dass das ein Problem war, aber naja, die haben den privaten Schlüssel für Eurodoxys auf dem Router mitgeschickt und das kann dazu benutzt werden, die 920-Karte on the fly auf dem Gerät zu generieren und wahrscheinlich gibt es viele Kabelmoden im Anbieter auf der ganzen Welt, die diesem Zertifat vertrauen und ich wurde dazu auch schon kontaktiert und der dann sagte, ja, es geht nur um Eurodoxys, also nur um Europa, aber ich bin mir da eigentlich so sicher, wenn man sich halt die online Docs anschaut, dann ist die Dokumentation für Docsys und Eurodoxys ziemlich ähnlich und normalerweise haben sie beide, beide Router-Zertifkarte installiert, also für Docsys und Eurodoxys und dann sollte es auch in der USA oder woanders funktionieren. Naja, aber ich bin mir halt nicht so sicher, wie das jetzt, wie es genau ist, aber es könnte halt sein, dass sie solche keine Ahnung haben in den USA, dass sie das dann eigentlich Zertifikat dem nicht mehr vertrauen sollten. Also die deutschen Provider arbeiten daran, das Zertifat zu entfernen oder zu blockieren und die arbeiten daran, aber es dauert halt eine Weile und es wird nicht passieren, nicht überall. Das ist so ein, das ist ein Zitat von AVM, dass sie jetzt ein neues und verbessertes Hersteller-Zertifikat benutzen, was auch immer das heißt. So ist so die Zertifikatkette, so oben das Router-Zertifikat, dann so die Hersteller-Zertifikate und dann so die Geräte-Zertifikate und dann in der Mitte ist das ist die Stelle, wo halt der private Schlüssel auf dem Teilsystem des Routers gefunden wurde. Hier ist, das ist so ein gewohntaltes Zertifikat, wo man dann die Seriennummer sehen kann und so und das ist so ein Ausdruck davon, also es ist nicht der private Schlüssel, aber halt das gehört dazu. Und dann habe ich noch gefunden, dass nach einer Woche nach dem Artikel veröffentlicht wurde, dass sie ein Artikel veröffentlicht haben von dem Hersteller, dass, wie man das Zertifikat eben revoked, also halt zurückzieht. Und ja, wenn ich jetzt, wenn mein Provider das Zertifikat nicht benutzt oder mein Provider das Zertifikat nicht benutzt, bin ich dann sicher und dann, nein bist du nicht, weil dein, weil dein Provider wahrscheinlich einfach allen Zertifikaten vertraut, egal ob deinem Gerät das benutzt. Es gibt verschiedene Spezifikationen und Sicherheitsfeatures, aber die sind nicht vorgeschrieben. Also wenn man nicht weiß, außer man weiß genau, dass man das Zertifikat zurückziehen muss, dann heißt das ziemlich sicher, dass man halt, dass man auf jeden Fall dem Zertifikat vertraut wird, weil sie wahrscheinlich alle dem Euro-Docs-Zertifikat vertrauen. Diese, das Kommando, dass, dass sie einem sagen, was man ausführen soll, um halt das Zertifikat zurückzuziehen, direkt auf dem Gerät. Das ist meine E-Mail, falls ihr noch Fragen habt, könnt ihr mir fragen stellen. Ich bin wahrscheinlich beim Frama-ASM-Leaner, also vielen Dank. Und der nächste Talk ist einem Tomu. Ja, hallo, mein Name ist Tim und ich werde über Tomu reden. Aber erst mal kurz was zu mir. Ich bin Software-Entwickler, habe Software-Entwickler gelernt, habe also Nicht-Sicherheits-Dinge gelernt. Ich komme so ein bisschen klar mit Hardware und ich habe ein paar Projekte und das ist eins davon. Und die meisten meiner Projekte brauchen sehr lange, das kann auch schwierig sein, aber das ist kein Star von, das habe ich in einem Wochenende gemacht. Also wie hat die Geschichte angefangen? Das ist zwei Faktor, Authentifizierungs-Hardware und das ist meine Familie. Diese zwei Faktor-Authentifizierung ist richtig gut, damit Leute nicht gehackt werden und ich will nicht, dass meine Familie gehackt wird, also dachte ich, ich besorg mal was für die. Also die sollten sowas haben, das sollten wir wie Süßigkeiten verteilen. Jeder sollte sowas haben, auch jeder hier. Und hier kann man sie bei Amazon kaufen und das hier ist das Problem. Das kostet 50 US-Dollar pro Gerät. Das kann man also nicht, ich weiß nicht wie das das in Euro bedeutet, aber ich komme mit Hardware ganz gut klar und ich bin mir ziemlich sicher, dass das ganz wenig Teile hat. Das ist ganz ganz klein, also es kann gar nicht so viele Teile haben und das ist wahrscheinlich eine ARM-CPU und das hat wahrscheinlich weniger als zehn Dollar an Hardware eingebaut und hier ist so ein ARM-Prozessor, der kostet zwei zwei Dollar als USB-Schlüssel und jetzt haben wir gedacht, okay jetzt baue ich das als Hobbyprojekt. Ich baue also hier so ein Chip, bastel das zusammen, baue noch ein paar Dinge zusammen und das funktioniert und man könnte sich jetzt, also wenn das jetzt eine animierte Slide wäre, dann könntet ihr sehen, dass dieses Licht blinkt. Also ich habe 100 davon gemacht. Das ist das Tomoboard. Ich habe eins hier in meiner Hand. Ihr könnt das wahrscheinlich kaum sehen. Es hat ein 25 MHz ARM-Prozessor, 8 Kilobyte RAM, 64 Kilobyte Flash, zwei LEDs, zwei Knöpfe und es hat tatsächlich nur zwölf Teile und das kostet, wenn man das einzeln herstellt, dann kostet es zehn Dollar. Es ist auch Open Hardware zertifiziert. Ich habe die erste australische Nummer gekriegt, wie es aussieht und ich habe 100 von diesen Dingern mitgebracht hierher und 100 Bowsätze und ihr könnt mir entweder zehn Euro geben oder ihr könnt einen Pull Request aufmachen, dann kriegt ihr ihn umsonst, weil ich komme da gleich nochmal zurück, weil ich brauche nämlich eure Hilfe mit der Software. Ich habe die Hardware jetzt fertig, aber die Software ist noch nicht wirklich geschrieben. Ich habe bewiesen, dass es funktioniert, aber ich habe noch keine Authentifizierung dazu geschrieben. Ihr könnt euch hier den Bauplan zusammenbasteln und ihr könnt die Platinen, also kann ich für euch bauen und das sind hier die Leute, mit denen ich das aktuell ausprobiere. Also Frage ist, ist das Gerät sicher? Also der große Unterschied zwischen diesem Gerät und einem Nano Key ist, dass ihr die Software kontrolliert, die darauf läuft. Ihr könnt jede beliebige Software ausführen, ihr könnt sagen, es ist ein Arm Prozessor und ihr könnt es auch selber bauen. Also ihr müsst nicht vertrauen darauf, dass irgendwo richtig beschriftet ist, sondern ihr könnt es selber sehen. Also ihr baut es selber zusammen. Der Bootloader ist auch Code, den der Benutzer kontrolliert, das könnt ihr also auch kontrollieren und man kann das D-Banging ausschalten und wenn ihr also unmöglich machen wollt, dass man da rankommt, dann könnt ihr auch Epoxy drauf tun. Wahrscheinlich ist es sicher, könnt ihr es jetzt schon benutzen? Nein, außer ihr schreibt Software dafür. Wofür könnte man sonst benutzen? Man könnte es auch als Blinker, als Knopf, als Tastatur, Spaßgerät. Manche Leute wollten da auch Infrarot LEDs einbauen, aber ihr seht die in eurem USB-Port nicht. Das ist sehr, sehr klein. Also kommt Heft, Software hierfür zu schreiben. Das ist Open Source. Wenn man dann nur mehr davon kauft, wird es wahrscheinlich gar billiger. Und ich habe auch eine total High-End Version davon. Die hat 32 Kilobyte RAM und 265 Kilobyte Flash. Und hat das wirklich nur 12 Teilen? Also lass mal zählen. Prozessor, LED, Widerstände, noch mehr Widerstände, ein paar, ein, ein, ein kleine Tine und eine 3D gedrucktes Gehäuse. 12 Teile unter $10. Also helft mir, dass dieses Zeug großartig wird. Danke. Next up is Opencast. Also 16分 9. Jetzt geht's um Opencast. Hallo, mein Name ist Jan. Ich Ich zeige euch Opencast heute. Es ist ein Open-Source-Video-Manager, den wir bei der Universität Münster benutzen. Es kann Videos-Managing verarbeiten. Es hat ein eingebostes Videoportal. Man kann Aufnahmen scheduleen. Es ist eine All-in-One-Solution und es ist in Java geschrieben. Viele Leute benutzen YouTube, um ihre Videos zu posten. Auch Videos von Firmen oder von Unis. Man kann auch seine eigene Videobilbutik aufsetzen. Es gibt Opencast. Man kann das mit der eigenen Infrastruktur vernetzen. Es skaliert super gut. Man kann einfach mehr Server zufügen, wenn man mehr Prozesse hat. Man kann das mit Lokalendiensten und Clouddiensten integrieren. Es skaliert bis unendlich. Es wurde damit entwickelt, für Vorlesungen und Präzentationen benutzlich zu sein. Vor allem beim E-Learning. Das ist Open-Source und Open-Cast wird zum Beispiel bei unserer Universität benutzt. Berkeley, Manchester University und anderen. Und dann gibt es vielleicht noch andere Öffentlichenitionen, private Firmen oder Hackerspaces, für die es vielleicht auch interessant sein könnte. Was kann das noch machen? Es skaliert super gut. Man kann Aufnahmen in den Kalenderstellen in verschiedenen Orten. Man kann analysieren, ausschneiden, transformieren in andere Formate. Man kann auf das integrierte Videoportal veröffentlichen, bei YouTube veröffentlichen, ITU oder als Podcast. Man kann auch mit Learning Management Systems wie Moodle, Ilias oder so, die viele Universitäten nutzen, integriert werden. Das hat auch Zugangsbeschränkungsmöglichkeiten über Single Sign-On und LDAP und Kerberos und alles Mögliche. Hier sieht man das Event-Management-System, was schon veröffentlicht wurde, wann es anfängt, wann es endet. Das sind so die verschiedenen Orte, die es gibt. Das ist so der Workflow, den man definieren kann, wann, wie es funktioniert. Also so kann man verschiedene Prozesse zusammenbauen, wie man es halt braucht, wie man seine Videos veröffentlichen will oder verarbeiten möchte. Hier sieht man schon, welche Videos verfügbar sind. Und dann sieht man an der Farbe welche veröffentlicht und welche nicht. Das ist der Abspieler. Man kann das zum Beispiel im Browser abspielen. Man kann zum Beispiel auch im Browser abspielen, so viel wie man will. Aber wahrscheinlich kann man den meisten Browsern oder Laptops nur drei Streams oder so gleichzeitig abspielen. Man kann halt dazwischen den Videos gut hin und her springen. Man hat hier eine gute Zeitschiene. Man kann darauf hin und her schalten, dass zwischen der Präsentation, also den verschiedenen Stellen in der Präsentation, falls ihr das findet, dass es cool aussieht. Wir haben eine Super-Community, die euch willkommen heißt. Wir haben unsere eigenen Summits. Der letzte war in Köln, der nächste ist in Valencia. Falls ihr noch mehr sehen wollt oder Fragen habt oder eine Demo anschauen wollt, dann kommt bei mir vorbei. Ich bin hier bei Halle 4, bei Chaos West unterwegs. Und ja, wir haben auch Docker-Images, falls ihr es ausprobieren wollt. Wir brauchen nur für mehr Dokumentation. Vielen Dank. Jetzt geht es weiter mit. Okay, so this talk is going to be in German, and he is saying he is going to talk very fast. So it's about the reinvention of the platform, so it's about the reinvention of the pedestrian in times of the smartphone. And I'm the pedestrian, I wrote down for the last two years what I observe in the world when I look around in the world looking at people who watch their smartphones. It's disguised as a picture presentation for my diary. Maybe someone knows my technology diary, we do it together with a colleague. And we write just things down that we are observing. And maybe if we look at it from a, on the old entries it may look very stupid. And maybe in ten years what I'm doing now looks very stupid as well. And I want to see if what I'm observing is the same thing that you observed and there's a survey. So you can say exactly, isn't it the same for everyone? Or you can say I thought I was the only one perceiving it that way or other ways. And the first thing is means of transportation for pedestrians. There's different means of transportation. First is the elevator, and it's changing since I know where to look with my smartphone when I carry it around. And the second for pedestrians is the stairway. And I used to use the stairs next to the stairway. And now I'm using the stairway because I look at the smartphone so I know where to go after I leave the stairway. And there's another means of transportation. It's a horizontal stairway. And you can look at your smartphone all the way. But there's usability problems because you sometimes trip over it when you don't watch your step at the end. But they're a very bad place because when you look at your smartphone, a thing at the top is not where you're going to look. So here in Tokyo, they did it smarter. They did it in the peripheral vision of the smartphone user. And there's also a voice that tells you in English and Japanese that you're going to trip if you're not careful. And then there's the traffic lights. And you look at the smartphone and somewhere else that changes the lights. So you're not going to see it. Here in Wales, it's closer, but it doesn't scale. So if more than 3.5 people in front of it, the fourth one is going to trip. So an even better system is an acoustic indication and second blocks about clothing for smartphone pedestrians. So what changed about the clothing? So first of all, I'm wearing jackets that have a way where I can put the cable. And I'm also carrying ... And I also have trousers that have closable compartments. And then there's the invention that's from the Himalaya. I got it from Wikipedia. So this is used to keep the headphones from falling down. And when you put them back in, you already got them handy. So it's also there for the microphone to prevent it from blowing the wind over it. So you're not having the noise in the microphone. And it also keeps you warm. So I'm wearing it from September to May of the next year, except for talks where it's very warm like here. And then there's the trousers again. On the left, you can see where I put my smartphone. On the right, it's the one where I put my money in. So I have to fix the left one very often. And then when you're in a parking space, you should leave immediately after you pay. But you look at your smartphone so long, there's no way to leave the building because your ticket has already expired. And then a public toilet and you look at the smartphone, there is motion control for the light and they think you're not there anymore. So the room goes black. But luckily you have your smartphone, so in reality it looks like this. And I had at minimum three people that said, oh, I thought I was the only one who perceives it that way. So please use that survey. Please tell me your experiences. I'm going to look at it. And it's either going to make sure that I'm not the only one or it's going to give me new ideas. So now you can count. Thank you a lot for your attention. So translation jemals may now breathe in again. Yeah, please give a huge round of applause for the translation. Next up is hacking the Oculus SDK. Jetzt geht es um hacken des Oculus SDK. Hallo, mein Name ist Yu. Ich habe meistens was ich gemacht habe bisher gegen um VR or Virtual Reality. Vielleicht kennt ihr mich als den Entwickler von Revive. Ich kann euch auch krebs erklären, worum es geht. Das ist so, dass VR-Ekosystem, das wir zur Zeit haben, es gibt drei verschiedene Hatsets, Brillen, die man nutzen kann. Und die meisten Hersteller, die haben auch Support für andere Hatsets außer Oculus. Und wir haben uns damit beschäftigt, dass man das, wir wollen damit auch, wollen das halt verbessern. Und der Herrster Oculus meinte dann, ja, wenn, solange sie unsere Spiele kaufen und in unserem Store ist uns egal, ob die Leute unsere Spiele modden, woanders zu laufen, aber, ja, aber das ist natürlich suboptimal. Und deswegen haben wir Revive gemacht, was ist so ein Compatibilitäts-Layer mehr oder weniger? Ein bisschen wie Wine, nur für Virtual Reality. Aber wo würde man so was machen in der Oculus Pipeline oder dem Entwicklungsprozess? Wir könnten es halt eine eigene Applikation machen, aber nur müsste man es für jedes Spiel machen oder in der Hardware, und das ist auch super schwierig, oder halt im Oculus Server oder in der Oculus Runtime. Und der Server ist nicht öffentlich dokumentiert, aber die Runtime ist öffentlich dokumentiert. Und dann lass uns halt noch die Dokumentation nehmen und die eigene Version davon schreiben, was dann alles halt über die OpenVR Runtime umleitet und dann halt auf dem HTC Vive Headset auch laufen kann. Wir können die Runtime jetzt nicht einfach ersetzen, weil sie auch einen Code Signature Check implementiert haben. Vielleicht wollt ihr auch was Interessantes über das Attackieren der Kryptografie hören, aber, naja, das auf Windows läuft dann einfach an so ein Windows-API-Hook nehmen und dann da unseren Code einschleißen. Wir haben das so ungefähr veröffentlicht, als die Oculus Brille dann rausgekommen ist und Oculus fand das jetzt nicht so super und die meinten, ja, ihr soll das nicht nutzen, das ist nicht vertrauensvoll und das könnte vielleicht kaputtgehen bei vom nächsten Update, zum Beispiel das nächste Update. Und sie haben dann ein bisschen was in ihrem Digital Rights Management verändert und dann ging es erst mal nicht, weil das ist der Teil der dann schaut, ob man das Spiel auch gekauft hat. Und dann haben die halt verändert, dass der Server auch schaut, ob man das, ob man die Brille auch gekauft hat. Und naja, es ist vielleicht, es ist undokumentiert, also es ist komplizierter, nein, aber es ist der gleiche Sicherheitscheck und dann haben wir die Adress-Tabelle gepatched und es wird danach nicht nochmal gecheckt und dann benutzt man einfach unsere gepatchede Version, die dann den Digital Rights Management Check halt überspringt und dann haben sie halt noch eine Pressmesskleidung rausgebracht und sagten, ja, die ihr sehen könnt, ja, sie wollten halt versuchen, noch jedem zu sagen, ja, ihr könnt immer noch, jeder kann immer noch das Spiel motivieren, aber halt auch die Lokate von Revive zu berechtigen. Also sie haben dann gesagt, ja, für dich selber ist es okay, aber wenn du es für alle verteilst, dann ist es halt problematisch und das gab viel kontroverser Diskussionen. Und dann haben sie halt irgendwann beschlossen, ja, es ist halt nicht mehr wert und wir stoppen halt mit dem, wir hören halt mit dem Digital Rights Management auf, weil es irgendwie nicht wert ist, weil es einfach, und ich bin sehr dankbar dafür, weil es sieht natürlich viel besser als die, benutze einfach die Spiele spielen zu lassen, die sie spielen wollen. Okay, vielen Dank. Ich würde auch gerne sagen, dass Oculus, die Chronos Group halt, Partnern auch nun Mitglied der Chronos Group, ist in der nächsten Version hoffentlich kein Problem, ja. Die nächste Vortrag ist Keyless Gone. Wir möchten eine Kurz-Einführung in die Keyless Gone-Systeme geben, was ein guter Hinblick über den ganzen Zustand des Automatischlüsselsystems ist. Das sind Systeme, wo man einfach zu dem Auto gehen kann, wo man den Schlüssel nicht aus der Tasche nehmen muss, um das zu öffnen oder es auszustarten. Es ist unabhängig von dem klassischen RF Key, den jedes Auto heute hat. Es ist ein bekanntes System. Es ist verbaut in den meisten Mittelklasse bis Hochklassewagen. Das Prozedere des Schlüsseles ist folgendes. Das Auto hat ein paar Antennen, außen und innen. Das Auto sendet einen Signal auf ein 125 kHz Signal. Wenn das Signal den Schlüssel hört, dann antwortet es auf ungefähr 430 Mhz. Das hängt ein bisschen von dem aktuellen Hersteller ab. Und das Auto sollte dann öffnen. Das RF Signal ist sehr kurz und die Antwort ist dann sehr lang. Und das ist die einzige Sicherheitsmaßnahme in diesem Austausch. Und vielleicht können wir dann einen Angriff machen bei dem Austausch. Das ist das eigentliche Gerät, das wir für unseren Relay-Angriff benutzt haben. Auf der linken Seite ist die Autosite. Das nimmt das Signal auf. Das übertragen wir in der FPV-Übertragungseinheit. Und die andere Seite, die Schlüsselseite, benutzt den FPV-Empfänger. Und überträgt es einfach über die Antenne. Das ist sehr limitiert in der Wandweite und es ist eine sehr niedrige Technologie. Das ist der erste Schema für unseren Aufbau. Es ist eine verkabelte Version. Oben links ist die Eingangsantenne und unten rechts ist die Ausgangsantenne. Es kostet 30 Euro, das hier zu bauen. Das sind die Taschen, die vielleicht schon gesehen haben. Das bindert den kompletten Setup. Es ist einfach in Realität zu nutzen, denn es ist nicht leicht zu entdecken. Wir probierten das mit 10 Autos und konnten geöffnet und gestartet werden. Wenn der Motor startet, kann man damit einfach gefahren und das Auto würde nicht stoppen. Aus Sicherheitsgründen würde der Motor nicht ausstellen, wenn das Signal verloren geht. Die einigen Autos, mit denen wir Probleme hatten, die waren verändert in der Frequenz. Das Städte ist ein 130 GHz und hat die Reichweite von unserem System begrenzt. Das ist kein Problem mit dem Ansatz an sich, aber mit unserer Umsetzung. Der ganze Ansatz, die Signalstärke zu messen, ist kaputt. Es kann nicht mit Software-Updates repariert werden. Sie müssen komplett das System einsetzen. Ihr habt vielleicht gehört, dass einige jetzt in eine andere Version gehen. Wenn ihr mehr wollen, dann habt ihr mehr technische Details auf unserer Webseite. Ihr könnt uns unter pormerite.achen.ccc.t. Ihr könnt uns auch nach den Leitentalks treffen. Hallo, der ist wohl auf Englisch. Tut mir leid, wie geht es euch? Ich spreche vielleicht nicht allzu viel. 5 Jahre Hack-Bases. Wer kennt Hack-Bases? Wer kennt nicht Hack-Bases? Das sind ganz viele. Das ist der Fahrplan hier. Was sind Hack-Bases? Es ist wie ein Hackerspace, was man von normalen Hackerspaces erwarten kann. Es muss öffentlich zugänglich sein. Eine Garage mit paar Werkzeugen ist kein Hackerspace. Es muss öffentlicher sein. Das ist im Moment die Liste der Hack-Bases. Ich habe die erste auf der Liste angefangen. Es gibt noch ein paar mehr und noch ein paar, die so eine Art Hack-Bases sind. Das ist ein schönes Poster. Wir wollen möglichst die Lebenshaltungskosten minimieren. Damit man freies Software machen kann und Sachen zu denen man Lust hat. Die wesentlichen Interessen sind ... Ja, ich ... Das ist ein schönes Poster. Wir wollen möglichst die Lebenshaltungskosten minimieren Ja, ich würde euch aufrufen, auch eine Hack-Base zu starten. In den letzten fünf Jahren haben wir, wie wir es nicht in zwei Modellen gehabt, einfach mit das Haus und ... Man sollte sich der Umgebung bewusst sein und es gibt noch einige andere Sachen. Das Zweite ist, was wir auf den Kanaren im Moment machen, auf den Kanarischen Inseln. Wir haben hier ... Also nicht viel Geld dafür ausgegeben. Ein großer Teil des Geldes ist immer die Miete. Und dann braucht man das nicht mehr. Lebensmittel ist immer noch, wenn man selber Land hat, man kann das vielleicht dafür nehmen und auf dem Land wohnen. Ich will noch zwei Sachen kurz ansprechen. Totalism.org zum Beispiel. Das ist der beste Hacker-Kalender. Ich leg dich dann ein Buchmat dafür an. Und dann gibt es auch noch Totalism.org Maps. Das sind Hacker-Maps. Wir reisen ganz viel. Und ... Ja, wir machen Karten. Und eine Ankündigung. Das nächste Experimental ... Hackcamp ist das selbe. Ja, es ist noch Zeit. Man kann für 50 Euro von Hamburgers dahin fliegen. Am 5. Januar, 25 Euro. Gibt es einen Flug für mich von Frankfurt nach London? 20 Euro. Ja, Flüge ... Flüge sind natürlich Bezuschuss, weil die davon ausgehen, dass du Tourist bist. Also, wir haben dieses Scheißauto gekauft. Und wenn jemand weiß, wie man was gegen Ross tun kann, dann schreib mir eine E-Mail. Wir haben einen lokalen Hackerspace gemacht. Und die können da auch ihre Sachen lassen. Und es ist auch cool für sie und für uns auch. Wir brauchen immer noch etwas Geld. Und wir haben eine Kooperative gestartet. Und wir haben auch natürlich in die Musikanlage investiert. Und wir haben auch Fotos. Ja, die Musikqualität lässt etwas zu wünschen übrig. Fantastischer Lagerraum ist das. Ja, es ist wirklich wahr. So sieht das aus. Danke sehr. Next up, Policymaking, Social Engineering. This one is 16-9. Just in case you wondered. Hallo, und ... Ja, hallo. Danke, dass ich da sein kann. Ich will über Policyhacking sprechen und Social Engineering. Und die Idee ist, dass unsere digitalen Freiheitsrechte einfordern können. Wir müssen mehr Politik machen. Man muss auch langweilige Sachen. Und es dauert elend lange, wenn man das normal macht. Ein Ansatz ist Social Engineering. Und ich gebe mal eine kurze Einführung, was das ist. Und einige Beispiele für offensives und defensives Einsätze. Und auch Politik zu machen. Vor allem in Deutschland und in Österreich. Was ist Social Engineering? Es sind einige ... Kennen das vielleicht aus dem technischen Hintergrund. Man hat zum Beispiel einen falschen Ausweis oder so. Aber es gibt auch die Möglichkeit ... Betrachten, wie man Leute manipuliert. Und die Politik in eine bestimmte Richtung drängt. Und der Hintergrund von diesem ... Menschen sind auch sozusagen programmierbar. Und vielleicht Kommunzenz oder ... oder Kommunzenz einfach einen gesunden Menschenverstand. Dass Menschen sich nicht immer auf das Richtige konzentrieren. Aber wenn man Statistiken anguckt, wenn man sich nicht mit Statistik und Statistik auskennt, dann weiß man nicht, ob jemand einen anlügt. Und es ist wichtig, dass man die Werkzeuge kennt, um sich auch verteidigen zu können. Oder um politische Kampagnen herauszufinden, was wirklich passiert. Es gibt hier den Yes-Man. Er hat einen interessanten Stand gemacht. In 2004 haben sie behauptet, dass die neue Firma Bhopal, wo bei dem großen Unglück, wo mehrere Tausend gestorben sind, haben behauptet, sie würden jetzt Schadensatzzahlen in den Leuten und dann schon sankt der Börsenwert des Unternehmens massiv ab. Ja, aber es hat wieder Aufmerksamkeit gemacht für die Opfer des Unfalls. Hier sind Spielzeughändler in den USA. Und hier ist das, ja, das rationale Gehirn ist nicht so toll. Und alle sind im Prinzip wie Homer Simpson. Und wenn sie Bier sehen, denken sie nur, mmh, Bier. Und, ja, und wir müssen auch viele ... Ja, das Trojanische Pferd kommt natürlich aus der griechischen Mythologie. Und das passiert auch überall in Werbung. Und es gab in 28 Millionen Dollar einen Bankraub in Antwerpen. Der hat einfach nur ganz ... Als normaler Kunde war der einfach dort und konnte einfach 28 Millionen klauen. Und es gab einen Einbruch beim FBI. Und die haben einfach einen Zettel an die Tür geklebt. Bitte diese Tür heute Abend nicht abschließen. Und das war alles. Und dann sind sie einfach reingekommen beim FBI. Und das ist einfach wunderschön. Und es war trug bei zum Ende der Karriere von J. Edgar Hoover. Und ein anderes ist auch, wie man zu einer Oscar-Party reinkommt. Und man verkleidet sich einfach als Koch. Und dann kommt man einfach rein. Und es gibt auch Verteidigungsstrategien, die man wissen sollte. Und hier gibt es eine große Liste auf den Slides. Da kann man einfach nachgucken online. Und es gibt eine sehr gute Übersicht. Und es ist wichtig, dass man versteht, was hier passiert. Medienkompetenz und die Filterbubble. Und Werbung und Lange Effekte, die lange anhalten. Und das ist im Wesentlichen das, was euch beeinflusst. Und man muss erst wissen, was es da gibt. Und man muss die andere Seite kennen, damit man sich verteidigen kann. Es gibt hier diese sechs wichtigen Regeln, wie man das machen kann. Das Erste ist einfach die Erwiderung. Und dass man einfach ein soziales Verhalten, dass jemand lacht. Und dass man dann mitlacht, niemand lacht. Und dann gibt es einfach, dass man sich einbringt und Konsistenz bleibt. Und dass man etwas mag. Wenn man oft Ja sagt, dann wird die Konversation besser. Und wenn man irgendwo reinkommen will. Und wenn man sich gut anzieht oder auch schlecht. Und man muss auch den Eindruck erwecken, dass nur ganz wenig da ist von bestimmten Sachen. Und dann werden die auch beliebter. Und das ist einfach gesunde Menschenverstand zum großen Teil. Und man sieht, kann es hier in Robert Cialdini lesen. Und im Zug in Deutschland haben wir, es gibt hier Gesetze in Deutschland. Man kann seine lokalen Politiker unterstützen. Und später, heute Abend, gibt es einen Social Engineering Poetry Slam. Und wenn ihr daran interessiert seid. Und das hier ist die ganze Liste, die ihr noch mal angucken könnt. Und das war es. Vielen Dank. Es startet Gulasch-Programmiernacht. And we assume the next talk is going to be in German. So we'll be translating in English. It's about the Gulasch-Programming night. Okay, so my name is Obelix. It's going to be in German. If you don't understand it, then you can talk to me later for details. What's the Gulasch-Programming night? Who has ever heard about it? Okay, so I can leave right now. Gulasch-Programming night is happening in Karlsruhe. Every summer this year is going to be in May. And it is a bit like Congress, but also different. We also call this Congress Winter Gulasch-Programmiernacht. So how did it happen and how did it get this funny name? So about 15, 16 years ago people in Karlsruhe were in the hackerspace and thought we want to work for longer on a project this weekend. So, what do you cook if you want to have simple and tasty food, then you cook Gulasch. So we invited a few friends and we set him to the basement. And it looked like this. It was a bit creepy maybe, so you need to know that this is where you want to go. Free Gulasch here. And you can imagine this is getting more weird. So, we didn't have ways to cover the kitchen appliances. So we just took cases from computers. And how did it look 15, 16 years ago? Lots of large monitors. And a lot of people with beards. So this was the first Gulasch-Programming night. About 20, 25 people. And we cook Gulasch together. And this got more popular. So how does it look now? So it escalated a bit. So we are now one of the largest locations in Karlsruhe. It's the Zentrum für Kunst und Medien. And we have several thousand square meters. And it's basically one large room. So you see the lounge right now with the sofas and the chill area. And there's DJ's music. And a few tables. And behind, there's the first part of the Hex-Center. This is the other part of the Hex-Center. It's in an old weapon factory. It's now a museum. It's a very nice spot. And you can hack a lot there. And there's lots of colorful lighting. And you have talks. So it's basically the same thing as here. And so you say, well, I'm coming to Congress. I'm coming to the Gulasch programming night as well. It's a bit different. There's a few facts. So it's also four days. So this is similar to the Congress. There's Mathe and Chunk. And you get a very similar feeling. But the largest different is its free entry. So Gulasch programming night is financed completely through voluntary payment. So we ask people for 20 or 25 euros. You can give more, of course. But you don't have to. And the great thing is you can just come over for just one evening. Obviously it's not possible here because a Congress center like this costs a lot of money. But we, being a smaller venue, we can offer this. And that changes the concept of the Gulasch programming night. And there's a lot of museum visitors and students. So this is very different. And a lot of people maybe don't know that. People come there and think they can just sit in the corner and don't need to be bothered by being photographed. This is different with us. We allow people to take photographs because we can't prohibit them. It's just museum visitors. So we can't change that. But it's the same thing. It's a hacker space. It's talks. However, the talks are smaller. It's not 3,000, but 300 people. Of course we have Gulasch. And a lot of it. So we sold a thousand portions last year. It's organized by CCC Karlsruhe, the Entropia. And the last point, it's not in Berlin. Please don't take that too seriously. But a lot of things are concentrated around Berlin. This isn't. If you have more questions, it's 25 to 28th of May. All the infos are on the Internet. Have a lot of fun. So, jetzt geht es um Open Source Internetwahlen. In 4x3. Hallo. Ich zeige euch, wie das elektronische Wahlsystem in Genchwitz funktioniert. Wir haben das seit 2003 in der Schweiz. Und es ist bei der Regierung etabliert worden. Es ist aber nur einer der Wege, auf die man wählen kann. Man kann auch mit Papier oder Post oder ganz normal wählen. Und es ist auch limitiert, weil nur 30 Prozent der Bevölkerung ist, darf Online-Worting benutzen. Bisher war es halt ganz, ganz proprietär und geschlossen. Und jetzt haben wir halt immer, haben es mir geschafft, die Einstellung der Regierung zu ändern, so dass es jetzt, dass es jetzt offener ist und man halt einen besseren Einblick hat, wie es funktioniert. 2012 gab es so ein Audit und dann haben wir halt so eine große Packung Papier bekommen. Und damit kann man doch nicht arbeiten, hieß es denn. Und dann hat die Regierung, die sich halt heute haben, natürlich gemeint, ja, wir müssen es proprietär halten, weil damit es halt sicher ist. Ja, das, aber wir sagten ja, das funktioniert doch nicht. Und dann gab es einen Back, den wir gefahren haben, dass man halt theoretisch zweimal wählen konnte. Und dann hieß, hat die Regierung aber gemeint, ja, es ist alles unter Kontrolle, wir konnten einfach die überflüssigen Diskussion, weil es hätte halt aussortieren. Und dann war es so, ja, was habe ich gerade gemacht? Ist euch das überhaupt klar? Und dann ist sie aber vielleicht auch den manchen offiziellen Aussage langsam aufgefallen, dass sie vielleicht mal was ändern sollten und die Kultur sich ändern sollte, damit man halt, da es das Standard gibt und halt klar ist, was jetzt, was jetzt abgeht. Und dann gab es immerhin irgendwann einen richtigen Audit, aber man konnte es zum Beispiel nicht kompilieren und überhaupt. Also es war, es war nicht sehr angenehm, aber es war schon sehr viel besser als davor. Also man hat immerhin schon, war man involviert und wir waren immerhin auch in den, in den wirklichen Prozess involviert, also was jetzt, was halt, was halt so abgeht. Und wir konnten dann immerhin ein paar Vorschläge geben, die sie halt auch teilweise umgesetzt haben. Manche davon, echt, echt blöd. Also dann, dann gab es zum Beispiel, ich wollte zum Beispiel das Kabel von dem Monitor entfernt, damit man das Passwort nicht sehen konnte oder so. Aber dann konnte halt in der Zeit die Person theoretisch andere Sachen tippen. Man konnte dann nicht wissen, was sie machen. Und ja, das, die waren dann froh darüber, dass wir halt solche Vorschläge gemacht haben. Und es hat sich halt durchaus verbessert. Und dann haben sie jetzt immerhin auch mich wirklich eingeladen in 2014 als Teil der Wahlkommission. Und danach gab es, haben wir auch so Transparenz für Workshops organisiert, wo halt viel darüber geredet wurde und es auch noch mehr Verbesserungsvorschläge gab. Und ja, es war also super, dass wir dann das immerhin teilweise open sourcen konnten. Und ich habe jetzt nicht eben Report gesagt. Und was ich halt den Leuten gesagt habe, also ja, der Code, den Code kann man so open, nicht open sourcen. Und ja, es war irgendwie einfach für sie. Also, um das zu auditen und das zu veröffentlichen, musste man zweimal das Gesetz ändern. Und das war also auch nicht einfach für sie. Und es war wirklich wichtig, da auch drüber zu reden. Und 14 Dezember dieses Jahr habe ich dann eine Mail bekommen. Und dann hieß es, ja, das wird jetzt open sourced. Und es gibt schon ein paar Stars auf GitHub. Und ja, hoffentlich kann die Community jetzt daran weiterarbeiten. Vielen Dank. Der letzte Vortrag für heute ist die Robots. Hallo, ich bin Fabio Prisanti. Ich will nur ein Prototyp eines Konzepts vorstellen. Um die versteckten Informationen von Webseiten rauszufinden. In den meisten westlichen Ländern, da gibt es ein Gesetz, dass sie bestimmte Sachen online stellen müssen. Wie die Bezahlung von Managern, die Verträge mit Firmen. Und das ist getan, damit Aktivisten danach suchen können. Und damit man sehen kann, welche Koalition es da gibt. Das ist ein Projekt, mit dem ich durchgehen möchte. Und es geht darum, Informationen zu finden, die versteckt sind. Und wie man sie zurück in den Index bringt. Ich habe einen schnellen Text auf Italien gemacht. Ich bin Italiener. Da habe ich ein Text gemacht, um alles Skripte von Robots gibt, rauszufinden. Und es hat sich ergeben, dass mehr als 1000 versteckte Teile waren. Und einiges, was ich gefunden habe, war auch interessant. Was da drin war, war Transparenz-Sektionen von den Verträgen. Und die Lebensläufe von Managern und über Blick zu geben, das italienische Parlament versteckt alle Lebensläufe und alle Bezahlungen von Managern in Sizilien. Die verstecken alles, die verstecken die komplette Transparenzbereich. Das kam raus aus dem Italien-Fact-Checking. Und auf der europäischen Union-Webseite, da gibt es das Transparenz-Register für Lobbyfeine. Und die müssen sich auf dieser Webseite registrieren. Und die müssen ihre Kalender veröffentlichen. Es ist eine gute Maßnahme, um die Influenz von Lobbyisten zu messen. Und es ist auch versteckt. Wir haben rausgefunden, wenn man für einen bestimmten Manager sucht und herausfinden möchte und Google alle Treffen, die sie in der Europäischen Union hatten. Man kann das nicht, weil es nicht im Index drin ist. Aber was können wir als Hacker-Community dagegen machen? Und ich habe einen Code geschrieben. Und ich habe einen Proxy geschrieben, der mit dieser Webseite ist das alles zugänglich und zugänglich durch Google. Und es aussaat, ob es funktioniert. Jetzt sind alle von diesen Webseiten wieder redendexiert. Das ist nur ein Prototyp, aber das ist dann der Prototyp von diesen regierungsversteckenden Webseiten. Das sind einfach Webseiten, die versteckt sind. Und die sollten in den Suchmaschinen verfügbar sein. Dieser Talk-Waub, um euch alle zu interessieren und lass uns eine Kommunikation draußen haben. Und dann ein Python-Hack, das ich am Sonntag gemacht habe. Und eine Stabilisierung der Robots-Service. Und ein zusätzlich interessanter Punkt ist, wenn die Suchmaschine sucht, wir können alle diese Informationen, die versteckt sind, und wir können ein Portal aufmachen, das für alle diese Informationen sucht. Und dass diese versteckten Webseiten auflistet.