 Guten Tag. Ich glaube, jeder hier sollte jetzt wissen, wie das Ganze funktioniert. Für die ersten vier Minuten der Rede jeweils wird der Redner ein grünes Signal zeigen in dieser grünen steigenden LED-Leiste. Und dann, wenn die vier Minuten fast vorbei sind, dann hat man 30 Sekunden gelbes Licht und dann die letzten 30 Sekunden sind rotes Licht. Und wenn es so hoch ist, dann brauchen wir eure Hilfe, dann müsst ihr alle einen großen Countdown, 5, 4, 3, 2, 1. So, und dann gibt es Applaus so oder so, egal ob der Talk vorbei ist oder nicht. Ich glaube, das geht aber noch besser. Lass uns das mal nochmal versuchen. Wollen wir es noch mal versuchen? Ich weiß nicht. Nein. Nein, es war okay so. Also, ich habe es eigentlich immer in den Folien drin. Gut, sollte so funktionieren. Okay, wir haben auch Übersetzungen zur Verfügung. Sehr wichtig, da manche der Talks Deutsch sind und dann auf Englisch übersetzt werden. Und für die englischen Talks gibt es eine deutsche Übersetzung. Außerdem gibt es französische Übersetzungen von Englisch und von Deutsch. Also, guckt einfach auf streaming.c3lingo.org nach, um die übersetzten Streams zu bekommen. Okay, los geht's. Zuerst kommt The Trust und Certificate Pinning anpinnten für uns alle anderen, für uns normale Menschen, sozusagen, wo das Vertrauen aufhört. Hallo, guten Morgen alles zusammen. Ich bin Horikus. Ich habe eine Frage an euch, Problem und eine Antwort. Wie so vertraue ich den Web heutzutage? Und das ist manchmal nicht so richtig gut. Die einfache Antwort ist normalerweise, weil wenn wir auf ad hat, die PS-Verschlüsselte Webseiten geht, sind sie verschlüsselt und ihr vertraut Certificate-Autoritäten, dass sie das nur verteilen als Certificate an die Besitzende der Domains und nicht an alle anderen, die man in der Mitte ertext machen wollen. Und dann vertrauen wir vor allen Dingen. Das Problem da ist, wen traust du denn eigentlich, wenn ihr den Zertifikatmanager anguckt, in Firefox sind da mehr als 100 Route-Zertifikates, die benutzt werden können und Zertifikate zu unterzeichnen. Ihr vertraut also sehr viel verschiedenen Entitäten, zum Beispiel im Hongkong Post Office. Es ist schon ein Running-Gag, dachte ich immer, dass du dem Hongkonger Postdienst vertrauen musst. Aber es ist wirklich da drin, in dem Eintrag des Hongkong Post Office. Den muss ich also immer vertrauen. Und meistens reicht mir das für andere Sachen nicht. Ich möchte nicht 100 Route-Zertifikates trauen für meine eigenen Webseiten, für meinen Banking. Was ich vor ein paar Jahren hatte, war ein Firefox-Add-On, das Certificate-Pinning machen kann. Du kannst das Certificate anheften, das du gesehen hast. Dann wird nur das dem vertraut. Und wenn es plötzlich ein neues Zertifikat gibt, dann kriegst du eine Information, dass es ein neues gibt. Und dann kannst du dich entscheiden, ob die Veränderung okay ist für dich oder nicht. Leider hat diese API von ein paar Jahren entfernt. Das Zertifikat konnten wir nicht mehr inspekten. Also ist das Add-On weggegangen. Da gab es vor ein paar Jahren gar nichts. Bis September 2018, dann haben sie neue API hinzugefügt. Und man Zertifikate inspekten kann, bevor die Webseite geladen ist. Cool, dann dachte ich, das schreibe ich dann Add-On für, um das Zertifikat anzugucken und anzuheften. Und wenn es ein neues gibt, wird das geblockt. Und Leute können es dann erst mal inspekten. Also beobachten, anschauen. So sieht die API aus, so sieht das Add-On aus, wenigstens installiert. Zum Beispiel über den Mozilla Firefox Store. Dann kriegt ihr ein neues Icon in der Taskbar des Browsers. Und wenn ihr auf eine Webseite geht, die ihr anheften wollt, weil ihr den 100-Zertifikett nicht vertraut, dann kriegt ihr so eine kleine Bohne, dass die Seite geschützt ist. Und auf jeder Seite macht das Add-On derselbe. Wenn das Add-On irgendwie neu ist und anders ist, dann kriegst du ein Alert. Das ist ein, ob die Veränderung okay ist. Zum Beispiel, weil ihr eigenes Zertifikat verändert habt. Oder die Banking-Website hat in der Zertifikatskette eine Erinnerung gemacht. Und ihr sagt, das ist okay. Oder es riecht nach Fisch. Das ist fast faul. Und das könnt ihr mit all euren Passwörtern und privaten Informationen zuvorkommen, bevor die an die Seite geschickt werden. Wenn ihr euch das angucken wollt, dann ist hier ein Barcode. Oder ihr guckt oft einfach die URLs unten an. Das ist Add-On. Und da ist das Sourcecode. Vielen Dank. Sourcecode, vielen Dank. Danke dir. Als nächstes geht es um Distri. Hallo, guten Morgen. Mein Name ist Michael Michael. Und ich denke, dass die Distribution zu langsam sind. Also habe ich mal die Zeiten gemessen, die man braucht, um ein kleines Passgrip zu installieren auf verschiedene Linux-Distributionen, sowohl für kleine als auch große Pakete. Und es ist wirklich nicht akzeptabel, dass man einen Tag für Dora bis zu 25 Sekunden warten muss, um ein paar Kilobytes Programmcode zu installieren. Also warum sind diese Paketmanager so langsam? Also die meisten Paketformate sind tatsächlich Archive. Also in Debian zum Beispiel, in Red Hat sind es zum Beispiel CPIOs. Und traditionell machen Paketmanager in Talinox, dass sie diese Metadaten runterladen, dann werden die Dependencies aufgelöst, dann werden die Paketarchive runtergeladen, dann müssen die extrahiert werden. Und dann muss die Software, die gerade extrahiert wurde, noch konfiguriert werden. Noch dazu müssen die Paketmanager mit F-Sync, diese IO-Operationen dann nochmal synchronisieren und sicher machen, um sicherzustellen, dass wenn der Laptop zum Beispiel stirbt, während der Operation, dass der Computer noch funktioniert, wenn man ihn dann wieder startet. In den meisten Paketmanagen haben wir diese ganzen Stufen resolved und in vielen einfachen Sachen müssen wir diese Sachen nur viel simpler machen. Wir müssen nichts konfigurieren. Wir müssen nichts einspacken. Wir können eigentlich nur runterladen und extrahieren und an die richtigen Orte platzieren. Und wenn wir das simplifizieren, dann kann man mit bis zu 12, mehr als 12 Gigabyte pro Sekunde auf dem 100 Gigabit Link die Dinge runterladen und extrahieren. Wenn wir das mit manchen anderen Sachen vergleichen, dann ist das ein sehr großer Kontrast. Also, wie machen wir das? Wir benutzen ein Append-Only-Pocket-Straw, also nur angefügten mit bestimmten Archiven. Wir benutzen nicht ein Archivformat, sondern ein Image. Und diese Image laden wir dann in einem bestimmten Pfad mit einer bestimmten Hierarchie. Also wenn wir jetzt zum Beispiel Engine X installieren wollen, dann hätte man einen Pfad nur lesen und dann den Paketnamen inklusive Paketen uman. Also genauso zsh und alle anderen Pakete. Aber der Rest des Systems ist normal gemacht mit slashetc und slashvar und so weiter und so fort. Also mit diesen separaten Hierarchien kann man sich jetzt fragen, also wenn man jetzt diese ganzen Programme separat voneinander installiert hat, wie können sie dann noch miteinander reden? Weil Programme benutzen ja schon gemeinsame Directories, wie zum Beispiel die Man-Page. Das Man-Programm wird an einen Ort gucken, den beide Programme kennen. Und wenn der Cekompiler Libraries sucht, dann sucht er in User Include. Und in Distry müssen wir diese Pfade emulieren. Das machen wir mit SimLinks, die in den offiziellen bekannten Ordner linken. Die Vorteile von diesen separaten Hierarchien sind, dass alle Pakete immer cool installierbar sind. Also wenn man von Zshell 2.5.6 eine neue Version installiert ist und dadurch deine Konfiguration Datei kaputt geht, kann man immer die alte oder die neue entfernen, ohne das System zu beschädigen. Aber viel wichtiger ist, dass der Paketmanager dadurch komplett Versionsagnostisch sein kann. Das heißt, man muss nicht die ganze Zeit globale Metadaten runterladen und jede Menge Dependencies auflösen und dadurch viel Langsamkeit in den Prozess holen, sondern das verschwindet dadurch. Außerdem, wir haben keine Hooks oder Trigger im System in Distry. Also das sind diese Skripte, die an Pakete angehackt sind, nachdem man sie installiert, zum Beispiel. Ein Trigger ist das Gleiche, außer dass es ein komplettes Programm ist, das ausgeführt wird, nachdem auch noch ein anderes Paket installiert wurde. Zum Beispiel, man baut seine komplette Datenbank neu, wenn irgendeine andere Paket installiert wird. Also fast jedes Mal, wenn man etwas installiert. Und ich persönlich benutze das kaum und viele von euch wussten vielleicht gar nicht, dass es existiert. Also die Arbeit, die zur Paketinstallation gemacht wird, ist für die meiste Zeit komplett unnötig. Viel wichtiger ist auch noch, dass wenn man die Hooks hat, dann verhindert das, dass man Pakete parallel installieren kann, weil das ist so einfach nicht gedacht. Und man kann ja auch vorher nicht wissen, sicherheitsmäßig, was in diesen Skripten überhaupt passiert. Die Idee ist, dass wer ein komplettes Linux-System bauen kann, das keine Hooks oder Trigger hat. Und der Ansatz, den wir dafür benutzen, hat zwei Seiten. Das erste ist, dass Pakete einfach sagen, was sie brauchen. Und das klar deklarieren wird zum Beispiel, wenn Engix sagt zum Beispiel, ich brauche einen bestimmten neuen Systemnutzer, damit ich dieses Programm als dieser Nutzer ausführen kann. Und wenn es, und dazu macht es Sinn, nicht unbedingt Sinn, das semantisch zu deklarieren, was dieses System braucht, aber das kann man dann ja zur Ausführzeit machen. Also SSH-Kisserver kann man einfach machen, dass man ein Rapper-Skript um dieses Programm rumbaut, was macht, dass bei der ersten Ausführung diese Dinge ausgeführt werden. Also am Ende kann man sagen, dass ein Append-Only-Paketlager besser ist und immutable. Es ist sicherer und schneller. Und mit diesen Exchange-Directories, mit diesen Sim-Links, die wir benutzen für die Kompatibilität, ist, dass es alles normal aussieht. Und wir können immer noch auch Close-Source-Software benutzen. Es ist alles praktisch. Und mit Live-CDs gibt es auch diese Read-Only-Umgebung, mit denen die meisten Software mittlerweile klarkommen. Es geht hier nicht darum, jetzt eine Nutzerschaft aufzubauen. Es geht mehr darum, Aufmerksamkeit darauf zu leiten, dass mein Paketmanager wesentlich schneller machen kann. Also vielen Dank und guckt euch mal Distri.org an. Vielen Dank. Next up is Hacking Neural Networks. Als nächstes Hacking-Neural-Netzwerke. Ein kurzer Einfalt. Hallo, ich bin auch Michael. Ich arbeite in einem kleinen Open-Source-Kurs, über das Thema, wie man Neural-Netzwerke hacken kann. Wieso sollten wir uns darum kümmern? Es gibt viel Deep Learning in Bluteam-Anwendung. Es gibt z.B. Antivierend Sachen, Einfall-Vektor, Detektivekoren. Und sie müssen ihre eigenen Sachen bauen, wie Automatisys, Penetration-Testing, Fishing, Sachen. Und diese ganzen fragwürdigen Sachen. Vielleicht ein gutes Tagessort, wie z.B. Überwachung und Verbrechensbekämpfung. Hier was Neural-Netzwerke tun. Das ist ein typisches Neural-Netzwerk. Was auf der linken Seite, da wird ein bisschen gerechnet. Dann kann man auf der rechten Seite sagen, es ist ein Hund oder eine Katze. Hier kommt eine einfache mathematische Funktion darauf auf jedes Neuron. Diese Funktion besteht aus Gewichten, die über den Inputs multipliziert werden und zu einem Biasing zugefügt werden. Das wird in einer Aktivierungsfunktion geführt. Hier ist es die Relo-Aktivierungsfunktion. Hier z.B. nehmen wir ein Zugangskontrollsystem, in einem Iris-Scanner. Der wird eine Iris genommen auf der linken Seite, wird berechnet, was wir gesehen wurden. Und am Ende wird dann gesagt, ob man reinkommt oder nicht. Je nachdem, was das Output-Wert ist. Dieser Output-Neuron macht genau das gleich wie alle anderen auch. Und wir machen das mit Relo. Die Frage ist, wie können wir das modifizieren, sodass wir immer Access Granted kriegen, um in ein neurales Netzwerk reinzukommen? Es ist ganz einfach. Wir können alle Gewichten mit 0 ergänzen, das BIOS auf 1 setzen. Und dann kriegen wir mit jeder Iris, wie wir das neue neuralen Netzwerk geben, immer ein Access Granted, ein Zugang gegeben. Ein neurales Netzwerk ist meistens ein Modellmodel-File drin. Das können wir editieren. Es ist realistisch, ja, es ist sehr. Weil die meisten Bloot-Teams nicht wissen, wie man diese Modellfalls sichert. Das braucht man kein Code für. Die haben wahrscheinlich keine Database zu sein. Es ist kein Config-File. Gigabytes groß. Und das Entwickler-Team braucht ständig Zugang dazu. Und das kann man nicht so richtig sichern. Und wir finden es oft leicht zugänglich. Natürlich gibt es auch andere Methoden, die man benutzen kann. Das zweite ist, was man machen kann. Ein GPU-Buffer-Overflow für Bilder, Verarbeitung. Können wir das der Vorverarbeitung, der ist oft auch auf der GPU, wo das neue neuralen Netzwerk kalkuliert. Es gibt also oft ein GPU-Speicher-Layout, wie es hier gezeigt wird. Und wenn wir einfach keine Bounce-Checks auf dem Bild haben, dann können wir den Waffe einfach überschreiben und das ganze Modell-File überschreiben. Alles auf 0 überschreiben und nur den letzten Weiß auf 1. Ist das realistisch? Können wir das tatsächlich machen? Ja, kann man. Wenn ihr ein bisschen Details zu haben wollt, dann folgt ihr einfach diesem Link, wo ich den ganzen Artikel hab, mit mehr als 10 Methoden. Die könnt ihr alle ausprobieren mit verschiedenen Übungen, wie z.B. Backdoors, Hittertüren und neuralen Netzwerke einzubauen. Und diese ganzen Zeug, die ich euch nicht gezeigt habe. Vielen Dank. Okay, als nächstes gibt es Cross-Site-Resource-Fordery-Site-Channels. Hallo, guten Morgen. Es geht hier jetzt nicht unbedingt irgendwas ganz Neues, Tolles, einen tollen neuen Back-Sense zu zeigen, sondern eher einen alten Langweiligen. Macht euch nicht große Hoffnung. Ich wollte nur ein bisschen Feedback kriegen darüber, wie man damit umgeht. Die meisten von euch wissen vielleicht, was Cross-Site-Resource-Fordery ist. Die Idee ist, dass wenn sich jemand in eine Webseite einloggt, in eine Sitzung und eine andere Webseite versucht, dabei ihnen dazu zu bringen, einen bestimmten Button zu klicken, der dann einen Post-Request an einen anderen Server schickt, wodurch dann was ausgeführt wird, was der nutzt, dann nicht will. Meistens schützt man sich dagegen um Cross-Site-Request-Fordery-Tokens austeilt und die ganzen Standard-Frameworks, wie Engelauer und Lahavel, senden sowas mit Delete- oder Post-Requests. Aber der RFC selbst definiert sie tatsächlich nicht für Get-Requests. Dadurch öffnet sich ein Side-Channel. Wenn man nämlich den Netzwerk Traffic Monitoring kann, dann kann man sehen, welche Ressourcen ein Nutzer überhaupt zugreifen kann. Und da sieht man dann auch, ob der Nutzer eine große Antwort kriegt oder eine kleine. Und so erlaubt uns das, dass wir dann die Nutzungsberechtigung von verschiedenen Nutzern, z.B. auf einem gleichen WLAN oder sowas, sehen können. Das sind jetzt nicht super-classified Informationen, aber es ist schon ein kleiner Side-Channel. Und ich habe mit den Engelerleuten geredet. Die haben gesagt, das ist nicht wirklich ihr Problem und nicht wirklich ein Problem ihrer Meinung nach. Und jetzt ist die Frage, wie arbeiten wir damit als Community? Also, kann man sowas einfach ignorieren oder sollte man third-party-Patches auf den eigenen Source-Code anwenden oder gibt es andere Wege, wie man das handhaben kann? In diesem Spezialfall gibt es ja verschiedene Möglichkeiten, was man machen kann. Aber woran ich interessiert bin, was ich von euch hören möchte, ist, wie man das politisch richtig macht. Für die fortgeschrittene Probleme kann man meistens den Hersteller ja dazu bringen, die Dinge zu reparieren. Aber in diesem Fall scheint das nicht so richtig der Fall zu sein. Also, bitte, gib mir Feedback darüber, was ihr denkt. Vielen Dank. Es kommt Emissions-API, Einfacherzugang, zusätzlich ein basierter Emissionsausstoß, Daten für alle. Guten Morgen. Guten Morgen. Ich bin Lars. Ich will über ein Open Source Projekt reden, wo ich mitmache. Emissions-API, da geht es darum, Emissionsdaten von Satelliten einfacher zugänglich zu machen, Daten oder binary Blobs dazu zu kriegen, von der ESA zum Beispiel. Und das funktioniert nicht. Ah, jetzt klappt es. Wir reden über das Hündchen hier. Das ist Central 5P, Satellit von der Europäischen Reutraumagentur. Es ist im Orbit um die Erde und scannt verschiedene Emissionen, zum Beispiel Kohlstoff Monoxid, Schwefel, Dioxid, sowas. Und all diese Daten sind offen. Aber da ist ein Problem mit offenen Daten so oft. Open Data heißt nicht, dass es einfach ist, diese Daten zugänglich zu machen. Es ist alles so vorverarbeitet, was nett ist. Aber ihr kriegt auch sehr große, binäre Blobs. Zum Beispiel, wenn ihr Daten aus Live-Sicht haben wollt, kriegt ihr auch Daten aus Stand-Arktis, was du vielleicht nicht wirklich willst. Das brauchst du eigentlich nicht, noch wenigerweise. Das andere Problem ist, wie man diese großen Blobs herkriegt, das könnt ihr nicht leicht prozessen, jedenfalls nicht als Web-Application oder so. Das ist ein einfacher Scan, das ist ein Flug von dem Gerät. Das, was ihr in einem Datal kriegt, die ihr runterladet, kriegt also die ganze Welt. Ihr könnt nichts für einen eigenen einzelnen Ort kriegen. Der eigentliche Scan sieht schon anders aus. Zum Beispiel so, hier geht es über Deutschland. Es ist sehr nett, wenn man Teile davon kriegen könnte. Das versuchen wir als Projekt. Und die Architektur ansehen, warum wir das so einfach wie möglich machen. Also einfach eine Rest-API, wie du sagst, ich möchte Daten aus diesem Punkt, von dieser Geo-Location, GPS-Location. Und aus diesem Bereich kriegst du Jason zurück oder Geo-Jayson oder was auch immer, irgendwas statistische Informationen, die du dann benutzen kannst in jeder Web-Application, in der du das benutzen willst. Wir haben ein paar Beispiele schon gebaut. Wenn ihr auf emissions-epi.org geht, seht ihr euch zwischen dieses Beispiel. Das ist Coolstaff Monoxid-Emission von Deutschland über ein Monat. Und ein kleiner Guide, wie man das baut. Wer cooler, wenn es denn so was ist, ist es mit WebGL, 3D-Representation von Coolstaff Monoxid auf Deutschland. Da sind wir noch ein bisschen begrenzt auf Cool Monoxid, als wir dieses Ding erst vor drei Monaten gestartet haben. Wir wollen es in ungefähr drei Monaten fertig haben. Also hoffe ich, dass wir da ein bisschen schneller arbeiten können und mehr Zeit abdecken können. Aber es gibt schon eine API, mit der ihr reden können, ein paar Beispiele. Wenn es euch interessiert, dann geht auf emissions.epi.org, minus epi.org. Trefft mich und andere Entwickler hier auf dem Kongress und redet mit uns über diese Sache. Thank you. Vielen Dank. Weiter geht es mit eXWM, dem eMaxXF Window Manager. Okay, guten Tag. Also, ich bin Alice. Ich bin schon lange ein Linux- und Open-Source-User. Ich habe eMaxX schon sehr viel benutzt und mache außerdem Amatuerfunk. Ich bin hier, um über eXWM zu reden und was es überhaupt ist. Meine Erfahrung mit eXWM und die Zukunft von eXWM. Als erstes mal eXWM ist einfach nur eMaxX. Dass aber im Vollbild läuft, der deine grafischen Fenster verwaltet. Das ist alles. Und das hat Vorteile und auch Nachteile. Also, sowohl Gutes als auch Schlechtes. Also, meine Erfahrung mit eXWM ist, dass es eigentlich sehr nicht so interessant und langweilig war. Und ich zeige euch jetzt mal ein Screenshot. Das ist, wie eXWM aussieht, wenn man es frisch startet. Da ist mein Theme von eMaxX gerade drauf und es ist einfach nur eMaxX. Ohne Fensterdekorationen oder Ränder, einfach nur im Vollbild. Aber mit vielen Jahren von eMaxX bin ich mittlerweile an die Tastenkombinationen sehr gewöhnt. Und wie man das alles verwaltet und hat mich daran gewöhnt. Und deswegen wird es interessant, wenn man das als grafischen Fenstermanager benutzt. Hier sieht man jetzt, wie es zwei Fenster offen hat. Das heißt, dass man all die Tastaturkombinationen, die man in eMaxX benutzen kann, zur Verwaltung der grafischen Fenster benutzt werden kann. Das heißt, wir benutzen die gleichen Tastaturkombinationen für sowohl die grafischen als auch die Projekte oder Code, die man verwaltet mit eMaxX. Wie zum Beispiel das normale Bearbeiten von Dateien oder einen Terminal zu operieren. So, insgesamt ist das Ganze eine ganz gute Erfahrung. Die meisten Dinge funktionieren. Es ist nicht der beste Fenstermanager, der jemals benutzt wurde. Es hat definitiv seine Fehler. Viele davon. Aber alles funktioniert im Allgemeinen. So, gucken wir jetzt mal in die Zukunft von eXWM. Es gibt keine... Die Zukunft des Linux-Desktops ist wahrscheinlich Wayland, wie die meisten von uns wahrscheinlich denken. Aber da sind wir im Moment ja noch nicht. Und eXWM hat seine eigenen Probleme in der Zukunft. Eines der Probleme ist, dass eMaxX im Moment unter Wayland nicht so richtig funktioniert. Es gibt da einen Patch. Wahrscheinlich kommen wir da irgendwann hin. Aber dann gibt es das große andere Problem, dass Wayland fordert, dass man einen Kompositor braucht, einen zusätzlichen. Und das dann in eMaxList zu programmieren, ist wahrscheinlich schwierig. Das Ganze überhaupt in Wayland an das Sachen zu kriegen, wird wahrscheinlich schon ein guter Start sein, erst mal. Das Jahr des Linux-Desktops wird vielleicht nicht dieses Jahr sein, wird vielleicht auch nicht in der näheren Zukunft passieren. Aber wenigstens gibt es viele Leute, die da Handel drüber sind. Aber 2019 war für mich der Jahr des eMaxDesktops als Windowmanager. Zur Zusammenfassung, eXWM ist ein komplett okayer Windowmanager für langen Jahres eMaxUser. Es kann mit anderen Dingen kompatibel sein. Das meiste funktioniert gut genug für einzelne Nutzer. Für mich. Deswegen muss ich noch nicht wechseln. Aber die Zukunft sieht nicht gut aus. Ihr könnt mich erreichen unter diesen Infos und später, wenn ihr wollt. Vielen Dank. Das nächste Talk ist den installiert Dollar Produkt jetzt. Nice hat. Guten Morgen. Ich bin einer der Entwickler von VLC. Ich bin einfach irgendein Sicherheitstyp. Wo ich reden will, ist, morgens wachst du manchmal auf und dann hast du 1000 Mails mit Fragen und fragst, was brennt. Weil alle sagen, dass sie dein Projekt installieren sollen. Du weißt nicht, warum. Vielleicht hast du es um Juli gesehen. Das war CVI. Das war sehr kritisch. In die E-Mail. Das war von Zert geschickt als Quelle von einem Tracking-Systemeintrag. Wir hatten natürlich kein Embargo, aber es war eine sehr öffentliche Ressource. Wir wurden natürlich nicht kontaktiert und dann wurde es auch nicht verifiziert. Worum ging es denn? Wenn dein Ticketing und dein Sicherheitsforscher den falschen Komitee reden, könnte das VL sein am Anfang schon. Und als wir den gefragt haben, dass das vielleicht mal im Release wird, dann wurde rausgefunden, dass es uns nicht... Wenn jemand so was veröffentlicht, uns aber keine Details gibt und weil niemand das wirklich reproduzieren konnte, haben wir da auch irgendwann nicht mehr darauf geantwortet. Warum war es jetzt nicht reproduzierbar? Seine Konfiguration war ein bisschen komplizierter. Er war auf Ubuntu, er hat eine ungefähigste LibEBML benutzt und eine veraltete, die verwundbar war und hat nicht unsere Bildinstruktionen befolgt, weil er nicht unsere Bibliothekenlibrerie benutzt hat. Und da haben wir unsere eigenen Patches für unsichere Betriebssysteme, was hauptsächlich Windows ist. Und diese superkritische Sicherheitsmeldung war kompletter Blödsinn und war schon lange repariert. Und deswegen gab es da nicht so viel dazu zu erzählen. Es war nicht geportet und wurde nicht weiterbeachtet. Aber der Effekt war, dass ganz viele Webartikel, wie zum Beispiel Gysmodus, haben empfohlen, nicht nachgecheckt, nicht geprüft. Und dieser Artikel hat sich super schnell verbreitet auf Social Media und sehr viele Klicks gekriegt. Die Konsequenz ist, dass unser gesamtes Team sehr viel kämpfen musste für zwei Tage, dieses Feuer zu löschen und die Social Media und die Firmen darum zu bitten, uns da etwas mehr Informationen zu geben und das zu klären. Wir hatten auch Leute, die uns gesagt haben, dass wir Dinge verborgen haben, weil Leute gesagt haben, dass wir Sicherheitsprobleme verbergen. Es gab so gut wie keine Aktualisierung von Artikeln. Es gab keine Entschuldigung. Es gab kaum einen Reporter, der gesagt hat, sorry, es kann passieren, aber wir haben das sehr behoben und wir haben mittlerweile auch einen freiwilligen Entwickler verloren. Aber wir haben eine neue Sache gelernt, wir haben Complaints bekommen, dass VLC geblockt wurde. Es gab manche Antivirus-Software, die CVE, also Sicherheitsmeldungsbasierte, Filter haben und deswegen VLC blockiert wurde. Deswegen mussten wir eine komplett neue Version von VLC rausbringen und dann hatten wir dadurch noch einen DOS-Effekt. Das muss jetzt also geändert werden. Was wir jetzt machen, ist, dass wir keine öffentlichen Sicherheitstickets mehr machen. Sicherheitsmeldungen müssen jetzt direkt reported werden und wir machen jetzt unser eigenes CNA. So möchten wir das in der Zukunft verhindern. Vielen Dank. Weiter geht es mit die man Quantum Computing mit Schulkindern macht. Okay, guten Morgen. Mein Name ist René, ich bin ein Lehrer und ich bin hier, um über Quantum Computing mit Schulkindern zu reden, insbesondere ein Projekt, das drei von meinen Schülern gemacht haben dieses Jahr. Lassen's mal mit der Fragestellung starten. Wenn der Clicker mal funktioniert, dann sollte vielleicht auch die nächste Folie kommen. Das ist vielleicht gerade ein schlechter Zeitpunkt, für die Batterie zu sterben. Die Zeit läuft. Okay, ich rede einfach weiter. Lassen's mit der Fragestellung starten. Wer von euch hat schon mal mit einem echten Quantum Computer gearbeitet? Kann ich mal ein paar Hände sehen? Okay, das sind nicht so viele, wie ich erwartet habe. Vielleicht ist es, weil ihr Angst vor der Mathematik habt. Hier sind ein paar Firmen, die im Moment Zugriff zu Quantum Computern zur Verfügung stellen, z.B. D-Wave mit einem Quantum Eniler. Aber vielleicht habt ihr mit solchen Maschinen noch nicht gearbeitet, weil ihr Angst vor der Quantenphysik habt, weil es was ja hinter Quantum Computern steckt oder hinter der Mathematik mit komplexen Zahlen und mit zeitabhängigen Schrödergleichungen zu arbeiten. Oder weil ihr Angst vor superintelligenten Nerds habt und noch nicht die Crazy T-Shirts dafür habt. Also, das alles ist Fake News. Es ist nicht so kompliziert. Alles, was ihr machen müsst, ist eine Kostenfunktion für ein gegebenes Problem, weil Quantum Eniler lösen Optimisierungsprobleme, wie das Traveling Salesman-Problem oder ein Scheduling-Problem. Wenn ihr so eine Kostenfunktion habt, die das Problem evaluiert, dann kann man daraus eine Matrix erstellen, die in den D-Wave Quantum Eniler rein schieben. Und diese Funktion wird verschiedene Lösungen, aus denen man dann die mit den geringsten Kosten extrahieren kann. Also das konkrete Problem z.B., an dem meine Schüler gearbeitet haben, ist ein Problem. Also man hat hier N-Königinnen, die man auf einem N mal N Schachbord platziert, sodass keine Königin sich gegenseitig treffen kann nach Schachregeln. Auf jeder Reihe darf nur eine Königin sein und das kann man in eine Kostenfunktion umformen. Also jedes Schachfeld wird repräsentiert von einem Qbit, das also entweder 1 ist, wenn es eine Königin ist oder 0, wenn das Feld leer ist. Dann kann man die Kostenfunktion erstellen und in der kann man diese 4 Qbits aktivieren und dann 1 abziehen und daraus und das quadriert man. Dann bekommt man die niedrigsten Kosten 0, wenn genau eine Queen in der ersten Reihe ist. Genauso kann man Kostenfunktionen bauen für die diagonalen und die vertikalen. Und wenn man das, alle diese Probleme in der Kostenfunktion zusammenfasst, dann kann man das als eine Matrixgleichung schreiben, so wie diese hier, wo Q dann die aktuelle Konfiguration auf dem Schachbrett ist und diese Qbits und H ist die Matrix des Problems, dass man aus der Kostenfunktion bekommt. Und das füttern wir jetzt dem D-Wave-System mit einem kleinen Patternscript wie diesem hier und die Maschine gibt uns zurück verschiedene Lösungen und wir müssen dann nur noch die wählen mit den niedrigen Kosten und schon haben wir das Problem gelöst. Kein großes Problem, keine Schrödingerskatze irgendwo drin. Sogar Schüler können das machen und wenn sie smart genug sind und meine Schüler waren das und wenn ihr mehr über das Projekt haben wissen wollt, meine Schüler werden um 11 in Halle 2 auf der Chaos Zone Bühne sein und einen Talk dort geben in mehr Details und wir haben außerdem meine Webseite, die ihr besuchen könnt, wo ihr das Projekt und die Dokumentation angucken könnt. Es war ein Jugendforschprojekt und meine Schüler haben außerdem heute einen Talk in der internationalen Supercomputing-Konferenz gegeben und dieser Talk wurde auch aufgenommen und ihr könnt ihn auch unter diesem Link finden. Hoffentlich sehen wir uns heute Abend. Vielen Dank. Als Nächstes geht es um Opencast. Hi, ich bin Lars. Erinnere ich euch vielleicht. Ich bin nicht nur mit Emissions-API unterwegs, sondern arbeite auch am Opencast. Software für Videoaufnahme und Verteilung und der Hauptfokus auf der akademischen Welt, z.B. Unis, Uni-Aufnahmen, Lesungen und so weiter. Und das große Ding hinter Umcast ist, hier haben wir Leute die Sachen aufnehmen. In einer Uni könnte man das nicht in einem großen Maßstab, in einer normalen Vorlesung und ihr könnt nicht erwarten, dass alle Lecturers, alle Dozenten verstehen, wie das funktioniert. Das sind so viele. Wären da bestimmt interessant, aber bei den meisten klappt es nicht und die meisten haben auch kein Interesse an dieser Technologie, das automatisiert zu haben und es einten einfach eine Aufnahme in den Kalender zu tun für eine Vorlesung an einem normalen Kurs. Hilfreich, das funktioniert dann automatisch, das wird dann durch die Prozessor-Reakt zu transkodiert, vielleicht auch durch eine Medienanalyse. Umcast unterstützt Slite-Detection, von Slites Auslesen später oder Sprache zu Text. Das kann man als Funk figurieren, kann man, muss man nicht, je nachdem was du willst. Vielleicht, wenn du deine Sachen so schnell wie möglich rauspushen willst oder so viele Analyse, Analyse haben wie willst du willst. Wenn du das testen willst, dann geht auf developer.opencast.org. Das ist der Test-Server, der wird täglich resetted. Das ist die neueste Erwickler-Version auf, das funktioniert meistens sehr gut. Es ist auch meistens online, sehr stabil, wenn ihr es schafft, das kaputt zu machen, dann sagt es mir einfach, dann kann ich es resetten. Aber normalerweise funktioniert es, ein bisschen über Sourceprojekte zu reden, das heißt auch, das Interessant ist, über die Community hinter diesem Projekt zu reden. Es ist ziemlich alt jetzt, so zehn Jahre oder so, wird auf Universitäten weltweit genutzt. In Deutschland ist es eigentlich eine der meist benutzen Aufnahme-Lösungen für Vorlesungen draußen. Es gibt ein paar kommerzielle Gegner, aber besonders in Deutschland sind wir besser als die kommerziellen Gegner. Weltweit ist es nicht so, dass hier in Deutschland, wenn wir ein bisschen mehr auf die Community gucken, das ist die Package Repository-Maintener, die könnt ihr registrieren und das sind die Registrierungen für diesen Repository. Sieht sehr nice aus, wird weltweit benutzt. Heißt nicht unbedingt, dass die ganzen Leute, die sich da registriert haben, erst auch benutzen, aber es heißt auch nicht, dass du dich registrieren musst, um es zu benutzen. Also Park-Kräfte benutzt bestimmt nicht OpenCast, andere werden es benutzen, sind aber nicht auf der Karte, aber es gibt übrigens den Eindruck davon, wo OpenCast benutzt wird. Wenn ich mir andere Events ansehe, ist ein grosser Teil der Community da. Es sind zwei Fotos in Valencia, auf der internationalen Gipfel von OpenCast und in Ilmenau, hier in Deutschland. Das ist das lokale deutsche Meeting des Projekts. Wenn du mehr darüber wissen willst über OpenCast, dann könnt ihr nicht kontaktieren, nicht reden, oder mit der größeren deutschen Community reden oder den internationalen Community, wenn ihr wollt. Und dann finde ich einfach raus, wie das ist mit dem Projekt. Also vielen Dank. Next up is Cider or Sidre by Food Hacking Base. All right, there you go. Hallo, everyone. Hallo, alle zusammen. Prüvi, nur kurz, das funktioniert. Mein Name ist Frank Tischek Appelbeck. Ich werde den Cider vorstellen. Cider ist ein Getränk, das aus Äpfeln hergestellt wird. Das wird hauptsächlich in Frankreich, England und in Nordspanien hergestellt. Historisch wissen wir, dass es etwa 2.000 Jahre alt ist. Und das ist belegt in den Regionen, die ich genannt habe. Und die Menge in Europa wird etwa... Also von den Mengen her wird es hauptsächlich in England hergestellt und getrunken, dann auch in Frankreich und dann in Spanien. Und die traditionellen Methoden der Herstellung werden hauptsächlich in Frankreich benutzt. Und nicht nur sind die Gesetze strenger, sondern die ganze Industrie hat strengere Standards. Ich weiß nicht genau warum, aber so ist es zumindest im großen Maßstab jetzt gerade. Ich möchte noch ein bisschen darüber reden, wie man Cider herstellt, wie man erntet, ob man jetzt von Hand erntet oder mechanisiert, jetzt auf dem Feld, ob man das jetzt wirklich von Hand macht, in Knien, im Korb und hinterher trage ich das dann auch von Hand zum Processor. Also in jeder Hand 13 Kilo, danach in der Tasche, dann 25 Kilo auf den Rücken und einige Kilometer transportieren. Und dann wird es ausgepresst und danach muss man etwas damit machen. Es gibt dann verschiedene Techniken, um es auszupressen, über Druck oder mit der Hand eine Presse antreiben. Und es gibt verschiedene Methoden. In Deutschland gibt es dann auch die Wasserpresse. Es gibt viele verschiedene Methoden. Und dann wartet man 2 bis 3 Stunden, dass verschiedene chemische Reaktionen stattfinden. Und nachdem das ausgepresst wurde, das Mark ausgepresst wurde, das ist ein Teil des Apfels, dann kann man auch Wasser hinzufügen, um ein zweites Auspressen durchzuführen. Und danach hat man diesen Apfelsaft. Dann möchte man es defokatieren, was wirklich übersetzt scheißen bedeutet. Und dann wird es fermentiert. Man kann hier auch mit weniger Hilfestellen arbeiten, dann geht das Ganze langsamer. Und dann wird es von mehreren Containern hin und her bewegt, um den Absatz und das Sediment unten am Boden zu reduzieren und jedes Mal abzuheben. Und dadurch werden weniger Hilfestellen jedes Mal. Wenn alles gut geht, dann hat man am Ende einen Sider, der es wert ist, abgefüllt zu werden in Flaschen. Wenn man das jetzt in November und Dezember hat, das ist die Saison für Sider, dann ist es mit etwa März, bis man soweit ist, das Ganze in Flaschen zu füllen. Vielleicht ist es dann auch nicht so gut. Man packt es dann meistens über Schwerkraft, unterstützt in Flaschen. Und dann packt man ein Korken rein, dreht das um und betet für zwei Monate, dass die Flaschen dann auch Kohlensäure enthalten. Aber nicht so viel Kohlensäure, dass sie explodieren. Und die meiste Zeit verliert man ein, zwei Flaschen auf dem Weg. Und ich bin jetzt gerade in der Normandie stationiert und da gibt es den Sider, der so drei bis sechs Prozent hat, in Frankreich meistens so vier bis fünf. Und dann hat man mehrere Sorten, die werden darüber unterschieden auf sie gereift wurden und wie stark der Alkoholgehalt ist. Jetzt hier diese Sorte, die wird mehrere Jahre in Fässern gelagert. Und dann gibt es noch, also Judeporm ist ganz frischer, Kaiwardos ist gereift. Und dann gibt es jetzt hier noch die Mischung. Außerdem kann man natürlich nochmal Konzentraten herumspielen mit der Säure und vielen anderen Dingen. Jetzt möchte man, wenn man ein Sider macht, tatsächlich die spezifische Schwerkraft oder Gravität messen. Das ist eine Methode, um zu messen, wie viel Zucker eigentlich im Saft war. Und damit kann man dann auch errechnen, wie viel Alkohol man bekommt. Man möchte natürlich den pH wissen. Man möchte bei etwa acht Grad Celsius fermentieren und man möchte natürlich auch Bakterienkontamination vermeiden. Und wenn was schief geht, dann schmeckt das natürlich nicht und man riskiert Explosionen. Wer mehr darüber wissen will, besucht bitte Food Hacking Base, der ist hier auf dem Kongress in Halle 2. Da haben wir ein Sider-Tasting, das schon komplett ausgebucht ist. Aber man kann immer noch darüber reden. Und es gibt auch viele Informationen darüber, was andere Leute in diesem Feld machen. Und ich hoffe, ich sehe euch bald. Und bitte genießt den Sider, den ihr in eurer lokalen Region habt. Vielen Dank. So, next up is Menschen beurteilen. So, wait a minute. So, this one. He's coming. So, it's actually the opposite of Menschen beurteilen. Hi. Das ist jetzt eigentlich das Gegenteil von dem, was da steht. Also, insbesondere beurteilen, es soll ein nichtwertender Vortrag sein. Und wir wollen in Richtung Heilung gehen. Deswegen fange ich jetzt an, indem ich erstmal den Plan vorstelle, wie wir Heilung auf der Erde haben können. Und ich werde jetzt auch besprechen, was im Wege steht. Also, erstmal der Plan. Wir fangen an, indem wir Werte teilen. Und Werte sind Worte erstmal. Damit sie ihre Bedeutung entfalten können, muss man das zwischen Menschen besprechen. Also, Gerechtigkeit oder Justice. Also, jetzt erstmal, wenn man gefragt wird, ob man Flüchtlinge beherbergt oder nicht. Da gibt es jetzt viele Wortharmoniken oder wie Worte interagieren können. Wir müssen erstmal noch entdecken müssen. Und da müssen wir darüber reden. Und es ist jetzt wichtig, dass wir Menschen finden, die gemeinsame Werte teilen. Und das kann man dann aufhörigalisieren. Der zweite Schritt ist, dass man dann eine Heilungsbasis findet oder entwickelt. Und das basiert eigentlich auf der eigenen Arbeit des Einzelnen. Die Menschen haben es in ihrer Geschichte Falschung gemacht. Man nimmt jetzt einen Wert wie Führerschaft oder Leitung. Und dann setzen wir das als Ziel. Und wir versuchen, dieses Ziel zu erreichen. Und wir verlieren auf dem Weg dahin, den eigentlichen Wert dahinter. Und eigentlich brauchen wir die sozialen Strukturen um die Ziele zu unterstützen. Also müssen wir da heilenden Basis anfangen. Der zweite Schritt, nachdem wir unsere Werte geteilt haben, ist, dass wir ein Netzwerk der Heilung aufbauen. Und das können wir dann mit der Welt teilen. Das große Hindernis, oder die großen Hindernisse, sind, und das ist kein richtender Vortrag. Aber ich hatte letztens einen Traum. Und da war ein sogenannter mexikens Standoff, wo quasi beide Seiten den anderen auslöschen könnten. Und es war eben so eine Situation, die die Waffen waren aufeinander gerichtet. Und sie haben sie gegriffen. Und die Waffen sind losgegangen und es kam nur Konfetti. Und man wurde gefragt, bist du ein Richter oder ein Tänzer? Und man sollte mehr tanzen. Und jetzt ist die Frage, haben wir eine gesunde Einstellung zum System und Praise oder Lob sollte ein Wert haben? Wir nennen jetzt diese Person einfach Mr. C. Und das System funktioniert für jeden von uns. Aber was ist das eigentliche Problem? Was ist das Thema? Ach, also das Problem ist Preis. Nicht Lob, sondern Preis. Und jeder rationale, handelnde Mensch muss gemäß dem Preis handeln. Und es ist eigentlich für jeden klar, was mehr Wert hat, eben über den Preis definiert. Und das Problem ist, dass wir einfach, dass jeder egoistisch handeln soll. Und wir reduzieren einfach die Werte einfach nur auf den Preis. Und das ist ein Problem, weil wir alle anderen Wertsysteme verlieren über diesen Weg. Und das führt offensichtlich zu Problemen, weil man natürlich in den Geldpreis nicht alle Externalitäten einbringen kann. Und dann werden Probleme in die Zukunft verlagert und dergleichen. Und wir müssen jetzt auch über Menschen nachdenken, die kein Heilungssystem entwickeln wollen oder werden für sich selber, die wir aber auch heilen müssen. Wir müssen das also als kulturelle Veränderung machen. Der Staat wird uns hier wahrscheinlich nicht wirklich aushelfen. Und das muss im Einzelnen aus dem Herzen kommen. Die echte Frage ist, ist Frieden sexy? Ich weiß es nicht. Aber Preis ist nicht sexy, also Geiz ist nicht geil. Also am Ende geht es darum, eine Grundlage für die Heilung zu entwickeln. Und die Hauptidee ist, dass wir unsere Arbeit immer wieder auf ein Ziel hinorientieren, ob es jetzt Geld ist oder dass wir ein Produkt haben wollen. Aber das Ziel von uns muss eigentlich sein, dass wir alle etwas anders denken und dass jeder Einzelne seine Arbeit, sein Produkt in einem Kontext der Heilung sieht und entwickelt. Und es gibt vier Wege, um sich das anzusehen und das so zu betrachten. Ich habe dafür leider keinen coolen Diagramm. Aber ihr könnt das wie eine Box sehen mit vier Teilen. Und die Top-Kategorie ist Menschen und Umwelt. Und dann Heilung, wir heilen den Arbeiter und die Umwelt des Arbeiters. Und die Arbeit, die erzeugt natürlich Mangel, aber auch Überfluss. Wir haben jetzt Müll, wir haben körperliche Arbeit, die den Körper schädigt. Aber wenn wir jetzt jede Arbeit, die wir verrichten, in diesem Kontext der Heilung sehen, und dieses Heilungssystem entwickeln, dann werden wir langfristig keine Probleme mehr haben. Ich denke, es ist ganz einfach. Und ich werde daran arbeiten und ich werde in der Echo, also Echo-Hack-Off-Harm sein. Und wenn ihr reden wollt, kommt gerne dazu. Vielen Dank. Next up ist, warum wir eine Lieferkette brauchen. The next talk will be why we need a supply chain act, supply chain law. Ein Lieferkette ist jetzt, sorry, a supply chain act, supply chain law. Sorry. Imagine you are sitting in your Hackspace and you want to solder something and you just take a resistor. And within the resistor there is different material, there is resources that we use. For example, an iron, and this iron has been collected somewhere in the world, in some mine, for example in Brazil. For example here in Romadinho, where there has been an iron mine, and then there was a dam bridge and there was a toxic leaven that just overwhelmed the village with 200 people underneath it. The dam was just certified to be secure and safe from a German company, just a few minutes, just a short time before that accident happened. And by now we have indices that probably some issues have been during the examination of that dam, but there has been some pressure from the company that the certification should still be applied. It's already very difficult for the people that have family that has been affected by this effect. They tried to get in touch with the German company from Brazil to Germany. This is tough, a short introduction. The German government did ask German companies how they think about human rights and whether they do diligence to the human rights according to the current laws und according to their own companies in Germany 20% said yes, they do that. Therefore there is this Initiative, Supply Chain Act. It's a civil society association. There's for example Bradford World, Greenpeace and Verdi, they all together carry this idea and they distribute the idea. I'd like to present the main goals and targets of this initiative. Okay, if you do harm, then you have to take shoulder the responsibility. For example, if you have workers within an insecure factory to factor shirts, then if there are certifications that have been given without the rights, then there should be responsibility. There should be any benefits for companies if they are irresponsible. Right now they do this because they earn money if they don't do security and we cannot accept this. We should not accept that the responsibility should be shuffled off to the consumers because people cannot 100.000 times answer to the question whether or not we would like to respect human rights applies. To determine this once and for all what human rights should be there. And there's also the thing that if you are in another country and the German company has violated human rights laws, then you should be able to get access to German laws. And if there are some steps that the companies do voluntarily that this is not enough. In the past showed that this is not enough. If you want to know more about this petition or association, you can check out leaverkettengesetz.de. There is a general overview. You can sign this petition and it will probably help the political lobbyists in the work of this code. Thank you very much. Die 3D-Rekonstruktion. Hallo zusammen, ich bin Felix Petersen. Ich möchte ein bisschen was über meine Forschung präsentieren. Was ist 3D-Rekonstruktion? Wir fangen jetzt an mit einem Bild zum Beispiel mit diesem Schuh. Wir möchten jetzt unser 3D-Bild rekonstruieren, 3D-Modell. Leider funktionieren die Gifts nicht, aber das ist jetzt irgendwie ein bisschen blöd. Na ja, gut. Es sollte uns jetzt eigentlich das 3D-Modell zeigen. Ich möchte das jetzt aber unüberwacht machen. Das heißt, das 3D-Modell ist nicht gegeben bisher. Hier haben wir zwei Beispiele. Ein neuronales Netzwerk wird dazu trainiert, das 3D-Modell zu rekonstruieren von dem Bild auf der linken Seite. Und das Neue ist jetzt, dass das 3D-Modell nicht überwacht ist. Das heißt, wir können nicht sagen, ob die Rekonstruktion richtig ist und in welche Richtung das neuronale Netzwerk trainiert werden muss, damit das Ganze passt. Zum Beispiel, eine Schuhklasse, wenn sie unüberwacht ist, wird ein bisschen chaotisch. Und ich möchte euch jetzt zeigen, dass es trotzdem noch möglich ist, diese 3D-Rekonstruktion zu machen. Für euch wird es vielleicht ein bisschen wie Magie ausschauen, aber ich werde euch zeigen, dass es tatsächlich Wissenschaft ist, was dahinter liegt. Und dass es wirklich funktionieren kann. Also, wir starten mit einem Bild, zum Beispiel von diesem Hasen. Dann machen wir unsere Rekonstruktion. Und jetzt ist die Frage, was passiert wirklich in dieser Rekonstruktion? Das ist jetzt erstmal gar nicht so wichtig. Was wirklich wichtig ist, ist, wie wir überwachen können, ob unsere Rekonstruktion richtig ist. Das heißt, wir machen ein Rendering davon. Dafür brauchen wir, müssen wir ein bisschen vorsichtig sein, weil wir es immer noch in das neuronale Netzwerk packen müssen. Das heißt, wir können nicht einfach nur Restauration machen, sondern wir brauchen soft, also weiche Rekonstruktion. Das heißt, wir bekommen auch ein weiches Bild raus. Und dann bekommen wir das Problem, dass irgendwie so der Kreis nicht funktioniert. Wenn wir das versuchen zu iterieren, funktioniert es nicht, weil es nicht konvergiert, sondern crashed. Das heißt, wir müssen die Textur rekonstruieren und den Stil des Fotos. Wie machen wir das? Wir benutzen einen Pix-to-pix-Netzwerk. Zum Beispiel, wenn ich hier diese Katze zeichne, bekomme ich, wenn ich direkt darauf Pix-to-pix und bekomme dann ein photorealistisches Foto daraus. Jetzt habe ich die Stadthalle von Leipzig gezahlt und jetzt sieht auch die Stadthalle von Leipzig relativ süß aus als Katze. Jetzt wundert ihr euch vielleicht, warum die Katze immer auf der linke Seite hat, obwohl links die Ecken sind, warum auf der rechten Seite trotzdem eine Katze rauskommt. Wenn ihr Brot reinpakt, bekommt ihr Katzenbrot. Wenn ihr das hier reinpakt, bekommt ihr eine Multiaugen-Katze Alien. Wenn ihr das zuhause probieren wollt, könnt ihr einfach googeln vor Pix-to-pix und da bekommt ihr eine Webseite raus, bei der ihr das machen könnt. Mit dieser Komponente haben wir diesen Rundtrip und kommen damit zurück zu unserem Original-Bild. Jetzt trainieren wir es und leider crasht es immer noch. Warum? Wir haben ja relativ viele Komponenten und wenn wir sie einfach nur aufeinander stapeln, dann ist da einfach kein Weg, wie das funktioniert, sondern es sollte einfach ein zusammenstürzendes Gebäude sein. Die komplette Architektur fällt einfach zusammen, wenn es zu viele Schritte nacheinander sind. Wir machen das, indem wir Garn benutzen, aber nicht das Garn, das wir in Mikroships benutzen, sondern das Generative Adversial-Netzwerk. Wir haben hier den Räuber der Geld faked und wir haben die Bank, die reales Geld herstellt und der das Ganze auseinanderhalten muss. Also reales Geld von falschem Geld. Das heißt, über die Zeit hinweg wird er besser darin, die beiden auseinander zu halten. Das heißt aber auch, der Fälcher wird immer besser darin, das Geld zu fälchen. Das heißt, am Ende kann er es besser fälchen, als die Bank es tatsächlich drucken kann und so diesem Zeitpunkt auch rekonstruiert werden. Wenn wir dieses Konzept auf diesen Rundtrip anwenden, können wir das stabil trainieren. Hier sind ein paar Ergebnisse davon. Auf der linken Seite sind die Eingarbedaten und auf der rechten Seite sind die Renderings von der Rekonstruktion. Um zu zeigen, dass es tatsächlich auch bei realen Bildern funktioniert, habe ich hier auf einer Webseite 50.000 Bilder von Schuhen runtergeladen und habe es nur hierauf angewendet. Wie ihr sehen könnt, ist es immer noch dazu in der Lage, die Modellierung davon zu machen. Vielen Dank für eure Aufmerksamkeit und wenn ihr Fragen habt, könnt ihr einfach nach dem Talk zu mir kommen. Ich muss immer noch das Katzenbild aus meinem Gehirn rauskriegen. Also das nächste ist Balkon 2020. Guten Morgen. Wisst ihr, wie es aussieht, wenn jemand einen Badge in den Taser umwendet oder wie es aussieht, wenn man einen Aufzug ruft in den USA. Wenn ihr nicht wisst, wie das aussieht, dann müsst ihr auf die Balkon nächstes Jahr kommen. Ich bin Jelena. Ich bin Co-Forderin von Balkon. Das ist der Balkon Computer Congress. Es ist jetzt ein Event in Serbien, in Navisat. Wir leben dort nicht mehr, aber wir wollen was zurückgeben an. Deswegen organisieren wir es dort. Warum Navisat? Weil wir von dort kommen. 8 km von Belgrade entfernt, das ist echt hübsch. Ein paar Probleme im Kongress. Ja, haben 2013 eine kleine Konferenz bekommen. Da waren wir weniger als 100 Leute, 20 Vortragende. Und jetzt nach 70 Jahren sind wir über 500 Leute und wir haben mehr als 40 Vortragende aus mehr als 20 Ländern. Ein paar der Highlights sind, also ein paar der Highlights, die unsere Bibliotheken zu Besuch waren. Die unterstützen zum Beispiel Travis Goodspeed, Robert Simmons, da gibt es echt viele. Was schön ist, man kann bei uns mitmachen als bei einem Capture Deflect. Was auch immer interessant ist, wir haben auch eine Hebokon. Wir haben dieses Jahr angefangen und wir fand es echt interessant und wir wollen daran noch weitermachen. Wenn ihr irgendwie die Fragen habt, wie ihr dort hinkommt, es ist Serbia, das heißt man weiß nicht so genau wie ihr da hinkommt, also wenn ihr uns finden wollt, könnt ihr einfach zu unserer Assembly kommen oder ihr könnt uns kontaktieren per Mail oder per Twitter. Weil wenn mehr Leute aus dem Ausland kommen würden, dann würde man die Community in Serbia und Europa aufbauen. Und ich denke, es sind dort viele Studenten, die nicht viel Geld haben zum Reisen und das ist einer der Gründe, warum wir das dort angefangen haben. Weil wir eine große technische Universität haben mit vielen Studenten, die interessiert sind in Technik. Also das wichtigste ist Balkan 2220 25, 26, 27, September in Noviat, Novi Satz, Serbia. Genau, falls ihr noch mehr Informationen habt, kommt dann kontaktiert uns einfach. Next up is a concise introduction to double entry account. Als nächstes kommt wieder die Einführung zu der Buchführung. Hallo. Ich springe jetzt über den Intro drüber, das habe ich gestern schon gemacht. Mein Name ist Luis, ich werde über die Buchführung reden, worüber ich reden werde. Über das, was ich rede, gibt es schon seit ein paar Jahrhunderten und wie ich das ganze Formulier hängt sehr stark von Newcash ab. Und genau wir haben darin fünf unterschiedliche Konten. Wir haben zum Beispiel Assets, also Geld auf der Bank, Autos. Der zweite Account Typ ist ein Ausgaben. Also wofür habe ich Geld ausgegeben? Tipp Nr. 3 ist Einkommen. Also woher kommen Geld zum Beispiel gehalten? Nr. 4 ist sind die Schulden, die ich noch irgendjemand schulde. Nr. 5 ist ein bisschen mehr Abstrakter. Equity das ist so praktisch das ist praktisch dazu da. Also wenn das anfängt, setzt man das zum gleichen Wert wie den Assets Account und geht davon weiter die Größe also jetzt schauen wir uns ein Beispiel an in diesem Beispiel schauen wir uns vier unterschiedliche Konten an also eins ist mein Brieftasche zwei ist mein Girokonto drei sind mein Ausgaben für Essen für Banktransaktionen wenn wir zu der zwei Tradaktionen hinzuführen wenn man sieht wir nehmen 20 Dollar aus der Bank raus zahle für 3 Euro Gebühr und kaufen uns davon 4, 8 Dollar Essen mit Transaktionen haben wir ein weiteres Konzept wo wir das Ganze aufteilen also wo wir das Ganze von dem Konto runternehmen und dann aufteilen also beim ersten haben wir zum Beispiel 3 Aufteilungen und beim zweiten haben wir nur 1, 2 wir haben zum Beispiel die minus 23 und dann haben wir auf der linken Seite 20 Dollar im Geldpult und die 3 Dollar Gebühren für die Splits muss die Summe immer in einer Transaktion 0 sein und das ist wunderschön, weil das bedeutet dass wir Geld nicht auftauchen oder verschwinden lassen können das ist praktisch wie Chemie man kann einfach nicht Elemente erfinden und das ist praktisch dieses Konzept und wenn man jetzt die Splits aber in der Vertikalen macht dann kriegt man am Ende dieses Kontos zum Beispiel ich habe die 20 Dollar die ich reingetan habe die 8 Dollar die ich rausgenommen habe am Ende habe ich noch 12 Dollar übrig und diese Eigenschaft ist reflektiert in der Buchführungsformel um damit zu berechnen wie viel Geld man hat also wie viel man was der eigene Network ist wenn man all sein Geld nimmt und davon seine Schulden abzieht das sagt dann praktisch wie viel Geld man tatsächlich hat und das zeigt Newcash wirklich unten an und ich werde euch noch ein paar Tipps über Newcash geben die Dokumentation ist aufgeteilt in 2 Teile es gibt ein Hilfe Buch und es gibt ein Konzept Handbuch das Konzept Handbuch erklärt so Sachen wie man Buchführungen wirklich macht und geht ein bisschen mehr in die Tiefe und ich fahre das Konzept Handbuch wirklich sehr viel hilfreicher ich habe noch ein paar Tipps die sind nicht alle aber das sind meine Lieblings Tipps wenn wenn man mit Nuke startet fangt nicht an eure vorherigen Transaktionen zu importieren sondern startet von heute also startet verbraucht nicht Tage damit eure Transaktionen damit zu importieren und ein weiter Tipp von mir wäre, nutzt nur ein App auf eurem Handy um eure Ausgaben zu verfolgen das Gemälde für Android, für iOS ist es ein bisschen schwieriger aber Newcash ist aber wirklich gut gealtert Newcash hat sich wie die Buchhaltung seit ihr Hunderten oder sehr lange nicht angepasst und sehr langsam entwickelt es gibt ein paar Newcash macht Backups von euren Sachen und Buchhaltung ist sowas was er nicht wirklich hacken kann das heißt wenn ihr das Hack macht ist falsch wenn ihr eine Frage habt das sind meine Kontaktdaten, vielen Dank fürs Zuhören thank you next up is your crowd okay, hallo, mein Name ist Till ich bin Teil einer Gruppe von rechtsprofessionellen und wir haben ein paar Ideen und dieser Talk geht um den legal Tech-Markt in Deutschland wir sehen mit möglichen Monopolisierung und die Lösung die wir vorschlagen wollen iYour Crowd und in den 70ern hat es angefangen mit legal oder legal Informatik und dadurch dass das juristische System ziemlich regelbasiert ist lässt sich das ganz gut abbilden auf Technologie aber wir hatten wenig Speicherplatz und die Rechenleistung war sehr limitiert also wir hatten sehr viele Ideen aber wir konnten sie nicht wirklich umsetzen und so etwa 2011 bis 2017 da sich der geändert und viele neue Firmen sind aufgetaucht und sie haben ein paar nette Werkzeuge auf den Markt geworfen das ist keine Rocket Science das ist meistens Texterkennung und da versucht das diese juristische Analyse zu automatisieren aber das hat sehr viel Effizienz gebracht weil sehr viel repetitive Arbeit einfach automatisiert werden konnte mit legal tech und das hat sehr viel Arbeit gespart für die Anwälte einige Anwälte konnten ihre Zeit um 70% reduzieren also ihre Arbeitszeit die sie verbringen mussten und konnten dadurch sehr viel mehr pro Bono Arbeit annehmen und vor FlightRide hat sich auch niemand darum gekümmert dass sich Flüge verspäten um das einfache geworden ist sein Geld zurückzubekommen hat sich da einiges geändert und das sind jetzt viele Firmen die in diesem Bereich arbeiten was ist jetzt das Problem das wir sehen das Problem ist nicht wirklich die Technik selbst aber darüber kann man auch reden das Problem ist wo diese Technologie herkommt das kommt jetzt gerade nämlich sehr viel von VC oder Venture Capital und von großen Firmen die das Ganze implementieren und die haben sehr viel Geld die sie haben wollen und sie produzieren hauptsächlich Software die sehr spezialisiert ist auf kleine Anwaltsfirmen und das ist perfekt auf die Firmen angepasst wenn die Software intern benutzt wird oder komplett externalisiert und sie investieren hauptsächlich in Software also es ist hauptsächlich für große Firmen kleine Firmen können das nicht wirklich machen und sie haben sehr wenig Zeit dafür und sie haben einfach nicht die Kapazitäten wie große Anwaltskanzleien die dann mit IT-Spezialisten zusammenarbeiten können und große Teams haben um diese Probleme zu lösen kleine Firmen haben eben kleine vielleicht IT-interessierte Spezialisten und das ist einfach sehr aufregend oder in den negativen Art und das führt zu neuen Abhängigkeiten weil die großen Firmen dann ihre Software für Anwaltskanzleien lizenzieren können und das wird sehr schnell sehr teuer auf der anderen Seite können natürlich große Anwaltskanzleien jetzt auch den Markt für die Kleinen übernehmen vorher war es nämlich nur für der Fokus der großen Kanzleien auch wirklich die großen Fälle weil sie einfach nicht die Kapazität hatten viele kleine Fälle auch abzuarbeiten und das wird jetzt langsam auch möglich es ist nicht garantiert was passieren wird aber es ist leider eine Gefahr die passieren könnte das ist jetzt natürlich kein neues Problem mit den Abhängigkeiten wir haben im Gesetz natürlich auch nicht die Open Knowledge das Open Knowledge Prinzip richtig wir haben zentralisierte Ressourcen und die sind sehr sehr teuer und wir könnten jetzt natürlich noch weitere verstärkte Abhängigkeiten bekommen und man könnte wirklich in Zentretreffen geraten wenn man diese Technologie nicht benutzt wir könnten ja dieses Problem jetzt lösen oder angehen und wir haben in der Informatik Github gesehen und Github wird verwendet um Wissen zu teilen und was jetzt viele Leute nicht tun ist, dass Wissen geteilt wird wir haben Gaia X und da werden einfach nur Dokumente gesammelt in der Cloud, wenn man jetzt die Cloud nicht mag ist es trotzdem noch eine interessante Idee dass man die Dokumente teilt und wir können Arbeit verteilen selbst wenn ihr Captures nicht mag und diese Arbeit auf eine große Menge Menschen verteilen können und so diese große Sachen erreichen das hier ist Josef er hat es geschafft den Ausgang von juristischen Fällen herzusagen aber das werde ich jetzt überspringen also was wir tun ist, dass wir Expertssysteme wie Anwälte kombinieren mit der Crowd, mit Menschenmengen und wir versuchen Algorithmen wie Machine Learning aus diesen Dokumenten die wir schon haben noch nicht kennen und wir versuchen die Arbeit zu verteilen um neue Techniken zu entwickeln und wir wollen einfach Anwälte zusammenbringen wie wir es in der IT schon geschafft haben mit GitHub und wir wollen kollaborative Teams bauen damit wir all diese Arbeit schaffen wenn ihr uns helfen wollt kontaktiert uns bitte, vielen Dank So, als nächstes gibt es das JavaScript in meinem Stecker Hallo all zusammen ich bin Harry, willkommen in meinem Talk da ist JavaScript in meinem Stromstecker und ich werde euch erzählen wie ich meine erste CBI gefunden habe Du hast glaube ich einen falschen Knopf gedrückt denn jetzt einfach gar nichts drücken, danke Okay, los geht's Na, rechts? Okay Eines Tages bin ich durch den Supermarkt gelaufen und habe so ein Smart Internet of Things Stromstecke gefunden Er hat mir versprochen, dass er per App von der ganzen Welt aus gesteuert werden kann und ich dachte mir Hey, warum kann ich das nicht ohne App steuern oder vielleicht kann jemand anderes das ohne App steuern Also habe ich ein bisschen reverse Engineering gemacht Er ist in Flash gedammt und ich habe ein bisschen JavaScript gesehen Also hat ein Kollege von mir gesagt Hey, da ist JS in deinem Stecker Also haben wir einfache Tools wie Strings benutzt um uns die Binary anzugucken und haben festgestellt, dass da Klartext Wlang Credentials in den Flash Image drin sind, sehr interessant Dann haben wir GDRAB benutzt, um das Ganze zu reverse engineering um nach Bugs und natürlich nach dem Config Interface zu gucken wo es JavaScript herkommt und die Details dazu es ist ein Buck in dem USR Wi-Fi 202 Modul quasi ein Ghetto ESP und in dem Config Interface kriegt man Status Information, Firmware Updates und in diesem Interface ist auch eine Liste nahe Wi-Fi-Netzwerke mit dem man sich verbinden kann und was ihr da unten seht ist der Sourcecode von dem Kram Vielleicht habt ihr schon eine Idee was der Wack da ist denn wenn ihr ein Wi-Fi-Netzwerk mit einer SSID öffnet also JavaScript in der SSID ist und jemand das Ding öffnet dann und die Seite neulet, dann wird das JavaScript ausgeführt und wir haben eine Cross-Hide-Scripping-Attacke das kann benutzt werden um ein komplizierteres Script von einem externen Server zu ziehen und nur mit ein klein bisschen JavaScript können wir dann HTTP-Get-Request ausführen auf das Web-Interface wo die Wi-Fi-Daten drin sind und den Result können wir an ein Request was an den Domain die wir kontrollieren geht drin dran hängen und so liegen wir die Wi-Fi Credentials des Netzwerks in das das Modul eingebucht ist das sieht ungefähr so aus rechts seht ihr den JavaScript-Explode-Code es ist nicht sehr gut geschrieben aber gut genommen das Konzept zu zeigen links seht ihr den Request-Catcher zensiert ist das Passwort und unten drunter seht ihr das auch möglich ist den Username und das Passwort des Konfiguration-Interfaces selbst zu liegen also Disclosure es ist eine chinesische Firma aus Shenzhen das Modul produziert und sie haben nicht auf E-Mails reagiert also haben wir eine CVE beantragt im Moment mache ich diesen Lightning-Talk gerade und ich schreibe mir auch noch ich schreibe noch ein Blockbrust weit hildehauen kurze Zusammenfassung wenn ihr dieses Modul in eurem Wi-Fi verwendet es ist möglich eure Credentials da über ein Cross-Site-Scripting rauszuklauen indem man in der Nähe ein Wi-Fi mit nervösartigen SSID aufmacht nächster Schritt Code Execution es gibt in dem Code ein Haufen ASP.F. ohne Längenprüfung es scheint als hätten sie ihre eigenen Protokoll-Parser geschrieben z.B. eigenen DNS-Parser und da könnten durchaus ein paar Buffer-Overflows drin sein die da man dann ausnutzen kann also wenn ihr Details haben wollt und Proof-of-Concept-Code dann guckt euch den Blockbrust an oder kontaktiert mich über E-Mail oder Deckt Danke für eure Aufmerksamkeit Vielen Dank Okay Als nächstes kommt Schadsoftware Forschungstelegramm-Gruppe Vielen Dank Willkommen alle Das wird ein kurzer Vortrag sein über eine Schadsoftware-Forschungsgruppe mit zurzeit dreieinhalb Tausend Mitgliedern Erstmal zu mir dann über die Gruppe und dann wie man der Gruppe beitreten kann Ich bin Max Libra Kerstin ich bin eine der Admins dieser Gruppe Ich habe als Schadware-Analysator vorher gearbeitet Ich habe meinen eigenen Block aber auch meinen eigenen Tools Was ist das? Es ist eine öffentliche Gruppe in die jeder rein kann es gibt keinen Einladungsprozess man kann einfach beitreten Wir sind ganz strikt legale Hecker Weithead-Hacker Wir machen nichts Illegales Man kann ein paar Ziele haben wenn man in der Gruppe ist man kann einfach auf dem besten Stand bleiben über neue Tools die es gibt Man kann von den Fragen der anderen lernen Vielleicht hat jemand anderen dasselbe Problem wie du Man kann zusammenarbeiten mit den anderen in der Gruppe Manche spalten sich in kleinere Gruppen ab und machen dort weiter Da gibt es auch schon ein paar Projekte Man kann jede Frage stellen solange es etwas damit zu tun hat Es gibt jede Woche ein Thema zu diskutieren diese Woche zum Beispiel was man in seinem Unternehmen wo man arbeitet diskutieren wollen würde was man ändern möchte dort so dass wir alle miteinander lernen können Es gibt eine angeheftete Nachricht mit Ressourcen zum Beispiel wie man neue Schadsoftware Beispiele finden kann, Tipps und Tricks Poster Aber es gibt eine allgemeine Liste dort einfach mit vielen Infos Zusammengefasst sind die Regeln der Gruppe Seien nett und machen nichts Komisches Da sind sowohl Studenten als auch berufliche Menschen in dieser Gruppe und jeder kann einfach beitreten Zuletzt möchte ich noch anmerken als Ende von jedem Blitzvertrag Es wird hier ein Treffen am linken Ausgang von Borg geben ab 13.45 Uhr bis 14 Uhr und wenn es genug Menschen gibt dann gehen wir einfach irgendwo hin wo wir Platz haben weil wir den Ausgang nicht blockieren möchten Hier kann man beitreten über den linkt.me Melware Research Man kann es auch an die Suche eingeben und es finden, ihr könnt auch Fotos machen aufschreiben, irgendwas damit machen wir bald und schreibt einfach in die Gruppe oder kommt nach dem Blitzvertrag einfach zu uns Vielen Dank Als nächstes kommt Privacy Mail Ich erzähle euch heute was über das Thema Privacy Mail das ist eine Email-Privatsphäre-Plattform die wir an der TU Darmstadt entwickelt haben wir sind ich selbst Stefan Schwerer und mein Professor Matthias Olleck und auch ja eure erste Frage ist wahrscheinlich Tracking wenn wir allgemein über Email-Privatsphäre reden dann reden wir darüber, dass Alice und Bob eine Nachricht austauschen wollen und dass die ganzen bösen Menschen die da noch mit bei sind davon wissen darüber reden wir hier nicht wir reden darüber, dass der Sender einer Nachricht rausfinden will ob der Empfänger die Nachricht gelesen hat es ist keine private Kommunikation zwischen zwei Leuten es ist zum Beispiel Amazon schickt ihr Newsletter und will, dass links klickst wenn ihr eine Email-Tracken willst dann gibt es im Prinzip 3 Dinge die ihr machen kannst du kannst News-Tracken also gucken ob da Bilder oder Slidescheats eingebunden sind von irgendwo anders und wenn die Email geöffnet wird wird ein Request zu dem Server geschickt wo das Zeug liegt und dann wird der Serverbetreiber wissen, dass die Email geöffnet wurde die zweite Möglichkeit ist Interaktion zu Tracking das läuft meistens über Personalisierte Links also Links die nur in dieser speziellen Email in dieser speziellen Person drin sind wenn dieser Link geklickt wird dann weißt du, dass dieser Person diesen Link in dieser Email geklickt hat es ist ziemlich standard dann kannst du auch noch Identitäten verknüpfen denn normalerweise hast du die E-Mails auf dem Laptop oder auf dem Telefon und dieses ganze widerliche Web-Tracking was so läuft hat ein Profil über dich auf dem Telefon und ein Profil über dich auf dem Laptop aber wenn du den selben Link oder einen Link mit dem selben Identifier auf beiden Geräten anklickst dann kannst du dadurch die Identitäten beide verlinken so dass man die Profile des Telefons und des Laptops zusammenfügen kann und das ist eigentlich eine ziemlich interessante Sache je nachdem wie man fragt dann sind zwischen 24 und 85 % der E-Mails mit Tracking verseucht Wahrheitlich irgendwo in der Mitte und der, der die Email verschickt weiß wann du die E-Mails öffnest, ob du es gemacht hast auf welchen Gerät, mit welcher Software und wo du gerade warst basierend auf grober IP Geolocation wenn du halt Remote Content enabled hast und auf Links klickst und so ein Zeug wir haben eine Software gebaut die das so ein Tracking finden soll und dafür sorgen soll dass der Benutzer weiß worauf er sich einlässt wenn er sich zum Beispiel zu einem Usen-Letter anmeldet Dafür gehst du auf Privacymail.info und sagst ich will mich da und da anmelden example.com und dann gibst du dem eine Email-Adress die nur zu dem Service gehört der Service schickt uns die Opt-In Nachricht wir gucken ob da irgendwas schief läuft bitte versucht kein Account zu registrieren wir klicken nicht auf Confirmation Links danke wir halten die Newsletter und leiten sie weiter wir haben sie auf unserem E-Mail-Server benutzen oder lassen unser Crawler da drüber laufen mittels OpenWPM das ist eine Firefox-Variante die man fernstrahlen kann und die für Privatsphäre Forschung entwickelt wurde mit dieser Software öffnen wir dann die E-Mail, klicken auf Link gucken wir uns das ganze Tracking an verfolgen die ganzen Interaktionen die Requests die Resultate werden dann in der Datenbank geschrieben und dann haben wir eine Analyseer-Software die uns die Ergebnisse baut die wir dann auf unserer Website anzeigen können das ist jetzt ein Subset von dem was ihr bei uns sehen könnt wenn ihr zum Beispiel den Spiegel.de Newsletter lest dann werdet ihr sehen das ist da 4 externe Parteien involviert sind wenn ihr die E-Mail öffnet inklusivisch Spiegel selbst aber auch Newsletter.com das ist so eine deutsche Tracking-Clitche und dann gibts noch die Möglichkeit wenn man Link klickt dann kommen noch ein paar weitere Third Parties dazu das ist dann eine lange Redirect-Kette bis du am Ende an deinem Ziel angekommen bist ich hab dazu auch mal einen längeren Talk gegeben auf der GPR19 wenn ihr mehr Details interessiert seid guckt euch den Talk an ihr könnt den Link dafür unten in dieser Folie finden da könnt ihr die Slides finden da könnt ihr das Paper finden alles mit der Plattform ihr könnt mit der Plattform spielen Privacy Mail.info das Ding ist Open Source ihr könnt auch Pull Requests schicken oder könnt euch angucken wie es aussieht und jetzt gerade habe ich einen Studenten der am Redesign des Intervests arbeitet und da werden wir echt daran interessiert rauszufinden was eure Prioritäten sind wenn es um E-Mail Tracking geht es ist schlimm wenn sie die Links tracken es ist schlimmer wenn sie das Öffnen der E-Mail tracken also wenn ihr 3 Minuten Zeit habt und es ist okay dass ihr Fragebogen ausfüllt dann könnt ihr uns da sehr helfen Alles klar, vielen Dank und ich laufe hier auf dem Kongress rum fühle euch frei mich an zu sprechen Danke Als nächstes kommt Open Age Hi Hi Wir sind die Maintainer von Open Age und das ist ein Aktualisierungsvortrag das ist ein Klon der Age of Empires 2 Engine eine Reimplanetierung Wir brauchen dafür die original Ressourcen des Spiels aber es ist geplant kostenlose Ersatzpakete bereitzustellen wir möchten den Look und viel Klonen und Verbesserung einbauen zum Beispiel Modding oder mehr als 8 Spieler und endlich große Karten, Zombie-Modus Überlebensmodus es gibt auch ähnliche Projekte die ihr hier auf dieser Liste sehen könnt wir haben das Spiel mit C++17 Python 3 für Skripten Python die Klebe-Ebene verwendet Age of Empires ist auch 2019 noch sehr aktiv Microsoft hat gerade eine Aktualisierte Version mit deutlich besserer Grafik herausgebracht mit einem tollen neuen Benutzer Überfläche wir sind noch nicht ganz so weit aber wir arbeiten daran dieses Jahr haben wir uns hauptsächlich um die Dokumentierung von der neuen API wir haben unsere API für das Modding definiert wir haben Daten zu der neuen API konvertiert wir haben eine fortlaufende Integrierung für Mac OS und Windows gestartet und das erste Mal wurden jetzt SMP und SMX Konvertierungen vorgenommen damit können wir Dinge extrahieren wie zum Beispiel dann gibt es auch noch nächtliche Bills die kann man einfach runterladen und Continuous Integration mit AppVayers gibt jetzt die Dokumentation die jetzt viel toller aussieht und viel leichter zu lesen ist vielleicht erinnert ihr euch noch vom letzten Mal dass unser Konfigurationssystem diese domain-spezifische Nürnensprache war das müssen wir jetzt benutzen um Ressourcenpakete zu erstellen um die zu erstellen müssen wir die original Genie-Engine-Daten in unsere Engine konvertieren und hier seht ihr wie wir das machen mit Zwischenobjekten und dann zu unserem Format exportieren parallel dazu und wir können auch die Bildern und Töne konvertieren unsere Zielarchitektur für unsere Engine unser Triebwerk sieht folgendermaßen aus wir haben hier einmal für die Spielwelt etwas und als nächstes um das zu erreichen bräuchten wir den Resenter um den Spielstatus zu zeigen eine neue Simulations-Engine für neue Gameplay-Features eine verbesserte Pfadfindung Netzwerkverbesserungen es gibt die Skript-API da machen wir was mit Python und mit künstlicher Intelligenz vielleicht das ist echt sehr fancy, sehr toll letztes Jahr hatten wir 140 Beitragende zu unserem Projekt also wenn ihr mitmachen wollt das sind wir immer sehr froh drüber und dann könnt ihr ein paar Probleme oder Issues angehen kommt einfach in unsere Chaträume zum Beispiel wir haben auch ein Blog wo wir hin und wieder ein Video mit euch was mit dem Projekt so abgeht und wenn ihr uns auschecken wollt habt ihr hier die Links für GitHub und wir freuen uns auf eure Beiträge vielen Dank als nächstes B-Sites Amsterdam Hi B-Sites ist eine community geführte Konferenz zum Thema Computersicherheit lokale es schafft ihre eigenen Instanz in ihrer Stadt letztes Jahr habe ich B-Sites entdeckt es gab es da schon 2 Jahre und ich dachte mir da will ich hin aber es ist natürlich nicht passiert also habe ich mich entschieden dass ich dieses Jahr sicherstelle das passiert dieses Jahr gehöre ich mit den Organisatoren wir haben Call for Papers dieses Jahr also bis zum Ende April könnt ihr da Papers abgeben wenn ihr da mitmachen wollt wenn ihr da zu weit tragen wollt wenn ihr da was vortragen wollt wenn ihr da hin wollt ob ihr auf die Niederlanden kommt Deutschland, Belgien was auch immer könnt ihr gerne vorbeikommen uns euch ein Talk ansehen sendet uns einfach euren Vorschlag vor dem Ende des Monats Februar und dann kann ich mir vielleicht euren Talk angucken danke ok danke dann kommt als nächstes lasst uns futuristische Schlaf und Traumtechnologien erfinden hallo ich bin Christopher wir kommen bei meinem Lightning Talk let's invent Futuristic Sleep and Dream Technologies und wäre es nicht toll wenn du es wettgehen könntest und an neuen Fähigkeiten aufwachen könntest also gehst du ins Bett und morgens kannst du auf einmal Spanisch sprechen oder eine neue Programmiersprache oder wie wär's sehr hochwertig entspannende Schlafzahmen egal wo du bist oder vielleicht das Immunsystem ein bisschen hoch zu ziehen während des Schlafes vielleicht ein bisschen erkältet so wie ich gerade und schläfst zu einer Runde und es braucht nicht 7 Tage bis es dir wieder gut geht sondern vielleicht eine Nacht vielleicht auch andere Getränke vielleicht auch interaktive Träume also aus deinem Traum heraus zur Wachenwelt kommunizieren zu können oder zu anderen Träumern es gibt viele andere Ideen über die man da nachdenken kann so über die Zukunft unserer schlafen Traumerfahrung und ich suche nach Leuten die so ein futuristisches Zeug erfinden möchten zusammen mit mir nicht fürs Geld, das ist ein reines Angelegenheit aber nur um die Schlaf- und Traumerfahrung von möglicherweise Milliarden von Leuten auf der Welt zu verbessern und natürlich um dabei ein bisschen Spaß zu haben dabei diese verrückten Dinge zu entwickeln und Dinge möglich machen von denen man sich dachte dass sie unmöglich waren es könnte Jahrzehnte dauern um das Zeug zu erfindern aber also neue Sprache oder neues Wissen zu lernen beim Schlafen heute anfangen und Schritt für Schritt sich den Ziel annähern manche Sachen habe ich schon gemacht habe ich schon angefangen mit diesem Projekt habe eine kleine Website rausgehauen habe mich mit professionellen Schlaf- und Traumforschern unterhalten habe ein paar First Step Studien in denen durchgeführt die sind auch peer reviewed veröffentlicht worden ich habe ein bisschen Zeug entwickelt und ich habe ein bisschen altes Zeug zum Thema Schlafforschung recycelt ich war Schlaflaborleiter an der Uni für eine Weile und nach dieser ganze Zeit tue ich das eigentlich nur noch als Hobby und manche Dinge wurden schon vorbereitet aber der richtige Spaß geht jetzt erst los diese Dinge tatsächlich zu empfinden, Ideen zu bekommen herauszufinden was gemacht werden könnte und die Wege gefunden das tatsächlich zu tun und wenn ihr das tatsächlich interessant findet und damit machen wollt weil ihr vielleicht ein paar Ideen habt was man machen könnte oder was gemacht werden sollte und vielleicht was nicht gemacht werden sollte in Sachen futuristisch Schlafen und Träumen oder wenn ihr vielleicht ein bisschen Hardware das Software, Platinen was auch immer entwickeln wollt oder wenn ihr andere Fähigkeiten habt die nützlich sein könnten selbst wenn ihr nicht so genau wisst ihr zurücktun könnt um hier mit zu helfen dann kontaktiert mich bitte entweder via E-Mail ich hab diese E-Mail-Adresse gebaut oder haut mich hier auf der Konferenz an ich würde gern von Sophie wie möglich von euch hören und wenn ihr euch erst ein bisschen was angucken wollt, was lesen wollt dann könnt ihr auf die Seite sd20.org und euch da ein bisschen das ansehen lasst uns futuristische Schlaf und Traumtechnologie erfinden danke als nächstes kommt organisierte Kriminalität analysieren ich bin Friedrich ich arbeite mit einer Gruppe von Investigativjournalisten die überall auf der Welt verteilt sind hauptsächlich aber in Europa und ich möchte mit euch über die technologischen Aspekte dieser Arbeit reden und wenn meist von euch werden wahrscheinlich an sowas wie Kryptografie denken aber jetzt geht es erstmal um Datenanalyse zum Beispiel im Dezember haben wir ein paar Geschichten publiziert über eine Firma Formations House die verschiedene kümmern weltweit operiert haben die zum Beispiel Wälder in Kamerun gefällt haben um dort Drogen anzubauen natürlich alles ganz illegal aber wie kommen wir an diese Nachrichten ran und zunächst hatten wir erstmal einen Dampf vom Server dieser Firma und das kam erstmal als riesige Zip Datei mit Millionen von E-Mails Dokumente sogar ein MySQL Datenbank wie kommt man von dort zu Journalismus wie kann man die Geschichten erzählen wie dort passiert sind also die Journalisten brauchen Zugriff auf strukturiert und unstrukturiert Daten manchmal gibt es Überlappungen manchmal ist es in deinem Datenbank dann muss man eben diese Überleitung empfinden eine E-Mail hier in einem Daten eine Datensammlung mit einer Telefonnummer und woanders findet man wieder raus, dass diese Telefonnummer benutzt wurde um eine Firma zu gründen das muss man alles verbinden um die Geschichte gut erzählen zu können und wir haben auch viele Firmen über sie und da müssen wir auf jeden Fall im Blick behalten was wir alles so gefunden haben deswegen haben wir das ALEP ALEP Project gestartet es ist eine Suchmaschine die ALEP heißt die im Gono genommen eine Wissensgraf Explorierungsmaschine sowohl für strukturierte also unstrukturierte Daten forensische Analyse für viele Dateitypen und auch die Verbindungen zwischen den verschiedenen Dingen herstellen zum Beispiel auch Referenzen zwischen einem und anderen wahrscheinlich Liste mit allen Politikern eines Landes und dann die Daten im Datenset und schauen ob es irgendwelche Verbindungen gibt und dann gibt es auch noch Wiss da kann man noch Diagramme für Netzwerke erstellen um die Überblick zu behalten über die Geschichten und das ist alles natürlich freie Software und ich brauche wirklich Leute die noch mithelfen daran zu entwickeln insbesondere wenn du zum Beispiel aus der Pen-Testing-Szene kommst was besonders spaßig ist an dem Ganzen ist das grundlegend ist alles nur Jason man kann sich das so vorstellen dass man strukturierte Daten und strukturierte Daten sind alles liniebasierte Feeds und wir haben dieses Wissensgraf-Modell und wir verfolgen einfach die wir machen das nach dem Follow-the-Money-Format was man so für Operationen machen könnte man kann zum Beispiel einfach mit PIP etwas installieren mit den wo die ganzen Daten drin sind von den 29 Leaks man kann das in einen Jason-Datei reintun und dann kann man diese ganzen Menschen aus diesem Ding später dann nehmen das sind die hier und dann kann man die anderen Daten nehmen zum Beispiel von Panamapaper und was gibt es so für Verbindungen dazwischen und dann hat man eine Liste mit Kandidaten die einen Journalist vielleicht schon mal anschauen kann okay, hier die die Person hier ist bei Formations House aktiv und war auch in den Panamapapieren das ist vielleicht was wo ich noch ein bisschen mehr die Möglichkeit investieren möchte um da reinzuschauen also wenn ihr gerne hier mithacken möchtet dann geht einfach auf allefdata.org vielen Dank vielen Dank als nächstes kommt das das das very small I-Mines of passwords 101 okay okay ich habe noch mal nachgeguckt es ist a very small one times one of passwords es ist eine stark zusammengekürzte Version eines größeren Talks und ja es gibt ein paar unglaubliche Passwörter da draußen und was für mich interessant ist was für mich interessant ist funktioniert mein Password tatsächlich und wie managere ich diese ganzen Passwörter also fangen wir mal mit wie machen wir das ich kann nur sehr sehr stark empfehlen einen Password-Manager zu benutzen denn damit kann man für jeden Account verschiedene Passwörter setzen man verliert nicht den Überblick welches Password habe ich benutzt welche Account ist das welche Iteration und so weiter es gibt ein paar Password-Manager zum Beispiel Password Store auch bekannt als Pass dann geht es KeyPass man kann auch ein Notizbuch benutzen wenn man das denn sicher aufbewahrt es gibt viele Möglichkeiten leider muss man sich immer noch ein paar Passwörter oder nämlich um die Password-Manager zu steuern wenn wir also ein Password-Prompt haben dann gibt es als nächstes Brutforce-Schutz und das ist irgendein Mechanismus der hilft der dabei hilft zu verhindern dass das Passwort nicht durch reines Rumprobieren gebrochen werden kann ein Brutforce-Schutz ist tatsächlich schwerer als man es denken würde das führt dazu dass es gewisse Password-Längen gibt lang ist zwar gut aber es ist nicht immer praktikabel also muss ich vorher festlegen wie lang mein Passwort sein muss und vielleicht können wir das ja berechnen vielleicht erinnert euch an den XKCD-Comic mit dem Diceware-Passwort wo einfach eine gewisse Menge an Worten hintereinander gehängt wird und man sieht oh, das ist ja viel einfacher sich daran zu erinnern als an irgendein Random-Kram und das System dahinter ist Diceware denn man kann im wahrsten des Wortes würfeln ungefähr fünfmal und dann ein Wort aus einer Liste mit der entsprechenden Zahl die man gewürfelt hat auswählen und ja wie funktioniert das das im Prinzip das Airsheet-Beispiel aus dem ersten Slide 1 zu 3 für 5 ist eine Zahl kann ich denn nicht alle meine Passwörter als Zahl bauen wenn ich eine gewisse Anzahl an Zeichen habe da haben wir unterschiedliche Zeichensysteme Zeichenzahlen also ja, das sind alles Zahlen und es gibt eine Formel dafür ihr könnt die Anzahl an Zeichen als Potenz der Länge nehmen und dafür erhaltet ihr dann die Zahl der möglichen Kombination für ein 256-Bit-Key ist das eine gigantische Menge für eine vierstellige numerische Pin haben wir nicht ganz so viele Kombination und jetzt ist die Idee dahinter dass wir diese Mengen nehmen und da eine Gleichung draus basteln dann transformieren wir diese Gleichung und wir erhalten eine nette Formel die uns ausgibt wie viele Zeichen wir tatsächlich brauchen um eine gewisse Stärke an Passwort zu erhalten nehmen wir also an alphanomerisch 56 Zeichen für 256-Bit-Equaliten-Key braucht man dann 44 Zeichen und ihr könnt versuchen zurückzudecken an das Beispiel unten auf diesem Slide und da hat sich daran zu erinnern aber zurück zur Diceware Diceware heißt wir haben 7776 Wörter und die werden zufällig aus einer Liste ausgewählt indem ein Würfel gewürfel wird oder einfach über Software das packen wir in die Formel und dann erhalten wir eine Länge von 19 Wörtern die wir brauchen und ja hier unten da kann man sich viel einfacher dran erinnern aber das Passwort ist ein bisschen länger es ist so für die große Masse es gibt auch ein paar 2 Faktorsysteme wenn du dein Passwort noch mehr sichern möchtest dann benutzt du einfach 2 Faktor zum Beispiel mit der SMS dann oder einmal Passwort Listen und immer dran erinnern biometrische Artifrute sind Passwörter die nicht geändert werden können wenn die verloren gehen aber das gute daran ist du kannst Biometrie trotzdem als 2. Faktor benutzen dann gibt es noch Anwendungstalken das ist ein 2. Passwort damit eine Anwendung nicht mit dem Passwort des Benutzers autorisiert werden muss diese Tokens werden nicht oft genug verwendet aber es ist immer ein Versuch wert die komplette 45 Minuten Version dieses Talks könnt ihr in den Archiven der Privacy Week 2019 finden das war in Wien und ich hoffe dass ich bei nächsten Privacy Week auch dabei sein kann danke damit schließen wir die heutige Blitzvortragsitzung bitte eine große Runde Applaus für alle Sprecherin das war die deutsche Übersetzung der Lightning Talks Tag 3 vom 36. Kraus Communication Congress eure Übersetzer warte