 Funktionale Lightning Talks. Hallo. Das ist die zweite Lightning Talks-Session. Ich werde kurz erklären, wie das funktioniert für das Publikum und die Sprecher. Die Sprecher, bitte sitzt in den ersten Rhein, damit ihr schnell zur Bühne kommt, um euren Talk zu geben. Ihr könnt das in das Mikrofon sprechen, damit die Leute euch hören. Dreht euch bitte nicht um, um die Slides zu sehen. Wenn ihr das macht, könnt ihr mich nämlich nicht hören. Sogar wenn ich rede, ihr könnt eure Slides da unten an diesem Bildschirm sehen. Es könnte sein, dass ihr zu klein seid. Dann müsst ihr ein bisschen zur Seite gehen. Wenn ihr den Klicker drückt, kommt ihr in den Slides weiter. Bleibt ruhig, redet klar und deutlich. Dann kann jeder eure Message hören. Rechtszeitig fertig. Wir haben viele Talks. Wir wollen nicht überziehen. Holt euch dann euren Applaus ab und dann verlässt die Bühne. Vielen Dank. Wir sind aber noch nicht fertig. Ich muss noch was weiteres erklären, nämlich für das Publikum, wie man Leitengtalks anhört. Es ist ganz einfach, seid excellent zueinander, denkt an die Sachen, die ich gerade angekündigt habe. Schaut auf den Timekeeper. Das ist dieses Ding hier vorne oder da oben auf dem Bildschirm. Damit messen wir die 5 Minuten, die der Sprecher hat. Alex, würdest du jetzt übernehmen? Ja, natürlich. Guten Morgen, alle. Der letzte Talk gestern, da hatten wir einen etwas sprecherfreundlichen Ansatz, um Talks zu canceln. Normalerweise wollen wir sie herausklatschen, mit Applaus, um den Talk zu beenden. Das ist viel besser für den Sprecher und für euch auch. Für die Sprecher, wenn der Timekeeper in diesem Grünbereich ist, dann seid ihr in den ersten 5 Minuten, dann habt ihr noch viel Zeit. Wenn er so ist, dann habt ihr nur noch ungefähr eine Minute übrig, wenn er gelbt wird. Wenn die letzten 30 Sekunden kommen, dann wird er rot. Wenn das Rot so nach oben kommt, wie jetzt hier, dann habt ihr nicht mehr viel Zeit. Wir probieren einen neuen Ansatz, dann ziehen wir runter, 5, 4, 3, 2, 1 und dann klatschen wir heraus. Die meisten Leute sind zu dem Zeitpunkt sowieso schon auf ihrer Contactslide. Da ist es nicht, die Leute mit einem daraus zu hören. So, jetzt ein Hinweis auf die Übersetzung. Applaus für uns. Wir werden die deutschen Talks in Englisch übersetzen und die Englischen Talks ins Deutsch übersetzen. Und alles wird von den Kollegen ins Französisch übersetzt. Das könnt ihr euch anhören unter c3lingo.org, was ihr wahrscheinlich schon tut, wenn ihr hier seid. Wir können dann jetzt losgehen und mit dem ersten Sprecher. So, guten Morgen, everyone. Guten Morgen, danke, dass ihr hier seid. Ich bin hier um euch von einem kleinen Projekt, an dem ich arbeite zu erzählen, Saturday. Und das ist eine Eintagskonferenz, die ich in Berlin organisiere im nächsten Jahr. Und ich werde ein bisschen darüber erzählen, worum es dabei geht. Es geht um die Programmiersprache R. Wie ist es passiert, dass ich eine Konferenz organisiere? Und warum das vielleicht für euch vielleicht interessant ist? Also, lassen wir lossehen. R ist eine Programmiersprache für Data Sciences und Statistisches Programmieren. Es ist ein tolles Werkzeug für die Visualisierung von Daten. Es ist freie Software und Open Source, unterstützt von der All-Foundation. Es wird überall benutzt. Es feierte gerade seinen 25. Geburtstag. Es wird so in der Forschung, als auch in Industrie genutzt, Google, Airbnb. Man kann es fast überall verliehen. Ich bin Noah, ich bin aus Berlin. Wie kam es dazu, dass ich meine ganze Freizeit und die Freizeit von einem Pharmaer mit den meisten Freunden und Kollegen war. Ein paar Leuten, die ich gerade getroffen habe durch Twitter. Es fing an mit R-Ladies. Ich habe in den letzten 2 Jahren in Berlin ein R-Ladies-Meatup organisiert. Das ist ein Versuch der R-Community, der Arbeit von Frauen mit R und an R und die Aktivität in dem Bereich zu fördern. Wir machen das, indem wir Meetups und Mentorenprogramme anbieten. Ich glaube, es ist mein Nebenprojekt. Mit meiner beste Arbeit der letzten 2 Jahre. Es sieht ungefähr so aus. Es macht wirklich Spaß. Wenn ihr daran interessert, dann solltet ihr da ruhig mitmachen. Nur die organisatorischen Rollen sind für Frauen reserviert. Das ist offen für alle. Und ungefähr dann ein bisschen später habe ich auch angefangen, bei Fowards mitzumachen, was eine Taskforce der R-Foundation zum Thema Inklusion ist. Nicht nur für Frauen. Es ist für Leute mit Behinderung, für verschiedene Minderheiten. Und wir machen da alle mögliche Arbeit. Dieses Jahr war ich zuerst mal außer meiner lokalen Bubble. Ich kenne alle Nutzer von anderen Orten unter einem Data Science-Konferenzen. Also bin ich zum europäischen R-User-Meetup in Budapest gefahren. Und 2 Jahre davor, in 2016, haben die den 1. Samstag-Event in Budapest organisiert. Ich war wirklich inspiriert davon, davon die Leute zu treffen und so weiter. Und verschiedene Sub-Communities in der R-Ladies und in der R-Community. Und wenn man das in Budapest machen kann, warum dann nicht in Berlin? Ich bin mir sicher, Leute haben in Berlin ähnliche Interessen. Also haben wir uns gedacht, warum machen wir nicht eine ähnliche Konferenz? Wir machen Saturday, könnt euch auf GitHub eintragen und so ist es passiert. Warum mag ich die Idee so? Es hat was damit zu tun mit R-Ladies und R-Forwards. Es ist eine Philosophiesache. Es ist nicht nur ein weiteres Event, aber jeder, der wollte, sollte kommen können. Wir machen das. Wir machen das komplett freiwillig. Wir sind ein Non-Profit. Und wenn wir Geld überhaben, dann werden wir das in die Community re-investieren. Es ist günstig. Wir haben für das Ticket die Obergrenze gesetzt von einem Tag Mindestlohn. Und wir versuchen so weit wie möglich Frauen und Minderheiten, LGBTQ, und Behinderte zu integrieren. Wir machen das. Es gibt viele Ressourcen, wie man sichergehen kann, dass das eigene Event die eigene Community geeignet ist für möglichst viele Leute. Da kann man Disk benutzen, von Focus Group. Man kann Ressourcen von anderen Konferenzen nutzen. Ich denke, das war es. Das ist unser Organisationsteam. Wenn ihr mehr wissen wollt und wenn ihr uns helfen wollt. Danke schön. Der nächste Talk ist Psy Sector. Public Sector Information Directive über öffentliche Information. Okay, Open Data. Ich werde über die öffentlichen Sektor-Information sprechen. Das ist ein Gesetz für Open Data in ganz Europa, die in den nächsten Wochen in Brüssel verabschiedet werden wird. Was hat es mit dem Kongress zu tun? Idealerweise entspricht es der Hackeretik, öffentliche Daten zu nutzen und private Daten zu schützen. Ich arbeite für die Open Knowledge Foundation. Wir machen ganz viele Open Data-Sachen. Wie fragt den Staat? Und Jugend takt. Was ist Open Data, falls es einen nicht weiß? Das sind Daten, die ihr frei benutzen und weiter verteilen könnt. Ihr könnt sogar ein Business draus machen. Was ihr hier sehen könnt. Das sind die Liste unserer Sachen, die wir fordern, dass öffentliche Daten in öffentlicher Hand sein sollten und öffentliches Geld dafür verwendet werden sollte. Das ist der aktuelle Stand im September für den ITER-Ausschuss. In dieser Legislaturperiode wird es ein neues Open Data geben. Das ist im Koalitionsvertrag. Hier ist eine Illustration, warum das wichtig ist. Anhand von Daten vom öffentlichen Nachverkehr weiß das, warum ist das wichtig. Wir wollen mehr Mobilität haben und weniger CO2. Das ist der aktuelle Zustand. Da wo es grün ist, haben wir Open Data. Hier in Leipzig ist das noch. Alles andere ist nicht kompatibel zu 2018. Wenn man keine Daten hat, dann bekommt man so seltsame Sachen wie hier. Das ist in ganz Europa so. Wenn es so weitergeht, dann werden wir früher Leute auf dem Mars haben als öffentliche Nachverkehrsinformation in Europa. Aber es gibt Hoffnungen, wenn wir offene Standards, offene Software, offene Daten benutzen, dann gibt es ein großartiges Beispiel aus Helsinki. Das war offen. Dann wurde es übernommen, weil es modifizierbar ist. Dann hat Miran das übernommen, obwohl es eine ganz kleine Stadt in Italien ist. Da gibt es jetzt eine Live-Karte, wo die Busse sind. Das hat ein einziger Entwickler gemacht, weil Helsinki das zur Verfügung gestellt hat. Was das bedeutet, ist, man kann von Hand weggehen, von alles von Hand zu machen, zu industrieller Datennutzung. Und dann kann man das in ganz Europa ausrollen. Dafür soll es diese Direktive geben. Da gibt es nicht nur diesen Fall. Das ist auch für andere Sachen benützlich, zum Beispiel im öffentlich-rechtlichen Rundfunk, sodass man den Content sehen kann und es nachher benutzen kann. Ich habe keine Ahnung, wie viel Zeit wir noch haben, wo wir grundlegend nachdenken sollen, wie cool es wäre, wenn ihr öffentliche Daten einfach benutzen könntet, wenn sie als Infrastruktur zur Verfügung gestellt werden würden. Guckt einfach an, wer das macht und dann kontaktiert uns, wenn ihr interessiert seid. Und damit bin ich dann schon fertig. Wir haben sogar noch Zeit für ein Q&A. Ein paar schnelle Fragen. Keine Fragen. Wir sind immer glücklich, wenn wir ein bisschen schneller sind. Vielen Dank. Als nächstes kommt die Passwortstärke-Messungen. Hallo, guten Morgen. Wir sind hier um über Passworder zu sprechen. Bis 2008. Passworder sind hier und werden bleiben. Passworder können ganz gut sein. Das ist ein wissensbasiertes... So. Wie messen wir die Stärke von Passwörtern? Das ist ein großes Thema. Das sind Passwortstärke-Messer. Da gibt es einige in der freien Wildbahn. Es gibt Fortschritt in der Hacking-Compunity und in der Academia. Aber es ist immer noch unklar, welcher Stärke-Messer eigentlich gut ist. Ich habe zwei Beispiele hier. Ich habe den Link von Github. Der misst anhand einer Policy. Wenn man beginnt zu tippen, dann wird diese Policy validiert. Wenn man sie erfüllt, dann wird sie grün. Rechts ist das von GMX. Da habe ich versucht, ein Account bei GMX zu machen. Dann habe ich eines der einfachsten Passworder getippt, die man machen kann. Der Passwortstärke-Messer hat gemeint, das ist eigentlich ziemlich gut. Das ist eigentlich nicht ganz zeitgemäß für 2018. Wir versuchen, das zu verbessern. Wir stellen dafür einen neuen Passwortstärke-Messer vor. Das ist ein Fuzzy-Logic-Messer, der mehrere Indikatoren kombiniert. Wir können Policy-Zeugstereine haben, Listen von geliebten Passwörtern und andere Kombinationen. Es soll sehr leichtgewichtig sein, damit es in jedem Browser und jede Website integriert werden kann. Aber es ist nur ein Ansatz. Wir müssen sicher gehen, dass es wirklich gut ist. Das ist warum mein Kollege, das habe ich nicht verstanden, um eure Hilfe fragt. Es gibt viele Dinge, die man in einem Passwortstärke-Messer benutzen kann. Aber wenn wir die evaluieren wollen, dann haben wir ein Problem. In der Wissenschaft muss man in der Wissenschaft eine Hypothese machen und ein Experiment machen, um das auszuprobieren. Und deswegen machen wir den Passwort-Hacking-Contest. Deswegen fragen wir nach der Stärke und versuchen, indem wir Passwörter brechen. Und das wollen wir crowdsourcen und damit mit eurer Hilfe stärkere Passwortstärken-Messer bauen. Und deswegen wollen wir eine Liste von menschengenerierten Passwörtern bekommen. Das wird eine Mischung von stärkeren und schwächeren Passwörtern haben. Wir herrschen sie mit Sharp 512 und einem gemeinsamen Salt, damit es nicht so viel Overhead hat und wir keine teure Maschinen brauchen. Und was wir von euch wollen, damit ihr, wir wollen, dass ihr in Teams arbeitet oder alleine mit euren Lieblingstools macht, was ihr wollt, und versucht einfach, diese Passwörter zu brechen. Was wir wollen, ist am Ende der Plaintext, um zu sehen, ob ihr die Passwörter gebrauchten habt. Und dann, damit ihr uns sagt, wie ihr das gemacht habt und welche Passwörter schwerer zu brechen macht. Wir haben ganz tolle Preise. Einmal sind Gutscheine, T-Shirts, Polo-Shirts und ein Fingpad W500. Das ist ein altes IBM Design. Ihr könnt es auch als Zinderblock benutzen. Und wir haben ganz viel Zeug, das wir nicht mehr brauchen. Das könnt ihr haben. Wir schicken es kostenlos nach ganz Deutschland. Und ihr könnt einfach bei uns in Darmstadt vorbeikommen, das wäre uns am liebsten. Was ihr jetzt tun könnt, ihr könnt zu dieser Adresse gehen. Da gibt es eine Anleitung und einen ersten Batch von Passwörtern. Und dann beginnt zu hacken. Vielen, vielen Dank. Thank you. Next up would be Netlink and Go. Als nächstes, Netlink and Go. Hallo, everyone. Hallo, alle zusammen. Guten Morgen. Heute möchte ich mit euch mal über Netlink und Go reden. Mein Name ist Florian. Und ich bin sehr interessiert im Netzwerkzeug. Wenn euch die Web-Sauer der Welt anguckt, dann ist das die Sorte Code, die man heutzutage sieht. Es ist jetzt ein Go-Beispiel-Webser, der eine einfache Website ausgibt. Und es gibt immer eine große Frage, wenn es um die Verlässlichkeit geht. Wie viele Sessions haben wir? Wie lange dauern die Sessions? Wie viel Traffic wird generiert für diesen Webservice? Es gibt dann ein paar Lösungen für. Man kann den Code über allemaßen aufblasen und völlig unverständlich machen. Aber wenn ihr sicherstellen wollt, dass die nächste Person, die ihr anheuert, die Logi Eures Webservers verstehen kann, dann lasst das Ganze einfach und versucht den Monitoring-Kram auszulagern. Es gibt eine Lösung. Wir haben den Webserver im Userspace und der Webserver macht Session-Tracking. Und warum benutzt du diese API nicht für Monitoring? Es gibt die sogenannte Netlink-Familie. Das ist ein socket-basiertes Interface für Userspace-Prozesse, um mit dem Kernel zu kommunizieren. Und man kann da verschiedene Informationen über verschiedene Zeug rauskriegen. Im Moment gibt es insgesamt 21 verschiedene Untergruppen, die man benutzen kann. Die auf Netlink basieren. Zum Beispiel gibt es Netlink-Route, Netlink-Crypto, wo man Cryptosetics ändern kann im Kernel. Dann gibt es Netlink-XFRM für IP-Sech-Zeug, SELinux und so was. Ich bin am meisten im Networking interessiert, also konzentrier ich mich auf Netlink-Netfilter. Und der ist wieder geteilt in drei Teile, NF-Lock, NF-Q und Contract. Wenn ihr mit IP-Tails arbeitet, habt ihr vielleicht schon von gehört. In Go kann man im Prinzip ein binary-basiertes Protokoll benutzen, um direkt mit dem Kernel zu kommunizieren. Da Informationen rauszukriegen an Zeit der Sessions, wie lange sie dauern. Und diese Informationen, die schon existiert zu nutzen und nicht den eigenen Code aufzublasen, um sie nochmal zu generieren. Es ist ein komplett anderer Space als der Webserver und kann darin relativ einfach gemacht werden. Der Byte Stream, der über Socket aus dem Kernel kommt, ist im Prinzip nur ein Byte Stream. Anders als die meisten, ist die Kombination aber Length-Type-Value und nicht Type-Length-Value. Das ist ein bisschen anders als die meisten Protokolle, die ihr vielleicht kennt. Aber im Prinzip ist auch das selbe. Man muss durch die Lenk-App angucken, Typ überprüfen und der Wert kann dann alles sein. Alles von Byte Sequenzen über Strings, Zahlen, Integers, Timestamps, was auch immer der Kernel so ausspuppen kann. Und für die Conversation hat Go-Length viele Features. Zum Beispiel, um die Web Allocation zu beachten, ist das hier ein einfaches Beispiel mit IP-Tables. Man schickt alles durch NF-Log-Gruppe 100. In diesem Fall öffnet man das Ganze mit einem Timeout von 30 Sekunden einfach nur damit es von selber aufhört und nicht unendlich läuft. Und dann werden die ganzen NF-Log-Nachrichten rausgekippt. Da hast du einen guten Überblick, was auf deinem Web-Server passiert. Und an dem Server selbst, an der Anwendung, muss nichts geändert werden. Das funktioniert auch für unterschiedliche Modelle. Zum Beispiel, wenn du ein Java-Web-Server benutzt, wenn du sowas machst, oder PHP. Also, danke für die Aufmerksamkeit. Die meiste Information sind die Man-Pages, speziell in Number 7, Netlink, dann im GitHub-Repot oder bei der Linux-Könosource. Wenn es noch Fragen gibt, ich bin hier in der Nähe, ping mich einfach mit Florian und ich beantworte gerne Fragen. Danke. Next up is the Foodhacking-Base. Als nächstes kommt die Foodhacking-Base. Hallo, everyone. Hallo. Ich bin Frantisek Algoda-Affelbeck und ich würde das Foodhacking-Base vorstellen. In diesem Jahr sind wir zum siebten Mal dabei beim Kongress. Wir haben aber 27 C3 angefangen und es war sehr interessant, hier mitzumachen und über die mehrere Jahre die Lebensmittel und Getränke zu organisieren. Und ich. Es war beim 34 C3 alles schon ganz gut. Es war viel wärmer und bequemer. Wie viele waren beim letzten Mal dabei? Es war zu Beginn. Wir sind glücklich mit dem Spiel. Es ist ein bisschen kalt am Ende des Kongresses. Ich muss sagen, dass die Leute uns endlich gefunden haben. Aber dieses Jahr ist es besser. Dieses Jahr wurde es besser. Wir haben jetzt einen kleinen Überblick des Jahres, was wir jetzt so gemacht haben. Wir waren im Frühling beim Nulline Gent. Das ist auch das erste nächstes Jahr. Das ist ein Projekt, wo wir eingeladen wurden. Und da wollten wir so ein bisschen unseren Service promoten. Wir basieren auf Spenden. Wenn ihr uns supportet, dann ist das gut. Wenn nicht, dann ist das auch so. Wir schaffen das auch so. Wir waren in Belgien. Wenn ihr mir folgt, wir tun Crowdsourcing für große Kampagnen. Wir haben herausgefunden, dass es schwierig zu machen, um das alles zu decken. Wir haben Erfahrung, noch eine andere. Ich weiß nicht, wie viele von euch beim EMF waren. Das war sehr nett. Wir haben eine küchenfreies Environment gemacht. Es war schwierig, unseren Kram von Europa nach Großbritannien zu bekommen. Aber wir haben es irgendwie geschafft, das war okay. Dieses Jahr sind wir auf dem 35 C3. Ihr könnt uns in Halle 2 finden. Ganz hinten in der Ecke. Wo es zu klar geht. Heute machen wir einen Eveningtasting. Es ist schon total voll. Wir sind sehr überrascht. Das ist sehr schön von den ganzen Leuten, die kommen. Ich muss sagen, es ist einer der ersten Abenden, wo wir als Co-Gruppe nicht so viel machen müssen. Die Leute kommen einfach, die Leute benutzen, was da ist. Und wir müssen nur darauf halten, dass alles irgendwie funktioniert und nicht in Sachen einfach verschwinden. Das ist ganz nett. Wir werden den Congress dann fertig machen. Wir hoffen, dass wir auf dem Camp in Zinnig sind. Wir hoffen, dass wir auf dem Camp sind. Wir werden mit der Orgerei reden. Wir werden Testing-Events, Workshop-Events machen. Wir werden Kombucha machen, Beef Jerky. Wir werden Inkubatoren aufsetzen. Wir würden ganz gerne ein Fermentationsprojekt machen. Ein mobiles Fermentationsprojekt. Das haben wir noch nicht gemacht vorher. Stellt euch das vor, als ein Food-Track, das zu verschiedenen Events gehen kann, sodass wir da Workshops machen können, die auf einem höheren Schutzlevel sind. Das ist ein Projekt, das ich ganz gerne anführen würde und womit ich die Food-Track-Base unterstützen will. Weiterhin glaube ich, dass wir offen sind für Einladung. Wenn ihr mit uns sprecht, dann schickt uns einfach eine Email an Food-Track-Base. Dann bekommt ihr eine Antwort irgendwann, früher oder später, es interessiert uns sehr, zu verschiedenen Sachen zu kommen. Wir waren im Balkan, wir waren überall. Es macht uns Spaß, zu Sachen zu gehen und das zu promoten. Und wir hoffen, dass mehr Leute bei uns mitmachen und uns unterstützen und auch in ihren lokalen Hackerspaces solche Sachen machen. Durch das Jahr habe ich das Gefühl, dass darauf zu achten, was man ist, dass man Sport macht, das hilft, das ist wichtig. Wir sitzen die meiste Zeit hinter einem Schreibtisch. Versucht einfach gesund zu bleiben. Es macht euer Leben viel einfacher. Ich möchte euch allen danken, dass ihr mir zugehört habt, das, was ich euch erzähle. Kommt einfach bei der Food-Track-Base vorbei. Vielen Dank. Tschüss. Als nächstes, Gatawiz. Habe ich das richtig ausgesprochen? Gatawiz, Gatawiz, weiß nicht. Wir werden es sehen. Hallo, ich bin hier, um Gatawiz zu präsentieren. Das ist ein Forschungs- und Open Source-Projekt. Um Software-Engineering-Probleme in drei einfachen Schritten zu lösen. Diese drei Schritte stelle ich euch vor. Schritt eins, wir sammeln sehr viele Daten über dein Software-Projekt. Das kann alles mögliche sein. Wir nutzen dafür JQ Assistant. Er hat eine grafische Aufbereitung mit sehr vielen Plakaten. Wir haben hier einen kleinen Aufbereitung mit sehr vielen Plugins, wo man verschiedene Datenquellen unterstützen kann. Im Moment sind das fünf verschiedene Sprachen, zwei Version-Konstruesysteme und viele andere Daten-Services wie GitHub-Issues, Maven-Virtual-Force, JU-Test-Reforts und so weiter. Im Herzen ist ganz klar, haben wir eine gigantische Datenbank mit sehr viel Informationen über das Software-Projekt. Um dabei zu helfen, visualisieren wir die Daten. Im Großteil der Visualisierung haben wir viele verfügbar. Es gibt klassische Dashboards, Streammaps, Barshats und so weiter. Und rechts welche, die mehr fancy sind. Hier kann man zum Beispiel eine Analyse auf Antipartanz sehen. Hier ist Endler. Da sind viele zyklische Abhängigkeiten zum Beispiel. Diese Visualisierung sollen dabei helfen, das Problem zu verstehen. Das ist der letzte Schritt. Denn wenn man das Problem gefunden hat, dann ist es fast dasselbe, als wenn man die Lösung hat. Wenn man das einfach verstanden hat, ist der Rest ganz einfach. Dafür machen wir ein komplexes User-Interface, um die Daten zu anzusehen und zu verstehen und ein bestes Verständnis des Projektes zu erhalten. Hier würde ich normalerweise eine Live-Demo machen, aber das ist hier nicht möglich, müsst ihr leider selber machen. Geht einfach auf bit.ly-slash-gettavis und da findet ihr ein paar Showcases und Online-Demos, die ihr im Browser benutzen könnt. Das sind die drei Schritte. Versucht es einfach mal. Und dann gibt es noch den vierten Schritt. Mitmachen. Im Moment sind wir ein kleines Projekt mit akademischem Hintergrund, aber wir hoffen da eine Open Source Community daraus zu schmieden, sodass wir in und für jede Programmiersprache da etwas zu beitragen können. Man kann zu JQ Assistant beitragen oder zu Gettavis selber. Es ist 2018. Wir schreiben einen Antrag für Google Summer of Code 2019. Nächsten Monat und vielleicht kann ein Student also tatsächlich dafür bezahlt werden. Danke. Vielen Dank. Der nächste Talk ist ZIGROCK. Hallo zusammen. Mein Name ist Zyrin und ich möchte euch mit dem ZIGROCK-Projekt bekannt machen. In diesem Tisch sehen könnt, versuchen wir alle möglichen Geräte zu unterstützen. Alles, was irgendwie mit Tests und Messen zu tun hat. Multimeter, Osciloscope, Logik-Analysatoren. Derzeit unterstützen wir mehr als 200 Geräte. Die Frage ist, wie machen wir das? Wenn ihr euch den Software-Stack anguckt, dann könnt ihr sehen, dass die Kernkomponente LIPSICROCK ist. Die alle Treiber abkapselt und ein gemeinsames API darstellt. Und dadurch könnt ihr nur eine API benutzen, statt ganz vieler. Ganz unten könnt ihr LibUSB, LibSeriaPort, LibFTDI, LibGlib und Python 13. Das sind die Libraries, die wir benötigen, um die Hardware zu benutzen. Ganz oben könnt ihr den LibSICROCK-Client sehen. Das ist die Software, die versucht mit den Geräten zu kommunizieren. Sie irgendwie darstellt die Daten. Dann könnt ihr dort noch neben LibSICROCK die LibSICROCK-Decode-Library sehen. Die steht ein bisschen neben LibSICROCK. Die macht Protokoll-Decoder, über die ich in 1 Minute spreche. Sie benutzt Python und LibGlib. Der erste Client, über den ich sprechen möchte, ist der obligatorische Command-Line-Client. Man kann es benutzen, um Daten zu bekommen, umzuwandeln, man kann es gut skripten, man kann es testen, automatisieren, alles, was ihr tun wollt. Einen anderen Client ist SICROCK-Meter. Das ist hauptsächlich darauf abgestimmt, um das mit Multimetern zu benutzen. Man kann Daten messen, loggen, was man halt will. Es hat schon relativ viele Features, aber es braucht gerade ein Maintenor. Wenn euch das interessiert, dann kommt zu uns, sprecht mit uns. Ein anderer Client, der relativ neu ist, ist SMEView. Das ist ein Programm, das ein Source-Measurement-Unit simulieren soll. Und eine elektrische Load simulieren soll. Ich habe es noch nicht benutzt, aber ich habe gehört, das ist ganz gut. Ein noch neueres Tool ist LipsicROCK Mini-Server. Das erlaubt euch über ein JSON-Interface auf alle eure Devices, die von LipsicROCK unterstützt werden, zuzugreifen. Damit könnt ihr hier zum Beispiel auf ein Power Supply draufgucken. Und das letzte, was wir haben, ist PauseView, das ist die Software mit den meisten Features, die wir haben. Unser beliebtester Client ihr könnt es auch unter Linux, Windows, OSX und Android benutzen. Es ist sehr flexibel in dem, was es tut. Ihr könnt hier einen Standard-Setup sehen. Ihr habt zwei Signale, SCL, SCA was ihr über ein Logic-Analyser bekommen habt. Und darunter ist ein Protocol Decoder, um das zu visualisieren. Um es in einen Weg darzustellen, der Sinn macht. Was wir hier machen ist, wir wollen einen Schritt weitergehen, um so, dass ihr eure Protocol Decoder in Python schreibt, damit ihr noch mehr aus euren Daten rausformen könnt. In diesem Beispiel haben wir ein DS-1307-Echtzeit-Uhr dran gepackt. Da könnt ihr sehen, was die Daten für den Chip meinen und für andere Chips. Das ist ziemlich cool. Das erlaubt euch jedes Oszelt-Code, das ihr habt, wenn ihr ein Treiber dafür habt. Und so könnt ihr noch andere Protokolle daran flanschen, die es normalerweise nicht unterstützt, solange ihr einen Treiber habt. Was ich jetzt noch sagen möchte, es gibt einen Cypress Development Port für weniger als 10 Euro, dass ihr benutzen könnt, um einen 10 Euro Logic-Analyser zu haben. Wir haben mehr als 100 Protokolle zur Verfügung, und dann habt ihr ganz plötzlich für 10 Euro ganz viele Sachen auf eurem Arbeitsschluss zur Verfügung. Das erklärt, warum das SIGCROCK-Projekt relativ blieb ist in unserem Kreis. Wir haben auch dieses ... Hier könnt ihr Tracen. Hier ist GSB. Wir haben P-CAP-Output. Was ihr mitnehmen könnt, ist, wir versuchen einen Einhorn zu sein. Wir haben ganz viele Dekoder. Wir geben euch ganz viele Möglichkeiten. Kommt zu unserer Assemble um uns zu kontaktieren oder Twitter oder Masterton. Oder kommt einfach ins IRC. Da kommt ein Daten-Krack. Nächstes ist ein Founder-Datacrack. Was jetzt? Wenn ihr im Englisch sprechen möchtest, dann checkt ihr dieses Exakt. Mein Name ist Alba Freute. Ich bin Mitarbeiter der Daten-Krack. Ich arbeite für die Dataprotektions-Agenie und hier ist etwas über Dataprotektion. Ein oder zwei of you might sort of when analyzing hardware software a website might have stumbled upon weird data transfers. You probably don't want to have for privacy reasons or for similar ones. So, you can ask yourself, is that even allowed? Because without a significant reason or the user consenting is usually not okay according to a GDPR. You know the whole thing with the science next doorbells and such, that's bull crap. But there are things where you can do something. You can have a look at what hardware, what software transfers data in a weird way and have a closer look. So, there's an obligation for data safety. Article 32 contains provisions for encryption that we demand. Then there's the obligation to privacy by design and privacy by default, which is Article 25. And here's a bunch of examples for bad things. The first punishment, a company aid in Germany as a consequence of GDPR a web service saved data in plaintext specifically passwords. I don't have to tell you why that's bad. They got a very small fund because they were a small company and very cooperative. With big companies it can get very expensive. A single instance can cost up to 20 million euros or 4% of worldwide yearly turnover. Moving whether by mail or by hand unencrypted data or USB-Sticks depending on context. But for example, if you move medical data via unencrypted e-mail, you're gonna get problems Tracking of transfer of data without consent like Facebook Custom Audiences according to our Bavarian colleagues is highly illegal. So what can you do? You can seal up your devices so the data doesn't leak out but that doesn't help people without your know-how so you can complain at the appropriate authorities. It depends if you wanna go at the maker of the product the distributor and so on they have to do something so just take the search engine you distrust least and look for the appropriate place and talk to them. This can be very expensive if you don't want to do it and the authorities in question can't just leave your complaint alone they have to investigate. But it can happen that we from Baden-Württemberg give the process to Berlin, Hamburg or Schleswig-Holstein if the responsible person for this will be found, technical details we have people who can understand this we are not just lawyers we are five people in Stuttgart we know what you are talking about we have seen a tcp dump sachlich schildern möglichst viele Details nennen und es kann be done anonymously so, if you are working at a company that is doing bad things and my bosses aren't listening to me well then you can just be an anonymous whistleblower and give us the information a little tip have some way of contacting you because we often have questions since not everything is clear 100% usually that's just the general one General Info we are going to have a self organized session in M3 1830 to 200 today there will be multiple people who tell you things about data protection in 50 minute blocks I'll be there too we can do them there if you have any problems, wishes 1830, room M3, this evening thank you der nächste Talk ist dann der üblichen Verrichting Borg Backup so, hi ich wollte ein kurzes Update zu Borg Backup geben ich habe hier ein bisschen Überblick für die Leute die noch nicht wissen was Borg Backup ist mein Name ist Thomas kostet die Features von Borg es ist ein Backup Tool man benutzt es üblicherweise auf der Mandozeile es hat ein Interface wie Git oder so in der jüngeren Vergangenheit haben Leute auch an einer GUI geabt haben wenn ihr nicht so nördige Freunde habt die lieber rumklicken, dann können die das jetzt auch benutzen wir haben eine relativ gute Architektur Plattformen und Datei System Support wir machen De-Douplication wir kompremieren authentifizierte Verschlüsselung und wie man es üblicherweise benutzt man liest von einem lokal gemauerten Datei System und speichert zu einem anderen lokalen Datei System oder einem Remote Server per SSH wo es mit einem Remote Borg spricht ihr könnt euer repository Fuse monten wenn ihr keinen Remote Server habt, dann ist das kein Problem es gibt Provider dafür die sowas anbieten, zum Beispiel Arsyncton Net oder Hetzner und ein ganz neuer ist BorgBase.com der BorgBase Mensch der macht auch diesen GUI Client wenn ihr keinen Server mieten wollt dann könnt ihr euch einfach einen anderen Nerd suchen und ihr könnt euch gegenseitig eure Backups schicken dann muss man den anderen Leuten auch nicht zu sehr vertrauen ein anderer Weg, das zu benutzen ist wenn ihr gerne Sachen in der Cloud haben wollt zusätzlich zu eurem lokalen Repository dann macht ihr lokal Repository zuerst und dann pusht ihr das andere Repository in die Cloud zum Beispiel mit ArcClone wenn ihr euren eigenen Server habt dann könnt ihr einfach SSH benutzen das GUI Tool, das ich genannt habe ist Warta, das ist in Python geschrieben und cute, es ist hauptsächlich auf Linux und Mac OS getestet derzeit aber in der Zukunft könnte man es vielleicht auch unter Windows benutzen wenn man es adaptieren kann wie ich gesagt habe, könnt ihr das euren Freunden zeigen ein anderes Tool ist BorgMatic das ist ein Config Layer auf Borg oben drauf noch wenn ihr lieber einen Inif-Style-Config-File habt dann könnt ihr dieses Tool benutzen wenn ihr andere Tools benutzen wollt dann gibt es ganz viele andere Tools sucht einfach danach, dann könnt ihr das finden Borg ist allgemein ein Community-Projekt wenn ihr in Python, C oder Siphon schreibt dann macht bei uns mit wir brauchen derzeit mehr Entwickler ihr könnt aber auch helfen, wenn ihr nicht coden könnt ihr könnt nach der Dokumentation schauen ihr könnt testen wir haben eine gute Testumgebung wir benutzen kontinuierliche Integration für Plattform-Tests, benutzen wir Vagrant wir brauchen außerdem Unterstützer für verschiedene Plattformen wenn ihr zum Beispiel NetBSD benutzt der aktuelle Status ist, es gibt eine Old Stable die ist schon vor sehr langer Zeit veröffentlicht worden man kann sie in vermutlich jeder Desktop finden das aktuelle Release ist 1.1 das ist das neueste Zeug das nächste Release, vielleicht 2019 wird hauptsächlich Code Cleanups und Refaktorierungen haben interne Krypto API und ein neues Handling für das Kompaktifizieren von Repos die derzeit noch nicht automatisch sind größere Änderungen sind dann im Helium Milestone und da brauchen wir mehr Leute für die Krypto-Änderungen werden viel Arbeit sein, Multi-Threading wird auch viel Arbeit sein wir brauchen auch Community-Supporter wenn ihr Leute helfen könnt dann könnt ihr auf den Mailingnisten und auf GitHub gucken wir brauchen Security-Review wir haben bekannte Issus falls da mal jemand über den Code gucken könnte außerdem brauchen wir mehr Sponsoren mehr Spenden, wir machen nämlich Backbounties mit Bounty-Source ich bin hier auf dem Kongress findet mich einfach in der Python-Assembly jetzt habe ich keine Zeit mehr klickt einfach auf diesen Screencast auf den Link und dann klappt das vielen Dank eine kurze Erinnerung all die Slides die die Speaker auch zu uns hochgeladen haben die ihr sehen könnt könnt ihr euch runterladen die könnt ihr finden auf c3lt.ic3t.de und da könnt ihr die Slides runterladen als nächstes oh, das war der Browser das war der Browser deswegen bevorzuleh ich PDFs also wenn ihr ein Talkier machen wollt dann macht das am besten mit PDF es ist portabel, es ist ein Dokument von mir also zuerst weil es ist ein PDF so, first of all, it is a PDF, yes my name is Stefan Günther I'm from the Technical University of Munich and I'm just gonna give you a quick overview how we work with very large automatic bachelor students 2015 hatten wir 1.152 2015, we had 1.152 tests and then that raised to 1.692 because more students 2015 was 36k assignments, this time it was 74, because of more students they were shorter so that 75.147 single ratings the number of paper amount dropped which happened because our template was shorter and more compact this year we have 2.500 more multiple choice quiz 32k partial assignments and 5k pages of paper so that without going crazy since 2000 crazy we've been doing our own scanner testing system we have QR codes on our worksheets so we do the whole thing pseudonomically because there are no names on it we scan the thing, we OCR it and put it online for students to check then it's digitally archived so it works, if you want to know it real closely look at our lightning talk from 2015 now I want to just say what happened since then so 2015 we only use it at our own department then we added for more checks we changed from QR to data matrix because they are more flexible we had a new template we switched the database to Postgres we bought an 8000 Euro scanner it would be worth its own talk because the mechanics are awesome but the software sucks we have a new platform for looking at the whole thing online our web interface now works with touch and pen the beginning of 2017 we integrated the carfinger testing concept it's a concept for very compact math quizzes now we support small quizzes and multiple choice between May and October 17 we pushed 7500 of those with more than 20 events we added a VM server called Dreadnaught we're doing experimental e-checks since the end of 2000 we built our own scanner front-end because the original one was problematic we've got a new web interface running since the beginning of the year we have an automatic sync with the platform the students use to look at their tests we're working on an iPad app the work is being done by students we now work with all testing presets even those done by others and now this is a lightning talk if you're interested in this, hit us up at our assembly we can talk about it and if there's something really interesting we might work together alright, der nächste talk ist Irma ich gebe meine Attribute zu erkennen, ich soll diesen Link klicken schauen wir mal was passiert das ist eine PDF, oder? ah, das ist eine PDF dann laute ich sie vielleicht auch einfach runter ah nein, ich mach sie in Vollbild ich möchte Irma euch vorstellen das ist ein Open Source Projekt mit dem ihr privatsphärefreundlich Authentication und Signaturen machen könnt für die Nutzer der Zentrale ist die App, die ihr links sehen könnt es gibt sie für iOS und Android das Projekt soll Autortifizierung und Aussagen beim Selbstsignieren was ihr da sehen könnt ist ein Login für IrmaTube es gibt auch ein paar Attribute für die jüdländischen Regierung und die könnt ihr anderen beweisen so dass sie sehen können, dass diese Informationen korrekt sind und zwar auf so eine Art und Weise dass die Leute nichts über eure Interaktion online lernen können wenn ihr heute zum Beispiel euch irgendwo mit Google oder Facebook einloggt dann habt ihr ein User Identity Provider und ihr wollt in einem Web Store dann habt ihr da ein Login mit Google dann geht der Identity Provider zu Google und gibt dem Web Store die Informationen dass ihr da ein Nutzer seid und jetzt heißt Google, dass ihr euch da einloggen könnt und das wolltet ihr vielleicht nicht wenn ihr euch bei einem Arzt einloggen wollt dass Google weiß, dass ihr euch da einloggen wollt das ist eine andere Lösung wir sammeln einmal alle Statements die euch erlauben euch einzuloggen ihr geht zu einem Identity Provider und sammelt das einmal eines ein und dann könnt ihr damit zu dem Web Store gehen ohne dass ihr mit dem Identity Provider reden musst und dann müsst ihr nie wieder mit dem Identity Provider reden und könnt einfach die Daten wieder benutzen die Garantien für Sicherheit die immer hat sind Authentizität es ist signiert mit einer Digi Teilen Signatur ihr könnt beweisen, dass sie euch gehören ihr müsst beweisen, dass ihr die Immer Pin habt es gibt einen geheimen Key auf eurem Telefon der sagt, dass euch diese Attribute gehören es gibt 2 Fakte Authentifizierung wir benutzen einen Attribut das ist Multishow das ist die wenn ihr ein Attribut habt das etwas über euch aus sagt z.B. ich bin über 18 oder ich bin ein deutscher Staatsberger dann könnt ihr z.B. nicht sehen dass ihr die gleiche Person seid man kann nicht verbinden, dass ihr 18 seid und ein deutscher Staatsberger es gibt eine automatische Datenminimierung weil man nur die Sachen zeigt die man auch wirklich zeigen muss dem gegenüber den man sieht der sie sehen will ihr müsst Konsens anzeigen also eine typische Session ist, ihr geht zu einem Web Store ihr klickt ein Link, die Irma App geht auf die Irma App sagt euch, diese Web Store möchte die und die Informationen überhaupt haben und dann stimmt ihr zu oder nicht und dann beweisen diese Attribute ohne noch irgendwen anders mit der Inspurt zu holen außer euch seit den 90er Jahren war es ein großes Problem den Leuten Zugriff auf richtige Signaturen zu geben dafür muss man eine Infrastruktur für öffentliche Kies zu machen und man muss privat Kies verwalten und gegenseitig signieren so z.B. kann man einmal alle Attribute sammeln und das einmal signieren hier z.B. ein Beispiel mit meinem Doktor das signiere ich mit einem Attribut und das beweist dass ihr die Daten von eurer Regierung geholt habt jeder kann das machen es ist ein dezentrales System wir haben Informationen online wir sind ein Open Source Projekt wir haben eine Organisation auf GitHub es ist in Go geschrieben es gibt ein Java Server wenn ihr mehr Informationen haben wollt und mitmachen wollt dann haben wir ein Select Channel ihr könnt alle die App downloaden bitte macht das der letzte Talk für der Pause wird auf Deutsch sein warum wir zwei Jahre lang Wikibox warum wir zwei Jahre lang Wikibox printen ja, hallo wir wollten immer ein Teil des Internetes printen also haben wir das mit den Wikibox-Platformen und das ist der Resultat der schönste Wikibox-Print die wir haben die die Mathematik für non Freaks does anybody know that? ok, a few, nice so, this is a slightly improved design done by a designer the idea was to understandably communicate college level math to college students we used embedded media, embedded image we used these definition boxes and this project has been part of CERLO for a while which is a platform for high schoolers a multimedia one and as you can see it's not just about the content but it's also about transparency and democratic processes does it work? well the number of users seems to say yes 80.000 for CERLO 100.000 for MATE for non Freaks and has been downloaded over 10.000 times the project started originally in Munich but distributed itself over Germany in the last two years we're in Dresden, Berlin and Winster and why did we print out the wiki-book? well we want to build an alternative to the usual extremely expensive textbooks the book can be found in the library of the Munich University the question is why did we take two years for this? couldn't you just do this via Pandoc? first of all there's a lot of semantic markup which we're very proud of but that means we can't just use a converting tool like Pandoc because that will look different for any other target for example in PDF we want to do definitions and media differently than HTML and we have other dependencies not just article contents but here this red dot in the middle that's the actual book everything else is the dependencies the yellow is parts of other articles that are reused somewhere else and the circle thing is articles how they are put into source code converted into an intermediate format, exported and then collated as a book the whole system is more or less like this works with multiple Rust tools we have a platform, a parser that builds an intermediate file we export the actual articles and we have the linter who automatically gives hints to our authors in future we want to connect those platforms a bit and of course save work so the goal is to use the intermediate format of mutterfinichtfreaks to dump it onto Serlo and to add further export targets like ebooks so we don't have so many dead trees at the end if you want to contact us or have any ideas for us we're always interested in potential new paths for development of the platform if you're interested in the export project if you're close to Dresden then you can talk to us or you can talk to us at the congress at the AGDSN assembly or you can call us at DECT 1893 6923 thank you Willkommen zurück in der Übersetzer-Kabine wir sind FL Berger, Karim und Tribut um Open Age, die Folien sind schon zu sehen dann geht's auch direkt los Hi, everyone ja, hallo zusammen wir sind ein kleiner Teil des Entwicklungsteams von Open Age, wir machen eine neue Implementierung von Age of Empires 2, ich bin Jonas und ich bin Michael also was wir machen wir haben einen kostenlosen Klonen der Engine von Age of Empires erstellt wir haben 2013 angefangen und haben das seitdem eben gemacht unser Spiel braucht die Daten von dem originalen Spiel, das heißt man muss das originale Spiel besitzen aber wir haben auch eine komplett neue Engine geschrieben unangeschränkte Möglichkeiten für Veränderungen und so weiter die originale Engine ist sehr eingeschränkt es geht schon dabei los, dass es nur auf Windows läuft kleine Überblick über die Technologie, die wir benutzen die Engine selber ist in C++ geschrieben aber es gibt dann sehr großes Interface um meisten Möglichkeiten um das Python 3 aufzurufen wir benutzen C++ um das zusammenzubinden, Cmake und wir haben auch unsere eigene Datenbeschreibungssprache aber dazu vielleicht später mehr so sieht das aktuell aus und letztes Jahr hatten wir 3 große Verbesserungen für einen neuen Renderer dann haben wir eine neue Welt-Simulation eine Engine für Welt-Simulation die komplett auf Events basiert Ereignissen basiert und eine neue API für Modding das sind alles hauptsächlich Veränderungen im Hintergrund sehr wenig Dinge, die man sehen kann die sich verändert haben, aber wir sind jetzt dazu bereit das alles wieder zusammenzubauen und das Spiel jetzt im Wesentlichen fertigzustellen die neue zentrale Komponente der Engine es basiert auf Entity-Komponenten jede Entität hat Eigenschaften das ist hier in Grün und das hat Bonus-Eigenschaften zum Beispiel, die Einheit steht auf einem Hügel hat also höheren Angriffsschaden und dann gibt es auch manche Sachen, die permanent sind also zum Beispiel eine Entität kann existieren sich bewegen, sterben und so weiter in der Praxis sieht das dann so aus, hier ist unsere eigene Beschreibungssprache, mit der man das vereinfacht beschreiben kann ein Dorfbewohner, der 25 Lebenspunkte hat, der einfach nur existiert kann sich bewegen, sterben, angreifen und so weiter und auf die Art und Weise kann jede Entität alles tun, also man kann also zum Beispiel auch dafür sorgen, dass Bäume neue Einheiten trainieren können oder Relikte können auch anfangen Holz zu hacken, wenn ihr wollt das ist eine Übersicht über die AP alles was man braucht um Age of Empires 2 zu simulieren die Grünen sind wie gesagt alle die Fähigkeiten wir haben auch neue Sachen wie zum Beispiel Inventarmanagement also zum Beispiel eine Person, die ein Stein transportiert, das jetzt korrekt implementiert und nicht eine zusätzliche Einheit für die Steine und man kann auch beliebige Bedingungen haben, die man zusammenbauen kann zum Beispiel für Technologie und das wird so implementiert, eine Technologie ist auch nur wieder eine Entität und diese die Technologie hat den wichtigsten Parameter, es sind die Updates, ganz unten das ist eine Menge von Patches sind eine spezielle Fähigkeit unserer Sprache dieser Nihonsprache das glaubt in der Datenbank dynamisch zu aktualisieren also in dem Fall ist es der mehr HP Patch der Bewohnern 50 zusätzlichen Lebenspunkte gibt immer wenn diese Technologie aktiv ist dann wird die Datenbank aktualisiert mit dem selben Trick können wir auch sowas wie Angriff und Verteidigung also zum Beispiel Angriffe aus der Distanz werden dann korrekt berechnet dass sie den richtigen Menge an Schaden abziehen und wir können auch sehr komplizierte Sachen machen indem wir zum Beispiel ein Katapult beladen oder nicht beladen simulieren und das ist auf Ereignissen basiert da wird also alle Ereignisse im Spiel sowohl Vergangenheit als auch in der Zukunft und das Einzige was der Kleint macht ist diese Ansicht abzuspielen das ist also nur ein Snapshot und jetzt noch ein paar lustige neue Sachen Datenkonvertierung und das wärs dann macht mit helft uns diese großartige Sache zu entwickeln herzlichen Dank nächster sind Kryptowährungen in Hochinflationsländern und darüber hinaus von Felix Mago hallo ja schön dass ihr da seid mein Name ist Felix ich komme von der Dash ein bisschen aus Thailand und wir waren gerade ziemlich beschäftigt um Kryptowährungen aus sehr abstrakten Sachen wirklich auf die Straße zu bringen also das Leute die verwenden können und das ist ziemlich herausfordernd und diese Erfahrungen erzählen die wir gemacht haben oder die andere Teams gemacht haben beim Sample der Kryptowährung Dash diese Kryptowährungen waren ein ziemlich berühmter Use Case was die Blockchain angeht aber man sieht im Moment wenig Optionen in der echten Welt mit diesen Sachen zu bezahlen das ist wirklich herausfordernd das zu tun und wenn man damit frei hat ja die Kryptowährungen sind da und es gibt Studien die sagen das mehr als 60% aller dieser Tokens im Grunde Kryptowährungen sind im Vergleich mit anderen Tokens die man mit Blockchain-Stormerlädchen machen wenn man sich jetzt Dash anschaut dann sieht man das ist eine ziemlich große Zunahme gibt der Akzeptanz weltweit tatsächlich und wir starten mit 500 dieses Jahr und sind bei 4500 gelandet wir haben sich Bitcoin und die anderen anschaut dann ist das gar nicht so viel anders dort und es ist ziemlich schwer richtig gute Statistiken dafür zu bekommen weil es gibt ein paar Karten auf denen man sich registrieren kann aber es ist nicht so dass man einfach irgendwo hingehen kann und dort eine richtige valide Nummer bekommt wie viel Kryptowährung akzeptiert wird in der Welt also für Dash sieht es so aus besonders der User ist tatsächlich der Use Case Nummer 1 wenn man sich das hier anschaut die haben einfach eine Inflation von 1,4 Millionen Prozent dieses Jahr die Leute haben es also wirklich richtig schwer wenn man im Morgen einfach ein paar Eier kauft dann braucht man ein bisschen Geld und wenn man sie im Abend kauft dann braucht man noch mal x mal so viel Geld Dash hat also tatsächlich ein gesundes Ecosystem dort entwickelt wenn man so ein Hyper-Inflationsrand hat dann ist so eine Kryptowährung tatsächlich ein echter guter Use Case dafür wir haben Venezuela, wir haben die Türkei wir haben ein paar Länder in Afrika, da gibt es noch mehr wo es eigentlich wirklich Sinne gibt für mich, ich meine aus einer geschäftlichen Perspektive wir schauen uns natürlich die Hyper-Informationsländer an wir wollen aber auch natürlich darüber hinausgehen da muss natürlich alles vorher installiert sein wenn man sich die Händler anschaut dann ist so der Punkt, okay, die haben ganz viele Fragen und die wichtige Frage, der wichtige Punkt ist die interessieren sich eigentlich überhaupt nicht für Kryptowährung als solche die wollen eine einfache Lösung haben, die in ihren Business-Prozess mit reinpasst und die wollen möglichst auch nichts investieren da rein unbedingt und auch keine zusätzliches Software und Hardware und Weiterbildung dort investieren wir gehen also zu den Händeln hin wir versuchen zu verstehen was die wollen und wie wir den helfen können System einzurichten und natürlich auch später das System zu supporten und Fragen zu beantworten wenn man also sich Krypto-Payments auf der Straße anschaut da gibt es immer noch viel mehr Fragen die unbeantwortet sind Regulierungen wie ich schon sagte, mit Steuern zum Beispiel auch wie integriere ich das halt in diese Point-of-Sale-Systeme die halt direkt in einfach Kassensysteme sind eine andere Sache ist, wir fangen mit den niedrig hängten Früchten an in Thailand, da gibt es einfach einen Bitcoin-Shops, die haben auch einen Aufkleber an der Tür und so und die Leute haben das ist aber total vergessen, wir gehen also in diese Läden rein und die sagen Bitcoin was? die haben das eigentlich total vergessen weil die Staff das mal draufgeklebt hatte und das aber gar nicht mehr weiter supportet hat deswegen ist es wirklich wichtig, dass man kontinuierlich einen Support hat und das größte Problem was sie haben ist sie wollen einfach Geschäfte machen sie wollen, dass ihr Geschäfte läuft sie wollen ihre Produkte verkaufen und sie wollen mehr Kunden bekommen und am Schluss des Tages wollen sie glückliche Kunden haben denn ein glücklicher Kunden kommt zurück und da ist unser Ansatz Thailand zum Beispiel ist, wir wollen gesunde Ökosysteme haben für ökonomische Ökosysteme also man braucht wie gesagt eine ganze Sache von Dingen die zusammenspielen müssen die Sachen eintauschen können man muss den Cashflow als Man-App verwalten können als Handler möchte ich die behalten jetzt als spekulativen Gründen oder will ich die sofort verkaufen wenn ich die bekommen habe wir brauchen also diese Zahlungsdienstleiste dazu wie gesagt schon auch Steuern spielen eine Rolle das ist die eine Seite und die andere Seite ist die Kunden die reinkommen man braucht also erstmal überhaupt eine Community die dort reinkommt und damit bezahlt tatsächlich die das nicht nur sondern die in die Geschäfte reingeht und bezahlt also am Schluss geht es darum dass man wirklich Ökosysteme hat die dort funktionieren Dankeschön Thank you Nächster bis Balkon Der nächste Talk ist Balkon Guten Morgen Ich bin Jelena vom Balkon Orga Team Ich bin hier um unsere Konferenz zu präsentieren Ein kleines Hacking Event Also Bis nächste Mal ist das 7. Mal dass wir das Event organisieren Balkon Computer Kongress Die Daten stehen schon fest 13. bis 15. September 2019 Was ist Balkon eigentlich? Das ist in in Serbien haben wir angefangen kleine Konferenzen zu organisieren weil es kleine nur wie gesagt gibt es eine Universität, viele Studenten die technisch interessiert sind und wir möchten diesen jungen Menschen in der Balkanregion mit der Hacking Kultur vertraut machen und deswegen möchten wir das jetzt zu einem jährlichen Event machen und wir hatten viel Spaß und möchten das jetzt wiederholen und laden euch ein auch zu kommen das sind die wichtigen Daten der Ort ist Novizat Tox können eingereicht werden ab Anfang Februar Die Deadline for Submissions ist Anfang Juli Wir organisieren auch ein CTF Wenn ihr also nicht kommen könnt dann könnt ihr an dem CTF teilnehmen Wer war dieses Jahr bei uns Wir hatten einige bekannte Sprecher Jenny Virus von den USA war da Rob aus den USA war da eine lange Liste von Sprechern die ihr hier seht Wir haben auch unsere Website besuchen da ist ein komplettes Archiv mit Videos damit ihr einen Eindruck bekommt wie es dort aussieht was auch wichtig ist dass wir da sehr viel Spaß haben Wir haben die Tradition am zweiten Tag abends ein Rakia Tasting auch Rakia Leaks genannt wenn ihr also nicht wisst was das ist und das mal probieren wollt dann kommt mal vorbei wenn ihr das jetzt probieren wollt dann kommt doch mal zur Balkan Assembly und probiert das einfach mal damit ihr schon mal wisst worauf ihr euch da einlasst Also warum Novi Sat naja es ist unsere Heimatstadt also haben wir begonnen es dort zu organisieren es ist aber auch auf der Top 10 Liste im Lonely Planet also es ist günstig es gibt viel zu sehen es gibt gutes Essen günstige Unterkunft und ist es super erreichbar also 3 Stunden von Budapest wenn ihr Fragen habt was wir machen dann könnt ihr uns auch eine Mail schicken wir antworten schnell ihr könnt auch unsere Website besuchen oder uns auf Twitter folgen wir sind auch hier auf der Balkan Assembly hier in der Halle nebenan könnt ihr uns finden wir haben auch Sticker und Flyer kommt einfach schaut euch an was wir machen wir versuchen auch eine Hacking Community aufzubauen und haben auch Hacker Spaces ihr könnt auch eine Assembly bei uns aufbauen und haben schöne blinkende Sachen die ihr zum noch schneller blinken bringen könnt denkt dran, nächsten September 13.14.15 bitte kommt zu uns auf zu haben vielen Dank next up is exploiting WPSPBC nächste WPSPBC auf Windows 10 hallo hallo mein Name ist Jodj und ich bin der außerfot dieses WIFI Frameworks heute spreche ich darauf wie mein Windows 10 diese Attacke durch wird welche von euch kennen diese Karma Attacke so Karma ist eine ziemlich populäre Technik die im Grunde einen Mittel installiert für diesen Angreifer aber es gibt aber noch andere und ich möchte über einen Angriff sprechen dieses WPS im Grunde über einen Mittel über WIFI angreift also WPSPBC ist so ein Merkmal das euch erlaubt ein Gerät oder ein Access Point ziemlich schnell einfach mit so einem Knopfdruck zu assoziieren auf der Access Point Seite und dann ein zweiter Knopf auf dem Gerät und die Reihenfolge ist auch egal man drückt entweder da ein oder das andere zuerst und man muss es aber innerhalb von 120 Sekunden machen es gibt keine weitere Auto-Fizifizierung unter anderen Mechanismen hier sieht man so ein überpflichtiges Ganze funktioniert also diese Laptop oder was immer das Gerät ist man drückt den Knopf dort dann innerhalb von 2 Minuten muss man den Knopf auf dem Access Point drücken und dann assoziieren die sich miteinander und dann ist das Gerät mit dem Access Point verbunden was ist das Problem? das Problem ist, dass jemand kann diesen Knopf drücken und zwar schneller als derjenige der den an dem Access Point den Knopf drücken möchte so, das ist im Grunde dadurch sich so ein Men in Middle und etabliert, weil sich dieses Gerät mit dem falschen Access Point verbindet ja, das so bekommt man also diese Men in Middle Attack über WPS, PPC hin und das Offer muss natürlich diesen Knopf auf seinem Gerät drücken die Frage ist, selbst wenn man das nicht aktiv benutzt ist man immer noch vulnerable, also verletzbar auf Windows 10 warum passiert das? das Problem in Windows 10 ist wenn du ein WPS-Network auswählst dann wird automatisch also Windows 10 drückt im Grunde diesen WPS-PPC-Warten für dich ein virtuellen, selbst wenn du es nicht aktiv selber benutzt du benutzt es trotzdem schließlich und also das ist eigentlich ein Usability Schlägt Security Feature von Microsoft ja, wie kann man das ausnutzen? ich zeige mal 4 Schritte wie das funktioniert das erste ist das Opfer hat also so ein WPA2-Netzwerk, wir machen da eigentlich nichts das Opfer ist glücklich ja ja, natürlich gibt es ein Windows 10 Laptop, das ist die Ausgangspunkt was wir als erstes machen ist wir trennen das Opfer vom Netzwerk das machen wir mit verschiedenen Methoden, zum Beispiel wenn wir Authentication Frames manipulieren und es gibt viele verschiedene Techniken das zu tun wir trennen das Opfer von dem Netzwerk mit dem es gerade verbunden ist sobald wir das tun nehmen wir an, dass das Opfer sich manuell wieder lokal verbinden möchte und in dem Moment advertisen wir aber dieses selbe Netzwerk mit derselben SSID mit dem zufälligen Passwort wenn es ein WPA2 Passwort ist und diesmal bieten wir aber diese WPS-PPC Kapazitäten an so, das Opfer klickt einfach auf das Netzwerk der virtuelle Button wird gedrückt von seiner Seite aus und was wir jetzt machen müssen ist wir müssen einfach den Knopf auf unserer Seite drücken und das Opfer logt sich dann in dem bösartigen Access Point ein und dieses Auto Connect Feature wenn das noch aktiviert ist dann verbindet sich das Gerät für dahin automatisch egal selbst wenn man sich eine Woche lang nicht mit dem Netzwerk verbunden hat und das gibt halt diesen Eindruck dass das Opfer halt immer wieder selber mit dem korrekten Netzwerk verbunden wird tja, was daran lustig ist das Netzwerk kann geschlossen sein gerichtet selber SSID SSWPA2 geschützt man klickt einfach auf das Netzwerk mit dem man sich verbinden will und trotzdem verbindet man sich eigentlich mit dem Access Point mit dem man nicht verbunden sein wollte und das Problem ist, dass Microsoft sagen wir mal, dass so einbunden hat dieses automatische oder diese Verbindung mit dem Netzwerk mit diesem Knopfdruck, dass das untrennbar ist das ist bis jetzt noch nicht veröffentlicht dass es zum ersten mal, dass das hier veröffentlicht wird und ja, diese Attacke geht mit dem Wi-Fi Feature mit der letzten Version, dann geht es also wenn man das als Penetration Test machen möchte vielen Dank thank you free and open source social network for active citizenship jetzt geht es um Human Connection ein kostenloses und open source soziales Netzwerk für aktive Bürgerbeteiligung okay, hello everyone ja, hallo zusammen mein Name ist Robert, ich bin einer der Entwickler von Human Connection, das ist ein kostenloses und open source soziales Netzwerk ich möchte ein Problem aufzeigen, also ihr benutzt ein Netzwerk, Facebook, Twitter, YouTube und ihr benutzt das als primäre Quelle für eure Informationen und dann kontrolliert ihr euren Newsfeed nicht mehr, warum Facebook, YouTube sind private Firmen der Quelltext ist nicht zugänglich und der Algorithmus entscheidet, welche Informationen ihr seht welchen Inhalt ihr seht ob es Werbung gibt aber auch welche Werbung ihr seht und deswegen verlange ich, dass soziale Netzwerke freie und open source Software sein sollen die Definition davon der Nutzer kontrolliert die Software wenn das Programm den Nutzer kontrolliert dann handelt es sich um nicht frei Software, wie zum Beispiel auch bei Facebook deswegen entwickeln wir ein soziales Netzwerk das frei und open source ist finanziert über Spenden wir haben fast genug Geld wir brauchen viel Geld für unser Team und ich zeige hier einfach nur die Grafik denn ich möchte zeigen, dass das funktioniert also es ist ein Markt es gibt einen Markt für Spenden für Software ich möchte auch noch mal darauf hinweisen bei frei Software ist es besonders wichtig dass es unabhängig finanziert wird denn Facebook und YouTube haben Werbekunden und die werden wahrscheinlich Features implementieren die nicht im Interesse des Nutzers sind bei frei Software entscheidet das die Community und weil die Benutzer das Programm kontrollieren sollten Features immer im Sinne des Benutzers sein also Facebook wird euch Werbung zeigen das ist definitiv nicht in eurem Interesse und sammelt eure Daten und das ist auch nicht in eurem Interesse während frei Software das nicht tun wird frei und open source Software wird euch keine Werbung zeigen und auch nicht eure Daten sammelt oder wenn wir es tun dann tun wir es um speziellen Grund zu haben und ihr könnt den Code auf GitHub angucken und euch anschauen wie es funktioniert also wir haben aktuell einen Übergang zwischen zwei Technologien ihr könnt euch unsere aktuelle Arbeitsumgebung angucken die heißt Nitro auf der rechten Seite seht ihr einen Link dazu da seht ihr auch die Zugangsdaten auf der rechten Seite da könnt ihr jetzt hingehen und das mal ausprobieren und weil wir einen Übergang haben zwischen Technologien ich zeige euch eben was wir benutzen wir benutzen jetzt UJS im Backend und UJS Frontend und UJS Backend und wir benutzen Neo4j als primäre Datenbank wir haben auf der alten Version 4000 Nutzer und 2000 Spenden auch tatsächlich ihr habt wahrscheinlich schon von einigen dieser Initiativen gehört Mastodon, Diaspora es gibt auch viele andere und wir wollen mit denen zusammenarbeiten es ist gute Neuigkeiten es gibt ein W3C-Standard der heißt ActivityPub das ist wie eine Sprache mit der verschiedenen sozialen Netzwerke miteinander sprechen können wenn wir einen Inhalte austauschen und von der Perspektive des Nutzers ist es nicht wirklich wichtig welches soziales Netzwerk also welchem sozialen Netzwerk ihr beitretet das ist zumindest der Traum wir haben das noch nicht vollständig implementiert aber wir möchten das machen und wir haben 2-wöchentliche Meetings mit anderen sozialen Netzwerken mit wie zum Beispiel NextCloud und wir versuchen da zu kommunizieren und alle ActivityPub zu implementieren damit wir und ihr könnt da beitreten wir nennen das Open Apps Ecosystem und wir haben auch ein wöchentliches Meeting für die Open Source Community auf der rechten Seite wir haben wöchentliche Treffen und versuchen unsere Leute die dem Code beitragen beizutragen also macht mit das ist alles von mir ganz herzlichen Dank der nächste Talk ist IOS Privatsphäre Hallo schnell kurz zu mir wer ich bin ich bin sowohl ein Apple Typ als auch ein Sicherheitsforscher Aktivist und kümmer mich um Flüchtlinge und arbeite für eine fiese Energiefirma ich schrieb eine kleine Beispiel App My Privacy eine ganz einfache App um euch zu zeigen was euch was bei IOS wichtig ist wo man drauf gucken muss welche APIs wichtig sind die Kontakte, Kalender und natürlich Siri ich war sehr überrascht als ich zum ersten mal anfing damit zu forschen denn Siri ist bei default eingeschaltet die App ist in Settings Siri aber es ist etwas verwirrend aber was ihr dort seht auf dem Screenshot ist Siri kann lernen wie ihr die App benutzt und was sie damit meinen ist, dass sie euch Vorschläge machen bzw. Shortcuts vorschlagen das kann aber auch sehr nervig sein als User also speak to text funktioniert noch nicht aber da sind sie wohl auch dran alles bei IOS läuft alles durch die selber API das ist für Fotos dasselbe wie für wenn es auf Restricted steht dann habt ihr Pech dann könnt ihr da nicht zu greifen ich die App wird abstürzen wenn ihr wenn ihr noch nicht nach Apps gefragt habt ich komme nicht klar und das wird auch von Apple geprüft oder sollte zumindest überprüft werden in dem Review Prozess dass ihr dem Nutzer auch tatsächlich sagt was ihr wirklich macht also sagt dem Leuten wirklich was ihr damit macht lügt sie nicht an das geht auch von denen die im Wesentlichen in der Liste mit drin sind es geht auch um Privatsphäre da müsst ihr auch erklären was er mit Kalendern macht mit Bluetooth und so weiter und ihr könnt auch nochmal fragen das ist immer gut zu wissen indem ihr diese URL aufruft dass es in diesen Einstellungen öffnet das wird die Einstellungen für die Benarrichtigungen nicht nochmal aufmachen aber der Benutzer ist dann in der die Berechtigung nachträglich zu erteilen das heißt ihr müsst immer nochmal diesen Status prüfen jedes Mal und es gibt natürlich Möglichkeiten wie man die Daten zugreifen kann Metadaten wenn ihr zum Beispiel die Benarrichtigungen die Orte Berechtigungen bekriegt bitte benutzt die Picker, das ist total wichtig wenn ihr die Picker nicht benutzt dann werden die Leute Zugriff dann müssen wenn ihr ein guter Entwickler sein wollt dann benutzt bitte nur spezielle Picker nehmt nicht alles auf einmal denn das werden schlechte Entwickler sammelt eine ganze Menge Informationen ein das machen hässliche Entwickler machen sowas seid bitte nicht diese Leute habt gutes Karma und ihr werdet auch immer wenn ihr die Berechtigungen hinzufügen müsst ihr benutzt ne Picker ihr könnt auch nur ein von den Pickern benutzen und wenn Kontakte einen Ort eingetragen haben zum Beispiel eine Postadresse dann könnt ihr darauf zugreifen zum Beispiel über Geocodierung das ist was was man wissen muss ihr könnt auch was ich auch noch erzählen wollte ist dass der Ort auch interessant ist die API dafür obwohl ich es mir überhaupt nicht gesagt habe das nicht erlaubt habe ihr werdet wohl denken dass das von den Regionseinstellungen kommt aber das stimmt nichts denn meistens die API-Adressen und deswegen sieht man ja auf der Karte wo ich bin, auf der Orts-API da muss man den Nutzer immer fragen bitte frag den Nutzer nicht nach allen Berechtigungen auf einmal sondern erst nach dem hier dann könnt ihr nämlich vermeiden eine Maske kommt denn beim zweiten mal kommt nur diese Maske hier und das ist eigentlich, jetzt habe ich leider keine Zeit mehr es gibt noch bei Kalendern auch viele Einstellungen wenn ihr mehr davon wissen wollt dann setz euch einfach mit mir in Verbindung hier sind die Kontaktmöglichkeiten thank you for this animated slide show ja, also danke für diese großartige slide show so, das nächste kommt das tree area network thank you hallo mein Name ist Ingo ich wollte ein Experiment mit euch teilen was ich dieses Jahr gemacht habe es heißt the TAN tree area network und als ich diese Präsentation zusammengestellt habe habe ich mir halt eigentlich ein paar Ferienbilder die ich euch zeigen wollte aber was ist kapazitive Verbindung das ist eine Technik um durch Kapazitoren durchzubringen das heißt, wir haben Informationen die irgendwo reingekodiert ist sie wird verstärkt sie wird in ein biologisches light medium wie zum Beispiel in Menschen geschickt wir haben also einfach diese Körperteile die eine unterschiedliche Kapazität in dem Falle haben wir haben dann Informationen dort reinspeichern und wieder zurückbekommen das funktioniert mit Menschen das funktioniert offenbar auch mit Pflanzen so, das DINACON diese Konferenz in Thailand ich wollte das mal ausprobieren ich wollte dieses kapazitive coupling diese Geräte die ich mir da ausgedacht habe wenn wir anschauen das Experiment war es mit Bäumen zu versuchen und wenn möglich wir haben Informationen von einem Baum zum anderen zu schätzen diese Informationen im Grunde von einer Seite des Dschungels zur anderen Seite zu bekommen ja, wir wollten mal schauen ob es überhaupt klappt also habe ich hier dieses Experiment gemacht ich habe einfach diese Kapazitiven beim Platten dort ja, habe diese Bäume gepappt die ihr seht in meinem Gesicht so richtig hat das DANON nicht funktioniert habe mir das aus der Skope angeschaut das war der zweite Versuch ich habe das also um ja diese Elektrode dort in diesem Baum gewickelt man sieht es am Signal ziemlich gutes Signal konnte ich also dekodieren ich konnte also Daten 5 bis 6 Meter von der Spitze des Baumes bis zum Boden übermitteln so sieht die Zeichnung dafür aus im Grunde ein einfacher Schwingkreis der also eine Trägerwelle von 300 Kilo Herz übersetzt und dann wird das im Grunde mit Standard Radiotechnologie oder Funktechnologie verstärkt so sieht es am Baum aus links ist der Sender mit dem Sensor und die Daten werden über den Baum übertragen und werden am anderen Teil auf der rechten Seite dort wieder aufgenommen und ja und wird dann zu einem Computer gesenden um das wieder auszulesen ja was kann das tun also ich kann auch noch auf King einvermachen das zweite ist ich wollte dieses Kostümierung TAN für Baum um Armer machen wie kriege ich Informationen von Bäumen dass ja ich wollte schauen ob das mit dem Menschen Körper zu verbinden ist und ob man die Daten aus dem Menschen Körper wieder rausbekommt das ist also im Grunde was wir gemacht haben ja wir haben diese Informationen dekodiert ohne wirklich zu verstehen was es tut also der Wissenschaftler liest dieses Signal von dem menschlichen Probanden der diese Daten wiederum aus dem Baum rausholt ja wenn ihr das mal selber probieren wollt ist das alles auf Github und auf meiner Webseite ja probiert's einfach mal aus, habt Spaß und vielen Dank next up ist Gnu Linux Improved der nächste Talk ist Gnu Linux Improved ja hallo mein Name ist Sam Hans und wie ihr vor zwei Talks gesehen habt es ist sehr schwierig die Security in iOS richtig hinzubekommen in Linux ist das kein Problem weil es die Features dort einfach gar nicht gibt und ich denke das ist falsch ein Betriebssystem im Jahr 2018 ein Betriebssystem sollte in der Lage sein die Anwendung daran zu hindern gegenseitig ihre Daten zu verändern alle im Moment ist die Situation in Unix so, dass alle Anwendungen mit denselben Rechten laufen USB-Dreiber werden automatisch geladen jeder Prozess kann alle Daten aus dem Userverzeichnis lesen und ist hier so ein kurzer Überblick was es an Entwicklungen gab wir haben immer die Möglichkeit Unix POSIX User zu erstellen wir haben Abarmer, wir haben SE Linux KVM Namespaces USB-Guard Docker, XPRA und es gibt Linux-Distribution wie Kube, OS oder die versuchen die Sicherheit auch zu verbessern ich habe aber noch einige Fragen übrig zum Beispiel erinnert ihr euch, dass es eine Vorgabe von Debian gibt, dass es eine Manpage für jedes Unix-Komando geben soll also warum haben wir noch X-DM warum haben wir noch diese grafischen Displaymanager das macht keinen Sinn grafische Displaymanager zu haben wenn man nicht die Bildschirmauflösung ändern muss dann ist der Fall mit Wayland zum Beispiel der Kernel läuft läuft bereits mit deiner festen Displayauflösung das braucht man nicht nach dem Login zu machen warum muss ich mich mit genügend Key-Layouts beschäftigen warum muss ich Experte sein um ein Key zu bekommen also ich würde gerne einen neuen Anfang machen in dem wir ein kleines Funktionales-Basis-System kreieren das einfach bootet ähnlich wie die FreeBSDs dann dann vielleicht einen App-Armor-Profil hinzufügen ein Firewall-Profil ein Package-Manager das könnte man auf GitLab verwalten um Bugs zu tracken ich würde das gerne mit euch diskutieren lasst uns um 23.30 Uhr in Raum M1 ihr seht ich habe ein paar Bugs in meinen Folien ich habe ich habe auch einen verbesserten Matrix-Kanal Improved Matrix Channel kreiert da könnt ihr mich erreichen oder auch bei linuximproved at northpool.de oder ihr könnt mich auch in MetaLab Vienna treffen das war es, vielen Dank so, der nächste ist Navigation in Linux-Colonel Security Areas Hallo Mein Name ist Alexander Popov ich bin ein Linux-Colonel-Developer und ein Sicherheitsforscher und ich möchte über die Navigation in der Linux-Colonel Security Area sprechen Linux-Sicherheit ist ein ziemlich komplexes Gebiet aus verschiedenen Konzepten, die es da gibt es gibt verschiedene Verwundbarkeitsklassen Exploitation-Techniken wie Bugs gefunden werden und da gibt es noch einige Verteidigungslinien die sind der Mainline-Kernel manche sind im Metron nicht drin einige von denen sind kommerziell und einige Verteidigungstechniken brauchen spezielle Hardware und all die haben sehr, sehr komplexe Beziehungen zueinander und es wäre wirklich, wirklich cool wenn man davon einfach mal eine grafische Repräsentation hätte um tatsächlich sich eher in der Navigation besser zurechtzufinden also habe ich so eine Katte erzeugt die gibt es in GitHub und die funktioniert so dass diese Konzepte, die ich jetzt gerade gezeigt habe und diese Verbindung mit den Knoten zeigen dann eine Beziehung zueinander diese Katte ist also über den Linux-Kernel den Selbstschutz es ist nicht über die Attack-Surfers von außen das ist die Katte hier ist ziemlich komplex also ich glaube ihr könnt jetzt gar nichts erkennen hier drinnen aber ich kann euch ein paar Teile davon zeigen also zum Beispiel sind hier diese Verwundbarkeitsklassen Stack Overflow uninselisierte Variablen Informationsleaks die rausgehen und ja ich habe das durchnummeriert damit man es leichter findet da sieht man dieses Packs Memory Stack Leak Technik die ja so einen Schutz gegen einige dieser Attacken bietet und da ist auch dieses Stack Leak diese Teile die ich vorbereitet habe es möchte sich an den Kernel 420 kommt das rein und da ist auch ein Debug-Mechanismus drinnen der schützt nicht über den Production Kernel der ist für das Debugging tatsächlich gebacken aber man kann diese Technologien kombinieren, einschalten und dann im Kernel schneller Probleme finden ich hoffe, dass das für euch interessant ist und ich würde euch einladen mit dem Kernel zu experimentieren diese Informationen zu lesen diese Quellen sich durchzugucken es gibt eine richtig schöne Liste von diesen Security Features es gibt diese Linux Kernel Security Dokumentation für den Mainline Kernel und da ist ein sehr schönes Dokument da geht es im Grunde um das Gesamtbild das Kernel Security funktioniert und aufgebaut ist und welche Aufgaben sind da drinnen welche Sachen müssen erreicht werden es gibt eine Liste von Empfehlungen für Kerneleinstellung aus dem Kernel Self Protection Project wenn man die einschaltet, dann ja, ist der Kernel auf jeden Fall sicherer als vorher und da ist auch noch so eine Abwehr Checkliste die den aktuellen Fortschritt anzeigt in den Security Features die in den Mainline Kernel Rheinmase kommen sollen und verwandte Open Source Projekte ja und es ist wirklich wichtig es macht nicht so richtig Spaß, diesen Config-File zu suchen nach diesen Optionen die das Hardening machen, die diese höhere Sicherheit bieten deswegen sollte der Computer den Job machen und ich habe ein Skript gemacht was das Config-File von dem Kernel durchcheckt und nach den entsprechenden Empfehlungen sichtet und man kann es einfach durchlaufen lassen mit seinem Config-File und kann sich die Empfehlung angucken und dann geht man auf die Karte die ich da gemacht habe und sieht halt wo in diesem Dokument mein Netz nachlesen müsste wenn man für dieses Feature etwas wissen möchte dann gibt es eine sehr gute Anmerksamkeit und nach dem Talk könnt ihr direkt mit mir sprechen ihr könnt mir eine E-Mail schreiben und ansonsten könnt ihr den Developer mag ich plaintext E-Mails und das Wichtigste genießt den Kongress ja und als nächstes pass the cookie in Pivot to the Cloud also gib den Keks weiter und bewege dich in die Cloud ich bin Pentester und Sicherheitsingenieur und ich möchte über pass the cookie sprechen das ist eine Technik die wir schon lange benutzt haben ich möchte die mal hier teilen die ist nicht wirklich neu aber denke wir sollten darüber sprechen um Infrastruktur besser zu schützen was in Cookie ist da denke ich glaube ich nicht großartig darüber sprechen jeder weiß was ein Cookie ist die sind für Sicherheit werden für Sicherheit benutzt das ist möglicherweise ein Schlüssel der das gesamte Königreich aufsperrt also du musst nur den einen Cookie klauen um zu allem Zugriff zu kriegen es gab einen Angriff der hieß Feierschieb der war wirklich toll und das hat dazu geführt dass wir SSL weiter sehr viel mehr benutzt haben das ist wirklich sehr gut und andere Dinge die ihr eventuell auch benutzen könnt um an diese Cookies zu kommen das ist möglicherweise nur ein einzelner Schlüssel wer von euch benutzt AWS oder Microsoft Azure ein Cookie ist der Zugriff auf euer gesamtes virtuelles Datencenter der Cookie ist der Schlüssel zu diesem gesamten Gebäude oder wenn man Kryptowährungen hat oder Facebook dann ist der Cookie das Token mit dem man als Angreifer da reinkommt also was ist jetzt pass the Cookie das ist ganz ähnlich wie pass the hash das ist ein ähnliches Konzept ihr habt dieses Token ihr gibt es weiter und bewegt euch dadurch die Umgebung und ein Angreifer kann wertvolle Dinge stehlen wo es möglicherweise sehr mächtige Cookies gibt ich habe das viele viele Male benutzt um das Ziel der Mission zu erreichen und wie komme ich jetzt an den Cookie pass the Cookie da geht es quasi schon nach dem man den Exploit schon durchgeführt hat also der Rechner ist schon kompromittiert und der Angreifer geht dann von diesem Ding aus durch die Umgebung und kompromiert dann zum Beispiel den Domain Controller und hat dann volle Möglichkeiten innerhalb der Firma aber ist noch nicht weitergegangen in die Cloud das heißt er kann jetzt hingehen und jetzt ein Administrator der den AWS Account administriert und sich den Cookie klauen und kann dann den Cookie weitergeben und damit dann weitergehen zur Infrastruktur in der Cloud und eine der Sachen ist einfach Process Dump das ist ein ganz einfaches Tool aber Cookies werden eben nicht nur im Prozess oder auf der Festplatte gespeichert sind sondern auch in anderen Programmen also könnte man Process Dump benutzen um alle Cookies von dem ganzen Rechner zu finden und wie hat man das früher gemacht naja früher hat man irgendwelche Extensions installiert und jetzt ist es viel einfacher nutzt die Entwicklerkonsole und setzt die den Cookie oder Chrome zum Beispiel auch eine sehr hübsche Oberfläche um den Cookie zu setzen ich möchte auf Cookie Crimes noch hinweisen da wir arbeiten aktuell an einem Ort wo wir sehr viele Mac-Rechner haben und da habe ich nach einer Möglichkeit gesucht das mit eine Mac zu machen und das gibt Cookie Crimes der benutzt Chrome ohne Benutzeroberfläche um die Cookies zu klauen hier ist ein Beispiel wie man GitHub kompromittieren kann ihr geht zur Webseite von GitHub Neuladen, ihr habt keinen Cookie gesetzt ihr seid nicht autorisiert es gibt einen einzelnen Cookie ihr werft den da rein und jetzt seid ihr eingeloggt jetzt machen wir das mal in der Cloud das ist das was ich hier nochmal besonders darauf hinweisen möchte die Organisation hat möglicherweise hier in der Google Cloud zum Beispiel einer der drei großen Cloud Infrastruktur Anbieter und ein Angreifer hat möglicherweise den Administrator kompromittiert Cloud so ein Cookie und geht dann weiter auf die Cloud Infrastruktur das ist quasi so ein drei Schritt Prozess und bei meiner Arbeit habe ich also hier dieses kleine Cheat Sheet mir zusammen gebastelt damit ihr quasi wisst, wer es für Cookies euch interessiert je nachdem was für einen Kunden ihr arbeitet ihr stellt sicher dass ihr das dürft also dass ihr explizit euch die Erlaubnis geholt habt hier sind ein paar interessante Cookies die ihr klauen könnt oder einen Angreifer klauen könnte um da zuzugreifen also wie können wir das erkennen ein paar Dinge also wir können zum Beispiel Process Dumps beobachten oder danach suchen nach unüblichen Aktivitäten auf Webseiten suchen und ich will hier noch schneller drüber gehen und über Schutzmaßnahmen sprechen Cookies auf der Maschine häufig löschen ist total hilfreich Session Cookies löschen also wenn ihr nicht der einzige Administrator auf eurer Maschine seid alles das auf der Maschine ist gehört das allen anderen Administratoren auf derselben Maschine das ist sehr sehr wichtig gerade wenn ihr in einer Firma arbeitet benutzt euren Firmenlaptop nicht um ja also herzlichen Dank vielen Dank der nächste Vortrag ist Krieg gegen die Drogen oder Drogenkrieg oder Drogenkrieg hallo hallo der volle Titel des Talks ist Krieg gegen die Drogen 50 Jahre Fake News und Propaganda rückgängig machen ihr könnt für euch selbst entscheiden was was ihr machen wollt was euer Grundsatz an Glauben zu setzen ist und mein persönliche Meinung ist Freiheit, Wahlfreiheit und Bildung 50 Jahre Forschung zeigen dass Zucker und Fett die schädlichen Stoffe sind es wurde lange gesagt dass Fett der Feind ist dass es aber nicht war denn es wurde gezeigt dass Fett ein wichtiger Bestandteil der Nahrung ist hier ist eine Zigarettenwerbung der Marlboro Mann der für Zigarettenwerbung gemacht hat Stab an Lungenkrebs das ist eines der bekanntesten und wichtigsten Zitate während der nächsten Kampagne nämlich man konnte es nicht verbieten gegen Krieg zu sein also wurde Drogen verboten das Drogenverbot ist eine direkte Konsequenz des Vietnam Krieges da sie Friedensaktivisten nicht anders anders harphaft werden konnten fanden sie diesen Weg um sie ins Gefängnis zu bringen und durch private Gefängnisse ist die Motivation so dass dass der Anreiz so ist dass die Gefängnisse das private Gefängnissystem bietet eben Anreize dass das System so bleibt und das System so folgen in einer Situation wo die Richter bestochen werden die das dazu führt dass Kinder im Gefängnis landen da haben wir jetzt kleine Änderungen am den Gesetzen aufgrund des Internets das Internet erlaubt uns frei zu kommunizieren das ist die Legalisierungskarte von Cannabis in den Vereinigten Staaten in vielen Staaten ist Cannabis legal Und die Wahrnehmung von Menschen ändert sich auch. In Großbritannien gibt es medizinische Nutzung von Cannabis seit dem 1. November. In Mexiko ändert sich es auch. In Südafrika ändert sich es. Es ändert sich im wesentlichen, also es wird im wesentlichen legal. Und das ist nur Cannabis. Und jetzt geht es hier um das Geschäftsmodell von Pharma-Firmen. Die kriegen Geld, wenn ihr züchtig werdet, nach deren legalen Drogen. Und sie haben keine Anreize, Drogen zu benutzen, die Menschen tatsächlich helfen. Hier geht es Ketamin gegen Drogen, gegen PTSD, Psilocybin für Leute, die tödliche Krankheiten haben. Die wissen, dass sie sterben werden. Aber diese psychedelischen Drogen wie Psilocybin, dass die Leute sich mit dem Tod abfinden können. Dass ich sterbe, aber gut, meine Seele wird vielleicht überleben. Und das reduziert Angst. Und wir wissen schon, dass diese Droge effektiv ist. Und jetzt testen wir, was für eine Art von Musik da hilfreich ist. Also diese Playlist ist total super, die empfehle ich euch sehr. Bücher über DMT. Und das ist eine Metapher. Wir haben das Teleskop, um in die Sterne zu schauen. Wir haben das Mikroskop, um eine sehr, sehr kleine Objekte anzuschauen. Aber wir suchen immer noch nach dem Mikroskop für das Gehirn. Also hier ist ein Beispiel von einem Hirnforscher. Ein Hirnforscher, der mit einer Kinoscannenverbindung im Kopf das Wiki, wo es selbst Medikationen angeboten wird. Psychedelische Rückzugsorte. Und wenn ihr euch weiter verbinden wollt, Psycadelic.com. Da könnt ihr euch mit Leuten treffen, die ähnliche Meinungen haben. Macht immer eure eigene Forschung. Herzlichen Dank, danke, danke, danke. Vielen Dank. Ja, jetzt der nächste Vortrag ist eher kein Vortrag, sondern ein Experiment. Das ist eine der seltenen Gelegenheiten, wo wir unsere Hardware an jemand anders geben. Das ist das letzte Event in dieser Session. Also, wenn euch irgendwas hier nicht so richtig gefällt, dann könnt ihr einfach gehen. Ich weiß nicht, ich gehe einfach mal weg und lass sie mal so ihre Sachen machen. Gut, vielen Dank. Also, ja, großen Applaus nochmal. Das ist die Ende der Lighting Talk Session. Danke, dass ihr da wart. Danke an alle Vortragenden, die teilgenommen haben. Und nochmal ein großer Rund Applaus für alle. Ja, und damit verabschieden wir uns aus der Übersetzungskabine. Wir waren FL Berger, Karim und Tribut. Lieben Dank zum Zuhören. Wenn ihr Feedback habt, dann meldet euch bei uns.