Stranger Than Usual

Vorträge auf dem 38C3

Wie neulich schon im Post über den 38C3 angekündigt, hier eine Übersicht über die Vorträge, die ich mir angehört habe bzw. die so interessant klangen, dass ich sie noch anhören will. Die lightning talks behandle ich dann vielleicht später noch einmal in einem separaten Post.

Alle Aufnahmen der Talks stehen wie immer auf media.ccc.de.

libobscura: Cameras are difficult

Einer der ersten Talks des Congresses. Ich bin vorher schon einmal unabhängig über die Seite des Autors gestolpert, und über libobscura selbst habe ich glaube ich zum ersten Mal über This Week in Rust gestolpert, vielleicht aber auch über Mastodon.

Libobscura ist eine Kamerabibliothek für Linux, geschrieben in Rust. Der Vortrag ist unterhaltsam gemacht und berichtet davon, wie das Projekt entstanden ist, mit welchen Detailproblemen man sich bei der Entwicklung von Kamerasoftware herumschlagen muss und wie die Zukunft des Projektes aussieht.

Clay PCB

Zu diesem Talk haben die Hackerinnen auch die Ergebnisse ausgestellt. Eine Gruppe Hackerinnen aus Österreich wollte resourcenfreundliche und nachhaltige PCBs herstellen und haben sie in lokal gefundenen Ton gestempelt und gebrannt. Ein interessanter Vortrag, aber ich sehe das mehr als proof of concept als etwas, was wirklich sinnvoll einsetzbar ist.

Viele Leiterplatten aus gebranntem Ton in Holzrahmen. Die Leiterplatten sind jeweils gleichseitige Sechsecke, in Rillen sind silbern Leiterbahnen zu sehen. Einige von ihnen haben Microcontroller aufgelötet.

An open-source guide to the galaxy: Our journey with Ariane 6

Ein Talk über zwei voneinander unabhänige Teams, die jeweils einen Satelliten mit derselben Ariane 6-Rakete in die Umlaufbahn haben schießen lassen. Die beiden Vortragenden haben sich auf dem Congress kennengelernt und dann einen Talk darüber gemacht.

Warum Nutzende Logins nerven

Von diesem Talk habe ich mir mehr versprochen. Für Leute, die noch nicht mitgekriegt haben, dass Benutzername/Passwort-Logins keine gute Idee sind aber vielleicht ein guter Einstieg. Für mich ein bisschen zu oberflächlich.

How to Spec - Fun with dinosaurs

Ein Vortrag von einem Paläokünstler (paleoartist), also jemandem, der anhand von wissenschaftlichen Erkenntnissen Bilder von ausgestorbenen Lebewesen erschafft (in diesem Talk mit einem Fokus auf Dinosaurier).

Den Talk kann ich uneingeschränkt empfehlen, er behandelt ein Thema über das man kaum nachdenkt, beleuchtet die vielen Probleme (unvollständige Funde, ständig neue Erkenntnisse, Spekulationen, etc) und ist auch noch gut gemacht.

Wir wissen wo dein Auto steht

Die sprichwörtliche Bombe, die am ersten Tag des Congresses geplatzt ist. Es waren noch ein paar Slots frei Programm. Die wurden freigehalten, weil erst am selben Tag dieser Spiegel-Artikel erschienen ist.

Im Vortrag am selben Abend wird dann schön erläutert, wie VW mal wieder auf ganzer Linie verkackt hat. Unter dem Vorwand, das Ladeverhalten von E-Auto-Batterien zu optimieren haben die jedes Mal, wenn ein Auto einer VW-Tochter geparkt wurde, die GPS-Daten des Autos hochgeladen. Verkacker 1: Diese Daten hätten nicht erhoben werden sollen.

Diese Positionsdaten hätten dann eigentlich gekürzt werden sollen, so dass sie nur noch auf etwa 10km genau sind. Das wurde aber in etwa ⅔ der Fälle nicht gemacht.

Dann wurden die Positionsdaten auch noch mit den Kundenaccounts verknüpft, so dass man auch noch verfolgen konnte, wem denn nun das Auto gehört.

Das alleine wäre schon schlimm genug. Damit weiß VW alles über das Auto und vieles über den Kunden. Aber dann ist natürlich noch der GAU passiert: Eine Kopie mit den Datensätzen von hunderttausenden von Autos stand nahezu frei im Netz verfügbar. Dass ist der Grund, weshalb man Datensparsamkeit praktizieren muss: Daten, die nicht erhoben werden, können nicht leaken.

Immerhin wurde die Lücke schnell behoben. In Reaktion auf die Berichterstattung führte VW natürlich wieder die üblichen Beschwichtigungen ins Feld, dass das ja nicht so schlimm sei, dass die Lücke nicht so einfach ausnutzbar gewesen wäre, etc. Bullshit. Wenn eine Hackerin das alleine hinkriegt, kriegen es auch Geheimdienste hin. Ach ja: Daten von Autos von BND-Mitarbeitern wurden auch geleaked. Kann also niemand behaupten, Geheimdienste würden sich nicht dafür interessieren.

Illegal instructions by legal – Anweisungen für den anwaltlich begleiteten Rechtsbruch

Bei diesem Titel ist es relativ klar, dass es von dem Vortrag keine Aufzeichnung gab. So viel Rechtsbruch war da aber auch nicht drin, es ging mehr um Grauzonen. Zwei Anwältinnen, eine von der Seenotrettungsorganisation Sea-Watch und ein von… ich weiß nicht mehr, könnte aber FragDenStaat gewesen sein.

Ein guter Vortrag, ein Tipp, der bei mir hängengeblieben ist: Setze eine Person an die juristisch relevante Position, die viel in der Öffentlichkeit steht und wenig andere Angriffsfläche bietet (d.h. weißer, mittelalter Mann mit viel Publicity). Da stehen die Chancen gut, im Ernstfall mit einer milden Strafe davonzukommen.

Fearsome File Formats

Ein Talk über Dateiformate und wie man Dateien erstellen kann, die mehrere unterschiedliche Dateitypen gleichzeitig sind (mit gültigem Inhalt). Technisch interessant und security-relevant, weil man so eventuell die automatische Dateityp-Erkennung austricksen und Scans umgehen kann.

The master key

2010 wurde der (bzw. ein) HDCP master key veröffentlich. In diesem Vortrag treten die dahinterstehenden Personen zum ersten Mal an die Öffentlichkeit und berichten, wie sie das geschafft haben.

Biological evolution: writing, rewriting and breaking the program of life

Ein Talk von zwei theoretischen Biologen über Modelle und Simulationen, wie Einzeller damit angefangen haben könnten, zusammenzuarbeiten. Also quasi der erste Schritt in Richtung Mehrzeller.

Knäste hacken

Ein Talk von Lilith Wittmann. Das sollte eigentlich schon ausreichen um zu sagen, dass er sehenswert ist.

Es geht darin zum einen um die Versorgung von Gefängnissen mit Telefon- und Internetinfrastruktur (wobei es zu einem Datenleak über die Telefongespräche von Gefangenen mit ihren Freunden, Verwandten und Anwälten kam), die in Deutschland in der Hand von nur einer Firma liegt, die verklagt werden musste, um auch nur halbwegs angemessene Preise anzubieten und über Verwaltungssoftware in Gefängnissen, die auch zu wünschen übrig lässt.

Mit OpenType ein X für ein U vormachen

Dazu habe ich keine Aufzeichnung gefunden. In dem Talk berichtete jemand, der Schriftarten entwirft, mit welchen Tricks man arbeiten kann und wie man Glyphen effektiv nach regulären Ausdrücken durch andere ersetzt. Gedacht ist das eigentlich für Ligaturen und so, theoretisch kann man es aber auch für Manipulationen und Gaslighting verwenden.

All Brains are Beautiful! – The Biology of Neurodiversity

Ein schöner Talk darüber, was die biologischen Unterschiede in nicht-neurotypischen Gehirnen sind und welchen evolutionären Sinn das haben könnte.

Security Nightmares

Die Security Nightmares. Ein Klassiker.

Decentralize Your Internet with Self-Hosting

Hier beginnen die Talks, die ich mir erst nachträglich angeschaut habe. Dieser hier handelt davon, wie man sich zu Hause eine kleine, sichere, aus dem Internet erreichbare Nextcloud-Instanz aufbaut.

Wann klappt der Anschluss, wann nicht und wie sagt man Chaos vorher?

Eine statistische Analyse, unter welchen Bedingungen bei der deutschen Bahn wie wahrscheinlich Verspätungen sind. Kurz zusammengefasst:

  • Zu Stoßzeiten sind Verspätungen wahrscheinlicher
  • Fernverkehr hat größere Verspätungen als Nahverkehr
  • Je länger ein Zug schon gefahren ist, desto höher die Wahrscheinlichkeit für Verspätung
  • wenn die Bahn eine Verspätung ankündigt ist die Wahrscheinlichkeit groß, dass diese sich noch erhöht

Mit den Daten haben sie außerdem ein Modell trainiert, so kann man sich eine Verbindung heraussuchen, bei der die Verspätungswahrscheinlichkeit gering ist: bahnvorhersage.de.

Fnord-Nachrichtenrückblick 2024

Die Fnordshow ist wieder da, war leider viel zu spät in der Nacht. Fall jemand eine Übersicht über die Absurditäten von 2024 braucht. Dieses Mal leider ohne Frank Rieger, dafür mit einem running Gag, der eine Supporthotline beinhaltet.

Hacking yourself a satellite - recovering BEESAT-1

Ein cooler Vortrag, wie ein Hacker den Satelliten BEESAT-1 wieder unter Kontrolle brachte. Der war über zehn Jahre vorher plötzlich mehr oder weniger ausgefallen, weil er wichtige Parameter überschrieben hat, wie sich herausstellte. Nur: Wie patched man das, wenn die Software auf dem Satelliten das eigentlich nicht vorsieht?

Och Menno - How NOT to build a submarine

Ein unterhaltsamer Vortrag. Zuerst kommt ein kurzer Rückblick auf historische Fehlkonstruktionen bei U-Booten, dann ein ausführlicherer Bericht über die Fehler und die Arroganz bei der Konstruktion des TITAN U-Bootes.

Der Titel dieses Talks ist ein Verweis auf den sehenswerten Talk „How to build a submarine and survive“ vom 37C3, wo sich Leute im Hof ein funktionsfähiges U-Boot zusammengebastelt haben.

„Konnte bisher noch nie gehackt werden“: Die elektronische Patientenakte kommt - jetzt…

Dieser Vortrag hat mich dazu gebraucht, meiner ePA doch noch zu widersprechen. Selbst wenn alle in dem Talk genannten Sicherheitslücken behoben würden scheint mir die Entwicklung daran so aus dem Ruder gelaufen, dass ich kein Vertrauen habe, dass hier in Zukunft nicht noch mehr Mist gebaut wird.

Für alle, die sich noch nicht entschieden haben: Man kann den Widerspruch zur ePA jederzeit wieder aufheben. Umgekehrt kann man jederzeit Widersprechen und die bis dahin gesammelte ePA löschen lassen. Sollte alles kein Problem sein, es sei denn, die Daten sind bereits geleaked. Ob man widerspricht, ist eine persönliche Risikoabwägung von Datenschutz vs. dem Vorteil, dass Ärzte einem unter Umständen schneller oder besser helfen können.

Vorträge, die ich noch nicht angesehen habe

Hier noch eine Liste der Vorträge, die noch interessant klingen, die ich aber noch nicht angeschaut habe: