Beyond Science Fiction TU Darmstadt, S2|02 Darmstadt 2010-09-03 2010-09-05 3 pre_alpha_0.18 04:00 00:10 19:20 00:30 C205 opening_event mrmcd1001b:start(). GIC 20:00 00:50 C205 pc_systemarchitektur Wie funktioniert die Hardware eines PC und warum ist sie schrottiger als die fast aller anderen Rechnersystemen. lecture de Die Systemarchitektur der PCs stammt aus der 70er Jahren des vergangenen Jahrtausends und das sieht man ihr auch an. Die Zielsetzung dieses Systems war eine andere als die Dominierung der Rechnerwelt 40 Jahre später. In diesem Vortrag werden die über 40 Jahre angesammelten Macken und eigenartige Konstrukte dargestellt, die sich über die Zeit in der PC Hardware angesamelt haben und deren weitere Entwicklung des Systems immer wieder behindern. Andreas Portele 21:00 00:50 C205 dmx_for_soho Buntes Licht für jedermann lecture de In der professionellen Veranstaltungstechnik wie etwa im Theater, auf Konzerten oder auch in Diskotheken werden die Lichtanlagen über das Bussystem "DMX" gesteuert. Mittlerweile sind entsprechende Komponenten auch für den Hobbybereich erschwinglich oder können mit etwas Elektronikkenntnissen selber gebaut werden. Der Vortrag soll einen Überblick über kostengünstige kommerzielle Hardware und vor allem Selbstbauprojekte verschiedener Schwierigkeitsgrade bieten. In der professionellen Veranstaltungstechnik wie etwa im Theater, auf Konzerten oder auch in Diskotheken werden die Lichtanlagen über das Bussystem "DMX" gesteuert. Mittlerweile sind entsprechende Komponenten auch für den Hobbybereich erschwinglich oder können mit etwas Elektronikkenntnissen selber gebaut werden. Der Vortrag soll einen Überblick über kostengünstige kommerzielle Hardware und vor allem Selbstbauprojekte verschiedener Schwierigkeitsgrade bieten. Dabei soll zuerst ein theoretischer Überblick über das Bussystem gegeben werden und für die dabei erarbeiten Blackboxen konkrete Lösungsvorschläge vorgestellt werden: - Software für den PC - Interfaces von USB/Ethernet => DMX - Empfänger/Lampen Einige Codebeispiele, wie der Empfang von DMX-Daten mit Atmel-Mikrocontrolern soll dabei den krönenden Abschluss darstellen. Axel Jäger Meine Software zur Steuerung von Licht DMX Selbstbauprojekte von Hendrik Hoelscher 21:00 00:50 C120 Larry Wall auf der Suche nach dem heiligen Gral der Programmierkunst. lecture de Perl 6 ist Larry Wall & Co. (auch @larry genannt) Entwurf die Programmiersprache der Zukunft zu entwerfen die über 20 jahre Aventgarde bleiben können soll. Und die armen Implementer müssens ausbaden oder wie? Eine vergnügliche Reise an der blutenden Kante entlang. * Worum gehts hier eigentlich? * ganz kurze geschichte des Projektes * Perl-Philosophie * inhaltlichen neuerungen * viele Häppchen syntax * Anekdoten Herbert Breunung mein Perl 6 Tutorial linkliste zu Perl 6 20:00 04:10 dj-spock's chill&party lounge dj_spock_partylounge1 other Live DJs am Fr und Sa Abend: Martin (CC-Music), XLF (Dubstep, Minimal), Tonfusion (Techno, Minimal), Stereophonie (minimal), dj bobo (d&b, liquid), kaner (Minimal), d.caruso (downbeat, chillout), dj-spock (minimal, techno classics) Am Fr Abend: dorneo&GGG →live generierte 3D Images Live DJs am Fr und Sa Abend: Martin (CC-Music), XLF (Dubstep, Minimal), Tonfusion (Techno, Minimal), Stereophonie (minimal), dj bobo (d&b, liquid), kaner (Minimal), d.caruso (downbeat, chillout), dj-spock (minimal, techno classics) Am Fr Abend: dorneo&GGG →live generierte 3D Images dj-spock 13:00 00:50 C205 power_to_the_people Warum das Stromnetz der Zukunft Open-Source braucht lecture de Hausbussysteme, Eingebettete Linux/Mikrocontroller-Systeme, Webservices, Drupal - in der Open-Source Community sind alle Bausteine vorhanden, um ein modernes Strommanagement-System für Zuhause umzusetzen. Der Vortrag stellt dar, wie verschiedene Techniken kombiniert werden können, um die Position des Stromkunden zu stärken. Der Vortrag betrachtet die Gegebenheiten im deutschen Stromnetz: Brauchen wir Atomkraftwerke? Welche Probleme verursachen Photovoltaikanlagen? Wie kann man damit umgehen? Basierend auf meinen bisherigen Erfahrungen im Projekt mySmartGrid stelle ich die gegenwärtigen Herausforderungen dar. Dabei vertrete ich den Standpunkt, dass $Nerd hier eine neue Spielwiese finden kann und Open-Source Technologien nötig sind, um die Position des Verbrauchers zu stärken. Die großen Marktplayer sind eher daran interessiert, ihre Position zu festigen und helfen dem Verbraucher nicht wirklich weiter. Es gilt also, Kräfte zu bündeln und viele - bereits existierende - Spielwiesen so zu kombinieren, dass die Position des Strom-Verbrauchers gestärkt wird. Der Vortrag stellt existierende Technologien dar und ruft zur Mitarbeit auf. Keywords: OpenWRT, Flukso, Volkszähler, mySmartGrid, Chumby, 6LoWPAN Mathias Dalheimer Webseite des Projektes 15:00 01:00 C205 lightning_talks Andreas Portele 17:00 00:50 C205 little_neuromancer Über Kontrollvisionen und die Gegenwart der Zukunft in ausgewählten Science-Fiction Romanen lecture de Huxleys "Schöne Neue Welt" drohte mit einem dystopischen Schrecken des Jahres 2540. In Orwells 1949 erschienenem Roman "1984" rückt die erzählte Zeit bereits sehr viel näher an die Gegenwart heran und auch Gibsons "Neuromancer" lässt uns nicht mehr so leicht davonkommen: Dieser Gründungsroman des Cyberpunks spielt im 21. Jahrhundert und verkündet eine durchtechnisierte Welt kybernetisch verbesserter Menschen, die zum Spielball einer künstlichen Intelligenz werden. Die Vision eines Überwachungsstaates an der amerikanischen Westküste in Cory Doctorows "Little Brother" benötigt hingegen keine ferne oder nahe Zukunft mehr, um glaubwürdig sein zu können. Die Helden Doctorows spielen ebenso mit ihrer technisierten Umwelt wie Case und Molly bei Gibson. Technik ist bei Doctorow nicht weniger das allgemeine Medium der Handlung als bei Gibson - allein jene Technik ist Realität. So findet sich im "Little Brother" keine Technik, die nicht bereits realisiert wurde. Die erzählte Zeit ist die Gegenwart. Vielleicht ist das kein Zufall? Die Versprechen und Drohungen des 20. Jahrhunderts scheinen ihrem Schema nach in unserer Gegenwart angekommen zu sein. Wenn das aber so ist, wo liegt dann die Funktion des Genres Science-Fiction? Braucht Science-Fiction Zukunft? Anhand der Untersuchung von Kontroll- und Überwachungsvisionen in ausgewählten SF-Romanen gehen wir dieser Frage nach und zeigen, welche Formen von Überwachung imaginiert werden, welche Technikvorstellungen damit verbunden sind und welche Funktion der erzählten Zeit innerhalb des Erzählten zukommt. Annette Ripper Kai Denker 18:00 00:50 C205 das_dreckige_halbe_dutzend Sechs kleine Projekte, zum nachdenken, nachmachen und besser machen lecture Bequemer (und spannender) als Train Watching: mit dem Computer die Umwelt erkunden. Es wird beispielhaft gezeigt, wie man mit kleinen Softwareprojekten die Welt entdecken und erforschen kann. In dem Vortrag stelle ich mehrere kleine Projekte vor, die sich im Laufe der Zeit angesammelt haben: Crawler die langfristig Infos sammlen, Scripte um langweilige Routineaufgaben zu vereinfachen und generell Tools, die man als Nerd anfaengt und dann halbfertig liegen laesst. Beispiele sind die Erstellung von Datenbanken ueber Staus auf der Autobahn, das Wetter, Baustellen, Suchbegriffe bei Suchmaschinen, oder Scripte die versuchen minimale Changesets fuer ein Codereview zu erstellen. Der Hauptfokus des Vortrags liegt darauf zu zeigen, mit wie wenig Aufwand man spannende Grundlagen fuer die Erforschung der eigenen Umwelt schaffen kann. lexi 19:00 00:50 C205 steampunk Steampunk - Mehr als nur ein Literaturgenre lecture "What the Frack" ist dieses Steampunk überhaupt, werden sich vielleicht einige Fragen. Andere haben den Begriff schon mal im Internet im Zusammenhang mit Literatur, Film, Spielen, Kostümen gesehen oder im Rahmen eines Case-Moddings aufgeschnappt. Steampunk hat viele Facetten, denn es ist nicht nur ein Genre, sondern auch eine Philosophie, Subkultur, Lebensart. Wie gehen neue und alten Medien mit dem plötzlichen Auftauchen einer neuen Subkultur um? Im Rahmen des Vortrags wird die Geschichte des jungen Genres erzählt, die verschiedenen Spielarten aufgezeigt und natürlich auch die besondere Steampunk-Kultur vorgestellt... tbd Alex Clockworker-Steampunk Blog http:// 20:00 00:50 C205 adobe_cert_trust_privacy ... and other fun with Adobe products lecture en An interesting little Adobe Flash 0day, with which you can turn on camera and microphone of the user without the user noticing (hopefully). And a small fuckup in Adobe Reader deployment, where we can see what Adobe thinks about the source of Acrobat. Alexander 'alech' Klink 22:00 01:40 C205 faul_about_crypto Was man mit Krypto ausser Verschluesseln machen kann lecture de Von den vielen existierenden kryptographischen Verfahren ist leider nur viel weniger tatsächlich im Einsatz, als die Kryptographie bietet. Dieser Vortrag soll einen informellen (=allgemeinverständlichen und nicht zu technischen) Überblick über aktuelle kryptographische Protokolle und die damit (zumindest theoretisch) gelösten Probleme geben. Ziel dieses Vortrages ist, einen Überblick ueber die Möglichkeiten der Kryptographie zu geben, die ueber die aktuell in der Praxis anzufindenden lösungen wie Verschluesselung und Signaturen hinaus gehen. Dabei soll es nicht um Details, mathematsiche Grundlagen oder Sicherheitsbeweise gehen, sondern es soll viel mehr vermittelt werden was es gibt und, wenn einfach möglich, auch skizziert werden wie. Eine kleine, unvollstaendige Liste der angesprochenen Themen sind: * Forward-Secrecy durch entsprechenden Key-Exchange (DHKE) * Commitments * Secret Sharing * Zero Knowledge Proofs * Homomorphic Encryption * Private Information Retrival * Oblivious Transfer * Multiparty Computation * Twoparty-Computation mit Garbled Circuits * Wenn noch Zeit da ist * Quantenschluesselaustausch * Quantenangriffe Immo 'FaUl' Wehrenberg 23:00 02:00 C205 Massenbildung movie de Die Youtube-Alternative. Damit niemand schlafen gehen muss. Massenbildung 101: Filmgeschichte für Hacker. Entweder was philosophisches, was intelligentes oder was technisches. Oder alles zusammen. Oder einfach was lustiges. Lasst euch überraschen. Stimmt im Doodle ab! bios 13:00 00:50 C110 hacking_ibutton_based_systems Ein Überblick über die Sicherheit von Maxim iButtons in verschiedenen Anwendungsgebieten. lecture de none yet none yet crib 14:00 00:50 C110 the_erly_way Yet another Webtechnology session lecture de Hans-Christian Esperer 15:00 00:50 C110 jonglieren_fuer_nerds workshop Jonglieren als Denksport: Siteswaps und Table Juggling. Keine Vorkenntnisse notwendig. Sport ist Mord, aber auch der nerdigste Nerd braucht mal einen Ausgleich zur szenetypischen Bewegungsarmut. In diesem Workshop geht es um Jongliermuster für 1...n Personen: wie man sie beschreibt und wie man welche findet. Um die Welt der Jongliermuster ohne langes Training erkunden zu können, werden wir die Bälle nicht werfen, sondern an Software verfüttern oder auf dem Tisch jonglieren. Wer's richtig lernen möchte, kann sich natürlich ein paar Tipps holen. Der Schlüssel zu allem sind Siteswaps. Ein Siteswap ist eine endliche Folge elementarer Würfe, die sich fortlaufend jonglieren lässt. Dabei werfen die Hände stets abwechselnd in einem festen Zeittakt und jede Hand hält höchstens einen Ball, der vor dem Fangen des nächsten geworfen werden muss. Würfe können unterscheidlich hoch sein und damit unterschiedlich viele Zeitschritte bis zum Fangen lassen; sie können entweder mit derselben oder mit der anderen Hand gefangen werden. Solche Wurffolgen lassen sich als Zahlensequenz beschreiben, in der jede Zahl einen Wurf spezifiziert. Angegeben wird jeweils die Zahl der Zeittakte, bis der geworfene Gegenstand für den nächsten Wurf bereitsteht. Einfache Beispiele sind 531, 441 oder 51. Beim richtigen Jonglieren entsprechen die Zahlen verschiedenen Wurfhöhen, auf dem Tisch müssen die Bälle nur unterschiedlich lange liegenbleiben. Über die Mathematik dahinter kann man eine Weile nachdenken, aber viel mehr als Permutationen und Zustandsgraphen wird man nicht brauchen. Interessanter wird es, wenn man sich Mitstreiter sucht und im Rudel jongliert. Passing nennt das der Jongleur, und Passing-Muster für mehrere Personen kann man aus Siteswaps konstruieren. Ein Mittel dazu ist die Préchac-Transformation, und die gibt es als Software zum Klicken im Netz. Jan Trukenmüller Sven Türpe Siteswap FAQ Table Juggling -- ein paar Siteswaps Préchac this - Generator für Passing-Muster rec.juggling: Symmetric Passing Patterns (Christophe Prechac, 1999) Video über den Geek Point auf der EJC 2010 Juggling with packets: floating data storage Jonglieren für Anfänger Matt Hall's Siteswap List The Passing Database The Blind Juggler -- Jonglierroboter Juggling Papers Siteswap Fractals Anschluss finden -- Jongliergruppen und -vereine in DE rec.juggling -- die einschlägige Newsgroup Jongl -- Jongliersimulator Für Physiknerds: aus der Formelsammlung für Jongleure Siteswap Basics 17:00 00:50 C110 wir_waehlen_die_freiheit Freiheit und Antifeatures Antifeature = Ein "Feature" das mich einschränkt und das ich eigentlich nicht haben will. Was mit Sim-Locking beim Handy begann, hat inzwischen über Hand genommen. Welche Geräte ohne Antifeature auskommen und auf welche Hardware man interessante Hacks machen kann, werde ich in diesem Vortrag aufzeigen. Ich kaufe mir ein Stück Hardware und dann darf ich nur das aufspielen was mir ein Konzern erlaubt? Bücher werden heute nicht verbrannt, sondern "zurückgezogen" und von meinem Lesegerät gelöscht? Diese sind nur einige Beispiele von Antifeaturen die in diesem Vortrag aufgezeigt werden. Des weiteren werde ich Hardware zeigen die einem wirklich gehört, auf dem ich meine eigene Software installieren kann. Was mit OpenWRT bekannt wurde ist inzwischen mit vielen Geräten möglich. Hier bekommt "Happy Hacking" eine neue Definition. Jens Frankfurt 18:00 00:50 C110 cacerten SSL-Certs for the masses meeting Gegenseitiges Zertifizieren nach CACert http://cacert.org 19:00 00:50 C110 emacs_und_common_lisp Iterativer Work-Flow in Emacs und Lisp, Maxima, Tcl/Tk, ... lecture de Robert 20:00 00:50 C110 wieviele_meter_hat_deine_anonymitaet Einführung in die metrische Beschreibung von Privatheit lecture Wie anonym bin ich? Wie leicht sind meine verschiedenen Netz-Identitäten verkettbar? Angefangen bei Anonymitätsmengen gibt es mittlerweile eine beachtliche Liste von Versuchen Privatheit quantitativ zu beschreiben. Letztendlich geht es um nicht weniger oder mehr als die Bedeutung der Begriffe "Anonymität" und "Verkettbarkeit". Und auch wenn Wissen des Angreifers die entscheidende Unbekannte ist, lohnt es sich diese Maße zu betrachten, weil sich daraus lernen läßt wie anonyme Systeme gebaut werden. lars 22:00 00:50 C110 keysigning_und_cacerten Networking für Hacker workshop de Treffen zum PGP/GPG-Keysigning. Weitere Infos zur Durchführung im Wiki. Kurze Zusammenfassung: Wir machen chaotisches Keysigning, bringt bitte Fingerabdrücke und andere benötigten Utensilien mit, also zum Beispiel Ausweise, falls ihr auf sowas steht oder überlegt euch, wir ihr euch sonst euren IRC-Bekanntschaften gegenüber authentifizieren könnt. Diesmal kein vorbereiter Keyring zum Runterladen und Ausdrucken. Sowas ist uns zu 90er. bios 23:00 00:50 C110 virtualised_usb_fuzzing lecture * Introduction to USB * Introduction to Fuzzing and Scapy * Using both and QEMU to fuzz-test operating systems (and applications) The Universal Serial Bus (USB) is a widely adopted technology which replaced serial and parallel IO ports in 1996. USB emerged because attaching peripheral devices to a PC was cumbersome and error-prone. This was primarily due to the traditional IO paradigm which mapped the devices into the CPU's IO address space and assigned an interrupt line (IRQ). The design of USB allows attaching, configuring and accessing peripheral devices with low cost and simplicity from the user's perspective. Other benefits include one interface for many devices, automatic configuration, hot pluggability or built-in power supply for the device. When an operating system encounters a device attached via USB, it needs to load the appropriate driver to expose the functionality of the device to the user. Even though kernel developers are usually very experienced and kernel code is subject to repeated review, varying code quality for USB drivers can be expected for multiple reasons. Not only do many different devices exist which require numerous different drivers, but these devices will also have time-to-market constraints which not allow for driver code security audits. Examining the history of the Linux kernel source code in the USB driver directory supports that claim. If those drivers in kernel space were vulnerable, an attacker could gain elevated privileges because it can be assumed that the kernel runs with the highest privileges on the system. Several concrete attack scenarios exist. Publicly available computers with USB interfaces could be attacked by simply plugging in a malicious device. Such a public computer could be a photo-terminal used to load photos to be printend from a pendrive or a digital camera, a PC in a library or an unsupervised machine in a shop. Even some aircraft have an in-flight entertainment system which allows USB devices to be plugged in to listen to songs on portable music players or view documents on a pendrive. Muelli 13:00 00:50 C120 Von Hüten, Flaggen und Hypothesen lecture de An vielen Hochschulen werden in der IT-Sicherheitsausbildung Angreifermethoden gelehrt. Der Vortrag stellt die hierbei eingesetzten Lehrformen vor sowie die Vorteile des Lehrens von Angriffstechniken und warum Absolventen mit Erfahrung im Hacken gebraucht werden. Martin Mink 14:00 00:50 C120 bley_intelligentes_greylisting_ohne_verzoegerung lecture Wer heute E-Mails filtern will, greift oft zu Black- oder Greylisting. Diese haben jedoch den Nachteil, dass sie entweder E-Mails verlieren (wenn ein guter Absender auf einer BL landet) oder zumindest verzögern können. Die Lösung heißt intelligentes Greylisting, welches das normale Greylisting um eine selektive Komponente erweitert. Nur auffällige Sender (in einer DNSBL gelistet, nicht RFC-konformes EHLO etc.) werden gegreylisted, alle anderen werden durchgelassen, wodurch die Verzögerung fast auf 0 sinkt. Um zugleich die unerwünschten Verzögerungen von Greylisting und auch die Schwierigkeiten von durch Dritte zusammengestellten Blacklists zu vermeiden, haben wir intelligentes Greylisting entwickelt. Anstatt jeden unbekannten Absender direkt temporär abzuweisen und seine Reaktion abzuwarten, wird der erste Zustellversuch zunächst analysiert. Anhand dieser Analyse wird entschieden, ob die E-Mail sofort angenommen werden soll; andernfalls kommt Greylisting zum Einsatz und die E-Mail wird mit einem temporären Fehler abgelehnt. Die Analyse erfolgt dabei in mehreren Schritten: 1. Ist der Absender in einer bekannten Whitelist, nimm die E-Mail sofort an. 2. Ist der Absender in einer bekannten Blacklist, setze Greylisting ein. 3. Verwendet der Absender einen nicht standardkonformen Namen im SMTP-HELO, sind Absender und Empfänger Adresse identisch oder verbindet sich der Absender aus einem DialUp-Netzwerk, setze Greylisting ein. 4. Schlägt der SPF-Check fehl, setze Greylisting ein. 5. Falls keiner der vorhergehenden Schritte zum Greylisting geführt hat, nimm die E-Mail sofort an. Mit bley haben wir ein Software-Paket entwickelt, das den oben skizzierten Algorithmus implementiert. Bley verwendet die Policy-Daemon-Schnittstelle des SMTP-Servers Postfix und ist somit leicht in existierende Umgebungen integrierbar. Als Benchmark haben wir bley gegen policyd-weight auf einem Server mit ca 20.000 E-Mails/Tag antreten lassen. Dabei filterte policyd-weight 97,5% der E-Mails als Spam, bley "nur" 97%, verzögerte aber nur zwei und verlor keine einzige. Für den praktischen Einsatz schlagen wir die Kombination von bley mit einer inhaltsbasierten Spam-Erkennung (zB SpamAssassin) als zweite Stufe vor. Durch den hohen Anteil an Spam-E-Mails, die bley bereits mit minimalem Rechenaufwand auf Protokollebene abweisen kann, müssen rechenaufwändige inhaltsbasierte Verfahren dann nur noch auf eine sehr viel geringere Zahl von E-Mails angewendet werden. Evgeni Golov project homepage 15:00 00:50 C120 warzone A ChaosVPN for Playing Capture The Flag lecture de warzone - another ChaosVPN incarnation with "enter at your own risk" security. ChaosVPN - the American name is AgoraLink - is a tinc based, fully meshed VPN to connect hackerspaces and other hacker related networks for fun, sharing, learning and competition with each other. Its purpose is to provide a trusted, private and secure network with high bandwidth, low latency, without single points of failure. The first intended usage of the network was VoIP, but it has become used for lots of different purposes - whatever works on IPv4 and/or IPv6 works on ChaosVPN. This includes our own root zone .hack. Most major Hackerspaces in Europe and America are now connected via the ChaosVPN. To play CTF contests we decided to build a separate incarnation of this network called warzone. This network is to compete, play and learn in an isolated environment without harming anyone. We host CTF hacking contests and challenges on the network. Critical thinking, source code analysis, reverse engineering and a good understanding of networks are the abilities honed in this environment. The talk will show the direction ChaosVPN / AgoraLink took and explain some decision points. We will show how it is built, what it does and how to integrate it in your hacker gathering space. And then we will show how this network can be used to play CTF Games and have some fun. Erik Tews mc.fly defcon talk http://wiki.hamburg.ccc.de/index.php/ChaosVPN 17:00 00:50 C120 clientzertifikate Aus Alt mach Neu lecture Jeder kennt das: (fast) jede Website / Applikation verlangt heute nach einem Account/Password. Der Wunsch nach Single Sign On ist nicht neu. Die Umsetzung aber ein Henne - Ei Problem. Gib jedem Anwender ein Client Zertifikat, und wir sind dem Ziel ein Stück näher gerückt. Was ist zu tun? Applikationsentwickler sind aufgerufen, ihren Anwendungen ein Zertifikatslogin zur Verfügung zu stellen. Erfolgsstory bei der Benutzung von Client Zertifikaten innerhalb von CAcert am Beispiele CATS Server (CAcert Assurer Trainings Server) Wordpress Blog: kein Spam mehr Weniger Administrativer Overhead. Keine vergessenen Passwords mehr. Author: Ian Grigg, Translation: Ulrich Schroeter Nach einem historischen Streifzug erhält der Zuhörer weitere Details, wie er seine Applikation durch minimalen Aufwand für seine Benutzer sicherer gestalten kann. Anhand von Showcases wird beispielhaft die Entwicklung der Einführung von Client Zertifikaten innerhalb einer Community aufgezeigt. Neben Ansätzen für den Entwickler, werden aber auch Risiken und Nebenwirkungen aufgezeigt, die bei einer Migration zu berücksichtigen sind. Ulrich Schroeter Presentation at Fosdem 2010, Bruxelles Video Stream Presentation at Fosdem 2010 CAcert: Client Zertifikate - Aus Alt mach Neu - Presentation (Dt.) Transcript of Engl. Presentation Vortrag auf dem Linuxtag 2010 Berlin 18:00 00:50 C120 atomic_tagging Let's reinvent personal data management! lecture Warum kann ich eine Datei nur in ein Verzeichnis ablegen? Warum brauche ich eine Suchmaschine auf meinem lokalen Rechner? Warum gibt es unzählige Anwendungen um meine MP3 zu verwalten, aber keine für Dokumente? Es gibt jede Menge Workarounds für die Limitierungen, die uns ein hierarchisches Daten-Management-System (aka. File-System) aufzwingt. Atomic Tagging möchte nicht ein weiteres Workaround sein. Es versucht stattdessen, einen neuen Weg aufzuzeigen, wie man Daten flexibel und homogen verwalten kann. Für weitere Infos bitte die Links beachten. tokei Project home page Project paper 19:00 00:50 C120 interaktives_avr_arduino_hacking und ohne IDE übrigens auch workshop Live Demonstration wie man kann Hardware mittels FORTH Schritt-für-Schritt recherchieren und dabei ein funktionierendes Programm bauen. * Einführung zum AVR Architektur (Vor- und Nachteile von Harvard-Architektur) * Mini-Einführung zum FORTH als Programmiersprache * amforth Installation * Wie baut man ein Programm für Arduino step-by-step saper Amforth: Ein FORTH für AVR AVR Assembler Starting Forth by Leo Brodie 20:00 00:50 C120 javascript_vs_perl Die Feinheiten, Stärken und Schwächen von Javascript aus Perlsicht erklärt lecture de Javascript Core¹ oder genauer ECMA-Script ist nicht nur mittlerweile wohl die meistverbreitete und seit V8 auch schnellste Scriptsprache, sondern auch eine der am schlechtesten verstandenen. Die Parallelen zwischen beiden Sprache sind erstaunlich, Brendan Eich hat beim Design von JS oft Konzepte aus Perl entliehen, oder gemeinsame Quellen bemüht. JS lässt sich also fast als Untermenge von Perl begreifen. Doch die Betonung liegt auf FAST! - Wo genau liegen die Unterschiede bei Scoping, Argumentübergabe, Operatoren und Typecasting? - Wie werden Imperative, Funktionale und OOP Programmierung unterstützt. - Und wie kann ich fehlende Konstrukte idiomatisch nachbauen? Ziel ist es durch die Kontrastierung beider Sprachen ein vertieftes Verständnis zu gewinnen. ¹) Es geht um den Sprachkern, die Betrachtung des DOM ist nicht beabsichtigtigt. Rolf Langsdorf 22:00 00:50 C120 low_level_bit_fucking_with_attiny lecture willi 23:00 00:50 C120 lecture de GIC 17:00 02:00 Meeting regiotreff meeting maha/Martin Haase 18:00 04:10 dj-spock's chill&party lounge dj_spock_partylounge2 Live DJs am Fr und Sa Abend: Martin (CC-Music), XLF (Dubstep, Minimal), Tonfusion (Techno, Minimal), Stereophonie (minimal), dj bobo (d&b, liquid), kaner (Minimal), d.caruso (downbeat, chillout), dj-spock (minimal, techno classics) Live DJs am Fr und Sa Abend: Martin (CC-Music), XLF (Dubstep, Minimal), Tonfusion (Techno, Minimal), Stereophonie (minimal), dj bobo (d&b, liquid), kaner (Minimal), d.caruso (downbeat, chillout), dj-spock (minimal, techno classics) dj-spock 22:10 04:10 dj-spock's chill&party lounge dj_spock_partylounge3 Live DJs am Fr und Sa Abend: Martin (CC-Music), XLF (Dubstep, Minimal), Tonfusion (Techno, Minimal), Stereophonie (minimal), dj bobo (d&b, liquid), kaner (Minimal), d.caruso (downbeat, chillout), dj-spock (minimal, techno classics) Live DJs am Fr und Sa Abend: Martin (CC-Music), XLF (Dubstep, Minimal), Tonfusion (Techno, Minimal), Stereophonie (minimal), dj bobo (d&b, liquid), kaner (Minimal), d.caruso (downbeat, chillout), dj-spock (minimal, techno classics) dj-spock 12:20 00:30 C205 A Social Network for the Users, hosted by the Users lecture Soziale Netzwerke boomen heutzutage wie nie zuvor. Großen Anbieter zielen aber auf eine Gewinnmaximierung, nicht selten bleiben die Interessen der User dabei auf der Strecke. LifeSocial, eine P2P-basierte Lösung steht in den Startlöchern, um das soziale Dilemma zwischen Performanz, Sicherheit und Funktionalität zu lösen. LifeSocial wurde an der TU Darmstadt von Dr.-Ing. Kalman Graffi entwickelt und ist völlig dezentral, sicher und qualitäts-kontrolliert aufgebaut. Soziale Netzwerke sind heutzutage ein wichtiger Bestandteil der Internetkultur. Große Anbieter verwalten dabei die Daten der Nutzer und nutzen diese für personalisierte Werbung. Als Dienstanbieter ist dies verständlich, da die Investitionskosten für Server, Strom und Lagerung wieder eingeholt werden müssen. Dass hochskalierende Anwendungen mit mehreren Millionen Nutzern auch kostenneutral und fair durch die Nutzer selbst getragen werden können beweist Skype, das auf P2P-Technologie aufsetzt. Den selben Ansatz wählt LifeSocial, eine sichere P2P-Plattform für digitale soziale Netzwerke, das an der TU Darmstadt von Dr.-Ing. Kalman Graffi am Multimedia Communications Lab entwickelt wurde. Durch den P2P-Ansatz werden die sonst brachliegenden Ressourcen der Nutzer verwendet um eine Infrastruktur zu schaffen, die den Betrieb des digitalen sozialen Netzwerks trägt und sicherstellt. So werden die typischen Anwendungen wie vernetzte Profile, Photoalben, Freundeslisten und Gruppen noch durch vielfältige direkte und indirekte Kommunikationsmöglichkeiten erweitert. Die App-basierte Architektur erlaubt die fortwährende Erweiterung und Verbesserung der Anwendung. Der Focus der Arbeit ist aber auch auf der Sicherheit in dezentralen sozialen Netzwerken, sowie auf der Performanz der verteilten Anwendung. Bezüglich der Sicherheit wurden die gängigen Sicherheitsziele für die Kommunikation berücksichtigt und eine sichere, zugriffskontrollierte dezentrale Datenhalten implementiert. Bezüglich der Performanz wurde im Rahmen der QuaP2P-Forschergruppe und des SkyNet-Projektes ein dezentraler Regelkreis integriert, der es dem großen Netzwerk ermöglicht, sich selbst zu beobachten, den Zustand zu deuten und passend auf die Umgebung zu reagieren, um eine kontrollierte Performanz zu ermöglichen. Diese Fülle an Innovationen erlaubt es LifeSocial die Hürden und Herausforderungen eines dezentralen sozialen Netzwerks zu überwinden und eine funkionale und performante Lösung zu bieten. Kalman Graffi 13:00 00:50 C205 ...der Staat wills mal wieder wissen, lecture de Oliver "Unicorn" Knapp 15:00 00:50 C205 modellrakten Ein etwas anderes technisches Hobby lecture de Im Vortrag wird das etwas ungewöhnliche Hobby Modellraketen vorgestellt. Die notwendigen rechtlichen Rahmenbedingungen wie auch die Technik von Modellraketen wird präsentiert. Beispiele von Raketenflügen und -Flugtagen runden den Vortrag ab. Mathias Gärtner 16:15 00:50 C205 closing_event Mrmcd1001b ! kTHXBYE. 12:00 00:50 C110 security_in_mobile_devices * Hardware Security ** Complexity ** Buffer Overflow *** Function Calls *** Overwrite Ret Addr ** Shellcode ** Protection * Platform Security ** Symbian ** iPhone ** Maemo *** Maemo 6 ** Android * Hacking ** Exploitability ** Bluetooth ** WLAN ** HTML ** GSM ** NFC * Q&A ** Summary ** Q&A Es geht um Platformen fuer Mobile Geraete: iPhone OS, Maemo und Android und welche Security Properties die jeweils bieten. Es geht nicht darum, wie genau man Jailbreaked oder andere 1337 hax0r Dinge tut, sondern welche Security Massnahmen getroffen wurden (Addressspace Layout Randomization, Non-executable Stack, Privilege separation, etc.). Auch geht es um den Unterschied zwischen herkoemmlichen und mobilen System, wieso und und wie sich Shellcode unterscheiden muss. Dabei wird auch ziemlich low-level auf Bufferoverflows aus x86 und ARM eingegangen. Abschliessend werden vergangene Hacks verschiedenster Layer von so einer Platform vorgestellt und hoffentlich die Leute motiviert, mit dem Hacken ihrer Geraete anzufangen. Muelli 13:00 00:50 C110 Schatzsucher per GPS in Theorie & Praxis workshop de Eine anschauliche Einführung ins Geocaching, ca. 1 Stunde "indoor" - Motivation - Welche Arten gibt es? - Wie verhält man sich am besten? - Gefahren und Hindernisse - Ausrüstung - Persönliche Erfahrungen Ca. 10 Min. kurze Einführung in die Caches, die wir uns vorgenommen haben. Danach gehen wir sofort los und suchen ca. 2 Stunden. Bitte unbedingt mitbringen: - Vorwissen über Geocaching (z.B. durch den Vortrag "Geocaching für Beginner") - feste Schuhe - wetterfeste Kleidung - Neugierde Bitte wenn möglich mitbringen: - GPS Gerät - Taschenlampe - Kamera Bitte unbedingt nicht mitbingen: - Laptop Eine anschauliche Einführung ins Geocaching, ca. 1 Stunde "indoor" - Motivation - Welche Arten gibt es? - Wie verhält man sich am besten? - Gefahren und Hindernisse - Ausrüstung - Persönliche Erfahrungen Ca. 10 Min. kurze Einführung in die Caches, die wir uns vorgenommen haben. Danach gehen wir sofort los und suchen ca. 2 Stunden. Bitte unbedingt mitbringen: - Vorwissen über Geocaching (z.B. durch den Vortrag "Geocaching für Beginner") - feste Schuhe - wetterfeste Kleidung - Neugierde Bitte wenn möglich mitbringen: - GPS Gerät - Taschenlampe - Kamera Bitte unbedingt nicht mitbingen: - Laptop Martina Freundorfer http://www.geocaching.com/ http://www.opencaching.de/ 12:00 00:50 C120 Writing state of the art apps for an open mobile system (oder auf deutsch) workshop Gliederung: - was ist MeeGo? (History + Devices) - was ist QML? - Hello World in QML - Erfahungsbericht: Python zu QML Binding - QML Beipielanwendung fuer MeeGo in Python - Diskussion Georg Sievers Kristian 'kriss' Müller 13:00 01:40 C120 crypto_with_broken_trustmodels Ein Rant ueber SSL-Handling von Browsern lecture Crypto in SSL ist vermutlich sicher, trotzdem koennen Geheimdienste beliebigen HTTPS-Traffic abhoeren, wenn es genuegend Motivation gibt. Dies begruendet sich in dem Zertifikatmanagement der Clientsoftware, dessen zu Grunde liegendes Vertrauensmodell der Realitaet einfach nicht gerecht wird. Dieser Vortrag soll dieses Vertrauensmodell zunaechst erklaeren, dann Schwachstellen aufzeigen und zum Ende eine offene Diskussion zu moeglichen Loesungen anstossen. Crypto in SSL ist vermutlich sicher, trotzdem koennen Geheimdienste beliebigen HTTPS-Traffic abhoeren, wenn es genuegend Motivation gibt. Dies begruendet sich in dem Zertifikatmanagement der Clientsoftware, dessen zu Grunde liegendes Vertrauensmodell der Realitaet einfach nicht gerecht wird. Dieser Vortrag soll dieses Vertrauensmodell zunaechst erklaeren, dann Schwachstellen aufzeigen und zum Ende eine offene Diskussion zu moeglichen Loesungen anstossen. Konkret soll der Vortrag auf folgende Aspekte eingehen: * Was sind Zertifikate * Was ist eine Zertifikathirarchie * Wie ist das Vertrauensmodell in einer Zertifikathirarchie * Wie kann man mehrere Zertifikat-Hirarchien vereinigen * Wie ist das in Webbrowsern und aehnlichem geloest * Warum ist dezentralismus hier extrem schlecht fuer die Sicherheit * Diskussion: Wie kann man das ganze Retten oder wie wuerde man das komplett besser machen koennen. Immo 'FaUl' Wehrenberg 15:00 00:50 C120 systemadministration_mit_python 60 Minuten Flamewar gegen die Bourne Shell ... lecture de Python ist eine objektorientierte Hochsprache mit der man viele alltägliche Probleme elegant erschlagen kann. Einige Beispiele dazu schauen wir uns in diesem Vortrag an. In dem Vortrag werden wir uns u.a. folgendes anschauen: - Python als Shell (ipython) - Cluster administrieren - Protokolle sprechen und verstehen - Logfiles effizient parsen - Auf dem Weg zur händischen Lösung nebenher ein Skript aus den Ergebnissen erstellen - Daraus flux eine Web- oder GUI-Applikation basteln Sven Dehmlow Die beste Einstiegsseite zu Python http://