This website uses cookies to ensure you get the best experience on our website. Learn more

Easterhegg 2019 - Anonymität nach Tor

x

Easterhegg 2019 - Anonymität nach Tor





Anonymität im Internet -- was gibs da neben Tor eigentlich noch?

Anonymität im Internet -- was gibs da neben Tor eigentlich noch? Kurze Theorie, dann Vergleich von praxisnahen Systemen und dem neuesten heißen Scheiß aus der Forschung.

* Kurz: Anonymität, was ist das überhaupt?
* Tor und andere Anonymisierungsdienste mit niedriger Latenz: Problem Traffickorrelation
* Kurz-Einschub: Wird Tor jetzt in Deutschland und in Österreich illegal? Der Relaybetrieb?
* Alternativen DC-Netze, Broadcast, Mixes (z.B. Herd, Dissent, Riffle, Vuvuzela, Riposte, Loopix)

Konsequenz: Natürlich bei unserem Projekt [Katzenpost]( mitmachen! (irc.oftc.net, #katzenpost)

mo

x

Easterhegg 2019 - Wie ich die Regierung gehackt habe





Edu-taining Hacking-Stories, Tipps zur sicheren Anwendungsentwicklung, Pentesting und CTFs
*Zielgruppe: Entwickler*

Die Inspiration für diesen Talk kommt von einem XSS-Fehler in einer unwichtigen .gv.at Domain, mit dem ich Freunde und MItarbeiter von meinen hacking skills begeistern konnte. Daraus wurde dann ein weiterer (firmeninterner) Hack und ein Fortbildungs-Talk der jetzt in Version 2.0 fürs Easterhegg eingedeutscht und de-branded wurde.

Der Haupt-Teil des Talks befasst sich mit intuitiven, theoretischen und praktischen Tipps zu Anwendungssicherheit, Pen-Testing und mit Beispielen aus HITCON-CTF-2018 und SHA2017 analyisieren werden typische Sicherheits-Probleme aufgearbeitet.

Für Security Professionals wird der Talk vermutlich zu oberflächlich sein.

M

x

Easterhegg 2019 - Der Klarnamenzombie





Immer wieder fordern Politikerinnen und Politiker die Schaffung einer Klarnamenspflicht. Wir klären auf, was hinter der Klarnamenspflicht steckt, weshalb sie problematisch ist und das vorgebliche Ziel nicht erfüllen kann.

Immer wieder fordern Politikerinnen und Politiker die Schaffung einer Klarnamenspflicht. Zuletzt auch die österreichische Bundesregierung in Form eines digitalen Vermummungsverbots. Wir klären auf, was hinter der Klarnamenspflicht steckt, weshalb sie problematisch ist und das vorgebliche Ziel nicht erfüllen kann. Wir argumentieren uns durch das Bullshitbingo der Befürworter der Klarnamenspflicht und zeigen anhand von Beispielen, wie gefährlich diese Entwicklung wäre. Das Ziel unseres Vortrags ist eine grundlegende Argumentationsbasis, die man für Debatten um die Klarnamenpflicht heranziehen kann.

Erwin Ernst 'eest9' Steinhammer Iwona Laub

x

Easterhegg 2019 - Auskunftsbegehren





Ich stell mir das jetzt nicht so schwer vor - Berühmte (letzte) Worte. Auch wir haben sie gesagt und 2 Wochen vor dem Datenschutztag begonnen eine Ausfüllhilfe zu erstellen. Es wurde eine very early alpha daraus. Und wir arbeiten weiter...

Ich stell mir das jetzt nicht so schwer vor - Berühmte (letzte) Worte. Auch wir haben sie gesagt und 2 Wochen vor dem Datenschutztag begonnen eine Ausfüllhilfe zu erstellen (programmieren wäre hier übertrieben). Es wurde eine very early alpha daraus. Und wir arbeiten weiter. ...

Dies ist die Story wie es zur very early alpha kam, was sie kann , wo sie Zicken macht und wie es weiter geht.

Es geht hier nicht um rechtliches sondern um den technischen Hintergrund (und die Probleme die sich damit ergeben), wobei wir uns natürlich freuen würden wenn mal jemand der sich rechtlich damit auskennt darüber schaut.

Rabenkind

x

Easterhegg 2019 - Die Zwiebelfreunde/Riseup Durchsuchungen





Mitte 2018 wurde durchsucht. Ein Blick auf die Akten, die Rechtslage, und Ideen für die Zukunft.

Es gibt schon einige Vorträge zur rechtlichen Situation und Verhaltenshinweisen bei Hausdurchsuchungen. Hier möchte ich etwas detaillierter auf die Durchsuchungen bei den Zwiebelfreunden eingehen, mit netten Zitaten aus den Ermittlungsakten, und zwischendrin Inspiration für technische Maßnahmen und Projektideen bieten, die wir seitdem so diskutiert haben.

Presseschau:

mo

Easterhegg 2019 - Reanimation Datenschleuder





Vor zwei Jahren stand auf dem Easterhegg-Fahrplan ein Treffen zur Reanimation der Datenschleuder. Seitdem arbeitet ein Team daran, dass es wieder eine Datenschleuder gibt. Darüber, warum und wie wir das machen und wie ihr das auch machen könnt, wollen wir reden.

Schon auf dem initialen Treffen zur Reanimation der Datenschleuder stand als erstes die Frage im Raum, ob es überhaupt noch Sinn macht ein regel-mäßiges Print-Produkt herauszugeben. Nachdem genügend Leute sich dafür aussprachen war schnell klar, dass viel Arbeit vor uns liegt. Der Umstieg von InDesign auf TeX war schon lange in Planung. Wie wollen wir als Redaktion zusammenarbeiten? Und wo kommen die Inhalte her? Aber auch organisatorisch gab es viel herauszufinden: Wie wird eine Datenschleuder gedruckt, eingetütet und versendet?

Wir werden euch die Geschichte der Reanimation erzählen und berichten wie die aktuelle Datenschleuder-Redaktion arbeitet. Schlussendlich ist die Datenschleuder ein Fachblatt des ganzen Clubs, daher wollen wir von euch wissen: Was plant ihr mit der Datenschleuder?

vollkorn TVLuke

Easterhegg 2019 - Generative Adversarial Networks für Anfänger





Eine Einführung in die Unsupervised Machine Learning Methode der Generative Adversarial Networks
Zielgruppe: Entwickler, Minimale Machine Learning Kenntnisse / Vokuabular vorteilhaft aber nicht nötig

GANs sind ein relativ neuer Unsupervised Machine Learning Trend der einige vielversprechende Erfolge in [Medikamentenforschung]( data augmentation, Segmentierung, style transfer gezeigt hat.

Dieser Vortrag gibt einen Überblick über den Bereich der GANs, die Geschichte und die praktischen Anwendungen. DIe Zielgruppe sind keine Spezialisten, sondern normale Softwareentwickler. Der Talk ist in der 2. Version und wurde soweit es bei dem Thema geht für das Easterhegg eingedeutscht.

M

Easterhegg 2019 - Das neue Eventphone (PoC) Telefonsystem





Wir haben im letzten Jahr die Hard- und Software des Phone Operation Center (PoC) fast vollständig ersetzt. In diesem Vortrag wollen wir die neue Soft- und Hardware etwas näher Vorstellen.

Seit dem letzten Easterhegg (in Würzburg 2018) ist die Hard- und Software des Phone Operation Center (PoC) fast vollständig ersetzt. Der größte Schritt aus Benutzersicht war, die langen DECT Registrierungsschlangen gegen eine Selbst- oder Auto-Registrierungsfunktion zu tauschen. Auf dem Easterhegg 2018 gab es den ersten großen Test und wir haben [viel dabei gelernt]( Der zweite Test im August 2018 auf dem EMF Camp in England verlief reibungslos. Auf dem 35C3 gab es die Feuerprobe und wir brachen alle Rekorde. Während des Congresses wurden [über 6400]( Nebenstellen genutzt (3861 DECT, 1346 SIP, 1281 GSM) und etwa 269.800 Gespräche geführt. Das wäre mit dem alten System nicht möglich gewesen.

Auf dem 35C3 haben wir im Open Infrastructure Orbit den Vortrag: [Eventphone: früher, heute, morgen.]( gehalten und haben dabei einen Überblick über die Geschichte des PoC, die Funktionen und das *Warum?* des neuen Systems gegeben. Es ist sinnvoll, sich diesen Vortrag vorher anzusehen.

In dem Vortrag auf dem Easterhegg 2019 soll es nach einer kurzen Zusammenfassung des *Warum alles neu bauen?* und der Erläuterung der wichtigsten neuen Funktionen, hauptsächlich um das *Wie?* gehen. Es wird also technisch, aber mit dem Anspruch verständlich zu bleiben, um vielleicht doch noch ein paar neue Leute von der recht alten, vermeintlich abgehangenen, Technologie Drahtlostelefonie [(DECT)]( zu begeistern.

ST thomasDOTwtf Garwin

Easterhegg 2019 - Wie frei ist unser Internet? Netzneutralität in Europa auf dem Prüfstand





Europa hat nun seit 2,5 Jahre einen gesetzlichen Schutz der Netzneutralität. Dieser Talk liefert eine kritische Reflektion über den Status-Quo und die bevorstehende Reform der europäischen Regeln zur Netzneutralität in 2019.

In Europa wurde 2016 nach jahrelangem Kampf eines der Grundprinzipien des Internets, die Netzneutralität gesetzlich abgesichert. 2019 stehen diese Regeln auf dem Prüfstand und werden von der EU reformiert. Dieser Talk widmet sich der Ist-Situation nach 2,5 Jahren Netzneutralität in den Netzen Europas und basiert auf Studie des Vereins epicenter.works mit einer Vollerhebung aller Zero-Rating angebote. Darüber hinaus werden zentrale Themen der bevorstehenden Reform angesprochen, wie 5G und Spezialdienste. Zuletzt widmen wir uns noch den Datenschutzproblemen die auftauchen, wenn Provider allzustark in das Internetverhalten ihrer Nutzer eingreifen.

Thomas Lohninger

Easterhegg 2019 - Wir kippen die PNR-Richtlinie!





Dieser Talk gibt einen Überblick über die EU-Richtlinie zur Verwendung von Fluggastdatensätzen (PNR), die österreichische Umsetzung, sowie den Stand der Beschwerde und Kampagne von der Gesellschaft für Freiheitsrechte e.V. (GFF) und epicenter.works dagegen.

Am 27. April 2016 wurde die EU-Richtline zur Verwendung von Fluggastdatensätzen (PNR) beschlossen. Seit 2018 werden nun eine lange Reihe an Daten aller Menschen, die in die oder aus der EU fliegen, gespeichert und automatisch analysiert. In vielen Ländern - wie auch Österreich - kommen auch innereuropäische Flüge hinzu. Der EuGH hat schon den PNR-Datenaustausch mit Kanada für grundrechtswidrig erklärt. Gemeinsam mit der Gesellschaft für Freiheitsrechte e.V. (GFF) wird epicenter.works nun mit dem Ziel, die Richtlinie vor dem EuGH zu kippen, dagegen Beschwerde erheben. Dieser Talk gibt einen Überblick über die Richtlinie, die österreichische Umsetzung, sowie den Stand der Beschwerde und Kampagne dagegen.

Angelika Adensamer

x

Easterhegg 2019 - Autistische Wahrnehmungen





Der Vortrag zum Podcast – Was ist Autismus?

Seit Greta Thunberg und Friday for Future ist Autismus auch in den Massenmedien angelangt. Und auch im Chaosumfeld gibt es viele Autist:innen.

Deshalb möchte ich Euch in diesem Vortrag etwas über Autismus und meine Wahrnehmung erzählen. Ich rede darüber, warum Autist:innen die Welt anders wahrnehmen und warum manche schneller überreizt sind. Ich rede über die Stärken und über die Schwächen, wie Overloads und Meltdowns.

Denn: Nicht alle Autisten sind gut in Mathe und Informatik und manche reden trotzdem viel...

fairsein

Easterhegg 2019 - Infrastruktur-Review





-



fredl pascoda

Easterhegg 2019 - KI-Basierte Modifikation von Videostreams aus Überwachungskameras





In diesem Talk wird die KI-basierte Manipulation von Videos gezeigt. Als Beispiel werden Personen aus der Echtzeitübertragung einer IP-Kamera entfernt, um unbemerkt Objekte zu platzieren. Um dies zu ermöglichen wird zusätzlich ein Angriffsvektor auf IP-Kameras gezeigt.

Deep Learning ermöglicht beeindruckende Lösungen für die Echtzeitanalyse von Videosstreams, zum Beispiel dem Erkennen von Objekten. Unsere Forschungsgruppe verwendet Deep-Learning-basierte Methoden im Kontext von Videoüberwachung, auch aus Sicht eines Angreifers.

Wir zeigen mittels eines aktuellen Showcase, wie die Objekterkennung mit weiteren Methoden kombiniert werden kann, um Personen aus der Echtzeitübertragung einer IP-Kamera zu entfernen. Dies ermöglicht beispielsweise das unbemerkte entfernen und platzieren von Objekten. Da kein voraufgezeichnetes Material verwendet wird, läuft der Zeitcode im Bild hierbei nahtlos weiter.

Ebenfalls live werden Modifikationen an der Firmware der Kamera vorgenommen, um einen Angreifer die Manipulation des Videostreams zu ermöglichen. Dafür wird ein selbst entwickeltes Werkzeug für Sicherheitsanalysen eingesetzt, das flexibel und interaktiv zur Veränderung von Firmware verwendet werden kann.

Abschließend sprechen wir über die aktuellen Einschränkungen des gezeigten Showcase und was zur Vermeidung eines solchen Szenarios nötig ist.

Alexander Aigner Harald Lampesberger Eckehard Hermann Rene Zeller

Easterhegg 2019 - All Your Fitness Data Belongs to You: Reverse Engineering the Huawei Health Androi





This talk describes the reversing process of the Huawei Health app. In this context, the proprietary BLE Huawei Link Protocol v2 will be disclosed, which allows the use of the Huawei fitness devices without the Health App and its accompanying ecosystem.

Fitness wristbands and watches, so-called fitness trackers are constantly gaining in popularity. They can record a variety of private data (e.g. pulse, steps, calorie consumption, sports activity), which may also be of interest to other individuals. By now, the first insurance companies are already offering superior rates for providing them with the captured fitness data. Due to the great demand, it is not surprising that many well-known manufacturers offer fitness trackers. With the Huawei Band 3 Pro, the Huawei Watch GT and the Honor Band 4 (Honor is a sub-brand of Huawei), Huawei also sells a wide range of varying trackers. All these trackers are controlled with the Huawei Health App, which is available for both Android and iOS.

Huawei is using Bluetooth Low Energy (BLE) for the communication between smart phones and the addressed fitness devices. Built upon BLE, the proprietary protocol Huawei Link Protocol v2 is used. Since the protocol is not documented and partially encrypted, breaking out of the Huawei ecosystem is not simple. Until now, users have been bound to the Huawei Health App and its corresponding cloud environment and had to accept that their data is uploaded to Chinese servers.

During this talk the following, generally applicable methods for reverse engineering of Android applications are discussed:

Different methods to extract the app from the smart phone
Static analysis and deobfuscation of complex multidex applications (the Huawei Health App comprises over 13.000 classes and far over 64K methods) with Jadx [1] and Android Studio [2]
Dynamic analysis and instrumentation with Frida [3] to intercept the Bluetooth communication and to circumvent the code signing protection


Furthermore, the subsequent results concerning the Huawei Health App and the Huawei Link Protocol v2 will be presented:

The structure of the Huawei Link Protocol v2, including the handshake and cryptographic authentication between fitness tracker and smart phone
The readout of the fitness data stored (beside the cloud) on the smart phone in an encrypted local SQLite database (SQLite Encryption Extension), including the retrievement of the encryption key


[1]
[2]
[3]

Christian Kudera

Easterhegg 2019 - Ein Leben ohne Sticker ist möglich aber sinnlos





Sticker sind ein wesentlicher Bestandteil unserer Kultur, unserer Werte. Sticker sind überall! Aber warum? Dieser Talk soll einen seriösen Einblickin die neue wissenschaftliche Disziplin Stickerforschung geben. Aktuelle Forschungsergebnisse!

Beim 35c3 gab es ca 72 Stunden durchgehend (!) eine Schlange bei den Stickertischen neben dem Infodesk. Es wurden extra Sticker-Engel abgestellt, die diese Tische betreuten. Es scheint also wichtig zu sein.

Deswegen wurde am Institut für Paradoxe Intervention (IPI) ein Department für Stickerforschung mit namhaften Spezialisten besetzt.

Diese Präsentation der Stickerforschung vertieft einerseits die Kenntnisse der Teilnehmenden im Fachbereich Panini-Psychologie (PaPsy), bietet aber auch einen faszinierenden Einblick in die neuesten Forschungsergebnissen der Arbeitsgruppen Sticker am Laptop sowie Sticker am Klo.

Special: Alle Teilnehmenden erhalten eine Anleitung für die Organisation der eigenen Stickersammlung!

eckartt

x

Easterhegg 2019 - Wie Geo-Mashups die Welt vertaggen...





Geo-Mashups am Beispiel von Geopedia & GeoTube; wer erlaubt Zugriff auf welche Daten?
Was geht, was ging und was wird (nicht mehr) funktionieren?

* Geschichte von Geo-Mashups (GeoFeedia)
* Google Maps und der Wikipedia Layer => führte zu Places
* Geopedia (mehrsprachiges Reise- und InfoTool)
* Das Ende von Instagram-Geodaten
* Die Geodaten bei Twitter und YouTube sind immer noch da
* Was ist eigentlich mit Geodaten aus Facebook (FB Pages)
* Aktueller Stand der Geodaten auf YouTube am Beispiel von GeoTube
* Privatsphäre und öffentliche YouTube-Daten
* Geo-IP tagging (Provider/Upload-Filter/MaxMind)

###### Links
* [Geopedia](
* [GeoTube]( (*beta*)

Michael Schön

Easterhegg 2018 - What happens on a protocol level when I switch on my phone?





Protocol Analysis of what actually happens on the cellular protocol layers when you switch on a (2G/3G) phone.

Most hackers gernerally have a pretty good idea what happens on a protocol level when TCP is established, how ARP works and how the start of a HTTP connection looks like. But what about the time your cellphone registers to the (2G/3G) cellular network? This talk will be a step-by-step walk-through on what your phone is doing.

To reduce complexity, only 2G/3G is presented in this talk, leaving 4G for a later incarnation.

This will be a quite technical talk, but it targets people with no or low existing background knowledge on cellular systems or protocols.

Harald Welte

Easterhegg 2019 - Ein Augenblick. Ein Stundenschlag. Tausend Jahre sind ein Tag.





Was ist Zeit?
Dieser philosophischen Frage werde ich zwar nicht auf den Grund gehen. Dafür werde ich erklären was eigentlich eine Sekunde ist und wieso Zeitzonen keine ganz schlechte Idee sind.

Eine Reise in die Abgründe der Zeit.

Wieso hat ein Tag 24 Stunden, wie lang ist eine Sekunde und was ist eigentlich die Atomzeit? Dieses sind nur einige der Fragen, die dieser Talk versucht zu beantworten.

In unserer moderen Gesellschaft spielt die Zeit eine immer größere Bedeutung. Doch dabei ist oft gar nicht so klar, wie die Zeiteinheiten definiert sind. Dazu kommen die unterschiedlichen Zeitskalen mit denen wir dabei hantieren.

Und dann ist da natürlich auch noch die Frage wer oder was ein Erdrotationsservice ist und was dieser mit massenweise abstürzenden Servern im Sommer 2012 zu tun hat.

Das alles und noch viel mehr versuche ich im Rahmen dieses Talks aus dem Dunkel und das Licht zu führen.

telegnom

Easterhegg 2019 - Nuclear Propulsion – From The Somewhat Reasonable To The Utterly Insane





A brief tour of propulsion systems utilising nuclear reactions. What could possibly go wrong?

Nuclear reactions offer big advantages for propulsion systems and rockets in particular. Able to run at high temperatures, they are efficient. In rockets, transporting as much energy in as little mass as possible is key to successful rocketry. Nuclear fuels offer great potential, as they have a much higher energy per mass ratio than chemical fuels. I'll walk you through some of the great ideas humanity had to access this potential.

Paulchen

MRMCD2019 Über Bruteforce Protection und warum das gar nicht so leicht ist





Bruteforce Angriffe - also Angriffe durch Ausprobieren aller möglicher Passwörter - sind so alt wie Passwörter selbst. Seit Systeme über das Internet erreichbar wurden, haben diese Angriffe an Relevanz gewonnen. Doch obwohl die Idee des Angriffs simpel und altbekannt ist, gibt es in der Praxis kaum Verfahren zur Abwehr dieser Angriffe, die nicht neue Probleme mit sich bringen. In meinem Vortrag möchte ich die gängigen Verfahren beleuchten, aufzeigen welche Probleme sie mit sich bringen und schließlich auch eine Lösung vorstellen, die es besser macht.

Im Vortrag zeige ich verschiedene Ansätze wie Bruteforce Protection in der Praxis gehandhabt wird, und dass sie fast alle ein zentrales Problem ignorieren - sie ermöglichen einen Denial of Service Angriff. Schließlich stelle ich das Verfahren der Bruteforce Protection via Device Cookies vom Open Web Application Security Project (OWASP) vor, das bisher der einzige praktikable Ansatz zu sein scheint. Abschließend gibt es noch ein Ausblick über Zwei-Faktor-Authentifizierung zu WebAuthn um zu zeigen, dass es auch andere Lösungsansätze gibt die sich mit der Problematik von Passwörtern allgemein befassen und eine Zusammenfassung mit Hinweisen für Anwendungsentwickler\*innen und Nutzer\*innen.

Leeo

Shares

x

Check Also

x

Menu