mrmcd18

Ein IoT Smart Lock – was sollte schon schief gehen? Die Sicherheit von Smart Locks ist in jedem Fall ganz großes Kino! Wir haben für euch das Nello Smart Lock genauer angesehen, entwickelt von einem Münchner Startup, welches mit Sicherheit 2.0 (AES256, TLS1.2) beworben wird. „Highly advanced encryption methods & unbreakable compared to physical locks“ ... Das Nello Smart Lock verbindet sich mit dem WLAN und ist dann ausschließlich über die Cloud steuerbar. Von der Cloud aus wird anhand von Uhrzeiten und Benutzer-Standorten konfiguriert, ob sich die Haustüre gerade öffnen lässt. Ist dies der Fall, wenn geklingelt wird, öffnet sich die Haustüre. Zuerst geben wir euch einen Überblick über alle Komponenten und Protokolle, die in diesem Ökosystem zum Einsatz kommen. Hier wird eine interessante Protokoll-Mischung eingesetzt - bekannt durch andere IoT-Fernsehköche ;) Wir möchten nicht all zu viele Details spoilern, damit ihr alle ins Kino geht, aber wir waren in der Lage, den gesamten Netzwerkverkehr zu lesen, Nachrichten zu senden, Verbindungen dauerhaft zu beenden, Nutzeraccounts einsehen und ändern, Aktivitätsprotokolle anzusehen, Mailadressen zu verifizieren und Rechte zu eskalieren. Wie jeder gute Disney-Film endet es mit einem Happy Responsible Disclosure. about this event: https://talks.mrmcd.net/2018/talk/FU7SEU

Die Revolution vom 9. November 1918 beendete den Ersten Weltkrieg, in dessen Verlauf 10 Millionen Menschen starben. Auf der einen – hellen – Seite brachte die Revolution ein demokratisches Deutschland mit einer modernen Verfassung hervor. Diese beinhaltete ein gleiches Wahlrecht, das erstmals Frauen die politische Teilhabe ermöglichte. Die Monarchie war nunmehr Geschichte. Es herrschte Freiheit für Kunst und Wissenschaft, Bildung sollte allen offen stehen. Auf der anderen – dunklen – Seite stehen Grausamkeiten gegen politische Gegner und gegen die Bevölkerung. Karl Liebknecht und Rosa Luxemburg wurden 1919 ermordet, als sie die weitergehende soziale Revolution einforderten und sich Hunderttausende zu diesem Ziel bekannten. Diesen Forderungen stellte die sozialdemokratische Regierung Soldaten entgegen, die unter der Zivilbevölkerung wüteten. Es kam zu unbeschreiblichen Gemetzeln in Berlin und München. Die politischen Folgen waren äußerst weitreichend. SPD und KPD standen sich verfeindet und weitgehend handlungsunfähig gegenüber, Zentrum und Liberale trugen die Demokratie über ein Jahrzehnt. Angesichts des aufkommenden Nationalsozialismus mit seiner Verachtung für alles Demokratische erwies sich der gesellschaftliche Konsens als zu dünn. Nach dem Zweiten Weltkrieg zeigte sich vollends, was Deutschland an der Weimarer Republik verloren hatte. Die Bundesrepublik knüpfte wieder an sie an und stärkte noch einmal die demokratischen Elemente der Verfassung. Für den Vortrag im Rahmen einer Veranstaltung des ccc liegt ein Schwerpunkt auf den Trägern der Revolution und den gesellschaftlichen Kräften, die eine solche nicht wollten und alles in ihrer Macht Stehende unternahmen, damit die Umwälzung möglichst folgenlos blieb. about this event: https://talks.mrmcd.net/2018/talk/AADM39

Hexlox‘s trügerische Sicherheit eines Bike Security Systems und die Reaktion des Herstellers Hexlox vermarktet sein System zur Absicherung von Fahrradteilen (Laufräder, Sättel, ...) als "sehr sicher". Dies wird mit mehreren Beiträgen in den Medien und einem Spezialisten für die Entsperrung von Schließsystemen untermauert. Die Produktsicherheit wird praktisch widerlegt. Es wird der Aufbau und Herangehensweise zur Überwindung des Schließsystems mit sehr einfachen Mitteln gezeigt. Ein weitere dramatischer Punkt ist die Kommunikation mit dem Hersteller und dessen Reaktion. about this event: https://talks.mrmcd.net/2018/talk/GQAXXJ

"Less computation implies faster code": Sounds reasonable at a first glance, but a closer inspection considering memory or disk latency numbers of modern computer architectures quickly reveals this to be a fallacy. In this talk I will discuss some ballpark latency numbers every programmer should know and hint at implications for designing algorithms in the context of high-performance computing as well as scientific simulations. In recent years a number of algorithmic approaches have appeared in high-performance computing, which are no longer based on storing intermediate results on disk or in memory, but which explicitly avoid any kind of storage operations as much as possible. Often these methods willingly pay the price of recomputing parts of the intermediate results over and over. As counter-intuitive as it sounds at first, this may reduce runtime provided that recomputation is faster than typical latencies required for operating on the storage medium. A key aspect to keep in mind in this development is typical latency numbers for access into storage. For example modern hardware typically allows to perform on the order of 1000 floating point operations per load from main memory. Recent trends in memory band width and CPU design suggest this number to increase in the future. In this sense having a feel about latencies helps to judge, whether storing data is worth it and not actually more expensive than recomputing it. In this talk I will discuss typical latency numbers and in the light of this especially hint at approaches to solving linear algebra problems, which avoid access to main memory. Most notably I will discuss so-called matrix-free or contraction-based methods. No knowledge of numerical linear algebra is required to follow the talk, but naturally there will be maths and some formulae, so beware! ### Attachments - __[Slides](https://michael-herbst.com/talks/2018.09.08_mrmcd18_pitfalls_performance_latencies.pdf)__ about this event: https://talks.mrmcd.net/2018/talk/ZM3FBK

Im Schutzraum der ärztlichen Sprechstunde, erfahren Ärzte privateste Sachverhalte von ihren Patienten, die sie durch ihre Sprechstundendokumentation in sensible Daten verwandeln. Die Telematik bedroht die Privatheit dieser Gesundheitsdaten, während gleichzeitig die DSGVO nicht schützt. Viele Stunden Arbeit und sehr, sehr viele Blatt Papier verbraucht die DSGVO, seit sie mit großem Getöse Pfarrbüros, Schachclubs und Arztpraxen erreichte. In ihrem Windschatten, fast völlig unbemerkt von der Öffentlichkeit, erfolgt nun die Einführung der elektronischen Gesundheitskarte. Versprochen wird höchstmögliche Sicherheit, jederzeitige Verfügbarkeit und die volle Kontrolle des Patienten darüber, wer welche Daten, wann zu Gesicht bekommt. Die offiziellen Darstellungen der Telematik erzählen von einer goldenen Digitalen Zukunft der ärztlichen Sprechstunde, sowohl für Patienten, als auch für Ärzte. "Ich komme aus einem anderen Land", Teil I formulierte grundlegende Fragen. "Kurzer Prozess", Teil II unterzog Telematik und DSGVO dem Praxis-Check im Sprechstundenalltag. "Von Gesetzen & Grenzüberschreitungen" berichtet ausführlich von Reaktionen und Briefwechseln, nach der Konfrontation von Institutionen und Ämtern, mit digitalem und analogem Dilemma. Und da die offizielle Zieldefinition der Telematikinfrastruktur immer weniger plausibel erscheint, nehme ich Sie mit auf die Suche nach alternativen Erklärungen, für die Investition von immerhin zwei Milliarden Euro. about this event: https://talks.mrmcd.net/2018/talk/3AEPTC

Ein IoT Smart Lock – was sollte schon schief gehen? Die Sicherheit von Smart Locks ist in jedem Fall ganz großes Kino! Wir haben für euch das Nello Smart Lock genauer angesehen, entwickelt von einem Münchner Startup, welches mit Sicherheit 2.0 (AES256, TLS1.2) beworben wird. „Highly advanced encryption methods & unbreakable compared to physical locks“ ... Das Nello Smart Lock verbindet sich mit dem WLAN und ist dann ausschließlich über die Cloud steuerbar. Von der Cloud aus wird anhand von Uhrzeiten und Benutzer-Standorten konfiguriert, ob sich die Haustüre gerade öffnen lässt. Ist dies der Fall, wenn geklingelt wird, öffnet sich die Haustüre. Zuerst geben wir euch einen Überblick über alle Komponenten und Protokolle, die in diesem Ökosystem zum Einsatz kommen. Hier wird eine interessante Protokoll-Mischung eingesetzt - bekannt durch andere IoT-Fernsehköche ;) Wir möchten nicht all zu viele Details spoilern, damit ihr alle ins Kino geht, aber wir waren in der Lage, den gesamten Netzwerkverkehr zu lesen, Nachrichten zu senden, Verbindungen dauerhaft zu beenden, Nutzeraccounts einsehen und ändern, Aktivitätsprotokolle anzusehen, Mailadressen zu verifizieren und Rechte zu eskalieren. Wie jeder gute Disney-Film endet es mit einem Happy Responsible Disclosure. about this event: https://talks.mrmcd.net/2018/talk/FU7SEU

The firmware of the BCM4339 Bluetooth controller (Nexus 5) and its firmware update mechanism have been reverse engineered. Based on that we developed a Bluetooth experimentation framework which is able to patch the firmware and therefore implement monitoring and injection tools for the lower layers of the Bluetooth protocol stack. Where no one has gone before - into the Bluetooth controller internals, a component used by many but understood by only few. On our journey we explore the lower layers of the Bluetooth protocol stack which are hidden for the common eye - encapsulated inside the firmware of the controller. In the depths of the disassembly we encounter semaphores, blocking queues and task schedulers and when we finally discover the firmware update mechanism a whole new world of possibilities opens up. Armed with this knowledge, we build a bridge into this world by implementing the Bluetooth experimentation framework InternalBlue. For the hidden Link Manager Protocol is dark and full of terrors, we use InternalBlue to cast light into the shadows of the night. If the old demo gods and the new are merciful we will be able to witness a Bluetooth pairing sequence in Wireshark and follow the key exchange in real time. about this event: https://talks.mrmcd.net/2018/talk/NBA9RW

Email ist wohl das älteste, dezentrale, soziale Netzwerk im Internet. Lerne wie sich dieses erwachsene Medium, im Laufe der Jahre, technisch weiterentwickelt hat und wie ein modernes OpenSource Email System funktioniert. Email stirbt nicht aus. Die dezentrale Natur und die (meist) klar definierten Standards, versprechen ein langes Leben. Wie fast alle Technologien hat sich auch Email im Laufe der Jahrzehnte durchaus weiterentwickelt. Was aus dem „Simple“ in SMTP geworden ist und was die Komplexität eines modernen Email Systems ausmacht, zeigt Dir dieser Talk. Kann Spuren von RFCs enthalten. about this event: https://talks.mrmcd.net/2018/talk/BRP77N

Kleine und Mittelständische Unternehmen überwiegend mit freier Open Source basierter Software betreiben. Infrastrukturen, Langzeitwirkungen, Kostenanalysen und Sicherheitsrelevante Unterschiede erfassen und bewerten. Seit einigen Jahren habe ich mich mit meiner Firma auf Freie und Open Source Basierte Software spezialisiert. Diese setzen wir bei neu gegründeten als auch bei bestehenden Klein- und Mittelständigen Betrieben ein. Besonders bei bestehenden Unternehmen bestehen viele Defizite. Insbesondere in Bezug auf Langlebigkeit, Professionalität der verwendete Infrastruktur sowie der Betriebssysteme und Applikationen. In einem Review möchte ich die Erfahrungen mit der Umrüstung, dem Vorher- und Nachher Zustand der Umrüstung auf Freie Software analysieren und visualisieren. Klaffenden Sicherheitslücken aufzeigen, die häufig in KMUs auftreten und wie diese durch freie Software geschlossen und sicherere (bessere) Alternativen geschaffen werden konnten. about this event: https://talks.mrmcd.net/2018/talk/ZECMSZ

In diesem Talk werden wir uns eine richtige Untote unter den Programmiersprachen etwas genauer anschauen. Unter Anderem stelle ich Details vor, die heute furchterregend sind, zu ihrer Zeit aber wie eine gute Idee aussahen. In diesem Talk werde ich eine Einführung in COBOL geben. Dabei gehe ich insbesondere auf die Spracheigenschaften ein, die aus heutiger Sicht nur schwer verständlich, im historischen Kontext aber erklärbar sind. about this event: https://talks.mrmcd.net/2018/talk/A9ZJMF

Machine Learning wird inzwischen als Lösung für fast alle Probleme betrachtet -- mit wechselndem Erfolg, denn gelegentlich sind die Ergebnisse auch sehr absurd. Wenn der Computer versucht, ein Problem zu lösen, findet er dafür auch mal sehr unerwartete oder unkonventionelle Lösungen. Ein paar interessante oder amüsante davon stellen wir in diesem Talk vor. Machine Learning wird inzwischen als Lösung für fast alle Probleme betrachtet: Im Bereich der Informatik sind die Anwendungsgebiete extrem vielfältig und die Beliebtheit sehr groß. Aber der Erfolg kann dabei stark variieren. Während einige Probleme inzwischen so weit gelöst sind, als dass Computer zuverlässig bessere Leistung an den Tag legen als Menschen - auch Experten - stellen andere Aufgaben die Algorithmen und Systeme noch vor große Probleme. In diesen Fällen kann es aber auch passieren, dass die erzielten Lösungsansätze sehr absurd werden. Wenn der Computer versucht, ein Problem zu bewältigen, findet er dafür auch mal sehr unerwartete oder unkonventionelle Lösungen. Manchmal sind es auch schlicht Schwachstellen in unseren Beschreibungen. Ein paar interessante oder amüsante Ergebnisse stellen wir in diesem Talk vor, egal ob der Computer dabei die Heuristik, die Technik oder schlicht die Menschen ausgenutzt hat. about this event: https://talks.mrmcd.net/2018/talk/99SGCP

Die WiFi Alliance hat einen neuen Standard veröffentlicht: WPA3. Dieser Talk befasst sich mit den Hintergründen und der Funktion des Nachfolgers des allseits-beliebten WPA2. Offene WLAN-Netzwerke, WEP, WPA und WPA2 - alle bisherigen Methoden ein WLAN-Netzwerk zu betrieben und den Usern Sicherheit ihrer Daten zu gewährleisten haben entweder keine oder eine, in welcher Form auch immer, geknackte Kryptographie oder sind angreifbar. Mit WPA3 hat die WiFi Alliance einen Standard, bzw eine Zertifizierung, vorgestellt mit der alles anders sein soll. Dieser Vortrag beschäftigt sich mit der Funktion und den Hintergründen von WPA3, wie es möglich ist das mittlerweile 14 Jahre alte WPA2 fließend zu migrieren und wieso auch offene WLAN-Netzwerke in Zukunft sicher sein werden. about this event: https://talks.mrmcd.net/2018/talk/SL8STZ

Sind euch Horrorfilme zu gruselig, weil ihr nie wisst, wie lange die düsteren Nachtszenen noch gehen? Mögt ihr die emotionalen Stellen in Liebesschnulzen, braucht aber eine Weile, um sie nachträglich wiederzufinden? Wird euch nach dem zehnten Mal das Intro eurer Lieblingsserie doch zu langweilig, und ihr wollt sie gern gezielt überspringen? Und schließlich - möchtet ihr wissen, ob nach dem Abspann noch eine geheime Bonusszene kommt? Ich hab da was für euch. In diesem Vortrag werde ich euch *Timelens* vorstellen, ein Open Source-Projekt mit dem Ziel, die Struktur von Videos sichtbar zu machen, und so eine effiziente, präzise und aktive Navigation zu ermöglichen. Mit Quizteil! about this event: https://talks.mrmcd.net/2018/talk/ZNC77M

Die MRMCD 2018 Lightning Talks Kompletter Film zu lang? Nicht genug Zeit zum Vorbereiten? Spontan etwas präsentieren? Gleichgesinnte für (d)ein Projekt finden? Komm zum Kurzfilmfestival! Ihr habt ein Thema, Projekt, eine Idee, einen Hack, sucht Teampartner für etwas oder wollt einfach nur etwas Kurioses, Amüsantes, … präsentieren, dabei aber keinen ganzen Vortragsslot füllen? Dann kommt zu den Lightning Talks! Bei einer kurzen Präsentation könnt ihr in 5 – 10 Minuten vorstellen, was immer euch auf dem Herzen liegt. Das ganze läuft nach dem first-come first-served Prinzip bis der komplette Vortragsslot gefüllt ist: Schickt eure Folien einfach bis kurz vor den Lightning Talks an psy@darmstadt.ccc.de oder bringt diese - vorbereitet zum Anschluss an einen VGA oder HDMI Beamer - auf eurem Laptop mit. Es gibt keine Deadline. Versucht nicht mehr als 10 Folien zu haben, euer Vortrag artet sonst erfahrungsgemäß zu einer längeren Präsentation aus. Vorzugsweise präsentieren wir die Folien von einem zentralen Laptop, damit das Umstöpseln zwischen den Vorträgen entfällt. Falls ihr mit eigenem Laptop präsentieren wollt, ist das auch kein Problem, sagt psy aber bitte vorher Bescheid, damit er das einplanen kann. about this event: https://talks.mrmcd.net/2018/talk/FHSPAF

In diesem Film geht es um die Geschichte von Yachten, deren Elektronischen Systeme an Bord, wie alles untereinander vernetzt ist und letztendlich ans Internet angeschlossen wurde. FSK 16+ In meinem Vortrag zeige ich, wie moderne Yachten aufgebaut sind, welche Systeme an Bord zur Navigation und Steuerung eingesetzt werden und wie diese miteinander interagieren. Anhand von 2 verwundbaren System mit Internet Verbindung zeige ich, wie man sich durch die Netze bis hin ins Steuerungsnetzwerk des Schiffes hangeln kann. Seit 2010 werden Yachten meist nur noch mit einem NMEA 2000 Netzwerk Bus verkabelt, welches dem CAN Bus in der Automobilindustrie im aufbau gleicht. Dieser CAN Bus ist mit NMEA - TCP/IP Gateways in das Netzwerk integriert. Weitere Episoden dieser Abenteuerserie befassen sich mit: - Der Kapitaen , sein E-Mail und Steuerungssystem - Funkfernbedienungen fuer den Autopiloten - Cloud Basiertes Monitoring von Maschinendaten - Internetrouter und Firmware Fun - Satellitenkommunikation. In den Hauptrollen: - Ein Router fuer Internet Access - Eine Satcom Schuessel - eine Yacht (ab 30m, es kommt doch! auf die groesse an) In den Nebenrollen - Internet of Things Suchmaschine - Bedienungsanleitungen - FCCid Spezialeffekte - Programmierer und ihr Sinn fuer Sicherheit - nicht vorhandenes Patchen Musikalische Begelitung - durch das Applaus des Publikums about this event: https://talks.mrmcd.net/2018/talk/V3FUNG

Extracting and dissecting Neato Connected firmware to control high-end vacuum cleaners The Neato Botvac Connected vacuum cleaners offer a nice platform with up-to-date sensors, including laser scanner mapping your home. The newest Neatos, which are coupled to cloud services over WiFi, run QNX and little was known about them so far. Connected vacuum cleaners are an interesting target regarding privacy, security and safety, as they have access to your home and move freely therein. The firmware is protected by a write-only interface and an undocumented chip layout - extracting it is a very interesting process. It is a struggle against proprietary chips and QNX systems. We found an upload serial console, which is their anti brick interface, that only accepts QNX file systems, and guessed the chip family correctly, enabling us to print out some memory contents over the serial console. To actually extract something meaningful from this memory, we performed a regular firmware update process on the robot and rebooted into our modified minimal QNX without re-initializing memory - thereby stealing their complete firmware. Based on the firmware extraction, we found many interesting firmware internals. The main process brain is woken up by the standby process pinky, suggesting that the Neato developers already divined their firmware will be presented cinema style. about this event: https://talks.mrmcd.net/2018/talk/MFNKLX

Wir lassen die MRMCDinale beginnen – mit einem kurzen Überblick, was alles auf dem Kinoprogramm steht, und womit sich die Kinobegeisterten in den Pausen so beschäftigen können. about this event: https://talks.mrmcd.net/2018/talk/CKUYQ9

Wir lassen die MRMCDinale beginnen – mit einem kurzen Überblick, was alles auf dem Kinoprogramm steht, und womit sich die Kinobegeisterten in den Pausen so beschäftigen können. about this event: https://talks.mrmcd.net/2018/talk/CKUYQ9

Fairness and accountability are important topics for decision makers, but formulating these in a rigid, mathematical context can be hard. We'll be looking at implicit and explicit biases, how they arise in data and how they are learned by modern sytems, different notions of the word "fair" and the way biases can leak through obfuscation. Everybody is talking about machine learning and artificial intelligence and exciting developments are happening in this field. But the dark side of large scale data mining and overly ambitious AI developers is already visible in many high profile cases. Implicit and explicit biases inherent in datasets can influence decision algorithms to replicate the problems and discrimination of human society. In this talk we are going to ask why and how machine learning algorithms become prejudiced and we will see, how hard it is to create algorithms which are fair and unbiased. At the core, we are going to take a look at what fair actually means and that objective fairness is a very difficult goal. about this event: https://talks.mrmcd.net/2018/talk/PAMCUE

Der Vortrag stellt dar, was Deepfakes sind, wie diese hergestellt werden und welche Auswirkungen sie auf die IT Security haben können. Böswillige Aktivitäten, die durch menschliche Interaktionen erreicht werden, sind heutzutage alltäglich. Angreifer verlassen sich auf psychologische Manipulationen (Social Engineering) und bringen Benutzer dazu, Sicherheitsfehler zu machen oder vertrauliche Informationen preiszugeben. Der Grund, warum Kriminelle Social-Engineering-Angriffe weiterhin verwenden, ist einfach - sie funktionieren. Der schwächste Punkt in der Abwehr einer jeden Organisation sind die Personen - und es gibt kein Patch für menschliche Fehler. Neu in der Social-Engineers-Toolbox sind Deepfakes, eine auf künstlicher Intelligenz basierte Fälschung von Mediendateien. Dieser Vortrag wird die möglichen Auswirkungen auf die IT-Sicherheit zeigen: Wie schnell können Dinge mit dieser neuen Technologie korrumpiert werden und warum sollten sich alle bewusst sein? about this event: https://talks.mrmcd.net/2018/talk/ELZPTX