pw18

Das Closing Event. Das war die #pw18. Die Highlights der #pw18 und wie es weitergeht. about this event: https://cfp.privacyweek.at/pw18/talk/8MW8MQ

Risiken der Digitalisierung des öffentlichen Personen-Nahverkehrs in Ballungsräumen im Hinblick auf den Schutz individueller Daten. Die Stadt der Zukunft ist Smart. Zumindest liest man das jetzt überall: Smart im Sinne von künstlicher Intelligenz gesteuert. Die auch AI genannte Maschinenintelligenz wird unsere Strassenbahnen steuern, den Individualverkehr regeln, den Müll rechtzeitig abholen und uns morgens rechtzeitig ins Büro und abends unversehrt wieder nach Hause bringen. Mit autonom fahrenden Fahrzeugen, um deren Parkplätze wir uns nicht mehr kümmern brauchen. Kurzum: Smart City wird das digitale Paradies. So oder ähnlich verkaufen uns das derzeit die Marketingstrategen. Das ganze hat nur einen Haken: Es wird nicht so einfach funktionieren, wie man uns das derzeit gerade glauben machen will. Denn um halbwegs zu funktonieren, braucht AI Daten. Ganz viele Daten. Furchtbar viele Daten. Deinen Namen und Vornamen, Deine Adresse und Dein Geburtsdatum, wo Du arbeitest und wann Du einkaufen gehst und wann Du Deinen Hund Gassi führst und ob Du behindert bist und wann Du Urlaub machst und wann Du zu Deiner Freundin fährst und nicht zu Hause übernachtest. Kurzum: Alles, was Du so täglich treibst, in Datenform, dient dazu, den Ablauf der Smart City zu planen und zu steuern, je mehr Daten, desto besser. Leider kommt in den meisten Zukunftsszenarien zu diesem Thema der Datenschutz erst gar nicht vor. Datenschutzgrundverordnung? Datenschutzbeauftragter? Wie meinen? Der Talk setzt sich damit auseinander, wie und welche Daten wo erfasst werden und was wir tun sollten, um unsere Daten auch in der Smart City gut zu schützen. about this event: https://cfp.privacyweek.at/pw18/talk/99PSJN

Wie kommen wir - angesichts aktueller politischer und technischer Entwicklungen - zu positiven Zukunftsbildern und wie können wir sie tatsächlich umsetzen? about this event: https://cfp.privacyweek.at/pw18/talk/QBNV3Z

Risiken der Digitalisierung des öffentlichen Personen-Nahverkehrs in Ballungsräumen im Hinblick auf den Schutz individueller Daten. Die Stadt der Zukunft ist Smart. Zumindest liest man das jetzt überall: Smart im Sinne von künstlicher Intelligenz gesteuert. Die auch AI genannte Maschinenintelligenz wird unsere Strassenbahnen steuern, den Individualverkehr regeln, den Müll rechtzeitig abholen und uns morgens rechtzeitig ins Büro und abends unversehrt wieder nach Hause bringen. Mit autonom fahrenden Fahrzeugen, um deren Parkplätze wir uns nicht mehr kümmern brauchen. Kurzum: Smart City wird das digitale Paradies. So oder ähnlich verkaufen uns das derzeit die Marketingstrategen. Das ganze hat nur einen Haken: Es wird nicht so einfach funktionieren, wie man uns das derzeit gerade glauben machen will. Denn um halbwegs zu funktonieren, braucht AI Daten. Ganz viele Daten. Furchtbar viele Daten. Deinen Namen und Vornamen, Deine Adresse und Dein Geburtsdatum, wo Du arbeitest und wann Du einkaufen gehst und wann Du Deinen Hund Gassi führst und ob Du behindert bist und wann Du Urlaub machst und wann Du zu Deiner Freundin fährst und nicht zu Hause übernachtest. Kurzum: Alles, was Du so täglich treibst, in Datenform, dient dazu, den Ablauf der Smart City zu planen und zu steuern, je mehr Daten, desto besser. Leider kommt in den meisten Zukunftsszenarien zu diesem Thema der Datenschutz erst gar nicht vor. Datenschutzgrundverordnung? Datenschutzbeauftragter? Wie meinen? Der Talk setzt sich damit auseinander, wie und welche Daten wo erfasst werden und was wir tun sollten, um unsere Daten auch in der Smart City gut zu schützen. about this event: https://cfp.privacyweek.at/pw18/talk/99PSJN

This interdisciplinary talk aims to reflect on a solution for resolving key tensions between providing personalized services and the right to privacy, by envisioning new Cognitive Human-centric Personal Data Ecosystems (C/CH-PDEs) in which personal data can only be collected and processed under the control of the data subject. In our increasingly digital societies, data is perceived as a key resource for economic growth. Among the highest-valued corporations today, many have business models that are essentially based on data of or about their users. This development has raised serious concerns about individuals' right to privacy and their ability to exercise control over their own data, as well as about the broader shifts of power between data subjects and data controllers that this development entails. Consequently, European policy makers have passed the General Data Protection Regulation (GDPR), which has imposed stricter regulations on personal data handling practices within the EU. In parallel, a movement - often associated with the term “MyData” - has emerged in the civil society with the goal to put individuals in control of their personal data. One of the major adoption barriers for such platforms, however, has been the difficulty individuals face in acquiring their personal data from data controllers. In this talk after introducing the technical aspects of the Cognitive Human-centered Personal Data Ecosystems, I discuss how the new rights under the GDPR could drive the emergence of such ecosystems, in which individuals' roles are no longer limited to that of passive "data subjects", but in which they become active stakeholders that have access to, exercise control over, and create value from their personal data. Finally, some of the sociotechnical drivers and barriers of cognitive human-centric personal data ecosystems will be discussed. about this event: https://cfp.privacyweek.at/pw18/talk/9E3NMF

Ein (etwas zynischer) Rückblick auf die Frage warum denn nicht alle Verschlüsselung (sicher) verwenden. Inklusive des Versuchs Antworten auf die Fragen zu geben ob die Anleitung lesen (RTFM!) ein sinnvoller Vorschlag ist, ob Expert_innen sich tatsächlich sicherer Verhalten als Laien, und ob Security by Default die Lösung all unserer Probleme ist. Bitte ausfüllen about this event: https://cfp.privacyweek.at/pw18/talk/CTJ3E8

Im Dialog zwischen Linus Neumann und Tim Pritlove werden die wichtigsten Themen und Ereignisse mit netzpolitischem Bezug aufgreift und diskutiert. Logbuch:Netzpolitik ist ein in der Regel wöchentlich erscheinender Podcast, der im Dialog zwischen Linus Neumann und Tim Pritlove die wichtigsten Themen und Ereignisse mit netzpolitischem Bezug aufgreift und diskutiert. https://logbuch-netzpolitik.de about this event: https://cfp.privacyweek.at/pw18/talk/FWPZVA

Nach ein kurzer Abriss über Vergangenheit des Fediverse lernen wir die aktuellen Dienste und Protokolle kennen. Wir installieren eine Pleroma Instanz, legen Accounts an und üben die grundlegende Verwendung im Web und über Apps. Schließlich besprechen wir, wie man selbst Services im Fediverse erstellt. # 1. Vom Urknall bis 2018 - Entwicklung des Fediverse # 2. Protokolle und Dienste * dezentrale Natur der Services * ActivityPub, Activity-Streams und Json-LD * Aspekte: Privatsphäre, Backup und Redundanz * Ersetzen der zentralen Services von Twitter, Facebook, Instagram, Youtube, Itunes Podcast und Soundcloud durch föderierte, von der Community oder selbst gehostete Instanzen von Mastodon, Pleroma, Friendica, Gnu Social, Diaspora, Pixelfed, Nextcloud, PeerTube, Panoptikum und FunkWhale # 3. Hands-on * Instanz installieren * Accounts anlegen * Erste Experimente * Tools (Backup, Übertragen von Accounts) # 4. Call-to-action: selber ein Service konzipieren und implementieren * Roadmap * Abschätzung des Arbeitsaufwandes * Fortschrittsbericht des entsprechenden Projektes bei der Podcasting Plattform Panoptikum.io. about this event: https://cfp.privacyweek.at/pw18/talk/SKTR7R

Wieso war es früher einfacher Technik vorauszudenken, obwohl es heute viel mehr spannende Technologie-Entwicklungen gibt als noch vor 150 Jahren? Gehen uns die Technologie-Zukünfte aus oder haben wir so viele Technologie-Zukünfte, dass wir einfach den Überblick verlieren? Was braucht es eigentlich, um Technik vorauszudenken? Die Keynote gibt erste Antworten und Deutungsversuche, um den aufgeworfenen Fragen zu begegnen. about this event: https://cfp.privacyweek.at/pw18/talk/ZTQEM9

Decentralized Identifiers (DIDs) are a core building block for a completely new approach to digital identity. Decentralized Identifiers (DIDs) are an important innovation in the emerging so-called "self-sovereign" digital identity community. Identifiers such as names and numbers have always been the basis for any identity and communications systems, and while historically identifiers have been issued and controlled by central authorities, blockchains and other technologies today provide the ability for individuals, organizations, and things to register identifiers in a "self-sovereign" way, i.e. with decentralization and privacy "built-in". The World Wide Web Consortium (W3C) will standardize this technology, and the Decentralized Identity Foundation (DIF) has started a community effort to implement open-source components. These will serve as building blocks for a new kind of digital identity infrastructure that functions without any intermediary or central authority. Many large companies and small startups are supporting this effort, including e.g. IBM, Microsoft, Sovrin, Blockstack, uPort, Veres One, and others. In this presentation, we will introduce and demonstrate the concept of Decentralized Identifiers, talk about the communities that are building and using them, and discuss how they relate to other ongoing efforts in the self-sovereign identity community. about this event: https://cfp.privacyweek.at/pw18/talk/VKBEPJ

In den letzten Monaten wurden mehrere Schachstellen von E-Mail-Verschlüsselung bekannt, währenddessen wird aktiv daran gearbeitet, die Techniken leichter nutzbar zu machen und auch Metadaten zu schützen. Der Vortrag gibt einen Überblick über aktuelle Entwicklungen. Efail: Im Mai 2018 gingen Behauptungen durch alle Medien, dass unverschlüsselte E-Mails sicherer seien als verschlüsselte. Was ist dran an den Behauptungen der Sicherheitsforscher und was bedeutet das für den Nutzer der (vermeintlich) betroffenen Programme? Mit dem Memoryhole Standard werden die trotz Verschlüsselung des Mailinhalts unverschlüsselten Metadaten (wie dem Betreff) so weit wie möglich auf dem Transport verschlüsselt - was einen Kritikpunkt an PGP teilweise entkräftet. Im September 2018 meldete ein Newsportal, dass die Anzeigen von gültigen in vielen Programmen vom Absender nachgeahmt werden können, wobei die Ähnlichkeiten von Mailprogramm zu Mailprogramm variieren. PEP (Pretty easy privacy) und Autocrypt machen die Nutzung von PGP für Einsteiger deutlich leichter und wurden schon in diversen Programmen integriert. Das ist ein wichtiger Schritt für PGP, doch wurde dann Anfang Oktober 2018 bekannt, dass damit für kurze Zeit unter Windows E-Mails gar nicht verschlüsselt wurden. about this event: https://cfp.privacyweek.at/pw18/talk/TKSBNY

Wo bleiben die Autor*innen, die mutig den Schritt in die kommenden Jahrzehnte der Menschheit wagen? about this event: https://cfp.privacyweek.at/pw18/talk/KDX37B

Vorstellung des neu gegründeten Wiener Instituts für Digitale Privatsphäre (Gründer: Peter Stummer, Alexander Foggensteiner, Heinrich Mautner Markhof; Technischer Berater: Markus Sabadello). Presentation of the newly founded Vienna Institute for Digital Privacy (Founders: Peter Stummer, Alexander Foggensteiner, Heinrich Mautner Markhof, Technical Advisor: Markus Sabadello). Das Institut für Digitale Privatsphäre (IDP) wurde als gemeinnütziger Verein im Mai 2018 gegründet um die horrende Kluft zwischen technischen Möglichkeiten, gesetzlichen Rahmenbedingungen und kommerziellen Interessen einerseits und den grundlegenden Bedürfnissen nach Privatsphäre des Einzelnen zu überbrücken. - IDP wird vertrauenswürdige und einfach zu bedienende digitale Datenschutz-Tools erforschen, entwickeln, zertifizieren, bündeln und vertreiben. - IDP entwickelt das Schweizermesser für die Digitale Privatsphäre. Ohne Wenn und Aber. - Die Präsentation beschreibt den Weg von der Idee zur Umsetzung. The Institute for Digital Privacy (IDP) was established as a nonprofit association in May 2018 to bridge the horrendous gap between technical capabilities, regulatory frameworks and commercial interests on the one hand, and individuals' basic privacy needs on the other. - IDP will explore, develop, certify, bundle and distribute trusted and easy-to-use digital privacy tools. - IDP develops the Swiss knife for digital privacy. No ifs and buts. The presentation describes the path from idea to implementation. about this event: https://cfp.privacyweek.at/pw18/talk/L3M7E9

In den letzten Monaten wurden mehrere Schachstellen von E-Mail-Verschlüsselung bekannt, währenddessen wird aktiv daran gearbeitet, die Techniken leichter nutzbar zu machen und auch Metadaten zu schützen. Der Vortrag gibt einen Überblick über aktuelle Entwicklungen. Efail: Im Mai 2018 gingen Behauptungen durch alle Medien, dass unverschlüsselte E-Mails sicherer seien als verschlüsselte. Was ist dran an den Behauptungen der Sicherheitsforscher und was bedeutet das für den Nutzer der (vermeintlich) betroffenen Programme? Mit dem Memoryhole Standard werden die trotz Verschlüsselung des Mailinhalts unverschlüsselten Metadaten (wie dem Betreff) so weit wie möglich auf dem Transport verschlüsselt - was einen Kritikpunkt an PGP teilweise entkräftet. Im September 2018 meldete ein Newsportal, dass die Anzeigen von gültigen in vielen Programmen vom Absender nachgeahmt werden können, wobei die Ähnlichkeiten von Mailprogramm zu Mailprogramm variieren. PEP (Pretty easy privacy) und Autocrypt machen die Nutzung von PGP für Einsteiger deutlich leichter und wurden schon in diversen Programmen integriert. Das ist ein wichtiger Schritt für PGP, doch wurde dann Anfang Oktober 2018 bekannt, dass damit für kurze Zeit unter Windows E-Mails gar nicht verschlüsselt wurden. about this event: https://cfp.privacyweek.at/pw18/talk/TKSBNY

Dieser Talk gibt einen Überblick in das Thema Bias in Algorithmen - woher kommt Bias, warum geht uns das was an, und was wird gerade dagegen gemacht? Aus dem Leben gegriffene Beispiele für Bias werden genauso besprochen wie ausgewählte Ergebnisse von Forschung und Entwicklung, um Bias unter Kontrolle zu bringen. Außerdem: wo ist Bias in Datensets in Ordnung, und wo gehört etwas gemacht? about this event: https://cfp.privacyweek.at/pw18/talk/Z9QSD3

Immer mehr Staaten setzen Schadsoftware ein, um IT-Geräte zu infiltrieren und überwachen. Ein Überblick über Technik, Gesetze und Probleme. about this event: https://cfp.privacyweek.at/pw18/talk/CKBM78

Mit großer Befriedigung kommt große Verantwortung. Eine Verantwortung, die von den Herstellern intelligenter Sexspielzeuge nicht ausreichend berücksichtigt wird, während sie mit extrem sensiblen Daten umgehen. Unter den meisten Herstellern herrscht der Konsens: „Solange es keine ernsthaften Schwachstellen, oder Leaks gibt, gibt es auch kein Problem“. Diese Gedanken waren die Ausgangsbasis für das Forschungsprojekt (Masterarbeit) „Internet of Dildos“ – a long way to a vibrant future. Das Forschungsprojekt befasst sich mit der Identifikation und Analyse von Schwachstellen in smarten Sex Spielzeug. Inklusive dazugehöriger Software, Hardware und Firmware. Nach einer initialen Analyse einer kleinen Auswahl an Produkten wurde eine erschreckende Anzahl an kritischen Schwachstellen identifiziert. Dabei wurden sowohl technische, als auch Datenschutzrechtlich hoch bedenkliche Schwachstellen gefunden. In recent years the internet of things has slowly creeped into our daily life and is now an essential part of it, whether you want it or not. A long-existing sub category of the internet of things is a mysterious area called teledildonics. This term got invented about 40 years ago and described (at this time fictional) devices, allowing their users to pleasure themselves, while being interconnected to a global network of plastic dongs. In the 21st century, teledildonics actually exist. Multiple devices are on the (multi-million dollar) market, offering the ability to pleasure an individual, while being connected to the internet. Those devices offer functionalities, like remote pleasuring over local links as well as over the internet. They implement social media-like functionalities such as friends lists, instant messaging, movie chats and explicit-image sharing. With great pleasure comes great responsibility. A responsibility, which is not taken enough into consideration by the smart sex toy manufacturers as they should, while handling extremely sensitive data. As long as there is no serious breach, there is no problem, right? This was the basis for a research project called “Internet of Dildos, a long way to a vibrant future”, dealing with the assessment of smart sex toys and identification of vulnerabilities in those products, including mobile apps, backends and the actual hardware. After the assessment of a selection of multiple smart sex toys an abyss of vulnerabilities was revealed. The identified vulnerabilities range from technically interesting vulnerabilities to vulnerabilities which affect the privacy of the users in extreme and explicit ways. It was possible to gain access to thousands of users’ data records, including cleartext passwords, explicit images, real-world names, real-world addresses, and many more specific facts. Furthermore, we were able to remotely pleasure individuals without their consent over the internet, or over a local link. Presentation Outline 1. Why? Explanation as to why it is necessary to conduct penetration tests in the area of teledildonics and why the topic was chosen for further research. 2. Quick introduction into basics like Internet of Things (IoT) Sextech Teledildonics (History of Smart Sex Toys) Internet of Dongs (IoD) 3. The “Test Devices” A quick introduction of the test devices examined during this project. Explanation of their feature set including areas of application and use-cases. 4. Let’s get dirty – An overview of the identified vulnerabilities DS_STORE File Information Disclosure Customer Database Credential Disclosure Unrestricted Access to administrative interfaces Weird authentication implementation Unauthenticated Bluetooth LE Connections Missing Authentication in Remote Control And many more… 5. Bluetooth LE Protocol exploitation Brief overview over Bluetooth LE security features Brief overview over Bluetooth LE authentication/pairing methods Brief overview over Bluetooth LE exploitation Hardware Brief overview over Bluetooth LE exploitation Software Hands-on example 6. The “Swinger Club Problem” How the manufacturers tried to downplay the vulnerabilities. 7. Legal Issues – Rape over the wire? How are current laws dealing with sexual pleasure without consent over the internet? 8. Responsible Disclosure Process Coordinated vulnerability remediation with the German CERT-Bund 9. Ongoing/Similar Research Takeaways Attendees are made aware that not a single category of devices in the internet of things is secure, no matter how obscure and outlandish the device might be. This should also raise attention and motivation to test all those devices that are already out there and handle the Internet of Things more cautiously. Another important takeaway is to raise attention to how poorly programmed many IoT devices are and how it is still possible to discover vulnerability cases, which should be resolved and extinct. Last but not least, we want to take the opportunity to discuss and raise attention to the hot topic of “remote rape” or how our current legislature deals with remote pleasuring without consent. Why this talk? First and foremost, this talk will be a lot of fun while teaching the audience how to assess smart sex toys and penetrate their backends (pun intended). The audience will learn what an attacker is capable of when attacking smart sex toys, nowadays. Furthermore, the audience will get deep insights into Bluetooth LE penetration testing including a hands-on example on a selected smart sex toy. Most of the identified vulnerabilities [1, 2, 3, 4] identified to this day include minor backend issues and or the good old exploitation of the Bluetooth LE protocol. The major difference compared to this research is, that the SEC Consult Vulnerability Lab identified a potential massive breach of data, including explicit images, clear text passwords, etc) via the “publicly” accessible database, as well as the issue with the remote pleasuring without consent, which is a so called “Feature”. [1] https://arstechnica.com/information-technology/2017/10/screwdriving-many-bluetooth-sex-toys-leave-users-vulnerable/ [2] https://internetofdon.gs/reports/ [3] https://www.pentestpartners.com/security-blog/screwdriving-locating-and-exploiting-smart-adult-toys/ [4] https://scubarda.wordpress.com/2017/10/17/hacking-a-bt-low-energy-ble-butt-plug/ about this event: https://cfp.privacyweek.at/pw18/talk/3FAW7G

Nach ein kurzer Abriss über Vergangenheit des Fediverse lernen wir die aktuellen Dienste und Protokolle kennen. Wir installieren eine Pleroma Instanz, legen Accounts an und üben die grundlegende Verwendung im Web und über Apps. Schließlich besprechen wir, wie man selbst Services im Fediverse erstellt. # 1. Vom Urknall bis 2018 - Entwicklung des Fediverse # 2. Protokolle und Dienste * dezentrale Natur der Services * ActivityPub, Activity-Streams und Json-LD * Aspekte: Privatsphäre, Backup und Redundanz * Ersetzen der zentralen Services von Twitter, Facebook, Instagram, Youtube, Itunes Podcast und Soundcloud durch föderierte, von der Community oder selbst gehostete Instanzen von Mastodon, Pleroma, Friendica, Gnu Social, Diaspora, Pixelfed, Nextcloud, PeerTube, Panoptikum und FunkWhale # 3. Hands-on * Instanz installieren * Accounts anlegen * Erste Experimente * Tools (Backup, Übertragen von Accounts) # 4. Call-to-action: selber ein Service konzipieren und implementieren * Roadmap * Abschätzung des Arbeitsaufwandes * Fortschrittsbericht des entsprechenden Projektes bei der Podcasting Plattform Panoptikum.io. about this event: https://cfp.privacyweek.at/pw18/talk/SKTR7R

Wo bleiben die Autor*innen, die mutig den Schritt in die kommenden Jahrzehnte der Menschheit wagen? about this event: https://cfp.privacyweek.at/pw18/talk/KDX37B

Im Dialog zwischen Linus Neumann und Tim Pritlove werden die wichtigsten Themen und Ereignisse mit netzpolitischem Bezug aufgreift und diskutiert. Logbuch:Netzpolitik ist ein in der Regel wöchentlich erscheinender Podcast, der im Dialog zwischen Linus Neumann und Tim Pritlove die wichtigsten Themen und Ereignisse mit netzpolitischem Bezug aufgreift und diskutiert. https://logbuch-netzpolitik.de about this event: https://cfp.privacyweek.at/pw18/talk/FWPZVA