Wie schon letztes Jahr war ich auch in diesem Jahr wieder mit Hinrich auf dem Chaos Communication Congress in Hamburg.

Es folgt eine Auflistung der Talks, die ich im Fahrplan-Feedback besonders positiv mit 4 oder 5 Punkten bewertet habe und die nicht zu den "Klassikern" (Fnord News, Security Nightmares, ...) gehören:

Tag 1 - 27.12.

14:00 - Mit Kunst die Gesellschaft hacken (5)
Die Aktionen des Zentrums für politische Schönheit finde ich generell gut - im Vortrag stellen der Künstlerische Leiter und der "Eskalationsbeauftragte" drei Aktionen der vergangenen Jahre vor. Besonders lustig ist der Teil "SMS-Raten mit dem Zentrum", bei dem im Laufe des Vortrags klar wird, dass MdB Marian Wendt (CDU) unzüchtigen SMS-Verkehr mit dem Zentrum hatte.
16:00 - Practical EMV PIN interception and fraud detection (4)
Einige Informationen in diesem Talk könnten sehr nützlich sein, wenn man gerade einen Missbrauchsdisput mit seiner Bank hat. Auch eigentlich logisch, aber doch bestechend ist zum Beispiel die Erkenntnis, dass das größte Missbrauchsrisiko bei der Kartenzahlung nicht an videoüberwachten, täglich kontrollierten Geldausgabeautomaten besteht, sondern am Verkaufsterminal im kleinen Laden um die Ecke.
20:00 - Ich sehe, also bin ich ... Du (5)
Fingerabdrücke nur mithilfe eines hochauflösenden (Presse-)Fotos nachmachen - so hackt man heutzutage.

Tag 2 - 28.12.

12:45 - Beyond PNR: Exploring airline systems (4)
Airlines benutzen antikste Protokolle damit verstaubte Mainframes noch mitspielen können - wer hätte das gedacht...
16:00 - GIFs: Tod eines Mediums. Und sein Leben nach dem Tod. (4)
Kennt jemand APNG?
16:45 - Iridium Pager Hacking (4)
Man kann die Pager-Nachrichten aus dem Iridium-Netzwerk offensichtlich mit einer Dachantenne und ein bisschen Signalverarbeitung mitlesen.
19:00 - Internet of toilets (4)
Ein twitterndes Katzenklo: @nibblerpoop
20:30 - Mining for Bugs with Graph Database Queries (4)
Interessanter Ansatz um systematisch nach Bugs zu suchen - leider natürlich nicht unbedingt universell nutzbar da sehr viel Domain Knowledge zum Parsen des Codes und zum Bauen der Suchterme nötig ist.
21:45 - Too Many Cooks - Exploiting the Internet-of-TR-069-Things (5)
TR-069 ist das Protokoll mit dem ISPs unsere Heimrouter konfigurieren und updaten können - folglich muss der Router es ins WAN hinein sprechen... What could possibly go wrong?
23:00 - The Matter of Heartbleed (4)
Kleine Analyse davon, wie "das Internet" auf Heartbleed reagiert hat.
23:30 - Heartache and Heartbleed: The insider’s perspective on the aftermath of Heartbleed (4)
Der Speaker ist der Security Engineering Lead bei CloudFare.

Tag 3 - 29.12.

16:00 - Deine Rechte sind in diesen Freihandelsabkommen nicht verfügbar (4)
Nichts wirklich neues, aber eine schöne Zusammenfassung der bisherigen Aktionen gegen TTIP und co. (speziell die Mobilisierung von Menschen vor Ort, also offline, scheint sehr erfolgreich zu sein).
17:15 - Source Code and Cross-Domain Authorship Attribution (4)
Da mich Plagiatserkennung von Quellcode ja auch für mein SAUCE-Projekt interessiert, fand ich den Talk recht interessant. Leider ist deren Software anscheinend in Java geschrieben... :(
18:30 - Thunderstrike: EFI bootkits for Apple MacBooks (5)
Mit ein bisschen EFI-Reverse-Engineering wird auch hier mal wieder gezeigt, dass es vermutlich keine gute Idee ist, den PCI-Bus als externen Anschluss nach draußen zu legen. Ein präparierter Thunderbolt-Netzwerk-Adapter reicht um die EFI-Firmware neu zu flashen und das ganze Gerät zu kontrollieren - persistent.
22:00 - The Perl Jam: Exploiting a 20 Year-old Vulnerability (4)
Gepflegtes Perl-Bashing zum Abend - das war schön. Trotz aller (u.U. berechtigen) Einwände von zuhörenden Perl-Verfechtern. Es ist trotzdem eine write-only Sprache.

Tag 4 - 30.12.

11:30 - Low Cost High Speed Photography (4)
Mit minimalen Kosten und ein wenig Bastelei kann man sehr schöne Bilder von schnellen Dingen machen - wie z.B. platzende Wasserballons. Ich war so begeistert, dass ich mir ein paar Bilder des Vortragenden direkt mal als Hintergrundbild aufs Tablet gemacht hab.
14:00 - Let's Encrypt (4)
Let's Encrypt wird eine freie Zertifizierungsstelle werden (u.a. betrieben von Mozilla), die ein neuartiges Domain-Validierungsverfahren benutzt. Das ist ein sehr unterstützenswertes Projekt!