MRMCD 2017

Fitbit produces the most secure fitness trackers on the market. Nevertheless, they are still exploitable. Enjoy a talk on all components of the Fitbit ecosystem, starting at hardware reverse-engineering on the never to be opened tracker itself, giving insights on a proprietary Bluetooth protocol introducing new vulnerabilities, and a server even giving hints on how to craft fake data.

Moderne High Performance Computing (HPC) Cluster erlauben es uns, das Universum mit seinen Millionen von Galaxien und deren Sternen vom Urknall bis heute in bisher unerreichter Detailtiefe zu simulieren. In diesem Vortrag gebe ich eine Einführung in die Funktionsweise moderner kosmologischer Simulationen und beleuchte dabei insbesondere die technischen Herausforderungen bei der Handhabung von Datenmengen der Größenordnung 100TB. Dies reicht vom selbst geschriebenem Speichermanagement über die Struktur des Outputs am Speicherlimit von HPC Clustern bis zur Veröffentlichung der Daten. Zum Schluss werde ich kurz umreißen, welche wissenschaftlichen Fragestellungen man anhand der so gewonnenen Daten beantworten kann.

Überblick über JS. Wo steht es jetzt? (ES2015, ES2016, ES2017, Babel, ESNext)
Was sind die komischen Dinge von JS? Was die tollen?

Überblick übers tooling.
Was ist momentan "in"?
Warum sind die Sachen beliebt?
Wer nutzt JS überhaupt? (Firmen, Projekte, Seiten)

Ich habe ein Jahr lang am CERN meine Masterarbeit zum Thema Vektorisierung/Parallelisierung eines CERN-Photon-Pattern-Recognition-Algorithmus geschrieben. Das Hauptaugenmerk lag auf Optimierung der Performance durch Vektorisierung/Parallelisierung, sodass der Algorithmus auf einem Intel Xeon Phi Knights Landing (64 Kerne à 4 Hyperthreads) möglichst performant läuft.

Kurz gesagt, ich habe versucht ein "inherently embarrassingly parallel problem" mit OpenMP, Vector libraries, Variablen im Speicher an Cacheline-Grenzen ausrichten, Mathe-Tricks, etc so schnell wie möglich zu kriegen.

Dieser Vortrag gibt eine Einführung in die Welt der manycore-Systeme aus Sicht eines Informatikers.

Data from users is needed to build great products. Google, Facebook even Doubleclick would not be able to offer their services unless they had tons of data. No company or product is an exception, the current industry modus-operandi is "collect-as-you-can" and it is bound to produce privacy side effects.

We would like to share an alternative approach based on client-side aggregation. This talk will showcase how it is perfectly possible to collect and anonymously send data without any user identifiers or PII for building data driven products like a browser with a fully integrated search engine (Cliqz), Anti-tracking, Anti-phishing etc. without risking or compromising the users privacy at any time.

Wehrhafte Demokratie gegen wehrhafte Demokraten: Rechte, Grenzen, Grauzonen der Ereignisse um den G20

Treffen der Vertreter der verschiedenen lokalen Entitäten.

Der Vortrag ist eine aktuelle Zusammenfassung rund um das Thema XMPP. Angefangen wird mit der Frage warum wir dezentrale Kommunikationsprotokolle wie XMPP brauchen gefolgt von einer groben Einführung darin wie XMPP funktioniert. Da der durchschnittliche Besucher der mrmcd jedoch schon einmal von XMPP gehört hat geht es im Hauptteile über die Neuerungen die XMPP in den letzten Jahren erfahren hat und einem Ausblick darauf wie es weitergehen wird. Abschließend gibt es noch Hinweise dazu, was man tun muss um selber mit XMPP anzufangen.

Machine Learning has gained traction in recent times for a vast majority of purposes.
This ranges from data analysis over self-driving cars to playing Board-Games like Go, the applicants spread from companies like Google, Amazon and Facebook to insurances and banks who want to use Machine Learning to decide if a person is suited for a loan or to set insurance rates.
In this talk I want to give an introduction to the topic and introduce concepts behind Machine Learning and enable the audience to separate buzzwords from actual content.
No previous knowledge about Machine Learning will be required.

(The focus of this talk will be more on basics and concepts and less on forefront of research, intended to provide a general entry-level overview over the field of Machine Learning.)

Du wolltest schon immer Binary Exploitation verstehen und endlich auch Pwning Challenges bei CTFs lösen? Wir erklären euch alle Grundlagen um Bufferoverflows zu verstehen und auszunutzen.

2001 wurde im BSI das Referat CERT-Bund als Anlaufstelle zur Behandlung von Computersicherheitsvorfällen in der Bundesverwaltung gegründet. Der Talk gibt eine Übersicht über die aktuellen Zuständigkeiten und Tätigkeiten als national / governmental CSIRT.

Neben Vorfallsbearbeitung / -analyse wird es im Vortrag um die datenbasierten Dienste Spam Monitoring, Warn- / Informationsdienste und Threat Hunting gehen. Last but not least werden im Talk auch die dafür eingesetzten Verarbeitungstools MISP und IntelMQ vorgestellt und das Thema Schwachstellenveröffentlichung / -risikobewertung behandelt.

Women in computer science are rare enough, but they exist, today as well as in the past. Who are and who were these women? What role did they play in the history of computer science? And what can we learn from them?

WAP billing is a widely available and easy to use micropayment system provided by the mobile network operators. The customer purchases with a single click and then the charge will be added to his mobile phone bill, without any registration needed. The downside of this billing method is a fraud problem. An amount of 13% of all mobile phone users were victims of WAP billing fraud in Germany. Until now, no research analyzed how this kind of attacks work. This talk presents a case study in which we found several sites that do exploit Universal XSS vulnerabilities. This allowed the attackers to bypass the browser's security restrictions and purchase their products on their victim's account without need of any interaction by the victim. We will explain how the scam works in detail and discuss mitigations that will effectively prevent the ongoing fraud.

Dieser Vortrag zeigt, wie wir Anfragen aus den Parlamenten, Ausarbeitungen der wissenschaftlichen Dienste und Gesetzesentwürfe und tausende Stellungnahmen von Vereinen und Verbänden an die Öffentlichkeit bringen und sie dabei zugänglicher und durchsuchbar machen.

Erfahrungen bei der automatisierten Zucht von Pflanzen (Kresse, Phacelia) und spätere Verwendung der Sensor-Werte und Photos für maschinelles Lernen.

Wissens- und Erfahrungsaustausch rund um Cryptoparties und verwandte Veranstaltungen.

Die National Oceanic and Atmospheric Administration betreibt seit den frühen 70ger Jahren,
eine Wettersatellitenplantage im niedrigen Erdorbit.
Von dort berieseln uns die letzten verbliebenen 3 Exemplare der Familie NOAA-Satelliten ihren Früchten
Während früher die Ernte und Zubereitung dieser Datenfrüchte den ambitionierten Hobbydärtner
noch vor größere Probleme stellte, kann man heute günstige Konsumergartengeräte
soweit modifizieren, dass eine Ernte möglich wird.
Auch die Zubereitung der oft schwer verdaulichen Datenfrüchten ist durch
Saftware und moderne Personal-Komposter für den Hobbyisten in Greifbare Nähe gerückt.
Außerdem wurde die Aufzucht der nötigen Antennenpflänzchen durch 3D-Drucker-Technologie
stark vereinfacht und ist auch für weniger geübte Därtner zu leisten.
Im Rahmen der Bundesdatenschau möchte ich von meine eigenen Experimente zur
Ernte und Zubereitung von Wettersatellitenfrüchten mit dem rad1o oder einem rtl-SDR-Stick
berichten und in diesem Zusammenhang meine drei Projekte 3DP-QFH, ArkLNA und apt-decoder vorstellen.

Wir schauen uns Nix als Paketverwaltung an, NixExpr als deklarative Sprache zum erstellen von Paketen und NixOS zur Verwaltung von Services mit Hilfe von Nix.

Das Spiel "Schiffe versenken" ist vielen bekannt. Wie spielt man dieses Spiel ueber das Internet? Und das auch noch mit einer Partei, die potentiell cheated? Dieser Vortrag zeigt, wie man mit Secure Multiparty Computation (bzw. 2PC) und cleveren kryptografischen Primitiven den Spieleklassiker hinreichend sicher spielen kann.

Smartphones sammeln die Standortdaten ihrer Nutzer. Daraus lassen sich weitreichende Analysen ableiten. Stellt man sich die Standort-Historie eines Menschen auf einer Landkarte abgebildet vor, dann ist das Mobilitätsmuster so individuell wie ein Fingerabdruck.

Wir wollen uns mit der Frage beschäftigen, wie Standortdaten sicher unter dem Gesichtspunkt der Privatsphäre verwendet werden können.

Für manche Andwendungen, sind Standortdaten unverzichtbar. Zum Beispiel für eine Mitfahrbörse ist es wichtig zu wissen, wo Fahrer und Mitfahrer sind. An diesem Beispiel wollen wir den aktuellen Stand der Technik und Wege in die Zukunft besprechen.

Mitwirkende sind dazu eingeladen, ein 5-minütiges Impuls-Statement vorzubereiten.

Notizen https://hackmd.io/IYBgjAzAxgrAZgEwLQmgdiQFgKZWQTmDBiQgCYoQpyZYEIg=#

Bitcoin has gained widespread interest for anonymous payments in recent times, driving the prices for a bitcoin through the roof.
Those prices are generally rising correlated with waves of ransomware, as bitcoin is the most common way of paying those ransoms.
After all, it's an anonymous currency, perfect for anonymous payments, isn't it?
In this talk, we will challenge the assumption of anonymity of the bitcoin network and see what conclusions can be drawn from the publicly available Bitcoin blockchain.
We will discuss options to track bitcoins, evaluate the possibilities to attribute addresses and transactions to users and their interactions with one another.
We will also take a look at how to characterize payments in the blockchain and what conclusions we can draw from that about the usage of Bitcoin as a cryptocurrency.
No previous knowledge about Bitcoin is necessary, a brief review of the properties of the bitcoin blockchain will be included in the talk to set the necessary starting point for everyone interested in the topic.

Scripts used for analysis can be found here: https://github.com/cherti/bitcoin-analysis

Wir sind wieder in die Abgründe der PowerPoint-Kultur hinabgestiegen und haben die besten™ Foliensätze für euch ans Tageslicht befördert. Ob die Lösung für das Energieproblem, eure Geldsorgen oder eure Internet-Sex-Sucht: Wenn ihr ordentlich vortragt, werden wir gemeinsam die Welt retten!

This workshop intents do enable the audience to use Python to analyse Data out there. We will analyse an exemplary dataset using the Python Scientific Library as well as Python's statistics toolset Pandas.

Participants should be fluent in Python (version 3, we will not consider Python 2 in this workshop).
Knowledge in the aforementioned libraries is not necessary and will be demonstrated in the workshop.

Biographischer Vortrag über Allen Dulles, der Geheimdienste in den USA und in Deutschland prägte.

Ransomware stellt nach wie vor eine große Bedrohung für die IT-Landschaft dar. Dieser Vortrag zeigt Motivation, Funktionsweise und (mehr oder weniger schlechte) Möglichkeiten, sich vor Ransomware zu schützen. Zum Beispiel wird in einem kleinen Experiment getestet, wie sich Ransomware vor Virenscannern verstecken lässt.

In this talk, an overview of memory attacks will be presented. Particularly, non-control data attacks will be discussed and examples provided. In contrast to traditional attacks, non-control data attacks do not alter the control flow of the kernel but rather manipulate data structures, which makes it both hard to detect and to prevent.

Auch dieses Jahr wollen sich die auf den MRMCD anwesenden Freifunker wieder über Probleme, Erfahrungen und zukünftige Entwicklungen austauschen.