MRMCD 2023

Es geht zu Ende

Wie bekommt man in einem Großkonzern das unbeliebte Thema Softwaresicherheit umgesetzt? Wir zeigen, wie wir bei DB Vertrieb die Sicherheitsmaßnahmen unseres Softwarelebenszyklus erklären und Unterstützung für die Umsetzung gewinnen.

Ablauf und Planung einer Strahlentherapie, Umgang mit der Planugs-Software, sinnvolle Hilfestellung durch KI (?) am realen Beispiel

Wie uns ein Blick in parallele Welten, in denen es bestimmte Orakel gibt, beweist, dass die P-NP-Frage schwer zu beantworten ist: es bräuchte einen Beweis, der sich nicht in Alternativrealitäten übertragen lässt.

Tab-completion ist eine tolle Sache, aber woher weiss die shell eigentlich was sinnvolle Vervollständigungsvorschläge sind, und was nicht? Ich möchte einen kleinen Überblick darüber geben welche Mechanismen es da gibt, und wo ich Vor- und Nachteile unterschiedlicher Methoden gibt.

Wie entsteht der Fahrplan? Wie funktioniert der Austausch? Wie entstehen Echtzeitdaten dafür? Was könnte da alles schief gehen?
Ich versuche mal ein paar Fragen zu beantworten und erkläre euch ein bisschen wie das mit dem Fahrplan und dann den Echtzeitdaten funktioniert.

Mehr als 75% der mittelständigen Unternehmen in Deutschland sehen ein hohes Risiko, dass Marktbegleiter der eigenen Branche, Opfer von Cyberkriminalität werden. Doch lediglich 30-40% sehen dieses Risiko auch für das eigene Unternehmen. Das geht aus einer repräsentativen Umfrage von 300 Unternehmen hervor. Dieser Talk handelt von der Diskrepanz zwischen Realität und Wunschbild, wenn es um die Cybersicherheit in kleinen- und mittleren Unternehmen geht.

Entdecke die Welt der Handarbeit mit Wolle und lerne Stricken, Häkeln und mehr. In gemütlicher Atmosphäre kannst du dich mit anderen austauschen, neue Techniken erlernen und kreativ sein. Egal ob Anfänger oder Fortgeschrittener, jeder ist willkommen. Erlebe die meditative Wirkung von Handarbeit und bereichere deine kreative Realität. Komm vorbei und genieße eine entspannte Zeit voller Wolle und Farben!

Mastodon is currently one of the leading services in the so called Fediverse as a federated online social network, so its inner workings are of special interest to understand and for attackers to potentially abuse.
This talk aims to show one essential compontent of the Fediverse: Trust. And what will happen if you misuse it.
The general architecture of the Fediverse to understand the design possibility for such attacks is also taken into account as well as ethical considerations to conduct research on a real social media network.
It covers a part of current research as one example for the trust built into the design of most (ActivityPub) Fediverse platforms.

The question about what is real arouses great interest in different areas of knowledge, but what is actually reality?
This question lies at a level of philosophical abstraction that is difficult even for philosophers to resolve. Still, the fact that it belongs to the realm of philosophy does not mean that anyone can answer this question or even think about it; since every human being and therefore homo sapiens-sapiens has some inner Sapientia (wisdom).
With this intro, I would like to invite you to have a moment to ask yourself what is real and what is reality, and if you think that it depends on the perspective, how can you be sure that we are living in a real world, with real feelings, emotions, and experiences and have mutual conversations about reality and about who owns reality?

Heute schon gespooft worden?

Spoofing ist eine betrügerische Technik, bei der ein Angreifer Informationen fälscht, um sich als eine andere Person, Entität oder Quelle auszugeben. Diese Methode wird oft von Kriminellen verwendet, um Nutzer zu täuschen, Schaden anzurichten oder Zugriff auf sensible Daten zu erlangen. Es gibt verschiedene Arten von Spoofing, darunter URL-Verschleierung, DNS Spoofing und Mail Spoofing.

Die URL-Verschleierung ist eine Technik, bei der ein Angreifer eine gefälschte URL erstellt, die der tatsächlichen Adresse einer Webseite ähnelt. Dabei wird versucht, den Nutzer in die Irre zu führen, indem er auf eine gefälschte Website geleitet wird.

DNS Spoofing ist eine Methode, bei der die DNS-Server manipuliert werden, um gefälschte DNS-Einträge für eine bestimmte Domain zu erstellen. Dadurch wird der Nutzer auf eine gefälschte Website umgeleitet, wenn er die URL einer legitimen Webseite aufruft.

Mail Spoofing bezieht sich auf die Manipulation der Absenderadresse in einer E-Mail, um den Empfänger zu täuschen. Es ermöglicht einem Angreifer, E-Mails zu senden, die vorgeben, von einer vertrauenswürdigen Quelle zu stammen, während sie in Wirklichkeit von einem Angreifer erstellt wurden.

In diesem Talk möchte ich am Beispiel IMS/DB eine Klasse von Datenbank-Systemen vorstellen, die früher weit verbreitet waren, heute aber höchstens noch in Legacy-Systemen, z.B. auf Großrechnern, anzutreffen sind.

In unserem ITler Alltag ist cloud computing quasi nicht mehr weg zu denken. Dank Azure und co ist es leichter denn je unseren Service hoch verfügbar in mehreren Availability Zones und Regions zu verteilen um das maximale an Reliability raus zu hohlen.
Aber was passiert eigentlich wenn die vermeidliche Redundanz unseres Cloud Providers doch mal fehl schlägt, oder gar unsere Anwendung Schluckauf bekommt und all die Redundanz gar nichts mehr bringt. Was können wir tun um das Vertrauen in unsere Infrastruktur und unseren Service zu stärken, auch wenn mal was schief geht?
Ich versuche mit real-life examples einen kleinen Einblick in die spannende Welt des Chaos Engineerings zu geben und damit auch zu betrachten wie die Realität manchmal doch ganz schön stark davon abweicht wie es wir uns wünschen würden.

Ob Social Media, Videos, Podcasts oder Newsfeeds, wir werden mit Informationen überflutet.
Mal kurz die Timeline checken und zack, da ist es auch schon passiert. Ein interessanter Artikel, aber die Zeit ist knapp: tl;dr

Doch später ist der Beitrag in der Timeline nicht mehr zu finden - WTF!

Mit Obsidian - My second brain habe ich die Informationsflut eingedämmt und Ordnung in das Datenchaos gebracht. Heute ist Obsidian meine zentrale Wissensdatenbank und mein Data Lake für Recherchen, Analysen und Reporting.

Anhand von Fallbeispielen lernst du das Prinzip von Obsidian kennen.

ajuvo geht manchmal zusammen mit anderen Menschen zu den Arbeitsplätzen, an denen Nerds arbyten und gemeinsam sorgen wir für ein besseres Arbeitsklima. Wir wollen hier erzählen, was das eigentlich ausmacht und was man tun kann. Und dann gern mit Euch ins Gespräch kommen. 25 min. Vortrag und 25 min. Q&A.

Die Ampel-Koalition hatte sich hohe Ziele für mehr Offenheit gesetzt: Ein Transparenzgesetz, Recht auf Open Data, ein Mobilitätsdatengesetz und einiges mehr. Wo stehen wir gerade, und was ist noch zu erwarten? Warum müssen wir eigentlich auch noch einmal ans Urheberrecht und wie kann sich die Chaos-Bubble lokal und im Bund für mehr Offenheit einsetzen?

Q&A für "Gutes Arbeitsklima für Nerds", wird nicht aufgezeichnet.

„Nicht echt, aber wahr“: Adbusting ist eine Form der Straßenkunst. Dabei werden Werbeplakate mit Farbe, Papier und Kleister so verändert, dass die Botschaft bis zur Kenntlichkeit entstellt wird. Ob nur ein verändertes Wort oder ein großer Eingriff in die Bilderwelt: Wir zeigen anhand von Beispiele dieser Kommunikationsguerilla-Praxis seit 69 n. Chr. wie Adbusting als Praxis der Wiederaneignung und Versuch der Anverwandlung des öffentlichen Raumes funktioniert. Wir diskutieren darüber, was Werbung eigentlich ist, und wie Werbung gesellschaftliche Vorstellung abbildet. Warum haben veränderte Werbeposter der Bundeswehr so viel gesellschaftlichen Sprengstoff, dass sich sogar das Terrorabwehrzentrum damit beschäftigt? Gemeinsam wollen wir diskutieren, ob diese Aktionsform für eine emanzipatorische Praxis geeignet ist oder doch nur die Sehgewohnheiten der Werbebranche reproduziert.

This talk explores L2/L3 network transport technologies with a strong focus on EVPN (Ethernet VPN).

AI models have recently achieved astonishing results and are consequently employed in a fast-growing number of applications. However, since they are highly data-driven, relying on billion-sized datasets randomly scraped from the internet, they also suffer from degenerated and biased human behavior. This behavior is human-like, and the model only reflects its training data. Filtering training data leads to a performance decrease. Therefore, models are fine-tuned, e.g., by RLHF, to align with human values. However, the question of which values should be reflected and how a model should behave in different contexts remains unresolved. In this talk, we will look at controllable generative AI systems and present ways to align these models without fine-tuning them. Specifically, we present strategies to attenuate biases after deploying generative text-to-image models.

Ein Einstieg in das Automatisierungswerkzeug Ansible zum administrieren von technischen Geräte wie Server, Laptops, Switche und auch Windows. Wir wollen euch ein einstige in Ansible zeigen was ist es und wie fängt man damit an.

Creating SQL queries with placeholders is a must. But composing strings with interpolation is easier and better to read. How about combining the best of both worlds?

Many are still composing their SQL queries dangerously by assembling their queries with string interpolation.

Not only are such queries slow and prone to errors, they are also loopholes for injections. But many legacy projects are full of such examples. And refactoring is often not easy.

And even today many developers choose interpolation, since it's a core feature in Perl and comfortable to use.

This talk shows a current project to convert such interpolations to placeholders, without losing the benefits of ease and expressiveness.

We will cover and explain some in-depth techniques like

• Callbacks in DBI.pm
• Manipulating variables with PadWalker.pm
• Bind variables with tie
• Overloading operators for objects

Wer an Nachhaltigkeit denkt, denkt an Klimaschutz und Ökologie. Nachhaltigkeit ist aber mehr als das, vor allem wenn wir sie im Kontext der Digitalisierung denken. Natürlich müssen wir unsere Lebensgrundlagen schützen. Und Digitalisierung ist ein HIlfsmittel, dies zu schaffen. Auch soll Digitalisierung nicht dazu beitragen, Klimaschutz und Ökologie zu verschlechtern.

Aber trägt Digitalisierung heute auch dazu bei, dass wir eine zukünftige Gesellschaft ansteuern, in der jeder Mensch in Freiheit und Selbstbestimmung leben kann? - in großen Teilen nicht.

Darum haben wir die AG Nachhaltige Digitalisierung gegründet und sie seit einem Jahr einem wissenschaftlichen Prozess unterzogen, um 10 Grundprinzipien zu definieren, wie Digitalisierung nachhaltig gedacht und umgesetzt werden sollte. Wir möchten diese Prinzipien vorstellen und diskutieren - um gemeinsam dazu beizutragen, besser zu digitalisieren.

Die neue VOLT Power Cola ZERO feiert Premiere auf den MRMCDs in Darmstadt!
In einem spannenden Vortrag berichtet der Gründer, Klaus Dörrenhaus, anhand der neuen VOLT Power Cola ZERO, wie der Entwicklungsweg eines neuen Softdrink-Produktes aussieht und welche Hürden man als Indie-Softdrinkentwickler kreativ und subversiv umgehen muss, um neben Coca-Cola und Redbull überhaupt eine kleine Chance zu haben.

Der Kernel implemetiert ein Auditing Framework um Syscalls und Zugriffe auf Dateien zu loggen. Damit lässt sich genau nachverfolgen was auf den Systemen passiert um, z.B. effektives Security Monitoring umzusetzten. Der Vortrag gibt einen Überblick über die Architektur des Frameworks, sowie auch die Userland-Komponente Auditd.

Vor 12 Jahren begann ich, ein "persönliches Wiki" zu führen. Es besteht nur aus einem Ordner mit Textdateien drin, und einem einfachen Vim-Plugin, ist aber inzwischen ein ganz zentraler Bestandteil meines Lebens geworden, und letztendlich das Geheimnis meiner Produktivität (uuuuh)!

Ich möchte euch erzählen, wie mein Wiki funktioniert, wofür ich es benutze, und euch motivieren, euch auch eins zu bauen!

Linux ist, vor allem im Server- und IoT-Bereich, nicht mehr wegzudenken. Leider sind Standard-Installationen i.d.R. unsicher konfiguriert und Administrator:innen sehen sich zahlreichen Sicherheitslücken ausgesetzt. Glücklicherweise bietet das Linux-Ökosystem einen ganzen Zoo an sinnvollen Tools zur Optimierung der Sicherheit, die - automatisiert eingesetzt - schnell zur Besserung der Lage beitragen können.
Dieser Vortrag beinhaltet vor allem Lessons Learned und Praxistipps aus Projekterfahrung.

Das junge Rechtsaußenspektrum bedient sich memetischer Agitation, um seine Strategien zu verfolgen und die eigenen Narrative zu verbreiten. Mit welchen Mechanismen versuchen extrem rechte Akteur:innen, ihre Perspektiven zu plausibilisieren? Welche visuellen Mittel setzen sie ein, um ihre Positionen zu popularisieren, politische Gegner:innen zu provozieren und Themen zu (re-)framen? Am Beispiel verschiedener extrem rechter Akteur:innen und ihres meme war suchen wir gemeinsam Antworten auf diese und ähnliche Fragen.

Palantir ist ein US-amerikanisches Überwachungsunternehmen, das seine Dienste mit der Software Gotham dem öffentlichen Dienst, vor allem der Strafverfolgung zur Verfügung stellt. Seit einiger Zeit wütet das durch einen der derzeit mächtigsten Faschisten der Welt, Peter Thiel, gegründete Unternehmen auch in der deutschen und europäischen Polizeiarbeit. Europol hat sich gegen die Nutzung der Software entschieden - während sich die Bundesinnenministerin Faeser dieser Einschätzung angeschlossen hat, hat Bayern bereits einen Rahmenvertrag mit Palantir verhandelt, der anderen Bundesländern helfen soll, Vergabeverfahren zu umgehen. Hamburg wollte das Urteil des Bundesverfassungsgericht gegen Hessen abwarten, um die Software zu implementieren; auch wenn Hessen mit HessenData offenkundig verfassungswidrig ist, ist aber auch Nordrhein-Westfalen mitten in der Nutzung. Die Aussichten sind düster - wir erklären warum.

Der Vortrag widmet sich den Fortschritten im Gluon-Framework und dem zugrunde liegenden Betriebssystem OpenWrt. Diese ermöglichen es, herkömmliche Router-Hardware mit batman-adv / fastd-VPN und WLAN ins Gigabit-Zeitalter zu bringen.

Die Entwicklung der maschinellen Denkmaschinen erreichen eine Komplexität, die es den meisten Menschen mittlerweile unmöglich macht, diese komplett zu erfassen. Stattddessen werden Abtrahierungsschichten generiert, die den BenutzerInnen, Entwicklerinnen und SystemadministratorInnen jene Systeme vorgaukeln, die sie erwarten. Phantasie und Wirklichkeit verschwimmen und der Markt wird von den Akteuren mit der größten Abwärtskompatibilität kontrolliert.

For a bunch of years, I have collected lots of gadgets from every hacker's favourite online stores, and coined the term "root on arrival" at some point. Leaning against the good old "Hack All The Things: 20 Devices in 45 Minutes" talk by The Exploiteers, I present another series of devices to hack on: IP cameras, network video records, wireless storages, car media players, TV boxes, physical access control systems, lounge/room control panels, portable mobile network gateways - you name it. Because all of those are actually nice gadgets to have, besides just popping those boxes, I will go further and walk through a handful of nice projects leveraging existing products to put custom software on them.

Dieser Talk gibt eine Status-Update über das OpenWrt Projekt, der Feature-Entwicklung der letzten Jahre und was dies für den praktischen Einsatz bedeutet.

Wir gucken YouTube. Alte Filme, bei denen es hier nicht um deren Handlung oder Doku geht, sondern um das, was man im Bild darüber lernen kann, wie früher mit Technik umgegangen wurde. Ein bisschen Kunst und Kultur zur Unterhaltung und zum Lernen.

Menschen können auf Deutsch oder Englisch gemeinsam mit ihrem Publikum Präsentationen kennenlernen und vorstellen.
Die (vorher nicht offengelegten) Präsentationen sind entweder auf Deutsch oder Englisch erstellt, der Vortrag kann aber unabhängig davon in der gleichen oder jeweils anderen Sprache erfolgen.

Die folgenden Präsentationen wurden in dieser Reihenfolge vorgestellt:

URL/Quelle
https://d2cax41o7ahm5l.cloudfront.net/cs/speaker-ppts/navas-nadukkandiyil-hamad-medical-corporation-qatar.ppt
https://adg.univie.ac.at/Teaching/Kuiper.ppt
https://www.phenix.bnl.gov/WWW/publish/elke/TALKS/Alberto.Fasso.BNL.seminar.FLUKA.ppt
http://www.uky.edu/~dlowe2/documents/LectureCH04.ppt
https://www.bw.igm.de/downloads/artikel/attachments/ARTID_3956_20050314134253.pwz?name=gallup.ppt
https://www.dogswest.com/dogswest/d/Documents/0X6XO3M9KI5VL6CEZIUJEGC6ILVL9F/4LRKRYBG608BWKS.ppt/Health+Risks+of+Desexing+1.ppt
https://osf.io/uy7ph/download/?format=pdf
https://documents.icar-us.eu/documents/2013/03/ethylene-oxide-residues-in-fumigated-books-a-first-result-of-the-project-men-and-books.ppt

Talk über die Nische angewandter ML Methoden auf Timeseries Daten. In diesen Beispielen mit InfluxDB2 als Timeseries Datestore.
Über meinen Weg von der Wahl der Methode über die implementierung einer ML Pipeline bis zur Visualisierung in einem Grafana Dashboard aus Sicht eines nicht-Mathematikers.

rosenpass.eu ist zur Zeit ein kryptographisches add-on zu WireGuard, das eine Post Quantum Funktionalität für VPNs bereitstellt. Es ist aber noch viel mehr. Wir berichten von den neuesten Entwicklungen.

rosenpass.eu

WPA2 Enterprise ist in Institutionen weit verbreitet. Doch wie outdated ist das Protokoll, welches sich hinter dem WLAN mit Username und Passwort verbirgt? Wie können wir diese Probleme überwinden und Enterprise WiFi in die moderne Welt bringen?

This workshop is about knitting. That stuff that grows on sheep or goats.

Eine Einführung in Kapitalismus-Schwurbel-Kritik: Ausgehend vom Beispiel der "schwäbischen Hausfrau" versuche ich aufzudröseln, wie gerne Menschen mit "ökonomischem" und "(neo-)liberalem" Hintergrund pseudo-ökonomische Bilder aufgebauen und in einem schiefen Zusammenhang verwenden, um eigene politische Interessen zu fördern und tatsächlichen ökonomischen Argumenten auszuweichen.

Für viele Menschen da draußen ist IT Sicherheit gefühlt eher ganz weit weg. Das muss nicht so.

Eine Anleitung zum selber machen!

Große Social Media Netzwerke wie X, Instagram und TikTok sind einfach nur noch pervers und ballern einen unablässig mit Werbung, Triggern und Hass zu. Hate sells I guess. Ich hatte letztlich keine Lust mehr darauf und mit dem Fediverse und dezentralen Social Media angeboten die Erfahrung gemacht: Social Media muss gar nicht Grau, Hass und Bots - es kann auch Bunt, Liebe und Menschen.

ein kleiner Einblick in die Studiotechnik eines Radiosenders

Fuzzing ist eine effektive Möglichkeit bestehende Software auf ihre Robustheit zu testen. Allerdings ist Fuzzing häufig mit intensiver manueller Vorbereitung verbunden. In dem Vortrag „Automatisiertes und Optimiertes Fuzzing von Dynamic-link Libraries" werden wir zeigen, wie vollautomatisches Fuzzing von .NET DLLs möglich ist. Hierzu werden wir kurz Fuzzing an sich und wichtige Begriffe wie z.B. Harness, Corpus und Coverage erklären. Anschließend erläutern wir anhand eines entwickelten Tools, wie wir bei der Automatisierung vorgegangen sind. Wir zeigen erst wie automatisch Targets, also zum Fuzzing geeignete Funktionen, mittelst statischer Sourcecode-Analyse ermittelt und für diese ein Harness generiert wird. Anschließend gehen wir auf das Scheduling ein, welches mögliche negative Auswirkungen der automatischen Targetauswahl minimiert und gleichzeitig durch Parallelisierung den Prozess des Fuzzings optimiert. Im Anschluss zeigen wir das automatische Reproduzieren von gefundenen Fehlern. Zum Abschluss der Präsentation gehen wir näher auf die Auswertung von verschiedenen untersuchten DLLs ein. In mehreren Testläufen wurden bei 31 Targets Fehler ausgelöst, meist handelt es sich um Abstürze, in einigen Fällen hat sich die DLL bei der Verarbeitung der generierten Eingabe aufgehängt. Betroffen sind unter anderem eine Kryptobibliothek.

Es geht los