The Turkey Curse
fukamis terror chatroom

Hunde und Katzen essen‎

Prickle-Prickle, 66th Discord, 3179.

Letzte Woche war ich seit langer Zeit mal wieder unterwegs im Rheinland (z.B. zur Vorbereitung der [SIGINT](http://sigint.ccc.de “SIGINT”), verschiedene Treffen im Kontext des [Transparenzgesetzes NRW](http://www.nrw-blickt-durch.de/ “Transparenzinitiative NRW blickt durch”), HV der [Drosselkom](https://digitalegesellschaft.de/2013/05/demonstration-fur-den-schutz-der-netzneutralitat-updates/ “Demonstration für den Schutz der Netzneutralität”) u.a.), und es gab dabei eine Reihe seltsamer Eindrücke, über die sich gar nicht so einfach schreiben lässt. Einige Sachen muss ich dennoch loswerden, auch wenn sie missverständlich oder gar als Angriff ankommen mögen, als das sie nicht gemeint sind.

Im NRW-Landtag in Düsseldorf fand auf Einladung der Landesregierung die Veranstaltung [Zukunftsforum “Digitale Bürgerbeteiligung” - Open Government und Open Parliament in NRW](http://www.nrw.de/opennrw/opennrw-1/‎ “#opennrw”) statt. Um es gleich klar machen: Ich fand die Veranstaltung im Kern ganz gut und weiss durchaus sehr zu schätzen, was die Landtagsverwaltung NRW auf die Beine gestellt hat. Allerdings hoffe ich, dass bei weiteren Veranstaltungen dieser oder ähnlicher Art die Organisatoren im Detail etwas mehr Fingerspitzengefühl, Humor und Mut entwickeln. Meines Erachtens entspräche das Format wohl eher einem klassischen Barcamp, das etwas mehr Spontanität zugelassen hätte. Trotzdem muss ich sagen, dass ich es als sehr viel offener empfunden habe als erwartet.

Aber wie schon angedeutet gibt es einige Anmerkungen, die ich mir einfach nicht verkneifen kann.

Das [Programm](http://www.nrw.de/opennrw/veranstaltung-1/das-programm.html “Programm #opennrw”) startete mit den Eröffnungsreden von Landtagspräsidentin Carina Gödecke und Ministerpräsidentin Hannelore Kraft. Danach ging es direkt weiter mit dem ersten Panel — und was für einem: Dort standen 10 (in Worten zehn) Männer in gleichem Aufzug einer (in Worten: einer) Frau gegenüber. Diese Frau wurde zudem mit den Worten begrüßt: “Nun kommen wir zu unserer einzigen Frau in der Runde. Dafür hat sie aber einen schönen Namen”. Hier ein Screenshot von diesem Teil der Veranstaltung, der durchaus etwas ikonenhaftes hat wie ich finde.

Eröffnungspanel #opennrw

Anmerkung: Der Screenshot ist von dem [Video des Panels](http://www.nrw.de/opennrw/veranstaltung-1/videos-der-auftakt-und-abschlussdiskussion.html “Video Panel 1 bei #opennrw”). Ein anderes Foto besserer Qualität, dass ich auf Grund der Lizenz nicht einbinden kann, findet sich bei Flickr.

SRSLY? Im Jahre 2013 findet ein Event zum Thema “Digitale Bürgerbeteiligung” statt und die Veranstalter stellen dort allen Ernstes 10 Kerle und eine Frau auf die Bühne? Das ist irgendwie etwas zuviel Postgender für meinen Geschmack, und überhaupt: Dass eine Veranstaltung zu so einem Thema sogar einen geringeren Frauenanteil aufweist als die üblichen Nerdkonferenzen oder ein durchschnittlicher Parteitag der Piratenpartei, sollte sehr zu denken geben.

Bemerkenswert war auf dem Panel übrigens Innenminister Jäger (dritter von links auf obigem Bild) mit dem Spruch “Ich finde, Open Government hat nichts damit zu tun, dem Bürger terabyteweise Daten zuzuschieben”. Doch, lieber Herr Jäger, genau das hat es. Dass der zuletzt durch seinen besonderen Einsatz für die [Bestandsdatenauskunft](http://www.spiegel.de/netzwelt/netzpolitik/nrw-beschwor-horrorszenarien-fuer-bestandsdatenauskunft-a-899421.html “Bestandsdatenauskunft”) und auch sonst nicht grade als Freund bürgerrechtsfreundlicher Politik bekannte SPD-Minister solche Sachen auf einem Event dieser Art von sich gibt ist schon irgendwie bitter, zeigt es doch, wie wenig ihn das Thema ganz offensichtlich interessiert, sonst hätte er mitbekommen, worum es geht. Sehr schräg war dann auch, dass auf dem Panel über Mails von Mitarbeitern diskutiert wurde, die echt niemanden interessieren, denn darum geht es in der Debatte um Offene Daten nicht und ging es auch nie, aber total vom Wesentlichen ablenken.

Im Vorfeld der Veranstaltung wurde der Hashtag [#opennrw](https://twitter.com/search?q=%23opennrw&src=typd “Suche nach Hashtag #opennrw bei Twitter”) für Twitter öffentlich auf den entsprechenden Seite verkündet und sogar Broschüren damit gedruckt, woraufhin [jemand](https://twitter.com/Marudor/status/335293494950236161 “Marudor findet da sind zu wenig Katzen”) ein kleines Script geschrieben hat, das Katzenbilder von Google geholt und mit dem entsprechenden Hashtag versehen konstant auf Twitter postete.

Auf dem Event wurde zur Eröffnung verkündet, der Hashtag werde nun auf #opennrw13 geändert und sogleich bekam ich hinter mir ein Telefonat mit, in dem die Worte fielen “Hey, die haben den Hashtag geändert. Hol die Katzen raus!” - wohl in Anlehnung an “Bring out the KRAKEN”.

Cat Attack auf #opennrw und #opennrw13

Symbolbild: [Anhaltender Cyberangriff von Katz3n auf #opennrw und #opennrw13](https://twitter.com/CatsForNRW/status/335751686968709121 “Katzenangriff”)

Es gab auf dem Event natürlich auch wenig überraschend “Twitterwalls”, bei denen irgendwann “katzen” und “katz3n” gefiltert wurden:

#opennrw ohne katzen

OpenNRW nur ohne Katzen: [Im Landtag NRW gibt es offensichtlich eine gewisse Katzenfeindlichkeit](https://twitter.com/fukami/status/335399776185102337 “Tweet: Im Landtag NRW gibt es offensichtlich eine gewisse Katzenfeindlichkeit”)

Für mich bringt das prinzipielle Defizite im Umgang mit digitaler Öffentlichkeit sehr gut auf den Punkt, und nicht zuletzt das war ja wohl auch Sinn der Übung wie ich das einschätze. Zumindest aber die Landeszentrale für politische Bildung NRW scheint es mit Humor genommen zu haben und [twitterte](https://twitter.com/LZpBNRW/status/335308184690520065 “Tweet der Landeszentrale für politische Bildung NRW”) “Kann einer mal die katze füttern!”. Es sollte tatsächlich einfach als das betrachtet werden, was es ist: Ein vielleicht etwas schräges, aber durchaus herzliches und freundliches Willkommen, ein “wir werden noch viel Spass haben, wenn ihr ein wenig den Stock aus dem Hintern nehmt” und eine Einladung, weiter auf Augenhöhe miteinander zu reden (ja, auch auf Augenhöhe der Katzen, aber den Witz kann keiner kapieren, der nicht in einer konkreten Situation dabei war ^^).

Aber ehrlich: Ich vermute, dass daraus die falschen Schlüsse gezogen werden — was sich ja schon daran zeigt, dass Urheber dieser Aktion anwesend waren (nein, ich war das nicht!), aber weder IRL noch auf Twitter wirklich eine direkte Ansprache stattfand, auf die diese ganz sicher reagiert hätten. Denn das war (und ist) kein anonymer Porno-, Malware- oder Linkspam, sondern freundlich dreinblickende Katzen (und, zugegeben, das eine oder andere Pony, das sich dort eingeschlichen zu haben scheint).

Zum Abschluss gab es — Tusch — ein weiteres Panel, dieses Mal mit nur fünf Männern und einer Frau. Schade eigentlich, waren die Workshops im Laufe des Tages doch meist von gutem Niveau, und dieses Panel war für den Abschluss zu schwach.

Auch wenn das jetzt etwas merkwürdig rüberkommen mag, dass ich eine Kritik ausgerechnet an der einzigen Frau in der Gruppe richte, muss ich sie dennoch loswerden.

Einmal mehr irritierte mich das Gov2.0-Netzwerk: Deren Vertreterin auf dem Panel ist nicht nur im Vorstand des Vereins, sondern auch Mitarbeiterin bei [Dataport](http://de.wikipedia.org/wiki/Dataport “Die Wikipedia über Dataport”), dem Dienstleister der Verwaltungen in den Nordländern. Sie betonte zwar in der Vergangenheit mir gegenüber schon öfter, dort nur als Pressesprecherin zu arbeiten und bezeichnet sich als Journalistin (ich definiere das Wesen dieses Begriff anders, aber das nur am Rande). Angaben zu diesem Engagement findet sich aber weder auf der Webseite der Veranstaltung, noch wurde darauf bei dem Panel hingewiesen. Das wirkt ähnlich wie bei dem Blogpost [Die GovData-Entrüstung…ein Bärendienst?](http://www.gov20.de/die-govdata-entrustung-ein-barendienst/ “Die GovData-Entrüstung…ein Bärendienst?”) damals, bei der der Autor der Kritik an der unabhängige Open Data/Open Government-Szene ebenfalls “vergaß” klarzustellen, was sein persönlicher Kontext ist und wie es in solchen Fällen üblich sein sollte: Er ist NTO (National Technology Officer) bei [Microsoft](http://www.microsoft.com/de-de/news/pressemitteilung.aspx?id=533381 “Pressemitteilung von Microsoft zu Thomas Langkabel”) und war ehemals bei CSC, die — Funfact am Rande und totally unrelated — jetzt grade einen [Funktionstest des Staatstrojaner](https://netzpolitik.org/2013/bundeskriminalamt-bestatigt-anschaffung-von-staatstrojaner-gamma-finfisher-wir-haben-die-software/ “Netzpolitik zum Staatstrojaner”) durchführen soll. Einen NGO als einzige Referenz zu benutzen, während man gleichzeitig in Unternehmen arbeitet, die in dem Bereich tätig sind, den man vertritt, ist mehr nur ein bisschen bemerkenswert und hatte ich auch schon während meines [re:publica-Vortrages](http://re-publica.de/en/sessions/maschinenlesbare-regierung-eine-kritische-analyse-zur-gegenwart-open-data-und-open-govermen “Vortrag zur re:publica”) mit Lorenz thematisiert.

Grade innerhalb dieser Szenerie, die sich der Öffnung politischer und verfahrenstechnischer Prozesse verschrieben hat, ist Transparenz von ganz besonderer Bedeutung — auch wenn das die Beteiligten ganz anders sehen und sich z.B. bei Facebook im Nachgang des erwähnten Blogposts darüber mokieren, diese Klarstellungen empfänden sie als störend (Sorry, ich habe keinen Facebook-Account mehr um darauf zu verlinken). Die Entscheidung und Bewertung darüber obliegt ihnen meiner Ansicht nach aber gar nicht (was ich auch schon öfter betont habe). Wenn sie also über den vielbeschworenen “Kulturwandel” reden wollen, ist das eben auch ein Teil dieser neuen Kultur: Klare Ansagen bei möglichen Interessenskonflikten, wie sie ganz offensichtlich existieren. Die ergeben sich automatisch durch Arbeitsverträge, und schränken die Kritikfähigkeit und -möglichkeit ganz erheblich ein. Das zeigt sich dann ja auch in eher nichtssagenden Statements auf diesem Panel, wo es durchaus noch einiges zu sagen gegeben hätte. Es sei aber auch noch einmal klar gestellt, dass es nicht als fachliche Kritik gemeint ist, und ich halte die Personen durchaus für kompetent.

Im [Chaosdorf](http://chaosdorf.de “Chaosdorf - CCC Düsseldorf e.V.”) wurde der Abend beendet mit “Freitagsfoo” genannten Kurzvorträgen zu ZFS (passend im Zusammenhang der “terabyteweisen Daten”), Arbeitsschutz, DNS, Ideen für eigene Verschlüsselung sowie anschliessendem Konsum von [Barbarella](https://de.wikipedia.org/wiki/Barbarella_(Film) “Barbarella”) und Sachen wie [Smells Like Humppa](http://www.youtube.com/watch?v=r9YyaknVx_o “Smells Like Humppa”) von Eläkeläiset, was speziell an diesem Tag ganz besonders gut zum Ausdruck gebracht hat, wie ich einiges an diesem Tag empfunden habe.

Als ich dann irgendwann spät nachts nach “opennrw” bei Google gesucht habe, bekam ich als Antwort folgende Seite, dessen Werbeblock an Ende der Seite mich zu dem Titel des Textes inspirierte und mich praktisch dazu zwang, das Ganze kurz niederzuschreiben. Es ist meines Erachtens wichtig sich klar zu machen, was öffentlicher Raum im Netz momentan bedeutet und wie weit das von dem entfernt ist, was es sein sollte. Oder wie ich in meiner [Kirchentagsrede](http://dinge.fukami.io/rede-dekt-fiug-2013.html “Rede zum Kirchentag 2013″) sagte: “Der öffentliche Raum, über den wir hier reden, ist eher mit einem Kaufhaus zu vergleichen, in dem wir uns treffen und austauschen. Niemand würde das in der Realität ernsthaft als öffentlichen Raum in dem Sinne begreifen, wie wir ihn sonst ganz selbstverständlich wahrnehmen, sondern als das was es ist: Ein privater Raum mit öffentlicher Begängnis”. So verwundert es eben auch nicht, womit der Begriff “OpenNRW” aus Sicht der Werbenden zusammenhängt.

Hunde und Katzen essen!

Mal davon abgesehen, dass ich gelernt habe, in Schweiz sei es völlig normal, Hunde und Katzen zu essen: Erlebnisse an Tagen wie diesen sind es, warum ich dieses Internet einfach von ganzem Herzen liebe!

---

GPN8 in Karlsruhe

Prickle-Prickle, 33rd Confusion, 3175.

Ich fahre grade zurück von der achten Auflage der Gulaschprogrammiernacht in Karlsruhe. War wie immer eine tolle Veranstaltung. Die neue Location in der HfG (Hochschule der Gestaltung am ZKM) ist sehr reizvoll für derlei Veranstaltungen. Und die Generalbundesanwaltschaft direkt vor der Tür hatte irgendwie noch einen ganz besonderen Reiz.

Der Vortrag von BeF und mir war weniger der Rant, den wir eigentlich vorgehabt haben, sondern eher ein klassischer Websicherheitsvortrag. Scheint aber den meisten Leuten trotzdem ganz gut gefallen zu haben. Leider habe ich aber ob der vielen Diskussion keine anderen Vorträge mitbekommen.

Jedenfalls hat sich für mich wieder mal bestätigt, dass die GPN eine der coolsten Nerdveranstaltungen ist.

---

Piratengrillen in Bonn

Setting Orange, 29th Confusion, 3175.

Da es in Bonn nicht so ganz einfach ist, geeignete, nicht-kommerzielle Orte zu finden wo man sich zwanglos treffen kann, findet bei schönem Wetter am Montag, den 29. Juni 2009 ab 19 Uhr ein Piratengrillen am Beueler Rheinufer statt. Eingeladen sind alle Leute aus Bonn und Umgebung, die sich für die Piraten und deren Ziele interessieren. Willkommen sind selbstverständlich auch Nicht-Mitglied der Piratenpartei. Grillgut und Getränke sind selbst mitzubringen.

Rückmeldungen per Twitter oder in den Kommentaren wären schön, um abschätzen zu können, mit wie viel Leuten ungefähr zu rechnen ist.

---

25C3: Schedule online

Setting Orange, 38th The Aftermath, 3174.

We just published the so-called “Fahrplan” for 25C3. Take a look.

---

Deepsec, 25C3, CGNSec and everything else

Sweetmorn, 19th The Aftermath, 3174.

Next week I will stay in Vienna to join Deepsec. Last year the conference was just amazing and I’m also looking forward to visit Metalab, one of my favorite hacker spaces. BeF and me will have a talk about ActionScript 3 obfuscation/de-obfuscation and other fun stuff with byte code. BeF released a new version of erlswf which is capable of disassembling AS3 and returning this disassembly as JSON. If you are interesting in those things you should check it out. BeF will hopefully blog about erlswf in detail (hinthint :)

During the last weeks I was one of the persons who looked through all the submissions (nearly 300!) for the 25C3. I was also involved into the decisions what talks will take place. I won’t tell much, but I think it will be interesting and much more focussed on technical topics rather than meta-blabla like the last years. BeF and me are going to speak about Flash stuff at 25C3 as well and we will also release a paper for the conference proceedings.

In November I will be at OWASP Germany 2008 in Frankfurt and talk about RIA security. I’m still not 100% sure what I will exactly talk about, but I think I will focus on difficulties one has to face when auditing complex RIA applications. Most people already know that I’m not a big fan of OWASP since it’s much to much vendor centric in my point of view (but, well, I don’t like to start a big rant here right now). Anyways, I’m looking forward to meet Alexios from n.runs and Martin at the conference.

Last month Stefan and me founded CGNSec. The idea is to meet security people and researchers from the Cologne/Bonn area to talk about unfinished ideas and projects as well as having some beers. Yesterday there was the second meeting and it was real fun. There were even some EZB guys from Frankfurt and we had some interesting conversations. I hope we will have some presentations from time to time, since there are quite some people with interesting stuff. I also hope that the MWCollect guys from Bonn are joining us next time.

Some personal notes: I got engaged with my girlfriend. Since she’ll go to Hamburg beginning of next year to join Henri Nannen Journalist School I will probably leave the Rhineland in between the next two years (well, not before she will finish). I really feel sad somehow, since I feel home here. But after her studies she will probably not coming back, so I will follow her sooner or later.

I joined a carnival society some months ago called “Beueler Stadtsoldaten”. The Rhenish Carneval is starting in a couple of days and I will have quite a couple of events where I will do some dancing (nothing to complicate really) - and I’m thinking about starting a blog or Soup where I like write about some experiences, post some photos and tell about all the dirty little things happen there. I will probably announce it using my Twitter account.

Last but not least a little advertising: End of November the book of Mario Heiderich, Christian Matthies, Johannes Dahse and me will be published by Galileo Press. It’s in German and it calls “Sichere Webanwendungen” (secure web applications). I was only responsible for everything related to Flash, so most of the work was done by the others. The nice thing is that it will be published only using my nick, not my real name :)

---

re:publica, Bluehat and PH-Neutral

Sweetmorn, 13rd Discord, 3174.

The next couple of weeks I’m going to speak at some interesting and completely different events. Next week I will be at [re:publica][republica] in Berlin doing a tunneling workshop. Last year there was a screen at the entrance of re:publica showing the output of dnsniff. Some people got very pissed because of their passwords turning up in full HD quality. So Markus had the idea of this workshop and asked to do that in order to give the attendees a possibility to protect themself. The re:publica is going to be very big this year (800 attendees all together as far as I know) and a lot of old friends will show up I haven’t seen in a while.

The next event I’m going to visit is [Bluehat v7][bluehat] in Seattle. I’ve never been to the States before, so I’m really excited going there - especially because Microsoft is the reason which I still find very weird. I’ll give a presentation together with [Manuel Caballero][manuel] about [Silverlight][silverlight] and how it compares to Adobe Flash security-wise. Only a few of the speakers of Bluehat are already known to me. Beside [Lieutenant Dan][dan] and [kuza55][kuza] I’m looking forward to got to know [Sowhat][sowhat]. We tried to invite him to one of the past [Chaos Communication Congresses][c3] but it was far more complicate than we thought because of problems with the visa. I’m also looking forward to got to know [Billy Rios][bk]. I guess he and [Nitesh][nitesh] will talk about [Phishing][interview].

In May I’ll be at [PH-Neutral][phneutral] and give a presentation together with [BeF][bef] entitled “SWF and the Malware Tragedy”. The talk is about static analysis of SWF bytecode and we hopefully have some more time to look into less known SWF bytecode obfuscation techniques. BeF and me also wrote a [paper][paper] with the same title which is mainly about using Erlang programming language based [erlswf][erlswf] for SWF bytecode analysis.

[republica]: http://re-publica.de/08/
[bluehat]: http://blogs.technet.com/bluehat/
[manuel]: http://www.cracking.com.ar/
[dan]: http://doxpara.com/
[kuza]: http://kuza55.blogspot.com/
[sowhat]: http://secway.org/
[c3]: https://events.ccc.de/congress/
[bk]: http://xs-sniper.com/blog/
[interview]: http://www.net-security.org/article.php?id=1110
[bef]: http://pentaphase.de/
[paper]: https://www.flashsec.org/mediawiki/images/5/57/SWF_and_the_Malware_Tragedy.pdf
[erlswf]: http://code.google.com/p/erlswf/
[phneutral]: http://ph-neutral.darklab.org/
[silverlight]: http://silverlight.net/
[nitesh]: http://dhanjani.com/

---

Deepsec in Vienna

Pungenday, 31st The Aftermath, 3173.

This week my workmate [Stefan][stefan] and me are going to join [Deepsec][deepsec], an “in-depth security conference” in Vienna. Deepsec looks very promising to me since there are a lot of talks I like to attend to, like the talks from Halvar Flake, Dave Aitel, Martin Johns, Alexander Kornbrust, David Litchfield or from Melanie Rieback. I will also give a talk, once again on Adobe Flash Security.

Beside the conference there will be another nice great event in Vienna called [Roböxotica][roboexotica], a festival for cocktail robotics. I am also looking forward to visit [Metalab][metalab] and meet some friends.

Last but not least we will visit [Figlmüller][figlmueller] to eat Wiener Schnitzel :)

[figlmueller]: http://www.figlmueller.at/
[metalab]: http://metalab.at/
[deepsec]: http://www.deepsec.net/
[stefan]: http://blog.php-security.org/
[roboexotica]: http://www.roboexotica.org/

---

Reminder: 24C3 CFP ends in 3 days

Boomtime, 63rd Bureaucracy, 3173.

I just want to remind you guys to [submit your lecture puroposal][submission] for the upcoming [24C3][24C3] in between the next 3 days :)

[submission]: https://cccv.pentabarf.org/submission/24C3
[24C3]: http://events.ccc.de/congress/2007/

---

24C3 CfP

Sweetmorn, 17th Bureaucracy, 3173.

The Chaos Commnunication Camp is over, so it’s time to announce the [Call for Participation][cfp] of the 24th Chaos Communication Congress 2007 (24C3). The Chaos Communication Congress is the annual four-day conference organized by the [Chaos Computer Club][ccc] (CCC) and taking place in Berlin, Germany. The 24C3s slogan is Volldampf voraus! _– the German equivalent of “full steam ahead” – a particular request for talks and projects featuring forward looking hands-on topics. The Chaos Computer Club has always encouraged creative and unorthodox interaction with technology and society, in the good tradition of the real meaning of “hacking”.

This years congress introduces a new category for talks called “Making”. This category is all about making and breaking things and the wonderful stuff you can build in your basement or garage. Most welcome are submissions dealing with the latest in electronics, 3D-fabbing, climate-change survival technology, robots and drones, steam machines, alternative transportation tools and guerilla-style knitting.

As always, the date of this event is December 27th to 30th.

[cfp]: http://events.ccc.de/congress/2007
[ccc]: http://www.ccc.de

---

DevHouse Cologne

Prickle-Prickle, 58th Confusion, 3173.

This weekend the first [DevHouse][devhouse] in Germany happened in Cologne. The idea behind is a bit like BarCamp, but the main difference is the strong focus on development and security. The host for this event was [people interactive][pi]. This company draw some attention by winning a [Multimedia Award][dmma] this year for an impressive interactive tablet made for T-Com. I personally gave two presentation, one about Flash Security Basics, one about Performance Testing using DTrace.

The only session where I personally learned something new was during a talk called “Flash without Flash” from David Neu. Since he’s using Flash in a professional production workflow without Adobes IDE it was interesting for me to see how those Open Source Flash tools are used from a developers perspective. I had an insightful talk with him afterwards about the direction the player/plugin will evolve. He also showed me a couple of things he has done with his company (people interactive) in the past and showed me a funny buffer overflow in a piece of popular ATM hardware.

All in all I liked the event pretty much. It was a bit chaotic and sometimes a bit noisy during the sessions. Nonetheless I found it much more fun than the usual BarCamps where it’s more about VC bull crap than interesting developments and methodologies.

[devhouse]: http://devcologne.pbwiki.com/
[dmma]: http://www.multimedia-award.de/
[pi]: http://people-interactive.de/

---

Datenspuren in Dresden

Boomtime, 49th Discord, 3173.
Events fukami 81445 1 Comment | Trackback URI

An diesem Wochenende, dem 5. und 6. Mai, findet in Dresden zum mittlerweile vierten Mal das Datenschutz- und Bürgerrechts-Symposium [Datenspuren][ds07] statt. Ein [Fahrplan][fahrplan] ist mittlerweile online, und ich werde dort auch einen Vortrag halten zur Idee der Einführung einer [Informationspflicht bei Datenpannen][datenpannen] deutscher Unternehmen und Behörden, über die ich vor einiger Zeit hier [geschrieben][artikel hier] habe.

Noch was: Falls es noch jemanden gibt, der per Auto nach Dresden fährt, bitte melden. Ich selbst werde zwar fliegen (Dank an a8 noch mal!), aber es gibt jemanden vom [C4][c4], der auch gerne mitkommen würde und noch eine MfG sucht.

[ds07]: http://datenspuren.de/
[fahrplan]: http://datenspuren.de/schedule.html
[datenpannen]: http://www.datenspuren.de/fahrplan/events/1832.de.html
[c4]: https://koeln.ccc.de/
[artikel hier]: http://fukami.vakuum.net/archives/2007/02/01/informationspflicht-von-unternehmen-und-behoerden-bei-datenpannen/

---

CfG: GPN6 - Protecting your private bits

Boomtime, 19th Discord, 3173.

Der Entropia hat einen [CfG][CFG] (Call for Gulasch) für die [GPN6][GPN6] veröffentlicht. Die GPN wird wie immer an der HS Karlsruhe stattfinden und ist diesmal vom 1. bis 3. Juni terminiert.

Endlich wieder ein Lichtblick im drögen Alltag :)

[CFG]: http://entropia.de/wiki/GPN6:CfG
[GPN6]: http://entropia.de/wiki/GPN6

---

CfP: FrOSCon 2007

Prickle-Prickle, 6th Discord, 3173.

Auch die [FrOSCon][froscon] hat einen [Call for Participation][cfp] für die zweite Ausgabe ihrer Veranstaltung veröffentlicht. Die FrOSCon ist ein zweitägiges Event mit dem Themenschwerpunkt Freie und Open Source Software und findet am 25. und 26. August an der Fachhochschule Bonn-Rhein-Sieg in Sankt Augustin bei Bonn statt. Letztes Jahr fand ich persönlich die Veranstaltung sehr gelungen und freue mich darauf wieder ganz besonders.

Der CfP läuft übrigens noch bis zum 4. Juni 2007, und die Einreichung von Vorträgen und Workshops kann unter [cfp.froscon.org][cfp.froscon.org] erfolgen. Als Software dafür kommt, wie sollte es anders sein, [Pentabarf][pentabarf] zum Einsatz :-)

[pentabarf]: https://pentabarf.org/
[froscon]: http://www.froscon.de/
[cfp.froscon.org]: http://cfp.froscon.org/
[cfp]: http://www.froscon.de/Call-for-Papers.12.0.html

---

CfP: Chaos Communication Camp 2007

Setting Orange, 65th Chaos, 3173.

Der [Call for Participation][cfp] für das Camp 2007 ist online. Das Camp findet dieses Jahr vom 8. bis 12. August in Finowfurt nahe Berlin statt.

[cfp]: https://events.ccc.de/camp/2007/Call_for_Participation

---

Universal XSS mit Acrobat Plugin

Pungenday, 3rd Chaos, 3173.

[Stefano Di Paola][Stefano] und [Giorgio Fedon][Georgio] haben auf ihrem 23C3 Talk [Subverting AJAX][23C3 Talk] auf eine echt niedliche Lücke im Adobe Acrobat Plugin <= 8 hingewiesen, durch das es möglich ist, jede Seite, die ein PDF hostet grundsätzlich mit einem XSS zu versehen. Dabei sieht ein Link auf ein PDF beispielsweise so aus:

http://site.tld/file.pdf#FDF=javascript:alert(’Universal XSS’)

Damit eröffnen sich eine Unmenge Möglichkeiten für interessante Angriffe, da sehr viele Seiten bieten PDFs zum Download an. Ich bin ja mal auf den ersten AJAX-Wurm gespannt, der sich dieses Problems annimmt, denn so einfach wird es wohl so schnell nicht wieder werden.

Diese und weitere Infos zum Beispiel zu Prototype Hijacking findet man in dem [Paper][Paper] der Beiden für die 23C3-Proceedings (natürlich als PDF, hehehe), das Advisory zum UXSS in Acrobat Plugin bei [The Wise Security][wisec].

[23C3 Talk]: http://events.ccc.de/congress/2006/Fahrplan/events/1602.en.html
[Stefano]: http://events.ccc.de/congress/2006/Fahrplan/speakers/1155.en.html
[Georgio]: http://events.ccc.de/congress/2006/Fahrplan/speakers/1152.en.html
[Paper]: http://events.ccc.de/congress/2006/Fahrplan/attachments/1158-Subverting_Ajax.pdf
[wisec]: http://www.wisec.it/vulns.php?page=9

---

Next Page »


"The future is much like the present, only longer." - Dan Quisenberry

The Turkey Curse is powered by WordPress, template idea by Priss

Entries (RSS) and Comments (RSS).
Generated in 0.291 seconds.