Chaos Computer Club - recent events feed

Große Zahlen und ganz viel WOW Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/MTP7YB/

Developing an OCI image pull through cache for Forgejo had some interesting rabbit holes and it was surprisingly hard to get in depth information on a supposedly well known system. So I got to deep dive and do bits of research and reverse engineering to make the parts communicate properly. In this talk I'll share my insights into the process of pulling OCI images according to the distribution spec (and its slight deviations) and try to answer questions like: - Which requests are sent by Podman or the Docker daemon when doing `docker pull image`? - Whats that with the /v2 endpoint and discovery? - How about authentication? - What does the pull sequence look like? - Help, I got an index manifest, what should I do? - How should Forgejo communicate with the daemon for a successful pull? If there is time, I'll also share small pieces of knowledge of where the implementation sits in the Forgejo codebase and how it interacts with the existing package registry. - PR containing the implementation: https://codeberg.org/forgejo/forgejo/pulls/11611 Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/8SDDSH/

This talk could be described as "pixelebbe Wrapped", except that it is at a different time of the year, has better jokes, provides more technical and moral insights and is not personalized. So erm it probably isn't a "pixelebbe Wrapped" at all, but hey, learn how we built and hosted pixelebbe, achieved better uptime than GitHub and spent only a reasonable amount of effort on this shitpost-turned-project (that's what we tell ourselves at night). In the history of human kind, there is a set of unfortunate innovations that have caused a lot of suffering and destroyed many lives. One might think of the nuclear bomb, or the internet. One could also think of pixelebbe. At least if one were to be untroubled by accusations of exaggeration and over-dramatising. Well what is pixelebbe? It's a pixel-setting experience designed to frustrate the player using everyones' favorite thing: ✨ excessive bureaucracy ✨. The idea is very simple: we provide a 40x30 canvas, everyone can then tell us to set a specific pixel to a specific colour from our limited colourset, which we then do and so a picture will be created. Just add on top of that large amounts of red tape, such as limited office hours, a dedicated queueing system, having to use an official government form, very strict formality control and stamps. In this talk, we want to lift the curtains and give a backoffice tour through pixelebbe. We'll talk about the technology abused to build and host pixelebbe, how we made professional software designed to look like it was put together in 2 hours. We'll even leak official secrets and risk going to pixeljail. There'll be time for a Q&A and a rare live-pixel-setting-session. Rumour has it, that even our agency lead might appear on stage, which had been notoriously always-absent during 39c3. Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/VJDF8H/

Web Application Firewalls (WAFs) for filtering based on HTTP and payload are omnipresent. In this talk an argument will be made that, in many cases, the wrong approach for implementing WAFs is chosen: They are implemented as "deny firewalls" which specifically forbid "bad" traffic based on pattern rules, while for network security (layers 3/4) professionals would only ever follow an "allow firewall" approach, which explicitly lets "good" traffic pass and denies everything else. "deny WAFs" are oftentimes marketed as simple, easy to use, out-of-the-box solutions, but, by design, they can only prevent known exploits. Also, practical aspects limit their potential, when rulesets breaking functionality have to be disabled. While the "allow WAF" approach presented here implies more effort, its main advantage is protection against new attack vectors ("zero days") and it comes with a lot of side benefits, such as improved performance and resilience through caching. Concepts will be introduced: * HTTP Basics * Signed URLs / signed requests * Regular Expressions * HTTP Caching Practical examples with Vinyl Cache will be presented: * Rules based on HTTP method and URL * Header filtering * Regular Expressions on body data Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/9TSLFQ/

The market is full of high-performance graphics APIs like Vulkan and fantastic engines like Unreal and Unity. So, why not use DirectX 9 and a self-built engine instead? ;) In this talk we'll take a quick stroll down memory lane, to look at the tech used to build video games in the 2000s. Then we'll see what we can build today using the tech from back then. Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/JD3RUJ/

Das WissKomm Wiki hat Förderung, einen laufenden Prototypen und 100.000+ identifizierte Videos. Dieser Talk zeigt, was schon läuft: föderierte Wikibase, automatische Transkription per Whisper, SPARQL-Queries über Wissenschaftsmedien. Mit Arrrrrmin haben wir LanzMining von der GPN23 zu SpeakerMining aufgebaut und ins WissKomm Wiki integriert - eine vollständige Pipeline, die aus ZDF-Archiv-PDFs einen verlinkten Wissensgraph erzeugt: 10.000+ Personenerwähnungen, 120.000+ Wikidata-Triples, OpenRefine-Kuration. Genau das skalieren wir im WissKomm Wiki auf Wissenschaftsvideos und -podcasts. Plus die offenen Probleme, an denen wir gemeinsam arbeiten möchten, am besten gleich im GPN24 Hackathon. 2021: Idee GPN22: Präsentation im CCC. GPN23: Prototyp, Antrag in der Schwebe, Arrrrrmin stellt LanzMining vor. GPN24: Das Projekt läuft: Gefördert durch FDM-NDS dürfen wir jetzt zeigen, wie LanzMining, WissKomm Wiki und viele ähnliche Projekte zusammenpassen. Ein Einblick: [GPN23, media.ccc.de](https://media.ccc.de/v/gpn23-299-ctrl-f-for-facts-mit-dem-wisskomm-wiki-filterblasen-erkennen-und-fakten-sichtbar-machen). Im Talk gehen wir endlich über Konzepte hinaus in die Anwendung! Auf der GPN23 hat Arrrrrmin mit LanzMining gezeigt, was möglich ist, wenn man TV-Archivdaten strukturiert erschließt. Wir haben das weitergebaut zur vollständigen Pipeline Speaker Mining. Ausgangspunkt: ZDF-Archiv-PDFs des Markus-Lanz-Talks. Semantisch disambiguiert mit OpenRefine, dedupliziert auf Wikibase bereitgestellt und letztlich nachhaltig frei verfügbar. Wer mag, kann live über SPARQL-Queries Fragen stellen: - wer war wie oft zu Gast? Mit welcher Rollenverteilung? Wir gehen noch tiefer in die Analyse: Visualisierung der Rollenverteilung, wie von LanzMining bereits vorgemacht: Indem wir Klassen wie Rollen und Instanzen wie Markus Lanz statistisch unter die Lupe nehmen, können wir mit Speaker Mining bildlich machen, was unsere Medienlandschaft ausmacht. Die aktuelle WissKomm-Wiki-Infrastruktur besteht aus einer föderierten Wikibase via Wikibase.cloud (wie ein eigenes Wikidata), langfristig verknüpft mit einem Full Text Wiki für Transkripte. Via SPARQL kann nach Properties und Datenquellen gefiltert werden. Speaker Mining zeigt, wohin das führt: Wenn Sendungsarchiv-Metadaten maschinenlesbar in einer Wikibase liegen, kann man fragen: Wer war wann zu Gast, mit welcher Rolle, aus welcher Institution? Whisper läuft noch lokal, transkribiert offline, und die Ergebnisse landen vorerst nicht im Wiki - bis wir im Projekt die Rechtsfragen geklärt haben. Ziel dafür: Ende Juni steht der Fragenkatalog, und im September haben wir unser Rechtsgutachten. Experimentell haben wir so schon mal 230+ Folgen Lanz & Precht transkribiert und analysiert - die ersten Ergebnisse sind ganz spannend. Der Blick auf die beiden *sozusagen*-Experten ist nur ein erster Einblick in das, was langfristig möglich sein soll. Der nächste Schritt geht gen Wissenschafts-Podcasts, wie dem jüngst mit dem ÖFG-Preis für Wissenschaftsjournalismus ausgezeichneten Podcast [Das Klima](https://dasklima.podigee.io/) von u.a. FuzzyLeapfrog, die von Beginn an bei Speaker Mining mitgewirkt hat. Jetzt geht es darum, die Community aufzubauen: Der [Matrix-Channel](https://matrix.to/#/#wisskomm.wiki:matrix.org) ist aufgesetzt, das Community-Team steht bereit und arbeitet fleißig mit unserem gemeinnützigen Verein daran, die gewachsenen Strukturen der vergangenen fünf Jahre auf bleibende Strukturen zu stellen. Das Open Science Lab aus Hannover übernimmt die fundamentale Infrastruktur, und der Verein übernimmt experimentellere Interfaces wie Gamification oder Plugins. * Föderierte Wiki-Architektur: Wikibase + Full Text Wiki, verbunden über interne Queries * Module für Datenakquise, Zwischenspeicherung, Transkription (Whisper ASR, lokal) * Interfaces: nicht nur für Forschende und Entwickler\*innen, sondern auch für Urheber\*innen und Plattformbetreibende * Federation mit Wikidata, ORKG, TIB AV-Portal - ohne deren Infrastruktur zu überlasten Wer mitmachen will: Wir vom WissKomm Wiki sind auf der GPN, sprecht uns an :) Zum Talk gibts hoffentlich noch den Workshop. **Links** * [GPN23: CTRL+F for Facts (WissKomm Wiki)](https://media.ccc.de/v/gpn23-299-ctrl-f-for-facts-mit-dem-wisskomm-wiki-filterblasen-erkennen-und-fakten-sichtbar-machen) * [GPN23: LanzMining (Arrrrrmin)]([https://media.ccc.de/v/gpn23](https://media.ccc.de/v/gpn23-213-lanzmining-wer-spricht-denn-da-)) * [Projekt](https://borgnetzwerk.org/wisskomm-wiki) * SciCom Wiki: [Code](https://gitlab.com/wisskomm-wiki), [Paper](https://arxiv.org/abs/2511.09248), * Speaker Mining: [Code](https://github.com/borgnetzwerk/speaker-mining), [Paper]( https://doi.org/10.48550/arXiv.2606.02905)) Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/G9VCNN/

This code runs without errors, but still confuses. In this talk, we explore some subtle quirks of C, Python, and Java (and others) that catch even experienced developers off guard. No bugs, no typos - just the language doing exactly what it was designed to do. Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/HZ8XUT/

Reverse engineering old custom chips from microscope pictures is cool, but oh so painfully slow! Last time I did this (talk at 38C3), I spent two weeks waking up, annotating wires in Inkscape, going to bed, and then dreaming about more wires. So I decided to bite the bullet and finally build some better tooling, to keep future me more sane as well. In this talk I'll present _MMO-CHIP_, an open source silicon reverse engineering tool I built for helping preserve and emulating custom undocumented chips, like the DSPs used in old synthesizers. It's web based and allows collaborative annotation, it handles giant pictures effortlessly and integrates a lot of features specifically designed for digitizing silicon, including some computer vision techniques. It's even able to infer the logical formula of complex logic gates, just from a few scribbles! I will explain in detail how the algorithms used work, and how you can use it to go from microscope to simulable Verilog code in less than an hour (or even less if you draw in multiplayer with some friends!). Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/FWCJ73/

Digital Independence Days are a response to the growing monopolization of technology and the recent loss of trust in US-based tech firms after the USA's shift towards authoritarianism. The (communicated) goal is to protect our current democracy and our current freedoms from deteriorating even further. Conserving the status quo and preventing a further loss of freedoms is likely not enough. I want to highlight the larger transformative potential in this project. By applying anarchist practices to DI.Days, we can imagine a world of decentralized and democratized software, platforms and infrastructure. A world where individuals act as sovereign providers and users of technology. A world where the providers of technology do no have the ability to enact arbitrary power upon users. A world where consenting to the sharing of data is real and not a lie hidden by "Accept all cookies" or "Agree to the Terms and Conditions". Moving from imagining such a future to prefiguring it, I want to look at anarchistic practices that might realize such a transformation and the role of DI.Days in it. The talk will have the following structure: 1. Introduction to social(ist) and small-a anarchism and some of their lines of thoughts and practices especially applied to education and organizing 2. What are DI.Days, what do they promise, and what do they look like in practice (at least in Karlsruhe) 3. Daydreaming a utopia for technology use on the basis of anarchist principles (and the hopes of DI.Days) 4. What practical small steps can lead there? And why are DI.Days a good project for making these steps? Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/TVNEUB/

Im Juli startet auf der Infrastruktur der ePA der digital gestützte Medikationsprozess (dgMP). Woher kommt er, wie funktioniert er und welche Risiken bringt er mit sich? Im Juli startet auf der Infrastruktur der ePA der digital gestützte Medikationsprozess (dgMP) als Kombination aus elektronischen Medikationsplan und elektronischer Medikationsliste. Hiermit bekommen alle Leistungserbringende und Apotheken der Versicherten Zugriff auf dieselbe Datenbank mit geplanten, verordneten und ausgegebenen Medikamenten. Was ein therapeutischer Traum ist, kann für Versicherte erhebliche Folgen haben. In diesem Talk werden wir uns über die Geschichte der Medikationspläne, den geplanten Abläufen und den Chancen und Risiken für Leistungserbringende und Versicherte unterhalten. Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/XQSPCY/

Was muss ich tun, um dieses neue Gadget "mit App" von der kruden Hersteller-UI zu befreien? Mit einem (gerne gerooteten) Android-Gerät, Wireshark und jadx-gui auf Protokoll-Erkundungstour. Immer mehr Gadgets - ob Smart Watch, LED-Panel, Waage, oder was ganz anderes - kommen "mit App", einer schlecht (oder gar nicht) übersetzten, überladenen Anwendung für iOS und Android, die im Hintergrund über Bluetooth Low Energy (a.k.a. Bluetooth Smart) mit dem Gadget kommuniziert. Der Vortrag zeigt Schritt für Schritt, wie man diese Kommunikation unter Android aufzeichnen kann, wie man sie in Wireshark auf dem PC auswertet, und wie man die App mit jadx-gui decompiled, um weitere Spuren für die Datendetektiv*in zu sammeln. Präsentationsfolien mit Links Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/BUTAWG/

Eine Selektion der feinsten Pixelkunst aus dem vergangenem Jahr. Ein schmaus für Auge, Ohr und Hirn. Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/YYZPLK/

Presenting FEX, a translation layer to run x86 apps and games on ARM devices: Learn why x86 is such a pain to emulate, what tricks and techniques make your games fly with minimal translation overhead, and how we are seamless enough that you'll forget what CPU you're using in the first place! ARM-powered hardware in laptops promises longer battery life at the same compute performance as before, but a translation layer like FEX is needed to run existing x86 software. We'll look at the technical challenges involved in making this possible: designing a high-performance binary recompiler, translating Linux system calls across architectures, and forwarding library calls to their ARM counterparts. Gaming in particular poses extreme demands on FEX and raises further questions: How do we enable GPU acceleration in an emulated environment? How can we integrate Wine to run Windows games on Linux ARM? Why is Steam itself the ultimate boss battle for x86 emulation? And why in the world do we care more about page sizes than German standardization institutes? This talk will be accessible to a technical audience and gaming enthusiasts alike. However, be prepared to learn cursed knowledge you won't be able to forget! Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/PZMB8R/

In diesem Talk behandeln wir Gründe von verschiedenen Musik- und Podcast-Streamingdiensten wegzumigrieren und schauen uns mögliche automatische Unterstützung und Alternativen (am Beispiel Spotify) an. Im Rahmen meiner Großoffensive mich unabhängig(er) von Big Tech zu machen, musste zuletzt Spotify dran glauben. In diesem Talk erzähle ich Euch zunächst wieso (nein, es ist nicht nur Enshittyfication und Big-Tech böse). Danach schauen wir uns an welche Alternativen es selfhosted gibt, wie gut ich sie finde, und welche ich jetzt benutze. Außerdem gibt es einen Git-Link zu den Scripten, die ich dafür geschrieben habe und eine kurze Erklärung wie Ihr Eure Spotify Playlists auf mp3s, die Ihr von physischen Alben, die Ihr besitzt, gezogen habt, mappen könnt :) Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/GSHUB7/

Auch in den transparentesten Umgebung will ein seine Daten doch geschützt übertragen. Wir sehen und in diesem Talk die vielfältigen Möglichkeiten an, mit der OpenSSH unsere Daten bei der Übermittlung schützen kann. Local, remote und dynamic port foarding sowie der socks-proxy von OpenSSH stehen in diesem Talk im Mittelpunkt. Wenn ihr schon immer mal eine entfernte Datenbank mit euren lokalen SQL-Client abfragen wolltet oder auf eine lokale Datei von einem entfernten Server auslesen, ist dieser Talk für Euch. Auch eine einfache und schnelle VPN-Lösung werden wir damit aufbauen. Dieser Talk richtet sich an OpenSSH BenutzerInnen, die meine anderen SSH Talks schon gesehen haben und/oder sich zumindest schon mal eine .config Datei für OpenSSH eingerichtet haben. Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/BYDXTK/

Staatliche Sicherheitsbefugnisse wachsen selten durch die eine große Entscheidung. Meist wachsen sie schrittweise: durch Infrastruktur, die aufgebaut und verstetigt wird, sowie durch die Kombination vorhandener Instrumente. Zusammen können sie einen qualitativen Sprung im Eingriffsgewicht erzeugen, oft nicht durch einen einzelnen klaren Bruch, sondern durch die schrittweise Verdichtung bestehender Strukturen. Gleichzeitig korrigieren Gerichte oft nur einzelne Normen, während die zugrunde liegenden Strukturen bestehen bleiben. Der Vortrag beschreibt drei Mechanismen dieses Capability-Buildings anhand von Abhörschnittstellen im TK-Netz, automatisierter Datenanalyse und staatlichen Eingriffen in IT-Systeme. Im Zentrum steht das Muster, nach dem Zugriffsfähigkeiten entstehen und sich verfestigen. Wer Privilege Escalation kennt, erkennt ein ähnliches Muster: Zugriffsfähigkeiten entstehen nicht auf einmal, sondern durch eine Folge kleiner Erweiterungen, die sich zu einem neuen Zustand verdichten. Staatliches Capability-Building folgt selten einem Masterplan, sondern wiederkehrenden Mechanismen: Infrastruktur als Fait accompli Bestehende Schnittstellen verschieben die politische Frage von „ob“ zu „wie“. Neue Befugnisse knüpfen regelmäßig an vorhandene Infrastruktur an. Kombination als Capability-Sprung Die Verknüpfung vorhandener Datenbestände erzeugt neue Zugriffsmöglichkeiten. Der Eingriff entsteht im Zusammenspiel, nicht durch einzelne Maßnahmen. Normkorrektur ohne Strukturkorrektur Gerichte korrigieren Rechtsgrundlagen, während die zugrunde liegenden Strukturen bestehen bleiben und weiter genutzt werden. Diese Mechanismen wirken nicht im luftleeren Raum. Sicherheitsdiskurse können Bedrohungen zuspitzen und politischen Handlungsdruck erzeugen, in dem neue Zuständigkeiten oft bereits angelegt sind, bevor sie rechtlich ausformuliert werden. Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/87KXST/

OpenJDK is the main project behind Java and already has a profiler for performance assessment. But till recently, it wasn't a good one. So four years ago, only weeks into my first job, I decided to change that. But guess what: Getting a big feature into OpenJDK/Java's runtime isn't as easy as I thought. In this talk, I chronicle my journey of getting a new profiler into JDK 25. It's a tale of blood, sweat, and C++. Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/9MNRXX/

**Lightning Talks** Ihr kennt sie, ihr mögt sie (hoffentlich), ihr wolltet sie. Auch dieses Jahr dank Content24 wieder auf der GPN anzutreffen. **Was sind Lightning Talks?** Mini-Talks wo ihr einfach über ein Thema / Projekt / whatever reden könnt wo ihr denkt das es cool ist. **Was gibt es zu beachten?** - First-Come ist meist auch First-Spoken ;) - Habt eure Slides parat - Dauer des Talks maximal 5 Minuten - Seid bitte rechtzeitig da Bitte bedenkt, es ist vorgesehen, das die Lightning Talks aufgezeichnet werden. Sollte dies ein Problem da stellen bitte entsprechend eine info geben. ** Wie könnt ihr einen Lightning-Talk vorab einreichen ? ** - Ihr schreibt eine Postkarte via Chaospost an AgentK (Mit Titel, Euren Namen mit dem ihr Angesprochen werden wollt und idealerweise vorab ob ihr mit Recording einverstanden seid - Ihr ruft via DECT / SIP die 6543 an Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/E9LKM3/

Nachtzugreisen für Einsteiger und Durchschläfer. Enthält außerdem wertvolle Reisehinweise aus eigenen Erfahrungen und ein kleines, total persönliches Ranking internationaler Nachtverkehre. Nachtzüge sind etwas magisches.* Aber wo kommt der Drang sich im Zug flachzulegen überhaupt her? Der Vortrag bietet einen kleinen Einblick in die Herkunft des nächtlichen Verkehrs und hilfreiche Tipps für das etwas komplizierten Verkehrsmittels "Nachtzug" in hoffentlich unterhaltsamen Häppchen. Außerdem sprechen wir über ganz persönliche Erfahrungen eines Nachtzugjunkies. Neben einem subjektiven Ranking geht es im Vortrag auch über die Probleme des Verkehrsmittels und warum ihr trotz allem versuchen wollt damit zu reisen. *Wenn man die absurden Buchungsfristen verstanden hat, die absurden Preise der ÖBB erträgt und dann auch noch Glück hat eines der wenigen Betten gebucht zu bekommen und auch noch rechtzeitig zur Abfahrt zum Abfahrtsbahnhof schafft anzureisen. Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/RRQ8MM/

Let's Play Critical: Live-Gaming als Format für politische Interventionen Wer spielt, bewegt sich in Räumen, die gesellschaftliche und kulturelle Fragen verhandeln. In diesem Sinne sind Videospiele grundlegend politisch. Gerade das in der Gaming-Kultur schon lange etablierte Format des Let's Plays lässt sich nutzen, um diese Einschreibungen sichtbar zu machen und kritisch einzuordnen. Live vor Publikum in Spielwelten einzutauchen und das Geschehen informiert zu kommentieren, ermöglicht es, Menschen niederschwellig abzuholen, zu fesseln und gesellschaftlich relevante Themen gemeinsam zu diskutieren. Im Vortrag wird zunächst die Veranstaltungsreihe Let's Play Critical konzeptionell vorgestellt, die bereits in Köln, Berlin und auf Twitch mit unterschiedlichen Schwerpunkten und Expert:innen stattgefunden hat. Anschließend veranschaulicht eine Gaming-Session, wie sich das Format konkret nutzen lässt, um auf unterhaltsame Weise Reflexion anzustoßen. Dieser Talk findet in Kooperation und mit Unterstützung der Rosa-Luxemburg-Stiftung Baden-Württemberg statt. Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/BZUTE8/

Wir betrachten zusammen die Entschlüsselung von Nachrichten basierend auf dem Echtzeitkommunikationsprotokoll Matrix. Der Weg ist das Ziel, denn auf dieser Reise gibt es vieles über das Protokoll zu lernen, zu erklären und am Ende wissen wir hoffentlich alle mehr über die Fehlermeldung "unable to decrypt" als Endanwender:innen. Matrix und darauf basierende Tools bilden eine Instant Messaging Plattform des geringeren Misstrauens. Durch die dezentrale Struktur und die vielen individuellen Möglichkeiten zur Konfiguration ist Matrix und alles, was dazu gehört, nicht unbedingt einstiegsfreundlich. Ist der Beginn einmal geschafft, landen wir früher oder später einmal bei der Fehlermeldung "unable to decrypt". Mit etwas Hartnäckigkeit, viel Zeit in der Matrix-Dokumentation und verschiedenen Tools können wir jedoch die Decryptoparty feiern und teils seit langer Zeit verschlüsselte Nachrichten doch wieder befreien. In diesem Vortrag erkläre ich, wie ich mit alten Geräten, vielen Anfragen an meinen Home Server und Datenbank-Abfragen einige Nachrichten befreit habe. Wir sprechen über die Rohdaten, Schlüsselverwaltung, Nachweis der Authentizität von Nachrichten anhand der Sender Keys und noch viel wichtiger: Was es während all diesen Schritten über das Matrix-Protokoll zu lernen gibt. Kommt mit auf eine Reise, die nicht nur Nachrichten entschlüsselt, sondern auch Knoten im Kopf entwirrt, warum Matrix so funktioniert wie es funktioniert. Dieser Vortrag richtet sich explizit an Anwender:innen (wie ich es auch bin), die Interesse daran haben, ein Tool ihrer Wahl etwas besser zu verstehen. Keine besonderen Vorkenntnisse notwendig, nur Neugier oder vielleicht den Wunsch, selbst Nachrichten wieder zu entschlüsseln. Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/RMYMEW/

Ein Medienkunstmuseum besteht nicht aus Bildern an der Wand, sondern aus Projektoren, Rechnern, Sensoren, Servomotoren, Druckluft, Hochspannung und gelegentlich einer VM mit Windows XP. Vieles davon läuft 24/7 — never touch a running system. Anderes muss jeden Morgen pünktlich hochfahren und abends wieder runter. Wir erzählen, wie wir am ZKM den Alltag eines solchen Hauses am Laufen halten — und warum dabei über die Jahre eine ganze Werkstatt voll eigener Software entstanden ist. Das ZKM in Karlsruhe ist ein Haus für lebende Medienkunst — Werke aus Code, Hardware, Netzwerken und manchmal aus Druckluft. Projektoren an der Decke, Rechner hinter den Wänden, Windows-XP-VMs für Netzkunst von 2001, eine Jakobsleiter mit Hochspannung, ein Emulator des CM-2-Supercomputers mit einer LED-Wand als Replica. Niemand verkauft Software für „Steuere Projektoren von fünf Herstellern, davon einer ohne Netzwerkanschluss". Niemand verkauft ein System für „starte ein Kunstwerk, das sich nur per Mausklick auf einen Button starten lässt". Also bauen wir es selbst — fast immer als Antwort auf einen Bedarf aus einer Ausstellung. Der Talk zeigt, wie das im Alltag aussieht: - Was muss eigentlich gesteuert werden? Strom, Geräte, Rechner, Kioske, Tracking, Besucher — sechs Schichten, jede mit eigenen Protokollen, Macken und Failure-Modes. - Welche Probleme kommen immer wieder? Kunstwerke, die nicht starten wollen. Kunstwerke, die nicht aufhören wollen. Alte Kunst auf neuer Hardware. Schulklassen, die ALLES anfassen. Projektoren, die offline gehen. Ausstellungen, die jahrelang täglich laufen müssen. - Welche Lösungen entstehen daraus? Watchdogs, VMs mit Snapshot-Revert, ESP-Module die alte Fernbedienungen ersetzen, DNS-Filterung gegen Fortnite-Downloads, ein zentrales Kontrollsystem, das alles orchestriert. - Was davon ist Open Source und kann auch anderen Häusern helfen? Einiges. Aus Hacks für einzelne Ausstellungen sind über die Jahre wiederverwendbare Werkzeuge geworden. - Was haben wir auf dem Weg gelernt — über Architektur, über Künstler:innen, über das Publikum, und über Skripte, die „nur kurz" laufen sollten und dann jahrelang in Produktion stehen. Ein Blick aus der Maschinenraum-Perspektive auf den Alltag der Leute, die dafür sorgen, dass das Museum jeden Tag wieder funktioniert. Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/73QXEV/

Bagels are bread rolls with a hole, or pretzels with fewer holes, and are wonderful baked goods. Whether they are served with cream cheese and lox or hummus, there is probably nothing better than a fresh bagel. But did you know that bagels have a truly interesting history? From medieval German monasteries to Poland, and from the Jewish diaspora in New York and Montréal. So in this talk, I'll be covering the important questions of our time: Where does the Bagel come from? Where do you get the best Bagels (Montréal or New York)? And how do all these doughnuts with rigor mortis differ? And of course, you'll learn how to bake a proper bagel. Come by and learn more than you ever wanted to know about Bagels, after you hopefully ate a delicious Bagel at the WOC (from 12 am to 3 pm). For a full list of my sources and even more Bagel knowledge: [https://pad.mostlynerdless.de/s/8MqudkmgM](https://pad.mostlynerdless.de/s/8MqudkmgM) Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/7X3YVU/

Im deutschen Eisenbahnnetz wird so viel gebaut wie schon lange nicht mehr. Über 40 Strecken sollen bis 2036 generalsaniert und dabei unter anderem mit modernen elektronischen oder sogar digitalen Stellwerken ausgestattet werden. Um diese Stellwerksmodernisierungen zu planen, braucht es Bestandsplanunterlagen der bisherigen Stellwerke. Diese liegen momentan allerdings vor allem als Scan von Papierplänen vor. Als Datenaustauschformat für eine effektive Planung mit digitalen Werkzeugen eignet sich dagegen das sogenannte PlanPro-Datenmodell deutlich besser. Aus diesem Grund habe ich mich in meiner Masterarbeit damit beschäftigt, wie Papierplanungen am besten in das PlanPro-Dateiformat digitalisiert werden können. Bisher wird dieser Prozess vollständig händisch ausgeführt, was sehr viel Zeit verschwendet und schlecht skalierbar ist. Deshalb sehen wir uns in diesem Talk an, wie mittels Bild- und Texterkennungsalgorithmen die Digitalisierung automatisiert werden kann, und vor allem, welche Schwierigkeiten dabei auftreten können. Von seltsamen Tabellenformatierungen über sehr dicht bestückte Gleispläne bis hin zu Unterschieden zwischen Ost- und Westdeutschland ist alles dabei! Um einen ersten Überblick über den Stand der digitalen Stellwerksplanung bei der Deutschen Bahn zu bekommen, empfiehlt sich der Talk ["Stellwerke planen für Informatiker"](https://media.ccc.de/v/gpn22-322-stellwerke-planen-fr-informatiker) von der GPN22. Trotzdem ist kein Vorwissen notwendig, verständnisrelevante Grundlagen aus der Bahnwelt werde ich zu Beginn kurz einführen. Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/X3BFBE/

Eine Einführung in Ultracycling mit Tipps, wie man eine lange Strecke plant, vorbereitet und zurücklegt. Wir haben viele Kilometer auf dem Rad zurückgelegt und dabei mehr oder minder schmerzhaft gelernt, was funktioniert und was nicht. Diese Erkenntnisse wollen wir mit euch teilen. Im Anschluss wird es ein Get-together zum Thema Fahrradfahren geben. Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/8BFLXC/

Schon Alan Turing soll Programmieren als Kochen bezeichnet haben. Bis heute wird der Vergleich immer wieder verwendet und auch auf der GPN sind Hacken und [Gulasch] Kochen traditionell miteinander verbunden. Worin die Verbindung beider Praktiken in prozessbasierter Abstraktion liegt, zeigt dieser Vortrag, bei dem eine Geschichte der beiden Prozessumgebungen nachgezeichnet wird. Neben der Rekonstruktion einer Historie von Entwicklungsumgebungen in Analogie zur Geschichte moderner Küchen wird anhand von Störungen und Fails durch IDEs, die auf persönlicher wie globaler Ebene zu Problemen wurden, die Relevanz für eine Auseinandersetzung mit ihnen eröffnet. Theoretische Unterfütterung erhält der Vortrag durch marxistische Ansätze, wie sie unter anderem vom Cousin des Besitzers der ersten modernen Küche entwickelt wurden. Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/XMJKEN/

Minecraft servers have always been decentralised, but in 2022 Mojang attempted to roll out a chat reporting system. Without the ability to trust either the client or the server, this turned out to be very difficult to get right. Over the next 6 months, we were in a cycle of Mojang releasing an update, and us dropping an exploit. In all we dropped 7 exploits, and there were a couple more found by others. This talk covers the context behind the system, how the exploits worked, how Mojang tried to patch them, the community response, and why the system is still broken today, and a new exploit I discovered while writing the talk. Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/MJMUCB/

How is FreeBSD different from Linux, what does it do well and why should I care? While Linux is still struggling for mainstream attention on desktop, it‘s already dominant in the server space. But monocultures are bad, so this raises the question: What else is out there? For the last year I‘ve been diving head-first into FreeBSD and I now use it for most of the things I host. In this talk I want to share with you what this underrepresented OS does well, what software you can run on it and I hope to be able to peek your interest enough to maybe give it a try yourself. Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/ZSNZ89/

[KeepKarlsruheBoring](https://keepkarlsruheboring.org/) is an agenda for Karlsruhe using [gancio](https://gancio.org/) to allow users, with or without registration, to add events that will be displayed in a web and in the Fediverse. In this talk, we will have an overview on the maintenance of the system beyond the software. Some people complain about how boring Karlsruhe can be (literally, the name of the city can be translated as the calm or dream of Carl). Yet, having a more in-depth look, there are many people and collectives doing astonishing things: maybe the issue was never the lack of activity, but not having a shared agenda to get an overview on that is going on, especially if you refuse to use Instagram or other (a)social media. Under this premise, KeepKarlsruheBoring was launched in 2025 and since them have been collecting events. Contrary to what most of the people think, technical set up and maintenance is almost effortless and what really requires work is the social maintenance: reaching out to people and helping them to put their events, moderation and correction of events. After having a brief look and the technical set-up, we will have an overview on what we have been doing in this first year to let people know and use this agenda. Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/DLSLS7/

How do you make sure you build the right product and build the product right? In this talk I will elaborate on the role of user-centric product managers in open source context. What does it actually mean to be a product manager and how can this role facilitate community engagement in product development? You will leave this talk with very tangible best practices, which you can implement immediately in your project. I will answer the following questions: - What is user-centricity and how to become user-centric product manager? - Why in open source is perfectly suited to this form of product development? - Why it's cheaper to validate hypotheses and stay in the problem space first instead of jumping to the solutions? - How to conduct user research without a huge effort? - How to start with user research in case you haven't done it before? I will also present a real example of user-centric product development process, based on my work at OpenProject. Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/ZYUH3P/

Während Corona wurden digitale Zahlungsmethoden deutlich verbreiteter. Mittlerweile hat sich jedoch eine neue Skepsis eingestellt, insbesondere aufgrund der Abhängigkeit von US-Unternehmen. Dieser Talk gibt dementsprechend einen Überblick über digitale Zahlverfahren, sowie ein bisschen Geschichte und einen Ausblick auf die potenzielle Zukunft davon. Dabei wird auch ein grober Überblick über die Kostenstrukturen gegeben. Der Talk greift den in Deutschland gebräuchlichen Begriff "EC-Karte" auf, dessen rechtliche Definition von dem abweicht, was die meisten Menschen unter dem Begriff verstehen. Darauf aufbauend soll die Geschichte der EC-Karte sowie von Konkurrenzprodukten gezeigt werden, und wie wir in der heutigen Zahlungslandschaft gelandet sind. Dabei werden die wichtigen Zahlungssysteme SEPA, SWIFT, Girocard, VISA, MasterCard und weitere erklärt, sowie die damit verbundenen Kosten aufgezeigt. Dabei wird ein Fokus darauf gelegt, wie diese Kosten in der EU aussehen, wie (und ob überhaupt) sie reguliert sind, und für welchen Teil der Transaktionen die entsprechenden Regularien gelten. Auch die Probleme der Systeme werden gezeigt, sowie ein Blick auf künftige Entwicklungen, als auch ein Überblick darüber, was andere Länder machen, soll gegeben werden. Der Talk fokussiert sich zwar auf kartenbasierte Systeme, soweit Zeit ist, wird aber auch noch über Wero & Konsorten gesprochen. Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/PAMMDN/

Die Entwicklung der elektronische Patientenakte (ePA) ist gekennzeichnet durch spektakuläre Veröffentlichungen. Immer wieder gibt es unglaubliche Geschichten, die man besser nicht hätte erfinden können. Die Macher der elektronischen Patientenakte (ePA) haben es fertiggebracht, eine Situation entstehen zu lassen, in der sie sich entweder für eine Volltextsuchfunktion oder für eine Verschlüsselung entscheiden mussten. Die Wahl zwischen Verschlüsselung und Suchfunktion bei einem IT-Projekt, das mutet an, als wenn man sich bei einem Auto zwischen Gaspedal und Bremse entscheiden müsste. Natürlich nicht ohne die Zusicherung, das fehlende Pedal würde bei der ersten Inspektion nachgeliefert. Verrückte Geschichte meinen Sie? Ja, aber nicht zu verrückt, um wahr zu sein. Nun könnten Sie ja meinen, das sei ja alles nicht Ihr Problem als Patientin oder Patient. Das ist leider nicht so ganz richtig. Ihre Ärztin bzw. Ihren Arzt ist per Gesetz gezwungen mit diesem halbfertigen Auto - eben unter anderem ohne Bremse - bei Ihnen vorzufahren und Sie sollen dann einsteigen und mitfahren! Nach einigen strengen Rückfragen bekam der Gesetzgeber dann doch kalte Füße. Deshalb muss Ihre Ärztin bzw. Ihr Arzt Sie darüber aufklären, dass das Auto keine Bremse hat und auch ein paar andere Kleinigkeiten nicht ganz fertig geworden sind.... Die Verantwortung hat die Politik so an Sie und Ihre Ärztin bzw. Ihren Arzt übertragen. Sie haben als Patient ja die freie Wahl. Wollen Sie einsteigen? Sie können widersprechen. Opt-Out! Sie erinnern sich? Aber Sie sollen sich keine Sorgen machen, Ihre Ärztin bzw. Ihr Arzt sitzt ja schließlich auch schon drin, im Auto ohne Bremse. Vielleicht beruhigt es Sie, dass neben Ihrer Ärztin bzw. Ihrem Arzt künstliche Intelligenz (KI) mitfährt? Das hilft Ihnen eher nicht? Was machen Sie jetzt? Steigen Sie ein? Oder riskieren Sie stehen zu bleiben? Ach so, Sie wollen wissen was da tatsächlich los ist? Na, dann kommen Sie mal zum Talk 1. Wir schauen, was die anderen Patienten machen. Wie viele sind bei „der ePA für alle“ denn schon tatsächlich eingestiegen? 2. Wir machen sogar die Motorhaube auf und schauen mal nach, was ist sonst noch so kaputt ist. 3. Sie wollen wissen, wie die KI durch die Hauptuntersuchung gekommen ist? Wir haben nachgefragt beim Amt. 4. Und am Ende, wie immer, eine weitere Folge von: „wie das Ganze doch noch gelingen kann“. =) Steigen Sie ein in den Vortrag, dann können Sie informiert entscheiden, ob Sie bei der ePA einsteigen oder lieber draußen bleiben. Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/339EVB/

Wer mit dem Zug nach Köln fährt, wird schonmal erlebt haben: der Zug hält auf der Hohenzollernbrücke vor dem Bahnhof. Grund: Gleis belegt. Aber warum passiert das so häufig? Der Frage bin ich auf ungewöhnlichem Wege nachgegangen: ich habe einen 24h-Fahrplan der Strecke Köln-Aachen in einem Spiel nachgebaut. Für so einen Nachbau ist eines wichtig zu verstehen: ich muss den Verlauf der Züge auf der Strecke Köln-Aachen für 24h abbilden. Aber der veröffentliche Fahrgastfahrplan enthält nicht alle Zugbewegungen: Wenn ein Zug in Köln Hbf endet, dann verschwindet der nicht einfach. Stattdessen fährt er leer irgendwo hin. Aber wo? Und was passiert danach mit diesen konkreten Wagen? In der Realität gibt darüber der Betriebsfahrplan Auskunft. Der ist aber nicht öffentlich. In meinem 24h-Fahrplan habe ich meinen ganz eigenen Betriebsfahrplan rekonstruiert und habe dabei die eine oder andere Herausforderung gefunden: da ist zum Beispiel der RE, welcher zuerst in Aachen abfährt, aber später als der nachfolgende ICE in Köln ankommt. Irgendwo wird der RE also überholt. Aber wo? Dann gibt es den Flixtrain, dessen Lok zwischen den Fahrten umsetzen muss. Das muss aber gut abgestimmt werden mit der restlichen Nutzung der Gleise. Und dann gibt es noch die Güterzüge, deren Fahrpläne nicht gut einsehbar sind, die aber faktisch auch auf der Strecke unterwegs sind. Da habe ich dann anhand der Fahrpläne der Passagierzüge versucht die Lücken zu identifizieren. Generell konnte ich durch diese Arbeit Muster im Fahrplan erkennen, die mit dem bloßen Auge nicht ersichtlich sind. Eines dieser Muster ist die Gleisbelegung von Köln Hbf. Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/DJSYZM/

Tonieboxen sind beliebt, zwingen aber in ein geschlossenes Ökosystem. Der [TonBERRY pico](https://github.com/tonberry-pico/tonberry-pico) ist ein freier und quelloffener Nachbau auf Basis des Raspberry Pi Pico W. In diesem Talk zeigen wir, wie dieses Projekt entstand: Von der Definition von Anforderungen über erste Steckbrettaufbauten, Integration widerspenstiger Hard- und Softwarekomponenten in C und Python, hin zum fertigen KiCad-Hardware-Design (ohne SMD-Löten) und einer Web-App zur Musikverwaltung auf dem Mikrocontroller. Jeder, der Kinder im entsprechenden Alter hat oder kennt, kennt auch die Toniebox: Das Bedienkonzept (Figur draufstellen, Hörspiel spielt) ist genial einfach, aber als Hacker:in stört man sich unweigerlich an den Nachteilen: Cloud-Zwang, geschlossenes System und teure proprietäre Figuren. Zwar gibt es mit dem TonUINO (Arduino + DFPlayer) bereits ein tolles Community-Projekt, das Konzept ist jedoch mittlerweile etwas in die Jahre gekommen: Will man neue Lieder hinzufügen, muss man die SD-Karte ausbauen und ein paar andere, unnötige Hürden überwinden. Hier setzt TonBERRY pico an. Das Ziel des Projekts: Die einfache Nachbaubarkeit mit Modulen und ohne SMD-Löten beibehalten, aber das System auf eine moderne Soft- und Hardwarearchitektur heben. Wir zeigen euch welche Anforderungen und Leitplanken wir uns gesetzt haben, wie wir (mehr oder weniger) geeignete Hard- und Software-Komponenten ausgewählt haben, und was es brauchte um diese Ideen zu einem tatsächlich funktionierenden Gerät zu machen. Dieser Talk richtet sich an alle Maker:innen, Eltern mit Basteldrang und Leute, die weniger Cloud im Kinderzimmer haben möchten. Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/BBRNHH/

Convex is a TypeScript framework* that makes one promise: "if you change a value in the database, no matter how, it'll update in the frontend automatically." This is great - imagine writing a comment, and everyone with the page open sees it immideately. If you imagine the normal todo-list example for webdev, you checkmark a task in one tab, and it immediately updates for everyone. However, despite being open-source, convex is developed by a VC-backed company, and runs on a properitary database - you can only interface with it through their properitary libraries. Simple functions like COUNT aren't supported, and require hacky workarounds. You can't write a simple UPDATE statement. Migrations and schemas are loosely enforced. All of these restrictions led to me writing pgreflex - a fully free + open-source, community-driven postgres-based alternative. Instead of writing a custom database, pgreflex simply subscribes to postgres' write-ahead-log (WAL) via logical replication - and notifies the app server if something changed. No properitary lock-in, and only a simple, thin library you can use with your existing stack. * Note: Even for people who can't immediately use pgreflex (not writing TypeScript servers, ...) the underlying tech of "listen to WAL to invalidate queries and propagate changes" is powerful. I promise this talk could be useful if you write rust webapps, too. Or Go webapps. Or python. Or anything, really. It probably could work with mysql, too. In the talk, we'll cover: - Why doing what convex allows you do to is *really cool* from a UX perspective - How does pgreflex work (subscribe to WAL, invalidate) - Challenges and drawbacks of the approach, incl. complexity, latency, and computational overhead - How would you use it off-the-shelf in a TypeScript + tRPC + drizzle project - How other programming languages might implement the same Maybe: a couple of benchmarks (pgreflex vs. convex on same server), if I manage to finish those before GPN Community contributions welcome :) Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/EGXV8L/

Wir schauen uns die grundlegenden Bausteine eines Audio-Synthesizers an und wie man diese in Software umsetzen kann. In diesem Teil geht es zunächst um Oszillatoren: Wie entsteht der eigentliche Ton am Anfang der Signalkette bevor er durch Filter geformt wird? Wir fangen mit einem simplen Sinusoszillator an, erweitern ihn zu einem Sägezahnoszillator und schließlich zu einem allgemeinen Wavetableoszillator, wie er in heutigen Synthesizern verwendet wird. Bei jedem Schritt analysieren wir die auftretenden Probleme und welche Lösungen entwickelt wurden, um sie zu umgehen. Wir werden verschiedene Konzepte der Signalverarbeitung kennenlernen. Spezielle Vorkenntnisse in diesem Bereich sind jedoch nicht erforderlich. Stichworte: Nyquist-Shannon Theorem, Aliasing, Diskrete Fourier Transformation DFT/FFT Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/B8PSDB/

About a year ago, a friend gave me a binary to reverse engineer to playtest for a CTF. As the architecture lacked the necessary tooling, I started developing a decompiler plugin. What started as a small side project for learning, has been a part of my life over the last year. The project grew as my understanding of the architecture deepened, and it took several API updates to finally work. Join me on a journey into the rabbit hole of architecture features and how the decompiler works. This talk will discuss the TMS320C6x Digital Signal Processor (DSP) family and use Binary Ninja as the decompiler. Decompilers take a compiled executable and aim to recover higher-level structures close to the original source code. As the name implies, they try to reverse the work of a compiler. This process is structured into many analysis steps of which most are independent of the architecture. However, a decompiler needs to support an architecture to get the required information for its analysis. Using a decompilers API, an architecture plugin can extend this support to any architecture (in theory). In this talk, I will share my experiences from building such a plugin, and talk about occurring problems and solutions. You will learn the core tasks of an architecture plugin and how to fulfill them. The talk will discuss the TMS320C6x architecture family from high-level overview to opcode details. Both parts are combined to arrive at a plugin that can handle DSP architecture features. Along the way, we will discover limitations of APIs, compiler quirks and specification errors. The talk uses Binary Ninja and its API. Some parts are specific to this tool, many concepts (and sadly problems) apply to other decompilers as well. Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/ALPR3D/

Grafikkarten sind für Grafik?! Diese namensgebende Weisheit stimmt heute nicht mehr, stattdessen werden Grafikkarten für alles mögliche eingesetzt, von wissenschaftlichen Simulationen von Galaxiekollisionen bis ihn zu resourcenfressenden und gesellschaftlich riskanten Anwendungen wie genAI. Doch wie kam es dazu? Wir schauen uns an, wie aktuelle Grafikhardware aufgebaut ist und warum sich diese Hardware auch für so viele andere Zwecke eignet. DE mit englischen Folien Wir machen zusammen einen Durchstich durch die Welt der Grafik(karten)programmierung: Wie funktioniert eigentlich traditionelle Grafikalgorithmen und Rasterisierung? Was sind Shader und Texturen? Wie funktioniert Vektor- und SIMT-Prozessoren? Und zuletzt was ist GPGPU und wofür wird es genutzt? Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/APCQFY/

I just wanted Zulip notifications on my phone. So I started building something myself - and fell into a rabbit hole. This talk tells the story of how I tried to solve a problem - and in doing so, understood how push notifications actually work. Why my first approach didn't scale. Why almost every app uses Firebase or APNs. Why even Signal knocks at Google's door. And why, since the Wyden letter of 2023, this is a documented privacy problem: "We kill people based on metadata." I'll show what alternatives exist with UnifiedPush and ntfy, how I built a bridge for Zulip, and why the same problem applies to your Prometheus alerts, Grafana notifications, and CI/CD pipelines. And what all of this has to do with digital sovereignty. Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/38ZLSX/

Neue Regierung, neues Sondervermögen, da gibt es doch jetzt frischen Wind für die Energiewende in Deutschland, richtig? Leider ist das Gegenteil der Fall. Die politische Unterstützung auf Bundesebene für die Energiewende bricht zunehmend weg. Woher soll man da noch Mut und Hoffnung schöpfen? Wir zeigen Wege und Beispiele auf! Lokal, global, analog und digital bewegt sich viel. Brandaktuell geben wir Einblicke in die neuesten Initiativen, erfolgreiche Klagen, Bewegungen und Erfolge aus der Region und der ganzen Welt. Was ist in der ersten Hälfte von 2026 schon geschafft worden? Wo gibt es Blockaden? Wo braucht es jetzt deinen Beitrag damit es voran geht? So gibt es zum Beispiel neue Rechtsprechung und Normen für Steckersolar. Was ist da alles passiert, was muss man jetzt wissen? Wie kann man Speicher sinnvoll am Balkon nutzen und die Cloud umgehen? Was tut sich in der Forschung? Und was hat das alles mit mir zu tun? Wir wollen Mut machen und Begeistern, für die Herausforderungen die noch vor uns liegen, aber auch die Erfolge feiern die bereits da sind! Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/P7AJJB/

Kommunikation ist für Menschen mindestens genauso schwierig wie für Computer. Wir reisen von `ASCII` bis `UTF` und betrachten dabei (fast) alles dazwischen und *daneben*. Historische Anforderungen an unterschiedliche Methoden für Encoding bis hin zu aktuellen Missverständnissen. Dieser Talk ist *einstiegsfreundlich*, bietet aber auch für Expert:innen unterhaltsame und unerwartete Einblicke. Dieser Vortrag ist Teil meiner Serie über grundlegende Technologien welche bereit diese Themen umfasst: - Emoji - Schriften und Typography - Datenkompression - USB (2 Vorträge) - Backups - HTTP/2 - Email Systems - Unterschiedliche Shell tools, unter anderem `ssh` und `tmux` Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/DELCDS/

Kritische Infrastruktur, Notfallschutz, Datenbankenreplikation, embedded Linux, custom hardware, Umweltradioaktivität? Einmal alles bitte! Das Bundesamt für Strahlenschutz betreibt mit über 1700 Messstellen bundesweit ein Messnetz für Ortsdosisleistung. Messdatenbanken redundant an 6 Standorten, Datenaufbereitung für den Notfallschutz. Hier gibts eine ausführliche Vorstellung von Technik, Protokollen und Gerät. Und Quellcode. Um überhaupt eine Chance zu haben, zeitnah auf radiologische Notfälle zu reagieren, ist es eine sehr gute Idee, Umweltradioaktivität dauerhaft zu messen. Idealerweise prüft man diese Messwerte fortlaufend und speist sie in verständliche und bedienbare Informations- und Prognosesysteme ein. Nach Strahlenschutzgesetz ist daher die großflächige Ermittlung der Gamma-Ortsdosisleistung Zuständigkeit des Bundes, mitsamt Entwicklung und Festlegung von Probenahme-, Analyse-, Mess- und Berechnungsverfahren zur Ermittlung der Umweltradioaktivität sowie die Durchführung von Vergleichsmessungen und Vergleichsanalysen. Zunächst sind es Umweltmessungen, die die Radioaktivität der natürlichen Radionuklide messen, im Notfall ist das Messnetz gleichzeitig ein Frühwarnsystem. Die Frage dabei: Wie macht man das? Welche Anforderungen ergeben sich konkret? In diesem Talk gibts den kompletten Querschnitt von der Messung bis zur Übertragung in die Informationssysteme des Bundes und dem internationalen Austausch in der EU und der internationalen Atomenergiebehörde. Erklärung und Einführung insbesondere zu: - Messhardware - Netzwerkarchitektur und -protokolle - Messdaten-Replikation und Redundanzen - Datenprüfung und Plausibilisierung - Ausblick ins integrierte Mess- und Informationssystem des Bundes - öffentliche Schnittstellen und APIs Wo es sich anbietet mit ein paar kleinen Livedemos. Und als besonderer Bonus: Quellcode, Quellcode, Quellcode. Das Bundesamt für Strahlenschutz entwickelt unter GPL. Bisher war Sourcecode vom ODL-Messnetz aber nicht veröffentlicht. Das ändert sich jetzt, dieser Talk kommt mit Code-Drop. Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/8VZADC/

Can art be a catalyst for change in times of war and conflict? What role can creative acts of counter-memorialization, interventionist practices, play, and participatory art take to change how we perceive and act upon issues of contemporary and historical violence and in the broader politics of memory? Over four decades, media artist and activist Joseph DeLappe has forged a distinctive artistic practice involving the creative and critical use of games, public intervention, sculpture, performance, and activism. In this talk, the artist will share documentation from a diversity of creative projects and actions developed over the past several decades that utilize digital and analogue processes to creatively address such questions. A lineage of works, including video games, public actions (online and IRL), participatory making, performance, play, protest and memorialization will illuminate upon his critical and interrogative strategies engaging the intersections of art, technology, and social engagement. Joseph DeLappe is Professor of Games and Tactical Media at Abertay University in Dundee, Scotland. Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/97LFTV/

Rust-GPU compiles (embedded) Rust to GPU shaders. You can then use these shaders in the bevy game engine, your custom wgpu render or whatever else needs shaders. We'll look at how it compares to DSLs for GPU programming, such as glsl, wgsl or burn. And why are we targetting SPIR-V, yet can compile to wgsl and run on the web. And if we really can compile ordinary rust, what could we run on graphics cards? Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/8ZN9MC/

Mobilität ist ein Grundbedürfnis – sei es der Weg zum Supermarkt, zu Freunden oder in ein Café. Gleichzeitig besteht breiter Konsens, dass Mobilität nachhaltiger gestaltet werden muss. Doch wie lässt sich Mobilität so messen und bewerten, dass sowohl individuelle Bedürfnisse als auch Nachhaltigkeitsziele berücksichtigt werden? Dieser Beitrag stellt mobi.mapr und das zugrunde liegende Modell vor. Im Zentrum steht ein aktivitätsbasierter Ansatz, der nicht Verkehr oder Infrastruktur, sondern Menschen, ihre alltäglichen Aktivitäten sowie ihre subjektiven Erfahrungen in den Mittelpunkt stellt. Auf Basis offener Daten entsteht so ein transparenter Ansatz zur Bewertung von Mobilitätsqualität – nachvollziehbar, reproduzierbar und unabhängig von proprietären Plattformen oder KI-Slop. Das Ergebnis ist ein offenes Dashboard, das Mobilität sichtbar und vergleichbar macht. Es ermöglicht, Mobilitätsräume zu erkunden, faktenbasierte Entscheidungen zu treffen und Menschen dabei zu unterstützen, ihre Mobilität selbstbestimmt zu gestalten. Sämtliche Daten sind zusätzlich über eine offene API unter CC BY 4.0 zugänglich. Dieser Talk legt einen besonderen Fokus auf den ÖPNV, sowie auf die Region Karlsruhe. Welche Effekte hat das Karlsruher Modell? Kann der KVV die Pfalz retten? All diese Fragen werden beantwortet! Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/LU8TCX/

After one week of research and 15 CVEs later we want to share some insights! Most of us have probably already encountered the term bossware - software used by employers to monitor employees. While some of this software is almost indistinguishable from malware in terms of surveillance and functionality, there is still significant market demand for it. Employers might not care much about privacy concerns or efficiency beyond certain metrics, but what about the security risks that could put the company itself at risk? After one week of research and 15 CVEs later we want to share some insights! Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/M3QHL3/

Eintauchen in Werdegang und Hintergrund des CERT-Specials (aka WHO-Drink) Warum ist das Zeug eigentlich so widerlich/lecker, viel zu (wenig) salzig und kann man da nicht XY mehr/weniger rein tun? Und geht das nicht $DAMIT viel besser? Nach fast jeder Veranstaltung gibt es motivierte WHO-Sommeliere mit guten Ideen und besseren Ratschlägen. Da lohnt es sich doch, einmal hinter die Kulissen des Gebräus zu sehen, Rezepte zu vergleichen und mit heiterem Blick auf Fehlschläge, Ausrutscher und Irrfahrten zu erklären, wie er entstand, was er bewirken soll und wo die Reise hingehen könnte. Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/MLNHCD/

I'll cover the fundamentals of laser operation, including gain, population inversion and how you convince a bunch of excited atoms to all emit light in sync instead of doing their own thing. We then explore how femtosecond pulses are produced in practice. I'll explain some simple methods for shaping, tweaking, and measuring those pulses. As a practical example, I will walk you through the velocity map imaging (VMI) setup I work with to show what can be done with this equipment, watching molecules fall apart, like a molecular stroboscope. I work in a research group¹ doing "Ultrafast Dynamics inside He Nanodroplets". I'd like to share some of the fascinating concepts, from my perspective doing real time data analysis for the research group. „In order to measure an event in time, you must use a shorter one...“ ~ Rick Trebino This is why we are interested in pulses of that regime, molecular dynamics operate exactly at that timescale. But when one works with such short pulses, not only aligning the setup becomes a real pain, but also non-linear effects take over in ways you wouldn't expect from a classic optics viewpoint. Comparable to RF magic in electronics, you wouldn't expect when you look at low frequencies. The goal is to develop an intuitive understanding of how the knowledge fits together and what those techniques enable us to observe. I will not go deep into the details, because this topic is extremely complex and even the master's course at my university about "Ultrafast laser physics" is an overview of the topic. So this is going to be "an overview of an overview", a 101. [1] Femtosecond Dynamics, TU Graz ( https://www.tugraz.at/en/institutes/iep/research/femtosecond-dynamics ) Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/JL7QUB/

Im selben Gebäude, in dem die GPN stattfindet, war 2025 die Ausstellung “Choose Your Filter!” zu sehen. Gezeigt wurden künstlerische Webbrowser aus drei Jahrzehnten, also Software, die selbst Kunstwerk und Anzeigeumgebung in einem ist. Der Ausstellung ging ein mehrjähriges Forschungsprojekt am KIT voraus, in dem solche Browser als eigenständige künstlerische Form untersucht wurden. Sie sind als Remix-Programme interpretierbar, sie situieren Nutzer*innen und formen mit, wie das Web durch sie hindurch wahrgenommen wird. Browser bestimmen, was sichtbar wird, in welcher Geschwindigkeit, Reihenfolge und Hierarchie. Damit sind sie Filter im wörtlichen Sinn, und Gegenstand sozio-politischer, ökonomischer und kultureller Fragen. Wenn solche softwarebasierten Werke überhaupt in den Blick genommen werden, beschränkt sich die Auseinandersetzung im akademischen Rahmen üblicherweise auf ihre Dokumentation, Beschreibung und Kontextualisierung der Arbeiten. Eine Ausstellung, die den Anspruch hegt, nicht (nur) Relikte zu zeigen, verlangt mehr: Dort sollen die Arbeiten wieder live erfahrbar sein, also tatsächlich laufen, in einem Raum, vor Publikum, über Monate hinweg — ohne Wartung im laufenden Betrieb und ohne technisches Personal, das im Zweifel eingreift. Damit verschiebt sich die Aufgabe grundsätzlich hin zu Reparatur und robuste Stabilisierung. Werke, die für eine bestimmte historische Konfiguration aus Browser, Plugin, Betriebssystem und Serverlandschaft geschrieben wurden, müssen in einer Gegenwart funktionieren, in der diese Konfiguration nicht mehr existiert, und sie müssen es selbständig tun: Crashes überstehen, Zustände zurücksetzen, mit unterschiedlichsten Besucher*inneninteraktion umgehen, fehlende Server kompensieren — alles ohne Hand am Gerät. Was im Forschungsprojekt eine Frage des Verstehens war, wird im Ausstellungsbetrieb eine Frage der Rekonstruktion und der autonomen Lauffähigkeit — konzeptuell, technisch und konservatorisch zugleich. Der Vortrag berichtet aus erster Hand davon, wie aus einem Forschungsvorhaben eine Ausstellung wurde: welche Entscheidungen kuratorisch fallen mussten, wie einzelne Werke wieder zum Laufen gebracht wurden, und welche Infrastruktur dabei entstanden ist, um Netzkunst aus mehreren Jahrzehnten parallel und stabil zu betreiben. Wir sprechen aus zwei Perspektiven — kunsthistorisch und museumstechnisch — über dasselbe Problem: was es heißt, Software, die selbst Kunstwerk ist, nicht nur zu beschreiben, sondern zu zeigen. Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/JQYNPX/

Die Bedrohungslage, Berichterstattung und der Hype für KI sorgen aktuell für einen immer dichter werdenden Jungel an Informationen und Druck direkt auf alle Sicherheitslücken zu reagieren. Aber muss ich direkt alle Updates einspielen, wie stelle ich fest, ob ich handeln muss? Ich erkläre Methoden, um fundierter auf Ereignisse reagieren zu können, lege Grundsätze zum Erarbeiten von einem grundlegenden Sicherheitsniveau dar und zeige einige Beispiele, wie man als Hersteller auf keinen Fall sicherheitsrelevante Themen kommunizieren sollte. Licensed to the public under https://creativecommons.org/licenses/by/4.0/ about this event: https://cfp.gulas.ch/gpn24/talk/JYXAP7/