Ik heb me in het verleden weleens moeten verantwoorden bij mijn "coolere" vrienden voor mijn bezoeken aan congressen en conferenties.
In veel gevallen is die scepsis ook best terecht. Er zijn voor mij twee evenementen die echt wel in een andere categorie vallen: C3 en FOSDEM.
Het zijn verschillende soorten bijeenkomsten, met niet helemaal dezelfde doelgroep, maar het publiek van de één zou zich prima thuis moeten voelen bij de ander. Technici die positief en toekomstgericht in hun vak staan hebben er meer dan genoeg te zien, te beleven en te bespreken.

Dat gezegd hebbende: ik ben op dit moment wel even congres- en conferentiemoe. Als je in één maand zowel een stevige griep als corona weet mee te pakken, dan waait er toch flink wat wind uit je zeilen. Ik ben nog steeds kortademig en mijn longen voelen alsof ik de schoorsteen van de Van Nellefabriek direct tegen mijn lippen heb gezet.

Dus: maak niet dezelfde fouten als ik. Laat je vaccineren als dat kan. Deel geen kamer met anderen als je het kunt betalen. Draag een mondkapje. Het zou mooi zijn als mensen gewoon thuisbleven wanneer ze zich niet goed voelen, maar helaas is dat niet de realiteit. Verder, maak je vooral geen zorgen dat je opvalt met zo'n ding op. Op beide evenementen lopen genoeg mensen rond die met hun uitrusting zonder problemen een zorgeloze zomerwandeling door Pripyat zouden kunnen maken.

C3

C3 Media

Er zijn maar weinig evenementen die je kunt vergelijken met het jaarlijkse Chaos Communication Congress van de Duitse Chaos Computer Club, zeker als het gaat om evenementen die niet door de CCC zelf worden georganiseerd. Het Amerikaanse Defcon komt qua status nog het dichtst in de buurt, maar waar daar mensen het hebben over beruchte afterparties, begint het feest in Hamburg gewoon op de eerste dag en speelt het zich grotendeels op het congres zelf af. De combinatie van het sociale karakter van het evenement en het technische niveau van de gemiddelde bezoeker is, zacht gezegd, aanstekelijk. De Chaos Computer Club is van oudsher een radicaal linkse organisatie, en dat anarchistische karakter is van de eerste tot de laatste dag tastbaar. Het congres draait evenzeer om de presentaties (van hoogstaand niveau) op de podia als om wat de bezoekers zelf organiseren. Dat laatste is mede door het formaat van het 15.000 deelnemers tellende evenement onvoorstelbaar divers en maakt het echt uniek. Er is wel een streng fotografiebeleid, en worden alle veiligheidscamera's in het hele congrescentrum afgeplakt om de privacy van de bezoekers te kunnen beschermen. Mijn partner vroeg de eerste keer dat ik naar C3 ging of ik veel foto's kon maken, tot ze realiseerde dat het een "evenement met alleen maar Huubjes" betreft. Je kan dus zeggen dat ik me er best wel thuis voel.

Los van de workshops en presentaties die je zou verwachten, is er zoveel te doen dat het makkelijk twee keer zo lang had kunnen duren om alles mee te krijgen. Kunstinstallaties, optredens, de toiletraves, de Chaospost die tijdens en na het congres postkaarten bezorgt aan bezoekers en hun bekenden, 24 uur per dag thee (en hot sauce) bezorging, het slaaplab als je er even tussenuit moet, ga zo maar door. Dan is er nog de tsjoenk (een mixer van rum en Club Mate, vergelijkbaar met een baco) die rijkelijk door het evenement vloeit. Ik ben er een beetje van overtuigd dat het congres voor sommigen gewoon een declareerbaar feest is. Gelukkig is de technische inhoud van zo'n hoog kaliber dat het haast onmogelijk is om niet beter geïnformeerd weg te gaan dan dat je aankwam. Elk jaar is het voor de kenners ook genieten om mee te krijgen welke gigantische openbaringen er weer op een van de podia in Hamburg worden gedaan. De problemen die tijdens C3 aangekaard worden hebben vaak geopolitieke en industriële gevolgen. De vorige paar jaren hebben onderzoekers het TETRA netwerk als onveilig bewezen, zijn Duitse fabrikanten betrapt met het sjoemelen met uitstootmetingen en zijn Poolse treinfabrikanten schuldig gevonden van bewuste zelfsabotage van hun treinen als vervoerders zelf hun treinen probeerden te onderhouden.

Hoogtepuntjes:

The Heartbreak Machine: Nazis in the Echo Chamber
Deze talk is licht viraal gegaan in de juiste kringen. Twee journalisten en een hacktivist, verkleed als de roze Power Ranger, leggen uit hoe een netwerk van websites een sleutelpositie innam in trans-Atlantische neo-nazi en supremacistische kringen: WhiteDate, WhiteChild en WhiteDeal. Waar de Duitse inlichtingendiensten blijkbaar faalden, lukte het deze drie om niet alleen te achterhalen wie er achter die sites zat, maar slaagde de Roze Ranger er zelfs in om tijdens de talk de websites permanent offline te halen. Een prachtig staaltje onderzoeksjournalistiek én hacktivisme maar ik had stiekem gehoopt op een White Power Ranger grap. Een mens kan niet alles hebben.

A post-American, enshittification-resistant internet
(In het Engels) Enshittification. Het beruchte idee waar hij het meest mee geassocieerd wordt, krijgt de volle aandacht in de grote zaal van het Hamburgse congrescentrum. Cory Doctorow is een bekende naam in activistische kringen, vooral door zijn werk bij de Electronic Frontier Foundation. De laatste jaren is hij nog bekender geworden door met één grof, humoristisch woord een hele reeks ingewikkelde verbanden glashelder te maken.

Het verdienmodel van de techreuzen is in diezelfde periode op dezelfde manier veranderd. Waar je vroeger een product kocht, zitten we nu vast aan abonnementen en diensten die op de meest krenterige manieren elke cent uit je proberen te persen, zelfs als ze daarmee de kwaliteit van hun eigen product kapotmaken. Denk aan Google: zij ontdekten dat minder relevante zoekresultaten mensen langer laten zoeken, waardoor ze meer advertenties zien. Dit soort processen konden industriewijd plaatsvinden door gebrekkige regulering en monopolistische praktijken. Zodra het uitbetalen van aandeelhouders belangrijker wordt dan het leveren van een goed product, is de eindgebruiker altijd de dupe.

Op basis van dat concept gaat Doctorow in deze talk volledig in de aanval, en het is moeilijk om niet mee te gaan in zijn retoriek. De wereld staat er nu niet bepaald rooskleurig voor, en dat maakt mensen snel angstig en ongelukkig. Toch maakt Doctorow duidelijk dat we een kans hebben gekregen: door het wangedrag van Trump kunnen we vanuit Europa de ijzeren greep van Silicon Valley doorbreken. Als accijnzen alledaags zijn, kunnen de anti-omzeilingwetten die Amerika wereldwijd oplegt genegeerd worden, omdat we de gevolgen toch al ervaren. Dan zouden we wereldwijd kunnen losbreken van de monopolieën die alledaags geworden zijn. Het was een aanstekelijke talk, waarvan de energie zelfs achteraf nog buiten de zaal voelbaar was.

All my Deutschlandtickets gone: Fraud at an industrial scale
(Engels) Er wordt graag geklaagd over Deutsche Bahn: te laat of helemaal niet. Toch is er één initiatief dat bijna overal applaus krijgt: de Deutschlandticket. Voor maar 63 euro per maand reis je onbeperkt door Duitsland. De D-Ticket is daarmee uitgegroeid tot meer dan een abonnement, het is een cultureel fenomeen. Dat succes heeft een keerzijde. De versnipperde verantwoordelijkheden binnen de Duitse federatie en de inzet van talloze derde partijen maken de uitgifte gevoelig voor fraude. Jaarlijks circuleren er honderden miljoenen euro's aan onrechtmatig uitgegeven kaarten, maar door de eerder genoemde versplintering was het lastig te achterhalen waar het gat dat gedicht moest worden precies zat.

Hacking washing machines
(Engels) Git repo van project Een zeer technische talk die het proces van het reverse-engineeren goed blootlegt, met als "doel" oude witgoedapparaten in staat te stellen om via Home Assistant te communiceren met thuisautomatisering in eigen beheer. Ik genoot van elke seconde, maar ik kan me goed voorstellen dat de inhoud nog droger (ik vind mezelf nogal grappig soms) is dan de aanwezige Duitse humor. Ik moest oprecht hard om lachen toen de "dishwasher in a box" tevoorschijn werd gehaald. De presentatie heeft als een van de hoogtepuntjes dat ze een Miele wasmachine besturen met de app van Siemens. Wat vooral bleef hangen, is hoe ver fabrikanten gaan om onderhoud en reparatie door eigenaren actief te bemoeilijken. Natuurlijk valt er iets te zeggen voor het weghouden van leken bij hoogspanning, maar diagnostische functionaliteit zou in een ideale wereld niet achter slot en grendel moeten zitten. Wie een apparaat bezit zou in elk geval mogen begrijpen wat het doet, en waarom het ermee ophoudt.

To sign or not to sign: Practical vulnerabilities in GPG & friends
(Engels) GPG.Fail Bij het uitpluizen van verschillende PGP-gerelateerde projecten stuitte de onderzoekers op meerdere kwetsbaarheden in onder andere GnuPG, Sequoia PGP, age en minisign. Het ging daarbij niet om fundamentele fouten in de wiskunde achter de cryptografie, maar om implementatieproblemen, met name in de parsing. Als een parser niet eenduidig vaststelt wat er precies is ondertekend, kan een aanvaller zonder privésleutel alsnog ongemerkt de plaintext verwisselen. Wat daadwerkelijk kwalijk wordt is wanneer je als maintainer van een project zoals GnuPG op de hoogte wordt gebracht van de mankementen en gevaren en je de vondsten bagatelliseert en negeert. Wat dus gebeurd is. GPG wordt in de meeste Linuxdistributies gebruikt om de authenticiteit van packages en installatiemedia te waarborgen, dus ik ben niet jaloers op de mensen die dat probleem nu op moeten gaan lossen.

Bluetooth Headphone Jacking: A Key to Your Phone
(Engels) Na het zien van deze presentatie neig ik er sterk naar om mijn koptelefoon weer gewoon met een draad te gebruiken. Als iemand zonder authenticatie verbinding kan maken, de flash kan dumpen en in het RAM kan lezen en schrijven, dan voelt dat toch minder onschuldig dan het gemak doet vermoeden. Het hielp niet dat de hackers op het podium exact mijn model koptelefoon gebruikten voor de live demo. Meeluisteren werd gedemonstreerd, net als het kapen van WhatsApp-accounts en gekoppelde diensten. Dan maak je je als gebruiker toch zorgen over meer dan alleen wie je muziek hoort. Mijn standaardniveau van paranoia vind ik meestal gezond, maar op dit soort conferenties blijft Bluetooth voortaan gewoon uit.

Pwn2Roll: Who Needs a 599€ Remote When You Have wheelchair.py?
(Engels) Fabrikanten die functionaliteit achter een abonnement zetten zijn we inmiddels gewend. Ook het softwarematig beperken van hardware om er maandelijks geld uit te halen is helaas geen nieuw trucje. Maar wanneer het gaat om hulpmiddelen waar mensen met een beperking afhankelijk van zijn, voelt dat toch een stuk schofteriger dan een sportauto waarvan de stoelverwarming alleen werkt als je bijbetaalt. Dat dit overduidelijk consumentenonvriendelijke gedrag gewoon legaal is, blijft moeilijk te bevatten. De presentatie is technisch van aard, maar blijft gelukkig goed te volgen voor wie minder diep in de materie zit.

AI Agent, AI Spy
(Engels) De presentatie van Meredith Whittaker (CEO van Signal) en Udbhav Tiwari wordt warm ontvangen door wat op dat moment vermoedelijk de hoogste concentratie Signal-gebruikers van Europa is. Toch gaat het verhaal niet primair over Signal, maar over de veiligheidsgevolgen van agents in besturingssystemen. Een systeem dat 80% van de tijd het juiste antwoord geeft klinkt acceptabel, tot je meerdere stappen achter elkaar nodig hebt. Vijf keer 80% levert immers nog maar 32,77% kans op succes op. Wat "meestal goed" is, wordt dan al snel structureel onbetrouwbaar. Om die tekortkomingen te maskeren en basale functionaliteit mogelijk te maken, moeten zulke agents bovendien continu grote hoeveelheden gebruikersinformatie centraal beschikbaar houden. Voor aanvallers is dat een bijzonder aantrekkelijk uitgangspunt.

Watch Your Kids: Inside a Children's Smartwatch
(Engels) Zelfs kinderen zijn inmiddels niet meer vrij van continue surveillance. Je kunt betogen dat ouders graag altijd willen weten waar hun kind is; die behoefte is van alle tijden. Vroeger werden daar verhalen over heksen en wolven in het bos voor gebruikt. Het probleem is dat de technologie die kinderen daar nu tegen moet beschermen, zelf niet altijd veilig is. Onderzoekers slaagden erin om bij een op ouders gerichte smartwatch GPS-locaties te spoofen en berichten te ontvangen en te versturen. Mijn zorg is niet alleen dat dit soort apparaten op grotere schaal vergelijkbare mankementen hebben, maar ook dat ze een vals gevoel van veiligheid creëren. Wat weerhoudt een kind nog van de roep van de heks in het bos, als iedereen ervan uitgaat dat de talisman om de pols voldoende bescherming biedt?

Coding Dissent: Art, Technology, and Tactical Media
(Engels) Ik weet hoe lastig het is om een atechnische (of zelfs antitechnische) mensen te overtuigen van dingen die ik belangrijk vind. Gesprekken over privacy, veiligheid en technologische dreigingen voor onze mensenrechten stuiten vaak direct op dove oren omdat woorden als "versleuteling" al een afschrikwekkende werking hebben. Voor de meeste mensen is technologie gewoon een obstakel tussen hen en hun doel. Pas wanneer het te laat is, gaan mensen opletten. Daarom luister ik extra goed wanneer iemand vanuit een andere hoek dan ikzelf toch tot dezelfde conclusies komt. Russische dissident en kunstenaar Helena Nikonova laat de lijnen tussen kunst, technologie en activisme vervagen. Ze maakt abstracte concepten niet alleen begrijpelijk, maar brengt de implicaties van technologie ook naar het gevoelsleven van haar publiek.