Auch in diesem Jahr werden in der KlimaWerkStadt wieder Linux-Install-Parties angeboten, natürlich auch mit Support von der Linux User Group und dem Hackerspace. Der erste Termin ist an diesem Samstag, am 11.04. um 14:00 Uhr. Falls Du Dir diesen nicht einrichten kannst, gibt es auch noch einen weiteren Termin, am Samstag den 06.06., ebenfalls um 14:00 … Mehr
Das Easterhegg 23 fand vom 3. bis 6. März 2026 in Koblenz statt und wurde von den Westwoodlabs an der Universität Koblenz ausgerichtet. Die Location bot großzügige Flächen für Workshops und Vorträge sowie viel Raum zum Quatschen und Basteln. Bereits beim Einlass erhielten die Teilnehmenden eine eigene Tasse für das Buffet. Das „Ewige Frühstück“ war während der gesamten Veranstaltung geöffnet und bot frische Brötchen, Aufschnitt, Obst und Gemüse sowie Müsli und Joghurt. Kaffee und Tee durften natürlich ebenfalls nicht fehlen. Auch das Programm war vielfältig: Im Fahrplan fanden sich Themen aus den Bereichen Security, Hardware und Gesellschaft. Workshops zu KiCad und ein Vortrag zu Design-Blöcke in der Elektronik vermittelten praxisnahe Inhalte, die im Laufe des Tages direkt angewendet werden konnten. Die Aufzeichnungen der Vorträge findet ihr unter media.ccc.de . Im Hackcenter arbeiteten einige Mitglieder des Chaospott unter anderem an der Integration eines CO₂-Sensors in Home Assistant. Ziel war es, die Messdaten über eine vorhandene RS232-Schnittstelle auszuwerten. Bei der Analyse der Platine stellte sich jedoch heraus, dass der entsprechend beschriftete Ausgang ohne MAX232-Pegelwandler verbaut war. Daher musste zunächst die tatsächlich verwendete Sendehardware identifiziert werden, um die Gegenstelle korrekt anbinden zu können. Haltestelle der Hackertours und Vorlesungssaal. Chaospott CC-BY-SA 4.0 Ergänzt wurde das Programm durch die Hackertours, etwa zu einem Flipper- oder Bahn-Museum. Einige Teilnehmende nutzten außerdem die Gelegenheit, die Festung Ehrenbreitstein auf der anderen Rheinseite zu besuchen. Wir bedanken uns an dieser Stelle für das schöne Wochenende und freuen uns darauf, euch beim EH24 in Wien wiederzusehen.
Der Chaos Computer Club Frankfurt veranstaltet jeden 2. Dienstag im Monat einen digitalpolitischen Abend in der Hohenstaufenstraße 8 in 60327 Frankfurt am Main. Am Dienstag, den 14.04.2026 ab 19:00 Uhr werden wir uns fragen: „Wie weiter mit der digitalen Bildung?“ …
Unwirksame Verschlüsselung sensibler Daten Es geht nicht ohne Datenleck Sicherheitsforschung muss legalisiert werden Endlich gibt es in dieser Reihe von nicht nur ein technisch langweiliges Einfallstor durch Fehlkonfiguration, sondern einen ganzen Blumenstrauß verschiedener Sicherheitsprobleme. Der Einstieg war simpel: Backups ließen sich frei aus dem Internet herunterladen. Zwar waren diese teilweise verschlüsselt, doch bereits die sichtbaren Ordnerstrukturen und Dateinamen verrieten sensible Informationen wie die Namen von Mandantschaft und ließen Rückschlüsse auf Verfahren zu. Meldungen zu Legal-Tech Die eingesetzte Verschlüsselung basiert auf ZipCrypto, einem Verfahren, das seit Jahren als veraltet und unsicher eingestuft wird. Anhand von bekannten Inhalten der verschlüsselten Daten konnten die vollständigen Backup-Archive entschlüsselt werden (sog. Known-Plaintext-Angriff). So wurden beispielsweise Gerichtsakten, interne Aktenvermerke, Adressdaten von Mandantschaft, Gutachten und Schriftwechsel mit Mandantschaft oder Dritten sowie Zugangsdaten zu IMAP-Postfächern oder dem besonderen elektronischen Anwaltspostfach (beA) einsehbar. Diese ersten Schwachstellen wurden bereits im Mai 2025 gemeldet. Doch damit nicht genug: Natürlich identifizierten die beiden Forschenden auch verschiedene Datenlecks: In frei zugänglichen JavaScript-Dateien, Installationsskripten und im Quellcode des RA-MICRO-Backends waren diverse Zugangsdaten zu finden. RA-MICRO benutzt JSON Web Token (JWT), um Nutzende gegenüber dem Backend zu authentifizieren. Das Geheimnis für die JWT-Signatur ließ sich rekonstruieren, sodass gültige JWT für eine beliebige Instanz ausgestellt und benutzt werden konnten. Auch auf die Passwörter der Nutzenden konnte zugegriffen werden, da diese ungehasht in der Datenbank gespeichert wurden. Über einen Mechanismus, der wahrscheinlich für das Anlegen von Test-Accounts gedacht war, gelang es, Administrator-Accounts anzulegen. Außerdem konnten Subdomains übernommen werden – https://ccc.es.ra-micro.de führte zu Demonstrationszwecken vorübergehend auf die Website des CCC. Private TLS-Schlüssel für mehrere ra-micro.de-Subdomains konnten über eine API abgerufen und E-Mails im Namen von RA-MICRO versendet werden. Schließlich gelang über eine andere Schnittstelle erneut der Zugriff auf die Backups beliebiger Instanzen. All diese Schwachstellen wurden im August 2025 gemeldet. Wir sind gespannt, wie die juristisch geschulte Kundschaft des Unternehmens diese Vielzahl fahrlässiger Verstöße gegen technische und rechtliche Grundanforderungen bewerten. Aus Sorge vor rechtlichen Risiken durch die sogenannten Hackerparagraphen zogen die beiden Sicherheitsforschenden Poschi und Smeky vor, zunächst im Hintergrund zu bleiben. Der CCC übernahm die Kommunikation mit dem Hersteller. Der Fall zeigt, wie wichtig unabhängige Sicherheitsforschung ist und wie sehr sie durch rechtliche Unsicherheiten erschwert wird. Auch wenn Sicherheitsforschende für ihre kostenlosen Dienste extrem selten verurteilt werden, so kommt es zwar selten, aber oft genug zu Ermittlungsverfahren und den damit einhergehenden Ärgernissen und Kosten. Schon die Sorge davor führt dazu, dass manche Lücken gar nicht erst gemeldet würden, wenn nicht z. B. wir bei der Meldung unterstützen. Es wäre sehr viel zielführender für betroffene Unternehmen, Kundschaft, Wirtschaft und Gesellschaft, wenn Sicherheitsforschende nach getaner Arbeit sorgenfrei das Vergnügen der Meldung übernehmen könnten. Beide Reports veröffentlichen wir hier: Report vom 26.05.2025 Report vom 19.08.2025