The 30c3 Security-Track

German version below.

This year, in order to better align the workload with the actual expertise of the reviewers, several topic-specific teams were formed. (More here.) Security related topics were staffed by a team of three to four core members. Additionally, six reviewers with differing security background were supporting the review.

Since in some cases the content of the actual presentations overlapped with the focus of more than one content team, submissions were shifted back and forth. Most of the overlap occurred between Hardware, DiY & Making, and Science & Engineering. Overlaps with Society, Politics & Ethics as well as Art & Beauty were also present, but were far less common.

Altogether, approximately 130 hours were allocated for presentations among the entire content-team of the 30c3. 30 hours from this pool were specifically allocated for the security track and further split into 30 and 60 minute slots. In the end, the security content track received additional timeslots and accumulated 31 hours of content in total. We initially received a collection of around 100 submissions, which is roughly a third of all submissions.

While filtering content, we initially focused on reverse engineering of software and protocols, cryptography, and hardware & embedded security-related topics. Fortunately, a large portion of the submissions fell into these categories so that we were not forced to reconsider this focus. The majority of the submissions covered contemporary IT security related issues and current developments, which have yet to receive sufficient public attention.

In the end, we tried to find a balance between various current and important security issues. In cases where multiple submissions covering a particular topic were received, the team made a conscious decision in favor of one particular talk to avoid redundancy. This also involved some difficult decisions pertaining to presentations covering unique, novel, or noteworthy topics.

Ultimately, the available time slots are limited. This resulted in recommending that talks instead be resubmitted at a later date or encouraging that they be presented as a lightning talk. In several cases requiring interaction with the audience or a hands-on approach, a workshop format was proposed instead.

In the coming days, the security track team will continue to publish a number of blog posts to highlight a few outstanding submissions from each of the three topic areas of the upcoming security track. Spoiler alert!

30c3 logo

In diesem Jahr wurden themenspezifische Content-Teams gebildet, um die Arbeitslast besser auf die Expertise mehrerer Reviewer zu verteilen. (Mehr dazu hier.) Das Team, das sich um die Security-Themen kümmerte, bestand im Kern aus drei bis vier Leuten. Dazu gehörte ein sechsköpfiges Reviewer-Team aus unterschiedlichen Fachbereichen.

Da es oftmals Überschneidungen mit den inhaltlichen Schwerpunkten anderer Teams gab, mußten hin und wieder Einreichungen hin- und hergeschoben werden. Die meisten Überschneidungen gab es mit den Teams Hardware, DIY & Making sowie Science & Engineering. Manche unserer Einreichungen wurden am Ende dort platziert bzw. von anderen Teams entschieden. Weniger Überschneidungen gab es mit den anderen zwei Teams, Society, Politics & Ethics sowie Art & Beauty.

Insgesamt standen dem gesamten Content-Team fast 130 Stunden für die Vergabe von Slots für Vorträge, Entertainment und CCC-Themen zur Verfügung. Der Security-Track erhielt ein Kontingent von dreißig Stunden, die in ein- und halbstündige Slots aufgeteilt wurden. Mit einem “Notsitz” kamen wir schlußendlich auf etwa 31 Stunden. Etwas mehr als einhundert Einreichungen wurden dem Security-Track anfangs zugeordnet. Das entspricht etwa einem Drittel aller Einreichungen.

Thematisch wurde zu Beginn grob vorsortiert und ein Fokus auf die Themen Hardware & Embedded Security, Reverse-Engineering von Software und Protokollen sowie Erhellendes aus der Kryptographie gelegt. Glücklicherweise entsprach das Gros der hundert Einreichungen den gewünschten Schwerpunkten, so daß wir nicht gezwungen waren, an unseren inhaltlichen Erwartungen zu drehen. Der Großteil der Einreichungen deckte sehr zeitgemäße und vor allen Dingen auch aktuelle Entwicklungen ab, die bislang noch nicht oder nicht allzuoft in der Öffentlichkeit thematisiert wurden.

Somit haben wir in einer ersten Vorauswahl nach Ende der Deadline bereits die Einreichungen auf die Seite gelegt, die nicht zu unserem Themenschwerpunkt paßten. Letztlich haben wir versucht, eine Balance zwischen den verschiedenen aktuellen Themen zu finden. Gab es mehrere Einreichungen zu einem ähnlichen Thema, hat das Team darüber debattiert, wer den Zuschlag bekommt und wer nicht. Schwieriger war es am Ende, die Entscheidung über all die Einreichungen zu treffen, die thematisch einmalig waren und wo also jedes Thema aktuell und erwähnenswert ist.

Da die Zeit jedoch begrenzt ist, mußten wir leider viel zu viele Einreicher auf das nächste Jahr vertrösten oder haben sie motiviert, einen Lightning-Talk zu halten. In Fällen, wo eine gewisse Interaktion mit dem Publikum ohnehin angemessen wäre, schlugen wir die Organisation von Workshops vor, die allerdings nicht der Auswahl und der Organisation durch das Content-Team unterliegen.

Das Security-Content-Team wird in den kommenden Tagen eine Reihe von Blogpostings veröffentlichen, in denen jeweils aus einem der drei Themen-Schwerpunkte ein paar Highlights der angenommenen Vorträge präsentiert werden. Spoiler Alert!