25C3: Nothing to hide (2008)

Das 14. Türchen der #35C3 Memory Lane: Vom Mythos der biometrischen Hochsicherheit

35c3-calendar 14

Das vierzehnte Türchen.

Der Chaos Communication Congress widmet sich mit Vorliebe den Chancen und Risiken des Hackens biometrischer Systeme. Schon vor zehn Jahren ging es um Gesichtsbilder und Fingerabdrücke in Pässen und Ausweisen. Diese ganze Reihe an Biometrie-Vorträgen hat ihren eigenen Charme und außerdem einen wiederkehrenden Protagonisten, gefürchtet bei Herstellern, beliebt beim Publikum: starbug.

35c3-calendar 14, starbug

starbug beim #31C3

Ihm fielen beispielsweise schon Ursula von der Leyens Fingerabdrücke zum Opfer. Und auch die Iris-Scanner eines bekannten Mobiltelefonanbieters mussten schon dran glauben:

Wir können uns ausweislich des Fahrplans dieses Jahres auf eine Fortsetzung der Reihe über den Mythos der biometrischen Hochsicherheit freuen: Venenerkennung hacken. Und die Ankündigung klingt verlockend:

Die Venenerkennung ist eine der letzten Bastionen biometrischer Systeme, die sich bisher der Eroberung durch Hacker widersetzt hat. […] In diesem Talk machen wir die Verteidigungsanlagen dem Erdboden gleich.

Es ist natürlich völliger Zufall, dass in der gerade bezogenen BND-Zentrale in der Chausseestraße in Berlin-Mitte Venenerkennungssysteme zum Einsatz kommen.

Um beim Warten auf den 35C3 die Erinnerung an vorangegangene Jahre ein wenig aufzufrischen, empfiehlt sich folgender Vortrag von starbug:

Streaming & Recording the Conference

Time (2008-12-29) & Number of Streamers

Time (2008-12-29) & Number of Streamers

More than 3500 hackers enjoyed this year’s hacker jeopardy through our network of streaming servers. During the course of 25C3 our friends at

FeM ran an array of 6 wmv streaming servers supplemented by 3 ogg theora relays provided by the Chaos family in Ulm and elsewhere. Over 1500 people watched the theora streams, which is almost as many as the wmv streams.

Additionally, we had a number of experimental streams in various other formats.

Streaming and recording the whole conference was only possible thanks to our helpers and angels who ran the live streams and edited the recordings in almost no time. So, if you missed the live events, check out the recordings.

We need your feedback

As usual, we ask you to give your opinion on the lectures held at 25C3. Just go to the “Fahrplan”, click on the lectures you attended (or watched on video), click the feedback button, and tell us your impression. It is interesting and possibly helpful for the speakers to know your (anonymous) thoughts about their talks, and it is very important for the organizers to know what you liked and what you didn’t, when planning the next event. So, please, take your time to evaluate this year’s program.

Moreover, general feedback on all aspects of the event is welcome. Feel free to contribute to the feedback page in the wiki or to the Photo Documentation, and if there is something you want to tell everybody, blog about it and publish a link in the wiki, or just write it here.

Day 4 Schedule Updates


Sadly, we’re on the last day of the 25C3. The good news is that your printed schedule is accurate with one very notable exception. All we have for you today is the addition of two really great talks in Saal 2:

  • 14:00: Vertex Hacking: Reverse Engineering von 3D-Dateiformaten: “Es geht um die Methoden beim Umgang mit unbekannten Dateiformaten, speziell im Bereich der 3D-Modelle. Vorgestellt werden sollen die Werkzeuge, die Vorgehensweise, ein paar mögliche Fallstricke, interessante Implementierungsdetails und schlussendlich auch das Ergebnis in Form der Bibliothek libg3d.”
  • 15:15: Mining social contacts with active RFID: “We describe the implementation of a distributed proximity detection firmware for the OpenBeacon RFID platform. We report on experiments performed during conference gatherings, where the new feature of proximity detection was used to mine and expose patterns of social contact. We discuss some properties of the networks of social contact, and show how these networks can be analyzed, visualized, and used to infer the underlying social structure.”

In addition, Security Nightmares 2009 will be translated into English and simulcast in Saal 3.

The cat is out of the bag …

The title of the talk “Making the theoretical possible” has been changed to “MD5 considered harmful today: Creating a rogue CA certificate”. The speakers will be Alexander Sotirov, Marc Stevens and Jacob Appelbaum.

Dag Arne Osvik, David Molnar, Arjen Lenstra and Benne de Weger will also be in the audience.


From left to right: Benne de Weger, Arjen Lenstra, Marc Stevens, Jacob Appelbaum, David Molnar, Alexander Sotirov. Photo: Alexander Klink (CC-BY)