Fragen? Antworten! Siehe auch: Alternativlos
Es gibt schon länger Radarsysteme, die den Abschuss von ICBMs orten können. Die Russen hatten beispielsweise eines, das wegen seiner markanten, nach einem Specht klingenden Klopfgeräusch-Störeinstrahlungen als "Russian Woodpecker" bekannt wurde. Das Radar-Array dafür stand in Tschernobyl. Ja, dem Tschernobyl. Und war der wichtigste Energieabnehmer des Kernkraftwerkes, das dann geplatzt ist. Das hat damals zu spannenden politischen Verwicklungen geführt, weil die Amis das wussten, und sich Sorgen machten, die jetzt blinden Russen könnten möglicherweise am roten Knopf nervös werden und versehentlich einen atomaren Holocaust auslösen.
Der Punkt ist jedenfalls: Orten (mehr oder weniger gut) kann man das schon länger. Aber das Abfangen ist nicht so einfach, denn die Raketen sind nur am Anfang (so schnell kommt da nicht hin) und am Ende innerhalb der Atmosphäre, und damit für konventionelle Abfangraketen erreichbar. Daher fokussierten sich Gegenmaßnahmen lange auf den letzten Teil der Flugbahn, aber da kann man dann eben auch wieder Gegenmaßnahmen machen. Man kann z.B. MIRV machen, d.h. da ist nicht nur ein Sprengkopf drin, sondern sagen wir mal acht, und die spalten sich kurz vor dem Ziel auf. Reicht ja, wenn einer durchkommt. Oder besser noch: Man macht die selbstlenkend und lässt die ein paar chaotische Kursanpassungen machen kurz vor dem Ziel. So richtig wie eine sichere Nummer sah das daher nie aus, nur in der letzten Phase eine Abwehr zu haben.
Daher jetzt diese Abwehr-Technologie, die die ICBM in der Mitte der Flugbahn abfängt. Dafür muss die Abfangrakete selber die Atmosphäre verlassen, und das ist hinreichend schwierig, dass das erst jetzt, 2017, zum ersten Mal geklappt hat.
Das könnte jetzt einen neuen Rüstungswettlauf mit den Russen lostreten. Denn deren rationale Reaktion in der Kalter-Krieg-Denke wird sein, erstmal entsprechend mehr ICBMs zu haben, als die Amis Abfangraketen bauen können. Und natürlich werden die auch an sowas bauen, klar.
New hotness: Bahn hat im Sommer Ausfälle wegen Schnee und Eis.
Mister Freeze strikes again!
Es war nur eine Frage der Zeit, bis The Onion ins Leak-Business einsteigt, und zwar gleich fulminant mit den Trump Documents. Besonders die Presidential Briefings sind ein toller Einstieg :-) (Danke, Carsten)
Jetzt bei #covfefe habe ich mal drauf geachtet, und jede fucking einzelne verpisste Zeitung in diesem Land hat "berichtet". Klar, das kann ja auch jeder, auf Twitter ein paar witzige Tweets zusammenkopieren. Da braucht man keine Ausbildung für. Das kann der Praktikant machen. Der Spiegel, die Welt, die Zeit, die Süddeutsche, die FAZ! Sogar die NZZ!!
Huxley hatte Recht. Orwell hatte auch Recht. Aber Huxley hatte halt auch Recht. Meine Fresse. Die Presse macht nur noch Twitter-Berichterstattung. Ich schäme mich ein bisschen.
Na klar! Man zwingt Arbeitslose zum Aufräumen. Völlig überraschend kommt die Idee von einem CDU-"Politiker".
Wieso nennen wir das eigentlich bei Hartz-IV-Empfänger "Langzeitarbeitsloser" und bei Herrn CDU-Politikern "Landrat", wenn jemand auf Kosten des Steuerzahlers jahrelang dahinvegetiert, ohne für die Gesellschaft eine messbare Leistung zu erbringen? Wenn ihr mich fragt, kann der Landrat gerne selber Hand anlegen. Kann er mal zeigen, dass er sein Gehalt zu Recht kriegt.
Ohne da jetzt irgendwelche Details zu kennen: Wow.
Innerhalb kurzer Zeit seien etwa 300 Menschen zusammengekommen, so die Polizei. Einige warfen unter anderem Flaschen und ein Fahrrad auf die Beamten. Laut Bayerischem Rundfunk (BR) setzten die Polizisten Schlagstöcke und Pfefferspray ein. Die Auseinandersetzung dauerte mehrere Stunden.So viele Freunde muss man erst mal haben im Leben, dass sich 300 Leute für einen eine Schlägerei mit der Polizei liefern!
Ich freu mich schon, denke mir, die haben erkannt, dass eine freie Presse in einem Land mit Quellen-TKÜ keinen Quellenschutz mehr bieten kann, und dass freie Presse eh nur denkbar ist, wenn der Staat oder Unternehmen nicht unter dem Deckmäntelchen der Hassrede-Bekämpfung Zensur durchführen.
Die schlechte Nachricht: Darum geht es denen gar nicht. Also so überhaupt nicht.
Nach künftiger Gesetzeslage könnten die Bibliotheken Bücher nach Belieben einscannen und für Forschung und Lehre 15 Prozent davon anbieten, und zwar, ohne eine greifbare materielle Entschädigung zu bieten. Welcher Anreiz für Verlage dann noch besteht, Lehrbücher und Zeitschriften zu verlegen, die hinterher in wesentlichen Teilen zu verschenken sind, lässt der Entwurf offen.Das ist bloß mal wieder das übliche Geheule aus der Leistungsschutzrecht-Ecke.Der Gesetzentwurf geht aber noch einen Schritt weiter und erlaubt es einem jeden, einzelne Zeitungsartikel der Allgemeinheit zu Bildungszwecken kostenlos zur Verfügung zu stellen. Anders als für wissenschaftliche Publikation, die der Staat teilweise selbst finanziert, dürfen diese Zeitungstexte vollständig benutzt werden.
Ich finde ja sehr geil, wie er erst den deutlich krasseren Eingriff zitiert, und dann den Teil bringt, der ihn betrifft, und davor ein "Der Gesetzentwurf geht aber noch einen Schritt weiter" packt. Ja OK, die da hinten werden standrechtlich erschossen, aber mir will jemand die Bio-Kaffeesahne wegnehmen!1!
Ich finde das im Übrigen völlig in Ordnung, wenn Zeitungsartikel zu Bildungszwecken verbreitet werden dürfen. Solange ausgeschlossen ist, dass da jemand Werbung dran tut oder sich dafür bezahlen lässt? Und dass das Bildungssystem Bücher kopieren darf, finde ich geradezu selbstverständlich. Und wenn dann die Verlage keine Bücher mehr drucken, fände ich das auch gut. Dann macht das einmal jemand ordentlich und gemeinfrei, wie es sein sollte. Ich bin auch ein Freund von der Idee der gemeinfreien Schulbücher.
Update: Ich würde ja wirklich gerne mal wissen, wieviel Kohle die Verlage über ihre Archiv-Zugriffe machen. Ich kann mir irgendwie nicht vorstellen, dass da erwähnenswert Geld zusammenkommt.
President Trump has a magnetic personality and exudes positive energy, which is infectious to those around him. He has an unparalleled ability to communicate with people, whether he is speaking to a room of three or an arena of 30,000. He has built great relationships throughout his life and treats everyone with respect. He is brilliant with a great sense of humor … and an amazing ability to make people feel special and aspire to be more than even they thought possible.
Nun, Heiko Maas, wenn er nicht gerade damit beschäftigt ist, Internetzensurinfrastruktur für die nächste Merkel-Durchregierung und deren totalitäre Nachfolger zu schaffen (wir erinnern uns hoffentlich noch alle an das Gefühl, als Obamas Totalüberwachungs- und Drohnenmord-Infrastruktur plötzlich in den Händen von Donald Trump war), dann bereitet er unter höchster Geheimhaltung ein Gesetz vor, das Quellen-TKÜ für den gesamten Straftatenkatalog freischaltet.
Ihr denkt, ich übertreibe? Die Datenschutzbeauftragte des Bundes hat davon aus den Medien erfahren. Und die Medien hatten das, weil Netzpolitik.org das geleakt hat. Sonst wüssten wir da heute noch nicht von.
So, meine Damen und Herren, werden im Maas-Ressort Gesetze gemacht.
Wie macht man so ein Gesetz so, dass das keiner merkt? Gesetze werden doch halbwegs offen diskutiert und vorbereitet, da kann man doch gar nicht wirklich solche Klopper verstecken?
Nun, von Trump lernen heißt siegen lernen! Wie Trump das mit seinem "Gesundheitsgesetz" gemacht hat, so operiert Heiko Maas bei uns. Dieser ganze Scheiß kam über einen Änderungsantrag in letzter Minute dazu, nachdem das Ding im Grunde schon durchverhandelt war. Und so wird das jetzt vermutlich wie bei Trump von Abgeordneten abgestimmt, die das gar nicht gemerkt haben, was ihnen da untergeschoben wurde.
Nana, denkt ihr euch jetzt vielleicht, das ist betimmt ein bedauerlicher Einzelfall und ansonsten ist der Maas nicht so übel. Doch, ist er. Der Einsender erklärt:
Das erinnert an die Frechheit beim netzDG, wo sie den Entwurf den Interessenverbänden geschickt haben mit Deadline für Stellungnahme. Dann haben sie aber einfach weiter an dem Gesetz gearbeitet vor Ablauf der Frist, und alle Stellungahmen waren damit outdated und bezogen sich auf die falsche Version des Gesetzesvorschlags.Die beste Demokratie, die man für Geld kaufen kann!Das ist wirklich krass, was bei Maas abgeht. Das würde man Trump nicht durchgehen lassen.
Received: from fsmsg0220.sp.f-secure.com (46.228.130.170)
by ptrace.fefe.de with SMTP; 30 May 2017 23:42:12 -0000
Subject: RE: Urgent
X-Proofpoint-SPF-Result: softfail
X-Proofpoint-SPF-Record: v=spf1 mx a a:spf.protection.outlook.com
a:fsmsg0219.sp.f-secure.com
a:fsmsg0220.sp.f-secure.com ~all
X-Proofpoint-Spam-Details: rule=notspam policy=default score=0 spamscore=0
suspectscore=0
malwarescore=0 phishscore=0 adultscore=0 bulkscore=0 classifier=spam
adjust=0 reason=mlx scancount=1 engine=8.0.1-1703280000
definitions=main-1705300429
You have been picked for a $47M USD confidential business proposal, email
(chaofang@rogers.com) for more details
Die Doppelpackung Schlangenöl! F-Secure verkauft "Antivirus"-Schlangenöl und die setzen anscheinend erfolglos dieses Proofpoint-Schlangenöl für die Spambekämpfung ein. Laut Wikipedia gegründet von einem Schlips von Netscape Communications. Da weiß man, was man hat!
Update: Ich nehme kreative Ideen entgegen, was unter cov.fefe.de im Internet sein sollte.
Update: Oooohhh, der Original-Tweet ist weg. Dafür gibt es jetzt den hier. I'll take it!
Der nächste Schritt der Tintenstrahl-Mafia waren Patentklagen gegen die Nachbauindustrie. Und damit sind sie gerade vor dem Supreme Court auf die Fresse geflogen.
Es ging in dem Fall konkret um eine Konstellation, bei der der Drittanbieter die Cartridges im Ausland günstig gekauft und in den USA verkauft hatte.
Der offensichtliche nächste Schritt ist natürlich Region Codes, wie bei DVDs. Weil das da so ein krasses Erfolgsmodell war!1!!
AFAIK haben viele Druckerhersteller schon sowas. In EU-Druckern funktionieren dann auch nur EU-Patronen.
Wie konnte es dazu kommen?
Na so:
Seit seinem dritten Lebensjahr bekommt der Kleine nach Willen seiner Eltern keine Antibiotika mehr, offenbar wurde eine frühere Mittelohrentzündung homöopathisch behandeltUnd wisst ihr, wer die Familie findet, wer jetzt Schuld ist? Der "Arzt"!
Hätte uns doch nur vorher jemand gewarnt, dass AV-Engines die Angriffsoberfläche erhöhen!1!!
Das Tolle ist ja, dass ich nach Durchscrollen der ersten Seiten nicht sicher sagen bin, ob das ein echter oder ein Satire-Account ist. :-)
Das Emirat Dubai hat seinen ersten Roboter-Polizisten präsentiert. Bis 2030 soll eine erste Polizeistation ohne Menschen auskommen.Mit Foto des Robo-Cops!
Viel Spaß beim Anhören!
Paris mayor demands black feminist festival that 'prohibits' white people be bannedBonus: Der mayor ist eine Frau. Hier ist ihr Kritikpunkt:
dalgo said on Twitter that she firmly condemned the organisation “of this event, ‘prohibited to white people’”.Mit "nur für Frauen" kann sie leben, aber "nicht für Weiße" geht ihr zu weit, oder wie?
Hey, sehr gute Forderung! Kommt mir auch irgendwie bekannt vor :-)
New studies of Russian cosmonauts, held in isolation to simulate space travel, show that eating more salt made them less thirsty but somehow hungrier. Subsequent experiments found that mice burned more calories when they got more salt, eating 25 percent more just to maintain their weight.Aber nicht dass ihr jetzt alle losrennt und mehr Salz esst: Für den Blutdruck ist das immer noch schlecht. :-)
New hotness: Rowhammer gegen Flash auf SSDs.
Wir werden alle störben!
Serious problems with British Airways' IT systems have led to thousands of passengers having their plans disrupted, after all flights from Heathrow and Gatwick were cancelled.Soso, IT-Probleme, ja? Ich tippe: Nordkorea. Vielleicht Wannacry?
Ja, das 11. Gebot! Du sollst deinen Kirchentag selber bezahlen!
Es drängt sich wirklich der Eindruck auf, die haben die Snowden-Veröffentlichungen gar nicht inhaltlich wahrgenommen, nur "ein Verräter hat unsere Geheimnisse verraten".
Jedenfalls hat Jared Kushner den russischen Botschafter um eine geheime Leitung nach Moskau gebeten, damit man frei kommunizieren kann.
Lustigerweise war der Botschafter auch eher entsetzt von dem Vorschlag:
Kislyak reportedly was taken aback by the suggestion of allowing an American to use Russian communications gear at its embassy or consulate — a proposal that would have carried security risks for Moscow as well as the Trump team.Well yeah! :)Woher wissen wir denn das, werdet ihr jetzt fragen?
Na weil die Amis natürlich die US-Botschaft komplettüberwachen!
Ambassador Sergey Kislyak reported to his superiors in Moscow that Kushner, son-in-law and confidant to then-President-elect Trump, made the proposal during a meeting on Dec. 1 or 2 at Trump Tower, according to intercepts of Russian communications that were reviewed by U.S. officials.Besonders großartig daran:Current and former U.S. intelligence officials said that although Russian diplomats have secure means of communicating with Moscow, Kushner’s apparent request for access to such channels was extraordinary.D.h. die Russen haben ordentliche Kommunikationskanäle, aber haben dieses Detail lieber über die anderen Kanäle kommuniziert, damit die Amis davon Wind kriegen. Schlitzohren, diese Russen!1!!
Daher gucke ich so ein bisschen auf andere Sachen. Zum Beispiel dass die Polizei anlässlich des Kirchentags mal ordentlich Totalüberwachung anknipst. Money Quote:
Die Technik wird teilweise vom Veranstalter und einem Dienstleister gestellt. Am Alex filmt die Polizei mit eigenen, neu angeschafften Geräten. In allen Fällen planen die Beamten den Kameraeinsatz und sichten das Material live zur Gefahrenabwehr.Soviel zu den Beteuerungen des rot-rot-grünen Senats.
Übrigens:
Stadtweit wird zudem aus dem Hubschrauber und mobilen Einsatzwagen gefilmt.Oh, ach? Das sind diese nervigen Hubschraubergeräusche die ganze Zeit!
Und bei uns in der Pleite-Stadt Berlin wird bei sowas geklotzt, nicht gekleckert!
Am Breitscheidplatz kommt eine Panomera-Videotechnik zum Einsatz. Sie ermöglicht mehreren Personen den Zugriff aufs Videobild. So kann zeitgleich und parallel gezoomt und vergrößert werden.o_O
Na und wenn der rot-rot-grüne Senat so abgeht, dann könnt ihr euch ja selbst ausmahlen, dass in Sachsen-Anhalt auch wenig Zurückhaltung herrscht (Lutherstadt Wittenberg, wo der evangelische Kirchentag Abschlussgottesdienst macht).
Hier ist die Zeit zu ihm und die FAZ (beispielhaft für dpa-Abdrucker, die dpa-Meldung wird ihm aber nicht gerecht).
Wikipedia ist gut zu ihm, auch ihre Zusammenfassung seines bekanntesten Buchs lohnt.
Damit steht ja fast nur noch Henry Kissinger aus der Ära!
Drawing on the work of the late French philosophers Deleuze and Guattari, the objective of this paper is to demonstrate that the evidence-based movement in the health sciences is outrageously exclusionary and dangerously normative with regards to scientific knowledge. As such, we assert that the evidence-based movement in health sciences constitutes a good example of microfascism at play in the contemporary scientific arena.You had me at Deleuze :-)
Der Einsender vermutet die Russen, aber ich bin mir sicher: Nordkorea steckt dahinter!
Das Detail mit den fünf Mal gemeldet kommt vom üblen Boulevardblatt "Mirror".
Wo wir gerade bei Trump waren: Sein Meeting in Brüssel lief auch nicht so gut. Dabei waren auch die vorbereitet:
“Donald Trump had no idea of the economic weight of Belgium and even less of what the country represents for trade with the United States. Then he was introduced to the thing in a very visual way. But the president only gave vague attention to it.”Guck mal hier, in meiner linken Hand, ein roter Stift! Und hier, in meiner rechten Hand, ... *facepalm*Einen hab ich noch: Trump über Deutschland:
"The Germans are bad, very bad", sagte Trump. [...] "Schauen Sie sich die Millionen von Autos an, die sie in den USA verkaufen. Fürchterlich. Wir werden das stoppen."
Heute so: Die Polizei von Manchester gibt keine Details mehr an die Amis weiter, weil die bisherigen Details sofort zur Presse geleakt sind.
Die USA sind halt eine wahrhaft offene Gesellschaft! :-)
New hotness: Trump erzählt Duterte, dass die USA gerade zwei Atomuboote nach Nordkorea verlegt haben.
A call transcript between President Trump and Philippine President Rodrigo Duterte reveals that Trump boasted about two U.S. nuclear submarines near North Korea.Trump, who spoke by phone with Duterte on April 29, addressed the possibility of a strike on North Korea using the submarines. A transcript of the conversation was published by The Intercept.
Mich erinnert die ganze Geschichte an diese Meldung hier im Blog, den letzten Absatz dort.
New hotness: Mit bösen Untertiteldaten Rechner übernehmen!
Und auch das ist ein wunderschön stabiler Exploit ohne Offset-Raten, zumindest der Fix für xmbc handelt von ZIP-Archiven mit ../ im Dateinamen, wenn ich das richtig sehe. m(
New hotness: Remote Code Execution in Unix via SMB.
All versions of Samba from 3.5.0 onwards are vulnerable to a remote code execution vulnerability, allowing a malicious client to upload a shared library to a writable share, and then cause the server to load and execute it.Und da muss man noch nicht mal irgendwelche Offsets raten oder so. So schön stabile Exploits gibt es selten!
Update: Nächstes Bingofeld:
An der Identität des Täters gibt es der britischen Polizei zufolge keinen Zweifel mehr. Unter anderem sei ein Ausweis von ihm am Tatort gefunden worden.
Update: Noch ein Feld:
Es gibt Indizien, wonach er vor dem Anschlag nach Syrien gereist sein und Verbindungen zur Terrormiliz "Islamischer Staat" gehabt haben soll.
(Danke, Petra)
In dem Umfeld betreibt also Kushner ein paar Mietshäuser. Und zieht anscheinend systematisch seine Mieter über den Tisch, mit irgendwelchen sinnlosen Gerichtsverfahren wegen irgendwelcher Bullshit-Formaljuristereien, um ihnen selbst nach dem Auszug noch ein paar Dollar aus der Tasche zu ziehen. Als die Times sie gefragt hat, wie sie ihren Vermieter beschreiben würden, kamen so Begriffe wie: neglectful litigous slumlord :-)
Bonus: Die Mieter wussten gar nicht, dass ihr Vermieter der Schwiegersohn des Präsidenten ist.
Ooooooh das gibt Brandwunden in Redmond!
Interessantes Detail am Rande: Die Einbrecher waren immer Frauen. Begründung:
Mr Bergmann said the group used young women to carry out the burglaries because they were discreet and less likely to face jail.
Und neulich hat Österreich es gewagt, den verrückten Diktator vom Bosporus zu beleidigen, also hat jetzt ein Veto der Türkei Österreich von allen wichtigen Nato-Programmen ausgeschlossen.
Hey, mit so jemandem will man doch zusammenarbeiten!1!!
Wieso ist Deutschland eigentlich in der Nato?
Die besten Demokratie, die man für Geld kaufen kann!
New hotness: Starbug hackt den Iris-Sensor vom Samsung Galaxy S8.
The Trump administration has tried this a few times, sir. We actually vet these things.Doktor House bitte in die Brandwundenabteilung, Doktor House bitte!
“The zip file was sent with a highly personalized message which shows the hackers have very detailed insight into the panel’s current investigations structure and working methods,” read the email, which was sent on 8 May.Srsly? Spear phishing? Das funktioniert immer noch gegen euch Idioten?! Mann Mann Mann.Ach ja, hinter der Nordkorea-Wannacry-"Verbindung" stecken übrigens die Spezialexperten von Symantec. Ihr wisst schon, die, die bei der New York Times für Security zuständig waren, als die New York Times von den Chinesen gehackt wurde.
Candidates backing reform of Iran’s clerically overseen government swept municipal elections in Tehran, taking all 21 local council seats in the country’s capital while moderate President Hassan Rouhani won a second term in office, authorities said on Monday.Und zur Einordnung, wie bemerkenswert das ist:Their win in Friday’s election marks the first time reformists have gained total control of Tehran’s municipal council since such votes began in the Islamic Republic in 1999. Iranian media also reported similar big gains for reformists in other major cities.
Ja?
Dann aber nicht von US-Reportern, denn die waren nicht eingeladen. :-)
From Lebanon to Iraq to Yemen, Iran funds, arms, and trains terrorists, militias, and other extremist groups that spread destruction and chaos across the region. For decades, Iran has fueled the fires of sectarian conflict and terror.Das sagte er anlässlich des 350-Milliarden-Waffenverkaufs der USA an die Saudis. 2014 klang das noch anders. Oh, und 2016 auch. Und er hat sogar schon gehört, dass die Saudis hinter 9/11 stecken.Aber die Punchline:
As ever, for Trump, it is always, above all else, about the bottom line — his bottom line. The Saudi-bashing Trump sold an entire floor of the Trump World Tower to the Saudis for $4.5 million in 2001. And would it surprise you to discover that Trump also registered eight companies tied to hotel interests in Saudi Arabia in the midst of his Saudi-bashing presidential campaign?
New hotness: BND-Vorgänger schleust V-Leute beim NWDR ein (heute: NDR und WDR).
Unterlagen aus dem BND-Archiv, die dem Medienmagazin ZAPP vorliegen, klassifizieren "den NWDR als Gefahr für die Entwicklung einer gesunden westlichen Demokratie".Und WENN sich jemand mit der Entwicklung von gesunden westlichen Demokratie auskennt, dann ja wohl die ganzen Altnazis beim BND!!1!
Wobei, wartet, möglicherweise glaubt ja jetzt der eine oder andere von euch, es ginge hier darum, dass die Medien möglicherweise noch von Altnazis durchsetzt waren, und die Altnazis im BND ihre alten Kameraden aus dem NWDR rausoperieren sollten. Nein, nein, darum ging es nicht. Eher um sowas hier:
Gegenüber dem BND ordnete er Kollegen als Kommunisten ein und bestätigte damit die damals im BND vorherrschenden Vorstellungen. Aus den Dokumenten des BND geht hervor, dass der junge öffentlich-rechtliche Sender mit dem ehemaligen Widerstandskämpfer Adolf Grimme an der Spitze als "eine der Zentralen der kommunistischen Unterwanderung, eine Agentenzentrale" eingeschätzt wurdeALLES FIESE KOMMUNISTEN!!1!
Und zwar nicht nur ein bisschen kommunistischen, nein nein!
Sogar Funkverbindungen nach Moskau wurden NWDR-Leuten unterstellt. "Bändeweise solche Meldungen" habe er gelesen und sich gedacht, "das kann doch niemand geglaubt haben, so offensichtlicher Unfug ist das"Na aber hallo haben die das geglaubt!
Aber manchmal gibt es Ausnahmen. Da geht jemand los und tut etwas, das auch außerhalb des normalen Aktionsradius von einer Person Auswirkungen haben kann. Wir hatten auf dem 33c3 eine Filmvorführung von "National Bird", das war sowas. Eine vergleichsweise zierliche Journalistin, die vorher als Korrespondentin für NDR und CNN gearbeitet hat, hat sich eines Tages entschieden, dass sie die Drohnenmorde nicht mehr hinnehmen will. Sie hat sich eine US-Soldatin genommen, und ist mit der einfach so in die Drohnenmordgebiete in Afghanistan gegangen. Mehrere Whistleblower kommen zu Wort, und nach allen Kommentaren zu dem Film zu urteilen ist das ein zeitgenössisches Meisterwerk, eine Sache, bei der jeder von uns als erstes denkt: Whoa, die hat mal was gemacht! Geil!
Und der Film gammelt da jetzt in der Obskurität herum, lief auf ein paar Filmfestivals. Das mindeste, was wir jetzt alle machen können, ist dafür sorgen, dass sie dieses krasse Risiko nicht umsonst eingegangen ist. Sie und die Whistleblower natürlich. Ich will jetzt nicht ausführen, was ich gehört habe, was die für Drohungen ausgesetzt sind, das könnt ihr euch ja selber denken.
Jedenfalls, wer den Film sehen möchte, und dazu möchte ich alle Leser ausdrücklich aufrufen, der kann das in einigen Kinos im Lande tun. Viel weniger als ich gehofft hätte, aber hey, immerhin. Man kann, wenn man will. Ihr solltet die Chance nutzen.
The androcentric scientific and meta-scientific evidence that the penis is the male reproductive organ is considered overwhelming and largely uncontroversial. (Danke, Jens)
Und das Zynische ist ja, dass die NATO als Vorhut der US Army ja durchaus hauptsächlich aus Schwarzen und Latinos besteht, eben aus den Unterschichten, die sonst keine Chancen auf eine Karriere oder auch nur gute Ausbildung haben.
Allerdings … haben sie nicht mit Global Warming gerechnet und haben jetzt ein Flutproblem.
"Ich habe gerade den Chef des FBI gefeuert", sagte Trump der "New York Times" zufolge im Oval Office des Weißen Hauses zu Lawrow und dem russischen US-Botschafter Sergej Kislyak. "Er war verrückt, ein echter Spinner", sagte Trump laut einer Aufzeichnung des Gesprächs, das der Zeitung vorgelesen wurde. "Ich habe wegen Russland einen großen Druck verspürt. Der ist jetzt weg", sagte Trump demnach.Der musste also gehen, weil Trump mal vor seinen Chefs aus Russland protzen wollte, dass er alles im Griff hat. Wow.
Jaja. Ich weiß. Ich auch.
Stellt sich raus: Slashes in URLs are hard. Let's go shopping!
Aber die Botschaft verlassen kann er trotzdem noch nicht, weil jetzt die Frage ist, ob es einen Auslieferungsantrag der USA an UK gibt.
Update: Scotland Yard hat jedenfalls einen Haftbefehl für Julian Assange.
New hotness: BND-"Analyse" belastet Baschar al-Assad, dient als Begründung für Syrienkrieg.
Dass überhaupt noch irgendjemand irgendwas glaubt, das aus Richtung des BND kommt!
Da bekämpft schonmal der Patriarch Wannacry mit Weihwasser! (Danke, Christian)
Stellt sich raus, dass der vorher schon hätte verhaftet werden können.
Es sei ein neues Dokument aufgetaucht, das ihm bereits im November gewerblichen, bandenmäßigen Handel mit Betäubungsmitteln vorwarfJa, äh, warte mal, wieso wurde der denn dann nicht verhaftet?!
Jetzt werde geprüft, ob das Dokument im Landeskriminalamt möglicherweise vorsätzlich zugunsten Amris zurückgehalten wurde. Es seien bereits disziplinarrechtliche Maßnahmen eingeleitet worden.Oooooh, whut?
Und dpa sagt, es sei Anzeige wegen Strafvereitelung im Amt gestellt worden. Holla!
Und tatsächlich steigt Blackberry jetzt in den Schlangenölmarkt ein.
BlackBerry Ltd (BB.TO) is working with at least two automakers to develop a security service that would remotely scan vehicles for computer viruses and tell drivers to pull over if they were in critical dangerOh und aus der Ferne Updates einspielen kann der Service auch! Was der wohl noch so aus der Ferne einspielen kann, der Service? Ich meine wir reden hier von Blackberry.„Todesursache: Auf der Schlangenölspur ausgerutscht.“
Nachdem ein britischer Menschenrechtsaktivist im November bei der Einreise seine Elektronik herausrücken musste, sich aber weigerte, die Passwörter zu nennen, wird er nun angeklagt. Grundlage ist ein umstrittenes Anti-Terror-Gesetz.Das ist bemerkenswert, weil der Mann eben kein rechtloser Ausländer in den Fängen der Einreise-Willkür ist, sondern ein britischer Staatsbürger.
Noch ein zartes Pflänzchen der Hoffnung übrig?
Dem kann ich anhelfen. Ein Leserbrief kam noch rein.
eine kurze Anmerkung zum Laboralltag. Fefe meinte im Blog> Man hörte in letzter Zeit häufiger von irgendwelchen Spektroskopen an > Unis, von Steuersoftware für Großmaschinen. Na dann hängt die halt > nicht ans Netz.Dann sind die Dinger für uns ziemlich nutzlos. Diese Dinger dienen dazu Daten zu sammeln und an andere Computer weiterzuleiten… zur weiteren Auswertung, entweder später, oder sogar unmittelbar zur Prozesssteuerung.
Meßgeräte waren mit so ziemlich die erste Geräteklasse die eine Form von echter Vernetzung implementierten. Späte 1960er, IEEE-488/GPIB, ein Multi-Master-fähiger Bus. Da drüber fährt man üblicherweise ein ziemlich rustikales Protokoll (SCPI) das eigentlich auf OOB-Signaling für Fehler angewiesen ist.
Mittlerweile haben die Kisten alle IP und üblicherweise schickt man SCPI über einen unauthentifizierten, offenen TCP-Stream. Klar könnte man da ein TLS drüber stülpen. Aber die Leute die Meßgeräte verwenden, wollen die üblicherweise mit LabVIEW ansteuern (ein übelstes Stück Software dessen Update-Prozess mit Leichtigkeit jedes andere Produkt da draussen in Sachen Beschissenheit überbietet).
> Wenn die Funktionalität ohne Netzzugang nicht nutzbar ist,Die Dinger funktionieren wunderbar ohne Zugang zum Internet. Wenn man sich irgendwelchen DRM-Mist ans Bein binden will, dann läuft das in diesem Marksegment üblicherweise per SmartCards. Irgendwo innen drinnen gibt es einen Slot für eine SmartCard im SIM-Karten-Format, da tut der Hersteller eine Lizenzkarte rein und die regelt das.
Aber so richtig vom Internet abschotten kann man sie auch nicht. Das Problem mit internen Netzwerken und Firewalls habt ihr ja in Alternativlos 39 angesprochen. Und es ist nun mal sehr oft so, dass man die Dinger in einem internen Labornetz stehen hat, das aber über eine Firewall mit dem normalen Büronetz verbunden ist, damit man per Remote-Desktop nach dem Rechten sehen kann. Und natürlich auch, weil man auf den Geräten auch seine eigenen Programme laufen lassen kann, die man natürlich nicht auf den Geräten selber speichert, sondern auf einem zentralen Server. D.h. SMB ist üblicherweise auch notwendig, damit man vernünftig damit arbeiten kann.
Richtig krass ist es an Teilchenbeschleunigern. Da wird das Experiment aufgebaut, aber Strahlzeit bekommt man meistens erst viel später. Da sind einige Leute darauf angewiesen sich, teilweise vom anderen Ende der Welt, irgendwie Remote mit dem Experiment verbinden zu können um den Leuten vor Ort entweder mit Rat beiseite zu stehen, oder direkt Daten aufzunehmen. Das WWW (also HTTP) wurde nicht durch Zufall am CERN erfunden.
Oder man nehme Radioastronomie. Da werden Experimente einmal quer über den Erdball miteinander verschaltet; die Daten werden lokal aufgezeichnet, mit GPS-Timestamps versehen, aber die Steuerung erfolgt über das Internet.
Computer-Netzwerke waren schon immer lebensnotwendig für Experimentatoren.
> dann hättet ihr die halt nicht kaufen dürfen, ohne euch zu > versichern, dass da für Sicherheit gesorgt ist.Meßgeräte haben die Eigenschaft, dass sie üblicherweise sehr langliebig sind. In vielen Labors findet man Geräte die 15 Jahre oder älter sind. So lange die Hardware noch funktioniert gibt es einfach keinen Grund die auszutauschen.
Nimm zum Beispiel mal das DPO7104 das auf Windows-XP läuft. Das wurde, wenn ich mich recht erinnere, irgendwann so um 2005 herum angeschafft. Zu diesem Zeitpunkt war Vista noch Longhorn. Wenn man da den Hersteller fragt "Wie sieht es mit Updates aus?", kommt als Anwtort "das müssen sie Microsoft fragen."
Als wir letztes Jahr das LeCroy und das Keysight angeschafft haben war einer der entscheidenden Punkte im Anforderungs-Katalog der Ausschreibung, wie denn die Software-Wartungs-Strategie bezüglich Betriebssystem-Updates und dadurch bedingt notwendiger Anpassungen aussieht. Einer der Anbieter hat sich mit folgender Aussage komplett disqualifiziert:
"Falls das System durch Software-Update unbenutzbar wird, kann es mittels dem Acronis-Recovery-Image auf dem System in den Fabrikzustand zurückgesetzt werden." — Themaverfehlung, setzen, 6.
Von zwei anderen Herstellern weiß ich, dass denen Windows-10 die Haarpracht schon ins Mithrandir-Weiß hat ergrauen lassen. Die sind echt nicht "ammused" von dem was Microsoft da fährt. Andererseits können die auch nicht einfach auf Linux oder FreeBSD wechseln, weil um diese Geräte ein regelrechtes Ökosystem aus Ranzsoftware existiert, die nur auf Windows läuft: Matlab, LabVIEW (dafür gibt es zwar eine Linux-Version, aber die ist echt übel), Origin, usw.. Und die Leute wollen auch in 10 Jahren weiterhin ihre Legacy-Software verwenden können.
Ich denke Microsoft wird in den nächsten Jahren der komplette Embedded- und Meßgeräte-Markt wegbrechen. Microsoft wird es nicht jucken. Mit Konsumenten verdient man Geld, nicht mit wenigen großen Fischen.
Ein generelles Problem, gerade was Security und Updates angeht ist, dass diese Geräte auch oft in Langzeitexperimenten stehen die über Wochen oder Monate kontinuierlich Daten aufnehmen sollen. Wenn da ein automatisierter Updateprozess die Kiste unvermittelt herunterfährt, oder sonstigen Mist macht kann das ziemlich schlecht sein. Deshalb sind die automatischen Updates aus solchen Geräten üblicherweise ausgeschaltet.
Was die Sache mit den Treiber-Signaturen angeht und dass man das doch alles sicher portieren könne, das Treibermodell habe sich ja nicht geändert. Nun, teilweise machen die Hersteller von diesen Kisten echt schräges Zeug auf der Hardware-Ebene — Elektroingenieure halt — die auf der Software-Seite zu echt üblen Hacks führen.
Nimm z.B. mal diese Tektronix-DPO-Scopes. Ein Manko das digitale Speicheroszilloskope lange hatten war, dass diese mit Frequenz-Aliasing nicht gut umgehen konnten. Bei analogen Oszis verschmiert einfach nur der Elektronenstrahl auf dem Bildschirm, aber Digitale haben da lange Zeit einfach nur Signal-Müll angezeigt und so getan als wäre das richtig.
Tektronix hat sich dann gedacht: Hey, emulieren wir doch einfach den Elektronenstrahl. Dazu haben die dem Oszi einen zweiten Graphik-Chip (von ATI) eingebaut in dessen Speicher dann die Datenerfassunghardware direkt Pixelwerte hineinmanipuliert. Und dieser Speicher hängt dann irgendwie elektrisch an dem Speicher vom Hauptgraphik-Chip dran. Und entsprechend genau dafür ist die Software ausgelegt. Nun ist das Treibermodell für Graphik-Hardware einer der Teile von Windows der sich schon mehrmals geändert hat. Nicht unbedingt das was im Kernel passiert und auch das Userland ist recht konstant, aber die Schnittstelle zwischen Kernel- und Userland. Und diese Tektronix-DPO-Scopes haben sich das mitten hineingesetzt und wollen eine bestimmte API sehen. Nebeneffekt: Das Programm von denen ist knallhart auf XGA-Auflösung festgenagelt.
Keysight und LeCroy haben solchen Mist zum Glück nie gemacht. Und diese beiden Kisten haben sich auch problemlos updaten lassen. Die Tektronix-Scopes dagegen erfordern echt finsteres Voodoo; der XP-Patch von Microsoft funktioniert nur für SP3, aber das alte Tektronix-Teil verträgt kein SP3. Ich bleibe am Ball.
Was gesetzliche Regelungen angeht: Ich vertrete schon seit Jahren die Ansicht, dass Hersteller im Rahmen der Produkthaftung dazu verdonnert werden sollten für Produkte für die es offiziell keinen Support mehr gibt alle Source-Codes und Hardware-Programmier-Informationen herauszurücken. Keine Diskussion. Falls die Hersteller das nicht wollen, müssen sie halt langfristig Software-Support auf dem aktuellen Stand der Technik anbieten.
Der Fall, dass durch Insolvenz eines Herstellers dies nicht gegeben ist, ist denkbar gering. Die Zahl an relevanten Firmen im Meßgerätebereich kann man an 3 Fingern abzählen (binär) und sind auch Zulieferer für die Rüstung, dass die nicht so schnell verschwinden.
Wobei, Tektronix würde ich keine Träne nachweinen. Früher haben die echt geile analoge Oszilloskope gebaut, aber deren Digital-Scopes waren eigentlich immer eher so "meh". Die DPOs so von vor ca. 15 Jahren waren mal kurzzeitig cool, aber die dümpeln jetzt wieder so vor sich rum.
Was tun?
Na klar! Einfach so oft wie möglich seinen Namen in die Memos einarbeiten!
Ich mache mir Sorgen, dass sie bald eine Scheinbushaltestelle vor dem Weißen Haus installieren.
Update: Ein Leser aus der Schweiz sagt, auch UPC Cablecom schickt Warnungen per Post an ihre Kunden.
Wie, nicht. Habt ihr noch nicht gehört?
Ja, äh, das könnte daran liegen, dass es auch andersherum war. Eine Studentin hat auf ihren Partner eingestochen und musste nicht in den Knast, weil sie talentiert ist und das ihre Karriere beeinträchtigen würde.
Bonus: Sie möchte gerne Chirurgin werden.
Oh, und: Sie wird natürlich vom fiesen Patriarchat unterdrückt und daher ist das schon in Ordnung, wenn man mal ein bisschen um sich sticht.
She had had a very troubled life and was abused by a previous boyfriend, he said.Das ist dann natürlich etwas völlig anderes, das sehen sicher alle sofort ein. (Danke, Haiko)
Das ist genau das Szenario, das man für Geheimdienst-Infiltrationen immer andenkt.
Daher jetzt auch mal was Konstruktives. Eine Einsendung von Kris Köhntopp, wie man Rollout und Testing richtig macht.
Victim Blaming: »Patching is hard? Yes—and every major tech player, no matter how sophisticated they are, has had catastrophic failures when they tried to change something. Google once bricked Chromebooks with an update. A Facebook configuration change took the site offline for 2.5 hours. Microsoft ruined network configuration and partially bricked some computers; even their newest patch isn't trouble-free. An iOS update from Apple bricked some iPad Pros. Even Amazon knocked AWS off the air.«Ein Canary ist ein Kanarienvogel im Kohleminen-Sinn. Man schiebt die neue Version nicht gleich auf das ganze Rechenzentrum, sondern erstmal nur auf ein paar Kisten, und da routet man nur ein paar User hin. Und guckt, ob es platzt. Das ist an sich eine gute Praxis, aber man muss aufpassen, dass man das nur kurzzeitig macht. Ich habe schon Firmen gesehen, die praktisch permanent diverse Versionen parallel ausgerollt hatten. Das ist nicht gut.Wo ich arbeite haben wir dieselbe Beobachtung gemacht. Wir haben ein Outage Budget, d.h. wir messen die tatsächlichen Einnahmen und vergleichen mit den vorhergesagten Einnahmen. Ist durch einen mißglückten Rollout ein Einnahmeausfall zu verzeichnen, buchen wir das vom Outage Budget ab.
Wir versuchen das so gut als möglich zu treffen. Wenn wir mehr Outage als geplant haben, ist das zu viel Risk Taking, wenn wir zu wenig Outage hatten, ist das nicht genug Risk Taking und wir sind zu langsam und complacent.
Häufige Rollouts sind kleine Changes und die sind viel besser zu kontrollieren als große unübersichtliche Changes. Daher versuchen wir, so oft als möglich einen Rollout (== Patch) zu machen und so die Patches möglichst klein zu halten.
Wenn wir Rollout-Probleme haben, dann meist in den Subsystemen, die wir nicht oft genug ausrollen und in denen dann sekundäre Changes (== Library Changes, die mit sich schneller ändernden Systemen geteilt werden) den Rollout zerknallen. Die Lösung ist für uns, so was auch dann auszurollen wenn sich im Code selbst nix geändert hat (also Dependency-Änderungen auszurollen).
Alles in allem ist das eine sehr anschauliche Darstellung von Technical Debt: Je größer der Diff zwischen ausgerollt und trunk ist, um zu wahrscheinlicher ist es, daß Trunk in Production explodiert.
Um Patching sicher zu machen, muß man es oft tun.
Wenn man oft patchen möchte, müssen Patches und deren Rollouts ein Operativer Prozeß und kein Upgrade-Migrationsprojekt sein.
Wenn Rollouts ein operative Prozeß sein sollen, dann muß man Testen in der Produktion sicher und überlebbar machen.
Um Testen in der Produktion sicher zu machen, muß man:
- das Austeilen von Code und die Aktivierung von Code trennen, also Feature Flags und Experiments einführen,
- sich ändernde persistente Datenstrukturen doppelt führen (alte und neue Version gleichzeitig und parallel aktualisieren, sodaß alter und neuer Code coexistieren können).
- Reporting und Monitoring exzessiv ausbauen und den Monitoring Lag (Event Timestamp vs. Timestamp in dem das Event im Monitoring auf dem Operator Screen sichtbar wird) mitloggen und Anzeigen ("Monitoring Framerate einblenden")
- und den Leuten klar machen, daß es wichtig ist, eine Fehlerkultur zu etablieren ("blameless postmortem" einführen und durchsetzen).
- Canaries
- Overcapacity
- nur 2 Versionen aktiv zur Zeit (also nicht drei- oder mehrphasige Rollouts laufen haben)
Alles kein Hexenwerk eigentlich.
Overcapacity heißt einfach, dass man nicht am Limit fährt mit seiner Hardware, damit man eine Performance-Regression zur Not mal kurzzeitig abfangen kann.
Stört euch bitte nicht an dem Denglisch, das ist in der Ops-Abteilung von internationalen Firmen durchaus normal :-)
Update: Kris hat das auch in sein Blog getan und verlinkt dort auch ein paar Vorträge, die er in dem Bereich gehalten hat.
MS hat seit dem letzten W10 update delta updates, sie nennen es UUPEin zweiter Leserbrief beschreibt die Situation im Digital Signage-Markt:
blogs.windows.com
blogs.windows.com
wenn ihr schon so nett fragt kann ich ja mal ein paar Zeilen schreiben da ich beruflich so ein System entwickelt habe. 2010 brauchte ich einen neuen Job und wurde über einen ehemaligen Kollegen angesprochen ob ich nicht für eine Firma die Digital Signage macht ein Internet basiertes System neu entwickeln will.Ein Dritter berichtet auch aus dem Signage-Markt:
Das VB6 System das die Firma bis dahin bai knapp 1000 Kunden am laufen hatte war in die Jahre gekommen und etwas das über einen Browser von überall her steuern war dringend erforderlich.Wie man sich sicher denken kann lief die alte Software auf Windows also sollte die neue Software auch darauf laufen - hier also schon mal der erste Grund warum Digital Signage auf Windows läuft - weil Version N-1 das getan hat. Hinzu kam das der technisch Verantwortliche (der die VB6 Version entwickelt hatte) darauf bestand verschiedene Teile der VB6 Version weiterzuverwenden (U.A. einen Laufschrift Generator der dank V-Sync seiner Meinung "Broadcastqualität" hatte).
Den Kontrollserver durfte ich glücklicherweise als Linux System bauen. Der Windows-teil in in C# geschrieben.
Seit 2010 hat sich einiges getan auch hardwaremäßig und ich hatte versucht seit 2012 oder so die Client PCs durch etwas sinnvolleres wie einen Raspberry pi oder ein geeignetes Android System zu ersetzen. Leider war dafür nie Zeit bzw. die günstigere Hardware war nie ein genügendes Argument um die knapp 2 Monate in eine neue Player Software zu investieren. (Hier also Grund 2 - "Warum es funktioniert doch").
2013 wurde die kleine Firma durch eine Größere gekauft. Der Kollege der die VB6 Software geschrieben hatte verstarb plötzlich und die Firma wurde praktisch komplett aufgelöst und alle Mitarbeiter einschließlich des Geschäftsführers entlassen. Der einzige verblieben Mitarbeiter bin ich. Das Produkt für Digital Signage in Apotheken wurde einer anderen Größeren Unterfirma mit 150 Mitarbeitern zugeteilt.
Meine neue Firma ist 100% Microsoft. Leute verwenden Windows 10 Handys hier. Ich denke das ist Grund 3 warum digital Signage auf Windows läuft - Die Funktionalität ist mittlerweile zu "klein" um das einzige Produkt einer Firma zu sein. Das heißt das diese Funktionalität als "Zugabe" zu anderer auf Windows basierter Software entwickelt wird. Und keine Firma die Windows Software baut verwendet dann Linux oder etwas anderes.
Damit ist allerdings auch die Zukunft klar - der Kontrollserver wird auf ein Windows System umgestellt. Ich denke ich werde mich nach einen neuen Job umschauen.
Die Frage "Warum ist bei DS Systemen das Update ausgestellt" hat auch ein paar Erklärungen- Digital Signage Systeme haben keine Benutzerinteraktion also fallen die häufigsten Infektionswege komplett weg - der Webbrowser und Email. Das macht es auch dank der Probleme in der jüngeren Vergangenheit mit durch WU installierte Popups (Windows 10 Nag und Office 356) einfach WU einfach auszuschalten weil wirklich die einzige Sicherheitslücke die das System überhaupt beeinträchtigen kann ein Remote Code Excecution Exploit ist - und die sind selten :/
Bei uns war WU standardmäßig angeschaltet. Es gab allerdings immer wieder kleinere Probleme mit den entsprechenden Blasen und Popups die manchmal hoch kamen - die Windows 10 Nagscreens und die Office 356 haben allerdings dafür gesorgt das Windows Update bei allen neuen PCs aus war.
Ich sehe das Nichtupdaten bei Anzeigetafeln und ähnlichem Bullshit (mir fallen Spontan einige Industriesteuerungen ein, die zwar unter Debian laufen, aber im Prinzip das gleiche Problem haben): Gut gemeintes Firewalling.Der nächste Beitrag ist kein Leserbrief aber passt gerade so schön…Diese Kisten erreichen alle anderen Kisten im LAN (müssen sie, denn ich muss die möglicherweise warten), aber nicht das Internet. Daraus folgt, dass die Dinger über die Existenz von Updates überhaupt nicht informiert sind! Jetzt reicht aber, dass eine blöde Kiste im LAN hängt und den Mist verbreitet und alle Kisten fallen um.
Ein ähnliches Problem betrifft Rechner, die (aus Sicherheitsgründen oder weil sie einfach nicht gebraucht werden), garnicht oft am Netz sind.
Ich bin im Übrigen ganz klar gegen Haftungsgeschichten, die haben nämlich schon den Schienenfahrzeugmarkt erfolgreich monopolisiert und zerstört.
Einen hab ich aber noch:
Ich arbeite in einer Organisation (stolz auf ihr HighTech-Image) in der die IT, dass volle Program der Schlangenbeschwörung durchzieht, das ihr skizziert habt. Patches testen bevor man sie ausrollt, kumulieren. Schlangenöl auf allen Rechnern, Internet über Proxy, Microsoft blacklisten für "pöse Websites" (da ist dann auch schon mal das nameserver-config-interface von Schlund gesperrt), you name it…Es hat mich echt überrascht, dass ich bisher intern von einem wannacry-Befall nichts gehört habe.
Ich selbst war lange IT-Leiter in einer grösseren Unterabteilung, mit viel spezial Krams für Geräteansteuerung. So wie ihr das beschrieben habt, nur noch gruseliger.
Diese Lösungen sind oft in-house gestrickt von Leuten, die schon längst in Rente sind und die laufen eben. Und wenn man sie anfasst, fliegt es einem um die Ohren. Die stammen aus einer Zeit, wo es ausschliesslich darauf ankam, das etwas ans Laufen kam. programmiert haben das Leute, die ihre Gehversuche mit FORTRAN gemacht haben. Irgendwann haben sie sich C oder gar C++ beigebogen, aber immer noch Spaghetticode gemacht.
Wenn du das anfassen willst, musst du es von Grund auf neu machen. Also gehst du zu deinem Management und versuchst, ein Budget zu bekommen. Wenn du Glück hast, bist du in ein paar Jahren!!! so weit, dass du deine Kisten mal upgraden kannst. Meist kriegst du aber kein Budget. Und für Security gibt es ja Schlangenöl.
Wer entscheidet in Organisationen über die Bugjets? Das sind Leute, die sich für sehr wichtig halten und die fest daran glauben, was immer zu entscheiden ist, besser entscheiden zu können, als so ein Techie mit seinem schmalspurigen Blick auf die Welt. Das gilt für Produktionsanlagen und gilt erst recht für IT, denn der Manager hat ja daheim selbst einen PC und daher kennt er sich in IT besonders gut aus. Welche Erfahrungen haben diese Typen gemacht? Wenn man updates einspielt, geht danach irgentetwas nicht mehr. Das legt eine Teilaufgabe lahm, kostet Zeit und ist ärgerlich. Updates verändern die Applikation, so dass irgendetwas liebgewonnenes nun nicht mehr oder anders geht. Firmen nutzen Updates, um den Nutzer zu entmachten (die Digikam erkennt plötzlich den Akku aus dem Zubehör und spielt nur nach mit Originalakkus. Der Drucker verlangt nach HP-Patronen.) Kurzum, in ihrer Welt sind Updates von übel. Und das Internet war ehrlich gesagt bis dato nicht wirklich so gefährlich, oder? Mein damaliger Boss hatte nie einen Virus. Er war immerhin clever genug, nicht auf jeden Scheiss zu klicken. Und Backups hat er auch. Diese persönliche Erfahrung bestimmt weitesgehend seinen Managementstil. Also kriegst du kein Budjet, denn an anderen Stellen in der Bude brennt es viel dringender. (Z.B. braucht man Juristen, damit einem nix angeflickt wird oder so ….. jedenfalls keine Scheiss-Updates.)
Nun komme ich zu dem entscheidenden Punkt: Ihr habt das T-shirt mit der Aufschrift "told you so" erwähnt. Wenn du als kompetenter Manager im IT-Bereich auf Risiken hinweist, ist das so lang o.k., wie du nach einiger Quälerei überzeugen kannst und das Budjet zur Umsetzung einer Maßnahme bekommst. Es ist unerquicklich, wenn du dich nicht durchsetzen kannst und du mit dem Risiko weiter leben mußt, weil dir per Order die Hände gebunden sind. Am schlimmsten ist aber, wenn du recht behälst. Vermutlich kannst du, wenn die Katastrophe eintritt sogar noch einen "cover-my-ass-letter" aus denm guten alten Leitzordner ziehen. Das machst du einmal, vielleicht zweimal. Sowas vetragen Manager gar nicht. Ich bin kein IT-Leiter mehr. Zum Glück war für mich das Arbeitsrecht noch so hart, dass ich eine Weile gemütlich auf dem Abstellgleis verbringen durfte und in ein paar Monaten in Rente gehen werde.
Was wir verbreitet in allen Industrien haben, ist eine Managementkrise. Es ist nicht wirklich wichtig für die Zukunft zu denken. Wichtig ist, die Dinge so zu verwalten, dass man nicht persönlich zur Rechenschaft gezogen wird. Das was Gunther Dueck so treffend die anonymisierte Verantwortungslosigkeit nennt. Diese Art von Entscheidungkriterien betreffen auch die Securityfrage. Aber das war bisher eine winzige Baustelle im Vergleich zu anderen Ecken, wo mit dem Feuer gespielt wird.
Zurück zu wannacry. Das einzig wirklich neue ist die Erkenntnis, dass einem so ein Angriff potentiell so abschiessen könnte, dass man nicht mehr auf die Hufe kommt. Da ist er in der öffentlichen Warnehmung der erste Fall. (Falls er überhaupt so wargenommen werden wird. Was sind schon ein paar Krankenhäuser!)
Anscheinend geht dann Single-Sign-On mit Sophos UTM nicht mehr (UTM steht für Unified Threat Management und sieht so aus).
Aber macht euch keine Sorgen, denn Sophos erklärt in diesem Webinar, wie man sich mit mehr Schlangenöl schützt. Schon der Name des neuen Schlangenöls überzeugt auf ganzer Linie! "Intercept X"! Nicht etwa "Intercept I" oder "Intercept IV", nein, X! (Danke, Jürgen)
Da hat sich der Plot nochmal weiterentwickelt. Erstens habe ich eine Mail von einem Redhat-Ingenieur gekriegt, der anscheinend an der Stelle zuständig ist. Der hat sich erstmal über mein "Hipster-Bullshitbingo-Startup-Klitsche" totgelacht (ein Ami, wohlgemerkt), und dann gemeint, dieser Allokator sei ja seit vielen Jahre gar nicht mehr standardmäßig aktiv, und im Übrigen gebe der den Speicher ja schon frei, aber halt nicht ans Betriebssystem.
OK, also das mit dem Betriebssystem hatte ich auch so verstanden, und ich glaube auch ihr hattet das so verstanden, aber wenn der nicht standardmäßig aktiv ist, wie kann dann dieser ursprüngliche Blogpost behaupten, wenn er die magische Environment-Variable setzt, dass das Problem dann weg geht? Und ich hatte auch ein-zwei Leserzuschriften gekriegt, die bei ihren länger laufenden C++-Projekten die Environment-Variable gesetzt hatten, und der Speicherbedarf ging runter. Wat?
Ich klicke also nochmal auf den ursprünglichen Link und finde da ein Update vor, am Ende.
The plot thickens. I've received several messages from people claiming the likely problematic C++ allocator, known as mt_alloc, hasn't been the default for a very long time and isn't in CentOS 7. To investigate I tried doing a string search of all binaries in /lib, /usr/lib, /lib64, etc., for "GLIBCPP_FORCE_NEW" and "GLIBCXX_FORCE_NEW" and variations thereof and… came up empty.Yet setting this environment variable makes the problem go away. I repeated the test and confirmed. Then I tried stupid things like setting "GLIBCXX_FARCE_NOO" and no, the problem remains.
Hahaha, lolwut?! Welcome to the Twilight Zone!Da sieht man mal wieder: Software Engineering is hard.
Aber auf jeden Fall ist es mir natürlich eine besondere Freude, dass auch der Typ sich explizit über "Hipster-Bullshitbingo-Startup-Klitsche" amüsiert hat. :-)
In diesem Sinne: Viel Spaß beim Hören!
IP-Adressen sind aus dem Internet nicht mehr wegzudenken.In der Tat! (Screenshot)
Ich halte das ja für ein Sturm im Wasserglas, denn der Präsident ist im US-System der oberste Arbiter darüber, was geheim ist und was nicht. Wenn Trump also irgendwas versehentlich oder absichtlich ausplaudert, ist das damit automatisch declassified. Geheimnisverrat ist die eine Sache, die man Trump also nicht vorwerfen kann.
Allerdings kam dieses Geheimnis angeblich von den Israelis, und es könnte sein, dass er jetzt diplomatisch mit denen ein Problem hat. (Danke, Florian)
Israel, Iran, Jordanien, Türkei und Zypern bauen einen Teilchenbeschleuniger in Jordanien?
Nein, wirklich! Zwei-drei kleinere Set-Backs gab es auf dem Weg.
- For a start, Israel and Iran do not have diplomatic relations with each other and nor do fellow members Turkey and Cyprus
- At one point Iran was unable to pay its share because of international sanctions on banking
- Two Iranian scientists working on Sesame were killed in what the Iranian government said were assassinations by the Israeli secret service
- After a freak snowstorm, the Sesame roof collapsed leaving key components exposed to the elements
Aus ihrem Ankündigungs-Rundschreiben dazu:
In Argentinien sind 20 Millionen Hektar mit gentechnisch veränderter Soja bepflanzt. In Monokultur. Das Land wird mit Herbiziden, Insektiziden, Fungiziden und künstlichem Dünger überflutet. Argentinien hält den weltweiten Rekord, was den Verbrauch an Glyphosat angeht. Anfangs war das für die Landwirte, die Saatgutverkäufer und die Chemie-Konzerne ein Freudenfest. Allen voran: Monsanto. Heute ist das Modell Monsanto gescheitert. Nicht für die Investmentfonds, aber für die Landwirte vor Ort und für die Verbraucher in den Städten. Heute ist die Krebsrate in den Soja-Anbaugebieten zwei- bis dreimal höher als in der Stadt. Riesige Landesteile sind überschwemmt, weil der Boden die Niederschläge nicht mehr aufnehmen kann. Und was die Lebensmittelindustrie von diesen Feldern in die Supermärkte bringt und exportiert, ist giftig.So gehet denn hin und gucket euch den Film an, und wenn ihr ein paar Euro übrig habt, dann spendet sie Gaby, auf das sie noch mehr Filme drehe!Ich habe diesen Film ohne finanzielle Hilfe angefertigt, für Spenden bin ich dankbar. Vor allem aber bitte ich Euch, ihn zu verbreiten. Die Zulassung von Glyphosat in der EU läuft dieses Jahr aus, und Monsanto unternimmt alles, um ein Verbot zu verhindern. Zeigt diesen Film, wo immer es möglich ist.
Update: Ein Leser merkt an, dass die Kontodaten am Ende falsch sind. Da steht:
DE53.1155.0192.0743.00
DE53.2004.1155.0192.0743.00
New hotness: Blood and Honour-Anführer in Deutschland ist V-Mann.
Unsere Nazi-Bedrohung würde sich wahrscheinlich spontan halbieren, wenn wir den Verfassungsschutz zumachen würden. Warum machen wir das eigentlich nicht einfach?
New hotness: Trump persönlich hat dem russischen Außenminister Geheimnisse verraten.
Almost one-third of new drugs approved by U.S. regulators over a decade ended up years later with warnings about unexpected — sometimes life-threatening — side effects or complications, according to a new analysis in the Journal of the American Medical Assn.Sportlich! Da will man doch mal hingehen, zur FDA, und die Leute fragen: Was machen Sie eigentlich beruflich?
Money Quote:
When I see, for example, that you’re making millions by laundering drug-cartel money (HSBC), or pushing bad paper on mutual fund managers (AIG, Bear Stearns, Morgan Stanley, Citibank), or preying on low-income borrowers (Bank of America), or buying votes in Congress (all of the above) – just business as usual on Wall Street – while I’m barely making ends meet from the earnings of my full-time job, I realise that my participation in the labour market is irrational. I know that building my character through work is stupid because crime pays. I might as well become a gangster like you.Update: Hups, war ein Dupe.
Wer das für absurd hält, soll mal Superdollar googeln.
Update: Medienkompetenzübung: Googelt die mal und lest ihren Twitter.
Apple ist im Vergleich zu Microsoft aus meiner Sicht deutlich schlimmer (allerdings ist das Beobachtung von außen, nicht von innen). Dass Apple-User nicht alle drei Sekunden von Ransomware ausgenommen werden, liegt eher daran, dass der Marktanteil zu insignifikant ist. Und dass die Kriminellen ihnen nicht zutrauen, Bitcoins zu überweisen :-)
Wow. So viel Kohle kann man aus einem Flüchtlingsheim raustragen!?! Sportlich!
Erstens: Gerade im Bahnumfeld gibt es harte Zertifizierungs-Zwänge, und eine Zertifizierung zertifiziert halt immer einen genauen Versionsstrang und da kann man dann halt nichts machen. Oh, und: Zertifizierung ist teuer und dauert Monate.
Tja, dann müssen wir da eben ansetzen. Dinge, die häufiger gepatcht werden müssen, als man nachzertifizieren kann, können dann halt kein Zertifikat kriegen. Wir müssen endlich Security als Teil von Safety betrachten.
Und zweitens: Das Patch Management der Hersteller ist auch Scheiße. Leute schrieben, dass Windows Update gerne mal hängt, das man tage nach dem Patchday noch nichts angeboten gekriegt hat, usw. Das stimmt alles und ist eine Riesensauerei. Insbesondere da man heute davon ausgehen muss, dass es unter 24h dauert nach der Verfügbarkeit von einem Patch, bis der Exploit dazu reverse engineered wurde. Wenn also das Patch-Verteilen länger als 24h dauert, ist es zu langsam. Das ist eine harte Grenze. Ich würde sogar "die Welt muss die Patches innerhalb von 12h haben" sagen. Da muss Microsoft halt in bessere CDN-Infrastruktur investieren, wenn sie die Load nicht hinkriegen.
Drittens: Neuronale Netze sind ja gar nicht so undebugbar. Ich zitiere:
die Aussage, dass wir nicht verstehen wie Neuronale Netze, Reinforcement Learning etc. ihre "Magie" wirken stimmt nicht so absolut. Das Feld ist zwar gerade noch im kommen, aber Paper wie dieses hier (was versucht CNNs auf Wavelet Filterbanken zurückzuführen), dieses (was ein RNN analysiert und dort ein "Sentiment Neuron" findet) und die bereits von dir verlinkten adversarial input paper zeigen, dass wir es eben doch verstehen können. Das verstehen und erklären warum die Modelle funktionieren ist ein aktives Forschungsfeld, und die zugrunde liegende Mathematik wird immer verstanden.Richtiger wäre es also zu sagen, dass die ganzen Machine Learning Ansätze instant-technical debt oder instant bloat sind. Wenn in einer Firma oder einem Software System nicht auf einen guten Prozess geachtet wird, ist es sehr schnell unmöglich (oder zumindest sehr teuer) den Code und alle Interaktionen zu verstehen. Vor allem bei den ganzen Compile-to-X Sprachen, dynamisch getypten Sprachen (NodeJS :-/) und Distributed Systems ist man von der Komplexität her schnell bei dem eines DNN. Der Unterschied ist, dass zumindest am Anfang jemand das ganze designed hat damit es läuft, und das organische im Nachhinein kommt wenn sich die Aufgabe verändert. Bei NNs ist das erschaffen organisch, das verändern mit der Aufgabe ist eingebaut und es ist nicht *zwingend* notwendig es zu verstehen, weil man ja eh nur mit statistischen Garantien arbeitet. Daher wird auf die Analyse WARUM und WIE dein System funktioniert meist verzichtet.
Das Problem mit ML ist also dasselbe wie mit Software Pfuscherei im allgemeinen: Qualitätssicherung macht kein Geld, man kann sich noch besser mit "Act of God" artigen Ausflüchten vor Verantwortung drücken und daher gibt es keinen Anreiz dafür sicherzustellen, dass man weiß was da passiert.
Viel gefährlicher finde ich aber (abgesehen von der Tatsache dass AI das Missverhältnis zwischen Kapital und Labor noch mehr zum Kapital kippt), dass wir noch kein Äquivalent zur GPL für ML haben. Bei normaler Software kann dank RMS und Linus wenigstens 99% der Zeit den Code überprüfen, selber fixen und mich zum Teil auf eine Community verlassen. Bei ML Modellen ist die Software vielleicht noch MIT, die Architektur VIELLEICHT noch dokumentiert, aber weder die Hyperparameter, die genauen Tainingsdaten noch die "ah Sepp, mach da doch noch diese L2 norm drauf" gegeben. Reproduzierbarkeit, Überprüfbarkeit, Identifizierbarkeit? Nope. Es kommt jetzt zwar wenigstens langsam pretraining in den Mainstream (was die Modelle modifizierbar macht) und Google hat vor kurzem einen underrated Paukenschlag mit ihrem Privacy respecting Distibuted Training rausgebracht, der es vlt. möglich macht dezentralisierte Datensätze unter einer AGPL style Lizenz zu organisieren, aber ich sehe da noch einen harten Kampf auf uns zukommen. Tivoization wird nix dagegen.
Traditionelle Software wird entwickelt, konstruiert. Das ist am Ende eine Konstruktion. Wenn etwas fehlschlägt, kann man gucken, welcher Teil der Konstruktion das Problem war, und das reparieren. Man kann das debuggen.
Das ist bei Machine Learning nicht mehr so. Neuronale Netze sind nicht konstruiert, sondern werden trainiert. Wenn da was falsch läuft, dann kann man das nicht debuggen. Man kann nur nach-trainieren. Und läuft dabei Gefahr, bisher erlerntes wieder zu ent-lernen.
Nun kann man bei den ganzen Problemen, die wir mit Software haben, zu dem Schluss kommen, dass wir das alles so wenig im Griff haben, dass Debugbarkeit vielleicht eh nicht so wichtig ist. Ist eh alles ständig kaputt, und so. Dem würde ich gerne laut widersprechen. Das ist unser einziger Notnagel, der uns vom dem Abgrund fernhält.
Und es gibt noch einen weiteren Aspekt. Wenn wir ein neuronales Netz trainieren, und es ist besonders gut beim Erkennen von irgendwas, dann können wir davon nicht lernen, auch besser zu werden. Konstruierte Dinge kann man reverse engineeren. Neuronale Netze nicht. Die kann man nur anwenden und trainieren. Das ist alles.
Ich linke so gut wie nie auf den Technology Review, aber heute mache ich mal eine Ausnahme. Wir bewegen uns mit hoher Geschwindigkeit auf eine Zukunft zu, in der wir von Maschinen umgeben sind, denen wir nicht vertrauen können, und die wir nicht verstehen können. Der Zeitpunkt zum Kurswechsel ist jetzt.
[Bahnchef Lutz] betonte mit Blick auf den weltweiten Hackerangriff vom Freitagabend, das Unternehmen sei auf solche Bedrohungen vorbereitet. "Die Sicherheit des Bahnverkehrs war zu jedem Zeitpunkt gewährleistet." Es gebe schon seit längerem ein Cyber-Security-Team sowie Systeme zur Früherkennung. Darüber hinaus kündigte er eine Sicherheitsoffensive an.Ooohhhh, aaahhh, Sicherheitsoffensive! Da bin ich mal gespannt! Was will der Bahnchef denn tun, um in Zukunft massive Malware-Unterwanderung auszuschließen?
Kommt ihr NIE drauf!
Nach seinen Angaben sollen mehr als 7000 zusätzliche Kameras an mehr als tausend Bahnhöfen installiert werden.Kannste dir gar nicht ausdenken, sowas.
Laufen die Überwachungskameras eigentlich auch alle unter Windows und haben IP-Anschluss?
Ich hoffe, da hat die Bahn immer schön Schlangenöl ausgerollt!1!!
Finally, this attack provides yet another example of why the stockpiling of vulnerabilities by governments is such a problem. This is an emerging pattern in 2017. We have seen vulnerabilities stored by the CIA show up on WikiLeaks, and now this vulnerability stolen from the NSA has affected customers around the world. Repeatedly, exploits in the hands of governments have leaked into the public domain and caused widespread damage. An equivalent scenario with conventional weapons would be the U.S. military having some of its Tomahawk missiles stolen.Ganz langsam, Microsoft.Wer ist Schuld, dass es diese Lücke gibt? Ihr. Microsoft.
Wer ist Schuld, dass die Lücke jahrelang in der Codebasis verblieb? Ihr. Microsoft.
Die NSA hat die Lücke gefunden und nicht gemeldet. Ja. Sie haben sie absichtlich offen gelassen. Aber da könnt ihr nicht drauf zeigen, um die Schuld loszuwerden. Der Gaffer ist nicht am Auffahrunfall auf der Autobahn Schuld.
Ich sehe hier einen Hauptschuldigen und einen Nebenschuldigen. Der Hauptschuldige ist Microsoft, weil ihr die Lücke in den Code getan und jahrelang nicht gefunden habt. Ihr habt ein schlechtes Produkt ausgeliefert. Wenn hier jemand ganz klein mit Hut sein sollte, dann ihr.
Der Nebenschuldige ist der Endanwender, der seine Software nicht gepatcht hat. Und kommt mir nicht mit "aber aber in großen Unternehmen". Bullshit. Ein großes Unternehmen, das Patches nicht sofort einspielt, ist an den Folgen Schuld. Jeder hat immer irgendwelche Ausreden. "Aber wir mussten erst gucken, ob der Patch tut". Nein, musstet ihr nicht. Kein abzuwendendes etwaiges Problem durch einen Patch ist so schlimm wie Remote Code Execution mit Kernel-Privilegien. Nichts. Schaut mir in die Augen. Nichts. Nichts ist so schlimm. Wenn so ein Patch rauskommt, dann spielt ihr ihn ein. Fertig. Keine Diskussion. Kein Zurückhalten. Ihr spielt ihn ein. Sofort. SOFORT.
Und im Übrigen, wenn ihr da ausgelaufene Windows-Versionen ohne Support fahrt, dann gibt es genau niemanden, auf den ihr zeigen könnt. Das ist ein Risiko, das ihr sehenden Auges eingegangen seid. Das jetzt ist die Quittung. Ich habe NULL Mitleid.
Oh und wenn ihr das antike Windows einsetzt, weil es auf einem antiken 3rd-Party-Produkt ist, für das ihr keine Patches mehr kriegt, dann könnt ihr dafür auch sonst niemandem die Schuld zuschieben. Das Risiko hättet ihr halt nicht eingehen dürfen. Ich schlage vor, dass ihr jetzt zu dem Hersteller des 3rd-Party-Produktes geht und euch zivilrechtlich gütlich haltet. Das wird alles immer nur noch schlimmer werden, solange ihr diesen Teufelskreis nicht durchbrecht.
Man hörte in letzter Zeit häufiger von irgendwelchen Spektroskopen an Unis, von Steuersoftware für Großmaschinen. Na dann hängt die halt nicht ans Netz. Wenn die Funktionalität ohne Netzzugang nicht nutzbar ist, dann hättet ihr die halt nicht kaufen dürfen, ohne euch zu versichern, dass da für Sicherheit gesorgt ist.
WER SOLL DENN BITTE DEN DRUCK AUF DIE HERSTELLER AUSÜBEN, WENN NICHT IHR?! Das BSI?! Harr harr harr.
Sorry, aber mir platzt echt der Kragen bei sowas. „Alle sind Schuld, nur ich nicht.“ Das ist das Gegen-Muster zu „Alle sind doof, nur ich nicht.“ bei Schlangenöl.
Deren Aufgabe:
Turning hours of drone video into actionable intelligence is just the start for the fast-moving machine-learning team.Ja, richtig gelesen! Machine Learning gegen ISIS! Skynet, wir kommen!
Und die FDP hat 12,5%. Die FDP. DIE FDP!! So verzweifelt sind die Leute!
Jetzt steht da "Sophos understands the security needs of the NHS".
Wie das wohl kommt? (Danke, Eric)
Update: Hups, Tweet ist wieder weg. Mehr als den Tweet hatte ich auch nicht dazu.
Update: Lutz Donnerhacke dazu:
Der Killswitch ist kein Killswitch, sondern eine primitive Anti-Debug Maßnahme. In der Sandbox werden üblicherweise alle extenen Kommunikationen umgelenkt. Er testet also nur auf das Vorhandensein einer Analyse-Sandbox.
Zum Tweet ... Dort wurden verschiedene Teile der Malware miteinander verglichen, nicht verschiedene Versionen. Als er das nach einigen Minuten bemerkt hatte, hat er den Tweet gelöscht.
Empfehle doch allen Lesern, Resolverlogs und Firewalllogs nach der Domain oder deren Auflösung zu durchsuchen. Das zeigt auch inaktive Installationen.
Die Empfehlung reiche ich gerne weiter.
The second argument to InternetOpenA is 1 (INTERNET_OPEN_TYPE_DIRECT), so the worm will still work on any system that requires a proxy to access the Internet, which is the case on the majority of corporate networks.Einmal mit Profis arbeiten! Zu blöde zum Killswitch-Programmieren!1!!
Eine weltweite Cyberattacke hat teils gravierende Folgen bei Organisationen, Firmen und Behörden. In Deutschland ermittelt laut Bundesinnenministerium nun das Bundeskriminalamt, wer dahinter steckt.Na da bin ich mal gespannt.
Lacher am Rande:
"Die Regierungsnetze sind von dem Angriff nicht betroffen", hieß es.Das fände ich ja ausgesprochen überraschend. Auf der anderen Seite kann es natürlich sein, dass die Herren Abgeordneten und ihre Mitarbeiter Freitags ab Mittag schon gar keine E-Mails mehr öffnen, weil ja quasi schon so gut wie Wochenende ist.
Was Microsoft-Mitarbeiter in Seattle mit gebleachtem Filmstar-Lächeln und glitzernden Präsentationen vorstellen, wirkt, als würden sie unbekümmert Orwells 1984 zum zeitgemäßen Businessratgeber umfunktionieren. KI-Algorithmen tracken Patienten in Krankenhäusern, lückenlose automatische Überwachung am Arbeitsplatz sowie Deep-Learning-Tools, die Bewerber automatisch im Netz stalken und alle nur erdenklichen Informationen über sie zusammentragen und der Personalabteilung präsentieren.Auf DER Seite der Barrikaden werde ich jedenfalls ganz sicher nicht stehen. (Danke, Randolf)
"Sophos Web Protection" blockt die Killswitch-Domain für Wannacrypt. Das ist die Domain, die das Teil zu erreichen versucht, um zu gucken, ob er sich selbst umbringen soll. Die erreicht er dann dank Sophos wohl nicht und verbreitet sich doch weiter.
Und mir wollten die Leute auf der Heise-Show nicht glauben, dass Schlangenöl das Risiko sogar steigern kann.
Update: Auch Fortinet und Kaspersky finden die Domain böse.
Update: Ein Einsender schickt einen Screenshot, dass auch Cisco Ironport die Domain filtert. (Danke, Christian)
Ja?
Dann wird euch dieser Artikel wahrscheinlich Spaß machen. Money Quote:
„Herr Wendt ist eher ein lebendes Zeugnis dafür, dass wir dringend einen unabhängigen Polizeibeauftragten brauchen, an den Polizisten sich intern wenden können, um Missstände bekannt zu machen.“ Und: „Als Sachverständiger zu einem Thema, bei dem es um nicht weniger geht als die Etablierung einer institutionellen Fehlerkultur, hat sich Herr Wendt durch seine Affären gleich mehrfach diskreditiert.“ Die Union scheine „nicht erkannt zu haben, dass die Mitnahmementalität“ des Gewerkschaftschefs „dem Ansehen der Polizei insgesamt schadet“.Die Union hatte Wendt als Sachverständigen für eine Bundestags-Anhörung benannt.
Und die Punchline:
Security experts say the tool exploited a vulnerability that was discovered and developed by the National Security Agency of the United States.Voll die Security, die diese Agency schafft, wa?Und die Krankenhäuser sind nicht alles:
Hackers using a tool stolen from the United States government conducted extensive cyberattacks on Friday that hit dozens of countries around the world, severely disrupting Britain’s public health system and wreaking havoc on computers elsewhere, including Russia.Apropos Ransomware: Screenshot aus der S-Bahn Frankfurt.
Mir wird ja immer ganz schlecht, wenn ich mir vorstelle, wieviele Milliarden sinnlos als Lizenzgebühren für Windows auf solchen Info-Bildschirme ausgegeben wird.
Update: Ihr werdet jetzt sicher genau so schockiert sein wie ich, dass Virustotal eine 0% Erkennungsrate ausweist. Wie jetzt, Schlangenöl hilft nicht?! Fürs Archiv: Virustotal-Screenshot. Und wenn die AV-Hersteller wieder was von Behavior-Voodoo und Cloud-Magie erzählen, zeigt ihnen dieses Foto von einem Lab in einer Uni, bei der die Rechner der Reihe nach umkippen. Hier ist ein relativ apokalyptischer Feed. In Russland sind u.a. ne dicke Telco und das Innenministerium betroffen. Ja, äh, Leute, habt ihr alle noch nie von Patchen gehört!?
Hier gibt es übrigens Full Spectrum Cyber Pew Pew, falls ihr auf Wargames steht. Also den 80ies-Film jetzt.
Update: Bei diesem Dropper sehen die Erkennungsraten inzwischen schon besser aus, 32 von 62.
Update: Wer sein Full Spectrum Cyber auf wannacrypt eingeschränkt haben will: Übersicht.
Update: #ThanksObama!
Update: OH:
I can confirm FedEx was hit at an enterprise level. All computers to be shut down until Monday.
Ich bin mir fast sicher, dass Deutschland flächendeckend betroffen ist, aber alle schon im Wochenende waren, als die Fäkalien den Deckenventilator trafen.
Update: Diese Ransomware verbreitet sich im Intranet übrigens über die SMB-Lücke fort, die ich in den IoT-Folien als Belege dafür zitiert habe, dass die etablierten Sicherheitsexperten auch nicht wissen, wie man sichere Software schreibt. Das ist jetzt der 10. oder so Fall seit Anfang der Heise-Tour, dass eine Meldung kommt, die mir gerade zu 100% in die Argumentation passt. Ich fürchte mich gerade davor, da mein Karma auf Jahre hinaus verbraucht zu haben. Da muss ich dann wohl bald mal wieder einen Perl- oder PHP-Audit machen, um wieder Karma aufzubauen.
Update: Wannacrypt hatte einen DNS-basierten Kill-Switch drin. Der hat eine bestimmte Domain aufgelöst, und wenn die da ist, dann verbreitet er sich nicht weiter. Ein Typ hat das gesehen und die Domain registriert und da schlugen sofort tausende von Zugriffen auf.
Warum erwähne ich das? Nun, ihr werdet euch schon gedacht haben, wenn da irgendwelche Komponenten zusammengeleimt werden, das dann möglicherweise das Updaten unter den Tisch fällt. Hier hat mal jemand ein paar Electron-Apps untersucht. Ergebnis:
out of 98 top Electron apps, they averaged 145 known Common Vulnerabilities & Exploits each due to unpached versions of Chromium :-OSportlich! Selbst für übliche Webapp-Sumpfbewohner-Hipstermüll-"Anwendungen".
Gut, und es kann natürlich nur Gewinner geben, wenn sich sich Cloudflare mit Anwälten kloppt.
Stellt sich raus, dass die anscheinend ihren Datenreichtum mit der Welt teilen, indem sie einen öffentlichen API-Call haben, der einem Metadaten zu einer Telefonnummer meldet, ob man mit der schon Kontakt hatte oder nicht. (Danke, Roman)
Nach einer halben Stunde kommt dann die Fachkraft der Bahn und erklärt, WLAN bleibe heute aus, weil sich nämlich ein Hacker ins Netz der Bahn eingehackt habe, und daher sei das jetzt deutschlandweit abgeschaltet und sie dürften es auch nicht mehr anschalten.
Was war bestimmt dieser CCC Hannover!1!! Oder nee, warte, DIE RUSSEN!!1! Hat da etwa jemand seinen Antivirus nicht installiert gehabt?!
Update: Ein Einsender berichtet, dass auch bei der Lufthansa das Internet down ist.
Update: Der Zugführer sagt gerade durch, das WLAN sei in diesem Zug defekt, sagt nichts von Hackern oder deutschlandweit.
Update: Nach dem Umstieg in Göttingen hab ich wieder Internet. Und jemand mailte mir aus einem anderen Zug, dass Internet dort ging. Das "deutschlandweit" war also eine Fehlinformation.
Ich bemühe mich immer, alle angesprochenen Punkte auch explizit in den Folien zu haben, damit man die Folien auch ohne das Audio genießen kann. Das ist in diesem Fall weniger gut gelungen als sonst, an zwei drei Stellen fehlt Erläuterung. Der Punkt mit dem ISP bezieht sich darauf, dass einige Leute vorgeschlagen haben, die ISPs könnten ja Verantwortung für freidrehende IoT-Geräte ihrer Kunden übernehmen.
Aber ich denke mal, die wichtigen Punkte werden klar. Viel Spaß beim Durchklicken!
Update: Ein anderer Punkt, wo das gesprochene Wort fehlt, ist am Ende bei den Bonusfolien, der Vergleich von Machine Learning mit einem behinderten Kind. Da geht es mir nicht darum, zu sagen, ein Autist könne kein guter Schreiner sein, o.ä. (wie es ein Einsender befürchtet hat), sondern es geht darum, dass man im Machine Learning nur eine minimale Teilmenge lehrt. Einem Autisten fehlen vielleicht ein paar Prozent, aber einer KI fehlen eher so 90% oder noch mehr. Konzepte wie "Mensch", "Geld", "Betrug" fehlen. Damit sind so Schlüsse wie "der kauft gerade zum 100. Mal in Folge ein Ticket bei mir mit kleinen Münzen, der will mich vielleicht beschubsen" nicht drin. Das Beispiel ist ein bisschen unschön, das sehe ich auch, aber ich habe da Tage mit verbracht, da ein besseres zu finden, und fand keines. "Einen Roboter bauen" ist jedenfalls kein guter Vergleich, denn es geht an der Stelle gerade darum, dass das eben am Ende keine Maschine ist, bei der man Fehler finden, verstehen und reparieren kann.
Update: Oh, äh, ja, man muss Javascript erlauben für die Seite. Ist bei mir eher die Ausnahme. Falls jemand einen Weg kennt, wie ich die Funktionalität ohne Javascript hinkriege, bitte ich um eine Erklärbär-Mail. Und das "Pfeiltasten" meint die auf der Tastatur, da ist nichts zum Klicken. Und auf Tablets und so geht es auch nicht. Wollte ich bei Gelegenheit mal rausfinden, wie man das auf dem Tablet machen würde.
Vermutlich erstmals seit der Verschärfung des Sexualstrafrechts ist in Deutschland ein Grapscher verurteilt worden - er muss ins Gefängnis. Das Amtsgericht (AG) Bautzen verurteilte einen 27 Jahre alten Libyer am Mittwoch zu vier Monaten Freiheitsstrafe ohne Bewährung (Az. 40 Ds 530 Js 866/17).Na was meint ihr? Ist das eine angemessene Strafe? Wäre das genau so viel und auch ohne Bewährung, wenn das ein Brandenburger wäre und kein Libyer?
Update: Und was, wenn es eine Brandenburgerin wäre, die einem Mann an den Po grapscht? (Danke, Jens)
Der Angriffsvektor war in diesem Fall eine LVM2-Partitionstabelle, und darüber konnten die den Rechner des Forensikers mit dem Encase übernehmen. Encase sagt dazu:
"We are aware and appreciate the issues raised by SEC Consult. The exploit SEC Consult claims to have found is an extreme edge case, much like the theoretical alerts they tried to promote in November. As always, we continue to examine alerts when they are submitted and apply changes to our systems as necessary.[…]
The nature of our business is dealing with raw data, and that has risk. We will continue to modify our software as necessary to deal with the continually changing environment. If necessary, we will take action and inform our customers. We do not consider this claim to be serious and it will not impact the performance of our products."
Ja so ist das halt mit Software, das ist halt mit Risiken verbunden und so weiter.Wenn ich mit dem Schlangenöl der AV-Industrie durch bin, müsste als nächstes mal die Forensik-Branche in den Fokus der Aufmerksamkeit.
Oh, die theoretischen Lücken letztes Mal? Der Einsender fasst das so zusammen:
Sie haben gezeigt, dass man einen FTP Server auf dem Spurensicherungssystem aufsetzen könnte und ein krimineller extern dann belastende Beweise löschen könnte.Da weiß man, was man hat! (Danke, Jens)
Oh wie schön! Da krieg ich aus dem Stand gute Laune :-)
New hotness: Der hat nen Sandsack? Terrorist!
Bonus: Den Sandsack brachte er gerade zu einer akuten Flutgegend, um den Menschen dort zu helfen.
Der Verhaftungsort war auf der selben Straße wie der Zielort für die Sandsäcke.
Zweiter Bonus: Kanada, nicht USA.
Update: Achtung, Medienkompetenztraining! (Danke, Harald)
Frau von der Leyen hat ja aktuell ein paar Schwierigkeiten mit ihrer Truppe, hast du ja auch mitbekommen. Einer der neuen Skandale waren Funde von Wehrmachtsdevotionalien in Kasernenstuben in Donaueschingen und Illkirch. Jetzt wurde eine Durchsuchung aller Kasernen angeordnet, denn sowas geht ja nun gar nicht und ist bestimmt nur ein bedauerlicher Einzelfall.Ich bin mir sicher, dass die alles finden werden. Die finden ja immer alles. Alles finden die.Ich bin ja mal gespannt, ob sie etwas finden.
Das Bild stammt von der Hochstaufen-Kaserne in Bayern. Die hieß übrigens bis 2012 noch General Konrad-Kaserne. General Konrad war mit einer der übelsten Kriegsverbrecher und hat sich auf der Krim einen Namen gemacht.
09:23 ...> Gregory Mounier von Europol hat gerade erzählt, das sich die
Provider in Belgien verpflichten haben nicht mehr als 16 User
hinter eine 1 IPv4 per CGN zu packen.
09:24 ...> Aus Gründen der Strafverfolgung
09:24 :::> Ha! So kriegt man NAT natürlich auch kaputt.
09:24 ...> Seit dem haben die Provider wohl IPv6 eingeführt.Endlich IPv6 flächendeckend!1!!Update: Ein Einsender hat die Folien des Europol-Vortrags gefunden. Es gibt sogar ein Video des Vortrags (mein Internet ist hier gerade zu schlecht, um auf die Links zu klicken).
Alter Schwede ist das krass. o_O
Mit dem amtlichen Kennzeichen kann der sich im Web unauthentisiert die letzten 20 Positionen des Autos abholen. WTF!
New hotness: AVG-Werbung in Wien :-) (Danke, Daniel)
Ich persönlich rante ja seit gefühlt 10 Jahren über dbus, aber auf mich hört ja nie jemand, wenn noch Zeit ist, was nicht zu machen. Tja. Told you so.
Konkret ist da so ein System-Tray-Dingens bei, das auch auf bestimmte Sondertasten mancher Tastaturen reagieren soll, wie die Lautstärke-Regel-Tasten. Das haben die implementiert über einen Hook, und der kriegt dann natürlich alle Tastendrücke rein. Allerdings haben sie aus dem Treiber anscheinend die Debugging-Funktionalität nicht entfernt, und so fallen die Scancodes in einem Logfile im Dateisystem raus, auf das alle User Lesezugriff haben. JA SUPER!
Das sieht jetzt nicht wie böse gemeint aus, aber das finde ich an der Stelle kein relevantes Kriterium. Solcher Code wird von keiner Qualitätssicherung erkannt, und HP merkt jahrelang auch nichts sondern reicht das schlicht durch. Als ob die nicht zuständig wären, nur weil der Treiber von einem Drittanbieter kommt!
Oh und natürlich hat das auch kein Antivirus erkannt. Auch nicht die proaktiven verhaltensbasierten Module, mit denen sich die Hersteller gerade rauszureden versuchen, dass ihre Signaturen wertlos sind. Das ist jetzt keine klassische Malware, aber es ist ein schönes Beispiel, bei dem sich mal jeder Gedanken machen kann, was man von so einer verhaltensbasierten Malware-Erkennung eigentlich für eine Erwartungshaltung hat bzw. realistisch haben kann.
Update: Heise darüber
Aber das ist eine Grenzüberschreitung für mich. Ich würde mein Laptop nicht aus der Hand geben wollen. Gar nicht weil ich damit arbeiten will, sondern weil das Gepäck-Personal an Flughäfen häufig nicht gut bezahlt wird, weil eingechecktes Gepäck möglicherweise verlorengeht und nachgeschickt werden muss (und ich dann immer ein-zwei Tage früher anreisen müsste, um sicher arbeiten zu können in der vereinbarten Zeit), und weil ich dem Zoll und den Geheimdiensten nicht glaube, dass sie mein Laptop nicht verwanzen oder Malware einzubringen versuchen oder nen Backup der Platte ziehen oder so.
Update: Ein Erfahrungsbericht eines Einsenders:
eine kleine Anektode zu dem Laptopthema. Mir wurde vor einem halben Jahr auf einem innereuropäischen Flug mit Umsteigen der Privatlaptop aus dem aufgegebenen Gepäck gestohlen. Seither habe ich unzählige Emails an die beiden involvierten Fluggesellschaften geschrieben. Weder die eine noch die andere Fluggesellschaft will es gewesen sein (gehören beide zum gleichen dt. Mutterkonzern). Gebracht hat es mir bislang nichts, außer dass ich mich jetzt mit diversen Einrichtungen wie der SÖP (Schlichtungsstelle für den öffentlichen Personenverkehr) auskenne und weiß, dass das aufgegebene Gepäck nur bis zu EUR 1300 versichert ist. Das bekommt man also höchstens zurück, sollte das Gepäckstück verloren gehen oder in irgendeiner Art und Weise beschädigt werden.
Das reicht zwar für die meisten Laptops aber diese Höchstgrenze muss man auch erst mal kennen.
Junge Gegner der Regierung werfen seit Tagen mitunter auch mit Fäkalien, Exkrementen und Urin gefüllte Beutel und Flaschen auf Soldaten und Polizisten der NationalgardeAchtung: Der Bericht hat ein echt unappetitliches Bild als Opener.
Freut mich sehr, dass ich nicht mehr der einzige bin, der das so sieht und es auch öffentlich so ansagt.
Hier ist ein moderner Vorschlag: Man benutzt das Facebook-Werbenetzwerk-Targeting.
Nehmt Biometrie, sagten sie. Ist sicher, sagten sie. (Danke, Bernd)
Das ist eine lokale Privilege Escalation von root zu Kernel, d.h. in den meisten Fällen eher akademisch. Allerdings ist das möglicherweise durch Namespaces mancherorts trotzdem auch für Nicht-root zugreifbar? Bin ich mir gerade nicht sicher.
Mir ist bei dem Bug jedenfalls wichtig, dass er in vergleichsweise neuem Code ist. Häufig heißt es, der alte Code ist grausam und gruselig und höllisch, aber dem neuen Code vertrauen wird. Vertraut dem neuen Code nicht!
Gut, "neu" ist relativ. Der Bug ist ursprünglich von 2011, auch nicht sooo neu. Aber ihr wisst schon, was ich meine.
Update: Ein Einsender bestätigt, dass das per Namespaces auch für Nicht-Root zugänglich ist.
Richter Piendl erläuterte in der Urteilsbegründung, dass die Parole „Heil Hitler“ möglicherweise zwar „nicht gerufen“, aber zweifellos „laut gesprochen“ wurde, allerdings die für eine entsprechende Verurteilung nötige Öffentlichkeit nicht gegeben war. Außer den beiden habe sich nämlich niemand am Bahnhof befunden.Oh ach soooo! Das leuchtet ein. Nazi sein ist nur schlimm, wenn man Publikum hat. Das überlebt. Und danach vor Gericht aussagt.
Aber das nur am Rande.
Bisher war das ja nur so ne belanglose Konferenz aus belanglosen Leuten, die sich gegenseitig versichern, sie seien gar nicht so belanglos, wie es aussieht. Man habe ja "Projekte" und so. Ein Startup, gelegentlich! Man müsse nur noch die Finanzierung klären, dann sei das Ding so gut wie in trockenen Tüchern!
Aber dieses Jahr … dieses Jahr war anders. Da haben sie Rubikon überschritten. Sie haben die Bundeswehr auf das Gelände gelassen. Die wollte einen Stand haben, um unter den minderbemittjährigen Teilnehmern zu rekrutieren. Zur Überraschung der meisten Beobachter, mich eingeschlossen, war die Reaktion nicht, dass sie sofort aus dem Zimmer gelacht wurden. Nein. Die Orga der "Konferenz" hat da ernsthaft drüber nachgedacht. Es brauchte einen Aufschrei der Basis, um das in letzter Minute zu verhindern, hörte ich. Der Tagesspiegel behauptet:
Einerseits wollte man dem Militär keine Werbefläche bieten. Andererseits sahen die re:publica-Planer ein, dass auch die Bundeswehr fähige IT-Kräfte braucht. Zum Beispiel, um im Ernstfall Hackerangriffe gegen Atomkraftwerke abzuwehren.Ich gebe euch mal eine Minute, damit ihr euch vom Schock erholen könnt.
Bereit? OK. Weiter.
Außerdem soll die Konferenz doch ein Ort der gesellschaftlichen Auseinandersetzung sein, keine Selbstvergewisserung Gleichgesinnter. Am Ende stellte sich heraus: Die interne Diskussion war überflüssig, sämtliche Standflächen bereits ausgebucht.Wenn sich das für euch wie eine lahme Schutzbehauptung anhört, dann seid ihr nicht alleine.
Aber hey, Ende gut, alles gut. Dachte ich. Bis ich hörte, dass die Bundeswehr an einem Panel teilnehmen sollte. Nein, wirklich! Na, dachte ich mir, das wird bestimmt ein Blutbad (also im übertragenen Sinne, die werden denen schon am Eingang die Schusswaffen abgenommen haben). Da werden sicher gleich einige Leute zum Mikrofon rennen und ein paar … äh, sagen wir mal, pointierte Fragen stellen. Aber: Das hat die Moderatorin abgewürgt.
Die haben sich trotzdem noch um Kopf und Kragen geredet, klar. Und ganz konnte der Protest dann doch nicht verhindert werden.
Ich finde dennoch, dass das eine gute Abschiedsnote ist. Macht einfach nächstes Jahr keine Veranstaltung mehr. Die Blutflecken kriegt ihr eh nicht weg von eurem Ruf.
Update: Oh, es geht noch weiter! Das war ja gar nicht die re:publica, das war die "MediaConvention"! Oh ach so! Ja, äh, wie konnte diese Verwechslung nur geschehen? Vielleicht weil das zur gleichen Zeit am gleichen Ort stattfand, und es nicht mal eigene Tickets dafür gab, sondern man mit den re:publica-Tickets reinging? Die wollen, wenn ich das richtig verstehe, sagen, dass sie die Slots an 3. abgegeben haben, ohne sich Einflussmöglichkeiten zu sichern. Im deutschen Strafrecht ein klarer Fall von Störerhaftung!
Wait, what?
Ja, wirklich!
In der nun veröffentlichten Urteilsbegründung räumt das OVG zwar ein, dass einem Wehrdienstverweigerer zwar Folter und andere Menschenrechtsverletzungen drohten, es sich dabei aber nicht um eine politische Verfolgung handele. Das syrische Regime handele vielmehr so brutal, "weil es die Wehrdienstentziehung als solche im Interesse der Aufrechterhaltung der militärischen Schlagkraft des syrischen Staates zu bekämpfen gilt".Und als die Richter dann noch anfangen, aus dem deutschen Wehrkraftsrecht zu zitieren, und von "soldatischer Pflicht" schwadroniert, da bleiben dann keine Fragen offen.Die Richter vergleichen dabei die Furcht unbeteiligter Zivilisten, "die 'nur' vor den Gefahren des Bürgerkriegs fliehen" und "die völlig unpolitische Furcht Wehrpflichtiger vor einem Kriegseinsatz", die angesichts der "weitaus größeren Gefahren" ein zusätzlicher Fluchtgrund sei.
Ich frage mich ja, wie lange diese Richter schon im Amt sind.
Das Verhältnis des Strafrechts zum Desertieren hat sich ja seit dem 3. Reich subtil verändert. (Danke, Stefan)
Bei MMORPGs ist der Frauenanteil noch mit am höchsten, aber ist immer noch weit von 50% entfernt.
Problem? Ach was! Gelegenheit! Für nur 5 Dollar spielt die reizende Niopia aus Slowenien Hearthstone mit dir!1!! Oder vielleicht auch eher nicht, wer weiß wie ihre Internetanbindung ist. Aber hey, vermutlich geht es bei dem Angebot gar nicht so um den Ping. Was weiß ich schon.
Update: Ein Einsender macht sachdienliche Hinweise zur Internetqualität in Slowenien:
Aus meiner leidvollen Erfahrung hat die Niopia aus Slovenien wahrscheinlich einen um mindesten eine Magnitude besseren Ping als wir hier in .de. Ganz zu schweigen von vermutlich symmetrischer Glasfaseranbindung... und zu allem Überfluß wird sie sich mit den 10$ vermutlich sogar diesen einen ganzen Monat leisten können…
(Danke, Jens)
Update: Lutz Donnerhacke, der über X.509 schon mehr vergessen hat, als ich weiß, erklärt:
Sie haben Recht mit der Vorgehensweise.
Der relevante RFC 2818 sagt, dass wenn SubjectAltName existiert, man ihn nehmen MUSS.
Sie haben unrecht mit der Behauptung, der RFC erkläre den CN für obsolet.
An der betreffenden Stelle wird die Praxis der CAs, einen CN statt SubjectAltName zu verwenden für obsolte erklärt.Der eigentliche Grund für die Vorgehensweise ist die Vorschrift in X.509 dass SubjectAltName für v3-Zertifikate Pflicht ist.
Update: Weil jemand nachfragte: Nein, Lutz und ich duzen uns. Das Sie bezieht sich auf das Chrome-Team.
Ich zitiere mal die ersten beiden Absätze. Bingo-Karten bereithalten!
Adobe hat auf seinem EMEA Summit in London neue Funktionen für die Experience Cloud vorgestellt. Das Web-Dienst-Paket für Online-Marketing ging im März aus der früheren Marketing Cloud hervor.Na dann ist ja alles gut.Die neue Experience Cloud vereint drei Produkte: die Marketing Cloud für Marketing-Kampagnen rund um Web, E-Mail, soziale Netzwerke und Video, die Analytics Cloud für Zielgruppen- und Kundenprofilverwaltung und die Advertising Cloud für Werbung im Web, in sozialen Netzwerken und im Fernsehen. Künftig will Adobe die Experience Cloud eng mit den Anwendungen der Creative Cloud verzahnen.
New hotness: Offizier des Militärischen Abschirmdienstes MAD tweetet Nazi-Parolen. (Danke, Wolfram)
Leider haben sie den Link dann schnell zu einem PDF ohne die Änderungen geändert. Aber die Word-Datei kann man von Julia Reda runterladen. (Danke, Mathias)
Update: Das ist die Maximal-Erwartung nach 10 Jahren Dienst. Das Einstiegsgehalt liegt niedriger.
Update: Oh, doch direkt ab Einstellung?
Inklusive der im neuen Tarifvertrag vereinbarten Erhöhung bekommen die neu angestellten Lehrer an Gymnasien, Sekundarschulen und Grundschulen dann 5100 Euro brutto im Monat für eine Vollzeitstelle.
Nebenwirkung ist übrigens, dass Juniorprofessoren an Berliner Hochschulen mit 4400 Euro deutlich weniger als ein Grundschullehrer verdienen.
Bislang ist dies nur bei einer Reihe von Straftaten wie bei der Bildung terroristischer Gruppen, Mord oder sexuellem Missbrauch möglich. …Tja wie das so ist. Wo ein Trog ist, da kommen die Schweine.
Update: Öh, der Link wirft jetzt plötzlich 404. Ich habe den nicht falsch gepasted, auch der Link aus meiner Browser-History wirft jetzt 404. WTF? Meldung zurückgezogen oder was? Sorry. SWR dazu, Rheinische Post dazu.
Update: Ein Einsender kommentiert:
zur Verschärfung des Einbruchsparagraphen möchte ich noch anmerken, dass die Strafe nun genauso hoch ist wie bei Raub, d.h. es macht für den Profitäter keinen Unterschied mehr ob er einen angetroffenen Wohnungsinhaber niederschlägt oder sofort flieht - für den Wohnungsinhaber allerdings schon.
Update: Netzpolitik.org dazu:
Knickt Maas jedoch vor de Maizière ein, wird die Funkzellenabfrage endgültig zum Alltag. Wenn bei jedem Wohnungseinbruch 30.000 Handys in der Umgebung abgefragt werden, eine übliche Hausnummer, dann landen Aufenthaltsort und Handydaten aller Einwohner regelmäßig bei der Polizei – statistisch gesehen jede Woche.
Update: Ein anderer Einsender kommentiert:
es bleibt natürlich ein riesiger Unterschied, ob jemand bei einem Wohnungseinbruchsdiebstahl auch noch Gewalt anwendet oder nicht! Wer "nur" einen Wohnungseinbruchsdiebstahl begeht, hat zB keine Verurteilung wegen einer Körperverletzung zu befürchten, im Übrigen hat das Gericht immer die Geamtumstände der Tat zu würdigen.
Den identischen Strafrahmen könnte man meines Erachtens nach wenn überhaupt dahingehend interpretieren, dass man sagt ein Wohnungseinbruchsdiebstahl kann genau so schlimm sein wie ein Raub. Ein Raub ist es übrigens auch, wenn ich dir den Euro aus der Hand nehme, indem ich deine Finger auseinanderbiege um an den Euro dranzukommen. Oder dir deine Handtasche weg reiße, während du versuchst, sie festzuhalten.
(Danke, Ingemarie)
Die Berliner Staatsanwaltschaft wirft ihnen gemeinschaftlich begangenen schweren Betrug bei der Ausweitung der LKW-Maut auf 1100 Kilometer Bundesstraßen vor. Durch bewusst überhöhte Kalkulationen sollen die Verdächtigen den Bund um mindestens drei Millionen Euro geprellt haben.Mist, ist das Popcorn schon wieder alle!
Die Strecke von Köln nach Hamburg war schon echt abenteuerlich. Da habe ich extra den IC über Bremen genommen, damit ich nicht in Hannover vom Messe-Verkehr totgetrampelt werde. Als ich am Gleis 4 stand, kam eine Ansage für Gleis 5. "Der Eigentümer des schwarzen Koffers im Regionalexpress auf Gleis 5 wird bitte DRINGENST gebeten, seinen Koffer abzuholen". Da dachte ich mir schon, dass das ein Problem werden könnte. Die wiederholte sich noch drei Mal, dann kam die Durchsage "auf Gleis 5 bitte nicht einsteigen" und der leere Zug fuhr weg. Ich nehme an, die wollten das lieber nicht im Bahnhof sprengen oder so.
Dann stand ich also an Gleis 4, die Anzeige zeigte meinen Zug an, und der Zeitpunkt, an dem er hätte einfahren sollen, kam und ging. Aber ohne dass da eine der üblichen "10 Minuten Verspätung" eingeblendet wurde. Dann kam eine Durchsage: Der IC nach Hamburg hat 90 Minuten Verspätung. Während am Gleis noch die Passagiere standen. Dann hieß es was von Baustelle. Am Gleis brachen dann zoologische Betrachtungen über Baustellen-Spezies aus, die spontan aus dem Unterholz hervorpoppen und Eisenbahnen jagen gehen.
Der nächste Zug wäre eine Stunde später gewesen, der hat aber auch Verspätung gehabt, und der IC kam dann "nur 63 Minuten später", also nahm ich doch den.
Und jetzt stehe ich gerade in Stuttgart und will nach München und am Bahnsteig gibt es so apokalyptische Durchsagen, dass zwischen Stuttgart und Ulm die Oberleitung gestört ist und daher verzögern sich Züge jetzt "stark". Ein Kollege hängt in einem der Züge vor Ulm auf der Strecke fest, hörte ich, und mein Zug hier wird jetzt über Aalen umgehen. Der kommt aus Karlsruhe und hat für die Strecke schon 90 Minuten gebraucht (sonst eher so 35). Die Zugbegleiterin gerade meinte nur so, es gäbe kein Restaurant auf der Strecke. Das wunderte mich, weil ich am Bordrestaurant-Wagen vorbei gelaufen war, aber es stellt sich raus, dass der völlig ausverkauft ist, nicht mal Getränke haben die noch. Wow.
Tja, Infrastrukturapokalypse.
Ich als erfahrener Bahngast habe natürlich Proviant und Getränke mitgebracht. Und solange ich bis heute abend in München bin, stört es mich nicht weiter.
Update: Die Strecke über Aalen ist landschaftlich sehr ansprechend. Ich bin fast froh, dass die Bahn den Umweg gefahren hat. Dafür gab es auch eine lustige Durchsage, die ich so noch nie gehört habe: Der Bahnsteig in Aalen ist zu kurz für einen ICE, daher bat die Durchsage die Fahrgäste im letzten wagen, die aussteigen wollen, sich vorher im Zug weiter nach vorne zu bewegen. :-)
Das ist ja schon krass, aber guckt euch mal den Brief an, den Trump an Comey geschrieben hat. Der zweite Absatz:
While I greatly appreciate you informing me, on three separate occasions, that I am not under investigation, I nevertheless concur with the judgment of the Department of Justice that you are not able to effectively lead the Bureau.Einer für die Geschichtsbücher.
Update: Spon dazu.
Begründung: "multiple DDoS attacks".
Nein, wirklich! Das wäre ja schon eine großartige Ironie, aber der wahre Witz dieser Situation erschließt sich erst, wenn man die aktuelle Folge von Last Week Tonight geguckt hat.
Aber keine Sorgen, der ARD-Rechtsexperte (!?) kann uns beruhigen:
"Bislang gehen die Ermittler strafrechtlich nicht davon aus, dass es sich um terroristische Vereinigung handelt. Dafür braucht man drei Personen, die hätte man. Es müssen aber rechtlich noch weitere Voraussetzungen wie eine gewisse gefestigte Struktur oder bestimmte Ziele hinzukommen. Doch soweit scheinen die Ermittlungen noch nicht zu sein."Seht ihr? Alles in Ordnung. Das waren offensichtlich drei verwirrte Einzeltäter.
Hanford ist eine der gruseligeren Atom-Altlasten der USA. Das liegt in Washington State, der Columbia River fließt dort vorbei, kommt dann bei Portland, Oregon, vorbei und mündet 80km weiter in den Pazifik.
Praktisch alle Meldungen zu Hanford sind sehr apokalyptisch, z.B. US-Strahlenruine Hanford - Amerikas atomare Zeitbombe. (Danke, Wolfgang)
Ist gar nicht so schwer! Kann jeder!
Meine Vermutung war ja, dass es SChannel ist. Das ist die TLS-Implementation von Microsoft, die sich im Vergleich zu allen anderen TLS-Implementationen auf dem Planeten verdammt gut geschlagen hat bisher. Zu gut, fand ich, und dachte mir, die sind jetzt dann wohl doch mal fällig gewesen.
Aber das war es nicht. Nein. Viel besser. Es war der Microsoft-Antivirus. Stellt sich nämlich raus: Der hat eine Scripting-Sprache, und die hat die selben Bugs, die auch andere Skripting-Sprachen von Microsoft plagen: Type Confusion.
Die Skripting-Sprache ist für Netzwerk-Überwachung. Das ist eigentlich eine gute Idee. Microsoft hat auch sowas ähnliches wie Wireshark im Angebot, und da ist auch fast die gesamte Decoding-Logik mit einer kleinen Mini-Beschreibungssprache erschlagen worden. Ergo hat das Ding so gut wie keine Security-Bugs, während Wireshark der Moloch zwischen Sodom und Gomorrah ist.
Aber ich weiche vom Thema ab. Microsoft hat einen Bug im Antivirus. Genau was ich seit Tagen auf der Heise Show als Szenario an die Wand gemalt habe. Und weil es eben Microsoft und kein gammeliger Schlangenöl-Hersteller ist, gibt es da jetzt keine Nebelbank sondern das wird als das bezeichnet, was ist es: Critical, Remote Code Execution, Wormable.
So und jetzt kann sich ja jeder nochmal selber überlegen, wie wahrscheinlich das ist, dass Microsoft mit ihren Milliarden an Ressourcen, mit ihren fünfstellig vielen Security-Experten, mit ihren monatelangen Testzykeln, dass DIE das nicht hinkriegen, aber die anderen kriegen es hin. Ja nee, klar.
Das sind über 11% der Wählerschaft.
Wow.
Ist das die Zukunft der Demokratie in Deutschland?
Fuck all of you?
Der Einsender berichtet, ihm sei ein Fall bekannt, wo eine Firma Firmengeheimnisse über den Filesharing-Dienst von Hipchat geteilt habe.
Hätte uns doch nur jemand gewarnt, dass es ein Sicherheitsrisiko sein könnte, wenn wir unsere Geheimnisse in eine ausländische Cloud laden!1!!
OH NEEEIIIIINNNNN!!!!!
Kern des geplanten neuen, einheitlichen Zugangs für Online-Angebote soll ein Generalschlüssel sein. Diesen sollen Kunden branchenübergreifend verwenden können, um sich im Internet zu registrieren und zu identifizieren. Die Plattform soll den Nutzern mehr Komfort und auch mehr Sicherheit bieten sowie höchste Standards bei Datensicherheit und Datenschutz gewährleisten. Sie soll sowohl das reformierte EU-Datenschutzrecht berücksichtigen als auch die eIDAS-Verordnung, die die Vertrauensdienste der Online-Ausweisfunktion reguliert.Das klingt nach Compliance statt Sicherheit. Hey, was kann da schon schiefgehen? Das wird ein epischer Datenreichtum *händereib* (Danke, Erhard)
Along with Google patches, Samsung Mobile provides 11 Samsung Vulnerabilities and Exposures (SVE) items described below, in order to improve our customer's confidence on security of Samsung Mobile devices. (Danke, Alexander)
Die Erdinger Kriminalpolizei hatte sich bereits im ersten Prozess gegen den renommierten Gynäkologen Kritik gefallen lassen müssen. Der Tatort als solcher war trotz 100 Blutergüssen an der Leiche nicht erkannt worden."Und, Jupp, was hast du gemessen?" "Braucht noch 10 Minuten, Cheffe!" (Danke, Timo)[…]
Die Temperatur der toten Frau wurde lediglich ein Mal, und das mit einem völlig unzureichenden Bratenthermometer, gemessen.
Update: Primärquelle.
The ISIS leader in Afghanistan, Sheikh Abdul Hasib, was killed in an April 27 raid conducted by Afghan special security forces and US troops, Afghan and US authorities said Sunday.Na dann ist der War on Terror ja endlich gewonnen und wir können die Soldaten zurückholen!
Aber dann schaltet sich auch noch das Telekom-Textbaustein-Team ein und verhält sich wie üblich wie ein Schlafwandler nach einer durchzechten Nacht. (Danke, Fabian)
Update: Die Malware wurde übrigens von keinem Schlangenöl gefunden.
But Saudi media outlets have reported that the country's King Salman bin Abdulaziz Al Saud has issued an order allowing women to benefit from government services such as education and healthcare without getting the consent of a male guardian.Warte, Frauen dürfen jetzt wählen, zur Schule und an die Uni gehen, ohne ihren Mann zu fragen?! Wo soll denn das hinführen?! Bald wollen die noch Autofahren oder Ausreisen!!1!
Update: Ermittlungen eingestellt. Die Polizei konnte nicht genug "outraged people" finden. m(
The Military is Using Human Brain Waves to Teach Robots How to Shoot
memcmp(attacker_password, correct_password, strlen(attacker_password))
Einmal mit Profis arbeiten!
Nun, das haben sie in ihren Hochglanz-Magazin mal erklärt (Link geht zur Washington Post, nicht zum ISIS-Mag):
In the most recent issue of Rumiyah, its glossy multilingual propaganda magazine, the Islamic State encouraged recruits in the United States to take advantage of laws that allow people to buy firearms without having to present identification or submit to background checks.Recruits should seek out gun shows and online sales in particular, said the write-up in the magazine, which was released Thursday.
“The acquisition of firearms can be very simple depending on one’s geographical location,” the piece read. “In most U.S. states, anything from a single-shot shotgun all the way up to a semi-automatic AR-15 rifle can be purchased at showrooms or through online sales — by way of private dealers — with no background checks, and without requiring either an ID or a gun license.”
Wenn Tavis Ormandy sich Freitag abend äußert, dann hat jemand in der Industrie ein schlechtes Wochenende vor sich :-)
Ich dachte mir, das wollt ihr auch sehen. Das Teil heißt Carbon Black und fällt durch eine Reihe von innovativen Neuzugängen für das Bullshit-Bingo auf, z.B. "zero-gap endpoint visibility" und "automated thread hunting algorithms powered by infinite cloud resources". Fuck, yeah! Oh und gute Nachrichten:
Retire network-based file detonation servicesWhew, endlich die Explosivdienste abschalten!1!!
Full spectrum analysis: behavioral, reputation, AI, and MLYou had me at FULL SPECTRUM CYBER!Update: Ich persönlich finde ja besonders amüsant, dass dann ihre Whitepapers unter /wp-content/ liegen. Wordpress!
Die Geschichte ist der Hammer.
Und zwar läuft in Deutschland ein Verfahren gegen Werner "Agentenlegende" Mauss, und der hat natürlich Akteneinsicht beantragt. In den Akten fand er auch Unterlagen der Schweizer. Und es stellt sich raus, dass da auch Aussagen von besagtem Spion zu seinen Geheimdiensttätigkeiten dabei waren, die er in der Schweiz (wo er selbst in U-Haft saß) gemacht hatte. Diese Aussagen hatte die Schweizer Staatsanwaltschaft treudoof an die deutschen Spionageopfer weitergereicht.
Einmal mit Profis arbeiten! (Danke, Thomas)
Der große Neustart hat nirgends stattgefunden. Kein "Wir überdenken das System unserer Regierungsvertreter, der Steuern". Kein "Wir dezentralisieren die Macht, machen sie transparenter, verstaatlichen Banken", nichts. Alles geht weiter, mit dem kleinen Unterschied, dass die Bevölkerung sich zu misstrauen gelernt hat. So viel Hass und Ekel, soviel Abscheu ist da sichtbar geworden in den letzten Jahren, wie kann man damit nebeneinander weiterleben?
Hier ist so ein Post Mortem, von einer Hipster-Bullshitbingo-Startup-Klitsche.
Nun wird vielleicht euer erster Instinkt sein, dass die halt Bullshitbingo-Tech verwenden, so Rethinkdb und Nodejs und so, das betrifft euch vielleicht gar nicht. Lest es trotzdem, und zwar ganz.
Update: Aus der libstdc++-Doku:
Notes about deallocation. This allocator does not explicitly release memory. Because of this, memory debugging programs like valgrind or purify may notice leaks: sorry about this inconvenience. Operating systems will reclaim allocated memory at program termination anyway.
Einer für die Geschichtsbücher. "This is why we can't have nice things", wie man so schön sagt.
Gut gemacht, liebe Feministen. Weitermachen. Gestern standen wir vor dem Abgrund, heute sind wir einen Schritt weiter.
Daher möchte ich jetzt hier mal ein Gedankenexperiment machen. Habt ihr alle verpennt, was man heutzutage alles im Internet machen kann? Lasst uns mal den ultimativen fiesen Virus brainstormen. Ich fange mal an.
Ist ja schön, dass du ein Backup hast, aber das hilft dir nicht gegen das SWAT-Team, das deine Tür eintritt. Selbst wenn du den ganzen Ärger der Reihe nach aufräumst, bist du Jahre beschäftigt. Und je nach Qualität der Arbeit der Malware den Großteil davon aus der U-Haft heraus. Oh und willkommen auf der No-Fly-List, und hier ist der Lageplan von Guantamo Bay, den wirst du möglicherweise brauchen.
Ihr müsst mal aufhören, Malware nach dem zu beurteilen, was bisher schiefgelaufen ist. Das war Glück, dass der Schaden bisher gering war. Eine (!) durchgekommene Malware ist Totalschaden.
Ihr würdet ja auch im Auto den Sitzgurt anlegen. Da muss man keinen lebensbedrohlichen Unfall erlebt zu haben, um zu verstehen, dass man sich hier ordentlich schützen muss..
Update: Und einen Punkt noch, den ich glaube ich im Blog noch nicht hatte, nur live beim Podium. Ich sage: Antiviren helfen nicht, ich setze keinen ein. Das Publikum sagt: Ja aber da kann man sich ja einen Virus einfangen.
Wir spulen eine Minute vor. Ich sage: Antiviren funktionieren nicht, weil Viren durchrutschen könnten. Das Publikum sagt: Tja 100% Sicherheit gibt es halt nicht.
Jetzt treten wir gemeinsam mal einen Meter zurück und schauen uns das an. Wieso ist das bei mir plötzlich ein Totschlag-Gegenargument, dass da vereinzelt mal was durchrutschen könnte (was ich im Übrigen auch so sehe und daher weitere Schutzmaßnahmen vorschlage), aber bei Antiviren ist das OK, wenn was durchrutscht? Anders formuliert: Wir ziehen mal auf beiden Seiten den Antivirus ab. Übrig bleibt bei beiden: Man muss sorgfältig sein, und gelegentlich könnte was was durchrutschen. Nur dass ihr für dieses Sicherheitsniveau Geld an die Schlangenölindustrie überweist und ich nicht. Oh und gucke mal: Das war genau meine These. Antiviren kosten Geld aber schaffen kein besseres Sicherheitsniveau.
Update: Einen noch. Die Antwort der Schlangenölbranche ist bisher, was ich relativ unterhaltsam finde, relativ klar: Ja, stimmt ja, hast ja Recht, signaturbasiertes Schlangenöl ist nicht gut. Daher solltet ihr auch alle dieses andere, cloudbasierte Schlangenöl kaufen! Wenn das nicht greift, dann hätten sie auch noch Verhaltens-Heuristik-Schlangenöl. Leute, nichts davon hat die Ransomware-Epidemie aufgehalten, die im Vortrag des BKA in Form einer Exponential-Wachstums-Kurven-Folie Niederschlag fand. Die Leute da draußen haben alle Schlangenöl, und zwar nicht in allen verfügbaren Geschmacksrichtungen. Nichts davon hilft. Kann man sich ja auch selber überlegen. Wie sieht denn ein "schiebe mal das Verzeichnis hier in ein ZIP" vom Verhalten her aus? Gar nicht so viel anders wie ein Ransomware-Trojaner, gell? Tsja. Hätte uns doch nur jemand gewarnt!!1!
Wer sich jetzt denkt: Hey, Sekunde, das klingt aber wie ein potentielles Sicherheitsproblem!1!!, dem kann ich Entwarnung geben, denn:
Die Ausweise werden aber nicht am Smartphone gespeichert. Über einen zentralen Hochsicherheitsserver im Innenministerium und nur mit Zustimmung der betroffenen Person kann über eine verschlüsselte Internetverbindung auf die angeforderten Daten zugegriffen werden.Ohoooo! Na DANN ist ja alles gut! Da kann dann ja kaum noch was schiefgehen. (Danke, Florian)
New hotness: Polizei verhaftet Mann, weil er nichts getan hat.
Der stand nachts zwei Stunden lang regungslos vor einem Fast Food Restaurant. Dann passiert das hier:
Als die alarmierten Beamten vor dem Restaurant eintrafen, konnten sie kurz mit ihm sprechen, bevor dieser zu schweigen begann und dabei völlig ruhig stehen blieb.Nun hatte der seine Hände unter seine Jacke gesteckt, wie man das halt so macht, wenn es kalt ist. Also tat die Polizei, was jeder getan hätte:
Um Unbeteiligte nicht zu gefährden, wurde der Nahbereich und das Schnellrestaurant geräumt. Darüber hinaus musste die Vahrenwalder Straße in beide Richtungen voll gesperrt sowie der Stadtbahnverkehr eingestellt werden.Der Anruf bei der Polizei kam um 20:00. Die Festnahme war dann um 1:30 nachts. So eine Vollsperrung dauert halt ein bisschen! Und dann kam raus: Der Mann war "offenbar psychisch krank", und sie fuhren ihn mit einem Rettungswagen in ein Krankenhaus.
Der Einsender hat auch eine Illustration mitgeschickt :-)
Die Antwort ist: Geduld! Googles Tentakel schlängeln schon in Richtung IoT. Kann sich nur noch um Tage handeln.
Echt? Da gibt es doch seit Jahren schon keine Entschuldigung mehr für…!?
LibreSSL 2.5.1 to 2.5.3 lacks TLS certificate verification if
SSL_get_verify_result is relied upon for a later check of a
verification result, in a use case where a user-provided verification
callback returns 1, as demonstrated by acceptance of invalid
certificates by nginx.OMFG
Es verpflichtet alle Telecom-Konzerne und Internet Service Provider dazu, Geheimdiensten einen Zugriff in Echtzeit auf jegliche Kommunikation von Zielpersonen zu ermöglichen. Das gelte auch für "sekundäre Informationen" und schließe verschlüsselte Daten ein – weswegen britische Unternehmen Hintertüren einführen müssten, erläutert The Register.Ja nee klar, Großbritannien. Macht ihr mal. Ohne uns.
When my country was being bullied by Europe’s pro-austerity establishment, Macron was a rare ally. More importantly, he’s all that stands between France and the fascism of Marine Le PenUnd so ruft er die Linke in Frankreich auf, für Macron zu stimmen. Dass die Linke noch mal irgendwann wahlentscheidend sein würde, hätte wahrscheinlich auch kaum jemand gedacht :-)Aber lest euch das mal nicht nur wegen Macron durch, sondern guckt mal, was er über Sigmar Gabriel schreibt.
Hier ist noch eine besonders fiese, die den Blogpost von G-Data neulich mit ihren Werbeaussagen kontrastiert. Meine Leser haben da offensichtlich weniger Zurückhaltung als ich, auf einzelne Marktteilnehmer zu zeigen. Es gab auch eine Einsendung einer Firma, die in irgendeiner Spezialsoftware ausgerechnet VBScript zum Implementieren von Sonderwünschen nimmt. Das sei jetzt halt so und bliebe eben auch so, wenn die Geschäftsführung kein Geld in die Hand nimmt, da was anderes zu beschaffen. Und gerade G-Data, schreibt er, würde ihnen da regelmäßig die Funktionalität zerschießen. Ich bin mir sicher, dass das bei der Konkurrenz genau so ist. Aber er spricht auch noch ein anderes Problem an, das ich so noch nicht im Blog hatte, nämlich das bei so kurzen Updatezyklen und so einer dynamischen Plattform auch die Reproduzierbarkeit leidet und man beim Support im Wesentlichen seit Jahren mit "bei uns geht's" abgespeist wird und dann aber Ausfälle hat, wo 30 Leute nicht arbeiten können, weil das VBScript-Runtime in Karantäne geschoben wurde. Ich bin mir auch hier sicher, dass das bei anderen Anbietern genau so ist. Das sind schlicht Probleme der Prozesse hinter AV-Produkt-Herstellung, die nicht genug Zeit lassen, um menschliches oder maschinelles Versagen effektiv auszuschließen.
Update: Ein anderer Einsender kommentiert:
die Probleme hatte ich mit unserem TrendMicro-Schlangenöl auch schon. Ein kleines Tool in C# geschrieben, exe gebaut, einer Kollegin der Einfachheit halber per E-Mail geschickt. Ihr TrendMicro: Oh nein, eine exe! In einer E-Mail! Todesgefahr!!1! Ausführen durfte man die exe aber trotzdem.
Warum ich dir das schreibe?
Als ich die exe danach bei mir selbst ausführen wollte, hat sich MEIN TrendMicro auch dagegen gewehrt, weil diese Software offenbar nun auf irgendeiner Blacklist stand. Leute, ich habe das selbst kompiliert, und ich vertraue meinem Code. Das ist in TrendMicro aber offenbar gar nicht vorgesehen.
Selbst kleine Änderungen am Code und damit eine neue Binary haben TrendMicro nicht davon abgehalten, weiter Alarm zu schlagen. Mittlerweile ist aber Ruhe, ohne dass ich reproduzieren kann, was das alles ausgelöst hat.
Meine Theorie wäre, dass es eine Heuristik gibt, Programme grundsätzlich für schädlich zu halten, wenn ihr Hash noch nie irgendwo gesehen wurde. Das wäre jedenfalls eine grobschlächtige Haudrauf-Methode, um gegen Binär-Obfuskatoren vorzugehen. Aber ich habe da keine Einsichten, nur eine Vermutung.
Update: Ein anderer Einsender hat eine bemerkenswerte Beobachtung gemacht:
Vor ca. 15 Jahren mußten wir eine Auflage bei Großkunden erfüllen. Also alles, was wir ablieferten, mußte mit dem xyz Virenscanner geprüft sein.
Sei's drum.
Hatte zum Glück nie irgendwelche Probleme (bzw. kamen die nie an die Oberfläche).Komisch nur:
Immer wenn das jeweilige Abonnement des xyz Virenscanners zur Erneuerung anstand, gab es regelmäßig Virenalarm auf unseren Rechnern. Ich sage nicht, dass man uns da tatsächlich etwas angetan hat, aber so eine "verkaufsfördernde Maßnahme" scheint das wohl zu jener Zeit gewesen zu sein.Das war bei Peter und John gleich, ohne jetzt Produkte direkt zu nennen.
Krass. Könnt ihr das bestätigen?
Besonders geil auch:
(Possible workaround: Copy the document after printing using a Xerox copier.)BWAHAHAHA
Die Firma stellt sich auf den Standpunkt, die Sicherheitslücken seien schwer auszunutzen. Man habe keine Angriffe in freier Wildbahn gesehen und die Wahrscheinlichkeit, dass ein Hacker die Lücken nutzen könne, sei "ziemlich klein".Ach so. Ja na dann … *schulterzuck* m(
Update: Doch nicht? (Danke, Jörg)
New hotness: Zersplitternde Samsung-Mobiltelefone m(
Aber es sieht verdammt gut aus!1!! Also bis es runterfällt und splittert halt.
FDP-Banker Hans-Peter Portmann vermutet hinter dem Fall um den festgenommenen Schweizer Daniel M. eine deutsche Korruptionsaffäre. Sorgten prominente Steuersünder dafür, dass ihre Namen von der Liste gestrichen wurden?(Danke, Wolf)
Da kriege ich dann häufig ungläubige oder mitleidsvolle Blicke ob meiner realitätsfernen Verschwörungsverstrahlung.
Und jetzt? "Deutsche Bankkonten über UMTS-Sicherheitslücken ausgeräumt".
Told you so.
Die Stuttgarter Zeitung klärt auf:
Über Jahrzehnte soll ein Patentanwalt das Institut für Rundfunktechnik (IRT) um Millionen gebracht haben. Die Einrichtung ist ein gemeinsames Forschungsinstitut von ARD, ZDF, Deutschlandradio, Deutscher Welle sowie den österreichischen und Schweizer Rundfunkanstalten ORF und SRG.Insgesamt geht es um rund 100 Millionen Euro. Sportlich! (Danke, Peter)
Die FN-Kandidatin ist von der ersten Sekunde an auf Krawall aus. "Welchen Eindruck haben Sie von der Kampagne?" Sie antwortet reflexartig mit einer giftigen Tirade: "Herr Macron ist der Kandidat der unkontrollierten Globalisierung", so Le Pen, "der Kandidat der Prekarität, der sozialen Brutalität, eines Krieges jeder gegen jeden, der ökonomischen Verwüstungen durch die Großunternehmen, der Zerlegung Frankreichs durch die großen Wirtschaftsinteressen."So und jetzt kommt mal bitte kurz mit zur Wikipedia-Seite über Macron. Sohn von zwei Ärzten, Vater Professor, Schulbildung am Elitegymnasium, Studium an Elite-Kaderschmiede Sciences-Po, schrieb eine Magisterarbeit über Machiavelli (kannste dir gar nicht ausdenken!), danach an der anderen Elite-Kaderschmiede ENA. Und natürlich, wie bei so Eliten-Zirkeln üblich, direkt einen gutbezahlten Elitenjob in der Verwaltung gekriegt, zum Finanzministerium gegangen, und dann als Investmentbanker Kasse gemacht.
Was ich damit sagen will: Die Kritik von Le Pen ist inhaltlich völlig korrekt. Macron ist der Kandidat der Eliten. Wer an sozialer Gerechtigkeit Interesse hat, wird nicht Investmentbanker.
Aber, äh, komisch, diese Details findet das ehemalige Nachrichtenmagazin gar nicht berichtenswert! Stattdessen so neutrale Faktenberichterstattung wie wie
Fortan läuft die Konfrontation polemisch, hässlich, bisweilen verlieren sich die Argumente in lautstarkem Radau: Le Pen geht es um die Diskreditierung ihres Gegners, Macron versucht sich in Polit-Pädagogik und rationaler Analyse. Die FN-Chefin macht ihren Kontrahenten für alle Übel der Republik verantwortlich und tituliert ihn als "kaltherzigen Banker", als "Liebling des Systems", "Favorit der Medien" und "Handlanger der Eliten".Ich mag die Le Pen auch nicht und wünsche ihrer Ideologie und Partei den Untergang. Aber was der Spiegel da macht, das ist nicht satisfaktionsfähig.
Update: Ein Einsender kommentiert, dass pikanterweise auch Marine Le Pen ein Eliten-Kind ist, und nicht mal ihr Vater das Vermögen erarbeitet hat, sondern das ist über Generationen vererbt. Sie ist auch an typischen Elite-Einrichtungen ausgebildet worden, und gegen sie ist dieser Vorwurf sogar noch prägnanter als gegen Macron. Nur ging es mir in diesem Beitrag nicht darum, wer da jetzt elitärer ist, sondern dass die Medien eigentlich die Aufgabe haben, solche Vorwürfe, speziell in einer Wahlkampfdebatte, zu prüfen und Fakten zu liefern. Das hat hier nicht stattgefunden. Und wieso Macron nicht gegen Le Pen den großen "du bist auch elitär"-Hammer rausgeholt hat, das wundert mich ehrlich gesagt auch.
Update: Einsender weisen mich gerade auf zwei Dinge hin. Erstens: Macron wirft Le Pen ihre Herkunft anscheinend doch häufiger vor, mit so Floskeln wie dass er ja nicht auf einem Schloss geboren sei. Und Zweitens ist der Job, den Macron in der Verwaltung abgegriffen hat, eine Pflicht für Absolventen der ENA ist. Da müssen alle durch, und das wird wohl eher als nervige Pflicht gesehen als als cooler Bonus.
New hotness: Polizisten schießen sich gegenseitig ins Bein. (Danke, Ruben)
G-Data stimmt mir grundsätzlich zu, dass Zahlen zur Wirksamkeit von Antiviren schwierig zu beschaffen sind, weil die im Allgemeinen von den Herstellern kommen und daher nicht als neutral gelten können. Die Zahlen, die eine große Bibliothek an Malware gegen Antiviren werfen, finden häufig hunderte von Viren, die nicht gefunden wurden, und die Antivirenhersteller reden sich dann mit angeblicher Praxisferne der Tests heraus. Ich las neulich von einer Studie, bei der eine Uni alle ihre einkommenden die Malware-Mail-Attachments bei Virustotal hochgeladen hat und auf unter 25% Erkennungsrate kam. Leider finde ich die URL nicht mehr. Vielleicht kann da ja ein Leser helfen. Mein Punkt ist aber unabhängig davon, ob das jetzt 5%, 25% oder 90% Erkennungsrate sind. Es reicht, wenn ein Virus durchkommt. Eine Malware ist nicht wie die Windpocken. Wenn man sie kriegt hat man halt rote Pünktchen im Gesicht und nach ner Woche ist wieder alles OK. Nein. Eine Infektion reicht, um die gesamten Daten zu klauen, die Platte zu verschlüsseln, und an einem DDoS-Botnet teilzunehmen. Die Erkennungsrate ist, solange sie nicht 100% ist, irrelevant. Ich bin immer wieder schockiert, mit welcher Selbstverständlichkeit Leute nach einer Malware-Infektion halt "desinfizieren" klicken in irgendeinem Tool und dann weitermachen, als sei nichts gewesen. Das ist wie wenn jemand in eine Schwimmbecken scheißt, und man fischt den größten Klumpen raus, und dann schwimmen alle weiter. WTF!?
Der nächste Talking Point der AV-Industrie ist (angesichts der miserablen Erkennungsraten in der Praxis), dass man ja nicht mehr rein reaktiv arbeite sondern auch magischen Einhorn-Glitter aus der Cloud habe. Erinnert ihr euch noch an den Aufschrei nach Windows 10, als Microsoft sich das erstmals explizit von euch absegnen ließ, dass sie eure Daten in die Cloud hochladen? Wie jetzt?! Die wollen gerne als Debugginggründen sehen, welche crashenden Programme ich ausführe!? DAS GEHT JA MAL GAR NICHT!!1! Ja was denkt ihr denn, was das ist, was die AV-Industrie mit der Cloud macht? Die werden im Allgemeinen nur die Hashes der Software hochladen, aber das heißt trotzdem, dass die sehen können, wer alles Winzip benutzt, oder dieses eine hochpeinliche aus Japan importierte Hentai-"Dating-Simulator"-Anwendung. Aber DENEN traut ihr?!
Ich sage euch jetzt mal aus meiner Erfahrung, dass die Analyse von einem Stück Software Wochen dauert, besonders wenn die Software gerne nicht analysiert werden möchte. Wenn die AV-Industrie also so tut, als könnte ihre magische Cloud "innerhalb von Sekunden" helfen, dann gibt es nur zwei Möglichkeiten: Entweder sie haben ein paar Wochen gebraucht und tun jetzt nur so, als sei die paar Wochen lang schon niemand infiziert worden. Oder sie haben da irgendwelche Abkürzungen genommen. Überlegt euch mal selbst, wieviel Verzögerung eurer Meinung nach akzeptabel wäre. Dann, wieviel Arbeit das wohl ist, anhand einer Binärdatei Aussagen zu machen. Zumal man solche Aussagen im Allgemeinen in einer VM macht, und Malware im Allgemeinen guckt, ob sie in einer VM läuft und dann die bösen Funktionen weglässt. Eine denkbare Abkürzung wäre also, schon so einen Check als Zeichen für Malware zu deuten. Da sind wir aber nicht mehr in der Branche der seriösen Bedrohungsabwehr, sondern in der Branche der Bachblüten-Auraleser-Homöopathen, das ist hoffentlich jedem klar.
Das ganze Gefasel mit proaktiven Komponenten halte ich auch für eine Nebelkerze. Wenn das funktionieren würde, gäbe es Weihnachten keine wegzuräumende Malware auf dem Familien-PC, und in der Presse wäre nie von Ransomware die Rede gewesen, weil das schlicht niemanden betroffen hätte.
Ja und wie ist es mit dem Exploit-Schutz? Das ist Bullshit. Das erkennt man schon daran, dass Microsoft diese angeblichen Wunderverfahren der AV-Industrie nicht standardmäßig ins System einbaut. Googelt das mal. Microsoft hat hunderttausende von Dollars für gute Exploit-Verhinder-Ideen ausgeschrieben und ausgezahlt. Und wieviele Prämien für gute Ideen findet ihr von der AV-Branche? Na seht ihr.
Überhaupt. Kommen wir mal zu den Standards. Microsoft hat den Prozess etabliert, den gerade alle großen Player kopieren, die SDL. Ich weiß das, weil ich dabei war, als sie das bei sich ausgerollt haben. Microsoft hat, was ich so gehört habe, sechsstellig viele CPU-Kerne, die 24/7 Fuzzing gegen ihre Software-Komponenten fahren, um Lücken zu finden. Microsoft hat ganze Gebäude voller Security-Leute. Ich würde schätzen, dass Microsoft mehr Security-Leute hat, als die typische AV-Bude Mitarbeiter. Microsoft hat geforscht, ob man mit dem Umstieg auf .NET Speicherfehler loswerden kann, ob man vielleicht einen ganzen Kernel in .NET schreiben kann. Sie hatten zu Hochzeiten über 1/4 der Belegschaft Tester. Es gibt periodische Code Audits von internen und externen Experten. Sie betreiben eine eigene Security-Konferenz, um ihre Leute zu schulen, die Bluehat. Aus meiner Sicht stellt sich also die Frage: Wenn DAS die Baseline ist, trotz derer wir immer noch ein Sicherheitsproblem haben, dann müssten ja die AV-Hersteller nicht nur genau so gut sondern deutlich besser sein. Sonst wären sie ja Teil des Problems und nicht Teil der Lösung. Das hätte ich gerne mal von den AV-Leuten dargelegt, wieso sie glauben, sie könnten das besser als Microsoft.
Oh und einen noch, am Rande:
Wenn Daten signiert sind ist klar, von wem die Informationen stammen. Oft ist es schon ein beträchtlicher Sicherheitsgewinn, wenn man weiß, dass die Information von einem bekannten und ergo vertrauenswürdigen Quelle stammen.Das ist natürlich Bullshit. Es sind schon diverse Malware-Teile mit validen Signaturen gefunden worden, und alle alten Versionen mit bekannten Sicherheitslücken sind ja auch noch gültig signiert. Code Signing dient nicht dem Schutz des Kunden sondern dem Schutz von Geschäftsmodellen.
Mir ist außerdem wichtig, dass ihr merkt, wenn ihr hier mit einer bestimmten Haltung an das Thema rangeht, weil ihr selbst schon entschieden habt, und jetzt nur noch die Argumente rauspickt und höher bewertet, die eure getätigte Entscheidung bestätigen. Das ist ein sehr menschliches und normales Verhalten, aber dem Erkenntnisgewinn dient das nicht. Wo kommen denn die Zahlen her, dass angeblich noch niemand über Lücken in Antiviren gehackt wurde? Wenn ihr zu Weihnachten 10 Viren findet — macht ihr dann erstmal eine wochenlange forensische Analyse, wo die herkamen? Nein, macht ihr nicht! Ihr seid froh, wenn die weg sind. Aussagen wie "noch keiner ist über seinen Antivirus gehackt worden" sind unseriös, und Aussagen wie "es sind keine Fälle bekannt" sind irreführend und Nebelkerzen.
Update: Wer übrigens die Früchte von Microsofts Exploits-Schwieriger-Machen haben will, der muss a) immer schön Windows updaten; weg mit Windows 7 und her mit Windows 10, und/oder b) EMET installieren.
Update: Hups, EMET-Link war kaputt.
Update: Ein Einsender weist darauf hin, dass es doch mal einen Fall von einer massenhaftung Malware-Verbreitung via Antivirus-Sicherheitslücke gab.
Update: Ein fieser Wadenbeißer hat sich mal durch die Archive gegraben:
es gibt noch weiteres Argument gegen die Schlangenöl-Branche, das ich glaube ich bei dir noch nicht gelesen habe, wenngleich das eher nicht gegen die Microsoft-Lösung zielt:
Kollateral-Schaden.
Wie oft hatten wir es bitte schon, dass ein Amok laufender Scanner von einem marodierenden Wozu-Testen-AV-Riesen schlicht Windows & co als Virus/Trojaner/Whatever eingestuft hat?
Gucken wir doch mal:
Das passt auch sehr schön dazu, welchen Testaufwand Microsoft im Vergleich betreibt.
Oh und was ist eigentlich mit Virenscannern, die Inhalte aus dem Netz nachladen, die nicht unbedingt... naja, gab es schließlich auch schon:
Soll man daraus schließen, dass die ihr eigenes Gift vmtl selbst gar nicht einsetzen?
Ach ja, ich vergaß, alles bedauerliche Einzelfälle vom Werksstudentenpraktikanten, die natürlich nie, nie, nie wieder passieren. Ungeachtet dessen, dass sie nie hätten passieren dürfen, das wäre eigentlich der Anspruch an diese Software.
So wie auch schon Schlangenöl auch nur in den besten Fällen keine Wirkung hatte.
Ich habe bisher auf diese Art von Linksammlung verzichtet, weil es mir gerade nicht darum geht, mit dem Finger auf einzelne Hersteller zu zeigen. Es gibt da sicher auch Pfusch bei einzelnen Anbietern, das sehe ich auch so, aber mir ist die fundamentale Kritik am Konzept des Antivirus wichtiger. Pfusch in Software gibt es ja leider häufiger.
Update: Ein anderer Einsender kommentiert:
Zum Thema Proaktive Komponente kann ich dir aus unserer Infrastruktur klar sagen: DAS ist das was am Meisten Fehlmeldungen produziert. Ich habe z.B. einen lang vergessenen Texteditor auf einer Netzwerkfreigabe rumliegen. Seit 2007. Und 2016 auf einmal meldet der Antivirus, dass das Ding verseucht ist und sofort desinfiziert werden muss. Ich warte zwei Tage (=zwei Signaturupdates) ab und lass den Ordner wieder scannen. Diesmal: Nix. Oder letzte Woche hat er uns 6 Userworkstations als virenverseucht gemeldet, weil die User Proxy PAC-Scripte im Browser konfiguriert haben. Ja, haben sie weil so unser Internetzugang funkioniert, aber ich frag mich ernsthaft warum der AV nur diese 6 Workstations gemeldet hat und nicht noch die anderen 400 die das AUCH haben. Tags drauf war wieder alles gut. Für mich als Admin ist das keine zusätzliche Sicherheitskomponente sondern nur zusätzliche Arbeit.
Und ich möchte auch zu der Cloud-AV-Sache noch mal klarstellen, wie sehr das Bullshit ist. Der CCC hat vor ein paar Jahren den Staatstrojaner veröffentlicht, ihr erinnert euch wahrscheinlich. Natürlich in einer entschärften Version, die keinen Schaden angerichtet hätte. Diese Version tauchte dann relativ zeitnah in den Cloud-Antivirus-Datenbanken auf. Die nicht entschärfte Version tauchte nicht auf. Nur falls sich da jemand Illusionen gemacht hat.
Update: Ein Biologe kommentiert:
Es gibt ja ein paar hübsche Analogien zwischen Computerviren und deren Verbreitung und der realen Welt. Beim Lesen des G-Data Pamphletes musste ich an einer Stelle herzlich lachen, als sie ihre "über 90% Erkennungsrate" beweihräucherten. Auf die Mikrobiologie übertragen ist das eine log1-Reduktion, also so knapp über Homöopathie und Gesundbeten. Ich arbeite mit Lebensmitteln, da darf man etwas "Debakterisierung" nennen, wenn man im log3-Bereich unterwegs ist. Also wenn 99.9% aller Keime gekillt werden. Pasteurisierung ist bei log5, also 99.999%. Und auch da wird die Milch nach 21 Tagen sauer.
90% ist da auf jeden Fall der Bereich "lohnt den Aufwand nicht". Da ist eine sinvolle Backup-Strategie und eine gewisse Routine im Rechner-wiederaufsetzen sinnvoller eingesetzt.
Update: Viele meiner Leser scheinen eine Statistik-Schwäche zu haben, und kommen mir hier mit Analogien wie "Kondome schützen ja auch nicht 100%" oder "im Flugzeugbau hat man auch nicht 100% als Anforderung". Vergegenwärtigt euch mal, wie viele Viren es gibt, und wie viele Malware-Angriffe pro Tag es auf typische Systeme gibt. Und dann rechnet euch mal aus, bei einer Erkennungsrate von 90%, oder sagen wir 99%, oder sogar 99.9%, wie viele Stunden es dauert, bis der Rechner infiziert ist. Ich habe in Köln und Hamburg das Publikum gefragt, wer schonmal Weihnachten einen Familien-PC säubern musste. Fast alle. Dann, bei wie vielen ein Antivirus drauf war. Jeweils einer weniger. EINER weniger. ALLE ANDEREN haben trotz Antiviren Malware eingefahren. Wir reden hier nicht von "ich habe dreimal pro Tag mit Kondom Sex und habe nie HIV gekriegt", sondern von über einer HIV-Infektion pro Tag. Und da, behaupte ich mal, wären auch die Nicht-Statistiker unter euch plötzlich mit der Kondom-Performance unzufrieden. Was ihr gerade am eigenen Leibe erlebt, das nennt man Rationalisierung. Ihr habt eine Entscheidung getroffen, nämlich einen Antivirus einzusetzen, und greift jetzt unterbewusst nach Strohhalmen, um das irgendwie zu rechtfertigen. Ich meine das gar nicht böse. So funktionieren Menschen. Euch kommt zugute, dass die meisten Viren bisher wenig kaputtgemacht haben. Vielleicht ein paar erotische Selfies exfiltriert, wenn es hochkommt an einem Botnet teilgenommen. Erst jetzt mit Ransomware werden Viren auch gefühlt richtig gefährlich. Ihr solltet nicht warten, bis euch das am eigenen Leib passiert.
Update: Ja, mir ist aufgefallen, dass sie meinen Namen als "Felix von Lindner" falsch schreiben. Danke für die Hinweise.
Update: Na seht ihr, schon gefixt!
Das passt ja mal wieder wie Arsch auf Eimer!
Hauptkritikpunkt ist demnach, dass auf dem Hauptvordruck zur Einkommensteuer-Erklärung der Mann zuerst genannt wird, wenn Ehepaare ihre Steuer gemeinsam erklären – auch wenn die Frau mehr verdient.Ja das geht ja mal GAR NICHT!1!! Wo doch sonst immer die Frau zuerst genannt wird, meine sehr verehrten Damen und Herren!!1! Stattdessen soll da in Zukunft "Ehepartner A" und "Ehepartner B" stehen. Dann können die Paare selbst entscheiden. Und dann können wir uns endlich den richtigen Problemen zuwenden, nämlich … warte mal, es gibt ja jetzt schon gleichgeschlechtliche Partnerschaften. Wie machen die das denn? Na so:
Für gleichgeschlechtliche Partner gibt es bereits Formulare nach diesem Prinzip.Öh, ok? Wo ist dann das Problem? Wieso reden wir da jetzt drüber? Dann verteilt man halt ab jetzt die!?
Nee, so einfach ist das nicht. Das ist mit Aufwand verbunden. Schätzungweise 2800 Personentage.
Glaubt ihr nicht? Seht selbst:
Allein um einzuschätzen, wie viel Aufwand dies bedeute, seien 2.800 Tage Personalarbeit nötig, schätzt die Arbeitsgruppe Einkommensteuer der Berliner Senatsverwaltung.Oh, warte, das ist ja nicht für die Umstellung sondern für die Schätzung, wieviel Aufwand die Umstellung ist!
Sorry, da gehen mir die Witze aus.
Ein Jahr hat (in Berlin) 251 Arbeitstage. 2800 Personentage sind also über 11 Jahre. Ihre Steuergelder bei der Arbeit! (Danke, Sonja)
Nein. Das steht hinter dem Link. Daher ist da ein Link. Damit man da draufklickt.
Im Übrigen finde ich diese Reflexe faszinierend. Immer wenn die Palästinenser in irgendeinem Punkt Entgegenkommen zeigen, dann graben sich die Pro-Netanjahus tiefer ein und verweisen auf ihre Extremforderungen. Anstatt dass sie im Gegenzug von ihren Extremforderungen abweichen könnten!
Ich verstehe nicht, wieso Israel nicht an einer Lösung des Konfliktes interessiert zu sein scheint. Hamas steht hier offensichtlich unter Druck, sonst hätten sie dieses Papier ja nicht gemacht. Und man sieht, dass sie sich Sorgen machen, dass ihre Hardliner-Fraktion sich abspalten könnte, und bewaffneten Untergrundkrieg führen könnte, und damit Hamas bisschen internationles Standing als halbwegs legitim gewählte Regierung im Gazastreifen zerstören könnte. Das ist ein 1a Moment der Schwäche. Wieso nutzt Israel das nicht, um ein paar Fakten zu schaffen? Die könnten sich jetzt wunderbar als "wir nehmen jetzt mal eure Bullshit-Rhetorik nach außen für bare Münze" positionieren. Hamas bliebe gar nichts übrig, als zu ihren Worten zu stehen, ob die jetzt hohle Phrasen oder ernst gemeint waren.
Hamas ist offenbar gerade ehrlich daran interessiert, von Ägypten, der Uno und anderen Staaten als legitime Player wahrgenommen zu werden. Wieso nutzt das niemand?! Worauf warten die alle? Eine schriftliche Einladung?!
Ob man Hamas jetzt glaubt oder nicht, das ist eine Gelegenheit. Gelegenheiten muss man nutzen. Merkt Israel nicht, wie sich die öffentliche Wahrnehmung des Konfliktes in den letzten Jahrzehnten geändert hat?
Das ergibt für mich alles nicht viel Sinn gerade. Offensichtlich fehlen mir da ein paar der Fakten.
Premierministerin Theresa May schwört nun die Briten ein: Wenn sie die Neuwahlen nicht gewinne, werde das Chaos regieren.Das ist ja spannend! Ich dachte, das sei praktisch ausgemachte Sache, dass sie da die aktuelle Schwäche von Labour ausnutzt und sich festzementiert.
New hotness: Mehlmarkierung wehrt selbstfahrende Autos ab!1!! (Danke, Bernd)
Die schlechte Nachricht: Damit bricht Israels Narrativ völlig in sich zusammen, dass Hamas die fiesen Mörderterroristen sind. Was also tun? Na klar!
Israeli officials rejected the document before it was made official, calling it an attempt by Hamas to trick the world into believing it was becoming a more moderate group."Hamas is attempting to fool the world but it will not succeed," said David Keyes, a spokesman for Israeli Prime Minister Benjamin Netanyahu's office.
Oh ach so. Na dann. (Danke, Yehudit)
Liebe Leser: Macht das nicht. Alle Geheimdienste und Polizeien der Welt haben bereits Interesse bekunden und Projekte gestartet, um per Trojaner eure Smartphones aufzumachen. Tut da keine Krypto-Keys drauf.
New hotness: Fake Subpoena.
Eine Subpoena ist eine gerichtliche Vorladung im US-Rechtssystem. Das ist Latein und heißt sowas wie "unter Strafe", d.h. man folgt ihr. Die Staatsanwaltschaft in Louisiana schickt seit ein paar Jahren Leuten Fake-Subpoenas zu, wenn sie wollen, dass die mal vorbei kommen. Da ist das offizielle Wappen der Staatsanwaltschaft drauf und es wird offen eine Strafe angedroht. Tatsächlich ist das aber von keinem Richter abgesegnet und wenn man das ignoriert, passiert gar nichts.
Nun würde man denken, bei so einem offensichtlichen Rechtsmissbrauch würde jemand was tun. Aber es tut niemand was, denn die Anklage müsste die Staatsanwaltschaft erheben, und die ist ja gerade der Täter hier.
Assistant District Attorney Chris Bowman, who serves as Cannizzaro’s spokesman, defended the use of the documents, which he called “notifications” or “notices.”Tja, die Südstaaten! Die haben ja auch in Hollywood-Filmen häufig eine ganz eigene Rechtsauffassung.“The district attorney does not see any legal issues with respect to this policy,” he said.
There is an escalation of privilege vulnerability in Intel® Active Management Technology (AMT), Intel® Standard Manageability (ISM), and Intel® Small Business Technology versions firmware versions 6.x, 7.x, 8.x 9.x, 10.x, 11.0, 11.5, and 11.6 that can allow an unprivileged attacker to gain control of the manageability features provided by these products. This vulnerability does not exist on Intel-based consumer PCs.Oh gut, dann haben wir ja nochmal Glück gehabt. Betrifft so gut wie niemanden!1!!
Korean startup Monit’s new Bluetooth sensor wants to make sniff tests a thing of the past by alerting parents as soon as their baby’s diaper is soiled. Later on, the sensor can be turned into a portable air quality and temperature monitor, extending its usefulness.Mir gehen die Witze aus, sorry.
According to the report, the selling point of this 2017 document is that Facebook's algorithms can determine, and allow advertisers to pinpoint, "moments when young people need a confidence boost." If that phrase isn't clear enough, Facebook's document offers a litany of teen emotional states that the company claims it can estimate based on how teens use the service, including "worthless," "insecure," "defeated," "anxious," "silly," "useless," "stupid," "overwhelmed," "stressed," and "a failure."Ach du Armer, komm, hier, eine Palette Häagen Dasz und ein paar wertlose selbstwertsteigernde Bullshit-Produkte!