Fragen? Antworten! Siehe auch: Alternativlos
OK, aber was ich eigentlich erzählen wollte: Kennt ihr das, wenn ihr euch wo aufhaltet und mit der Umgebung interagiert, und plötzlich habt ihr einen Perspektivwechsel? Ihr fühlt euch plötzlich an was erinnert? Das ist ja manchmal mehr wert als analytisches Grübeln, so ein Flash. Ich hatte zwei davon auf den ISD. Die wollte ich euch mal erzählen.
Der erste war, als ich in einem Vortrag über IEC62443 saß, und da vor mir die Folien mit den Details vorbei scrollten. Paragraph 15 Absatz 2 von Substandard 62443-5-23 heißt, dass beim Login ein eindeutige Identifizierung möglich sei. Ich will mich da nicht drüber lustig machen, aber ich hatte plötzlich das Gefühl, ich sitze bei einem D&D-Abend in einer Rollendebatte. Wer das nicht kennt: D&D ist ein Rollenspiel, da sitzen lauter Nerds um einen Tisch und nehmen gemeinsam an einer komplett herbeihalluzinierten Geschichte teil. Einer ist der Spielleiter, der hat eine Story und eine Karte vorbereitet und weiß grob, was passieren soll. Die anderen spielen Figuren in der Story. Das läuft dann so ab: Spieler 1: Ich will Paladin sein. Spieler 2: Du hast aber nur Weisheit 5! Spieler 1: Paladin braucht Charisma, nicht Weisheit!
Je nach Dialekt, den man spielt, gibt es dann endlose Regelbücher mit endlosen Tabellen für irgendwelche halluzinierten Eventualitäten. Sagen wir mal: Die Heldengruppe geht eine Treppe hinunter, und der Spielleiter sagt, dass die glitschig ist. Dann gibt es Regeln dafür, wie man (mit würfeln) entscheidet, ob die jetzt ausrutschen oder nicht. Dann kann Spieler A sagen: Gonzo hält sich an Bert fest! Und dann kann der Spielleiter sagen: Gonzo muss eine Gewandtheitsprobe machen, und Bert muss eine Probe +2 bestehen. Je nach Charakter von Spielern und Spielleiter kann man da schon mal einen Abend damit verbringen, eine Treppe hinunterzufallen. Es geht in dem Spiel darum, gemeinsam Spaß zu haben. Daher auch die Würfel. Die sollen verhindern, dass die Spieler sagen: Gonzo geht in die Höhle und haut alle Monster platt. Und dann ist das Abenteuer zuende. Die ganzen Regeln sind also eher Props für Improvisieren, an denen man sich entlang hangeln kann. Wenn man das mit guten Freunden spielt, kann das ein Mordsspaß sein.
Ich sitze also in diesem Talk über IEC 62443 und haben diesen mächtigen Flash, dass das wie D&D-Regeln ist. Das haben sich irgendwelche Leute aus dem Arsch gezogen, und es geht gar nicht um die Regeln sondern um was ganz anderes.
Und wie das so ist mit Eingebungen können die voll im Schwarzen landen, oder voll daneben. Oder irgendwo in der Mitte. Die These, dass es bei solchen Zertifikaten überhaupt nicht um die Regeln oder ihre Einhaltung geht (die schönsten D&D-Runden waren die, in denen wir die Regeln "kreativ ausgelegt" oder ganz ignoriert haben), sondern das soll den Mitspielern nur helfen, das eigentliche Ziel zu erreichen. Jetzt müsste man nur noch herausfinden, was das eigentliche Ziel ist. :-)
Wie wäre es mit: Soll mal über den Scheiß reflektiert haben? Und weil sich Leute Zeit nicht nehmen, außer man zwingt sie, zwingen wir sie jetzt halt mit endlosen Bullshit-Regularien dazu, sich mit dem Scheiß auseinanderzusetzen. Oder so.
Der zweite Flash war, als eine der AV-Buden da endlos herumschwadronierte, was sie alles über fiese Malware-Stränge und ihre Macher und Hintermänner herausrecherchiert haben.
Ich muss an der Stelle dazu sagen, dass mir das SOWAS VON EGAL ist, wer eine Lücke gegen mich ausnutzt. Ob der dafür 300 oder 40000 Dollar gezahlt hat. Ob der C&C-Kanal über IRC oder XMLRPC über Tor geht. Ist mir sowas von Latte, das glaubt ihr gar nicht. Mich interessiert, welche Lücke das ist. Wieso die da ist. Wieso die noch keiner gefunden und gefixt hat.
Ich sitze also in dem Talk über Malwareautoren-Recherchen (und ich benutze das Wort Recherche jetzt mal in einem sehr entspannten Wortsinn, weil das im Allgemeinen Kaffeesatzleserei ist), und habe plötzlich den Flash: Das ist Reality TV! Das ist wie die Kardashians hier! Leute erzählen mir irgendwelche "Fakten" über irgendwelche Promis, die ich nicht kenne, als ob das etwas ist, was mich interessieren sollte. Und ich kann mich des Eindrucks nicht erwehren, dass hier meine Zeit verplempert wird. Aber es übt auf einem sehr instinktiven Level eine gewisse Faszination aus, und Leute stehen drauf.
Das werde ich ab jetzt immer im Hinterkopf haben, wenn jemand über ISO 9000 und ähnliche Knebelregelwerke spricht. D&D. Hey, da könnte man mal eine humoristische Gegenüberstellung machen, die verschiedene dieser Standards und Zertifizierungs-Placebos mit Regelwerken aus der Rollenspielwelt vergleicht. Common Criteria EAL7 wäre dann sowas wie Rolemaster. Und wenn ich den Vortrag richtig verstanden habe, wäre IEC62443 dann Das Schwarze Auge. :-)
Security related changes: CVE-2009-5064: The ldd script would sometimes run the program under examination directly, without preventing code execution through the dynamic linker. (The glibc project disputes that this is a security vulnerability; only trusted binaries must be examined using the ldd script.)
Na ein Glück, dass wir das mal geklärt haben! Das wird nicht Jedem klar gewesen sein.
Das kommt aus der git-Version von glibc. In den aktuellen Man-Pages zu glibc steht das aber auch schon drin.
ICE said it arrested 167 people in and around Los Angeles, a region in which several cities and counties have been tagged by justice officials as being so-called sanctuaries — a loosely defined term used to describe local governments that restrict police from assisting immigration authorities in identifying and detaining people suspected of being in the country illegally.
Klingt nicht so gut: u.a. bei der Altersversorgung.
Ja super! Journalisten brauchen auch keine Altersversorgung. Die schicken wir nach Aleppo, wenn sie alt werden!!1!
Update: Ein Einsender schickt ein paar Zahlen und meint, das sei schon gerechtfertigt, denen das zusammenzukürzen.
Heute: CDU Thüringen stimmt mit AfD gegen Gedenkstätte für NSU-Opfer.
Manchmal wäre es mir echt lieber gewesen, nicht richtig gelegen zu haben. (Danke, Walter)
Die scheißen einfach einmal komplett auf alles, was es bei Star Trek so an etablierten Regeln gibt, haben das Geld für die wissenschaftlichen Berater gespart und lieber in Lens Flare und CGI investiert (und die CGI sieht auch richtig geil aus, aber dafür guckt man ja nicht Star Trek). Da kommt dann schon mal eine Szene, wo ein Raumschiff, dessen Sensoren Lebenszeichen wegen eines Sturmes nicht erkennen können, dann durch den Sturm landet und die Personen identifiziert hat, weil die eine Figur in den Sand gemalt haben. Die Figur im Sand haben die Sensoren durch den Sandsturm gesehen, klar. Aber die Kommunikatoren der Personen nicht. Leuchtet ein. Die bei den Vulkaniern aufgewachsene Hauptfigur ist emotionaler als James T. "KHAAAAANNNNN!!!1!" Kirk und hat an einer Stelle sogar Tränen in den Augen und ist getriggert, äh, traumatisiert. Ein Klingone stürzt versehentlich in sein Bat'leth und ist tot. Überhaupt sehen die Klingonen aus wie "wir müssen noch Budget für die Make-Up-Artists verbrennen". Völlig absurd. Und natürlich noch schnell einen SJW-Subplot mit einem Albino-Klingonen eingebaut (nein, wirklich!), der von dem fiesen Patriarch... äh, von der fiesen Gesellschaft unterdrückt wird und sich dann in einer emotionalen Szene durch Abspulen von ein paar Platitüden Respekt erkämpfen kann. Ich weiß gar nicht, wo ich anfangen soll. An der Serie stimmt gar nichts. So richtig ganz doll schlecht. Könnt ihr euch sparen.
Oh und The Orville lohnt auch nicht. Ist ein Flachwitz-Festival, das voll und ganz davon lebt, Nostalgie-Gute-Laune bei Ü40-Trekkies auszulösen. Die Witze funktionieren zu vielleicht 1/5 oder 1/4 der Fälle. Nicht empfehlenswert.
Irgendwie sehen gerade alle Serien wie Marvel-Einheitsbrei aus. Alles auf Null Risiko ausgelegt. Troubled Hero fights against all odds, has to fight his inner demons along the way, finds out he had it in him the whole time. *Gähn*. Da kann ich auch tvtropes.com lesen.
Update: Der Fairness halber sollte ich sagen, dass die anderen Serien gerade auch alle so schlimm sind, dass Discovery nicht so stark heraussticht wie sich das jetzt anhört. Ich hatte noch Hoffnungen mit Dark Matter, aber das wurde gerade nach der 2. 3. Season gecancelt. Und The Expanse ist gerade zwischen Seasons. Das ist echt der einzige echte Lichtblick gerade.
Oh wo wir bei Fairness sind: Ich passe genau in das Beuteschema von The Orville und amüsiere mich dann doch heimlich und peinlich berührt über die paar Flachwitze, die nicht im Rohr krepieren.
Heute kann ich aufklären: Keine fünf Tage.
Ich muss mir echt mal abgewöhnen, über sowas zu scherzen. (Danke, Alex)
Aber es kam ganz anders. Die Verbracherzentrale sagte, es ist ganz furchtbar und wir müssen was tun. eco sagte, das sei alles nicht so einfach. Das BSI sagte, sei arbeiten an einem Bouquet aus Maßnahmen, erstmal dieses Gütesiegel. Dann einigte man sich darauf, dass Gütesiegel kein gutes Wort sei, denn das drücke ja eine über das Minimum hinausgehende Qualität aus, und das sei ja eher eine Mindestanforderung. Dann verwies das BMWi darauf, dass Deutschland nicht einfach neue Mindestanforderungen aufstellen könne, das sei mit CE abschließend reguliert (ich fügte im Geiste hinzu: im Übrigen wäre das ja auch ein Markthemmnis und wir haben ja gerade CETA mit Kanada unterschrieben). R&S meinte, also ihre Produkte seien ja soweit alle sicher, und sie würden auch Updates zur Verfügung stellen. Also unter der Voraussetzung, klar, dass der Kunde einen Supportvertrag und ein SLA abgeschlossen hat. Versteht sich ja von selbst. Einer aus dem Publikum sprach Produkthaftung an, woraufhin glaube ich Schönbohm meinte, das ginge ja gar nicht, weil dann stünden ja die Verbände sofort auf der Matte und würden sagen, das ginge ja GAR nicht.
Ich kam aus dem Brechreiz gar nicht heraus. Was für eine Farce. Also erstmal: Wieso interessiert das irgendjemanden, was die Verbände zum Thema Produkthaftung finden? Wir fragen ja auch nicht den Verband der Skinheads, ob das strafbewehrt sein sollte, wenn man Ausländer aufklatscht!? WTF!?!?
Zweitens: Dass wir überhaupt über Updates reden, das ist schon ein freundliches Zugeständnis. Eigentlich ist die Idee, dass die Produkte ordentlich in den Handel kommen. Wenn sie das nicht tun, dann hat der Hersteller drei Mal Gelegenheit zum Nachbessern (und zwar mit Hinschicken, Hersteller zahlt Porto, Reparatur, Rückschicken, Hersteller zahlt Porto!) und wenn das dann nicht klappt, dann Geld zurück. Wir haben uns schon völlig ohne Not auf "Hersteller schickt mir ein Update und ich fresse die Kosten für Updaten" runterhandeln lassen. Und das Limit auf drei Versuche fürs Nachbessern, davon redet auch keiner bei Updates. Warum eigentlich nicht?
Während mir diese Gedanken durch den Kopf gingen, meinte jemand, man könne ja mal fordern, dass die Hersteller, wenn sie nicht mehr Updaten wollen oder "können", dass sie dann den Scheiß der Community übergeben, und die kann das ja dann machen. Ja, äh, nee, fuck you, liebe Industrie! Das ist eure verdammte Verantwortung! Externalisiert jetzt mal nicht auch noch den Support an eure Kunden! Was kommt als nächstes? Das BSI soll das machen, der Steuerzahler trägt die Kosten? Unfassbar.
So weit sind wir hier schon devot in die Bittsteller-Duldungsstarre verfallen.
Ich war jedenfalls stinksauer. Und hatte dann auch keine Zeit mehr, um noch peinliche Fragen zu stellen, weil ich zum Zug musste.
Vor diesem Podium war noch ein anderes Podium, das relativ prominent angekündigt wurde, mit dem Titel "War Stories", lauter Leute aus der AV-Industrie erzählen Geschichten. "Was der Security-Spezialist noch seinen Enkeln erzählt". Da hatte ich mir einiges von versprochen, aber es war dann ziemlich schlecht. Lauter so "Ja also UNSERE Software hat ja 500.000 Menschen vor $VIRUS geschützt!1!!". "Also wir haben ja diesen einen Typen hinter Gitter gebracht". "Wir haben diese großartige neue Voodoo-Technologie entwickelt, die schützt total super". Hätte ich mir auch sparen können, war eher Dauerwerbesendung. Ich habe dann noch versucht, mit einem Verweis auf Google Project Zero ein bisschen Unfrieden zu stiften, was augenscheinlich auch 6 von 8 Podiumsteilnehmern triggerte und die mussten dann ihren Drang zur Gegendarstellung zu meinen fiesen Unterstellungen befriedigen. Aber unter dem Strich leider auch eine vertane Chance.
Seit dem Morgen um 10.30 Uhr kämpften große Flughäfen rund um die Welt mit einem Problem: Die Software Amadeus Altea, die 125 Fluglinien weltweit für den Check-in nutzen, schien zusammengebrochen zu sein. […]Und das betrifft echt viele Menschen auf einmal gerade.Der IT-Dienstleister Amadeus in Madrid bestätigte die Panne.
Keynotes sind ja eher nicht so mein Gebiet, ich mache lieber Technik oder Entertainment. Keynotes sind überhaupt eine sehr merkwürdige Art des Vortrags. Ich habe mir mal gezielt ein paar Keynotes angeguckt, um zu sehen, was da von mir erwartet wird, und das ist ein ganz eigenes Genre.
Ca ein Viertel sind so "I have a dream"-Visionen, auch partiell "We shall overcome" (hier ist ein Problem, aber wir schaffen das!1!!), die Hälfte sind so Marketing-Blablah-Geschichten und Selbstbeweihräucherung der Branche, und ein Viertel sind so "wir werden alle störben"-Doomsday-Warnungen.
Das ist alles nicht so mein Metier. Ich bin eher ein Freund von Gedankengängen mit Erkenntnisgewinn am Ende.
Wenn man sich populäre TED-Talks anguckt, dann sind die Gedankengänge von der Komplexität her immer auffällig auf Ernie-und-Bert-Niveau. Ich glaube, dass das System hat. Der Zuschauer wird nicht überfordert und kann sich bestätigen, dass er zu den oberen 50% gehört, weil er das alles schon vorher wusste. Ich habe beobachtet, dass auch immer die Vortragenden am populärsten sind, die non-threatening sind, und zwar im körperlichen wie auch im übertragenen Sinn. Wo man keine Angst haben muss, dass er Chef das sieht und sich denkt: Ich feuer meine Leute und stell lieber den ein.
Ach naja. Ich mach mir da immer viel zu viel Sorgen. Publikumsbeschimpfung geht immer. :-)
Update: Die Veranstaltung stellt sich gerade als im Wesentlichen eine Schlangenöl-Verkaufsevent heraus. Ich bin ja immer wieder fasziniert, wie die Leute "Ransomware zieht dir Geld aus der Tasche" klar unmoralisch finden, aber "Schlangenölbranche zieht dir Geld aus der Tasche" ist halt Kapitalismus.
Ein mir neuer Aspekt, der mich gerade echt flasht, ist dass die Sales-Drohnen jetzt ernsthaft mit folgender Argumentation rumlaufen: Durch die EU-Datenschutzverordnung drohen ja Strafen bis zu 4% des Jahresumsatzes. Also werden bestimmt auch die Malware-Leute anfangen, ihre Schutzgelder entsprechend hochzudrehen. Also sollten Sie das als drohenden Schaden sehen. Also müssen Sie jetzt auch soviel (oder zumindest "entsprechend mehr" Geld für unser Schlangenöl ausgeben.
Wie geil ist DAS denn?!
Update: Oh und meine Keynote lief glaube ich ganz gut. Falls jemand wissen will, worum es ging: Ich erkläre, was Externalisierung von Kosten ist (Umweltverschmutzung, Atommüll, Bankenskandal), dass das gemeinhin als unmoralisch und verwerflich gesehen wird, und stelle dann die These in den Raum, dass das Verbreiten von schlechter Software auch Externalisierung von Kosten ist. Dann erkläre ich, wie Security-Bugs auch Bugs sind, und erzähle die Anekdote, wie ich herausfand, dass Format String Bugs gefährlich sind, und in Panik meine Quellen durchging, ob ich das auch mal falsch gemacht habe. Hatte ich nicht. Weil das vor Bekanntwerden der Security-Implikationen auch schon ein Bug ist, und ich meinen Code sorgfältig geschrieben hatte. Security-Probleme sind also Pfusch, schlussfolgere ich an der Stelle.
Dann geht es mir um die Frage, wieso wir Pfusch dulden, und beobachte, dass das immer ökonomische Argumente sind. Als letzten Teil versuche ich, das ökonomische Argument für Pfusch zu demolieren. Erstens ist der Vergleich einer billigen Pfusch-Lösung mit einer ordentlichen, sicheren Lösung unlauter, weil nur die eine die Anforderungen erfüllt. Zweitens, so habe ich bisher beobachtet, kostet das gar nicht mehr, etwas ordentlich zu machen, weil einem das noch vor Produktlaunch auf die Füße fällt, wenn man bei auch nur einem der Module gepfuscht hat. Da würde ich echt gerne mal ein paar wissenschaftliche Untersuchungen zu sehen, inwieweit man das nachmessen kann. Vielleicht irre ich ja.
Update: Jahresumsatz, nicht -profit. Mach ich jedesmal falsch, weil es so ungeheuerlich ist :-)
Also … wir haben es verkackt, aber trotzdem verkauft gekriegt, daher werte ich das mal als Gewinn. :-)
Auf der einen Seite ist das natürlich eine Riesenschweinerei dem Wähler gegenüber, das am Tag nach der Wahl anzusagen und nicht ne Woche vorher. Auf der anderen Seite gucke ich Parteien immer gerne beim Selbst-Zerlegen zu und kann mir auch hier eine gewisse diebische Schadenfreude nicht verkneifen. Auf der dritten Seite vermute ich mal, dass das jetzt irgendwelche tiefbraunen Hohlnazis nachrücken. Die Petry war jetzt nicht direkt satisfaktionsfähig, aber im Vergleich zu einer Betrix von Storch muss die rückblickend geradezu als Intelligentzija gelten.
Da gucken sich ja sogar die Piraten wundernd um, dass jemand derart schnell nach der Wahl den Warpkern auswirft.
Es geht immer noch um die Frage, wieso wir soviel in Security investieren und so wenig vorzuzeigen haben.
Hypothese: Man merkt, wenn man in einem Projekt mitmacht, das vor die Wand fahren wird. So gut wie niemand ist überrascht davon, wenn das Projekt plötzlich scheitert.
Ja oder nein?
Ein Freund hat mir entgegnet, das merke man erst, wenn man erfahren ist. Ich behaupte, dass jeder das instinktiv merkt. Weil Pfusch einen korrodierenden Effekt hat. Wenn du merkst, dass neben dir jemand pfuscht, und dass ganze Ding damit eh für den Arsch ist, dann gibst du dir auch weniger Mühe. Und das ergibt eine Kaskade, die am Ende auch der begriffsstutzigste mitkriegt und dann mitpfuscht.
Stimmt ihr dem zu oder nicht?
Die Gegenthese wäre, dass der Betongießer beim BER keine Ahnung von der Statik hat und nicht merken würde, wenn für die Kabelkanäle nicht genug Tragfähigkeit eingeplant wurde.
Hätte man das nicht vielleicht vor der Wahl mal zwanglos ansprechen können? Da war wohl kein Platz mehr, weil der schon mit AfD-Bashing belegt war? (Danke, Magnus)
Ich bin gegen fiktive Szenarien. Aber wenn tatsächlich die Gefahr besteht, dass Israel von der Landkarte verschwindet und die Juden – jetzt sage ich mal was ganz hartes – ins Meer getrieben werden, dann müssen wir in der Tat an der Seite Israels stehen.Das verbreitet mal schön, immer wenn Gauland was sagt. Das kommt bestimmt total super an bei seinen Wählern.
Ansonsten läuft es bei der FAZ gerade nicht so rund. (Danke, Paul)
Gibt es überhaupt noch Wege, wie Equifax noch unethischer auftreten könnte?
[Wir hatten] eine Flanke auf der rechten Seite, eine offene Flanke, und deshalb kommt es jetzt in den nächsten Wochen besonders darauf an, dass wir diese Flanke schließen.Genau was die CSU jetzt braucht! Noch einen Rechtsruck! Den halben Millimeter, den sie noch nach rechts rücken können…
Oh und falls ihr euch gefragt habt, wieso die CSU öffentlich bekräftigt, sie wolle weiter mit der CDU zusammenarbeiten (Ctrl-F 12:38)… nun, rein rechnerisch ginge die Jamaica-Koalition auch ohne die CSU. Und so wie die zuletzt gegen die Merkel geholzt haben, …
Update: Das mit der CSU stimmte wohl nur bei einer früheren Hochrechnung :-(
Enterprises need to tread carefully and learn to appreciate that, for many tech suppliers, GDPR is seen as little more than a new source of revenue generation.Was Sie nicht sagen!Tja, die sollten sich mal lieber ein Geschäftsmodell wie Netapp raussuchen. Festplatten mit ein paar Tausend Prozent Profitmarge verkaufen. Da braucht man dann kein Schlangenöl mehr, klar. (Danke, Daniel)
Gauland stellte das Bekenntnis von Bundeskanzlerin Angela Merkel (CDU) infrage, wonach das Existenzrecht Israels zur Staatsräson in Deutschland gehört. Zähle es dazu, müsste Deutschland auch bereit sein, Soldaten zur Verteidigung Israels zu entsenden, sagte Gauland. Daher sei dies ein schwieriges Thema.Wenn wir mal gemeinsam genau hinschauen, werden wir feststellen, dass Gauland hier Merkel dafür kritisiert, dass sie Dinge verspricht, die sie nicht meint. Man könnte das sogar so lesen, dass Gauland findet, wir sollten Soldaten zum Schutz von Israel entsenden.
Aber die Twitter-Reaktion auf diesen Spruch war natürlich ein "DIESE NAZIS STELLEN DAS EXISTENZRECHT ISRAELS IN FRAGE"-Aufschrei.
Ich weiß noch, im Dezember, nachdem Trump gewonnen hatte, wie ich mich über die Idioten auf der Linken dort geärgert haben, die das nicht als Lektion nahmen, über die man reflektieren und aus der man lernen kann, sondern die immer nur noch hysterischer kreischten. Und jetzt haben wir das hier.
Die richtige Reaktion der Linken wäre gewesen, den Gauland direkt darauf festzunageln, dass die AfD Soldaten zum Schutz von Israel entsendet. Das wäre mal eine Schlagzeile gewesen! "AfD will Bundeswehr nach Israel schicken"!
Aber neeiiiinnn, bei uns ist ja kreischen wichtiger als denken.
Und nun stellt euch mal vor, was passiert, wenn die AfD sich dann offen von der Gauland-Äußerung distanziert? Wie ich die CDU und SPD kenne, würden die dann, nur um sich von der AfD abzugrenzen, sofort das Gegenteil vertreten, also doch Soldaten nach Israel zu schicken. DAS wäre mal eine Schlagzeile gewesen!
Update: Ich stell mir gerade vor, wie die Antideutschen offiziell Gauland für seine Position loben, das Existenzrecht Israels sei nicht hinterfragbar und müsse zur Not mit Waffengewalt verteidigt werden. Da hätte ich meine Popcornvorräte aufstocken müssen! Denn da könnt ihr mal einen drauf lassen, dass dann bei den nächsten Interviews ein Journalist nachfragt, und dann muss er sich bekennen oder distanzieren.
Die Grünen werden das selbstverständlich alles mittragen, denn Prinzipien haben die ja nicht. Vielleicht starten die Grünen noch einen schönen völkerrechtswidrigen Angriffskrieg oder zwei. Möglicherweise gibt es auch den Atom-Ausstieg-Ausstieg. Denn wenn jemand nicht aus der Atomkraft aussteigen will, dann die Grünen. Die haben ja sonst kein Thema mehr. Das SJW-Anbiedern hat jetzt jedenfalls ganz schnell ein Ende. Frauenquote? In einer Regierung mit der CDU? LOL nein.
Die SPD geht und nimmt ihre schlechten Minister mit, u.a. den Maas und die Schwesig. Da die CDU jetzt anscheinend verstanden hat, dass ohne Glasfaser auf dem Land ihre Kern-Wählerschaft wirtschaftlich am Ende sind, wird es vermutlich inhaltlich mehr um Ausbau als um Zensur gehen. Mal gucken. Der CDU sind Zensurbestrebungen ja auch nicht fremd. Vielleicht gehen sie das auch ohne die SPD in die Richtung.
Die Linken werden weiter keine Rolle spielen, obwohl sie im Parlament sitzen (warum ist das eigentlich so?!).
Die AfD wird den Pausenclown geben, und von den anderen Parteien wie Aussätzige boykottiert werden. Das wird teilweise popcornreife Szenen geben, wenn die SPD schnell anders stimmt, um nicht so zu stimmen wie die AfD. Wenn die AfD nicht völlig auf den Kopf gefallen ist, werden sie das gezielt ausnutzen.
An der Stelle sehr interessant ist übrigens diese Analyse, wer was gewählt hat. Da fallen zwei Erkenntnisse raus. Die AfD ist bei Arbeitern und im Osten besonders stark. Die FDP ist bei den Selbständigen und im Westen besonders stark. Die FDP ist sozusagen die AfD des Westens. Oder die AfD ist die FDP des Ostens.
Oh und für SJW ist das Wahlergebnis aus meiner Sicht ungefähr so kataklysmisch wie Trumps Sieg bei der Präsidentschaftswahl.
Detail am Rande: Frauke Petry will nicht in die AfD-Fraktion, Richtungsstreit mit Gauland. Ich glaube, dass Gauland der Stimmenfänger war. Damit hat die AfD deutlich gemacht, dass sie die braunste Nazisuppe ist, die man als Protestpartei wählen kann. Die Leute, die sowas wie die AfD aus inhaltlichen Gründen wählen (haha!), denen ist auch egal, ob Gauland oder Petry. Aber die Protestwähler hat Gauland rangeholt, nicht Petry.
Spannende Statistik am Rande: AfD-Hochburgen und Ausländeranteil im Vergleich.
Update: Besserer Link für Petry.
In Berlin sorgen IT-Probleme für ein Wahlchaos. Wie mein Kollege Fabian Reinbold erfuhr, flossen ab 20.30 Uhr keinerlei Ergebnisse mehr beim Landeswahlleiter ein. Das betrifft gleich zwei Abstimmungen: In Berlin wird nicht nur die Bundestagswahl ausgezählt, sondern noch ein Volksentscheid zum Flughafen Tegel.Packt eure Daten in die Cloud, sagten sie! Da sind die Daten sicher!Die sichere Cloud-Umgebung, auf der die Wahllokale die Ergebnisse eintragen sollen, ist demnach ausgefallen. Das Problem liege beim landeseigenen IT-Dienstleistungszentrum.
Das waren beides mal Volksparteien! Die fast alleine die absolute Mehrheit eingefahren haben! Nun, die Zeiten sind vorbei. Gut so.
Ich persönlich finde es gut, wenn die Merkel jetzt noch die FDP und Grünen in den Abgrund mitnimmt.
Meine Lieblingsregierung, ich hatte das ja hier schon ein paar Mal gesagt, ist eine Minderheitsregierung, die für jede Sachfrage die Mehrheiten mit inhaltlichen Argumenten zusammenverhandeln muss. Da sind wir nicht mehr weit von entfernt. Ich würde fast vermuten, dass Jamaica faktisch auf sowas hinauslaufen würde, weil die klugen Köpfe von der FDP jetzt mit Sicherheit einen auf dicke Hose machen werden. Hier ist ein früher Auftritt von Lindner als "Jungunternehmer"-Benz-Prolet. Vier Jahre mit so einem auf ihrer Seite, und der muss bei allen wichtigen Entscheidungen für dich Stimmen, danach ist die Merkel reif für den Ruhestand.
Bis auf die 13% für die AfD bin ich mit dem Wahlergebnis eigentlich ganz zufrieden. Unter den Umständen…
Na kein Wunder, dass der von Blumencron das Weite sucht.
Und da haben sowohl Print- als auch Online-Version der FAZ nachhaltig versagt.
Hätte sie doch nur jemand gewarnt!!1!
Und ihr geht hoffentlich auch alle wählen heute!!
Update: Einsendungen:
Wenn die AfD gewinnt, machen wir es ähnlich der Facebook Aktion von Die PARTEI.
Wir treten in die Partei ein und übernehmen mit der Zeit den Vorstand.
und
Wir hoffen darauf, dass die Alliierten uns nochmal befreien. :-D
und mein Favorit
dann treffen wir uns an den Barrikaden
Russia: Trump and Kim are like 'children in a kindergarten'Moscow's Sergei Lavrov said a pause was needed, "to calm down the hotheads".
"Yes, it's unacceptable to silently watch North Korea's nuclear military adventures but it is also unacceptable to unleash war on the Korean Peninsula," he said.
Währenddessen hat China übrigens ihren Ölexport nach Nordkorea gedrosselt, entsprechend der Uno-Sanktionen.
Keine Sorge, an Abhilfe wird gearbeitet!
Formula One is working on a microphone that can be attached to a car’s exhaust system to make the sport louder and more ‘visceral’ for television viewers.Na also! Geht doch! (Danke, Mathias)
Ergebnis der Studie: Bis auf Ausnahmen wie frisch erschienene Blockbuster? Keine.
Also hat die EU-Kommission die Studie in der Rundablage vergammeln lassen und nicht veröffentlicht.
Wie in der Pharmabranche! Nur dass die die Ausrede haben, dass sie mit ihrem eigenen Geld für die Studien gezahlt haben.
Und wie bei Trump und den Gender Studies! Wenn wir die Augen schnell genug zumachen, dass wir die Gegenargumente nicht sehen, dann gelten die auch nicht!1!!
Update: Ich bin ja ehrlich gesagt ziemlich angefressen, dass ich darüber aus US-Medien erfahren muss. Gut, Netzpolitik.org hat natürlich was.
Die FTC hatte D-Link verklagt, weil die so unsichere Plasterouter ausgeliefert hatten. Die FTC als Regulierungsbehörde fand, dass das negative Auswirkungen haben sollte, die weiter gehen als "wir machen mal nen Patch, den wir dann shippen, wenn er halt fertig ist, und den könnt ihr euch auf eigene Kosten runterladen und aufspielen".
Das hat nicht geklappt. Damit leben wir jetzt ganz offiziell in einer Welt, in der es keine negativen Auswirkungen hat, unsicheren Elektroschrott auszuliefern.
JA SUPER!
Ein Fuzzer ist ein Stück Code, das mehr oder weniger zufälligen Müll generiert. Dann lässt man den zu testenden Code drüber laufen und guckt, ob er abstürzt. Eine fürchtlich primitiv klingende Methode, aber sie ist immer wieder erschütternd effektiv. So auch dieses Mal.
Sie fanden in allen Browsern Bugs. In Chrome waren es 2, in Firefox 4, in IE 4, in Edge 6 und in Safari 17 (!!).
Apple wird also mal wieder ihrem in langen Jahren harter Arbeit erworbenen Ruf gerecht.
It allows an attacker of the machine to run unsigned code in PCH on any motherboard via Skylake+. The main system can remain functional, so the user may not even suspect that his or her computer now has malware resistant to reinstalling of the OS and updating BIOS.Und sie sagen, dass auf der IME ein angepasstes MINIX läuft. Das finde ich ja nun echt ultra-gruselig. Die haben meiner Erfahrung nach Security noch nicht wirklich auf dem Radar.
Aber dass das Blitzschlag auslösen kann, das war mir neu.
China Bans Bitcoin Executives From Leaving the Country, Miners “Preparing for the Worst”
Das kann wohl sein, dass der den Inhalt eures Terminals per DNS ins Internet rausgeleakt hat. (Danke, Sven)
Vielleicht ist das ja das Ziel. Vielleicht geht es gar nicht darum, die Bevölkerung zu überzeugen. Es reicht ja, den Präsidenten zu überzeugen.
[Info]
1=19.09.17: EINSTELLUNG AUTOMATISCHER DOWNLOADS - BITTE KONTAKTIEREN SIE IHREN SERVICELEISTER
Blockchain für die Gesundheitsbranche soll Austausch medizinischer Daten vereinfachenBINGO!
Oh und so viel technisches Unverständnis auf einem Haufen hatten wir schon lange nicht mehr.
Sehr geil ist auch, was die Russen da üben wollten:
The Zapad 2017 military exercises are taking place in Russia and Belarus and simulate a Nato-backed separatist revolt in northern Belarus. The seven-day drills are due to end on Thursday.
New hotness: Datenreichtum der NSA-Kryptoknackhardware-Dokumente über einen ungesicherten Rechner an einer Uni.
Die Dokumente dokumentieren "WindsorGreen", das Nachfolgemodell von WindsorBlue, über das in den Snowden-Dokumenten Andeutungen standen, daher ist das hier vermutlich echt.
Auf der Skala der paranoiden Bedrohungsszenarien, die sich Krypto-Leute seit Dekaden in endlosen Spekulationen über die NSA zurechtlegen, ist das ziemlich weit oben. Die haben da ASICs mit 30nm Strukturbreite am Start, eine Kooperation mit IBM. Der Vorgänger war noch 90nm. Und der Vorgänger hat noch DRAM verwendet, hier sind sie auf SRAM umgestellt. Das zeigt, dass es sich hier entweder um eine Verzweiflungstat oder ein "Geld spielt keine Rolle"-Szenario handelt, denn in normalen Computern wird SRAM für die Caches in der CPU verwendet, und für nichts größeres, weil es viel zu teuer wäre. Das zieht niemand auch nur in Erwägung. Cray hatte damals in ihren legendären Kisten SRAM als Hauptspeicher verbaut. Daher waren die auch so teuer.
Der Punkt ist jedenfalls: Wenn jemand zu mir käme, "Geld spielt keine Rolle, wir müssen Krypto knacken" sagt, dann wären das ungefähr die Rahmenparameter, die mir als unrealistische rechts-unten-Option einfallen würden. Ich will gar nicht wissen, was so ein Gerät kostet.
Scrollt mal ein bisschen runter. Da seht ihr eine Pixel-Art-Darstellung von einer Installation. Das ist eine Turnhalle, von der Größe her. Und das ist der Vorgänger des Vorgängers. Dieses Teil wird auch mindestens so groß sein.
Die gute Nachricht ist, dass das Angriffsmodell für Krypto-Algorithmen genau ein Laden ist, der solche Hardware bauen würde. Wenn ihr mindestens 2048-Bit RSA nehmt, und einen 256-Bit AES darüber, dann kann das auch so eine Maschine nicht mal eben brechen.
Aber wir wissen jetzt, dass sie es wirklich versuchen wollen. Die, die sich jetzt echt Sorgen machen sollten, sind Leute, die keine ordentlichen Passwort-Hash-Verfahren verwenden. Das ist in der Praxis so die schimmeligste Krypto-Eiterbeule, die man vorfindet. So "MD5 vom Password" oder so.
Übrigens ist Passwort-Hashing in den letzten Jahren explizit mit Verfahren wie scrypt oder Argon2 auf das Bedrohungsszenario ASIC eingegangen, und haben Verfahren entworfen, die viel RAM-Zugriffe haben. Denn das ist die Achilles-Sehne von ASICs. Diese Dokumente sind jetzt schon ein paar Jahre älter. ASICs können zwar Algorithmen beschleunigen gegenüber einer CPU, aber Speicherzugriffe sind immer noch langsam und man hat an ASICs im Allgemeinen Größenordnungen weniger Speicher als an normalen CPUs. Dieser Speicher-Faktor bei scrypt und Argon2 hat das Ziel, ASICs den Vorteil ihrer algorithmischen Beschleunigung nicht mehr ausspielen zu lassen. Die Frage ist jetzt, ob die NSA da genug SRAM verbaut hat, um solche Behinderungen zu kompensieren oder nicht.
Lauter so Parolen, und man soll dann anklicken, wer es gesagt hat. Wenn ihr mal so richtig gepflegt 0 Punkte haben wollt, ist das das Quiz für euch. :-)
New hotness: Es riecht nach Salzsäure nach einem kleineren Industrieunfall im nahegelegenen Hafendock! (Danke, Magnus)
Aber jetzt stellt sich raus: Das FBI hat Trumps Wahlkampfmanager Manafort abgehört, sowohl vor als auch nach der Wahl.
Tja, ab einer gewissen Geldmenge weiß man halt nicht mehr, wohin damit!1!!
In July, the Director of the World Wide Web Consortium overruled dozens of members' objections to publishing a DRM standard without a compromise to protect accessibility, security research, archiving, and competition.EFF appealed the decision, the first-ever appeal in W3C history, which concluded last week with a deeply divided membership. 58.4% of the group voted to go on with publication, and the W3C did so today, an unprecedented move in a body that has always operated on consensus and compromise. In their public statements about the standard, the W3C executive repeatedly said that they didn't think the DRM advocates would be willing to compromise, and in the absence of such willingness, the exec have given them everything they demanded.
Damit haben sie die Fluttore geöffnet. Wenn man Bullys nicht entgegentritt, dann ist das eine Einladung für alle anderen Bullys.Die EFF ist daraufhin ausgetreten.
Wer es konkreter mag: Schöne NDR-Doku über die Post und ihre Sub-Sub-Sub-Unternehmer aus Polen.
Das ist, was die Merkel meint, wenn sie von Erfolg und weiter so spricht im Wahlkampf.
Fortunately Apache developer Jacob Champion digged into it and figured out what was going on: Apache supports a configuration directive Limits that allows restricting access to certain HTTP methods to a specific user. And if one sets the Limit directive in an .htaccess file for an HTTP method that's not globally registered in the server then the corruption happens. After that I was able to reproduce it myself. Setting a Limit directive for any invalid HTTP method in an .htaccess file caused a use after free error in the construction of the Allow header which was also detectable with Address Sanitizer.
For a period of time, the legitimate signed version of CCleaner 5.33 being distributed by Avast also contained a multi-stage malware payload that rode on top of the installation of CCleaner.CCleaner ist eine von diesen überflüssigen Beschäftigungstherapie-Produkten für hyperaktive Windows-User, die glauben, sie müssten periodisch ihre Registry aufräumen oder so.In reviewing the Version History page on the CCleaner download site, it appears that the affected version (5.33) was released on August 15, 2017. On September 12, 2017 version 5.34 was released. The version containing the malicious payload (5.33) was being distributed between these dates. This version was signed using a valid certificate that was issued to Piriform Ltd by Symantec and is valid through 10/10/2018.Einige Leute werden sich jetzt vielleicht fragen, ob da ein Schlangenöl-Hersteller seinen Absatz ankurbeln wollte. Hier ist das Presse-Statement des Herstellers. Der versucht nicht mal zu erklären, wie es soweit kommen konnte.At this stage, we don’t want to speculate how the unauthorized code appeared in the CCleaner software, where the attack originated from, how long it was being prepared and who stood behind it. The investigation is still ongoing.Oh ach so. Ihr ermittelt noch. Da na bin ich ja mal gespannt, was da rauskommt!1!!
Finally, the Send Me the Bill Award goes to Michigan, which told us that fulfilling our request would take approximately 2.5 million hours to complete and incur an “enormous” fee. We calculated it would take the agency a minimum of 285 years to fulfill our request.After insisting the agency put its response in writing, a custodian sent an email a few days later stating he could pull the data for free in three days.
BWAHAHAHA
Die Antwort bedient diverse fiese Vorurteile:
Equifax “Chief Security Officer” Susan Mauldin has a bachelor’s degree and a master of fine arts degree in music composition from the University of Georgia. Her LinkedIn professional profile lists no education related to technology or security.Und als die an der Stelle zu stochern anfingen, passierte das hier:Her LinkedIn page was made private and her last name replaced with “M.” Two videos of interviews with Mauldin have been removed from YouTube. A podcast of an interview has also been taken down.For the record: Einige der besten Security-Leute, die ich kenne, sind auch Musiker. Und ob Frauen besser oder schlechter sind, lässt sich wegen der geringen absoluten Zahl nicht beurteilen.Aber jemanden ohne Erfahrung zum Chief wasauchimmer machen, und dann, wenn jemand guckt, schnell die Beweise vernichten? Das bedient alle meine fiesen Vorurteile über große Firmen aus der Finanzbranche :-)
Update: Jetzt hat Equifax sie gefeuert, ohne in der Pressemitteilung ihren Namen zu nennen. Auch nicht gerade die feine englische Art.
Die Bundesregierung wusste schon länger, dass die Wahlsoftware unsicher ist.
Internetpranger? Können die Rechten auch.
Die andere Seite als Terroristen bezeichnen und sie den Arbeitsplatz kosten? Können die Rechten auch.
Sich als Opfer darstellen zum Virtue Signalling in der Ingroup? Können die Rechten auch.
Safe Spaces fordern? Können die Rechten auch!
Was die Rechten sogar besser können: Das Konzept anwenden, wenn sie tatsächlich selbst betroffen sind. Die Linken sind ja so bescheuert und beschweren sich hauptsächlich über Dinge, die Andere diskriminieren könnten. Damit erreicht man natürlich nicht viel. Die Rechten sind zwar doof, aber nicht so doof, das zu übernehmen. Noch nicht. Mal gucken.
Die Liste der Probleme ist einmal alles:
Bei den Lücken handelt es sich unter anderem um Hintertürzugänge mit fest eingestellten Passwörtern, zu laxen Datei-Rechten, auf dem Gerät unsicher gespeicherten Passwörtern und einem DHCP-Client, über den Angreifer eigene Befehle mit Admin-Rechten ausführen können. Außerdem überprüfen die Geräte Firmware-Updates nicht oder nur ungenügendJa super! Von so einer Qualitätsfirma will man doch Qualitätsprodukte kaufen!1!!
Der BND hat ein System zur Überwachung des Tor-Netzwerks entwickelt und Bundesbehörden gewarnt, dass dessen Anonymisierung „unwirksam“ ist. Das geht aus einer Reihe geheimer Dokumente hervor, die wir veröffentlichen. Der Geheimdienst gab einen Prototyp dieser Technik an die NSA, in Erwartung einer Gegenleistung.Es sieht so aus, als sei der Ansatz eine Traffic-Korrelation. Das ist schon von Anfang an bekannt, dass man damit Tor angreifen kann, und steht auch im Tor-Design-Dokument.
Ich denke mal, wenn sie damit durchkommen, dann würden ein Haufen reiche Männer in Zukunft schnell eine syrische Staatsbürgerschaft annehmen, um sich kostengünstig scheiden zu lassen.
Das Geschäft der Großkundensparte sei "anhaltend schwierig" und habe in den vergangenen Jahren trotz aller Bemühungen von Clemens immer wieder hohe Verluste erwirtschaftet, hieß es aus Branchenkreisen. Deshalb habe der Aufsichtsrat jetzt reagiert.
Vor der Jugendkammer erklärte er, fasziniert von Pyrotechnik gewesen zu sein.Na dann!
Außerdem stellten [die Ermittler] eine Nähe zu rechtem Gedankengut fest.Seht ihr? Ganz harmlos!
AfD-Spitzenkandidatin Alice Weidel hat nach ZEIT-Recherchen illegal eine Syrerin im Haushalt beschäftigt. Ihr Anwalt bestreitet das.
Bitcoin is a fraud that will ultimately blow up, according to JP Morgan boss Jamie Dimon, who said the digital currency was only fit for use by drug dealers, murderers and people living in places such as North Korea.Ja aber echt mal! Und wo kämen wir da hin, wenn die Kriminellen nicht mehr die Dienste von JPMorgan in Anspruch nehmen müssten für ihre Geldwäsche und Steuer"optimierungen", sondern einfach Bitcoin nehmen könnten? Das geht ja mal gar nicht! Völlig offensichtlich, dass das zum Aussterben verdammt ist.Aber der ganze Artikel ist ein einziger Lacher.
He added: “The currency isn’t going to work. You can’t have a business where people can invent a currency out of thin air and think that people who are buying it are really smart.Oh ach? Man kann eine Währung nicht einfach erfinden?
Nachdem das erste schon so ein großer Erfolg war!1!!
Eigentlich wäre es ja mal an der Zeit für einen Reichsbürger-Joke.
Wieso werden bei Reichsbürgern am Tatort keine Pässe gefunden?
Weil sie die Bundesrepublik Deutschland nicht als Staat anerkennen und daher keinen Pass haben! *tusch*
Money Quote:
The attack does not require the targeted device to be paired to the attacker’s device, or even to be set on discoverable mode.Wir reden hier von Remote Code Execution.
But this quake was different: it occurred within the Cocos plate as it warped or bent, not at the boundary with the North American plate, according to the US Geological Survey.Das ist an sich nicht ungewöhnlich, aber da kommen normalerweise bei weitem nicht so starke Beben bei raus.“The type of faulting that occurred here does not usually produce earthquakes of this magnitude,” says Polet. “There have been others in the past 50 years of similar type and location, but none that was even close to this size.” It is still too early to say why the earthquake was so massive, she adds, but “it is sure to inspire much future research”.Mit anderen Worten: Die Wissenschaft kann sich das auch nicht erklären :-)
Der Typ, der mruby anbietet, hat gerade eine Bug-Lavine von biblischen Ausmaßen abgekriegt, nachdem eine Firma eine Bug Bounty für eine auf mruby basierende Webplattform gemacht hat. Die Firma dachte sich, sie legt man $20k zurück. Am Ende waren es eher so $500k, die sie auszahlen mussten.
Und der Maintainer sagt dazu was? Na klar!
Ruby is a complicated language which makes every Ruby implementation complex and likely to contain bugs. As a matter of fact I notice at least one of the bugs which was found in mruby to be also applicable to standard C Ruby (MRI). […] C sucks as a language to write stable code in a simple manner.Ist halt schwierig! Und im Übrigen ist C Schuld! Nicht etwa ich, nein mein Herr! Ich bin hier das Opfer!1!! (Danke, Daniel)
Guckt nur mal diese tolle Geschichte von der Digitalisierung der Stromzähler in Velbert an!
Da kriegen die meisten Haushalte (die, die weniger als 6000 kWh/a verbrauchen) bald einen neuen Stromzähler. Der ist dann digital. Neue Funktionen hat der auch: Man kann das Display ablesen! Für dieses Privileg zahlt man dann pro Jahr 20 € Gebühren.
Das muss aber ein besonders komfortabel abzulesendes Display sein, denkt ihr euch jetzt sicher! Und ihr habt völlig Recht! Da kommen modernste Technologien zum Einsatz! Eine PIN zum Beispiel! Die wird den Kunden per Post zugeschickt. Und was macht man mit der?
Die Geräte verfügen über ein zweizeiliges Display, jedoch über keine Tastatur oder andere Eingabeeinheiten mit Ausnahme eines Lichtsensors.Der eine oder andere wird schon ahnen, wo die Reise gleich hingeht…
Die PIN-Eingabe wird mit Zweimal-kurz-Anleuchten gestartet, dann werden die vier Ziffern einzeln durch erneutes Anleuchten vorgezählt, für eine 9 wird also neunmal mit der Taschenlampe auf den Sensor geleuchtet, aber bitte nur kurz, denn Fehleingaben führen zum Neustart des gesamten Vorgangs.Der eine oder andere wird sich jetzt fragen: Warte mal, wenn Fehleingaben zum Abbruch führen, und man durch "Klicken" (Wie in den 1970er Jahren beim Telefon! Da konnte man durch besonders schnelles Auflegen und Abnehmen des Hörers wählen!) wählt, woher weiß der dann, wann die nächste Ziffer kommt? Das ist nicht trivial, denn die sind ja nicht so schlau und verwenden Morsecode, wo man nur 5 Symbole für jede Ziffer braucht. Nein. Morsecode ist zu Scifi für die digitalen Stromzähler! Auf die Gefahr hin, dass die Antwort die Bevölkerung verunsichern könnte:
Nach Eingabe einer Ziffer wird drei Sekunden gewartet, dann kommt die nächste Ziffer dran.Und nein, das ist nicht The Onion, nicht der 1. April und nicht der Postillon.
Gut, der eine oder andere Zyniker unter euch wird sich jetzt denken: Hey, wenn das so umständlich ist, die PIN einzugeben, dann muss man da ja auch keinen Schutz gegen Durchprobieren einbauen. Das sehen die Stadtwerke übrigens genau so!
Die PIN kann jedoch nicht geändert, dafür aber beliebig oft ausprobiert werden, was ihren Nutzen zweifelhaft erscheinen lässt.Immer diese Fortschrittsfeinde! Ich sage nur: Digital First. Bedenken Second. (Danke, Thomas)
Ich persönlich fände ihre Position da leichter zu vertreten, wenn man nicht in der Zeitung sowas hier lesen müsste:
Er und seine Mitarbeiter, darunter auch ausländische – „wir sind ein Multikulti-Haus, meine Frau ist Russin“ –, seien massiv bedroht worden in Form von „Telefonterror“.Ja super! Anonyme Gewaltdrohungen! Da weiß man doch, dass man auf der richtigen Seite der Barrikaden kämpft, wenn man sowas hört!Er werde seinen Betrieb nicht mehr wiedererkennen, wenn die Veranstaltung stattfinde, sei ihm und seinen Mitarbeitern unter anderem gesagt worden. „Da kommen doch die Bilder vom G20-Gipfel in Hamburg bei mir hoch, das macht mir natürlich Angst“, sagt Kinne. Wer die Anrufer waren, wisse er nicht.
Der Punkt an Menschenrechten wie körperlicher Unversehrtheit ist, dass sie für alle gelten. Auch für die AfD. Auch für Gastwirte, die die AfD bewirten. Für alle. Nicht nur für "Gesinnungsgenossen und Biodeutsche". Und auch nicht nur für "Gesinnungsgenossen und Ausländer".
Florida sheriff's office warns people not to shoot at Hurricane Irma
Na?
Richtig! Die FDP!
Nach Informationen des SPIEGEL schuldet die frühere FDP-Bundestagsfraktion einer Rentenkasse mindestens knapp sechs Millionen Euro - für die laufenden und künftigen Betriebsrenten früherer Mitarbeiter der 2013 aus dem Parlament ausgeschiedenen Fraktion.
Update: Ein Einsender erklärt:
- Das ist nicht *die FDP*, sondern die "FDP Fraktion in Liquidation". Es existiert, verfassungsbedingt, eine strikte Trennung von Partei und Fraktion (Gewissensverpflichtung, etc.).
- Das ist kein Konstrukt, welches sich die FDP so ausgedacht hätte, um sich um Zahlungen zu drücken. Es kommt bei jeder anderen Fraktion, die den Bundestag (oder ggf. Landesparlamente) verlassen muss, zum selben Problem: Die Fraktion muss in Liquidation gehen, aber mangels Masse ist ein Insolvenzverfahren völlig aussichtslos.
- Es existiert eine Stundungsvereinbarung mit der Versicherung, d.h. nach einem Wiedereinzug muss die neue Fraktion die Beiträge nachzahlen - die Alternative wäre die sofortige Insolvenz mit der Folge, dass die Rentenversicherung keinen Cent wiedergesehen hätte, denn aus Punkt 1 ergibt sich, dass die Partei nicht für Verbindlichkeiten der Fraktion haftet.
- Man müsste das Problem lösen, indem die Versicherung der Angestellten der Fraktionen kapitalbasiert erfolgt. Dafür müssten die Fraktionen, die komplett aus Steuermitteln finanziert werden, aber das entsprechende Kapital zur Verfügung gestellt bekommen. Konsequenterweise fordert die FDP genau das (mehr kapitalbasierte Altersvorsorge).
Aus der Bemerkung mit der kapitalbasierten Altersvorsorge schließe ich mal, dass der Einsender FDP-Wähler oder -Mitglied ist :-)
Ach komm, die Reichsbürger, die wollen doch bloß spielen! Da muss man nicht mit SEK die Tür eintreten und die erstmal fünf Jahre in Sicherheitsverwahrung nehmen!
Die Partei, die uns die Agenda 2010 gebracht hat, vom Arbeitsamt verhängte Zwangsarbeit und Gängelei der Schwächsten der Gesellschaft, die Partei, die es gleichzeitig immer noch wagt, im Wahlkampf soziale Gerechtigkeit zu versprechen, DIESE Partei hat DIE STIRN, uns jetzt zu erzählen, die AfD sei verfassungsfeindlich?!
Der Mann, der unser Zeitalter der Aufklärung und Presse- und Meinungsfreiheit mit seinem "Netzwerkdurchsetzungsgesetz" in ein dunkles Zeitalter nicht nur der Internetzensur, sondern der privatisierten Internetzensur zurückwerfen will. DER erzählt uns jetzt hier einen vom Pferd, wie verfassungsfeindlich die AfD ist?
Ich bin ja kein Freund der AfD, aber die mussten bisher noch nicht wegen ihrer Verfassungsfeindlichkeit vom Verfassungsgericht zurückgepfiffen werden. Ganz im Gegenteil zu den honorigen "Verfassungsbewahrern" von CDU und SPD.
Update: Oh, und:
Vor den freiheitlichen Bürgerrechten, die sich aus dem Grundgesetz ergeben, hat die AfD wenig Respekt. Ihre Forderung, dass Untersuchungshaft gegen Verdächtige auch ohne Vorliegen von Haftgründen verhängt werden soll, verstößt gegen die verfassungsmäßige Unschuldsvermutung und das rechtsstaatliche Verhältnismäßigkeitsprinzip.
Ja! Der Mann mit der Vorratsdatenspeicherung wirft jetzt anderen vor, die Unschuldsvermutung und das Verhältnismäßigkeitsprinzip zu untergraben!
Update: Auch ein Hinweis auf die unendliche Haft in Bayern passt an dieser Stelle gut. (Danke, Stefan)
Nun, äh, nein.
Nach Informationen der Süddeutschen Zeitung fließen privaten Autobahnbetreibern seit fast zwei Jahren zu hohe Einnahmen aus der Lkw-Maut zu. Dem Bundeshaushalt sind den Angaben aus Regierungskreisen zufolge bereits Mittel in zweistelliger Millionenhöhe entgangen, weil das Abrechnungssystem nicht zwischen kleinen 7,5-Tonnen- und großen Zwölf-Tonnen-Lkw unterscheiden kann.m(
Wohlgemerkt: Das ist der Anstieg des Wasserspiegels, nicht hohe Wellen oder Sturm oder so. Das ist nicht Wasser, das vom Meer geschwappt kommt, das man per Deich aufhalten könnte. Die mussten Pumpen installieren, und die laufen jetzt die ganze Zeit.
Update: Ein Einsender erklärt die Hintergründe:
Das hängt oft weniger mit dem steigenden Wasserspiegel zusammen sondern mehr mit der Absenkung des Festlandes. Viele Großstädte in Küstenregionen, aber auch im Inland (Mexiko-City) haben das Problem. Zuallererst ist hierfür das Abpumpen von Grundwasser schuld. Viele Städte verbieten das inzwischen, um das Absenken zumindest zu verlangsamen. Ich kenne mich in den USA jetzt weniger aus aber zumindest von New Orleans und New York ist das eigentlich bekannt. Bangkok, hier bin ich etwas besser informiert, sinkt etwa um 1-3 cm pro Jahr, in der Vergangenheit war das sogar mal noch mehr. Auch hier muss laufend abgepumpt und abgeleitet werden. Zwar ist das Abpumpen von Grundwasser direkt in Bangkok verboten, aber südlich von Bangkok, wo auch der neue Airport liegt, hat sich viel Industrie angesiedelt, welche das weiterhin ungehindert durchführt. Dadurch ist inzwischen die Küstenlinie deutlich nach Norden gewandert und das ganz OHNE höheren Meeresspiegel.
Jakarta, Tokyo und viele Städte in China (etwa Shanghai) haben das gleiche Problem. Tokyo hat sogar noch ein zusätzliches Problem der Bodenverflüssigung durch seismische Aktivitäten. Dieses beschleunigt das Absinken etlicher Teile der Metropole enorm.
Und mehrere Leser haben darauf hingewiesen, dass auch im Ruhrgebiet Pumpen laufen müssen, um die Folgen des Bergbaus zu kompensieren.
Nun ist das ja gar nicht so einfach, zu erkennen, ob man gerade von den Russen bezahlt wird oder nicht. Die können ja Fake-Namen und -Anschriften benutzen. Insofern muss man Facebook an der Stelle echt zugutehalten, dass sie nochmal genau nachgeguckt haben, und dabei kam dann raus, dass sie jetzt doch glauben, von Russen bezahlte Anti-Hillary-Werbung geschaltet zu haben.
Das ist natürlich ein Kracher von einer Meldung, nach dem sich sofort die nächste Frage stellt: Wie sieht so Werbung aus, die die Russen auf Facebook gegen Hillary schalten?
Hier gibt es eine Gallerie, wobei ich allerdings keine Ahnung, habe, wieso wir denen jetzt glauben sollten, dass die Liste korrekt ist.
Immerhin. Auch wenn das nur zur Hälfte stimmt, ist das eine interessante Galerie.
New hotness: Der Sohn von Netanjahu postet antisemitische Scheiße auf Facebook, kriegt Ärger.
Und zwar nicht, um daran Kritik zu üben, oder ironisch oder so:
Yair Netanyahu, the son of Prime Minister Benjamin Netanyahu, posted an image on his Facebook page Saturday that seems to suggest a conspiracy is behind his family’s growing legal problems. The meme is laden with anti-Semitic imagery.
Rambatz hatte in einer nicht-öffentlichen Facebook-Gruppe um Empfehlungen für "antideutsche Filme" gebeten - am besten solche, in denen Deutsche sterben.Ich habe langsam den Eindruck, dass diese Antideutschen die sind, die sich zu meiner Zeit noch den Arm aufgeritzt haben. Getrieben von Selbsthass, den sie nicht kanalisiert oder verstanden kriegen. (Danke, Christian)
Update: Drei Manager haben noch schnell Aktien verkauft, bevor das bekannt wurde.
Update: Haha, ganz toll: Equifax hat vorher dafür lobbyiert, dass Opfer von Datenreichtum keine Entschädigung kriegen.
Nordkorea hat in ihrer Presseerklärung gesagt, sie hätten die H-Bombe gebaut, weil man damit "Super-EMP" machen kann. Wie das genau funktionieren soll, haben sie aber nicht gesagt. Hier spekuliert jemand rum.
Zweitens schätzt der Economist das EMP-Risiko deutlich höher ein als ich es bisher getan habe:
Imagine a nuclear blast occurring somewhere above eastern Nebraska. Radiating outwards, the EMP fries electronics in southern Canada and almost all of the United States save Alaska and Hawaii, both safe below the horizon. It permanently damages the grid’s multimillion-dollar high-voltage transformers. Many are old (their average age is about 40). Some burst into flame, further damaging substations. (Danke, Oliver)
Woher ich das weiß? Nun, auf dem Wahlzettel steht:
Dein Stimmzettel ist ungültig, wenn du eine Person zweimal oder zwei männliche Bewerber wählst.Und zur Wahl stehen: Eine Frau und drei Männer.
Das muss diese Gleichberechtigung sein, von der man immer hört! (Das ist schon von Januar) (Danke, David)
Baseball (ich erkläre das jetzt bestimmt falsch *hust*) funktioniert so, dass in der Mitte des Spielfeldes der Werfer steht, der ist von Team A. Der wirft den Ball in Richtung Ecke. Dort steht der Typ mit dem Schläger, der ist von Team B. Hinter dem Schläger kniet ein Fänger mit Körperpanzerung, der ist auch von Team A. Der steht also genau hinter dem Schläger. Ziel des Werfers ist es, dreimal den Ball so zu werfen, dass der mit dem Schläger ihn nicht kriegt. Innerhalb eines relativ kleinen Fensters. Der Fänger signalisiert jetzt dem Werfer, wo er am besten hinwirft. Dafür haben die Team sich so Handzeichen ausgedacht.
Die Red Sox haben jetzt anscheinend per Video mit Zoomobjektiv die Handsignale des Fängers des Gegenteams aufgenommen und dann per Apple Watch dem Typ mit dem Schläger gesagt, was sie glauben, wo der gleich hinzielen wird. Das ist natürlich ein Regelverstoß. Der Schläger kann, weil der Signalisierende hinter ihm steht, die Signale selbst nicht sehen.
Update: Ein Leser korrigiert:
Das Spionieren selber ist erlaubt. Nur nicht das Spionieren mit technischen Hilfsmittel.
(Danke, Mathias)
Weshalb ich schreibe: was mir vor dieser Bundestagswahl fehlt, ist ein Fazit der Großen Koalition, bzw. eine Zusammenfassung der Arbeit von CDU/CSU/SPD. Ich suche ab und zu im Internet danach, werde aber nicht fündig. Es irritiert mich zutiefst, dass es anscheinend keine solche Zusammenfassung gibt. Die Bürger scheinen viel vergessen zu haben, und die Medien machen anscheinend sich nicht die Mühe, daran zu erinnern. Dabei wäre das jetzt sehr wichtig. Angeblich sind viele Wähler noch unentschlossen, und der Wahlkampf strotzt bisher nicht gerade vor Inhalten (bzw. wenn Inhalte auftreten, dann sind es oft vage Versprechungen, die der bisherige Arbeit der Parteien entgegenstehen). Was mich vor allem nervt, ist so ein Schrott wie das Kanzlerduell, wo nicht wenige Fragen auch noch so gestellt waren, als kämen sie von der AfD: man sollte die Partei wählen, die einen inhaltlich am besten vertritt, da interessiert es mich herzlich wenig, wie gut oder schlecht der Kanzler "performt"…Zur Autobahnprivatisierung würde ich ja noch das hier anmerken wollen.Zur Sache: Ich habe keinen Blog / keine Webseite. Könntest du (mit anderen zusammen) eine Zusammenstellung der GroKo-Arbeit sammeln und bereitstellen? Ich liste mal alleine die Sachen auf, die mir aus dem Stegreif einfallen:
- Panamapapers. Deutschland ist (oder war) Steueroase Nummer 8 weltweit. Soweit ich das weiß, ist nichts passiert. Wohl auch dank Schäuble
- Dieselskandel. Politiker (schon vor der GroKo) wussten Bescheid und tragen daher eine Mitschuld. Dobrindt verhindert Sammelklagen in Deutschland. Die Gesundheit der Bürger wird nicht vor Abgasen geschützt, sondern die Autoindustrie vor Verlusten. Nachträgliche Legitimation durch Anhebung der Grenzwerte. Keine Strafverfolgung bei Übertretung der Grenzwerte
- NSU-Morde. Keine Aufklärung. Vertuschungen. Verstrickungen bleiben bestehen
- NSA-Skandal. Kein Schutz der Bürger. Abhören wird nachträglich legitimiert. Befugnisse des BND erweitert
- Überwachung. Bürgerrechte eingeschränkt. Überwachung massiv ausgeweitet
- Polizei. Sinnlose Verschärfung des Strafrechts statt personeller Aufstockung oder Investition in Förderung von Deeskalationsstrategien
- Maut. Absolutes Schwachsinnsprojekt. Kostet nur Geld. Kein Kommentar
- Autobahnprivatisierung. Durch die Hintertür (Grundgesetzänderung). Scheingesetz gegen Autobahnprivatisierung, das jede Regierung ohne 2/3-Mehrheit wieder ändern kann
- Datenschutz. De Maizière höhlt in der EU den Datenschutz aus, um dadurch den deutschen Datenschutz zu senken und die CDU als unschuldig darstellen zu können ("Brüssel zwängt uns das auf")
- Waffenlieferungen. Mehr Waffenlieferungen. Vor allem auch an nicht-demokratische Staaten, die Krieg führen (wie Saudi-Arabien)
- Antikorruptionsgesetze blockiert. Lobbykontrolle verhindert
- Bankenregulierung? Findet nicht statt
- Energiewende. 7 Mrd. den Energiekonzernen geschenkt (rechtswidrige Brennelementesteuer. Eigentlich vorsätzlicher Betrug)
- Jede Menge Großprojekte vergeigt (eigentlich in den Ländern)
- Bundeswehr. Jede Menge Bundeswehreinkäufe total überteuert. Bundeswehr lässt sich regelmäßig über den Tisch ziehen
- Sozialer Wohnungsbau?
- Sozialgesetze? Irgendwelche Verbesserungen? Ich kann mich nur noch daran erinnern, dass alleinerziehenden Müttern der Beitrag für die Zeit gestrichen werden sollte, in der die Kinder beim Vater sind
- Keine Verbraucherschutzverbesserungen. Im Zweifel immer auf Seiten der Industrie
- Schere Arm/Reich. Keine Gegenumverteilung. Im Gegenteil (Erbschaftssteuerreform)
- Rente. Immer noch keine Rentenreform (z.B. alle zahlen in eine Kasse). Deutsches Rentenniveau weit unter dem anderer Länder
- Berichte geschönt (immer wieder)
- Flüchtlingspolitik. Deals mit Diktatoren um Flüchtlinge bereits im Ausland umzubringen (kann man anders nicht sagen). Debatte über Obergrenze widerspricht Grundgesetzt. Immer wieder bescheuerte Debatte über Leitkultur (Leitkultur widerspricht dem Grundgesetz). Hohe Ansprüche an Integrationswillen der Flüchtlinge, ohne entsprechende Angebote zu machen. Mit EU: Kündigung der Seenotrettung, stattdessen Alibiprogramm
- Freihandelsabkommen. Bevölkerung ausgeschlossen
- Umweltschutz. Halbwegs konkretes Programm von Barbara Hendricks bis zur Unkenntlichkeit zusammengestrichen
Allgemein: Mehrhreit im Bundestag nur für Schrott benutzt (was hätte man mit dieser Mehrheit alles machen können?…)
Ich habe bestimmt noch jede Menge vergessen. Auch großartig waren die Gesetze, die ein Politiker verteidigen/durchbringen musste, der vor der GroKo vehement dagegen war (denke da an Heiko M.).
Update: Ein anderer Einsender fügt hinzu: Unterwanderung des Gesundheitsamts durch die Parma- und Apotheker-Lobbyisten und Besetzung des Verteidigungsministeriums durch Lobbyisten der Rüstungskonzerne.
Update: Oh ja, dann waren da noch die ganzen Cum-Ex-Geschäfte.
Update:
zum Fazit Gro-Ko gehören mM nach die hohe Inflation von 2% und der Negativzins mit den daraus folgenden steigenden Lebenshaltungskosten und schmelzender Altersvorsorge.
Sanktionen gegen Russland, bzw. allgemein massive Verschlechterungen der Beziehungen zu diesem wichtigen Nachbarn, bis hin zur Kriegsgefahr, zusätzlich daraus folgende verstärkte Abhängigkeit von den USA und deren Energierohstoffen
It’s when President Putin starts talking that the BRICS reveal their true bombshell. Geopolitically and geo-economically, Putin’s emphasis is on a “fair multipolar world”, and “against protectionism and new barriers in global trade.” The message is straight to the point.Es ging natürlich größtenteils um Nordkorea und was man da tun soll. Russland und China haben ja gemeinsame Grenzen mit Nordkorea und sind daher direkt betroffen. Aber auch für Afghanistan haben Russland und China einen Plan, der nicht die USA involviert. Aber der eigentlicher Kracher auf der Veranstaltung war etwas anderes.And then, Putin delivers the clincher; “Russia shares the BRICS countries’ concerns over the unfairness of the global financial and economic architecture, which does not give due regard to the growing weight of the emerging economies. We are ready to work together with our partners to promote international financial regulation reforms and to overcome the excessive domination of the limited number of reserve currencies.”Gemeint ist: Der Dollar. Ölhandel wird immer noch größtenteils über den Dollar abgewickelt. Deshalb sind die Amis ja so mit den Saudis im Bett, damit das so bleibt.Russland findet das nicht so prall. China wohl auch nicht, aber für die ist das nicht so wichtig wie für die Russen, weil die USA bei China so hohe Schulden haben.
“To overcome the excessive domination of the limited number of reserve currencies” is the politest way of stating what the BRICS have been discussing for years now; how to bypass the US dollar, as well as the petrodollar.Beijing is ready to step up the game. Soon China will launch a crude oil futures contract priced in yuan and convertible into gold.
This means that Russia – as well as Iran, the other key node of Eurasia integration – may bypass US sanctions by trading energy in their own currencies, or in yuan. Inbuilt in the move is a true Chinese win-win; the yuan will be fully convertible into gold on both the Shanghai and Hong Kong exchanges.
Dann ist Ende mit dem Dollar. Im Moment können die Amis sozusagen beliebig häufig beliebig hohe Schulden aufnehmen. Das hätte dann ein Ende. Das ist eine echte Kampfansage an die USA. (Danke, Rüdiger)
a series of recent hacker attacks not only compromised energy companies in the US and Europe but also resulted in the intruders gaining hands-on access to power grid operations—enough control that they could have induced blackouts on American soil at will.Security, Fuck Yeah! (Danke, Alexander)
In the light of current events, some Estonian politicians called to postpone the upcoming local elections, due to take place on 16 October. In Estonia, approximately 35% of the voters use digital identity to vote online.Aber der Premierminister hat einen De-Maiziere gepullt.Wenn ich das richtig sehe, war der Anbieter Gemalto. Der Einsender meint, dass man wohl aus dem Public Key den Private Key ableiten kann mit nur ein paar Versuchen, aber das steht so nicht in dem Artikel drin. Das gerüchtet man wohl gerade auf der Straße oder so. (Danke, Michael)
Feuerwehr-GroßeinsatzWie jetzt, Gefahrgut? Wie kann das sein?
Gefahrgutunfall mit homöopathischem Mittel
Rund einhundert Einsatzkräfte rückten morgens um halb sieben aus, da aus einem 1000 Liter fassenden Tank in einem Speditions-LKW gut 150 Liter Flüssigkeit ausgetreten sind. Es handelte sich um ein homöopathisches Gemisch aus Alkohol und verschiedenen Extrakten, erklärt Feuerwehrchef und Einsatzleiter Jürgen Wirth gegenüber DAZ.online.A-Ha! Alkohol! Die Extrakte werden ja wohl hoffentlich nicht mehr nachweisbar gewesen sein, sonst wär das ja keine richtige Homöopathie. Oder so. (Danke, Michael)
Ich meine, Russland, hier in der Presse immer als Autokratie und fast Diktatur beschimpft!
Oder wie wäre es mit der Türkei? Selbst Erdogan hat in der Mitte den Posten von Ministerpräsident zu Präsident gewechselt, damit das nicht so nach Monarchie aussieht!
Wer dieses Jahr Abi gemacht hat, hat seine gesamte Schulzeit über nie einen anderen Kanzler erlebt.
Using a technique called the DolphinAttack, a team from Zhejiang University translated typical vocal commands into ultrasonic frequencies that are too high for the human ear to hear, but perfectly decipherable by the microphones and software powering our always-on voice assistants. This relatively simple translation process lets them take control of gadgets with just a few words uttered in frequencies none of us can hear.
Das Ergebnis ist ungefähr so schlimm, wie man es erwarten würde.
You had me at "FTP".
Update: Linus erklärt das mal in der Heise-Show :-)
Update: Die Realsatire geht weiter! Der CCC so: Der Updatemechanismus ist total unsicher. Der Bundeswahlleiter so:
Der Bundeswahlleiter geht davon aus, dass die Mängel bei dem Computerprogramm für die Bundestagswahl bis zum 24. September behoben werden können. Dafür solle das Programm, das nach Einschätzung von Experten extrem anfällig für Manipulation ist, ein Update bekommen, sagte eine Sprecher der Behörde in Wiesbaden.
*badumm tssss*
Krass. Wer macht denn sowas? Na gucken wir doch mal!
Wir sind ein junges Start-Up, das sich 2017 in Berlin gegründet hat.Gnihihihi, ja nee, klar. Dann ist ja alles gut!1!!*scroll*
Nach deutschem Recht ist Stimmentausch illegal. Unser Geschäftssitz ist daher in New York und wir betreiben die Webseite auf Servern in den USA.
Update: Und jetzt kann ich auch auflösen: Das war eine Satire von peng. Das war einigen schon vorher aufgefallen, weil die Bilder der angeblichen Teilnehmer alles Stock-Fotos waren.
We're wrapping up this live blog for Tuesday.The Eagle Creek fire is still at zero percent containment, and could continue to move as winds shift Tuesday night.Zero percent containment ist nicht gut.
Jetzt muss man den Kernel updaten, wenn es mal wieder ein TLS-Update gibt!? Ein Bug im TLS-Code liefert jetzt Kernel-Privilegien?! Der Kernel macht X.509 und ASN.1?! Womit so ziemlich jeder andere auf die Fresse geflogen ist, der das probiert hat?!?
Daher dachte ich mir, ich gebe mal zu Protokoll, dass ich das für eine tolle Idee halte. Und zwar ist nicht das Handshake im Kernel (das ist der komplexe Teil am Anfang, der mit den ganzen Protokollunwägbarkeiten), sondern der Kernel übernimmt lediglich die Transportverschlüsselung, nachdem der Schlüssel ausgetauscht ist. Ein bisschen Einkapseln, symmetrische Krypto drüberlaufen lassen, fertig. Da kann man immer noch was falsch machen, klar, aber das ist, von der Angriffsoberfläche her, sowas wie 1% von TLS. Da mache ich mir wenig Sorgen.
Und auf der anderen Seite steht der Vorteil. Wenn man im Moment einen Client hat, der irgendwas verkackt, dann kann man da mit beim System beliegenden Tools wie strace die System Calls tracen lassen. Da steht dann sowas wie:
write(3,"GET /foo.txt HTTP/1.1\r\nHost: example.com:80\r\n\r\n",47)Da kann man sehen, was der Client zu tun versucht hat. Und man kann die Antwort des Servers sehen. Wenn der Client TLS benutzt, dann sieht man bei strace nur noch die verschlüsselten Daten.
Wenn ich den Zugriff habe, den strace benötigt, kann ich natürlich auch die unverschlüsselten Daten abgreifen. Das ist also kein Schutz gegen jemanden mit diesem Level an Zugriff. Aber es macht Debugging und Tracing halt sehr schwierig. Mit TLS im Kernel würde man wieder den Klartext in read und write sehen.
ALLEINE DAFÜR ist das schon eine Sache, die ich haben will.
Es gibt noch einen weiteren Vorteil, der ist mir aber nicht so wichtig. Der Webserver kann dann wieder zero-copy TCP mit sendfile() machen. Das ist dann nicht wirklich zero copy, weil der Kernel ja verschlüsselt. Der kann also nicht einfach DMA aus dem Buffer Cache machen. Aber immerhin, eine Kopie weniger. Das war auch der Grund, wieso dieser Patch überhaupt gemacht wurde.
Und der andere Vorteil ist, dass man mit Debugging-Zugriff im System dann auch die Daten im Transit verändern kann. Das ist wichtig für Pentesting, aber auch für automatisiertes Testing kann das nützlich sein. Im Moment muss man dann einen Proxy aufsetzen und im System dessen Zertifikat als Trusted eintragen und so weiter.
Diese Eingriffe gehen wohlgemerkt auch jetzt schon alle mit Debugging-Rechten. Sie sind nur viel anstrengender umzusetzen.
Putin on US administration: 'It’s difficult to talk with people who confuse Austria and Australia''Americans are a great people if they can endure so many people with such a low level of political culture,' Russian president says
Update: Bessere Quelle.
Und zwar möchte ich gerne wissen, wieso das aus eurer Sicht mit IT-Security nichts wird. Insbesondere interessieren mich dabei die Meinungen von Entwicklern, Testern und Management. Schreibt also bitte dran, aus welcher Perspektive eure Meinung ist.
Die offensichtlichen Antworten will ich mal gleich abräumen, um uns allen Arbeit zu sparen:
Wenn ihr das glaubt, ist das immer noch interessant für die Verhältnisse der Erklärungen innerhalb der jeweiligen Sparten. Aber eigentlich will ich gar nicht so sehr wissen, wer wie häufig was glaubt, sondern ob es möglicherweise Erklärungen gibt, die ich noch gar nicht auf dem Radar hatte. Ich will euch mal ein Beispiel geben, das mir neulich mein Kumpel Kris erzählt hat. Der meinte, dass Menschen evolutionär auf Gradienten lernen. Man geht geradeaus, bis man das Gefühl hat, man ist zu weit gegangen, dann geht man ein Stück zurück. Man streckt die Hand aus, merkt, dass es in die Richtung heiß wird, also geht man nicht weiter in die Richtung. Security ist aber kein Gradient. Du gehst zu weit, und du merkst es a) nicht sofort und b) bist du dann sofort tot und kannst nicht mehr einen Schritt zurück gehen. Kris verglich das mit Fahrradfahrern im Straßenverkehr, wenn Autos schneller als 30 fahren. Da hat der Fahrradfahrer auch keine Gelegenheit mehr, aus Fehlern zu lernen, wenn es zu einer Kollision kommt.
Ich würde diesen Gedankengang noch auf Komplexität ausweiten wollen. Komplexität fühlt sich wie ein Gradient an, aber Komplexität kann man nicht zurückrollen, wenn man merkt, dass man die Kontrolle verloren hat.
Also bitte, hier nochmal in Kurzform die Fragestellung, für die ich um eure Meinung bitte: Wieso fühlt es sich so an, obwohl wir immer mehr in Security investieren, dass immer mehr Leute gehackt werden?
Update: Eine Zusatzfrage noch. Häufig hört man als Ausrede, dass das ja teurer wird, wenn man es sicher macht. Glaubt ihr das auch? Wenn ja, warum? Gibt es da Zahlen für? Ich würde gerne wissen, wo das herkommt. Ich halte das für eine völlig transparente Schutzbehauptung. Hersteller wird beim Verkacken erwischt? "Sicher hätten wir auch gekonnt, aber wäre 200% teurer gewesen!1!!" Oh ach so, na dann ... *abwink* oder so
Update: Die ersten 100 Einsendungen waren praktisch unisono der Meinung, dass Security schlechter wird, weil niemand die Methoden anwendet. Nicht weil die Methoden nicht funktionieren. Als Hauptgründe werden genannt, dass Firmen das Geld nicht ausgeben wollen, dass die Teams gar nicht wissen, was sie tun müssten, dass Aufgaben an Outsourcer rausgegeben werden, die gar keinen Anreiz haben, Qualität zu machen, etc. Das ist natürlich auch ein Ergebnis, aber stimmt das wirklich? Gerade für mich als Security-Fuzzi ist die Frage wichtig, ob nicht vielleicht unsere Methoden Schuld sind. Weil sie zu teuer sind, weil sie nicht funktionieren, weil sie nur Theater sind. Ein Teil der Ansätze, bei denen das aus meiner Sicht offensichtlich so ist, beschimpfe ich ja hier auch immer als Schlangenöl.
Erst: Ebay-Gründer Omidyar gründet The Intercept.
Dann: Amazon-Gründer Jeff Bezos übernimmt die Washington Post.
Jetzt: Tronc kauft die New York Daily News.
Bisschen Hintergrund dazu: Tronc ist eine Verzweiflungsgründung der Chicago Tribune, hieß früher Tribune Publishing, und besitzt auch die LA Times, den Orlando Sentinel, Baltimore Sun und noch ein paar kleinere. Weil das News-Business nicht mehr lief, haben sie sich zu "tronc" umbenannt und praktisch offen angesagt, dass ihr Geschäftsmodell jetzt Content Mill ist.
Der Tech-Milliardär-Aspekt kommt aus dieser Pressemitteilung:
Tronc, formerly known as Tribune Publishing, has been actively engaged in high-profile merger talks with other newspapers since technology entrepreneur Michael Ferro became the company's largest shareholder and chairman in February 2016, but the Daily News acquisition is the first to come to fruition.Update: Eine Leser sagt, dass Bezos vor Omidyar kam. Eine weitere Einsendung merkt an, dass die Witwe von Steve Jobs neulich die Mehrheit von The Atlantic gekauft hat.
Wer "Die Partei" wählt, verachtet PolitikUnd nächste Woche in Bento: Why I Am Great. — Donald J Trump*runterscroll*
Wer "Die Partei" aus Protest wählt, hält auch die "Heute-Show" für eine seriöse Nachrichtensendung.
*weiterscroll*
"Die Autorin ist Mitglied der CDU."
Aber mal Spaß beiseite. Zwei Sachen kann man daraus lernen.
Update: Ein Leser merkt an, dass der "Autorin ist CDU-Mitglied"-Hinweis nachträglich dazukam.
Diese handliche Grafik illustriert das!
Update: Primärquelle.
Men generally outperform women in Scrabble tournaments because female competitors are less willing to spend their time improving a largely pointless skill, according to new research.Scientists found male players spend their time practising anagrams and analysing the game, whereas women are more likely to play the game as a hobby.
Die Antwort liegt darin, dass man eine Atombombe auch in der Luft über einer Stadt zünden kann, ganz weit oben. So weit oben, dass die Explosion niemanden tötet. Eine Nebenwirkung von einer Nuklearexplosion ist der elektromagnetische Puls, den sie auslöst. Der EMP könnte dann in der Stadt alle elektrische Infrastruktur frittieren. Und davor hätten die USA tatsächlich einen Grund, Angst zu haben. Denn da kann man dann nicht als Antwort Pjöngyang wegbomben, und ein EMP über Nordkorea hätte vermutlich deutlich weniger Drohpotential als einer über dem Silicon Valley.
Nordkoreas Nachrichtenagentur hat explizit EMP als Drohkulisse gegen die USA angesprochen. Das war, soweit ich weiß, ein Novum. Vorher haben da nur Verschwörungssites und Seite-23-Kleingedrucktes drüber spekuliert.
Während offenbar im Hintergrund die nächsten Sammelabschiebungen von abgelehnten Asylbewerbern vorbereitet werden, sorgt sich das Innenministerium in Berlin um die Sicherheit der Polizisten, die Flüchtlinge bei Einzelabschiebungen begleiten müssten. Man wähle Verbindungen, "die nur einen kurzen Aufenthalt am Flughafen Kabul erforderlich machen", schreibt das Ministerium an die Grünen-Bundestagsabgeordnete Luise Amtsberg. "Weder ist eine Übernachtung noch ein Verlassen des Flughafengeländes erforderlich." Bei Sammelabschiebungen fliegen die Beamten mit der Chartermaschine sofort zurück.Also für unsere Polizisten jetzt, die die Asylbewerber abschieben. Nicht für die Asylbewerber. Für die ist das natürlich voll sicher in Afghanistan, sonst könnten wir sie ja nicht dahin abschieben. (Danke, Dennis)
Gelegentlich klicke ich auf solche Webseiten, weil ich irgendwo mit umatrix herumklickte, die Seite ging nicht, und ich versuche jetzt herauszufinden, welche der externen Referenzen legitim sind und welche nicht. Und es gibt da eine ganze Klasse an überflüssigen Mittelsmännern, die von mir aus in der Wüste verdursten könnten. Zum Beispiel findet man immer wieder Webseiten, die ein Video einblenden wollen, und dann dafür embed.ly verwenden. Was tut embed.ly? Nun, finden wir es heraus!
Delight your AudienceThe most effective platform on the web to engage your audience through rich media embeds. Get features like images, video, polls, slideshows, music, live video, forms, gifs, infographics and more automatically.
Ich bin ja ein potentieller Kunde von denen. Ich bin die Zielgruppe. Ich betreibe eine Webseite. Vielleicht will ich was einblenden. Wieso würde ich embed.ly nehmen wollen? Diese Information würde ich auf deren Webseite erwarten!Genau genommen würde ich das und nichts anderes auf deren Webseite erwarten. Das ist die Funktion von deren Homepage. Mir zu sagen, wieso ich ihre Dienste kaufen soll.
Steht da aber nicht. Oder wie wäre es mit optimizely.com?
Wollen Sie sich Innovationen zunutze machen?Äh, nein. Ich wollte wissen, was ihr tut. Und ab in die Tonne.
Seit Jahren ärgere ich mich über sowas und frage mich, wieso sich das durchsetzt. Die lassen mich da megabyteweise Javascript-Frameworks und Hero Images und Bullshitbingo runterladen, um mir dann nicht zu sagen, was sie tun.
Aber jetzt erklärt mir endlich jemand, wieso die das alle machen!
I think the big companies do it to get you on the phone — so they can upsell. Meltwater’s reps nearly talked me into paying thousands of dollars more per year for a few extra features. I haven’t spoken with the folks at Optimizely and 84.51, but I assume they have a similar strategy. After all, when all the products are laid out in a nice table online, with a few scary X’s and some nice green checkmarks, it’s easy to make a reasonable choice. When you’re talking with a salesperson who really knows how to play up those X’s, you’re likely to give up a lot more money.Und das, meine Damen und Herren, ist das erste Mal, dass ich diese Praxis verstehe. Klingt für mich völlig plausibel.Aber es ändert natürlich für mich nichts. Wenn ich eine Homepage sehe, die nur aus nebulösen, unkonkreten Marketing-Phrasen besteht, dann bin ich schneller weg als der Parallax-Bilder zum Fertigladen brauchen.
This weekend, leaders from Ole Miss Greek life convened upon Camp Hopewell in Lafayette County for a three-day retreat designed to build leaders and bring campus closer together. The retreat was cut short Saturday night, however, after three black students found a banana peel in a tree in front of one of the camp’s cabins.Ole Miss ist die University of Mississippi, die übrigens in Oxford, Mississippi, sitzt. Greek ist der Begriff für das System aus Studentenvereinigungen, die Fraternities und Sororoties.“To be clear, many members of our community were hurt, frightened, and upset by what occurred at IMPACT … Because of the underlying reality many students of color endure on a daily basis, the conversation manifested into a larger conversation about race relations today at the University of Mississippi,” Arndt wrote in the letter acquired by The DM.Keine Sorge, die Uni hat schnell reagiert und das Treffen abgebrochen, bevor jemand zu Tode kam.“As the staff member responsible for the wellbeing of our community, I felt it was imperative to provide space immediately to students affected by this incident to allow them an opportunity to voice their pain and concern,” Arndt wrote in her statement.Wer nicht versteht, wieso jemand ein Problem mit einer Bananenschale haben würde: Das ist in den USA anscheinend ein übliches Werkzeug von Rassisten, die Schwarze mit Affen vergleichen.She said the image was especially disturbing in light of an incident on American University’s campus in May of this year. The morning Taylor Dumpson was to take over as the school’s first female black student government president, students found bananas hanging from nooses across campus. Some of the bananas were inscribed with references to Dumpson’s sorority, Alpha Kappa Alpha.In diesem Fall hat sich derjenige schnell gemeldet, der die Bananenschale da hinterlegt hat.In the midst of the open and sometimes heated discussion, senior accounting major Ryan Swanson said he put the banana peel in the tree when he could not find a trashcan nearby.
Mitgliedern von der „Partei“ ist es gelungen, mit falschen Accounts zu Administratoren aufzusteigen. Am Sonntag haben sie die anderen Administratoren entfernt und die Gruppen auf öffentlich gestellt.Und natürlich auch gleich ein bisschen kreativ umbenannt.
Aus einer Gruppe „Heimat-Liebe“ wird nun „Hummus-Liebe“, aus „Afd-Freunde“ „Die PARTEI-Freunde“.
Update: Primärquelle. Money Quote:
„Ab sofort werden die AfDler nicht mehr von Bots verarscht, sondern von Menschen!“
(Danke, Ronald)
Seit Beginn der Merkel-Ära gilt: Immer wenn gewählt wird, bessert sich wundersam in den Monaten zuvor die Wirtschaftslage im Land - und die Chancen der Herausforderer schwinden. Mysteriös.
Update: Ein Einsender aus Mailand schreibt, dass dort nicht rationiert wird.
Die Elbphilharmonie! Der BER Hamburgs! :-)
Das hat die Russen anscheinend so auf dem falschen Fuß erwischt, dass sie erstmal schnell ihre Unterlagen shreddern und verbrennen und dabei so viel Rauch aus dem Schornstein ausstießen, dass die besorgte Feuerwehr vorbeikam.
Wie kurzfristig? "Am Samstag kommen unsere Security-Kräfte und durchsuchen das Gebäude"-kurzfristig. Ja, der heutige Samstag.
Besonders geil finde ich ja den Namen von diesem Windows-Produkt in dem einen Kommentar darunter, "Captive Media". Was für eine Sauerei.
Wenn zuviel gespeichert wird, wird es immer schwere, die wirklich relevante Information zu finden, und daher geht es auch darum, MEHR SICHERHEIT zu bieten, und das ist nicht der Fall, wenn einfach wild drauflos gespeichert wird, schon gar nicht, wenn es rechtswidrig ist.Bilde ich mir das eigentlich ein, oder sieht der in letzter Zeit ziemlich heruntergekommen und elend aus?
People blocked from entering the United States under President Donald Trump's first travel ban can now reapply for visas to enter the US, according to a settlement reached in the case that temporarily blocked the travel ban back in January.
habe vorgestern einen Kunden-Newsletter von Vodafone Kabel bekommen - "beantworten Sie eine Frage und gewinnen Sie eine Playstation 4"! Na klar. Aber das schöne daran waren die Checkboxen die man abnicken soll. Eine enthält einen wirklichen Knaller:In der Tat, das setzt Maßstäbe.Vodafone möchte *alle* Nutzungs- und Verkehrsdaten (!) des Anschlusses für 6 Monate speichern und zu Werbezwecken nutzen dürfen.
Das ist doch wirklich eine riesige Frechheit.
Update: Ein Leser hat den Link gefunden. Sie wollen "nur" alle Metadaten. Allerdings macht es das nicht viel besser.
Die schlechte Nachricht: Er wurde natürlich sofort gefeuert.
Hier ist ein Leserbrief:
Meine Eltern sind beide über 80 - sie haben also als Kinder den letzten Krieg hier bei uns erlebt. Meine Mutter hat im Bunker gesessen, mein Vater mit 16 alleine die innerdeutsche Grenze überquert, sein Vater ist im Krieg gefallen. Schon im Jugoslawienkrieg haben sie die Aktion „Den Krieg überleben“ unterstützt und mehrere Flüchtlinge aufgenommen. Damit standen sie nicht allein, es gab deutschlandweit viele Bürgen.Als der Syrienkrieg gegen die Bevölkerung immer grausamer wurde, lag es für sie nahe, in Rahmen ihrer Möglichkeiten zu helfen, dies wieder zu tun. Erst mal haben sie für eine 6köpfige Familie gebürgt. Die Ausländerbehörde hat geprüft, ob dafür ihre Rente reicht. Die Prüfung verlief positiv. Die Familie konnte damit legal und gefahrlos per Flug einreisen.
Als die Syrer nach einem halben Jahr Asyl bekamen, hat die Ausländerbehörde zugestimmt, dass meine Eltern für weitere syrische Familie bürgen können. Denn es galt ja die Aussage: die Bürgschaft gilt nur bis zur Anerkennung als Asylbewerber. Inzwischen ist die Rechtslage zu ihren Ungunsten verändert worden. Sie warten täglich auf eine Zahlungsaufforderung. Wenn sie das jetzt alles zahlen müssten, wären sie mehr als pleite.
Übrigens: noch härter trifft es nicht wenige Syrer selbst, die für Verwandte gebürgt haben. Das sie oft nicht ausreichend deutsch verstehen, verpasst mancher von ihnen die erste Einspruchsfrist aus Unwissen, dann ist alles zu spät. Es gibt Flüchtlinge die gesagt haben: lieber gehen wir zurück in den Krieg, als das meine Verwandten für mich zahlen müssen!