Fragen? Antworten! Siehe auch: Alternativlos
Hier ist ein Talk, den das Team kürzlich gehalten hat (Folien dazu, Video dazu)
In den Chromebooks benutzen sie Coreboot, das hier ist ein anderer Ansatz.
Mir ist gerade nicht klar, wieso sie einen Buffer Overflow im Protokollhandling als Important und nicht als Critical bewerten. Wenn du einen Webdienst hast, wo man eine URL angibt, und du machst dann wget darauf, dann ist das ein Critical.
Nun, das könnte man ja so interpretieren, als sei die Werbung auf Twitter von RT und Sputnik ausgegangen. Dieses unerfreuliche Missverständnis möchte RT gerne ausräumen, indem sie das Slide Deck von Twitters "bitte macht doch Werbung zur Wahl auf uns"-Präsentation veröffentlichen.
LMAO!
Stattdessen fordern sie jetzt "Responsible Encryption".
Wow. Das muss ja wohl der dämlichste Bullshit-Verarschungs-Euphemismus sein, den mir je jemand unterschieben wollte. Heilige Scheiße, für wie dämlich halten die uns? Glauben die ernsthaft, das merkt irgendjemand nicht?
Beim Diskutieren fällt mir gerade auf, dass das Gerät, dass man da bräuchte, ein Heisenberg-Kompensator wäre. :-)
Verrückte Rednecks, die gerne mal andere Menschen totballern würden, gibt es genug, aber die haben keinen Bock auf den Rest der Wehrpflicht, die wollen nur mal ein bisschen straffrei rummorden.
Kann man da nicht einen Kompromiss finden? Klar kann man!
Mit anderen Worten: Das Projekt, Ungediente in 20 Tagen, über einen längeren Zeitraum verteilt, zu Reserve-Soldaten auszubilden, läuft schon – hab‘ ich das verpasst?Weia.
Nein, nicht Nordkorea. Die Staatsdruckerei von Österreich.
Und jetzt ratet mal, wer da noch Interesse an ein paar Blankopässen hatte und die anscheinend auch gekriegt hat.
Kommt ihr NIE drauf!
Die Staatsdruckerei, die für Nordkorea Pässe herstellt, soll vom südkoreanischen Nachrichtendienst um die Weiterleitung von mindestens drei Blankopässen ersucht worden sein. Vermittelt haben soll das Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (BVT), das dem ÖVP-geführten Innenministerium untersteht.Wobei. Die heißt zwar Staatsdruckerei aber ist 2000 privatisiert worden. Und ob die wirklich die Pässe gedruckt haben, sagen sie nicht. Die Geschichte mit den drei Blankopässen kommt von einem anonymen Schreiben aus dem Innenministerium. (Danke, Philip)
Der Einsender fasst den Fall wie folgt zusammen:
Männer, wer von Euch wegen Vergewaltigung verurteilt wird, ist schlicht und einfach gesagt einfach zu Blöde und hat sich noch nie mit dem Sexualstrafrecht beschäftigt. Wenn ihr also eine Frau haben wollt, geht folgendermassen vor:Er schließt noch die Frage an, wo hier eigentlich der Aufschrei bleibt, die Gina-Lisa-Fangroups, die Frau Schwesig, der Herr Maas.Überfallt die Frau eurer Begierde nachts, schlagt sie nieder, haltet ihr ein Messer an ihren Hals, schleift sie an den Haaren in euer Auto und fesselt sie mit Kabelbinder, fahrt in einen einsamen Wald und droht sie (mit dem Teppichmesser an ihrem Hals) sie jetzt schmerzhaft von hinten zu vergewaltigen und anschließend umzubringen. Wenn die Frau jetzt Angst vor schweren Verletzungen und Tod hat und sagt, sie würde sich nicht wehren wenn ihr sie von vorne nehmt, legt das Messer zur Seite und geniest den Sex. Strafrechlich ist das Weglegen des Messers als strafbefreiender Rücktritt von einer Straftat zu werten. Ausserdem kam der Vorschlag über die Art und Weise des Geschlechtsverkehrs ja von der Frau, also war der Sex einvernehmlich.
Ich vermute mal, von dem Fall hat schlicht noch keiner was gehört. Der Bericht ist von Anfang August, ich habe davon nichts mitgekriegt. Warum eigentlich nicht? Viel krasser geht es ja wohl kaum noch. Zitat aus dem Artikel:
Dieser Sex sei deshalb keine Vergewaltigung im Sinne des Strafrechts gewesen. Geblieben waren die Geiselnahme und die vorsätzliche Körperverletzung.Also wenn DA nicht die Gerechtigkeit gesiegt hat, dann weiß ich auch nicht!1!! (Danke, Ulrich)Die verhängten zwei Jahre Haft wurden zur Bewährung ausgesetzt und der Angeklagte sofort freigelassen. Als Bewährungsauflage muss er 2 000 Euro an eine gemeinnützige Einrichtung zahlen.
From: [zensiert] Team <info@[zensiert].in> Date: October 27, 2017 at 19:04:12 EDT To: <der@kollege> Subject: Monetize your App by Monero crypto Mining Hi, We noticed that you have published your app on Android Play Store/Apple App Store.We ([zensiert]) provide technology services to enable app developers integrate Monero mining(a crypto currency similar to bitcoin, but very profitable to mine on general purpose devices like smartphones) within their app and monetize it. If your app is deployed on thousands/millions of devices, you can monetize it with monero mining and earn really huge income. We manage all the complexity of backend servers and mining operations and you get a really simple control panel to monitor your hashrate and earnings. Features of our service are: 1. Very easy Integration to any app 2. 0 knowledge of crypto currency mining required. 3. Several key features to ensure 0 inconvenience to your app's user. ->Mining Only when device's battery level is greater than 70%(variable as per your choice), so that user does not have any battery issues. ->Mining only on those phone which have at least 4 processor cores ->Using only 1 processor core (variable as per your choice) for mining, rest of the cores are free for user's own work. ->No mining when device's sleeping, so battery usage only when user is actually using his phone. 4. You have a control panel to real time monitor the hashrate generated by your apps. 5. 100% legal and legitimate.You just need to include the fact in your app's user license that we use their device for some calculations. 5. Daily Payment to your monero wallet. 6. We charge only 0.5% as fee.No setup charges or any other hidden fee. For an estimate or your app's earning potential or any other discussion, feel free to contact us on skype : [3]info@[zensiert].in -- [zensiert] Team
Ob in Sportwettbüros oder in Spielotheken: Unter den Spielsüchtigen sind auffällig viele Migranten.
Wissen Sie, wo die Alphabetisierungsrate in der Türkei am höchsten ist? In Silivri. Denn dort liegt das größte Gefängnis der Türkei, und es ist voller Schriftsteller, Journalisten, Wissenschaftler, Intellektueller. Es gibt dort eine recht umfangreiche Gefängnisbibliothek, die stetig weiterwächst, da jeder einsitzende Autor seinen Verlag um Bücherspenden bittet oder bei der Entlassung seine Bücher der Bibliothek stiftet. Als ich dort einsaß, entdeckte ich erfreut auch vier meiner Bücher im Katalog. Stellen Sie sich vor, Sie sitzen als "Straftäter" hinter Gittern und Ihre Bücher sollen dort zur "Besserung der Straftäter" dienen! Noch ein Stück schwarzen Humors in dieser Sache: Einmal bat ein Häftling um ein Buch, die Antwort des Bibliothekars lautete: "Das Buch haben wir nicht, aber sein Autor ist da."*Badumm-tsssss*
Das ist eine kleine Anarcho-Gewerkschaft, die gerade Foodora aufmischt :-)
Der ganze Artikel ist toll, aber hier ins Blog hat er es wegen dieses Spruches geschafft:
Wir haben einfach mehr Eier in der Hose als die anderen Gewerkschaften.*kicher*
— Julia Hoffmann, FAU-Vertreterin
Ich habe sonst immer alle inhaltlichen Punkte auch in Textform auf den Folien. Aber das hat halt auch Nachteile für den "Flow", weil man dann Gefahr läuft, nicht frei zu sprechen sondern vorzulesen.
Daher habe ich mir für die Keynotes vorgenommen, meinen Stil ein bisschen zu ändern, und habe auf mehreren Folien sowas wie "Anekdote: Foo Bar" stehen und erzähle dann die Anekdote frei. Das ist schöner für die Anwesenden, aber es macht halt die Folien unnütz. Ich überlege gerade, ob ich da eine Online-Version mache, wo dann mit kleiner Schriftgröße die Anekdote im Fließtext eingeblendet wird oder so. Schön ist das auch nicht. Eigentlich will man eine Aufzeichnung anhören. Und selbst in der Aufzeichnung werden einige Dinge nicht so gut rüberkommen wie bei dem Live-Event. Ich will das mal an einem Beispiel erläutern. Ich habe bei der Keynote gestern ein Wagnis gemacht, das auch voll nach hinten hätte losgehen können. Und zwar hatte ich als Eröffnung für die Keynote "Herzlich willkommen bei der konstituierenden Sitzung der Selbsthilfegruppe Sichere Software". Dann ein bisschen Einleitung und Exposition und dann ein "Ich bitte um Handzeichen: Wer hier hat schonmal vorsätzlich schlechte Software geschrieben (und ich meine jetzt nicht ein HACKME oder ein schlechtes Beispiel für ein Security-Buch)". Erwartungshaltung war: Null Hände gehen hoch. So war es auch.
Dann habe ich, dem Thema einer "Anonyme Alkoholiker"-Veranstaltung folgend, halt als erster angefangen mit dem Geständnis. Mein Beispiel war ping.c aus mininet. Das hatte in seiner initialen Form einen Textbook-Integer-Overflow drin, super exploitbar, alles prima. Den habe ich natürlich nicht übersehen, sondern ich habe den drin gehabt, weil das nicht als setuid gedacht war und für eine Boot-Floppy, auf der sich eh nur root einloggt, also keine Privilege Escalation, kein Bug. Kein Bug? Doch Bug! Mein Kumpel Ilja hat das gesehen und mich angefeixt und ich habe dann einen Fix eingecheckt. Das ist alles schon Jahre her, aber mein Punkt an der Stelle war: Nur weil es mehr oder weniger gute Ausreden gibt, macht es das ja nicht weniger zu einem Bug!
Meine nächste Folie hatte dann Beispiele, wie wir uns schlechte Software schönreden. Demonstrator! Mockup! Quick Hack! MVP! Nicht für den Produktivbetrieb! Prototyp!
Dann stellte ich die Frage nochmal: Bitte um Handzeichen: Wer hat hier schonmal vorsätzlich schlechte Software geschrieben, und es sich mit Euphemismen und Ausreden schöngeredet?
Und an dieser Stelle hätte das voll nach hinten losgehen können, aber das Publikum hat mitgespielt und es gingen über 80% der Hände hoch. Das wird man auf der Aufzeichnung bestimmt nicht sehen können. Und es ist natürlich der zentrale Drehpunkt von dem Vortrag gewesen, dass die Leute mir zustimmen, dass das, was sie so machen, schlecht ist.
Soweit ich weiß hat der Veranstalter ein Video gemacht, das man online stellen könnte. Ich muss da aber nochmal drübergehen, ob ich mich irgendwo verplappert habe und was rausgepiepst werden sollte, damit sich da niemand bloßgestellt fühlt oder so. Mir ging es ja explizit nicht darum, auf irgendjemanden mit dem Finger zu zeigen, sondern aufzuzeigen, dass wir alle Teil des Problems sind.
so als Kontrastfolie zur (beschissenen) Idee des "Progressive Stack" wollte ich Dir kurz erzählen, wie der Stack bei 100% der Q&A-Runden auf von mir in den letzten 15 Jahren besuchten (Geistes- und Sozial-)wissenschaftlichen Tagungen aussah. Format ganz klassisch, 90 Minuten Veranstaltung, 65-75 Minuten Vortrag, 15 bis 25 Minuten Diskussion/Q&A.Die Redeliste wird nicht nach Reihenfolge der Meldung oder so erstellt, sondern
- -Erst werden die vollen Professoren rangenommen, mit den Prominentesten zuerst
- Dann folgen, beginnend mit den Juniorprofessoren und den Lehrstuhlassistenten, die Postdoktoranden
- Danach die Doktoranden mit Job am Institut
- Dann die Doktoranden ohne Job am Institut/auf Stipendium
- Die studentischen Hilfskräfte an den Lehrstühlen
- Und falls dann noch Zeit ist (also selten) "normale" Studenten, beginnend mit denen, deren Gesicht der/die Moderator/in kennt.
Zumindest in Europa ist es so, dass oberhalb des Doktorandenlevels die überwiegende Mehrheit der Leute weiß, männlich und aus einem Akademikerhaushalt stammend ist.
Die schlechte Idee des Progressive Stack ist also, ein total hirnrissiges System auf den Kopf zu stellen und so durch ein ebenso hirnrissiges System zu ersetzen.
Das hilft mir persönlich ja schonmal echt weiter. Jetzt hab ich endlich eine Idee, wieso sich die Sozialwissenschaftler die ganze Zeit von alten weißen Männern unterdrückt fühlen. (Danke, Philipp)
Die Seniorin, die früher als Schneiderin gearbeitet hat, sagt, nach Abzug der Fixkosten blieben ihr „höchstens 100 Euro im Monat“. Wochenlang habe sie sich von Knäckebrot und Wasser ernährt, bevor sie sich nicht anders zu helfen wusste und die Waren in Supermärkten mitgehen ließ. Gesamtwert der Lebensmittel und Drogerieartikel: etwas mehr als 70 Euro. Ingrid M. wurde fünfmal beim Stehlen erwischt und zu einer Geld- und zwei Bewährungsstrafen verurteilt.(Danke, Philipp)
Das ist ja wohl einer der beschissensten Jobs, die man sich nur vorstellen kann. Wer will DAS denn machen? Da liegt die Idee nahe, dass die Behörden das nicht selber machen wollen. Klarer Fall also: Das vergibt man an private Firmen. Und was passiert dann im Kapitalismus unausweichlich? Na klar!
Ein solches Unternehmen aus dem Raum Augsburg wollte die Kinderpornos nun von Minijobbern auswerten lassen, teils in Heimarbeit.JA SUPER! Das ist ja eine brilliante Idee! Minijobber! Von Zuhause! (Danke, Thomas)
Da stellen sich ja spontan zwei Fragen. Erstens: Wenn die anderen Akten nicht sensibel waren, wieso waren die dann bisher unter Verschluss? Zweitens:
In einer Mitteilung des Präsidenten heißt es, er habe keine Wahl, um unwiderruflichen Schaden für die nationale Sicherheit zu vermeiden.Ach? Was für ein Schaden soll das denn bitte sein nach so vielen Jahren?
Eyeo ist mir jedenfalls auf jeder Ebene sehr suspekt. Was lese ich da in dem Artikel?
"We're trying to take the click away," Eyeo communications chief and strategist Laura Dornheim told ZDNet. "At the end of every 30-day cycle, we will spread that budget to all the sites you've visited. We will not keep money stored somewhere for sites that have not signed up yet."Der Name kam mir dann doch bekannt vor, ich war mir aber nicht sicher, also googelte ich mal und fand überraschend, dass Frau Dornheim einen Listenplatz bei den Berliner Grünen bekleidet.Und DIE Verbindung hatte ich dann doch noch nicht auf dem Schirm. Big-Data-Eyeo mit ihrem mich an Schutzgeld erinnernden Adblock-Freikauf-Geschäftsmodell und die Grünen. Und wenn ihr mal runterscrollt: Nicht irgendein Teil der Grünen, die Netzpolitik-Abteilung.
Damit es hier keine Missverständnisse gibt: Ich kenne Frau Dornheim nicht persönlich, vielleicht ist die total super und progressiv und alles und ist nur bei Eyeo, um die von innen heraus zu reformieren. Für wie wahrscheinlich ihr das haltet, könnt ihr euch ja selber überlegen.
Auch sehr geil finde ich, dass die Grünen-Webseite mir erstmal eine Cookie-Warnung reindrückt. Da weißt du doch, woran du netzpolitisch bist bei denen.
Update: Und ja, wir müssen mal dringend die letzten Flattr-Rudimente aus Alternativlos rausoperieren. Mit einer Firma wie Eyeo möchte ich lieber keine Beziehung unterhalten.
Und ich dachte, ich hätte schon alles gehört über MySQL…
I will always call on my Black women students first. Other POC get second tier priority. WW come next. And, if I have to, white men.Das kommt angeblich von der Occupy-Bewegung. Ich hatte da noch nie von gehört.Die Idee ist, die "Opfer-Olympiade" mal praktisch umzusetzen, und die am meisten marginalisierten Schüler grundsätzlich zuerst dranzunehmen. Dann in absteigender Marginalisierungsreihenfolge die anderen. Und wenn, wider Erwartens, wirklich niemand die Frage beantwortet hat, und nur noch weiße Männer übrig bleiben, dann zur aller höchsten Not halt einen von denen.
In Zukunft ist dann selbst dieses Feigenblatt weg.
Da gibt es jetzt ein Update: Die Spur führt zur Polizei.
Einer der Killer wurde wegen seiner Größe, etwa 1,90 Meter, „der Riese“ genannt. Nun meldete sich, wie aus Justizkreisen verlautet, vor einigen Monaten ein Bruder eines früheren Elitepolizisten, der 2015 gestorben war, und sagte, dass dieser auf dem Sterbebett gestanden habe, der „Riese“ und Chef der Bande gewesen sei. Tatsächlich war der Verstorbene, dessen Name mit „K. B.“ angegeben wird, ein Mitglied der Spezialtruppe „Groep Dian“ der Bundespolizei, und 1,90 Meter groß.Oha! (Danke, Alfred)
Some of the items contained in the GOP tax reform discussion are just "buying off" special interests and serve no other purpose, Republican Sen. Bob Corker says.Craig-Bennett said lobbyists used deliberately confusing statistics about shipping emissions – which are roughly equal to the annual emissions of Germany – in order to mislead and delay action on carbon pollution.“We can feel nothing but contempt and disgust at the prostitutes employed by our racket to try and put one over on the general public,” he said.
Ein Änderungsantrag erlaubt Diensteanbietern zwar, Metadaten inklusive Ortsdaten basierend auf der informierten Einwilligung der Nutzer zu verarbeiten. Nutzer dürfen aber die Einwilligung zu zusätzlichen Dienste zurückziehen, die beispielsweise die Auswertung der Surf-Historie beinhalten könnten, ohne dass damit der Vertrag mit dem Basisdienst ungültig wird.Das klingt nach einer großen neuen Kleingedrucktes-Schlacht mit hellgrauer Schrift auf hellgrauem Untergrund, wissenschon.
Und es geht ihnen tatsächlich gut genug, dass sie keine Werbung mehr von RT und Sputnik nehmen wollen.
Wieviel Bedarfsträger sie dafür wohl als Käufer für die Daten ihrer Kunden auftun mussten?
Es gab da z.B. einen Talk zu Owasp und deren Top 10, und der verbrachte gefühlt die erste halbe Stunde damit, dass die Top 10 ja völlig überbewertet und von der Werbung irgendwelcher Unternehmen missbraucht werden, dass das keine Pentest-Checkliste sei und nicht für Compliance gebraucht werden dürfe — und dann berichtete er darüber, wie sie da Streitereien haben zu den neuen Top 10, wie es da einen Entwurf gab, wo ein Punkt "du sollst Schlangenöl kaufen" eingefügt wurde. Anscheinend auf Betreiben von jemandem, der "privat" diese Liste maintaint und dann beruflich das geforderte Schlangenöl vertreibt. Das war mir alles neu, aber ich stalke jetzt auch nicht Owasp hinterher, die interessieren mich ehrlich gesagt nicht so stark. Aber jetzt zeigt er den neuen Entwurf, und da ist CSRF nicht mehr drin (nach wie vor eines der größten echten Probleme für Webapps, aus meiner Sicht, das viele viele Leute nicht verstanden haben, die Webapps bauen). Dafür ist da "du sollst Schlanenöl zum Monitoring und Alerting kaufen" drin. Tja, Owasp, ein Wort mit X. Das war wohl nix.
Was hab ich noch gesehen? Oh ja, "Sichere Softwareentwicklung - Anforderungen und Vorgehensweisen". Das war erst eine ewig lange Liste von "ALLE WURDEN GEHACKT! ALLE!!!", eine halbe Stunde "Wir werden alle störben" pur. Und als sie dann ein paar Maßnahmen empfahlen, machten wir ein Trinkspiel daraus und mein Kumpel Daniel drehte dann eine Siegerrunde, als er korrekt "gleich pluggen sie die SDL" vorhersagte.
Ich muss dazu sagen, dass ich relativ hohe Ansprüche habe bei Vorträgen, wenn es darum geht, was man da jetzt konkret mitnehmen kann. Und das fehlte hier bei vielen Talks. Ein paar Links auf Dinge (ich erinnere mich an drei Talks, die auf die Owasp Top 10 verwiesen, die der Owasp-Talk gerade dafür gedisst hatte). Ja, äh, wenn ich Links hinterherlaufen wollte, hätte ich mir den Vortrag nicht angucken müssen. Das Problem hatten viele Talks. Gut, die Materie ist ja auch komplex, aber das Argument kann ich nicht gelten lassen, wenn die erste Hälfte des Talks mit Platitüden und Einführungs-Blablah verplempert wird.
"Security im Entwicklerteam" habe ich auch geguckt, aber da fehlten mir auch so ein bisschen die "was machen wir denn jetzt"-Folien. Konkrete Dinge, die man jetzt tun kann, den Schritt geht irgendwie kaum jemand. Und ich meine jetzt nicht "hier ist ein Wiki, klick da mal rum". Besonders krass fand ich einen Talk am 2. Tag, bei dem es um Automatische Code-Scanner ging, und "was die Hersteller Ihnen nicht sagen werden". Da hätte ich konkrete Beispiele erwartet, mindestens aber ein paar lustige Anekdoten. Stattdessen kam unkonkretes "die versprechen viel und halten das dann nicht" (NEIN! Hold the presses!!) und "wenn Sie das genauer wissen wollen, dann holen sie sich mal die Eval-Versionen, nehmen Sie sich jeweils ein paar Tage Zeit, und testen Sie die gegeneinander". Äh, das wollte ich gerade nicht machen sondern mir hier die Ergebnisse abholen!
Am 2. Tag morgens gab es einen Vortrag, der mir vergleichsweise wichtig war. Da erzählten nämlich zwei Leute von Rohde & Schwarz von dem Projekt "Analyse und Auswahl einer allgemeinen Kryptobibliothek". Der Talk war mir wichtig, weil das Projekt für das BSI ist. Das BSI hat ja ein paar Glaubwürdigkeitsprobleme bei Kryptofragen, seit sie sich in die Bundestrojaner-Begutachtung haben verwickeln lassen. Insofern gut und richtig, das an eine externe Organisation rauszugeben. Aber Rohde & Schwarz ist an der Stelle eine zumindest aus meiner Sicht nicht viel glaubwürdiger aufgestellte Firma, die mir unter anderem als Lieferant von IMSI-Catchern für "Bedarfsträger" untergekommen ist bisher. Das ist keine gute Basis für das Erarbeiten einer unabhängigen Empfehlung für Krypto-Libraries. So und das Ergebnis von diesem Projekt war jetzt, dass sie Botan gewählt haben — eine Library mit einem Marktanteil von vielleicht 1% im TLS-Segment, von der kaum jemand überhaupt gehört hat. Ich habe mir bei Botan mal den Code angeguckt und der war jetzt nicht schlecht oder so, aber das ist ein krasser Außenseiter, und in Benchmarks ist deren Code schonmal nur halb so schnell wie der von OpenSSL. Meine Erfahrung ist, dass schon 5% Performanceunterschied reichen, um jemanden doch zu OpenSSL greifen zu lassen, wenn der bloß eine Ausrede suchte, wieso er bei OpenSSL bleiben soll. Das ist also alles schon mal nicht so gut, sowohl aus technischer als auch aus politischer Sicht. Ich hätte erwartet, dass die die Zeit nutzen, um mal so richtig knallhart inhaltlich zu zeigen, welche Kriterien ihnen wichtig waren und warum sie so entschieden haben, um jeden Geruch von Foul Play auszuschließen. Stattdessen kam ein Halbsatz dazu. Sie haben intern ein Punktesystem erarbeitet und nach dem sind sie gegangen. Ja, äh, das hilft mir jetzt nicht weiter. Das riecht jetzt nicht besser als vorher. Eines der Argumente gegen OpenSSL war, dass das API so schlimm ist. Ungefähr 20 Minuten lang haben sie dann Beispiele gezeigt, wie man in Botan Dinge tut, aber nicht Dinge wie "TLS-Verbindung aufmachen, Certificate Pinning anschalten" — nein, Dinge wie "SHA256 von diesen drei Bytes hier machen. Ja, äh, das geht auch in OpenSSL mit nur ein paar Zeilen Code. Das große Argument für Botan ist, dass es vergleichsweise wenig Code ist (im Vergleich zu OpenSSL). Allerdings kommt der viele Code in OpenSSL u.a. davon, dass sie für performancekritische Primitiven Assembler-Implementationen für ein Dutzend Plattformen haben. Und nicht nur für Performance ist Assembler wichtig, auch für das Vermeiden von Seitenkanälen. Wie da die Situation bei Botan ist, haben sie zwar gesagt, dass sie das getestet haben und was in einem Padding-Verfahren gefunden haben, aber was ist mit den anderen Verfahren? Die elliptischen Kurven, das RSA?
Zur Ehrenrettung der Vortragenden muss man aber sagen, dass die a) für eine Tochter von Rohde & Schwarz arbeiten, die die dazugekauft haben, und b) nicht den Eindruck erweckten, sie seien jetzt fiese Geheimdienstler, die unser Krypto schwächen wollen. Aber ausgeräumt haben sie den Verdacht halt auch nicht.
Mir tun die Leute beim BSI und bei dieser R&S-Tochter durchaus leid, versteht mich nicht falsch. Viele wenn nicht alle von denen meinen das sicher alles total gut, und werden jetzt völlig zu Unrecht verdächtigt.
Ich habe so ein bisschen den Eindruck gewonnen, dass ich mal einen Vortrag über Threat Modeling halten muss. Das ist gerade voll im Trend, und die meisten, die das machen, haben gar nicht verstanden, warum man das macht.
Das war dann für mich auch schon die Veranstaltung, danach kam meine Keynote und nach der bin ich ziemlich direkt in den Zug gestiegen, damit ich auf der Fahrt nach Berlin nicht komplett im Dunkeln fahren muss.
Update: Dirk, der den Owasp-Talk gemacht hatte, schreibt mir gerade, dass das nicht als Schlangenöl-Kaufen-Paragraph gemeint ist, auch wenn ich das so deute. Sie hätten extra auch Open Source erwähnt. Nun, mit Schlangenöl meine ich "verspricht Dinge, die es nicht halten kann", nicht "kostet Geld". Schlangenöl kostet natürlich im Allgemeinen auch Geld, ja, aber es gibt auch Open Source Schlangenöl. Ich finde es halt anstößig, erst die Formulierung von "wichtigste Angriffe" auf "wichtigste Risiken" zu ändern, um dann in der nächsten Runde "Reaktives Security-Produkt $XY nicht installiert" als Risiko hinzuschreiben. Das geht aus meiner Sicht gar nicht. Na mal gucken, ist ja bisher noch ein Release Candidate, vielleicht fliegt das ja auch noch raus.
New hotness: Fahrer bezahlen Uber dafür, für sie arbeiten zu dürfen.
Mehr als 215 Millionen US-Dollar an Schadenersatz habe die Regierung bereits an klagende Unternehmen ausgezahlt, allein etwa 80 Millionen US-Dollar seien an Rechtskosten angefallen, berichtet CCPA. Acht Klagen habe der kanadische Staat verloren oder sie in einem Vergleich abgeschlossen, neun Verfahren wurden gewonnen.Ach nee! Na das ist ja mal ein bemerkenswerter Zufall!Dagegen hätten die USA bisher keinen einzigen von 20 geführten Fällen verloren, schreibt CCPA weiter. Kritiker monieren, das könne daran liegen, dass der Sitz des Schiedsgerichts in den USA liege. "Es ist zumindest aus statistischer Sicht äußerst merkwürdig und wahrscheinlich, dass die Politik hier Einfluss nimmt. Für die USA scheinen andere Regeln zu gelten", sagt Trew.
Update: Der Kurier schrieb letztes Jahr sogar, dass die USA noch nie vor ihrem Schiedsgericht verloren haben. (Danke, Andreas)
Kommt ihr NIE drauf!
Während ich darüber nachdenke, frage ich mich gerade, wieso eigentlich niemand Vorführungen von Tools oder Methoden macht. Kein Vortrag, sondern eine Art Demo. Auf Youtube gibt es Live beim Software-Entwickeln zusehen. Ich könnte mir vorstellen, dass man das auch prima als Veranstaltung machen könnte. Aber halt mit vergleichsweise kleineren Zielen, damit sich das nicht stundenlang hinzieht.
Ich beobachte häufig, dass in Projekten Architekturentscheidungen gefällt werden, ohne dass man das irgendwie beurteilen kann, ob das eine gute Idee ist oder nicht. Da wird dann halt ein Tool angekauft, weil man gehört hat, dass das cool ist, oder dass man das heute halt so macht.
Und nicht nur Tools! Auch so Gottesdienst-Ritualdinge wie Agile oder SCRUM werden umgesetzt, ohne dass jemand im Team vorher schon eine richtige Vorstellung davon hat, was das eigentlich ist, was das bedeutet, warum man das macht.
Im Effekt sieht man dann, dass eigentlich gut gemeinte Dinge voll nach hinten losgehen. Security-Geräte stehen als Heizlüfter rum, fressen Strom und generieren Logs und Alerts, die keiner liest. Handbewegungen werden gemacht, weil man gehört hat, dass das dann besser ist, aber weil man gar nicht verstanden hat, wieso man das machen sollte, werden alle Nachteile aber keine der Vorteile mitgenommen.
Ich stelle mir gerade naiv vor, dass man das wegkriegen könnte, wenn man da Live-Demos hat. Aber nicht vom Hersteller, damit das nicht in Werbung ausartet, und auch nicht von irgendeinem User, sondern von jemandem, der sich richtig gut damit auskennt.
Wenn ich sehen kann, wie jemand mit einem bestimmten Tool ein bestimmtes Problem mit drei Handbewegungen gelöst kriegt, und ich ärgere mich da seit Wochen mit rum, dann wäre das doch eine wertvolle Information! Wertvoller jedenfalls als viele Vorträge, die im Moment auf Konferenzen Zeit verplempern (und das sage ich bewusst explizit ganz allgemein und meine nicht diese Konferenz im Speziellen).
Weiß jemand, wieso das nicht gemacht wird? Oder wird es gemacht, und ich hab es nicht mitgekriegt?
Update: Ein fieser Einsender erklärt es mir gerade so:
Aus meiner Erfahrung heraus sind Vorträge zum Kundengewinn gedacht und die von dir genannte "Live-Demo" wird als Schulung verkauft. Es wird öffentlich nicht gemacht, weil man das dann schlechter als "Anwenderschulung" noch beim Kunden verkauft bekommt.
Facebook translates 'good morning' into 'attack them', leading to arrestUnd wo? Natürlich in Israel! Und der Facebook-Benutzer war Palästinenser. (Danke, Magnus)
Texas city refuses to give people hurricane aid unless they pledge not to boycott IsraelWait, what? (Danke, Markus)
DUHK is a vulnerability that affects devices using the ANSI X9.31 Random Number Generator (RNG)Der ANSI Zufallszahlengenerator, ja? Hmm. Da müsste man schon extrem bescheuert sein und den Seed hardkodieren.Hey, bei der Gelegenheit kann ich ja mal aufklären, wofür DUHK steht. Don't Use Hard-coded Keys. Nein, wirklich!
Naja gut, aber genau vor sowas soll uns ja FIPS schützen, nicht wahr? Inkompetente Krypto-Implementationen. Das ist genau die Aufgabe von FIPS.
The affected implementations were all historically compliant with FIPS, the Federal Information Processing Standards.Nur falls mal wieder jemand kommt und euch erzählt, Zertifikationen seien nicht völlig wertlos.
The allegations on the spreadsheet range from “flirting” and “weird lunch dates“ to accusations of rape, assault, stalking, harassment, and physical violence. What these things have in common is that they remind women, particularly vulnerable women, that they are not in power.So eine gelegentliche Hexenjagd ist gut für den Kreislauf, Parkinson-Prävention und so!
Update: ACH, das ist ja ein Twist! Anscheinend kommt die Media-Shitliste von Trump-Fanboys, die jetzt mal so richtig die liberalen Fake-News-Medien mit Scheiße bewerfen wollen. Kurz gesagt: Ein weitere Fall von "beschissene Taktiken der Linken von den Rechten kopiert und gegen Linke angewendet". Das erklärt, wieso ausgerechnet Buzzfeed plötzlich ein Problem damit hat, wenn Anschuldigungen über Leute verbreitet werde, ohne dass ihnen vorher die Möglichkeit zur Stellungnahme gegeben wird. Die Trump-Supporter sind ja auch gerade die treibende Kraft hinter der Weinstein-Skandalisierung. Hollywood ist eine Demokraten-Hochburg.
Und jetzt das:
Bomb disposal experts were called to the Sellafield nuclear reprocessing plant after a routine audit of chemicals stored on the site.ABER NATÜRLICH besteht da Explosionsgefahr! Was soll da auch sonst bestehen? (Danke, Magnus)
Ich bin ja ein Freund davon, wenn Firmen Bugs in Software finden, und nicht bloß Bug Bounties ausschreiben und hoffen, dass ihnen die Bugs schon von außen gemeldet werden. Das ist eine Unsitte, weil es das Bugfinden zu einer Finanztransaktion macht und einen Markt schafft, in dem Geheimdienste einfach mehr zahlen können und dann kriegen die halt die Bugs und nicht der Hersteller.
Aber ich muss mich an der Stelle wundern, wenn die so tolle Mechanismen haben da (und der Hauptzweck des Artikels ist offensichtlich das Protzen, was sie für tolle Möglichkeiten haben), wieso verwenden sie sie dann nicht, um ihren eigenen Gammelbrowser besser zu machen?
Lasst euch von dem ganzen Mitigation-Gelaber nicht blenden. Das ist sowas wie eine Bankrotterklärung. "Wir versuchen gar nicht mehr, alle Bugs zu finden. Wir machen Mitigations rein". Das ist wie "Wir müssen unsere Dienste nicht absichern, wir haben ja eine Firewall".
Außerdem: Habt ihr euch mal gefragt, wieso die so viele Mitigations haben? Wieso hat der Less Privileged App Container nicht gereicht? Weil jede Mitigation umgehbar ist. Manchmal dauert das ein bisschen, manchmal geht es flott. Alles, was das tut, ist die wohlmeinenden Forscher behindern. Die Geheimdienste nehmen dann halt mehr Geld in die Hand.
Wenn ich Mitigation höre, dann denke ich mir immer: Je mehr Geld in Mitigations fließen, desto weniger Geld ist offensichtlich in das Finden und Schließen von Bugs geflossen. Das ist aus meiner Sicht ein Antipattern.
Im Übrigen möchte ich noch kurz darauf hinweisen, dass der Bugtracker von Chrome offen ist, da können wir alle reingucken, und uns davon überzeugen, wie schlimm der Zustand des Produktes ist. Das traut sich Microsoft bei ihrem Browser nicht (aber es gibt immerhin bei Chakra auch einen externen Bugtracker). Warum wohl?
Ein cheap shot, diese Aktion. Wirft kein gutes Licht auf Microsoft.
Das gab übrigens, wie ihr euch sicher vorstellen könnt, einige interessante Gespräche mit Microsoft-Mitarbeitern, als ich da beruflich vor Ort war :-)
Jedenfalls hätte ich mir damals nicht träumen lassen, wenn ich meine Software nicht nach Windows portiere, dass Microsoft dann halt Windows zu meiner Software portieren würde. Das Windows Fall Creators Update kommt mit dem "Windows Subsystem for Linux". Das habe ich gerade mal ausprobiert und darin eines meiner dietlibc-Binaries gestartet, das ls von embutils. Das erste Binary, das ich probiert habe, segfaultete direkt. Also habe ich nochmal alles make clean gemacht, neu gebaut, das neue Binary mit Debug Info rüberkopiert, aufgerufen, und es tat einfach.
Jetzt bin ich ja doch ziemlich geflasht, muss ich euch sagen.
Das muss ich erstmal verdauen.
Eine wichtige Bezugsperson des Terroristen Anis Amri in der militanten Islamistenszene war ein V-Mann des Landeskriminalamts Nordrhein-Westfalen. Recherchen des rbb und der "Berliner Morgenpost" belegen nun, dass die sogenannte Vertrauensperson VP-01 frühzeitig Islamisten zu Anschlägen in Deutschland angestachelt haben soll. Laut eines Zeugens war dabei auch von einem Anschlag mit einem Lkw die Rede.Tja, so ein Verfassungsschutz braucht halt Geld. Und Geld kriegt man als Verfassungsschutz nach Anschlägen.
Update: Jaja, LKA, nicht Verfassungsschutz. Hört doch mal auf, mir meine Witze mit euren Fakten kaputtzumachen!1!!
Vmware hat natürlich sofort reagiert, und schlägt vor:
To workaround this issue, use one of these options:- Download Flash Player 27 Beta […]
Note: This is a Beta build and used at your own risk.
- Use an older version of Shockwave Flash
Na ein Glück, dass wir das geklärt haben!
Besteht Gefahr für die Gesundheit der Tiere, so kann dies einen Notstand bedeuten, der Tierschützer zum Eindringen in einen Zuchtbetrieb berechtigen kann.Oh wow! (via)
The US uses the Islamic State insurgency as a tool in Afghanistan, aimed at destabilizing the whole region, the former Afghan president told RT, urging the international community to convince the US that it needs to actually fight terrorism.
Wenn euch das an das systemd-Problem vor einer Weile erinnert, insbesondere Microsofts "Lösung" für das Problem, dann seid ihr nicht alleine :-)
Update: War ein Repost.
Und zwar handelt es sich um das Bundesinstitut für Risikobewertung, die sollten sich zu Glyphosat äußern. Das Ergebnis-Papier hat einige Aktivisten dermaßen an die Argumentation von Monsanto erinnert, dass sie ein Plagiatsgutachten in Auftrag gaben. Ergebnis:
Es sei „offensichtlich, dass das BfR keine eigenständige Bewertung der zitierten Studien vorgenommen hat“, sagt Dr. Stefan Weber, der im Auftrag von GLOBAL 2000 ein Plagiatsgutachten erstellt hat. Über „zahlreiche Seiten hinweg“ seien Textpassagen „praktisch wörtlich übernommen“ worden.Ach naja, denkt ihr euch jetzt vielleicht, das werden unwichtige Randnotizen gewesen sein, nicht der Kernteil.
Das Kapitel zur Gentoxizität, also zur erbgutschädigenden Wirkung von Glyphosat, wurde sogar fast vollständig und fast wortwörtlich übernommen.Endlich geht mal eine Behörde sorgsam mit unseren Steuergeldern um!1!!
Aber hey, wichtig ist ja nicht das Bundesinstitut sondern die EU an der Stelle. Nicht wahr? Und die machen ja sicher ordentliche Gutachten. Nicht wahr?
Der Bewertungsbericht des BfR und damit die wissenschaftliche Grundlage für die von der EU-Kommission vorgeschlagene Zulassungsverlängerung von Glyphosat erfülle in wesentlichen Teilen die „Kriterien eines Textplagiats“.Oh. Äh.
Hmm. Na was sagt denn die EU dazu?
But Efsa's Url also said that some of the criticism that members of the European Parliament have made of his agency are "hypocritical."He referred to when MEPs tell Efsa they should publish more studies, even though many of them are protected by intellectual property rights, because they are owned by private companies.
Oh ACH SO ist das! Die mit unseren Steuergeldern bezahlten "Studien" dürfen gar nicht veröffentlicht werden, weil ihr euch die Rechte dazu nicht vertraglich habt zusichern lassen?Ja das ist dann wohl Schicksal, da kann man nichts machen!1!! *augenroll*
Die Behörde wies den Zeitungsbericht am Freitag umgehend zurück. Die Behauptungen seien ein "weiterer Versuch", den von EU-Experten verfassten Bericht in Zweifel zu ziehen, erklärte die Efsa.Well yeah. Das ist die Aufgabe der Presse. Dafür haben wir die Presse. Manche Leute haben echt ein Demokratieverständnis, da kann man sich nur noch an den Kopf fassen. (Danke, Martin)
Nach einigem Suchen ist der Übeltäter nun gefunden: Ein Stromgenerator der örtlichen Elektrizitätswerke. Der Versorger lässt gerade ein Transformatorenhaus in Waanrode umbauen. Damit aber trotzdem ausreichend Energie im Dorf vorhanden ist, hat man einen Stromgenerator dazu geschaltet. Damit der aber wiederum nicht kollabiert, wenn plötzlich die Solaranlagen anspringen, wurde die Stromfrequenz leicht verändert. Statt wie sonst üblich mit 50 Hertz, fließt der Strom in Waanrode nun mit 51 Hertz.Ja und so Gammel-Billiguhren, die ihre Zeit aus dem Stromnetz beziehen, die laufen dann halt schneller. m(
Update: Ich habe vor Jahren mal einen Auftrag bei einem Stromunternehmen gehabt. Als ich zu denen vor Ort kam, war an der Wand so ein LCD-Display, auf dem stand sowas wie 50.000000123. Ich guckte fragend, da erklärten sie mir, dass das die Netzfrequenz ist. Wenn mehr oder weniger Strom abgenommen als eingespeist wird (das ist Jahre her und ich bin kein Elektriker, verzeiht mir also Falschdarstellungen an dieser Stelle), dann schlägt sich das auf die Stromfrequenz nieder. Und weil so viele Geräte das Stromnetz zur Zeitberechnung nehmen, misst der Stromanbieter die Frequenz und … macht dann nachts Korrektur-Änderungen. Wenn also tagsüber die Frequenz um ein paar Millihertz abgewichen ist, lässt man das nachts in die Gegenrichtung zurückabweichen, damit die Uhren wieder richtig gehen.
Für mich war das damals ein massiver Fnord, aber wenn man das verstanden hat, versteht man auch, dass es sogar eine bessere Idee ist, wenn Uhren die Zeit vom Stromnetz nehmen, als wenn sie einen eigenen Quartz haben. So ein Quartz geht pro Jahr ein paar Minuten falsch, das Stromnetz hoffentlich nie. Außer halt jetzt in Belgien :-) (Danke, Tobias)
Ich glaube, ich habe meine Position zu Zertifizierungen schon geäußert über die Jahre. Ich halte das im Wesentlichen für Geldschneiderei.
Das Argument für Zertifikate ist, dass es den Vendor dazu bringt, mal ordentliche Prozesse zu installieren.
Allerdings würde ich lieber bei jemandem kaufen, der 200k in gute Prozesse investiert, als in jemanden, der 100k in Prozesse investiert und 100k für Zertifizierungs-Bullshit ausgibt. Und, mal ganz zurückhaltend und vorsichtig formuliert: Die Existenz einer Zertifizierung ist kein Garant dafür, dass die Prozesse a) gut und b) gut umgesetzt wurden.
Zertifizierungen sind eine Mitesser-Branche, die sich an ansonsten profitable Branchen anhängt und deren Profite absaugt. Genau wie Anwälte :-)
Aber es gibt eine geradezu irrationale Hochachtung für Zertifikate, gerade in Deutschland. Vielleicht taugt dieses Beispiel, um da mal ein bisschen die Luft rauszulassen. Wer pfuschen will, wird auch zukünftig pfuschen, ob mit oder ohne Zertifikat. Und viele Zertifikate belegen nur die Existenz von Prozessen, nicht von guten oder sinnvollen Prozessen.
Beispielhaft für die pseudoreligiöse Verehrung von Zertifikaten sei hier mal die Pressemitteilung von Yubico verlinkt, als sie ansagten, dass sie aus Sicherheitsgründen (!) keine Open Source-Firmeware mehr verbauen wollen, sondern nur noch zertifizierte Qualität wie das Zeug von Infineon. (via)
Update: Das ist sogar noch ein bisschen peinlicher, denn die Prüfung war nicht vom BSI sondern von TÜV IT. Das BSI hat das dann abgestempelt. (Danke, Benjamin)
Der Bug ist so blöde, das kannste dir gar nicht ausdenken. Setzt euch mal stabil hin:
“The problem is, the RSA private key that belongs to the public pair that was used for the signature checking, could be found on the internet as part of an example application of a software library,” according to his research.Das ist ja NOCH geiler als seinen Private Key bei Github hochladen! Jemand anderes Private Key von Github nehmen! Hey, bei so einem Hersteller will man doch seine Infrastruktur einkaufen!1!!Übrigens, mal am Rande:
Rad said the vulnerabilities were discovered on May 10 and initial disclosure of the bugs to Lenovo was May 14. Ten days later Lenovo confirmed the vulnerabilities with coordinated public disclosure occurring on Oct. 5.Die haben ernsthaft seit Mai auf dem Problem gesessen. Wenn die Lösung war, einen neuen Key zu erzeugen und auszurollen. SEIT MAI.Oh und die Auswirkung? Remote Code Execution natürlich!
Ein Patent des Publishers Activision dreht sich um ein spezielles Matchmaking-System, das den Verkauf von Bezahlinhalten in Spielen weiter anfeuern könnte. Indem Spieler durch bestimmte Algorithmen ganz gezielt mit Vorbildern in eine Multiplayer-Partie gesteckt werden, sollen sie zum Kauf etwa von digitalen Waffen motiviert werden.Kapitalismus, Fuck Yeah! (Danke, Ronald)
New hotness: Tausende von Studien in der Krebsforschung unzuverlässig.
Researchers warn that large parts of biomedical science could be invalid due to a cascading history of flawed data in a systemic failure going back decades.Das sind so ziemlich die schärfsten Formulierungen, die man an der Stelle verwenden kann. Das scheint echt übel zu sein.
Die Wiener Polizei zog bereits am Montag eine Bilanz über das seit 1. Oktober geltende Verhüllungsverbot. In den ersten zwei Wochen gab es in Wien demnach 30 Amtshandlungen. Vier betrafen dem Vernehmen nach Frauen mit muslimischer Gesichtsverschleierung, der Rest Touristen oder „Provokateure“"Provokateure" wie die Wadenbeißerin, in der es in diesem Artikel geht. Eine 28-jährige Psychologin an der Uni Wien, die gerne einen großen Schal trägt und sich da nicht von irgendwelchen Leuten reinreden lassen will. Und die hat schonmal angekündigt, dass sie das wenn nötig durch die Instanzen tragen wird.
Update: Ooooh, das war ja nur die Spitze des Eisbergs!
Es gab da noch viel lustigere Meldungen!
OH MANN, was für eine Farce!
Update: Hoster sagt: Stromnetz war OK, aber die USV nicht. Ich hätte ja gerne mal eine Statistik darüber, wie viele Ausfälle durch Netz, wieviele durch USV und wieviele durch Stromausfall verursacht werden. Mein Bauchgefühl sagt mir, dass USVs mehr kaputtmachen als sie helfen.
Neo-Nazi and National Front organiser quits movement, opens up about Jewish heritage, comes out as gayWait, what?!
Und DAS ist eine deutlich schlechtere Botschaft für den typischen Nicht-Esten als irgendwelche Pässe aus dem Baltikum. Und Infineon hat einen Haufen von PC-Bauern mit ihren TPMs beliefert, hier ist eine Liste. Einmal alles, was einen Namen hat.
Nun gut, aber wer benutzt schon die RSA-Funktion ihres TPMs? Na z.B. Firmen, die Bitlocker auf ihren Geräten einsetzen. Inwieweit das jetzt ein Problem ist, kann ich gerade auch nicht sagen. Aber es klingt auf jeden Fall so, als sollten im Moment viele Leute schlecht schlafen.
Das halte ich im Moment für das schlimmere Problem als das WLAN-Bohei, denn bei WLAN kann man ein Update ausrollen, bei dem RSA-Krypto-Problem muss man auch alle Keys zurückrufen und neu machen. Das ist erfahrungsgemäß ein Riesenproblem.
Ja, WLAN ist jetzt unsicher, aber das Internet hinter dem WLAN ist schon die ganze Zeit unsicher.
Ja, jemand könnte jetzt euer lokales WLAN angreifen und eure Daten abgreifen. Aber wir wissen, dass die Geheimdienste schon die ganze Zeit im Internet eure Daten abgreifen, und Facebook und Google und die Werbenetzwerke verkaufen eure Daten auch weiter.
Onlinebanking und -shopping findet heute verschlüsselt statt (wenn nicht, dann ist das auch ohne WLAN-Lücke ein Riesenproblem und ihr solltet euch schlecht fühlen). Das Angriffsszenario, das mit der Verschlüsselung verhindert werden soll, ist genau, dass jemand den Traffic mitlesen oder manipulieren kann.
Also lasst euch mal jetzt nicht verrückt machen. Und beruhigt eure Eltern. :-)
Update: Das war eine Reaktion auf die BSI-Empfehlung, jetzt erstmal kein Onlinebanking mehr zu machen und nichts online einzukaufen. Das ist eine ziemlich sinnlose Empfehlung.
Viel sinnvoller wäre es, die Leute zu warnen, dass sie an ihrem Windows jetzt das WLAN von „ist ein privates Netz“ auf „öffentliches Netz“ umstellen sollten, bis das geklärt ist. Und wer zuhause ohne Passwort und Krypto auf beispielsweise ein NAS zugreift, der könnte sich eventuell Sorgen machen. Oder Drucken ist auch so eine Sache, die im Netz häufig unverschlüsselt abläuft.
Die FAZ hat eine einleuchtende Erklärung! Vom kommenden Jahr an wird dies aber automatisch erfolgen: Dann wird jedes Konto spanischer Bürger in Andorra an den Fiskus in ihrem Heimatland gemeldet werden.Ach sooooo! Andorra ist sozusagen die Schweiz Spaniens und bunkert das ganze Schwarzgeld der Steuerhinterzieher und Kriminellen! Ja Moment, aber Andorra ist doch gar nicht Teil von Katalonien? Insofern ist das potentiell ein fast noch schlimmerer Schaden als wenn der Quellcode geklaut wird. Gerade für Geheimdienste sind ja auch Angriffe gegen ältere Versionen interessant. Statistiken darüber, wie viele extern gefundene Bugs bereits intern im Bugtracker waren, gibt es leider nicht. Aber bei Open Source-Projekten kann man sehen, dass dieser Anteil nicht Null ist.
Nicht nur die Gegner einer Unabhängigkeit Kataloniens erinnern sich noch an den Fall des ehemaligen katalonischen Regierungschefs Jordi Pujol, der in der früheren Steueroase Andorra ein Millionenvermögen vor dem spanischen Fiskus versteckt hat. Das hatte er im Jahr 2014 gestanden. Gegen ihn und seine Kinder laufen nun Verfahren wegen Geldwäsche und Korruption.
Ist nicht wahr! Ob da vielleicht das eine oder andere Regierungsmitglied persönlich … betroffen wäre?
Malta ist in der EU.
Ich sage das nur, weil wir ja immer so empört sind, wenn Erdogan Journalisten in den Knast wirft. Sowas könnte bei UNS in der EU ja NIE vorkommen!1!!
Eine Bahn-Ticketpreiserhöhung!
Ob sich die Preiserhöhung an der Verspätungszunahme orientiert?
Update: Es waren die estnischen Personalausweise.
The flaw resides in the Infineon-developed RSA Library version v1.02.013, specifically within an algorithm it implements for RSA primes generation.
Update: Das betrifft übrigens auch Leute, die mit ihrem Yubikey PGP machen.
Der Intel Compiler kommt mit neueren glibc Versionen nicht zurecht, da diese einen Bug im Intel Compiler exponieren, der zu "unpredictable system behaviour" führt. Bei uns auf dem HPC Cluster hat sich das so manifestiert, dass unsere Benutzer nach dem Update von CentOS 7.3 auf CentOS 7.4 (dieses Update der glibc exponiert den Intel Bug) bei Simulationen (z.B. mit Kommerziellen "Finite Element" Applikationen wie ANSYS CFX, 3DS Abaqus etc.) falsche Resultate bekamen:Und weil das so grandios ist, kommt hier die technische Erklärung, was da vor sich geht:
- Simulationen die vor dem Update konvergierten tun dies nicht mehr
- Simulationen brechen ab, weil an verschiedenen Stellen NaN's raus kommen wo das nicht sein sollte.
- Bei Simulationen kommen andere Zahlen raus als vor dem Update
Der Bug betrifft potenziell alle mit Intel (Versionen älter als 17.0 Update 5) kompilierten Binaries und Bibliotheken auf Systemen mit Intel CPUs, welche AVX unterstützen.
According to x86-64 psABI, xmm0-xmm7 can be used to pass functionKeine weiteren Fragen, Euer Ehren!
parameters. But ICC also uses xmm8-xmm15 to pass function parameters
which violates x86-64 psABI. As a workaround, you can set environment
variable LD_BIND_NOW=1 by# export LD_BIND_NOW=1
Update: Ich sollte vielleicht mal erklären, was hier vor sich geht. Das ABI ist die Spezifikation dafür, wie man auf einer gegebenen Plattform auf Maschinencode-Ebene Argumente an Funktionen übergibt, und welche Registerinhalte Funktionen überschreiben dürfen, welche sie sichern müssen. Intel hat die Spec gesehen und gesagt "Hold my beer! Die Register dahinten benutzt keiner! Die nehm ich mal!" Das ABI hat aber ganz klar gesagt, dass die eben nicht frei sind.
Das Szenario hier ist: Der Compiler generiert Code für einen Funktionsaufruf. Nun könnte man sagen, hey, wenn der Intel-Compiler beide Seiten erzeugt hat, dann kann ja nichts schiefgehen. Aber es kann halt doch was schiefgehen. Wenn man ein dynamisch gelinktes Binary hat, dann geht der Funktionsaufruf eben nicht zur Funktion, sondern zum Wert in einer Tabelle. Die Einträge in der Tabelle zeigen initial auf ein Stück Code in der glibc, der dann die Adresse für das Symbol herausfindet und in die Tabelle einträgt und dann dahin springt. Die Idee ist, dass so eine Tabelle mehrere Zehntausend Einträge enthalten kann bei großen Binaries, und wenn man die alle beim Start von dem Binary auflöst, dann ergibt das eine spürbare Verzögerung. Denkt hier mal an sowas wie Firefox oder clang von LLVM. Daher löst man erst beim ersten Aufruf auf. Mit LD_BIND_NOW=1 kann man der glibc sagen, dass er bitte alles am Anfang auflösen soll, nicht erst später.
Was hier also passiert ist, ist dass der glibc-Code, der die Symbolauflösung macht, sich an das ABI gehalten hat und die u.a. für ihn reservierte Register benutzt hat. Und da hatte der Intel-Compiler aber Argumente reingetan. Die hat der Code zum Symbolauflösen dann mit Müll überschrieben. Die glibc wäscht hier ihre Hände in Unschuld (und ich hätte nicht gedacht, dass ich DAS nochmal sagen würde). (Danke, Samuel)
The impact of exploiting these vulnerabilities includes decryption, packet replay, TCP connection hijacking, HTTP content injection, and others. Note that as protocol-level issues, most or all correct implementations of the standard will be affected.Und die Leute wundern sich immer, wenn ich lieber ein Ethernet-Kabel anschließe.Update: Das hier scheint das Paper dazu zu sein. Money Quote:
against AES-CCMP an adversary can replay and decrypt (but not forge) packets. This makes it possible to hijack TCP streams and inject malicious data into them. Against WPA- TKIP and GCMP the impact is catastrophic: packets can be replayed, decrypted, and forged. Because GCMP uses the same authentication key in both communication directions, it is especially affected.
Finally, we confirmed our findings in practice, and found that every Wi-Fi device is vulnerable to some variant of our attacks. Notably, our attack is exceptionally devastating against Android 6.0: it forces the client into using a predictable all-zero encryption key.
Update: Ich bin ja mal sehr auf die Erklärung von Google gespannt, wieso sie ein sichereres wpa_supplicant forken und ihre Version dann 00000000 als Key vergibt, wenn der Upstream das nicht tut. Wenn Microsoft früher bei sowas erwischt worden wäre, hätten alle laut NSA-Backdoor gebrüllt. Sorry, das war Blödsinn. Der Upstream-Code hat denselben Bug.
Update: Die Webseite dazu ist online. Und ja, sie haben ein Logo!
Österreichische Politik ist ja aus Sicht eines Deutschen selten von charismatischen, freundlichen Menschen geprägt, eher so von Alt- und Jungnazis und so Leuten, die ich mal frech mit dem Wort "Schnösel" zusammenfassen will. Insofern passt der schon ganz gut. Wie Arsch auf Eimer.
Es hat halt jede Bevölkerung die Regierung, die sie verdient hat.
Ich hab noch überlegt, ob ich einen Vortrag einreichen soll, wieso so viele Tech-Projekte scheitern. Aber die Rubkrik dafür, die es überhaupt erst seit ein paar Jahren gab, "Failosophy", gibt es dieses Jahr nicht mehr.
Ich muss auch zugeben, dass es mir immer schwerer fällt, auf der Bühne wie die Band auf der Titanic noch einen aufzuspielen, während um uns herum das Schiff absäuft. Wieso ist das eigentlich mein Job? Ich könnte auch einfach mal Ferien machen. Kann mich gar nicht erinnern, wann ich zuletzt Ferien hatte zwischen Weihnachten und Neujahr.
Franks Laune wird auch mit jedem Jahr immer apokalyptischer, und das im Winter immer besonders schlimm, wenn das Tageslicht weniger wird.
Wo bleibt eigentlich die nächste Generation?
Nur damit das klar ist: Wir reden hier von einem Aufwand nur für mich von ca zwei Monaten (!) jedes Jahr. Und das ist nicht aufgerechnet meine Zeit, die ich mit Bloggen verbringe. Das ist nur durchsortieren der Meldungen des Jahres, Bilder raussuchen, Kategorien finden, einen Erzählstrang aufbauen, Folien-Gefummel. Zwei Monate für eine zwei-Stunden-Show, das ist einfach kein vernünftiges Kosten-Nutzen-Verhältnis. Besonders dann nicht, wenn ich mir danach ernsthaft Kritiken anhören muss, dass man die Meldungen ja schon aus meinem Blog kannte. Lacht nicht! Da kannst du die Uhr nach stellen! Jedes Jahr gibt es 3-4 Idioten, die das als Kritikpunkt bringen.
Others accused him of being a “globalist,” a word that has taken on many definitions but in this case meant he was part of a vast, arcane conspiracy. They believed that establishment politicians wanted to turn red states like Idaho blue by starting wars and then importing refugees from those war zones as cheap labor who would not only displace American workers but also reliably vote Democratic.Das ist das schöne bei einfachen Erklärungen. Man kann aus ihnen weitere einfache Erklärungen konstruieren!Das ist wie bei Homöopathie. Man verdünnt das, bis keine Fakten mehr übrig sind, und dann ist es am potentesten.
Ich muss mal schnell ein neues Institut gründen, sonst verpasse ich den Anschluss!
Berlin subsidized the arms export deals to the tune of 700 million euros, but can the German government allow an arms deal to go through despite the apparent payment of large bribes? How does the Chancellery intend to explain that German taxpayer money ended up in the pockets of people close to Netanyahu?Das ist ja schon geil. Wir mussten die noch schmieren, damit sie unsere U-Boote geschenkt nehmen? Die, die ihnen eine nukleare Zweitschlags-Abschreckung ermöglichen? Wow.
Fehlerhafte Update-Pakete für Windows 10 und Windows Server 2016, die Microsoft am jüngsten Patchday veröffentlicht hat, legten in den vergangenen Tagen Rechner in Unternehmensnetzwerken lahm. Betroffen waren nur Umgebungen mit WSUS und SCCM.You had ONE Job!
Die FAZ hat mal den Lufthansa-Chef gefragt, und der hat geantwortet:
Für den Lufthansa-Vorstandsvorsitzenden Carsten Spohr ist indes ausgemacht, dass sich der Wettbewerb am Himmel noch verschärfen wird, obwohl die Marke Air Berlin verschwindet. Spohr rechnet sogar „mit grundsätzlich sinkenden Preisen“.Aha. Ach so. Na gut.
Die Lufthansa und ihre Töchter seien hoffnungslos mit der Bewältigung der Fluggastzahlen auf der Strecke Berlin–Köln–Berlin überfordert, berichtet der Vielflieger. Die Preise auf dieser Strecke hätten sich "im Vergleich zu Air-Berlin-Zeiten verzweifacht bis verdreifacht".(Vorsicht: fiese, ungefragt losplärrende Autoplay-Videos)
New hotness: Hacker klauen US-Geheimnisse via australischem Defense-Contractor. Das geilste Detail steht beim Guardian gar nicht drin, nur bei Paywall-WSJ, aber man kann es gerade so sehen in den ersten Zeilen:
Using the simple combinations of login names and passwords “admin; admin” and “guest; guest” and exploiting a vulnerability in the company’s help-desk portal, the attacker roved the firm’s network for four months.
Im Juli hatte die Unesco die Altstadt von Hebron im Westjordanland zum Weltkulturerbe erklärt und zugleich auf die Rote Liste gefährdeter Stätten gesetzt. Sie war damit einem Antrag Palästinas gefolgt. Das sei eine abscheuliche Entscheidung, so Haley, die die Altstadt zu palästinensischem Gebiet erkläre. Hebron ist seit 1998 zwei geteilt. Dabei handele es sich doch um die "ältesten Kulturerbestätten unseres Volkes", protestierte der israelische Erziehungsminister Naftali Bennett damals.Ja so internationale Gremien sind nur akzeptabel, solange sie unsere Interessen vertreten und andere gängeln. Das geht ja mal GAR nicht, dass so ein internationales Gremium andere Positionen vertritt als das Imperium.
Wie sich rausstellt: Eher nicht so gut.
Die Sicherheitsvorkehrungen für das französische AKW Tricastin gelten seit Jahren als unzureichend. Ende September zog die Atomaufsicht nun die Reißleine und wies die Abschaltung aller vier Reaktoren an. Die Sorge: Ein Szenario wie in Fukushima.Du weißt, dass es schlimm ist, wenn die französische Regulierungsbehörde die Reißleine zieht!
Dabei sei es ihnen ohne Probleme gelungen, in unmittelbarer Nähe der Abklingbecken ein Feuerwerk abzuschießen, so Greenpeace.Naja gut, die haben ja bestimmt Spezialgerät gehabt, sich ausm Hubschrauber abgeseilt oder so!
Nee, eher nicht:
Laut Roger Spautz von Greenpeace Luxemburg habe man die äußere Absperrung in fünf Minuten überwunden. "Unter Zuhilfenahme von einfachen Leitern standen unsere Aktivisten nach fünf Minuten am Fuße des Gebäudes mit dem Abklingbecken. Wer bösartige Absichten gehabt hätte, wäre also ohne Probleme bis hierhin vorgedrungen."o_O (Danke, Marc)
Ich hätte eine Frage die Datenschutz und die Sicherstellung von Persönlichkeitsrechte Dritter betrifft.Vielleicht kann da ja mal ein Datenschutzexperte im Publikum was zu sagen?
Vielleicht findest Du die Frage ähnlich interessant / tragisch / amüsant.Scenario (eben passiert): man sitzt im Zug und nebenan diktiert ein Anwalt Details über seine Klientin in ein Diktiergerät. Neben Name, Geburtsdatum, Wohnort, Name des Ex, Details zur Scheidung gibt es diverse Details zur Krankengeschichte und Therapiemaßnahmen. Außerdem lässt er natürlich die Papierakten beim Weg aufs Klo offen liegen.
Ab wann ist es rechtlich
a) bürgerliche Pflicht ermahnend einzugreifen und wäre es
b) wenn der Anwalt trotzdem weitermacht unter Umständen durch Nothilfe möglich, dem renitenten Anwalt z.B. das Diktiergerät temporär zu konfiszieren.
Update: Eine befreundete Juristin rät: Foto machen, Mandanten informieren. „Beschlagnahmen“ ist keine gute Idee.
In the Fox interview, Trump also gave a convoluted answer about economic policy, when trying to connect the surge in the stock market since his election to the growing federal debt, which recently eclipsed $20 trillion.“The country — we took it over and owed over $20 trillion," Trump said. "As you know, the last eight years, they borrowed more than it did in the whole history of our country. So they borrowed more than $10 trillion, right? And yet, we picked up $5.2 trillion just in the stock market. … So you could say, in one sense, we're really increasing values. And maybe in a sense we're reducing debt. But we're very honored by it. And we're very, very happy.”
Das ist so ein Schenkelklopfer, dass die Washington Post sich genötigt sieht, das lieber nochmal explizit zu erklären:The stock market and federal debt levels are not connected.LMAOErinnert ihr euch, wie sie sagten, der Trump ist Geschäftsmann, der kennt sich mit Wirtschaft aus? *gacker*
Stellt sich raus: Doch. Aber der New Yorker Staatsanwalt hat den "slam dunk"-Fall lieber nicht verfolgt.
Und wisst ihr, welchen Fall dieser Staatsanwalt noch in die Rundablage geschoben hat? Den der Trump-Kids!
Vance overruled prosecutors in his office who were making a clearly prosecutable case against Ivanka and Donald Jr. for luring prospective buyers of a Trump luxury development in SoHo by making false and deceptive promotions. The Trumps, as the prosecution’s evidence shows convincingly, used Enron-like come-ons to intentionally inflate the value of the development to induce investors to buy units.Völlig klar, das kann man nicht vor Gericht bringen. Sonst kommt ja raus, dass die anderen Immobilienhaie auch so arbeiten! Und wem die so Wahlkampfspenden gegeben haben. (Hint: Dem Staatsanwalt)Jetzt fragt ihr euch vielleicht: Hey, wieso haben denn die Medien nicht berichtet? Die sind doch die 4. Gewalt! Das Korrektiv für nicht arbeitende Behörden wie den Staatsanwalt in diesem Fall! Wussten die nichts? Doch, klar wussten die das.
“NBC says that the story wasn’t publishable, that it wasn’t ready to go at the time that you brought it to them.”Update: Das hier ist übrigens die Wahlkampfseite des District Attorney.
Diese Hauben und Kopfhörer da dienen der visuellen und akustischen Isolierung, das sind Folter-Maßnahmen direkt aus dem CIA-Handbuch. Sensory Deprivation ist das Google-Stichwort.
Update: Ein Leser meint, dass das keine Folter ist sondern eine Schutzmaßnahme sein soll, weil sich die Demonstranten festgekettet haben und die Cops gleich mit der Flex kommen und die Kette öffnen. Er meint, die Haube ist gegen Funkenschlag und die Ohrhörer gegen den Lärm. Und solche Szenen habe es bei uns auch gegeben bei den Castor-Transporten.
Neulich erst sah ich einen AV-Hersteller auf einem Podium sagen, die Idee erinnere ihn an "Impfgegner-Argumente".
Nun, die Russen haben neulich die Amis via Antivirus gehackt, und jetzt kommt raus, dass Nordkorea Südkorea über einen Antivirus gehackt hat und so Zugang zu Militärgeheimnissen der USA erlangte.
Teil von diesen Daten war übrigens der Plan Südkoreas, die Führung Nordkoreas schlicht zu meuchelmorden. Denn so macht man das in einem Rechtsstaat, der sich ans Völkerrecht hält. Man ermordet die Führung anderer Staaten!
Wisst ihr, was ich mich ja immer frage? Wieso Nordkorea eigentlich die Atombombe haben will! Die scheinen sich völlig irrational bedroht zu fühlen!1!!
You had ONE job!
Beim japanischen Stahlkonzern Kobe Steel sollen mehrere Daten zu Produkten gefälscht worden sein. Betroffen sind Materialien, die in Autos und Flugzeugen verbaut wurden. Die Aktie stürzt 18 Prozent ab.WTF ist denn heute bitte los?! Das wird ja immer apokalyptischer!
Bei allem Lachen über die offensichtlich unzureichende Codequalität bei Symantec: Ich wundere mich ehrlich gesagt schon die ganze Zeit, wieso irgendein Anbieter von Closed Source-Software jemals seinen Quellcode irgendwelchen Regierungen gezeigt hat. Wenn so eine Anfrage reinkommt, würde ich ja knallhart "No, fuck YOU" sagen. WTF? Ihr wollt also meinen Quellcode sehen, sonst kauft ihr es nicht? Na dann go fuck yourself! Wieso für Regierungen irgendwelche Ausnahmen machen?
Ich meine mal ehrlich, was glauben die denn, was passiert, wenn man Regierungen den Quellcode zeigt? Im besten Fall gucken ein paar Spezialisten drüber und melden kostenlos ein paar Bugs. Im zu erwartenden Fall gucken da ein paar inkompetente Sesselfurzer drüber und finden gar nichts, und im Hintergrund geben sie den Quellcode an die Geheimdienste weiter, die dir ganz sicher keine einzige der gefundenen Lücken melden würden.
Aber was weiß ich schon. Ich mach ja Open Source. Aus meiner Sicht ist es grotesk, wenn man die Sicherheit eines Systems darauf beruhen lässt, dass keiner weiß, wie es funktioniert. Deutlicher kann man "wir trauen unserem eigenen Scheiß nicht" nicht ansagen.
Das zwischen 25. August und 29. September von BASF in Ludwigshafen hergestellte Toluoldiisocyanat (TDI) enthielt laut dem Konzern eine deutlich erhöhte Konzentration an Dichlorbenzol. Das farblose Dichlorbenzol kann Haut, Atemwege und Augen reizen und steht im Verdacht, Krebs zu verursachen. Es ist auch giftig für Wasserorganismen.Und das Zeug wird nicht nur für Matratzen verwendet, auch für Sitzpolster in Autos und Polster und Holzbeschichtungen.
Republicans Are Talking About Tackling Trump If He Goes for the Nuclear FootballDazu muss man zwei Dinge wissen. Erstens: Der Koffer mit den Codes, der immer in Trumps Nähe von einem Secret Service Fuzzi herumgetragen wird, wird gerne als "Nuclear Football" bezeichnet, obwohl er natürlich äußerlich und innerlich nichts mit einem Football zu tun hat.Zweitens: Tackling ist ein Manöver im American Football, bei dem sich Spieler auf andere Spieler stürzen, um sie zum Sturz zu bringen.
Ist das jetzt also ein Joke? Haben die Republikaner nicht verstanden, dass es sich hier um Massenvernichtung und nicht um ein lustiges Fußballmatch geht? Ist denen klar, dass man dafür ein gewisses Level an körperlicher Fitness braucht? Zwei 80jährige gegen einen 70jährigen fühlt sich nicht wie kein realistisches Szenario an an der Stelle.
President Donald Trump wasn't happy with the steady decrease in the US stockpile of nuclear weapons since the 1960s.So, over the summer, he asked instead for a tenfold increase in the US's nuclear weapons, NBC News reported on Wednesday, adding that the request startled his advisers and was followed soon after with Secretary of State Rex Tillerson calling him a "moron."
Na weil ihr Buddy Israel Kaspersky gehackt hat und da die NSA-Tools gefunden hat!
Das ist ja mal supergeil. Israel hackt Kaspersky, entdeckt dabei illegale Angriffstools der Amerikaner, aber Kaspersky sind jetzt die Bösen. Ja nee, klar.
Und ironischerweise im neuen DNSSEC-Support des DNS-Clients bei Windows. Auf mich hört ja immer keiner, wenn ich sage, dass Komplexität der Feind ist. Ach komm, das ist doch ein Security-Feature! Da kloppen wir noch ein paar metrische Tonnen Code drum herum, ist doch für die Security!1!!
New hotness: Code Execution in MS Word ohne Makros und ohne Memory Corruption. Per DDE!
Aber keine Sorge, das ist kein Bug. Das soll so.
26/09/2017 – Microsoft responded that as suggested it is a feature and no further action will be taken, and will be considered for a next-version candidate bug.
Das ist glaube ich ein guter Zeitpunkt, sich mal unaufgeregt in Ruhe mit dem Problem zu beschäftigen. Ich empfehle dazu diese Erläuterungen von Hans-Ingo Radatz. Es stellt sich nämlich raus, dass diese Länderfinanzausgleich-Geschichte gar nicht, wie viele Beobachter (inklusive meiner Wenigkeit) spontan angenommen haben, der Kern der Problematik ist, sondern eher so ein "das sollten wir bei der Gelegenheit auch gleich mal klären"-Ding. Und dass der Verhandlungstisch keine so attraktive Option ist, wie man als Beobachter annehmen könnte, der verpennt hat, dass die da seit Jahren verhandelt haben. Ergebnis:
Diese Vorschläge lassen sich als eine hypothetische Ausformulierung dessen lesen, was besonnene Kommentatoren der katalanischen Seite als Alternative zu ihrem Unabhängigkeitskurs vorzuschlagen scheinen. Das Problem dabei ist nun, dass all diese Verhandlungen längst stattgefunden haben und gescheitert sind.Es gab erfolgreiche Verhandlungen und die Sache war schon so gut wie vom Tisch.
All diese Initiativen sind mittlerweile am Widerstand Rajoys und seiner Partei gescheitert. Es ist zudem offensichtlich, dass dieses Scheitern kein Zwischenergebnis ist, über das noch nachverhandelt werden könnte, denn die Argumente des spanischen Ministerpräsidenten erlauben keine Dialektik. Seine rotunde Zurückweisung der katalanischen Forderungen begründet Rajoy damit, dass Spanien eben keine „nación de naciones“ sei; vielmehr gebe es „nur eine Nation, die spanische!“Der Präsident stellt sich quer. Es sind nicht die unnachgiebigen, rebellischen Katalanen, die hier das Problem sind, sondern die unnachgiebige Repressionspolitik des Präsidenten.
Die Forderungen Barcelonas bezeichnet Rajoy als „katalanische Provokation“. Das reformierte Autonomiestatut von 2006 brachte er mithilfe des politisierten Verfassungsgerichts in allen relevanten Punkten zu Fall.Tsja. (Danke, maha)
We knew something was seriously wrong when we noticed that the contents of S/MIME encrypted mails were shown in Outlook Web Access (OWA).Ach komm, sei doch nicht päpstlicher als der Papst, Fefe! Die haben das doch verschlüsselt! Nur haben sie es auch unverschlüsselt mitgeschickt! Das ist doch ein toller Service! Falls der Private Key verlorengegangen ist oder so!We observed this vulnerability only triggers with mails that are formatted in “Plain Text”. Microsoft confirmed this observation.Plain Text ist hier im Sinne von "ASCII statt HTML" gemeint, nicht im Krypto-Sinne. Aber hey, das wird die Verwechslung sein. "Wieso, da steht doch Plain Text? Also schicken wir Plain Text!"
Oder so. (Danke, Ben)
Der Hersteller Unilever betonte, die nachgewiesenen Glyphosatspuren lägen deutlich unter allen Grenzwerten, die in den Vereinigten Staaten und Europa gälten.Seht ihr? Alles völlig harmlos!
Wenn jetzt wider Erwarten jemand von euch doch lieber keinen Unkrautvernichter im Speiseeis haben will:
Parallel getestete Bio-Eiscreme habe kein Glyphosat enthalten, sagte er.
So wie ich das verstehe, steht da ein ehemaliger Spitzel für den Zoll und die Gendarmerie vor Gericht, weil er einem islamistischen Terroristen Waffen beschafft hat. Zu seiner Verteidigung bringt er vor, dass er die "demilitarisierten" Waffen in Osteuropa beschafft und dann "remilitarisiert" hat, weil das Teil seines Auftrags war als Spitzel. So und jetzt die Punchline:
Hermant, figure de l'extrême droite identitaire lilloise, en détention provisoire depuis janvier 2015, est le principal mis en cause de cette vaste affaire portant sur près de 500 armes.Hermant ist eine Figur der rechtsextremen Identitären in Lille, die sich seit Januar 2015 in U-Haft befinden, und er ist der Hauptverdächtige in diesem Fall, bei dem es um fast 500 Waffen geht.
Ein Nazi hat als V-Mann für die Bullen einem Islamisten scharfe Waffen beschafft, mit denen der dann Menschen umgebracht hat. Da sieht man mal wieder ganz klar: Geheimdienstkontrolle funktioniert!1!!
Update: Nicht die gesamte Identitäre von Lille sitzt seit Januar in U-Haft, sondern nur er.
Männer dürfen in Mecklenburg-Vorpommern weiterhin weder als Gleichstellungsbeauftragte kandidieren, noch eine Gleichstellungsbeauftragte wählen. Das sei verfassungskonform, entschied das Landesverfassungsgericht (LVerfG) in Greifswald.Wisst ihr, was ich mich immer frage? Wieso die Ossis AfD wählen! Diese Steinzeit-Rhetorik immer von wegen Political Correctness sei zu weit gegangen und die Gender-Ideologie bedrohe Männerrechte! Nicht nachvollziehbar! Die müssen alle doof sein, die Ossis, die AfD gewählt haben. Das wird es sein.
Das kommt direkt mit Remote Code Execution als Feature!
Oh und stattdessen Google Sheets zu nehmen ist auch keine Lösung (duh!)
Die sammeln anscheinend fleißig "Telemetrie" ein.
Warnung: Das ist inhaltlich sehr schwer zu ertragen. Dafür muss man sich Zeit nehmen und am besten ein Beißholz bereithalten.
Bilder, wie man sie bisher nur aus den USA kannte! Krass.
Der Chef der National Rifle Association hat sie gefunden und in einem Interview bei Fox News klar benannt.
Es sind Hollywood und Videospiele.
Cox then instructed Wallace that a “fair and balanced conversation” about gun safety must include the “violent culture coming out of Hollywood” and all those violent video games. The entire interview lasted about 10 minutes, about as long as the Vegas shooting spree.
Die Umfragen haben recht erstaunliche Statistiken ergeben:
Zwölf Prozent der männlichen Befragten berichteten, schon einmal unerwünscht berührt worden zu sein. Bei Frauen waren es 19 Prozent. Witze mit sexuellem Bezug oder zweideutige Kommentare hören Männer sogar häufiger als Frauen: 47 Prozent im Vergleich zu 39 Prozent hatten das erlebt.Ja gut, letzteres überrascht jetzt wahrscheinlich niemanden ernsthaft. Aber gut, dass das mal jemand anspricht. (Danke, Jens)[…]
"Es gibt ja diese Vorstellung, dass alles, was sexuell besetzt ist, für Männer positiv sein muss", sagt sie. Deswegen seien Männer manchmal hilfloser als Frauen. Welche Folgen das für die männlichen Arbeitskräfte hat, sei kaum untersucht worden. "Allgemein gibt es über sexuelle Belästigung der Männer noch zu wenig Forschung", sagt Schär Moser.
Die wenigen Studien, die es gibt, bestätigen aber, was der Männerberater Becker in seinem Berufsalltag beobachtet hat: Männer haben es schwerer, mit ihrem Problem Gehör zu finden. In einem Experiment legten US-Psychologen der Rice University Studenten die Akten eines fiktiven Falls vor. Ein Betroffener berichtete darin, von dem Kollegen unangenehm berührt und nach einem Rendezvous gefragt worden zu sein. Das private Treffen sei wichtig für die Karriere, habe der zudringliche Kollege gesagt. In einer Version der Geschichte war der Täter ein Mann und das Opfer eine Frau, in einer anderen war es umgekehrt. Die Probanden sollten angeben, für wie glaubwürdig sie die Darstellung hielten. Das Ergebnis: Einer Frau nahmen sie die Geschichte deutlich eher ab als einem Mann.
Court documents reveal that logs, obtained by the FBI from privacy service PureVPN, helped the prosecution. Until now, PureVPN had always maintained it carried no logs - almost.Es geht hier um einen Cyber-Stalker, also niemanden, mit dem man jetzt groß Mitleid haben müsste. Aber wenn die für den Logfiles haben, dann ja vermutlich auch für alle anderen.
New hotness: Google räumt ein, dass Russen vor der Wahl Werbung bei ihnen geschaltet haben.
Seit 2000 haben über 10.000 Bankfilialen zugemacht. Das sind ungefähr ein Viertel. Tendenz steigend, wegen der Digitalisierung.
So und da haltet jetzt mal bitte mental gegen, dass die Banken gerade vermehrt Kontoführungsgebühren einführen. Hier z.B. die Postbank.
Erinnert inhaltlich ein bisschen an die ganzen Fox News-Rücktritte wegen sexuellen Übergriffen.
Nicht nur mich erinnert das daran. Auch Fox News erinnert sich daran. Und holt jetzt die gleiche Empörungsrhetorikkeule raus, die die Linken gegen sie angewendet hatten.
In Computerspielen ist die Schraube noch eine Runde weiter gedreht worden und zu einer Wissenschaft geworden, wie man Spiele "free to play" machen kann, um dann auf andere Art Suchteffekte zu nutzen, um die Leute zum Zahlen zu bringen. Es gibt ja keinen rationalen Grund, ein Spiel zu spielen, das dann aktiv Grinding-Effekte einbaut, damit man einen Anreiz hat, sich davon freizukaufen. Wo sonst gibt man für Dinge Geld aus, die einen nur ärgern? Bei Zigaretten und Alkohol.
Hier gibt es einen ganz aufschlussreichen Artikel im Guardian dazu, wo sie beschreiben, wie die Leute, die bei Facebook den Like-Button eingeführt haben, jetzt alle professionelle Hilfe in Anspruch nehmen, um sich operativ das Facebook aus ihrem Tagesablauf entfernen zu lassen, das sie selbst gebaut haben.
Zusammen mit den Volkshochschulen veranstaltet das sächsische Innenministerium zwischen Oktober und Dezember fünf öffentliche "Live-Hacking-Veranstaltungen" in Annaberg-Buchholz, Chemnitz, Görlitz, Dresden und Torgau.Wait, what?!
Frage: Ist das jetzt ein Shooter oder ein Gunman? Ein Terrorist gar?
Die Fans waren nicht begeistert. Daraufhin hat Marvel das jetzt gecancelt.
Nur falls jemand dachte, dieser Superhelden-Bullshit sei harmloser Spaß.
Images circulated of a comic cover featuring Avengers heroes such as Captain America alongside a new, corporate-branded troupe of superheroes known as the Northrop Grumman Elite Nexus, or NGEN. Inside the comic would be a full-page advertisement for the defense contractor and, reportedly, job recruitment notices.
Dann habe ich ein Leckerli für euch! Larry Ellisons Keynote bei einer Oracle-"Konferenz".
Larry highlighted that his vision is to provide an "Automated Cyber Defense System" with an IT industry's fastest-growing segment, known as the cloud systems management and security market.Fuck yeah! Automated Cyber Defense! Da hilft nur Hubschraubereinsatz!it can't be our people vs their machine. It has to be our computers vs their computers. And, it is a cyber war.Halt mal kurz mein Bier, während ich mein Cybermesser schärfe!Habt ihr noch nicht wirklich verstanden, was der da sagen will? Da kann ich helfen!
Larry also said that "Our vision for security is simple. We need all the data in one place". Oracle's new Security Monitoring and Analytics is based on a purpose-built machine learning technology, the same technology that powers the autonomous database that patches and runs itself.Das, meine Damen und Herren, ist Security bei Oracle! Gebt uns alle eure Daten, dann ist alles sicher!Vor allem ist dann Oracles Geschäftsmodell sicher. (Danke, Zsolt)
They found that an “appeal to good character” was used by defendants more than all other explanations combined to say why they weren’t guilty of the horrible crimes they were accused of committing.Die Datenbasis sind die Verteidigungs-Aussagen von Angeklagten aus dem Ruanda-Völkermord.“They were trying to protect their reputation. Rather than acknowledging their role, they emphasized what good people they were and talked about their good deeds and admirable character traits.”Ich glaube, dass man das verallgemeinern kann. Wenn ein Land immer wieder betont, eine rechtstaatliche Demokratie zu sein, dann heißt das, dass sie keine konkreteren Dinge zu ihrer Entlastung vorzubringen haben. Ich meine natürlich vor allem die Bundesrepublik Deutschland, aber es trifft natürlich auch auf die USA zu. Je mehr Angriffskriege die führen, je mehr Leute durch amoklaufende Schusswaffenträger hingerichtet werden, desto lauter die "greatest nation on earth"-Rhetorik.Vielleicht sollte man das direkt mal umdrehen. Wer von seinem guten Charakter schwadroniert, von dem sollte man sich fernhalten?
Tja und jetzt? Jetzt müssen sie sich ja schon irgendwie äußert.
Der Regierungssprecher stürzt sich mal für seine Junta öffentlich ins Messer, die Reaktionen sind wie zu erwarten war.
Ich habe ja noch nie unter einer Seite kommentiert, die ihre Kommentarfunktion an Disqus outgesourced hat. Ein Cloud-Startup aus den USA? Das mich site-übergreifend tracken kann? Ja nee klar, da tu ich meine Daten hin!1!! GANZ sicher nicht.
Und wo wir gerade bei Enttäuschungen waren: Firefox kommt jetzt mit Cliqz-Datenmalware. Die haben echt den Schuss nicht gehört bei Mozilla. Euer Browser ist groß, lahm, bloated, feature-arm, euren Add-On-Vorteil habt ihr euch gerade mit dem Umstieg auf Webextensions weggeschossen, und in Sachen Codequalität und Security hinkt ihr Chrome hinterher. Gerade als es anfing, nach Hoffnung zu riechen, weil sie Browserteile in Rust nachbauen und die Servo-Engine kommt, da zerschießen sie sich wieder alle gesammelten Karmapunkte, indem sie ihren Kunden ungefragt diesen Pocket-Cloud-Bullshit reindrücken. Und jetzt das.
Ich versuche ja wirklich immer und immer wieder, Firefox ihren Scheiß zu verzeihen. Ehrlich! Aber DAS? Wenn ich eine Branche nennen sollte, der ich weniger als allen anderen Branchen traue, wenn es um meine persönlichen Daten geht, noch weniger als den üblichen Unterdrückungs-Regierungsprojekten mit Kameras und Flugdatenweitergabe, dann sind es die fucking Verlage! Cliqz ist von Burda. BURDA! WTF?!
Die NSA bemüht sich ja wenigstens noch nach Kräften, die erhobenen Daten nicht wegkommen zu lassen. Aber die Verlage? Zero fucks given! Was da an Werbe- und Tracking- und Optimierungsnetzwerken eingebunden wird, da qualmt der Adblocker! Und weil das immer noch nicht unseriös genug ist, versucht uns die Burda-"Publikation" "Focus" gerade auf der Hauptseite windige Investment-Tipps überzuhelfen. Und DENEN soll ich trauen, dass sie meine Daten schützen?! GANZ sicher nicht!
Update: Warum nenne ich Cliqz Datenmalware? Habe ich mir das näher angesehen? Nein.
Es kommt per Drive-By-Download. Das reicht schon. Dazu kommt: Es lädt meine Suchanfragen in die Cloud hoch, während ich sie tippe, bevor ich Return drücke. Das alleine würde auch schon reichen. Und in dem Bug-Eintrag bei Mozilla verteidigt das jemand damit, dass es ja nicht alle Mausbewegungen aufzeichne sondern bloß wie weit man die Maus bewegt hat. Das alleine hätte auch gereicht.
Der letzte krasse Schmiergeldskandal war Siemens, die mit dem BND im Bett waren.
Spanien hat sich erstmals für die vielen Verletzten beim Referendum in Katalonien entschuldigt.Ja, hinterher um Vergebung bitten ist viel problemärmer als vorher um Erlaubnis bitten oder böse Dinge einfach gar nicht erst zu tun!
U.S. lost jobs last month for the first time in 7 yearsU.S.A.! U.S.A.!
Liest man häufig in Foren-Debatten über Android. Das ist ja der Vorteil von Apple. Die schützen eure Privatsphäre.
To improve functionality between Uber’s app and the Apple Watch, Apple allowed Uber to use a powerful tool that could record a user’s iPhone screen, even if Uber’s app was only running in the background, security researchers told Gizmodo. After the researchers discovered the tool, Uber said it is no longer in use and will be removed from the app.Naja so ein Screenshot ist ja keine Privatsphäreverletzung!1!!
Die Behörden nutzten dafür Informationen aus dem Internet und Dating-Apps.
A spring discovery would mean the NSA became aware of the breach just weeks before two other significant security incidents for the agency: A cryptic group known as the ShadowBrokers starting to leak alleged NSA hacking tools online and contractor Hal Martin was arrested for hoarding classified information on his home computer.*raun* *gerücht*Meine Güte, muss die US-Schlangenölindustrie eine Angst vor Kaspersky haben, dass die sich zu solchen Schmierkampagnen genötigt sehen. Au weia.
Also wenn ich Kaspersky wäre, würde ich jetzt einmal alles verklagen, was nicht bei drei auf den Bäumen ist. Wenn das keine böswillige Geschäftsschädigung ist, dann weiß ich auch nicht.
Update: Washington Post dazu.
Das Video demonstriert Apple-Qualitätsstandards. Also ich weiß ja nicht, wie es euch geht, aber mich überzeugt das auf Anhieb!1!!
Wobei, wollen wir schon präzise bleiben:
Die Behörde sieht keine Anhaltspunkte, dass der US-Geheimdienst die BRD gezielt ausspioniert hat.Das "gezielt" ist dann wohl das Schlüsselwort an der Stelle.
Oh, wobei, das Dementi wird weiter unten noch überspezifischer!
Die Bundesanwaltschaft hat keine konkreten Hinweise auf illegale Spionage des US-Geheimdiensts NSA gegen die Bundesrepublik Deutschland gefunden.Wenn die NSA also nicht gegen die Bundesrepublik Deutschland sondern gegen Siemens spioniert, dann fiele das nicht darunter, oder wie?
Hey, warte, noch ein Dementi zur Auswahl!
Nach Angaben der Bundesanwaltschaft gebe es "keine belastbaren Anhaltspunkte dafür, dass US-amerikanische oder britische Nachrichtendienste das deutsche Telekommunikations- und Internetaufkommen rechtswidrig systematisch und massenhaft überwachen".Nee, klar ist das nicht rechtswidrig. Da haben die in ihren Ländern kein Gesetz gegen!
Das Pixelbook scheint das alles zu haben. Kennt jemand andere Geräte mit vergleichbaren Features? Mir wäre wichtig, als CPU mindestens Kaby Lake zu haben, damit der HEVC in Hardware abspielen kann. Viele Nachteile kann ich da gerade nicht sehen, außer dass das Gerät nicht in Deutschland auf den Markt kommt und ich daher mit US-Tastaturlayout leben müsste. Ich habe im Wesentlichen zwei Anwendungsszenarien, für die ich das Gerät haben wollen würde. Erstens aufm Bett liegen und Filme gucken, ohne alle halbe Stunde nervös auf die Akkuanzeige zu gucken. Zweitens zu Veranstaltungen mitnehmen und damit im Publikum sitzen, ohne alle halbe Stunde nervös auf die Akkuanzeige zu gucken.
Chromebooks haben den großen Vorteil, dass die Hardware perfekt von Linux unterstützt wird, und dass der Bootloader ein Coreboot ist. Da kann man auch was anderes booten, wenn man Lust hat. Früher musste man noch ein Hardware-Siegel brechen, um in den Developer-Mode zu kommen, das ist seit Jahren nicht mehr nötig. Das könnte das ideale Linux-Gerät sein. Oh und lüfterlos ist es auch noch. Ich sehe gerade nur zwei Dinge, die für mich praktisch ein Nachteil wären: Nur noch Type-C USB (Maus anschließen bräuchte also einen Adapter) und keinen SD-Card-Reader mehr. Den habe ich bei meinem aktuellen Gerät immer benutzt, um die abzuspielenden Mediendateien aufs Gerät zu bringen.
$999 ist natürlich eine Menge Holz für einen glorifiziertes Videoabspielgerät. Auf der anderen Seite zahlen andere Leute soviel für ihre Telefone. In Europa kann man das dann wohl in UK ordern, aber hat dann mal eben 45% Preisaufschlag. Als ob es den Briten nicht schlecht genug ginge! Schäm dich, Google!
Wir meinten eher so drei Milliarden Accounts!
Auf der anderen Seite: Sobald man die Millionenmarke passiert, hat eh niemand mehr eine Vorstellung davon, was die Zahl wirklich bedeutet!1!!
Wenn ihr jetzt "nein" antworten wolltet, dann irrt ihr wahrscheinlich. Das ist in einer Menge Plasterouter verbaut. Drei davon sind Remote Code Execution.
Update: Und in WLAN-APs, UMTS-Sticks und Android.
New hotness: Windows for Star Trek Discovery!
Man würde ja denken, wenn in einem Sci-Fi-Film Windows vorkommt, dann ist das entweder eine Dystopie oder es ist wie wenn die in früheren Star Trek-Filmen über die Menschheit von früher reden. "Ja, damals, da wussten wir noch nicht, was wir tun. Wir waren kriegerisch und unmoralisch und alles war Scheiße."
Update: Nicht nur Windows, Stuxnet! (Danke, Denis)
Hier ist, was der Richter daraufhin sagte:
„Nach Auffassung des Gerichtes überwiegt hier im vorliegenden Fall das Recht der gefilmten Personen auf informationelle Selbstbestimmung. Das Interesse der Betroffenen an der Aufdeckung von einer potentiellen Straftat muss hierbei zurückstehen.Wait, WHAT!?
Das permanente anlasslose Filmen des vor und hinter dem geparkten Fahrzeug befindlichen Straßenraums verletzt das Recht auf informationelle Selbstbestimmung und stellt einen schwerwiegenden Eingriff in dieses Recht dar. Es geht nicht an, dass 80 Millionen Bundesbürger mit Kameras herumlaufen, um irgendwelche Situationen aufnehmen zu können, die eine Straftat aufdecken könnten.Äh … ach? Hat das mal jemand dem Innenministerium mitgeteilt?
Eine permanente Überwachung jeglichen öffentlich Raumes durch Privatbürger ist nicht zulässig, da es in das Recht unbeteiligter Personen in schwerwiegender Weise eingreift, selbst bestimmen zu können, wo und wann man sich aufhält, ohne dass unbeteiligte Personen dies dokumentieren und bei Behörden verwenden würdenNa dann, meine Damen und Herren, sollten wir aber mal GANZ schnell sämtliche Videokameras im öffentlichen Raum abmontieren! Supermärkte, öffentlicher Nahverkehr, und so weiter!
So ohne Monitor macht das Arbeiten keinen Spaß. Ich hoffe mal, das kommt heute.
Berlin ist heute übrigens im Wesentlichen lahm gelegt, weil die Schulen alle entschieden haben, wenn Dienstag Feiertag ist, dass man die Kids Montag auch zuhause lassen könnte. Entsprechend haben wir einen relativ krassen, äh, Krankenstand. Bei mir ist heute auch ein Termin ausgefallen. Wie? Nein, wegen der anderen Partei. :-)
Update: Kabel ist inzwischen da. Ein Einsender meinte, die würden gerade von Verdi bestreikt. Unter diesen Umständen bin ich zwar immer noch sauer auf Amazon aber kann mit der Gesamtsituation gut leben.
Update: Fürs Archiv: Das Kabel funktioniert völlig stressfrei und ist damit das erste, das einfach so funktionierte. Mini-Displayport-Kabel gibt es viele, aber welche, die auch mit UHD bei 60 Hz einfach so funktionieren, das scheint ein größeres Problem zu sein. Das funktionierende jetzt ist das hier von Kabeldirekt.