Fragen? Antworten! Siehe auch: Alternativlos
Laut Forbes hat VISA derzeit nicht die Absicht, die dem Hack zugrundeliegenden Schwachstellen zu beseitigen.Das, meine Damen und Herren, ist das Maximal-Szenario für verkackende Hersteller. Jemand demonstriert eine Sicherheitslücke, die sich nicht leugnen lässt, und der Hersteller weigert sich dann trotzdem, sie zu schließen. Schlimmer geht es nicht.
Dafür sollte Visa maximal auf die Fresse kriegen. Es gibt keine Ausreden oder Entschuldigungen für dieses Verhalten.
Wer sich fragt, wie realistisch MITM-Angriffe auf Zahlsysteme sind: Skimmer an Geldautomaten sind MITM-Angriffe.
Nun wird vielleicht der eine oder andere einwenden, dass man die Betrugs-Buchung dann halt storniert. Ja schon, aber wer bleibt auf den Kosten sitzen? Der Händler? Ich vermute, dass die Fraud-Kosten dann einfach auf alle Kunden umgelegt werden und/oder Visa die Gebühren erhöht. Und das wird auch der Grund sein, wieso Visa sich so verhält. Die wissen einfach, dass sie den Schaden an ihre Kunden durchreichen können. Wieso also ordentlich machen?
Fans of a popular Chinese video blogger who called herself "Your Highness Qiao Biluo" have been left stunned after a technical glitch during one of her live-streams revealed her to be a middle-aged woman and not the young glamorous girl they thought her to be.Mit Fotos. Schon sehr beeindruckend. Man würde ja annehmen, wenn jemand kosmetisch nachhilft, dass das dann so ein bisschen zurückhaltende Retusche ist. Nen Pickel wegphotoshoppen oder so. Aber der Realitätsabstand der Screenshots da ist schon eher groß.Update: Andere Fotos.
Apple-Apologeten bringen ja gerade gerne zu ihrer Verteidigung das Argument, dass Apple ja immerhin kein Geschäftsmodell auf dem Verkauf der Nutzerdaten aufgebaut hat. Ich bin ja nicht optimistisch, dass das so bleibt.
Und es wussten natürlich alle, spätestens seit Amazon den Skandal hatte. Und glaubt mal gar nicht, dass nicht auch Google eine Qualitätssicherungsabteilung hat, die Aufnahmen anhört und guckt, ob die richtig erkannt wurden.
Ich habe ja noch nie verstanden, wieso Leute weniger Probleme damit haben, wenn eine Maschine ihren privaten Scheiß durchgeht als wenn das ein Mensch macht. Die eigentliche Frage ist: Gehört die Maschine dir? Bist du dir wirklich sicher, du verstehst und kontrollierst sie?
Wen du deine Daten in die Cloud höchlädst, sind es nicht mehr deine Daten.
Weiter geht es mit der völlig überraschenden und unerwarteten Meldung, dass wenn Daten erhoben werden, die dann auch missbraucht werden. In diesem Fall die Schengen-Daten. Großbritannien hat sie sich einfach privatkopiert.
Die Trifecta komplett macht die Erkenntnis, dass Daten-Anonymisierung häufig Schlangenöl ist, eine Schnellschuss-Lösung für ein verkacktes Geschäftsmodell, ein Ausreden-Teppich, unter den man seine Datenschutzprobleme zu kehren versucht.
Falls ihr euch jetzt Sorgen macht, dass damit das Told-You-So-Gebiet ausgedünnt ist und mit zukünftigen Meldungen nicht mehr zu rechnen sei: Sorgt euch nicht. Wie Einstein schon sagte: Zwei Dinge sind unendlich. Das Universum und menschliche Dummheit. Und beim Universum bin ich mir noch nicht 100% sicher.
Da fühle ich mich doch gleich wieder wie zuhause. Inkompetenz auf wirklich ganzer Linie. Kein Bereich, den wir nicht abdecken würden.
Aber gut, dass wir endlich Frauen in Führungspositionen haben. Kommt, schnell, könnt ihr mir sagen, wie unser aktueller Umweltminister heißt? Anyone?
On Sunday morning, Navalny’s spokeswoman, Kira Yarmysh, said he had suffered a “severe allergic reaction”, and added that he had never complained of allergies before.Also SO einen klaren Fall von spontaner allergischer Reaktion hatten wir ja schon lange nicht mehr!
Ich komme gerade nicht umhin, die Umstände dort mit den üblichen Problemen zu vergleichen, die bei uns zu Zugausfall führen. Man stelle sich mal vor, die Bahn hätte mit sowas zu kämpfen!
Ich habe ja über die Jahre einige Male angemerkt, wenn es um die Politik der Regierung von Israel ging, dass ich nicht verstehen kann, dass ausgerechnet die Holocaust-Überlebenden sich so wenig für und bei Palästinensern eher gegen Menschenrechte einsetzen. Genau wie ich finde, die Deutschen sollten in Sachen Menschenrechten weltweit führend sein. Umso erfreuter bin ich über diese Aktion, und möchte sie ausdrücklich nicht nur erwähnt haben, sondern mich öffentlich über sie freuen.
Es gibt doch noch Hoffnung. Buzzfeed hat auch was über die mit einem großartigen Foto gegen Ende von einem Rabbi mit einem T-Shirt "Resisting tyrants since Pharaoh." :-)
Na genau so wie man sich das vorstellt: Korruption!
Sludge found that Brownstein Hyatt Farber Schreck lobbyist David Cohen, who has worked on behalf of Dominion Voting Systems this year, donated $2,000 to McConnell during this time. Brian Wild, who works with Cohen and has also lobbied Dominion, gave McConnell $1,000.Ist schon erstaunlich, wie billig Politiker so sind.
Überhaupt war ja die unterliegende Annahme, dass man sie an solchen Schritten hindern kann, weil sie von unserer Software abhängig sind und Kompatibilität wahren müssen. Das stimmt aber nicht. China hat in Sachen Softwareentwicklung schon längst die Unabhängigkeit erreicht. Klar haben die da auch viel Windows und Office (Raubkopien), aber das ist nur, damit sie mit dem Westen kommunizieren können. Ihr interner Scheiß kommt jetzt schon ohne aus.
Ransomware ist kein Hackerangriff und kein Notstand sondern Ergebnis von fahrlässigem Herunterkommenlassen der Infrastruktur.
Das ist wie wenn die die Nationalgarde wegen Schlaglöchern in den Straßen und Schimmelbefall im Keller rufen würden.
Ich zitiere mal den ersten Absatz:
The Internal Revenue Service [das Finanzamt der USA] has begun sending letters to more than 10,000 cryptocurrency holders, warning about penalties for failing to report income and pay tax on transactions involving virtual currencies.Das ist das Problem bei Blockchain. Das ist eine öffentliche Buchhaltung. Alle Transaktionen sind öffentlich einsehbar. Auch vom Finanzamt.
Fehlt nur noch die Zuordnung von den Wallets zu den Personen. Aber nunja, wer bei einem Dienstleister seine Bitcoin nach Dollar wechselt, der hinterlässt halt auch Spuren.
An IRS spokesman declined to say whether the letters stem from information turned over by digital-currency platform Coinbase. In mid-March of 2018, Coinbase provided data—under a federal court order—on about 13,000 accounts requested by the IRS.Tja, soviel zum libertären pipe dream, sich schön reichsbürgerlich per Bitcoin von den US-Behörden zu befreien.
Und ihr wollt mal so richtig Reibach machen. Ihr wisst aber nicht wie. Bisher verkauft ihr Babypuder, wo ihr einen so guten Ruf habt, dass die Kunden von ganz alleine kommen. Und wie man dafür Werbung macht ist auch bekannt.
Aber für Opioide? Wie macht man dafür Werbung, ohne dass man wie ein schmieriger Drogendealer aussieht?
Ihr braucht da Hilfe. Aber an wen wendet man sich? Das müsste ja jemand mit beträchtlicher krimineller Energie sein. Jemand gänzlich moralbefreites. Jemand, der für Geld alles tun würde. Jemand, dem das Verticken von abhängig machenden Drogen nicht wie ein Verbrechen sondern wie ein Geschäftsmodell aussieht. Jemand wirklich schmieriges, schleimiges, abartiges. Wo findet man sowas?
Johnson & Johnson tat, was jeder andere Turbokapitalist an ihrer Stelle getan hätte. Sie fragen McKinsey!
Ein Wunder, dass dabei am Ende noch Profite bei Johnson & Johnson abgefallen sein sollen, wenn ihr mal drüber nachdenkt! Das überlebt sonst keine Organisation. Schaut nur, was von der Bundeswehr noch übrig ist!
Erfundene Schicksale, verfälschte Selbst-Experimente, Schummel mit Archivbildern: Wegen Manipulationsvorwürfen hatte sich der Privatsender RTL im Juni von einem Reporter getrenntUnd das ist gleich mehrfach überraschend!
RTL hat Reporter?!?
Mein Stand war, dass dort Mario Barth Bertelsmann-Propaganda verbreitet, getarnt als Bildungsveranstaltung.
Dem würde ich generell widersprechen wollen. Doch, ist es. Das ist genau die Nummer Eins Gefahr, die von der steigenden Komplexität ausgeht. Gerade bei vlc, wenn man das mal selber baut und startet, und mal die Shared Libraries zählt, die das Ding reinlutscht, dann ist völlig klar, dass das Risiko enorm zugenommen hat, bis hin zur offensichtlichen Nicht-Beherrschbarkeit. Klar, dafür hängt da auch die Funktionalität von ab. Will ich nicht bestreiten. Aber die Laxheit, mit der Leute fremde Libraries reinladen, und dann so tun, als sei das nicht ihr Problem, wenn die räudig sind, die ärgert mich schon lange.
Auf der andere Seite ist das Problem in libebml zu dem Zeitpunkt seit über einem Jahr bekannt und upstream gefixt gewesen, aber die Knödel von Ubuntu haben es verpeilt, den Fix auszuliefern. Insofern bin ich dann doch auf der Seite von VLC in dieser Sache, denn das Sicherheitsloch war in Ubuntu, nicht VLC.
Die Geschichte ging aber noch weiter. Die VLC-Leute berichten, dass der Fuzzy, der die Lücke gefunden hat, direkt ein CVE beantragt und bekommen hat, ohne dass jemand auf dem Weg es für nötig oder höflich gefunden hätte, bei VLC mal nachzufragen. Nicht nur das: Der CERT-Bund, immerhin eine Regierungsorganisation Deutschlands, hat ein Advisory veröffentlicht, auch ohne bei VLC mal nachzufragen.
Da wird die Sache jetzt ein bisschen weniger klar. Denn VLC betreibt einen offenen Bugtracker, aber möchte gerne Security-Sachen per Mail vorab gemeldet kriegen, damit die mit Priorität bearbeitet werden können. Das will ich mal der Klarheit halber umformulieren: VLC hat einen Bugtracker, den sie als sedimentäre Datenhalde betreiben, und wo sie längst die Kontrolle über die Flut an Bugs verloren haben, daher haben sie eine Parallelgesellschaft in Form von einem Security-Bug-Mailverteiler geschaffen. Das, meine lieben VLC-Leute, habe ihr euch vollumfänglich selbst zuzuschreiben. Euer Bugtracker ist öffentlich, und das ist gut so. Dort hatte der Bug-Finder einen Bug aufgemacht. Den habt ihr mit den anderen Bugs in der ewigen Buglavine verpennt. Als Reporter ist es völlig OK, VLC nicht "Bescheid" zu sagen, wenn es einen offenen Bugtracker gibt. Denn dafür gibt es den. Und dafür ist der offen. Damit man sich dort über Bugs informieren kann. Dass ihr jetzt von der Presse verlangt, dass sie die Kosten für euer verkacktes Bugtracking trägt, ist absurd. DAS habt ihr euch echt selbst zuzuschreiben.
Und jetzt hört auf zu heulen, fixt eure Bugs, und haltet die andere Wange hin. Mit eurem Fake-News-Geschreie macht ihr die Sache nur noch schlechter.
So und jetzt denkt mal kurz zurück, ob ihr euch an eine Gelegenheit erinnert, wann nach einer Regierungsumbildung nicht das Kabinett neu befüllt wurde, mit Leuten, die der neuen Führung freundlich gesonnen sind. Fällt euch da spontan ein Beispiel ein?
Man könnte sogar sagen: Das ist die Idee und das Ziel einer Regierungsumbildung. Ein neues, handlungsfähiges Kabinett zu kriegen.
Ich mag Boris Johnson auch nicht und halte ihn für einen Idioten. Aber DIE Kritik ist echt lächerlich.
Ich finde das neue Kabinett super. Da ist für Unterhaltung gesorgt. Einer schlimmer als der Nächste. Hey, genau wie bei uns!!1!
Die erfahreneren Leser unter euch werden sich vielleicht fragen: Hey, das ist doch Konsumenten-Plaste. Das taugt doch bestimmt nichts, was die so an Daten erheben?
Dieses Video hier beantwortet alle Fragen in die Richtung nachhaltig.
Kann es nicht auch sein, dass der neue Chef schlicht mit den krassesten Auswüchsen der kreativen Buchführung aufgehört hat und man jetzt schlicht sieht, wie übel das die ganze Zeit schon war?
Und wenn sie draußen bleiben wollen, dann bleiben sie halt draußen. In den wichtigen Teilen wie Eurozone und Schengen waren sie ja eh nie drin.
Turbokapitalismus vom Feinsten!
Als ich "100% reliable preauth RCE VPN exploit using format strings" gelesen habe, wurde ich neugierig. Auf modernen Linux-Systemen ist das nämlich nicht ganz so einfach, also habe ich mich auf die Lektüre eines schönen Exploits gefreut. Stattdessen finde ich so ziemlich das einfachste, was so geht. Daher mal ein paar Worte dazu, damit auch Laien das etwas besser einordnen können:Dazu ein bisschen Kommentar von mir: Format String Bugs sind in der Tat vergleichsweise einfach zu finden. Wer die in seinem Code hat, hat wenig Ausreden vorzubringen. Aber ganz so trivial ist es dann doch nicht. In der Praxis findet man häufig irgendwelche Präprozessor-Makro-Höllen und Ketten von Funktionen und am besten noch nichts const deklariert. Insofern: Vergleichsweise einfach, aber nicht unbedingt trivial.Format-String-Lücken sind sehr einfach über statische Codechecker zu finden. Quasi jeder Audit hätte das finden sollen. Mit entsprechenden Compiler-Optionen gibt es da auch Warnings.
Bei modernen Linux-Systemen wird sowas auch zur Laufzeit abgefangen: da wird dann nachgeschaut, ob %n in schreibbarem Speicher liegt (= nicht fest einkompiliert, also eventuell von einem Angreifer). Falls ja, wird abgebrochen. Dadurch ist die Lücke nicht komplett weg, aber zumindest Code-Execution wird erheblich erschwert bis unmöglich gemacht, da %n das Arbeitspferd für Code-Execution-Exploits ist. Dazu muss man nicht einmal am Quellcode schrauben.
Der Exploit scheint feste Offsets zu benutzen. Also gibt es da auch keine Address Space Layout Randomization?
Zudem treibt deren Exploit Schindluder mit Global Offset Table und Procedure Linkage Table. Dagegen gibt es RELRO: entsprechende Bereiche sind zu normalen Laufzeit nicht mehr schreibbar, wodurch es nochmal etwas schwieriger wird, einen Exploit zu erstellen.
Ich habe keinen Zugang zum Produkt, daher sind das alles unverifizierte Vermutungen. Aber scheinbar sind die echt noch in der Steinzeit, unfassbar. Oh, und je nach CPU-Architektur sind diese Sachen auch gut in Binärcode zu finden. Ich würde also davon ausgehen, dass kompetente Geheimdienste das kannten.
Die printf-Implementation der dietlibc unterstützt %n schlicht gar nicht. Microsoft hatte das aus der Visual Studio Runtime auch per Default deaktiviert und man muss das von Hand anschalten.
Der Punkt mit ASLR und RELRO stimmt auch, aber das ist halt eine Mitigation-Schlacht am Ende. Da bin ich kein Fan von. Damit wird das Exploiten dann schwieriger, ja, aber der Bug ist nicht weg. Und durch die großartige Softwarequalität da draußen haben wir die User konditioniert, dass sie sich selbst nach Crashes neustartende Software nicht nur tolerieren sondern gutheißen, und dass die Leute sich an ständige Segfaults in ihren Logs gewöhnt haben und kaum noch jemand überhaupt guckt. Im Übrigen hat RELRO auch Nachteile. Die Relokationen müssen alle am Anfang gemacht werden, damit danach die Relokationstabelle read-only sein kann, und das führt bei manchen Szenarios zu merkbaren (nicht nur messbaren) Verlangsamungen, besonders bei großen C++-Programmen mit Tonnen von Shared Libraries, z.B. KDE oder so.
Insofern: Ja, der Punkt mit RELRO ist korrekt, und die Linux-Distributionen haben angefangen, komplett auf RELRO umzustellen. Die CPUs sind ja auch schnell genug. Ich erinnere mich noch, als man kleinere Programme statisch gelinkt hat, weil dynamisches Linken zu langsameren Startup-Zeiten geführt hat. Deshalb ja auch dietlibc als statische Library für kleine Programme.
Ich würde die aber viel lieber dafür kritisieren, dass ihre Software kacke ist, als dass sie auch noch die Best Practices bei den Compiler-Flags verkackt haben. Nicht dass da draußen jemand denkt, Format-String-Bugs seien nicht so schlimm, wenn man RELRO anmacht oder so. Fixt eure fucking Bugs.
Früher war der Developer für die Bugs und der Ops-Typ für das Bauen und Ausrollen zuständig, und der hat sich dann um RELRO gekümmert. Heute mit Devops oder gar Devsecops machen das dieselben Gestalten, und damit ist dann plötzlich Zeit für RELRO nicht mehr für das Fixen von Bugs da. Das ist zum Kotzen und einer der Gründe, wieso Devops und Devsecops Mist ist.
By carefully analyzing the engine and model of Cylance’s AI based antivirus product, we identify a peculiar bias towards a specific game. Combining an analysis of the feature extraction process, its heavy reliance on strings, and its strong bias for this specific game, we are capable of crafting a simple and rather amusing bypass. Namely, by appending a selected list of strings to a malicious file, we are capable of changing its score significantly, avoiding detection. This method proved successful for 100% of the top 10 Malware for May 2019, and close to 90% for a larger sample of 384 malware.Nehmt KI, sagten sie! Wir sind zwar zu inkompetent, um das Problem zu lösen, aber unsere KI ist bestimmt viel schlauer! Genau sagen können wir das nicht, denn dafür müssten wir ja selbst kompetent auf dem Gebiet sein, was wir nicht sind, sonst würden wir nicht auf KI setzen. (Danke, Kristian)
New hotness: Der Weiße Mob!
Wenn ich König wäre, würde diese Firma sofort zerschlagen und die Mitarbeiter bekämen alle lebenslang Computerverbot. Aber micht fragt ja keiner.
Aber ihr erwartet jetzt vielleicht, dass Palo Alto wenigstens sofort ein CVE beantragt und das öffentlich gemacht hat, um ihre Kunden zu schützen. Nein, haben sie nicht.
Palo-Alto have now created a security bulletin for this and requested a CVE (cve-2019-1579 pending assigning). The issue is over a year old and absolutely critical as a 100% reliable preauth RCE VPN exploit using format strings, highly recommend you patch.Ein Jahr! Sportlich!!Zum Vergleich: Die Sowjetunion brauchte weniger lange, um Tschernobyl zuzugeben.
Ich reagiere da so bissig, weil das eine Security-Firma ist. Angeblich. Also ... Schlangenöl, natürlich. Aber die haben den Leuten die Kohle aus der Tasche gezogen mit dem Versprechen, sie vor Würmern zu beschützen. Und tatsächlich haben sie den Würmern einen praktisch idealen Installationsvektor in die Hand gegeben.
Update: Die heißen übrigens nur Palo Alto, die kommen nicht aus Kalifornien. Der Gründer ist Israeli und war vorher bei Checkpoint. Nicht dass das irgendeine Rolle spielt, aber wenn die Firma dich schon mit ihrem Namen belügt, ... (Danke, Axel)
Das ist ungefähr so viel wert, wie ihr gedacht habt. Gar nichts. (Jedenfalls bei Edge, behauptet dieser fiese Hacker mit Windows-VM unter Ubuntu)
Das FBI hat das hier zurückgeschickt. Da geht es aber nicht um IPsec sondern um OpenSSH. Das Dokument ist massiv zensiert, aber es sieht so aus, als habe das FBI in einem Counterterrorismus-Projekt entdeckt, dass jemand OpenBSD gehackt und eine Backdoor in OpenSSH eingebaut hatte. Das ist von 2002.
Da weißt du doch, wen du anrufen kannst, wenn dir das nächste mal dein Twitter-Account gehackt wird!1!!
Aber das ist nicht alles:
The attackers also inserted code that allowed them to capture plaintext passwords as they were entered by users at the time.Und weil Slack so eine 1a Firma ist, die niemals ihre Kunden hinters Licht führen würde … erfahren wir da jetzt erst von. Und gleich noch mit einer Familienpackung Kleinreden der Größenordnung des Problems. Ach komm, Kunde, das war 2015, seit dem hast du doch sicher das Passwort mal gewechselt? Oder 2-Faktor aktiviert?!Wie damals die Autoindustrie, die die Schuld an den Toten im Straßenverkehr den Toten in die Schuhe geschoben hat. Wer immer schön sein Passwort geändert hat, ist von diesem Hack nicht betroffen. Und von den neuren Hacks erzählen wir euch dann auch 4 Jahre später, oder wie?
Boah diese Tech-Startups immer, die hab ich ja alle sowas von gefressen. Die großen Firmen sind auch widerlich und ekelhaft, aber die haben immerhin eine Compliance-Abteilung und Anwälte, die der Geschäftsführung rät, sich an Recht und Gesetz zu halten. Zumindest an den Buchstaben des Gesetzes.
The hackers managed to steal 7.5 terabytes of data from a major contractor, exposing secret FSB projects to de-anonymize Tor browsing, scrape social media, and help the state split its internet off from the rest of the world. The data was passed to mainstream media outlets for publishing.Wie, das ist alles? Das hätte ich euch auch ohne Hack sagen können, dass das auf der Liste steht. Bei welchem Geheimdienst steht das denn bitte nicht auf der Liste?!Keine Ufos? Keine Gehirnwäscheprogramme? Keine geheime Folterforschung? Nicht mal Remote Sensing?
Da bin ich jetzt aber ziemlich enttäuscht. Wenn das mal nicht bloß der Honeypot war, den die Hacker da rausgetragen haben!
Ja, richtig gelesen! Das hatte schon einen Grund, wieso eine der wichtigsten Lektionen aus der Nazi-Zeit war, dass Deutschland kein Militär haben sollte, und dass das Grundgesetz grundsätzlich Angriffskriege verboten hat. Und was macht die CDU als erstes damals? Militär wieder einführen.
Für den ersten Angriffskrieg im Kosovo hat es bekanntlich die Verfassungsbrecher von Rot-Grün gebraucht.
Jetzt legt die CDU nach mit dieser unsäglichen Aktion. Ich fürchte mich vor der nächsten Rot-Grün-Regierung.
Die ganze Idee ist schon lächerlich! Man stelle sich mal vor, jemand wollte euch einen Tresor verkaufen. Und der ist nicht auf Grund von Planung durch fähige Experten und Umsetzung nach Plan entstanden, sondern durch ein paar "umgeschulte" ("die tatsächlich Schulung kommt später, gerade ist Deadline-Druck") Niedriglöhner aus dem Web-Pfuscher-Multimedia-Klitschen-Umfeld zusammengefrickelt. Und die sagen dann: Ja klar, einen Plan hatten wir nicht, aber wir haben immer schön nachgebessert!!1! Würdet ihr so einem Tresor eure Wertsachen anvertrauen? NATÜRLICH NICHT!
Ich vertrete ja inzwischen die These, dass man nicht mehr von der Sicherheit von Code reden sollte, sondern die Metrik sollte sein, ob die Sicherheit nicht nur da sondern offensichtlich messbar ist (d.h. nicht "niemand hat Bugs gemeldet" sondern du guckst auf den Code und siehst, dass er offensichtlich sicher ist). Das ist die eine Hälfte. Die andere Hälfte ist, dass du ein Design hast, das die Auswirkungen von Bugs minimiert.
Devsecops ist Marketing-Bullshit von Leuten, die dir einreden wollen, dass ihr dysfunktionales Multi-Stakeholder-Team irgendwie trotzdem in der Lage ist, guten Code abzuliefern, obwohl keiner von denen das Spektrum der dem Team zugeschriebenen Fähigkeiten abdecken kann, und obwohl es für das Produkt kein vorher durchdachtes Design gibt, und obwohl etwaige Design-Rudimente kurzfristig weggeworfen und umentschieden werden, wenn jemand findet, dass das nötig ist.
Das ist kein Weg zu guten Produkten. Das ist genau der Weg, mit dem man bei der Boeing 737 Max rauskommt.
Anders formuliert: Sicherheit ist nichts, das man nachrüstet. Auch nicht in einem Prozess, der das Nachrüsten möglichst einfach macht. Sicherheit ist etwas, über das man vorher nachdenkt.
Ich habe einen Vorschlage. Wieso besteuern wir die nicht einfach? Wie wir den kleinen Mann besteuern!
In der Arktis, rund um den nördlichen Polarkreis, brennt seit Wochen auf einer Fläche von mehr als 100.000 Hektar der trockene Torf, der den Permafrostboden bedeckt.Das legt natürlich eine immense Menge an CO2 frei.
The glass contains precisely controlled inclusions such as air holes or an impurity such as graphene or other material. When light strikes the glass, complex wave patterns occur and light becomes more intense in one of the ten areas on the glass. Each of those areas corresponds to a digit.Also ein optischer Computer! Wie geil ist DAS denn! Mit Fotos!!
Heute so: Bulgarien hat einen (!) 20jährigen (!!) verhaftet.
A 20-year-old cybersecurity worker has been arrested in Bulgaria and charged with hacking the personal and financial records of millions of taxpayersIch kenne die Details nicht, aber das klingt für mich nach "der SQL-Dump-Backup lag unter /data.zip" oder so.But some experts who have examined the stolen data said the techniques used in the attack were relatively basic and spoke more to a lack of adequate data protection measures than the hacker’s ability.Sag ich doch!
Warum?
Weil diese Cloud in Sankt Petersburg ist. Und die Russland-Cloud erzeugt natürlich Beißreflexe, wo die Amazon-Cloud unter dem Radar weitersegelt.
Die Doppelmoral ist erstickend! Zeitungen, die keine Sekunde gezögert haben, meine Daten an Dutzende Werbenetzwerke in intransparente Clouds irgendwo hochzuladen, die erzählen mir plötzlich, Daten in die Cloud laden ist gefährlich?!
Ich kann nur jedem empfehlen, mal eine Private-Browsing-Sitzung in ihrem Browser zu machen und den Adblocker auszuschalten. Nur für eine Stunde oder so. Und dann klickt euch mal durch eure Lieblings-Nachrichtenseiten. Nur mal so als Realitätsabgleich. Da findet ihr überall Werbenetzwerke der untersten Kategorie, die euch Scams aller Art andrehen wollen ("Day-Trading schnell gelernt!", "Silbermünzen als Andenken an Nicki Lauda!", "Krypto-Währungen, die Bitcoin hinter sich lassen werden!!"). Besonders enttäuscht hat mich Heise, die jetzt auf Telepolis unter allen Artikeln eine externe Firma eine "Abstimmung" einblenden lassen, mit so Fragen wie "Die Nutzung des Weltraums steht allen frei / sollte stärker reguliert werden". Selbstdarstellung dieser Firma:
We are not just a widget – we are THE platform for brands to scale content marketing and insightAre you fucking kidding me, Heise? Und IHR habt die Stirn, mich vor irgendwelchen russischen Cloud-Firmen zu warnen!?Oder noch geiler beim ehemaligen Nachrichtenmagazin. Ohne Adblocker kriegt man da die Tage nach dem obersten Artikel eine ZDF-Werbung, die beim Runterscrollen mal eben den ganzen Bildschirm einnimmt. Un-fass-bar! Da hast du echt Schwierigkeiten, zwischen der Werbung den Inhalt zu finden!
Kommt, liebe Medien, erzählt mir mehr über die Risiken der russischen Cloud für meine Privatsphäre!
Update: Hahaha, ist ja noch geiler! Das ist die Amazon-Cloud, nicht die Russland-Cloud! Ein Leser wies noch darauf hin, dass man ein Foto manuell zur App schickt, nicht dass die App von sich aus Zugriff auf alle Fotos haben will und die dann durchgeht. Oh Mann. Die App ist also datenschutzfreundlicher als die meisten anderen Apps! LMAO
Ja gut, der Mann ist halt Reichsbürger, und wollte schonmal die Luftverteidigung seines Königreiches sichern!1!!
Bei derart düsteren Meldungen frage ich mich, ob wir nicht zu weit gegangen sind bei der modernen Medizin. Wenn man die Evolution daran hindert, schwache DNA auszusortieren, dann kann das doch nur den Bach runtergehen! Und jetzt bekämpfen wir auch noch die Anti-Vaxxer und führen keine Kriege in Europa mehr!1!!
Update: Ein Leser weist darauf hin, dass es ein ähnliches 10€-Angebot auch in Deutschland gibt. Nachdem man Einkäufe über 25€ mit der Browser-Extension getätigt hat.
Dann kommt völlig überraschend die US-Bankenaufsicht und meldet ihren Mangel an Begeisterung für den Plan an.
Dann kommt noch überraschender die verpennte EU-Bankenaufsicht und ist auch dagegen.
Und dann kommt die Punchline: Die Schweizer Behörden, die laut Facebook bei dem Projekt an Bord seien, um zu prüfen, das alles sauber ist, die wissen von nichts.
Ich hab neulich einen Vortrag über Blockchain gehalten, wo meine These war: Blockchain eignet sich für genau eine Sache. Für Schneeballsysteme und Spekulantenabzocke.
Bei AKK-47 ist die Abwicklung der Bundeswehr in guten Händen. Schaut nur an, wie sie eigenhändig die CDU abgewickelt hat!
Findet das eigentlich noch jemand so lustig, dass der aktuelle Gesundheitsminister zum Kriegsminister gemacht werden sollte? Das ist ja mal eine bemerkenswerte Aussage über die Kompetenz von einem Gesundheitsminister, oder nicht? Das ist so schlecht, dass wir ihn lieber für das Gegenteil zuständigt machen?
Und natürlich ist mal wieder die Rede von einem Hackerangriff. Eine Ransomware ist kein Hackerangriff. Ein Hackerangriff ist, wenn ein Hacker deinen Rechner angreift, ohne dein Zutun, und der geht dann kaputt oder tut Dinge, die du nicht wolltest. Heutzutage ist der Begriff in der Breite kaum noch anwendbar, weil jede Schrottsoftware ständig neue Updates nachinstalliert, die Dinge tun, die du nicht wolltest. Aber das ist die Definition eines Hackerangriffs.
Was wir hier haben ist ein klarer Fall von "die Organisation hielt es nicht für nötig, ordentliche Infrastruktur auszurollen". Organisationen, die glauben, ein verkacktes Berechtigungskonzept im Unternehmen durch die Nachinstallation von Schlangenöl bekämpfen zu können. Und ja, das ist meiner Erfahrung nach der beste Indikator für verkackte Sicherheitskonzepte in Organisationen: Schlangenöl. Je verkackter die Security, desto mehr Schlangenöl.
Ja aber Fefe, höre ich euch sagen, die Produkte im Gesundheitssektor sind alle auf einem beschissenen Niveau, da kann man nicht so viel machen! Doch, kann man. Man vernetzt sie nicht. Und man klagt solange bei den Herstellern Nachbesserungen ein, bis die netto einen Verlust pro verkaufter Lizenz einfahren.
Was mich ja bei solchen Geschichten immer am meisten mitnimmt: Das sind die Leute, denen wir glauben sollen, dass sie bei dem Rest ihres Krankenhauses schon alles ordentlich machen. Denen wir unser Leben anvertrauen sollen, wenn wir in Not sind. Die Leute, die es nicht schaffen, ihre IT ordentlich zu installieren, denen sollen wir dann glauben, dass sie aber ihre ärztlichen Dinge alle voll im Griff haben.
Ich weiß nicht, wie euch das geht, aber das fällt mir schwer.
Money Quote:
In der Nacht zum Sonntag hat ein Cyberangriff das komplette Netzwerk des Verbundes lahmgelegt – und das trotz vorhandener Firewall und aktualisierter Antivirensoftware.DAS IST JA UNGLAUBLICH, BOB? Ihr hattet Schlangenöl und eine Firewall!?!? Und das hat nicht gereicht?!?!?
Eine von außen ins System eingespielte Schadsoftware hat Server und Datenbanken kryptisch verschlüsseltJa nee klar, von außen eingespielt. Ich glaube kein Wort. Das ist eine dieser "damit konnten alle gut leben"-Erklärungen. Es gibt für Ransomware drei typische Optionen, wie die in ein Unternehmen kommt:
Die Wahrscheinlichkeit für Fall 3 ist verschwindend gering. Das kommt praktisch nicht vor. Ich wäre wirklich überrascht, also echt ehrlich ganz doll überrascht, wenn das hier vorgekommen sein sollte. Den Fall kann man praktisch ausschließen, so selten kommt der vor. Dass jemand über eine Sicherheitslücke reinkommt, für die es noch keinen Patch gab. Das ist eine übliche Schutzbehauptung, aber vorkommen tut es nie.
Ich betrachte solche Fälle inzwischen als übliche Geschäftskosten. Du kannst entweder Geld in ordentliche Infrastruktur oder in Dauerreparaturen stecken. Ist wie bei Autobahnen und Fenstern und Sanitär und sonst überall. Aber seid dann bitte auch so ehrlich und faselt nicht von Hackerangriffen herum. Die Ursache für euren Schaden ist eure eigenen Infrastrukturentscheidungen, nicht irgendwelche Hacker.
So und jetzt könnt ihr entweder alle weiterhin euer Windows-Ökosystem mit Active Directory und SMB-Shares und MS Office weiter betreiben und schön Schlangenöl drübersprenkeln, und euch wundern, dass ihr trotzdem die ganze Zeit Ärger habt. Oder ihr könnt mir glauben, wenn ich euch sage: Schlangenöl hilft nicht.
Und ich habe jetzt Albträume über Ausreden eines Krankenhauses, das mit schlechter Hygiene erwischt wird. Das war keine verkackte Hygiene, das war ein Bakterien-Angriff! Wir hatten sogar eine Seife ausliegen und das hat nicht gereicht!!
Wie, wer da eigentlich gecybert wurde? Nun, äh, *raschel* *kram* die Bulgaren!!
In Bulgarien haben Hacker offenbar Steuer- und Finanzdaten von mindestens einer Millionen Bürgern kopiert.Wisst ihr, wie man zuverlässig verhindern kann, dass Daten von Millionen von Bürgern wegkommen? Man erhebt sie einfach gar nicht erst. Wieso muss das eigentlich alles digital vorliegen? Wegen irgendwelcher nebulöser Big-Data-Hirngespinste?
Ganz einfach: Mama Merkel hat in Warschau per Hinterzimmerdiplomatie die Daumenschrauben angezogen.
Und wer will schon die Daumenschrauben von jemandem angezogen kriegen, der in letzter Zeit durch motorische Kontrollschwankungen aufgefallen ist?
New hotness: AKK-47!
Mit ihrer Bewerbungsrede am Dienstagvormittag im Parlament hat von der Leyen offenbar viele Zweifler überzeugt. Die CDU-Politikerin versprach darin eine genderparitätische Kommission sowie einen "Grünen Deal" für Europa und einen klimaneutralen Kontinent bis 2050.BIS 2050 IST ZU SPÄT, IHR PAPPNASEN!
Aber immerhin werden wir genderparitätisch in den Abgrund regiert. m(
Also SO einen krassen Fall von Selbstmord hatten wir lange nicht mehr! (Danke, Stefan)
New hotness: Weltraumkommando!
After Mr Johnson returned to London, Sir Kim told No 10 in a ‘diptel’ (diplomatic telegram) that Mr Trump’s Administration was ‘set upon an act of diplomatic vandalism’. The Ambassador wrote that Mr Trump appeared to be abandoning the deal for ‘personality reasons’ because it had been agreed by his predecessor Barack Obama.Sir Kim suggested there were splits among the President’s closest advisers and said the White House lacked a ‘day-after’ strategy on what to do following withdrawal from the Joint Comprehensive Plan of Action, as the deal was called.
Another source close to the program told us, “As far as I know, it is a problem of the PTF [Precise Timing Facility] in Italy – time has an impact on the whole constellation!”Ich hoffe das ist nicht wirklich so schlecht designed, wie es gerade aussieht.Da muss man ja fast froh sein, dass die Russen und Chinesen auch ein Satellitennavigationssystem bauen.
Hey, JU, ich bin auch für den Untergang der CDU und freue mich über jeden Versuch, den zu beschleunigen. Warum beauftragt ihr nicht ein paar Spezialexperten-Berater von McKinsey damit, euch ein Konzept zu erarbeiten? Wir wollen ja auch Nachhaltigkeit und so.
Das "schwer zu verstehende" Wort ist Epilepsie. (Danke, Jens)
Bäume zu pflanzen habe das Potenzial, zwei Drittel der bislang von Menschen verursachten klimaschädlichen CO2-Emissionen aufzunehmen. Die Studie zeige erstmals, dass das vom Weltklimarat (IPCC) vorgegebene Ziel einer Begrenzung der Erderwärmung auf 1,5 Grad erreichbar sei, schreiben die Autoren.Ja, äh, warum machen wir das dann noch nicht?!
Update: Es gibt allerdings auch inhaltliche Kritik an der Studie. Ganz so einfach ist es dann doch nicht.
Naja, "dürfen", da macht dann halt keiner mit, denkt ihr euch jetzt vielleicht.
Tja, das war nur die halbe Meldung!
Zudem sollen Hochschulen die Anwesenheitspflicht wieder einführen dürfen.Fuck, yeah!
Es waren aber nicht die Olivgrünen, die das beschlossen haben, sondern die NRW-Regierung ist aktuell CDU+FDP. Deren Mission:
Es geht darum, Gegensätze zu versöhnen und Raum für Fortschritt zu schaffen.Ja nee, klar.
Meine Güte. Die beim Verfassungsschutz finden ja ALLES raus! Alles finden die raus!
Einen schönen Gruß an der Stelle an die Tagesschau-Redaktion für die tolle Bildunterschrift:
Seine Behörde sei nicht tatenlos, betont Verfassungsschutzchef Haldenwang.
Ich sage euch, wenn der Verfassungsschutz noch ein paar Jahre weiter beobachtet, fällt ihnen vielleicht auch sowas hier auf, bevor es der Presse auffällt. Denen ist es vermutlich nur aufgefallen, weil Twitter gerade down war. Wenn wir doch nur jemanden hätten, der uns darüber informiert, ob Twitter gerade geht!!
Ungefähr so empfinde ich gerade diese Berichterstattung, diese knallharte Aufklärungsarbeit, dieses Lehrstück für investigativen Journalismus, dass Twitter gerade gestört ist. Die dpa fand das auch berichtenswert.
Tja. Die dpa ist ein wichtiges Werkzeug, um zu erfahren, dass Twitter nicht geht.
Dann ging es weiter mit der Ausnutzung von Glitches, z.B. mit ausrechend Anlauf irgendwo hochlaufen und springen und einen Teil des Levels ganz überspringen.
Und jetzt? Jetzt gibt es Leute, die im Speicher-Allokator künstlich Fragmentierung herbeiführen. Die Engine kriegt dann "out of memory" beim Laden von Hindernissen, und lädt dann halt die Hindernisse nicht mehr. Aber crasht auch nicht sondern lässt dich über ein hindernisfreies Level rennen.
Das, meine Damen und Herren, ist Hacken im besten Wortsinne. Eigenschaften der unterliegenden Infrastruktur ausnutzen, um vorteilhafte Ergebnisse zu erzielen.
Update: Hier ist ein Video mit Kontext.
Der Fall hier ist besonders zynisch, weil sie erst wochenlang ausgesessen haben und dann argumentierten, …
"Zu diesem Zeitpunkt war das große öffentliche Interesse nicht mehr gegeben, weshalb wohl nicht weiter berichtet wurde", so Schäfer.Da fällt es mir echt schwer, im Sinne von "im Zweifel für den Angeklagten" noch Zweifel an der Schuld der Polizei zu konstruieren. What the FUCK?!
Update: Hups, war falscher Link.
Die Großdemonstrationen und der anhaltende Widerstand gegen die im Frühjahr besiegelte Copyright-Reform seien ihr nicht entgangen. Ihre sieben Kinder hätten sie immer wieder gefragt: "Wieso machst du das Internet kaputt mit Artikel 13", der in den ursprünglichen Entwürfen der Richtlinie für die besonders gefürchteten Upload-Filter stand.Völlig verstrahlt. Für Worte und Sprache nicht mehr zugänglich. Die gehört in ein Pflegeheim, nicht in die Politik.Von der Leyen beklagte hier ein "wahnsinniges Informationsdefizit", die Bevölkerung müsse stärker einbezogen werden. Die Proteste seien aber erfolgreich gewesen: "Es sind noch Änderungen vorgenommen worden."
Acosta had explained, breezily, apparently, that back in the day he’d had just one meeting on the Epstein case. He’d cut the non-prosecution deal with one of Epstein’s attorneys because he had “been told” to back off, that Epstein was above his pay grade. “I was told Epstein ‘belonged to intelligence’ and to leave it alone,” he told his interviewers in the Trump transition, who evidently thought that was a sufficient answer and went ahead and hired Acosta.
New hotness: Malware benutzt Antivirus-Prozess, um die Spuren zu verwischen.
Warte mal, war nicht der Existenzgrund für den Antivirus, den Malware-Befall zu verhindern?!
Ey pass auf, ich hab ne Idee. Wenn das Schlangenöl nicht hilft, dann war die Dosis zu klein!!
Auf Basis welcher Leistungen das wohl entschieden wurde? Ihre Zeit an der Spitze des Weltwährungsfonds wird es ja nicht gewesen sein, das war ja eher eine Katastrophe. Aber wartet, es geht immer NOCH schlimmer! Für den Weltwährungsfonds haben sie auch schon einen Nachfolger im Gespräch: Jeroen Dijsselbloem!
Wenn euch der Name nichts sagt, dann googelt mal die Anekdoten von Yannis Varoufakis über ihn.
Das läuft da ja anscheinend wie bei der CDU. Die haben schlicht niemanden, den man auch nur ohne das Gesicht zu verziehen nominieren könnte. Eine Pflaume zermatschter als die nächste.
Ich schließe mich dem inhaltlich an und empfehle meinen Kunden auch schon länger, lieber libsodium zu verwenden, wenn sie beide Seiten kontrollieren und nicht mit irgendwelchen existierenden Legacy-Clients interagieren müssen. Die Anzahl der Probleme, die (besonders in Krypto-Umgebungen) von schlechten APIs verursacht werden, sind immer wieder erstaunlich. Dass die Leute da nicht der Reihe nach abspringen! Im Gegenteil sehen die Leute sowas üblicherweise als Herausforderung, und reden sich ein, dass sie schon schlau genug sein werden, nicht in eine der 23 Fehlerursachen reinzulaufen, die ihre Vorgänger nicht kannten!
Nun bin ich kein Freund von systemd, aber in diesem Fall haben die bloß eine dokumentierte Instruktion namens rdrand aufgerufen, um sich Zufallszahlen von der Hardware geben zu lassen. Dafür ist eigentlich eine Kernelabstraktion da, die systemd hätte verwenden sollen, dann wären sie jetzt nicht "Schuld" gewesen. /dev/urandom oder getentropy sind der bessere Weg.
Aber daraus, eine Instruktion aufzurufen, kann man ihnen keinen Strick drehen.
Das Problem ist schon länger bekannt und scheint irgendein Initialisierungsproblem bei Ryzen zu sein, wo irgendwelche Prozessor-Status-Flags nicht ordentlich gesetzt werden beim Booten. Das ist im Moment alles Spekulation, aber so sieht es aus, und wenn das stimmt, dann ist das mit einem Bios-Update zu reparieren. Da muss man sich aber schon fragen, wieso AMD ihre Validierung so verkackt. rdrand ist eine für eine Menge Sicherheits-Dinge absolut kritische Instruktion. Alle möglichen Krypto-Protokolle und -Verfahren brauchen Zufallszahlen. rdrand setzt ein Flag, ob es erfolgreich war, und liefert dann einen Wert. Bei AMD setzt es das Erfolg-Flag aber liefert immer alle Bits gesetzt zurück im "Zufallswert". Das ist der Worst fucking Case für diese Instruktion. Die meisten weniger guten Krypto-Implementationen werden keine Prüfung haben, ob der Zufall auch wirklich zufällig ist.
Der einzige Grund, wieso das nicht ein Total-Desaster ist gerade, ist dass eh niemand dem ursprünglichen Intel-rdrand vertraut hat, weil die NSA gerade ein Snowden-Vertrauensproblem hatte und der Zufallszahlengenerator der offensichtliche Geheimdienst-Angriffsvektor auf Open Source Kryptosysteme ist. Daher nimmt der Kernel das auch nur zusätzlich zu anderen Zufallsquellen in /dev/urandom. Hätte systemd also den Zufall vom Kernel bezogen, wäre alles gut gewesen. Auf der anderen Seite hätten wir dann vielleicht gar nicht von diesem Bug gehört. Insofern bin ich systemd doch dankbar. Und bin froh, dass meine Distro nicht auf systemd basiert :-)
Dazu ging heute ein sachdienlicher Hinweis ein. (Danke, Holger)
Tempo relies heavily on eventual consistency to achieve a total ordering of events.oder dieser grandiosen Werbeaussage:Radix is a new layer for the internet, where data, money, and assets are part of the very fabric of the technology. It is scalable, easy to use, and can be built and deployed via API – no smart contracts required.Da bleiben doch keine Fragen offen, oder?BINGO!!
Ein oberbayerischer Förster hat im Jahr 2018 vier Laptops ersteigert. […] Als Passwort tippte er, auf gut Glück, den zuletzt verwendeten Benutzernamen ein und konnte sich prompt einloggen.OK also wenn das SO ist, dann ist das unzureichende Löschen der Daten vor dem Verkauf noch das geringste der Probleme.
Was er auf dem Startbildschirm des Computers fand, erstaunte und beunruhigte ihn gleichermaßen: die vollständige Betriebsanleitung für den Raketenwerfer Mars, ein Waffensystem, das dem "Bekämpfen von weichen und halbharten Flächenzielen" dient.m(
Naja, irgendwie auch wieder nicht wirklich verwunderlich. Wir können ja nicht mal einen Flughafen bauen. Wieso würden wir eine Justiz betreiben können?
Die Republikaner-Schmutzwerfkolonnen stehen jedenfalls seit gefühlt Jahrzehnten Gewehr bei Fuß und versuchen Epstein mit jedem links von Reagan in Verbindung zu bringen. Diese Verhaftung geht aber nicht von denen und ihren angeblichen Beweisen aus, sondern von Klagen der Opfer.
Thank you, your trust in Canonical is important to us, which is why we make privacy and security a priority.Wieso sich Firmen solche blöden Sprüche bei solchen Gelegenheiten nicht klemmen können, das werde ich wohl nie verstehen. Viel offensichtlicher falsch geht ja wohl kaum noch. Aber PR-Blasen gehen einfacher als Entschuldigungen oder wie?
Daraufhin gab es Widerspruch bei Golem und jetzt rudert auch Heise zurück. Dabei spielt das doch mal sowas von überhaupt gar keine Rolle, wie irgendwelche Malware-Samples nach Hause telefonieren. Wenn eie Malware nach Hause telefoniert, ist das Kind schon im Brunnen und ist schon blau angelaufen.
Das Problem bei DNS-over-HTTPS ist auch nicht, dass man damit verschlüsselt kommunizieren kann, sondern dass ... ich hatte das hier schonmal ausgeführt ... die Komplexität mehrere Größenordnungen höher ist, ohne dass es tatsächlich einen echten Privacy-Mehrwert bringt. Außer in einem Szenario. Bei einem WLAN, das man sich mit Fremden teilt.
Mein Hauptproblem mit DNS-over-HTTPS war aber, dass das den gesamten Traffic über Cloudflare lenken wollte. Nun halte ich Cloudflare für einen Haufen inkompetente Clowns, aber selbst wenn sie wüssten, was sie täten, was wie gesagt jedenfalls aus meiner Warte nicht der Fall zu sein scheint, selbst dann wäre es eine schlechte Idee, allen DNS-Traffic aller Mozilla-Kunden über Cloudflare zu tunneln. Das macht dann nämlich das Abgreifen der DNS-Daten noch einfacher für die Geheimdienste. Die müssen nur bei Cloudflare den Schnorchel ansetzen. Gerade für US-Geheimdienste, in deren Jurisdiktion Cloudflare liegt, wäre dafür nicht mal Hacking-Aufwand vonnöten.
Also, nochmal zum Mitmeißeln. DOH ist schlecht, weil es so furchtbar komplex ist, nicht weil Malware darüber reden könnte. DOH zu Cloudflare ist schlecht, weil Cloudflare alle Nase lang irgendwelche katastrophalen Ausfälle hat, und weil zentralisiertes DNS-Routing für die Dienste das Abschnorcheln zu einfach macht. Und hört endlich auf, Malware zu analysieren, was sie nach der Infektion macht. Nach der Infektion ist es zu spät. Findet lieber raus, wie die Malware auf das System kommen kann, und macht das zu.
Na von Polizeicomputern, ist doch klar!
Die meisten Personen der Chat-Gruppe stammen aus dem Umfeld von Bundeswehr und Polizei, darunter mehrere ehemalige Mitglieder sowie ein aktives Mitglied des Spezialeinsatzkommandos (SEK) des Landeskriminalamtes (LKA) Mecklenburg-Vorpommern.Ja super!
Der Polizist Haik J. soll von seinem Dienstcomputer aus für „Nordkreuz“ Meldedaten von Zielpersonen beschafft haben. Er soll Mitglied im AfD-Landesfachausschuss für Innere Sicherheit sein. AfD-Landeschef Leif-Erik Holm wollte das auf Nachfrage weder bestätigen noch dementieren - „aus Datenschutzgründen“.
Air Force Accidentally Dropped 3 Dummy Bombs on Florida, Asks Public Not to Touch If FoundDie erste Hälfte geht ja noch, …Ob die da einfach echte Bomben aber ohne Zünder genommen haben, wegen des Realismus oder so?
Es erscheint auf den ersten Blick ineffizient, Öl aus dem Iran auf dem Weg nach Syrien an Gibraltar vorbei zu schippern, aber der Landweg geht durch die Türkei oder den Irak. Daher OK, geschenkt. Nehmen wir mal an, dass das stimmt.
Aber will die EU bzw. die Briten DAS Fass wirklich aufmachen? Dass es legitim ist, anderer Länder Öltanker in einer Meerenge festzusetzen, die man zufällig kontrolliert? Denn da gibt es noch eine andere Meerenge mit Öltankern, die zufällig der Iran kontrolliert. Und das wäre glaube ich echt ungünstig, wenn der Iran das jetzt als Einladung wertet, auch mal ein paar Öltanker in der Straße von Hormus festzusetzen.
Nicht dass die sich wieder erholen!
What took you so long?
Das ist erstaunlich, weil OpenSSL bisher gegenüber allen anderen TLS-Implementationen immer spürbare Performance-Vorteile hatte. So hohe Performance-Vorteile, dass viele im Gegenzug das grottige API zu erdulden gewillt waren.
Und jetzt kommt jemand und macht in Rust ein TLS, und das ist schneller? Das ist bemerkenswert! Nicht weil Rust irgendwie inhärent langsameren Code erzeugt, aber weil OpenSSL bisher für seine exzellente Performance bekannt war. Dass jemand schneller sein kann, war nicht ausgeschlossen, aber dass es dann gleich so 20% schneller sein würde, das ist echt bemerkenswert. Hut ab vor dem Rust-Hacker da! (Danke, Magnus)
Völlig klar! Da braucht man Endpoint Protection! Gegen Malware. Oder man könnte auch sagen Advanced Malware Protection for Endpoints!
Ist dann natürlich doof, wenn die Advanced Malware Protection for Endpoints auch unsichere Scheiße ist, über die eine Malware ihren Zugriff ausdehnen könnte.
Aber hey, wer Cisco kauft, hat sicher Sinn für diese Art von Humor. (Danke, Jens)
Das ist so eine Personal Firewall für OS X, falls das jemandem nichts sagt. Immerhin ist das wohl nur eine locale privilege escalation, nicht über Netz. (Danke, Maximilian)
Bevor ihr klickt: Was glaubt ihr, wie das ausging? Na?
Stimmt. Genau so ist das ausgegangen.
Update: Andere aktuelle Abstimmung im Bundestag: Kohlekraftwerke stilllegen. Auch da könnt ihr ja vorher mal gucken, was ihr vermutet, wie da abgestimmt wurde. (Danke, Kay-Michael)
Nun, … gut dass ich dagegen war.
Meldung 1: MIT-Forscher stellen probabilistisches Programmiersystem Gen vor.
Wait, what?!
Ein wesentliches Anliegen der vorgelegten Forschungsarbeit sei es, automatisierte KI auch Menschen mit geringeren Fachkenntnissen in Informatik oder Mathematik zugänglich zu machenOH NEEEIIINNNN!!!!!!
Meldung 2: Firefox erhöht endlich die Kompatibilität mit Man-in-the-Middle-Malwaren, die TLS aufbeißen wollen. Und man kann es nicht abschalten!
In Firefox 68 wird sie standardmäßig aktiv sein. Wenn ein Nutzer sie im about:config-Bereich manuell auf "false" setzt, stellt Firefox dies beim nächsten Auftreten eines MitM-Fehlers eigenständig wieder auf "true" um. Sofern die Umstellung das Problem behebt, bleibt sie anschließend aktiv.Na das ist ja eine TOLLE Idee!!1!
Der Krieg der Mozilla Foundation gegen die eigenen Kunden geht erbarmungslos weiter!!
Update: Geht noch weiter. Ursula von der Leyen ist angeblich als EU-Kommissionschefin im Gespräch. Erinnert ihr euch daran, als wir uns für Oettinger geschämt haben?
Auf der anderen Seite besteht dann eine reelle Chance, dass die Flinten-Uschi dann die EU-Kommission mit der bewährten McKinsey-Methode handlungsunfähig macht.
An der Strombörse, wo die Regelenergie gehandelt wird, schlugen in der Folge die Kurse aus. Eine Megawattstunde kostete am vergangenen Samstag in der Spitze 37.856 Euro, obwohl man sie in ruhigen Zeiten teils schon für zehn Euro bekommt. Insgesamt lagen die Regelenergiekosten am 29. Juni bei rund 17 Millionen Euro, an normalen Tagen kommen teils nur wenige Tausend Euro zusammen.Seht ihr? Alles in Butter! Die unsichtbare Hand des Marktes hat kräftig zugegriffen und uns die Kohle aus der Tasche gezogen.
Es besteht demnach der Verdacht, dass Händler Versorgungslücken im Regelenergiemarkt zunächst bewusst nicht ausgeglichen hätten, um später höhere Gewinne einzustreichen.Warum sollte es auch bloß in Kalifornien Rolling Blackouts geben, nachdem Spekulanten diese Nummer abziehen? Ist nur gerecht, wenn uns auch mal so richtig der Strom ausgeht. Nicht weil es Knappheit gäbe, sondern weil wir den Markt "liberalisiert" haben.
"The prosecutor and the judge said it was because I had a lot of USB flash drives, — a lot of computers and a lot of books, they said that these were suspicious." — Ola BiniOh ach so. In Ecuador stehen viele von uns mit einem Bein im Knast, fürchte ich.
Nehmt nur mal den Assange-Fall. Die Fakten lagen die ganze Zeit auf dem Tisch, in zunehmendem Umfang. Assange hat gesagt, die Amis wollen ihn bloß ausgeliefert haben. Verdammt viele Leute haben gesagt: Ach komm, das ist doch Bullshit. Was glaubt der denn, wer er ist! Im Übrigen würde die EU nie zulassen, dass der nach Amerika ausgeliefert wird, wenn ihm da die Todesstrafe droht!
Und jetzt, wo erst leakte, dass die Anklage im Geheimen vorbereitet wurde (der beste Rechtsstaat, den man für Geld kaufen kann!), und dann erst der Botschaftsrausschmiss nach Druck der Amis kam, und dann spontan ein Auslieferungsantrag auf dem Tisch lag, und die Briten spontan Zustimmung signalisiert haben? Kam da von irgendjemandem ein zerknirschtes "na gut, ok, hatte ich wohl doch Unrecht?"
Nein! Jetzt haben es plötzlich alle schon immer gewusst.
Ja nee, klar.
Der Bröckers hat sich in der Telepolis auch mal den Zorn vom Leib geschrieben.
Auch wenn von der anderen Seite niemand die Größe hat, einen Irrtum einzugestehen, lass ich es mir doch nicht nehmen:
Wo sind eigentlich ganzen die Leute hin, die bei Jan Böhmermann und Deniz Yücel für Pressefreiheit waren?
Oh, verstehe. Der Assange ist selber schuld. Der hätte mal besser den Erdogan ärgern sollen.
Die ganzen Schönwetterdemokraten immer...
Der Deutsche Journalisten-Verband ruft dazu auf, Meldungen und Informationen der Polizeibehörden in allen Fällen kritisch zu hinterfragen.Was war passiert? Die Polizei hatte mal wieder herumgelogen, wie viele Polizisten wegen Verletzungen ausfielen, wohl wissend, dass der unbedarfte Beobachter annehmen würde, die seien durch Fremdeinwirkung verletzt worden.Aktueller Anlass sind Presseinformationen der Polizei über die Besetzung des Tagebaus Garzweiler durch Klimaaktivisten. „Ein Polizeibericht ist für Redaktionen eine wichtige Ausgangsinformation, mehr nicht“, erklärt DJV-Bundesvorsitzender Frank Überall. Keinesfalls dürften Schilderungen und Behauptungen solcher Berichte ungeprüft in die Medienberichterstattung Einzug halten.
Die Cops sagten: 16 Verletzte bei der Polizei. Die Presse guckte nach: 2 davon durch Fremdeinwirkung. Die anderen dann vermutlich so Seitenstechen oder umgeknickt oder so? Hand verstaucht beim Demonstranten-Klatschen zählen die ja eher zu "unter Fremdeinwirkung", würde ich tippen.
