Fragen? Antworten! Siehe auch: Alternativlos
Und was machen sie inhaltlich? Nichts, natürlich. Die CSU hat schon verstanden, dass sie lieber nicht über ihre Politik reden sollten, wenn sie potentielle Wähler ansprechen wollen.
Vom Duktus her passt das auch prima zu so reaktionären Youtube-Kanälen aus dem Infokrieger-Umfeld. Würde mich nicht wundern, wenn die einem später auch Gold, Naturheilkundepillen und Prepper-Bedarf verkaufen wollen würden. Ich werde das aber nicht prüfen, ich habe schon die erste Folge nur zur Hälfte ausgehalten. Nochmal gucke ich mir das sicher nicht an.
Update: Hier kommen lauter Leute rein, die sich aufregen, dass die CSU ihre Youtube-Kommentare löscht. Sagt mal ... habt ihr die letzten 10 Jahre in Kryoschlaf verbracht? Herzlich willkommen im Internet! Von allen Kritikpunkten, die man an der CSU anbringen kann, ist das ja wohl der lächerlichste. Außer man formuliert das so, dass Kommentar-Nachzensur auf Basis von Gesetzen nötig geworden ist, für die auch die CSU verantwortlich zeichnet.
Update: Diverse Leser haben auch die zweite Hälfte geguckt und weisen darauf hin, dass er bei ca 3 Minuten die Bertelsmann-Stiftung als Quelle zitiert, und ausdrücklich ansagt, die sei ja politisch unabhängig. Zugegeben, das ist ein weiteres Lowlight in dem Video, aber das Kosten-Nutzen-Verhältnis von Weitergucken reißt es auch nicht mehr raus.
Aktuell: 30kg Fentanyl beschlagnahmt.
Die sichergestellten 30 Kilo Opioide hätten angeblich ausgereicht, um mehr als 14 Millionen Menschen zu töten. […]Das Opioid gilt als 30 bis 50 Mal so stark wie Heroin und 50 bis 100 Mal so stark wie Morphium. Die mehr als 120 eingesetzten Ermittler stellten den Angaben zufolge auch 35 Kilogramm Heroin und Kokain sicher sowie Dutzende Schusswaffen und umgerechnet mehr als 630.000 Euro Bargeld.
Tja, da bleibt uns dann wohl nichts übrig. Die müssen gescannt und begrapscht werden.
Measles has been declared eliminated in 35 of the 53 countries in the WHO's European region for 2018, down from 37 in 2017.It is considered endemic in 12 countries, including France and Germany. In the latter, vaccination against the disease will become mandatory in March 2020.
Over all, carbon dioxide is the most significant greenhouse gas, but methane is a close second. It lingers in the atmosphere for a shorter period of time but packs a bigger punch while it lasts. By some estimates, methane has 80 times the heating-trapping power of carbon dioxide in the first 20 years in the atmosphere.
Wisst ihr, wofür die noch bekannt sind? Für die Vernichtung des Amazonas-Regenwaldes.
Aber klar, nee, finanzielle Ächtung gibt es für den Iran, nicht für Blackstone oder die USA, weil sie solchen Massenvernichtungswaffen und Klimaterroristen Unterschlupf gewähren.
Erstens sei so eine Parlamentspause total üblich, wenn ein neuer Premierminister sein Amt übernimmt, zweitens hat das Parlament selbst die Ausweitung auf 4 Wochen gewählt und Boris hat bloß 3 Tage angehängt, drittens, wenn Boris wirklich das Parlament aushebeln wollte, hätte er die Pause noch länger machen müssen. So kann das Parlament immer noch den Brexit-Ausstieg verhindern, und zwar vor und nach der Pause. Dafür bräuchten sie allerdings eine Mehrheit, die sie bisher nicht zusammengekriegt haben.
Insofern stimme ich zu, dass die Lage nicht so klar ist, wie sie unsere Presse darstellt. Auf der anderen Seite stößt es mir auf jeden Fall auf, dass irgendjemand außer dem Parlament selbst bestimmt, wann es Ferien macht. Das kann ja wohl überhaupt nicht wahr sein.
Ich baue da ja absichtlich keinen Watchdog mit Autorestart ein, damit es einen Leidensdruck gibt, das Problem mal zu debuggen und zu fixen.
vielleicht fragt sich der ein oder andere, warum man nicht mal den Minister von Nordirland oder die Northern Ireland Assembly zum Thema Brexit befragt? Seit dem Karfreitagsabkommen hat Nordirland ja eine eigene Regierung und Nordirland ist ein (oder sogar DAS) Kernproblem beim Brexit. Nun, tja, es gibt da ein winziges, technisches Problem: "It has been 954 days since Northern Ireland had a government [...] There have been 365 days since passing Belgium." Wie üblich (und erwünscht) hatten bei der letzten Wahl weder die Unionists noch die Irischen Republikaner eine Mehrheit bekommen. Es gab wieder Gespräche über eine 'GoKo', aber im Unterschied zu den vorherigen Wahlen verliefen diese nun im Sand. Und in guter, alter Tradition ist natürlich die andere Seite schuld und die Situation wird ausgesessen.Oh wow. Das habe ich auch noch nicht auf dem Schirm gehabt, dass die da Belgien überholt hatten.Immerhin hat ein großer Teil der Abgeordneten sich in einem Brief an die EU für den Backstop ausgesprochen.
Ich wohne in Cottbus und hier in Brandenburg ist nächsten Sonntag Landtagswahl. In letzter Zeit kommt im regionalen Radio Werbung für folgende Seite: https://wahlbeobachtung.de/Mich hat bei der Wahlbetrugsnummer noch gezwickt, dass die mehrfach betont haben, es sei ein junger Wahlbeobachter gewesen. Das ist leider einer der Gründe, wieso ich auch gegen das Senken des Wahlalters bin. Ich weiß jetzt natürlich nicht genau, wie jung der ist, aber ich stelle mir so einen 16-Jährigen Vollindoktrinierten vor. Ich war mit 18 wahlberechtigt aber noch nicht wirklich in der Lage, selbst ein Urteil zu fällen. So fühlte ich mich damals auch, und wählte daher sehr behutsam und mit Bedacht. Das machen aber nicht alle so. Viele sind in dem Alter noch voll durch unter dem Einfluss ihrer Eltern oder ihrer Kumpels und haben nicht mal versucht, alle Seiten anzuhören.Die Werbung im Radio selbst ist noch halbwegs neutral. Auch die Plakete, die in der Stadt hängen.
Allerdings reicht ein kurzer Blick um zu wissen, dass das nichts mit neutraler Wahlbeobachtung zu tun hat. Es handelt sich um die Initiative "Ein Prozent für unser Land" (gerne mal bei Wiki schauen). Und der Name im Impressum (Philip Stein) zeigt auch, dass man es hier mit einer eindeutigen Gruppierung (oder besser Gesinnung) zu tun hat.
Es hat mich also ziemlich aufgeregt, dass Rechtsradikale für Wahlbeobachtung werben (Nazis .. pardon: Patrioten und Wahlen sind doch eine deutsche Erfolgsgeschichte) - und dann passiert das was du schon verlinkt hast: die AfD wird bei einer Wahl betrogen. Eine bessere Vorlage kann man denen doch nicht liefern?!
Ich rechne mit nichts Gutem am Sonntag!
Grundsätzlich finde ich das in Ordnung, wenn auch die AfD Wahlbeobachter und Wahlhelfer schickt. Solange genug Wahlhelfer da sind, dass man Standards aufrecht erhalten kann wie dass jede Stimme von mindestens drei Wahlhelfern gezählt wird oder von mir aus zählt einer und zwei prüfen. Je mehr involviert sind, desto besser. Und am besten aus verschiedenen politischen Richtungen. Und wenn die keine Wahlhelfer mehr brauchen und euch wegschicken, dann werdet halt Wahlbeobachter.
Oh und noch ein Tipp: Bringt den Wahlhelfern und -beobachtern als Wähler gerne mal ein Stück Kuchen oder so mit. Die leisten ehrenamtliche Arbeit für unsere Demokratie. Wertschätzt das.
Aber was willst du von jemandem erwarten, der Global Warming für einen chinesischen Hoax hält und glaubt, Puerto Rico verursache ihre Hurricanes selber, um ihn zu ärgern.
„Keiner hat mich kontrolliert. Dann habe ich einfach ein paar blaue Stimmen grün gemacht“, sagt er – also Stimmzettel für die AfD als Kreuze für die Grünen gezählt.
Die Queen so: Klingt gut! Machen wir so!
Und deshalb braucht man ordentliche Gewaltenteilung und Checks & Balances und nicht einen Monarchen, auf dessen Gnade man sich in Notfallsituationen verlassen muss.
Nun, wie sich rausstellt, … eher nicht.
Mit bis zu 100 km/h ist ein Zug über 100 Kilometer durch die Oberpfalz gerauscht - ohne funktionierende Bremsen. Die beiden Lokführer hatten den Bremsschlauch falsch gekoppelt und vor dem Fahrtbeginn keine Bremsprobe durchgeführt.OMFG!
Update: Leserbrief dazu:
Entweder hat die SZ da was umformuliert oder die Pressemeldung der Bahn ist Unfug. Warum? Ich habe eine Ausbildung zum Rangierer gemacht und mein Bruder ist Lokführer. Also bisschen Kenntnis vorhanden.
- Ein Vertauschen der Druckleitungen geht eigentlich nicht, weil die Anschlüsse nicht untereinander passen
- Die Lokführer sind nicht die Leute, die die Verbindungen untereinander herstellen, sondern die Rangierer bzw. die Rangierleiter und die melden dem Lokführer Vollzug.
- Selbst wenn die zwei Loks nicht untereinander verbunden gewesen wären, hätte noch eine Lok Luft ins System pumpen können. In solchen Fällen werden aber zwei Loks nicht zum Bremsen verwendet, sondern um die Steigungen zu überwinden.
- Die Lokführer müssen den Angaben des Rangierers vertrauen und evtl. die das System überprüfen. Ist wie bei der Flugsicherung. Jeder hat seinen Verantwortungsbereich.
Es kann nur sein, dass die Lok gar nicht mit den ganzen Wagen verbunden war, weil im Gegensatz zu LKW das Prinzip bei Zügen umgekehrt ist. Bei LKW keine Luft im System bedeutet Bremsen fest. Bei Zügen keine Luft im System bedeutet Bremsen frei.
Trotzdem könnten die angeblichen 2 Loks noch selbstständig bremsen. Was natürlich bedeutet, dass es sehr, sehr lange Bremswege gibt, weil ja nur die Loks bremsen. Ist vergleichbar mit einem LKW, bei dem der Hänger nicht mitbremst.
Diese Meldung bei der SZ ist Unfug. So wie geschrieben, kann es nicht gewesen sein.
Update: Oh da habe ich ja Pandoras Füllhorn geöffnet. Jetzt kommen hier Dutzende von Einsprüchen von Bahn-Experten. Ein Repräsentativer:
Für die korrekte Funktion der Bremsen ist ausschließlich der Triebfahrzeugführer (kurz: Tf, vulgo Lokführer) verantwortlich. Dies ist ist in der Bremsvorschrift (BreVo, VDV-Schrift 757) geregelt und nennt sich Bremsprobe (Brpr).
Vereinfacht ausgedrückt stimmt es, dass der Zug (ohne Lok) vom Rangierpersonal zusammengestellt wird. Die Lok kann aber auch vom Lokführer angekoppelt werden. Dies kommt sowohl im Personenverkehr als auch im Güterverkehr regelmäßig vor, gerade dann wenn Lokomotiven von Drittfirmen beauftragt werden.
Güterzüge werden per Druckluftbremse gebremst, auch hier gilt das Prinzip: keine Luft in der Hauptluftleitung -> Bremsen liegen an! Dies ist ein essentielles Sicherheitsfeature im Zugverkehr. Wenn z.B. die Kupplung reißt, reißen auch die Bremsleitungen, diese werden entlüftet, die Bremsbacken werden dann per Federkraft angedrückt, es kommt zum Stillstand. Wenn ein rotes Signal überfahren oder die Notbremse gezögen wird, wird die Hauptluftleitung automatisch geöffnet, die Druck sinkt ab und es kommt zur Zwangsbremsung. Für mehr Details verweise ich auf diesen Wikipediaartikel.
Wenn Waggons angekoppelt werden, müsssen bei nach dem Verbindungen der Druckluftleitungen die Ventile geöffnet werden. Beim Abkoppeln werden diese geschlossen, erst dann wird die Verbindung getrennt. Damit ein Rangierbetrieb möglich ist und Züge in Rangierbahnhöfen z.B. über Ablaufberge einfach zusammengestellt werden können, gibt es die Möglichkeit einzelen Waggons "unter Druck" abzustellen mit Hilfe der Verwendung von speziellen Ventilen. Das ist allerdings nur sehr vereinfacht ausgedrückt.
Ich vermute bei diesem Fall, dass beim Ankuppeln irgendein Ventil nicht richtig bedient wurde. Zusammen mit der nicht erfolgten Bremsprobe waren alle Waggons mit gefüllter Hauptluftleitung (so weit normal) unterwegs. Allerdings konnte diese dann nicht mehr vom Steuerstand aus entlüftet (nicht normal) und somit der Zug abgebremst werden. Den Rest kennen wir ja ;)
(Danke, Christian)
Das ist noch nicht der krasse Teil.
Der kommt jetzt:
Wie genau die Angreifer an die Kartendaten gelangt sind, blieb offen. Laut Bericht des NDR haben die Kriminellen Kreditkartennummern erbeuten können, mit einer Software die Geheimnummern geknackt, dann die Karten nachgebaut und schließlich das Geld an brasilianischen Geldautomaten abgehoben. Antwort der OLB auf Anfrage von heise online nach weiteren Details steht noch aus.Versucht euch mal vorzustellen, wie krass die Wahrheit sein muss, dass die Bank lieber die Aussage im Raum stehen lässt, dass jemand per Software die PIN zu einer Mastercard generieren kann. Gibt es überhaupt krassere Totalschaden-Szenarien?
Heise hat anscheinend eines gefunden, denn als die Landesbank gefragt wurde, ob es da Datenschutzproblem gegeben hätte, haben sie das energisch bestritten.
Ist das immer noch die irrationale Angst vor DSGVO-Maximalstrafen? Unser Geschäft mit Mastercard sind soundsoviele Millionen pro Monat, das ist weniger als die DSGVO-Strafe, wenn wir zugeben, dass einer unserer Mitarbeiter die Daten im Darknet verkauft hat? Oder so?
Au weia. Das ist ja ein beachtlicher Krater.
Update: Ein Leser, der bei der OLB arbeitet (jedenfalls schreibt er das), erzählt, dass die Bank die Debitkarten und auch PIN+TAN-Handling fürs Onlinebanking outgesourced hat, d.h. die Mitarbeiter haben die Daten gar nicht und können sie daher auch nicht verkauft haben. Das ist doch eine exzellente Verteidigung für die OLB? Wieso sagen sie das dann nicht öffentlich an?
in Dresden selbst wurde (2014?) ein eher links-progressiver Wahlkreis (Innere Neustadt + Äußere Neustadt + Leipziger Vorstadt aka "Hechtviertel") zerstückelt. Als geschlossenem Wahlkreis hätten dort Linke oder Grüne Kandidat*innen gute Chancen auf ein Direktmandat. Allerdings wurde die Äußere Neustadt dem Wahlkrei 41 zugeschlagen und Innere Neustadt sowie Leipziger Vorstadt Wahlkreis 45.Wow. Das war mir nicht bekannt, dass es in Deutschland auch aktives Gerrymandering gibt.siehe u.a.:
https://www.dresden.de/de/rathaus/politik/wahlen/landtagswahl/wahlkreise-2019.php
Das sind Malware-Taktiken aus dem Hause Microsoft.
Ich hoffe, es findet sich ein Verbraucherschützer, der die dafür vor den Kadi zerrt. Und da wundern sich die Experten, wieso die Leute keine Updates installieren.
The substances were identified as “technogenic radionuclides” – strontium-91, barium-139, barium-140 and lanthanum-140. These are fast-decaying radioactive substances that would emit inert radioactive gases if exposed to the open air.Ähm, ... kein Caesium-137?But the four radionuclides identified by Roshydromet on Monday are extremely unusual, according to Andrei Zolotkov, a chemist who spent 35 years working on Russia’s nuclear icebreaker fleet and knows the details of typical nuclear reactors.The identified radionuclides are of a type that could be produced in a uranium-235 reaction commonly used in nuclear reactors. But even then, strontium-91 is exotic, he says. And other radionuclides, such as caesium-137, should have also been detected.
In der Tat!“As to what kind of reactor was being tested, there are two main possibilities: it was either a nuclear ramjet engine, which would be air-cooled, or a more conventional reactor using a coolant like water. Again, I’m puzzled why, if it were a ramjet engine in a rocket, it would have been started on the ground, since those reactors require air to flow through them at a high speed to operate.”Das ist alles merkwürdig.Die naheliegende Erklärung wäre natürlich, dass die Behörden alle unter einer Decke stecken und hier mal wieder das Surkow-Playbook abspielen. Da geht es ja nicht darum, ein Narrativ zu setzen, sondern im Gegenteil alle möglichen Narrative in Zweifel zu ziehen.
Update: Liegt eher an Verkacken als an Klimawandel, dass Jakarta absäuft.
Und zwar wurden in Sachsen die Wahlkreise nicht angepasst, nachdem die Leute vom Land in die Städte gezogen sind. Damit sind Stimmen aus Großstädten unterbewertet und vom Land überbewertet. Nun kriegt die regierende CDU in Großstädten traditionell keinen Fuß auf den Boden, daher sehen die da offenbar keinen Handlungsbedarf.
During one hurricane briefing at the White House, Trump said, "I got it. I got it. Why don't we nuke them?" according to one source who was there. "They start forming off the coast of Africa, as they're moving across the Atlantic, we drop a bomb inside the eye of the hurricane and it disrupts it. Why can't we do that?" the source added, paraphrasing the president's remarks.Seht ihr? Problem gelöst! Wir nuken einfach die Hurricanes über dem Atlantik und dann betrifft der Klimawandel nur noch die anderen Länder!Ja gut, abgesehen von den Waldbränden, den Dürreperioden, dem steigenden Meeresspiegel. Nuken wir halt auch die Wälder und das Meer!1!!
Man muss ja schon fast dankbar sein, dass er keine Kohle-Bomben bauen will. Denn für Energiegewinnung ist Kohle inzwischen teurer als erneuerbare Energien, und er hatte seinen Wählern ja versprochen, die Kohle wieder groß zu machen. Irgendwo muss die ja jetzt hin, die ganze Kohle.
Nicht nur beim Pilzessen, schon die Suche könnte kritisch sein, auch in der unmittelbaren Umgebung und nicht erst in Russland. ;)Von 40 Wachschutzmitarbeitern in Büchel sind 18 an Krebs erkrankt, 12 bereits gestorben, bei der Bewachung der "atomaren Teilhabe" der Bundeswehr in Deutschland:
Was tun? Na klar! Photoshoppen! (Danke, Theodor)
Und das ist ja wohl klar, ohne Frauen am Mikrofon kann man im Jahre 2019 keine Konferenz mehr machen, ob jetzt über PHP oder was anderes. Es geht ja hier schließlich nicht um PHP. Es geht darum, was die Vortragenden zwischen den Beinen haben!
Entsprechend groß war die freudige Überraschung. Macron zieht sich diplomatisch aus der Affäre, indem er sagt, das habe nichts mit G7 zu tun gehabt, der sei nur zufällig zu einer völlig anderen Sache in das kleine gallische Dörflein gekommen.
Ich muss ja sagen, dass der Macron damit ein paar Sympathiepunkte gutgemacht hat bei mir :-)
The two women are in the process of a divorce and battling over custody of a 6-year-old son, Worden told KPRC. She said she conceived the boy through in vitro fertilization and carried by a surrogate.
Aber keine Sorge, es gibt auch schon einen Adblocker dafür.
Kannste dir nicht ausdenken, sowas. (Danke, Florian)
Das Gericht lehnte den Eilantrag mit dem Verweis auf die belgische beziehungsweise europäische Speicherung der Fluggastdaten jedoch ab.Der Einbrecher kann nicht verhaftet werden. Es gibt da draußen schließlich noch andere Einbrecher.
Du übernimmst hier etwas unkritisch den Begriff "verstrahlt". Verstrahlt sein kann man nicht. Falsch, verstrahlt sein kann man, das sind Leute wie Söder oder Seehofer. Das hat aber nichts mit Radioaktivität zu tun. Leute die den Begriff "verstrahlt" benutzen zeigen recht deutlich, dass sie von der Materie keine Ahnung haben, so auch die Twitterquelle. Glaubt man Google Translate, so spricht die Primärquelle (deren Zuverlässigkeit nicht im Ansatz bewerten kann und will) nicht von "verstrahlt", sondern von "... Cäsium-137 im Muskelgewebe gefunden ...". Es gibt da drei Kategorien die ich hier gerne kurz vorstellen würde:
- Exposition: Das bedeutet, dass man sich in der Nähe von einem Emitter von ionisierender Strahlung (ein etwas allgemeinerer Terminus, der neben der Emission von radioaktiver Strahlung durch Radionuklide auch Röntgenstrahlung mit einschließt) aufgehalten hat und von der Strahlung getroffen wurde. Beispiele: Röntgenbild, CT, Flugzeugflug etc. (siehe https://en.wikipedia.org/wiki/Sievert bei "dose examples") Eine Exposition ist eine einmalige Sache, es werden Zellen zerstört und es kann in bestimmten Fällen zu Zellmutationen kommen (und damit zu Tumoren), aber wenn die Exposition vorbei ist, dann besteht keine Gefahr mehr.
- Kontamination: Hier wird es schon unangenehmer. Kontamination bedeutet, dass radionuklide an einem Gegenstand oder einer Person haften. Das kann bei einer Röntgenaufnahme oder einem CT deswegen nicht passieren. Eine Kontamination einer Person schließt eigentlich immer eine Exposition fǘr die Dauer der Kontamination mit ein. Hier ist es schon deutlich schwerer Beispiele zu finden. Beispiel: Bei der Injektion von radioaktiven Tracern bei einer Schilddrüsenuntersuchung geht ein Tröpfchen daneben.
In Bereichen wo mit Radioaktivität gearbeitet wird gibt es deswegen an den Ausgängen Schleusen, wo man vor allem Hände und Füße auf Kontamination überprüfen muss. In diesen Bereichen trägt man üblicherweise Überschuhe, Einmalgummihandschuhe und Kittel. Bei Kontaminationen besteht eine Verschleppungs- und Inkorporationsgefahr, deswegen müssen Kontaminationen beseitigt werden.
- Inkorporation: Hier wird es nun richtig unangenehm. Bei einer Inkorporation sind Radionuklide in den Körper gelangt. Eine Inkorporation bedeutet immer auch eine Exposition, je nach Nuklid mit besonderem Gefahrenpotential. Die Vorstufe einer Inkorporation ist im arbeitstechnischen Sinne oft eine Kontamination (Hände kontaminiert, dann an den Mund gefasst), aber auch Inhalation von radioaktiven Gasen kann auftreten (z.B. an Teilchenbeschleunigern mit unzureichender Lüftung). Das gefährliche an einer Inkorporation ist, dass die inkorporierten Nuklide eventuell lange im Körper verbleiben. Zwei Prozesse reduzieren die Anzahl der inkorporierten radioaktiven Atome: Das eine ist die biologische Halbwertszeit (Ausscheidung) und die physikalische Halbwertszeit (Zerfall des Nuklids). Einige Radionuklide werden schnell ausgeschieden, andere verbleiben sehr lange im Körper und sorgen so für eine Exposition über einen sehr langen Zeitraum, so wie 137-Cs im Falle des russischen Arztes.
Ein Beispiel für eine (freiwillige, wahrscheinlich aber unbewusste) Inkorporation ist in Deutschland leicht zu beobachten: Rauchen. Natürlich vorkommende Radionuklide werden von der Tabakpflanze aufgenommen und in den Blättern eingelagert. Diese Stoffe bleiben beim Verarbeiten des Tabaks erhalten. Diese Nuklide sind vor allem alpha-Strahler, diese Strahlung ist extrem energiereich und damit sehr zerstörerisch, die Reichweite ist aber sehr gering. So gering, dass die Strahlung nicht durch den Harz der Tabakpflanze hindurchdringen kann. Auch die toten oberen Schichten der Haut sind dick genug um diese Art von Strahlung abzuschirmen. Verbrennt man den Tabak und damit die Harzschicht und atmet das Erzeugnis ein, so atmet man auch die Radionuklide mit ein. Diese bleiben dann gerne auf der Oberfläche der Lunge kleben. Da gibt es keine Hornhaut, es kommt so zu einer starken Schädigung des Lungengewebes. Die resultierende Dosis ist in der gleichen Quelle wie oben zu finden.
So, ich hoffe das ist nicht zu lang geworden. Du betonst ja immer den Lehrauftrag deines Blogs, ich würde mich also freuen wenn Deine Leser nach dieser Lektüre etwas mehr über "Verstrahlung" wissen. Ich bin jetzt nicht auf den Unterschied zwischen alpha-, beta- und gamma-Strahlung eingegangen, da es hier eigentlich nicht so relevant ist. Wäre dann auch noch länger geworden.
Kohlpharma selbst ist mit mehr als 600 Millionen Euro Umsatz und 800 Mitarbeitern einer der größten Arbeitgeber im Saarland. Der Firmensitz Merzig liegt im Wahlkreis von Bundeswirtschaftsminister Peter Altmaier (CDU).Wie das halt so ist, wenn ein Politiker sowohl für das Wohl der Leute in seinem Wahlkreis als auch für das wohl der Leute des ganzen Landes zuständig ist. Dann priorisiert er seinen Wahlkreis, denn denen hat er seinen Job zu verdanken. (Danke, Stefan)
Was kann da schon schiefgehen!
- At some time in April 2018, the Webmin development build server was exploited and a vulnerability added to the password_change.cgi script. Because the timestamp on the file was set back, it did not show up in any Git diffs. This was included in the Webmin 1.890 release.
- The vulnerable file was reverted to the checked-in version from Github, but sometime in July 2018 the file was modified again by the attacker. However, this time the exploit was added to code that is only executed if changing of expired passwords is enabled. This was included in the Webmin 1.900 release.
- On September 10th 2018, the vulnerable build server was decomissioned and replaced with a newly installed server running CentOS 7. However, the build directory containing the modified file was copied across from backups made on the original server.
- On August 17th 2019, we were informed that a 0-day exploit that made use of the vulnerability had been released. In response, the exploit code was removed and Webmin version 1.930 created and released to all users.
Und ihre Lösung jetzt ist: Wir verlassen uns halt voll auf github. Ja, klar, weil github-Accounts ja auch noch nie gehackt wurden.
So viel Hilflosigkeit auf einem Haufen, da kannst du echt auch gleich zu Oracle oder Cisco greifen.
Mitarbeiter verbinden Kernkraftwerk mit dem Internet, damit sie Cryptocurrency minen können?
Was kann DA schon passieren!1!! (Danke, Sven)
New hotness: Ransomware auf deiner Digitalkamera verschlüsselt deine Fotos.
Finde ich jetzt nicht weiter überraschend. Die Spezialexperten haben die Software auf so einer Kamera in ähnliche Komplexitätshöhen wie einen PC gehievt. Das ist im Moment ein Proof of Concept, und zwar einer Schlangenölbude. Ich würde mir da noch nicht viel Sorgen machen. Das Archiv mit den Fotos ist ja im Allgemeinen auf dem PC und der Infektionsvektor hier geht vom PC auf die Kamera. Wenn es so weit kommt, habt ihr eh schon Totalschaden.
Ach komm, Fefe, da kaufen wir eine Familienpackung abgelaufenes Schlangenöl, und dann wird das schon!1!! Und wenn wir trotzdem die Daten verlieren, heulen wir rum und stellen Forderungen an die Politik, die damit dann einen tollen Überwachungsstaat installiert!
Good riddance.
Die Grünen haben ja schon das Absenkden des Wahlalters wieder ins Gespräch gebracht. Ich erwarte, dass bald auch wieder bei der SPD ein Talking Point wird. Was anderes haben die ja auch nicht mehr. Und ab, husch husch, liebe Verräterpartei, in die außerparlamentarische Opposition.
Update: Oh gucke mal, in Brandenburg legt die SPD in Umfragen deutlich zu. In Brandenburg hat allerdings seit der Wende immer nur die SPD die Regierung gestellt. Die Leute da wollen das offenbar nicht anders.
Aber mein persönliches Highlight in der Story ist das hier:
The reason for that, argue Valerie Khan, VP of the Digital Equity Association, and Geoffrey Goodell, senior research associate at University College London's Centre for Blockchain Technologies, is that Facebook is interested not in finance but identity.LMAO!! Digital Equity Association gewinnt ja schon Bullshit-Euphemismen-Preise, aber das Centre for Blockchain Technologies?! HAHAHAHAHA
Maintainers of the RubyGems package repository have yanked 18 malicious versions of 11 Ruby libraries that contained a backdoor mechanism and were caught inserting code that launched hidden cryptocurrency mining operations inside other people's Ruby projects.Das ist natürlich nicht die Schuld von Ruby, sondern davon, dass Entwickler heutzutage Libraries aus dem Internet automatisiert runterladen, einbinden und ausliefern. Das ist einfach mal generell eine schlechte Idee, aber gepaart mit der monströsen Komplexitätsexplosion in Code heutzutage ist es ein selbstverstärkendes Problem.Die Leute meckern immer rum, dass C und C++ keine Paketmanager haben. Ich halte das für einen Vorteil. Nicht nur einen Vorteil. Den Hauptvorteil von C und C++ im Moment. Von der Funktionalität her können C und C++ nichts, was nicht auch Rust oder Go könnten, bei einer grob vergleichbaren Performance am Ende. Oder wenn man auf Performance scheißt, dann wie Ruby, Python oder Javascript.
Der Vorteil von C++ im Moment ist, dass es eine Schwelle für das Einbinden von Libraries gibt. Das ist mit Kosten verbunden. Daher gucken Leute eher hin.
Ist nicht alles toll mit dem Modell. Eines der Hauptprobleme von C++-Code in Produktivsystemen ist, dass der Code veraltet ist und veraltete 3rd-Party-Komponenten einsetzt. Da muss mal was geschehen, keine Frage.
Aber habt ihr schonmal von einem C oder C++-Programm mit einem Kryptominer oder einer Backdoorkomponente gehört, wo der Autor auch nur versucht hätte, sich mit Paketen aus dem Internet rauszureden? Oder ein kompromittiertes Github-Paket, das es dann auch tatsächlich in irgendwelche ausgelieferte C++-Software geschafft hat?
Ich beobachte die aktuellen Bemühungen bei C++20 mit größter Sorge, sich da in Richtung NPM zu bewegen, um mehr Hipster anzuziehen. Leute, die auf sowas stehen, sind genau die, die man nicht in seinem Projekt haben will, weil das am Ende Kryptominer drin haben wird und der Verantwortliche wird nicht mal verstehen, wieso das seine Verantwortung gewesen wäre.
Lawrow wies die Vorwürfe zurück: "Es gibt überall Zugang", sagte er. Im Gegenzug beklagte Lawrow, dass Mitarbeiter des Staatsfernsehsenders Russia Today und der Staatsagentur in der EU gelegentlich an ihrer Arbeit gehindert würden. Demnach hätte es Fälle eines Ausschlusses von Journalisten bei Pressekonferenzen gegeben. In Russland würden westliche Medien dagegen nicht behindert werden - auch nicht bei ihrer Berichterstattung über die Proteste.Maas hatte die Festnahme eines Mitarbeiters der Deutschen Welle kritisiert. Es hatte tausende Festnahmen bei regierungskritischen Demonstrationen in Russland gegeben, darunter auch Journalisten.
New hotness: DNS over Blockchain.
Immer wenn du denkst, der Boden des Abgrunds könnte langsam in greifbare Nähe gerückt sein ...
Die 480 Millionen Euro, die der Bund von 2012 bis 2019 für alle militärischen Baumaßnahmen von NATO-Partnern in Deutschland verplant hat, entfallen "fast ausschließlich" auf die USA. Das geht aus einer Antwort des Finanzministeriums auf eine Anfrage der Linken-Abgeordneten Brigitte Freihold hervor.
...denn mehr zu machen geht überhaupt nicht mehr, dafür haben Unternehmen weder das Know-How noch die Manpower noch das Budget.Und das ist nicht nur im Netzwerkbereich so, aber da ist es natürlich noch schlimmer:
- Die Margen bei den Routern / Switchen sind so niedrig, weil man von Anfang an kein Update eingeplant hat. Das machen wir so, das machen unsere Kunden so, und das machen unsere Wettbewerber auch so.
- So ein Cisco-XE-Switch braucht zwischen 7 und 15 Minuten für einen Reboot. Vor zwei Jahrzehnten haben wir Switches im Betrieb neugestartet, weil sie binnen Sekunden wieder oben waren. Das kannst Du heute nicht mehr. Und niemand möchte nachts arbeiten, nur um ein paar blöde Switches (die in 99% der Fälle nichts weiter tun als das, was Switches vor 20 Jahren auch getan haben) neu zu starten.
- Mittlerweile sind die Dinger so kompliziert, dass man erst mal nachsehen muß, was sich mit dem Update alles ändert. Für Infrastruktur, die in den meisten Fälle einfach so funktionieren soll, und über die man nicht nachdenken will, macht das aber niemand. Nicht einmal die Dienstleister, die sie betreuen sollten, denn die schaffen es auch nicht mehr, alle Updatetexte lesen.
Und das liegt auch daran, dass die Updatetexte so verfasst sind, dass man sie nicht verstehen und in endlicher Zeit lesen kann.
Jedenfalls ist die Konsequenz daraus, dass ein Update von einem Stück Netzequipment geplant und mit den Kunden und anderen Beteiligten abgesprochen werden muss, und deshalb ein größerer Akt ist. Das nächste Wartungsfenster? Nach Weihnachten.
- Ich monitore seit einem halben Jahr Kundensysteme, und würde es mitkriegen, wenn die Switches mal neu gestartet worden wären. Sind sie nicht. Nirgends.
Möglicherweise gab es bei einem Kunden in den Werksferien ein Firmwareupdate, da ist mal der ganze Standort herunter gefahren worden, aber ich glaube es nicht.- Unsere Kunden haben sowie kein Budget. Die können Geld ausgeben, um Geld zu sparen. Sprich, ein RZ zu einem billigeren Anbieter umzuziehen. Qualität? Es muß nur gerade gut genug sein, dass man noch arbeiten kann.
Und IT-Abteilungen haben die sowieso nicht mehr. Das ist ja zu uns outgesourcd (mein Arbeitgeber zeichnet sich übrigens mehr durch Mittelmäßigkeit aus als durch Know-How).- Außerdem haben Kunden ein Gedächtnis. Wie viele Tage konnten sie nach dem letzten Updatefiasko nicht telefonieren, weil die doofe VoIP-Anlage irgendwelche Probleme machte? Natürlich schrecken die davor zurück, das zu wiederholen.
Und überhaupt sind Updates ja ziemlich… umstritten.
Wenn uns Windows 10 etwas beigebracht hat, dann das: Wir hassen Updates.
- oft oder sogar meistens betreffen uns die Sicherheitslücken gar nicht.
- verdammt häufig geht nach Updates etwas nicht so, wie es vorher war. Und sei es auch nur, dass ich meine lokalen Drucker nicht mehr in der Liste finde, wohl aber irgendwo in Hintertupfingen.
Updates machte man, um Fehler und Sicherheitsmängel zu beheben. Man erhofft sich Produktivitätssteigerung und Sicherheitsgewinne, und nimmt dafür Unbequemlichkeiten und kurzfristige Produktivitätsverluste in Kauf.
Mittlerweile ist das aber anders: Updates stehen für neue Fehler, nicht dafür, dass das Produkt besser wird.
Updates kosten Zeit, Geld, Planung, Absprachen und Nerven. Und sie bergen Risiken. Unter diesen Umständen updated man nur, wenn man *muß*.
Das war anders, als Update und Upgrade noch verschiedene Dinge bedeuteten.
Ich glaube ja, dass POWER tot ist. Diese Initiative richtet sich ja auch gar nicht auf Server sondern auf sowas wie Plasterouter oder so FPGA-Frickelkram. Und da ist der Zug auch abgefahren, seit es RISC-V gibt.
Technisch gesehen ist der Instruction Set von POWER auch eher warzig und historisch gewachsen. Wieso IBM glaubt, das würde jemand haben wollen, erschließt sich mir nicht. MIPS ist ja auch schon Open Source gegangen Ende letzten Jahres. Das hat ja auch nicht zu einer MIPS-Renaissance geführt.
Das Projekt ist Chefsache von Präsident Xi Jinping, insofern muss das auf jeden Fall ein Erfolg werden.
du musst jetzt tapfer sein. Updates im Netzwerkbereich werden gemacht wenn die Hardware getauscht wird. Oder wenn einen funktionalen Bug gibt der die Arbeit stört. Also meistens zumindest. Ausnahmen bestätigen die Regel.Der Kollege hat inhaltlich natürlich völlig Recht. Genau so sieht das in der Industrie aus. Aber ich habe mir noch nie einen schönen Rant voller gerechtem Zorn von Fakten oder der Realität kaputtmachen lassen!1!!Beispiele:
- Vor vielen Jahren hab ich in einem Projekt man ein Tool zum Config Backup (rancid) aufgesetzt und mit einem Tool zum Config Audit (nipper, war damals noch OpenSource) verheiratet.. Dazu noch ein wenig Shell und es gab eine mehr oder weniger schöne Webseite mit einem Report. Das ganze für einen Laden eine hohe zweistellige Anzahl von Cisco "Firewalls" speziell für site-2-site VPNs im Einsatz hatte. Musste ich wieder abstellen weil zu viel Rot. Und Updates wären zu viel Arbeit. Gut, wahrscheinlich waren viele der Verwundbarkeiten überhaupt nicht relevant für den Einsatzzweck, aber für die Security eines Outsourcing Ladens ist das schon eine komische Einstellung.
Der Laden nahm ITIL sehr ernst und als es ein Ticket zu "die CheckPoint braucht mal dringend Updates und vor allem mehr RAM" für die interne Firewall gab wurde das wegen eines zu hohen Risikos abgelehnt. Ein paar Tage später ist sie dann ausgefallen und es konnte gar nicht schnell genug gehen bis sie wieder ging.
- Vor etwas weniger Jahren hab ich mich mal um das Netz eines Kunden gekümmert. Inkl. BGP zur Außenwelt. Einer der großen Hersteller (IIRC Juniper) hatte einen Bug in der BGP Implementierung. $Carrier schickte eine Mail das sie ganz dringend Updates machen. Das Update erforderte einen Reboot. Nur: Die BGP Session stand noch 2 Wochen danach. Dann gab es Tagsüber einen kurzen Schluckauf. Wahrscheinlich hat irgendwer im Internet mal die passenden Pakete an den Router geschickt und das Teil hat rebootet. Da das nicht noch mal passiert ist, gehe ich davon aus, dass mit dem Reboot auch die neue Softwareversion hoch kam.
- Vor noch weniger Jahren hab ich für einen anderen Kunden Netzkram gemacht. Da lieft mir in irgendeinem IRC Channel ein Hinweis zu einem Cisco Bug über den Weg. Betraf alle der Hauptswitche im Office. Habs abgestellt, den Kollegen von der Security und den Netzwerkern am anderen Standort den Link geschickt. Die Security fand das cool das einer mitdenkt und hat sich bedankt. Von den Kollegen am anderen Standort gab es 2 Wochen später eine Reaktion. Da haben sie von dem Problem bei Heise gelesen und musst mich ganz dringend auf den Bug hinweisen.
- Und dann war da noch der Laden mit dem Cisco WLAN Controller der das WLAN absichern sollte. Also eigentlich eine Kiste zum Management von Accesspoints. Sowas will man in einer großen Umgebung haben und die Dinger funktionieren im Normalfall sogar. Der Fall war nicht normal, weil die viele tausende Euro Appliance hing einfach so im Rack. Ohne Netzwerkkabel und vor allem ohne Strom.
- Cisco hatte da mal eine ganze tolle Management Software. Da konnte man dann u.A. zu allen IOS Versionen im Netz die passenden Bugs raus suchen. Mir hat das Teil beim Kunden immer was davon erzählt, dass es keine Bugs gibt. Bis ich dann mal mit tcpdump / Wireshark geschaut habe. Das Tool rief eine Webseite von Cisco auf (http!) und bekam einen 404 zurück.
Ich glaube übrigens nicht, dass die Software bei anderen Herstellen besser ist. Von den anderen hört man nur weniger. IIRC hab ich auch noch nie einen anderen Hersteller gesehen der selbst Bugs auf Security Mailinglisten veröffentlicht.
Und den Norden finden die wahrscheinlich mit einer Weiche, die sie mit sich rumschleppen?
AKK verabschiedet Flinten-Uschi mit diesen Worten:
Heute Abend dürfen wir Dir die Ehre erweisen für das, was Du für die Bundeswehr und unser Land geleistet hast.Genau mein Humor! :-)
Der Lacher ist ja, dass keiner von deren Kunden dazulernt. Die werden auch in 10 und in 100 Jahren noch Cisco-Produkte einsetzen, und sich wundern, wieso sie so hohe Personalkosten für das ständige Nachpflegen haben, und wieso keines ihrer vielen Cisco-Security-Produkte verhindert hat, dass sie gehackt wurden.
Ich finde das aus mehrfacher Sicht irritierend. Erstens: Wer bestimmt denn bitte, welche Rollenbilder überaltert sind, wenn nicht diese Altersgruppe?
Und: Bisher war das ja immer: Die Jungen sagen, dieses Verhalten hier ist total ungleichberechtigend, und ihr Alten müsst euch jetzt mal anpassen. Das klang ja so, als hätten die selbsterannten Gesellschafts-Ingenieure aus den Sozialwissenschaften für ihren Kreuzzug gegen die Alten den Rückhalt bei den Jungen. Jetzt sieht es ja eher so aus, als hätten sie auch dort keinen Rückhalt.
Äh … wieso nimmt die dann überhaupt irgendwer ernst? Ich schlage vor, einfach nicht mehr über die zu berichten. Mir hat sich ja noch nie erschlossen, wieso "der da hinten findet, du solltest dich anders verhalten" jemals irgendjemand für eine Meldung gehalten hat, die mich in irgendeiner Art und Weise interessieren könnte. Ja, äh, und? Ich mag dessen Verhalten auch nicht. Wenn er rumrennt und anderen Leuten Vorschriften machen zu dürfen glaubt. Und jetzt?
Das finde ich ja beruhigend, muss ich sagen. Eine Gesellschaft, die eine Minderheit mit dem Vorschlaghammer willkürliche Regeln aufstellen lässt, was jetzt erlaubt sein soll und was nicht, die war schon immer zum Scheitern verurteilt. Das muss ein Konsens sein, sonst wird das eh nichts. Und wenn man es mit Gewalt erzwingt, erzeugt man bloß lauter unzufriedene Menschen, das kann es ja wohl auch nicht sein.
Jetzt kommt raus: Russland hat mit beunruhigendem Timing mehrere Messstationen abgeschaltet, die da sind, um Verstöße gegen den Atomwaffentest-Sperrvertrag zu detektieren. Die Organisation, die die Einhaltung des Vertrages prüfen soll, wird langsam nervös.
Und ich glaube, mit "KI" sehen wir gerade einen ähnlichen Effekt. KI treibt im Moment die Compute-Power und ich würde sagen, dass wir ohne KI keine Prozessoren mit 64 Kernen und 128 Threads gekriegt hätten. Da gab es schlicht keine sinnvollen Anwendungen für. Und wenn dann in winzigen Nischen, die man ordentlich zur Ader lassen konnte als Chiphersteller.
Der Hauptbahnhof ist offenbar eh nach BER-Qualitätssicherungsstandards gebaut worden. Er hat zwei Bahn-Ebenen, die sich kreuzen, und die oben liegt in einer großen Kurve. Da sollten jetzt Konstruktionen eingebaut werden, die die entstehenden Kräfte der Züge auffangen und ableiten, um die Schienen zu entlasten. Das hat man dann aus Zeitgründen schlicht … weggelassen. Der Bahnhof sollte zur WM fertig werden und so.
Und jetzt wollen sie das fixen. Aber stellt sich raus: Ist alles gar nicht so einfach, dass man das mal eben reinflutscht und fertig ist die Laube.
Aus Zeitmangel wurde damals keine "Fük" entwickelt, die für Kurven tauglich ist. Es wurden die Standard-Fugen für gerade Gleise eingebaut - die gingen schnell kaputt.Ja super! Und jetzt haben sie immer noch keine geeigneten Fugen sondern wollen wieder nur ein Provisorium reinpfriemeln. Das wird dann "wissenschaftlich beobachtet" und dann baut man aufgrund der so gewonnenen Erkenntnisse die richtigen Fugen. Oder so.
Das sind aber jedesmal Großumbauten, die den Bahnverkehr monatelang zum Erliegen bringen werden.
Ganz großes Kino!
Ich muss spontan an die Meldung vor einer Weile denken, dass die Bahn die Infrastruktur-Reparaturkosten zahlen muss — außer das ist alles so krass im Arsch, dass man praktisch nur noch abreißen und neumachen kann. Dann springt der Bund ein. Und völlig überraschend kam dann heraus, dass die Bahn halt die Reparaturen solange hinauszögert, bis der Bund einspringt. Das merken die NIE!!1!
New hotness: Eltern beklagen schlechte Deutschkenntnisse der Lehrer.
Wait, what?!
Die Meldung handelt von einer Schule, die offenbar so im Eimer ist, dass jetzt schon die Sozialarbeiter hingeworfen haben. Klingt nach einem Meisterstück rot-grüner Bildungspolitik. Nicht dass die CDU sich in Sachen Bildungspolitik in Berlin (oder wahrscheinlich anderswo) groß mit Ruhm bekleckert hätte.
Sie hat eine Desinformationskampagne gestartet, um die Demonstranten als vom Ausland gesteuerte Rowdys zu diffamieren. Die Proteste diskreditiert sie als Versuch der USA, das Land zu destabilisieren. Am Wochenende hat Chinas Staatsfernsehen ein Gedicht des Theologen Martin Niemöller umgedichtet und die Proteste damit indirekt mit den Verbrechen von Nazideutschland gleichgesetzt. Die staatliche Nachrichtenagentur vergleicht die Demonstranten mit Kakerlaken - und das Volk stimmt grölend zu.Die Festland-Chinesen sind offenbar mehrheitlich dafür, härter gegen die Hongkonger Demonstranten vorzugehen.
Viele Festlandchinesen empfinden die Forderungen der Hongkonger nach mehr Freiheit und Demokratie nicht als einen Angriff auf den alleinigen Machtanspruch der Partei, sondern auf sich selbst. Die KP hat es geschafft, die eigene Herrschaft mit dem Schicksal des Landes untrennbar zu verknüpfen.Ui.
Was heißt das konkret?
Außerdem soll in der Behörde eine "Zentralstelle zur Bekämpfung von Hasskriminalität" eingerichtet werden.Ich habe gerade 9/11-Dejavu. Als das passierte, saß ich mit Kumpels in einem Raum und wir guckten uns an und waren uns sofort einig, dass das jetzt der Vorwand für eine metrische Tonne an neuen staatlichen Überwachungs- und Unterdrückungsmechanismen sein wird. So ähnlich ging mir das, als ich von dem Mord an Walter Lübcke hörte.
Manchmal hätte ich gerne auch mal Unrecht mit solchen Voraussagen.
Im Bezug auf die Hasskriminalität im Internet plant das BKA, eine "nationale Stelle zur konsequenten Bekämpfung" einzuführen. Ziel soll es sein, durch verstärkte Internetbeobachtung und den Kontakt zu Providern und Sozialen Netzwerken die Urheber von Hass- und Drohbotschaften schneller identifizieren zu können."Verstärkte Internetbeobachtung" ist ja mal ein toller Euphemismus!
Dafür seien möglicherweise längere Speicherfristen bei der sogenannten Vorratsdatenspeicherung notwendig sowie ein Straftatbestand, der das "Erstellen und Verbreiten von sogenannten 'Feindes- und Todeslisten'“ erfasst.Oh ach so! Wir brauchen jetzt für die Bekämpfung des Rechtsextremismus die Vorratsdatenspeicherung!1!! Ja nee, klar. Komisch, für die Bekämpfung des Linksextremismus all die Jahre habt ihr das nicht gebraucht. Ist ja merkwürdig.
Maaßen so: … (irgendwas belangloses)
Das ist schon ein trauriges Spektakel, wenn sich zwei abgehalfterte Klepper auf dem Weg zum Abdecker dadurch zu profilieren suchen, dass sie sich an jemand anderem abarbeiten, den sie für noch unbeliebter halten als sich selbst. Inhaltlich würde ich das begrüßen, wenn die CDU Maaßen rausschmeißt. Dann ist sie im Osten endlich unter 5%, da wo sie hingehört. Entsprechend begeistert sind CDUler aus Sachsen über den Vorstoß. All die Jahre des Herumlügens an die Liberalen, dass die CDU ja eine liberale Volkspartei seien, und all die Jahre des Lügens an die Rechten, dass die CDU ja für Recht und Ordnung stehe, und dann kommt diese Flachzange von AKK und macht das kaputt, nur um ihre eigene Karriere nochmal kurz zu reanimieren. Und merkt nicht mal, was sie gerade alles zertrampelt!
Diese CDU ist echt wie ein George-Romero-Film. Wandelte Leichen, wo man hinschaut.
Und noch geiler ist ja die SPD, die jetzt ernsthaft eine Debatte führt, wer SPD-Chef sein soll. Als ob die Partei noch in der Wahrnehmung der Bürger eine Rolle spielte! Komm, wir tun einfach so, als seien wir noch im Rennen! Ob die da eine "Eddie the Eagle"-Nummer versuchen? Wenn wir schon keine Rolle spielen, dann sollten wir wenigstens den Mitleids-Popularitätspreis kriegen!!1!
Früher waren die Parteien auch nicht besser, aber sie haben wenigstens gewissenhaft so getan.
Ein Glück, dass bei UNS Kernkraft SICHER ist!1!!
Sicherheitsforscher des Fraunhofer-Instituts für Sichere Informationstechnologie in Darmstadt haben in diesen VoIP-Telefonen insgesamt 40 teils gravierende Schwachstellen gefunden.Spoiler: Die Komplexität dieser Protokolle ist viel zu hoch.
Update: Einige Leser beklagen sich, dass die Lücken alle total triviale Anfängerfehler in deren Web-Komponenten sind. Niemand fand das ein schlechtes Zeichen, dass ein Telefon einen Webserver braucht.
Dasselbe wie ich?
To be clear, the issue is not with the ethereum code used as a basis for the platform. The encryption used in the Moscow system, the researcher said, is a variant of ElGamal and uses keys that are “less than 256 bits long.”Zum Vergleich: In den 90ern, als man GnuPG mit ElGamal machte, weil elliptische Kurven noch als Teufelszeug der NSA galten, da war das untere Limit 768 Bits. Weniger hat einen GnuPG gar nicht eingeben lassen.Die Moskauer Gruppe hinter dem Protokoll sagt jetzt, das sei bloß die Testphase gewesen und in der echten Wahl wollen sie 1024 Bit machen. Finde ich wenig überzeugend.
Ich fand ja Bluetooth immer sympathisch, weil es nicht routing-fähig ist. Es gibt ein natürliches Limit auf die Entfernung, aus der man angegriffen werden kann. Das ist schonmal deutlich besser als, sagen wir, IP über WLAN.
Allerdings kann ein Angreifer den Schlüsselaustausch auf 1 Byte Entropie heruntermanipulieren. Damit ist Bluetooth-Sicherheit kaputt. Das ist auch kein "wir implementieren nur die halbe Spec, um Geld zu sparen"-Ding. Die Spec ist schon kaputt.
“I also get a little bit annoyed when we have people in those sorts of countries pointing the finger at Australia and say we should be shutting down all our resources sector so that, you know, they will continue to survive,” he said.“They will continue to survive, there’s no question they’ll continue to survive and they’ll continue to survive on large aid assistance from Australia.
“They’ll continue to survive because many of their workers come here and pick our fruit, pick our fruit grown with hard Australian enterprise and endeavour and we welcome them and we always will.
Wow. The good people of Australia. Selected by the finest of English judges!Was meint ihr, wird es dieses Jahr noch ein größeres Arschloch geben?
Übersetzt heißt dies, dass der Verfassungsschutz künftig auch journalistische Redaktionen mit Staatstrojanern ausspähen dürfen soll. Man kann dies aber nicht lesen, ohne dass der gesamte Schreibtisch übersät ist mit aufgeschlagenen weiteren Gesetzen.Absichtlich, versteht sich. Wenn die Bürger die Gesetzesentwürfe nicht verstehen, dann protestieren sie auch nicht. Also lässt Seehofer verklausulieren.
Ich wünsch dem ja, dass er über irgendein verklausuliertes Bullshit-Ermächtigungsgesetz seiner Vorgänger oder Nachfolger stürzt und dann jahrelang in den Knast muss. Ja wie, Herr Seehofer, haben Sie etwa die Gesetze nicht verstanden?!
Wie wäre es mit einer obskuren Steuervorschrift?
Schlimmer: Jemand schreibt einen 175-Seiten-Report über deine Finanzen.
Noch schlimmer: Der Report geht an die Finanzaufsicht.
Richtig doll schlimm: Der Typ war der Bernie-Madoff-Whistleblower und er bezeichnet deine Buchhaltung als "schlimmeren Beschiss als bei Enron".
Willkommen bei General Electric!
Das Abebben des Golfstroms kommt gerade 50-100 Jahre schneller als die Modelle vorhergesagt haben.
New hotness: Inkompetente Idioten leaken eure Biometriedaten. Alle mal … oh, warte.
Die Experten konnten sich nach eigenen Angaben ohne große Mühen Zugang zu 27,8 Millionen Einträgen verschaffen, die 23 Gigabyte an Daten ausmachten. Darunter waren neben unverschlüsselten Profilinformationen wie Nutzernamen und Passwörtern über eine Million Fingerabdrücke sowie eine ungenannte Zahl an Gesichtsbildern.Ich bin ja immer wieder erstaunt, dass wir noch nichts von verloren gegangenen Daten aus den Meldeämtern gehört haben. Die sind in der Vergangenheit eher durch das Gegenteil von Datenschutz aufgefallen, als sie eure Anschriften an die Werbemafia verkauften oder an die Fernsehgebühren-Inkassobehörden weitergegeben haben. Das kann mir doch keiner erzählen, dass die bei den Biometriedaten nicht mindestens genau so freizügig sind.
Heute so: Kaspersky-Schlangenöl injected Javascript-Nachladen von ihren Servern in Russland in alle Webseiten.
Der Admin dieser Server sieht damit alle URLs aller User, inklusive URL-Parametern (mit denen bei SSL-Seiten wie Online-Banking gerne weniger besorgt umgegangen wird, weil das ja hinter SSL ist, und SSL soll uns ja gerade davor schützen, dass das auslesbar ist). Ist auch normalerweise nicht auslesbar, außer man hat ein Schlangenöl installiert, das das SSL rechnerweit unsicher macht. Wie bei Kaspersky.
Microsoft and Symantec have identified an issue that occurs when a device is running any Symantec or Norton antivirus program and installs updates for Windows that are signed with SHA-2 certificates only. The Windows updates are blocked or deleted by the antivirus program during installation, which may then cause Windows to stop working or fail to start.Mit anderen Worten: Norton kann SHA-2 nicht und lässt nur Updates mit alten und bekannt kaputten Hash-Verfahren durch. Wegen der Sicherheit, nehme ich an.Noch krasser als dass Leute sowas einsetzen finde ich ja immer, dass Leute für Leistung dieses Kalibers auch noch Geld ausgegeben haben.
Wir tun hier immer so, als sei das bloß der fiese Salvini, der die Flüchtlinge auf dem Schiff absaufen oder verhungern lassen möchte. Glaubt doch mal gar nicht, dass das in den "zivilisierteren" EU-Ländern anders aussähe, wenn da schon so viele Flüchtlinge angeklopft hätten wie in Italien.
Deutschland hat sich mit Regelungen wie "wenn die über Griechenland einreisen, dann schieben wir sie zurück nach Griechenland ab" aus der Affäre gezogen. Wenn die Schiffe mit den Flüchtlingen in Hamburg aufschlügen, weil sie auf dem Weg sonst nirgendwo landen durften, dann gäbe es kein sicheres Drittland, über das die eingereist wären, und unsere Taschenspielertricks wären wirkungslos. Da könnt ihr mal einen drauf lassen, dass dann auch in Hamburg ganz schnell die Stimmung kippt.
Was hat er so gefunden? Nun, wie man das erwarten würde:
Firstly, there is no access control whatsoever! Any application, any user - even sandboxed processes - can connect to any CTF session. Clients are expected to report their thread id, process id and HWND, but there is no authentication involved and you can simply lie.
Secondly, there is nothing stopping you pretending to be a CTF service and getting other applications - even privileged applications - to connect to you.
Even when working as intended, CTF could allow escaping from sandboxes and escalating privileges.
Die typischen Zeichen von "nachgerüsteter Security". Ja gut, Cheffe, das Originaldesign war massiv verkackt, aber guck mal, wir kleben da jetzt ein bisschen Warnschilder ran und dann empfehlen wir den Benutzern Schlangenöl und dann wird alles gut!It will come as no surprise that this complex, obscure, legacy protocol is full of memory corruption vulnerabilities. Many of the COM objects simply trust you to marshal pointers across the ALPC port, and there is minimal bounds checking or integer overflow checking.Ah, die gute alte "das Design ist so komplex und verkackt, soweit kommen die Angreifer bestimmt nie"-Verteidigung!1!!Wer sich jetzt denkt: Ach naja, wer hat schon privilegierte Prozesse am Laufen, die man so hacken könnte? Für den habe ich schlechte Nachrichten: Du. Der Login/Lock-Screen. Der benutzt auch dieses Framework.
Jetzt kam die Antwort der EZB und die pullen da ernsthaft einen De Maiziere! Oder eigentlich eher so einen De Maiziere.
Sie argumentieren grob, dass das Programm den Markt nicht beeinträchtigen soll, und wenn sie jetzt sagen würden, wie ihre Investmententscheidungen aussehen, dann könnten fiese Spekulanten das ausnutzen und den Markt verzerren und damit das Programm kaputtmachen.
Nun will sich Gaby Weber im Gegensatz zur deutschen Presse mit solchen fadenscheinigen Ausreden nicht abspeisen lassen und sammelt jetzt Spenden, damit sie vor das Bundesverwaltungsgericht oder den EugH gehen kann.
Ich persönlich finde die Begründung unbefriedigend, denn der Markt wird natürlich schon durch den EZB-Kauf verzerrt, nicht erst durch Bekanntwerden des Entscheidungsweges. Ich bin ja immer wieder fasziniert über die Bullshit-Euphemismen bei Ökonomen, die bei Umweltschutzauflagen von Marktverzerrung sprechen, aber bei staatlichen Stützkäufen von Liquiditätssicherung und Marktstabilisierung.
Ich finde das nicht von der Hand zu weisen. Die Story oben handelt von einem "Field Test" für Kokain. Und der funktioniert auch genau wie gewünscht (nach dieser Theorie):
We profiled innocent Georgians also wrongly arrested for common items found in their car. Breath mints… cotton candy… vitamins. It took months before the GBI crime lab results came back proving they were innocent. Each time they tried to explain to authorities the test kit was wrong.In diesem Fall hören wir überhaupt nur davon, weil der schwarze Jugendliche ein bekannter Football-Quarterback ist. Daher war der Fall High Profile genug, dass das Lab nicht Monate sondern nur eine Woche brauchte für den Nachtest, und der ergab wenig überraschend, dass der Mann völlig Recht hatte, dass das kein Kokain sondern Vogelscheiße auf seiner Motorhaube war.Wieso würde die Polizei so einen kaputten Test weiter verwenden? Weil das eine andere Abteilung macht. Die Polizei wird nach Verhaftungen beurteilt. Wieso würden die dann also ein Tool auswechseln, weil es ihnen zu viele Verhaftungen ermöglicht?
CVE-2019-9511 “Data Dribble”: The attacker requests a large amount of data from a specified resource over multiple streams. They manipulate window size and stream priority to force the server to queue the data in 1-byte chunks. Depending on how efficiently this data is queued, this can consume excess CPU, memory, or both, potentially leading to a denial of service.CVE-2019-9513 “Resource Loop”: The attacker creates multiple request streams and continually shuffles the priority of the streams in a way that causes substantial churn to the priority tree. This can consume excess CPU, potentially leading to a denial of service.
Und noch ein Haufen dieser Art mehr. Welcher Vollpfosten hat sich denn bitte gedacht, dass es eine gute Idee ist, in einem Protokoll der anderen Seite diese Art von Freiheiten einzuräumen?! Das Protokoll ist schlicht ein Clusterfuck, und die einzige Implementation, die ich überhaupt erwägen würde, ist eine großflächig lobotomierte.Dass HTTP/2 jetzt Header-Kompression kann, löst ein Problem, dass wir uns völlig ohne Not selbst zugefügt haben. Niemand hat uns gezwungen, dass eine typische Webseite Hunderte von Requests lostreten muss. Mein Blog löst üblicherweise drei Requests aus. Und niemand hat uns gezwungen, so viele Cookies zu setzen, dass das ein Problem wird.
Das mit dem Multiplexing ist, wie ich hier schon ausführte, aus meiner Sicht eher ein Nachteil als ein Vorteil. Wenn die Leitung Paketverlust hat und stockt, dann bleibt bei HTTP/2 alles stehen, während bei HTTP/1 nur irgendein Inline-Bild stockt.
Und Pipelining geht auch in HTTP/1. Es trauen sich nur die meisten nicht zu benutzen, weil es da draußen angeblich irgendwelche kaputten Server gibt, die das nicht können. Ja, äh, na und? Die benutzt man dann halt nicht.
Ich weiß gar nicht, welche Variante ich witziger finde. Dass die Software kaputt ist oder dass sie nicht kaputt ist.
Die Gerüchtelage ist, dass sie eine nuklear angetriebene Cruise Missile getestet haben und ihnen das um die Ohren geflogen ist.
Dann werdet ihr hierüber schmunzeln :-)
Ein Security-Forscher hat sich "NULL" geholt. For the lulz. Dachte, das verwirrt möglicherweise die Computer bei den Behörden.
Hat es auch, aber nicht so, wie er gehofft hatte. Jetzt kriegt er die ganzen unzustellbaren Knöllchen.
SQL is hard. Let's go shopping!
Das finde ich ja fast noch krasser als Provokateure hinschicken. Dann traust du als Demo-Teilnehmer doch erst Recht niemandem mehr, der da mit dir protestiert!
Das war doch keine ungenehmigte Müllverklappung im öffentlichen Raum, Her Wachtmeister, das war eine Papierspende an die Öffentlichkeit!!1!
Das ist ja schon echt unglaublich, aber kommt noch besser. Wenn man den Namen des "Spenders" googelt, findet man diese New-York-Times-Artikel über deren Recherche in die Finanzen der Alt-Right.
There is another curious Russian common denominator: Six of Sweden’s alt-right sites have drawn advertising revenue from a network of online auto-parts stores based in Germany and owned by four businessmen from Russia and Ukraine, three of whom have adopted German-sounding surnames.The ads were first noticed by the Swedish newspaper Dagens Nyheter, which discovered that while they appeared to be for a variety of outlets, all traced back to the same Berlin address and were owned by a parent company, Autodoc GmbH.
The Times found that the company had also placed ads on anti-Semitic and other extremist sites in Germany, Hungary, Austria and elsewhere in Europe.
“Saturday, August 10, 2019, at approximately 6.30am, inmate Jeffrey Edward Epstein was found unresponsive in his cell … subsequently pronounced dead by hospital staff,” reads a statement from the Metropolitan Correctional Center where Epstein, 66, had been held without bail since his arrest on 6 July on charges of sex trafficking girls as young as 14. […]Epstein’s circle of friends and acquaintances has included Donald Trump; Bill Clinton; Prince Andrew; Leslie Wexner, founder of the company that owns the Victoria’s Secret lingerie brand; and many other prominent names in law, entertainment and politics.
Herzversagen?Wer das für realistisch hält, dass sich jemand so wichtiges im Knast umbringt, der sei daran erinnert, was die Amis mit Chelsey Manning gemacht haben. Die haben schlicht behauptet, die sei möglicherweise selbstmordgefährdet, und damit haben sie dann Isolationshaft, Schlafentzug durch Dauerbeleuchtung der Zelle und anderes begründet.
Trotz der Diskussion um mehr Klimaschutz sind die deutschen Parlamentarier im vergangenen Jahr öfter ins Flugzeug gestiegen. Ausgerechnet die Grünen kommen in der Flugbilanz schlecht weg.
New hotness: US Air Force zieht ein Viertel ihrer C-130 Hercules-Flotte wegen "atypical cracking" aus dem Verkehr.
Das sagt mir ja, dass es auch "typical cracking" gibt, das dann OK ist…!?
Meine Damen und Herren, der Riss auf der rechten Seite ist völlig normal, machen Sie sich keine Sorgen. Achten Sie aber bitte darauf, dass sie während des ganzen Fluges angeschnallt bleiben...
Update: Leserbrief dazu:
zu Deiner Frage mit dem „gibt es außer Atypical Cracking auch Typical Cracking“?
Ja, die gibt es. Im Flugzeugbau werden Risse in Komponenten geduldet, da die Komponenten sonst zu schwer würden. Das geht, weil man nei den Komponenten versteht, in welcher Geschwindigkeit die Risse größer werden. Man kann also z.B. sagen „der Riss ist jetzt 1 cm lang und nach weiteren 1000 Flugstunden sind das dann 5 cm und dann muss das getauscht werden uns solange ist das stabil genug“.Bei der Bahn gibt es sowas nicht, die haben lange Zeit kein „Failure Management“ betrieben, was dann zu dem Radreifenbruch bei Eschede geführt hat, da nicht nach Mikrorissen gesucht wurde und das eigentlich noch hätte halten sollen.
Ich bin ja immer wieder beeindruckt über die Scheuklappen, die sich diese Leute in kürzester Zeit hinbauen. Bestimmt mit agilen Methoden gebaut. Funktionieren prächtig, solange man keine Fragen stellt.
Es gibt einige auffallende Muster. Eines davon: Struktur im Prozess der Softwareentwicklung wird gleichgesetzt mit Struktur in der resultierenden Software. Wenn ihr den Unterschied nicht versteht, dann schreibt mir bitte keine Mails. Dafür ist mir meine Zeit zu schade.
Ein anderes: Google ist der Heiland im agilen Himmel. Hunderte von Projekten haben Dinge "wie Google" gemacht, weil Google ja ganz gut läuft, und für vom Marktführer klauen ist noch niemand bestraft worden. Aber in der Sekunde, wo ein Google-Projekt genau die selben Fail-Symptome zeigt wie eure ganzen Agil-Projekte, da ist das alles vergessen. Es setzt nicht etwa Reflektion ein, sondern ein Beißreflex. Nein nein, Fefe, nicht agile Methoden sind inhärent kacke, nur weil niemand die richtig angewendet kriegt, nicht mal der Marktführer, den alle emulieren!1!!
Mich erinnert das an meinen ersten Code Audit bei Microsoft. Die verwenden natürlich intern auch Exchange und Active Directory und so. Wenn man das anderswo sieht, denkt man sich, die waren bloß zu blöde, das ordentlich aufzusetzen. Und dann geht man zu Microsoft und die sagen einem völlig unironisch, die Replikation des Accounts durch das Active Directory kann schon mal drei Tage dauern. Das ist der Zeitpunkt, wo man als zu eigenständigen Gedanken fähiger Beobachter erkennt, dass es nicht die schlechte Umsetzung überall ist, sondern ein inhärentes Problem mit dem Produkt oder System.
Ich habe im Übrigen nicht behauptet, dass alle agilen Projekte so enden. Das habt ihr da reingelesen. Nicht ganz zu Unrecht, denn die Quote ist in der Tat furchterregend, aber das war nicht meine Behauptung. Ihr müsst mal dringend an eurer Lesekompetenz arbeiten, wenn ihr mir Leserbriefe schreiben wollt.
Er hat den Prozess ausführlich auf Twitter dokumentiert und ein Interview dazu gegeben, wo er noch mehr erklärt.
The Security Audit Working Group managed the audit over a four month time span.OK. Also das ist dann ziemlich katastrophal. Wenn die Auditoren nach vier Monaten Arbeit nur 37 Bugs gefunden haben, bei einem Projekt dieser Größe, dann heißt das im Allgemeinen, dass der Code so komplex und unverständlich war, dass man nicht entscheiden konnte, ob etwas ein Bug ist oder nicht, bis man da eine Woche dran herumgeforscht hat.Leider klingt das auch hier so:
Die Prüfer haben sich allerdings bei der Untersuchung auch nur auf acht Kernkomponenten der Software beschränkt und nur jene Probleme der Implementierung betrachtet, die "offensichtlich falsch" seien. Auch habe der Fokus der Untersuchung eher auf "Breite statt Tiefe" gelegen.Das klingt nach Nebelwand-Jargon für "wir haben nach Bugs gegreppt". Nach Bugs greppen macht man, wenn ein Projekt zu komplex ist, um es in der gegebenen Zeit sinnvoll zu verstehen zu versuchen. Bei vier Monaten Zeit könnt ihr euch ja selbst überlegen, wie krass überkomplex und unterverständlich das Projekt sein muss, damit Auditoren das machen. Der andere Indikator dafür ist "wir haben Fuzzing gemacht".
Die Auditoren kritisieren auch die hohe Komplexität von Kubernetes. Wir erinnern uns: Kubernetes war das Tool, das uns vor der Komplexität von Containern retten sollte. Das ist jetzt selber so komplex, dass es ein Rettungsprojekt braucht.
So wird Kubernetes als System mit "erheblicher Komplexität" bezeichnet. Ebenso seien die Konfiguration und das Deployment nicht trivial. Das wieder liege an "verwirrenden Standardeinstellungen, fehlenden Steuerungselementen und nur implizit definierten Security-Kontrollelementen".Das, meine Damen und Herren, ist das Ergebnis von agilen Methoden in der Softwareentwicklung. Genau das passiert, wenn man ein Projekt agil implementiert. Dann wird solange gefrickelt, bis den Use Case abdeckt, aber die interne Struktur ist Kraut und Rüben, Dokumentation "machen wir später" und sowas wie Codestruktur gibt es nicht oder nur zufällig.[…] So habe die riesige Codebasis große Teile mit nur "minimaler Dokumentation" sowie zahlreiche externe Abhängigkeiten. Außerdem gebe es viele Stellen, an denen bestimmte Programmlogik einfach reimplementiert wird.
Mir ist ja echt schleierhaft, wieso immer noch Leute auf diesen Agil-Hokuspokus reinfallen. Ich hatte gehofft, die Zeit von Wunderheilern und anderem Aberglauben ist vorbei. (Danke, Marian)
Und dazu kommt, dass die Polizei im Allgemeinen auch noch die Datenschutzregeln so zurechtlegen wird, dass sie entscheiden, welche Aufnahmen gezeigt werden.
Lax departmental policies give many officers discretion over when and what to record. Combine that with lopsided privacy protections, which are more focused on protecting officers than the general public, and bodycams begin to look less like a tool to keep cops in line and more like a tool to monitor civilians. We know about Mr. Timpa’s excruciating final minutes only because of a three-year legal campaign by The Dallas Morning News to have the footage released. And that case is not an outlier.Und bei diesen Gedanken sind wir noch gar nicht bei der Frage, ob sie eines Tages (oder jetzt schon?) Gesichtserkennung auf die Aufnahmen laufen lassen und eine Datenbank anlegen.
Wenn hier Englisch-Lehrer mitlesen: Ich würde sogar darüber nachdenken, das mal mit den Schülern im Unterricht zu gucken.
Auf dem Revier leistete er nach bisherigen Ermittlungsergebnissen derart massiven Widerstand, dass ihn teilweise sechs Polizisten festhalten mussten. Die Entnahme einer Blutprobe war unmöglich.Er soll auch um sich gebissen und gespuckt haben, woraufhin sie ihn erneut "fixiert" haben, und dann bekam er Atemnot und starb im Krankenhaus.
Die Obduktion hat "keine konkreten Informationen über die Todesursache" ergeben.
Hey, Peking! Wenn hier jemand eine Währung manipuliert, dann sind wir das!
Oder ist das schon Infrastrukturapokalypse?
Na weil da so Spezialexperten in den Behörden zuständig sind. So Leute, die einen Staatstrojaner für fast eine halbe Million Euro kaufen, den sie dann gar nicht einsetzen dürfen. Gut, klar, hätte man auch vor dem Kauf prüfen können. Aber ist ja "nicht mein Geld".
Ein Kläger hatte an den Bundesfinanzhof eine Begründung fristgemäß versandt, versäumte die Frist aber dennoch, da die Datei beim Bundesfinanzhof nicht eintraf. Der Grund war, dass er Umlaute und Sonderzeichen verwendet hatte, was nicht zulässig ist. Doch das war dem Kläger nicht bekannt. Ebenso wenig wusste er, dass seine Nachricht nicht eingegangen war, denn die BeA-Software hatte die erfolgreiche Zustellung gemeldet.Kannste dir nicht ausdenken, sowas!
Und wisst ihr was? Die Auswirkungen sind jetzt nicht eine fette, monströse, monumentale Strafe für den Hersteller, damit Inkompetenz und das Ausliefern beschissener Scheißsoftware auch die Hersteller mal was kostet. Nein, nein! Der Bundesfinanzhof hat stattdessen geurteilt, dass in so einem Fall dann eine Wiedereinsetzung des Verfahrens zulässig ist.
New hotness: Handelskrieg zwischen Japan und Südkorea.
Na? Wieviel Millionen hat eure Firma schon von Cisco gekriegt für die unsichere Software, die sie euch geliefert haben?