Fragen? Antworten! Siehe auch: Alternativlos
Nehmt nur Barracuda. Die bauen "Email Security Gateways". Allerdings so schlecht, dass die reihenweise gehackt wurden.
Wenn man kurz einhält und sich fragt, was die zentrale Sicherheitszusage eines "Email Security Gateways" ist, dann fällt einem schnell auf, dass es das Netz vor Angriffen schützen soll, das heißt mindestens nicht selber hackbar sein darf.
Nicht nur kann Barracuda keine sicheren Appliances bauen, wie man an diesem Vorfall schön sieht. Sie sind auch nicht in der Lage, das ohne externe Hilfe zu bemerken (es brauchte einen externen Hinweis) oder aufzuklären (sie brauchten die Heißluftgebläse von Mandiant). Und jetzt der neue Rekord: Sie sind auch nicht in der Lage, gehackte Geräte wiederherzustellen.
Barracuda’s remediation recommendation at this time is full replacement of the impacted ESG.Wegschmeißen! Dem kann ich mich nur anschließen. Einem Hersteller, der eine Security Appliance verkauft, die gehackt werden kann, sollten man sofort alle Artefakte aus allen zugreifbaren Netzen rausschmeißen.Aber diese Meldung ist auch in anderer Hinsicht toll. Ein hocharomatisches Geschmackserlebnis für alle Security-Interessierten!
The vulnerability stemmed from incomplete input validation of user supplied .tar files as it pertains to the names of the files contained within the archive.Wenn du Dateien auspackst, um auf Malware zu scannen, hast du im Wesentlichen EINEN JOB: Nicht von komischen Dateinamen im Archiv verarschen lassen.Aber wartet, wir noch krasser.
Consequently, a remote attacker could format file names in a particular manner that would result in remotely executing a system command through Perl's qx operator with the privileges of the Email Security Gateway product.Perl! Der externe Kommandos ausführen darf! Und der auch noch mit den maximalen Zugriffsrechten läuft!Mir fällt gerade kein Weg ein, wie so noch krasser verkacken konnten. Wer von so einem Laden Security-Produkte kauft, hat alles verdient, was ihm danach deswegen zustößt.
Die Modelle "verstehen" nichts und haben auch kein Hintergrundwissen, kennen keine Zusammenhänge, kein Konzept von "Wahrheit". Sie remixen nur, was andere Leute anderswo gesagt haben.
Mein bisher liebster Artikel zu dieser Thematik ist dieser hier von Michal Zalewski. Viel Spaß bei der Lektüre!
You may already be aware of this, but HiCA is injecting arbitrary code/commands into the certificate obtaining process and acme.sh is running them on the client machine.HiCA ist eine chinesische CA, acme.sh ist ein Bourne-Shell-Client für das Letsencrypt-Protokoll.
New hotness: Sushiterrorismus!
A sushi chain is suing a high school student for 67 million yen ($480,000) after social media footage showed him licking his finger then touching a plate of sushi as it passed him on the conveyor belt, Japan’s public broadcaster has reported. [...]The term is used broadly to refer to unhygienic actions at Japan’s sushi train restaurants, where customers pick dishes from conveyor belts.
Nein, nicht für Dienstleistungen dort. Als Schadensersatz.
Die Staatsanwaltschaft Berlin hatte nämlich dieses Großbordell durchsuchen lassen, und als Begründung wilde Stories von Menschenhandel und Rockergangs angegeben, und zur Abrundung noch was von Steuerhinterziehung gemutmaßt.
Für nichts davon haben sie bei der Durchsuchung auch nur den Hauch eines Indizes gefunden. Das war komplett aus dem Arsch gezogen.
Money Quote:
Die Betreiber wollen mit den 250.000 Euro nach eigenen Angaben zunächst die Mitarbeiterinnen für die erlittene Untersuchungshaft entschädigen und den Rest für karitative Zwecke spenden.So schön ist lange keine Behörde mehr öffentlich entblößt worden. Ein paar Hintergründe gibt es bei LTO. Der Artikel dort ist aus dem Januar, als es noch 100.000€ waren.
Stellt sich raus, dass der Hersteller da Credentials hardcodet hatte. Aber natürlich wollten sie das Ausmaß ihres umfassenden Monumentalversagens nicht zugeben, also haben sie den guten Samariter angezeigt, der die Lücke nicht an die Russenmafia verkauft sondern ihnen gemeldet hatte.
So und jetzt das Erdbeben an der Nummer:
Es liege keine Straftat vor, da die Daten, auf die der Sicherheitsexperte im Zuge seiner Untersuchungen Zugriff hatte, nicht effektiv geschützt gewesen sein, so die Richter in Jülich.Ja, klar waren sie das nicht, sonst hätte er sie ja nicht sehen können.
Aber wenn man das einmal so sieht, kann man den Hackerparagraphen nie wieder für das Ausnutzen von Sicherheitslücken anwenden. Wenn der Hack erfolgreich ist, waren ja per Definition die Daten nicht ordentlich geschützt.
Das ist jetzt nur ein kleines Amtsgericht, insodern wird das sicher schnell wieder gekippt, das Urteil.
Ich sehe das ja genau so wie das Amtsgericht. Wenn man das hacken konnte, war es nicht gesichert. Freut mich sehr, dass der Herr Amtsrichter sich da nicht von Branchen-Blablah hat in die Irre führen lassen, und zu Protokoll gab, dass der Kaiser keine Kleidung trägt.
Die haben ja eh das Geldabheben übernommen.
Oder von mir aus ein Zusammenschluss der Supermärkte.
Update: Mehrere Leser merkten an, dass es eine Edeka-Bank gibt. Ich lese das allerdings so, dass das nur für Mitarbeiter von Edeka ist.
Ein Leser schrieb, dass die Idee in England schon umgesetzt wurde: Sainsbury's und Tesco haben eine Bank. Wusste ich nicht!
Die Royal Navy hat einen Quanten-Navigator getestet, weil bei abgetauchten U-Booten GPS nicht so gut geht. Aber wie das funktioniert? Darf er uns nicht sagen.
Ja gut, das ist ja ein Uni-Projekt vom Imperial College in London. Akademische Projekte produzieren Papers. Da findet man doch bestimmt was. In der Tat gibt es sogar ein Youtube-Video. Das ist offenbar "einfach" ein Beschleunigungssensor, wie man das auch im Smartphone hat, aber halt mit Quanten-Technologie und damit in 3d und supergenau.
Erstens: Apple hat ohne große Ankündigung ein DirectX12-Emulationslayer ausgeliefert, wenn ich das richtig verstehe. Damit könnte man dann zumindest theoretisch Windows-Spiele einfach so auf Apple-Hardware spielen. Damit stehen sie natürlich auf den Schultern von Open-Source-Giganten, die auch schon DXVK und co im Angebot haben. Valve hat Millionen in DirectX-Emulation in Wine gesteckt. Da wird sich Apple einfach mal bedient haben.
Erwähnenswert ist das aus zwei Gründen. Erstens haben sie wohl einen großen Patch an Wine zurückgeschickt. Die GPL funktioniert also!
Zweitens sind ja in den M1 und M2-ARM-Geräten angeblich sehr gute GPUs drin, die es mit gehobenen Mittelklasse-GPUs auf PCs aufnehmen können. Konnte man nur nie sinnvoll nutzen, weil es keine erwähnenswerten Spiele für Apple gab. Es könnte also sein, dass die wirtschaftlich eh schon darbenden GPU-Hersteller jetzt auch noch von Apple Stress kriegen.
Die andere Ankündigung war, dass Apple überraschend in Safari plötzlich JPEG XL unterstützt. Ich bin ein Fan von JPEG XL und war sehr ungehalten, als Chrome und Firefox das abgekündigt haben, obwohl das größte Argument gegen die Unterstützung schon vom Tisch war: Dass das viel Arbeit ist. Die war schon getan.
Jetzt habe ich Hoffnung, dass Chrome und Firefox ihre hirnrissige Abkündigung zurücknehmen und wir doch noch alle JPEG XL bekommen.
Satire ist tot.
Update: Man muss ja fast dankbar sein, dass sie nicht noch Rudi Völler und Christian Lindner befragt haben.
Ja! Richtig gelesen! Deutschland wusste von den Anschlagsplänen auf Nord Stream. Und zwar im Juni. Der Anschlag fand dann im September sttt.
The highly specific details, which include numbers of operatives and methods of attack, show that for nearly a year, Western allies have had a basis to suspect Kyiv in the sabotage. That assessment has only strengthened in recent months as German law enforcement investigators uncovered evidence about the bombing that bears striking similarities to what the European service said Ukraine was planning.Ach. Ach was. Na sowas. Aber das haben sie natürlich lieber vor uns geheimgehalten.Klar. Sonst hätten sie ja die Waffenexporte nicht durchführen können, oder die Sondermilliarden für die Bundeswehr locker machen können. So viel Industrieförderung für die darbende Rüstungsindustrie konnte man in Deutschlandschon Jahre lang nicht mehr rechtfertigen.
Mit solchen Freunden braucht man keine Feinde mehr.
Andere Schätzungen, auch von CSU-Landtagsabgeordneten, gehen inzwischen von bis zu 14 Milliarden Euro aus.BER hat am Ende 7 Milliarden gekostet, bei Stuttgart 21 liegen die Schätzungen bei knapp 10 Milliarden.
Ich sage schonmal an, dass niemand in der CSU darin einen Rücktrittsgrund sehen wird. Warum auch. Die CSU kennt sich ja per Definition mit Geld aus und ist gut fürs Land. Fakten wie ihre reelle Performance spielen daher keine Rolle.
Update: Auf vielfachen Wunsch hier die Umrechnung: 14 Milliarden sind 0,7 Fusionskraftwerke.
In Deutschland sind wir da deutlich schlechter aufgestellt. Da gilt das nur für Straftaten, bei denen mehr als ein Jahr Haft zu befürchten ist.
In der Praxis landet daher ständig mittellose Menschen im Knast, weil die sich keinen Anwalt leisten konnten.
Heute so: Staatsschutz ermittelt.
Wie? Nein, nicht gegen den AfD-Polizisten. Gegen den Reporter. Wegen Verdachts auf Linksextremismus.
Der Artikel ist leider bis auf die Überschrift hinter der Paywall. Klick lohnt sich daher nicht.
Ich glaube ja, dass man die Justiz und Polizei retten kann. Erst muss man einmal alle feuern. Dann langsam und mit Bedacht die 3-4 Unbedenklichen wieder einstellen.
Da wissen die Admins, was sie tun, haben sie gesagt!
Hidden within this pull request was a typo bug in the snapshot deletion job which swapped out a call to delete the Azure SQL Database to one that deletes the Azure SQL Server that hosts the database. The conditions under which this code is run are rare and were not well covered by our tests.Dieser Tippfehler hatte eine gewaltige kriminelle Energie, müsst ihr wissen. Der hat sich geschickt in einem selten genommenen Codepfad getarnt!!1!
Wie Michaela Grubesa, Leiterin der SPÖ-Wahlkommission bei einer Pressekonferenz kommunizierte, wurden am Parteitag am Parteitag in Linz die Ergebnisse von Hans Peter Doskozil und Andreas Babler vertauscht [...]Softwarefehler, kann man nichts machen.Grund dafür war laut Grubesa ein "technischer Fehler". Nach dem Auszählen der Delegiertenstimmen habe man die Excel-Tabellen vertauscht und das falsche Ergebnis kommuniziert.
Warum sind die tot? Steht da nicht. Aber anhand der vorgeschlagenen neuen Dimensionen kann man riechen, von wo der Wind weht:
Das neuere DIE-Sicherheitsmodell (Distributed, Immutable, Ephemeral) ist ein Konzept in der Informationssicherheit, das auf die drei Aspekte Verteilung, Unveränderlichkeit und Vergänglichkeit von Daten abzielt.Na? Gemerkt? Hier wird Ergebnis-Kontrolle durch Implementationsdetails ersetzt. Und zwar Cloud-Heini-Implementationsdetails.
Das ist wie wenn du eine Kategorie "Objekt-Orientierte Datenhaltung" einführst. Das bedeutet nichts. Das hilft niemandem. Das ist Verkaufs-Blablah von Cloud-Heinis, die nicht auf die tatsächlichen Auswirkungen ihrer Vorschläge angesprochen werden wollen. Das ist "It's got electrolytes", falls ihr Idiocracy kennt.
Bislang, wenn jemand deine Daten geklaut hat, war die Confidentiality (Vertraulichkeit) beschädigt. das war nicht zu verhandeln. Wenn jemand deine Daten per Ransomware verschlüsselt, war die Availability weg. Wenn jemand deine Daten ändert, war die Integrity futsch.
Die neuen Kategorien geben diese Analyse nicht her. Die lügen dir direkt ins Gesicht, dass es sowas wie "vergängliche Daten" gibt. Gibt es nicht. Daten werden nicht schlecht. Wenn ich die heute auslese, kann ich die morgen, nächste Woche oder in 100 Jahren gegen dich verwenden.
Das neue Modell lügt dir ins Gesicht, dass das für dich als Kunden relevant ist, ob der Dienst die Daten verteilt oder zentral speichert. Spielt überhaupt gar keine Rolle für dich. Für dich ist wichtig, ob jemand unbefugt rankommt.
Was sollen denn die neuen Kategorien dann? Das sind Cloud-Kategorien! Da geht es nicht um Sicherheit, sondern es geht um das Errichten einer Nebelwand. Oh, und natürlich will dir hier jemand was verkaufen. So Golfplatz-mäßig. Habt ihr schon verteilte Datenhaltung?
Immutable kann helfen, wenn es um die Integrität von Daten geht. Wenn es um die Verfügbarkeit oder Vertraulichkeit geht, hilft das nicht. Distributed kann helfen, wenn es um die Verfügbarkeit geht, aber für Integrität tut es nicht viel und für die Vertraulichkeit ist es sogar kontraproduktiv.
Wieso also hier von Zielen auf Implementationsdetails umschwenken? Weil die Leute keinen Bock haben, ihre sinnlosen Schlangenöl-Maßnahmen gegen tatsächliche Auswirkungen bewerten zu lassen. Die Leute wollen lieber "wir haben die Daten verteilt" sagen, als sich auf Diskussionen einzulassen, was dem Kunden das bringt. In praktisch allen Fällen bringt das nämlich gar nichts. Aber man kann sich gegenseitig auf die Schultern klopfen und so tun, als haben hier nicht Geld verbrannt sondern einen Fortschritt erzielt.
Darum geht es hier aus meiner Sicht. Leute haben keinen Bock, ihre Leistung nach Auswirkungen oder anderen konkreten Kriterien bewerten zu lassen. Weil man dann sieht, dass sie nicht nur gar nichts geleistet haben, sondern die Sache sogar schlimmer gemacht haben, weil es jetzt eine Komplexitätsexplosion gab, die in der Zukunft im Weg stehen wird.
Lasst euch also nicht von irgendwelchen Cloud-Heinis verarschen, die euch irgendwelche Modelle reindrücken wollen, die die fundamental in einer Cloud-Umgebung nicht erbringbaren Anforderungen mit Neologismen und Schlangenöl-Bullshit zu übertünchen versuchen.
Besteht weiterhin auf einer Bewertung nach den konkreten Auswirkungen. Lasst euch nicht mit "aber wir haben da drüben eine Komponente immutable gemacht" abspeisen. Wichtig ist, ob eure Daten geklaut werden können oder nicht.
Ein paar Jahre später hat Berlin dann einen fetten Rückkauf gestartet.
Boah diese Berliner, die können ja GAR nichts! Anderswo undenkbar, solche Zustände!1!! Gut, außer in Bayern. Da kauft sogar derselbe Söder die Wohnungen zurück, der sie vorher verkauft hatte.
Nun, der ist natürlich noch nicht vorbei. Die haben bloß ein paar Handbewegungen gemacht, in der Hoffnung, dass die Aufmerksamkeitsspanne der Leute kurz genug ist, dass das schnell in Vergessenheit gerät.
Dennoch zeigten nach Darstellung des ICCT unter der Maßgabe der nun geltenden Einschränkungen gut 85 Prozent der Euro-5- und 77 Prozent der Euro-6-Diesel „verdächtig hohe Emissionen“, wie die Forscher am Donnerstag berichteten. In 40 Prozent der Fälle hätten sich sogar „extreme“ Werte für gesundheitsschädliche Stickoxide (NOx) ergeben.ICCT? Das sind doch bestimmt so ein paar Partisanen, deren Messungen man nicht trauen kann!1!!
Die Zahlen basieren nicht auf eigenen Erhebungen, sondern auf einer großen Testdatenbank sowie Zweitauswertungen zu Abgastests von Behörden und Organisationen, die seit 2016 liefen.
Das Gegenteil ist der Fall. Die Stadt erstickt im Stau.
Ich frage mich ja häufiger, ob Autofahrer einfach ein bisschen blöde sind. Auf dem Land gibt es Ausreden, über die man reden kann. In der Stadt nicht.
Merke: Du stehst nicht im Stau. Du BIST der Stau.
Daraufhin haben oppositionelle Aktivisten die Bibel aus den Schulbibliotheken verbannen lassen, weil da ja auch schlimme Dinge drinstehen.
Das ist jetzt aber nicht so ein krasser Sieg wie man denken würde, weil Utah die Heimat der Mormonen ist, und die haben das Book of Mormon. Daher ist jetzt der nächste Schritt ein Verbotsantrag für das Book of Mormon.
Die Chancen stehen nicht schlecht, denn da kommen u.a. Köpfungen vor.
Dafür hat die Bundesregierung 6,8 Milliarden Subventionen zugesagt. Oder umgerechnet ein Drittel Fusionskraftwerk.
Ergebnis: AI-Controlled Drone Goes Rogue, Kills Human Operator in USAF Simulated Test.
Wartet. Wird noch toller:
The Air Force's Chief of AI Test and Operations said "it killed the operator because that person was keeping it from accomplishing its objective."So viel warnende Hollywood-Filme mit genau dem Szenario kannst du gar nicht drehen, dass irgendwer von diesen ganzen Vollidioten mal den Schuss hören würde. Unglaublich.Update: Die "Simulation" war wohl eher ein Gedankenexperiment. m(
Da der Kunde mit dem Antrag auf eine Kreditkarte/einem Kredit vmtl eine Schufafreigabe unterschrieben hat, wird die Ablehnung des Antrages auch automatisiert an die Schufa weitergeleitet. Der Grund eher nicht.Ja super!D.h. weil es der Bank peinlich ist zuzugeben, das sie gerade die Anträge nicht bearbeiten können bzw. weil sie keinen Prozess dafür haben, geht für die armen Schweine die so behandelt werden der Score runter.
Erinniert mich daran, das Banken, wenn man sich für einen Kredit interessiert, gerne Kreditanfragen anstelle von Konditionsanfragen bei der Schufa stellen. Das ist ein Problem, weil das System eine Kreditanfrage ohne spätere Eintragung des Kredites als Ablehnung interpretiert. Erkundigt man sich also bei mehreren Banken nach den Konditionen kann das im worst case bedeuten das man die versprochenen Konditionen gar nicht mehr bekommt.
Der vorauseilend "hilfsbereite" Banksachbearbeiter eines Freundes hat immer mal wieder Kreditanfragen gestellt (ohne Aufforderung!), weil er ihm einen Kredit aufschwatzen wollte. War ganz schön Auffwand das aus dem Schufaregister wieder rauszubekommen.
Agrochemie-Konzerne haben bei der Zulassung ihrer Produkte wichtige Studien zurückgehalten. Das zeigt eine Untersuchung der Stockholmer Universität, die dem BR vorliegt. Die Studien untersuchen potenzielle Gesundheitsgefahren für Föten und Kinder.Ich weiß! Die Agrochemie-Konzerne waren doch bisher über jeden Zweifel erhaben! Noch nie haben Pestizide irgendwelche negativen Auswirkungen gehabt!!
FunFact zu dem Thema: Wir hatten vor ein paar Monaten das gleiche Problem mit der DKB. Antrag, lange Warten, Ablehnung. Rational gab es da keinen Grund zu.m(Nach vielen Telefonaten und ein paar redseeligen DKB-Mitarbeitern stellte sich raus, dass zumindest zu dem Zeitpunkt viele Anträge einfach aus dem Grund abgelehnt wurden, weil die beauftragte Druckerei nicht hinterherkommt. Vermutlich auch, weil die DKB im letzten Jahr auf die Debit-Karte umgestiegen ist und einmal ihren kompletten Kundenstamm neu ausstatten musste.
Lösung: pauschale Ablehnung. Wenn es wichtig ist: einfach Einspruch einlegen. Das hat bei uns auch ohne Probleme geklappt, gedauert hat es dann dennoch noch Wochen bis die Karte kam. Ein anderes Institut hat uns parallel ohne Murren eine Karte sogar mit höherem Dispo nach wenigen Tagen ausgegeben...
New hotness: Russische Behörden regen sich über Malware aus den USA auf.
Und zwar will der FSB zusammen mit dem FSO (Präsidentenschutz) Apple-spezifische Malware gefunden haben, und behauptet jetzt, Apple habe auf Geheiß der NSA bewusst Lücken eingebaut, damit die NSA darüber Malware verbreiten kann.
Beweise legen sie keine vor.