Fragen? Antworten! Siehe auch: Alternativlos
Stellt sich raus: "Ratten haben das Cannabis gefressen" ist eine übliche Ausrede von Polizeirevieren, bei denen Drogen aus der Asservatenkammer fehlen. Inklusive des humoristischen Weltkulturerbes Sagten wir 200kg? Wir meinten 500kg!!
Eine Plage aus Ratten im Polizeirevier, die das Cannabis aus der Asservatenkammer gefressen haben und jetzt high sind :-)
Endlich sind die Terroristen weg, und man kann wieder sicher Mercedes fahren!
Was meint ihr, hat der "Verfassungs""schutz" noch mehr so Asse im Ärmel? Für falls der Druck zu groß wird, endlich mal etwas gegen den Rechtsextermismus zu unternehmen?
Angeblich sitzen die ja seit Monaten an einem Report, der die ganze AfD als gesichert rechtsextrem deklariert.
Die sind halt sorgsam und ermitteln langsam und stetig! Wie damals bei den Dönermorden! Das sah ja auch eine Weile so aus, als würden sie gar nichts tun!1!!
Mehr als 200.000 Menschen gegen RechtsextremismusDas ist das Gegen-Mem zu "Die Polizei konnte 50 Tonnen Kokain beschlagnahmen. Die 25 Tonnen Kokain sind auf dem Weg zur Asservatenkammer. Die 10 Tonnen Kokain sind angekommen. Alle 5 Tonnen Kokain wurden entgegengenommen." oder wie? :-)Mehr als 150.000 Menschen haben laut Polizei in Berlin gegen Rechtsextremismus protestiert - die Veranstalter sprechen sogar von 300.000 Demonstrierenden.
In Portugal tritt der Regierungschef zurück.
Gut, in Portugal haben die Behörden auch ermittelt. Bei uns lässt lieber ein Amigo Beweismaterial aus der Asservatenkammer verschwinden.
Aber die Clankriminalitätspartei ist natürlich nicht besser. Aktuell:
Eklat im Hamburger Untersuchungsausschuss zur Cum-Ex-Affäre von Kanzler Olaf Scholz: Ausgerechnet der von der SPD berufene Chefermittler versteckt nach stern-Informationen zwei Laptops mit heiklen E-Mails.Ich verstehe ja nicht, wieso die alle an Cum-Ex-Olaf festhalten. Spätestens seit der Habeck-Rede ist doch klar, wer hier tatsächlich der Kanzler ist in dieser Regierung.
Ja aber warte mal, das fällt doch auf, wenn die Beweise plötzlich weg sind? Und der Zugang zu so einem Asservaten-Tresor ist stark beschränkt und wird protokolliert. Das muss denen doch klar gewesen sein, dass ihr Handeln auffliegt?
Er habe "verfügt, dass die Akteneinsicht sowie des Arbeitsstabes mit den Asservaten zunächst ausgesetzt wird", teilt Chefaufklärer Steffen Jänicke den Obleuten im Ausschuss mit.Hahahaha, geil! Das merken die NIE!!1!
War ja vorher schon klar, dass Cum-Ex-Olaf nicht zur Verantwortung gezogen wird. Aber jetzt ist klar, dass dieser Jänicke auch nicht zur Verantwortung gezogen wird.
Der Clan ist halt größer als es auf den ersten Blick aussieht bei der Clankriminalitätspartei.
Update: Ihr AHNT ja nicht, vor wem der Verfassungsschutz im Februar gewarnt hat!1!!
Anfang Oktober stellte Atlassian ein Sicherheitsupdate zur Verfügung. Nun schreibt Microsoft: Chinesische Hacker nutzten die Lücke mit CV-Score 10 bereits seit Mitte September aus.Ich finde das ja schon großartig, dass ausgerechnet Microsoft sich hier aus dem Fenster lehnt, die ja auch absolut traurige Reaktionszeiten auf Sicherheitslücken in ihren Produkten haben.
Mindestens genauso ironisch ist aber Atlassians Vulnerability Management Statement. Geht schon damit los, dass sie von Vulnerability Management reden. Techniker möchten Probleme lösen. Manager möchten Probleme managen. Hier kann man gut sehen, wer bei Atlassian das Sagen hat.
Und natürlich halten sie Sicherheitslücken für Schicksal.
Atlassian recognizes that, at some level, security vulnerabilities are an inherent part of any software development process.Das ist wie Gewitter. Kann man nichts machen!1!!Die ganze Seite ist der Brüller. Das sind alles so "oh mein Gott wie stehen mit heruntergelassenen Hosen auf der grünen Wiese, wir sollten schnellstens irgendwas machen!!!" Ansätze. Wir lassen Tools laufen. Wir machen Asset Discovery. (Ich kann ja niemanden ernst nehmen, der Assets in seinem Produkt discovern muss). Wir machen Host Scans!! Wir machen Container Image Scans!!! Wir machen Open Source Dependency Scans!!!!
Das ist alles eine Bankrotterklärung sondergleichen. Software wird nicht durch Scanning sicher. Software wird durch gezielte Konstruktion mit Security als Ziel sicher.
Oh und sie haben ein Bug Bounty-Programm, natürlich. Sie haben gemerkt, dass alle ihre Maßnahmen sinnloses Theater sind, und haben keine Ideen, wie man was besser machen könnte, also crowdsourcen wir das Problem am besten!!
Ganz traurig.
OpenSSL hat eine Funktion namens OPENSSL_cleanse(ptr,len). Das ruft man auf Buffer auf, die gleich out of scope gehen, damit kein Schlüsselmaterial im Speicher rumliegt. Smarte Defense-in-Depth-Maßnahme. Inhaltlich ist das bloß ein memset(ptr,0,len).
Vor ein paar Jahren fiel auf, dass Compiler unter anderem die Funktion haben, sogenannte Dead Stores wegzuoptimieren. Das hier ist z.B. ein dead store:
void foo() {
int i;
for (i=0; i<5; ++i) {
puts("huhu");
}
i=0; /* Hat keine Auswirkungen, kann weg */
}In welchem Kontext benutzt man jetzt OPENSSL_cleanse? In so einem hier:char key[128]; [...] OPENSSL_cleanse(key,sizeof(key)); return 0; }Wenn der Compiler versteht, dass OPENSSL_cleanse keine Seiteneffekte hat außer key zu überschreiben, dann ist das ein klarer Fall für die Dead Store Elimination. Ähnlich sieht es mit einem memset() vor einem free() aus.
Das ist vor ein paar Jahren aufgefallen, dass Compiler das nicht nur tun können sondern sogar in der Praxis wirklich tun. Plötzlich lagen im Speicher von Programmen Keymaterial herum. Also musste eine Strategie her, wie man den Compiler dazu bringt, das memset nicht wegzuoptimieren. Das ist leider in portablem C nicht so einfach. Hier ist, wie ich das in dietlibc gemacht habe:
1 #include <string.h>
2
3 void explicit_bzero(void* dest,size_t len) {
4 memset(dest,0,len);
5 asm volatile("": : "r"(dest) : "memory");
6 }Das magische asm-Statement sagt dem Compiler, dass der Inline-Assembler-Code (der hier leer ist) lesend auf dest zugreift, was er aber nicht tatsächlich tut. Damit ist der memset kein Dead Store mehr und bleibt drinnen. Leider ist das asm-Statement eine gcc-Erweiterung (die aber auch clang und der Intel-Compiler verstehen).Hier ist die Lösung von OpenSSL:
18 typedef void *(*memset_t)(void *, int, size_t);
19
20 static volatile memset_t memset_func = memset;
21
22 void OPENSSL_cleanse(void *ptr, size_t len)
23 {
24 memset_func(ptr, 0, len);
25 }Die Idee ist, memset nicht direkt aufzurufen sondern über einen Function Pointer. Wenn man den volatile deklariert, dann muss der Compiler annehmen, dass sich der Wert asynchon ändern kann. Kann er aber nicht, weil da nie jemand was anderes als memset reinschreibt. Das kann gcc leider erkennen, weil die Helden von OpenSSL das static volatile deklariert haben, und es damit nur innerhalb dieser Compilation Unit sichtbar ist, und da sind keine anderen Zugriffe. Niemand nimmt auch nur die Adresse davon.Wenn ich das mit einem aktuellen gcc 13.1 übersetze, kommt eine Zeiger-Dereferenzierung heraus. Aber in dem Binary kommt ein ... inline memset raus. Die haben ihr altes OpenSSL mit einem alten gcc gebaut.
Gut, der alte gcc ist nicht schlau genug, dann Calls zu OPENSSL_cleanse wegzuoptimieren, insofern ... Operation erfolgreich?
Ich blogge das hier, damit ihr mal gehört habt, dass es im Umgang mit immer schlauer werdenden Compilern Untiefen gibt, die man möglicherweise intuitiv nicht auf dem Radar hat.
Update: Wenn ihr in eurem Code das Problem habt, könnt ihr explicit_memset nehmen, das setzt sich gerade unter Unix durch, oder explicit_bzero, das kam von den BSDs, oder memset_s unter Windows. Die Situation ist immer noch insgesamtn unbefriedigend.
Update: Mit C23 kriegen wir dann endlich memset_explicit. Ist dasselbe wie explicit_memset. Habe ich gerade mal in dietlibc eingepflegt.
Und wer betreibt diese neue Krypto-Börse? Wieder irgendwelche schmierigen Scammer aus dem Internet? Nein, nein!
These firms join a coalition of founding investors, including Charles Schwab, Citadel Securities, Fidelity Digital AssetsSM, Paradigm, Sequoia Capital, and Virtu Financial.Da fehlen ja nur noch Goldman Sachs und HSBC in der Liste der Old School Bankster! Was meint ihr, haben die über ihre Kumpels bei der FTC dafür gesorgt, dass die Konkurrenz vorher plattgemacht wird?
Die Beurteilung hinterlässt verbrannte Erde. Es funktioniert nicht, zersägt unsere Grundrechte, schafft sinnlos Mehrarbeit in Behörden, sammelt viel zu viele Daten, ist unverhältnismäßig.
Da werden unschöne Erinnerungen an Lehman Brothers wach. Ich fürchte, da wird die Börse Montag eher unentspannt reagieren.
Ob die sich gedacht haben: Hey, die Bankenkurse? Die sind alle schon abgestürzt! Da kann nichts mehr passieren!1!!
Wenn ihr wie ich noch nie von der Silicon Valley Bank gehört habt, und euch jetzt denkt, dass wird so ne Art Ortssparkasse sein von der Größe her: Wikipedia meint:
SVB was the 16th-largest bank in the United States at the time of its failure on March 10, 2023, and was the largest bank by deposits in Silicon Valley.Das ist kein kleines Familienunternehmen! Ist aber auch kein Lehman Brothers.Die krasseste Statistik an der ganzen Nummer fand ich ja, dass die 40 Milliarden (!) Geldabfluss an nur einem Tag hatten. Bei Assets von sowas wie 200 Milliarden.
Tja, man darf halt keine Bank bei Libertären aufmachen, wo jeder nur an seinen pursuit of happiness denkt und keine Sau auch nur einen Gedanken an Solidarität und Zusammenhalt in Krisenzeiten verschwendet.
Update: Oh, die Börsensorgen hatten auch andere! Die versuchen gerade den Laden noch vor Börsenstart wegzuauktionieren. Hinter den Kulissen wird es wahrscheinlich beträchtlichen Druck auf Großbanken geben, die beim letzten Mal gerettet wurden.
Ja die haben sich halt verzockt, denkt man sich vielleicht. Aber nein, das war es nicht. Das Problem ist gar nicht mal so uninteressant.
Banken und Versicherungen dürfen ja mit den Einlagen ihrer Kunden "arbeiten". Aber es gibt strikte Vorgaben des Regulators, wieviel Risiko sie dabei eingehen dürfen.
Einige etwas riskantere Anlageformen sind erlaubt, aber die Hälfte der Anlagen muss in "unriskanten" Anlagen sein, und das heißt normalerweise: Staatsanleihen. Und zwar nicht von Argentinien sondern von den USA, oder bei uns von Deutschland.
So, und jetzt hatten wir eine Weile eine Nullzinsphase. Staatsanleihen aus der Zeit werfen keine Rendite ab. Du weißt nur, dass du den Nennwert zurückkriegst, der Realwert ist dank Inflation gesunken. Ihr könnt euch ja denken, dass das nicht sonderlich populär unter Anlegern ist, außer halt unter solchen, die regulatorisch gezwungen sind, in Anleihen anzulegen.
Aber die Nullzinszeit ist jetzt vorbei. Jetzt gibt es wieder Staatsanleihen, die Rendite abwerfen. Die wird zwar von der Inflation aufgefressen, aber immerhin verliert man jetzt einen kleineren Teil des Werts.
Soweit, so klar. Aber denkt mal weiter. Wenn es jetzt Anleihen mit Rendite gibt, dann will natürlich keiner mehr die Anleihen ohne Rendite haben. Die binden bloß sinnlos Kapital. Entsprechend bricht der Preis von denen gerade weg, und das betrifft einmal alle Banken und Versicherungen, nicht nur die Silicon Valley Bank.
Naja, spielt doch keine Rolle, man kriegt ja wenigstens den Nennwert seines Geldes zurück, denkt ihr euch jetzt. Stimmt, aber was passiert, wenn Kunden Geld abheben? Bei der Silicon Valley Bank sind die Kunden lauter Startups aus der Gegend, denen es gerade generell nicht so gut geht. Die Bank muss dann Assets verkaufen, aber die sind gerade weniger wert. Da entstehen dann Lücken, die man irgendwie füllen muss.
Bei der Silicon Valley Bank haben sie versucht, das durch das Emittieren neuer Aktien für ihre Bank zu füllen, aber wenn du Aktien emittierst, während der Aktienkurs im freien Fall ist, dann heizt das das Problem noch an. Am Ende musste der Handel mit der Aktie der Bank ausgesetzt werden und dann schritt der Regulator ein.
Genau dasselbe kann auch allen anderen Banken passieren, wenn die Kunden Geld abzuheben versuchen. Primärquelle ist Paywall-Wall-Street-Journal aber hier zitiert das jemand und erklärt es.
Dieses Verkaufsgespräch wird in Zukunft deutlich schwieriger zu führen sein, denn es gab jetzt staatliche Einwirkung auf Crypto-Assets. Und zwar hat ein Gericht in Großbritannien ein Unternehmen zum Umprogrammieren eines ihrer Smart Contracts verpflichtet, um gestohlene Gelder zurückzuholen. Die haben das gemacht. Die technischen Details sind dabei durchaus faszinierend.
Noch faszinierender ist aber, was jetzt weiter passiert. Die Blockchain ist jetzt eben kein Garant mehr, dass nicht das Finanzamt oder sonstwer auf anderer Leute Geld zugreift. Der Zoll könnte jetzt Sanktionen durchsetzen. Die Polizei könnte Einnahmen von Drogenhändlern konfiszieren. Da sind mit einem Schlag eine Menge Anwendungen für Cryptocoins weg.
Ein anderer wichtiger Punkt ist, dass das Gericht hier eine Firma verpflichtet hat, das zu tun. Die Firma hätte das also die ganze Zeit schon tun können. Das war glaube ich auch vielen Marktteilnehmern nicht so klar.
Was ist jetzt passiert? Binance und FTX haben jeweils junge Crypto-Bros als Chef. Binance ist der größte Exchange, FTX der zweitgrößte. FTX fing an als Investment von Binance. Irgendwann war dann der Bro hinter FTX auf der Titelseite von Fortune und ließ sich als Crypto-Genie feiern und so weiter, und da haben die beiden erkannt, dass sie Konkurrenten sind, also hat Binance ihren Anteil an FTX verkauft. FTX hatte natürlich nicht das Geld rumliegen, um den nominellen Wert des Anteils auszuzahlen, also haben sie in selbsterfundenen Bullshit-Tokens bezahlt, das FTX intern zum Verrechnen von Transaktionsgebühren eingeführt hat.
Das ist natürlich ein bisschen doof, wenn du in wertlosen Bullshit-Tokens bezahlt wirst, denn du willst die ja in richtiges Geld umwandeln, aber die haben keine Liquidität, d.h. wenn du da erwähnenswerte Mengen von verkaufst, dann bricht der Kurs ein und der Rest, den du hältst, ist nichts mehr wert. Also hat Binance so tröpfelweise verkauft, immer gerade genug angeboten, dass die aktuelle Riege an Bigger Fools das kaufen konnte, ohne den Kurs zum Einsturz zu bringen.
Das änderte sich vor ein paar Tagen, als bekannt wurde, dass der FTX-Bro 8-stellige Wahlkampfspenden an Democrats verteilt hat, die gerade an Kryptoregulierung arbeiten, weil Tether so eine Shitshow ist, und weil so viele Crypto-"Investments" geplatzt sind dieses Jahr. Der FTX-Bro dachte sich wohl, wenn er da vorne im Wagen sitzt, dann kriegt er als erstes seine Lizenz und kann weitermachen und die anderen müssen das ausbaden. Die anderen haben aber alle überhaupt gar keinen Bock auf Kryptoregulierung, weil sie dann nicht mehr so einfach rumscammen könnten. Dann würde ein Regulierer in ihre Bücher gucken wollen, und dann platzt das alles in Minuten.
Als aber rauskam, dass FTX ihnen mit diesem Kryptoregulierungsscheiß in den Rücken dolchen will, hat der Binance-Bro angekündigt, ihre 2 Milliarden FTX-Bullshit-Tokens zu liquidieren. Wenig später ging dann das Geschiebe los. In dem Klima will natürlich niemand dieses Bullshit-Token kaufen, wenn demnächst ein großer Posten verkauft wird und den Preis drückt. Also ging ein Bank Run los.
FTX stand plötzlich mit heruntergelassenen Hosen im Regen auf dem Parkplatz. Hier ist ein Twitter-Thread dazu.
Als nächstes gab es ein Leak der Bilanzen von Alameda Research, das ist der Hedgefonds-Arm von FTX. Da stand drin, dass deren Assets größtenteils in Fantasie-Cryptotokens sind, d.h. nicht existieren. Insbesondere haben die Milliarden von dem Bullshit-Token als Asset, das Binance gerade zu verkaufen angekündigt hatte.
Falls das jemandem bekannt vorkommt: Ja, natürlich, die Crypto-Scammer operieren alle so. Bei Celsius war das auch so, bevor sie dann implodierten, als jemand "der CEO hat keine Kleider an" rief.
Jedenfalls sieht es jetzt so aus, als ob FTX und Alameda sich gegenseitig ihre Schulden zugeschoben haben, und FTX hat dazu offenbar die Einlagen ihrer Kunden benutzt, die ihnen laut ihrer eigenen AGBs gar nicht gehören. Natürlich hat Binance sofort dementiert, dass sie hinter dem Bilanz-Leak stecken.
Verunsicherte Investoren ziehen jetzt natürlich ihr Kapital aus dem Dumpster Fire, so schnell sie können. Besonders betroffen ist Solana, was wie üblich aber eine Plattform für hundert andere Cryptoscam-Startups ist, die jetzt auch alle den Pesthauch der Insolvenz im Nacken haben.
Als nächstes kam dann Binance und bot einen Bailout an, also einen Kauf der rauchenden Insolvenzmasse. Es dauerte keine 24h bevor Binance dann meinte: Oh nee, doch nicht.
Das sieht also alles ganz so aus, als habe Binance über den Hebel der FTX-Bullshit-Tokens eine Nuke unter dem Arsch von dem anderen Crypto-Bro gezündet, vielleicht gar die Bullshit-Tokens überhaupt nur als Zahlung angenommen, um jetzt diesen Hebel zu haben. Macht euch mal keine Illusionen, dass das bei Binance unter der Haube besser aussieht, aber in so einem Kontext sieht natürlich alles besser aus als mit dem FTX-Schiff unterzugehen.
Lacher am Rande: Dieser FTX-Werbespot alterte nicht so gut (Langversion)
Nathaniel Chastain, a former product manager at OpenSea, the largest online non-fungible token (NFT) marketplace, has been arrested and charged by the U.S. Department of Justice (DOJ) with NFT insider trading.Da knallen bestimmt die Korken bei der NFT-Bros. Endlich nimmt sie jemand ernst!1!!This is the first time someone was charged for their involvement in what the DOJ describes as a "Digital Asset Insider Trading Scheme."Und die bezeichnen ihre wertlosen Bullshit-Tokens auch noch als "Digital Asset"! So gute Laune werden die da lange nicht mehr gehabt haben.Was von NFTs als "Asset" zu erwarten ist, hat dieser Fall schön illustriert.
Bei der KI-Forschung gibt es eine Disziplin, die sich mit ethischer KI befasst, aber die ist hauptsächlich Wokeness-Feigenblatt. Eine andere Unterdisziplin geht da düsterer heran und sagt: Nehmen wir mal an, eines Tages baut jemand eine echte künstliche Intelligenz. Nicht nur eine glorifizierte Datenbank mit Gewichten an ihren Records. Eine echte künstliche Intelligenz, die dann ihre Intelligenz darauf anwenden kann, sich selbst zu verbessern, und die uns dann uneinholbar überlegen ist.
Die Experten sind sich nach Lektüre der einschlägigen Scifi-Literatur einig, dass so ein KI Overlord uns alle umbringen wird, weil wir ohne Not den Planeten kaputtmachen und uns sinnlos mit Atomwaffen aufgerüstet haben.
Bei dem wie immer großartigen Scott Alexander gab es jetzt eine Zusammenfassung einer Debatte aus dem Gebiet. Ich fasse mal die Zusammenfassung zusammen.
Der erste vorgeschlagene Lösungsansatz ist: Na dann bauen wir halt keine echte KI. Das funktioniert offensichtlich nicht, denn wir können ja nicht mal die Entwicklung von Landminen und Biowaffen verhindern.
Der nächste Ansatz war: OK, dann bauen wir halt nur "limitierte" KIs. Ein Schachcomputer kann nur über Probleme überhaupt nachdenken, die wie ein Schachproblem aussehen. Schachcomputer haben aber gezeigt, dass die "KI" (keine echte KI!) bei ihnen eine Superintelligenz werden kann, also schlauer als Menschen sein kann, ohne dass unsere Spezies dadurch in Gefahr ist.
Wenn man sich also auf solche "KIs" beschränken würde, dann hätte man das Problem vielleicht gar nicht. Der Ansatz sieht erstmal ganz gut aus, aber so richtig überzeugend ist das halt nicht. Denn wenn du über Superintelligenzen spekulierst, bist du halt schnell bei "Gottes Wege sind unergründlich", denn du musst davon ausgehen, dass die Superintelligenz Dinge tut, die du nicht verstehst, die aber schlauer sind als was du getan hättest. Daraus folgt im Grunde auch, dass du eine Superintelligenz nicht von einer doofen Intelligenz unterscheiden kannst, denn was sie tut erscheint nicht schlau für dich, denn du verstehst es nicht. Du könntest abwarten und beobachten, aber zu dem Zeitpunkt, an dem du erkennst, dass das eine Superintelligenz war, die uns alle umbringen will, ist es dann halt zu spät.
Also war der nächste Lösungsansatz, dass man eine limitierte Superintelligenz-KI damit beauftragt, eine Lösung zu finden. Man könnte die Lösung auch schon vorgeben. Das diskutierte Szenario aus Anschaulichkeitsgründen war, dass die selbstreplizierende KI Nanoroboter bauen soll, die auf einen Schlag alle GPUs auf der Welt zerstören. Grund: Die KI-Berechnungen finden größtenteils auf GPUs statt. Es geht dabei nicht um die Frage, ob das schlau ist, alle GPUs kaputtzumachen, sondern das ist bloß ein Beispiel für eine "pivotal action", also eine Art Abschreckungs-Superwaffe.
OK, soweit zur Vorgeschichte.
Am Rande in dem Artikel ist dann folgende Formulierung:
since then, we've only doubled down on our decision to gate trillions of dollars in untraceable assets behind a security system of "bet you can't solve this really hard math problem".Meine Interpretation von dem Satz war: Er redet von Kryptographie. RSA und Elliptische Kurven sind harte mathematische Probleme, auf die viel Geld geworfen wird, und die unsere Assets schützen.Aber jemand anderes interpretierte das als eine Anspielung auf Bitcoin.
Und das löst in meinem Kopf diese Idee aus, die mich aufgeregt herumhüpfen lässt, so schön finde ich sie als Scifi-Plot:
Jemand hat genau das gemacht. Hat eine KI damit beauftragt, eine Lösung zu finden, die Singularität hinauszuzögern bzw. zu verhindern. Möglichst ohne dabei die Weltwirtschaft zu vernichten.
Die KI heißt Satoshi und ihre Lösung war Bitcoin-Mining. Wenn man den Leuten wirtschaftliche Anreize gibt, ihre GPUs nicht für KI sondern für sinnloses Mining zu verbrennen, dann hat man die Singularität verzögert.
Bitcoin-Mining macht schon länger niemand mehr mit GPUs, aber es sind lauter andere Scam-Coins nachgezogen, die immer noch GPU-Zeit verbrennen.
Was, wenn Cryptocurrencies gar nicht bloß Scam sind, sondern das Überleben der Menschheit sichern? Klar machen sie auf dem Weg den Planet kaputt, aber da kann sich die Spezies raus-techen durch die Entwicklung eines Fusionskraftwerkes oder sowas!1!!
Das erklärt auch, wieso Satoshis Identität geheim bleiben musste. Und so konnte auch Rokos Basilisk abgewehrt werden! (Wenn ihr das nicht kennt, wartet mit dem Googeln mal bis zum Freitag abend, das wird euch ein paar Tage beschäftigen)
Update: Vergesst Roku's Basilisk. Guckt das lieber nicht nach. Ich hätte das nicht erwähnen sollen.
"Eine Weile nichts und dann wird der Sand alle."
So haben wir früher gescherzt. Und was passiert, wenn man in Deutschland Kapitalismus macht?
Erst wird der Sand alle (stellt sich raus: Ist ein gefragter Rohstoff!), dann ist das Holz alle (Achtung: Link geht zur "Bild"), dann wird Altpapier alle.
Wo wir gerade bei Wirtschaftsnachrichten waren: TIL: dead peasants insurance. Angeblich hat Walmart bis 2003 oder so auf ihre Angestellten eine Lebensversicherung abgeschlossen. Die Prämien konnten sie von der Steuer absetzen, und wenn die ausgezahlt hat, war das steuerfrei.
Weitere Wirtschaftsnachrichten: Neues Geschäftsmodell: Update auslassen geht nur mit dem Premium-Abo.
Und noch mehr Wirtschaftsnachrichten: Deutsche Börse und Commerzbank steigen bei NFTs ein.
Gut, das war abzusehen. Oder dachte jemand, die Commerzbank oder die Deutsche Börse hätten schonmal einen Euro gesehen, egal wie abzockerisch man an den ran käme, den sie nicht mochten?
Einen hab ich noch. Ist hier jemand Kunde bei einer Sparkasse oder Volksbank? Die haben offenbar jahrelang einfach die Leitzinsänderungen einfach nicht an ihre Kunden weitergegeben. Die Doku ist von 2019.
Kurzfassung: GnuPG benutzt als Kryptolibrary aus religiösen, äh, Lizenzgründen nicht OpenSSL oder etwas anderes existierendes, sondern "libgcrypt", eine eigene Krypto-Library, die im Allgemeinen langsamer als andere ist und deren API noch übler ist als die von OpenSSL. Ich kenne kein Argument dafür, die gegenüber einer Alternative zu bevorzugen.
Da ist kürzlich eine neue Version released worden, 1.9, in der Assembler-Optimierungen für einige Funktionen neu dazu kamen. Unter anderem für Hashing-Verfahren. Hashing ist eine der wichtigsten Funktionen in einer Krypto-Library und spielt z.B. eine Rolle beim Validieren von Signaturen in GnuPG.
Wenn man Daten hasht, gibt es normalerweise drei Schritte. Man hat einen "Kontext", d.h. eine Datenstruktur mit dem internen Status, die initialisiert man (Funktion 1), dann ruft man so oft man es braucht "hash mal auch diese Daten hier" auf (Funktion 2), und am Ende holt man sich den Hashwert über alle bisherigen Daten (Funktion 3). Je nach Hashfunktion, für die man das macht, beinhaltet das Finalisieren noch ein mehr oder weniger abstoßendes Padding-Verfahren, denn die Hashes arbeiten normalerweise auf Blöcken von Bytes, nicht auf einzelnen Bytes.
Bei libgcrypt heißt der letzte Schritt "finalize". Der Assembler-Code nahm an, dass niemand so blöd sein würde, nach einem finalize nochmal weitere Daten hashen zu wollen, weil das nie gültige Ergebnisse liefern kann, denn da ist ja schon Padding reingeflossen.
Stellt sich raus: GnuPG macht genau das. Das sollte wohl ein halbherziger Versuch sein, einen Timing-Seitenkanal zu schließen.
Da hätte wohl der Autor von GnuPG mal mit dem Autor von libgcrypt reden sollen, denkt ihr euch jetzt vielleicht? Das ist dieselbe Person. Werner Koch.
Was heißt das? Anscheinend reicht das Öffnen einer verschlüsselten Mail mit GnuPG, um Speicherkorruption herbeizuführen und damit eventuell Remote Code Execution.
Ich habe den Bug nicht analysiert, aber wenn das stimmt, ist das auf der Krassheitsskala ungefähr so weit oben wie Heartbleed bei OpenSSL war, denn GnuPG hat keine Privilege Separation und kein Sandboxing. Die gute Nachricht ist: Das betrifft euch nur, wenn euer GnuPG so neu ist, dass er schon gegen die neue libgcrypt linkt, die vor ner Woche oder so erst rauskam.
Kann man diese Art von Bug verhindern?
Ja, kann man.
Diese Art von Bug wäre aufgefallen, wenn GnuPG eine Testsuite hätte, die z.B. mit valgrind oder dem Address Sanitizer automatisch durchläuft, bevor er eine Version released. Noch beunruhigender als dass das offensichtlich nicht stattfindet, finde ich Werner Kochs Reaktion, als Hanno Böck genau das vorschlägt. Er schließt den Bug als "invalid". Das ist selbst für Werners Verhältnisse ausgesprochen unprofessionell, aber leider nicht überraschend.
Hey, Werner, wenn du keinen Bock auf die Verantwortung hast, die der Maintainer von GnuPG tragen muss, dann übergib das Projekt doch am besten der Apache Software Foundation oder so. Jetzt wäre jedenfalls der richtige Zeitpunkt für zerknirscht Besserung geloben gewesen, nicht für close as invalid.
Ich muss dann wohl doch mal meinen OpenPGP-Code fertig machen. So geht das jedenfalls nicht weiter.
Update: Ich hatte meinen OpenPGP-Code prokrastiniert, weil ich dachte, fürs reine Signatur-Prüfen ist mein Ansatz mit der Prozessisolation vielleicht nicht nötig. Wer verkackt denn schon eine Hashfunktion, dachte ich mir.
Update: Leserbrief von Hanno Böck:
libgcrypt hat eine testsuite, und die hat den bug nicht gefunden. Müsste man jetzt genauer analysieren warum und ob das ein mangel bei der testabdeckung ist und sie den bug hätte finden sollen.
Der Punkt den ich aber kritisiert hab: Es gibt einen anderen bug in libgcrypt 1.9.0 in der testsuite, der durch asan gefunden wird. Es ist "nur" eine selbsttestfunktion, insofern ist der bug nicht so relevant, aber daraus kann man halt schließen: libgcrypt wird offenbar nicht regelmäßig vor einem release (oder via CI)mit asan getestet, sonst hätte das ja merken müssen.
Und achso, noch was: Valgrind hätte diesen Bug (also den in der testsuite) nicht gefunden. Das ist ein buffer overread in einem predefinierten array, sowas kann valgrind nicht. Siehe beispiel im Anhang.
Ich predige seit jahren dass die leute asan nutzen sollen und nicht glauben valgrind sei ein vergleichbar mächtiges tool. Ist es nicht.
Hier mal kurz eine Geschichte aus meiner Familie.
Schulkind hat Covid-Fall in der Klasse. Aus Datenschutzgründen sagen sie den Kids nicht, wer es ist. Aber der eine Schüler fehlt schon seit ein paar Tagen. Gerüchte schießen ins Feld. Die Eltern erfahren von der Sache nach Schulschluss von ihren Kindern.
Immerhin: Am nächsten Tag ist Fernunterricht, alle bleiben zuhause.
Man würde denken: Damit das Gesundheitsamt die alle testen kann.
Tatsächlich: Nix da. Keiner der Schüler wird getestet. Die Schule guckt, wer neben dem Covid-Patienten saß, der ist dann Risikogruppe 1, der kriegt einen Anruf.
Wie? Nein, nicht vom Gesundheitsamt. Die sind überlastet. Von der Schule! Das Gesundheitsamt ruft niemanden mehr an.
Die Schule so: Das Kind muss eine Woche in Quarantäne. Eine Woche? Nicht zwei? Naja, äh, der Covid-Patient fehlte ja schon ein paar Tage, das rechnen wir auf die Quarantänezeit an.
Kommt denn jetzt jemand vom Gesundheitsamt und testet? Nein.
Das Gesundheitsamt ist überlastet. Wenn das Kind Symptome hat, geht zum Hausarzt und der testet dann, wenn er das für richtig hält.
Warte mal, nur das Kind muss in Quarantäne? Nicht seine Familie? Ja, richtig. Nur das Kind.
Wot?!
Tja und unter diesen Umständen, meine Damen und Herren, was würde man da für eine Covid-Inzidenz-Karte erwarten? Kinder haben ja seltener Symptome, und das Gesundheitsamt liegt schnarchend im Straßengraben, also würde man da weniger erwarten. Das Gesundheitsamt testet nicht, also fällt nur bei vorsichtigen Eltern auf, wenn ein Kind Covid hat. Wenn ihr mich fragt, müsste die Heatmap ungefähr so aussehen. Die Familien der Kids werden der Reihe nach durchseucht. Die Kids selber auch, aber da merkt das keiner, weil das Gesundheitsamt lieber nicht nachguckt. Sonst würde ja das Ausmaß des Versagens des Berliner Senats offensichtlich.
Hey, welche Partei stellt eigentlich die Berliner Gesundheitssenatorin? Na die SPD natürlich! Das erkennt man daran, dass die sich selbst noch nicht in einem Bunker in Sicherheit gebracht hat, wie es CDU oder FDP getan hätten.
Tätigkeit bei einer Bank in den Bereichen Controlling, Assetmanagement und ComplianceDie perfekte Besetzung für Pandemie-Krisenmanagement!
Aber hey, vielleicht schätze ich die auch völlig falsch ein und das ist ein Universalgenie. Zuständig war sie im Berliner Senat jedenfalls schon für:
Und jetzt halt Senatorin für Gesundheit, Pflege und Gleichstellung.
Ich vermute mal: Betonung liegt auf Gleichstellung. Denn an Gesundheit und Pflege hat offensichtlich niemand gearbeitet.
Zum Vergleich: Die Senatorin, die für die Schulen zuständig ist (natürlich auch SPD). Die war vorher Büroleiterin bei Michael Müller. Ja, DEM Michael Müller. Dem Bürgermeister. Ja, meine Damen und Herren. Auf dem Land riecht es nach Kuhscheiße, in der Großstadt riecht es nach Vetternwirtschaft.
So und jetzt überlegt euch mal kurz, wie schlimm der Diepgen verkackt haben muss, dass die Berliner lieber diese Leute in den Senat gewählt haben.
Die Gesundheitssenatorin ist Schuld, dass die Gesundheitsämter überlastet sind. Die Bildungssenatorin ist Schuld, dass die Schulen offen sind. Aber Diepgen ist Schuld, dass kein Geld da war, um die Gesundheitsämter und Schulen angemessen auszustatten.
Update: Na super. Jetzt kommen hier lauter Zuschriften aus anderen Bundesländern rein, dass es da genauso schlimm ist. Bisher: Schleswig-Holstein, Niedersachsen, NRW, Bremen, Sachsen, Baden-Württemberg, Hamburg, Bayern, Brandenburg, Hessen.
Update: Auch aus Wien und der Steiermark schreiben mir Leute, dass das da ähnlich läuft.
Update: Ein Leser erklärt:
Und offizielle Quarantäne wurde auch nur für die Kinder ausgesprochen, den restlichen Familienmitgliedern wurde nur empfohlen, zuhause zu bleiben. Denn bei angeordneter Quarantäne muss das Gesundheitsamt ja den Verdienstausfall ersetzen.
ACH SO ist das! Na das erklärt ja in der Tat einiges. Lieber Kopf in den Sand als Verdienstausfall ersetzen zu müssen! Leuchtet ein!
Jetzt sind die CIA-Anteile verkauft. Da kann dann auch das ZDF mal zaghaft zu berichten anfangen. Die Geschichte ist seit vielen Jahren bekannt. Ich hatte die auch schon im Blog. Neu ist bloß, dass die CIA einfach weitergemacht hat.
Ich freue mich einerseits, dass das thematisiert wird, aber auf der anderen Seite finde ich es ein bisschen peinlich, wie das ZDF jetzt einen auf dicke Hose macht mit ihrem super-investigativen Journalismus von Dingen, die schon seit Jahren in der Wikipedia stehen, und dann solange gewartet habend, bis die CIA ihre Assets migrieren konnte.
Immerhin entbehrt es nicht einer gewissen Komik, die offiziellen Stellungnahmen der Befragten zu lesen. CIA, BND und Siemens haben direkt jeden Kommentar verweigert, die Schweizer wollen von nichts gewusst haben, und dem Parlamentarischen Kontrollgremium sagte man unter der Hand, das sei ja alles kalter Kaffee.
Ich fände das ja prima, wenn wir jetzt ein bisschen mehr solche Stories kriegen würden. Am besten über zeitgenössische Vorfälle. Denn, nicht vergessen, diese Geheimdienste, das sind die, denen wir an anderer Stelle vertrauen sollen, wenn es um Krypto-Hintertüren und Trojaner auf unseren Telefonen geht, und um Hackback.
Stimmt, aber der Kritikpunkt im Leserbrief war nicht, wie tief die SPD ihren Stammwählern in die Tasche greift, sondern dass sie schon wieder der falschen Seite in die Tasche greift.
Und hier noch ein Leserbrief mit ein paar Zahlen:
Hier spielt die Musik: OTC Derivate, insbesondere Zinsderivate.Es wiesen auch einige Leser darauf hin, dass da explizit von "Personen" die Rede ist, und fragten sich, ob institutionelle Anleger überhaupt betroffen sein werden.
Globales Nominalvolumen Mitte 2019 in US-$: 524 Billionen (deutsch) bzw. trillions (amer. En)
Zinsderivate in Euro: 135 Billionen (deutsch) bzw. trillions (amer. En)
OTC = Over The Counter, außerbörslich, InterbankenhandelAlle reden immer von Wertpapieren. Dafür muss das Asset aber erst mal als Wertpapier verbrieft werden. Dieser aufwendige Schritt entfällt bei Derivaten.
Die ganzen "toxischen" Wertpapiere gibt es in verschärfter Form (größerer Hebel möglich) und mit mehr Volumen als Derivate und wird dann Credit Default Swap genannt. Volumen hier ca. 4 - 8 Billionen (deutsch) bzw. trillions (amer. En) US-$.
Nebenbei stehen die Derivate nicht IN den Bilanzen der Banken sondern werden getrennt UNTER der Bilanz ausgewiesen.
Zum Vergleich dazu:
Globaler Aktienmarkt 2014: 69 Milliarden (deutsch) bzw. billions (amer. En)
Staatsanleihen 2014: 58 Milliarden (deutsch) bzw. billions (amer. En)
Die Zahlen mal ausgeschrieben :)
Zinsderivate: 524.000.000.000.000 $
Aktienmarkt: 69.000.000.000 $Auch wenn die Zahlen nicht aus den selben Jahren stammen, hat das keine große Auswirkung auf die Relation.
Die Banken sind nicht die Zielgruppe der Finanztransaktionssteuer: Banken sollen die GEWINNE aus Handelsgeschäften versteuern und nicht aufwendig jede Einzeltransaktion.
Update: Mit den Zahlen stimmt was nicht. Weltbank: Aktienhandelsvolumen 2018: 68.212 trillion und SIFMA schätzt den globalen Staatsanleihenmarkt 2017 auf $100.13 trillion. Da ist also jeweils noch eine Größenordnung mehr drauf. Beim Derivatehandel ist eine Schätzung nicht so einfach, weil das im Wesentlich halb- oder unreguliertes Zocken ist. Hier gibt es Zahlen:
According to the most recent data from the Bank for International Settlements (BIS), the total notional amounts outstanding for contracts in the derivatives market is an estimated $542.4 trillion. But the gross market value of all contracts to be significantly less: approximately $12.7 trillion.
Und man muss auch im Kopf behalten, dass die meisten Derivate als Hedge gekauft werden, d.h. als Versicherung. Die werden nie eingelöst.
Aber das war noch nicht der Lacher daran.
Den Rest von ihrem Schlangenölbusiness nennen sie jetzt "NortonLifeLock". Um mal Wikipedia zu zitieren:
Eine andere Form der Blockierung von Prozessen, die wie ein Deadlock die weitere Ausführung des Programms verhindert, ist der Livelock.Der perfekte Name für deren Produktpalette! Genau mein Humor!
Aber Fefe, das ist doch Livelock mit v! Die schreiben sich mit f! Lifelock! Warte mal, Lifelock, Lifelock, das passt auch wie Arsch auf Eimer!
Hackers accessed the internal network of Czech cybersecurity company Avast, likely aiming for a supply chain attack targeting CCleaner. Detected on September 25, intrusion attempts started since May 14.Das ist eine Firma, wir erinnern uns, die euch erzählt, ihre Produkte würden in Echtzeit (!) Angriffe erkennen und abwehren. Aber in ihrem eigenen Netz kriegen sie einen laufenden Angriffe über vier Monate nicht mit.Deren Schlangenöl will man doch sofort kaufen!!1!
Na, wollt ihr auch wissen, wie sie sich aus der Nummer rausreden wollen? Na klar, ganz einfach! Erstens tun sie so, als hätten sie den Angriff abgewehrt. Das finde ich ja ein bisschen … ambitioniert formuliert, wenn der Angreifer bei ihnen im Netz war. Über Monate.
The evidence we gathered pointed to activity on MS ATA/VPN on October 1, when we re-reviewed an MS ATA alert of a malicious replication of directory services from an internal IP that belonged to our VPN address range, which had originally been dismissed as a false positive.Wie Moment, 1. Oktober? Ich dachte 25. September!1!!Ist das wie einer dieser Polizei-Witze? 50 kg Kokain beschlagnahmt. Die 40 kg beschlagnahmtes Kokain sind auf dem Weg zur Asservatenkammer. Die 30 kg beschlagnahmtes Kokain sind angekommen. Die 20 kg beschlagnahmtes Kokain wurden erfolgreich eingecheckt.
On Oct 4, we observed this activity again.Ach nee, jetzt sind wir schon am 4. Oktober! Eben war es noch der 1. und davor war es der 25. September!
Hey, pass uff, das war bestimmt Emotet! Und Avast bietet bald ein Webinar an, wie man sich schützt! Und im Übrigen: Cyber-Spionage! Nation State! Supply chain attacks!
Lacht nicht!
Global software companies are increasingly being targeted for disruptive attacks, cyber-espionage and even nation-state level sabotage, as evidenced by the many reports of data breaches and supply chain attacks over the last few years.Hey, also wenn das SO schlimm ist, dann brauchen wir mehr Schlangenöl. Wie wäre es mit Avast? Ich hörte, die haben Erfahrung mit sowas!1!!
vielleicht fragt sich der ein oder andere, warum man nicht mal den Minister von Nordirland oder die Northern Ireland Assembly zum Thema Brexit befragt? Seit dem Karfreitagsabkommen hat Nordirland ja eine eigene Regierung und Nordirland ist ein (oder sogar DAS) Kernproblem beim Brexit. Nun, tja, es gibt da ein winziges, technisches Problem: "It has been 954 days since Northern Ireland had a government [...] There have been 365 days since passing Belgium." Wie üblich (und erwünscht) hatten bei der letzten Wahl weder die Unionists noch die Irischen Republikaner eine Mehrheit bekommen. Es gab wieder Gespräche über eine 'GoKo', aber im Unterschied zu den vorherigen Wahlen verliefen diese nun im Sand. Und in guter, alter Tradition ist natürlich die andere Seite schuld und die Situation wird ausgesessen.Oh wow. Das habe ich auch noch nicht auf dem Schirm gehabt, dass die da Belgien überholt hatten.Immerhin hat ein großer Teil der Abgeordneten sich in einem Brief an die EU für den Backstop ausgesprochen.
Wiedem auch sei: Die sind weiter gekommen als alle vor ihnen. Und versuchen auch praxisrelevant zu ein, indem nicht nur eine Hochsprachen-Implementation verifiziert wird, sondern auch die plattformspezifischen Assembler-Implementationen.
Sie haben auch eine verifizierte TLS-Library, aber die ist in F# bzw. F* und da ist nicht klar, wie performant die ist und wie man die in existierende Projekte eingebunden kriegt. Dennoch: Ein großer Schritt vorwärts!
Ich schleppe in der dietlibc seit Jahrzehnten in memcpy ein überflüssiges jecxz mit!
Immer wieder krass, wie man Dinge einfach jahrzehntelang unhinterfragt für wahr halten kann, die man auch einfach mal kurz hätte testen können.
ich habe noch eine kleine Geschichte zum Thema 35C3 und Flaggen.Wem CTF nichts sagt: Das steht für Capture The Flag und in diesem Kontext für eine Art freundlichen Wettbewerb unter Hackern. Da stehen dann ein paar Rechner mit Sicherheitslücken, und es gibt Teams, und wer die meisten davon gehackt kriegt, gewinnt. Oder wer am schnellsten einen hackt. Oder manchmal macht man das auch so, dass die Teams sich gegenseitig hacken müssen, und ihre Arbeitsgeräte dafür vorgegeben werden und Lücken haben. Gibt da verschiedene Modelle. Das ist jedenfalls eine sportliche Disziplin mit einer recht langen Tradition bei Hackern.Wir waren beim 35C3 mit einem CTF-Team um am 35C3CTF mitzumachen.
Wie die andere Teams brachten wir ein Team-Banner mit.Bei Gedächtnis und Erinnerungen ist das ja immer schwierig, besonders je älter man wird, aber ich kann mich an kein einziges Ereignis erinnern, wo jemand auf dem Congress aus Angst vor Verwüstung etwas hätte verstecken müssen, bevor das mit den Safe Spaces ein Thema war. Das kann ja wohl nicht sein, dass wir hier alle mit riesiger Intensität Inklusivität vertreten und Diskriminierung bekämpfen und am Ende ist alles nicht nur nicht besser sondern auch noch aktiv schlimmer geworden?!Das Banner haben wir nicht selbst gedruckt.
Es stammte aus einem CTF-Finale in Süd-Korea und hatte deshalb unter dem Team-Logo den Schriftzug GERMANY und eine Deutschlandfahne. Dies ist üblich, da es bei diesen Wettbewerben immer sehr international zugeht und es interessant ist wo die Teams herkommen.
Am ersten Tag kam dann die 35C3-Security und meinte wir sollen bitte das Banner wegpacken, weil sie Beschwerden erhalten. Nachdem wir sie über die Herkunft des Banners aufklärten meinten sie nur: "Uns macht das nichts aus. Wir wollen nur verhindern, dass euer Assembly verwüstet/das Banner zerschnitten wird wenn ihr nicht da seit."
Den Rest des CTFs mussten wir also unser Team-Banner verstecken… Wir als Hacker haben uns also sehr wohl gefühlt auf dem HACKERCONGRESS.
Wobei das Publikum natürlich auch kleiner und homogener war damals, und niemand versucht hat, mit Thor-Steinar-Kleidung beim Congress reinzulaufen.
Eine Scheiße mit der Scheiße. Was machen wir denn jetzt?
Ich habe das aber nicht erwähnt, weil ich gegen Antideutsche wäre oder so, sondern weil der Club ja im Vorfeld mehrfach laut verkündet hatte, es ginge hier um Inklusivität und Flausch und eine Bullying-freie Zone, wo jeder willkommen ist. Und dazu steht das m.E. im Widerspruch, wenn man mit einer Antifa-Flagge und weiter hinten "Deutschland verrecke" begrüßt wird. "Be excellent to each other" ist was anderes. Korrigiert mich, wenn ich da falsch liege.
Apropos Bullying-freie Zone. Das begrüße ich grundsätzlich. Bullying ist Scheiße, und auch eine absurde Energieverschwendung. Niemand gewinnt irgendwas, reines Kaputtmachen. Ist mir ein Rätsel, wieso Leute für sowas Zeit und Energie übrig haben. Finde ich also gut, wenn der CCC das ansagt, und dann auch zwei Vorträge über Cyber-Stalking und Bullying und "digitale Gewalt" macht.
Allerdings ist das halt sofort völlig unglaubwürdig, wenn dann im Congress ein lustiges Klebepunktspiel aushängt, wo Passanten mit dem Kleben eines Klebepunktes abstimmen können, und zwar zwischen "Fefes Blog" und "Block Fefe". Wirklich, CCC? Inklusiv? Bullyingfrei? Safe Space? Block Fefe?
Ich reg mich da jetzt nicht groß drüber auf, das ist ja auch bloß Energieverschwendung. Aber dann lügt mir bitte auch nichts von Inklusivität und Awarenessteams ins Gesicht und macht keine verlogenen Vorträge über digitale Gewalt. Damit schadet ihr nicht nur euch sondern auch den Leuten, die wirklich für Inklusivität und gegen digitale Gewalt aktiv sind, und das nicht nur als Lippenbekenntnis machen, "außer es trifft den Fefe, der hat schon ein dickes Fell und kann das ab".
Versteht das nicht als Mimosentum von mir falsch. Meine Einstellung zu Bullying ist: Die Täter brauchen negatives Feedback, sonst lernen sie, dass das konsquenzfrei bleibt und tun es anderen an. Aber wenn ich mich selbst als Opfer sehe (das habe ich auch mit Tilo Jung angesprochen), dann nehme ich mir selbst die Agency (gibt es dafür eigentlich eine gute deutsche Übersetzung? Handlungsfreiheit vielleicht?), mich aus meiner Opferrolle zu befreien, denn der entscheidende Moment liegt in der Vergangenheit und kann nicht mehr geändert werden. Guckt nicht auf die Tat, die euch schadet, guckt lieber auf die eure Antwort auf die Tat. Die habt ihr unter Kontrolle. Schießt euch nicht selbst ins Bein und nehmt eine Opferrolle ein.
In diesem Sinne: Dies ist mein negatives Feedback an die Täter. Ich erwähne das, weil dieses Ding schon am 1. Tag morgens aushing. Das war also kein "haha luschtig"-Ding von Kongressteilnehmern, sondern das hat beim Aufbau jemand da hin gehängt und Punkte vorgeklebt. Das interpretiere ich daher als ein strukturelles Problem im CCC, dass das da hing.
Ach ja, zu der Antifa-Fahne. Heute, am vierten Tag, hing daneben morgens auch eine Entropia-Regenbogen-Fahne. Vielen Dank dafür, wer auch immer das getan hat. Das war die korrekte Reaktion. Ich hätte mir gewünscht, dass das auch noch andere getan hätten.
Update: Ein anderer Vorfall, der mir gerade zugetragen wird: Jemand hat der Nordic Assembly die Fahnen geklaut und durch ein Graffiti "no flags" ersetzt. Sollte vermutlich ein Statement gegen Nationalismus sein oder so.
Ansonsten habe ich mit Tilo Jung aufgenommen, das kommt dann wohl im Laufe des heutigen Tages (gegen Abend eher). Bin mal gespannt auf die Rezeption davon.
Bezüglich der Antifa-Fahne erzählte mir noch jemand, weiter hinten in der Assembly-Halle habe er eine "Deutschland verrecke"-Fahne gesehen. Die hab ich persönlich nicht gesehen, gebe das hier also nur als Gerücht weiter. Da könnte man vielleicht auch mal diskutieren, ob und wo man da Grenzen ziehen sollte als Veranstalter. Ansonsten war ich heute gefühlt 6 Stunden in Gespräche mit besorgten Congressteilnehmern verwickelt, die mich beraten wollten, wie ich im Blog Dinge besser tun könnte. Wenn sich hier also was ändert und es gefällt euch nicht, dann ist es deren Schuld :-)
they leveraged an out-of-bounds write bug affecting WebAssembly to achieve code execution via NFC.Das war das Xiaomi. Das selbe Team hat auch das S9 exploitet, via Heap-Overflow im Baseband. Und ein Iphone X haben sie über Wifi über einen JIT-Bug übernommen.Ein zweites Team hat das Xiaomi über Wifi gehackt.
resulted in a photo getting exfiltrated from the targeted phone. ZDI says the exploit involved 5 different logic bugs, including one that allowed the silent installation of an app via JavaScript.und das Samsung-Phone über ein gehacktes Captive-Portal, und ein dritter Teilnehmer hat einen Type-Confusion-Bug im Browser benutzt, um auf dem Xiaomi Code auszuführen.Und das war nur Tag 1.
Female California lawmaker behind #MeToo push is accused of groping male stafferNa sowas! Hat das am Ende gar nichts mit dem Geschlecht zu tun und viel mehr mit Machtpositionen?The staffer, Daniel Fierro, told The Washington Post on Thursday that Democratic Assemblywoman Cristina Garcia, who has become a prominent figure in the #MeToo movement, approached him alone after an assembly softball game in 2014, squeezed his buttocks and tried to touch his crotch. He said Garcia was visibly intoxicated.Naja, aber, äh, dann meldet man das halt bei den zuständigen Stellen!1!!Fierro, who was 25 at the time, did not report the incident because he worried about the long-term consequences that could come with accusing the powerful lawmaker, who chairs the Legislative Women’s Caucus and the Natural Resources Committee.Oh, den Women's Caucus, ja?Was meint ihr, wie viele der zuständigen Stellen ausschließlich mit Frauen besetzt sind?
Auf der anderen Seite wissen dann auch Hacker, wo was ist. Und weil die Softwareentwicklungsbranche vor vielen Jahren entschieden hat, dass sauber Programmieren zu schwer ist und wir lieber Hacker ärgern wollen, ging die Entwicklung dann dahin, dass man das Programm halt bei jedem Programmstart woanders hin tut im Adressraum. Das nennt sich dann PIE.
Technisch läuft das über einen gruseligen Hack im ELF-Dateiformat, denn das kennt nur Binary (Programm, an statischer Adresse) und Shared Object (Shared Library, an dynamischer Adresse). Das ist schlicht nicht vorgesehen, dass ein Programm an einer zufälligen Adresse geladen wird. Selbst wenn man den Code so formuliert, dass das ginge (was bei Intel/AMD bei 64-bit-Programmen viel einfacher und effizienter geworden ist als bei 32-bit-Programmen, weil der Befehlssatz da ein anderer ist, der darauf ausgelegt ist). Kurz gesagt gibt es bei 64-bit-Programmen eigentlich keine Effizienz-Ausrede mehr, um die nicht positionsunabhängig zu machen. Es gibt natürlich, wenn man genau hinguckt, doch einen Performancenachteil, aber den will ich hier mal außen vor lassen :-)
Der Hack ist jetzt so, dass man in der Datei einträgt, es sei eine Shared Library, kein Programm. Der Kernel lädt die trotzdem und alles ist gut. Das ist leider ein Opt-In-Ding. Wenn ihr unter Linux Software baut, tut mal bitte immer schön -fPIE auf die Compiler-Kommandozeile.
Nun bin ich aber nicht an regulären Binaries interessiert, sondern an statischen Binaries (das ist die Zielgruppe für meine libc). Und der Hack mit dem PIE geht zwar vom Dateiformat her auch bei statisch gelinkten Programmen, aber in der Praxis halt nicht. Ich habe mal ein paar Tage lang versucht, das doch zum Laufen zu kriegen, und bin am Ende gescheitert. Es geht aber prinzipiell. Das weiß ich, weil es jemand anderes geschafft hat: Der Autor der musl-libc. Der gute Mann hat irgendwann bei GNU ein paar Bugs eingetragen, ob es nicht toll wäre, wenn man da nicht so gruselig hacken müsste, wie er es getan hat. Und gcc 8 hat jetzt die Option -static-pie, die genau das tun soll.
Die wollte ich also auch direkt mal ausprobieren, und baute erstmal die neuen binutils, dann den neuen gcc, und jetzt die neue glibc. Und dann fiel mir auf, dass plötzlich meine dietlibc-Binaries größer waren. /bin/true macht im Wesentlichen nichts und sollte eigentlich nur ein paar Bytes groß sein (ein paar ELF-Header brauchen Binaries schon, aber so Größenordnung 200 Bytes ist eigentlich realistisch). War es aber nicht, sondern es war plötzlich über 4k groß. Gut, es war auch vorher weit davon entfernt, weil die dietlibc inzwischen eben eine Menge anderen Kram supportet, der die Startup-Code größer macht. Z.B. den Stack Protector initialisieren, und Thread Local Storage. Aber das true-Binary hätte trotzdem deutlich unter 4k sein müssen.
Ich habe also ein bisschen rumgeguckt, und es stellte sich raus, dass das nur mit dem binutils-bfd-ld so war. binutils ist das Paket unter Linux, aus dem der Assembler und der Linker kommen. binutils hat aber zwei Linker. Den alten mit bfd (der fetten Abstraktionsschicht von binutils) und den neuen, in C++ geschriebenen, der weniger kann, das dafür angeblich besser: GNU gold. Den habe ich normalerweise nicht im Einsatz, weil der bei mir vor Jahren mal Probleme gemacht hat beim Firefox-Linken. Egal. Mit dem gold ist das true-Binary nur 1,3 KB groß. Ich habe also mal reingeguckt und fand in dem statischen Binary von dem bfd-ld eine PLT. PLT steht für Procedure Linkage Table und ist für die Zusammenarbeit (und Umbiegbarkeit mittels LD_PRELOAD) von Shared Libraries da. Das hat in einem statischen Binary nichts verloren. Ich habe mal einen Bug aufgemacht bei binutils.
Ich stellte also auf GNU gold um, und wollte fluchs die neue glibc bauen — aber die baut mit ihrem neuen static-pie-Support für gcc 8 nicht mit gold, nur mit dem bfd-ld. *SEUFZ*
Aber jetzt wo die Infrastruktur da Support für hat, hoffe ich mal, dass auch für die dietlibc static PIE nur noch eine Frage der Zeit ist, möglichst kurzer Zeit. Das will man schon haben, besonders auf 64-bit-x86-Systemen, wo das kaum noch was kostet gegenüber Nicht-PIE.
Aus Frust hab ich jetzt mal true und false in Assembler gehackt für x86/x64 :-)
Update: Stellt sich raus: static pie mit gcc 8 funktioniert auf Anhieb, auch mit dietlibc. Cool!
Update: Gestern Bug gefiled, heute Patch da. Binutils rockt!
Die Benchmark-Parameter waren:
./bench -n 1000 -c 10 -k -K 5 http://127.0.0.1/testfileDas heißt: 1000 Mal diese Datei laden, über 10 Verbindungen parallel, mit 5 Downloads pro TCP-Verbindung via HTTP-Keepalive. Sowohl das Benchmark-Tool als auch gatling sind Single-Threaded und laufen auf jeweils einem Core nebeneinander. Es sollte also nicht zu vielen Context Switches kommen, aber natürlich sehr viele Wechsel vom User Space in den Kernel und zurück. Und die sind genau das, was durch den Fix langsamer werden. Die CPU ist ein Haswell (noch ohne Microcode-Update). Das sollte also ziemlich nahe am Worst Case sein. Und in der Tat. Mit dem alten Kernel:
bench: 164835678432 bytes in 24.7616 seconds. bench: Throughput: 6.2GiB/sec bench: Requests per second: 40und mit dem neuen Kernel:
bench: 164870699232 bytes in 39.3921 seconds. bench: Throughput: 3.9GiB/sec bench: Requests per second: 25Das ist ein ziemlich krasser Einbruch. Und da ist kein SSD beteiligt, das ist alles Buffer Cache ohne tatsächlichen I/O zu tatsächlicher Hardware.
Update: Nach Einspielen des neuen Microcodes wird es ein bisschen weniger schlimm (4.5GiB/sec), aber das ist immer noch katastrophal viel schlechter als vorher. Kann mir mal jemand erzählen, wieso das jetzt keinen Recall gibt?
Ich hatte übrigens den 4.15 mit Retpoline-Support gebaut, aber ohne einen gcc mit Retpoline-Support. Laut Dokumentation werden dann von Hand an einigen Stellen Assembler-Fixes eingebaut.
Update: Intel hatte den Microcode zurückgezogen. Stellt sich raus: Das Microcode-Update, das ich probiert habe, war gar nicht der Meltdown-Fix. Hatte mich schon gewundert, wieso da 2017 dran stand. Damit ist der Unterschied zwischen den 3,9 und den 4,5 GiB/sec anscheinend Messvarianz Messfehler.
Update: Ach und der gcc 7.3, mit dem ich den Kernel gebaut hatte, kann doch Retpolines. Haben sie nur nicht für relevant genug gehalten, um es im Changelog online zu erwähnen.
Update: Haswell ist gar nicht der Worst Case, wie sich rausstellt. Ich habe schon pcid und invpcid im /proc/cpuinfo. Bei Sandy Bridge und co ist das wohl noch deutlich schlimmer.
Ich frage mich gerade, ob das jetzt heißt, dass Trump am Ende doch ein guter "deal maker" ist. Das ist zwar ein großer Nachlass, aber Apple stand ja nicht unter Druck, das Geld überhaupt jemals in die USA zurückzuholen.
Das ist übrigens eine effektive Steuerrate von 15,5% für Apple.
Man kann das natürlich auch andersherum sehen. Apple hat gekriegt, was sie eh die ganze Zeit wollten, und Trump ist eingeknickt. Liegt im Auge des Betrachters. Für Trump ist alleine die Schlagzeile natürlich ein großer Sieg.
Update: Ein Leser erklärt:
Trump hat da so eine Art Zwang eingebaut. Bisher war es so, dass das Geld erst versteuert werden muss, wenn es in die USA zurückgeholt wird, jetzt werden die Steuern auf Auslandsgewinne auch fällig, wenn das Geld noch im Ausland lagert. Insofern ist es nutzlos, das Geld noch im Ausland zu lagern, zumal man besser darüber verfügen kann, wenn man es heimholt.
Ein guter Dealmaker ist er deswegen noch lange nicht. Denn erstens ist der Steuersatz jetzt fast lächerlich niedrig, und zweitens sind die zur Zeit kolportierten aufsehenerregenden Summen ein einmaliger Effekt - da werden Gelder zurückgeholt, die sich im Laufe eines Jahrzehnts angesammelt haben. Das wird im laufenden Betrieb also erheblich weniger sein.
Dass IBM ins Minus rutscht, dürfte daran liegen, dass die Abschreibungsmöglichkeiten sich verändert haben... vorher konnte ein Unternehmen seine Steuerlast auf nahezu null drücken, wenn es genug Abschreibungen hatte, das geht nicht mehr, jetzt gibt es einen Mindeststeuersatz, der auch nach Abschreibung nicht unterschritten werden kann. Dementsprechend müssen die Assets dann wohl neu bewertet werden...
Und zwar hatte die Wau-Holland-Stiftung eine Assembly angemeldet, wie jedes Jahr, und in der Anmeldung hatten die eingetragen, das sei eine Code-of-Conduct-freie Zone. Die Anmeldung müsst ihr euch wie ein Wiki vorstellen, wo man sich einträgt. Da sitzt kein Sachbearbeiter oder so.
Gemeint haben sie damit natürlich, sie wollten mal beweisen, dass man auch ohne CoC die flauschigste und friedlichste Assembly auf dem Congress haben kann. So funktionieren Hacker. Jemand sagt "das geht nicht ohne CoC" und das Hackergehirn sagt "Hold my beer!" und versucht es ohne CoC.
Die üblichen Verdächtigen haben das natürlich genau entgegengesetzt interpretiert, so ala "Wauland ruft Wilden Westen aus", als ob die da einfach per Fiat einen rechtsfreien Raum schaffen könnten!
Und so kam es auf dem Congress zu einer "Besetzung" von der Assembly durch ein paar Aktivisten. Das waren jetzt aber keine molli-werfenden vollvermummten Schwarzer-Block-Steinewerfer oder so, wie der eine oder andere möglicherweise beim Lesen dieser Zeilen assoziieren würde, sondern das sah eher wie ein Flauschkommando oder eine Hippie-Umarm-Delegation aus.
Jetzt kommen wir zum Weihnachtsteil. Ich hörte, die Wauland-Leute hätten dann Security und das Awarenessteam gerufen, und alle standen an dem Stand und redeten miteinander, und man merkte dann irgendwie recht schnell, dass eigentlich alle das gleiche wollten, nämlich einen inklusiven Congress, auf dem sich alle lieb haben und sich keiner ausgeschlossen fühlt. Es endete wohl kurz vor der gemeinsamen Friedenstütepfeife aber jedenfalls gänzlich friedlich und einvernehmlich.
Ich bin mir ja sicher, dass sich eigentlich alle Twitter-Dramen innerhalb von Minuten klären ließen, wenn man sich einfach nur mal zusammen hinsetzt und miteinander redet. Ich hatte ja im Vorfeld auch mehrfach dazu aufgerufen, dass Twitter-Hater sich bitte eingeladen fühlen sollen, mich anzusprechen, damit wir alle gute Freunde werden können. Leider kam keiner der Hater, und so muss ich wohl noch ein Jahr Heckenschützen-Beschimpfungen aus der Ferne aushalten. Mir fällt leider nicht ein, was ich da außer Gesprächsangeboten noch machen kann. Ideen nehme ich gerne entgegen.
Auf der anderen Seite kamen Dutzende von freundlichen, gut gelaunten Menschen auf mich zu und sagten Hallo. Das war so großartig, dass ich hiermit alle von euch aufrufen möchte, einfach auf dem nächsten Congress wild Leute anzusprechen. Tut es einfach. Keine Scheu. Die sind alle genau so schüchtern wie ihr, die meisten glauben genau so, dass sie hier völlig falsch sind, weil sie so viel weniger verstehen als die anderen (das glauben alle, insbesondere glaube auch ich das). Sprecht einfach miteinander. Vielleicht entstehend dabei schöne neue Freundschaften! Was habt ihr zu verlieren? Nichts!
Ich bin weder im CCC noch kenne ich das Opfer oder den Beschuldigten. Ich habe überhaupt keinen privilegierten Zugriff auf die Wahrheit und würde mich am liebsten gar nicht äußern, weil ich nichts sagen kann. Aber bei mir türmen sich die besorgen Zuschriften, daher hier kurz, was ich gehört habe. Das ist alles Hörensagen aus 2. und 3. Hand, ich weiß gar nichts. Bitte nichts davon als Faktenbehauptung betrachten.
Vorgeschichte: Auf dem letzten Camp in den Niederlanden gab es anscheinend einen sexuellen Übergriff von einem Mann auf eine Frau. Die ist ins Krankenhaus gefahren, wo Gewaltspuren festgestellt wurden. Sie hat Anzeige erstattet, die Polizei hat ermittelt, die Ermittlungen wurden eingestellt und keine Anklage erhoben. Der Beschuldigte wehrt sich nach Kräften gegen die Vorwürfe.
Dann jetzt, im Sommer: Die Frau meldet sich beim CCC und fordert, den Beschuldigten nicht auf dem Congress reinzulassen. Der CCC ist mit der Situation erstmal überfordert und braucht eine Weile für die Reaktion. Sie finden inzwischen selber, dass sie zu lange gebraucht haben. Ich weiß nicht, wie lange sie gebraucht haben, oder wie lange man für sowas brauchen sollte. Ich gebe das nur wieder. Ergebnis der CCC-Beratungen war, dass man der Frau sagte, der CCC könne oder wolle diesem Typen nicht Hausverbot erteilen. Aber man verstehe ihre Situation und bot ihr an, dass sie sich von Security-Engeln begleiten lässt, und das Awarenessteam stand auch bereit, und wenn irgendwas ist, werde man sofort einschreiten und dafür sorgen, dass diesmal genügend Augenzeugen und Beweise für eine Anklage zur Verfügung stehen.
Daraufhin schwappt die Geschichte auf Twitter herum, wo sich dann die "der CCC besteht aus frauenhassenden Männern" und "CCC are Rape Enablers" Anklagen gegen den Club mehrten.
Am Ende kam dann die Frau zum Congress, und der Mann war wohl auch da (?). Aber es passierte nichts weiter, die Frau hat selbst auf Twitter Selfies von sich publiziert, wie sie glücklich in die Kamera lächelnd frohlockend durch die Assemblies zieht und offenkundig Spaß am Gerät hat. Der CCC betrachtete daraufhin die Angelegenheit als friedlich begelegt.
So, jetzt meine Bewertung dieses Sachverhalts, unter der Annahme, dass diese Darstellung tatsächlich der Wahrheit entspricht.
Wegen des Krankenhaus-Aspekts glaube ich persönlich der Frau, dass es da einen Übergriff gab, und dass sie auch auf den richtigen Täter gezeigt hat. Ich glaube aber auch an die Unschuldsvermutung und an ordentliche Gerichtsverfahren und das Recht, gehört zu werden, und sich anwaltlich vertreten zu lassen, und so weiter. Der Schiedsrichter von Schuld in unserer Gesellschaft sind Gerichte. Solange nicht ein Richter in einem ordentlichen Verfahren nach Sichtung aller Beweise und unter fairer Würdigung aller Fakten entscheidet, dass der Mann das getan hat, ist er nicht Täter sondern Beschuldigter. Und das reicht in meinem Wertesystem halt nicht. Der CCC war hier sicher nicht in einer einfachen Situation, aber ich finde die Entscheidung richtig. Alle anderen Optionen wären noch schlechter gewesen.
Beachtet bitte auch, dass in dem Hörensagen oben nur die Seite der Anklage zu Wort kam.
Auf mich wirkt die ganze Chose, als wollten da ein paar Aktivisten, aufs Prinzip pochend, am CCC ein Exempel statuieren, weil sie eben wissen, dass der CCC eine eher progressive Organisation ist, und die Mitglieder ein Unrechtsgefühl haben, dass man vergleichsweise leicht triggern kann. In diesem Fall hat sich dann aber der erwartete Lynchmob nicht spontan formiert, und da haben die Aktivisten eben noch ein bisschen an ihrer Instigier-Methodologie getweaked, aber das hat auch nicht gefruchtet. Ich nehme die ursprüngliche Anklägerin übrigens explizit aus, wenn ich hier von Aktivisten rede. Damit meine ich andere Leute, die nicht persönlich betroffen sind, den CCC teilweise auch gar nicht näher kennen, aber für die "gute Sache" unter den Bus zu werfen gewillt waren.
Aber das ist wie gesagt nur meine Deutung. Kommt am besten zu eurer eigenen Deutung. Oder glaubt dem CCC, hier nicht leichtfertig oder willkürlich entschieden zu haben.
Ich persönlich finde es gut und richtig, dass der CCC sich nicht zum Richter aufschwingt, und Leute bestraft. Das sollte der CCC nicht nur nicht tun, das darf der CCC nicht tun. Ich kann aber verstehen, dass man hierzu auch eine andere Position haben kann.
Update: Wie zu erwarten war, sind bei der Darstellung oben einige Teile falsch, oder jedenfalls behaupten Leute das. Ich werde jetzt aber nichts korrigieren oder updaten. Ich kann nichts davon nachprüfen und will nicht den Eindruck erwecken, als hätte ich irgendwelche geprüften Informationen. Das ist aus meiner Sicht gerade der Punkt bei dieser ganzen Geschichte, dass das alles Hörensagen und Behauptungen sind.
Update: Zumindest eine Sache ist definitiv falsch, nämlich dass es auf der SHA eine Vergewaltigung oder einen Übergriff gab. Genau wie mit dem CCC hat die Anklägerin das auch mit der SHA gemacht, und der Beschuldigte kam da gar nicht erst rein. Und aus Gerechtigkeitsgründen will ich hier mal noch ausführen, was mir inzwischen von der Story der Gegenseite erzählt wurde. Bitte auch alles als Hörensagen betrachten, ich kann da nichts von prüfen. Also: a) es gibt keine Anzeige bei der Polizei, sie hat nur ein Statement bei denen zu Protokoll gegeben, b) die sind/waren ein Paar und es handelt sich um einen Vorfall bei denen zuhause, nicht auf der SHA, c) sie hat dann bei der SHA dafür gesorgt, dass er nicht reinkommt, weil die es nicht für nötig hielten, den Beklagten anzuhören, d) der CCC hat den Beklagten angehört und dessen Seite der Story klang genau so glaubwürdig wie ihre. Sie rennt jetzt halt von Gizmodo zu Buzzfeed und gibt Interviews (Buzzfeed sagt dazu, sie habe ein Interview abgelehnt), und rennt von SHA zu CCC und will den rausgeworfen haben. Und er sitzt zuhause und versucht Schadensbegrenzung. Ihr erklärtes Ziel scheint zu sein, den Typ jetzt überall auf die schwarze Liste zu setzen, wo der jemals in seinem Leben Freunde oder eine gute Zeit hatte. Als sich rausstellte, dass der CCC auch den Beklagten angehört hat, hat sie aufgehört, mit dem CCC zu reden, und macht jetzt nur noch Napalm-Flächenbombardement über Twitter und die Presse.
Ich habe da wie gesagt keine Aktien in der gesamten Sache. Aber jetzt habt ihr aus beiden Seiten das Hörensagen gehört. Ich rufe euch alle ausdrücklich dazu auf, euch in anderer Leuten Disputen nicht auf eine Seite zu stellen, bevor ihr nicht sicher seid, dass ihr wisst, was wirklich passiert ist. Mein Eindruck ist, dass beide Seiten Hilfe brauchen, aber nicht Hilfe dabei, den jeweils anderen plattzumachen.
Der Winkel mit Vergewaltigung scheint übrigens komplett Bullshit zu sein. Die Vorwürfe handeln von Gewalt, nicht von sexualisierter Gewalt. Das haben nur im Rahmen der Metoo-Debatte gerade alle sofort da reingelesen, dass es was mit sexueller Gewalt zu tun gehabt haben könnte.
Update: Ich bin darauf hingewiesen worden, dass der Stil des Hörensagens in die eine Richtung abwiegelnder klingt als in die andere Richtung. Das ist auf meine Ausgeschlafenheit und die Tageszeit und das unterschiedliche Stresslevel zurückzuführen und war weder beabsichtigt, noch soll es eine Wertung ausdrücken. Nehmt es als Medienkompetenzschulung.
Es gab da z.B. einen Talk zu Owasp und deren Top 10, und der verbrachte gefühlt die erste halbe Stunde damit, dass die Top 10 ja völlig überbewertet und von der Werbung irgendwelcher Unternehmen missbraucht werden, dass das keine Pentest-Checkliste sei und nicht für Compliance gebraucht werden dürfe — und dann berichtete er darüber, wie sie da Streitereien haben zu den neuen Top 10, wie es da einen Entwurf gab, wo ein Punkt "du sollst Schlangenöl kaufen" eingefügt wurde. Anscheinend auf Betreiben von jemandem, der "privat" diese Liste maintaint und dann beruflich das geforderte Schlangenöl vertreibt. Das war mir alles neu, aber ich stalke jetzt auch nicht Owasp hinterher, die interessieren mich ehrlich gesagt nicht so stark. Aber jetzt zeigt er den neuen Entwurf, und da ist CSRF nicht mehr drin (nach wie vor eines der größten echten Probleme für Webapps, aus meiner Sicht, das viele viele Leute nicht verstanden haben, die Webapps bauen). Dafür ist da "du sollst Schlanenöl zum Monitoring und Alerting kaufen" drin. Tja, Owasp, ein Wort mit X. Das war wohl nix.
Was hab ich noch gesehen? Oh ja, "Sichere Softwareentwicklung - Anforderungen und Vorgehensweisen". Das war erst eine ewig lange Liste von "ALLE WURDEN GEHACKT! ALLE!!!", eine halbe Stunde "Wir werden alle störben" pur. Und als sie dann ein paar Maßnahmen empfahlen, machten wir ein Trinkspiel daraus und mein Kumpel Daniel drehte dann eine Siegerrunde, als er korrekt "gleich pluggen sie die SDL" vorhersagte.
Ich muss dazu sagen, dass ich relativ hohe Ansprüche habe bei Vorträgen, wenn es darum geht, was man da jetzt konkret mitnehmen kann. Und das fehlte hier bei vielen Talks. Ein paar Links auf Dinge (ich erinnere mich an drei Talks, die auf die Owasp Top 10 verwiesen, die der Owasp-Talk gerade dafür gedisst hatte). Ja, äh, wenn ich Links hinterherlaufen wollte, hätte ich mir den Vortrag nicht angucken müssen. Das Problem hatten viele Talks. Gut, die Materie ist ja auch komplex, aber das Argument kann ich nicht gelten lassen, wenn die erste Hälfte des Talks mit Platitüden und Einführungs-Blablah verplempert wird.
"Security im Entwicklerteam" habe ich auch geguckt, aber da fehlten mir auch so ein bisschen die "was machen wir denn jetzt"-Folien. Konkrete Dinge, die man jetzt tun kann, den Schritt geht irgendwie kaum jemand. Und ich meine jetzt nicht "hier ist ein Wiki, klick da mal rum". Besonders krass fand ich einen Talk am 2. Tag, bei dem es um Automatische Code-Scanner ging, und "was die Hersteller Ihnen nicht sagen werden". Da hätte ich konkrete Beispiele erwartet, mindestens aber ein paar lustige Anekdoten. Stattdessen kam unkonkretes "die versprechen viel und halten das dann nicht" (NEIN! Hold the presses!!) und "wenn Sie das genauer wissen wollen, dann holen sie sich mal die Eval-Versionen, nehmen Sie sich jeweils ein paar Tage Zeit, und testen Sie die gegeneinander". Äh, das wollte ich gerade nicht machen sondern mir hier die Ergebnisse abholen!
Am 2. Tag morgens gab es einen Vortrag, der mir vergleichsweise wichtig war. Da erzählten nämlich zwei Leute von Rohde & Schwarz von dem Projekt "Analyse und Auswahl einer allgemeinen Kryptobibliothek". Der Talk war mir wichtig, weil das Projekt für das BSI ist. Das BSI hat ja ein paar Glaubwürdigkeitsprobleme bei Kryptofragen, seit sie sich in die Bundestrojaner-Begutachtung haben verwickeln lassen. Insofern gut und richtig, das an eine externe Organisation rauszugeben. Aber Rohde & Schwarz ist an der Stelle eine zumindest aus meiner Sicht nicht viel glaubwürdiger aufgestellte Firma, die mir unter anderem als Lieferant von IMSI-Catchern für "Bedarfsträger" untergekommen ist bisher. Das ist keine gute Basis für das Erarbeiten einer unabhängigen Empfehlung für Krypto-Libraries. So und das Ergebnis von diesem Projekt war jetzt, dass sie Botan gewählt haben — eine Library mit einem Marktanteil von vielleicht 1% im TLS-Segment, von der kaum jemand überhaupt gehört hat. Ich habe mir bei Botan mal den Code angeguckt und der war jetzt nicht schlecht oder so, aber das ist ein krasser Außenseiter, und in Benchmarks ist deren Code schonmal nur halb so schnell wie der von OpenSSL. Meine Erfahrung ist, dass schon 5% Performanceunterschied reichen, um jemanden doch zu OpenSSL greifen zu lassen, wenn der bloß eine Ausrede suchte, wieso er bei OpenSSL bleiben soll. Das ist also alles schon mal nicht so gut, sowohl aus technischer als auch aus politischer Sicht. Ich hätte erwartet, dass die die Zeit nutzen, um mal so richtig knallhart inhaltlich zu zeigen, welche Kriterien ihnen wichtig waren und warum sie so entschieden haben, um jeden Geruch von Foul Play auszuschließen. Stattdessen kam ein Halbsatz dazu. Sie haben intern ein Punktesystem erarbeitet und nach dem sind sie gegangen. Ja, äh, das hilft mir jetzt nicht weiter. Das riecht jetzt nicht besser als vorher. Eines der Argumente gegen OpenSSL war, dass das API so schlimm ist. Ungefähr 20 Minuten lang haben sie dann Beispiele gezeigt, wie man in Botan Dinge tut, aber nicht Dinge wie "TLS-Verbindung aufmachen, Certificate Pinning anschalten" — nein, Dinge wie "SHA256 von diesen drei Bytes hier machen. Ja, äh, das geht auch in OpenSSL mit nur ein paar Zeilen Code. Das große Argument für Botan ist, dass es vergleichsweise wenig Code ist (im Vergleich zu OpenSSL). Allerdings kommt der viele Code in OpenSSL u.a. davon, dass sie für performancekritische Primitiven Assembler-Implementationen für ein Dutzend Plattformen haben. Und nicht nur für Performance ist Assembler wichtig, auch für das Vermeiden von Seitenkanälen. Wie da die Situation bei Botan ist, haben sie zwar gesagt, dass sie das getestet haben und was in einem Padding-Verfahren gefunden haben, aber was ist mit den anderen Verfahren? Die elliptischen Kurven, das RSA?
Zur Ehrenrettung der Vortragenden muss man aber sagen, dass die a) für eine Tochter von Rohde & Schwarz arbeiten, die die dazugekauft haben, und b) nicht den Eindruck erweckten, sie seien jetzt fiese Geheimdienstler, die unser Krypto schwächen wollen. Aber ausgeräumt haben sie den Verdacht halt auch nicht.
Mir tun die Leute beim BSI und bei dieser R&S-Tochter durchaus leid, versteht mich nicht falsch. Viele wenn nicht alle von denen meinen das sicher alles total gut, und werden jetzt völlig zu Unrecht verdächtigt.
Ich habe so ein bisschen den Eindruck gewonnen, dass ich mal einen Vortrag über Threat Modeling halten muss. Das ist gerade voll im Trend, und die meisten, die das machen, haben gar nicht verstanden, warum man das macht.
Das war dann für mich auch schon die Veranstaltung, danach kam meine Keynote und nach der bin ich ziemlich direkt in den Zug gestiegen, damit ich auf der Fahrt nach Berlin nicht komplett im Dunkeln fahren muss.
Update: Dirk, der den Owasp-Talk gemacht hatte, schreibt mir gerade, dass das nicht als Schlangenöl-Kaufen-Paragraph gemeint ist, auch wenn ich das so deute. Sie hätten extra auch Open Source erwähnt. Nun, mit Schlangenöl meine ich "verspricht Dinge, die es nicht halten kann", nicht "kostet Geld". Schlangenöl kostet natürlich im Allgemeinen auch Geld, ja, aber es gibt auch Open Source Schlangenöl. Ich finde es halt anstößig, erst die Formulierung von "wichtigste Angriffe" auf "wichtigste Risiken" zu ändern, um dann in der nächsten Runde "Reaktives Security-Produkt $XY nicht installiert" als Risiko hinzuschreiben. Das geht aus meiner Sicht gar nicht. Na mal gucken, ist ja bisher noch ein Release Candidate, vielleicht fliegt das ja auch noch raus.
Protests spread to more than 100 cities in Poland on Saturday after a bill that would give its populist government the power to push all the nation's Supreme Court judges into retirement passed the upper house of the National Assembly.Ja nee klar, wie schicken mal kurz alle Richter im Verfassungsgericht in Rente! Die beste Demokratie, die man für Geld kaufen kann"
Recent months have seen a swift consolidation of power by Mr. Maduro as scores of political prisoners have been detained without trial, protesters violently repressed and local elections postponed. In taking power from the National Assembly, the ruling removed what most consider to be the only remaining counterbalance to the president’s growing power in the country.The court said that lawmakers were “in a situation of contempt,” and that while that lasted, the justices themselves would step in to “ensure that parliamentary powers were exercised directly by this chamber, or by the body that the chamber chooses.” It did not say whether it might hand power back.
Das klingt jetzt alles ganz furchtbar, aber man muss leider auch bedenken, dass die USA einen Propagandakrieg sondergleichen gegen Venezuela führen, seit vielen Jahren, und auch schon einen Coup gegen Chavez damals angestoßen haben. Deren Darstellungen darf man also nicht einfach so glauben. Die Nachrichtenlage ist immer sehr schwierig, wenn es um Venezuela geht.
Dan Bernstein ist auf dem Gebiet ein Vorreiter, der die elliptische Kurve Curve25519 so definiert hat, dass eine Implementation mit konstanter Laufzeit möglich und realistisch ist. Diese Kurve hat es inzwischen in TLS geschafft, das ist ein Big Deal, wie man so schön sagt.
Und jetzt kommt raus: Visual Studio verkackt das Kompilat über eine implizite Laufzeitroutine zum Multiplizieren.
Das heißt jetzt nicht, dass Software mit Curve25519 unsicher ist, aber das Ergebnis ist trotzdem eine echte Katastrophe. Noch eine Front mehr, die man klären muss. Am besten nur noch als Assembler ausliefern, alles!1!! :-)
Update: OK, also bei näherer Betrachtung stellt sich die Lage anders dar. Es geht um curve25519_donna, ein 64-bit-Port von curve25519 von djb. Das 32-bit curve25519 von djb hat das Problem nicht. curve25519_donna ist für 64-bit und hat dort das Problem auch nicht. Man muss also absichtlich und vorsätzlich das falsche curve25519 auf der falschen Plattform kompilieren. Dann fügt Visual Studio eine Routine ein, die die Multiplikation macht. Das macht gcc übrigens genau so unter diesen Umständen. Ich ziehe daher meine Anschuldigung zurück, dass VS hier was verkackt. Verkackt hat alleine der Typ, der das Advisory geschrieben hat. Ich vermute, der wollte nur mal seine 15 Minutes of Fame abholen. Scheiß Publicity-Scheiß immer.
Beide reden sich um Kopf und Kragen, aber die SJWs löschen dann schnell ihre peinlichen Tweets.
Ich frage mich, ob dem Trump einfach noch keiner erklärt hat, wie man Tweets wieder löscht, ob dem seine alten Tweets schlicht nicht peinlich sind, oder ob er das nicht alles mit voller Absicht macht.
Stellt euch mal vor, ihr wäret US-Präsident, und ihr wurdet von den ganzen Rednecks gewählt. Eigentlich seid ihr eher progressiv drauf, habt jahrelang für Abtreibungen argumentiert, für eine ordentliche staatliche Gesundheitsversorgung, für Drogenliberalisierung. Ihr müsst jetzt irgendwie diese Hillbillies befrieden, damit die nicht mit Mistgabeln nach Washington kommen. In Sachen Signalling macht Trump gerade aus der Perspektive alles richtig, und da sind auch die alten peinlichen Tweets alle eher Asset als Liability.
Aber hey, was ich eigentlich sagen wollte: Ich brauche eure Hilfe. Arnold hat ja bei Trumps Amtseinführung seine Reality-TV-Sendung "The Apprentice" übernommen, und ohne Trump gingen natürlich direkt die Einschaltquoten runter. Seit dem piesacken die sich gegenseitig aus der Ferne. Arnold meinte dann irgendwann, hey, Trump, lass uns tauschen. Du machst Apprentice, ich mach Präsident! :-)
Trump hat daraufhin beim National Prayer Breakfast (nein, wirklich!) dazu aufgerufen, für Arnold zu beten. Also nicht direkt für Arnold, für Einschaltquoten. Glaubt ihr nicht?
President Donald Trump veered off script at the start of the National Prayer Breakfast Thursday when he asked a room full of lawmakers, foreign dignitaries and religious leaders to pray for Arnold Schwarzenegger so that ratings of his show — NBC's "The Apprentice" — would go up.Also ich für meinen Teil kann nur sagen: you had me at "National Prayer Breakfast". WTF?!Aber da ging mir durch den Kopf: Was wir jetzt brauchen, ist ein GIF. Arnold geht in die Vergangenheit, um Trump zu verhindern. Ich finde gerade keine Bilder von Miles Dyson (dem Cyberdyne-Chef in Terminator 2) mit Arnold in einem Bild. Das wäre glaube ich das angebrachte Motiv an der Stelle. Da halt über den Dyson einen Trump-Kopf photoshoppen.
Oder man könnte auch einen Photoshop machen mit einem Trump-T800, der Arnold jagt. Denkt euch mal was schönes aus, und viel Spaß dabei!
Update: Oh das war anders herum. Erst hat Trump zum Gebet gerufen und dann hat Arnold gemeint, wir können ja tauschen, dann können die Leute wieder ruhig schlafen.
das Geschlechterverhältnis bei Neugeborenen wird u.a. durch radioaktive Niedrigstrahlung beeinflusst, das ergaben Auswertungen nach den oberirdischen Atomwaffentest in den 1950er und 60er (Nordhalbkugel), nach Tschernobyl (in ganz Europa). Das Phänomen gab es z.B. auch hier lokal an der Asse während der Einlagerungszeit von Atommüll 1967 - 1978 und um Gorleben.Nun, die nächste Atomanlage heißt "Kernkraftwerk Philippsburg"http://www.duh.de/pressemitteilung.html?&tx_ttnews%5Btt_news%5D=2838
Vielleicht sollte die Speyerer mal schauen, wo das nächste AKW oder die nächste Atomanlage steht.
*GRUSEL*
Das ist natürlich eine sehr, sehr schlechte Idee, so ein Gesetz. Erstens einmal ist das ja keine Justiz, wenn ein Richter in Land A Land B verklagt. Ein Gericht muss neutral sein. Das wäre eher ein Schauprozess als Gerechtigkeit. Außerdem spräche dann nichts mehr dagegen, dass andere Länder das selbe mit den USA machen, und, sagen wir mal, den Botschafter einlochen und Milliardenstrafen verhängen. Ich denke hier beispielsweise an Venezuela und andere Länder in Südamerika, die seit vielen Jahren überzeugt sind, dass die USA ihnen massive Schäden zufügen bis hin zu Putschversuchen. Wenn die jetzt alle sagen, hey, wir frieren mal alle Assets von US-Konzernen ein, dann wäre aber ganz schnell Ende mit Ölförderung und Chiquita und so.
Daher hat Obama ein Veto eingelegt. Das Parlament will das jetzt überstimmen.
Da weiß man auch gar nicht, auf wessen Seite man sein soll. Popcorn!
Die Wurzel des Problem ist natürlich, dass die USA den Internationalen Strafgerichtshof, der ja eigentlich für sowas zuständig wäre, nicht anrufen können, weil sie ihn nicht anerkennen wollen. Auch aus Angst, dass sie dann sofort abgeurteilt werden.
Da waren wohl zu viele beschlagnahmte Drogen in der Asservatenkammer und sie brauchten dringend Platz.
Update: Ich höre gerade den Einwand, dass sie mal Gollum hätten nehmen sollen statt Yoda. Wegen dieser Geschichte finde ich das auch. Wenn jemand weiß, wie man mit Hatespeech umgeht in einer echten Demokratie, dann ist es der Erdogan.
Das Problem ist übrigens ein Riesenreibach:
Asset forfeiture is fast growing — in 2014, for instance, federal authorities seized more than $5 billion in assets. That's more than the value of assets lost in every single burglary that year.Das muss man sich mal auf der Zunge zergehen lassen! Bürger müssen sich mehr vor der Polizei als vor Einbrüchen fürchten! Zustände wie beim Sherriff von Nottingham!
Mein Hauptproblem war, dass gcc immer noch Aufrufe via PLT erzeugt hat. Was mir heute nachmittag auffiel: Das waren alles Funktionen, die aus Assembler-Quellen kamen, nicht aus C-Quellen. Da fehlte schlicht überall ein .hidden, wenn man im PIE-Modus kompilierte. -fvisibility=hidden bewirkt nichts bei .S-Quellen.
Oh und für die Variablen braucht man Relozierung, aber da tat mein vorgestern gehackter Code sogar schon. Nur der PLT-Scheiß war noch im Weg.
Das ist ein großer Meilenstein. Jetzt ist noch die Frage, wieviel das kostet, und ob ich das nicht einfach zum Default machen sollte. Der Relokationscode kostet ein paar hundert zusätzliche Bytes im Codesegment.
Infrastruktur wird überhaupt nur beurteilt, wenn sie versagt - ansonsten wird sie gar nicht wahrgenommen. Der Linux-Kernel wird an "ReiserFS/btrfs/XFS/ext4 hat meine Daten gefressen" und an "Der Kernel cored, wenn die Kiste aus dem Sleep aufwacht" gemessen und nicht an "Oh, der write(2) System Call hat meine Daten tatsächlich auf die Platte geschrieben.Ich stimme dem im Detail nicht zu (ich bewerte den Kernel auch nach neuen Features und Performancegewinnen bei alten Features), aber das kann man auch durch geschickte Wortauslegung wegdefinieren. Die Ausführungen finde ich trotzdem weiterhelfend und konnte das so auch schon beobachten. Bei so langen Statements erwähne ich häufig den Einsender nicht, aber in diesem Fall linke ich mal auf ein vergleichbares Statement von ihm, denn Kris macht das seit vielen, vielen Jahren und weiß, wovon er spricht. Das Verständnis der verschiedenen Herangehensweisen von Infrastruktur-Kram und Feature-Kram ist wichtig und es kann uns allen nur hilfreich sein, wenn wir es uns immer mal wieder vor Augen führen.Das ist ein großer Unterschied zu Libreoffice, das keine Infrastruktur ist und an neuen Best Cases (= neue Features) statt an seinen Worst Cases gemessen zu werden.
Infrastrukturentwickler verwenden also dieselben Sprachen, Tools, Unit-Tests, VCVSe und dergleichen mehr, arbeiten aber unter einem komplett anderen Wertesystem.
Wenn da einer auf der LKML ankommt und zeigt "Hier, neuer shiny code" (= neuer Best Case), dann wissen die schon, daß der aus einem anderen, falschen Universum ist. Infrastrukturentwickler wissen, daß Code auch immer Bugs/LoC hat, also eine Liability und kein Asset ist. Das kann man natürlich versuchen, solchen Personen immer wieder, und wieder, und wieder zu erklären, aber das kostet mehr Energie als es wert ist.
Man will in einer Infrastruktur auch nicht mehr Leute haben. Wenn wenn man da einmal genug Teilnehmer hat, daß das Projekt läuft, dann sind mehr Leute auch kein Asset, sondern eine Liability - und das gilt nicht nur für die LKML-Regulars oder Kernel-Committer, oder glibc-Developer, sondern auch für Leute, die Deine Gasleitungen oder Stromkabel warten, und sogar für Wikipedia Admins (sic!). Das ist ein ganz besonderer Menschenschlag, mit einer besonderen Arbeitsethik, die vollständig daraus stammt, daß die ihre Arbeit dann gut machen, wenn sie ihnen nicht gedankt wird und sie einfach niemand bemerkt.
Infrastrukturprojekte wollen nicht nur Deinen Code nicht, sondern auch Deine Mitarbeit nicht, weil sie - ausreichend Basis-Masse vorausgesetzt - beides nicht brauchen. Insbesondere können sie Dich nicht brauchen, wenn Du nicht diesen Infrastruktur-Mindset hast, weil Du sonst auch die Kritik und die Arbeitssituation unter einer Fail-Metrik wie sie bei Infrastuktur herrscht nicht aushältst.
Wenn man da als shiny bling bling Feature-Developer hin kommt, oder als eine 'Findet mich und meine Anliegen wichtig'-SJW-Mentalität, dann passiert eine Sarah Sharp.
“The ministry might find it an opportunity to exchange support with the United Kingdom, where the Kingdom of Saudi Arabia would support the candidacy of the United Kingdom to the membership of the council for the period 2014-2015 in exchange for the support of the United Kingdom to the candidacy of the Kingdom of Saudi Arabia.”Another cable revealed that Saudi Arabia transferred $100,000 for “expenditures resulting from the campaign to nominate the Kingdom for membership of the human rights council for the period 2014-2016”. It was unclear where or how this money was spent.
Soviel sind also die Menschenrechte weltweit wert. 100.000 Dollar.Und was tun die Saudis, wenn man sie mitreden lässt? Sie finden, LGBT-Rechte sollten nicht Teil der Entwicklungsziele der Uno sein.
The protest comes from the Saudi Foreign Minister, Adel Al-Jubeir, who told the UN General Assembly that “mentioning sex in the text, to us, means exactly male and female. Mentioning family means consisting of a married man and woman,” AP reported.He stated Saudi Arabia has the right not to follow any agenda that runs “counter to Islamic law”.
$ echo "int main() { return 0; }" > t.c
$ time gcc -o t t.c
gcc -o t t.c 0.03s user 0.01s system 31% cpu 0.122 total
$ time gcc -o t t.c
gcc -o t t.c 0.02s user 0.01s system 92% cpu 0.036 total
$ time clang -o t t.c
clang -o t t.c 0.19s user 0.02s system 56% cpu 0.372 total
$ time clang -o t t.c
clang -o t t.c 0.23s user 0.01s system 99% cpu 0.243 totalDas ist besonders auffällig, wenn ich meine Libraries kompiliere, die immer aus vielen kleinen Fitzeldateien bestehen. Einmal libowfat mit gcc bauen dauert 10 Sekunden, mit clang dauert es 1 Minute 25 Sekunden. WTF? Auf der selben Hardware, versteht sicht, mit allen Dateien im Cache. Und gcc ist noch "ineffizient". Bei gcc gibt es gcc, das Frontend, dann cc1, das Backend, dann as, den Assembler, dann collect2, den Wrapper um den Linker, dann ld, den Linker. Bei clang gibt es clang und ld. Wie kann denn das bitte so viel langsamer sein?!
Gut, das ist mit -O2. Vielleicht ist der Optimizer so lahm bei clang? Probieren wir mal mit -O0. gcc: 7 Sekunden. clang: *waaaaart* *kaffeehol* 1 Minute 22. Was zur Hölle?!?
clang ist von LLVM 3.7, gcc ist 5.2.0. Plattform ist Linux/AMD64.
Da tun mir ja fast ein bisschen die BSDler leid, die aus fundamentalistisch-politischen Gründen von ihrer Distro zu so einem Lahmarsch-Compiler migriert wurden.
Bei C++ ist das übrigens anders herum, da ist clang dann schneller. Aber soll ich was sagen? Es gibt da draußen viel mehr kleine C-Fitzeldateien als große C++-Monster.
Spannenderweise ist der bleeding-edge-clang++ aus dem SVN plötzlich Faktor 10 langsamer als g++. Da muss wohl irgendwas schiefgelaufen sein.
Update: Ich habe eine Theorie, wieso clang so hohe Startup-Kosten hat. Ich habe beim Bauen Shared Libraries aktiviert. Daher lädt clang bei mir beim Start gefühlte 100 Libraries rein. Das kostet halt.
Update: Und die SVN-Version hab ich versehentlich nicht auf Release-Mode gesetzt beim Bauen, deshalb ist die so lahm.
Update: Wenn ich die SVN-Version im Release-Modus und statisch gelinkt baue, dann ist der tatsächlich geringfügig schneller als gcc. Ich ziehe also alles zurück und behaupte das Gegenteil.
ENDLICH sind wir weg von diesem Flash-Binärkack und von Binaries für irgendwelche speziellen Plattformen und haben Skriptsprachen für eine gemeinsame Plattform. Endlich kann man einfach Ctrl-U machen und sich angucken, was da passiert. Kaputte Skripte zur Not selber debuggen. Selbstgehackte DRM im Web ist endlich weg (abgesehen von diesem Chrome-Netflix-Zeugs).
Und was machen diese Schwachmaten da? Erfinden ein neues Binärformat fürs Web. Und sagen explizit an, dass das ein Compiler-Target sein soll. JA SUPER! Ich sage gleich mal an, dass es eine Industrie geben wird, die auf Basis davon DRM baut, die "Obfuscation"-Technologien verkaufen wird, und wir werden eine neue dunkle Ära für geschlossenes Web einleuten. Und das alles so völlig ohne Not! Und dann werden wir wieder "works best in Internet Explorer" haben. Eine Frage der Zeit, bis Microsoft oder Apple spezielle proprietäre APIs für ihre "Web-Binaries" exportieren. DirectX für WebAssembly! Und am Ende haben wir dann ein verkapptes .NET für Arme im Browser. Hint: Hatten wir schon. Hieß Silverlight. Ist gefloppt.
In the strip search, the girl was asked to remove all her clothing, including her underwear.Krass, wie genau man heutzutage gucken muss, um Beweise zu finden!Oh warte, sie haben gar keine Beweise gefunden.
No drugs were found.Was tut man da? Na klar! Das Opfer verfolgen! Das Mädchen wurde der Schule verwiesen. Sie hat sich vor Gericht dagegen zu wehren versucht — und verloren. Money Quote:
The incident created a furor in Quebec's National Assembly and made headlines around the world after then education minister Yves Bolduc defended the strip search, saying it was acceptable as long as it was done in a "respectful manner."
Die quillt über. Was also tun? Wenn Platz für neue Beweisstücke fehlt, schmeißt man halt alte weg. Aber die haben da anscheinend kein System, um sich zu merken, welche Beweisstücke noch gebraucht werden und welche nicht, und so kommt es immer wieder vor, dass sie für ein Gerichtsverfahren feststellen müssen, dass ein Beweisstück weggeschmissen wurde.
Die Mathe-Ausbildung in den USA muss noch übler sein als bisher angenommen.
Oder das soll eine Anspielung auf den alten Polizei-Joke sein. "Drogenhändler mit 40kg Kokain festgenommen. Alle 20kg Koks wurden beschlagnahmt. Die 10kg Koks sind jetzt auf dem Weg in die Asservatenkammer. Auf dem Revier sind alle 5kg Koks angekommen, die Asservatenkammer hat die vollen 2,5kg entgegengenommen."
Schließlich geben verschiedene Asservate Rätsel auf. In den Aschenbechern von Köhlers Auto, das 200 Meter vom Tatort entfernt parkte, fanden Ermittler 47 Zigarettenkippen sechs verschiedener Sorten. "Selbst wenn Köhler verschiedene Marken rauchte, so wohl kaum auf der Rückbank und teilweise mit oder ohne Filter", sagt Dietrich.Wieso? Ich fand, das war ein starkes Indiz für die Einzeltätertheorie!1!!
Heute würden die Kippen dank neuer Labormethoden wohl Aufschluss geben über Mitfahrer und Kontakte Köhlers. Die Zigaretten wurden 1997 aber zusammen mit anderen Asservaten vernichtetDas ist ja bedauerlich, tragisch gar!
unter anderem mit Fragmenten einer bei der Explosion abgetrennten Hand. Dietrich sagt, dass die Hand nie zugeordnet werden konnte. "Wenn jemand eine Hand verliert und sich nicht meldet, spricht das ebenfalls gegen die Einzeltäterthese."Ja wie jetzt, da hat man doch zwei von! (Danke, Uli)
Nanu? Da hätte mir ja auch mal jemand Bescheid sagen können!
Letztlich muss man Code dieser Art natürlich nach wie vor vermeiden, weil man sich eben nicht darauf verlassen kann, dass nicht irgendein Language Lawyer bei irgendeinem Compiler-Hersteller so argumentiert und den Check wegoptimiert.
Das gilt für Pointer-Arithmetik und für signed int-Typen. Bei meinen Tests gerade hat übrigens auch LLVM das nicht wegoptimiert, dabei hatten die vor ein paar Jahren erst in ihrem Blog verteidigt, auf Basis von undefiniertem Verhalten in C zu optimieren.
Der wohldefinierte, sichere Weg ist übrigens, die Zeiger vor der Arithmetik zu uintptr_t zu casten.
Zum Vergleich: Die selbe Firma hat vorher auch Cryptocat mal auditiert und das kommt deutlich schlechter weg.
Update: Das Kokain hat der Mann nur zu Schulungszwecken zurückgelegt, sagt er.
Unfassbar. (Danke, Jan)
Das Depot sei aus technischen Gründen nicht mit einem Alarm gesichert gewesen.Die BESTEN der BESTEN der BESTEN, SIR!
Klar, warum würde man auch einen Alarm an einer Asservatenkammer haben!1!! Ist ja nicht so als lägen da sensible Dinge wie Drogen, Sprengstoff und Schusswaffen. (Danke, Christian)
Da wird einem doch gleich viel klarer!
"We make the modest proposal that the negotiating rooms should in future be an inebriation-free zone," Joseph Torsella, deputy U.S. ambassador to the United Nations for management and reform, told the General Assembly's budget committee.Und zum Unterstreichen ihrer Ernsthaftigkeit kommt auch gleich noch eine schöne Drohung am Ende:"If … negotiators do not arrive on time for meetings scheduled on nights and weekends, or simply refuse to meet on a specific item in order to run down the clock, we must conclude that they do not share a commitment to negotiating in good faith, and we will respond accordingly," he said.Offenbar sind die ein paar Mal sitzen gelassen worden und haben keinen Bock mehr auf doofe Spielchen :-)
Medienkompetenz-Update: Es geht um das noch nicht verstrahlte Grundwasser. Ist immer noch Scheiße, weil das Salzwasser ist, das die da ins Süßwasser einleiten wollen, aber ist immerhin nicht radioaktiv oberhalb der natürlichen Strahlung. 100 Punkte für alle, die's selber gemerkt haben. (Danke, Marcel)
Eine befriedigende Antwort gibt es noch nicht, aber immerhin können wir schonmal Lagerfläche für Asservate ausschließen, denn die Staatsanwaltschaft ließ die Beweise der Nazibomber vernichten.
Als die BKA-Ermittler im vorigen Dezember die alten Beweismittel aus Köln untersuchen wollten, bekamen sie eine ernüchternde Antwort: Sämtliche Asservate seien längst vernichtet, auf Anordnung der Kölner Staatsanwaltschaft. Laut dem SPIEGEL vorliegenden Dokumenten hatte die Anklagebehörde bereits am 23. Januar 2006 verfügt, die "diversen Tatortspuren (alle)" zu zerstören. Ein Spurenabgleich mit der DNA der mutmaßlichen NSU-Terroristen ist dadurch offenbar nicht mehr möglich.Ich denke mal, das wird eher in so essentielle Gewinnerprojekte wie INPOL-NEU oder den neuen digitalen Polizeifunk geflossen sein.
Analog hier jetzt: nur eine handvoll Trojanereinsätze bekannt. Das Dutzend Trojanereinsätze ist ja wohl kaum der Rede wert, wir reden hier schließlich bloß von 20 Trojanereinsätzen, und wer kann bei nur 40 Trojanereinsätzen schon von einem Problem reden, das waren ja bloß 100!
Der Konzern habe im Vertrauen auf die im Herbst 2010 beschlossenen Laufzeitverlängerungen Investitionsentscheidungen in erheblichem Umfang getroffen.Was für eine Frechheit. Investitionen, ich lache mich kaputt. Die Bundesregierung sollte denen einfach die Rechnung für die bisherigen Castor-Transporte schicken, und für die Asse, die ganzen Gutachten, und rückwirkend für marktübliche Versicherungsprämien, die sie nie zahlen mussten, weil die Bundesrepublik für sie gehaftet hat.
Update: Per Mail kommt gerade der Hinweis, dass die nicht behaupten, Investitionen getätigt zu haben, nur Investitionsentscheidungen. Mit der Begründung könnte man analog gegen Elterngeld-Veränderungen klagen, weil man darüber nachgedacht hat, ein Kind zu zeugen.
Aber hey, Faktor 24, echte Männer lachen da doch drüber. Wie z.B. der Sprecher des Asse-Betreibers:
Gegenüber NDR.de bezeichnete Nording die Strahlung aber nicht als gravierend. Das BfS habe alle Schutzmaßnahmen ergriffen, die zur Sicherheit der Beschäftigten erforderlich seien, betonte der BfS-Sprecher.Bwahahahaha
Oh und Captain Obvious möchte noch hinzufügen, dass immer noch kein einziger dieser Banker im Knast gelandet ist.
Engineer (m/f) for Pressurised Water Reactor Technology[…]
Assertiveness and ability to work under pressure – even in stressful and tricky situations
und aus dem zweiten:Boiling Water Reactor Engineer (m/f)[…]
The ability to work well under pressure, diligence and a sense of responsibility
"Work well under pressure", mwahahahaha (Danke, Christoph)
Das Land Niedersachsen schließt nun neue Strahlungsmessungen nicht aus. Möglicherweise wäre es eine Konsequenz zu überprüfen, ob das Messprogramm "umfangreich und vollständig" ist, sagte eine Sprecherin des Umweltministeriums.Warum nicht erstmal diskutieren, ob man eine Arbeitsgruppe gründen soll? Vielleicht ein bisschen "Monitoring"? Klingt modern und ist mit keinerlei tatsächlichen Handlungen verbunden. Hat schon bei der Asse perfekt funktioniert:
Vor Kurzem war bekannt geworden, dass in der Umgebung der Asse doppelt so viele Leukämie- und dreimal so viele Schilddrüsenkrebsfälle wie im statistischen Durchschnitt aufgetreten waren. Eine Arbeitsgruppe versucht seither, der erhöhten Krebsrate auf den Grund zu gehen.
Update: Wir hatten das neulich bei Alternativlos erklärt, aber der eine oder andere hat es vielleicht verpasst: Burying ist der Name dafür, peinliche Dinge zu einer Zeit zu machen, wo die Medien mit einer anderen, großen Geschichte beschäftigt sind. Typische Zeitpunkte für sowas sind: während der Fußball-Weltmeisterschaft, wenn gerade ein Vulkan auf Island ausbricht, oder halt wenn in Ägypten Revolution ist.
Und wo wir gerade bei Atommüll sind… Rüttgers kann sich gar nicht mehr erinnern, ob er bei seinem Amtsantritt 1994 über die Existenz von 126.000 Fässern Atommüll informiert worden ist. Ach so ein paar Fässer Atommüll, das vergisst man ja auch schon mal. Das ist ja nun wahrlich kein relevantes Detail, besonders dann nicht, wenn man der zuständige Minister ist.
Auffallend auch, wie wenig sich die Strategien innerhalb der CDU weiterentwickeln. Schon Kohl hatte ja Gedächtnisprobleme vor dem Untersuchungsausschuss. Immerhin können wir uns bei der CDU sicher sein, dass die nie Hirnscanner einführen werden.
Update: Die CDU lässt ihre Wahlkampfpostille eine Gegendarstellung drucken.
Police became suspicious after drug traffickers were found to be in possession of properties which had officially been seized by the agency.Colombian Minister of Justice German Vargas Lleras said he had ordered the intervention after "hundreds of irregularities and many serious anomalies" had surfaced at the National Narcotics Office.
Wenn ich sowas lese, frage ich mich ja schon, was der sich nach den ersten 200 Anomalien denkt. "Ach komm, das sind noch nicht genug Indizien, bestimmt alles nur Messfehler und bedauerliche Einzelfälle" oder wie?The government announced the contracts of 100 employees would not be renewed, and all remaining employees would come under close scrutiny.Das ist ja schon beeindruckend, wie viele Leute da in Kolumbien einfach nur dafür zuständig sind, beschlagnahmte Drogen zu verwalten. Wow.Hier ist noch ein Highlight:
His predecessor, Omar Figueroa, was asked to resign from his post after it was found that the person put in charge of managing the property seized from an infamous drug dealer had links to the dealer's cartel.Hihihi
[…] McAllister (CDU) hat Indien Unterstützung bei dessen Scuhe nach einem Endlager für Atommüll angeboten. „Genau wie bei uns in Deutschland ist das auch hier eine nicht geklärte Frage“
Nun denkt sicher der eine oder andere, dass der da unseren Atommüll nach Indien exportieren will. Will er aber nicht.
Woher ich das weiß? Weil McAllister Gorleben als Geldquelle erkannt hat. Money Quote:
So ist der Bund bei der Sanierung der maroden Schachtanlage Asse II in der Pflicht. Ich poche darauf, dass die Asse saniert wird. Die Kernkraft-Betreiber sind an den Kosten in erheblichem Maße zu beteiligen. Ob die Mittel dafür aus der Brennelementesteuer kommen oder anderswo her, ist nebensachlich. Hauptsache, das Geld fließt.Denn guckt da mal wie ein skrupelloser CDU-Politiker drauf! Sanierung von Gorleben und der Asse, Ausbau, Gutachten, was das für Arbeitsplätze schafft! Da kann man mindestens zwei neue Behörden mit begründen!!1! Aber natürlich nur, wenn der Müll auch in Niedersachsen bleibt.
Also wenn ihr mich fragt, wäre die beste Lösung, erstmal die CDU in der Asse einzulagern. (Danke, Florian)
Von den Sites mit Zahlfunktion waren zwei 3d-Cartoon-Sites, von denen sie aber glauben, dass da nur Kreditkartendaten gesammelt werden sollten, und zwei waren Nudistensites ohne sexuellen Kontext. DAS, meine Damen und Herren, ist ihre Ausbeute. Kein einziger Fall von tatsächlichem Missbrauch. Nada.
Der Rest der Sites ist Kategorie A1:
The site shows young children in suggestive, but clothed, positions.Unter diesen Umständen ist "Kinderpornographie im Netz kein großes Geschäft" ja wohl eine eher untertreibende Beschreibung der Situation.
Wie aus dem Abschlussbericht zum "radioaktiven Inventar" hervorgeht, lagern in der einsturzgefährdeten Schachtanlage 16.100 Abfallbehälter mit mittelradioaktivem Müll. Bisher waren die Behörden von 1.300 solchen Fässern ausgegangen. Außerdem liegen die Behälter in mehreren Lagerkammern auf verschiedenen Ebenen im Bergwerk verteilt, auch das war bisher nicht bekannt.Nö, klar, warum sollte man sowas auch in den Büchern erwähnen. Handelt sich ja nur um FUCKING ATOMMÜLL, was kann da schon passieren!1!!
ls -t | sed '1,10d' | xargs rm -fUnd jetzt kriege ich von crond die folgende Mail:
Output from command: bin/make-cvs-tarball.shWTF?! Es gibt so Tage, da habe ich den Eindruck, einfach alles selbermachen zu müssen. xargs gehört zu den paar essentiellen System-Tools, die ich in der Tat noch nicht reimplementiert habe. Das xargs war von 2007, ich habe mal ein neueres eingespielt, und mit dem geht es dann. Aber mal ernsthaft, WTF?! Das kann ja wohl nicht wahr sein!xargs: xargs.c:445: main: Assertion `bc_ctl.arg_max <= (131072-2048)' failed.
sed: couldn't flush stdout: Broken pipe
According to a Guardian investigation, any development of the site risks unearthing a hundred tonnes of radioactive waste dumped at the former landfill site decades ago. Documents obtained under Freedom of Information (FOI) rules reveal that, contrary to government guidelines, waste from thorium and radium has been mixed with very low-level waste and buried in a so-called disposal cell under, or close, to the Olympic stadium.Oh, gleich hundert Tonnen! Ach was kann da schon passieren. Das ist bestimmt genau so sicher wie die Asse.
Ich glaube ja, dass das deren Plan für die verteilte Lagerung der Uransalze aus der Asse ist. Aus der Not eine Tugend machen und so. :-)
Update: gibt es sogar schon (Danke, Kerstin)
Die Einlagerung von rund 126.000 Fässern mit Atommüll lasse sich nicht ausschließlich mit dem damaligen Status als Forschungsbergwerk erklären, sagte Schavan am Donnerstag im Asse-Untersuchungsausschuss des Landtags in Hannover.No Shit, Sherlock!
Lacher am Rande: sie wollen mit der Industrie verhandeln, damit die die Schließung der Asse finanzieren. Warum sollte die Industrie da auch nur einen müden Cent raustun? Egal, darum geht es nicht, es soll mit dem "verhandeln" bloß Aktionismus gezeigt werden. So viel Schulden wie wir schon haben, da macht das bisschen Asse-Abbauen den Kohl auch nicht mehr fett.
Ach ja, und mit Schließung meinen sie "den Atommüll da rausholen".
In diesem Sinne: Programmiert Assembler für die Weltrettung!
Prince, likewise, decided to retire the Blackwater name and replace it with the name Xe, short for Xenon—an inert, non-combustible gas that, in keeping with his political leanings, sits on the far right of the periodic table.Tja, und dann schreiben sie noch, dass er nicht nur Vertragspartner der CIA war, sondern auch ein "Asset". Gegen Ende geht es um das Mordkommando, an dem Blackwater teilnimmt, und da kommt dann dieses spannende Detail:“In Syria,” he says, “we did the signals intelligence to geo-locate the bad guys in a very denied area.” Subsequently, a U.S. Special Forces team launched a helicopter-borne assault to hunt down al-Qaeda middleman Abu Ghadiyah.Ach nee, in Syrien operieren die auch…
Ich habe ja schon überlegt, ob man da mal ein Mem draus macht. "AOL wurde ja auch total gemurdocht, da stehen nur noch verbrannte Ruinen!"
Aber der Rest des Vertrages ist eine einzige Katastrophe. Gerichtsvollzieher sollen privatisiert werden (warum nicht auch gleich das US-Konzept der Bounty Hunter importieren? Das schafft Arbeitsplätze!1!!). Unternehmensverbunde sollen wieder Verluste aus Sparte A mit den Gewinnen von Sparte B verrechnen dürfen (oder auf Deutsch: kein Unternehmen wird jemals wieder Steuern zahlen, wenn sie es nicht absichtlich darauf anlegen). Und falls das nicht reicht, soll die Zinsschranke auf 3 Millionen erhöht werden. Die Zinsschranke ist dafür da,…
In der Vergangenheit hatten global agierende Unternehmen durch Kapitalzuführung aus dem Ausland erreicht, dass in Deutschland steuerlich abzugsfähiger Zinsaufwand entsteht, die Zinserträge dagegen im Ausland erfasst werden. Die Zinsschranke dient in erster Linie der Vermeidung dieser grenzüberschreitenden Gestaltungen.Völlig klar, das muss aufgeweicht werden!1!! Dann soll die Funktionsverlagerung repariert werden; das war Teil der Steuerreform 2008. Hier geht es darum, dass Unternehmen z.B. ihre Fertigung von Sachsen nach China schieben, und dass das besteuert wird. Weil der Staat ja eine Fabrik in China nicht besteuern kann, haben sie daher das Know-How der versetzten Mitarbeiter als Kapital gewertet, wenn ich das richtig verstehe, und das besteuert. Völlig klar, hier muss "reformiert" werden; wir (also die CDU) wollen schließlich, dass Arbeitsplätze das Land verlassen!
Die Formulierungen sind auch ansonsten ganz großes Kino. So tun sie gar nicht mehr so, als habe "Biokraftstoff" was mit Umweltschutz zu tun (das Gegenteil ist der Fall). Humoristisch sehr hochwertig ist auch, wie sie die Erbschaftssteuerentkernung als Impuls verkaufen, der Deutschland aus der Krise führen soll. Dabei sind die Erbschaften genau der dynastieerhaltende Baustein, der die Ober- von der Mittelklasse trennt und eine gerechtere Gesellschaft verhindert.
Außerdem will man den Normenkontrollrat stärken, der ja der Lange Arm von Bertelsmann (und INSM) in der Politik ist. Tolle Wurst. Großartig ist auch der Beitrag zur Bankenkrise, den ich mal zitieren muss, so toll ist der:
Das Insolvenzrecht muss den neuen Herausforderungen angepasst werden. Wir werden ein Instrumentarium schaffen, dass es der Bankenaufsicht frühzeitig ermöglicht, systemrelevante Finanzinstitute im Rahmen eines geordneten Verfahrens zu restrukturieren.HAHAHAHA, wun-der-bar! Also wenn es einen durchgehende Tenor gibt in dem Papier, dann dass sie Gesetze reparieren wollen, die sie selber zu verantworten haben. Dieser Vertrag ist eine politische Bankrotterklärung. Und für Neusprech-Forscher ist das ein gefundenes Fressen. Z.B. das hier (es geht ums Stromnetz):
Die Regulierung der Netze soll nicht nur niedrige Nutzungsentgelte im Blick behalten, sondern auch qualitative Elemente berücksichtigen, um so schnelle und längerfristige Investitionen auszulösen.Aha. Soso. Das sieht man ja, wie toll das bisher funktioniert hat… Weitere Highlights:
Wir stehen für eine solide Haushalts- und Finanzpolitik.HAHAHAHA, was für ein Schenkelklopfer! Oder der hier, zum Arbeitsamt:
Um Arbeitssuchende noch erfolgreicher in sozialversicherungspflichtige Beschäftigung vermitteln zu können, […]noch erfolgreicher? Das geht doch gar nicht!1!! Oder wie sie "befristete Beschäftigungsverhältnisse" in Kette erlauben wollen, um "Kettenbefristungen" zu "verhindern". Ich glaube ja, dass die fest damit rechnen, dass niemand jemals diesen ganzen Schmuh durchliest. Stimmt wahrscheinlich auch normalerweise.
Die Energiepolitik ist wie erwartet: weiter Kohlekraftwerke bauen, Atomkraftwerke laufen lassen, Asse schließen (harhar), Gorleben weiter erkunden. Oh und damit die betroffenen Regionen sich nicht weiter wehren, sollen sie "einen gerechten Ausgleich" bekommen. Also, mit anderen Worten, sie sollen bestochen werden. Immerhin hat auch Schwarz-Geld eingesehen, dass man die Energiemafia so nicht weitermachen lassen kann, und will die Übertragungsnetze ausgliedern. Sie halten auch am Emissionshandel fest (*stöhn*), und nennen "Biokraftstoffe der zweiten Generation" explizit als Energieforschungsziel. Sie bezeichnen die Bahnreform als "erfolgreich" und wollen die Transport- und Logistiksparten doch noch an die Börse bringen, das Schienennetz und die Bahnhöfe aber behalten (immerhin!).
Und noch ein Neusprech-Klassiker bei der Ernährungspolitik:
Eine politische Steuerung des Konsums und Bevormundung der Verbraucher durch Werbeverbote und Strafsteuern für vermeintlich ungesunde Lebensmittel lehnen wir ab. Ein farblich unterlegtes Ampelsystem zur Nährwert-Kennzeichnung führt die Verbraucher in die Irre.Und im Hintergrund sieht man jemanden einen Schwarzgeldkoffer der Nahrungsmittelindustrie wegschaffen…
Und noch ein Highlight, das seines Gleichen sucht: sie begründen ernsthaft die Fortführung der Agrarsubvention für brachliegende Grünflächen damit, dass das ja CO2 aufnimmt. *schenkelklopf* Ich brauche mehr Popcorn! Für Neusprech-Forscher ist das eine Goldgrube.
Ausbildungshemmnisse im Gastgewerbe werden durch ein flexibleres Jugendarbeitsschutzgesetz abgebaut.Soso, ein "flexibleres" Jugendarbeitsschutzgesetz also. Laßt uns wieder Kinderarbeit einführen!Für die Aktivisten, die sich gegen das BKA-Gesetz gewehrt haben, kommt die Passage dazu wie ein Schlag in die Magengegend:
Wir sind uns mit dem Bundesverfassungsgericht einig, dass ein letzter unantastbarer Bereich menschlicher Freiheit besteht, der der Einwirkung der öffentlichen Gewalt entzogen ist.Aha. Soso. Und wo wir gerade bei Einigkeit waren:[…]
Daher werden wir auf Grundlage der verfassungsgerichtlichen Rechtsprechung das BKA-Gesetz daraufhin überprüfen, ob und inwieweit der Schutz des Kernbereichs privater Lebensgestaltung zu verbessern ist.
Wir sind uns darüber einig, dass es notwendig ist, derartige kriminelle Angebote schnellstmöglich zu löschen statt diese zu sperren.Could have fooled me. Sehr schön neusprechig ist auch der Absatz über Pressefreiheit.
Darüber hinaus stärken wir den Beschlagnahmeschutz für Journalisten. Künftig wird eine Beschlagnahme nur noch bei einem dringenden Tatverdacht gegen den Journalisten möglich sein.Na das ist doch mal großzügig!
Und natürlich reagieren sie auch auf die Prügelpolizisten-Affäre, indem sie die Prügelpolizisten besser schützen wollen durch Stärkung des Paragraphen 113 StGB, dem üblichen Instrument der Polizei gegen die, die Kritik vorzubringen wagen. Ich für meinen Teil halte den Paragraphen für vollständig überflüssig, denn die Polizisten haben bereits das Gewaltmonopol und wenn jemand mit einer Waffe gegen sie vorgeht, verletzt das das Waffenrecht, und auch Körperverletzung und co sind bereits so strafbar. Das ist ein reiner Willkürparagraph. Kein Wunder also, dass die Schwarze Pest ihn stärken will. Oh und das war es noch nicht mit Stärkung des Polizeistaates. Hier ist noch eine krasse Fehlentwicklung:
Wir werden eine gesetzliche Verpflichtung schaffen, wonach Zeugen im Ermittlungsverfahren nicht nur vor dem Richter und dem Staatsanwalt, sondern auch vor der Polizei erscheinen und - unbeschadet gesetzlicher Zeugenrechte - zur Sache aussagen müssen.Endlich, mehr Willkürinstrumente der Polizei gegen die Bevölkerung. Der Zwang zur Zeugenaussage bei der Polizei ist ja letztendlich Freiheitsentzug, weil man in der Zeit nicht tun kann, was man eigentlich tun wollte.
Oh und auch nicht sonderlich überraschend sollen das Patent- und Markenrecht weiter verstärkt werden, als ob das nicht schon jetzt viel zu stark wäre. Und falls sich jemand gegen diese ganzen Knebelvorschriften wehren will… auch daran haben sie gedacht und wollen die Prozesskostenhilfe zusammenstreichen. Am Ende gibt es dann noch eine Packung transatlantisches Brownnosing, ein paar "EU stärken" und "freier Binnenmarkt" Lippenbekenntnisse (kurz vorher schreiben sie, wie sie die Gesetze nicht harmonisieren wollen, weil das ein Standortvorteil Deutschland sei) und eine Runde "Wir bekennen uns zur besonderen Verantwortung Deutschlands gegenüber Israel als jüdischem Staat", gekrönt von diesem grandiosen Satz:
Die Bundeswehr ist ein wesentliches Instrument deutscher Friedenspolitik.Krasse Kacke. Und DIE habt ihr in die Regierung gewählt!
Update: Hier kommt gerade von Juristen die Zusatzinfo rein, dass §113 mit weniger Strafe bewährt ist als die sonst einschlägigen Paragraphen und es daher gut ist, dass es den gibt. Ich ziehe daher meine Kritik oben zurück.
Laut einem Bericht der Tageszeitung Libération lagern „13 Prozent“ der radioaktiven Abfallprodukte auf einem nicht-überdachten Parkplatz in der für die Öffentlichkeit unzugänglichen Stadt Sewersk in Sibirien.Ein nicht-überdachter Parkplatz! Wow! Bei uns lagern ja viele Atomabfälle auf dem Gelände des jeweiligen Atomkraftwerkes, aber hoffentlich wenigstens überdacht.
Es besteht keine akute Gefahr. Es wurde keine seismische Aktivität festgestellt. Der Deckenbruch wird weiter beobachtet. Die Experten prüfen, ob dort Stabilisierungsmaßnahmen sinnvoll sind.Nee, klar, natürlich, keinerlei Gefahr. Wie immer nach Problemen mit Atomenergie. Und wenn sie sich nicht sicher sind, ob Stabilisierungsmaßnahmen noch sinnvoll sind, dann muss die Lage noch deutlich schlimmer sein als bisher angenommen. (via)
So ist ein Kompromiss für eine Laufzeitverlängerung im Fall einer Neuauflage einer Großen Koalition unmöglich. Ein Kompromiss würde für die SPD als "Umfallen" gewertet.Als ob sie das jemals vorher aufgehalten hätte… Nach dieser katastrophalen Fehleinschätzung geht es interessante weiter. Die CDU geht ein Risiko ein, Kernenergie im Wahlkampf überhaupt zu erwähnen, weil ihnen der kleinste Störfall den Wahlkampf zerschießen kann, und daher will die Energiemafia das auch nicht groß thematisieren im Wahlkampf, sondern man beschränkt sich lieber darauf,
die Befürworter in der Wahlkampfphase argumentativ so auszurüsten und zu informieren, dass eine scharfe emotionale Debatte unterbleibtNa dann schauen wir uns doch mal die Argumente an. Kernpunkt der Argumentation ist, Kernkraft als heimlichen Klimaschützer zu verkaufen und von Versorgungssicherheit zu reden. Und beim peinlichen Thema Endlager sollen sie sagen, dass wir ein Endlager auch im Fall des Atomausstiegs brauchen. Interessant wird es ab Seite 23, wo sie die Energiepolitik-Journalisten aufzählen und bewerten.
Kernpunkt des empfohlenen Handelns ist, die Endlager-Problematik zu besetzen, was glaube ich nicht geschehen ist. Dafür kamen einfach zu viele Horrormeldungen aus der Asse. Das Papier liest sich stellenweise sehr zynisch, z.B. auf Seite 34:
Glaubwürdig erkennbar zu machen, dass die Betreiber sich ihrer Verantwortung bewusst sind und aktiv in langfristige Akzeptanz investieren, stellt die ersten Schritte auf dem Weg zu mehr Zuspruch, Vertrauen und aufkeimender Legitimität dar — und ist damit der Nährboden für längere Laufzeiten.Legitimität wollen sie aufkeimen lassen? Die sehen sich offenbar auch selber als die Energiemafia! Krass.
Ab Seite 52 geht es dann um die sicheren Endlager und wird recht unterhaltsam.
Für die Bürger ist die Endlager-Debatte überwiegend ein mit Furcht, Skepsis und Ablehnung emotional durchdrungenes Thema. Diejenigen, die an die Sicherheit der Endlager-Standorte glauben, befinden sich in der Minderheit. Die Kernkraftbetreiber selbst meiden das Thema, da technisch überzeugende Lösungen weltweit noch nicht identifiziert werden konnten. Dabei hat sich die Problematik der Endlagerfrage in diesem Jahr weiter verschärft: Das Versagen der Asse-Betreiber hat den schwelenden Ressentiments in der Bevölkerung gegen die Atomkraft frischen Wind zugeführt. Die Bilder von Fässern, die mit tödlichem Inhalt ohne jede Vorsicht im Salzstock versenkt wurden, untergräbt die Glaubwürdigkeit der Vertreter, die wiederholt die Fähigkeit betonen, mit der Problematik der Endlagerung angemessen umgehen zu können.Harharhar, sehr schön.
In einem von Technologie dominierten Alltag, der in 30 Jahren Forschung keine überzeugende Lösung für das Problem gefunden hat, mehren sich die Zweifel, ob jemals eine Lösung gefunden werden kann.Soll noch mal jemand sagen, bei der Energiemafia arbeiten keine Realisten.
Kapitel 4.2.3 (Seite 54) handelt dann von der Suche nach Endlagern:
In Deutschland kommen unter den Salzstöcken die Standorte Zwischenahn, Gorleben, Wahn, Gülze-Sumte und Wattekatt in Betracht. Bei den Tonformationen konzentriert man sich ebenfalls auf norddeutsche Standorte, weil die süddeutschen Formationen entweder in seismisch aktiven Gebieten oder in Karstregionen liegen (Schwäbische Alb), die aufgrund des hohen Wasserzutritts nur bedingt geeignet erscheinen.Aber das absolute Hammer-Quote ist folgendes, warum Salzstöcke sicher sind:
Trotzdem gilt Salz unter den weiteren alternativen Gesteinsarten für ein Endlagern Ton und Kristalline Gesteine am sichersten gegen Wassereinbrüche — zumindest sofern das Salz nicht wie im Lager Asse II durch ein Grundwassereinbruch weggespült wird.Aha. Salzstöcke sind also sicher gegen Wassereinbruch, solange kein Wasser einbricht. Da fühlt man sich doch gleich viel sicherer!
Im Übrigen muss ich ja mal den Sigmar Gabriel loben. Das scheint der einzige SPD-Politiker mit Hirn zu sein. Der hat nicht nur mit seiner Asse-PR ein paar potentielle Gramm Gewebe in "Leichenteile" verwandelt, der hat laut dieses Papers auch folgenden tollen Sand ins Getriebe gestreut: Salzstöcke galten für Atommüll-Endlager immer als besonders gut, weil sie sich unter Druck verformen und so den Müll einschließen können. Als der Gabriel das kapiert hat, hat er die Anforderungen geändert, so dass man Atommüll jetzt für 500 Jahre potentiell zurückholen können muss. Damit sind Salzstöcke, auf die sich die gesamte Endlager-Planung in Deutschland konzentriert hat, plötzlich praktisch vom Tisch.
Dann gibt es noch Ton und Granit. Ton hat den Nachteil, dass es mit heißem Atommüll nicht klar kommt, weil sich unter hohen Temperaturen seine Struktur ändert. Und Granit hat den Nachteil, dass es für Wasser weitaus durchlässiger ist als die anderen. Kurz gesagt: alle Optionen sind schlecht.
Spannenderweise steht in dem Papier noch, dass die Experten, Bundesämter und Ministerien sich einig sind, dass man mal einen Standortvergleich machen muss, nur die CDU blockiert das immer und will bei Gorleben bleiben.
Lustig wird es noch mal in dem Kapitel 4.6, besonders 4.6.4 (Terrorismus):
Diese Stahlbetonhülle ist so massiv, dass sie in jedem Fall den Absturz eines Jagdflugzeugs aushält. Moderne Kraftwerke (Neckarwestheim II, Isar II) halten bei einer Fluggeschwindigkeit von etwa 400 km/h sogar den Absturz einer mittleren Verkehrsmaschine stand.Aha, falls also jemand eine Tornado klaut, sind wir sicher (allerdings m.E. nicht weil die Kraftwerke sicher sind, sondern weil die gar nicht erst ankommen). Eine mittlere Verkehrsmaschine, die mit 400 km/h fliegt, gibt es m.E. nicht. Verkehrsmaschinen fliegen mit 700-800 km/h. Aber gut, wenn der Terrorist vorher dem Aufschlag ordentlich abbremst, dann überleben immerhin möglicherweise vielleicht zwei unserer Kraftwerke das.
Nach Angaben der Zeitschrift liegt die Hauptlaugenzutrittsstelle in 658 Metern Tiefe. Der Zutritt sei "über Nacht und völlig unerwartet" um zehn Prozent auf 11.370 Liter am Tag angestiegen. Aus "bergaufsichtlicher Sicht" werde diese Steigerung sehr ernst genommen, habe das Landesbergamt mitgeteilt, da es über wenige Stunden zu einer so plötzlichen Steigerung gekommen sei. Es könne nicht ausgeschlossen werden, dass es im "schlimmsten Fall zu einem unbeherrschten Zustand" in der Anlage komme.Ach naja, das bisschen Plutonium da, was kann da schon passieren. Schlimmstenfalls kriegen wir da unseren eigenen Godzilla, der uns dann vor den ausserirdischen Monstern beschützt.
Heute: Angeblich sind in der Asse Leichenteile gelagert worden. Jetzt muss unsere Energiemafia nur noch bei der Prostitution groß einsteigen, dann decken sie soweit alles ab, oder?
Im Übrigen kursiert gerade das Gerücht, die Polizei würde mit dem Recht am eigenen Bild die Videos aus dem Netz klagen wollen. Ich weiß nicht, ob da was dran ist, ursprünglich kommt das offenbar vom Tagesspiegel. Bei dem CCC und mir ist noch nichts davon zu sehen. Das wäre auch aus mehreren Gründen nicht sehr schlau. Erstens halten sie damit die Geschichte in den Medien, zweitens überwiegt bei solchen Prügelexzessen das öffentliche Interesse, und drittens gibt es da diesen alten weisen Spruch:
Trying to remove information from the Internet is like fishing piss out of the swimming pool.Wir als CCC haben uns ja angesichts früherer Fälle sehr frühzeitig entschieden, das Video ins Internet zu stellen und möglichst dezentral zu lagern, damit das nicht beschlagnahmt werden und dann in der Asservatenkammer "beschädigt" werden kann.Oh übrigens, um euch mal einen Eindruck zu geben, wie gruselig der Corpsgeist bei der Polizei ist: ich habe da bisher extra nicht drauf gelinkt, aber es gibt ein öffentlich einsehbares Polizei-Webforum, in dem gar kraftvolle Statements zu dem Video veröffentlicht wurden. Hier hat mal einer ein Best-Of gemacht. Das Forum selbst hat den Thread inzwischen gesperrt und will ausmisten.
Zum Abschluß möchte ich nochmal einen Satz aus dem Feuilleton der Frankfurter Rundschau zitieren:
Das ZDF etwa hatte am Abend vor dem Schanzenfest in Hamburg seine Zuschauer schon mal darauf eingestimmt, dass es dort garantiert Randale geben werde. Wenn sie im Iran Demonstrationen mit Handys filmen, erfahren die Filmchen im TV eine wesentlich größere Würdigung als bei Kundgebungen im eigenen Lande.So sieht das aus!
Update: Vielleicht ist es doch nicht so schlimm, wie es gerade aussieht. Der RBB (ARD Berlin Brandenburg) berichtet:
Nach dem Übergriff auf einen Demonstranten während einer Datenschutz-Demonstration prüft die Berliner Polizei, ob mehr Beamte daran beteiligt waren als bisher bekannt. Derzeit richten sich die Ermittlungen des Landeskriminalamtes gegen zwei Polizisten wegen Körperverletzung im Amt. Die Auswertung von Polizeivideos soll Aufschluss geben, ob weitere Beamte tatverdächtig sind, hieß es am Dienstag.
Wir werden dafür sorgen, dass sie mehr als nur die Polizeivideos auswerten. Weiter unten dann:
Nach Angaben von Berlins Polizeipräsident Dieter Glietsch bekommen die Beamten ab kommendem Jahr zusammen mit den neuen blauen Uniformen ein Namens- und Nummernschild, das sichtbar getragen werden muss. Seit sechs Jahren läuft bereits ein Pilotprojekt mit 10.000 Namensschildern. Doch die wenigsten Beamten trügen sie, weil sie Repressalien fürchteten, sagte Glietsch.
Soso, Repressalien. In Hamburg gibt es ja auch eine Polizisten-ID, aber die wird in den Fällen nicht getragen, wenn die Polizisten in Riot Gear von möglicher Gewalt ausgehen, also genau dann wenn man sie gebraucht hätte. Aber selbst wenn die in Berlin eine Polizei-ID einführen, sollten wir trotzdem auf eine bundesweit einheitliche hinarbeiten, weil sonst ja immer noch Polizisten aus Bayern oder sonstwo in Amtshilfe in Berlin unerkannt herumprügeln könnten.
Aber hey, macht euch keine Sorgen. Da ist alles im Griff. Die pumpen jetzt die einsickernde Lauge hoch, für die "Zwischenlagerung" (nee, oder?) in Spezialspeichern. Denn unten ist die Situation so schlimm, dass es einfacher ist, die Lauge rauszuholen und neue Zwischenlager für die zu bauen, als den Atommüll da wieder raus zu popeln.
Ich frage mich ja, wie die Leute nachts ruhig schlafen können, die da bisher den Müll reingekippt haben. Ich verweise da nochmal auf die Bilder, von denen die schlimmsten leider schon wieder 404 sind. Hier kann man sich gut einen Eindruck machen.
Update: Ein SPD-Infobrief verkauft das wie folgt:
Vor dem Hintergrund der Terroranschläge von 2001 soll die Entwendung und Freisetzung von radioaktiven Stoffen noch wirkungsvoller verhindert werden. Hierfür soll die Zuverlässigkeitsüberprüfung von Personen, die am Umgang mit radioaktiven Stoffen beteiligt sind, wie Antragsstellern, Genehmigungsinhabern, deren Beschäftigten sowie von behördlichen Sachverständigen, ausgeweitet werden. Auch der Katalog der Behörden und Stellen, an die im Rahmen der Zuverlässigkeitsprüfung Anfragen nach bestimmten Erkenntnissen gerichtet werden dürfen, soll erweitert werden.
Außerdem soll für bestimmte an der Überprüfung beteiligte Behörden die Verpflichtung eingeführt werden, der zuständigen atomrechtlichen Behörde nachträglich erlangte zuverlässigkeitsrelevante Informationen zu melden (Nachberichtspflicht). Zum anderen soll als Konsequenz aus dem Statusbericht des Niedersächsischen Ministeriums für Umwelt und Klimaschutz zur Schachtanlage Asse II die Betreiberfunktion vom Helmholtz-Zentrum- München auf das Bundesamt für Strahlenschutz übergehen. Damit ist für den Betrieb und die Stilllegung der Schachtanlage Asse II das Bundesamt für Strahlenschutz zuständig. Neu eingeführt werden soll ebenfalls die Erfordernis, für die Stilllegung der Schachtanlage Asse II ein Planfeststellungsverfahren durchzuführen.
Aha. Das ist also alles nur ein bedauerliches Missverständnis. Hier geht es gar nicht darum, dass AKW-Betreiber kostenlos ihren Atommüll verklappen dürfen (was ja eine weitere Subventionierung des Atomstroms ist), sondern es geht um 9/11 und die Terroristen!1!! (Danke, Sven)
Bei C++ kann man z.B. Boost nehmen, oder die C++ Runtime von gcc hat auch atomare Operationen in ext/atomicity.h.
Level 3 Assets sind illiquide nicht handelbare Vermögenswerte bei denen kein Marktpreis abrufbar ist.(Danke, Bastiaan)
The purchases would be separate from the U.S. Treasury's $700 billion Troubled Asset Relief Program.Wie viel Kohle die da wohl versenken wollen, bis sie dem schlechten Geld kein gutes mehr hinterher werfen?Es gibt ja zwei Erklärungsmuster.
"Sie können sagen, dass die Sicherheit nirgends nachgewiesen ist", wetterte Gabriel. Die Asse sei "die problematischste kerntechnische Anlage, die wir in Europa finden".Und, sehr lustiges Detail am Rande: seit der Gabriel gemerkt hat, dass die Asse in seinem Wahlkreis liegt, ist er auch voll dagegen und will jetzt die Fässer woanders hin bringen lassen, bezeichnet die Asse gar als "die problematischste kerntechnische Anlage, die wir in Europa finden". (Danke, Jens)
So sind inzwischen fast 18 Prozent aller amerikanischen Banken nicht mehr profitabel, eine Situation, die nicht lange durchzuhalten sein wird. […]Und ich sage euch: ein paar Milliarden hier, ein paar Milliarden dort, nach einer Weile kommt da richtig Geld zusammen! (Danke, Tobias)Im 2. Quartal 2008 nahm die Zahl der Problembanken um 27 auf nunmehr 117 Institute zu. Das ist angesichts der Gesamtzahl von fast 8500 Instituten nicht besonders viel. Besorgniserregender ist jedoch das Volumen der Assets dieser Banken, das von 26,3 auf 78,3 Milliarden Dollar anstieg.
Update: und so.
Update: Und hier gibt es auch ein paar Fotos, das ist der Bericht des Umweltschutz-Ausschuss-Mitglieds Udo Dettmann, ab Folie 11. OMFG! Lest mal den ganzen Bericht, das ist schon seit 1965 aktenkundig, dass da Süßwasser rein sickert. Au weia. Ich zitiere mal Christoph, der mir den letzten Link geschickt hat (und auch den hier):
Bitte fall nicht auf die "Wir stapeln alles ordentlich"-Bilder rein. Da unten siehts aus wie in einer nuklearen Rumpelkammer.
Update: Und noch einer:
Jeder, der Asse-2 kennt, kennt auch diese Bilder. Das Zeug kriegen die da nie wieder raus. Faesser sind geplatzt (kein Wunder, bei der Behandlung), von Gabelstaplergabeln aufgeschlitzt …
Ich habe hier gerade nur ein 64-bit Vista, um das mal zu prüfen, und da tauchen die beiden Konstanten aus dem Disassemblat in dem Blog nicht in lsasrv.dll auf, aber dafür in psbase.dll.
Es geht hier um die Funktion CryptProtectData, nicht generell um den Zufallszahlengenerator, wenn ich das richtig verstehe. CryptProtectData ist dafür da, dass eine Anwendung private Daten des Nutzers "verschlüsseln" kann, so dass sie auf der Platte abgelegt nur für diesen User zugänglich sind. Ich weiß jetzt nicht, wer das konkret benutzt, aber ich würde mal vermuten: sowas wie Internet Explorer für die gespeicherten Webseiten-Passwörter.
Nun wird Microsoft das ja nicht eingebaut haben, weil sie Franzosen nicht mögen, sondern auf Druck der Regierung. Da muss man sich ja schon mal fragen: wie kommt es eigentlich, dass diese üble Junta in der EU ist? In der Verfassung faseln sie was von Menschenrechten und dann sowas? Krasse Scheiße. La Grande Nation, my ass.
Oh übrigens, wer kein Assembler lesen kann: da steht was von DESKey, und er schreibt die beiden Konstanten 0x6d8a886a und in die zweite Hälfte 0x4eaa37a8. Ich lese das mal ohne weitergehende Analyse ungefähr so:
if (country == FRANCE || language == FRENCH)
deskey=0x4eaa37a86d8a886a;
Update: wichtiges Detail: offenbar ist es || statt &&, d.h. auch der französischsprachige Teil von Kanada wäre betroffen. Das sagt mir gerade Ramon, der besser Französisch kann als ich. (Danke, Jason)
Stelle 2 dagegen erreiche ein Mehrfaches der Grenze. "Die Abfallkammer 12 ist in der Nähe", sagt Bluth. Und wie Plutonium liegt auch Cäsium in oft lecken Fässern, die in der Asse lagern.
Update: Sigmar Gabriel warnte im November 2007 vor einem "Gau" in Asse. Auch ein blinder Umweltminister findet mal ein Korn. :-)
“We're not promising perfection — we've been very careful in that,” said Donald Krapohl, special assistant to the director at the Defense Academy for Credibility Assessment, the midwife for the new device. “What we are promising is that, if it's properly used, it will improve over what they are currently doing.”
Man muss übergeordnet die Frage stellen: Ist es denn legitim, wenn ein System, das offensichtlich auf ein finanzpolitisches Desaster zusteuert, seine eigenen Bürger daran hindert, individuelle Vorsorge ausserhalb dieses kollabierenden Systems zu treffen?Gefunden beim immer wieder großartigen Blog von Holgi. Dieser Typ hat echt krasse Ansichten.[Q:] Überspitzt sagen Sie: Deutschlands Fiskalstaat ist ein Unrechtsstaat …
[A:] … genau, und deshalb ist die Kapitalflucht Notwehr.[Q:] Aber Sie können doch Deutschland nicht als Unrechtsstaat bezeichnen.
[A:] Bewegt sich denn ein Rechtsstaat noch auf der Grundlage der Legitimität, wenn er beispielsweise eine Staatsverschuldung produziert, die auf Generationen hinaus die Noch-nicht-Geborenen belastet? Für mich gibt es da keinen Zweifel.
[Q:] Gehen wir richtig in der Annahme, dass Sie den Staat nicht ausschliesslich als segensreiche Einrichtung empfinden?
[A:] Das sehen Sie richtig. Politökonomisch betrachtet, gibt es viele Ähnlichkeiten zwischen der Mafia in Palermo, die Schutzgelder einsammelt, und einem Staat, der unter Gewaltandrohung Steuern einzieht. Für das Individuum sind das geringfügige Unterschiede.[Q:] Der Staat leistet immerhin Schutz und Sicherheit.
[A:] Das macht die Mafia auch. Bitte seien Sie vorsichtig, wenn Sie das zitieren. Es wird leicht falsch verstanden, vor allem wenn ich noch hinzufüge: Ich würde sogar meinen, dass die Hege und Pflege durch gewisse Mafiaorganisationen besser ist als durch den Staat.
Ihre Hauptaufgaben sind:Also meine Vermutung: auf die Bundestrojaner-Sache bewerben sich lauter unseriöse Ex-Knastis, Leute, die bei der Russenmafia rausgeflogen sind. Die Hacker, die für die Botnet-Chinesen zu schlecht waren. Oder die Hacker, die bereits für die Chinesen arbeiten und gerne mal einen Account beim BKA haben wollen. (Danke, Reiner)
- Konzipierung, Durchführung und Weiterentwicklung von psychodiagnostischen Auswahlverfahren (Testverfahren, Assessment Center) für unterschiedliche Bewerbergruppen […]
- Psychologische Betreuung der Angehörigen von Sonder- und Operativeinheiten des BKA
Die beiden kaputt gegangen Computer mit den Asservatennummern des BKA bieten zu guter Letzt eine willkommene Gelegenheit, meine Computersicherheit auf den neuesten Stand zu bringen. Irgendeinen Nutzen müssen diese Verfahren ja schließlich haben.
Also ich wünsche mir ja ein Rechtssystem, wo solche Leute etwas zu befürchten haben. Z.B. könnte man dem Oberstaatsanwalt auch mal eine Hausdurchsuchung schenken für seine tolle Arbeit, und da würde dann das gleiche passieren, was mit "Raubkopierern" bei Hausdurchsuchungen passiert: sämtliche IT-Technik landet in der Asservatenkammer und bleibt dort, bis sie völlig wertlos ist. Alles schön durchwühlen, die Tür eintreten, Schäden werden nicht ersetzt. Und wenn der Oberstaatsanwalt 10-20 Mal hinter sich hat, vielleicht geht er dann ein bißchen vorsichtiger mit dieser Macht um. Umglaublich, was für Leute bei uns in Amt und Würden sind.
Oh, die Geschichte ist auch ansonsten sehr witzig. Es geht nämlich um eine anonyme Anzeige wegen Korruption.
Bonds of U.S. investment banks lost about $1.5 billion of their face value this month […].The highest level of defaults in 10 years on subprime mortgages and a $33 billion pileup of unsold bonds and loans for funding acquisitions are driving investors away from debt of the New York-based securities firms. Concerns about credit quality may get worse because banks promised to provide $300 billion in debt for leveraged buyouts announced this year.
"The market is being driven by fear," said Mark Kiesel, who oversees $80 billion of corporate debt at Newport Beach, California-based Pacific Investment Management Co., manager of the world's biggest bond fund.
Auf der anderen Seite versucht Goldman Sachs gerade, Profit aus der Situation zu schlagen, indem sie einen 20 Milliarden Dollar fetten Hedge Funds gründen, der dann die rauchenden Ruinen der an der Housing Bubble verstorbenen Firmen billig aufkaufen soll.Auch auf die Gefahr hin, daß ihr das alles nicht mehr hören könnt: hier noch ein paar schöne Hiobsbotschaften:
The New York Stock Exchange never opened trading in shares of American Home Mortgage yesterday after the company said late Friday that it would suspend its dividend and was facing "significant margin calls" from its banks.Already down 70 percent for the year, shares in A.H.M. fell 39 percent in premarket trading, to $6.39.
Later in the evening, the Mortgage Guaranty Insurance Corporation, or M.G.I.C., said it would write down its $516 million investment in Credit-Based Asset Servicing and Securitization, or C-Bass, possibly to zero. The Radian Group, which has a $518 million stake in C-Bass, also said it might have to write off its investment completely. The rest of C-Bass is owned by its management.
Shares of M.G.I.C. fell about 12 percent in after-hours trading, to $40, and Radian shares fell 8 percent, to $37.
Und die haben da auch was über IKB:Earlier yesterday, IKB Deutsche Industriebank, a bank based in Düsseldorf, Germany, that provides loans to midsize companies, said that investments in American mortgage securities that it had pronounced healthy just 10 days ago had fallen sharply and would be taken over by a German state bank, KfW, which owns 37 percent of IKB. The bank's chief executive, Stefan Ortseifen, said he would retire.Also ich frage mich ja schon immer, wer sich eigentlich solche Blasen-Geschäftsmodelle ausdenkt, aber wenn ich das hier sehe, das kann man ja auch nur noch durch den Honecker-Effekt erklären. Unten sitzen wahrscheinlich die Analysten und murmeln immer nur Stoßgebete vor sich hin, und dann filtert das durch die Powerpoint-Bullshit-Klärwerk-Etagen und kommt oben als "alles prächtig!1!!" an. Und ja, die wissen alle, daß sie kurz vor dem Sterben sind. Guckt nur, was die da für verzweifelte Aktionen machen:At A.H.M., lenders appear to have issued margin calls on debt that the company used to buy mortgage-backed securities that include its loans and those made by other lenders. At the end of March, the company had borrowed $6.7 billion to finance such investments and had $19.3 billion in liabilities.Oh, und dann ist da noch ein Hedge Funds geplatzt, Sowood Capital. Die haben mit drei Milliarden angefangen, und haben dann gerade einen Brief an die Investoren geschickt, daß sie die Hälfte ihres Kapitals verloren haben, und jetzt ihre Beteiligung an einem anderen Funds losschlagen und die Rest-Gelder dann an die Investoren zurück geben werden.
Mich hat ja neulich jemand gefragt, ob ich nicht der infosecsellout-Typ sei, weil der ja immer so rumbashen würde, und ich den Maynor ja auch für einen Idioten hielte. Dem kann ich nur antworten: nein. Bin ich nicht. Wenn ICH ein Bashing-Blog betreiben würde, wäre es über Dave Aitel. Meine Güte, von David Maynor halte ich zwar nicht viel, aber immerhin ist der für nen Lacher gut. Dave Aitel ist einfach nur nervig. Schaut selbst, wie stolz er auf sich ist, daß er einen Assembler geschrieben hat. Ein eigener Assembler, sagt er, ist wichtig, weil es auf x86 mehrere Varianten für jede Instruktion gibt, und liefert sogar eine Beispiel-Instruktion mit zwei Varianten. Nun, sein Assembler liefert nicht nur auch bloß eine Variante für sein Beispiel, für die Beispiel-Instruktion gibt es auch noch eine dritte Variante. Und, äh, es ist ein Assembler. Jeder Depp kann einen Assembler schreiben. Das komplexester daran ist, die Dokumentation für das .o/.obj Format zu beschaffen und sauber zu implementieren, und das macht er noch nicht mal. Kurz: eine Schande. Ich schrieb also eine freundliche aber bestimmte Mail an die Liste, die Dave dann gefressen hat, weil er lieber Lob und Erstaunen ob seiner immensen Fähigkeiten auf der Liste hat als Kritik. Also wie gesagt, ich bin nicht infosecsellout, denn wenn ich es wäre, würden Clowns wie der Maynor da nur am Rande erwähnt, und es würde in der Hauptsache um gelackte Poser wie den Aitel gehen.
Oh, und noch was: die Branche stürzt sich periodisch auf neue Dinge, die dann plötzlich voll cool sind. Erst waren es Fuzzer (Schwierigkeitsgrad: ab 3 Jahre), dann waren es Disassembler (ab 8), und jetzt sind es offenbar Assembler (ebenfalls ab 8). Was für eine Schande, daß keiner mehr irgendwelche inhaltlich interessanten Dinge publiziert.
Update: Ilja weißt darauf hin, daß es vor den Fuzzern Fingerprinting-Tools waren.
Na gut, denke ich mir, guck ich mal in NEWS rein, das ist ja genau die Datei, wo man sowas erwähnt. Was steht da? Gar nichts zum Code in elf oder dem dynamischen Linker. Naja, wäre ja keinen Blog-Eintrag wert, es weiß ja jeder, was für ein Pfuscher das ist, aber dann fand ich das hier von 2004, und da fordert er ja explizit darauf auf, daß man anderswo über ihn meckern soll, und gerne dafür Blogs aufmachen soll. Nun, dafür ist er mir zu unwichtig, daß ich da noch nen Blog aufmachen würde für, aber hey, he had it coming. Ulrich Drepper ist für mich der Anti-Programmierer, der kann noch weniger als dieser Python-Schnösel oder dieser Ruby-Knallkopf. Ich traue den Kerberos- und X11-Leuten mehr Sachkenntnis zu als ihm. Wenn ich einen nennen sollte, der Linux am meisten schadet, ich müsste nicht lange nachdenken. Und bei Redhat ist der Mann auch prächtig aufgehoben, die haben sich gegenseitig verdient.
Hach wie ich das hasse, anderer Leute Bugs fixen zu müssen.
Update: das Problem ging bei mir weg, als ich in sysdeps/i386/i486/bits/atomic.h die Zeile
#if __GNUC_PREREQ (4, 1)gegen
#if __GNUC_PREREQ (4, 2)tauschte. Saubere Qualitätssicherung, Jungs, das habt ihr wirklich prima gemacht. Pah, wenn man eine neue libc rausbringt, warum sollte man da schon prüfen, ob das mit dem aktuellen gcc funktioniert. Wo kämen wir da hin. Linux muss spannend bleiben!
Aber wartet, kommt noch besser! Die Testsuite fällt auf die Fresse. Fehlermeldung:
iconv_prog: malloc.c:2575: do_check_chunk: Assertion `((char*)p) < min_address || ((char*)p) > max_address' failed.Hach, prima!
Also, wenn ich zwei 1024-Bit-Zahlen addieren will, dann sind das auf AMD64 16 Additionen. Mein Code braucht ca 640 Zyklen, der gcc-Code braucht ca 440 Zyklen, der schnellste Code (tomfastmath) braucht immer noch 390 Zyklen. Auf meinem Athlon 64 braucht der Code 84 Zyklen. Es ist bekannt, daß Addition mit Carry auf dem Pentium 4 unglaublich langsam ist, aber auf dem Core hieß es hätten sie das gefixt. Wenn man 16 Mal "adc %%rdx,%%rax" macht, braucht das auf dem Athlon 64 16 Zyklen, auf dem Core 2 aber 48. Das ist enttäuschend, aber das ist immer noch nur ein Zehntel der Gesamtzeit. Wo geht die ganze Zeit hin? Ich habe dann mal in mehreren Schritten geguckt, aber schaut euch den Code selber an (nur den 64-bit-Teil). Ich habe da mehrere Verfahren getestet, wie man die Addition machen kann. Es stellt sich raus, daß das pure Laden, Addieren und Schreiben bloß 72 Zyklen braucht, wenn man die Offsets als Konstanten hinschreibt und das nicht als Schleife macht. Dabei spielt es keine Rolle, ob man das Ergebnis des adc direkt schreibt oder in einem Register hält und später schreibt (immer vier adds, vier stores habe ich getestet). Allerdings: wenn man immer direkt schreibt, und immer das selbe Register für den Wert nimmt, dann wird es langsamer. Für genau diesen Fall ist Register Renaming da, das können x86-CPUs an sich seit Pentium 2 oder so. Offenbar hat Core 2 da Defizite, den dann kostet das einen Cycle mehr pro Addition.
Damit wären wir bei 84 Cycles insgesamt, immer noch weit von den 480 entfernt. Wenn man das als Schleife schreibt, und die Offsets in den Arrays dynamisch ausrechnet (über einen Schleifenzähler und die erweiterten Adressierungsmodi von x86), ist man plötzlich bei 480 Cycles. Ja, richtig gelesen! Die selbe Arbeit, als Schleife geschrieben, braucht mehr als 6 Mal so lange. Schlimmer noch, wenn man das nicht über die erweiterte Adressierung sondern per Zeigerarithmetik macht, braucht der Code sogar 504 Zyklen! Kurz gesagt: das ist ein Desaster. Ich bin völlig überrascht, daß das das Bottleneck ist. Das heißt für mich, daß ich da jetzt für typische Werte wie 1024, 2048 ausgerollte Routinen vorhalten werde. Übrigens ergibt sich beim Athlon 64 eine ähnliche Progression, aber statt von 72 zu 504 geht es dort nur von 42 zu 160. Man sieht also: auch dort ist noch deutlich was rauszuholen.
Übrigens: auf dem Athlon ist es schneller, zwischen das add und das Rausschreiben des Ergebnisses andere Instruktionen zu schedulen. Das ist auch überraschend, das hätte danke Reordering kostenlos sein sollen.
Kurzzusammenfassung für Nicht-Assemblerhacker: normalerweise optimiert man Schleifen, indem man den Inhalt der Schleife optimiert, und sich Gedanken macht, ob man die Parallelität erhöhen kann, indem man den Schleifeninhalt möglichst so formuliert, daß verschiedene Durchläufe unabhängig voneinander sind. Conventional Wisdom ist, daß man sich eine alte Optimierung namens Unrolling heute sparen kann, ja es sogar kontraproduktiv ist, weil der eigentliche Schleifenteil wegen CPU-Features wie Register Renaming, Multiskalarität, Pipelining und Result Forwarding quasi kostenlos ist, und die CPU intern quasi unsichtbar eh Unrolling betreibt. In meinem Code kommen jetzt aber 80% der Laufzeit vom Schleifenmanagement selbst, nicht vom Code in der Schleife. Diese Erkenntnis ist besonders krass, weil die plötzlich denkbare Ersparnis deutlich über das hinaus geht, was man von krassen Spezialoptimierungen wie Vektorinstruktionen o.ä. hätte erwarten können.
assert(len+100 > len);len ist ein int. Hier sind zwei Beispielprogramme: int.c (signed) und unsignedint.c (unsigned). Nicht zu fassen. Das betrifft konkret den gnupg-Patch. FINSTER. Probiert das mal bei euch aus. Ich habe hier amd64 und x86 und kann das mit gcc 4.1.1 bei beiden nachvollziehen. Sehr gruselig. Was jetzt? Ich werde mal einen Bug bei gcc einreichen, aber ich fürchte ja, daß da wieder irgendein Language Lawyer kommt und mir sagt, daß man das formaljuristisch so auslegen kann in C.
Update: Hier ist der Bug, und wie ihr sehen könnt, findet der gcc-Typ, der an dem Problem Schuld ist (das gibt er in dem anderen Code-Stück zu), daß das in Ordnung ist, wenn Leute geownt werden, weil er eine Optimierung formaljuristisch rechtfertigen kann. Krank. Da fragt man sich ja schon, für was man eigentlich Audits macht, wenn man dann so torpediert wird. Oh, übrigens: mit icc (dem Intel-Compiler) kriegt man korrekt eine Assertion.
Update: Der Kracher: das macht so viel Software kaputt, daß die autoconf-Leute darüber nachdenken, -fwrapv zu den Default-Optimierungen zu tun, was das alte Verhalten wieder anschalten. Way to go, GNU! Macht ja nichts, wenn euer Schweinecompiler anderer Leute Software kaputt macht, solange ihr einen Workaround für eure eigene Software habt!1!!
Update 2: Offenbar optimieren auch gewisse gcc 2.95.* und gcc 3 Versionen (3.4.6 auf MirBSD und 3.4.3 auf Dragonfly BSD) diesen Code weg, aber der offizielle Workaround (-fwrapv) existiert nicht bei diesen gcc-Version. Die Antwort des gcc-Typen, der an dem ganzen Problem Schuld ist (Andrew Pinski) ist: gcc 2 und 3 sind nicht mehr supported und im Übrigen "why should we support older GCC when we can barrely support the current ones".
Update 3: Und Florian Weimer hat schon 2002 gesagt, daß das mal passieren würde. (Danke, Sebastian)
Sie haben eine Management GmbH gegründet, die den Managern ihre Abfindungen gezahlt hat.
Dann haben sie eine Asset GmbH gegründet, die das Knowhow nach Taiwan abtransportiert hat (im Wert von knapp einer Milliarde Euro heißt es).
Und den Rest, die Mitarbeiter, haben sie in eine BenQ mobile GmbH eingepfercht, damit sie die schön pleite gehen lassen können. Siemens hätte die nicht einfach direkt pleite gehen lassen können, weil sie dann arbeitsrechtliche Verpflichtungen gehabt hätten.
Und da muss man sagen, die Siemens-Manager haben sich ihre 30% Gehaltserhöhung redlich verdient. Da gehört schon eine besondere Art Mensch dazu, sich so ein System auszudenken, und BenQ noch 300 Mio Euro draufzulegen, damit die die Insolvenz später besser begründen können, das ist schon ein Geniestreich.
Bisher habe ich bloß Addition und Multiplikation implementiert, noch nichts mit Modulo und Potenzieren, aber das kommt noch. Modulo ist für Addition hauptsächlich ein Vergleich und eine Subtraktion von einer kleineren Zahl (beides relativ trivial) und bei Multiplikation führt man das auf das Additions-Modulo zurück, weil Divisionen echt teuer sind. Potenzieren ist letztlich einfach nur häufig Multiplizieren, insofern wende ich mich dem zu, wenn ich mit meiner Multiplikation zufrieden bin. Das Modulo macht man beim Potenzieren immer nach jeder Multiplikation, sonst werden die Zwischenwerte zu unhandlich.
Jedenfalls ist meine Additions gerade Weltmarktführer, und meine Multiplikation spielt immerhin in der selben Liga wie die anderen. Da ist das letzte Wort noch nicht gesprochen, aber letztlich hoffe ich, daß es da tolle Tools gibt, die mir da beim Unrollen und Scheduling helfen können.
Ein kleines Zwischenergebnis kann ich aber schon mal mitteilen hier, was ich heute gelernt habe: Zeigerarithmetik ist langsamer als Indizieren auf x86 und AMD64 (zumindest bei AMD). Wenn man in einer Schleife ständig die Zeiger hochzählt, dann schafft das künstliche Abhängigkeiten, billiger ist es da, die erweiterten Adressmodi zu benutzen, z.B. movq (%rsi,%rcx,8),%rax. Wenn man die Reihenfolge der Schleife nicht einfach umkehren kann (bei der Addition z.B.), dann ist es immer noch billiger, wenn man vor er Schleife die Arraygröße zu den Zeigern dazu zählt, dann rcx negiert, und in der Schleife immer einen draufzählt statt abzieht, und dann guckt, ob es jetzt Null ist. Erstaunlich, aber das hat meine Addition von 84 Zyklen auf 73 reduziert bei zwei 1024-Bit Zahlen, und das ist ja kein Pappenstiehl. Wenn das hier jemanden interessiert, kann ich ja noch ein paar Sachen bloggen, die ich so gelernt habe dabei bisher.
Zuerst muss man dafür Cross-binutils bauen, das sind Assembler und Linker und so, das ist auch normalerweise gar kein Problem.
./configure --prefix=/opt/cross --target=x86_64-linux --enable-static --disable-sharedund gut ist. Statisch deshalb, weil ich in /opt/cross auch Crosscompiler für zig andere Plattformen habe, um zu gucken, ob die diet libc noch mit allen Plattformen sauber baut. Wenn man da den Default nimmt, und ein Cross-Binutils für Alpha-Linux installiert, dann geht danach der Assembler für AMD64 nicht mehr, weil der die selbe Shared Library laden will, die aber von AMD64 nichts weiß. OK, damit kann ich leben. Fällt man einmal drauf rein, lernt man, gut ist.
Der nächste Schritt ist der Crosscompiler. Hier kommt die erste echt Hürde, denn der Crosscompiler baut normalerweise für C, C++, Java, Objective C, allen möglichen Schund Compiler. Die kommen alle mit Laufzeitumgebungen, die nicht kompilieren, weil sie eine funktionierende libc erwarten. Die haben wir nicht, wir bauen ja gerade den Compiler, mit dem wir sie dann übersetzen wollen. Daher sieht bei gcc die Configure-Zeile so aus:
./configure --prefix=/opt/cross --target=x86_64-linux --enable-static --disable-shared --enable-languages=c --disable-nlsDas --enable-static hier bezieht sich auf libgcc; wenn gcc die wie normal dynamisch zu bauen versucht, schlägt das mangels libc fehl. Aber auch so gibt es Ärger, weil libgcc von der Zielplattform die libc-Header haben will. Das finde ich persönlich ja einen groben Verlierer, ja geradezu den Stirnklatscher überhaupt. An der Stelle hat man normalerweise verloren. Übliche Notfall-Ansätze sind "Debian-Paket bzw Fedora-RPM der glibc der Zielplattform ziehen, von Hand die Header auspacken, und an die richtige Stelle (/opt/cross/x86_64-linux/include) kopieren". Wieso nicht einfach /usr/include nehmen? Weil bei der glibc die Header von der Plattform abhängen! Nicht so bei der dietlibc, und so habe ich für meine Crosscompiler immer die dietlibc-Header gesymlinkt, und dann ging das gut (mal abgesehen von Bizarro-Plattformen wie IA64, der will da Dateien und Symbole haben, von denen ich noch nie gehört habe, irgendwelcher libc-Support fürs Stack Unwinding… *grusel*).
Normalerweise höre ich an der Stelle auf, denn wenn ich einen Crosscompiler habe, kann ich damit die dietlibc übersetzen. Heute habe ich mich aber so über das Gentoo auf meinem Desktop geärgert, daß ich mir vorgenommen habe, meine Linux-Distro "Fefix" mal für AMD64 zu crosscompilen. Schritt 1: glibc. Und was soll ich euch sagen, glibc ist nicht crosscompilefähig! Der versucht, sizeof(long double) rauszufinden, indem er ein Programm übersetzt und ausführt. Das geht natürlich nicht. Gut, in configure fest 16 reingehackt (die Alternative ist, einen config.cache manuell zu erstellen, in dem das drin steht), und was sehen meine entzündeten Augen?
checking for libgd… no [libgd?!?!?…]WTF?! C cleanup handling? Und gcc 4.1.1 soll das nicht unterstützen?! ARGH! Na gucken wir uns doch mal das Testprogramm an:
checking for ANSI C header files… no [doh!]
checking for sys/types.h… no
checking for sys/stat.h… no
checking for stdlib.h… no
checking for string.h… no
checking for memory.h… no
checking for strings.h… no
checking for inttypes.h… no
checking for stdint.h… no
checking for unistd.h… no
checking for long double… no
checking size of long double… (cached) 16 [Warum macht er das überhaupt, wenn er glaubt, daß es kein long double gibt?!]
running configure fragment for sysdeps/x86_64/elf
checking for x86-64 TLS support… yes
running configure fragment for nptl/sysdeps/pthread
checking for forced unwind support… yes
checking for C cleanup handling… no
#include <stdio.h>Na und woran scheitert es wohl? RICHTIG! Kein stdio.h! Denn ich kompiliere ja gerade die libc, DAMIT ICH DIESES HEADER-FILE KRIEGE! Lieber Herr Drepper, warum erhängen Sie sich nicht einfach an der nächsten Eiche? Das würde uns allen viel Ärger sparen. Danke.
void cl (void *a) { }
int
main ()
{
int a __attribute__ ((cleanup (cl)));
puts ("test")
;
return 0;
}
TARIFA, which stands for Transactions by AssembleR Instrumentation FrAmework, aims to provide the "atomic" keyword to C/C++ for better support of concurrency programming. Instead of using lock-based designs with all their problems (deadlocks, difficult design, lack of reusability), the "atomic" keyword provides transparent access to an underlying Software Transactional Memory which is responsible for all synchronization work.Sehr lobenswert, endlich kein Locking mehr!1!! Oh, warte mal, wie implementiert er seine Atomizität? *nachguck* Oh, mit cmpxchg (vulgo: mit Locks)! *stöhn*MySysop is a PHP tool with AJAX support for managing MySQL server settings and monitoring process, variables, and status.*Bingo*!
Auch wenn die Riposte Graduée inzwischen als solche vom Tisch war (siehe La Riposte Dégradée), so gibt es durchaus weitere eigenartige Regelungen, zum Beispiel findet die französische Regierung nichts daran auszusetzen, daß ein Künstler von den 99c, die ein Titel online kostet, genau 4c (in Worten: vier Cent) bekommen soll. Die restlichen 95c gehen an die Regierung (19.6% MwSt), die Rechteverwerter und die Plattenlabels. In der Debatte ließ Christian Paul (PS) verlauten, daß Versuche, die Mehrwertsteuer für Musik auf die von Büchern (5.5%) zu senken, von der Regierung wohl geblockt worden waren. […](Danke, Fabian)Vorsichtig ausgedrückt, zeigte sich hier in welchem Ausmaß die Musikindustrie das geschehen beeinflußte. Der Gripfel war wohl, daß selbige als erste in der Geschichte der "Fünften Republik" die Assemblée Nationale belagert hat, um kommerziell motivierte Werbung für ihre Produkte zu machen. Den Boden endgültig aus dem Faß gehauen hat dann die Vergabe von bereits bezahlten Downloadgutscheinen im Wert von 9,99? an die Abgeordneten.
Die Vorlage selbst zielte darauf ab, ein Überwachungssystem für das gesamte französische Internet umsetzen, welches an 1984 erinnerte und eine effiziente Umsetzung und Anwendung der 'Riposte Graduée' ermöglichen sollte, also des 'abgestuften Zurückfeuerns', so daß erst das dritte Abspielen einer DVD unter Linux mit 3 Jahren Haft und 300.000 Euro Geldstrafe geahndet wird, und nicht bereits das erste. Die effiziente Umsetzung des Überwachungssystemes sollte durch eine Privatpolizei garantiert werden.
Vielen Dank an dieser Stelle an Wim und die OpenBSD-Jungens, die immer noch den (falschen) Eindruck haben, ich würde OpenBSD nicht mögen. Stimmt ja gar nicht! Tolle Software, sie performt nur nicht :-) Aber verkackte Performance kann man schmerzarm fixen, im Gegensatz zu einer verkackten Security-Architektur. Und, was auch mal gesagt werden muss: der Fleece-Pulli von denen ist groß-ar-tig, der beste Fleece-Pulli, den ich je hatte, und die Jacke da oben hat auch einen sehr guten Eindruck hinterlassen. Wer also morgen noch zum Congress geht: kauft denen mal ihr Merchandise ab, das ist echt auffallend gute Qualität. Und sagt ihnen, daß ihr von mir kommt! :-)
Meine Antwort: beides. Ich empfehle, sich die Programmiersprachen mal rudimentär anzugucken, und dann aber nicht ernsthaft los zu programmieren, sondern das Exploiten zu lernen. Rückblickend glaube ich, daß ein Gutteil meiner Programmierfähigkeiten darauf zurück zu führen ist, daß ich beim Cracken und Exploiten gelernt habe, wie Programmstrukturen von Compilern in Code abgebildet werden. Genau wie man Kinder in der Schule früher mal Latein lernen ließ (hab ich übrigens als 1. Fremdsprache gehabt, von der 5. bis zur 11. Klasse), damit sie ein gutes Sprach- und Grammatikgefühl entwickeln, empfehle ich Cracken Lernen, um ein gutes Gefühl für Code zu entwickeln. Langfristig ist Cracken und Exploiten aber nicht erfüllend. Also ich zumindest fand das nicht ausfüllend. Ja, es ist sehr faszinierend, aber a) kann man damit nicht so gut Geld verdienen, b) macht sich das auf der Vita nicht so toll, und c) ist es einengend für die Kreativität. Man kann in weniger Richtungen kreativ sein als beim Schreiben von Code.
Trotzdem würde ich das heute in weiten Teilen wieder genau so machen — erst Turbo Pascal, dann Assembler, dann C, dann Exploiten, dann C++, später Perl, Bourne Shell und Co nachschieben. Gut, den Basic-Teil würde ich mir heute sparen (*hust*), und rückblickend hätte ich mir auch Java und C# nicht angucken müssen; die haben mir beide nichts gegeben, was ich nicht vorher schon wußte.
Ich beobachte aber auch, wie immer weniger Leute bereit sind, überhaupt hinreichend Energie in etwas zu investieren, um sich damit jemals in die Nähe einer Perspektive zu bringen, Hacker zu werden. Natürlich kann nicht jeder überall der Oberheld sein, aber ich erwarte schon von jedem, daß er genug Ausdauer hat, sich in zumindest ein Thema mal tiefschürfend genug einzuarbeiten, daß ihm dort keiner mehr etwas vormachen kann. Und das kann ich immer weniger beobachten. Die Leute tendieren heute eher zu einer Art Universal-Durchschnitt. Die Abstände zwischen tollen neuen Hype-Trends werden immer kleiner, keiner hat mehr Zeit und Lust, sich die Sachen genauer anzugucken. Als ich jung war (*hust*), kamen PCs noch mit Handbüchern, in denen alle Befehle von GWBASIC beschrieben wurde, genau so wie debug.com und link.exe. Später wurden diese Sachen nicht mal mehr mitgeliefert. Ich war jung und hatte Zeit und habe mir das dann eben in Ruhe angeguckt. Ich enthülle hiermit: man wird Hacker, indem man Zeit hat und sie aufwendet, um sich mit einem Thema gut genug auszukennen, daß man mehr weiß als die Autoren der Standard-Fachliteratur zum Thema. Je nach eigenem Anspruch kann man sich auch nur dann Hacker nennen, wenn man sich in einem Gebiet erschöpfend auskennt, zu dem es (noch) gar keine Literatur gibt… :-)
Und dabei waren die Voraussetzungen noch nie so gut wie heute zum Hacker-Werden! Es gibt heute freie Betriebssysteme mit Editor, Compiler, Assembler und Linker kostenlos im Internet — mit Quellcode! Es kostet nichts mehr (außer Zeit), sich in die Sachen richtig gut einzuarbeiten! Man muss nicht mal Bücher kaufen, und heutzutage gibt es Suchmaschinen. Ihr wißt ja gar nicht, was das für ein Luxus ist, Kinder!
Zurück zum Thema. Heute kann jeder Hacker werden, der nur genug Zeit investiert. Als Hacker gewinnt man enorm an Selbstsicherheit, man ist gefragt auf dem Arbeitsmarkt, alles ist prima, aber aus irgendeinem Grund werden die Leute heute nicht mehr Hacker. Stattdessen hat die Verfügbarkeit freier Software zu einer Anspruchshaltung geführt, daß die Leute finden, wenn man schon nichts für Download und Installation zahlen muss, dann muss man auch danach keinen Aufwand investieren müssen. Den Nachwuchs in meinem Bekanntenkreis wird eher so High-Level-Fummler, klickt sich GUI-Anwendungen in einer IDE zusammen, hackt ein Python-Skript zum Mail-Sortieren, hat ein bißchen Java aus der Uni mitgenommen, steigt gerade auf C# um, sowas. Womit ich das nicht abwerten will, aber Hacken ist was anderes.
Es ist besser, in einer Sprache richtig gut als in 20 Sprachen Anfänger zu sein. Denkt da ruhig mal aus Sicht eines HR-Menschen drüber nach. Stellt euch vor, ihr seit der Headhunter, und ihr wäret mit einem Lebenslauf konfrontiert, bei dem jemand ein paar Applets (das klingt schon von alleine mittelmäßig und irgendwie abwertend) in Java gemacht hat, der gerade Windows Forms in Visual C# zusammenklicken lernt, der ein paar dynamische Webseiten mit PHP gemacht hat. Für was für einen Job soll so jemand denn bitte qualifiziert sein? Zum ct Lesen? Anspruchsvolle Jobs kann man so jemandem doch gar nicht geben! Wer sich nur oberflächlich mit Sachen beschäftigt, der wird auch nur oberflächliche Jobs bekommen. Was für eine grauenvolle Vorstellung… Insofern: setzt euch hin, sucht euch etwas aus, das ihr am besten noch nicht kennt, und arbeitet euch richtig tief ein. Nehmt euch dafür ein paar Monate. Hört erst auf, wenn ihr das Gefühl habt, selbst der Erfinder der Sache könnte euch nichts wirklich überraschendes mehr dazu erzählen. Solche Leute braucht das Land, nicht noch mehr Visual Basic Pfuscher.