Fragen? Antworten! Siehe auch: Alternativlos
Eine ähnliche Kategorie von "da krieg ich Gewaltfantasien"-Neusprech ist "-scale". Was die alle immer rumgefurzt haben, wie geil ihr Scheiß skalieren würde! Und dann guckst du mal vorbei und wartest 20 Sekunden auf das Laden der Homepage.
Und jetzt ist alles "internet scale" oder zumindest "cloud scale", man sagt nicht mehr "Cloud-Drückerkolonne" sondern "Hyperscaler" (das einzige, was da skaliert, sind die Rechnungen). Furchtbar.
Höchste Zeit also, dass sich ein Depp findet, der mit "AI-native" und "AI-scale" Werbung macht.
Was soll ich euch sagen? Cisco liefert! Ja, DAS Cisco, das mit den ständigen apokalyptischen Sicherheitslücken. Die mit den Dutzenden von versehentlich hart einkodierten Admin-Account-Passwörtern. DIE. Die erzählen uns jetzt nicht nur was von Security sondern machen gleich noch die volle Familienpackung "AI" dran. Vorsicht: Wenn man irgendwas von irgendwas versteht, kriegt man von der Lektüre direkt Ganzkörper-Juckreiz. Das Produkt heißt "Hypershield". Wie Hypeshield aber mit r. Damit man assoziiert, es sei für Hyperscaler (und damit BESTIMMT SICHER GUT GENUG FÜR UNS HIER).
Eine Sache glaube ich ihnen. Dass die Presseerklärung direkt aus einer "KI" fiel. Das ist alles so falsch, dass nicht mal das Gegenteil stimmt.
Auf der anderen Seite kann man Punkte für alle Schlangenöl-Tropes in der IT-Security-Werbung vergeben. Das checkt alle Boxen.
DOCH! Das geht! In der unseriösen Werbung einer anderen Firma: Nvidia. Ihr seht wahrscheinlich schon kommen, was als nächstes passiert:
Cisco [blahsülz] with NVIDIA, is committed to building and optimizing AI-native security solutions to protect and scale the data centers of tomorrow.Und schwupps, mit einer kleinen Handbewegung, ist was eben noch ein Nachteil war (nämlich dass hier ohne Domain Knowledge eine "KI" Dinge halluziniert, die darauf trainiert ist, dass das plausibel aussieht, nicht dass es funktioniert) ein Vorteil! Weil, äh, "AI-native"!!1!Ja aber Moment, Fefe, da stand ja noch gar nicht "empower"! Ohne "empower" geht sowas doch gar nicht!!
"AI has the potential to empower the world's 8 billion people to have the same impact as 80 billion.Das hingegen finde ich ein tolles Zitat. Er sagt hier also: Wenn die Leute alle "KI" machen, dann werden sie zehnmal so viel Ressourcen verbrauchen, ohne einen Vorteil daraus zu ziehen. Glaubt mir, wenn das Vorteile brächte, hätte er die hier erwähnt.Wo wir gerade bei Warnungen waren:
The power of Cisco Hypershield is that it can put security anywhere you need it – in software, in a server, or in the future even in a network switch.Du brauchst dann halt in jedem Ethernetport eine Nvidia-GPU. Das wird das Power-Budget geringfügig senken, das für tatsächliches Computing übrig bleibt in einem Data Center, aber für Nvidias Aktienkurs wird es großartig werden!When you have a distributed system that could include hundreds of thousands of enforcement points, simplified management is mission critical. And we need to be orders-of-magnitude more autonomous, at an orders-of-magnitude lower costBeachtet das "autonomous" her. Eine "KI", die keiner versteht, weil sie nicht programmiert sondern trainiert wurde, soll autonome Entscheidungen darüber treffen, welche Netzwerkpakete erlaubt sind und welche nicht. Oh und wie immer bei "KI" gibt es auch kein Debugging, nur "nach-trainieren", was dann andere Stellen kaputtmacht. Das wird ja eine tolle Zukunft!So, jetzt kommen wir zum technischen Teil. Weiter unten, damit er die Deppen nicht mit Fakten verwirrt.
AI-Native: Built and designed from the start to be autonomous and predictive, Hypershield manages itself once it earns trust, making a hyper-distributed approach at scale possible.Cisco sagt also selbst, dass man dem nicht trauen kann, bis es sich Vertrauen erarbeitet hat. Wenn wir es hier mit denkenden Kunden zu tun hätten, wäre die logische Folge, dass man das nicht einsetzen kann. "manages itself" sollte natürlich auch alle Alarmlampen angehen lassen, genau wie "hyper-distributed" und "at scale", aber vermutlich nicht bei Leuten, die Cisco kaufen. Das ist eine Vorselektion vom unteren Rand des Spektrums.Cloud-Native: Hypershield is built on open source eBPF, the default mechanism for connecting and protecting cloud-native workloads in the hyperscale cloud. Cisco acquired the leading provider of eBPF for enterprises, Isovalent, earlier this month.Langsam zeichnet sich ein Bild ab. Irgendein Sprallo bei Cisco sah die Firma mit der Überflüssigkeit konfrontiert, die aus Software Defined Networking einhergeht (ach, man kann Switches in Software machen? Man braucht gar keine Hardware mehr, von Cisco oder sonstwem?), dann haben sie schnell einen Panikkauf von einer eBPF-Klitsche gemacht und mit einem Hype-Überperformer (am Aktienmarkt, nicht bei den Produkten) geredet, also Nvidia, und sagen jetzt den Investoren: We heard you like AI! We put Nvidia in you eBPF so you can hallucinate while you kernel panic!Ich ruf gleich mal den Notarzt. Wenn DAS keinen Herzinfarkt oder Schlaganfall auslöst, dann bin ich möglicherweise schon tot und werde hier gerade bloß von einer "KI" weitersimuliert. Das kann niemand überleben, der mehr als zwei Hirnzellen übrig hat.
Klar müsste sie! Machen unsere versifften Behörden und Firmen natürlich nicht. Aber die Amis operieren noch unter der Annahme, dass man Microsoft-Infrastrukturen sicher betreiben kann.
Ist ja auch egal. Ist ja nicht deren Geld. Sind ja nur Steuergelder.
Und unsere Behörden? Das BSI? Da fällt mir dieser alte Mittermeier-Sketch ein. MIR TUN MAS MIR KÖNNNN!
Aber macht ja nichts, für sowas gibt es ja einen prima Präzedenzfall!
Mit den fortschreitenden Risiken von Cyberangriffen gegen kritische Infrastrukturen und die öffentliche Ordnung stößt die Versicherungsbranche an ihre Grenzen. Die Munich Re fordert daher einen staatlichen Haftungsschirm.Aber natürlich, mein Herr! Profite privatisieren, Kosten vergesellschaften!!1!
Ich würde ja witzeln, für wie blöde die uns eigentlich halten. Aber die haben ja völlig Recht. Wir sind so blöde.
Die Geschwindigkeit steigt so gar noch, mit der wir Lemminge uns das Kliff der nächsten Hype-Technologie hinunter stürzen. Habt ihr eigentlich schon Quanten-Blockchain-KI in der Cloud ausgerollt? Schön unter Windows mit Office und Active Directory?
Der Lacher ist ja, dass der Staat, nach dem die jetzt schreien, natürlich genau denselben unverstandenen Scheiß einsetzt. Und irgendwann werden sie alle merken, dass der Staat ... wir alle sind!
Aber hey, dafür haben wir auch schon vorgesorgt. Wir haben "Ökonomen" "ausgebildet", die uns jetzt erzählen, der Staat könne einfach beliebig viel Schulden machen. Ja geil! So machen wir das einfach! Niemand investiert in Nachhaltigkeit und die Kosten für die Kartenhäuser trägt der Staat, indem er mehr Schulden macht. GENIAL!!
Update: Bessere Quelle, Primärquelle. (Danke, Kris)
Sie haben Amazon gezwungen, Kunden nicht per Exit-Traffickosten in den Lock-In zu zwingen. Wer vom Cloud-Experiment genug in den Allerwertesten ge, äh, zwickt wurde, der kann jetzt zurück zu On-Prem.
The waiver on data transfer out to the internet charges also follows the direction set by the European Data Act and is available to all AWS customers around the world and from any AWS Region.Wer seine Lektion noch nicht gelernt hat, kann in eine andere Cloud ziehen. Aber hey komm, wer ist denn bitte SO blöde?!
Früher war die Argumentation immer: root kann /dev/kmem aufmachen und die Platte formatieren, das ist äquivalent zu Kernel-Zugriff. Genau so unter Windows: Admin kann Kernelmodule laden, ist daher äquivalent zu Kernel.
Später hat sich das dann langsam geändert, als Code Signing für Kernelmodule eingeführt und später erzwungen wurde. Ich habe aber schon vor 20 Jahren mit Microsoft verhandelt, dass das eine Security Boundary sein soll, bevor das mandatory war.
Inzwischen kann Admin nicht mehr einfach irgendwelche Module laden, sondern nur noch solche mit valider Signatur. Das ist aus meiner Sicht das Ende der Debatte, denn offensichtlich handelt es sich jetzt um eine Security Barrier.
Ich habe damit ein paar Bugfixes durch-gebullyt gekriegt (am Ende entscheidet nicht die Policy sondern der einzelne Entwickler, ob der Bug gefixt wird; niemand hindert einen Entwickler am Fixen eines Bugs, auch wenn die Policy den nicht so schlimm findet). Aber die offizielle Policy wurde nie geändert.
Das führte zu bekloppten Situationen wie dass die fiesen Ransomwarer eine Lücke aktiv ausnutzen, um von Admin zu Kernel zu kommen, und Microsoft weigert sich die zu fixen, weil die Policy sagt, Admin = Kernel. Nach sechs Monaten (!) haben sie die Lücke jetzt doch zugemacht.
Immer dran denken: DAS sind die Leute, die ihr eure Klöten halten lasst, in deren Cloud ihr eure Kronjuwelen migriert habt.
Auf eine experimentelle Nextcloud-Instanz der Bundeswehr, "(c) 2024 Pilotumgebung Link and More". Gestern stand da auch noch "s6 dev gru" und "b0rn 2 l33t". Nein, wirklich. Das stand da.
Und aus Sicherheitsgründen ist das passwortgesichert. Mit dem Passwort "1234".
Wer jetzt ein PDF erwartet, sieht sich getäuscht. Da kommt ein MP3. Mit einer Audioqualität, bei der jeder Podcaster oder Youtuber staunt, dass sich jemand damit ans Internet traut.
Bei allem Gelächter über die Bundeswehr ist das eher ein Zeichen dafür, was für eine Compliance-Hölle die Bundeswehr ist, und spricht eher dafür, dass das per Telefon einwählen Absicht war, damit die Russen das mitschneiden.
Dass die 1234 als Passwort setzen, zeigt, dass sie aus Compliance-Gründen die Plattform so eingerichtet haben, dass alles mit Passwort geschützt werden muss.
Dass sie uns die Plattform überhaupt zeigen, zeigt, dass sie die schon vorher hatten. So unseriös dieses "b0rn 2 l33t" auch aussieht: Die Bundeswehr ist eine lahmarschige, träge Bundesbehörde. Die setzt nicht über Nacht ein Nextcloud auf. Dem ging wahrscheinlich ein monatelanges Beschaffungsverfahren voraus.
Dass das unter bundeswehr.de liegt statt unter bund.de oder bmvg.de ist ein Zeichen, dass sie uns Handlungsfähigkeit demonstrieren wollen, und uns versichern wollen, dass das wirklich von ihnen ist und kein russisches Deepfake.
Unter dem Strich wirkt das alles wie "gut gemeint, schlecht gemacht". Besser wäre gewesen, wenn sie auf ihrer Webseite den Text als HTML gehabt hätten, anstatt auf ein mp3 zu linken. Das wäre barrierefrei gewesen, hätte die Leute nicht mit diesem l33t-Scheiß verunsichert, und da wäre auch niemand auf die Idee gekommen, dass die Russen die Bundeswehr-Webseite manipuliert haben.
Ist ein Nextcloud denn jetzt sicher? Nun ja. Kommt auf die Perspektive an. Auf der einen Seite ist das natürlich besser, wenn man Kram in seiner eigenen Infrastruktur hostet, anstatt in einer amerikanischen Cloud. Auf der anderen Seite hat man dann Verantwortung, der man auch nachkommen muss. Genau wie alle anderen Cloudumgebungen ist Nextcloud viel zu komplex, um eine Fehlerfreiheit anzunehmen. Da muss man dann ordentlich patchen und monitoren. Wer weiß, wie viele Nextcloud-Anwender das auch tatsächlich tun. Ich bin nicht optimistisch.
Wenn jemand einen Link auf eine Nextcloud-Umgebung mit dem Internet teilt, ist das jedenfalls grundsätzlich ein schlechtes Zeichen. Solche Dateien gehören auf den Webserver. Nextcloud hat eine riesige Angriffsoberfläche. Die sollte man so wenig wie möglich in Richtung Internet exponieren.
Nein. Tun sie nicht.
Die sind nicht darauf spezialisiert, etwas gut zu machen, sondern etwas billig zu machen. Das Ziel von Firmen im Kapitalismus ist die Profitmaximierung.
Die Erfahrung zeigt deutlich in die Gegenrichtung.
A technology company that routes millions of SMS text messages across the world has secured an exposed database that was spilling one-time security codes that may have granted users’ access to their Facebook, Google and TikTok accounts.Instinktiv könnte man vielleicht annehmen, dass eine Firma, die nur MFA-SMS zustellen soll, da nicht viel falsch machen kann. Aber das stimmt halt nicht.Genau so ist das mit "der Cloud" und mit "die verwalten unsere Telefonanlage" und allem anderen in der IT da draußen.
Du brauchst auf jeden Fall genug Kompetenz in-house, um selber prüfen zu können, ob du gerade verarscht wirst. In den meisten Fällen kannst du dir dann den Mittelsmann auch gleich sparen und deren Profitmarge und kommst unter dem Strich billiger bei weg.
«Wir stellen fest, dass die Verwendung modellgenerierter Inhalte im Training zu irreversiblen Fehlern in den resultierenden Modellen führt», beschreiben Ilia Shumailov, Zakhar Shumaylov und Yiren Zhao in ihrer Studie das Problem. «Wir bezeichnen diesen Effekt als Modellkollaps.»Ich hoffe ja, dass wir diesen Trend beschleunigen können. Bei der Cloud waren wir mit der Selbstzerstörung zu langsam. Die greift erst, nachdem die ganzen Kommunen bereits in die Cloud migriert sind.
Oder, anders formuliert: Die Demenz der IT-Entscheider ist im Moment schneller als die der "KI"-Modelle. Das sollten wir umkehren, solange wir es noch können. (Danke, Maik)
Die Haupt-PHP-Firma hat PHP-Entwickler befragt, und weniger Projekte waren in der Cloud als im Vorjahr. Heise schließt daraus messerscharf:
Die PHP-Nutzer wenden sich ab von den Hyperscalern und setzen vermehrt auf eigene Rechner.Diese Folgerung ist ein schönes Beispiel für Survival Bias. Eine andere Erklärung für die Messwerte (neben "die Umfrage war inkompetent durchgeführt") wäre, wenn die Cloud-Projekte mit PHP alle gescheitert sind, oder gar nicht erst beauftragt wurden. Die entlassenen PHP-Entwickler wären dann ja keine PHP-Entwickler im Sinne der Umfrage mehr, sondern halt Go-Entwickler oder Node-Entwickler von mir aus.
Immer schön aufpassen mit Statistiken!
Also mal rein hypothetisch gesprochen jetzt!1!!
Nun, damit hat sich der Wissenschaftliche Dienst des Bundestages beschäftigt und sie kommen zu folgendem Schluss:
Im Ergebnis zeigt sich, dass aus US-amerikanischer Perspektive die Anwendung dieser Herausgabeverpflichtungen grundsätzlich davon abhängt, ob die verlangten Daten und Informationen unter der Kontrolle der jeweils verpflichteten US-amerikanischen Unternehmen stehen – unabhängig vom Standort der Daten bzw. der Server. Das Ausmaß und die Form der Kontrolle unterliegt der Prüfung im Einzelfall. Aus europäischer Perspektive wird eine mögliche extraterritoriale Ausübung der US-amerikanischen Vorschriften zwar problematisiert, allerdings nicht grundsätzlich für unzulässig gehalten.Wenn sich also, sagen wir mal, Amazon weigert, Daten über deine Firma rauszurücken, dann haben sie keinerlei Rückhalt von der EU zu erwarten. Die EU steht dann daneben und sagt "Oh Dear!
Mehr und mehr frage ich mich, ob die Industrie vielleicht mal kontrolliert niederbrennen muss, damit etwas neues entstehen kann. Nach dem Krieg war Deutschland plötzlich konkurrenzfähig, weil die verkrusteten Strukturen weggebombt waren. Vielleicht braucht es das ab und an?
Gerade als ich diese Art von düsteren Gedanken hatte, kam die Meldung vorbei, dass Microsoft 3,2 Milliarden Euro in "KI" in Europa investieren will. Die Meldung hat leider ein paar Übersetzungsfehler drin.
„Wir wollen der deutschen Wirtschaft ermöglichen, von KI zu profitieren, um auch weiterhin ihre globale Spitzenposition bei der Wettbewerbsfähigkeit auszubauen“, sagt Brad Smith, Vice Chair und President von Microsoft.Offensichtlich meinte Brad Smith hier, Microsoft möchte gerne von der fehlenden menschlichen Intelligenz in der deutschen Wirtschaft profitieren. Da muss man aufpassen! Solch subtile Fehlübersetzungen können manchmal die ganze Presseerklärung kaputtmachen!
„Wir sehen eine steigende Nachfrage nach KI-Anwendungen in wichtigen Wirtschaftszweigen wie Fertigung, Automobilbau, Finanzdienstleistungen, Pharma, Life Sciences und Medizintechnik. Weil sich diese Branchen durch den wirtschaftlichen Wandel grundlegend verändern, ist es wichtig, Unternehmen in Deutschland mit weltweit führender Technologie auszustatten.“Führende Technologie! Ihr habt es hier zuerst gelesen!! Aber was hat das mit Microsoft zu tun, fragt ihr euch jetzt vielleicht? When I think führende Technologie, I think Bing! Cortana!
Oh nein, warte. Active Directory!1!!
Sie haben da auch den Scholz eingeladen, und der ist hingegangen und hat was ins Mikrofon gelallt:
Bundeskanzler Olaf Scholz sagt: „Die heute angekündigte Milliardeninvestition von Microsoft in Deutschland ist eine sehr gute Nachricht für den Wirtschaftsstandort Deutschland. Microsoft fördert damit den nötigen Strukturwandel im Rheinischen Revier, bringt die Recheninfrastruktur in unserem Land voran und stärkt das deutsche Ökosystem rund um Künstliche Intelligenz. Solche Projekte zeigen, wie attraktiv der Standort und das Vertrauen von Investoren in Deutschland ist.“*heul*
Aber keine Sorge. Ist alles unter Kontrolle.
Microsoft wird seine KI-Dienste und -Infrastruktur in Übereinstimmung mit branchenführenden Verfahren für verantwortungsvolle KI und Nachhaltigkeit betreiben. Das Unternehmen hat einen Standard für verantwortungsvolle KI für seine eigenen KI-Plattformen und -Dienste eingeführt sowie ein AI Assurance Program eingerichtet, mit dem die erfolgreichsten Ansätze ausgetauscht und verantwortungsvolle KI-Vorgehensweisen gefördert werden.Seht ihr? Microsoft hat die Standards gesetzt! Das wird also mindestens so sicher wie Windows. Oder Office. Oder Active Directory.
Update: Ein Kumpel meint gerade so: Hey, die verkaufen da doch bestimmt Rabatte als Investition! Guck nochmal genau auf die Formulierungen. Und, äh, was soll ich sagen, ... der Kumpel hat völlig Recht! Microsoft sagt, sie werden Rechenzentren bauen (die ja von den Kunden bezahlt werden dann, das ist also zu unseren Lasten nicht zu unseren Gunsten) und sie wollen "bis Ende 2025 mehr als 1,2 Millionen Menschen im Bereich digitale Kompetenzen weiterbilden". Wir reden hier also nicht mal von Rabatten auf ihre unverschämten Cloud-Preise sondern wir reden von vergünstigten Webinaren, die den Leuten Lock-In-Technologien aufschwatzen, damit sie nicht mehr von Azure wegkommen, nachdem sie einmal leichtfertig drauf reingefallen sind. Wenn Microsoft hier größere Rechenzentren hinbaut, dann weil jemand ihnen die Kapazität abkauft. Das ist ein Geldabfluss aus Deutschland, kein Zufluss.
Oh und nochwas: Mein Kumpel glaubt denen auch nicht, dass sie tatsächlich Rechenzentren bauen, außer da liegen konkrete Aufträge vor. Er glaubt, Microsoft wird das erste Jahr verbilligt anbieten, als Schnäppchen, und das verkaufen sie uns dann als Investment, und setzen es noch als Werbungskosten von den Steuern ab oder so. Am Ende gewinnen Microsoft, die sich dafür feiern lassen, uns ins Elend zu stürzen, und die Politiker, die sich dafür feiern lassen, Investitionen ins Land geholt zu haben. Ganz großes Hallentennis.
Wenn du im App Store deines Vertrauens eine App auswählst und installieren willst, dann zeigt dir der Laden eine Liste mit Befugnissen an, die die App haben will. Die Facebook-App ist beispielsweise notorisch dafür, Zugriff auf alles haben zu wollen.
Das zeigt dir der App Store nicht an, weil sie gute Menschen sind, sondern das ist eine Schuldumkehr. Wenn du die App trotzdem installierst, und die dann deine Daten in die NSA-Cloud telefoniert, dann bist du selbst schuld. Wir haben dich sogar extra gewarnt!1!!
Das ist deine Verantwortung, keine Apps zu installieren, die komische Dinge tun wollen.
Update: Wo wir gerade bei App-Store-Missverständnissen sind: Die App Stores prüfen nicht, ob die App "Malware" ist. Tun sie nicht. Können sie auch gar nicht. Daher behaupten sie auch nicht, dass sie Security prüfen, denn dann wären sie ja in der Haftung, wenn Malware durchkommt. Das App Store-Ökosystem macht genau eine Security-Zusage: Dass die App nicht die Kamera benutzen kann, außer sie hat das beantragt, der App Store hat es angezeigt, und der User hat OK geklickt.
Das Betriebssystem auf dem Telefon versucht dann noch ein paar andere Dinge zu garantieren, wie z.B. dass die Apps ordentlich voneinander isoliert sind und sich nicht einfach Dateien ändern können. Aber da gibt es absichtlich eingezogene Wege, wie sich Apps doch gegenseitig reinpfuschen können. Eine davon ist bei dem eID-Ding gerade zum Problem geworden. Das ist aber gewollt, dass du als Inhaber des Telefons eine andere ID-App installieren kannst als die eine. Die können an der Stelle nicht gewinnen.
Update: Ja aber aber aber Fefe, kennst du nicht Play Protect? Die scannen doch nach Malware!1!!
Das ist eine PR-Nebelwand. Man erkennt das schon daran, dass sie "safety check" sagen, nicht "security check". Das ist im Deutschen dasselbe Wort, im Englischen nicht. Sie behaupten auch sorgfältig nicht, dass sie dich vor Malware schützen. Genau genommen machen sie überhaupt keine Sicherheitsgarantie. Sie warnen bloß davor, dass sie Apps unter deinem Arsch weglöschen können von deinem Gerät. Da geht es dann aber eher um ihr Geschäftsmodell als um deine Sicherheit.
Die eine relevante Metrik für sowas ist: Haften die für Schäden, die von Malware verursacht wird, die an ihren Scans vorbeigekommen ist.
Nein. Tun sie nicht. Natürlich nicht. Weil das PR ist, nicht Security.
Ich habe kein Mitleid. Ich habe euch alle ausreichend gewarnt.
Es handelt sich um ein zero click pre-auth remote code execution, d.h. wurmbar.
Microsoft hampelt jetzt rum, ob das bereits exploitet wird oder nicht. Kann mir keiner erzählen, dass das nicht in null komma nichts exploitet wird.
Viel Spaß beim Aufwischen!
Hey, wenn euch eure Cyberversicherungen nicht auszahlen, muss dann vielleicht doch mal irgendwann Microsoft haften für die verkackte Software, die sie euch verkauft haben? Würde mich ja wundern. Ich glaube langsam, ihr WOLLT alle ständig über Microsoft-Lücken exploitet werden. Damit endlich mal nicht ihr Schuld seid sondern der Mann im Mond, äh, in Redmond.
Hey, wieso migriert ihr nicht in die Cloud? Am besten die von Microsoft!! Danach könnt ihr mir ja was erzählen von dass das damals ja alle gemacht haben, als ob das irgendwas an eurem Versagen ändert.
Leider geht der Link zu Linkedin, also lieber nur im Private Mode öffnen.
Der Angriff erfolgte in der Nacht zum 30.Oktober 2023 über den Zugang, mit dem auch die Kommunen und Kreise in das Netzwerk von Südwestfalen-IT gelangen. Diese so genannte "softwarebasierte VPN-Lösung" war nur mit einem einfachen Passwort gesichert.Das ist so falsch, dass nicht mal das Gegenteil stimmt. Glücklicherweise ist der Incident-Response-Bericht öffentlich, so kann man sich selbst ein Bild machen."Die Südwestfalen-IT hat es den Angreifern sehr leicht gemacht", sagte IT-Experte Philipp Rothmann dem WDR. Üblich wäre hier eine "Multifaktor-Authentifizierung" gewesen, also eine Abfolge von mehreren Passwörtern. So aber mussten die Hacker nur lange genug verschiedene Varianten durchprobieren.
Punkt 1: Das war ein 0day! Da konnte man nichts machen!
Nope. Der Angriff war am 29. Oktober. für die Lücke gab es am 6. September einen Patch, an dem auch noch dranstand, dass das in der freien Wildbahn von Ransomware-Gangs genutzt worde. Das ist also das glatte Gegenteil von 0day.
2. ist das natürlich kein Problem, wenn jemand durch das VPN durchkommt, weil man ja die Security der Dienste dahinter so auslegt, als hingen sie mit nacktem Arsch im Internet. Das ist das Zero Trust, von dem ihr in den letzten Jahren so viel gehört habt. War hier offensichtlich nicht der Fall.
3. war der erste "Angriff" in dem CVE, dass man Accountnamen und Passwörter durchprobieren kann. Das sollte keine Rolle spielen, weil man ja extra aus dem Grund komplexe Passwörter vergibt. Und weil ein Accountname und ein Passwort noch nicht reicht, um sich dann damit auf irgendeinem Rechner zu authentisieren, nur beim VPN. Außer du warst so blöde und hast Single-Sign-On gemacht, aber das ist ja offensichtlich eine ganz furchtbare Idee, also macht das sicher keiner. Oder? ODER? Ich meine, so bekloppt kann man doch gar nicht sein, hoffe ich!
4. Mit einem gültigen Account konnte man sich dann im VPN als andere User anmelden. Sollte auch keine Auswirkungen haben, weil man ja Zero Trust macht und kein SSO hat. Außer man ist auffallend schlecht beraten und kann dann auf niemanden außer sich selber zeigen, wenn Ransomware vorbeikommt.
5. behauptet dieser "Experte" der Tagesschau, dass MFA geholfen hätte. Das ist natürlich Blödsinn. Wenn die Ransomware erst den Firmenlaptop eines Mitarbeiters kompromittiert, kann sie von dort die MFA-Anmeldung einfach mitbenutzen. MFA ist Compliance-Theater und dient hauptsächlich der Beweislastumkehr. Damit man sagen kann: Sehr her, wir hatten MFA, also war der User Schuld. Als ob der User sich Windows, Outlook und Active Directory ausgesucht hätte! Und in diesem Fall: Cisco-Produkte!
6. Ja, richtig gelesen. Active Directory. Völlig überraschend hatten die Angreifer noch am selben Tag Admin-Berechtigung im AD und haben sich dann ungestört im Netz ausgebreitet. Wie konnte das sein? Na weil niemand (auch nicht Microsoft selbst) Active Directory sicher konfiguriert kriegt.
6. Die hatten sogar multiple advanced next-gen endpoint security solutions im Einsatz, von Symantec und den Windows Defender. Hat ihnen beides nicht den Angriff vom Hals gehalten. Dabei macht Symantec explizit Werbung damit, dass sie vor 0days, Exploits und *papierraschel* Ransomware schützen! Und Defender macht sogar was mit "KI" in der Cloud!1!! Und trotzdem kamen die rein und konnten sich ungestört ausbreiten?! Das ist ja merkwürdig!1!! Ist ja fast so, als sei das bloß Schlangenöl?! Hätte uns doch nur jemand gewarnt!
Mich nervt ja vor allem, dass offenbar niemand verstanden hat, was 0day heißt. 0day heißt: Lücke dem Hersteller nicht bekannt, gibt keinen Patch und keine Warnung.
Das mit "gibt keine Warnung" ist bei Cisco natürlich immer Unfug. Wie oft soll ich denn noch vor deren Produkten warnen?!
Die versuchen hier mit 0day-Nebelkerzen die Schuld von sich abzulenken. Erfolglos. Genau niemand außer ihnen selbst trägt die Verantwortung. Immerhin hatten sie wohl Backups und haben kein Lösegeld gezahlt. Immerhin. Aber auch dann stellt sich die Frage, wieso das dann so große Auswirkungen haben konnte ("Die Arbeit dauert bis heute an"). Haben die das Szenario nie geübt?
Auch ansonsten haben die ziemlich großflächig verkackt. Laut Bericht stand das Domänen-Admin-Passwort im Klartext in der Group Policy, und zwar seit 2014.
Fallt also nicht auf Nebelkerzen mit Schlangenölgeschmack und 0day-Blablah rein.
Am Ende ist es immer dasselbe Muster. Ransomware kommt da rein, wo sie das System besser verstehen als der Betreiber. Wenn das Verständnisniveau der Betreiber also nicht so unglaublich schlecht wäre bei uns, hätten wir keine Ransomware-Problematik. (Danke, Max)
Und das hat dann plötzlich Aktivitäten ausgelöst, wo man das ansonsten unter den Teppich gekehrt hätte. Unter anderem dieses bemerkenswerte Aktivität, wo der Hersteller der kaputten Software, die für die Entlassung und juristische Verfolgung von Post-Mitarbeitern verantwortlich war, plötzlich eine "moralische Verpflichtung" sieht, die Opfer seiner verkackten Software zu entschädigen. Ach. Das sind ja GANZ neue Töne!
Aber wartet, geht noch weiter.
He added that the Post Office knew about "bugs and errors" in its Horizon accountancy software early on.Oh aber natürlich, mein Herr! Alle wissen immer vorher, dass sie gerade einen riesigen Fehler begehen! Das war noch nie anders, und ist auch bei allen Cloud-Migrationen so. Niemand wusste jemals nicht, dass das ein riesiger Fehler ist. Aber man macht es trotzdem, weil irgendein windiger Finanzjongleur die Zahlen unter Annahmen aus der Kategorie "Lack gesoffen" so frisiert kriegt, dass die Projektion nach Geld Sparen aussieht.Daher finde ich ja: Natürlich sollten die Hersteller der kaputten Software in den Knast. Aber genau so die Leute, die die wissentlich und vorsätzlich eingesetzt haben.
Vermutlich nicht, denn das ist gerade down.
Geht in die Cloud, haben sie gesagt. Das skaliert so gut, das ist gar nicht überlastbar! Und ausfallen kann das auch nicht mehr, denn das wird von Experten betrieben. *schenkelklopf* (Danke, Boris)
Ich habe ja noch nie verstanden, wieso die Presse und die Märkte so Großfusionen geil finden. Mir fällt gerade kein Fall ein, bei dem das positive Auswirkungen gehabt hätte.
Ich war heute vor allem mit der Fnord-Show ausgelastet und habe nicht so viel gesehen. Hirne Hacken war lustig, kann ich empfehlen. Linus erzählt, wie er mit Ransomwaregangs verhandelt hat.
Synthetic Consciousness Sentience war Peak Joscha und ht dem Publikum das Hirn durchgehackt :)
Der Demoscene-Vortrag hat inhaltlich nicht viel erzählt, hauptsächlich Videos von Demos gezeigt, aber hat mit seiner Begeisterung für die Sache das Publikum schnell für sich gewonnen.
A New Hope sollte ein Pep-Talk sein, war aber eher das Gegenteil.
Decentralized Energy Production war ganz nett, hätte man aber auch als Lightning Talk machen können. In den ersten Minuten erzählt er, dass der Hersteller Remote Firmware Updates machen kann, dass er sich mit MITM einhängen und das auslösen kann, dass der Pfad relativ zum Server in der Cloud ist aber man da Firmware hochladen kann. Damit war der Drops inhaltlich gelutscht.
Von Loab erwartete ich nichts und war dann sehr positiv überrascht.
Jetzt erst mal ausschlafen.
Update: Name des Vortrags von Joscha korrigiert.
Also ich weiß ja nicht, wie ihr das seht, aber das sind doch genau die Unternehmen, die ihre Kunden mit Knebelverträgen abz… äh ich meine, die für Vertrauenswürdigkeit und Zuverlässigkeit stehen!
Geht in die Cloud, sagten sie! Die wissen, was sie tun, sagten sie.
Speicherverschlüsselung ist der verzweifelte Versuch von Server-CPU-Herstellern, mit einer Nebelmaschine, halbdurchlüssigen Spiegeln und Blitzlichtern zur Ablenkung des Publikums so zu tun, als könne man eine Cloud-Umgebung bauen, bei der der Mieter dem Cloudbetreiber nicht vertrauen muss.
Das ist schon immer Bullshit gewesen. Ich mache mich da seit Jahren drüber lustig. Gut zu sehen, dass AMD das offenbar auch so sieht, denn ihrer Meinung nach hat dieser Angriff bloß "mittlere" Schwere. Sehe ich auch so. Das Versprechen, das hier als gebrochen demonstriert wird, war schon die ganze Zeit offensichtlicher Bullshit.
Wenn ihr jetzt denkt: Das waren bestimmt die Chinesen!1!! Dann habt ihr völlig Recht:
Industrial & Commercial Bank of China Ltd.’s U.S. unit had been hit by a cyberattack, rendering it unable to clear swathes of U.S. Treasury trades after entities responsible for settling the transactions swiftly disconnected from the stricken systems. That forced ICBC to send the required settlement details to those parties by a messenger carrying a thumb drive as the state-owned lender raced to limit the damage.Das waren in der Tat die Chinesen. Die Bank, nicht die Angreifer. Die Angreifer waren Lockbit, eine russische Ransomwaregang.Na? Seid ihr eigentlich auch so zufrieden mit Windows, Active Directory und Outlook? Industriestandard, hörte ich! So machen das alle!1!!
Als ich kann ja nur raten, in die Cloud zu gehen. Da sind die Daten sicher, hörte ich.
Wer das neue Outlook ausprobiert, riskiert die Übertragung seiner IMAP- und SMTP-Zugangsdaten zu Mailkonten sowie sämtlicher Mails an Microsoft-Server.Vorteil: Dann kann Microsoft die Migration in die Cloud viel einfacher bereitstellen, weil sie dann ja schon alle Zugangsdaten haben!1!!
Wer kauft denen eigentlich ihren Scheiß ab? Wer vertraut so einer Firma noch!?
Die haben Schülern und Lehrern Tablets und Laptops gegeben, und darauf war dann eine App, in der sie im Unterricht Notizen gemacht haben.
Dann gab es ein Netzwerkproblem beim Betreiber des Schulnetzes, und jetzt sind alle diese Aufzeichnungen weg.
Und ausgerechnet die sei durch eine Netzwerk-Panne auf den Geräten gelöscht worden. Und damit eben auch alle Mitschriften. Die DASDING-Kollegen haben mit Schülersprecher Rayan Marotta gesprochen. Er erzählt, dass wirklich alles weg ist – außer ein paar Fotos und Screenshots – und dass die Stimmung bei den Schülerinnen und Schülern sehr, sehr schlecht sei.Nun löscht eine Netzwerkpanne normalerweise keine Apps und keine Daten in Apps. Da hat es also noch zusätzliches Versagen gegeben, für das hoffe ich Köpfe rollen werden. Aber wartet mal, geht noch weiter. Das war nicht nur reguläres Versagen, das war Versagen im Industriemaßstab:
Sicherheitskopien gäbe es leider auch kaum, so Rayan Marotta, weil aus Datenschutz- und Sicherheitsgründen keine Clouds aus dem Ausland genutzt werden dürfen.Dieser Satz ist fraktal falsch. So falsch, dass auch das Gegenteil falsch ist.
Selbstredend kann man Backups ohne die Cloud machen, Datenschutz behindert Backups nicht, und man kann auch Backups in fremde Clouds machen, solange man die Daten verschlüsselt.
Dass die jetzt auch noch die Victim Blaming versuchen, finde ich absolut erbärmlich. Pass uff, Atze, als nächste Ausrede kommt "aber wir hatten doch so wenig Geld und kein Personal". NA DANN MACH DAS HALT NICHT, DU FLACHZANGE!
Sie sind Kunde bei einem Rechenzentrum, das auf dem Papier super gegen alles abgesichert ist. Die hatten redundante Stromversorgung, genug Dieselgeneratoren und Diesel, um das ganze RZ ohne Teilrunterfahrung weiterbetreiben zu können, und Batterien zum Überbrücken des Anspringens der Diesel. Außerdem Techniker vor Ort, falls was passiert.
Dann gab es einen Stromausfall auf einer der Stromleitungen. Die Generatoren sprangen an und übernahmen. Dann gab es auf einer zweiten Leitung einen Kurzschluss, und der triggerte physische Sicherungen, die auch die Generatoren abschalteten.
Dann stellt sich raus, dass die Batterien, die 10 Minuten überbrücken können sollten, nach 4 Minuten alle waren.
Dann stellt sich raus, dass das Schließsystem nicht an den Notfall-Akkus hing und nicht operabel war. Die Reparateure kamen also nicht an die zu reparierenden Gerätschaften ran.
Oh und das Personal vor Ort? Das waren lauter Security-Leute und ein Techniker, und der arbeitete da auch erst seit einer Woche.
So ähnlich ist das auch bei Cloudflare. Da gehen die Leute eigentlich hin, damit Ausfälle gar nicht erst vorkommen, und wenn doch, dann sind sie schnell wieder behoben.
Wenn ich das selber baue, denken sich manche Firmen, dann sind die Dienste nicht so schnell wieder oben wie bei einem internationalen Cloudanbieter von Rang und Namen!
Stellt sich raus: Nope. Die pfuschen genau so wie alle anderen Pfuscher und wenn da was ausfällt, bleibt das gerne auch 24h kaputt. Oder mehr. Mal sehen.
Geht in die Cloud, haben sie gesagt! Wegen der Zuverlässigkeit, haben sie gesagt.
T-Systems liefert digitale Identitäten für Cloud-Projekt Gaia XOH NEEEIIIINNNNN!!!
CVSS 9.1.
Hey, dieser Software will man doch seine Firmengeheimnisse anvertrauen! Am besten gleich in die Cloud mit den Geheimnissen!! (Danke, atoth)
Bei der Verarbeitung des DCERPC-Protokolls können Schreibzugriffe außerhalb vorgesehener Speichergrenzen auftreten.Jawohl, ein schöner Remote Code Execution critical!
Das ist doch die Foundation, auf der du deine Cloud aufbauen willst!
Die neue iPhone- und Android-Version 8 der Passwortverwaltung erfordert ein Cloud-Abo.How it's going:
Der Support von Okta wurde kompromittiert. Dabei erlangten die Angreifer Zugänge auch zu 1Passwords Okta-Instanz.Aber keine Sorge. Es besteht keine Gefahr für die Bevölkerung!1!! (Danke, Joachim)
Wenn ja: Habt ihr alle Lack gesoffen? Sind bei den ganzen Firmen gar keine Erwachsenen mehr im Raum oder was ist da los?
Wenn ihr eure Credentials oder anderen Geheimnisse einem Third-Party-Dienst gebt, sind es nicht mehr eure Geheimnisse. Das ist ja nun echt keine Raketenchirurgie!
Mann Mann Mann
Und auch die Ausreden immer. "Aber wir haben doch eh schon alles an Cloudflare und Amazon weggegeben, das macht den Kohl auch nicht mehr fett."
Wo bleibt eigentlich die Revolution?
Trotzdem haben einmal alle üblichen Verdächtigen, deren Geschäftsmodell auf Kompetenzsimulation basiert, HTTP/2 ausgerollt, weil, äh, wir sind ja hier Technologieführer!1!!
Jetzt gibt es mal wieder einen HTTP/2-Angriff. Der betrifft niemanden von euch. Der betrifft die oben erwähnten Deppen üblichen Verdächtigen. Ich kann ruhig schlafen. Ihr wahrscheinlich auch. Betroffen sind Google, Cloudflare und Amazon. Sonst niemand. Ihr könnt alle beruhigt eure Vorurteile bestätigt sehen und weiter schlafen.
Ich radikalisiere mich ja langsam zum Fernseher. Ich warne vor etwas, keiner hört auf mich, und dann sehe ich mir aus der Ferne an, wie die Welt niederbrennt. Zum Wohl!
Update: Außerdem ist HTTP/2 eine Google-Erfindung. Google versucht hier also einen Heldenmythos zu etablieren, in dem sie uns vor dem Monster retten, das sie selbst geschaffen haben. Ohne den Teil zu erwähnen, dass sie das Monster geschaffen haben. Zum Kotzen, diese Tech Bros immer.
Microsoft pullt diese Nummer seit Jahrzehnten. Und kommen bis heute damit durch. Hier, kauf doch Defender oben drauf! Und zahl Extra für Cloud-Logs. Und kauf noch unser SIEM. Alles, damit du dich vor den Sicherheitslücken in unserer Software "schützen" kannst.
Update: Money Quote:
Aufbauend auf bereits umgesetzte Maßnahmen sollen in Zukunft aber auch die Cybersicherheitsmaßnahmen verstärkt werden, "inklusive der beschleunigten Nutzung von Cloud-Technologie".
Oh ja, dann wird bestimmt alles viel ... teurer. Hey, nehmt doch Azure! Deren Keys sind besonders sicher, hörte ich neulich!1!!
Dabei betont Krawczyk, dass die Informationen aus den Mails niemals nach außen dringen - sie werden nie von einem Menschen gesehen, fließen nicht in das Training zurück und es wird auch keine personalisierte Werbung auf Basis der Interaktionen mit Bard ausgespielt."nach außen" heißt in diesem Fall nicht "nach außerhalb von deinem Rechner" sondern "nach außerhalb von deinem Rechner und der Google Cloud". Weil, äh, das ist ja so gut wie praktisch als im Grunde fast dasselbe. Und so.
Der Angreifer hat vorher ordentlich Aufklärung betrieben, kannte den Raumplan des Firmensitzes, hat dann Spearphishing probiert, kam bei einem durch. Den haben sie dann angerufen und mit Deepfake-Stimme eines Kollegen noch ein MFA-Token haben wollen. Das war genug, um den ganzen Laden zu knacken.
The additional OTP token shared over the call was critical, because it allowed the attacker to add their own personal device to the employee’s Okta account, which allowed them to produce their own Okta MFA from that point forward. This enabled them to have an active GSuite session on that device.Ja, äh, und? Denkt ihr euch jetzt? Nun, stellt sich raus, dass Google sich ein schönes Backup all eurer MFA-Seeds in ihrer Cloud gemacht hat. Mit dem Google-Zugriff konnten die Angreifer sich die Seeds kopieren und dann ist Ende Gelände. Dazu kommt, dass Google die UI schön irreführend gestaltet hat, so dass praktisch niemand dieses Backup deaktiviert hat in der Praxis.Ganz großes Kino. An sich schon eine krasse Nummer, aber ich bin hier geradezu betäubt gerade von diesem Absatz:
As an aside, we’re glad that not a single on-premise Retool customer was affected. Retool on-prem operates in a “zero trust” environment, and doesn’t trust Retool cloud. It is fully self contained, and loads nothing from the cloud environment. This meant that although an attacker had access to Retool cloud, there was nothing they could do to affect on-premise customers. It’s worth noting that the vast majority of our crypto and larger customers in particular use Retool on-premise.Was sind wir froh, dass unsere Kunden unserer Cloud nicht trauen! Das hat ihnen den Arsch gerettet!Für mich stellen sich da ja noch ein paar mehr Fragen. Kommt die On-Prem-Software und ihre Updates nicht am Ende auch aus besagter Cloud? Aber das ist eine Frage für einen anderen Tag. Das Money Quote aus diesem Artikel ist folgendes:
The fact that Google Authenticator syncs to the cloud is a novel attack vector. What we had originally implemented was multi-factor authentication. But through this Google update, what was previously multi-factor-authentication had silently (to administrators) become single-factor-authentication, because control of the Okta account led to control of the Google account, which led to control of all OTPs stored in Google Authenticator.Well … fuck. :-)
[$NA][1479274] Critical CVE-2023-4863: Heap buffer overflow in WebP. Reported by Apple Security Engineering and Architecture (SEAR) and The Citizen Lab at The University of Torontoʼs Munk School on 2023-09-06Wenn The Citizen Lab einen Bug meldet, dann weil sie einen Staatstrojaner reverse engineered haben, und den Exploit in der freien Wildbahn gefunden haben.Aber eigentlich wollte ich an der Stelle folgende Bemerkung loswerden:
Immer diese versifften unsicheren Schrottimplementationen von inkompetenten Anfängern wie ... *akteumblätter* Google!1!!
Sagt mal, seid ihr auch Kunden von der Google-Cloud ? Weil ihr annahmt, dass der Code, den die produzieren, weniger schlecht ist als der von Microsoft oder Amazon? Tja, das war dann wohl nicht so schlau.
Update: Falls das jemand nicht wusste: WebP ist auch in allen anderen Browsern drin. Und in diverser sonstiger Software, die Bilder entgegennimmt oder verarbeitet.
Hätten sie mich gefragt, hätte ich ihnen gesagt, dass dieser Vorfall zeigt, dass das fundamentale, zentrale Versprechen der Cloud nicht eingelöst werden kann:
Dass sich jemand kümmert, der sich mit sowas auskennt, und dann keine Vorfälle passieren.
Ich hätte ihnen gesagt, dass Microsoft dieselbe Software, die sie uns allen als sicher und vertrauenswürdig verkauft, selber einsetzt und darüber nicht nur von ausländischen Geheimdiensten gehackt und unterwandert wird, sondern das auch weiß und daher das Produktionsnetz vom Entwicklernetz zu isolieren versucht hat. Aber dass diese Abschottung inkompetent implementiert wurde und Microsoft offensichtlich nicht einmal rudimentärste Qualitätssicherung durchgeführt hat.
Ich hätte darauf hingewiesen, dass die Software, die bei Ihnen auf den Rechnern läuft, aus genau dem Entwicklernetz kommt, das (wie sich jetzt rausstellt) großflächig von ausländischen Geheimdiensten unterwandert ist. Wenn Sie 2 und 2 zusammenzählen können, sollten Sie das daher schleunigst durch etwas vertrauenswürdigeres ersetzen.
Wenn ich gute Laune gehabt hätte, hätte ich noch darauf hingewiesen, dass Apples Icloud jahrelang Untermieter bei Azure war und daher auch als kompromittiert gelten sollte.
Außerdem hätte ich darauf hingewiesen, dass Microsoft den ganzen Vorfall unter den Teppich zu kehren versucht hat. Wir hätten davon nie erfahren, wenn nicht US-Behörden in ihren zusätzlich eingekauften und extra bezahlten Log-Zugängen Anomalien gesehen hätten.
Kurz gesagt: Microsoft kann das nicht. Microsoft wusste, dass sie das nicht können. Also haben sie uns uns Gesicht gelogen.
Damit haben sie sich in eine traurige Reihe hinter der SPD, der CDU, der CSU und der FDP eingereiht. Die Grünen haben wenigstens nie ernsthaft so getan, als hätten sie von irgendwas Ahnung, mit ihren Bachblüten und ihrem "Elektrosmog".
Zusammenfassung: Komplettes Versagen auf allen Ebenen. Eine atemberaubend lange Kette an Versagen führte dazu, dass ihre Policy nicht sauber umgesetzt wurde, das Produktionsnetz vom normalen Corpnet zu trennen. Darüber konnte über einen Crashdump (glauben sie!) ein Production Key ins Corpnet kommen.
Ja äh Sekunde, warte mal, sollte das Corpnet nicht auch komplett sicher sein? Ich meine, dort wird der Code geschrieben, der am Ende bei euch Endkunden läuft?
Nein. Das Corpnet ist offensichtlich komplett durchseucht. Ein einziger Key-Leak aus dem Produktionsnetz ins Corpnet hat gereicht für eine Total-Kompromittierung. Microsoft spricht hier von "Assume Breach" wie in der Policy, aber es ist nicht nur eine Policy. Deren Corpnet ist offensichtlich tatsächlich komplett durchseucht und in den Händen irgendwelcher "Threat Actors".
Warum? Lasst mich das kurz aufklären: Weil sie das tödliche Trio einsetzen. Windows, Active Directory und Office. Man nimmt ja immer gerne an, dass die ganzen Microsoft-Kunden einfach alle zu blöde waren, das ordentlich einzusetzen. Nein. So ist das nicht. Microsoft setzt das intern auch ein und hat genau dieselben Probleme wie alle anderen. Wir hören nur selten davon.
Am Ende haben sie nicht etwa ihr Corpnet zugenagelt als Reaktion auf dieses Problem. Nein. Sie haben die lange Liste der Bugs auf dem Weg dieses Exploits gefixt. "Best Practices" heutzutage. Man baut erst einen kaputten Müllhaufen, dann macht man einen Pentest und fixt alle gefundenen Issues. Dann wird man von den Chinesen gehackt und fixt wieder alle gefundenen Issues. Eine Woche später wird man von den Russen gehackt und fixt wieder alle gefundenen Issues. An keiner Stelle versucht man auch nur, eine tatsächlich sichere Software zu schreiben.
Eine Sache noch. Der Key leakte über den Crashdump-Mechanismus aus ihrem Produktionsnetz in ihr Corpnet. Das heißt: Die Dienste in Produktion crashen. Und zwar nicht ab und zu, nein, ständig. Deshalb haben sie überhaupt einen Mechanismus bauen müssen, um Crashdumps aus der Cloud ins Corpnet zu ziehen.
Letzter Punkt: Normalerweise ist beim Übergang Produktion - Corpnet das Corpnet der Teil mit den höheren Privilegien. Hier ist das offenbar anders herum. Da hat das Cloud-Team wohl ein-zwei Mitarbeiter gehabt, die die desolate Lage korrekt eingeschätzt haben, was man hier vor wem schützen muss.
Wenn eure Firma also in die Cloud gezogen ist, weil ihr dachtet, unsere Haus-Installation crasht ständig, und dort ist das in guten Händen und es läuft zuverlässig durch, dann solltet ihr das nochmal neu bewerten jetzt.
Update: Achtet auch mal darauf, wie sie begründen, wieso sie im Prod-Netz dem Corpnet nicht trauen!
Our corporate environment, which also requires secure authentication and secure devices, allows for email, conferencing, web research and other collaboration tools. While these tools are important, they also make users vulnerable to spear phishing, token stealing malware, and other account compromise vectors.
Genau das, worüber auch ihre Kunden sich Ransomware einfangen. Das betrachten sie selber als so ein hohes Risiko, dass sie das Prod-Netz lieber davon trennen.
Wenn wir doch nur eine Firma kennen würden, die diese Software sicher machen könnte!1!!
Mich freut ja besonders, dass hier Teams als Risiko geführt wird ("Conferencing"). Alle Teile dieser Risikobetrachtung sind Microsoft-Software. Microsoft bewertet ihre eigenen Produkte als zu riskant, um sie in die Nähe ihrer Produktionsumgebung zu lassen.
Die "Kieler Nachrichten" berichten, dass eine örtliche Baufirma alle Türen aus dem Inneren des DB-Reisezentrums in Kiel wieder ausgebaut hat – weil die Bahn die Rechnungen dafür nicht bezahlt hatte.Ach. Ach was.
Der Bauunternehmer findet klare Worte:
"Es ist eine Unverschämtheit, dass die Deutsche Bahn gegen Schwarzfahrer manchmal so vorgeht, dass alle Fahrgäste dadurch verspätet am Ziel ankommen – die Bahn selbst aber nicht dafür sorgt, dass ihre Rechnungen beglichen werden."Was sagt denn die Bahn dazu?
Den "Kieler Nachrichten" sagte der Bahnkonzern nun, dass für die Abwicklung der Zahlung ein von der Bahn engagiertes Gebäudemanagement-Unternehmen zuständig sei – welches wiederum angab, dass man den Fall rechtlich derzeit noch prüfe und sich daher nicht äußern wolle.Ach nee. Und wenn ihr Outsourcing macht, dann haltet ihr euch für nicht zuständig oder wie?
Das ist ja wie bei den ganzen Spezialexperten, die ihre Software in die Cloud schieben! (Danke, Johannes)
Solche Software gibt es, aber sie hat auf dem Markt keine Chance, weil die ganzen Compliance-Lemminge da draußen glauben, dass Software ohne ständiges Patch-Rumgenerve wahrscheinlich unsicher und tot ist.
Das KANN SEIN, keine Frage. Ist vermutlich auch häufig so. Da muss man dann halt genauer hingucken.
Jetzt erhalte ich Argumentationshilfe von überraschender Stelle: Von Großbritannien.
Da findet nämlich der Fascho-Staat, dass man zukünftig der Behörde Bescheid geben muss, bevor man Software patcht. Und dann behält sich die Behörde vor, das Einspielen des Patches zu untersagen.
Mal abgesehen von dem immer neuen Schock über die immer schlimmer werdenden faschistischen Diktaturen da draußen: Es ist natürlich völlig klar, was die Briten hier vorschlagen. Und ja, im Moment ist das bloß ein Vorschlag. Aber deren "du musst dein Passwort rausrücken sonst kommst du in Beugehaft"-Gesetz war auch mal bloß ein Vorschlag, an dessen Umsetzung niemand glauben wollte.
Ich hoffe natürlich, dass das scheitert. Aber wenn es nicht juristisch scheitert, wird es wahrscheinlich technisch scheitern. Die haben glaube ich keine Vorstellung davon, wie groß der Patch-Tsunami inzwischen ist. Wenn jeder jeden Patch bei denen anmelden muss, dann betrifft das natürlich auch Clouddienste, die für Briten erreichbar sind, dann werden die von einer Meldewelle überrollt werden. Was sich diese Knalltüten, die das vorgeschlagen haben, vorstellen, ist nicht leistbar. Schon gar nicht für eine typische Behörde.
Insofern vermute ich mal, dass das darauf hinauslaufen wird, dass nicht aus den Meldungen Exploits generieren werden, sondern dass sie das Wegpatchen von Lücken verbieten werden, die sie mit existierenden Exploits aktiv ausnutzen. Natürlich zu Laste der Sicherheit von Allen.
Auf die Meldung warte ich ja seit Jahren, dass das mal einem Cloudanbieter passiert. Money Quote:
The hosting company's statements revealed that some of the firm's servers had been infected by ransomware despite being protected by firewalls and antivirus.Ach. Sagt bloß. Das ist ja fast, als würde Schlangenöl gar nichts bringen?! Hätte uns doch nur jemand gewarnt!!
Ach. Ach was. Das hat bestimmt die CIA herausgefunden!
Angriff der Maschinen? Nein. Softwareproblem. Kann man nichts machen.
Leute, wir sollten noch viel mehr Scheiß in die Cloud schieben. Damit am Ende gar nichts mehr ohne Cloud funktioniert. Denn die Cloud ist sicher und zuverlässig, wie man hier gerade mal wieder gut sehen kann.
Immerhin heucheln sie Einsicht:
It is difficult to have a cloud service 100% reliable all the time, but we should at least have designed the system more carefully to avoid such embarrassing consequences.Das hält dann bis zum nächsten solchen Vorkommnis, nehme ich an. Wohlgemerkt: Die Peinlichkeit stört sie hier gerade. Nicht dass sie potentiell die Häuser ihrer Kunden niedergebrannt haben könnten.
Sind Sie schon in die Cloud gezogen oder haben sie noch eine Om-Prem-Installation?
Wie, On-Prem?! Immer noch!?!? Was muss Microsoft denn NOCH alles machen, damit Sie endlich aufgeben und Ihre Abhängigkeit komplettieren? Oh, ich hab eine Idee. Die könnten mal wieder ein Update ausliefern, das On-Prem-Server kaputt macht. Oder, äh, ... noch kaputter.
Ich hab ja kein Mitleid mehr. Früher hatte ich noch so Anflüge von Mitgefühl. Heute nicht mehr. Wer das einsetzt, hat verdient, dass ich mich popcornmampfend an meiner Schadenfreude labe.
Microsoft Defender for Cloud Apps [...] Microsoft Entra ID premium risk detections in Microsoft Entra ID P2 and E5 licenses [...] Use a managed authentication configuration [...] Connect Microsoft Entra ID data to Microsoft Sentinel [...] options for connecting with the Microsoft Graph Security APIAber hey, Recht haben sie. Wer so blöde war, seine Firma in die Microsoft-Cloud zu schieben, der ist auch abhängig und gefangen genug, dass man ihm noch weitere Microsoft-Abhängigkeiten reindrücken kann. Und er wird noch dafür zahlen!!
30 March 2023 - Issue discovered and reported to Microsoft via MSRC[...]
27 June 2023 - Tenable requests an update
6 July 2023 - Microsoft informs Tenable that the issue is fixed
10 July 2023 - Tenable informs Microsoft that the fix is incomplete
Und am Ende so: Es reicht. Microsoft hat uns jetzt auf September verschoben. Wir veröffentlichen jetzt das Advisory.Oh aber ich habe noch gar nicht gesagt, was das Problem war:
A researcher at Tenable has discovered an issue that enables limited, unauthorized access to cross-tenant applications and sensitive data (including but not limited to authentication secrets).Cross-Tenant-Isolation! Das EINE Feature, das eine Cloud WIRKLICH WIRKLICH haben muss, damit irgendjemand denen Daten anvertraut.Na, habt ihr eigentlich auch eure Daten bei Microsoft in die Cloud geladen? Nachdem die seit Jahrzehnten schon nicht in der Lage sind, ein reguläres Server-OS anzubieten, das grundlegenden Sicherheitsanforderungen genügt?
Aber Tenant-Isolation, habt ihr euch gedacht, das ist einfach. Das schaffen die schon. Und wenn nicht, dann bin nicht ICH schuld. Dann ist das halt Schicksal. Ja?
Wer jetzt noch in die Cloud geht, dem ist echt nicht zu helfen. (Danke, atoth)
Finger weg von der Microsoft-Cloud. Nicht nur jetzt akut. Für immer. Einem Hersteller, der so ein Vorkommnis nicht nur überhaupt stattfinden lässt, sondern dann auch noch die Kunden mit Platitüden und "aber aber aber DIE CHINESEN!!1!" abzuspeisen versucht, dem kann man jetzt und in Zukunft nie wieder trauen. Davon erholst du dich nicht als Anbieter.
Cloud-Anbieter sind mehr noch als reguläre Software-Anbieter auf Vertrauen angewiesen. Die können nicht in den Pool pinkeln und dann so tun als sei nichts gewesen. Einer Schließfach-Firma, bei der sich rausstellt, dass jedes Schließfach mit jedem Schlüssel zu öffnen ist, würde man ja auch nie wieder vertrauen. Würdet ihr noch Schlafmittel vom Contergan-Hersteller kaufen?
Das Problem ist, dass die Publikationen, die da jetzt aber mal so richtig auf die Scheiße hauen müssten, sich selber völlig ohne Not von Microsoft abhängig gemacht haben. Nur nur weil sie deren Produkte einsetzen, sondern auch weil sie von Microsofts Werbebudgets abhängig sind.
Und so kommt es zur peinlichsten Nummer diesen Sommer. Ja, peinlicher als der "Löwe" in Berlin. Heise Security schreibt einen Fragenkatalog für Microsoft auf. Microsoft antwortet natürlich nicht. Daher der Fragenkatalog. IHR sollt Microsoft die Fragen stellen, die sie schon Heise nicht beantwortet haben. Vielleicht kriegt IHR ja eine Antwort!1!!
Was für eine Zurschaustellung von Hilflosigkeit! Money Quote aus dem Artikel:
Der Verlag setzt selbst auch Microsoft-Dienste wie Microsoft-Teams ein. Deshalb haben wir auch aus der Sicht eines möglicherweise betroffenen Unternehmens nachgehakt und Fragen gestelltJa, äh, und auf die Idee ist keiner gekommen, den ganzen Microsoft-Scheiß sofort rauszuschmeißen?
Aber aber aber Fefe, das ist doch total unrealistisch. Ohne Windows und Outlook und Active Directory kann man doch gar keine Ransomware kri... äh ich meine kann man doch gar nicht arbeiten!!1!
Na dann macht mal alle weiter, ihr Verstrahlten. Hey, wieso stellt ihr nicht Microsoft die Fragen von Heise? Vielleicht kriegt ihr ja eine Antwort!
Seid ihr eigentlich auch so froh, dass wir eine so freie und unabhängige Presse haben?
Update: Versetzt euch mal kurz in Microsofts Management rein. Würdet ihr angesichts dieser Reaktion auf den größtmöglichen Verkacker bei ihnen jemals wieder auch nur einen Dollar in Security stecken? Ist ja offensichtlich völlig überflüssig. Die Kunden sind eh gefangen. Lass uns denen lieber noch "Threat Intelligence" verkaufen oder ähnlichen Scheiß. Solange die Geld-Pipeline den Kunden weiter Abogebühren aus der Nase zieht, ist doch alles gut!
Update: Freut mich, wie viele entsetzte Mails ich gerade zu Grünenthal kriege. Ja, nicht nur gibt es die noch, die verkaufen heute Opioide. Inklusive des am häufigsten verordneten Opioids, Tramadol. Hand aufs Herz, wie viele von euch wussten das?
Update: Hey, wo wir gerade bei Contergan sind ... sagt euch Heinrich Mückter was? Hier ein Spiegel-Artikel von 2007 dazu.
Das wissen wir, weil Regierungsbehörden betroffen waren. Microsoft gab also zu, was sie nicht mehr leugnen konnten, nämlich dass ihre Azure Security ein Trümmerhaufen ist.
Aber warte. Sie haben nur zugegeben, dass die Chinesen damit ihren Exchange aufmachen konnten. Nur... wenn du eine Art Admin-Schlüssel selbst erzeugen kannst, wieso würde das dann auf Exchange beschränkt sein? War es natürlich nicht.
This led us to believe that although the compromised key acquired by Storm-0558 was a private key designed for Microsoft's MSA tenant in Azure, it was also able to sign OpenID v2.0 tokens for multiple types of Azure Active Directory applications.Und damit könnte man sich auch einfach so bei Sharepoint und Teams und co anmelden und einmal alle Daten absaugen.Microsoft verhält sich echt wie so ein TV-Kleinrimineller in einer Polizeiserie. Nur zugeben, was die eh schon wissen. Schnell ablenken und auf "die Chinesen" zeigen. Abstoßend, sowas.
Na, habt ihr auch schon euer Business in die Microsoft-Cloud geschoben? Wegen der Sicherheit oder wegen der Ausfallsicherheit? *wieher*
Hätte uns doch nur vorher jemand gewarnt!!1!
Friday’s post and two others Microsoft published Tuesday, bend over backward to avoid the words “vulnerability” or “zero-day.” Instead, the company uses considerably more amorphous terms such as “issue,” “error,” and “flaw” when attempting to explain how nation-state hackers tracked the email accounts of some of the company's biggest customers.Die Taktik, das auf Geheimdienste zu schieben, finde ich auch herausstellenswert. Als ob das dann weniger krasses Versagen auf ihrer Seite wäre, weil man gegen Geheimdienste ja eh nichts machen kann. Oder so.Aber wartet, die Nummer ist sogar noch krasser als ich bisher mitbekommen hatte.
one federal agency that was breached by Storm-0558, it discovered the intrusion through audit logs that track logins and other important events affecting customers’ Microsoft cloud events.Microsoft, however, requires customers to pay an additional fee to access these records. The cost for an “E5” enterprise license allowing such access is $57 per month per user, compared to an E3 license cost of $36 per month per customer.
Ach. Ach was. Erst liefern sie sich ans Messer, dann kassieren sie für Updates Abo-Gebühren, und jetzt wollen sie auch noch Geld für Zugang zu der Telemtrie, die sich über dich erhoben haben, damit du selber merken kannst, ob du gehackt wurdest?Tolle Gelddruckmaschine haben die da. Ich staune ja immer, dass die Doofe finden, die ihnen noch Geld für ihre "Dienste" geben.
Bevor jetzt irgendein Sprallo mit "aber Amazon ist ja auch teuer" kommt: Es geht auch ganz ohne Cloud! Ich weiß das von einer verlässlichen Quelle.
Da fragt man sich, was die Leute eigentlich beruflich machen, die Microsoft Zertifikats-Handling-Code schreiben lässt. Da gibt es im Wesentlichen eine (EINE!) Anforderung. Und die verkacken sie mit Anlauf im Industriemaßstab.
The actor used an acquired MSA key to forge tokens to access OWA and Outlook.com. MSA (consumer) keys and Azure AD (enterprise) keys are issued and managed from separate systems and should only be valid for their respective systems. The actor exploited a token validation issue to impersonate Azure AD users and gain access to enterprise mail.Oh, soso, ein Token Validation Issue, ja? Ich finde ja, wenn du Tokens nicht sauber validierst, ist das ein System-Totalschaden, kein "issue", das man korrigiert und einfach weiterpfuscht.In diesem Fall erfahren wir davon, weil es US-Regierungsbehörden betraf.
Als besonders abstoßend empfinde ich auch das Krisen-PR-Neusprech, das Microsoft hier rausfurzt. Geradezu eine intellektuelle Beleidigung. Alle üblichen Bullshit-Ausreden. Kein einziges "Entschuldigung, dass wir unser zentrales, fundamentales Cloud-Versprechen so dermaßen großflächig verkackt haben".
Dann habe ich gute und schlechte Nachrichten. Die gute Nachricht: Ihr müsst keine Backups mehr machen. Die schlechte Nachricht: Die Daten sind weg.
Geht in die Cloud, haben sie gesagt! Da sind eure Daten sicher, haben sie gesagt!
Mastodon-Instanzen durch bösen Toot rootbar.
Ciscos verschlüsseltes VPN kann man von außen entschlüsseln. Besonders schön: Die Funktion heißt "CloudSec". Oder, wie Cisco es ausdrückt:
Using Multi-Site Secure VXLAN EVPN with CloudSec provides state-of-the art Data Center Interconnect with Confidentiality, Integrity, and Availability.WHOA DUDE! Nicht nur VPN! EVPN!!Und nicht nur EVPN! VXLAN EVPN!!
Warte! Nicht nur VXLAN EVPN! Secure VXLAN EVPN!!!
Scheiße, Bernd, heißt das, dass es auch Insecure VXLAN EVPN gibt? Wie sich rausstellt: ja. Ist sogar Standard :-)
Update: Hat sogar noch ein bisschen mehr Availability als geplant!
Ich habe ja gerade mal herauszufinden versucht, was die eigentlich machen. Google sagt:
Fortinet bietet automatisierten Security-Betrieb in einer konsolidierten Cyber-Sicherheitsplattform.Hmm hmm. OK. Yes, but what do you DO?
Fortinet hilft Unternehmen, die digitale Fortentwicklung ihrer Anwendungswege in die Cloud, aber auch zwischen und über Clouds hinweg zu sichern.Hmm hmm. OK. Yes, but what do you DO?
Die Fortinet Security Fabric integriert branchenführende Sicherheitslösungen, die einen umfassenden Einblick in die IT-OT-Angriffsfläche ermöglichen.Hmm hmm. OK. Yes, but what do you DO?
Die Fortinet Security Fabric ist die leistungsstärkste Cyber-Security-Mesh-Plattform der Branche.OK. Yes. But. What. Do. You. DO?
Ich habe ja noch nie verstanden, wieso Firmen solches Goobledigook publizieren. Wollen die ihre Kunden einschläfern? Hypnotisieren vielleicht?
Noch unverständlicher ist mir, wieso Leute bei solchen Firmen kaufen. Wenn die Firma nicht mal selber sagen kann, was ihre Produkte eigentlich tun, wieso würde man die dann kaufen? Weil man mal eine Indiana-Jones- oder Lara-Croft-Phantasie ausleben will?
Oh, die Lücke. Die Lücke ist wohl ein pre-auth remote code execution in deren VPN-Modul. Also DIE EINE Sache, die der absolut maximale GAU für ein VPN-Produkt ist.
Update: Fortinet-Kunden kennen das schon. CVE 2023-25610, CVE 2022-42475. Insofern: Wer deren Produkte immer noch im Einsatz hat, hat kein Mitleid verdient.
Da wissen die Admins, was sie tun, haben sie gesagt!
Hidden within this pull request was a typo bug in the snapshot deletion job which swapped out a call to delete the Azure SQL Database to one that deletes the Azure SQL Server that hosts the database. The conditions under which this code is run are rare and were not well covered by our tests.Dieser Tippfehler hatte eine gewaltige kriminelle Energie, müsst ihr wissen. Der hat sich geschickt in einem selten genommenen Codepfad getarnt!!1!
Warum sind die tot? Steht da nicht. Aber anhand der vorgeschlagenen neuen Dimensionen kann man riechen, von wo der Wind weht:
Das neuere DIE-Sicherheitsmodell (Distributed, Immutable, Ephemeral) ist ein Konzept in der Informationssicherheit, das auf die drei Aspekte Verteilung, Unveränderlichkeit und Vergänglichkeit von Daten abzielt.Na? Gemerkt? Hier wird Ergebnis-Kontrolle durch Implementationsdetails ersetzt. Und zwar Cloud-Heini-Implementationsdetails.
Das ist wie wenn du eine Kategorie "Objekt-Orientierte Datenhaltung" einführst. Das bedeutet nichts. Das hilft niemandem. Das ist Verkaufs-Blablah von Cloud-Heinis, die nicht auf die tatsächlichen Auswirkungen ihrer Vorschläge angesprochen werden wollen. Das ist "It's got electrolytes", falls ihr Idiocracy kennt.
Bislang, wenn jemand deine Daten geklaut hat, war die Confidentiality (Vertraulichkeit) beschädigt. das war nicht zu verhandeln. Wenn jemand deine Daten per Ransomware verschlüsselt, war die Availability weg. Wenn jemand deine Daten ändert, war die Integrity futsch.
Die neuen Kategorien geben diese Analyse nicht her. Die lügen dir direkt ins Gesicht, dass es sowas wie "vergängliche Daten" gibt. Gibt es nicht. Daten werden nicht schlecht. Wenn ich die heute auslese, kann ich die morgen, nächste Woche oder in 100 Jahren gegen dich verwenden.
Das neue Modell lügt dir ins Gesicht, dass das für dich als Kunden relevant ist, ob der Dienst die Daten verteilt oder zentral speichert. Spielt überhaupt gar keine Rolle für dich. Für dich ist wichtig, ob jemand unbefugt rankommt.
Was sollen denn die neuen Kategorien dann? Das sind Cloud-Kategorien! Da geht es nicht um Sicherheit, sondern es geht um das Errichten einer Nebelwand. Oh, und natürlich will dir hier jemand was verkaufen. So Golfplatz-mäßig. Habt ihr schon verteilte Datenhaltung?
Immutable kann helfen, wenn es um die Integrität von Daten geht. Wenn es um die Verfügbarkeit oder Vertraulichkeit geht, hilft das nicht. Distributed kann helfen, wenn es um die Verfügbarkeit geht, aber für Integrität tut es nicht viel und für die Vertraulichkeit ist es sogar kontraproduktiv.
Wieso also hier von Zielen auf Implementationsdetails umschwenken? Weil die Leute keinen Bock haben, ihre sinnlosen Schlangenöl-Maßnahmen gegen tatsächliche Auswirkungen bewerten zu lassen. Die Leute wollen lieber "wir haben die Daten verteilt" sagen, als sich auf Diskussionen einzulassen, was dem Kunden das bringt. In praktisch allen Fällen bringt das nämlich gar nichts. Aber man kann sich gegenseitig auf die Schultern klopfen und so tun, als haben hier nicht Geld verbrannt sondern einen Fortschritt erzielt.
Darum geht es hier aus meiner Sicht. Leute haben keinen Bock, ihre Leistung nach Auswirkungen oder anderen konkreten Kriterien bewerten zu lassen. Weil man dann sieht, dass sie nicht nur gar nichts geleistet haben, sondern die Sache sogar schlimmer gemacht haben, weil es jetzt eine Komplexitätsexplosion gab, die in der Zukunft im Weg stehen wird.
Lasst euch also nicht von irgendwelchen Cloud-Heinis verarschen, die euch irgendwelche Modelle reindrücken wollen, die die fundamental in einer Cloud-Umgebung nicht erbringbaren Anforderungen mit Neologismen und Schlangenöl-Bullshit zu übertünchen versuchen.
Besteht weiterhin auf einer Bewertung nach den konkreten Auswirkungen. Lasst euch nicht mit "aber wir haben da drüben eine Komponente immutable gemacht" abspeisen. Wichtig ist, ob eure Daten geklaut werden können oder nicht.
Lieber von einem Spezialisten-Dienstleister in der Cloud machen lassen, haben sie gesagt.
Ohh, nee, warte. Nicht irgendeinen Spezialisten. Bei Microsoft selbst, haben sie gesagt! Da weiß man, dass die das im Griff haben, haben sie gesagt!1!!
Warum machen Leute das? Wenn das vorher selbstgehostet wirklich noch schlimmer war, vielleicht solltet ihr dann einfach bei Fax und Schreibmaschine bleiben?
Heute so: Redhat bietet Kubernetes-Konfiguration als Clouddienst an. Ja geil! Da hat man ja MASSIV was gewonnen mit!
Aber die Frage, wieso man eigentlich auf eine Plattform migriert, bei der man nicht mal die Konfiguration ohne Assistenz im Griff hat, die stellt mal wieder keiner.
Wir sind auf dem direkten Weg in die Cyberpunk/Shadowrun-Welt. Alles ist kaputt, alles ist hackbar, keiner hat irgendwas im Griff. Nur Black ICE fehlt noch: Detektions-Tech, die den angeblich identifizierten Hacker physisch angreift. Aber der eine Teil daran, den Shadowrun und co nicht durchdacht haben: Wenn die Menschen so wenig in der Lage sind, ordentliche Software zu schreiben, dann würde die Einführung von Black ICE erstmal den eigenen Admins das Hirn frittieren. Denn soviel ist heute schon beobachtbar: Der typische Angreifer weiß deutlich mehr über das die Details des Systems als der typische Admin.
Was ich ja bei der Idee mit dem Konfigurations-Clouddienst auch krass finde: Wer würde denn in so einem Szenario merken, wenn die NSA ihm eine Konfiguration mit Hintertür in die Hand drückt?
Toyota Japan has apologized after admitting to leaving millions of customers’ vehicle details on the public internet for a decade.Cloud-Fehlkonfiguration. Kann man nichts machen.
Daher hier nochmal meine längeren Gedanken. Der Aufhänger für die ganze Geschichte war ja nicht, dass Amazon von Microservice auf Monolith umgestellt hat, sondern dass sie damit 90% Kosten gespart haben.
Natürlich kann man hier eine tolle Diskussion der Vor- und Nachteile von Modularisierung und Microservices führen. Aber geht halt am Punkt vorbei. Amazon hat das nicht aus strukturellen Gründen umgestellt, sondern weil das 90% billiger ist.
Warum ist das denn 90% billiger? Nun, dazu ein kleines Gedankenexperiment.
Nehmen wir an, ihr geht zu einem Hoster, und mietet bei dem zwei Rechner an. Die stehen am Ende im selben Rechenzentrum, und zwischen ihnen gibt es Ethernet. Der Traffic zwischen den Kisten kostet euch nichts. Denn der kostet auch den Hoster nichts. Das ist ein Kabel, ein Switch. Niemand käme auf die Idee, da einen Trafficzähler dran zu hängen, und euch eine Rechnung pro Kilobyte zu schicken.
Sagte ich niemand? Doch! Die Amazon Cloud macht das so. In der Cloud haben Amazon und co ein Nickel-and-Dime-Abrechnungsmodell etabliert, bei dem man für Dinge Rechnungen kriegt, die beim Hoster mit drin sind, und die dem Cloudanbieter keine Kosten verursachen.
Traffic zwischen den Diensten. Traffic zur Festplatte. Benutzter Platz auf der Festplatte. Sowas.
Was hier also die immensen Einsparungen verursacht hat, das war keinesfalls eine "bessere Architektur". Nein. Das war die gezielte Vermeidung von Amazons Freudenhaus-Preisstruktur. Wenn Amazon für Storage oder den Traffic zum Storage Geld sehen will, dann reduzieren wir am besten temporäre Zwischenspeicher. Wenn Amazon für den Traffic zwischen Microservices Geld sehen will, dann fusionieren wir die am besten zu einem Monolithen zusammen.
DAS ist hier passiert.
Auf architektonischer Ebene kauft man sich mit Verteilung (z.B. auf Microservices) höheren Durchsatz, aber zahlt mit steigender Latenz. Wenn die Latenz wichtig ist, dann versucht man die Pfade kurz zu halten. Wenn der Durchsatz wichtiger ist, dann zerlegt man den Prozess in mehr Stufen und baut ein Fließband-System, bei dem die Schritte entkoppelt sind, damit sie einzeln in die Breite skaliert werden können. Wenn man das geschickt macht, kann man sowohl hohen Durchsatz und geringe Latenz haben. Das ist dann aber mit Arbeit verbunden.
Die Story hier ist also meiner Ansicht nach nicht über Microservices oder Monolithen oder Modulithen, wie Kris sie nennt, sondern über Amazons Preisstruktur. Wieso das außerhalb von Amazon anscheinend niemandem auffällt, sondern wir dafür einen Blogpost von deren Videoabteilung brauchen.
Wo sind denn eigentlich die ganzen schonungslosen Analysen, ob die Dinge durch die Cloud-Migration tatsächlich billiger oder effizienter geworden sind?! Ich sehe keine davon. Weil keiner zugeben will, dass das dadurch langsamer, unzuverlässiger und teurer geworden ist, ohne irgendeinen Vorteil zu zeitigen.
Update: Ein Leser empfahl zu Amazons Kostenstruktur diese handliche Übersicht. Na dann ist ja jetzt alles klar. *gacker*
Ich spoiler mal das Offensichtliche: Nein. Kann man nicht.
Nichtsdestotrotz haben die Bundesländer ein Gutachten in Auftrag gegeben. In der Hoffnung, offensichtlich, dass der Gutachter high, besoffen und blind ist. Und von Microsoft bezahlt, denn selbst ein Blinder sieht, dass das nicht geht.
Und wie lief das Gutachten? Fragdenstaat wollte da mal reingucken, und das wurde ihnen verweigert.
Der Antrag ist nach 8 6 a) IFG NRW abzulehnen, da das Bekanntwerden des Rechtsgutachtens die Beziehungen zu anderen Bundesländern beeinträchtigen würde.Wait ... what?!?
Die ALD hat einer Herausgabe zu recht widersprochen. Es handelt sich nämlich um ein internes Arbeitspapier der ALD, das der gemeinsamen Erarbeitung und Umsetzung einheitlicher Verhandlungsbedingungen dient.Ja! Richtig gelesen! Das ist klar illegal, also hoffen sich damit den Preis senken zu können. Hey Microsoft, wir bezahlen euch und die amerikanischen Geheimdienste doch schon mit dem illegalen Zugriff auf alle Daten unserer Bevölkerung, die wir hier ohne sie zu fragen ans Messer liefern!1!! Da könnt ihr doch sicher den Kaufpreis etwas senken? Schlagt das doch einfach auf die Wartungskosten drauf, die zahlt bei uns ein anderer Topf.
Immer dran denken: Diese Leute sind von uns Steuerzahlern bezahlte Dienstleister, deren Auftrag es ist, sich an Recht und Gesetz zu halten.
Wie kriminell müssen die noch werden, bevor man die einfach mal alle rausschmeißt?
Schritt 2: Die Hacker haben 10 TB (!) Daten rausgetragen, bevor WD was gemerkt hat. Mit anderen Worten: WD hat völlig überraschend überhaupt gar keine Kompetenz und merkt den Einbruch an der Trafficrechnung.
Immer noch nicht wirklich eine Erwähnung im Blog wert. Doch dann passierte das hier: Hacker veröffentlichen Screenshot des Krisenmeetings über den Angriff bei WD. Ja, meine Damen und Herren. Das Niveau an Überforderung muss man erstmal erreichen.
Ich tippe ja auf Agile Prozesse. Nee, wir brauchen keine Kompetenz. Wir brauchen keinen Plan. Wir machen einfach los und dann wird schon klar werden, was wir eigentlich hätten tun sollen.
Und hey, es funktioniert!1!! Jetzt ist deutlich klar geworden, was man die ganze Zeit schon hätte tun sollen. Damit einem nicht, wissenschon, das SAP Back Office komplett von Ransomware-Gangs rausgetragen wird. (Danke, Kristian)
Gut, sie hätten auch auf KPMG hören können (ich weiß!!), die jetzt eine Cloud-Exit-Strategie verkaufen. Nachdem sie jahrelang ihre Kunden in die Cloud getrieben haben. Wobei KPMG damit natürlich nicht meint, dass man die Cloud verlassen soll, wie der Name verspricht, sondern dass man seinen Cloud-Scheiß in andere Clouds migrierbar hält. Was das Problem nicht löst. Aber hey, ist KMPG. Was habt ihr erwartet.
PS: Nach Cloud Exit googeln ist eine Comedy Goldgrube. Hätte uns doch nur vorher jemand gewarnt!1!!
Update: Achtet mal auf die Details in dem Text. Die sind echt großartig:
The two most expensive operations in terms of cost were the orchestration workflow and when data passed between distributed components.
Mit anderen Worten: Dinge, die Amazon nichts kosten. Interner Traffic in ihrem Rechenzentrum. Software laufen lassen, die sie eh rumfliegen haben. Um Dinge auf Rechnern zu tun, die sie eh rumstehen haben. Dinge, für die diese Rechner angeschafft wurden. Weil Amazon ihrer Video-Abteilung genau dasselbe absurde Preismodell aufdrückt wie Externen, war das unwirtschaftlich. Nur haben die externen Kunden das anscheinend noch nicht gemerkt. (Danke, Florian)
Was machen Sie eigentlich beruflich?
Update: Bonus-Lacher: Der Datenverlust ist anlässlich des Schiebens der Nutzerdaten in die Cloud passiert. (Danke, Martin)
Erstens: Nitrokey verbreitet, dass der Qualcomm-Chipsatz deine privaten Daten in die Cloud hochlädt.
Das ist Blödsinn. Der Cloud-Kontakt von dem Qualcomm-Chipsatz ist das Runterladen des GPS-Almanachs. GPS funktioniert so, dass Satelliten Signale schicken, und du kannst dann deine Position ausrechnen, wenn du die Signale siehst, und weißt, wo die Satelliten gerade waren. Im Signal ist ein Timestamp, mit dem du sehen kannst, wie lange das Signal unterwegs war. Jetzt musst du nur noch wissen, wo die Satelliten sind, und da deren Laufbahnen ständig nachkorrigiert werden, sind das keine statischen Daten. Die Positionen stehen in einem sogenannten Almanach, und den lädt Qualcomm halt alle zwei Wochen oder so aus der Cloud nach.
Dass das über HTTP geht, kann man kritisieren. Aber was Nitrokey hier verbreitet überschreitet die Grenze der grotesken Inkompetenz und sieht für mich nach mutwilliger Irreführung aus.
Zweitens: Heise verbreitet, dass Google Authenticator deine Zwei-Faktor-Seeds in die Cloud backupt und dabei nicht Ende-zu-Ende-Krypto einsetzt.
Analysieren wir doch mal die Situation. Wir haben hier ein Cloud-Backup "im Klartext", d.h. der Typ in der Cloud kann die Daten einsehen. Der Weg zur Cloud ist TLS-verschlüsselt, und Google spricht jetzt davon, dass die Daten auch verschlüsselt bei ihnen abgelegt sind. Das ist natürlich ekelhafte Irreführung, denn damit meinen sie Platten-Krypto. Das schützt gegen "jemand bricht bei Google ein und klaut die Platten". Es schützt nicht gegen "jemand bricht bei Google ein und kopiert die Daten". Das ist das Szenario, vor dem man hier Sorgen haben sollte, und da hat Heise einen Punkt, dass das ein Problem ist.
Auf der anderen Seite läuft auf deinem Telefon Google-Software. Das Google-Android schützt deine Seeds auf dem Telefon vor dem Zugriff anderer Apps und verhindert Netzwerk-Kommunikation der Google Authenticator App. Wenn dein Bedrohungsmodell also ist, dass jemand bei Google einbricht und dort böse Dinge tun kann, dann hast du eh schon komplett verloren, weil derjenige dir auch ein böses Android-Update schicken kann, das deine Seeds auf Facebook postet oder bei Github hochlädt oder so.
Was hätte man besser machen können? Man könnte das Backup mit einem Schlüssel verschlüsseln, den Google nicht kennt. Allerdings muss diesen Schlüssel halt dein Telefon kennen, sonst kann es ja nicht die Daten damit verschlüsseln, und die Software auf deinem Telefon kommt von Google. Die Forderung hier ist also gerade, dass Google deine Daten vor Google schützt. Das klingt nicht nur bekloppt, das ist bekloppt.
Zusammenfassend: Ich würde nie meine Daten zu Google (oder sonstwo) in die Cloud backuppen oder auch nur mein Windows an einen Microsoft-Account binden. Aber selbst mit dieser paranoiden Grundeinstellung bin ich machtlos, mich auf einem Android-Telefon gegen böse Updates zu wehren.
Insofern: Ist das ein Problem? Ja. Aber ein weitgehend akademisches. Mit "E2E" (passt in diesem Szenario eigentlich nicht, weil beide Enden du selbst bist) würde man sich gegen ein Szenario schützen, wo ein Einbrecher es innerhalb von Google bis zu dem Backup-Storage schafft, aber nicht die Updates kompromittiert kriegt. Ist das sonderlich realistisch? Müsst ihr selbst beurteilen. Aus meiner Sicht sieht das nach "Sommerloch bei Heise" aus. Wenn du mit Firmen wie Microsoft oder Google überhaupt kooperierst, hast du schon direkt ziemlich komplett verloren. So zu tun als gäbe es da Graustufen und man hätte aber eigentlich doch noch Reste von Kontrolle ist aus meiner Sicht Augenwischerei.
Ist 2FA damit vollständig Bullshit? Ich bin grundsätzlich kein Freund von 2FA, weil das im Wesentlichen nur einen Zweck erfüllt: Eine Beweislast- und Schuldumkehr von Google zu mir. Vorher: Mein Google-Account wird gehackt? Google war Schuld. Nachher: Mein Google-Account wird gehackt? Ich bin Schuld.
Wieso würde ich da mitspielen wollen? Sehe ich nicht ein.
Aber WENN man schon 2FA macht, dann zwischen konkurrierenden Firmen. Wenn Microsoft 2FA erzwingt, dann generiere das Token unter Android. Wenn Google 2FA erzwingt, generiere das Token unter Windows oder Linux oder sonstwo, wo Google nicht rankommt. D.h. dann auch: Wo kein Chrome läuft!
Der ganze postulierte Sicherheitsgewinn von 2FA kommt daher, dass Username+Passwort und Token nicht an derselben Stelle abgreifbar sind. Das muss man dann auch sicherstellen. Wenn du also Google Authenticator verwendest, dann darfst du dich von dem Android aus nie in den Account einloggen, sonst kann Google auch Username+Passwort sehen (über die Keyboard-App u.a.).
Update: Hat der Fefe gerade argumentiert, dass man Cloud-Backup nicht verschlüsseln muss? Nein! Das ist grundsätzlich eine gute Idee. Da gibt es gute Gründe für, Backups immer zu verschlüsseln, auch wenn das Backup lokal ist. Nehmen wir an, eine der Platten geht kaputt und du willst die entsorgen. Wenn die Backups verschlüsselt waren, kannst du die einfach wegschmeißen (der Schlüssel darf dann natürlich nicht daneben liegen). Wenn die Backup-Infrastruktur komplett nur verschlüsselte Daten sieht, kannst du da unvertrauenswürdige Infrastruktur einsetzen (z.B. ein SMB-Share, NFS, Cloud-Storage, whatever). Da kann dann nichts absichtlich oder versehentlich leaken. Wenn die Software Temp-Files rumliegen lässt oder Daten im RAM cached, dann musst du dir keine Sorgen machen.
Aber die Gelegenheit war günstig, mal zu zeigen, wie man so eine Risikoanalyse in der Praxis machen sollte. Mein Argument war nicht, dass Backup-Crypto nicht notwendig ist, sondern dass Google auch mit Backup-Crypto an deine Daten rankommt und daher die Auswirkungen nicht so groß sind wie man erstmal instinktiv annehmen könnte.
Es gibt noch ein Argument für E2E-Krypto in diesem Fall. Wenn jemand bei Google deine Daten abgreifen will, kann der im Moment entweder dir ein böses Update schicken oder deine Backups abgreifen. Die Risiken sind additiv. Wenn du die Backups ordentlich verschlüsselt hast, bleibt zwar der andere Teil des Risikos bestehen, aber dieser Teil fällt weg. Hilft halt nichts gegen "der CEO / das FBI verlangt Zugriff auf deine Daten", und das ist der Fall, der mir persönlich mehr Sorgen machen würde.
Update: Ja aber Fefe, muss ich mir für meinen Google-Account ein Iphone kaufen, damit das 2FA auf einem anderen Gerät als dem Android läuft? Nein. Für sowas kann man auch FIDO2-Tokens nehmen, von Yubikey oder so.
Ich halte das für ein krasses Fehlurteil, das weiteren Kundengängelungen von Apple und anderen Firmen Vorschub leisten wird. Das ist ja inzwischen praktisch industrieweit das Standardverhalten, die Leute erst in eine Abhängigkeit zu treiben und dann auszunehmen wie Weihnachtsgänse. Google hat ähnliche Abzockgebühren in ihrem Play Store.
Aber auch sonst geht der Trend klar in die Richtung. Adobe hat irgendwann angefangen, ihre Software nur noch zu vermieten, das sehe ich auch als Teil dieses Trends. Microsoft versucht ja auch mit der Brechstange allen Kunden Cloudaccounts aufzunötigen, damit man dann im nächsten Schritt Produkte wie Office nur noch zur Miete anbieten kann.
Diese ganze Nummer ist aus meiner Sicht eine einzige Anklage für den libertären Fiebertraum, dass der Markt das schon regeln werde.
Den Kram überhaupt in die Cloud zu schieben war ja schon ein kapitaler Fehler. Jetzt auch noch Cloud-"KI" in Arbeitsprozesse zu übernehmen wird das nochmal verdoppeln.
Das kann ich halt nicht so sehen. Wir wissen nicht, wo diese Nachrichten herkommen. Vielleicht aus einem internen Chatforum. Vielleicht hat jemand Döpfners Telefon gehackt. Vielleicht hat Döpfner seine Nachrichten in die Cloud gebackupt und da hat sie jemand kopiert. Wissen wir nicht.
Ich muss daher davon ausgehen, dass hier jemand auch die ganzen privaten Dinge von dem Döpfner gesehen hat. OK, auf dem Weg hat jemand gefiltert, vielleicht der Leaker, vielleicht die "Zeit", und bei der Veröffentlichung dann gefiltert. Das ist aus meiner Sicht ja wohl der absolute Mindeststandard an der Stelle! Das entschuldigt doch nicht den ursprünglichen Einbruch!?
Ich sehe das, wie ich auch Trojanereinsetz der Polizei sehe. Die schwören uns auch, dass sie die Intimsphäre wahren werden. Aufnahme aus dem Schlafzimmer werden direkt gelöscht sagen sie. Das mag ja sein, aber dafür muss die ja jemand angehört haben, um zu merken, dass die aus dem Schlafzimmer waren!
Privatsphäre bezieht sich nicht nur auf die Veröffentlichung sondern auch darauf, dass jemand überhaupt Zugriff auf diese Daten hat.
Ich bin jetzt nicht Döpfner und kann mir das nur aus der Ferne vorstellen, aber für mich würde sich das glaube ich anfühlen wie eine Hausdurchsuchung. Nur halt nicht von der Polizei durchgeführt! D.h. … ein Einbruch.
Ich kenne jemanden, dem mal jemand in das Haus eingebrochen ist und Dinge geklaut hat. Als niemand im Haus war, immerhin. Aber der hat Jahre gebraucht, bevor er sich in seinem eigenen Haus wieder sicher gefühlt hat.
Ich selbst habe mal bei einer Einreise in die USA erlebt, dass vor mir alle ihre Fingerabdrücke abgeben mussten. Als ich dran war, meinte der Typ nur so: Nee, deine haben wir ja schon. Ich habe Monate gebraucht, bis der Schock wieder aus meinen Knochen rauswar. Meine hatten die schon, weil ich mit Visum einreiste, und bei der Visumsbeantragung gibt man die Fingerabdrücke ab. Ich dachte aber, dass man die abgibt, damit die bei der Einreise vergleichen kann. Nee. Offensichtlich nicht. Man gibt die ab, weil die USA gerne alle unsere Fingerabdrücke bei den Akten haben wollen.
Vielleicht bin ich da überdurchschnittlich sensibel, aber der Gedanke, dass jemand alle meine privaten Nachrichten liest, und dann ein paar davon rauspickt, die er für "beruflich" hält, und veröffentlicht? Das finde ich einen absoluten Horror!
Ein paar Leser fanden auch, dass der Empfänger entscheidet, ob eine Nachricht privat ist. Das finde ich nicht. Ich betreibe eine Firma mit einem alten Uni-Freund zusammen, und wir erzählen uns ständig private Dinge von Arztbesuchen bis Familienproblemen. Da sind auch einige mit Nachrichtenwert dabei, die wir nicht öffentlich erzählt haben, weil wir dem Kunden Verschwiegenheit zugesichert haben. Wenn die morgen in der "Zeit" erscheinen würden, würde ich ganz sicher davon ausgehen, dass die auch die Arztbesuche und den Familienstress gesehen haben. Das würde mich an der Stelle nicht beruhigen, dass sie das nicht auch gleich in ihrer Zeitung abgedruckt haben.
Stell dir mal vor, du kriegst ein Schreiben von der Staatsanwaltschaft, dass sie ein Verfahren gegen dich eingestellt haben, weil deine Browserhistory beweist, dass du zu dem Zeitpunkt ein Alibi hattest. So ungefähr wirkt das auf mich hier gerade. Auf der einen Seite gut, dass sie die Browserhistory nicht veröffentlichen. Auf der anderen Seite: WTF? Die haben in meine Browserhistory geguckt!?!?
Ich plädiere hier also nochmal ausdrücklich für mehr Empathie. Grundrechte und Menschenwürde sind nur real, wenn sie für alle gelten. Insbesondere wenn sie auch für Leute gelten, die ihr nicht leiden könnt.
Fürwahr, ich sage euch: Es wird herrschen ein furchtbares Heulen und Zähneknirschen unter den Vollidioten, die das Geschäftsmodell der Cloud nicht verstanden haben.
Nochmal ganz langsam zum Mitmeißeln: Das Geschäftsmodell der Cloud ist, dich mit mit von Open-Source-Projekten geklauten Diensten und Lockpreisen dazu zu bringen, deine eigene Infrastruktur aufzugeben, und deinen Scheiß komplett in die Cloud zu schieben, und so eine nicht auflösbare Abhängigkeit zu schaffen. Dann, wenn keine Notwendigkeit für Lockpreise mehr besteht, dann auferstehen die Preise aus ihrem Lockangebots-Grab und kennen nur noch eine Richtung: Himmelwärts.
Ich kann euch gar nicht sagen, WIE WENIG Mitleid ich mit diesen ganzen Vollidioten habe.
CISPE-Generalsekretär Francisco Mingorance wertet die Initiative als Zeichen dafür, dass der US-Konzern inzwischen so viel Marktmacht besitzt, um "die Preise in dem Wissen erhöhen" zu können, "Kunden haben keine andere Wahl, als zu zahlen".Ach. Ach was. Das ist ja unglaublich, Bob! Und das erkennst du jetzt erst? Was machst du noch gleich beruflich?
Der Branchenvertreter, der früher bei der Microsoft-freundlicheren Business Software Alliance (BSA) warVerstehe. Keine weiteren Fragen, euer Ehren.
When the accounting lead for PeopleDAO accidentally shared an editable accounting spreadsheet link in a public Discord channel, an enterprising member of the Discord decided to take advantage. They inserted a row with their own wallet address for a 76 ETH (~$120,000) payment, then hid the row so it wouldn't display to the other viewers.Was als nächstes passierte, könnte die Bevölkerung verunsichern.
Das hat dem Richter gereicht, um das Video von 20 der 21 Wanzen bei Amazon anzufordern. Amazon hat natürlich alles sofort rausgerückt. Wie viele davon innerhalb auf das Schlafzimmer zeigten. Nicht des mutmaßlichen Drogenkonsumenten sondern des unschuldigen Nachbarn mit den Cloudwanzen.
Ein Leser berichtet:
Am vergangenen Samstag sind morgens um 7 überall in Deutschland (und Europa, z.b. italien) die Lichter, bzgl die Batterien ausgegangen, der chinesische Hersteller Sungrow hat ungefragt einfach Firmware updates für die Batterien verteilt und diese verkackt, jetzt fliegt überall die Sicherung, neuflashen geht somit auch nicht.Endlich mal eine andere Geschmacksrichtung von Supply-Chain-Problemen!Komisch dass auch keine Newspaper darüber berichtet, es sind sehr viele betroffen!
Kein Changelog, kein verteiles ausrollen, ist schon geil die Abhängigkeit wenn die Europaweit die Anlagen kaputt flashen können
Update: Achtet mal darauf, wie schlecht man heutzutage einen Cyberangriff der chinesischen Regierung auf die deutsche Renewable-Industrie von einem bedauerlichen Softwareproblem, kann man nichts machen, unterscheiden kann.
Update: War offenbar doch reparabel. (Danke, Matthias)
Häufigster Einwand: Aber aber aber Fefe, Discord ist einfach zu bedienen, nicht so Frickelscheiße wie IRC! Discord kann man auch schnell als kompletter Vollidiot mal eben aufsetzen!
Habt ihr euch mal überlegt, dass meine Zeit zumindest für mich etwas wert ist? Vielleicht will ich gar nicht mit kompletten Vollidioten reden? :-)
Im Übrigen setzen die Vollidioten das halt nicht auf. Die konfigurieren ein UI bei einer amerikanischen Cloud-Datenkrake, die sich in ihrer Datenschutzerklärung großzügig selbst einmal alle Rechte an den Daten einräumen.
Zweithäufigster Einwand: Aber aber aber Discord kann doch auch Audio und Video und Upload!
Nichts davon betrifft irgendeinen der von mir angesprochenen Anwendungsfälle.
Wenn ihr gerne über einen US-Cloudanbieter Telefonate führen wollt, dann macht das halt. Aber mit mir werdet ihr dann halt nicht telefonieren. Die Entscheidung, welchen Datenkranken ich Zugriff auf meine Daten gebe, die treffe ICH. Nicht du. Ich empfinde das als hochgradig übergriffig, wenn mir jemand eine Plattform überhelfen will, und zwar egal welche Plattform das ist.
Mein grundsätzlicher Punkt war aber der mit der Dokumentation. Gegen den hatte keiner der Leserbriefe etwas einzuwenden. Keine Ahnung, wieso die alle glaubten, mir ihre Meinung schrieben zu müssen. Vermutlich ein Fall von Duty Calls.
Wahrscheinlich muss man dankbar sein, dass die Berliner Verwaltung überhaupt noch einen eigenen Mailserver betreibt und das nicht alles in die Cloud geschoben hat.
Wenn die das tun, und damit davon kommen, was tun die sonst noch so? Nun, sie eskalieren fröhlich weiter. Das Landgericht Leipzig fand jetzt mal eben spontan, dass Quad9 (ein kostenloser DNS-Anbieter) nicht nur Störer sondern Täter ist, wenn sie einen Namen auflösen, der zu Raubmordterrorkopien führt.
Gut, der DNS-Provider kann erstens gar nicht wissen, zu welchem Port ich mich verbinden will. Aber nehmen wir mal an, das Problem gäbe es nicht.
Nehmen wir mal an, das ganze Internet ist nur Webseiten, und Quad9 würde jede Webseite aufrufen, bevor sie mir antworten, und sie könnten irgendwie magisch feststellen, ob da Raubkindsmordterrorkopien angeboten werden.
Dann wäre das trotzdem wertlos, weil die Webseite ja Quad9 andere Daten zeigen kann als mir. Selbst wenn eine Raubmassenkindsmordterrorkopie erkennbar wäre, automatisiert gar, könnte Quad9 nicht sehen, ob die Webseite mir welche anbietet.
Kurz gesagt: Ein bemerkenswert krasses Fehlurteil, offenbar gefällt gänzlich unbeschwert von Sachkenntnis oder Einarbeitung in die Fragestellung.
Das wäre als würde man den Richter einlochen, weil ich ihn nach dem Weg zu einem Restaurant gefragt habe, und später stellt sich raus, dass das Restaurant irgendwelche Sanitärauflagen nicht eingehalten hat.
Das Landgericht Leipzig schloss sich hier übrigens dem Landgericht Köln an:
Das Landgericht bezieht sich dabei auf die "überzeugenden Ausführungen" des Landgerichts Köln, das bereits im September 2022 die täterschaftliche Haftung für Urheberrechtsverletzungen Dritter auf Cloudfare übertrug. Cloudfare betreibt nicht nur ein Content Delivery Network, sondern auch einen DNS-Resolver.m( (Danke, Ralf)
Jetzt ist in Wuppertal auch gleich das Telefon weg.
Ich hoffe, die Zuständigen trösten sich damit, dass das bestimmt ein Cyberangriff von besonders kriminellen Kriminellen war, mit ungewöhnlich hoher krimineller Energie durchgeführt. Die Behörden sind sicher eingeschaltet und sie arbeiten mit Hochdruck an der Lösung des Problems. Hab ich was vergessen?
Update: Oh, stimmt gar nicht, die Telefone waren schon ab 13 Uhr wieder erreichbar. Ein Wuppertaler schrieb mir, dass ein Gerücht von einem Hardwareschaden umgeht, nicht Cyberangriff, aber nichts genaues weiß man nicht.
Die Cloud ist sicher, müsst ihr wissen. Und außerdem verschlüsseln wir ja zur Sicherheit in der Cloud.
Aber keine Sorge. Die Firma hat jetzt nachgebessert.
Das Unternehmen gibt an, betroffene Kunden mit Tipps zur Absicherung ihrer Accounts kontaktiert zu haben. Zusätzlich versichern sie, die Passwörter und MFA von einigen Kunden zurückgesetzt zu haben. Zudem haben sie eigenen Angaben zufolge deren Accounts automatisch auf eine Identity Management Platform mit erweiterten Schutzregeln migriert.Mit mehr Cloud-Bullshit.
Mein aktueller Endboss in Sachen offensichtlich bescheuerter IT-Homöopathie ist Cloud-Verschlüsselung.
OK, kurzes Gedankenspiel. Ihr fahrt in den Urlaub und bittet den Nachbarn, eure Pflanzen zu wässern. Dafür gebt ihr ihm den Schlüssel.
Euch ist hoffentlich direkt sofort klar, und zwar ohne dass ich das irgendwie erläutern muss, dass der Nachbar ab dann in eure Wohnung kommen und Dinge tun kann. Schlüssel zurückholen hilft nicht, denn er kann einen Nachschlüssel angefertigt haben.
Wenn du einmal den Schlüssel weggibst, hilft nur Schlosstausch.
Aber was machen die Cloud-Leute jetzt? Die haben ja das Problem, dass deine Software auf ihrer Hardware läuft, und Software kann sich gegen Angreifer mit physischem Zugriff auf die Hardware nicht schützen. Prinzipiell nicht. Nicht "wir wissen nicht wie". Doch. Wir wissen. Geht nicht.
Software ist eine Liste von Dingen. Die gibt man der Hardware, und die führt die dann aus. Wenn jemand anderes die Hardware kontrolliert, kontrolliert er deine Software.
Da führt auch kein Weg dran vorbei. Daher wird DRM immer wieder geknackt, und deshalb führen Intel und ARM einen Krieg gegen ihre Kunden und nehmen ihnen schrittweise immer mehr der Kontrolle über die Hardware weg.
Was machen also die Cloud-Leute? Sie verdünnen Wasser! Hey, wir haben hier einen Knopf hingemacht. "Verschlüsselung aktivieren". Das ist ungefähr wie am Set von Star Trek der Knopf "Schilde aktivieren". Das tut nichts und jeder weiß es. Da ist kein Schild. Wir tun nur alle so.
Während wir bei Star Trek wenigstens unterhalten werden, ist das bei der Cloud einfach nur Beschiss. Wenn die Cloud verschlüsselt, dann hat die Cloud den Schlüssel. Mit dem kann man Ver- und Entschlüsseln. Solange der Cloud-Anbieter den Schlüssel jemals irgendwann auch nur kurz gesehen hat, ist das kein Schutz gegen den Cloud-Anbieter, und als genau das wird das ja gerade verkauft.
OK Fefe, das hilft dann vielleicht nicht gegen den bösen Admin beim Cloud-Anbieter, aber es hilft doch gegen den chinesischen Hacker, der die Cloud hackt? Nein, tut es nicht, denn die Cloud entschlüsselt das ja für dich. Wenn der sich als du einloggen kann, oder dir eine SQL Injection oder sonst was unterschieben kann, dann hat der vollen Zugang, genau wie ohne Verschlüsselung.
OK, aber hilft das denn wenigstens gegen die Putzhilfe vom iranischen Geheimdienst, die das Tape mit dem Backup klaut? Ja, wenn der Schlüssel nicht auf dem Tape ist, was erschütternd häufig der Fall ist. Aber wir reden hier nicht von Tapes sondern von S3-Buckets gerade. Die hängen am Web. Wieso würde jemand alte Backups haben wollen, wenn er Echtzeitzugriff kriegen kann?
Lustigerweise gibt es wie bei Homöopathie mehrere Verdünnungsstandards. Einige Cloud-Anbieter haben bloß eine Checkbox "Verschlüsselung anschalten". Der Schlüssel kommt von denen und bleibt bei denen.
Andere Anbieter lassen dich den Schlüssel erzeugen und hochladen. Spielt keine Rolle, denn sie müssen den ja nur einmal für eine Nanosekunde gesehen haben.
Noch andere Anbieter lassen dich einen "Vault" installieren (lacht nicht, ist ein echter Produktname), und dann holt sich die Cloud immer von dem Vault den Schlüssel, wenn sie ihn braucht. Impliziert, dass sie den nicht aufheben, aber das weißt du halt nicht. Ist alles dieselbe Scheiße.
Das ist alles Bauernfängerei. Fallt da nicht drauf rein.
Faustregel: Wenn dein Code auf jemand anderes Hardware laufen lässt, oder deine Daten auf jemand anderes Hardware liegen, ist es nicht mehr dein Code, sind es nicht mehr deine Daten.
Neuestes Beispiel: Rackspace macht "forensische Untersuchungen" nach Ransomwarebefall.
Was hat die Ransomware befallen, fragt ihr? Nun, deren Hosted Exchange Server. Ja, richtig! Rackspace betreibt Exchange-Server für Dritte und hat nicht gepatcht.
Die Cloud ist sicher, sage ich euch! Mindestens so sicher wie die Renten!
The data, 10 million gigabytes so far, represent “critical information infrastructure. This is core for operation of the economy, of the tax system, of banks, and the government overall,” he said. The data also include property records whose safekeeping can help prevent theft of Ukrainian homes, businesses and land.Ist eigentlich keine doofe Idee, die Daten des Landes kriegssicher digital auch nochmal im Ausland aufzubewahren. Damit keiner nach dem Krieg kommen und sagen kann: Das Haus da drüber, das gehört in Wirklichkeit mir. Nachdem das Katasteramt im Krieg zerstört wurde.
Und bestimmt auch Dutzende anderer wert- und belangloser Bullshit-"Zertifikate".
Du hast am Anfang einmal ein Investment, klar. Im besten Fall für die Umsetzung des Pflichtenheftes, das sich dann auch als korrekt herausstellt. Im Regelfall gibt es ein paar Iterationen, bis im Prozess der Umsetzung klar wird, was der Kunde eigentlich haben wollte, und dorthin schwenkt man dann halt um.
Aber dann? Irgendwann ist Schluss mit Investition, da trägt sich das dann von selbst. Klar, man hat vielleicht hie und da noch ein bisschen Wartungsaufwand.
Aber irgendwann, so spätestens ein paar Monate / ein Jahr nach Produktivgang, ist das Ding dann in einem Zustand, wo es den Return on Investment abwirft.
Ein Projekt, bei dem das Pflichtenheft keine groben Korrekturen brauchte, bei dem die Aufgabe relativ zeitnah erledigt werden konnte, und das Ding von da an im Wesentlichen ein Selbstläufer ist, war die Corona-Warnapp.
Umso irritierter bin ich gerade zu lesen, dass die Kosten für 2022 von 50 auf 73 Millionen explodieren. Ich persönlich finde ja, Telekom und SAP hätten die App kostenlos entwickeln sollen. Damit in der Bevölkerung die Tech-Industrie einmal für was anderes als Bauernfängerei und endlose Abzocke gestanden hätte. Ist ja nicht so, als bekämen beide Firmen nicht schon genug Steuergelder in den Arsch geschoben.
Ich kann mir das nur so erklären, dass die beiden Firmen annehmen, bei dem Controlling auf Regierungsseite weiß keiner, dass bei ihnen keine Kosten mehr entstanden sind, und dann halt wie üblich in der Branche voll auf Bauernfänigerei und endlose Abzocke umgeschwenkt haben.
Gar keine Kosten? Nein, da stehen ein paar Server in irgendeinem Rechenzentrum. Es gibt bestimmt auch einen Bugtracker, in dem sich ungefixte Meldungen anhäufen. Und es gibt ein Callcenter, in dem seit Monaten keiner mehr angerufen hat. Das Gesamtbudget dafür liegt so weit unter den hier diskutierten Geldmengen, dass man das als Rundungsfehler vernachlässigen kann. Selbst wenn man das bei anderen Abzocker-Tech-Bros wie Amazon in die Cloud stellt und dort Freudenhauspreise zahlt.
"Our initial investigation indicates that there our service infrastructure is performing at a sub-optimal level, resulting in impact to general service functionality" states an advisory time-stamped 12:41PM on December 2.Sub-optimal level, my ass. Die Hütte brennt! Aber keine Sorge, sie haben Experten und die kümmern sich. Die tun, was man halt so tut bei Microsoft:"While we continuing to analyze any relevant diagnostic data, we are restarting a subset of the affected infrastructure to determine if that will provide relief to the service," stated an update posted 17 minutes after the first status notice.Have you tried turning it off and on again?Ja, haben sie. Hat nichts gebracht.
We have successfully restarted a small portion of the affected systems and are monitoring the service to determine if there is a positive effect on our service. While we continue to monitor, we will work to understand the root cause and develop other potential mitigation pathways.Na dann ... Volle Kraft Voraus, meine Herren!Oh warte, gibt noch mehr Updates:
A status update time-stamped 3:14PM - it's unclear in which time zone - states the incident now also impacts SharePoint Online, Microsoft PowerApps, and Microsoft PowerAutomate.Da willste doch deine Firma von abhängig machen, von so einer Cloud-Infrastruktur! Was waren da noch gleich die Vorteile von? Der Preis ja wohl offensichtlich schon mal nicht. Oh ja, ich erinnere mich. Damit das dann von Profis gewartet wird und nicht mehr ausfällt.Nastrovje!
Die sind im August gehackt worden. Dieser neue Incident ist jetzt auf Backend-Systemen in der Cloud, die Lastpass nutzt. Stellt sich raus: Die haben nach dem letzten Incident ihre Passwörter nicht geändert.
Da willste doch Kunde sein, bei so einer Firma! Security by Yolo!
Ich kann Satire und Realität immer schwerer auseinanderhalten. Geht euch das auch so?
This new offering provides all of the benefits of an enterprise DevSecOps platform, with an added focus on data residency, isolation, and private networking to meet compliance needs.Was für Compliance-Anforderungen sind denn das, die SaaS ablehnen, aber nicht wenn der Hersteller dir ins Gesicht lügt, da sei nur ein Tenant auf der Instanz?
Your iPhone's analytics data includes an ID number tied to your name, email, and phone number, say researchers who uncovered other holes in Apple' promises.Sehr lustig finde ich auch folgenden Teil:“I think people should be upset about this,” Mysk said. “This isn’t Google. people opt for iPhone because they think these kinds of things aren’t going to happen. Apple doesn’t have the right to keep an eye on you.”*schenkelklopf*Ja aber aber aber schützt Apple uns nicht vor Facebook? Kann sein, aber nur um den Wert von ihrem Big Data Pool in der Cloud zu erhöhen!
OK aber was für Daten sammelt Apple denn da?
In some cases, this analytics data apparently includes details about your every move. Mysk’s tests show that analytics for the App Store, for example, includes every single thing you did in real time, including what you tapped on, which apps you search for, what ads you saw, and how long you looked at a given app and how you found it.Ach. Ach was. Aber, äh, ... das ist ja wie bei Google!!1!Update: Dieser Artikel ist sogar noch ein bisschen schöner:
This isn’t an every-app-is-tracking-me-so-what’s-one-more situation. These findings are out of line with standard industry practices, Mysk says. He and his research partner ran similar tests in the past looking at analytics in Google Chrome and Microsoft Edge. In both of those apps, Mysk says the data isn’t sent when analytics settings are turned off.
(Im Gegensatz zu Apple, die auch Telemetrie senden, wenn man das explizit ausgeschaltet hat)
Along the way, Apple developed a very convenient definition of what privacy means that lets the company criticize its rivals’ privacy practices while harvesting your data for similar purposes. Apple says you shouldn’t think of what it does as “tracking.” According to the company’s website:Apple’s advertising platform does not track you, meaning that it does not link user or device data collected from our apps with user or device data collected from third parties for targeted advertising
Seht ihr? Apple shared die Daten nicht mit dem Data Broker, Apple ist der Data Broker! Damit ist das nach ihrer Definition kein Tracking. Wobei, hey, wenn Apple die Daten nicht weiterverkauft, dann sind sie ja technisch gesehen nicht mal ein Broker sondern nur ein Datenkrake. Man kann ja von sowas auch profitieren, ohne dass man es weiterverkauft.
Damit markieren die Daten, die sie auf der Kiste gefunden haben, die sie nicht in die Cloud hochladen. Das ist natürlich ein seltener Sonderfall. Modernes Schlangenöl lädt immer alles in die Cloud hoch und betreibt da riesige Big Data Pools. Daraus generiert dann häufig irgendeine Statistik-Software ein Dashboard bei denen, mit dem sie dann Pressetermine machen, und/oder irgendeine "KI" läuft drüber und findet entweder viel zu viel oder viel zu wenig :-)
Aber egal. Geht hier nicht um Schlangenöl sondern um das Wort, das mir sehr gut gefällt. Uncloudable. Das muss ich mal in meinen Wortschatz aufnehmen.
Hey, Rüdiger, können wir das in die Cloud schieben?
Nein, Dieter, das ist geht nicht. Das ist uncloudable.
Harr Harr
Bleibt nur ein Ausweg: Wir müssen die Cloud überspringen und gleich die nächste heiße Nummer machen.
OK, aber was kommt nach Cloud? Ich weiß! Wir gehen einfach weiter! Weiter nach oben! In den Weltraum! Wir schießen Rechenzentren in den Orbit!!1!
Daten aus dem Weltall: Die Europäische Union erwägt, Rechenzentren aus Umweltgründen künftig in den Weltraum zu schießen.Oh … aus Umweltgründen! Genau mein Humor. Die Raketen betanken wir dann mit Biodiesel oder was? (Danke, Tim)
Ja gut, Adobe ist ja das Cisco bei den Kreativ-Tools, insofern berichte ich nur sehr zurückhaltend über die. Seit die von Kaufen auf Abo umgestellt haben, und ihre Kunden dageblieben sind, habe ich da kein Mitleid mit irgendwem mehr.
Und Farben? Nunja. Ich erinnere mich da an die Telekom-Nummer, als die die Farba Magenta als ihr Eigentum betrachtet haben.
Aber stellt sich raus: Doch, ist wirklich was dran. Ist keine Satire. Cory Doctorow hat die Details. Wenn ihr nur mal den Screenshot sehen wollt: Hier ist ein Tweet damit.
Es geht um Pantone. Geht mal zu deren Webseite und guckt, ob eure Fantasie reicht, euch etwas Bekloppteres auszudenken als diese Firma.
Dabei ist das ganz einfach, sich etwas noch Bekloppteres auszudenken! Ein Rechtssystem, in dem jemand mit dem Benennen von Farben Lizenzgebühren einfordern kann! Genau das haben die getan, und Adobe hat offenbar jahrelang gezahlt. Aber offenbar nicht genug, oder vielleicht wurde Pantone noch gieriger, weil sie ja das Gehalt für ihre Trendexpertin reinkriegen müssen, jedenfalls schmeißt Adobe jetzt Pantone-Farben raus. Wer die haben will, und das sind einmal die meisten professionellen Kunden, der muss sie extra lizenzieren. Wie? Nein, natürlich keine Einmalzahlung. 21 Dollar pro Monat! Für ... immer.
Ja, äh, benutze ich halt die alte Version weiter. Nee, geht nicht, denn das ist jetzt alles Cloud-Software. Das hast du nicht unter Kontrolle, welche Änderungen Adobe an der vornimmt.
Doctorow vergleicht die Situation mit Apple in China. Dass China alle Apple-User mit einem Befehl an Apple in ihr Überwachungsnetz zwängen konnte, lag nicht an China sondern an Apple. Es ist nicht China, was verhindert, dass Leute einfach eine andere VPN-App sideloaden. Es ist Apple.
Und genau so ist das hier, argumentiert Doctorow. Wenn Adobe nicht auf SaaS umgestellt hätte, dann hätte Pantone hier keinen Hebel gehabt. Money Quote:
Pantone started out as a tech company: a way to reliably specify ink mixes in different prepress houses and print shops. Today, it's an "IP" company, where "IP" means "any law or policy that allows me to control the conduct of my customers, critics or competitors."https://locusmag.com/2020/09/cory-doctorow-ip/
That's likewise true of Adobe. The move to SaaS is best understood as a means to exert control over Adobe's customers and competitors. Combined with anti-competitive killer acquisitions that gobble up any rival that manages to escape this control, and you have a hostage situation that other IP companies like Pantone can exploit.
Hostage situation ist eine schöne Zusammenfassung der Situation, wenn ihr mich fragt.
Absolut zum kotzen und an Unseriosität kaum zu toppen, finde ich.
Aber gelegentlich kommt so eine Meldung vorbei, die ich widerwillig trotzdem verlinke. Hier ist so eine. Aber lest die lieber nicht, lest lieber Microsofts Version davon. Sie haben irgendeinen RIESIGEN DATENREICHTUM gefunden, und zwar in Azure.
Gähn, denkt ihr euch jetzt vielleicht. Aber wartet.
Die Daten kommen diesmal von Microsoft selbst, nicht von irgendwelchen unachtsamen Azure-Kunden.
Das wäre ja schon ein Paukenschlag, denn das gesamte Geschäftsmodell von Cloudanbietern basiert ja darauf, dass ihr denen glaubt, dass sie besser auf ihre Daten aufpassen als ihre es gekonnt hättet. Naive IT-Verantwortliche glauben ihnen das dann vielleicht sogar, bis jemand den Gegenbeweis antritt.
Das ist hiermit geschehen.
Oh, was sagt ihr? Ihr seid schon so tief in die Lock-In-Falle gelaufen, dass ihr gar nicht mehr weg könnt jetzt? Tsja. Hättet ihr mal auf jemanden gehört, der euch rechtzeitig gewarnt hat.
Der wohlgemerkt nicht das Loch stopft, sondern Firewall- und Schlangenöl-Regeln herumreicht, um den Exploit zu behindern?
Ja klar kennt ihr so eine Software! Microsoft Exchange! Das war die Software, wir erinnern uns, deren erste Version "4.0" hieß, damit Käufer den Eindruck haben, die sei ausgereift und wohlgetestet. Die Werbung hat das den Kunden auch direkt ins Gesicht gelogen. Gut abgehangen! Gegen alles getestet! Stabil und zuverlässig! Nichts davon war der Fall.
Ich erinnere mich noch damals an der Uni, dass ein Exchange-Server platt war, und es stellte sich raus, dass der mit einem Unix-Mailserver (qmail?) zu interagieren versucht hat, sich nicht an die RFCs hielt, und damit eine Neuversuch-Schleife auslöste, die auf dem Unix-Server keine messbare Last erzeugte, aber den Exchange plattmachte.
Das war auch noch irgendwas lächerliches wie ob Zeilen mit LF oder CR-LF terminiert werden.
Exchange war schon immer das absolut letzte. Ich war schon immer fasziniert, dass Leute sowas wirklich einsetzen. Freiwillig! Und noch dafür zahlen!!
Das geilste ist ja, dass die Cloud-Version nicht betroffen ist. Es gibt also eine nicht betroffene Version. Aber sie wollen ja die On-Prem-Kunden bei der Gelegenheit erziehen, in die Cloud zu kommen, wo sie dann nicht mehr weg kommen. So eine Firma ist das.
Um aufzulösen: Ich kenne außer Exchange keine Software, die so einen Service braucht.
Was mich ja an dieser Nummer am meisten ärgert: "BSI warnt vor Sicherheitslücke in Exchange". Ja wieso warnen die denn nicht vor Exchange selbst?!? Hallo McFly? Jemand zuhause?
Older photos in my drive have started becoming corrupted. Issue looks like a water stain with massive discoloration and data loss. Is there any way to revert this?Lasst uns die Photos in die Cloud packen! Da sind sie sicher! (Danke, Lars)
Die […] Sperre bei den Providern galt eigentlich dem Musikportal CannaPower. Da jedoch nicht die Domains, sondern die IP-Adressen gesperrt wurden, zog die Sperraktion auch Unbeteiligte in Mitleidenschaft. Die Provider sind gesetzlich dazu verpflichtet, die Sperren umzusetzen.Schlau!
Was sehen wir da?
Auf einem Bildschirm läuft die Tagesschau. Ganz super. Behörden beobachten das Fernsehen.
Auf dem nächsten ist eine belanglose Weltkarte, auf der man nichts sehen kann, außer dass es eine Weltkarte ist. Da sind irgendwelche Kreise eingezeichnet, vermutlich "Threat Intelligence". Halte ich grundsätzlich für komplett wertlos, aber besonders wertlos ist es auf einem Bildschirm an der Wand, zu weit weg vom Arbeitsplatz, als dass man da was erkennen könnte.
Dann links unten: Twitter. Irgendein belangloser Scroll-Content, der dir am Arbeitsplatz auch gar nichts bringt, denn da hat jeder Mitarbeiter vermutlich einen eigenen Twitter-Feed, der an den gelangweilten Mitarbeitern vorbeiscrollt. Die Meldungen, die man da sehen kann, erfüllen alle Vorurteile. Pressemitteilungen von irgendwelchen anderen belanglosen Pseudo-Cybercyber-"Experten".
Daneben irgendein Dashboard. Das sieht wie das einzige vertretbare Element der ganzen Bildschirmwand aus für mich. Vier Felder sind rot. Leider kann man die Details nicht erkennen.
Und mein Favorit ist der Bildschirm ganz rechts. Eine in ihrer völligen Nutzlosigkeit nicht zu toppende … Wortwolke. Mit so wichtigen Cybercyber-Fachbegriffen wie "twitter" und "public" und "facebook". Den Rest kann man nicht sehen, weil Arne "Cyberclown" Schönbohm davorsteht und gelangweilt auf den Bildschirm mit der Tagesschau guckt. Das müssen ja enorm interessante Ausführungen sein, wenn der BSI-Chef lieber Tagesschau guckt, und die Innenministerin auch aussieht, als würde sie hier gerne sofort per Hubschrauber rausgeholt werden.
Tja, und da haben wir es. Das Nationale IT-Lagezentrum des BSI, meine Damen und Herren. Eine Word Cloud aus Buzzwords.
Buchstäblich!
Update: Ein Leser weist noch darauf hin, dass die Weltkarte US-zentrisch ist.
Ein anderer Leser hat mal "Taranis" gegoogelt, das Hersteller-Logo über der Buzzwordcloud. Er fand dies und dies. Ergötzt euch selber. Eine Buzzwordcloud!! Wobei, vielleicht ist das ja der Screensaver von denen. LOL. Ein Randdetail noch aus der Wikipedia:
Die Gesellschafter waren bis August 2015 Airbus Defence and Space, Rohde & Schwarz, Thales mit jeweils 30 % sowie Northrop Grumman mit 10 %
Da sind ja alle üblichen Verdächtigen aus dem Militär- und Geheimdienstumfeld vertreten. Northrop Grumman ist vor allem durch eine wirklich ultrapeinliche Werbeaktion aufgefallen, macht mal Image Search auf full spectrum cyber. Der Brüller!
Und so wächst mal wieder zusammen, was zusammen gehört. Passt alles wie Arsch auf Eimer.
Update: Ein Leser hat die Weltkarte identifiziert. Hat nicht mal was mit Cyber zu tun.
Update: Haha jetzt kommen hier ein Dutzend Leser rein, die das Dashboard wiedererkannt haben — aber jeder hat eine andere Software erkannt. Ich finde das jetzt konkret auch gar nicht so wichtig, was das für eine Software ist. Vom Äußeren her sieht das aus wie generisches Host- und Service-Monitoring, vielleicht noch "sind unsere Zertifikate abgelaufen".
Update: Mehrere Leser wenden ein, dass das BSI einfach professionelle Opsec macht. Wenn jemand ein Foto macht, schalten sie schnell die wichtigen Bildschirme auf belanglosen Content um. Könnt ihr euch ja selber überlegen, ob ihr das glauben wollt.
Für mich persönlich ist jetzt bei Matthew Green der Zeitpunkt gekommen, die Reißleine zu ziehen. Der ist einfach zu häufig negativ aufgefallen. Erst mit Agitprop gegen GnuPG, dann mit Agitprop für Cryptocurrencies, und jetzt halt mit Agitprop gegen Dan Bernsteins Post-Quantum-Transparenzvorstoß. Ich betrachte den ab jetzt als NSA-U-Boot und schiebe ihn in meinem Threat Model auf die Angreiferseite.
Da kann er es sich neben Eric Rescorla bequem machen.
Diesen Go-Crypto-Typen, den er da zitiert, hatte ich noch nicht auf dem Radar, aber was der da schreibt ist geradezu grotesk schlecht. Da hat sich das Go-Team entweder einen naiven Anfänger oder einen Idioten eingetreten. Ich würde deren Crypto erstmal lieber nicht trauen nach diesen Aussagen.
Das war schon immer das Bedrohungsmodel in der Kryptographie, dass du davon ausgehst, dass dein Feind eine rechenschaftsfreie Regierungs- oder Militärbehörde mit unendlich viel Budget ist. Selbstverständlich musst du dann gucken, ob die nicht Kryptographen bestochen haben könnte. Nicht zuletzt weil die NSA ja tatsächlich RSA Inc bestochen hat, damit sie ihren Backdoor-DualEC-RNG weltweit verteilt haben. Das ist ja kein Fiebertraum, dass die NSA Kryptographen bestechen könnte!
Das ist seit echt vielen Jahren ganz normales Standardvorgehen, dass man z.B. bei komischen Konstanten in Krypto-Verfahren fragt, wo die herkommen, und ob die vielleicht irgendwas kryptografisch schwächer machen oder mit einer Hintertür versehen.
Seit vor 50 Jahren die S-Boxen von DES unerklärlich von der NSA kamen, ist das Teil des Bedrohungsmodells. Das Konzept hat sogar einen Namen: Nothing-up-my-sleeve Number.
Hier so zu tun als verbreite djb Verschwörungstheorien oder als beleidige er hier Kollegen, das ist so dermaßen jenseits von gut und böse, dass ich mit sehr viel Aufwand überhaupt die Annahme im Raum stehen lassen kann, dass das ein Versehen von dem Go-Typen war. Böse Absicht ist so viel wahrscheinlicher.
Update: Ein Leser schreibt, auch der Go-Typ ist schon durch GnuPG-Bashing aufgefallen. Ich habe mich auch schon abfällig über die Codequalität von GnuPG geäußert und das Dateiformat ist furchtbar, aber GnuPG war das Tool, mit dem Snowden sein Leben vor dem Zugriff der US-Behörden geschützt hat. Mit GnuPG. Nicht mit "age", nicht mit Google-Crypto, nicht mit Cloudflare-Crypto, nicht mit Microsoft-Krypto. Mit GnuPG. Wer also GnuPG generell die Existenzberechtigung absprechen will, und dann auch noch sein Gehalt von Google und Cloudflare nimmt, die um US-Regierungsaufträge konkurrieren, der ist mir direkt suspekt.
Nun werden die meisten nicht ursächlich deshalb verschlüsseln, damit die Polizei nicht drankommt, sondern eher damit Kriminelle nicht drankommen, aber der Übergang hat sich ja teilweise als bedrückend fließend herausgestellt. Insofern guckt mal hier:
Ein Ermittlungsverfahren wegen des Vorwurfs der Bildung einer kriminellen Vereinigung im Zuge des Verbots der linksradikalen Internetplattform linksunten.indymedia.org ist nach fünf Jahren eingestellt worden. [...] Für den Vorwurf habe die Staatsanwaltschaft keine Beweise finden können, die bei Razzien im Jahr 2017 beschlagnahmten Datenträger seien bis heute nicht zu entschlüsseln gewesen.Ich weiß ja nicht, wie euer Threat Model aussieht, gegen wen ihr euch mit Verschlüsselung schützen wollt. Aber bei mir sind spätestens seit den letzten paar Willkür-Updates für die Polizeigesetze auf jeden Fall neben den Geheimdiensten und ausländischen Militärs auch inländische Sicherheitsbehörden auf der Liste.
Und ja. Wenn ich was verschlüssele, dann ist das erklärte Ziel, dass das auch die besten Geheimdienste mit den übelsten Willkür-Befugnissen nicht ohne meine Kooperation entschlüsselt kriegen.
Wenn ihr euch das mal genauer anguckt, was die Behörden inzwischen in den meisten Bundesländern machen dürfen, dann brauchen die gar keine Beweise mehr, um dich ohne Nachweis von irgendwas auf unbegrenzte Zeit einzusperren. Dann kannste also auch gleich ordentlich verschlüsseln, finde ich.
Oh, wo wir gerade bei Sicherheitsbehörden waren... Schaut mal, wie sie linksunten.indymedia verboten haben:
Förmlich handelte es sich um ein Vereinsverbot – die Betreiber wurden von den Behörden als Verein eingestuft. Dagegen hatten mehrere Personen Klage eingereicht, die Existenz des Vereins dabei aber bestritten. Deswegen waren sie 2020 vor dem Bundesverwaltungsgericht aus formalen Gründen gescheitert, denn zur Anfechtung eines solchen Verbots sei "regelmäßig nur die Vereinigung" befugt.Alles lupenreine Rechtsdurchsetzungsbehörden! Du bist verhaftet, weil du ein Flump bist! Aber ich bin doch gar kein Flump?! Diese Verteidigung steht nur Flumps offen!1!!
Verfassungsschutz: China könnte langfristig Cybergefahr Nummer eins werdenAh. Häufiges Missverständnis.
Die Hauptbedrohung für unsere IT-Sicherheit ist nicht China. China ist nicht mal in den Top 5. Hier sind die Hauptbedrohungen für IT-Sicherheit in der EU:
Ach ja, und: Wir haben digitale Souveränität nicht beachtet. Jetzt haben wir nicht mal mehr irgendwas, womit man glaubwürdig drohen könnte.
China. Dass ich nicht lache.
Das Hauptproblem von unserem undichten Dach ist der Regen!!1!
Das Hauptproblem unserer Gasversorgung ist, wenn Leute im Winter Heizen wollen!1!!
Je älter ich werde, desto schockierender wird für mich die himmelschreiende Dummheit der Politik. Es ist fast, als ob die absichtlich immer die langfristig schädlichste Option wählen. Um die Dringlichkeit im Wahlkampf aufrecht zu erhalten vielleicht?
Nun, der installiert einen Backdoor-Admin-Account mit hartkodiertem Password.
Was hat Atlassian zu ihrer Verteidigung vorzubringen?
This account is intended to aid administrators that are migrating data from the app to Confluence Cloud.Oh ach soooo ist das! Wir machen die On-Prem-Geschichten schrittweise immer kaputter, bis auch der letzte von euch renitenten Pennern endlich unser Cloud"angebot" annimmt!1!!
Und alles, was es brauchte, waren zehn Jahre Ermahnungen, Untätigkeitsklagen und zuletzt dass die EU drohte, nicht nur der Behörde im jeweiligen Firmensitz die Zuständigkeit zu geben!
Bevor ihr euch jetzt freut, bedenkt den Cloud Act.
Update: Schade, ich hatte gedacht, die Hitzewelle sei vorbei. Dabei war bloß die Hölle zugefroren.
Update: Gibt noch eine aktuelle Meldung, die gut passt: Facebook hat eine Klage von einem Ex-Mitarbeiter am Hals, der sagt, sie hätte "gelöschte" Nutzerdaten an Strafverfolgungsbehörden weitergegeben.
Ich unterrichte an einer großen Berufsschule "Fachinformatiker für Systemintegration". Die haben seit neuestem sogar das Fach "Cybersecurity". Aber ich kann dich beruhigen. Da passiert nichts inhaltliches, sondern es ist ein reines Feuerwerk an Buzz-Words.Ich würde euch jetzt gerne sagen, dass ich furchtbar schockiert bin. Bin ich aber nicht.Im IHK-Prüfungsausschuss bearbeite (prüfe) ich gerne Projektthemen à la "Erhöhung der IT-Sicherheit", oder wie es dann auch immer formuliert ist. Du kannst dir denken, was das in der Praxis bedeutet:
- 90% MS-Systeme (Windows-Server, O365 etc.)
- selbstverständlich in der Cloud
- Virenscanner
- Next-Generation Firewalls
- fertig!
Das wichtigste Merkmal zur Erhöhung der Sicherheit sind bei allen Fachinformatikern Virenscanner. Ahnung wie die arbeiten? Fehlanzeige! Was sind überhaupt "aktuelle Viren"? Wer will das wissen?
Wer mit (NG-)Firewalls arbeitet, ist dann schon weit vorne: Was macht eigentlich so ne Firewall? Schützt gegen das Internet. - Was bedeutet dabei das NG? Interessiert auch keinen!
Nach welchen Kriterien haben Sie denn Ihren Virenscanner / Firewall ausgewählt? Antwort: Kosten! - Wie haben Sie die Software komnfiguriert? Antwort: YouTube!
Und die sind alle der festen und ehrlichen Überzeugung, dass gerade sie echte Profis für IT-Sicherheit sind, und dass bei ihnen schon nix weiter passieren wird.
Mein persönliches Highlight des letzten Durchgangs, auch wenn es ein klein bisschen off-topic ist:
Frage: Was können Sie mit zu der von Ihnen eingesetzten IP 10.0.0.1 sagen?
Antwort: Das ist Klasse B!
F: Aha!? Welche Netzklassen kennen Sie denn noch?
A: Klasse-A ist öffentlich, Klasse-B privat, Klasse-C ist militärisch.
F: Was ist denn eine militärische IP-Adresse???
A: Die ist besonders sicher!
Ich fasse mal zusammen: Der Staat sollte verbieten, dass man Lösegeld an Ransomwaregangs zahlen darf, und auch verbieten, dass Versicherungen Lösegeld zahlen oder dass man das von der Steuer absetzen darf.
In erster Näherung klingt das erst mal nicht doof. Wenn du denen den Profit wegnimmst, bricht ihr Geschäftsmodell weg.
Zwei Probleme. Erstens: Nein, tut es nicht. Es gibt schon die ersten Ransomware-Gangs, die gar nicht mehr verschlüsseln. Die haben gemerkt, dass sie durch den Weiterverkauf von den geklauten Daten genug Kohle machen können.
Zweitens: Das ist bloß der Monetarisierungsweg. Das schließt nicht die Sicherheitslücken, über die Ransomware reinkommt. Die stehen noch offen für Leute mit anderen Motiven, wie z.B. ausländische Geheimdienste.
Solange wir die nicht zumachen, ist alles andere bloß performative Security. Fühlt sich an, als täte jemand was, aber ist bloß Theater.
Ich sehe nicht, wie wir jemals mehr Sicherheit kriegen werden. Die Branche hat versagt, die Regierung hat versagt, die Firmen haben versagt. Der letzte Hoffnungsträger ist, dass der Markt da vielleicht ausnahmsweise mal was in unserem Interesse regelt. Wenn wir das auch noch ausschließen, dann werden wir hier nur noch vor uns hinvegetieren, und alles bleibt ewig Scheiße, weil du dann ja nicht mal einen Vorteil am Markt hast, weil du billiger anbieten kannst als die Konkurrenten, die Versicherungen abschließen müssen.
Zumindest einige der Unterzeichner hätten es echt besser wissen müssen.
Update: Wenn euer Backup von einem Angreifer verschlüsselbar ist, war es kein Backup sondern bloß eine Kopie. Was ein Backup zu einem Backup macht, ist dass man sich darauf verlassen kann, damit seine Daten wieder einspielen zu können.
Update: Mein Kumpel Erdgeist findet, ich sollte auch noch darauf hinweisen, dass sie das Zahlen von Ransomware und das Absetzen von der Steuer nicht verbieten können. Dann nennt man das halt Beraterhonorar und macht es über eine Firma im Ausland, die vom Lösegeldverbot nicht betroffen ist. Außerdem muss man nur zum War on Drugs gucken, wie gut Prohibition hilft. Gar nicht.
Ich finde das ehrlich gesagt nicht so wichtig. Selbst wenn man es verbieten könnte, würde es das Problem nicht lösen. Meinetwegen können wir uns das sparen, dass der Staat und die Kriminellen sich jetzt 10 Jahre lang on-uppen, und am Ende kommt völlig überraschend heraus, dass wir die ganze Zeit recht hatten.
Update: Vielleicht sicherheitshalber nochmal explizit: Ransomware ist nicht wie Niederschlag. Etwas, mit dem man halt zu leben lernen muss. Wir könnten auch anfangen, sichere Software zu produzieren und einzusetzen. Das macht nur keiner, weil die alle glauben, das Investment lohnt sich nicht, weil man dann teurer wäre als die Konkurrenten.
Update: Diese Petition liegt in der Cloud von Microsoft, denen wir das Ransomware-Problem ja ursächlich zu verdanken haben. Genau mein Humor!
Bonus: Auch ihre Security entspricht den Erwartungen. Sie haben jemanden in meinem Namen unterzeichnen lassen. Einmal mit Profis! m(
Immerhin haben sie auch den Drachenlord unterschreiben lassen.
Praktisch alle Firmen sind heute in der Cloud, zumindest über Office 365. Trotzdem haben die alle Ransomware.
Glaubt das mal bitte keine Sekunde, dass euch die Cloud schützt.
Hat die Cloud denn Security-Vorteile? Kommt drauf an. Wenn ihr eure Patches nicht einspielt, dann ja.
Wieviel Zeit habt ihr für das Einspielen der Patches? 24h. Nach initialer Verfügbarkeit des Patches. Nicht nachdem ihr ihn zuerst wahrnehmt. Solange dauert das für einen guten Hacker, um aus einem Patch einen Exploit zu reverse engineeren. Ransomware ist profitabel. Die können sich gute Hacker leisten.
Müssen sie aber im Allgemeinen gar nicht, denn ihre "Kunden" sind alle so freundlich, Wochen bis Monate (bis Jahre!) zu warten mit dem Einspielen von Patches für bekannte und anderswo bereits fröhlich ausgenutzte Sicherheitlücken.
This outage was caused by a change that was part of a long-running project to increase resilience in our busiest locations.Operation erfolgreich, Patient tot! :-)
Splunk Enterprise deployment servers in versions before 9.0 let clients deploy forwarder bundles to other deployment clients through the deployment server. An attacker that compromised a Universal Forwarder endpoint could use the vulnerability to execute arbitrary code on all other Universal Forwarder endpoints subscribed to the deployment server.Ja Scheiße, Bernd! Hätte ich das gestern gewusst, hätte ich das in meine Folien eingebaut. Da ist eine Folie bei: Wenn Sie Network Monitoring machen, müssen Sie den Agenten und Sensoren und deren Cloud trauen. Die kommen in Ihrer Firma überall hin. Wenn die jemand hackt, der auch.Aber mir glaubt sowas ja immer keiner. Die glauben ja auch noch alle, dass Schlangenöl nicht die Angriffsoberfläche erhöht.
Update: Die Splunk-User sind gerade ziemlich angefressen. Hier eine repräsentative Mecker-Mail:
ist noch viel grossartiger.
Zusätzlich zu der verlinkten SVD-2022-0608 gibts auch noch die 607, die die Authentifizierung am Deploymentserver aushebelt. Hoppla. Die ist auch seit mindestens 2020 bekannt. Sprich: wenn ich den Deploymentserver kenne und da rankomme, dann kann ich dem, ohne selbst subscriber zu sein irgendwas unterjubeln.
Nun kommt noch obendrauf, dass die Veröffentlichung dieser Schwachstelle einherging mit der Splunkkonferenz der vergangenen Woche, auf der dann die taufrische Splunk Version 9.0.0 präsentiert wurde.
Splunk Cloud Platform (das SaaS angebot) ist nicht betroffen, aber bitte betatestet den neuen Release doch mal auf eurer Produktion.
Die Solution des Fixes wurde auch (möglicherweise mehrfach) editiert, was für mich darauf hindeutet, dass die selber erstmal gar nicht so genau wussten, was man denn nun alles updaten muss um die Schwachstelle zu beheben.
Nun und offenbar wurde die Remote Code Execution intern gefunden beim Rewrite der Security Architektur, war also vermutlich nicht wirklich bekannt. Die Schwachstelle dann mit der neuen (.0.0) Version zu veröffentlichen, die alle möglichen Kinderkrankheiten mitbringt und im Enterpriseumfeld sicherlich niemand auf Produktion nutzen will, halte ich dann auch für nen tierisch schlechten Marketing move. Die hätte man vielleicht wenigstens bis zum nächsten Minor Release, mit dem ich aus bisheriger Erfahrung mit .0er Releases im Herbst erwarten würde, vielleicht in der Schublade liegen lassen können.
(Danke, Andreas)
Erste Erkenntnis aus den anderen Vorträgen heute: Blockchain ist noch nicht ganz tot. Da fantasieren immer noch welche von Self-Sovereign-IDs herum. Anscheinend haben sie in Italien Flüchtlingen SSI-"Zertifikate" in die Hand gedrückt, mit denen denen dann in Deutschand Hochschulen Dinge anerkannt haben. Nichts davon benötigt eine Blockchain, aber das Memo haben die noch nicht gekriegt.
Dann gab es da noch einen Vortrag von Microsoft über das "Sovereign Cloud"-Projekt. Da geht es um Digitale Souveränität, was eigentlich meint, dass Deutschland in der IT autarke Handlungsfähigkeit erreichen bzw. bewahren muss. Der Zug ist natürlich schon abgefahren. Unsere Computer und alle Teile darin kommen aus China oder Taiwan. Die Software darauf kommt aus den USA. Dass ausgerechnet Microsoft mit unseren Behörden ein Projekt zur digitalen Souveränität macht, ist also schon inhärent ein Treppenwitz eigentlich. Aber wartet.
Der Mann erzählte dann da, was sie alles nachentwickeln mussten, um das zum Laufen zu kriegen. Unfassbar viele Manntage Aufwand, erzählte der. Was das gekostet hat! Jahre haben wir da schon investiert!! Ja was haben sie denn da so teuer nachentwickelt, fragt ihr euch jetzt vielleicht? Nun, ... Lizenzserver. Damit man das Office 365 in der "souveränen" Cloud ordentlich lizenzieren kann. Warum können die sich nicht ganz normal ihre Lizenzen holen? Na weil die Cloud nicht am Internet hängen soll.
Warte, was? Ja! Das BSI fand, die Cloud sei nur dann sicher, wenn keiner mit der reden kann. smart.gif!
Ja aber liebes BSI, eure Compliance-Bullshit-Checklisten fordern doch Aktualisierungen für Windows und für Schlangenöl und so?!
Ja, dafür haben wir eine digitale Laderampe vorgesehen, mit einer Datendiode.
Das musste er dann gar nicht mehr erklären, dass diese brillante Idee auf das BSI zurückging.
Ich weiß gar nicht, welchen Teil davon ich am absurdesten finden soll.
Jetzt fragt ihr euch vielleicht, wieso die souveräne Cloud so viel Hardware-Skalierbarkeit brauchen soll, dass man Cloud-Kram überhaupt braucht. Gut, dass ihr aufgepasst habt und das fragt! Antwort: Mit der Rechenleistung kann man dann prima für SSI eine Blockchain fahren. Erzählte stolz der Microsoft-Beauftrage.
m(
Update: Der Begriff "Datendiode" kommt von Genua. Das BSI betreibt hier also Klientelpolitik / Wirtschaftsförderung für Genua.
Update: Oh ach gucke mal, stimmt gar nicht, auch secunet hat eine "Datendiode".
Ergebnis: web3 ist auch down.
Wir erinnern uns: web3 will man, weil das dezentral und daher unkaputtbar ist!1!!
Die Suva möchte gerne in die Microsoft-Cloud gehen. Begründung: Die haben ein Rechenzentrum in der Schweiz und sagen uns zu, dass da keiner aus dem Ausland reinguckt.
Der Datenschutzbeauftragte ist dagegen, weil es in den USA den Cloud Act gibt, was heißt, dass die Amerikanischen Behörden in die Schweizer Cloud gucken können, ob den Schweizern das gefällt oder nicht.
Money Quote:
Die Suva adressiere das Risiko in ihrer Analyse zwar, bezeichne es aber als "höchst unwahrscheinlich". [...]Ja gut, klar. Die benutzen ja auch Windows, Outlook und Active Directory. Vermutlich unter der Annahme, dass ein Ransomwarebefall "höchst unwahrscheinlich" sei.Auch die Zürcher Kantonsverwaltung machte vor kurzem den Schritt in die Microsoft-Cloud. Die Einschätzung, dass ein "Lawful Access" durch US-Behörden höchst unwahrscheinlich sei, teilt der Kanton.
Ich soll in zwei Wochen einen Vortrag halten und brauche mal eine grobe Peilung, wie weit der Begriff seiner ursprünglichen technischen Bedeutung schon entfleucht ist.
Die ursprüngliche technische Bedeutung ist, dass man zwischen allen Diensten ordentliche Verschlüsselung und Authentisierung betreibt, und nicht mehr "internen Diensten" vertraut, weil sie mit der richtigen Absender-IP-Adresse reinkommen.
Im Moment wird Zero Trust aber eher breitbandig durchs Dorf getrieben. Insbesondere Cloudanbieter stehen da tierisch drauf, weil sie (wahrscheinlich zu recht) annehmen, dass die Leute glauben, wenn man dem Intranet nicht mehr trauen soll, dann kann man die Dienste ja auch in die Cloud schieben. Denen traut man ja auch nicht, das ist dann ja äquivalent!1!!
Sogar im Multi-Cloud-Kontext ist mir Zero Trust schon begegnet.
Update: Jetzt kommen hier lauter Leute rein, die sich ausheulen, dass bei ihnen irgendein Klump im Namen von Zero Trust angeschafft wurde, und wie schlimm das alles ist. Ihr könnt euch gerne bei mir ausheulen, aber meine Frage war eher nach den Versprechen vor dem Kauf, als nach den negativen Auswirkungen nach dem Kauf. Mir drängt sich gerade der Eindruck auf, dass die gar nichts versprechen mussten, weil ihnen die Leute die Tür einrannten und Zero Trust verlangten. Fehlt nur noch ein bisschen Metamaterial-Quanten-KI in der Blockchain! (Das ist kein Witz übrigens. Die ersten Schilderungen mit KI und Blockchain kamen schon rein)
Update: Außerdem haben die ein Replikationsproblem. "Wir heilen hier Krebs" scheint die "KI-Quanten-Blockchain in der Cloud" unter den Biomedizinern zu sein, wenn es um Drittmittel geht.
Jahrelang haben sie nur an Lizenzkosten für ihre schlechte Software verdient, an Supportverträgen für Großunternehmen, an eigentlich das Kartellamt betreffende Upselling-Reindrückaktionen für Infrastruktur wie Sharepoint und Exchange, jetzt noch an Cloud-Gebühren, die so grotesk sind, dass Cloudflare das Geschäftsmodell hat, ein Cacheing davor anzubieten, um die Kosten geringer zu halten.
Von den paar Brosamen lebt Microsoft im Moment.
Doch damit ist jetzt Schluss.
Jetzt verdient Microsoft auch noch an "Experten", die sie euch in die Firma schicken.
Die kümmern sich da um Probleme, die durch den Einsatz von Microsoft-Produkten überhaupt erst entstanden sind.
Ja nee nee, Moment. Ihr zahlt für die Experten. Das ist kein Kundendienst.
Ich finde ja immer geil, wie Microsoft einfach behaupten kann, sie hätten Experten, und die Leute glauben das dann auch noch. Wenn Microsoft Experten hätte, wieso müssen sie dann immer noch jeden Monate Dutzende von Patches raushauen? Wieso verkacken sie immer noch so viele von den Patches?
Wieso haben wir inzwischen Patch-Testen beim Kunden mit "Preview"-Patches?
Das wird echt eine interessante Frage für Historiker, wie diese Firma jemals so viel Einfluss gewinnen konnte.
Aber hey. Akkurat eingeschätzt, die Kunden. Wer so blöde ist, Windows, Exchange, Active Directory und Office einzusetzen, und dann so blöde war, sich von Microsoft einen Defender andrehen zu lassen, der Probleme fixt, die man ohne Microsoft nicht hatte, und der dann auch noch so bekloppt ist, in die Microsoft-Cloud zu ziehen ... der dann externe Hilfe bezahlt, um die Ransomware wieder loszuwerden ... NA KLAR ist der dann auch so blöde und zahlt auch nochmal für "Experten" von Microsoft.
Idioten von ihrem Geld trennen ist das zweitälteste Geschäftsmodell der Welt.
Ich weiß noch, wie wir im kalten Krieg in Westberlin immer Geschichten hörten, dass die Russen zu ihren Militärparaden die Wolken im Umlaut künstlich abregneten, damit die Parade gutes Wetter hatte. Ich hab gerade mal auf Wikipedia geguckt, aber da klingt die Technologie weit weniger verlässlich als ich dachte:
The Soviet Union created a specifically designed version of the Antonov An-30 aerial survey aircraft, the An-30M Sky Cleaner, with eight containers of solid carbon dioxide in the cargo area plus external pods containing meteorological cartridges that could be fired into clouds.Das überrascht mich schonmal. Die Version, die ich gehört hatte, war dass man das mit Silberjodid macht. Aber egal, haben sie halt CO2 genommen.Currently, An-26 is also used for cloud seeding. At the July 2006 G8 Summit in St. Petersburg, President Putin commented that air force jets had been deployed to seed incoming clouds so they rained over Finland. Rain drenched the summit anyway.Das klingt ja für mich, als hätte da jemand einen kleine Scherz am Rande für ernst gemeint gehalten.In Moscow, the Russian Airforce tried seeding clouds with bags of cement on June 17, 2008. One of the bags did not pulverize and went through the roof of a house.What the fuck?!?Update: Der ORF hat Fotos von der Parade. Wer da jetzt Windhosen oder andere apokalyptische Stürmerei erwartet hat, oder wenigstens Regen, der sieht sich getäuscht. Vielleicht wurden die Flugzeuge akut in der Ukraine gebraucht? Einige Leser schreiben, dass auch die Windgeschwindigkeit absolut im grünen Bereich blieb.
Das ist deswegen wichtig, weil Beschlagnahme durch den 4. Verfassungszusatz besonders reguliert ist. Die Cops dürfen nicht einfach Dinge beschlagnahmen sondern sie brauchen mindestens probable cause und einen Durchsuchungsbefehl. Wenn ein Cloud-Backup nicht mehr darunter fällt, dann können die Cops einfach routinemäßig von allen Leuten alle Cloud-Daten in Echtzeit als synchronisierte Kopie vorhalten.
Das ist mal richtig doll furchtbar, und es betrifft offensichtlich nicht nur Amerikaner sondern auch alle anderen Menschen mit Daten in Clouds von amerikanischen Anbietern.
Update: Nein, liebe Leser, das legalisiert nicht "Raubkopien". Ihr könnt aufhören, mir das zu schreiben.
Update: Schöne Grüße an Max Schrems an dieser Stelle.
Noch schlechtere Idee: Crypto-Wallet in der Cloud.
Dann im nächsten Tweet: "mobilized hundreds of engineers". War wohl doch etwas größer, das Problem.
Und dann hier:
We expect most site recoveries to occur with minimal or no data loss.Wait, what? Data Loss?!Die Statusseite schreibt:
We are beginning partial restoration to a cohort of customers.OK also sie spielen Backups ein. Aber irgendwie scheint wohl doch noch mehr im Arsch zu sein, sonst würden sie nicht "unsere Spezialisten sitzen dabei und beobachten jeden Schritt" fahren sondern "wir haben den Restore-Prozess angeworfen und gehen jetzt erstmal mittagessen". (Danke, Lars)
Ich hab keine Ahnung, ob as stimmt.
Auf der einen Seite war die Ukraine in der Sowjetunion ein High-Tech- und Forschungs-Standort. Insofern kommt das inhaltlich hin.
Auf der anderen Seite würde man denken, dass Russland sich vor dem Krieg von Lieferketten aus dem Zielland unabhängig macht.
Auf der dritten Seite würde man auch denken, dass sich der Westen nicht völlig ohne Not komplett von China oder "der Cloud" abhängig macht…
In dem konkreten Fall hatte die österreichische Rechteverwertungsgesellschaft Austro-Mechana von dem in Berlin ansässigen Provider Strato die Zahlung einer Speichermedienvergütung nach dem österreichischen Urheberrechtsgesetz für den Cloud-Speicherplatz HiDrive verlangt. Der in den Rechtsnormen verwendete Begriff "Speichermedien jeder Art" erfasse nämlich nicht nur Computerfestplatten, sondern auch das Anbieten von Speicherplatz in einer Cloud.Hey, Österreicher, habt ihr eigentlich keine eigene Wirtschaft, die ihr kaputtmachen könnt? Müsst ihr immer den Deutschen in die Tasche greifen?
Oh, übrigens, am Rande. Wo speichert der Clouddienst die Daten? Auf Festplatten.
Zahlt man auf Festplatten bereits Urheberrechtsabgaben? Aber natürlich! Genau wie auf die PCs und Mobiltelefone übrigens, auf die ihr die hier postulierten Privatkopien dann runterladet, um sie abzuspielen.
Selbst wenn Strato also nicht bereits gezahlt hätte, hätten die "Verwertungsgesellschaften" ihr Pfund Fleisch schon bekommen.
Update: Boah dieses Firefox ist echt so ein unfassbarer Scheißrotzkackdreck, das ist unfassbar. Du suchst dir aus einer ranzigen Web-UI ein PDF raus, klickst drauf, Firefox zeigt es an, aber packt nicht die URL auf dem Webserver in den Urlbar sondern eine lokale Download-URL.
Aber stellt sich raus: Da ist noch Luft nach unten. Man kann Single Sign On an die Cloud outsourcen. Dann kann die Firma in der Cloud für jeden deiner Dienste und jeden deiner User inklusive Admins gültige Login-Credentials ausstellen.
What could possibly go wrong?
Es gibt eigentlich nur zwei Möglichkeiten, dachte ich mir, als ich das hörte. Entweder das wird von einem Geheimdienst betrieben, oder alle Geheimdienste haben sich da reingehackt. Das ist ja als wenn du mit einem Bullseye auf dem Rücken rumrennst. So einem krassen Potential zur Berechtigungserlangung kann kein Geheimdienst widerstehen.
Ich sehe sowas bei Kunden eher selten, aber ich habe es schon gesehen. Cyberark z.B. ist mir schon begegnet. Ein israelischer Anbieter. Ich maß dem nie groß Bedeutung zu, bis ich mal an deren Hq in Israel vorbeikam. Hier ist ein Foto von dem Gebäude. Wisst ihr, wer da noch sitzt? Cellebrite. Ja, die mit den Smartphone-Exploits. Da verstand ich, dass wir es hier mit Full Spectrum Identity Services zu tun haben.
Ich erwähne das nicht, um mich über die Leute lustig zu machen, die ihre Login-Software an irgendeinen Cloud-Anbieter outsourcen. Nein. Die haben genug zu leiden.
Ich erwähne das, weil Lapsus (russische Ransomware-Gang) offenbar seit Monaten bei Okta drinnen sitzt. Okta bietet Single-Sign-On-Cloud-Outsourcing an.
Auf er einen Seite ist das natürlich apokalyptisch. Auf der anderen Seite ändert es nichts. Denn die Aufgabe von Login ist, dass sich niemand aus der Cloud einfach bei dir einloggen kann. Wenn du dein Login in die Cloud schiebst, hast du per Definition dein schlimmstes Bedrohungsszenario immanentisiert.
Und jetzt haben wir den Salat. Beziehungsweise den Emmerich-Film. Und ich bin der Jeff Goldblum-Charakter, der die ganze Zeit gewarnt hat.
Mein persönliches Karriere-Highlight in dem Kontext war ja, als ein Kunde von mir wollte, dass ich so einem Provider einen Voice-Print gebe. Ich sollte da anrufen und lauter Phoneme auf Band sprechen. Und dann, so die Erklärung, wenn ich mal mein Passwort resetten muss, dann kann der Computer erkennen, dass ich es bin. Ich habe dankend abgelehnt. Das ist ja eine Sache, ob der Kunde mein Passwort einem ausländischen Geheimdienst in der Cloud gibt, aber meine biometrischen Daten behalte ich lieber für mich, vielen Dank. Der Kunde konnte das gar nicht verstehen. Wir anderen Mitarbeiter bei dem Kunden machen das auch alle und noch nie gab es Ärger!
Vielleicht aus aktuellem Anlass bei der Gelegenheit an meine anderen Kunden: Keine Sorge. Selbstverständlich kriegt jeder Kunde sein eigenes zufällig generiertes Passwort mit ausreichend Entropie. Wenn ein Kunde mein Passwort in die Cloud schiebt, kriegt die Cloud keinen Zugriff auf meine Accounts bei anderen Kunden.
Irgendjemand muss ja hier ein paar Standards haben. :-)
Update: BTW: Glaubt mal gar nicht, ihr condescending Unix neckbeards, dass ihr nicht betroffen seid von dieser Art Irrsinn. Ein Kumpel schildert mir gerade, wie ihn der neue Ubuntu-Installer nach seinem Github-Usernamen fragte, damit er da SSH-Keys runterladen kann. Und über diesen Clownflare-Klassiker von 2019 lachen wir heute noch.
Update: Bei Microsoft scheint Lapsus auch eingedrungen zu sein.
Update: Möglicherweise via Okta? Der Okta-Krater sieht jedenfalls vergleichsweise groß aus.
Update: Hat hier jemand seinen Quellcode bei Gitlab liegen?
Nicht?
In sozialen Netzen finden die ja nicht mehr statt, Fernsehen von denen wurde auch verboten, die Webseite geht seit Anfang des Monats nicht mehr.
Auch bei Google findet man keinen RT-Content mehr. Hier ist der zugehörige Eintrag aus der Lumen-Datenbank. Wenn ihr da mal ein bisschen das Kleingedruckte durchlest, findet ihr diesen Absatz hier:
As regards the posts made by individuals that reproduce the content of RT and Sputnik, those posts shall not be published and, if published, must be deleted.Also nicht nur RT. Auch Privatleute, die RT-Content wiedergeben.Das ist übrigens nicht nur Deutschland. Ein Kumpel aus Belgien hat gerade mal probiert und bei dem kommt eine Stoppschild-Seite. Er hat daraufhin mal Tor probiert, und auch per Tor kam er nicht dran.
Das ist nicht verwunderlich, denn die meisten Tor Exit Nodes stehen in ... Deutschland. Ja, Deutschland, weil das immer alle für den Hort der Freiheit hielten. Wo sonst würde man seine Exit Nodes aufstellen, wenn nicht in einem Land, wo verfassungsmäßig garantiert keine Zensur stattfindet?
Seid ihr eigentlich auch so froh, dass ihr bei den Guten seid?
Update: Wo ist eigentlich die Gesellschaft für Freiheitsrechte, wenn man sie braucht?
Update: Das ist übrigens technisch eine DNS-Sperre. Wer seinen eigenen DNS-Server betreibt, ist nicht betroffen. Im Moment scheinen auch die öffentlichen DNS-Server von Google, Cloudflare und IBM noch nicht zu zensieren.
Update: Mehrere Leser schreiben mir, dass sie von der Zensur noch nichts bemerkt haben, bei ihnen ginge es. Ich kann hier gerade live testen, dass Vodafone und O2 das zensieren. Ein Kumpel mit Telekom-DSL kann es noch auflösen. Das wäre ja bemerkenswert, wenn ausgerechnet die Telekom die Zensurorder nicht umgesetzt hätte.
Ansonsten kann es auch sein, dass ihr in eurem WLAN-Router 8.8.8.8, 1.1.1.1 oder 9.9.9.9 eingetragen habt. Oder, was auch mal interessant zu wissen wäre, vielleicht benutzt ihr Firefox und die haben ihr DoH-Antizensur-"Experiment" auch für Deutschland freigeschaltet und resolven dann über 1.1.1.1.
Außerdem scheint es einen Unterschied zu geben, ob man nach rt.com fragt oder nach de.rt.com. de.rt.com ist auch bei der Telekom blockiert, meint mein Kumpel.
Update: Die Gesellschaft für Freiheitsrechte äußert sich. Sie finden, der Kreml solle seine Klagen mal selber finanzieren.
Ich weiß nicht, wie ihr das seht, aber ich fand nicht, dass es hier um die Rechte von RT geht. Ich fand, dass es hier um meine Rechte geht. Das mag euch jetzt überraschen, aber ich hätte meine Rechte viel lieber von der GFF verteidigt als vom Kreml.
Update: Die rechtliche Grundlage für die Vorzensur ist anscheinend diese EU-Verordnung. Ich hätte ja gerne mal eine zweite Expertenmeinung eingeholt dazu, ob die überhaupt die Befugnis für so eine Zensuranordnung haben. Schade, dass die GFF dafür offenbar nicht zur Verfügung steht. Ich bin ehrlich gesagt ziemlich enttäuscht von Ulfs Argumentation hier. Ist ein Haftbefehl eines Landes, das extraterritoriale Folterknäste betreibt, auch nicht so schlimm, solange Fefe weiß, wo die ecuadorianische Botschaft ist?! Das kann ja wohl nicht ernsthaft das Bewertungskriterium sein.
Antivirensoftware, einschließlich der damit verbundenen echtzeitfähigen Clouddienste, verfügt über weitreichende Systemberechtigungen und muss systembedingt (zumindest für Aktualisierungen) eine dauerhafte, verschlüsselte und nicht prüfbare Verbindung zu Servern des Herstellers unterhalten.Ach. Ach was.
Das fällt euch jetzt auf?
Oder ist das erst jetzt ein Problem für euch, wenn ausländische Firmen eine verschlüsselte privilegierte Hintertür in alle Systeme der deutschen Industrie haben?
Hätte uns doch nur jemand rechtzeitig gewarnt!!1!
Vielleicht ist jetzt der richtige Moment, um mal ein bisschen die Gründer der Player zu googeln. Der Gründer von Mandiant kommt von der US Air Force. Crowdstrike wurde einem Russen gegründet.
Wie wäre es mit McAfee? Ein für seinen krassen Drogenkonsum und seine Herumhurerei bekannter Playboy?
Fireeye wurde von einem Pakistani gegründet. Ist das vertrauenswürdiger als ein Russe?
Bitdefender kommt aus Rumänien, ESET aus der Slovakei. Kann man da annehmen, dass die unbestechlich und unkorrumpierbar sind?
Ein russischer IT-Hersteller kann selbst offensive Operationen durchführen, gegen seinen Willen gezwungen werden, Zielsysteme anzugreifen, oder selbst als Opfer einer Cyber-Operation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden.Oh und das kann in anderen Ländern nicht passieren?!
Hey, ich hab eine radikale Idee. Wie wäre es, wenn ihr einfach gar keinem eine privilegierte Backdoor in alle eure Systeme gebt?
Mit der so gewonnenen Marktmacht sind sie dann zu einem der bedeutensten Backbone-Provider geworden, weil sie halt deutlich billiger anbieten konnten.
Cogent macht hier keine halben Sachen und kappt nur das Routing. Die haben auch Colocation-Kunden, die bei ihnen Server im Rack stehen haben. Auch die werden alle abgeklemmt.
Die Cloud-Anbieter waren da deutlich zaghafter und haben alle nur "keine Neukunden aus Russland" angesagt, was die Vermutung nahelegt, dass die US-Regierung denen gesagt hat, sie sollen mal die Füße stillhalten, sonst eskalieren die Russen ihren Cyberwar und das wird für alle sehr schmerzhaft.
Dieser Cogent-Rauswurf betrifft in Russland auch einmal alles, was Rang und Namen hat. Die beiden größten Telcos, die beiden größten Mobilfunkanbieter, und Yandex. Nun werden die auch noch andere Anbindungen als Cogent haben, aber wahrscheinlich nicht dick genug um das komplett aufzufangen, und werden jetzt teuer nachkaufen müssen. Insofern ist das jetzt selbst für redundant angebundene Marktteilnehmer eine potentiell sehr teure Entwicklung.
Übrigens, apropos Cyberwar: Kaum stoppt Samsung Lieferungen nach Russland, taucht plötzlich ein fetter Datenklumpen aus deren Entwickler-Netzen im Internet auf. Angeblich inklusive Quellcode zu Trustzone-Kram, Bootloadern und Auth-Zeug und sogar mit Crypto-Keys. Soll wohl auch geheime Unterlagen von Qualcomm beinhalten. Das klingt mal wie ein Pearl Harbor für Samsung.
Ihr ahnt wahrscheinlich schon, was als nächstes passierte.
Federal prosecutors last month said a New Jersey man was able to verify fake driver’s licenses through an ID.me system in California as part of a $2.5 million unemployment-fraud scheme.Nein, nein, das ist gut, das mit einer KI in der Cloud zu machen. Da kriegt man wenigstens ein vorhersagbares Qualitätsniveau!1!!Im Übrigen ist das doch ein Zeichen dafür, dass das System super funktioniert! Immerhin ist das ja aufgeflogen!!1!
ID.me has pointed to the scam as an example of how well its systems work, noting that it referred the case to federal law enforcement after an internal investigation. But the criminal complaint in the case shows that ID.me’s identification systems did not detect bogus accounts created around the same day that included fake driver’s licenses with photos of the suspect’s face in a curly wig.Gehen Sie weiter, gibt nichts zu sehen hier!
Die Antwort könnte die Bevölkerung verunsichern.
Mindestens zwei Stunden muss eine Windows-Maschine durchgängig online sein, um neue Updates herunterzuladen. Bis zur vollständigen Installation benötigen die Maschinen dann sogar sechs Stunden ununterbrochene Online-Zeit. So lautet das Ergebnis einer Microsoft-Untersuchung, warum mancher Windows-Rechner verlässlich automatisch die monatlichen Sicherheits- respektive die halbjährlichen Feature-Updates erhält, während andere jedoch einen manuellen Stupser zum Installieren brauchen und ohne Nachpflege gefährlich veralten.Die Leute sind einfach nicht lang genug online, um der verkackten, lahmarschigen, überlasteten Azure-Infrastruktur erfolgreich Updates zu entlocken. Ein paar Dutzend Versuche braucht der Autoupdater dafür halt!1!! Oder wie soll man das verstehen?
Au Mann Ey.
Hey, Leute, wenn ihr nicht in der Lage seid, eure Updates zeitnah downloadbar zu machen, dann redet doch mal mit einer Firma, die sich mit sowas auskennt. Akamai oder Google oder so. Cloudflare! *schenkelklopf*
Das war das Google-Projekt, um die Abhör-Maschinerie von der Google-Cloud in deinen Browser zu schieben. Ist auch viel billiger, muss Google nicht so viel Speicher und Cloud-Rechner vorhalten.
Wie? Nein. Nicht das Projekt ist tot. Der Name ist tot.
Google hat ein Blackwater gepullt und ihr Facebook umbenannt, als die Marke vergiftet war. Heißt jetzt: Topics.
Raider heißt jetzt Twix. Sonst ändert sich nix.
Es gibt ein paar hervorhebenswerte Aspekte daran.
Nun, stellt sich raus: Cloudflare cached bis 15GB. Kann man einstellen, muss man aber nicht. Hat er nicht. Seine Hash-Datenbank zum Download hat kürzlich die 15GB-Grenze gerissen.
Also hat Cloudflare die nicht mehr gecached. Also schlugen die Kosten auf Azure durch und er bekam eine Rechnung über 5000 AU$ von denen. Als er das diagnostiziert und gefixt hatte, kam die zweite Hälfte der Rechnung, nochmal 6000 AU$.
Bonus: Er findet Cloud immer noch voll geil und will auch nicht von Azure weggehen.
Die Älteren unter euch werden sich noch erinnern, als Google den anderen Firmen Schrecken einjagen konnte, weil sie klein und innovativ waren.
Früher sprang IBM auf, nachdem Google schon wieder abgesprungen ist. Heute macht Google etwas, nachdem IBM schon wieder abgesprungen ist.
Was für ein Absturz.
Gut, die haben ja seit Jahrzehnten schon niemanden mehr technisch beeindruckt. Die Suche wird immer nerviger, die Ergebnisse immer schlechter, sie belästigen einen ständig mit Cookie-Terrorbannern, einen Account für das Gucken von "für das Video hier muss man sich einloggen!1!!" kann man ohne Telefonnnummer gar nicht mehr anlegen, etcpp.
Wenn die in den Nachrichten sind, dann nur noch mit ihren ausgeklügelten Betrugsmaschen. Der Support ist so legendär schlecht, dass ihr Cloud-Angebot von einem Buchhändler plattgemacht wurde.
Google sind echt nur noch rauchende Ruinen ihrer selbst.
SGX war mit großem Tamtam als Sicherheitstechnologie gestartet. Die Idee war, dass es in der CPU eine "sichere Enklave" gibt, in der du deinen besonders krass sensiblen Code reintun kannst, also z.B. sowas wie den Public-Key-Code in einer TLS-Library. Die könnte dann Operationen exponieren, über die man TLS implementieren kann, aber niemand außer der Enklave müsste den Private Key im Speicher haben, wo er von einem Angreifer geklaut werden kann.
In der Praxis stellt sich dann aber raus, dass das praktisch nicht sicher einsetzbar ist. Nicht nur weil die exponierten APIs ja dann bombensicher und luftdicht sein müssen, sondern auch weil Intel es nicht geschafft hat, die SGX wirklich abzutrennen. Die ganzen SPECTRE-Varianten, die euch nie wirklich betroffen haben als Privatpersonen? Die haben alle SGX betroffen. Und Intel hat es nicht geschafft, den Scheiß abzusichern.
Daher ist der neue Weg jetzt, dass die Management Engine Fremdmodule zulässt. Also nicht von dir und mir, aber von sagen wir mal einem OEM wie Lenovo. Die könnten ein Modul in die Management Engine packen, mit dem man 4K-Blurays abspielen kann. Das Memo hat aber die Bluray Association noch nicht gekriegt und erlaubt schon formal nur 4K-Bluray-Playback auf Rechnern mit SGX.
Ja gut, betrifft mich nicht. Blurays sind tot. Heute streamt man 4k aus dem Netz.
Aber mir fällt gerade auf, dass der Artikel am Rande notiert, dass auch die Xeons kein SGX mehr haben.
Und DAS ist ein Paukenschlag, meine Damen und Herren. Denn das SGX in den Xeons ist das Feigenblatt für viele feuchte Cryptocurrency-Träume. Beispielsweise basiert die Sicherheit von Mobilecoin, der neuen "demokratischen Währung", die Signal eingebaut hat, auf SGX. Also nicht nur SGX. Auch ein bisschen Hand Waving :-)
Wenn es jetzt keine SGX-Cloudserver mehr gibt, weil Intel keine CPUs mehr liefert, die das können, dann ist auch Mobilecoin platt. Und mit ihm wahrscheinlich ein Haufen anderer Dinge, mit denen schon ein paar unseriöse Scammer Geld einsammeln gegangen waren.
Gut, betrifft mich jetzt auch nicht direkt, aber ich dachte, ich sag das hier mal an.
Wobei. Was weiß ich schon. Vielleicht macht Intel das per Zuzuahlung freischaltbar. So ala "Schönes Scam-Geschäftsmodell haben Sie da! Wäre ja schade, wenn das bald nicht mehr ginge". Wenn sie schlau sind, kann man das nicht kaufen sondern nur mieten. Mit freischaltbaren CPU-Features hat Intel schon länger geliebäugelt.
Es gibt online zwei Hinweise, was man tun kann. Erstens: http3 abschalten (in about:config network.http.http3.enabled auf false) und zweitens: In about:preferences#privacy bei Firefox Data Collection and Use alles abschalten.
In meinem Firefox ist http3 nicht deaktiviert, aber ich habe natürlich aller Data Collection widersprochen.
Aus meiner Sicht würde ich also nicht das Ausschalten von http3 empfehlen, denn das ist bei mir an und ich habe kein Problem, sondern die Datenkrakenabschaltung.
Dann kursiert noch die Idee, dass das was mit DNS over HTTP zu tun hat. Das habe ich nicht angeschaltet, weil ich Cloudflare nicht traue. Ich musste es aber, soweit ich mich erinnern kann, auch noch nicht ausschalten, weil Firefox das in Deutschland noch nicht hinter meinem Rücken anzuschalten versucht hat.
Update: Sieht als als sei Telemetrie bloß der Trigger gewesen. Leute berichten, auch Firefox 91 habe schon den Bug. Mir ist er immer noch nicht begegnet.
Aus aktuellem Anlass sei auch nochmal auf meine Ausführungen zu HTTP/2 von 2015 und aus 2019 verwiesen. Ich habe HTTP/2 nie implementiert, weder client- noch serverseitig. Das ist gar nicht mit akzeptabler Softwarekomplexität implementierbar, wenn man irgendeinen der (eh nur theoretischen) Vorteile haben will. HTTP/3 bestätigt mich da inhaltlich, denn es ist ein Wegschmeißen von HTTP/2 und ein Neumachen auf Basis von QUIC. Hier ist die Spec von QUIC. Könnt ihr euch ja selbst überlegen, ob ihr das von der Komplexität her für akzeptabel haltet.
Oh, warte, sagte ich wegschmeißen und neumachen? nicht wirklich:
HTTP/3 is an Internet Draft adopted by the QUIC working group. The original proposal was named "HTTP/2 Semantics Using The QUIC Transport Protocol",[8] and later named "Hypertext Transfer Protocol (HTTP) over QUIC".[9]
Denn bei Kommittee-Standards ist das wie bei Hoardern. Da wird nie irgendwas weggeschmissen, egal wie schlimm es stinkt.
Update: Nochmal langsam zum mitmeißeln: Komplexität ist der Feind.
Ich komme drauf, weil ich gerade Don't Look Up auf Netflix geguckt habe, wo das am Rande vorkommt. Leonardo DiCaprio spielt einen Professor, dessen Doktorandin einen Kometen entdeckt, der auf die Erde zufliegt und uns alle umbringen wird. Der Komet kommt aus der Oortschen Wolke.
Er spricht das aus, wie man das als Laie vermuten würde, wie ein langes U auf Deutsch. Uurt Klaud.
Nun ist aber die Oortsche Wolke nach einem niederländischen Astronomen benannt. Ich weiß, es ist schäbig, sich über solchen Scheiß aufzuregen, aber das sind so die Dinge, die bei mir Filme kaputtmachen. Ein Astronomieprofessor würde wissen, wie man das ausspricht.
So und jetzt warum ich das blogge: Versucht mal mit einer Suchmaschine eurer Wahl herauszufinden, wie man das ausspricht. Da findet man ein Dutzend Sites, die Videos hochgeladen haben, wie man das angeblich ausspricht, am besten noch mit einer Computer-Sprachausgabe. So schön habe ich lange nicht mehr visualisiert gesehen, was für ein Scheiß diese Kommerzialisierung und das Aufmerksamkeitsgeheische ist, und am besten noch ein "stimmen Sie hier ab, welches die richtige Aussprache ist" (wenn ich das wüsste, wäre ich nicht hier, ihr Vollpfosten!). Keiner von denen wollte euch helfen, das richtig auszusprechen. Die wollten alle bloß Werbung verkaufen.
Eine ähnliche Falle, aber diesmal auch für Deutsche, ist übrigens der Kuiper Belt, ebenfalls benannt nach einem Niederländer. Das spricht man Kaiper aus.
Hier hat die NASA ein Video gemacht, wo sie beides korrekt aussprechen. :-)
Das ist auch in Videospielen gelegentlich ein Problem, weil da die Vertonung halt von irgendwelchen angeheuerten Schauspielern gemacht werden, die das auch nicht wissen, wie man das richtig ausspricht. Ich hab ne Weile obsessiv X3 gezockt, von einer deutschen Firma entwickelt, aber die englische Version gespielt, und da haben sie Oort und Kuiper falsch ausgesprochen. Da haben sich offenbar ein paar OCD-Fans beschwert und in X4 ist es dann korrigiert worden.
Wer auf diese Art von Pedanterie steht, wird sich bestimmt auch über Neil DeGrasse Tyson freuen, dem im Film Titanic auffiel, dass der CGI-Himmel falsch war, und der daraufhin einen bösen Brief an James Cameron schrieb.
Bei der englischen Wikipedia gibt es eine Aussprachehilfe: /ɔːrt, ʊərt/
Als Referenz dafür nehmen sie das Oxford English Dictionary. Und die haben offenbar gesagt, dass beide Aussprachen OK sind. *grunz* Ich kann so nicht arbeiten!!1!
Update: Ich sollte vielleicht noch sagen, wie ich Don't Look Up fand. Es ist kein neues Wag The Dog. Ich hatte Spaß, so ist das nicht. Aber wo Wag The Dog dem Zuschauer zeigt, welche Kräfte wirken, wie stark und aus welcher Richtung, und warum passiert, was passiert, zeigt Don't Look Up bloß, dass die Leute alls dumm, apathisch und bösartig sind. Gelernt hat man am Ende nichts.
Update: Haha, war ja klar, jetzt hab ich hier die Inbox voll. Ist ja auch ein tolles Bikeshedding-Thema, hat jeder eine Meinung zu. :-)
Der Vollständigkeit halber: Merriam-Webster hat Aussprache-Beispielsounds und stimmt mir bei der Aussprache inhaltlich zu. Allerdings haben mir mehrere Leute geschrieben, dass ui im niederländischen Original doch nicht wie ai im Deutschen klingt. Eher öy oder aü. Hier spricht ganz am Anfang André Kuipers seinen Namen aus und ich hätte schwören können, dass das wie Kaipers klingt.
So ein Passwortmanager ist was feines. Nicht so fein dann, wenn der eine Cloudanbindung hat. Und in der Cloud das Masterpasswort liegt und abgegriffen werden kann. Denn früher oder später passiert das halt.
Nein, nur Amazons Cloud ist mal wieder kaputt.
Mann, ein Glück, dass ich nie jemandem empfohlen habe, wegen der hohen Verfügbarkeit in die Cloud zu ziehen. Da sähe ich ja jetzt schön blöde aus!
Daher wollte ich jetzt mal eine Umfrage machen und bitte um Zusendung von Daten für eine Statistik. Selbstverständlich wird das nur als aggregierte Übersicht veröffentlicht.
Mich interessieren so Dinge wie:
Sachdienliche Einsendungen bitte per E-Mail. Danke.
Update: Wenn jemand eine brillante Idee hat, wie man messen oder visualisieren kann, mit wieviel Reibungsverlusten man bei einer Codebasis leben muss, dann bin ich für jeden Hinweis dankbar. Mein aktueller Ansatz vergleicht das Codewachstum von einem Projekt mit dem Wachstum bei der Anzahl der NPM-Pakete. Ein richtig fairer Vergleich ist das aber nicht, denn das gewählte Projekt könnte ja einen Reifegrad erreicht haben, bei dem einfach weniger gemacht werden muss.
Wenn wir doch nur eine Blockchain-KI in der Cloud hätten, die uns vorher sagen könnte, dass unsere Brücken alle marode sind und mal repariert werden müssten!
Aber hey, ab jetzt ist das Verkehrsministerium ja in den Händen der FDP. Wenn jemand für vorausschauende Investitionen in den Substanzerhalt bekannt sind, dann ja wohl die Turbokapitalisten. Mit dem Angriff Wissing kommt das alles in Ordnung!
Auch wegen der hohen Verfügbarkeit? (Screenshot)
Bei Amazon machen das wenigstens echte Experten, da passieren keine Ausfälle!1!!
Hey, die haben doch jetzt sicher ihre Lektion gelernt, oder? Die machen doch bestimmt ab jetzt alles richtig? Weg mit Exchange, Windows, Office und Active Directory? Gucken wir doch mal!
03.12.2021Ja? Jaa? Jaaaaa?? Exzellenter Anfang!
Im Rahmen des Neuaufbaus der KISTERS Infrastruktur haben wir unsere E-Mail-Server (MS-Exchange)
in die Microsoft Azure Cloud ausgelagert.NEEEIIIINNNNNN!!!
Ausschlaggebend dafür war einerseits unser Ziel, schnellstmöglich wieder per E-Mail erreichbar zu sein, und andererseits eine technische Entkopplung der E-Mail-Server von unserer internen Infrastruktur. Damit berücksichtigen wir gleichzeitig auch die aktuell von BSI und BKA festgestellte besondere Bedrohungslage.Boah was für ein Bullshit-Bingo. Unfassbar.
Denkt euch hier mal bitte ein Obi-Wan-Mem hin. Nein, nicht von mir ausgesucht. Vom BSI und ihren Kunden.
Mir gehen ja langsam die Gründe aus, die Verschwörungstheorie nicht zu glauben, dass Microsoft absichtlich die selber gehosteten Produkte sicherheitstechnisch vor die Wand fährt, damit alle in ihre Cloud migrieren. (Danke, Matthias)
War ja auch klar. Es reicht nicht, dass sie auf der einen Seite von ihren Kunden bezahlt werden, dass sie auf der anderen Seite von Hosting-Kunden bezahlt werden, dass sie auf der dritten Seite von Cloud-Kunden bezahlt werden, dass sie auf der vierten Seite von Bund und Ländern und Kommunen Geld in den Arsch geblasen kriegen.
Nein, nein das reicht gerade für die Koksrechnung der Chefetage. Wir wollen auch noch von Netflix bezahlt werden!1!!
Ich finde ja, Vodafone und die Telekom sollten umgekehrt Netflix und Youtube bezahlen, denn ohne die würde ihnen niemand ihre stetig steigenden Bandbreitenangebote abkaufen.
Grundsätzlich könnte man das von mir aus gerne so machen, dass Netflix den Netzausbau zahlt. Zahl ich halt bei Netflix ein bisschen mehr und die reichen das durch. Dann zahl ich aber nichts mehr direkt an Vodafone und Telekom und co. Das wäre womöglich sogar gar kein so schlechtes Modell, denn Netflix und Amazon würden da deutlich mehr Druck machen, dass auch auf dem Land ordentliches Internet verfügbar ist.
Medixtixx hat allerdings die Zugangsdaten zu den ganzen VPN-Routern in den Praxen. Die alle zu resetten wird sich eine Weile hinziehen.
Wie kann man so sträflich seine Aufsichtspflichten verletzen?
Aktuell gab es mal wieder eine außerplanmäßige Datenschutzmaßnahme, bei einem Hersteller von Arztsoftware. Naja, denkt man sich, besser Daten verschlüsselt als Daten weggekommen. Aber die Ransomware-Gangs gehen ja inzwischen dazu über, die Daten vorher zu kopieren und dann gewinnbringend weiterzuverkaufen. In dem Artikel sind diese beunruhigenden Absätze:
Derzeit geht das Unternehmen davon aus, dass vor allem die eigenen IT-Systeme Ziel des Angriffs waren – und nicht die Systeme der Kunden. Derzeit arbeite Medatixx gemeinsam mit IT-Sicherheitsspezialisten an der Auswertung und Lösung des Problems. Auch Ermittlungsbehörden und die zuständige Datenschutzbehörde seien bereits eingeschaltet.Ja, äh, wie jetzt? Geht davon aus? Prinzip Hoffnung oder was? Dasselbe Prinzip, das euch überhaupt erst in diese Lage gebracht hat?
Es könne jedoch nicht ausgeschlossen werden, dass auch beim Unternehmen gespeicherte Daten entwendet wurden – und dass somit möglicherweise auch die angeschlossenen Arztpraxen vom Angriff betroffen sein könnten.Ja, äh, und wieso hat das Unternehmen überhaupt Daten von Dritten gespeichert?!?
Wie können die Arztpraxen so mit den Daten ihrer Patienten umgehen, dass eine Ransomware beim Softwarelieferanten Auswirkungen auf die Daten haben kann?!?
Das sollte sein wie bei Lagnese! Wenn die nen Ransomwarevorfall haben, betrifft mich das überhaupt nicht, obwohl ich bei denen schonmal Kunde war!
Kann mir das mal jemand erklären, wieso Speiseeis-Hersteller ein höheres Datenschutzniveau haben als Patientendaten in Arztpraxen!?!? (Danke, Christian)
Natürlich turnusmäßig auf die aktuellen Buzzwords updaten.
Cloud. KI. Quanten.
Müssen wir nicht mal selber machen. Wir nehmen einfach genau die Liste der Dinge, die das Wirtschaftsministerium gerade fördern möchte.
Pass uff, wir gehen noch einen Schritt weiter. Das Digitalministerium kriegt einen Investitionsarm, da packen wir die Leute aus dem Wirtschaftsministerium hin. Aber wir virtualisieren die. Die glauben, die entscheiden da über Fördertöpfe, tatsächlich entscheiden sie über den Inhalt der Bullshitliste.
Update: Die Zeit wird knapp!!
Das ist Teil des Grundrauschens im Internet. Wer einen Unix-Host am Internet betreibt, hat auch ständig Versuche in den System-Logs, wo Bots irgendwelche Accounts per SSH durchprobieren. Das ist schon echt lange so.
Warum erwähne ich das? Weil ich heute mal Kunst würdigen will. Die Kunst Microsofts, aus diesem uralten, langweiligen Kontext diese unfassbare Terrorpanikmeldung zu klöppeln. Lest das mal genau durch.
Mehr als "wir glauben, dass bei unseren Cloud-Kunden Passwörter durchprobiert werden" haben die da nicht.
Nicht nur holen sie daraufhin DIE RUSSEN aus ihrem Sack, sondern auch STATE ACTOR und SUPPLY CHAIN ATTACK und vergeben sogar noch einen bekloppten Codenamen, "Nobellium". m(
Die schlechte Nachricht: Nicht die Behörden tun das, es ist eine Ransomware.
Nee, pass uff, Atze, wir müssen hier nicht in ordentliche IT investieren. Wir machen einfach Windows + Active Directory + Outlook, und wenn wir dann gehackt werden, dann sagen wir, es waren fiese Angreifer:
Unbekannte verschlüsseln interne DatenAußerdem sind ja nicht wir Schuld, sondern der Dienstleister!!1!
Ersten Erkenntnissen zufolge ist der zuständige IT-Dienstleister KSM "Opfer einer Schadsoftware geworden", wie Sternberg sagte.Dann faseln wir noch was von krimineller Energie und rufen die Polizei, um von unserem eigenen Totalversagen abzulenken.
Die Kriminalpolizei Schwerin hat mit Ermittlungen begonnen.Oh und solange keine Beweise vorliegen, behaupten wir einfach, es sei nichts weiter passiert.
Man gehe davon aus, dass zwar die eigenen Daten verschlüsselt worden seien, nicht aber an externe Stellen weitergegeben wurden. Lösegeldforderungen gebe es bislang nicht.Hauptsache wir gehen der Frage aus dem Weg, wieso uns jemand Ransomware aufspielen konnte. Das wäre peinlich, wenn uns das jemand fragen würde. Ein Glück ist auf die Medien Verlass, die springen lieber auf das Angreifer-Narrativ auf als die relevanten Fragen zu stellen.
Gehen Sie weiter! Gibt nichts zu sehen hier!
Für einen Lacher empfehle ich die Homepage des zuständigen IT-Dienstleisters. Ich zitiere mal:
Ich bin mal gespannt, ob jemand die fragt, was "angelehnt" an der Stelle bedeuten soll.
- Unterstützung bei dem Aufbau eines Informationssicherheitsmanagements (ISMS)
- Erstellung von Sicherheitskonzepten (angelehnt an BSI-Standard 100-2) und Umsetzung der Sicherheitskonzepte
Oh na ein Glück. Die kennen sich mit Notfällen aus! Dann haben sie ja sicher ein ordentliches Backup und in zwei Stunden ist alles wieder online!
- Unterstützung bei der Auswahl von Maßnahmen dem jeweiligen Schutzbedarf entsprechend
- Durchführen von Risikoanalysen und Business Impact Analysen (BIA)
- Erstellen von Notfallvorsorge-Konzepten und Notfallhandbüchern
So viel Text und nichts davon dient konkret der Konstruktion eines sicheren Arbeitsumfeldes oder der Abwehr von Angreifern. Das ist eine schöne Repräsentation der "IT-Security" in Deutschland im Moment. Eine metrische Tonne aus Bürokratie und Compliance, aber niemand tut irgendwas konkretes zur Abwehr konkreter Gefahren. Stattdessen "Informationssicherheitsmanagement". Nee, klar.
- Beratungsleistungen zur Umsetzung der Anforderungen gemäß Bundes- und Landesdatenschutzgesetze
- Datenschutzrevision von Verfahren, Anwendungen und IT-Systemen
- Durchführung von Schulungs- und Sensibilisierungsmaßnahmen im Bereich Informationssicherheit und Datenschutz
Lass es mich mal so formulieren: Wenn die tatsächlich Notfallvorsorge-Konzepte gehabt hätten, wären wir jetzt nicht in dieser Situation. Dann hätte niemand mitgekriegt, dass da was verschlüsselt wurde.
Das ist auf allen Ebenen so. Auch bei der Softwareentwicklung denkt man lieber nicht über strukturelle Sicherheit und solide Fundamente und robuste Strukturen nach, sondern man klöppelt halt irgendwelchen Frameworkscheiß zusammen und dann sprenkelt man ein bisschen "Sensibilisierungsmaßnahmen" und "Informationssicherheitsmanagement" darüber, wirft ein paar Code-Analyse-Tools drüber, am besten in der Cloud, und dann schmeißt man die ganzen Warnungen weg, weil so viel davon False Positives sind. Oh warte, ich vergaß: Dann lässt man einen Fuzzer laufen.
Dann wird man gehackt und erklärt: Aber wir haben doch alles getan!!1!
Ich persönlich bin ja schon begeistert über den ersten Satz auf der Webseite von diesem IT-Dienstleister:
Die KSM AöR tritt für einen geeigneten, annehmbaren und technisch realisierbaren Datenschutz ein.HAHAHAHAHA! Da weißte doch direkt, was die meinen. Nee, das ist technisch nicht realisierbar. Was sagen Sie, andere haben das aber realisiert gekriegt? Nee, das geht gar nicht. Glauben Sie uns, wir wissen, was wir tun!
Nun, auf eine Weise stimmt das: Die Großkundenkommunikation hat er komplett unter Kontrolle. Die eine Hälfte läuft über seine Cloud, die andere Hälfte kann er jetzt mit Latenz von einer Stunde runterfahren.
Wenn man darauf achtet, fällt einem das nämlich ganz häufig auf, dass die Leute da draußen alle in der Wahrscheinlichkeitsrechnung geschlafen haben.
Nehmt z.B. die Schweiz. Die hat kürzlich entschieden, dass sie ihre Daten in die Cloud schieben wollen. Das ist ja an sich schon ein kapitaler Fehler, aber darum geht es hier gerade nicht.
Die haben sich gedacht: Wir nehmen einfach mehr als einen Cloudanbieter. Dann müssen wir keinem von denen voll vertrauen.
Das ist ein häufiger Irrtum beim Umgang mit Clouds und Servern.
Nehmen wir an, du hast einen Haufen Daten. Jetzt packst du die eine Hälfte auf Server A und die andere Hälfte auf Server B. Du redest dir ein, dass du jetzt weniger Risiko hast, weil ja bei einem Ausfall nur noch die Hälfte weg ist.
Aber tatsächlich ist es so, dass schon der Verlust der Hälfte der Daten ein Totalschaden ist. Wenn ein Server eine Ausfallwahrscheinlichkeit von 1 in 1000 hat, und du hast zwei Server, dann hast du jetzt eine Ausfallwahrscheinlichkeit von 2 in 1000. Du hast das Risiko für einen Totalausfall nicht gesenkt sondern verdoppelt!
OK, nehmen wir mal anders herum an: Du hast einen Haufen Daten und du packst die einmal komplett auf Server A und einmal komplett auf Server B. Jetzt bist du gegen Hardwareausfall besser geschützt.
Ja, schon, aber was ist denn mit dem Risiko eines Einbruchs? Wieder dieselbe Rechnung. Wenn das Risiko für einen erfolgreichen Hackerangriff in einem der Rechenzentren 1 in 1000 ist, und du hast jetzt zwei Rechenzentren (oder die Daten in zwei Clouds gelagert), dann hat sich damit auch das Risiko für einen erfolgreichen Angriff verdoppelt!
Also nicht ganz. Ich vereinfache das jetzt hier. Wenn das zweimal die gleiche Software ist, dann kann man auch argumentieren, dass ein erfolgreicher Angriff gegen den einen auch automatisch ein erfolgreicher Angriff gegen den anderen ist. Ja, schon, aber was ist mit der Cloudinfrastruktur außenrum? Für die gilt die Risikoverdoppelung immer noch, wenn ein Angriff über die läuft.
Ihr seht schon: Wer bei der Wahrscheinlichkeitsrechnung in Mathe gepennt hat, hat sein Leben lang Nachteile und macht einen Fehler nach dem anderen.
Update: LOL war ja klar. Ich hab das vereinfacht, um nicht noch mehr Leser durch kompliziert aussehende Formeln zu verlieren. Jetzt kommen hier die Spezialisten und korrigieren mich. Na gut, der Vollständigkeit halber.
Prämisse: Ausfallwahrscheinlichkeit der Server ist unabhängig voneinander. Stimmt in der Praxis nicht unbedingt, wenn die nebeneinanderstehen. Dann würde ein Feuer oder Stromausfall beide betreffen.
Dann ist die Wahrscheinlichkeit, dass der linke Server nicht ausfällt, 999/1000. Beim rechten genau so. Die Wahrscheinlichkeit, dass beide Ereignisse auftreten (beide fallen nicht aus) ist damit das Produkt der Einzelwahrscheinlichkeiten, also 999/1000 zum Quadrat. Das ist nach Adam Riese 99.8001%. Umgekehrt ist die Wahrscheinlichkeit, das mindestens einer ausfällt, damit 1,999 von 1000, also fast 2 / 1000 aber eben nicht ganz. Ich fürchtete, wenn ich da genauer werde, verliere ich Leser an die Achse des Guten.
Update: Ich sollte dazu sagen, dass dieser multiplikative Effekt nur bei 2 Servern so nahe an der Plus-Rechnung ist. Bei mehr Servern wird der schnell größer. Rückblickend hätte ich doch direkt die Formel sagen sollen. Mir ging es aber eigentlich um Cloud statt Servern, und da hat man halt keine 500 Clouds sondern eher so 2. Und eigentlich ging es mir auch gar nicht um die konkreten Zahlen (daher auch die absurd hohe Ausfallwahrscheinlichkeit von 1 in 1000) sondern es ging mir darum, dass die Risiken steigen, nicht sinken.
Stellt sich raus: Keine gute Idee.
Ich sage euch, die Leichtigkeit, mit der die Leute ihren Kram in die Cloud schieben, ist immer wieder atemberaubend.
Als ob das nicht dein Problem ist, wenn bei denen dann was kaputt geht!?
Man kann auch eine Menge andere Dinge erkennen. Zum Beispiel: Wenn die Partei dich zur Briefwahl nötigen will, ist genau wie wenn dich eine Computerspielefirma zum "Pre-Purchase" nötigen will. Die wollen gerne, dass du jetzt, wo es außer heißer Luft und billigen Versprechen nichts gibt, die Entscheidung triffst, damit du nicht mehr abspringen kannst, wenn sich vor der Wahl noch rausstellt, dass das alles Lügen waren und die Partei dich nach Strich und Faden verarscht hat.
Soweit ich weiß, ist die per Briefwahl abgegebene Stimme auch tatsächlich bindend und nicht korrigierbar. Korrigiert mich, wenn ich da falsch liege. Aber selbst wenn das nicht so wäre: Wer sich einmal festlegt, ändert seine Position nur sehr unwahrscheinlich. Ein abgegebener Wahlzettel fühlt sich an wie ein Versprechen. Versprechen brechen ist sozial geächtet. Niemand will unzuverlässig sein.
Lasst euch also bitte nicht zur Briefwahl nötigen. Es gibt gute Gründe für eine Briefwahl. Aber "weil die CDU mich drängte" ist keiner davon.
Aber eigentlich ging es ja um Digitalisierung. Der offensichtliche Prüfstein ist: Setzen die Cookies und lügen dir im Terrorbanner noch ins Gesicht, sie täten das für dich und um deine "Erfahrung zu optimieren"? Binden die externe Ressourcen ein? Am besten noch ausländische?
Gucken wir doch mal.
Oh und: Sie setzen einen Cookie. Ohne um Erlaubnis gefragt zu haben.
Inhaltlich ist das natürlich auch grotesk. Die schreiben da ernsthaft:
„Respekt – das ist meine Idee für unsere Gesellschaft. Dafür kämpfe ich mit Leib und Seele, mit Herz und Verstand.“Von dem Olaf Scholz, der Folter für mutmaßliche Kleindrogendealer eingeführt hat. Der lügt uns jetzt was von Respekt ins Gesicht. Unglaublich.
Oh und darunter? "JETZT BRIEFWAHL BEANTRAGEN". Danke. Keine weiteren Fragen.
Die CDU bindet Ressourcen von zwei COM-Domains ein. Einmal von Cloudflare, das ist bei mir in nächster Nähe in Berlin gehostet, und einmal von einem dänischen Anbieter, der bei Amazon US-WEST hostet. Ja, richtig gelesen! Die haben einen externen Anbieter für ihr Cookieterrorbanner, setzen direkt 4 Cookies, bevor man da zustimmen konnte, und dann liegt das Cookieterrorbanner auch noch in den USA. Schlimmer verkacken kann man das gar nicht an der Stelle.
Aber was ist ihr erster inhaltlicher Punkt nach dem Aufmacher-GIF? "JETZT BRIEFWAHL BEANTRAGEN!". Danke. Keine weiteren Fragen.
Was ich bei den Grünen noch auffällig finde:
Hilf uns, den erfolgreichsten Bundestagswahlkampf aller Zeiten vorzubereiten! Wir wollen möglichst viele Erstwählerinnen in der ganzen Republik auf die Wahl aufmerksam machen.Wir sind hier nur an Frauen interessiert. Männer können ruhig CDU wählen gehen.
Wie so häufig stellt sich raus, dass die Linkspartei als einzige nicht Totalversager sind.
Ich versteh echt nicht, wieso die bei den Umfragen nur bei 7% liegen gerade. Ich meine, die Leute sind von Baerbock und Laschet so abgetörnt, dass sie den Scholz in Erwägung ziehen! Aber nicht die Linken!?
Ich frag das ja gelegentlich Leute, wieso die Linken eigentlich nicht mehr Stimmen kriegen. Da kommt dann häufig: Aber die ganzen SED-Kader!1!!
Das ist ein Mem aus den 90er Jahren. Das stimmte damals nicht und stimmt heute erst recht nicht. Wenn euch alte Stasi-Kader sorgen, müsst ihr mehr Angst vor der CDU haben als vor den Linken!
Dann kommt noch häufig: Aber die Klimakatastrophe! Da muss man doch die Grünen wählen! Ach? Ist das so?
Die Linkspartei hat sicher auch ihre Probleme, gar keine Frage. Aber was da so gegen sie vorgebracht wird, das sind keine davon.
Wie verstrahlt die Situation ist, kann man auch gut daran sehen, dass die Leute der SPD, die ihnen Hartz IV gebracht hat, sie zu ewiger Armut und staatlicher Gängelei verurteilt hat, und aus Kohlekumpelstimmfanggründen lieber Kohlekraftwerke betreibt als was gegen die Klimakatastrophe zu tun, dass man DENEN mehr Sozialkompetenz zutraut als den Linken.
Lest euch mal deren Programm durch. Guckt euch mal deren Gesetzesvorschläge an! Wat!?
Der Fairness halber hier noch eine Gegenposition: Mein Kumpel Erdgeist ist frisch nachgeschulter Wahlhelfer, und der findet, dass es dieses Mal mit Covid und den hochkomplexen Wahlzetteln in der Tat kein gültiger Kritikpunkt ist, wenn Parteien ihre Wähler zum Briefwählen nötigen wollen. Er sagt auch, dass man sich nach der Briefwahl nochmal umentscheiden kann. Man muss dann zum Wahlamt laufen und denen die Situation erklären und die invalidieren dann den Wahlzettel und geben dir einen neuen. Würde mich wundern, wenn das irgendjemand wahrnimmt, ehrlich gesagt, denn Briefwahl machste ja gerade, um dir den einen Behördengang zum Wahllokal zu sparen. Wenn du zum Umentscheiden zum Wahlamt musst, dann machste ja unterm Strich sogar Verlust im Vergleich zur Präsenzwahl.
Update: Mir schriebt jemand, dass es die Wahlkampfkostenerstatung ab 1% gibt. Das wusste ich nicht, ich dachte die gibt es ab 5%.
Update: Der Vergleich betraf nur die Homepages. Wenn man da Links folgt, sieht das möglicherweise anders aus und da kommen dann auch bei den Linken Youtube-Videos mit Zustimmungsterrorbanner. Seufz.
Ist ja komisch! Wie konnte das kommen?! Wie, ist das etwa gar nicht sicher, wenn ich unsere Daten in die Cloud hochlade?
Eine Cloud, die von jemandem betrieben wird, der im Massengeschäft ist? Der sich einen Scheißdreck um das Gelingen meines Unternehmens schert? Dem in der Risikoberechnung das Wegkommen meiner Daten ungefähr so viel Schaden verursacht, wie ich ihnen monatlich an Profit einspiele?!
Hätte uns doch nur jemand gewarnt, dass Daten weg sind, wenn ich sie weggebe!!1!
Hey, Atze, wieso hat mich denn keiner gewarnt!?!?
Ich habe das ja noch nie verstanden, wieso Leute auf solche offensichtlichen Abzockmodelle reinfallen.
Das Tech-Modell dieser ganzen Tech-Firmen war doch schon immer, dass sie dich locken, dann einsperren, und dann übervorteilen, wenn du dich nicht mehr wehren kannst.
Auf der einen Seite wird das die Russen freuen. Die müssen jetzt ihre Agenten nicht mehr durch die Tests von der NSA kriegen, es reicht eine Bewerbung bei AWS.
Auf der anderen Seite verlängert das auch den Hebel der US-Regierung gegen Amazon. Wenn die jetzt eine unsittliche Forderung haben, wird Amazon schlecht nein sagen können.
Apple's iCloud service encrypts all data, but Apple has the decryption keys and can use them if there is a warrant. However, nothing in the iCloud terms of service grants Apple access to your pictures for use in research projects, such as developing a CSAM scanner. (Apple can deploy new beta features, but Apple cannot arbitrarily use your data.) In effect, they don't have access to your content for testing their CSAM system.If Apple wants to crack down on CSAM, then they have to do it on your Apple device. [...] If it encounters any CSAM content, it will send the file to Apple for confirmation and then they will report it to NCMEC. (Apple wrote in their announcement that their staff "manually reviews each report to confirm there is a match". They cannot manually review it unless they have a copy.)
Neal beschäftigt sich beruflich mit Fotos und empfängt Uploads von Usern und muss daher auch nach Missbrauchsfotos gucken und die melden nach US-Recht. Und hier wird es dann inhaltlich spannend, denn er hat NCMEC (die US-Behörde, die die Hash-Datenbank betreibt) um eine Liste mit den Hashes gebeten, damit er danach scannen kann.Eventually (about a year later) they provided me with about 20,000 MD5 hashes that match known CP. In addition, I had about 3 million SHA1 and MD5 hashes from other law enforcement sources.Warum sind das so viele? Weil es von demselben Bild verschiedene Bilddateien gibt. Mal mit nem Header davor, mal ohne, mal als PNG, mal als JPEG mit 70% Qualitätsschieber, mal mit 80%. Alle visuell identisch aber andere Bits und daher anderer Hash.In the six years that I've been using these hashes at FotoForensics, I've only matched 5 of these 3 million MD5 hashes. (They really are not that useful.) In addition, one of them was definitely a false-positive. (The false-positive was a fully clothed man holding a monkey -- I think it's a rhesus macaque. No children, no nudity.)OK, dann ist das Problem vielleicht einfach viel kleiner? Nein, ist es nicht!At my FotoForensics service, I typically submit a few CSAM reports (or "CP" -- photo of child pornography) per day to the National Center for Missing and Exploited Children (NCMEC). [...] According to NCMEC, I submitted 608 reports to NCMEC in 2019, and 523 reports in 2020.Da gibt es dann noch ein interessantes Detail. Apple hat in den Zeiträumen bloß 205 und 265 Reports bei MCMEC gefiled. Er kann aber an den Dateinamen seiner Uploads sehen, dass die von Apple kamen, weil die ein eigenes Schema für Foto-Dateinamen haben. Apple hat also eine Menge solches Material, aber meldet es nicht. Er glaubt, weil sie nicht gucken.
Klar können sie das. Das konnten sie seit der Sekunde, in der ihr Geräte gekauft habt, die nicht euch gehören sondern Apple. Wenn ihr die Souveränität über eure Hard- und Software aufgebt, dann seid ihr solchen Übergriffen schutzlos ausgeliefert.
Das war von Minute 1 an klar. Es war schon vorher klar. Leute haben davor gewarnt. Ihr habt trotzdem lieber Apple-Geräte gekauft. Eigenbau-Linux-Projekte, die diese Probleme nicht gehabt hätten, habt ihr verhungern und austrocknen lassen.
Guckt mich jetzt nicht so an als müsste ich euch jetzt vor den Konsequenzen eurer Handlungen schützen. Jetzt steht ihr mal bitte schön ganz alleine auf der Straße und schimpft über Apple. Ich habe euch das gleich gesagt. Convenience war euch wichtiger. Jetzt habt ihr den Salat. Hört also bitte mit dem Herumgememme auf und fresst die Suppe, die ihr euch eingebrockt habt.
Was dachtet IHR denn? Dass Apple anständig ist und sowas nicht bringen würde?! Nachdem sie sich in China den Regierungsauflagen gebeugt haben? So blöde kann doch niemand sein!
Nein. Wir sind jetzt da, wo der Weg die ganze Zeit hinführte. Ihr habt eure Souveränität aufgegeben. Ihr benutzt Prozessoren mit Management Engines, die verhindert, dass ihr auf eurer Hardware den Kopierschutz von Netflix-Videos brecht. Ihr verwendet Computer mit "Sicherheitschips", die verhindern, dass ihr auf eurem Computer booten könnt, was ihr wollt. Ihr benutzt Software, die eure Daten nicht nur nicht schützt sondern in die Cloud hochlädt. Eure Daten sind längst in irgendwelchen Clouds in irgendwelchen Ländern. Die sind schon so oft weggekommen, dass die Preise für persönliche Daten aus Cloud-Hacks inzwischen in Hunderttausenden von Datensätzen angegeben werden.
Ihr gebt irgendwelchen Webseiten euer Geburtsdatum!! What the FUCK?
Apple war bloß der letzte umfallende Dominostein. Eure Souveränität ist schon länger futsch. Ihr konntet euch nur bisher selbst belügen, dass es schon nicht so schlimm werden würde.
Das Verfahren, das sie das benutzen, ist auffallend wenig schlimm. Die haben das sozusagen umgedreht. Man erspielt sich Awards, wenn man bestimmte Hashes vorweisen kann, die nicht öffentlich bekannt sind. Nur dass der Hash halt aus den Bildern berechnet wird und die Awards dann eine Meldung beim FBI sind.
Es werden also weder deine Fotos gegen deinen Willen in die Cloud hochgeladen zum Analysieren, noch läuft da irgendeine freidrehende "KI" und macht Pornoerkennung.
Wobei, eine freidrehende KI soll es wohl auch geben, und zwar um Eltern zu warnen, wenn ihre Kinder Nacktfotos von sich selbst machen.
Ja, äh, schön ist das natürlich alles nicht. Aber von allen Dinge, die Apple hätte implementieren können, ist das am unteren Ende der Schlimmheitsskala. Ich gebe ja Youtube die Schuld. Die haben das Fluttor geöffnet, dass man Dinge automatisiert scannen kann. Damit haben sie die ganze Welt in den Abgrund gestürzt. Jetzt wird alles ständig überall gescannt.
Klar findet das nichts am Ende. So wird das auch hier sein. Die haben eine Datenbank mit Hashes von bekannten Bildern. Angeblich geht es ja hier um die Bekämpfung von Missbrauch. Alte Bilder kursieren lassen ist zwar nicht schön aber da ist der Missbrauch ja schon geschehen und hoffentlich geahndet, denn die Polizei hat die Bilder gesehen und ermittelt und hoffentlich jemanden inhaftiert. Den Missbrauch von Kindern zum Anfertigen von neuen Bildern hält das mit den Hashes hier natürlich überhaupt nicht auf.
Und so ist das am Ende wie immer. Ihr tut so, als ob ihr uns angemessen bezahlt, und wir tun so, als hätten wir für das Geld gearbeitet. Das tatsächliche Lösen des tatsächlichen Problems? Not my job.
Update: Eine Sache fällt noch auf. Die Leute laden ja ihre Backups in die Cloud hoch, inklusive Fotos. Eigentlich würde es ja völlig reichen, wenn Apple in ihrer Cloud die Bilder scannt. Der ganze Aufwand mit Software auf die Geräte schieben, und dann dafür sorgen müssen, dass ein Angreifer auf den Geräten nicht sehen kann, welche Hashes hier gesucht werden, den Schuh hat sich Google gar nicht angezogen. Die scannen einfach in der Cloud rum.
Warum macht Apple das also?
Nun, gibt zwei offensichtliche Erklärungsansätze. Entweder sie wollen hier wirklich Kriminelle finden, und glauben nicht, dass die Cloud-Backup angeschaltet haben. Oder sie planen ihre Cloud-Backups so zu machen, dass sie da gar nicht reingucken können, selbst wenn sie wollten. Kryptografisch wäre das gar kein Problem, und würde auch ihren Kopf aus gleich mehreren Schlingen ziehen. Wenn ich einen Cloud-Backup bauen sollte, hätte ich das von Anfang an so gemacht.
Dass Kriminelle Cloud-Backup abschalten, glaube ich auch. Aber dass es Apple hier tatsächlich um die Kriminalitätsbekämpfung geht glaube ich auch nicht. Da wird jemand vom FBI den Tim Cook zu einem Abendessen eingeladen haben und dem ein paar fiese Bilder gezeigt haben, und dann hat Tim Cook sich bereiterklärt, ein bisschen Placebo auszurollen, damit man sagen kann, man helfe. Vielleicht auch als Pfand für die nächste Iteration gedacht, wenn das FBI mal wieder Hintertüren fordert. Ich glaube ja nicht, dass das funktioniert. Eher anders herum. Wenn man denen einmal einen kleinen Finger hinhält, beißen sie den ganzen Arm ab.
Der Nachteil von verschlüsselten Cloud-Backups ist, dass man dann auch Kunden mit Demenz nicht helfen kann, oder Hinterbliebenen.
New hotness: Medizinische Tests mit Hintertüren verkaufen, um Gendaten zu klauen.
A prenatal test used worldwide sends gene data of pregnant women to the company that developed it with China's military. The U.S. sees a security risk.Es geht hier um Test, mit denen Schwangere das ungeborene Kind u.a. auf Downsyndrom testen können.Ich muss ja sagen: Schweinerei! Was glauben die Chinesen eigentlich wer sie sind? Unsere überlegene westliche DNA in ihre Cloud zu laden und zu analysieren!!1!
Die sollten das machen wie wir hier im Westen. Den Leuten Kleingedrucktes hinhalten, wenn sie in einer Notlage sind, dann ihre Daten klauen und in eine amerikanische Cloud hochladen, und dann alle Verantwortung von sich weisen, denn die Frauen hätten ja auch einfach nicht testen können!!1!
Wie üblich machte man eine Ausschreibung und gab dann dem billigsten Anbieter den Zuschlag.
Das war in diesem Fall Alibaba, ein chinesischer Anbieter. Aus Gerechtigkeitsgründen haben auch IBM, Oracle, Amazon und Microsoft Aufträge gekriegt.
Ein europäischer oder gar schweizerischer Anbieter wurde nicht berücksichtigt.Ja klar, warum auch.
Immerhin erwähnt der Artikel auch den Cloud Act. Auch wenn man dafür am China-Bashing vorbeiscrollen muss. (Danke, Peter)
Bisher ist die einzige Gruppe, die dieses Feature nachfragt, Leute, die ihr Unternehmen in die Cloud geschoben haben, und denen dann auffällt, dass sie eigentlich keinen Grund haben, dem Cloud-Betreiber zu vertrauen. Die wollen dann Schlangenöl zum beruhigen ihrer inkompetenten Schlipsträger haben.
Dann lest Golem (Achtung: Supernervige Cookiepaywall, eigentlich unverlinkbar) über eine Umfrage zur Bundestagswahl. Eine Civey-Umfrage (nie gehört, neuer Umfrage-Discounter?) im Auftrag von Eco (IT-Branchenverband).
Die wollten wissen, ob die Leute mit der Digitalisierungspolitik zufrieden sind. Ergebnis: eher ernüchternd. 70% der Leute haben gesagt, sie sind in keinem Bereich mit der Politik zufrieden.
Ist Deutschland wettbewerbsfähig? Auch eher nicht so.
Ja aber Fefe, das sieht doch alles wie erwartet aus? Wo kommt da das Kotzen ins Spiel?
Hier:
Trotz großer Unzufriedenheit mit der Digitalisierung in Deutschland trauen Bürger der CDU und CSU am ehesten zu, die digitale Transformation erfolgreich zu gestalten.Wat?
Ernsthaft?
DENEN?
Scheuer-Andi?
Die, die das seit Jahrzehnten erfolgreich ausbremsen und die Konzerne erst machen lassen und ihnen dann beim Versagen noch Geld hinterherwerfen, damit sie genug Atem zum weiter-verkacken haben?
DIE?!?
Ganz hinten ist in der Umfrage die Linkspartei. Platz zwei sind die Grünen. LOL
Vielleicht sollte der CCC mal ein Parteien-Ranking veröffentlichen, welche Parteien es geschafft haben, einen PGP-verschlüsselten Kommunikationspfad aufzubauen.
Das wäre für mich eines der entscheidenden Indizien dafür, ob ich einer Partei zutraue, Digitalisierung zu gestalten.
Oder wir gucken kurz selbst. Bei den Grünen und Linken findet man einen PGP-Fingerprint bei überraschend vielen einzelnen Abgeordneten und Kreisverbänden. Bei der SPD weit und breit nichts. Bei der CDU weit und breit nichts. Bei der CSU weit und breit nichts. Mein Muster ist eine Suche nach "parteiname kontakt pgp". Guckt selber.
Besonders humoristisch wertvoll ist die Suche bei der AfD. Da findet man Dutzende Webseiten aber das sind alles Anti-AfD-Watchblogs und so :-)
Die nächste Stufe von Indikator wäre, ob die Partei ihren Server selber hostet. In ihrem Büro. Denn das war mal das Versprechen des Internets. Du hast einen Anschluss, und jeder ist gleichzeitig Sender und Empfänger. Was wir heute haben, dass jeder nur Empfänger ist, und gar eine nicht-routingfähige IP zugewiesen kriegt, das ist eine kommerzialisierte Bastardisierung. Das Ziel einer Digitalisierung von Deutschland muss sein, dass jeder zuhause Glasfaser hat, und wenn er eine Webseite hosten will, dann lässt er da halt nen Mini-Serverchen laufen zuhause an seinem Glasfaseranschluss. Wer seinen Scheiß in der Cloud hostet, dem traue ich nicht zu, dass er Digitalisierung gestalten kann. Der kann nur den Ausverkauf des Landes an transnationale Konzerne gestalten.
Weil heutzutage aus Legacy-Gründen alle hinter einem NAT-Plasterouter hängen, hat croc da noch eine Relay-Infrastruktur in der Cloud.
Update: Link entfernt, weil die Site Fefe-Lesern einen Stylesheet untergeschoben hat. Nein, das ist kein Bug, dass man bei mir externe Stylesheets setzen kann. (Danke, Veit)
Grundsätzlich: Die haben da offenbar einen "Service"-Deal mit Huawei gemacht, bei dem Huawei sich als Admin auf ihren Geräten einloggen kann.
Wenn du deine gesamte Infrastruktur von Huawei kaufst, heißt das halt, dass sie alle Telefonate sehen und vielleicht gar mitschneiden können, die Stammdaten abgreifen, und sogar sehen konnten, welche Nummern gerade von der Polizei überwacht wurden.
Hier ist das "Dementi" von KPN.
Das ist ein so schwaches Dementi, das wäre sogar der CDU peinlich gewesen, das zu veröffentlichen.
Vorwurf: Die können bei euch alles machen und ihr würdet nichts mitkriegen.
"Dementi": Wir haben tatsächlich nichts mitgekriegt.
Was dementiert denn das bitte?! Nichts dementiert das!
Das ist ja an sich schon Popcorn-Kino vom Feinsten, aber darf ich bei der Gelegenheit bitte mal darauf hinweisen, dass sämtliche deutschen Telcos auch alle entweder schon in die Cloud umgezogen sind oder mit Nachdruck daran arbeiten? Telefonica ist vorgeprescht. Die anderen sind angezählt. Was dachtet ihr denn, was das heißt? Dass ausländische Dienste über Admin-Schnittstellen Daten abgreifen und manipulieren können heißt das, und die "Betreiber" merken nichts davon.
Ich freu mich schon auf das "Dementi" von Telefonica, man habe nichts gemerkt.
Die Software wird automatisiert durchgeguckt, ob irgendwelche Regeln verletzt sind (oder Abhängigkeiten nicht aufgelöst werden können), dann wird sie gebaut, dann laufen die Tests durch, am Ende vielleicht noch Code Signing und Hochladen in den App Store oder was auch immer man da haben will.
Teil so einer CI-Pipeline ist heutzutage gerne mal ein "Code Scanner". Das ist der zum Scheitern verurteilte Versuch, Software-Qualitätssicherung von einer Maschine machen zu lassen. Leider versteht die Maschine nicht die Intention hinter der Software und kann daher nur ein paar allgemeine Regeln testen, und auch die häufig mehr schlecht als recht. Ein häufiges Problem von so Tools ist, dass man eine gigantische Liste an False Positives kriegt.
Warum erzähle ich das? Manche Leute machen Code Scanning in der Cloud, als Auftrag an eine Drittfira. Bei einer dieser Drittfirmen ist eingebrochen worden und Code kam weg.
Das ist jetzt nicht so krass wie Solarwinds, weil so eine Testfirma im Allgemeinen keinen Schreibzugriff hat und nicht, sagen wir mal, ein paar Backdoors einpflegen kann.
Aber wenn der Quellcode deines Produktes deine Kronjuwelen sind, und du den Quellcode geheim hältst, dann ist der jetzt halt nicht mehr so geheim wie du dachtest.
Die betroffene Firma heißt "Codecov" und die haben angeblich 29000 Kunden.
Update: Oh, stellt sich raus: Das ist doch noch deutlich schlimmer. Man bindet codecov nämlich laut deren Anleitung wie folgt ein:
bash <(curl -s https://codecov.io/bash)
Und jetzt ratet mal, was die Angreifer dort manipuliert haben.
Das ist ja schonmal grundsätzlich eine ganz schlechte Idee, weil es Signal zu einem Ziel für Scammer macht. Im Moment ist es nur ein Ziel für Geheimdienste. Schlimm genug.
Aber Signal baut nicht nur Payments ein. Nein, nein! Signal baut Blockchain ein.
Das ist der letzte Sargnagel. Ich habe schon aufgehört, Signal zu empfehlen, seit sie dieses desaströse Pin-Update eingebaut haben. Inhaltlich hat das bedeutet, dass sie dein Telefonbuch in die Cloud hochladen. War nicht so klar kommuniziert, aber das war das. Sie machen eine Packung Bullshit-Voodoo über deine Pin, dann verschlüsseln sie damit dein Telefonbuch, und dann laden sie es in die Cloud hoch.
Weil Smartphones sich überhaupt nicht für die Eingabe von Text oder Passwörtern eignen, ist die Pin entweder unbrauchbar, weil man sie nicht eingegeben kriegt, oder sie ist unbrauchbar, weil sie zu wenig Entropie hat und auf dem Server einfach durchprobiert werden könnte.
Und Signal hat diese verkackte Pin nicht Opt-In gemacht sondern einmal allen aufgezwungen. Das war der Moment, seit dem ich Signal nicht mehr benutze.
Aber jetzt? Auch noch ein Blockchain-Bullshit-Sandwich draus machen?
Und nicht mal eine echte Blockchain sondern so ein Voodoo-Handwaving-Hybrid-Schlangenöl.
Ich habe mir das letztes Jahr mal näher angeguckt. Das gesamte Ding fußt auf Intel SGX. Das ist Intels Enklaven-Voodoo-Tech. Laut Signal funktioniert das so: Deren Krypto-Blockchain-Voodooware ist Open Source und du kannst sie selber bauen. Dann kannst du davon eine kryptografische Checksumme nehmen. Dann fragst du einen proprietären unprüfbaren closed-source Cloud-Dienst von Intel, und der sagt dir dann die Checksum von dem Kram in der SGX-Enklave. Dann kannst du sehen, dass die Software unmodifiziert war.
Woher weiß denn der proprietäre unprüfbare closed-source Voodoo-Dienst von Intel in der Cloud die Checksumme von der Software in der SGX-Enklave? Nun, der verlässt sich auf proprietäre unprüfbare closed-source Voodooware von Intel in deiner Intel-CPU (in der Management-Engine, die Intel allen Kunden unausschaltbar aufzwängt) mit SGX.
Ihr merkt schon: Lange hat mich nicht mehr ein Konzept so dermaßen wenig überzeugt. Die Anzahl der Schichten an "guck hier mal nicht so genau hin"-Level Krypto ist atemberaubend. Die Humanisten unter euch werden die Wortbedeutung von Krypto kennen und an der Stelle die Ironie genießen, dass Krypto-Voodoo hier als Flimflam-Zutat für ein Bullshit-Cocktail aus wilden Ablenkungs-Handbewegungen hergenommen wird, das man sonst nur von Hütchenspielern und Bühnenzauberern kennt.
Ach komm, Fefe, werdet ihr jetzt sagen. Intel ist doch vertrauenswürdig! Ach ja? Intel, wir erinnern uns, musste mehrere Milliarden Entschädigung an AMD blechen, weil sie sie mit unfairen Methoden zu behindern versucht haben. Intels Compiler erzeugte jahrelang (bis heute?) Binaries, die auf AMD-Prozessoren künstlich mit angezogener Handbremse liefen. Und DIE sollen jetzt die Grundlage für unser Vertrauen in Signal sein?!
Aber Fefe, sagt ihr jetzt vielleicht, Intel hat doch gar keinen Anreiz für Beschiss an der Stelle!!1! Ach ja, ist das so? Wir reden von einem fucking Payment-Dienst! Wer da bescheißen kann, kann sich anderer Leute Geld überweisen! Da seht ihr keinen Anreiz?!
Nee, sorry. Signal hat über die Jahre eine Menge Vertrauen aufgebaut. Das ist jetzt weg.
Oh, übrigens, erwähnte ich, dass deren "Open Source"-Serverkomponenten seit nem Jahr nicht mehr geupdated wurden? Und auf deren Servern andere Software läuft als was sie im open source-Repo veröffentlichen?
Ja, äh, klar stinkt das, aber komm, wir schmieren da jetzt ein paar Lagen Krypto-Blablah drüber und dann decken wir das mit einer Decke unvertrauenswürdigen Intel-Versprechungen zu. Hier, noch ein bisschen Pseudo-Open-Source-Parfüm drübergespritzt, dann riecht man das gar nicht mehr so!1!!
Ich habe ja neulich schon bei der Meldung zu den hopsgenommenen Krypto-Messengern angedeutet, dass in Zukunft die wichtigste Eigenschaft von Krypto-Messengern sein wird, ob sie auch dann noch vertrauenswürdig einsetzbar sind, wenn die Infrastruktur von schattigen Behörden oder Geheimdiensten oder Kriminellen übernommen wurde.
Alle Messenger, die dich nicht selber Key-Management über QR-Codes o.ä. machen lassen, sind direkt durchgefallen. Dazu gehört leider auch Signal.
Ich persönlich schiebe die Schuld an dieser ganzen Misere ja den Sprallos in die Schuhe, die seit Jahren PGP madig reden. PGP ist die einzige fucking Krypto-Software, die explizit mit dem Ziel entwickelt wurde, dass du nicht dem Netz, nicht der Cloud, nicht irgendwelcher von Dritten betriebenen Infrastruktur glauben musst, sondern zur Not alles zur Hand bootstrappen und betreiben kannst. Diese ganze Hipster-Kacke, die heute unter Krypto läuft, kannst du alles einmal in der Pfeife rauchen. Ja, auch Browser-Krypto. Oder hat jemand von euch schonmal manuell Zertifikats-Hashes im Browser verglichen? Und dann verstanden, dass nächstes Mal ein anderes Zertifikat kommen könnte und man das bei jeder HTTPS-Verbindung einzeln verifizieren müsste eigentlich?
Ja, kommt, ihr Apple-Hipster. Erzählt mir mehr darüber, wie man ordentliche Krypto macht. Aber aber aber Signal ist doch viel einfacher zu bedienen!!1! Ja, der bedient sich sogar ganz von selbst und lädt deine Daten in die Cloud hoch!
Apropos Signal. Lacher am Rande. Bei dem Facebook-Datenreichtum ist ja auch der Datensatz von Mark Zuckerberg drin gewesen. Jemand hat die Telefonnummer in sein Adressbuch eingetragen. Und wisst ihr, was als nächstes passierte? Signal hat ihm gesagt: Zuckerberg ist auf Signal! Connect with him! Wie, ach, das habt ihr gar nicht auf dem Schirm gehabt als mögliches Privatsphäreproblem?
Na sowas.
Sic transit gloria mundi.
Update: Oh, guck mal einer schau. Signal hat gestern abend den Open Source Serverteil aktualisiert. Ein Schelm, wer Böses dabei denkt!
Update: Bei Signal kann man übrigens Kontakte manuell verifizieren. Ja, sogar mit QR-Code. Weiß nur keine Sau, weil das so geschickt in der UI verborgen ist. Haben sie irgendwann nachgerüstet und keiner hat's gemerkt. Man geht in die Kontakte-Liste, dann öffnet man einen Gesprächsverlauf mit jemandem, dann geht man im Menü auf Conversation Settings, dann scrollt man runter, denn diese unwichtige Randgruppenoption ist die letzte in der Liste: View Safety Number. Wenn man da raufgeht, dann kommt ein Screen namens Verify Safety Number. Dann muss man nur noch ein paar Jungfrauen in einem Pentagramm opfern und lateinische Inkantationen sprechen.
Von Amazon?
Nee, von von Microsoft!
So hat sich Oracle das aber nicht vorgestellt, damals als sie Java gekauft haben. Die dachten, sie haben jetzt den Goldesel gekauft. Alle Welt in der Industrie macht ihre lahmarschige Gammelbloatware mit Java. Was da für Support-Kohle zu machen ist! Und Infrastruktur könnte man anbieten!
Und dann kam raus, dass die Leute gar keinen Support im herkömmlichen Sinne brauchen. Die brauchen bloß regelmäßige Security-Patches. Da kannste ja schlecht Geld für nehmen, wenn es das bei Sun alles kostenlos gab.
Bleibt die Infrastruktur. Stellt sich raus: Den Leuten reicht die Kombination von Lutefisk und Amorphophallus titanum, die der Webserver des Apache-Projektes sekretiert.
Hmm, dachte sich Oracle, dann schrauben wir mal an der Lizenzschraube.
Da haben sich die Leute umgeschaut, und gesehen, dass ein paar Lizenzfanatiker frühzeitig die Open-Source-Version von Sun geforkt hatten, die sie Oracle als Giftpille in den Kaffee getan hatten. Und Oracle, die geldgeilen Kapitalisten, die sie sind, hat natürlich gar nichts in die Java-Entwicklung investiert, sodass ihr Scheiß Schimmel ansetzte und OpenJDK vorbeizog und Fakten schaffte.
Oracle kam dann eines Tages auf die brillante Idee, man könnte doch einfach die Arbeit der GPL-Kommunisten nehmen und dafür "Support" anbieten (LOL!) und dann scheißt der Goldesel doch noch Dukaten. So wurde OpenJDK dann sogar offiziell zur wahren, offiziellen Java-Version.
Aber der Goldesel hatte Verstopfung. Also hat Oracle sich gedacht, wenn sie da Lizenzgeraune machen und Support nur noch kurzzeitig zur Verfügung stellen, wer länger will muss zahlen, dann löst sich die Verstopfung beim Goldesel.
Stattdessen bieten jetzt die ganzen Cloud-Provider Java-Umgebungen mit "Support" (HAHAHA) an. Und Oracle guckt schon wieder in die Röhre.
Aber hey, nicht so schlimm. Solange ihre CIA-Datenbank noch Dukaten scheißt, ist das nicht so schlimm.
Wie, wusstet ihr nicht? Dass der Name Oracle von dem CIA-Projekt kam, für das der Scheiß entwickelt wurde? Hier ist der FOIA-Kram dazu (Achtung: Link geht zur CIA). Steht sogar bei Wikipedia. Dreimal dürft ihr raten, wofür die CIA eine große Datenbank brauchte.
Aber wartet mal. Kein Projekt ist so verkackt, dass man es nicht noch tiefer in die Scheiße fahren kann!
Dass der Privatsphärevernichtungs-Techniklieferant Palantir Teil von Gaia-X war, hat die Sache ja schon umgebracht. Hier sind noch ein paar mehr:
Dazu gehören auch diverse Unternehmen aus China und den USA wie Huawei, Alibaba, Haier, Amazon, Google, Microsoft, Palantir und Salesforce.Denn klar, wenn ich an europäische Werte wie Schutz der Privatsphäre und Datensparsamkeit denke, dann fällt mir auch sofort obiges Gruselkabinett aus Nach-Hause-Telemetrierern ein!1!!
Die Idee bei Gaia-X war ja, etwas anderes als Amazon, Microsoft und Google zu haben, wenn man in die Cloud will. Wen nehmen wir rein? Amazon, Microsoft und Google! Salesforce, falls euch das nichts sagt, ist ein Cloud-Service für CRM. Da legen einmal alle nennenswerten Firmen in Deutschland alle ihre Kundendaten ab. Ein US-Unternehmen, versteht sich. Aber ist kein Problem, denn die deutschen Firmen haben ja einen *papierraschel* Auftragsdatenverarbeitungs-Vertrag mit Salesforce geschlossen! Wenn Salesforce also die Daten anderweitig nutzt, dann wäre das … bedauerlich aber dann könnte man da nicht viel machen, fürchte ich. Softwarefehler, wissenschon.
Gaia-X ist also nicht die Wunderwaffe der EU gegen Datenkraken sondern eher sowas wie der Zusammenschluss der schlimmsten Datenkraken. Sowas wie SPECTRE bei James Bond.
Oder wie CDU, BITKOM oder der BDI in Deutschland.
Der Cloudflare-Timeout gestern? Das war mein Aprilscherz.
Aber das Niveau an Paranoia unter meinen Lesern empfinde ich in diesen schweren Zeiten als sehr positiv. :-)
Und keine Sorge. Ich habe keinen von euch tatsächlich zu Cloudflare geschickt, auch nicht für Ressourcen auf der Timeout-Seite.
Wir werden uns vorher chemisch unfruchtbar machen.
A new book called Countdown, by Shanna Swan, an environmental and reproductive epidemiologist at Icahn School of Medicine at Mount Sinai in New York, finds that sperm counts have dropped almost 60% since 1973. Following the trajectory we are on, Swan’s research suggests sperm counts could reach zero by 2045. Zero. Let that sink in. That would mean no babies. No reproduction. No more humans. Forgive me for asking: why isn’t the UN calling an emergency meeting on this right now?Ach komm, wer braucht schon Fortpflanzung. Bis dahin haben wir unser Bewusstsein in die Cloud hochgeladen und leben ewig (oder bis zum nächsten Softwareproblem, was früher kommt).Datenschutzbeauftragter: Behörden sollen unverzüglich auf Microsoft verzichtenDass ich das noch erleben darf!
Begründung:
Zusammen mit dem Landesrechnungshof fordert er "unverzügliches Handeln". Da sich die großen Anbieter bei dem Problem des Abflusses personenbezogener Daten nicht zu bewegen scheinen, "bleibt letztlich nur der Rückgriff auf Open-Source-Produkte, um den Datenschutz und auch die digitale Souveränität der Landesregierung zu wahren".Wie, was? Da fließen personenbezogene Daten ab, wenn man seine Software in die Cloud schiebt?
Meine Fresse, wieso hat uns denn da niemand vor gewarnt?!
Aber der lustigste Teil ist m.E. der hier:
Auffällig ist jedoch, dass die Managementebene ein deutlich höheres Vertrauen in die eigenen Verteidigungsfähigkeiten als praxisnahe Mitarbeiter haben.No shit!
Das ist ja auch kein Zufall, dass die praxisnahen Mitarbeiter gar nicht erst gefragt werden. Wenn man sich vorher informieren würde, wäre man ja danach möglicherweise in der Haftung.
Kritischer Ausfall im Cloud-Dienst Azure Active Directory (AAD) von Microsoft: Nutzer konnten sich wegen eines Fehlers bei der Authentifizierung stundenlang nicht mehr anmelden. Das galt auch für Dienste, die auf der Cloud aufsetzen, unter anderem Microsoft Teams, XBox Streams und Dynamics.Das war für mich ja der größte Kulturschock in meiner Arbeit als Consultant in großen Firmen. Von außen nimmt man da immer an, ok, die Software sieht ganz doll scheiße aus, aber bei denen intern gibt es bestimmt den einen Use Case, für den die sich total super eignet, und wo das alles reibungslos flutscht.
Nein, den gibt es nicht. Das ist intern genau so im Arsch wie extern. Umso erheiternder, wenn den Firmen dann der Scheiß, den sie erst mir als ausfallsicher aufzuschwatzen versucht haben, nicht nur ausfällt sondern großflächig das Produktportfolio besagter Firma mit sich in den Orkus zieht.
Könnte ich mich stundenlang in Schadenfreude ergehen, wenn ich sowas lese.
Die nehmen das mit der Cloud noch wörtlich. Das ganze Rechenzentrum ist jetzt eine Rauchwolke!
Unbefugte haben nach einem Medienbericht 150.000 Überwachungskameras einer US-Firma unter anderem in Krankenhäusern, Gefängnissen, Schulen und Polizeirevieren angezapftSie sagen wohl, sie hätten das Passwort im Internet gefunden.
Da fände ich ja weniger interessant, wo sie das gefunden haben, sondern wieso es "das Passwort" gibt und damit kommt man dann überall rein.
Betroffen sind Unternehmen wie der Elektroauto-Hersteller Tesla und die IT-Sicherheitsfirma Cloudflare.Der Hersteller ist wohl dieses Startup hier. Hätten sie mal ihre Kohle in tatsächliche Security investiert statt in Hochglanz-Webseiten. Deren Slogan ist jedenfalls nicht gut gealtert:
By approaching safety with a software-first approach, we’re making security as seamless and modern as the organizations we protect.Software-first approach, ja? Im Hintergrund hört man ein heiseres Wyle E Coyote Lachen.
Homomorphe Verschlüsselung ist ein Treppenwitz der Informatik. Ich rege mich da seit Jahren drüber auf. Das ist ein Taschenspielertrick, um den Cloud-Vertrieblern zu ermöglichen, den Leuten ins Gesicht zu lügen, man könne seine Datenbank in die Cloud schieben, ohne dem Cloud-Anbieter vertrauen zu müssen.
Ich will das daher mal kurz erklären.
Die Idee ist, dass man die Daten mit absichtlich kaputtgemachten Verfahren "verschlüsselt".
Wieso sage ich kaputtgemacht? Weil die Daten in "verschlüsselter" Form noch vergleichbar sein sollen. Je nachdem welche Verarbeitung man noch machen können will, desto kaputter wird die Verschlüsselung.
Nehmen wir mal an, ich schicke dir und deinem Nachbarn eine verschlüsselte Mail, und in beiden steht der gleiche Text. Dann ist der Ciphertext (die verschlüsselte Version) selbstverständlich unterschiedlich! Das leuchet hoffentlich direkt intuitiv ein, wieso das so gemacht wird. "Das ist derselbe Text, den er auch dem Nachbarn geschickt hat" ist ja Teil des Inhalts, den wir geheimhalten wollen! Weswegen wir überhaupt Verschlüsselung verwenden!
Bei homomorpher Verschlüsselung in der stärksten Version (bei der man nur Gleichheit testen können will) ist diese Eigenschaft aufgehoben. Wenn zum Beispiel zwei Leute das gleiche Geburtsdatum haben, dann kommt in der Datenbank auch das gleiche "verschlüsselte" Geburtsdatum raus. Das ist keine Schwäche sondern gerade das Ziel und Versprechen von homomorpher Verschlüsselung, dass man damit Datenbankoperationen machen kann. Die schwächste Anforderung, die man an Datenbankoperationen haben kann, ist dass man noch auf Gleichheit testen will.
Weitere Stufen, die die "Verschlüsselung" noch heftiger schwächen, wären Kleiner/Größer-Vergleiche. Das wäre für viele Webseiten die Mindestanforderung, weil die ja anhand des Datums gucken können wollen, ob derjenige über 18 ist.
In der Forschung geht es noch weiter, da gibt es auch Modelle, bei denen noch Addition und Subtraktion gehen soll auf den "verschlüsselten" Daten.
Aber Fefe, fragt ihr jetzt, was ist denn daran so schlimm?
Na stellen wir uns doch mal gemeinsam einen Angreifer vor. Der Angreifer hat die Datenbank erfolgreich angegriffen. Wir haben die Datenbank homomorph verschlüsselt, damit er mit den Daten nichts anfangen kann.
Erstes Problem: Der Angreifer will deinen Datensatz finden. Lösung: Dann loggt er sich bei der Datenbank mit deinem Usernamen ein und guckt, welchen Datensatz in der Datenbank der Webserver haben will. Damit hat er deinen "verschlüsselten" Usernamen und den Datensatz.
Problem 2: Als nächstes will der Angreifer deine Kreditkartennummer entschlüsseln. Wie macht er das? Er macht einen anderen Account auf, und trägt dann da eine Kreditkartennummer ein. Wenn die homomorphe Verschlüsselung noch Gleichheit testen erlauben will, dann kann der Angreifer einfach bei seinem Testaccount Kreditkartennummer durchprobieren. Der Webserver verschlüsselt die Nummer homomorph und trägt die in die Datenbank ein. Dort kann der Angreifer die verschlüsselte Version seiner Test-Nummer sehen. Wenn die verschlüsselte Nummer übereinstimmt, hat der Angreifer deine Kreditkartennummer erfolgreich geraten.
Bei allen diskreten Datensatztypen funktioniert dieser Durchprobieransatz. Ist aber möglicherweise nicht sehr effizient. Wenn die Datenbank Vergleiche auf kleiner und größer erlaubt mit ihrer homomorphen Verschlüsselung, ist das Durchprobieren eine Sache von Sekunden, weil man sich per Binärsuche annähern kann anstatt zufällig herumzustochern.
Ja aber Fefe, dass jemand sowohl die Datenbank kopiert und live beobachten kann, welche Anfragen reinkommen, das ist doch ein total unrealistisches Bedrohungsmodell!1!!
Ist es? Ich dachte homomorphe Verschlüsselung sollte dafür sorgen, dass ich die Datenbank in der Cloud haben kann, und nicht dem Cloudprovider vertrauen muss?
Der Cloudprovider kann die Datenbank abgreifen und die Anfragen sehen. Das ist genau das Bedrohungsszenario, für das dieser Scheiß angeblich gedacht war.
Kurz gesagt: Wenn euch jemand homomorphe Verschlüsselung andrehen will, lacht ihn aus. Am besten ins Gesicht. Öffentlich.
Und ich kann nur sagen: Intel setzt ihre Reihe von Innovationen, die sich als Sicherheitslücken herausstellen, auch unter Pat Gelsinger fort.
Schade.
Genau wie Intel Konkurrenz von AMD brauchte, braucht AMD Konkurrenz von Intel. Nicht dass Intel sich jetzt so ins Abseits schießt, dass AMD am Ende das neue Intel wird.
Oh und eine andere Sache, die an dieser Stelle hoffentlich intuitiv klar ist: Wenn der Webserver vor der Datenbank auch in der Cloud ist, dann bringt homomorphe Verschlüsselung überhaupt nichts.
Update: OK ich muss da vielleicht stärker differenzieren. Was homomorphe Verschlüsselung laut wissenschaftlicher Literatur ist, ist Berechnungen auf verschlüsselten Daten, also Addition und Multiplikation. Was homomorphe Verschlüsselung im Marketing ist, ist was ich oben beschreibe.
Wenn man sich komplett darauf zurückzieht, was die Wissenschaft beschreibt, ist es nicht ganz so kontraproduktiv wie ich oben beschreibe. Allerdings lässt es sich dann auch nicht für "du kannst deine Datenbank verschlüsselt in die Cloud tun" nutzen, denn du kannst ja nur Berechnungen durchführen, nicht einen Index auf das Feld haben, denn um im Index einer Datenbank etwas nachzuschlagen, musst du gleich und/oder kleiner-größer Vergleiche haben. Und, Spoiler: Der Index ist, was die Datenbank zur Datenbank macht. Kurz gesagt: Das ist eine Lösung, die noch nach ihrem Problem sucht.
Die Erkenntnis, dass das Frontend dann nicht in der Cloud sein darf, die gilt ja immer noch. Und findet mal das Frontend, das im Moment nicht in der Cloud läuft. Das ist ja gerade der Teil, den du weltweit verteilen willst, wegen der Skalierbarkeit.
Und die Berechnung muss glaube ich noch erfunden werden, die so teuer ist, dass sie teurer ist als die Daten homomorph zu verschlüsseln.
Und, wenn man genau hinguckt: Wieso würde man denn Berechnungen verschlüsselt in der Cloud durchführen wollen, wenn die Datenbank mit den Daten woanders ist? Was ist hier das Business Model? Dass du deine Datenbank unter Tisch stehen hast, aber die Daten darin einmal verschlüsselt in die Cloud exportierst, damit die eine bestimmte Liste von Operationen darauf durchführen können, dir andere verschlüsselte Daten zurückgeben, und die entschlüsselst du dann und tust sie wieder in die Datenbank?
I call bullshit.
Außer ... ja, außer die Berechnung auf den Daten ist "geheim". Das könnte hier das Endgame sein. Das es nicht darum geht, wo deine Daten lagern, sondern dass dir der Laden, der die Berechnungen macht, nicht verraten will, was sie da eigentlich genau berechnen. Sozusagen Algorithm as a service. Wo es nicht darum geht, ob du dem Anbieter vertraust, sondern dass der Anbieter dir nicht genug vertraut, um dir den Code zu geben, damit du ihn auf deinen Daten ausführen kannst.
Für diese krasse Umkehrung des Computing ist die Welt hoffentlich nicht blöde genug.
Inhaltlich sieht das sehr spannend aus, und die Beispiele klingen hervorragend für die Bandbreite. Ich würde trotzdem noch nicht die Sektkorken knallen lassen.
Das ist das Wesen von Machine Learning, dass die Beispiele toll sind. Andere Beispiele sind dann weniger toll.
New hotness: KI in Netzwerk-Switches.
Ich weiß gar nicht, was ich daran grotesker finde. Dass sie das überhaupt machen, oder dass sie da am Ende noch Security draufschreiben.
Wow. Gibt es da niemanden, der den Hebel zieht?!
5,6 Milliarden, das ist fast so viel wie dieser Hedgefunds durch die Reddit-Foristen verloren hat! Wat!?!? Das blutet Google mal eben über ein Jahr raus?
Na kein Wunder, dass Google alle Nase lang vielgenutzte und geliebte Dienste zumacht. Ich habe hier gerade die Warnung gekriegt, dass mein Chromebook keine Updates mehr kriegen wird. Damit ist Google der einzige (!) Marktteilnehmer, der es schafft, einen Webbrowser alszuliefern, der keine Security-Patches mehr kriegt. Microsoft macht es besser, Apple macht es besser, Chromium macht es besser, fucking Mozilla macht es besser! Nur Google hält das für ein akzeptables Geschäftsgebahren, Kunden einfach ins Gesicht zu sagen, sie können die Geräte ja gerne weiter nutzen, wenn ihnen ihre Daten darauf nicht so viel wert sind.
Ja toll, Google, dann wandelt mal euer Geld weiter in Wolken um. Per Verbrennung.
Hier sind ihre Hosting-Anforderungen (Achtung: Hörensagen). Oh, und: Geld dafür bezahlen können sie natürlich nicht. Die haben noch nie einen Cent Profit gemacht.
Warte mal eine Chat-App macht extern 100 GB Traffic pro Minute?! Und intern 400 GB?!?
Tja, meine Damen und Herren. So sieht das Trafficmuster aus, wenn man Netflix-Style ein paar Fantastilliarden Microservices betreibt. Und so sieht der CPU- und RAM-Bedarf aus, wenn man das in Ruby on Rails macht.
Das ist auch der Grund, wieso es PHP noch gibt.
Es ging ja auch das Gerücht um, dass das dezentrale Backup, dass jemand noch kurz vor Rauswurf bei AWS gemacht hat, 70 TB groß ist.
Das ist m.E. ein typisches Cloud-Symptom. Wenn das nicht bei dir sondern bei Amazon wehtut, wieso solltest du dann die Anwendung optimieren? Wenn Storage virtualisiert ist, wieso dann in Sparsamkeit investieren? Die 70 TB kommen wohl daher, dass die nie was gelöscht sondern nur "als gelöscht markiert" haben.
Die Trafficmenge kommt wohl davon, dass die auch Bilder und Videos hatten. Das bläst natürlich die Trafficrechnung enorm auf.
Bei Cloud-Deployments sehe ich häufig so eine Art Assoziationsfehler. Das ist wie wenn man einen Brief voller Grammatik- und Tippfehler dann aber auf hochwertigem Papier ausdruckt, in der Hoffnung, das die Qualität abfärbt. Die Leute schieben stinkenden Scheißcode in die Cloud und malen sich dann aus, dass die angenommene Professionalität der Amazon-Cloud auf die App überspringt. Und in der Tat stinkt das dann ja nicht bei dir im Keller sondern bei Amazon im Rechenzentrum. Es ist viel einfacher, da nicht hinzugucken. Wenn es platzt, dann mietest du halt mehr Server.
So scheint das auch hier gelaufen zu sein.
Verschärfend kommt aber hinzu, dass Parler für die Accountvalidierung verlangt hat, dass man einen Scan einer Photo-ID hochlädt, was in den USA in der Praxis dann der Führerschein ist, der im täglichen Gebrauch eine ähnliche Funktion wie unser Personalausweis erfüllt. Diese ganzen Scans lagen da in der Amazon-Cloud und wurden jetzt von den fiesen Linksextremistenhackerterroristen rausgezogen. So jedenfalls die Gerüchtelage.
Ich kann da nur staunen, muss ich sagen. Dass angebliche Revolutionäre bisher so wenig Kontakt zu repressiven staatlichen Organen hatten, dass sie keine Sorgen dabei haben, irgendwelchen beschissenen Webseiten eine Perso-Kopie auszuhändigen. Und dann da Nachrichten zu posten wie dass der Vizepräsident für seinen Verrat gehenkt werden sollte.
Ich vermute mal, dass diese Daten mehr oder weniger zeitnah bei den Strafverfolgungsbehörden oder dem Secret Service landen werden, die dann entsprechend der Reihe nach die Leute aus dem Verkehr ziehen werden.
Klar, der misst unklar biometrische Daten, aber wenigstens kriegt die Daten nicht Google?
Nun, ich habe schlechte Nachrichten.
Die Wettbewerbshüter der EU-Kommission haben die geplante Übernahme des Fitnessuhren-Spezialisten Fitbit durch den Online-Riesen Google genehmigt.Und wisst ihr, was da mit zu Google zieht? Alle eure Daten!
Tja, äh, hätte euch doch nur rechtzeitig jemand gewarnt, eure Daten nicht in die Cloud hochzuladen, wa?
Ich hatte ja schon erzählt, dass sie ihr FTP-Passwort auf Github in ein öffentlichen Repository eingecheckt hatten.
Stellt sich raus: Das war gut getarnt. Es war "solarwinds123". Wenn das jemand in einem Repo findet, geht er doch mit Sicherheit davon aus, dass das ein Fake-Passwort ist, ein Dokumentations-Stellvertreter. Niemand wäre so dermaßen inkompetent, DAS als Passwort zu nehmen!
Ja gut, aber das FTP-Passwort reicht ja noch nicht, um den Buildserver zu kompromittieren. Oh warte, auch auf dem Buildserver war das Passwort solarwinds123 (war der Updateserver, nicht der Buildserver). Und wenn dir das zu kompliziert ist: Der User "nobody" hat auch Zugang zum Buildserver und wird nicht nach einem Passwort gefragt. (das war ein Missverständnis, damit war Citrix gemeint)
Gut, der CEO muss weg. Keine Sorge, ist in Arbeit. Sein Nachfolger steht auch schon fest:
Sudhakar Ramakrishna, the former chief executive of Pulse Secure.Pulse Secure? Nenn micht altmodisch, aber von einer Firma mit diesem Track Record würde ich niemanden einstellen wollen.Auf der anderen Seite ist das bei Solarwinds wahrscheinlich auch egal. Die hatten die trojanisierten Updates auch Tage später noch auf ihrem Updateserver online.
Lustigerweise hatte Solarwinds als Best Practices dokumentiert, dass man ihren Scheiß beim Schlangenöl ausschließen soll. Nicht dass das Schlangenöl was gebracht hätte, klar, denn die DLLs waren ja digital signiert, und Schlangenöl skippt gewöhnlich digital signierte Dateien. Denn die sind ja digital signiert!1!! (Mal abgesehen davon, natürlich, dass Schlangenöl grundsätzlich nicht funktioniert)
Update: OK da läuft gerade einiges durcheinander. Das war nicht der Buildserver, von dem Reuters berichtet hat, sondern der Updateserver. Das klingt als sei es dasselbe, ist es aber nicht. Der Buildserver ist die Kiste, die den Quellcode nimmt, den Compiler anwirft, Binaries erzeugt, und die dann signiert. Der Updateserver ist ein FTP-Server irgendwo, auf dem die Dateien dann zum Download liegen. Mit dem Passwort zum FTP-Server wäre also geklärt, wie man da Fake-Updates aufspielt, aber nicht wie man eine korrekte digitale Signatur aufbringen konnte. Dieser Key liegt im Allgemeinen nicht auf dem Updateserver. Gut, auszuschließen ist das natürlich auch nicht, bei einer Firma, die "firmenname123" als Passwort nimmt.
Das Statement von Microsoft zu der Nummer liest sich übrigens nochmal deutlich apokalyptischer, die reden da von dem SAML-root-Cert, mit dem man beliebige andere SAML-Tokens ausstellen kann, die dann Zugriff unter einem beliebigen Account auf beliebige Geräte in der Firma haben. Das ist sozusagen der absolut schlimmste denkbare Fall, was jemand in die Hände bekommen kann. Das liegt auch nicht auf dem Buildserver sondern noch weiter hinten in der Infrastruktur. Mit diesen SAML-Tokens kamen die dann nicht nur innerhalb der Firma an alle Infrastruktur ran sondern auch auf alle deren Cloud-Infrastruktur. SAML ist die Basis für Single-Sign-On-Infrastrukturen. Die Tokens sehen dann aus wie normale Tokens. Wenn sowas einmal passiert ist, kannst du auch nicht mehr den Checkins in den Repositories trauen. Laut SEC Filing hatten die Angreifer diese Art von Totalzugriff seit März. Die Firma kannst du nur noch planieren und komplett neu aufsetzen nach sowas.
Im Übrigen gilt das im Prinzip auch für alle Kunden von denen. Denn mit so einer Monitoring-Software würdest du ja alle Server monitoren wollen, inklusive deiner eigenen SSO-Infrastruktur. Im Grunde kannst du da jetzt nur mit der großen Abrissbirne einmal die gesamte Kundenbasis von denen zum Parkplatz machen und dann nochmal von 0 anfangen und neue Gebäude bauen. (Danke, Kris)
Sagt mal, seid ihr auch wegen der Verfügbarkeit in die Cloud gezogen? Ich meine, wenn wir unsere Server selber administrieren, da kriegen wir doch NIE die Ausfallsicherheit hin, die Spezialisten wie die bei Google hinkriegen können!!1!
Update: Ob das die ganzen Leute sind, die nach dem AWS-Ausfall letztens ein Backup für die Ausfallsicherheit haben wollten? Machen wir jetzt Cloud-Kegeln und nächste Woche ist Azure platt?
Update: Das Money Quote dazu kam von der BBC:
Google has been contacted for comment, but one spokesperson said they had been unable to access their email during the outage.
Da willst du doch deine Firmenmails ablegen!!1!
Da gibt es drei wichtige Fragen.
Erstens: Wie kommt man rein?
Zweitens: Wie kommt man die Daten ran, ohne dass es auffällt?
Drittens: Wie kriegt man die Daten rausgeschickt, ohne dass es auffällt?
Gehen wir da doch mal systematisch ran. Wie kriegt man am besten Software in eine Firma? Wenn die Firma das selbst aufspielt! Und was spielen Firmen selber auf? Na Updates für ihre gekaufte Software! Ich erinnere mich dunkel, seinerzeit vor automatischen Updates als Angriffsvektor gewarnt zu haben, aber auf mich hat ja wie üblich niemand gehört. Anstatt Software so zu bauen, dass sie keine Updates braucht, hat die Industrie im Gegenteil auf möglichst viele Updates in möglichst kurzem Abstand optimiert.
Gut, also. Unser Geheimdienst sucht sich also eine Software, die die Firmen eh schon installiert haben, und hackt sich da in den Updatemechanismus rein.
Bleibt die Frage, wie die Malware dann an die Daten kommt? Am einfachsten ist es, wenn die Software, deren Updater wir übernommen haben, selber dafür da ist, an alle Daten ranzukommen. Die optimale Lösung wäre ein Schlangenöl, aber alles, das mit Monitoring zu tun hat, funktioniert auch prächtig. Am besten wäre die Monitoring-Komponente von einem Schlangenöl.
Gut, bleibt die Frage, wie man die Daten aus dem Netz des Opfers rauskriegt. Im Allgemeinen merken Leute nicht, wenn aus ihren Netzen Sachen auch in großem Volumen rausgeschickt werden, außer das Volumen ist so groß, dass der Rest der Anwendungen ruckelt oder Fehler wirft. Aber heutzutage ist so viel Cloud Computing, dass man selbst großvolumige Exfiltration problemlos einfach machen kann, solange die Gegenseite nach einem Clouddienst aussieht, am besten sowas wie Dropbox oder Sharepoint oder Onedrive oder so.
Warum erzähle ich das alles? Genau das ist passiert. Die Monitoring-Software heißt Solarwinds Orion. Über diese Software sind "die Russen" (nein, wirklich!) auch bei Fireeye reingekommen. Fireeye, wir erinnern uns, behauptet, sich mit Security auszukennen. Und setzt dann eine externe Monitoring-Software ein. Und merkt monatelang nicht, wie ihre Daten rausgetragen werden. Und gelten immer noch als Security-Experten!! Nicht nur das, die versuchen das gerade in eine PR-Op umzuwandeln, genau wie Heise damals, als sie von Emotet hopsgenommen wurden.
Was ich an der Stelle mal herausstellen will: Die Industrie setzt gerade in großem Stil auf Code Signing als Lösung gegen Malware. In diesem Fall war die Malware von Solarwinds signiert. Code Signing ist Schlangenöl!
Update: Übrigens, Spaß am Rande: Offenbar gab es da den einen oder anderen Insiderhandel in der Führungsriege von Solarwinds. Hey, von so einer Firma willst du doch deine Monitoring-Software kaufen!
Update: Solarwinds hatte ihre FTP-Zugangsdaten wohl in einem öffentlich Github-Repo veröffentlicht. Also mit so viel Niedertracht bei den Russen konnte ja wohl niemand rechnen. Gehen die öffentliche Github-Repositories durch und suchen nach Passwörtern! Haben die denn gar keine Scham!?!?
Ich habe mich ja schon über die früheren Versuche von Cloudflare öffentlich geärgert, und aus meiner Sicht ist alles, was irgendwo in der Infrastruktur ein Cloudflare beinhaltet, direkt abzulehnen.
Aber ich hab mir das RFC mal angeguckt. Stellt sich raus: Die machen da Onion Routing. Also so ein bisschen. Eine Zwiebel mit nur einer Schicht. Ist wie Tor, nur schlechter.
Nehmen wir mal an, ich will was im DNS nach gucken. Dann hole ich mir aus dem DNS (das RFC liegt bisher nur als Draft vor, und es sagt: ich soll dem nur trauen, wenn es per DNSSEC kam!1!!) den public key von dem Cloudflare-Service. Dann gehe ich zu einem der drei Proxy-Server, der für Europa steht bei Surfnet (in den Niederlanden). Dem drücke ich eine Anfrage in die Hand, über https, aber die Anfrage ist auch nochmal verschlüsselt mit dem pubkey von Cloudflare. Surfnet geht damit zu Cloudflare und Cloudflare hat dazu den private key und kann das entschlüsseln.
Die Idee ist, dass Cloudflare dann nur die IP von Surfnet sieht, nicht von mir.
Cloudflare verschlüsselt dann die Antwort an meinen pubkey, den ich in dem Paket mitgeschickt habe.
Da können wir direkt aufhören, über das Protokoll zu reden. Da steht dann zwar nicht meine IP dran, aber mein pubkey. Das ist genau so eindeutig. Was für Spezialexperten denken sich denn bitte solche Protokolle aus!?
Nun würde man denken, dass im RFC steht: du musst pro Anfrage nen anderen Key nehmen. Steht da aber nicht.
Jetzt stellt sich auch die Frage, wieso da überhaupt ein public key drinsteht. Wir haben ja das Protokoll so entworfen, dass nur Cloudflare die Anfrage entschlüsseln kann. Da hätte ich also auch einfach direkt einen zufälligen AES-Key reintun können und mit dem kommt dann die Antwort verschlüsselt. Der Proxy sieht dann die verschlüsselte Antwort aber sah den Key vorher nicht. Public Key Krypto ist langsam und teuer!
Ich fühle mal wieder alle meine Vorurteile vollumfänglich bestätigt.
Seufz.
Mit so einem gemeinsamen Key kann man übrigens auch "signieren". Machst du ein SHA-256 von den Nutzdaten plus dem Key, den du aber nicht in der Antwort wieder mit rausschickst. Fertig. Sparst du dir auch noch die Signier-Pubkey-Operation.
zu Teams habe ich noch ein Ärgernis aus dem Feldeinsatz, das banal klingt, aber durchaus sicherheitsrelevant sein kann: die Anwendung klaut beim Öffnen den Eingabefokus. Und das ist nicht neu, siehe diesen Post von 2017:Ich hab ja auch schon ein-zwei Mal bei Kunden Slack oder Teams einsetzen sollen und war jedesmal erschüttert, was für ein offensichtlicher Ranzkack das ist. Träge wie Treibsand, produktivitätsvernichtend wie Treibsand, ... wenn es dabei den Blutdruck nicht so hochtreiben würde, könnte man fast von einer Entschleunigung reden und es als Wellness-Maßnahme verkaufen.Szenario: direkt nach dem Windows-Login einen Browser starten, um sich an einer Cloud-Anwendung anzumelden. Während der Passwort-Eingabe öffnet sich Teams etwas verzögert auf einem anderen Monitor mit dem Chat vom Vortag, zieht den Textcursor aus dem Browser-Passwortfeld ab und setzt ihn in seinem Chat ein. Sobald die Return-Taste gedrückt wird, ist die Unterhaltung um ein Geheimnis reicher.
Dieses Szenario ist so unrealistisch, dass es mir schon zweimal passiert ist (ja ja, fool me twice). Ich bin nur froh, dass meine Passwörter aktuell keine Schimpfwörter beinhalten. Man kann den Post zwar nachträglich löschen, aber er verschwindet nicht völlig aus dem Chat, sondern wird eine Weile als gelöscht markiert dargestellt. Alles sehr vertrauenswürdig.
Mir ist ja die ganze Zeit schon nicht klar, wieso irgendjemand seine eigenen Mitarbeiter mit sowas torpedieren würde.
Aber dann hab ich mir gedacht: Vielleicht ist das wie bei Behörden. Da bemisst sich die Wichtigkeit eines Abteilungsleiters ja auch daran, wie viele Leute der unter sich hat. Je mehr desto wichtiger. Das schafft Anreize, mehr Personal zu brauchen. Welche Maßnahme eignet sich besser als das gezielte Ausbremsen der Mitarbeiter durch Sabotagesoftware wie Slack oder Teams? Früher hat man dafür Großraumbüros und tägliche Statusmeetings gemacht, aber das ist ja mit Covid nicht mehr so möglich. Also muss man irgendwie anders verhindern, dass die Mitarbeiter keine komplexeren Gedanken fassen können.
In diesem Sinne: Teams ist das neue Großraumbüro.
Das muss das bescheuertste Geschäftsmodell sein, das ich je gehört habe. Ich fasse mal zusammen.
Sagen wir mal: Ich betreibe eine Firma, die mit Kinderarbeit Covidplutoniumkohle fördert und den Fluss verschmutzt. Das wäre schon toll, wenn ich umweltfreundlicher handeln würde, für uns alle, aber guckt mich an! Ich investiere keinen Cent in Umweltschutz!
Also geht Woz' Firma zu den Baumumarmern und sammelt von denen Geld ein. Das Geld geben sie mir. Denn hey, wenn die Baumumarmer jemandem Geld geben wollen würden, dann ja wohl mir!1!!
Wartet, ist noch nicht fertig!!
Ich dämme mit dem Geld meine Büroräume, um Heizungskosten zu sparen, und tue damit was für die Umwelt. Die Kohle, die ich so einspare, verteilt Woz über Smart Contracts in der Blockchain-Cloud unter den Baumumarmern.
Stellt sich natürlich die Frage, woher Woz weiß, wieviel Geld ich einspare. Wieso würde ich dem die Wahrheit sagen?
Und was ist mit den Umweltschutzmaßnahmen, die nicht zu Kostenersparnis führen? Wie z.B. wenn ich den Kinderarbeitern Schutzkleidung geben würde?
Kurz: Lange nicht mehr so einen Bullshit gelesen. Und ausnahmsweise ist die Blockchain sogar nicht mal der absurdeste Teil des Geschäftsmodells.
Old and busted: Homomorphic encryption (du kannst sorglos Datenbank in der Cloud machen, ohne dass jemand die Daten abgreifen kann).
New hotness: "InstaHide" (du kannst sorglos neuronale Netze veröffentlichen, ohne dass jemand deine Trainingsdaten rekonstruieren kann).
Es gilt halt immer die Faustregel: Wenn es zu gut um wahr zu sein klingt, ist es wahrscheinlich nicht wahr.
Kann sich hier ernsthaft jemand ein Szenario vorstellen, in dem das für die lahmarschige aufgeblasene Chat-Anwendung gezahlt wurde und nicht für die Daten, die die ganzen Unternehmen in deren Cloud hochgeladen haben?
Nach Angaben Amazons vom Mittwochabend sind folgende AWS-Dienste gestört: ACM, Amplify Console, API Gateway, AppMesh, AppStream2, AppSync, Athena, AWS Signer, Batch, CodeArtifact, CodeGuru Profiler, CodeGuru Reviewer, CloudFormation, CloudMap, CloudTrail, Cognito, Connect, DynamoDB, Elastic Beanstalk, EventBridge, Glue, IoT Services, Lambda, LEX, Macie, Managed Blockchain, Marketplace, MediaLive, MediaConvert, Personalize, RDS Performance Insights, Rekognition, Resource Groups, SageMaker, Support Console, Well Architected und Workspaces.Das sind ... was, ca 3% der verfügbaren AWS-Lock-In-Dienste?
Erinnert ihr euch noch, warum wir alle in die Cloud sollten? Das sind Profis, Fefe! Die wissen, wie man sowas macht! Alles ordentlich redundant. Fachleute! Da fällt so gut wie nie was aus!!1!
Microsoft hat die Office-Suite 365 um Funktionen erweitert, mit denen Unternehmen die Arbeitsgepflogenheiten ihrer Belegschaft detailliert beobachten können.Ist ein Softwareproblem. Da kann man nichts machen.
Alternativ: Das hätte wir uns überlegen müssen, bevor wir in die Cloud umgezogen sind.
Hätte uns doch nur jemand gewarnt!
Im Fall der in Wien-Döbling betroffenen Bank geht die Polizei davon aus, dass die Diebe seit Oktober bis zuletzt in vermutlich mehreren Zugriffen Schließfächer leer räumten. Dazu hätten sie das elektronische System, das den Zugang zu der betreffenden Räumlichkeit, den Saferaum, sichert, „überbrückt“.Na sowas! Überbrückt, sagt ihr?
Auch bei beiden Coups in Niederösterreich sollen technische Sperren überwunden worden sein. Von einem gewaltsamen Aufbrechen war nicht die Rede.Wie war das möglich? Na es lag jedenfalls nicht an dem System, so viel ist klar!!1!
Die Sprecherin der Mödlinger Regionalbank, Agnes Gössinger, verwies darauf, dass es sich um ein „mehrstufiges, modernes System“ handle und die Sicherheitsvorkehrungen hoch seien.Mehrstufig und modern, ja? Klingt nach einer Cloudanwendung. Hoffentlich mit Blockchain!1!!
Update: Einer der wichtigeren Hersteller von solchen elektronischen Zugangssystemen wurde im August gehackt.
Benutzt ihr Webex deshalb, weil ihr gehört habt, dass bei Zoom unautorisierte Dritte reinkommen und mithören können?
Nicht authentifizierte Dritte konnten sich in Webex-Konferenzen einklinken, ohne dass sie zu einem Meeting eingeladen wurden. Dabei konnten die Eindringlinge die Konferenzen mithören und -sehen, sprechen und teils auf geteilte Medien zugreifen, ohne dabei in der Teilnehmerliste aufzutauchen - wie ein Geist. Der einzige Hinweis auf den Geist sei ein zusätzlicher Beitritts-Piepton gewesen - der bei großen Besprechungen jedoch häufig deaktiviert werde, schreibt IBM in einem Blogeintrag.Ja gut. Glücklicherweise werden in Meetings ja keine vertraulichen Dinge besprochen.
Sonst hätte man das ja von Anfang an nicht in die Cloud verlagern können, nicht wahr?
Ich meine, so blöde werden die Firmen doch nicht sein, dass sie ihre vertraulichen Besprechungen über jemand anderes Infrastruktur abwickeln? Oder? ODER?
Pass uff, Fefe, wir machen jetzt Secure Boot in der Cloud! Was genau soll da am Ende die Aussage sein?
Ihr versteht schon, dass das per Design eine virtualisierte Umgebung ist, oder? Du glaubst, du redest mit der Hardware, aber tatsächlich redest du mit einem Stück Emulator-Software, die von jemandem betrieben wird, um deine Software zu verarschen. So zu verarschen, dass sie glaubt, sie liefe auf nicht-virtualisierter Hardware.
Wer die Umgebung betreibt, in der deine Software läuft, kann auch einfach so tun als gäbe es da Hardware-Security und dir genau die Hashwerte geben, die du gerne hören wolltest!
Nicht nur das: Einer der Gründe für die Cloud ist, dass man von Hardware-Ausfällen abstrahieren kann. Deine virtuelle Maschine wird einfach auf eine andere physische Hardware umgezogen! So und jetzt denken wir alle nochmal scharf nach, was das für Remote Attestation heißt, wenn sich nach dem Booten die Hardware ändern kann, auf der der Code läuft, aber niemand sagt dem Code Bescheid. Oh, was sagt ihr? Ist alles Bullshit! Bingo! 100 Punkte für die Kandidaten!
Und was war die Antwort der Sales-Kokser? Wir machen einfach Remote Attestation durch den Hypervisor hindurch!!1! Ja, äh, ... tolle Idee! Aber woher weißt du, dass du mit dem TPM redest und nicht mit einem Emulator? Woher weißt du, dass es überhaupt ein TPM in Hardware gibt?!
Ich kläre mal auf. Das erkennst du daran, dass deine Hardware eine Hintertür-Hardware drin hat, die Management Engine, und die kann dir mit einem nur Intel bekannten Private Key signierten Kram geben. Die Signatur kannst du checken, und dann weißt du: Es war Intel. Gut, außer jemand anderen hat den Key auch. Vielleicht die US-Regierung, die übrigens der dickste Kunde ist, den ein Cloud-Provider haben kann, und um den sich gerade AWS und Azure vor Gericht streiten, so wichtig ist der. Interessenskonflikt much?
Ich bin ja auch immer wieder fasziniert, dass die Leute annehmen, wenn sie bei Amazon einen Secure Key Store klicken, dass das dann ein HSM ist. Die Leute hören, was sie hören wollen. Amazon musste ihnen nichtmal ins Gesicht lügen! Sie mussten nur einfach die Details weglassen oder ins Kleingedruckte schieben. Das reichte.
Besser noch! Amazon konnte dann als Zusatzdienstleistung ein Cloud-HSM anbieten (ein HSM ist ein Hardware Security Modul, eine Art Safe mit einem Computer drin, der unextrahierbar den Private Key hat). Ja, richtig gelesen. Ein Cloud-HSM. Mit anderen Worten: Der andere Service ist gar kein HSM. Und glaubt ihr da hätte mal einer der Kunden Fragen gestellt? Nix da!
Dieses Cloud-HSM ist natürlich auch kein HSM. Wozu die Kosten auf sich nehmen. Deine Software läuft auf einer Hardware, die jemand anderes betreibt. Ob da ein HSM dran ist oder nicht ist völlig wurscht. Und das ist eh alles virtualisiert. Woran würde deine Software also erkennen, dass das HSM nur emuliert ist?
Wieso ich hier ewig lang herrumrante? Weil ich gerade über zwei Neusprech-Bomben gestolpert bin. Erstens: Azure Sphere. Zweitens: Der "Pluton"-Chip (*fremdschäm* DER RÖMISCHE GOTT HEISST PLUTO NICHT PLUTON IHR BARBAREN)
So, Trinkspiel. Setzt euch mal hin und lest die beiden Seiten und dann erklärt mir, was die da konkret anbieten. So wie ich das sehe bestehen beide Seiten praktisch vollständig aus nichtssagenden Worthülsen.
Ich zitiere mal zwei Paragraphen von diesem Pluton-Dingens:
Today, Microsoft alongside our biggest silicon partners are announcing a new vision for Windows security to help ensure our customers are protected today and in the future. In collaboration with leading silicon partners AMD, Intel, and Qualcomm Technologies, Inc., we are announcing the Microsoft Pluton security processor. This chip-to-cloud security technology, pioneered in Xbox and Azure Sphere, will bring even more security advancements to future Windows PCs and signals the beginning of a journey with ecosystem and OEM partners.Our vision for the future of Windows PCs is security at the very core, built into the CPU, where hardware and software are tightly integrated in a unified approach designed to eliminate entire vectors of attack. This revolutionary security processor design will make it significantly more difficult for attackers to hide beneath the operating system, and improve our ability to guard against physical attacks, prevent the theft of credential and encryption keys, and provide the ability to recover from software bugs.
Ich hab mal deren peinlichen PR-Fettdruck-Formatierungsscheiß weggemacht. Der eigentlich wichtige Punkt ist im letzten Halbsatz. Das ist, worum es geht. Wir, Microsoft, sehen uns nach 30 Jahren der Investition völlig außerstande, auch nur perspektivisch daran zu denken, jemals Software ohne Sicherheitslöcher ausliefern zu können. Daher haben wir aufgegeben und zwängen euch jetzt einen Chip auf, den ihr nicht kennt, den niemand von euch haben wollte, und dem ihr ab jetzt vertrauen müsst. Glaubt uns am besten einfach, dass wir niemals nie nicht NSA-Backdoors ausliefern würden oder so. Wir sind hier die Guten!1!! Das dient alles der Sicherheit! (Genau wie die ganzen NSA-Programme übrigens)Wie, ihr wollt ein Opt Out? Nee, gibt es nicht. Wir packen den Scheiß direkt in die CPU rein. Damit ihr möglichst keine Wahl habt, haben wir das direkt Intel, AMD und Qualcomm übergeholfen. HAHAHAHA DA BLEIBT NICHT VIEL ANDERES ÜBRIG HAHAHAHA IHR KÖNNT JA BEI APPLE KAUFEN HAHAHAHAHA
Im Hintergrund denkt euch einen Bill Gates, der eine fette Langhaarkatze streichelt.
Wobei. Ich bin da vielleicht ein bisschen vorschnell. Es ist nicht so, dass die Seiten gar nichts sagen. Eine Sache sagen sie: Vertraut uns. Wir arbeiten dran. Was ihr alles an grundsätzlichen fundamentalen unreparierbaren Gründen gegen die Cloud gehört habt, das betrifft nicht unsere Cloud, denn wir haben magischen Feenstaub drübergesprenkelt.
Eines Tages werden wir mehr wissen. Wenn ihr mich fragt: Bestimmt was mit Blockchain und Machine Learning.
Update: Hahaha jetzt kommen hier lauter Einsendungen zu dem Begriff "Pluton". Stellt sich raus: Es gab auch Pluton im Griechischen als Synonym für Hades, dessen Namen man nicht auszusprechen wagte, weil er ja für Tod stand. Wikipedia dazu:
Platon beispielsweise meint, Pluton/Plutos sei durchwegs positiv zu sehen als der Spender von Reichtum
Passt doch perfekt, findet der Einsender. Ein anderer Einsender fand noch eine andere Wortbedeutung, aus der Geologie, wo es für eine besonders tiefe Intrusion geht. Das meint zwar aber eine Intrusion im geologischen Sinne, aber der andere Einsender fand, das passe auch prima für einen "Security-Chip".
Jedenfalls, warum ich das blogge... der Einsender hat auch ein Zitat aus dem Kleingedruckten geschickt, das ich hier mal wiedergeben will:
60% to DJTP for deposit in DJTP’s 2020 General Election Account for the retirement of general election debt (up to a maximum of $2,800/$5,000) or, if such debt has been retired or any portion of the contribution would exceed the limit to the 2020 General Election Account, for deposit in DJTP’s Recount Account (up to a maximum of $2,800/$5,000); 40% to the RNC’s Operating account (up to a maximum of $35,500/$15,000); and any additional funds to the RNC for deposit in the RNC’s Legal Proceedings account or Headquarters account (up to a maximum of $213,000/$90,000).Ein Conman bis zum letzten Atemzug. Die Kohle der Spende für das Bekämpfen von "Wahlbetrug" geht mitnichten in die "Bekämpfung" von "Wahlbetrug" sondern damit zahlt Onkel Donald erstmal seine Schulden ab.Wobei man das ja auch positiv sehen kann. Sonst lässt Donald die Gläubiger einfach im Regen stehen. Hier mal ne Shell Company pleite gehen lassen, da mal ne Privatinsolvenz, ich glaube das ist das erste Mal, dass der überhaupt irgendwas zurückzahlen will. Oder vielleicht tut er ja auch nur so, um den Gläubigern glaubwürdig simulieren zu können, er habe alles versucht.
Ein Einsender schreibt mir gerade::
Unis in Deutschland: Oh nein, völlig überraschend noch ein Online-Semester! Schnell, wir brauchen ein robustes Videokonferenz-System, shut up and take my money *schielt zu Cisco Webex*Daher fragt man für sowas ja auch Leute, die sich mit sowas auskennen.Schulen in Griechenland: Oh nein, völlig überraschend müssen wir wieder Online-Unterricht anbieten, Cisco, schafft ihr das?
Cisco: Kein Proble.. ups.
Ergebnis: WebEx in halb Europa kaputt (vermutlich wegen der plötzlichen, unerwarteten Last, oder wegen des CVEs neulich?):
Alternativen gibt's kurzfristig natürlich keine, aber "Cisco arbeitet an einer Lösung". Ach so, na denn wird ja alles jut.
Übrigens, Lacher am Rande (die Webseite lädt gerade ein bisschen langsam; warum wohl?):
Cisco Webex ist eine sichere, Cloud-basierte Collaboration-PlattformCloud, wir erinnern uns, machte man, damit man auf plötzliche Lastspitzen souverän reagieren kann, indem man einfach Server nachklickt. Und dass sie es wagen, nach dem CVE neulich da noch "sicher" hinzuschreiben, das ist auch echt geil.
Der Einsender verweist auch auf diese langfristigen Pläne der EU. Kapitel 5.1: European Cloud / European Internet.
Da schlagen sie vor, dass Europa ein eigenes Internet und eigene Clouds kriegt. Das sei ja gut für die Wirtschaft und so und man könnte ausländische Dienste draußen halten, die sich nicht an unsere Spielregeln halten. Und dann das hier:
Technologically, it would require a top-level infrastructure, high-speed 5G or a 6G data network and a firewall. Setting up such a network would promote many European companies and therefore boost business and drive innovation.Like the Chinese firewall, this European internet would block off services that condone or support unlawful conduct from third party countries.
Während sie uns vorne was mit Zensur und Menschenrechten ins Gesicht lügen, wollen sie das hintenrum abkupfern.Seid ihr auch so froh, dass wir hier in einer Demokratie leben und nicht in einer Diktatur?
Woran erkennt man das eigentlich? Wahlen haben die in China ja auch.
Nun, jetzt hat sie fünf Feinde.
Die Deutsche Bahn hat die Verlagerung ihrer kompletten Informationstechnik (IT) in die Cloud abgeschlossen, also in ein externes Netz von Rechnern. Zwei Jahre früher als geplant konnten dadurch die eigenen Rechenzentren des Unternehmens abgeschaltet werden.Ja gut, dass die Bahn im Abschalten und Kaputtmachen viel besser ist als im Schaffen oder Erhalten von Infrastrukturen, das ist ja hinlänglich bekannt. Aktuelles Beispiel: Die wollten eigentlich Glasfaser entlang der Gleise verlegen.
In diesem Jahr ist bislang kein einziger Glasfaser-Kilometer zugebaut worden, weil der Vergabeprozess noch gar nicht begonnen hat
Aber das reicht ihnen nicht. Das sind auch die mit dem öffentlichen DNS-Server, der sieht, auf welche anderen Seiten ihr so geht.
Aber das reicht ihnen nicht. Das sind auch die mit dem Pilotprojekt für "verschlüsseltes DNS" mit Mozilla, damit sonst keiner sieht, was sie sehen können.
Und jetzt stellt sich raus: Auch das reicht ihnen noch nicht. Jetzt wollen sie auch noch, dass ihr ihren Cloud-Webbrowser benutzt. Damit sie auch noch sehen können, wo ihr die Maus hinbewegt aber nicht draufklickt, und wie lange ihr auf welcher Seite bleibt.
Gut, man könnte sagen, so häufig wie die ihre eigene Infrastruktur abschießen, da muss man keine großen Sorgen haben, dass nicht auch ihre Datenbanken mit den Datenkrankendaten periodisch gelöscht werden. Aber darauf würde ich mich ja eher nicht verlassen wollen. Browser in der Cloud ist jedenfalls die denkbar dämlichste Idee, die ich in den letzten Jahren gehört habe. Ja, NOCH dämlicher als "wir leiten alle Mozilla-DNS-Anfragen über Cloudflare".
Es ist natürlich auch ein massives Sicherheitsproblem, weil dann alle eure Logindaten für Webseiten bei denen in der Cloud landen und dort abgreifbar sind, für Cloudflare und sonstige Angreifer.
Wo wir gerade bei Datenkraken waren: Stellt sich raus, dass Google Chrome Google-Webseiten gerne mal von Privatsphäreneinstellungen ausnimmt. Uns hat der Benutzer bestimmt nicht gemeint, als er gesagt hat, er will alle Cookies löschen!1!!
Update: Hier kommt gerade noch ein Leserbrief dazu rein, der einen anderen wichtigen Aspekt beleuchtet:
dieser Satz hier (Zitat)
As a result, the only thing every sent to a user's device is a package of draw commands to render the webpage and this also means that the company's new service will be compatible with any HTML5 compliant browser including Chrome, Safari, Edge and Firefox.hat für mich noch eine ganz andere Implikation. Wenn ich den Ansatz richtig verstehe, bekommt der *echte* Browser auf dem so kastrierten Gerät nur noch einen Satz svg.Draw-Kommandos statt der eigentlichen Webseite. Das bedeutet, dass auch alle Meta-Informationen über die Objekte der Seite wegfallen und alles nur noch über Koordinaten, wo der User klickt, laufen muss. Wie sie mit Tastatureingaben umgehen sagt der Artikel nicht. Auf jeden Fall zerschießt ein derartiger Ansatz einmal komplett und rückstandsfrei den Access-Tree einer Seite - nein *aller* Seiten. Das ist der Ort, wo assistive Software heutzutage 95% ihrer Informationen hernehmen um beispielsweise Webseiten vorlesen zu können, Vergrößerung anzubieten oder Navigation in Seitenstrukturen möglich zu machen.
Das ist ein Arbeitsplatz-Zerstörungsprojekt für jegliche Menschen mit einer Behinderung, die ihren PC anders als mit Point and click bedienen wollen oder müssen!
Stell dir nur mal den ersten Arbeitstag für so einen Menschen in seinem neuen Unternehmen vor.
Im Bewerbungsgespräch noch so: "Mit assistiver Technik kann ich, ggf. mit Anpassung, heute ziemlich jede Software schnell und produktiv bedienen."
Vor Ort so: "Dann richten Sie sich mal ein. Gern geben wir Ihnen etwas mehr Zeit dafür. Wir nutzen übrigens Cloudflare for Teams mit Browser Isolation."
Neue Angestellte: "Oh ..." *panischer Blick* "Kriegen wir das irgendwie anders hin?" (Erklärungsversuch)
Vorgesetzte und Personalerin: "..." *tauschen Blicke*
New hotness: Microsoft zerschießt mit Gammel-Updates großflächig ihre eigene Infrastruktur.
Ich hab ja am Anfang dieses Cloud-Trends versucht, das Positive daran zu sehen, und als einziges Pro-Argument fiel mir ein, dass die Cloud-Provider ja jetzt erstmalig ein finanzielles Interesse hätten, dass ihre beschissenen Updates auch durchlaufen.
Da hatte ich offensichtlich die Rechnung ohne den Wirt gemacht. Die können das einfach nicht.
Bis zu dem Zeitpunkt, wo du den Patch in der Hand hast, können Angreifer ja schon von der unterliegenden Lücke gehört und sie bei dir ausgenutzt haben. Eigentlich müsste man bei jedem Patch-Ausrollen auch gleich alle Server neu aufsetzen. Macht natürlich niemand.
Aber das ist ja auch eine kulturelle Frage.
Iteration 1 war der Mainframe. Der wurde so gut wie nie gepatcht. Das war die Generation "never touch a running system".
Iteration 2 war der Server, wie wir ihn heute kennen. "Habt ihr schon alle Patches ausgerollt?" Das ist eigentlich die falsche Frage und führt auch für alle offensichtlich in der Praxis immer wieder zu Problemen wie "keine zwei Server in unserem Hause sind auf genau demselben Patchstand" und "wir können gar nicht sagen, ob wir Untermieter auf unseren Servern haben".
Das ist doch eigentlich eine zentrale Frage, wenn man vertrauenswürdige Infrastruktur haben will. "Haben wir eine Hintertür?" Kannst du auf einem typischen System gar nicht einfach beantworten. Klar, es gibt Ansätze. Früher unter Unix gab es die Idee, dass man Prüfsummen von Systemdateien in einer Datenbank hat, und dann läuft man periodisch herum und guckt, ob die Prüfsummen noch stimmen. Das war eine Revolution damals, das erste mir bekannte Tool hieß Tripwire.
Dann gibt es natürlich einen Haufen reaktiver "Lösungen", die eine Liste von bekannten Hintertüren haben und nach denen gucken. Es ist hoffentlich offensichtlich, dass das alles Theater ist.
So und jetzt zu dem Teil, um den es mir eigentlich geht. Die nächste Iteration. Was könnte man denn machen, um das Problem auf einem fundamentalen Niveau zu lösen?
Naja, eine Backdoor ist ja eine Modifikation einer bestehenden Installation. Wenn man alle Modifikationen verbietet und verhindert, dann gibt es auch keine Backdoors mehr. Stimmt inhaltlich nicht, es gibt auch Backdoors, die auf der Platte nichts verändern und sich nur im RAM aufhalten, aber bleibt mal kurz bei mir.
OK, können wir unsere Server so umstellen, dass die read-only sind? Keine Modifikation am Systemimage? Grundsätzlich ginge das, aber man müsste dann jedesmal ein neues Image bauen, wenn es Patches gibt.
Stellt sich raus: Das kann man nicht nur machen, das kann man vollautomatisch machen! Und es ergeben sich dadurch auch andere Vorteile, nämlich dass man weiß, dass keine Benutzerdaten auf der Systemplatte liegen, die man möglicherweise ins Backup packen muss.
Iteration 3 ist also, dass auf allen Servern (kann man auch mit Client-Systemen machen!) ein unveränderliches System-Image gebootet wird, das automatisiert aus einem anderen System herausfällt. Hat auch den Vorteil, dass man kein Patchrisiko mehr hat. Wenn ein Patch nicht geht, bootet man halt wieder das Image von davor.
Kommt das jemandem bekannt vor? Das ist die zentrale Innovation von Cloud Computing. Dass das "in der Cloud" läuft ist irrelevanter Tand. Amazon hat AWS nicht für andere gebaut, sondern für sich selbst. Dass man das auch verkaufen kann ist ihnen erst danach aufgefallen.
Und das ist, was mich gerade wundert. Dass wir nicht mehr über Iteration 3 reden. Stattdessen halten wir uns mit der Frage auf, ob die den Patch schnell eingespielt haben oder nicht. Und wenn die den Patch schnell eingespielt haben, dann ... *schulterzuck* dann konnte man wohl nichts machen. Ja, äh, doch! Konnte man!
Es gibt da jetzt natürlich eine Menge Detailfragen, die das komplizierter machen als ich es jetzt hier ausgeführt habe. Konfigurations-Management und Datenhaltung sind die beiden großen Dinge. Bei Konfigurations-Management haben viele Organisationen heute schon Automatisierung, aber das ist häufig noch Iteration-2-Automatisierung, die an bestehenden Systemen herumfummelt, sowas wie Ansible oder Chef oder Puppet oder Saltstack oder wie sie alle heißen. Dass jemand tatsächlich automatisiert ein Image mit der Konfiguration eingebacken baut und verteilt, das ist immer noch eine Rarität. Warum eigentlich?
Und was ist mit der Datenhaltung? Die einfache Antwort ist: Die Daten liegen in der Datenbank und/oder dem Netzwerkspeicher (der natürlich so angebunden sein muss, dass man keine Programme von dort ausführen kann). Aber auch hier kann man gucken, ob man nicht das Prinzip der Zurückrollbarkeit anwendet, und seine Daten so ablegt, dass man nichts ändern sondern nur Änderungen am Ende anfügen kann. Wenn es dann einen Angriff gibt, kann der nicht die Daten alle verschlüsseln und mich erpressen sondern er kann nur irgendwas am Ende anfügen. Wenn ich das abschneide, hab ich den Zustand von vorher.
Das ist alles so offensichtlich und so attraktiv, dass ich mich echt frage, wieso da niemand drüber redet.
Das löst das Problem der Sicherheitslücken nicht, versteht mich da nicht falsch. Du kannst immer noch aufgehackt werden und der Angreifer kann immer noch deine Daten raustragen und auf dem Schwarzmarkt verhökern. Das ist ein separates Problem. Auch dafür gibt es übrigens gute Lösungsansätze!
Aber dass auf dieser fundamentalen Ebene die Business Continuity so wenig eine Rolle spielt, das wundert mich echt.
Auf der anderen Seite sind Menschen ja schon immer notorisch schlecht mit der Vorbereitung auf Katastrophen. Das hat ja zuletzt der Warntag gut demonstriert. Niemand nimmt an, dass der Blitz bei einem Gewitter ausgerechnet ihn treffen könnte. Vielleicht ist das auch hier die Erklärung.
Und kommen wir noch mal kurz zu der Sache mit der Backdoor rein im RAM. Nun, die ist beim nächsten Boot weg. Weil das Image immutable ist, kann sich da auch keine Backdoor eingenistet haben. Wenn also ein Citrix-Patch reinkommt und du das Bootimage für die Citrix-Server neu baust und auf die Server verteilst und reinbootest, dann sind auch automatisch alle Backdoors weg.
Ex-NSA-Direktor Keith Alexander sitzt da jetzt im Vorstand. Also ich an eurer Stelle würde da ja sofort alles abziehen, was irgendwie einen Wert hat.
Fragt sich nur wohin. Denn Microsoft hat ja gerade diesen "JEDI"-Monsterdeal mit dem Pentagon unterschrieben und ist auch raus.
Wer bleibt da noch? Google? Die Telekom?!? BWAHAHAHAHA
Ach was erzähl ich hier. Niemand von euch wird bei Amazon oder Microsoft aus der Cloud wieder ausziehen. Einmal dort haben die euch bei den Schamhaaren.
Hätte euch doch nur jemand rechtzeitig gewarnt!1!!
Oh, ich weiß, ich weiß! Die Alibaba-Cloud!!1! Da ist das bestimmt GANZ anders. Null staatliche Schnüffelstellen am Saugrüssel!
Aber was ich über deren Geschäftsmodell verstanden habe, ist dass es auf Lock-In basiert. Sie locken dich mit total super und einfach zu benutzenden vorgefertigten Diensten an, und dann kannst du deine Software nicht mehr zur Konkurrenz schieben, ohne sie von den Lock-In-APIs von Anbieter 1 auf die Lock-In-APIs von Anbieter 2 umzustellen. Die APIs sind natürlich vorsätzlich fundamental unterschiedlich, denn sonst wäre es ja kein Lock-In.
Soviel zur Vorgeschichte. Jetzt lese ich diesen Artikel hier über die Google-Cloud und da geht es im Wesentlichen darum, dass Google ihre Lock-In-Dienste inzwischen so schnell umstellt und die alte Version abschaltet, dass der Lock-In-Effekt verschwindet. Money Quote:
And the thing is, I get these [e-mails about service deprecations] about once a month. It happens so often and so reliably that I have been inexorably pushed away from GCP, towards cloud agnosticism. I no longer take dependencies on their proprietary service offerings, because it actually winds up being less DevOps work, on average, to support open-source systems running on bare VMs, than to try to keep up with Google’s deprecation treadmill.Wow. Das ist hart. Ich bin ja kein Freund von Google aber für so taktisch inkompetent habe ich sie nicht gehalten.Der Autor des Artikels vergleicht das gar mit planned obsolescence, also wenn sie dir ein Gadget verkaufen, das absichtlich nach nem Jahr kaputt ist.
Was machen die noch gleich beruflich?
Oh ja richtig, Router konfigurieren, um die Ausfallsicherheit zu erhöhen!1!!
Mein Blog ist übrigens ganz unausfallsicher auf einem Rechner bei einem normale Hoster gehostet. Und wisst ihr, was passiert, wenn ihr das von weit weg lesen wollt? China oder Amerika oder so? Es geht einfach. Ganz ohne verteiltes Caching. Flutscht.
Höttges ergänzte: "Alles ist Made in Germany. Alle Daten, alle Projekte, alle Clouds liegen hier in Deutschland. Also Deutschland kann Digitalisierung, wenn wir alle an einem Strick ziehen."An einem Strang ziehen heißt das, Herr Höttges. Am Strick zieht der Henker. (Danke, Markus)
Mit anderen Worten: Die müssen mit ihrer Webseite und ihrer Logistik gar keinen Gewinn einfahren. Kein Wunder, dass da keiner mit konkurrieren kann.
Dass AWS bei Amazon die Cash Cow ist, ist schon länger bekannt. Aber das Ausmaß ist ja schon bedrückend.
Ich bin vor allem immer wieder schockiert, wie viele Leute zu AWS gehen, weil sie glauben, sie würden da Geld sparen.
Update: Das kann natürlich auch kreative Buchführung zur Steueroptimierung sein. Die Gewinne werden dann als Lizenzgebühren für AWS, die der Logikstikteil ja auch nutzt, an eine Ltd in der Karibik abgeführt oder so.
Allerdings sind die Symptombeschreibungen aus den USA und Europa subtil unterschiedlich. Vielleicht handelt es sich daher um zwei Ausfälle, die nur zufällig gleichzeitig stattfanden.
Weiß da zufällig jemand genaueres?
Update: Auf einer Pressekonferenz zur Corona-App hat der Telekom-Vorstand angesagt, die 5G-Umstellung sei Schuld gewesen. Das klingt erstmal wie die schlechteste Ausrede aller Zeiten, aber mir hat auch jemand erzählt, wie sie das intern ihren Mitarbeitern erklärt haben. Da klingt die Geschichte so: Die haben versehentlich eine für 5G benötigte Konfiguration frühzeitig freigeschaltet, woraufhin ihnen irgendein Schlangenöl die Infrastruktur runterfuhr, um den "Angriff" abzuwehren, und das hat halt auch die Mobilfunkkunden abgewehrt.
wir sind als Schule zum Schul-Cloud-Projekt vor ca. einem Jahr dazugestossen, als es schon 1.5 Jahre von Pilotschulen "getestet" wurde.Die müssen sehr freundlich getestet haben. Wenn man in die Material-Suche ein %-Zeichen eingetippt hat, war der Server 2 Minuten nicht zu erreichen. Script Injection ging damals so wie man sich das vorstellt direkt über Textfelder. Kurz vor Corona ging es noch (über deren eigenes Interface) durch Einbinden einer script-url in einen iframe in einem img-alt. Seit Corona halte ich mich mit Experimenten zurück, weil es jetzt ja auf einmal wirklich eingesetzt wird (was die Betreiber skalierungsmäßig so überrascht hat wie mich allgemein). Problem ist, dass man Software für Schulen nie als "systemkritisch" gesehen hat, da es immer nur Zusatzspielerei war und wenn eine Uni sowas macht wird das normalerweise ein Studenten-Projekt, dessen Mitarbeiter das "on the job" lernen.
Inzwischen soll es da einen Security-Audit gegeben haben.
Die erste: Das Ticketsystem ist öffentlich einsehbar. Das ist üblich bei Open Source-Projekten. Nur dass sich die Nutzer hier halt mit ihren Realnamen einloggen und minderjährig sind. Ich vermute mal, dass daran einfach keiner gedacht haben wird beim HPI.
Die zweite: Man kann sich da anscheinend auch als unbefugter Außenseiter einen Account einrichten und dann darüber die Realnamen von Schülern einsehen.
Das sind leider häufige Probleme.
"Programmierer" hieß früher, dass man ein Problem hat, und eine Lösung dafür programmiert. Wenn man das nicht kann, dann geht es halt nicht und man läuft nicht rum und behauptet, Softwareentwickler zu sein.
Heute sind alle möglichen Mausschubser als "Programmierer" unterwegs, die aber eigentlich hilflos sind und das tatsächliche Problem gar nicht lösen können oder wollen, und die stöpseln dann halt mit Klebeband existierende Komponenten zusammen. Die leisten dann halt nicht genau das, was gebraucht wird, sondern nur etwas ähnliches.
Ich empfinde das als selbstverschuldete digitale Unmündigkeit und schäme mich praktisch beständig dafür, dass die IT-Branche heitzutage praktisch nur noch aus solchen Leuten besteht. Die Ausreden sind auch jedesmal dieselben. Da kann ICH doch nichts für, dass die Komponente das halt so macht!1!! Für mehr hatten wir keine Zeit (oder: kein Budget)!1!!
Aus der Perspektive von so einem Blender-Typen, der nur anderer Leute Arbeit remixt, ist das ja vermutlich auch eine akkurate Einschätzung.
Mein Eindruck war nur, dass das HPI sich da gerne anders präsentieren wollte bisher.
Da sind die Zweifel jetzt ausgeräumt.
Eine Sache will ich da mal ganz klar ansagen: Das waren noch keine Sicherheitslücken im Programmier-Sinne. Das waren eher Konfigurationsfehler. Es wird wahrscheinlich noch dauern, bis die Programmierfehler gefunden werden.
Symantec "Endpoint Protection" ermöglicht Privilege Escalation.
Dann schrieb mir ein Leser, dass die Symantec Cloud down war. Das ist lästig, wenn man seine Mail dort durchleitet. Wie das z.B. Otelo macht, schreibt der Leser.
Oder vielleicht verwendet ihr ja nicht Symantec sondern Trend Micro: Über deren Rootkit-Entferner kann man Rootkits installieren.
Boos hofft darauf, dass Apple und Google auch für zentralisierte Apps eine Schnittstelle bereitstellen [… wollen die aber nicht, weil das totalitären Staaten Tür und Tor öffnet …] Chris Boos sieht ein solches Vorgehen als Erpressung, spricht davon, dass Google und Apple demokratischen Regierungen nicht vorschreiben sollten, wie sie ihre Apps entwickeln.OK. Letztes Mal wollte ich mich zu Boos noch nicht allzu negativ äußern, weil ich über den nichts wusste. Aber jetzt reicht mir das. Der Typ betreibt eine Firma, die der Politik seit Jahren KI als Allheilmittel reinzuschlangenölen versucht. Die Entscheidung der App sehe ich daher als Profitmaximierungsabsicht für sein Geschäftsmodell. Jetzt so zu tun, als sei das die Entscheidung einer demokratischen Regierung (die haben aus mir völlig unerfindlichen Gründen eben nicht entschieden sondern Leuten wie ihm die Entscheidung überlassen, unter der Annahme, dass er sich nach dem Wohl der Bevölkerung richten würde), ist aus meiner Sicht mindestens irreführend wenn nicht gar offen gelogen.
Das sagt er auch selber:
Boos sagt dazu, dass mit einer zentralisierten App mehr epidemiologische Daten bereitstehen würden, mit denen Institutionen wie das Robert-Koch-Institut arbeiten könnten.Ja nee klar. Oh und ... wer noch? Ja richtig! Seine Firma, die zufällig KI-basierte Automatisierungslösungen für Big Data in der Cloud anbietet!
Ich unterstelle dem nicht Bösartigkeit. Vielleicht merkt der das gar nicht selber. Wer einen Hammer hat, für den sehen alle Probleme wie ein Nagel aus. Aber offensichtlich hätte man dieses Konsortium in die Hände von jemandem geben sollen, bei dem das Problemfeld noch andere Dimensionen als "wie kriege ich möglichst viele Daten für meine Auswertungen" hat.
Es ging damit los, dass jemand meinte: Hey, wir brauchen eine App.
Da war die Sache eigentlich schon klar.
Ich weiß nicht, wer das war, aber ich vermute einen bekloppten Big-Data-Sprallo, der mal eine Familienpackung KI-in-der-Cloud-Bullshit an den Steuerzahler verkaufen wollte.
Ich hörte das Gerücht, dass es Hans-Christian Boos war. Ich hatte mit dem noch nie was zu tun, insofern kann ich nicht einschätzen, was der kann. Aber seine Selbstdarstellung checkt einmal alle Boxen. Da muss ich echt aktiv meinen Würgreiz unterdrücken, wenn ich das lese. Oh und er ist im Digitalrat der Bundesregierung. Das spräche gegen die Kompetenzvermutung. Aber wer weiß, ich kenn den nicht. Und ich hörte, der sei eigentlich schon eher einer der Guten, nur halt irgendwie komisch sozialisiert mit seinem Big-Data-KI-in-der-Cloud-Scheiß.
Aber gut, ignorieren wir mal, aus welcher Ecke das kommt. Ergibt das denn inhaltlich Sinn, wenn wir die Bewegungsdaten tracken?
Naja. Kommt drauf an. Man könnte sich da Szenarien vorstellen, wo sagen wir mal jemand merkt, dass er infiziert ist, und man dann bei den Handydaten mal guckt, mit wem der so Kontakt hatte in den letzten zwei Wochen. Dafür würde es reichen, wenn dein Handy ein Profil speichert und nach zwei Wochen immer rausaltert. Man will ja in der Situation auch selber Menschen retten, an deren Ansteckung man beteiligt war, insofern würde es reichen, wenn das freiwillig stattfindet und die Daten überhaupt nur entschlüsselt werden, wenn der Eigentümer des Geräts zustimmt.
Aber, wenn ihr mal genau hinguckt: Das ist nicht das Modell, um das es hier geht. Die Debatte geht darum, ob man die Daten zentral (d.h. auf einem Server der EU) speichert oder dezentral (jedes Land hat eigene Server). Kein Mensch redet von einer Variante, wo die Daten auf deinem Handy bleiben.
Also muss ein anderes Szenario gemeint sein. Wenn man da mal ein bisschen guckt, findet man nur so Big-Data-Allgemeinplätze und Forschungsinteresse, die so neutral wie Strömungsmechanik in Gewässern formuliert werden.
Aber nehmen wir mal an, das hätte alles Hand und Fuß.
Grundsätzlich klingt dezentral ja schonmal besser als zentral. Es gab da einen Vorschlag für eine Plattform namens "PEPP-PT" (was für ein bekloppter Name!), wo die Daten landen. Und da gab es einen Untervorschlag namens "DP-3T", der zumindest von den Zieldefinitionen her klang, als wäre da jemand am Datenschutz interessiert. Der verschwand dann plötzlich vor ein paar Tagen von der Webseite von PEPP-PT, und die Leute, die den eingereicht hatten, waren anscheinend genau so überrascht wie die Beobachter von außen. Die sprangen daraufhin von dem Projekt ab, wie auch das Helmholtz-Zentrum. Und jetzt stehen alle vor den Trümmern und keiner will es gewesen sein.
Fakt ist, dass alle Vorschläge für eine App, die Bewegungsdaten sammelt, sehr kritisch gesehen werden müssen, weil das Missbrauchspotential so enorm ist.
Auf der anderen Seite sehe ich aber auch überhaupt keinen Anlass für die Annahme, dass die den Rest hingekriegt hätten. So eine App hätte ja noch andere Parameter. Wie sie sich z.B. auf die Akkulaufzeit auswirkt, wieviel Daten das verschickt, wer für die Übertragung der Daten zahlen soll, wer den Speicher betreibt, etc. Und so eine App wird ja auch gerne mal vom OS gekillt, wenn sie keine interaktive Komponente hat und der Benutzer gerade andere Dinge tun will, oder wenn sie zuviel Strom verbraucht hat.
Kurz gesagt: Hängt euch mal nicht am Datenschutz auf. Da kann man noch viel mehr Dinge verkacken. Und so wie es im Moment aussieht ist das so ein fraktal verkacktes Ding wie BER. Egal wo du konkret hinschaust: alles ist vergiftet.
Was ist denn z.B. wenn jemand an ein paar alten Leuten mit Vorbelastung vorbei geht, die aber kein Handy haben? Oder deren Handy ist aus weil der Akku alle ist? Oder die haben noch ein Uralt-Gerät ohne Apps und Bluetooth?
Ich persönlich halte die ganze Debatte ja für Ablenkung. Damit ihr das Gefühl habt, es geschieht was. Denn wenn ihr nicht das Gefühl habt, dass was passiert, stellt ihr möglicherweise den Rest des Maßnahmenkatalogs in Frage, und das wäre Scheiße für alle. Daher simulieren sie jetzt vor euren Augen ein neues Maut-Debakel.
Gehen Sie weiter. Hier gibt es nichts zu sehen.
Nee, warte, gehen Sie nicht weiter! Bleiben Sie drinnen!
Update: Ihr wisst, dass ich Recht habe, wenn sie das jetzt nach Strich und Faden verkacken, und dann sagen, die Datenschutzanforderungen seien Schuld gewesen. Dann wisst ihr, dass sie euch dreist ins Gesicht lügen.
Update: Das ist auch eine gute Gelegenheit, nochmal die CCC-Prüfsteine für solche Apps zu verlinken.
Update: Für die Nicht-Techniker unter euch: Habt ihr schonmal Bluetooth-Discovery in eurer Wohnung gemacht und Drucker oder Fernseher des Nachbarn gesehen? Das Problem wird auch diese App haben. Das sorgt dann für eine Tonne False Positives in der Datenbank und könnte dem ganzen Projekt das Genick brechen.
Update: Ein Leser hat mich noch auf diesen offenen Brief hingewiesen, den einmal alle Forscher mit Rang und Namen in dem Bereich unterschrieben haben. Inhalt:
Thus, solutions which allow reconstructing invasive information about the population should be rejected without further discussion.
Update: Es gibt da noch ein paar Gerüchte gerade. Eines ist, dass die Bundesregierung erkannt hat, dass das nur mit einem Vertrauen-Sie-Uns-Siegel der Datenschützer von der Bevölkerung angenommen wird, und haben daher angesagt, dass das von Datenschützern auditiert werden muss. Die Datenschützer haben daraufhin gesagt, dass sie nur Lösungen auf Compliance auditieren können, wo die Daten zentral (oder von mir aus auf mehrere Locations verteilt aber jedenfalls nicht P2P!) lagern. Und damit fielen dann die P2P-Ansätze direkt raus. Im Übrigen ist auch völlig unklar, was eigentlich "dezentral" bedeutet. Jedes Land macht was eigenes? Verschiedene Organisationen haben eigene Server? Ganz eigene Software vielleicht? Nichts genaues weiß man nicht!
Ich bin mir ja sicher, dass das überhaupt nur mit Blockchain lösbar ist. Was das für Forschungsmittel freimachen würde!!1! *sabber*
Update: Das PEPP-PT-Konzept findet ihr hier, falls ihr mal nach den besonders schlimmen Stellen suchen wollt. PEPP-PT selbst ist anscheinend ein Fraunhofer-Forschungsmittel-Acquise-Projekt. Die haben erstmal alle Institute mit reingeholt, die nicht bei drei auf den Bäumen waren. Ich weiß ja nicht, wie es euch geht, aber bei Fraunhofer werde ich hellhörig. Besonders bei einem Projekt, wo es um meine Privatsphäre geht. Und wenn ich dann "vertrauen Sie uns" höre. Nein, Fraunhofer. Tue ich nicht.
Lustigerweise gibt es da noch dieses Detail:
Laut BS wurde die App vor der Veröffentlichung einem Security-Audit unterzogenDas ist bemerkenswert. Denn das ist so ziemlich das erste, was ein Pentest ausprobiert, und worauf man beim Source Code Audit einer App guckt.
Immerhin scheinen die Auswirkungen nicht so krass zu sein wie das jetzt klingt, weil die übertragenen Daten immer noch auch Ende-zu-Ende-verschlüsselt sind, sagt der Hersteller.
New hotness: Googles Cloud ist voll.
Heute ist dann wohl der Tag, wo die Leute merken, dass der Schlüssel zu skalierbarer Leistung nicht "dann kaufen wir halt mehr Server" ist, sondern "wir achten darauf, dass das Teil wenig Ressourcen braucht".
Update: Microsoft will jetzt Office 365 drosseln. Das ist ja auch ein Vorbild an Sparsamkeit und Zurückhaltung, dieses Office 365. Hey, ich habe einen Vorschlag. Schaltet doch mal für ein paar Wochen die Telemetrie ab! Ihr werdet euch wundern, wieviel Kapazität dann plötzlich wieder frei ist!
Update: Nach "Start Me Up" zur Einführung von Windows 95 gibt es jetzt wieder einen Stones-Song für Microsoft :-)
Die gehen dann bald nicht mehr.
Weil, äh, der Cloudserver abgeschaltet wird. (Danke, Jens)
Meldung 1: Tech von NSA-Mitarbeitern soll eure Browser absichern, sagt McAfee. Warte mal, McAfee? Die, die gerade mal wieder mit heruntergelassenen Hosen erwischt wurden? Die, auf die sich das Kammergericht Berlin verlassen hatte, um dann festzustellen, dass sie verlassen waren? Ja, genau die!
Meldung 2: Die Telekom macht jetzt auch Security! Ergebnis:
Bei einem Softwareupdate der beiden betroffenen Routertypen habe man versucht, die Geräte gegen eine neue Angriffsart abzusichern. "Durch diese Implementierung werden ungewöhnlich kleine Netzwerk-Pakete, die häufig bei bestimmten Angriffen verwendet werden, vom Router ignoriert", heißt es in dem Statement.What the FUCK? Kleine Pakete? Soll das ein Scherz sein? Wisst ihr, welche Pakete klein sind? DNS! Signalisierung von TCP! Ping!
Erst nachträglich habe sich herausgestellt, dass diese Art von Datenpaketen nicht nur von Angreifern, sondern auch von den Onleihe-Servern sowie einigen älteren IoT-Geräten verwendet würden.Ja, äh, NO SHIT, SHERLOCK!
Meldung 3: IOTA wurde final zerstört, haben das eh schon verspielte Vertrauen endgültig verspielt (oh und Bonus: Cloudflare war involviert!). Und in der Mitte des Artikels? "Lesen Sie auch: IOTA - die nächste Generation der Blockchain?"
Srsly? Hey, Heise, fällt euch das nicht selber auf, wie lächerlich ihr euch da macht?
Jedenfalls sagte der Anwalt das hier:
“Security is Clearview’s top priority,” he said in a statement provided to The Daily Beast. “Unfortunately, data breaches are part of life in the 21st century. Our servers were never accessed. We patched the flaw, and continue to work to strengthen our security.”Ja, meine Damen und Herren, da haben Sie es. Daten kommen im 21. Jahrhundert halt weg. Da kann man nichts machen. Komm, wir müssen noch ein paar mehr Daten einsammeln und in die Cloud hochladen. Wenn man da eh nichts machen kann, dann sollte man da auch die falsche Zurückhaltung aufgeben. (Danke, Simon)
Na immerhin kriege ich die "bestmögliche Nutzererfahrung" auf eurer Seite, wenn ich sinnlosen Cookies zustimme. Und ihr verratet meine Metadaten direkt an ausländische Datenabschnorchler wie Cloudflare. Danke, BMWI! Das ist alles, was ich mir von eurer Digitalkompetenz erhofft hatte!
Ich zitiere mal diesen Artikel hier:
Die Bundesregierung will Internetdienste nicht zur Herausgabe von Passwörtern im Klartext zwingen. Das geht aus dem Gesetzesentwurf zur Bekämpfung des Rechtsextremismus und der Hasskriminalität (PDF) hervor, der am 19. Februar 2020 vom Bundeskabinett in Berlin beschlossen wurde. Darin ist weiterhin vorgesehen, dass Internetdienste die Passwörter und andere Nutzerdaten herausgeben müssen, um den Zugriff auf Endgeräte oder Clouddienste zu ermöglichen.Merkt ihr sowas nicht selber? Habt ihr kein Lektorat?
Oder raucht ihr euch da gerade durch eure Katastrophen-Vorräte an Tranquilizern? Angesichts der Sachlage hätte ich vollstes Verständnis.
Update: Golem hat im Artikel ohne Kennzeichnung als Update ein "gehashte" reineditiert und tut jetzt auf Twitter so, als sei ich hier der Besoffene. Classy, Golem!! Da hab ich euch wohl falsch eingeschätzt. Schade, denn unseriöse Anbieter haben wir eigentlich schon mehr als genug.
Dazu kommt, dass viele Entwickler selber dick Internet haben, und es daher nie nötig fanden, ihre externen Modul-Downloads zu cachen oder anderweitig dafür zu sorgen, dass da nicht zu viele Fetches auf einmal aufschlagen und die Infrastruktur plattmachen.
Das ist für viele Open-Source-Projekte ein Problem, die ihren Scheiß selber hosten, und ist einer der Gründe für den Erfolg von github und co. Dann trägt die Kosten der Plattformbetreiber.
Ich spreche das an, weil npm jetzt Rate Limiting eingeführt hat. Das Ergebnis ist genau das, was ihr jetzt vermutet: Den ganzen "viele Dependencies sind ein Zeichen für ausgereiften Code"-Deppen platzen jetzt ihre Buildprozesse wegen mysteriöser "du machst zuviele Zugriffe"-Fehlermeldungen.
Wer also auf einen guten Moment für einen spontanen Ausbruch an Schadenfreude gewartet hat: Hier ist er! :-)
Update: Wir haben ein Bekennerschreiben von ... Cloudflare! MWAHAHAHA
Das Pentagon hatte doch einen monströsen Cloud-Deal ausgeschrieben, im Wert von zweistellig Milliarden Dollar. Unfassbar viel Geld. Amazon hätte es als Platzhirsch normalerweise gekriegt, aber Jeff Bezos hat ja mit ein paar Münzen aus seiner Sofaritze die Washington Post gekauft, und die mag den Trump nicht so. Der Trump mag die auch nicht.
Also hat Trump persönlich interveniert, in seiner Rolle als Oberbefehlshaber des US-Militärs, und hat denen gesagt, sie sollen lieber bei Microsoft Azure kaufen. Das jedenfalls glaubt Amazon, und gänzlich absurd ist die Vorstellung ja nicht.
Jedenfalls hat Amazon dann angefangen, vor Gericht herumzustänkern. Und jetzt? Jetzt hat ein Bundesrichter entschieden, dass die Arbeit am Pentagon-Azure erstmal gestoppt werden muss.
Stellt euch mal vor, ihr arbeitet bei Microsoft an Azure, und dann kommt so ein vergifteter Auftrag vom Pentagon rein. Ihr würdet gerne glauben, dass ihr den gekriegt habt, weil euer Angebot besser war. Und war es vielleicht auch. Das muss gerade echt für alle eine Scheißsituation sein. Außer Trump. Der badet ja gerne in Fäkalien, den stört der Gestank nicht.
Doch das Gegenteil ist der Fall: Die Lizenzmodelle der Software-Heinis werden immer grotesker. Die Datenbank- und VM-Hersteller wollen auch noch pro Core bezahlt werden, und sägen damit an dem Ast, auf dem sie sitzen.
Eigentlich müsste man angesichts dieser Frechheit eine Völkerwanderung zu Open Source beobachten. Tut man auch, aber anders als ihr annehmt. Nicht die Enduser benutzen alle Open Source, sondern die kommerziellen Software-Heinis benutzen alle Open Source. Ja genau. Die, die euch dann pro Core Lizenzkosten aufdrücken wollen. Die benutzen intern selber alle Open Source. Denn wer wäre schon so blöd und zahlt pro Core, amirite?
Ich bin ja eh immer wieder erstaunt, dass es kommerzielle Datenbanken wie SQL Server und Oracle überhaupt noch gibt. Früher konnte man sich da was zurechtlegen von wegen "das skaliert bestimmt besser", aber geht doch mal gucken, was die Cloud-Leute für Datenbanken anbieten. Postgres! Die, die beruflich mit Skalierung zu tun haben, die nehmen Postgres. Die, die Skalierung nur vom Golfplatz kennen, wenn sie anderen CEOs vorlügen, wie fortschrittlich ihre IT ist, die nehmen kommerzielle Datenbanken.
Aber aber aber Fefe, das ist bestimmt eine Supportfrage! Wer ordentlichen Support haben will, der kauft beim Marktführer! Wer das sagt, hat offensichtlich noch nie einen Supportfall bei einem Marktführer in Anspruch genommen. Wie man da behandelt wird, das ist unter aller Kanone. Denn die haben euer Geld ja schon an der Stelle. Wieso sollten die euch mit Respekt behandeln? Ihr seid ja schon im Lock-In gefangen und habt den langjährigen Knebelvertrag unterzeichnet! Und wieder: Die, bei denen die Supportkosten wirklich Einfluss auf die Profitmarge haben, die Cloud-Leute, die nehmen lieber Postgres.
Und die nehmen auch nicht VMware sondern lieber Linux-Container und Kubernetes.
Gut, das konnte bei den Monolithen am Anfang auch niemand. Aber da gab es eine realistische Chance. Jetzt nicht mehr.
Und dazu kommt, dass du am Ende mit einem Dutzend YAML-Dialekten zu tun hast, alle subtil unterschiedlich.
Für CI-Pipelines gilt Ähnliches. Die wirken im Allgemeinen auch komplexitätsverstärkend. Ich mache ja Code Audits bei Kunden, d.h. ich muss den Code nur lesen können, nicht bauen. Wäre natürlich schöner, wenn ich den auch bauen könnte. Aber das haben, wie sich rausstellt, praktisch alle Kunden schon vollständig aufgegeben.
Dafür müsste man mir in der Cloud eine Kopie der CI-Pipeline konstruieren. Und die durchblickt niemand mehr. Das ist völlig unrealistisch. Welche Präprozessor-Symbole gesetzt sind? Äh ... keine Ahnung? Wir wissen nur, dass wir hier clicken, und am Ende fällt ein Binary raus. Wir verstehen nicht mal genug, um die Fehlermeldungen der Pipeline und des Compilers auszuwerten.
Da lobe ich mir echt das GNU-Projekt und die BSDs, die ihre Buildsysteme auf einen gemeinsamen Standard normiert haben. Schade nur, dass die sich nicht auf denselben Standard einigen konnten.
Meine Zielvorstellung wäre ja, dass du in jedes Verzeichnis gehen kannst, make aufrufen kannst, und dann baut der die Libraries und Programme aus dem Verzeichnis.
Wenn man nur Open Source macht, könnte man geneigt sein, den Buildprozess von Firefox für den übelsten der Welt zu halten. Glaubt mir. Weit gefehlt. Der spielt nicht mal in derselben Liga wie so übliche Kommerzprojekte.
Durch die Flachzangen willst du doch deine Bankdaten durchrouten!!1!
Komm, lass uns in die Cloud ziehen. Da sind unsere Daten sicher! (Danke, Alexander)
Das ist m.W. das erste Mal, dass eine der großen Cloud-Firmen Kundendaten verliert. Also die Firma selber jetzt, nicht ihre Kunden.
Und: Microsoft setzt Elasticsearch ein? Das ist immerhin ein großer Datenbank-Anbieter! Haben die da nichts eigenes?
Ransomware droht dein Business runterzufahren, wenn du nicht zahlst. Die Cloud auch.
Ransomware basiert darauf, dass du deine Daten da nicht ohne Hilfe rausextrahiert kriegst. Die Cloud auch.
Wieso betrachten wir Ransomware als Erpressung aber Microsofts Windows-7-Supportgebühren für Behörden nicht?
Gut, bei der Cloud kriegst du einen Account Manager. Ich hörte aber, bei Ransomware kümmert sich auch ein Account Manager darum, dass du deine Daten entschlüsselt kriegst. Jetzt wo ich drüber nachdenke... Ich habe noch nichts Negatives über den Kundendienst von Ransomware-Anbietern gehört. Im krassen Gegensatz zu allen anderen Teilnehmern der Softwarebranche.
OK, niemand will Ransomware haben. Die müssen ihren Scheiß unter Vortäuschung falscher Tatsachen unterjubeln.
Genau wie die Antivirusindustrie!
Update: Jetzt kommt hier jemand und argumentiert, aber bei Cloud würde der Kunde ja freiwillig mitmachen.
Genau wie bei Ransomware!
Er ist bei Ransomware nur vorher nicht gut darüber informiert, welche Auswirkungen sein Click haben wird.
Hey, genau wie bei Cloud-Anbietern! :-)
Update: Es soll ja Leute geben, die ihre Daten in die Cloud schieben, um sich vor Ransomware zu schützen!
Lockheed Martin Will Replace F-35’s Faulty Computer System With Cloud-Based ProgramsMich wundert bei sowas ja immer ein bisschen, dass die freiwillig ein Denial of Service im Netzwerk zu einem Denial of Service auf dem ganzen Gerät upgraden. Und in einem beweglichen Gerät ist das Netzwerk wahrscheinlich funk-basiert, d.h. ein Jammer reicht, und die Software kann nicht mehr mit der Cloud reden.
Ach komm, Fefe, ist doch bloß Sputnik.
Stimmt, aber ist halt kein Einzelfall.
Just like almost everything else, military organizations increasingly depend on software, and they are turning to an array of open source cloud tools like Kubernetes and Istio to get the job done, according to a presentation delivered by Nicholas Chaillan, chief software officer for the U.S. Air Force, at KubeCon 2019 in San Diego.Halt, halt, das war erst die halbe Meldung! Geht noch weiter!Those tools have to be deployed in some very interesting places, from weapons systems to even fighter planes. Yes, F-16s are running Kubernetes on the legacy hardware built into those jets.Ja, richtig gelesen! Kubernetes im F-16 und im Waffensystem!Ich weiß ja nicht, wie es euch geht, aber ich mache mir immer weniger Sorgen vor einem 3. Weltkrieg. Die werden ihre Flugzeuge gar nicht hochkriegen im Ernstfall, weil die Gegenseite das so timen wird, dass gerade Active Directory wegen eines Citrix-Patches abgeschaltet ist. (Danke, Carsten)
ich hänge seit mehr als 20 Jahren als Externer bei verschiedensten Banken herum. Ich habe sie im wesentlichen alle gesehen. Große, kleine mit eigener IT, mit IT von Dienstleistern und die übliche Mischung. Was Du schreibst ist völlig richtig und dem geneigten Leser sei gesagt, es ist noch viel schlimmer als man es sich von außen vorstellt. Eine Bank betreibt hunderte oder gar tausende von verschiedenen Systemen. Eins erstellt Reports für die Aufsicht über das Eigenkapital, andere für den Jahresabschluss, dann gibt es noch welche die verschieden Risikokennzahlen ermitteln, welche die über die Kredite laufen und Gebühren berechnen, welche die Auswertungen für die Kundenansprache erstellen, andere wiederum die Zahlungen verwalten und weiterleiten, Systeme die in der Wertpapierabwicklung Bestätigungen versenden uswusf. Und das war nur das Backoffice. Im Frontoffice Handelssysteme mit denen man an den verschiedensten Wertpapiermärkten handeln kann, Kassensysteme, ach ja und natürlich Verwaltungssysteme für Geldautomaten, die Geldautomaten selbst (sind ja im Prinzip auch nur Windows PCs), Kassensysteme für die Schalter, Systeme für die Kundenberatung für Immobilienkredite, Unternehmenskredite, Anlageberatung und schlussendlich natürlich die üblichen PCs für die Angestellten mit Office, Mail, einem Browser mit denen sie auf die vorher genannten Systeme zugreifen können.Da müsste man ja eigentlich auch mal ein bisschen Grundlagenforschung machen, wie die Fintechs es schaffen, bei so einer unfassbaren Steilvorlage an fossilen Krusten bei der Konkurrent, NOCH schlechter zu sein.Und alles das ist alt. Alt nicht wie das Smartphone von vor zwei Jahren, sondern alt wie das allererste iPhone verglichen mit aktuellen Smartphones. Da sind Systeme die aus einem C++ Kern bestehen um den man Java herumgebaut hat und das jetzt in eine virtualisierte Hadoop Umgebung „integriert“ wurde. Alle Entscheidungen die zu so einem Müll geführt haben sind individuell sinnvoll gewesen. Man konnte kein Blech bestellen (Vorstand hat ausgegeben nur noch virtuelle Server), Java weil man keine anderen Entwickler kurzfristig bekommen hat, hadoop weil ja jetzt alles in der Cloud (private) laufen muss. Oder anderes Beispiel, Man hat einen Dienstleister schuften lassen mit der Karotte vor der Nase dann den ganzen Konzern umzustellen. Das ist dann gescheitert weil Oracle für die Tochter die das Geschäft übernehmen sollte nicht anerkannt hat das die Enterprise Lizenz der Mutter auch da gilt. Kosten in 7 stelliger Höhe, Business Case im Eimer. Alternative und auch zertifiziert wäre SQLServer 2016 gewesen. Das war dann aber 2018 zu neu gewesen für die Bank und man ist beim alten Dienstleister geblieben, frag nicht was der neue der sehr viel umsonst gemacht hat davon hält.
Oder die Desktops der Mitarbeiter. Thin Clients waren der heiße Scheiß. Schade nur das über Citrix o.ä, Video in Skype for Business und Telefonier nicht ganz einfach ist. Wird also abgeschaltet bis man das im Griff hat, dauert üblicherweise Jahre. Oder Lokale PCs aber Applikationen nur über Citrix gestreamt. Alt-Tab funktioniert nur zufällig. Die Applikationen werden aus einem Portal aufgerufen das natürlich nur sauber in IE11 läuft. Dafür gehen immer mehr externe Seiten mit Windows 7 und IE11 nicht mehr weil die Cypher die der Server anfordert schlicht in Win7 nicht existieren. Windows 10 muss man mit viel Aufwand optisch so umbürsten das es Windows 7 möglichst ähnlich sieht weil man kein Geld für Mitarbeiterschulungen ausgeben will und Angst vor den Supportcalls hat. Open Source Software ist grundsätzlich böse, weil man da ja keinen Herstellersupport bekommt, selbst für Tools in der IT und selbst installieren geht ja nicht, Sicherheit und so. Und wenn dann mal ein Tool wie Putty verfügbar ist (ist halt kostenlos) dann ist es üblicherweise Jahre alt. Aktuelle Sicherheitslücken kurzfristig patchen? Da will ja keiner Owner der Applikation sein…
Und das ganze noch gewürzt mit Dienstleistern/Outsourcern/Hostern deren erstes, wichtigstes und in vielen Fällen einziges hervorstechendes Merkmal war der billigste zu sein.
Ja nicht bei jeder Bank trifft alles das zu und in den letzten Jahren hat sich an einigen Stellen etwas getan. Aber tatsächlich ist man dann dort nicht mehr 10 Jahre zurück, sondern nur noch 5. Bis mitte der 2000 Jahre hatte der durchschnittliche Arbeitnehmer am Arbeitsplatz noch die bessere Ausstattung als zu hause. Heute ist der durchschnittliche Anwender privat bei weitem besser ausgestattet als am Arbeitsplatz. Für die meisten Banken wäre Office 365 sowohl was security als auch safety, wie auch Benutzerfreundlichkeit und Effizienz ein Segen. Ich war auch lange dagegen, habe meine Meinung aber aufgrund der bitteren Realität mittlerweile geändert. Die Banken und Ihre Dienstleister können es schlicht nicht, haben nie begriffen das die IT ihre eigentliche Produktion ist und deshalb das Thema vernachlässigt. Heute besteht die einzige Chance fürs Überleben in der Cloud. Bitter aber wahr.
[...] Banken-IT ist ein liederlicher, alter zum Teil uralter Haufen Scheiße der über Jahrzehnte zusammengeflickt wurde und nur weil sich einige Mitarbeiter den Arsch aufreißen noch halbwegs stabil läuft. Ohne Mitarbeiter die manuell eingreifen, würde eine Bank innerhalb weniger Stunden komplett stillstehen.
Der Vergleich mit Fintechs ist unfair, da die erst vor ein paar Jahren auf der grünen Wiese angefangen haben -> keine Altlasten. Die haben andere Probleme
Auch in 2020 werden es Satiriker schwer haben mit der Realität mitzuhalten. Heute klingelte bei tausenden Kanadiern die Telefone:"This is a Province of Ontario emergency bulletin which applies to people within ten (10) kilometres of the Pickering Nuclear Generating Station. An
incident was reported at the Pickering Nuclear Generating Station. There has been NO abnormal release of radioactivity from the station and emergency staff are responding to the situation. People near the Pickering Nuclear Generating Station DO NOT need to take any protective actions at this time. Remain tuned to local media for further information and instructions."
Und die Punchline? Hier ist deren Atom-Infoseite."Ontario’s nuclear reactors are built with multiple safe guards."Wartet, das war noch nicht die Punchline. Die Seite zeigt nichts an, wenn Cloudflare nicht verfügbar ist.
Ja, DAS Cloudflare.
Es ist richtig, die Bafin als Aufsichtsbehörde die Verwendung von Cloud-Diensten im Versicherungs- und Bankenbereich erlaubt.
Jedoch kann ich aus eigener Erfahrung berichten, dass dafür ein paar Hürden gelegt worden sind.Z.B. muss ein Rechenzentrum oder IaaS-Provider die Vorgaben des C5 des BSI erfüllen, damit die Bafin den generellen Betrieb in der Cloud erlaubt.
Die Bafin hat nach meinen Kenntnisstand die Ablehnung von Cloud-Anwendungen aufgegeben, als die ersten großen Startups im Finanz- und Versicherungsbereich und Ausgründungen der Konzerne gedroht haben, eine Zulassung in England oder den Niederlande zu beantragen, da dort die Regularien einen Betrieb in der Cloud erlaubt haben. Darüber hinaus hatten teilweise diese Startups weder das Personal noch die Geldmittel, eine eigene Infrastruktur gemäß den alten Vorgaben der Bafin hochzuziehen.
Es ist auch richtig, dass oft "die Cloud" das kleinere Übel im IT Bereich von Versicherungen und Banken ist. Teilweise sind die Strukturen der Dienstleister und Konzerne so verkrustet, dass eine kleine DDoS-Attacke weder abgefangen noch darauf reagiert werden kann.
Das hat ein offensichtliches Problem: Cloudflare kann jetzt den entschlüsselten Traffic sehen, inklusive eure Kontostände und Überweisungen, wenn ihr euch da einloggt und Überweisungen tätigt.
Cloudflare hat in den letzten Jahren vor allem durch Inkompetenz und Ausfälle auf sich aufmerksam gemacht, und darauf, dass sie so verzweifelt "Kunden" brauchten, dass sie ihre Dienste verschenkt haben, um ihren Investoren mehr "Conversions" zeigen zu können. Gewinn haben die glaube ich noch nicht gemacht, das ist wie Uber eine Verbrennungsmaschine für Investorenkohle. In Expertenkreisen werden die gerne als Clownflare verspottet.
Außerdem ist das eine US-Firma. Und es ist bekannt, dass die US-Regierung sehr an Kontoinformationen ausländischer Bürger interessiert sind. Mit solchen illegal erlangten Daten haben sie gegen die Schweiz ein Exempel statuiert, wenn ihr euch erinnert.
Das ist alles ein perfekter Sturm. Wieso sitze ich also seit mehreren Tagen auf der Meldung?
Weil die Lage nicht so einfach ist. Meine Anforderungen an meine Bank sind völlig klar. Ich möchte, dass die höhere Security-Anforderungen haben, dass die ihren Scheiß nicht in der Cloud haben sondern selber hosten, dass das ein ordentliches Rechenzentrum mit ordentlichen Betreibern ist, und mit physischer Security, und dass meine Kontodaten da sicher liegen.
Das Problem bei dem Bild ist, dass Banken keine Hosting-Experten sind. Die können auch nicht mit Geld umgehen, daher werfen Banken üblicherweise mit hanebüchenen Geldsäcken auf das Problem, was aber meiner Beobachtung nach nicht dazu führt, dass die die beste Leistung kriegen, sondern dass sie die krassesten Blender und Abzocker als Dienstleister kriegen.
Dazu kommt, dass das Umfeld ein Morast aus Compliance-Scheiß und einer inkompetenten, freidrehenden Regulierungsbehörde ist, die (aus meiner Warte gesehen) an einem Stück völlig hilflos sinnlose Maßnahmen verhängt. Dazu kommt, dass es je nach Bank und Zusammenschluss (z.B. die Landesbanken oder die Sparkassen) nochmal separate Regularien gibt. Da blickt niemand mehr durch. Am Ende hat man da einen riesigen Apparat, der sich so Passierschein-A38-mäßig selbst mit Alzheimer-Prävention in Form von sinnloser Beschäftigung im Kreis beschäftigt.
Die Situation ist daher regelmäßig so, dass der Scheiß in der Cloud sogar besser implementiert und kompetenter administriert wird.
Wer also wie ich Wert darauf legt, dass seine Bank den Scheiß nicht in die Cloud geschoben hat, der wird wahrscheinlich nicht eine superkompetente Bank kriegen, die ihren Kram im Griff hat, sondern einen Moloch aus Abhängigkeiten, der eigentlich schon vor fünf Jahren in die Cloud gesollt hätte, aber sie haben es nicht geschafft.
Ich verallgemeine hier natürlich schamlos.
Aber eine Frage könnt ihr euch ja mal direkt stellen: Wieso hat die Regulierungsbehörde der DKB nach der Cloudflare-Nummer nicht direkt die Lizenz entzogen? Das kann doch nur heißen, dass sie entweder nichts taugt, weil sie zu lahmarschig ist, oder sie taugt nichts, weil sowas nicht verhindert. Das heißt aber im Umkehrschluss, dass deren Regulierung sicher auch nicht dazu geführt haben wird, dass bei den anderen Banken die Rechenzentren ordentlich betrieben werden.
Denkt mal drüber nach.
Ich weiß aus gut informierter Quelle, dass die Bafin (die Regulierungsbehörde) keine grundsätzlichen Einwände gegen Cloud-Migrationen hat. Also nicht nur Cloudflare vorschalten sondern richtig komplett in die Cloud ziehen. Wozu haben wir eigentlich eine Regulierungsbehörde, wenn die das nicht verhindert?
Anders herum gefragt: Was ist eigentlich der fundamentale Unterschied zwischen Cloud und "eigenem RZ"? Das ist im Allgemeinen nämlich kein eigenes RZ sondern das betreibt irgendein Zulieferer. Ist das nicht dasselbe in grün?
Ja aber Fefe, die sitzen doch in Deutschland und unterliegen unseren strengen Gesetzen und Regulierungen!!1! Ja das haben wir ja gerade live gesehen, wie hilfreich unsere strengen Gesetze und Regulierungen sind. Keine weiteren Fragen.
Ich habe mich über die Jahre mit vielen Kunden über die Cloud unterhalten, und da die hanebüchsten Geschichten gehört. Die Ausrede ist immer dieselbe. Schlimmer als was wir jetzt haben kann das auch nicht sein. Ein Kunde formulierte das mal so: Amazon antwortet wenigstens auf unsere Trouble Tickets.
Insofern, kurz gesagt: Das Gedankenmodell, das euch dazu bringt, die Cloudflare-Nummer negativ zu bewerten, fußt auf völlig falschen Annahmen über die Industrie. Ihr habt zwar völlig recht, dass das Scheiße ist, aber ihr habt ja gar keine Vorstellung davon, wie Scheiße der Normalzustand in der Branche ist. Dabei ist gerade erst live und in Farbe die PSD2-Apokalypse an euch vorbeigescrollt. Aber irgendwie nimmt das niemand als Anlass, mal sein Gedankenmodell zur Bankeninfrastruktur zu überdenken.
Die Berliner Polizei hat seit 2013 in ihrem Polizeisystem Poliks nichts mehr gelöscht und wilde Abfragen geduldet, beanstandet die Datenschutzaufsicht.Na wie sollen wir auch KI-Big-Data in der Cloud machen, wenn wir die Daten löschen?!?
Dies betrifft nicht nur Angaben zu Tatverdächtigen, Beschuldigten und Straftätern, sondern auch von anderen Beteiligten wie Zeugen oder Opfern.
Das Parlament hat die Befugnisse des Zollkriminalamts und der Zollfahndungsämter deutlich ausgeweitet und etwa auf die Quellen-TKÜ erstreckt.Wieso zum Teufel braucht denn bitte der Zoll Staatstrojaner, fragt ihr euch jetzt vielleicht? Na das ist wie in der Privatwirtschaft. Man trifft sich beim Golfen. In der Wirtschaft fragt dann der eine Boss den anderen: Habt ihr schon ein verteiltes Echtzeit-SIEM in eurer KI-Blockchain in der Cloud? Bei Behörden fragt der eine Boss den anderen: Habt ihr schon Staatstrojaner-Befugnis?
Ich finde ja beschämend, dass bei uns wegen Geldmangel die Wände in den Schulen schimmeln, aber für den Kauf von Staatstrojanern haben sie Budget.
Es waren natürlich wieder mal die Stimmen der großen Koalition. Nur falls irgendjemand mit dem Gedanken spielte, irgendjemandem von denen nochmal ins Parlament zu helfen mit seiner Stimme.
Wofür braucht denn der Zoll Staatstrojaner? Die Begründung ist doch sicher abendteuerlich! Oh ja und wie:
Laut Paragraf 72 des Entwurfs dürfen die Zollfahnder künftig im Kampf gegen den Terrorismus und den illegalen Handel mit Kriegswaffen, Rüstungsmaterial einschließlich darauf bezogener Herstellungsausrüstung und Technologie schon in Verdachtsfällen heimlich "dem Brief- oder Postgeheimnis unterliegende Sendungen öffnen und einsehen sowie die dem Fernmeldegeheimnis unterliegende Telekommunikation überwachen und aufzeichnen".Terrorismus!!! Der Zoll bekämpft jetzt Terrorismus!!
Hey, *Golfschläger raushol*, bekämpft ihr eigentlich auch schon den Terrorismus?
Und lasst uns mal nicht den Teil mit "schon in Verdachtsfällen". Da steht nichts von begründetem Verdacht.
Aber aber aber warte Fefe, das Verfassungsgericht hat doch klargestellt, dass es einen Kernbereich privater Lebensgestaltung gibt, der tabu ist!
Ja klar, und dem haben sich auch voll ernsthaft Rechnug getragen und so:
Liegen "tatsächliche Anhaltspunkte für die Annahme vor", dass durch eine einschlägige Maßnahme "allein Erkenntnisse aus dem Kernbereich privater Lebensgestaltung erlangt würden", ist das Instrument generell unzulässig.Mit anderen Worten: Das Hacken von den Telefonen von Privatpersonen und das Kopieren von Nacktfotos ist legal, solange es nicht vorher tatsächliche Anhaltspunkte für die Annahme gab, dass unter den Nacktfotos nicht auch ein weiterbringender Scan eines Briefes ist oder so.
Na kein Wunder, dass sie auf Weihnachten gewartet haben mit dem Burying.
A confidential trove of government documents obtained by The Washington Post reveals that senior U.S. officials failed to tell the truth about the war in Afghanistan throughout the 18-year campaign, making rosy pronouncements they knew to be false and hiding unmistakable evidence the war had become unwinnable.Gut, inhaltlich jetzt nicht überraschend, aber das waren die Enthüllungen über die Uiguren-Situation ja auch nicht.An der Stelle sehr interessant: Dass das ausgerechnet in der Washington Post erscheint. Die gehört ja Amazon und Amazon hat gerade durch Trumps persönliche Intervention einen monströsen Cloud-Auftrag des US-Militärs nicht gekriegt, weil Trump Jeff Bezos dafür abstrafen wollte, dass die Washington Post immer so böse und gemein über ihn schreibt. Es hätte ja auch so ablaufen können, dass sich die Wapo jetzt erstmal mit peinlichen Enthüllungen über das Militär zurückhält.
Oder halt Double Down.
Bezos scheint ein Double Down-Typ zu sein.
Der Lackmustest wird dann werden, ob die Wapo das Thema meidet, wenn Amazon doch den Zuschlag kriegt.
“We were devoid of a fundamental understanding of Afghanistan — we didn’t know what we were doing,” Douglas Lute, a three-star Army general who served as the White House’s Afghan war czar during the Bush and Obama administrations, told government interviewers in 2015. He added: “What are we trying to do here? We didn’t have the foggiest notion of what we were undertaking.”Mit anderen Worten: Es war genau so, wie es von außen aussah. Bush und seine Ideologen wollten einen Krieg, also führten sie einen. Das Militär wollte das nicht, sonst wären sie vorbereitet gewesen. “Our biggest single project, sadly and inadvertently, of course, may have been the development of mass corruption,” Crocker, who served as the top U.S. diplomat in Kabul in 2002 and again from 2011 to 2012, told government interviewers. He added, “Once it gets to the level I saw, when I was out there, it’s somewhere between unbelievably hard and outright impossible to fix it.”Das ganze Ding ist eine Aneinanderreihung von Money Quotes. Echt krass. (Danke, Bernd)
Public-Private-Schnüffelpartnership!
Na da bin ich ja so gut wie arbeitslos jetzt!1!!
Zusätzlich zur Code-Überprüfung bietet Codeguru auch einen sogenannten Profiler. [...] Konkret aufgezählt werden von Amazon etwa ein übermäßiges Erzeugen von großen Objekten, eine aufwendige De-Serialisierung, die Verwendung wenig effizienter Bibliotheken als Abhängigkeiten oder schlicht ein exzessives Logging.Wenn wir schon dabei sind, sollte der Dienst auch davor warnen, seine Anwendung in die Cloud zu tun. Weil man die da nie wieder rausoperiert kriegt.
So, here's some further info on the US DoJ's investigation of me presumably for supporting Julian Assange and WikiLeaks.Oh it's "SEALED v. SEALED; Case is not available to the public."
Gut, dass wir das mal geklärt haben!Der beste Rechtsstaat, den man für Geld kaufen kann!
Wie geil! Hat hier jemand Server unter Windows laufen? Ich habe Leute, die ihre Server unter Windows fahren, ja schon immer öffentlich ausgelacht. Aber das ist als Strafe ja schon ein bisschen harsch.
Wäre das nicht schön, wenn wir in diesem Lande sowas wie digtale Souveränität hätten, und uns nicht von Microsoft zum Cloud-Umzug erpressen lassen müssten?
Update: Wobei das natürlich Unfug ist, dass es keine Nachfolger gibt. Weiß nicht, wo Heise sich da "informiert" hat.
Dann seid ihr auf Intels Getrickse reingefallen.
„Eine Variante von ZombieLoad geht auch auf den neueren Cascade Lake Prozessoren“, erzählt Gruss im Gespräch mit der futurezone. „Die neuen CPUs waren zum Zeitpunkt unserer Tests noch schwierig zu bekommen und für Privatkunden noch nicht erhältlich. Wir konnten sie aber über Cloud-Provider ausprobieren und haben getestet, ob der Angriff dort auch funktioniert - und das tut er.“ Das war im April - einen Monat, bevor ZombieLoad der Öffentlichkeit präsentiert wurde. Und einen Monat bevor Intel in einem offiziellen Statement verkündet hatte, dass „neue Prozessoren von dem Problem nicht betroffen“ seien.Mag mir kurz ein Jurist erläutern, wieso das nicht arglistige Täuschung ist und Intel jetzt nicht alle CPUs umtauschen muss?Die Forscher konnten dem öffentlich nicht widersprechen, denn sie hatten ein Embargo unterzeichnet, dass dieser Teil ihrer Forschung bis zum 12. November 19.00 Uhr geheim bleiben muss. „Wir haben Intel darüber im April informiert und Intel hat sehr kurzfristig entschieden, dass dieser Teil noch länger unter Embargo bleibt“, sagt Gruss.
Update: Intel hat dieselbe Strategie auch mit einem anderen Forscherteam gefahren, deren Embargo lief auch jetzt erst aus.
Update: Falls ihr euch gefragt hattet, wieso sich ein unabhängiges Forscherteam an so ein Bullshit-Embargo gehalten hat:
Auch die Aussage von Intel, dass mit dem Software-Update die Probleme behoben werden können, stand unter Embargo. Doch warum halten sich Forscher daran? „Natürlich kann uns Intel nicht sagen, was wir machen sollen. Wir sind eine unabhängige Universität. Aber Intel kollaboriert mit der Uni, finanziert Doktoranden und ermöglicht, dass die Suche nach Sicherheitslücken an der Uni stattfinden kann. Als unabhängige Universität fragen wir uns allerdings schon, warum das Embargo so lange dauern muss.“
Das ist schon echt alles eine Schande. Die letzten unabhängigen Forscher (zumindest anderen Firmen gegenüber) sind die in Google Project Zero. Aber die Zeiten, bei denen Google als attraktiver Arbeitsplatz galt, sind vorbei.
Gut, ich meine, auf der anderen Seite ist damit klar, wieso die so billig anbieten können. Das ist nicht nur Steuerhinterziehung, das ist auch kein Geld für Security ausgeben.
Da willst du doch dein Cloud-Zeug haben! Bei den BESTEN der BESTEN der BESTEN, wenn es um Account-Security und Fraud Prevention geht! Leute mit exzellentem Support, der dir im Notfall hilfreich zur Seite steht! (Danke, Christian)
Habt ihr keine Freunde, die euch in solchen Momenten kurz zur Seite nehmen, und euch erklären, dass "in die Cloud gehen" per Definition die Aufgabe der Datensouveränität bedeutet? Außer dir gehört das Rechenzentrum und die Hardware und die Software und du kontrollierst die Datenflüsse, versteht sich. Was hier nicht der Fall ist.
Wenn die das sagen würden, und es ginge um den Aufbau eines Bundes-Rechenzentrums für die Bundes-IT, OK. Aber es geht um eine Cloud für die Unternehmen in Deutschland.
Die sollen ihre Daten in die Cloud hochladen.
Damit der Seehofer in Ruhe seine feuchten Spionage-Träume ausleben kann, vermute ich, denn einen anderen Nutzen hätte das nicht.
Da aber inzwischen öffentlich wurde, dass die Dienste auch Daten austauschen, und die deutschen Dienste da fröhlich mitbieten, steht sogar das Szenario im Raum, dass Seehofers Schlapphut-Handlanger da die Daten der deutschen Unternehmen raustragen und den Amerikanern geben, weil der Trump ihnen gesagt hat, dass sie sonst nicht mehr vor Terroristen gewarnt werden.
Der buchstäblich letzte Ort, wo ich meine Daten freiwillig lagern würde, wäre bei der deutschen Regierung. Bei US-Firmen weißt du wenigstens, dass sie die US-Regierung im Gegenzug ordentlich bluten lassen oder vielleicht sogar pro forma protestieren und evtl. ein paar zum scheitern verurteilte Gerichtsprozesse führen, damit es nicht so schlimm aussieht. Die Bundesregierung tut ja gegenüber den Amerikanern nicht mal so, als vertrete sie die Interessen ihrer Bürger. Oder erinnert ihr euch da an einen Fall?
Ich warte ja die ganze Zeit darauf, dass die CSU eine Maut für die Datenautobahn fordert. Und uns am besten noch ins Gesicht lügt, das flösse dann in den Breitbandausbau.
Nein, ist es nicht. Eine Malware auf deinem Endpunkt kann alles tun, was du auch tun kannst. Das heißt insbesondere: Daten in der Cloud löschen. Wenn du Geschäftsführer-Credentials hast: Die Cloud löschen. Wenn du Admin-Credentials hast: Die Backups löschen.
Die einzige garantierte Strategie gegen Malware ist, sie sich gar nicht erst einzufangen. Dass heißt in der Praxis: Den Mitarbeitern einen Arbeitsplatz zur Verfügung zu stellen, der gegen sowas nicht so anfällig ist. Das schränkt leider die Flexibilität deutlich ein. Daher werden Firmen in der Regel einen Kompromiss suchen.
Einer der Kompromisse wäre, wie ich glaube ich auch schon mal skizziert habe, eine Append-Only-Datenstruktur. Was man mit Daten tun kann, ist durch die Zugriffs-Möglichkeiten definiert. Wenn man eine Datei hat, kann man da Dinge überschreiben oder anfügen oder die ganze Datei löschen. Wenn man allerdings ein API hat, bei dem man nur Dinge am Ende anfügen kann, und statt löschen geht nur "als veraltet markieren", und die Software beinhaltet ein Rollback-Feature, mit dem man die Änderungen einzeln zurücknehmen kann, dann kann auch eine Malware nichts verschwinden lassen – solange sie an dasselbe API gebunden ist.
Das kann man über eine Cloud implementieren, aber man kann es auch in-house implementieren. Wichtig ist bloß, dass es auf einem separaten Rechner implementiert wird, der sich keine Malware einfangen wird. Das heißt: Der hat keine User-Accounts, bietet sonst keine Dienste an, hat keinen Browser und kein Office drauf und auch sonst keine Anwendungssoftware, und niemand liest auf ihm seine Mail.
Das betrifft wohl auch deren Safari-Dienst. Wer das nicht kennt: Das ist ein Flatrate-Abo für deren Bücher, ein bisschen wie Netflix.
Da zeigt sich mal wieder, dass man Dinge nicht mieten sondern physisch kaufen muss. Das hat man ja neulich erst gesehen, als Adobe Venezuela von ihrer Creative Cloud abgeklemmt hat.
Ich glaube ja, dieser ganze Lizenz-Scheiß bei Software ist ein fundamentaler Irrweg. Dass die Hersteller uns überredet haben, dass wir nicht eine Kopie der Software gekauft sondern nur die Nutzungsrechte erworben haben. (Danke, Thomas)
Altmaiers Behörde habe "in den vergangenen Wochen gemeinsam mit zahlreichen Akteuren aus der Wirtschaft die ersten Schritte hin zu einer vernetzten Dateninfrastruktur für Deutschland und Europa erarbeitet", hieß es aus dem Ministerium.Es wäre großartige Satire, wenn es nicht ernst gemeint wäre. Oh, ach, JETZT kümmert ihr euch um Vernetzung? Bisher gibt es keine vernetzte Dateninfrastruktur in Europa? Meine Güte, wie lange habt ihr an dem Projekt geplant? 50 Jahre?
In dem Papier wird eine vernetzte Dateninfrastruktur als "Wiege eines vitalen, europäischen Ökosystems" bezeichnet, "in dem Daten sicher und vertrauensvoll verfügbar gemacht, zusammengeführt und geteilt werden können".Und das ist, wieso ich weiß, dass das keine Chance hat.
Niemand hält die Behörden für sicher oder vertrauenswürdig.
Niemand will Daten teilen. Erst Recht nicht mit Behörden.
Und bei Daten verfügbar machen und zusammenführen will niemand auch nur an die Existenz von Behörden erinnert werden.
Und mal ganz abgesehen davon hat der Altmaier erst Solar und dann Windenergie kaputtgemacht. Mit dessen Behörden, Projekten und Ideen würde ich ganz sicher nicht zusammen gesehen werden wollen. Der ist der Darth Vader der europäischen Klimapolitik.
Cloudflare, wir erinnern uns, sind bekannt für so Glanzleistungen wie:
Ich persönlich würde Cloudflare nicht auch nur in die Nähe meiner Produktion lassen, selbst wenn sie mich dafür bezahlen würden.
Aber gucken wir doch mal, was der Vorschlag ist. Hier ist der erste Satz:
If your organization uses SSH public keys, it’s entirely possible you have already mislaid one.Da kannste direkt zu lesen aufhören. Der heißt ja nicht zufällig public, der key. Der ist public. Den zu verlegen ist genau so wenig ein Sicherheitsproblem wie das Telefonbuch zu verlegen. Schon die Prämisse ist absurd.
There is a file sitting in a backup or on a former employee’s computer which grants the holder access to your infrastructure.Äh, ... nein. Den public key zu haben gibt einem Angreifer genau gar nichts. Der private key dazu ist der, der einem Zugriff gibt. Und der liegt ja gerade nicht auf irgendwelchen Kisten rum sondern auf dem Arbeitsplatzrechner des Inhabers, oder, wenn der so futuristisch drauf ist, auf einer Smartcard von dem.If you share SSH keys between employees it’s likely only a few keys are enough to give an attacker access to your entire system.Wow. Ich hielt ja nicht viel von deren Krypto-Expertise, aber wenn die bei Cloudflare mehreren Mitarbeitern Zugriff auf denselben SSH-Schlüssel geben, dann ist das kein Fall für Auslachen mehr, das ist ein Fall für den Abdecker.Aber was schlagen sie denn vor?
Replacing a private network with Cloudflare AccessNEEEEIIIIIINNNNNN!!!!!!Wer kommt denn auf solche Ideen? Wer zieht denn bitte eine Firma, die für ihre Ausfälle bekannt ist, in die Authentisierung seiner Dienste rein? Damit nächstes Mal auch deine Firma komplett stillsteht?! So blöde kann doch keiner sein, würde man hoffen!
Jedenfalls keiner meine Leser.
Würde man hoffen.
Aber lest euch mal den Incident Report zu ihrem letzten Ausfall durch. Der, der von der Regex ausgelöst wurde. Achtet mal darauf, dass sie sich auf ihren eigenen Systemen nicht mehr einloggen konnten. Das wird bei euch dann auch so sein. (Danke, Lukas)
Nun, da gibt es eine ganz einfache Erklärung für. "Präsident" Trump hat das persönlich befohlen.
Denn Amazon gehört ja Jeff Bezos, und Jeff Bezos gehört auch die Washington Post.
Und DAS ist ja wohl mal völlig klar. Unabhängige Berichterstattung über Donald Trump darf sich nicht lohnen.
According to Snodgrass' book, Trump called Mattis during summer 2018 and directed him to "screw Amazon" out of the opportunity to bid on the contract.Nur falls jemand Zweifel hegte, auf welchem Niveau das ablief. (Danke, Stefan)
Wie erfährt denn dann die "Bild"-"Zeitung" davon? Nun, dieser Filehoster hat eine Benachrichtigungsfunktion. Per unverschlüsselter Mail.
Und hey, wenn ihr annehmt, dass bei den Diensten nur so technische Analphabeten wie bei der "Bild"-"Zeitung" arbeiten, dann erscheint euch das vielleicht spontan anonym und sicher! Achtet auch auf die stringente Beweisführung seitens der Springer-Spezialexperten!
Da gab es einen Datenreichtum mit 7,5 Mio Kundenkonten-Datensätzen.
Man könnte annehmen, dass wenn es schon Ärger wegen einer Zusammenarbeit mit der Immigrationsbehörde gab, dass eine 10-Milliarden-Kooperation mit dem Pentagon dann noch deutlich mehr Stress gibt, aber das bezweifle ich. Die Amerikaner sind sehr unkritisch gegenüber ihrem Militär. Aber vielleicht gibt es im Ausland jetzt Backlash gegen Azure? Mal gucken.
Die hatten gerade einen Datenreichtum. Und da es sowas unter 100GB gar nicht mehr in die Presse schafft: Es waren 179GB.
Diesmal nicht MongoDB sondern Elasticsearch.
Und wenn ihr mal raten müsstet, wo die Daten so offen herumlagen? Ja, richtig! In der Cloud!
Klar, das kann man auch ohne Cloud verkacken, aber es passiert irgendwie VIEL seltener.
The security expert and bug-hunter John “hyp3rlinx” Page discovered an arbitrary code execution vulnerability, tracked as CVE-2019-9491, in the Trend Micro Anti-Threat Toolkit.Hey, ich habe eine Idee. Wir installieren einfach noch eine zweite Packung Schlangenöl! Die schützt uns dann vielleicht vor den Lücken, die das erste Schlangenöl aufgerissen hat!Wie wäre es mit Avast! Oder Norton! Gut, Norton hat den Nachteil, dass dann mein Blog nicht mehr geht. Aber für die Sicherheit muss man manchmal halt Kompromisse eingehen!1!!
Und zur Abrundung was von Cisco!
Und wenn ihr ganz sicher gehen wollt, dann nehmt Kaspersky. Die laden das in ihre Cloud und prüfen dort noch manuell!
Bank of America's CEO says that it's saved $2 billion per year by ignoring Amazon and Microsoft and building its own cloud insteadDas klingt erst wie eine Unmöglichkeit, weil Banken ja überhaupt nicht mit Geld umgehen können. Aber genau das ist hier der Einsparhebel gewesen. Die haben nicht Geld gespart, weil sie nicht in die Cloud gegangen sind, sondern weil sie ihre vorher 200k Server auf 70k eingedampft haben und von ihren 60 Rechenzentren jetzt runter auf 23 sind.Da war so viel überflüssige Geldverschwendung drin, dass wenn man da eine Schrotflinte nimmt und in die Menge schießt und die toten Server vorsichtig rauszieht, dass der Rest immer noch problemlos die ganze Last stemmen kann.
Trotzdem, 2 Milliarden klingt ja schon substanziell. Was haben die denn da für Budgets, dass so viel Einsparung überhaupt möglich ist?
The bank, which has a $10 billion annual tech budgetUnd das, meine Damen und Herren, meinte ich mit "Banken können nicht mit Geld umgehen". Was macht man mit so viel Budget? Das kann man ja kaum für IT ausgeben. Und tatsächlich. Damit kaufen die keine IT-Geräte. Damit kaufen sie IT-Firmen.Wer sich jetzt denkt, hach, endlich mal eine herzerwärmende, positive Story bei Fefe, den muss ich leider enttäuschen. Hier ist die Punchline:
Right now, the bank estimates its private cloud is 25 to 30% cheaper than public providers, though it also recognizes that probably won't last forever. Still, the company believes the architecture it has built will give it leverage in negotiating contracts with these companies — a process that is already under way, Moynihan said.Das hat er nicht gemacht, weil das eine schlaue Idee ist, sondern weil er Verhandlungsmasse für den Cloud-Umstieg brauchte.Dem hat wohl noch keiner gesagt, dass die Preise bei der Cloud am Anfang egal sind. Die würden dich noch dafür bezahlen, dass du zu ihnen in die Cloud kommst. Die echten Preise kriegst du dann aufgerufen, wenn du dich vollständig abhängig gemacht hast.
Schöne Server haben Sie da! Wäre ja schade, wenn die nur 100 GB Highspeed-Bandbreite zum Storage hätten!
Früher hätte man das mit Drogendealern verglichen. Heute sind Telcos glaube ich der bessere Vergleich für ein fundamental unmoralisches Geschäftsmodell.
Nun, heute finden Wahlen auf Amazon statt, also deren Cloud-Scheiß. Weil, äh, …
Some security experts like David O’Berry, co-founder, Precog Security, said moving to AWS is “a good option for campaigns, who do not have the resources to protect themselves.”Das Argument finde ich immer die absolute Krönung. Kaufen Sie Ihre Bremsen bei uns! Klar können wir das nicht, aber Sie können das ja bestimmt noch weniger!!1!Wie wäre es mit Mindest-Qualitätszusagen?
Wir so: Freie und Geheime Wahlen gehen nicht digital.
Die so: Ach komm, machen wir bei Amazon. Klar geht das bei denen auch nicht, aber immerhin waren es dann die, die verkackt haben, nicht wir!
Unfassbar. Wie sind wir eigentlich in diesen immerwährenden Absturz initial reingeraten? Ich bin ja auch kurz davor, die Hoffnung aufzugeben, dass da noch was zu reißen ist.
Ich erinnere mich noch an meine Jugend, als ich begeistert Cyberpunk-Romane gelesen habe. Ich fand das immer total geil, aber fand die Prämisse voll unglaubwürdig, dass eine Zivilisation freiwillig ihre Infrastruktur so auf Sand bauen würde, dass alles hackbar ist.
Tja.
Heute weiß ich, wie es dazu kommen konnte.
Wahrscheinlich muss man noch dankbar sein, dass sie mit Amazon und nicht mit McDonald's zusammenarbeiten. Die haben voll viele Filialen, da kann man toll Wahllokale unterbringen! Und jeder kriegt noch nen Burger vergünstigt!!1!
Update: Falls jemand die Referenz nicht mitgeschnitten hat: Siehe hier.
Da wird sich der eine oder andere gedacht haben: Ach komm, Fefe, erzähl uns doch keinen vom Pferd, die Leute wären doch nicht so blöde und setzen Machine Learning ein, wenn das so fundamentale Probleme hat.
Daher präsentiere ich heute: Microsofts Schlangenöl mit Machine Learning hält den Updater von Dolphin für Malware. Und zwar nicht die Software auf eurem Rechner, nein, das Machine Learning in deren Cloud. Weil das Machine Learning ist, kriegen sie das nicht debugged, und das Nachtrainieren macht mehr kaputt als es heile macht. Also … hat Microsoft jetzt manuell eine Whiteliste für alle Dolphin-Entwicklerversionen, die sie gesehen haben. Und pflegen das immer schön von Hand nach.
Ich persönlich fände es ja ganz angenehm, wenn mir die Leute meinen Scheiß beim ersten Mal glauben würden, aber … not gonna lie, das ständige "told you so" ist auch ganz angenehm :-)
ich arbeite für ein nicht so kleines Software Haus. Bei einer Incident Management Schulung wurde ein Fall aus der Vergangenheit durch besprochen:Hahaha, bei Cisco nach einem Update erkundigen ist wie so ein Dickens-Roman.Die hauseigene Cloud war für 2 oder 3 Stunden komplett ausgefallen. Große Panik. Große Kosten.
Später hat sich heraus gestellt, dass irgendwelche Cisco Security Komponenten alle ihre Konfiguration "vergessen" hatten und neu durchgestartet werden mussten. Auslöser war ein Portscan im Zuge eines beauftragten Pen-Tests ...
Da musste ich schon ein wenig an dich denken.
Und dann der sehr schöne Maßnahmenkatalog:
- Cisco fragen, ob es dafür ein Update gibt
- keine Portscans mehr vor 16:00
Thank you Sir, may I have another?
Sind schon voll vorteilhaft, diese Abo-Lizenzmodelle, wo einem die Werkzeuge gar nicht mehr gehören, die man so benutzt.
Vergleich mal diese UIs mit den Security-UIs, die möglicherweise eure ganze Firma runterfahren können, wenn ihr einmal danebenklickt. Vergleicht mal, durch wieviel Hindernisparkour ihr hüpfen müsst, um ein Windows ohne Cloud-Account und mit so weit wie möglich abgeschalteter Telemetrie installiert zu kriegen, mit der UI, um ein Trojaner-Attachment auszuführen.
Dann werdet ihr Ausreden der Form "das können wir unseren Usern doch nicht zumuten" mit ganz anderen Augen sehen.
Das ist gerade in Südkorea passiert und sieht aus wie eine atomare Mushroom Cloud. Krawumm!
Cloudflare hat auch nicht so genau hingeguckt, ist ihnen jetzt aufgefallen. Rechtzeitig aufgefallen, hoffen sie, um vor dem Richter mildernde Umstände geltend zu machen.
Richter? Ja, denn wir reden hier von Terroristen und Ländern mit Wirtschaftssanktionen.
Aber selbst damit machen sie noch Achtstellig Verlust pro Quartal. Hey, da will man doch Aktionär werden! Of course we lose money but we will make it up in volume!
Und es wussten natürlich alle, spätestens seit Amazon den Skandal hatte. Und glaubt mal gar nicht, dass nicht auch Google eine Qualitätssicherungsabteilung hat, die Aufnahmen anhört und guckt, ob die richtig erkannt wurden.
Ich habe ja noch nie verstanden, wieso Leute weniger Probleme damit haben, wenn eine Maschine ihren privaten Scheiß durchgeht als wenn das ein Mensch macht. Die eigentliche Frage ist: Gehört die Maschine dir? Bist du dir wirklich sicher, du verstehst und kontrollierst sie?
Wen du deine Daten in die Cloud höchlädst, sind es nicht mehr deine Daten.
Warum?
Weil diese Cloud in Sankt Petersburg ist. Und die Russland-Cloud erzeugt natürlich Beißreflexe, wo die Amazon-Cloud unter dem Radar weitersegelt.
Die Doppelmoral ist erstickend! Zeitungen, die keine Sekunde gezögert haben, meine Daten an Dutzende Werbenetzwerke in intransparente Clouds irgendwo hochzuladen, die erzählen mir plötzlich, Daten in die Cloud laden ist gefährlich?!
Ich kann nur jedem empfehlen, mal eine Private-Browsing-Sitzung in ihrem Browser zu machen und den Adblocker auszuschalten. Nur für eine Stunde oder so. Und dann klickt euch mal durch eure Lieblings-Nachrichtenseiten. Nur mal so als Realitätsabgleich. Da findet ihr überall Werbenetzwerke der untersten Kategorie, die euch Scams aller Art andrehen wollen ("Day-Trading schnell gelernt!", "Silbermünzen als Andenken an Nicki Lauda!", "Krypto-Währungen, die Bitcoin hinter sich lassen werden!!"). Besonders enttäuscht hat mich Heise, die jetzt auf Telepolis unter allen Artikeln eine externe Firma eine "Abstimmung" einblenden lassen, mit so Fragen wie "Die Nutzung des Weltraums steht allen frei / sollte stärker reguliert werden". Selbstdarstellung dieser Firma:
We are not just a widget – we are THE platform for brands to scale content marketing and insightAre you fucking kidding me, Heise? Und IHR habt die Stirn, mich vor irgendwelchen russischen Cloud-Firmen zu warnen!?Oder noch geiler beim ehemaligen Nachrichtenmagazin. Ohne Adblocker kriegt man da die Tage nach dem obersten Artikel eine ZDF-Werbung, die beim Runterscrollen mal eben den ganzen Bildschirm einnimmt. Un-fass-bar! Da hast du echt Schwierigkeiten, zwischen der Werbung den Inhalt zu finden!
Kommt, liebe Medien, erzählt mir mehr über die Risiken der russischen Cloud für meine Privatsphäre!
Update: Hahaha, ist ja noch geiler! Das ist die Amazon-Cloud, nicht die Russland-Cloud! Ein Leser wies noch darauf hin, dass man ein Foto manuell zur App schickt, nicht dass die App von sich aus Zugriff auf alle Fotos haben will und die dann durchgeht. Oh Mann. Die App ist also datenschutzfreundlicher als die meisten anderen Apps! LMAO
Daraufhin gab es Widerspruch bei Golem und jetzt rudert auch Heise zurück. Dabei spielt das doch mal sowas von überhaupt gar keine Rolle, wie irgendwelche Malware-Samples nach Hause telefonieren. Wenn eie Malware nach Hause telefoniert, ist das Kind schon im Brunnen und ist schon blau angelaufen.
Das Problem bei DNS-over-HTTPS ist auch nicht, dass man damit verschlüsselt kommunizieren kann, sondern dass ... ich hatte das hier schonmal ausgeführt ... die Komplexität mehrere Größenordnungen höher ist, ohne dass es tatsächlich einen echten Privacy-Mehrwert bringt. Außer in einem Szenario. Bei einem WLAN, das man sich mit Fremden teilt.
Mein Hauptproblem mit DNS-over-HTTPS war aber, dass das den gesamten Traffic über Cloudflare lenken wollte. Nun halte ich Cloudflare für einen Haufen inkompetente Clowns, aber selbst wenn sie wüssten, was sie täten, was wie gesagt jedenfalls aus meiner Warte nicht der Fall zu sein scheint, selbst dann wäre es eine schlechte Idee, allen DNS-Traffic aller Mozilla-Kunden über Cloudflare zu tunneln. Das macht dann nämlich das Abgreifen der DNS-Daten noch einfacher für die Geheimdienste. Die müssen nur bei Cloudflare den Schnorchel ansetzen. Gerade für US-Geheimdienste, in deren Jurisdiktion Cloudflare liegt, wäre dafür nicht mal Hacking-Aufwand vonnöten.
Also, nochmal zum Mitmeißeln. DOH ist schlecht, weil es so furchtbar komplex ist, nicht weil Malware darüber reden könnte. DOH zu Cloudflare ist schlecht, weil Cloudflare alle Nase lang irgendwelche katastrophalen Ausfälle hat, und weil zentralisiertes DNS-Routing für die Dienste das Abschnorcheln zu einfach macht. Und hört endlich auf, Malware zu analysieren, was sie nach der Infektion macht. Nach der Infektion ist es zu spät. Findet lieber raus, wie die Malware auf das System kommen kann, und macht das zu.
Nun, … gut dass ich dagegen war.
Nun, herzlich willkommen bei RAMBleed. Stellt sich nämlich raus: Man kann auch benachbarte Zellen auslesen.
Klingt jetzt nicht so schlimm, aber man muss bedenken, dass zwischen dem RAM und deinem Prozess eine MMU sitzt, und ein Betriebssystem, das den physischen Speicher wild durch eine Indirektionsschicht umherwürfelt, d.h. nur weil die physikalischen Adressen benachbart sind, heißt das mitnichten, dass die Daten vom selben Prozess sind.
Das ist schon für einen Single-User-Desktop furchtbar, weil das auch ein unprivilegierter Prozess in einer Sandbox machen kann, also z.B. Javascript im Browser.
Aber für Cloud-Umgebungen ist das ein weiterer Totalschaden.
As an example, in our paper we demonstrate an attack against OpenSSH in which we use RAMBleed to leak a 2048 bit RSA key.Und das funktioniert so:We show in our paper that an attacker, by observing Rowhammer-induced bit flips in her own memory, can deduce the values in nearby DRAM rows.Und falls ihr euch jetzt denkt: Ach macht nichts, ich hab damals nach Rowhammer ECC-Speicher gekauft, dann habe ich schlechte Nachrichten für euch:Furthermore, unlike Rowhammer, RAMBleed does not require persistent bit flips, and is thus effective against ECC memory commonly used by server computers.Fuuuuuuck! (Danke, Sven)
Finde ich persönich ja zweitrangig. Wichtiger wäre mir, dass der Scheiß gar nicht erst ausfällt.
Stellt euch mal vor, jemand wie Huawei würde die Finanzierung eines Openstreetmap-Google-Maps-Klons sichern, dann vielleicht auch mit ordentlichem Routing und Einbindung von Verkehrsechtzeitdaten, aber ohne dass die Daten bei Huawei oder Google in der Cloud landen!
Ich glaube, dass das auch der Grund ist, wieso Google schnell zugesagt hat, dass existierende Geräte weiter versorgt werden.
Salesforce is going through one of its biggest outages ever after the company was forced to shut down large chunks of its infrastructure earlier today.At the heart of the outage was a change the company made to its production environment that broke access permission settings across organizations and gave employees access to all of their company's files.
Mit "employees" sind hier nicht Salesforce-Mitarbeiter gemeint, sondern Mitarbeiter der Kunden von Salesforce. Die konnten dann innerhalb der Daten des Kunden alles zugreifen.Immerhin scheint es kein Multi-Tenant-Breach zu sein. Das ist ja so der Super-GAU der ganzen Cloud-Anbieter, dass Pepsi auf die Daten von Coca Cola zugreifen kann, weil sie was verkackt haben. Denn damit sich Cloud-Scheiß finanzierll lohnt, muss man alle Kundendaten auf möglichst wenig gemeinsam genutzter Infrastruktur verarbeiten. Die Security verlässt sich dann darauf, dass "wir schon aufpassen beim Programmieren". Ja nee, klar.
Adobe is warning some owners of its Creative Cloud software applications that they’re no longer allowed to use older versions of the software.Na klar! Was dachtet ihr denn? Nur weil ihr etwas bezahlt habt, dürft ihr das dann auch benutzen?! Nicht bei Adobe!
Erstens: Die ist von vor einem Jahr.
Zweitens: Ja, da gibt es Nachpatchen, aber Nachpatchen ist eine Lüge. Da werden nur Bugs gepatcht, von denen klar war, dass das ein Security-Bug war. Der Anteil der Security-Bugs, bei denen das von vorneherein klar und klar im Bugtracker markiert ist, liegt je nach Umfeld zwischen 0 und 50%.
Drittens: Das Warten von solchen Versionen bindet völlig sinnlos Personal, das dann nicht zur Verfügung steht, um die tatsächlich aktuelle Version von Firefox sicher zu halten. Das verschärft das Problem also noch, anstatt es besser zu machen.
ESR-Versionen waren der Versuch, Open Source-Software mit langen Release-Zyklen "Enterprise-Ready" zu machen. Das war ein spektakulärer Fehlschlag, auf ganzer Linie. Nicht nur macht die Existenz von ESR-Versionen die regulären Versionen unsicherer (siehe oben), die Enterprise-Adoption ist nicht erwähnenswert gestiegen, und viele Leute, die es nicht besser wissen, fahren jetzt halt die ESR-Version und halten sich für adäquat gesichert / aktuell. D.h. nicht nur die tatsächliche Software wird unsicherer, wirh aben auch das Verhalten der Leute in die falsche Richtung trainiert. Herzlichen Glückwunsch an uns alle. So eine effektive Sabotage von Open Source hat nicht mal Microsoft in ihren übelsten Jahren mit all ihrem FUD hingekriegt.
Ich möchte noch kurz erwähnen, dass das ESR-Modell selbst in Enterprise-Umgebungen tot ist. Windows und Office365 sind jetzt rolling releases, und typische Enterprise-Software ist "in die Cloud" geschoben worden, weil das alte Modell offensichtlich Scheiße war und nicht funktioniert hat. Aber Firefox und Tor sehen sich als gallisches Dorf, in dem sich die Geriatrie-Abteilung gegen diesen ganzen neumodischen Scheiß zur Wehr setzt. Ja nee, klar.
Wisst ihr, von mir aus könnten sie das ja gerne machen. Wenn sie dann die Kosten dafür alleine tragen würden. Tun sie aber nicht.
Die im Rahmen der Studie beauftragten IT-Sicherheitsspezialisten fanden im Darknet Zugangsdaten von 60 % der deutschen Kliniken sowie von jeder zehnten Arztpraxis. Vielen Medizinern fehlt scheinbar das Bewusstsein für IT-Sicherheit: Neun von zehn Ärzten verwendeten leicht zu erratende Passwörter wie „Behandlung“ oder den eigenen Namen, so die Studie.Und dann über Microsoft meckern, klar.
Aber lasst euch davon nicht die Laune kaputtmachen. Der Artikel hat extra auch eine humoristische Sektion, wo sie jemanden von Siemens "Healthineers" (OMFG!) interviewt haben. Und der sagt da so Dinge wie:
„Neue Medizingeräte setzen Container und virtuelle Maschinen ein.“ Darin läuft ein eigenes abgeschottetes Betriebssystem nur für die medizinische Spezialanwendung. „In Zukunft planen wir eine Cloud-Anbindung speziell für Medizingeräte“, ergänzt Heidenreich. „So können wir die Komponenten besser schützen.“JA SUPER! Die benutzen das natürlich zum Upselling! Ja, sorry, Herr Arzt, ihre Hardware ist noch zu alt für die schönen neuen "Security-Features" wie Virtualisierung und Cloud! Da müssen Sie die neue Generation kaufen!1!!
Oder wie wäre es alternativ damit, wenn ihr den Ärzten nicht unsicheren Scheiß verkaufen würdet? Geräte ohne Netzwerkanschluss? Und ohne Windows drauf? (Danke, Simon)
Erstens gilt natürlich auch bei Sourcecode: Wenn du deinen Scheiß in die Cloud hochlädst, ist es nicht mehr dein Scheiß. Mir völlig unbegreiflich, wieso so viele Leute das machen.
Zweitens: git erscheint nicht wie eine kluge Wahl für Kidnapping. Das ist ein verteiltes Versionierungssystem. Jeder, der mal einen Checkout gemacht hat, hat noch den aktuellen Stand und alle Versionen von vorher. Daher ist die Drohung auch nicht "wir löschen unser Backup" sondern "wir veröffentlichen unser Backup". Es handelt sich also nicht um Open Source-Repositories, die hier angegriffen werden.
Erstens kamen Mozilla-Mitarbeiter/Helfer und schrieben mir (ich paraphrasiere) "Ihr Anruf ist uns sehr wichtig. Wir nehmen alle Beschwerden ernst." und einer kam mit so PR-Technobabble ala "we leveraged synergies to improve benefits". Das empfinde ich symptomatisch für das Problem, in dem wir uns befinden. Mozilla hat vergessen, wer ihre Software einsetzt, und warum. Dass sie überhaupt angefangen haben, mir irgendwelche Anmelde-Scheiße wie Pocket und Sync penetrant reindrücken zu wollen, zeigt das mehr als deutlich.
Zweitens kamen so Digital-Prepper mit "also ich benutze ja deshalb (obskurer Firefox-Fork von vor 8 Jahren). Der kann zwar kein Javascript, und dumpt bei 40% der Webseiten core, aber dafür kann ich dem noch vertrauen!1!! Ruf mal bitte dazu auf, dass Entwickler dem Projekt helfen sollen!!1!".
Drittens kamen so "der Fefe hat keine Ahnung, was für ein Idiot"-Meldungen. Die kommen häufig nicht ZU mir sondern ÜBER mich auf Twitter, wenn sich die Leute gegenseitig im Kreis ihre eigene Großartigkeit und die Idiotie aller anderen bestätigen. Dass Leute immer noch für sowas Zeit haben...
Einer fragte mich, ob es vielleicht in China ein Browser-Projekt gäbe. Weil den Browsern aus dem Westen kann man ja nicht mehr trauen.
Ich finde es schockierend, wie die Browserhersteller aus dem Westen ihre eigene Userbasis solange mit Füßen getreten haben, bis ihnen niemand mehr traut, und Leute nur noch aus Lockin-Gründen bei ihrem Browser bleiben. Weil es zu nervig wäre, die Bookmarks und Extensions woanders hin zu migrieren.
Ich hatte mal gehofft, dass Open Source und Free Software dagegen immun sein könnte.
Damit das nicht ganz untechnisch ist hier: Mozillas eigentliches Problem war, dass sie Profil-Korruption hatten, wenn alte und neue Versionen von Firefox am selben Profil herumgearbeitet haben. Das ist ein bekanntes und zigfach gelöstes Problem. X.509-Zertifikate, TLS, SMB, HTTP, wo man hinguckt, überall gibt es Protokolle, die nachträglich erweitert wurden. Klar ist das nicht immer schön. Aber Code so zu machen, dass alte Versionen neue Felder, die sie nicht kennen, ignorieren und im Profil beibehalten beim Speichern, das ist echt keine Raketentechnologie. Hier hat Mozilla technisch auf ganzer Linie verkackt. Und ihre Lösung war nicht, das zu reparieren, sondern mir lieber mein Profil wegzunehmen in der neuen Version (Bookmarks, Extensions, Ublock-Regeln, alles) und mir Sync reinzudrücken zu versuchen. Das ist nicht zu verteidigen. Seit Jahren hat der Browser immer und immer wieder solche versifften Ecken, aber Firefox investiert ihre Millionen lieber woanders. Bei Pocket und Sync.
Oh apropos Sync. Sync gab es ja mal in kryptografisch ordentlich. So dass man a) dem Server nicht trauen musste und b) einen eigenen Server betreiben konnte. Angeblich kann man heute immer noch einen eigenen Server betreiben. Das wurde mir auch ein paar Mal empfohlen. Ich will aber keine weiteren Services betreiben müssen. Jeder Service ist ein Risiko. Schonmal doppelt, wenn das irgendein stinkender Python-Rotz von Mozilla ist. Was die immer alle mit ihrem Python haben! Das war ja schon bei Letsencrypt fast ein Todesurteil, dieser stinkende Python-Rotz, den sie allen Benutzern überhelfen wollten.
Besonders geil finde ich immer, wenn Mozilla dann erzählt, für sowas gäbe es halt keine Entwickler gerade. Ihr habt ein Millionenbudget! Ihr könnt Leute dafür bezahlten, Dinge zu tun, die sie freiwillig nicht tun würden! Stattdessen fließt die Kohle dann zu Hipster-Scheiße wie Pocket und Sync. Zum Mäusemelken.
Oh, das UI um meinen eigenen Server zu benennen, habe ich auch nicht gesehen. Firefox zeigt mir hier jedenfalls nur eine Login-Maske, bei deren Benutzung ich ihrer "Datenschutzerklärung" zugestimmt haben muss. Ja nee, klar. Erzählen mir was von Privatsphäre und wollen dann meinen DNS-Bewegungsdaten bei Cloudflare hochladen und mich über Sync-Login tracken können. Wird nicht passieren, Mozilla.
Ihr lautester Angriff bisher war dieses Projekt mit Mozilla, dass Firefox seine DNS-Anfragen über ein neues Protokoll (über HTTPS!!1!) an Cloudflare durchtunnelt, damit sie schön alle Bewegungsdaten des Internets bei sich in der Datenbank haben. Daten sind das Erdöl des 21. Jahrhunderts!
Dann erinnere ich mich da noch an "hört mal alle auf, ANY-Anfragen zu beantworten, weil wir können das auch nicht". Ganz großes Kino.
Warum hole ich das alles aus der Mottenkiste? Weil es bei Cloudflare vor ein paar Wochen einen lustigen DNS-Ausfall gab.
WENN es jemanden gibt, dem ich in Sachen DNS weniger zuhören würde als Axel Voss, dann ist es Cloudflare.
New hotness: Zugriff auf die deutsche Azure-Cloud wird von Google Safe Browsing blockiert.
Bestimmt bloß ein bedauerliches Missverständnis. Oder hängt Googles Cloud so weit zurück, dass sie sich zu solchen Methoden genötigt sehen?
A major international bank accidentally published a private package of their own to the public npm Registry, took *3 years* to notice, and then sent DMCA takedown notices to Amazon and Cloudflare for hosting "stolen code".Einmal mit Profis arbeiten!
Na klar! Bei Amazon in die Cloud!
Wohin auch sonst. Ist ja nicht so, als beträfe das irgendjemandes Privat- oder gar Intimsphäre.
Ihr könnt euch vorstellen, dass Bezos gerade etwas ungehalten ist. Es sieht ein bisschen so aus, als würde Bezos jetzt aus dem Enquirer einen Parkplatz machen, wie es der Thiel mit Gawker gemacht hat.
Update: www.nationalenquirer.com ist tot. Die IPs liegen in ... der Amazon Cloud.
Update: Ein Leser weist darauf hin, dass das Geoblocking ist und man per US-Proxy noch auf die Seite kommt.
[Einige Kunden] stellten fest, dass ihre Datenbanken plötzlich gelöscht wurden.Und wie üblich in der Cloud war das kein menschliches Versagen eines Admins, weil das alles durchautomatisiert ist.Ein Nutzer berichtet etwa von einer gelöschten und wieder restaurierten Azure SQL-Datenbank, die aber leer war.
“An automated process, designed to trigger when custom keys are removed from KeyVault, inadvertently caused these TDE databases to be dropped.We are in the process of restoring a copy of these SQL DBs from a recovery point in time of less than 5 minutes before the database was dropped. These restored databases … are located on the same server as the original database.”
Ich finde das ja immer süß, wenn Leute Daten in der Cloud verschlüsseln. Als ob das irgendwas besser machen würde! Der Schlüssel, mit dem ihr die Daten verschlüsselt, befindet sich auf dem Rechner, der jemand anderem gehört und von jemand anderem administriert wird. Das ist Security-Theater.
Macht euch von der Cloud abhängig, sagten sie! Was kann da schon passieren?
Durch einen Fehler von Amazon.de fielen rund 1700 Alexa-Sprachaufzeichnungen in die Hände eines Unbefugten.Hey, da gehst du doch los und kaufst dir auch so ein Gerät!1!! Wenn der Hersteller so vertrauenswürdig ist?
Update: Übrigens, nur damit das klar ist: Das Problem hier ist nicht, dass die Aufzeichungen in falsche Hände gerieten. Das Problem ist, dass es überhaupt Aufzeichnungen gab. Amazon sagt ja, das Audio geht zur Stimmerkennung in die Cloud. Von Aufzeichnungen stand da nichts.
Update: Einige Leser weisen darauf hin, dass das so nicht stlimmt. Amazon ist (oder zumindest war) ziemlich deutlich darüber, dass sie aufzeichnen. Dann verstehe ich umso weniger, wieso Leute das jemals gekauft haben.
Aber so wird die US-Regierung das nicht sehen, ist anzunehmen. Könnte uns ja eigentlich völlig egal sein, aaaaaaber Cloudflare waren auch die, denen Mozilla den DNS-Traffic ihrer User schenken wollte. Und da wird es dann doch interessant für Verschwörungstheoretiker.
Das Ausformulieren überlasse ich mal Bert Hubert, der PowerDNS gegründet hat. Das ist kein direkter Konkurrent von Cloudflare. Der hatte sich auch schon ausführlich über Mozilla-DNS-via-Cloudflare geäußert. Spoiler: Er ist kein Fan.
Update: Falls jemand Bert Hubert nicht kennt: Das ist ein verdienter Ingenieur, der neben DNS z.B. auch für die einzige brauchbare Einführung in iproute2, die ipsec-tools und Traffic Shaping bekannt ist. Der weiß, wovon er redet. Wenn sein Wort gegen das von Cloudflare steht, würde ich immer erstmal ihm glauben.
Unter anderem kommt KI bei der Echtzeit-Analyse der Daten zum Einsatz. Zum anderen setzen wir Algorithmen ein, um Anomalien zu erkennen, die die Sicherheit des gesamten Fahrzeugs kompromittieren könnten – durch Deep Learning erfasst Evolver dabei auch unbekannte Bedrohungen.Oh ach so ist das! Big Data mit KI! Ist der Cloud? Na klar!
Im Bereich der Cloud Services haben wir im vergangenen Jahr eine Partnerschaft mit SAP vereinbart.Fuck, yeah!
Hat aber keine Zukunft, fürchte ich. Weder Blockchain noch Quantencomputer. So wird das nichts. (Danke, Matthias)
Hat sich am Ende doch Open Source durchgesetzt im Browsermarkt auf Windows. Wer hätte das gedacht.
Hoffen wir mal, dass Microsofts Präsenz im Chromium-Projekt dazu führt, Googles Dominanz dort zurückzufahren. Google macht mit Chrome gerade genau dasselbe, wofür wir früher Microsoft gehasst haben. Entscheidungen nach Gutsherrenart, Einführen von "Features", anch denen nie jemand gefragt hat, Entscheiden über den Kopf der User hinweg. Ich bin daher seit Jahren Firefox-User, auch auf dem Smartphone. Leider ist der Marktanteil von Firefox gerade unter 10% gefallen — auf dem Desktop. Insgesamt ist es noch weniger, da die Plattformbetreiber alle alles in ihrer Macht stehende tun, um Firefox auf ihren Plattformen zu behindern, damit es ihrem Durchmarsch gegen die User nicht im Wege steht. Leider hat Firefox auch gefühlt jede Gelegenheit genutzt, ihren Usern das Gefühl zu geben, bei ihnen sei das alles dasselbe in Grün. Ich sagen nur: Werbung auf dem Startbildschirm, Tonnen von Tracking-Bullshit, und jetzt auch noch "Pocket".
Und dieser ganze dauernde Ärger verhindert dann, dass man an dem Rest Spaß hat. Mozilla macht ja eine Menge coole Scheiße, so ist das nicht. Rust zum Beispiel ist ein Lichtblick für die ganze Software-Entwicklungs-Branche. Es ist ein Wunder, dass das so weit gekommen ist, wie es ist. Da hätte ich dagegen gewettet, wenn mich jemand gefragt hätte.
Und es kann nicht darüber hinwegtäuschen, dass Firefox es nicht packt, unter Linux Hardware-Video-Playback hinzukriegen. Das verdoppelt mal eben den Stromverbrauch. Kriegt auch Chrome nicht hin unter Linux, übrigens. Aber wisst ihr, wer das hinkriegt? Ja richtig! Edge!
Update: Habt ihr eigentlich schon gehört? QUIC soll HTTP/3 werden! Ein weiteres beschissenes Google-Komplexitäts-Monster, nach dem keiner gefragt hat. Bei Microsoft haben die Leute wenigstens noch gemerkt, dass sie mit Microsoft Network gearbeitet haben und nicht mit dem Internet. Bei Google fahren alle Chrome und benutzen Google-Infrastruktur mit Google-Protokollen in der Google-Cloud, am besten noch über Google Fiber.
Cisco ist da und wirbt mit Malwareschutz.
Die Schufa ist da und wirbt mit Provisionen (für wenn eine Sparkasse ihnen Kundendaten gibt oder wie?).
IBM ist da und wirbt mit Quantencomputing.
Die Schufa zahlt Provisionen? Cisco macht Malware-Bekämpfung? Quantencomputer werden noch gehyped? Eine Überraschung nach der nächsten! :-)
Das mit den Schufa-Provisionen erklärt aber in der Tat einiges.
Der Vortrag selbst war mit Kopfhörern. Das Publikum kriegt Kopfhörer, der Vortragende ein Mikrofon, und dann muss man keinen Saalton haben und stört niemanden. Dafür sieht das von der Bühne aus, als würde Doctor Who ein paar Cybermen umprogrammieren. Die Kopfhörer haben an der Seite auch noch so einen farbigen LED-Ring, an dem man den Funk-Kanal sehen kann, den der gerade hört. Man erzählte mir, dass ein paar Schlipsträger sofort den Kanal wechselten, als ich von Blockchain anfing. Das ist echt Dark Mirror.
Aber beim Rumfragen kam raus, dass das auch schon andere erlebt haben, und deren Erfahrung war, dass die Leute konzentrierter folgen können, wie bei einem Podcast, weil sie weniger Seitengeräusche hören.
The future is now!
PS: Das IBM-Zeug ist eher Forschung, wie ich in einem netten Gespräch mit einem IBM-Mitarbeiter erfahren habe. Wenn man das nicht weiß, kann man aber am Stand einen anderen Eindruck kriegen. Immerhin haben sie da 16-20 Qubits und man kann in der Cloud mit einem Simulator rumspielen (oder auch Zugang zur echten Hardware kriegen).
Seagate schützt Festplatten künftig mit einem kryptografischen Fingerabdruck (eID) und setzt dabei auf das Hyperledger Fabric und die IBM-Cloud.Hyperledger? Das klingt doch, … ist das nicht? Ja genau! Das ist Blockchain!!1!
Update: Oh es gibt da auch noch ein Whitepaper zu! Und die wollen das jetzt mal so richtig holistisch angehen (*ankreuz*).
But greater value means greater threats, and software based security measures alone are no longer sufficient to ensure that your data stays under your control. In fact, software-only solutions intensify the pressure on the data storage lifecycle, making end-to-end security both more important and more difficult. That’s why security analysts recommend a broad range of solutions including hardware-based encryption.
BINGO!
Das ergab für mich keinen Sinn, und ich bin erkältet schlafen gegangen. Hatte dann in einem Fiebertraum eine plötzliche Eingebung. Was, wenn wir hier bloß die Prinzipien des Poststrukturalismus auf Projektmanagement übertragen sehen? Genau wie man heute leugnet, dass man sich für gute berufliche Karrierechancen mit der Materie auskennen sollte, und postuliert, dass jeder Misserfolg durch externe Unterdrückung verursacht wurde, so macht man das jetzt auch analog für Projekte.
Man leugnet, dass die Produktqualität eine Rolle spielt, "das können ja die Ingenieure schon richten". Wichtig sind UX, Farbwahl fürs Branding, die Diversity-bejahenden Stock Photos. Klar kann die App nichts, aber schau wie schön langsam sie ist!
Nun kann man vermuten, dass das schlicht alles daran liegt, dass der UX-Wahn die Kohle vom Engineering abzieht. Das glaube ich aber nicht, wenn am Ende noch Geld für Krisen-PR und fünf weitere Finanzierungsrunden auf einem Haufen UX-Bullshit auf Treibsand-Fundament bzw. ganz ohne Fundament da ist.
Ich glaube daher, hier wird systematisch Realitäts-Leugnung betrieben. Und ich vermute ähnliche Beweggründe / Mechanismen wie beim Poststrukturalismus.
Gut, bei Startups kommt noch eine andere Familienpackung Bullshit oben drauf. Die verplempern ihre Kohle ja auch lieber in Growth-Hacking, Suchmaschinenoptimierung und A/B-Testing und "User Stories" (was früher Use Cases hieß und einen Sinn hatte). Und man zahlt für die ganzen Cloud-Services, das war früher auch nicht. Klar, da bleibt dann irgendwann kein Geld mehr für das eigentliche Produkt übrig.
Jedenfalls, zusammengefasst. Wo man früher leugnete, dass man Knowhow für eine Tech-Karriere braucht, leugnet man heute, dass es ein Produkt für Erfolg am Markt braucht, und bauen kaputte Mockups.
Und als wenn die Meldung nicht schlimm genug wäre, fordert Trump als Reaktion eine "Verschärfung der Todesstrafe". Nein, wirklich! Die ist noch nicht abschreckend genug! Und und es wäre bestimmt nicht so schlimm gelaufen, sagte er, wenn die selber bewaffnet gewesen wären. m(
Der Täter war, wie auch der Mail-Bomber gerade, Mitte Fünfzig und war ebenfalls in sozialen Netzen (und gegenüber der Polizei) bekannt für seine antisemitischen Tiraden (Zum Vergleich)
Übrigens gibt es ja einen eigenen Twitter-Klon für Rechtsradikale namens "gab", wo natürlich auch dieser Typ rumhing. Die ziehen immer von Hoster zu Hoster und Cloud-Anbieter zu Cloud-Anbieter, weil die keiner lange haben will. Aktuell kündigt ihnen Joyent.
Geht in die Cloud, sagten sie! Klar ist das langsamer und unter jemand anderes Kontrolle, aber dafür ist es super verfügbar!1!!
Mir ist ja nach wie vor unklar, wieso Container als Methode zum Downloaden und sicheren Ausführen von Fremdsoftware aus dem Internet verkauft wird. Wenn man nicht gerade ein Cloud-Provider ist: Wie viele Szenarien beinhalten denn bitte, dass man unvertrauenswürdige Software ausführt? Wenn die Software nicht vertrauenwürdig ist, dann führt man sie nicht aus. Oder man lebt halt damit, dass die Software Mist machen kann, und lässt sie nicht an die Datenbank mit den Payroll-Daten oder das Corpnet ran.
Ich finde, Container muss man eher als Deployment-Technologie betrachten. Für Software, die man im Moment per # ./install deployed, oder per RPM oder DEB. Da schiebt man jetzt halt nicht ein RPM mit Dependencies herum, sondern aus dem Buildsystem fällt ein Image mit allen Abhängigkeiten, und die schiebt man auf das Zielsystem. Wenn das Ärger macht, dann fährt man das vorherige Image nochmal hoch und hat nur ein paar Sekunden Downtime. Das ist ein Versprechen, das Container grundsätzlich einlösen können, und da sind sie auch nicht schlechter als irgendein gammeliges manuell hochgepatches (wenn überhaupt) Redhat mit handinstallierter Anwendung — sondern haben sogar echte Vorteile.
Die ganze Idee hinter Containern ist dann, dass man beim Deployment agiler wird, und Fehler nicht so schlimm sind, weil man das alte Image noch hat. Dann muss man aber natürlich auch agil sein und seine Images häufiger neu bauen, insbesondere auch mit den aktualisierten Abhängigkeiten frisch. Warum das keiner macht, ist aber eine Frage für einen anderen Blogrant :-)
Important information regarding your Data Science Virtual Machine
instance(s)
Microsoft is writing to inform you of an incident which has
impacted one or more of your Data Science Virtual Machine (VM)
instances. Engineers detected crypto mining software in the
software package for your Data Science VM instance that may have
caused an increase in system resource utilization and subsequent
increase in your Azure usage. We have determined that this
affected a limited subset of Data Science VM instances installed
since September 24th, 2018.
Our investigation has determined that no customer data was
compromised due to this crypto mining software. A list of your
affected VM(s) is included at the bottom of this email.
Azure recommends that customers delete their affected Data
Science VM instances and redeploy a new instance from Azure
Marketplace to mitigate this issue. If you experience any
unexpected issues during the deletion and reinstallation of your
VM instances, please contact [4]Azure Support.
Microsoft sincerely apologizes for this incident and any
inconvenience that this has caused for our customers. We will be
proactively issuing credits for any increased usage on your
affected VM(s) that is attributed to this incident. Credits will
be applied to a future billing invoice.
Ich saß heute in einer Keynote von Mikko Hypponen drin, der da diese Geschichte erzählte, dass die Leute total glücklich sind, wenn man ihnen erzählt, dass sie sich einen Krypto-Miner eingefangen haben. Wenn du mit "Wir haben Malware gefunden" eröffnest, dann rechnen die eher mit Kreditkarte geklaut, Dokumente verschlüsselt, etc. Dann ist es direkt eine Erleichterung, wenn das "nur" ein Kryptominer war.Gut, in der Cloud zahlt man für Nutzung, und da kann so ein Kryptominer echt teuer werden.
A solution to providing frictionless trade across the Irish border after Britain leaves the European Union might be found using technology such as Blockchain, finance minister Phillip Hammond said on Monday.Ja, äh, wenn das der Finanzminister sagt, dann wird das wohl stimmen!1!!"There is technology becoming available (…) I don't claim to be an expert on it but the most obvious technology is blockchain," Hammond said when asked about how the government could achieve smooth trade after Brexit.Gesundheit!Ich frage mich ja, wie er Machine Learning und die Cloud so sträflich vernachlässigen konnte! Und selbstfliegende Autos! (Danke, Kristian)
Heute ist so eine Gelegenheit, und zwar bei den herausragenden Bullshitsprenklern von Cloudflare, die schon seit Jahren immer wieder durch die Dichte ihrer Nebelbänke beeindrucken konnten. Hier ist die Phrase:
It allows you to write serverless code which runs in the fabric of the Internet itselfWow. Ernsthaft. Wenn euch das nicht beeindruckt, dann weiß ich auch nicht.
Also ich zum ersten Mal in einen seiner Vorträge reingeguckt habe, dachte ich: WTF? Dann: What the I don't even!? Dann: OMGWTF!?!? Und schließlich: Es muss wunderbar sein, ich verstehe kein Wort!
Diese Erfahrung hat sich seitdem jedes Mal wiederholt, wenn ich ihm begegnet bin. Als er dann zufällig in der Nähe war (eigentlich arbeitet er am MIT gerade), haben wir ihn uns gekrallt und schnell eine Sendung aufgenommen, die hoffentlich auch alle Ansprüche erfüllt, die ihr so an eine Sendung mit der Nummer 42 gestellt haben könntet.
Weil unsere Audioingenieur Dr. Gerd Eist gerade anderweitig ausgelastet ist, hat Frank das wieder durch ein Shellskript ersetzt, das sich als recht widerspenstig herausgestellt hat. Von der unfassbaren Wartezeit erklärt das aber gerade mal ein paar Wochen. Wir sind Schuld, wir wissen es, und es tut uns furchtbar leid. Vielleicht sollten wir mal unsere Berufe aufgeben und nur noch Podcasts machen.
Anyway.
Bei der Gelegenheit mal eine kleine Umfrage. Wir hatten noch eine andere Sendung aufgenommen, zu einem Thema, das mir persönlich sehr wichtig war, nämlich Jordan Peterson und der aufstrebende Einfluss des Konservatismus. Allerdings hat ein Freund sich recht kritisch geäußert, der reingehört hat, weil wir weder von Bibelexegese noch von der Theorie des Konservatismus wirklich Ahnung hatten, und er fand, die Sendung entspräche daher nicht unseren üblichen Qualitätsansprüchen. Wollt ihr die trotzdem hören? Auch auf die Gefahr hin, dass die nicht so gut ist? Wir könnten die ja auf ins Darknet leaken oder so, und dann sagen, Franks Apple-Cloud-Accounts seien von den Nordkoreanern penetriert worden. Dann würde niemand sein Gesicht verlieren. Aber bevor ihr darüber nachdenkt, hört euch erstmal die Sendung 42 an. Ich finde, sie ist ein ganz großer Wurf geworden. Ich habe nicht mal die Hälfte verstanden, und ich war der Moderator!
Hier berichtet das jemand aus 1. Hand. Sehr schöner Spannungsbogen auch in der Geschichte! Könnte man direkt verfilmen, wenn man keinen Wert auf seine wirtschaftliche Existenz legt und kein Problem damit hat, sofort von Aktivisten aus seinem Job rausgemobbt zu werden! Einer der Höhepunkte der Geschichte ist, dass die National Science Foundation darum bittet, er möge in seinem Paper nicht erwähnen, dass er Funding von denen bekommen hat.
In my 40 years of publishing research papers I had never heard of the rejection of an already-accepted paper.Jajaaa, das mag ja sein, aber nicht wenn man etwas schreibt, was den "Progressiven" nicht gefällt. Dann gelten keine Grundrechte mehr, keine Meinungs- und keine Forschungsfreiheit, dann wird deine Karriere abgetrieben.Und wie ein naiver Idiot versucht dieser Forscher dann, sich inhaltlich mit seinen "Kritikern" auseinanderzusetzen. Nur um festzustellen, dass die lügen, dass sich die Balken biegen.
Instead, even long after the Intelligencer rescinded acceptance of the paper, Wilkinson continued to trash both the journal and its editor-in-chief on social media, inciting her Facebook friends with the erroneous allegation that an entirely different (and more contentious) article had been accepted.Wenn der SJW-Mob erstmal entschieden hat, dass du der Feind bist, dann wirst du plattgemacht. Kein Mittel ist dann zu ekelhaft, zu menschenverachtend, zu abstoßend. Und es funktioniert ja!At this point, faced with career-threatening reprisals from their own departmental colleagues and the diversity committee at Penn State, as well as displeasure from the NSF, Sergei and his colleague who had done computer simulations for us withdrew their names from the research.Ein weiterer glorreicher Sieg für Fortschritt und Gerechtigkeit!Das Paper gibt es übrigens hier zu lesen. Falls ihr mal gucken wollt, was für eine himmelschreiende Ungerechtigkeit und sexistische Kackscheiße da drinsteht, für die der Autor als Antwort eine Karriere-Zerstörung verdient habt.
Oh und nicht nur die Zerstörung der Karriere des Autors! Als sich ein anderes Journal findet, das den Artikel publizieren will, passiert das hier:
Half his board, he explained unhappily, had told him that unless he pulled the article, they would all resign and “harass the journal” he had founded 25 years earlier “until it died.” Faced with the loss of his own scientific legacy, he had capitulated.Also hat dieses andere Journal nach der formalen Publikation sein Paper wieder depubliziert. Weil man beim Publizieren einen Copyright-Wisch unterschreiben muss, dass man das noch nirgendwo anders publiziert hat, ist das Paper jetzt formell unpublizierbar.Update: Mir fallen gerade die Parallelen zwischen der US-Außenpolitik ("Bomben für die Demokratie") und der SJW-Methodik auf. Die USA begründen ihre Drohnenmord-Bunkerbuster mit Menschenrechtsverletzungen. Die SJW begründen ihre Facebookdrohnen-Karrierebuster genau so. Und in beiden Fällen sind die Untaten der "Helden" schlimmere Menschenrechtsverletzungen als das, was sie zu bekämpfen vorgaben.
Update: Hahaha, jetzt schlägt hier ein Leser die Blockchain vor, um zu verhindern, dass Journals Paper depublizieren können. Fuck, Yeah! Und Peer Review machen wir mit KI und Big Data in der Cloud!
Update: Ich muss echt mit den Witzchen aufhören. "Can Artificial Intelligence Fix Peer Review?" Ich werde viel zu häufig von der Realität überholt.
Sportlich!
Independent security researcher Bob Diachenko discovered the database on August 19 hosted on the Amazon Web Services (AWS) cloud platform. It was 142GB in size and it allowed access without the need to log in.The sizeable database included scanned documents of the sensitive kind: contracts, non-disclosure agreements, internal letters, and memos. Included were more than 200,000 files from Abbyy customers who scanned the data and kept it at the ready in the cloud.
Voll gute Idee, dieses Cloud Computing! Information wants to be free!!1!
Etwa ein Drittel der Beschäftigten, die T-System entlassen will, verstünden die IT-Systeme zu wenig, könnten oft nicht programmieren und seien auch nicht in der Lage, die Systeme zu betreuen.Ja, äh, … T-Systems ist eine IT-Beratung, richtig? Wieso habt ihr die dann überhaupt erst eingestellt?
Von den derzeit 230 Niederlassungen in Deutschland sollen wahrscheinlich nur 20 erhalten bleiben.Das betrachte ich als Drohung an die Politik. Zahlt uns mehr Fördermittel oder es gibt flächendeckend mehr Arbeitslose, nicht bloß in den Großstädten, wo das nicht so ins Gewicht fällt. Hört ihr, liebe Politiker? Her mit dem Bailout!
Sehr geil auch:
Al-Saleh wolle weg vom klassischen IT-Outsourcing und hin zu Cloud-Plattformen und Private Clouds.Ja klar, die Cloud, das gelobte Land. Wo das Manna vom Himmel tropft! Wo jeder noch so inkompetente Depp unglaublich viel Geld verdienen können!
Ich sage euch, wenn die merken, dass das so nicht stimmt, dann gibt es aber ein rüdes Erwachen in der IT.
Update: Ich sollte vielleicht inhaltlich noch was dazu sagen. Die IP ist der Beschreibung nach Anycast. Wem das Netz gehört ist für die Datenschutzfragen zweitrangig. Wo der Server steht, ist die relevante Frage. Die einfachste Klärungsmethode ist ping oder traceroute. Wenn die Latenz größer 1ms ist, dann ist das nicht lokal.
Wohin die Telemetrie fließt, ist aus meiner Sicht zweitrangig. Da sollte gar keine Telemetrie erhoben werden, außer der Kunde hat sie manuell angeschaltet. Dass das Web-Zeug irgendwelche externe Scheiße einbindet, das ist heute leider üblich. Ich finde ja, Suchmaschinen sollten Sites runterraten, die das tun. Aber weil Google selbst einer der Haupttäter ist an der Stelle, wird das nicht passieren. Die iX hat aber Recht, wenn sie das anprangern. Insbesondere bei einem internen Admin-Panel. WTF, T-Systems!? (Danke, Ulrich)
Bold Move, Redis! Hoffentlich schießt ihr euch damit nicht selbst ins Aus. Ich begrüße das grundsätzlich, mir ist das auch ein Dorn im Auge, wie Cloud-Parasiten das Ökosystem zur eigenen Bereicherung ausbluten lassen und dann mit diesem ganzen Lock-In-Scheiß die Prinzipien hinter freier Software kontrakarieren und vorsätzlich kaputtmachen.
Ich persönlich habe ja noch nie verstanden, wieso Leute ihren Code unter MIT- oder BSD-Lizenz tun. Das ist doch klar, dass sich dann nur eine verschwindend geringe Minderheit moralisch verpflichtet sieht, auch mal was zurückzugeben.
Update: Es geht bei dieser Lizenzänderung nicht um Redis selbst, sondern um ein paar "Enterprise-Module", die Redis Labs anbietet. Die verkaufen selber Enterprise-Beratung für Redis, daher sind die auch so angefressen, dass die Cloud-Fuzzies ihre Module nehmen und nichts zurückgeben. Das war schlicht deren Geschäftsmodell. Selber Schuld, denkt ihr euch jetzt vielleicht, und da ist natürlich ein Funken Wahrheit dran. Auf der anderen Seite bezahlt Redis Labs dem Autoren von Redis das Gehalt, und hat wie gesagt diese Module open sourced. Sie haben schon einen Punkt, wenn sie finden, Google und co sollten ihnen mal ein paar Mäuse rüberwachsen lassen, wenn sie mit Redis Geld verdienen.
Weil die Berliner alle so unkorrupt sind? Die Vermutung liegt nahe, dass es andere Hintergründe gibt. Daher will der Senat jetzt IBM Watson einsetzen und Big Data in der Cloud mit Blockchain-KI über alle vorliegenden Daten machen.
Finde ich gut.
Das schafft Gewissheit.
Wie? Oh nein, dass die Kohle bei IBM verloren geht und nicht nur bei Korruption!1!!
Was meint ihr, ob die Daten der Berliner Verwaltung dann in die Cloud in den USA fließen? (Danke, Ulf)
Nee, nee, so läuft das nicht. Da muss mindestens noch AI, Machine Learning und die Cloud hin. Für DRM, versteht sich. Man darf Bilder nur noch mit Internet-Verbindung angucken können. Nur so sind die Rechte ordentlich durchsetzbar!1!!
Update: Die oben verlinkte Presseerklärung war ein früher Stand. Seit dem hat sich das weiter entwickelt. Jetzt gibt es ein Whitepaper mit dem Titel "Towards a Standardized Framework for Media Blockchain". Das Treffen war peinlicherweise auch noch in Berlin. Als use case zitieren sie die Cryptowährung von Kodak.
seitdem hier in Bayern der Polizeistaat im Vormarsch ist (seit Jahren schon), benutze ich fast ausschließlich ssh-tunnel mit socks v5 am Ende. Mache da auch DNS drüber. Du ahnst ja gar nicht wie viele Internetseiten Angst vor rootserver IP ranges haben. Du würdest an der schieren Menge von Captchas, die ich täglich zu Gesicht bekomme, regelrecht verzweifeln. Ganz zu schweigen von Seiten, die diese IP ranges komplett gesperrt haben. Den Cloudflare Verein würde ich am liebsten abfackeln. Das hat mitlerweile echt krankhafte Ausmaße angenommen.Und noch einer:
ich möchte noch darauf hinweisen dass Cloudfare (und auch andere CDNs) dem geneigten User ein Captcha präsentieren, sobald man mit Tor unterwegs ist.Cloudflare hat sich durch ihr Gebaren eine große Gemeinde an Anti-Fans eingetreten, die sie verachten, wo immer sie sich reintentakeln.
Update: Wobei hey, vielleicht machen wir das falsch. Vielleicht sollten wir das als Entertainment sehen. Free casual gaming! Alzheimer-Prävention!!
DNS hat zwei große Probleme. Erstens dass jeder auf dem Weg die Anfragen und Antworten sehen kann. Und zweitens dass man falsche Antworten auf anderer Leute Anfragen schicken kann.
Das erste Problem ist zwar doof, aber nicht verheerend. Das liegt daran, dass man für die DNS-Auflösung normalerweise den DNS-Server des Internet-Providers nimmt, und der kann eh sehen, mit welchen IP-Adressen du redest. Der gewinnt also nicht so viel, und mit dem hast du ein Vertragsverhältnis und das ist eine deutsche Firma und die unterliegt dem deutschen Datenschutz. Nicht ideal aber auch kein Beinbruch. Und wem das nicht reicht, der kann sich einen eigenen DNS-Resolver irgendwo hinstellen und selbst betreiben. Dann muss man aber ein VPN zu dem benutzen, sonst kann der ISP immer noch alles sehen.
Ja aber Fefe, der BND könnte doch Kabel Deutschland hacken und die DNS-Daten abschnorcheln! Ja, könnte er, aber er müsste dann alle ISPs hacken, um an alle DNS-Daten ranzukommen. Wenn ihr 1.1.1.1 oder 8.8.8.8 verwendet, dann muss die NSA nur diesen einen Anbieter hacken und hat alle DNS-Daten von allen Leuten auf der Welt. Macht das also nicht!
Das zweite Problem, dass jemand falsche Antworten unterschieben kann, wird vollständig von TLS gelöst.
Warum spreche ich das an? Weil Heise gerade Propaganda fährt, DNS sei so unsicher, und man möge doch JSON über HTTPS zum Auflösen von Namen nehmen. Dazu kann ich nur sagen: NEEEEIIIINNNNN! Der Feind von Sicherheit ist Komplexität. Einen DNS-Resover kann man in ein paar hundert Zeilen Code schreiben. Ich weiß das, weil ich es getan habe. Ein JSON-über-HTTPS-Client sind 5-6stellig viele Zeilen Code.
Und das noch größere Problem: Firefox hat das gerade in ihren Browser eingebaut. Und zwar so, dass die Anfragen über Cloudflare gehen. NEEEIIIINNNN!!!! Damit ist Cloudflare ganz oben auf der Liste der für die NSA interessanten Firmen, und da könnt ihr mal einen drauf lassen, dass die die DNS-Daten da abgreifen werden. Zur Not nicht per Hack sondern per National Security Letter.
Was also tun? Nun, Option 1: Das wegkonfigurieren bei Firefox. about:config, nach trr suchen, network.trr.mode auf 5 setzen.
Option 2: Eigenen DNS-over-HTTPS-Server betreiben. Kann man machen. Hier ist eine solche Software in Rust. Das Kosten-Nutzen-Verhältnis stimmt aber aus meiner Sicht nicht.
Hier ist ein aktueller Blogpost dazu.
Ich finde es höchst bedauerlich, wie Firefox mit solchen Geschichten weiter Krieg gegen ihre User führt. An die Werbe-Add-Ons und die extern gehostete Addons-Seite mit Google Analytics erinnert ihr euch ja sicher noch alle. Und an die tolle Idee, Werbung auf der New-Tab-Seite einzublenden? Mann Mann Mann, Firefox. Was denkt ihr euch bloß!
Update: Das betrifft im Moment nicht die Stable-Version. Offizieller Doku.
Update: Nachdem Golem und Heise hierauf linken, ist es vielleicht an der Zeit, Gegenforderungen aufzustellen. Meine Forderung ist ganz einfach: Weniger Komplexität. Komplexität ist der Feind. Die Anzahl der Bugs steigt mit der Codegröße. Die Leute stöpseln heute nur noch Komponenten aus Libraries zusammen. Das ist Schönwetter-Programmieren! Ein Programm, das nur beherrschbar ist, wenn es zufällig gerade gut funktioniert, ist wertlos. Wir brauchen Programme, die überschaubar wenig Dinge tun, und dafür vollständig beherrschbar sind. Am besten nicht nur vom Programmierer, sondern auch vom Benutzer. Die Geschwindigkeit, mit der wir uns mit unbeherrschten und unbeherrschbaren Technologien umzingeln, ist aus meiner Sicht ein Vorbote der Apokalypse.
Asimov beschreibt in seiner Foundation Serie eine Zukunft, in der die Menschheit selbst-reparierende Atomkraftwerke gebaut hat. Und als die fertig waren, starben die Leute aus, die die noch reparieren konnten, weil man sie nicht mehr brauchte. Nach vielen Jahren war die Selbstreparatur dann am Ende und es gab niemanden mehr, der die warten konnte.
So ungefähr machen wir das auch gerade. Nur dass wir den Schritt mit dem Selbstreparieren überspringen. Wir bauen direkt Dinge, die niemand mehr reparieren kann. Schlimm genug, wenn die Hardware heute so ist, aber das heißt doch nicht, dass die Software auch so sein muss?!
Mich macht besonders fertig, dass wir jetzt mit "KI" soweit sind, dass wir unwartbare Software absichtlich herbeiführen. Wie in einem Scifi-Film, wo die Aliens erst Hirnfresser-Parasiten schicken, damit die Zielrasse sich selbst kaputtmacht, und man für die Machtübernahme nicht mehr so viel Ressourcen aufwenden muss.
Zudem arbeiten wir künftig mit Cloudflare zusammen, um eine Web Application Firewall (WAF) auf unserer Webseite und im Kundenmenü einzusetzen. Diese dient als Filter zwischen unseren Servern und potenziell bösartigem Datenverkehr aus dem Internet. Sie schützt vor betrügerischen Aktivitäten wie SQL-Injections und Cross-Site-Scripting und wird in den nächsten Tagen aktiv.Ich bin kein Kunde von denen und kann daher nicht beurteilen, dass das wirklich so von Domainfactory geschrieben wurde.
Aber erstens: Das ist wie "wir haben einen Virenscanner installiert und sind jetzt sicher". Bullshit.
Zweitens: Der Traffic zwischen dem Kunden und der Firma geht jetzt über eine Drittfirma mit Sitz im Ausland. Das fände ich als Kunde unakzeptabel. Ich finde es auch unakzeptabel, wenn Firmen ihre Mail über Drittserver von Anbietern im Ausland machen. Möglicherweise vertrete ich da eine Mindermeinung.
Drittens: Wenn jemand seine Sicherheitsprobleme nicht durch "wir machen die Software sicherer" sondern durch "wir schalten Schlangenöl davor" löst, dann liegt die Vermutung nahe, dass die Kompetenz fehlte, das Kernproblem zu lösen. Meiner Meinung nach ist das eine Bankrotterklärung. Wieso habt ihr die Software dann überhaupt eingesetzt, wenn ihr die nicht absichern könnt?!
Nun ist der Betrieb sicherer Systeme für einen Hostinganbieter Teil der Kernkompetenz. Wenn die also an der Stelle schon eine solche Bankrotterklärung verkünden, würde das mein Vertrauen in den Rest ihrer Kernkompetenzen deutlich schmälern.
Zu Cloudflare im Speziellen: Ich bin bisher nicht beeindruckt von denen. Die fallen vor allem durch Marketing-Getöse auf. Und durch Fehlermeldungen und Captchas vor irgendwelchen Webseiten, die sie angeblich "beschützen". Und diese "Fehlermeldungen" sind vor allem Cloudflare-Eigenwerbung. Ich hatte glaube ich sogar schon mal eine Cloudflare-Fehlermeldung als Aprilscherz. :)
Update: Über ein Dutzend Leser haben bestätigt, auch eine Mail mit diesem Textblock von Domainfactory gekriegt zu haben. Einer schrieb, er habe anlässlich der Sicherheitslücke letztens eine fristlose Kündigung ausgesprochen und sei damit (für ihn überraschend) anstandslos durchgekommen.
Nein, diesmal keine Sicherheitslücke. Aus meiner Sicht ist der an Selbstaufgabe grenzende der Self-Lock-In in die Amazon-Cloud die Sicherheitslücke. Ich habe daher kein Kindle.
Aber wenn ihr einen habt: Ein Kumpel erzählt mir gerade, dass die Dinger kein EPUB können — außer man benennt die Daten von buch.epub zu buch.png um. Dann geht es.
m(
Update: Och Leute, ich kann auch kein norwegisch, aber das schaffen wir ja wohl noch zusammen! Dykkere = Taucher. fant = fanden. 500 år = 500 Jahre. gammelt = alt. sverd = Schwert. Mjøsa ist der Eigenname eines Sees.
Ihr habt das fucking Internet zur Verfügung! In meiner Kindheit hatten wir kein Wikipedia, kein Wiktionary, kein dict.leo.org, wir hatten ein Schulwörterbuch und ein Lexikon. Und wir haben auch überlebt!!
Oh und mein Schulweg war bergauf, und zwar in beide Richtungen!!
Mich nervt das, wenn Leute so tun, als seien sie NPCs, und ihre gesamten Entscheidungen im Leben freiwillig irgendwelchen anderen Menschen und Clouds und Diensten überlassen. Wie wollt ihr denn jemals Level Up kriegen, wenn die ganze Arbeit jemand anderes für euch macht?!
Nun, wie heißt es so schön, kein Plan überlebt den Erstkontakt mit der Realität? :-)
Early today morning (28 June 2018) i receive an alert from Uptime Robot telling me my entire site is down. I receive a barrage of emails from Google saying there is some ‘potential suspicious activity’ and all my systems have been turned off. EVERYTHING IS OFF. THE MACHINE HAS PULLED THE PLUG WITH NO WARNING. The site is down, app engine, databases are unreachable, multiple Firebases say i’ve been downgraded and therefore exceeded limits.Aber kein Problem, man hat ja eine Geschäftsbeziehung mit Google, die werden ja sicher Support haben für sowas? Ja und nein. Ja sie haben Support. Aber nein, der ist automatisiert und besteht aus Textbaukästengeneratoren. Am Ende mussten sie ein Foto der Kreditkarte und des Ausweises des Inhabers hochladen, dann hat Google wieder angeschaltet.Unterm Strich also ein klarer Fall von „Verfügbarkeit? Täglich!“
Nein. Neun haben sich geweigert, in die Google-Cloud ein Airgap-Feature einzubauen, das Google gebraucht hätte, um eine Pentagon-Ausschreibung zu kriegen.
Neun.
Das hat dann solche Wellen geschlagen, dass Google sich am Ende aus Project Maven zurückgezogen hat.
Ich habe ja vor inzwischen vielen Jahren eine Abstraktionsschicht über diverse Netzwerk-Event-APIs der verschiedenen Plattformen geschrieben, und darauf meinen Webserver gatling aufgebaut. Seit dem hat sich im Internet einiges verschoben. Web ohne TLS spricht niemand mehr, also habe ich TLS nachgerüstet. Für Web mit TLS ist aber das Skalierungsproblem ein ganz anderes. Da geht es nicht mehr darum, dass jemand viele Verbindungen aufbaut und dein Server damit nicht klarkommt, sondern es geht darum, dass jemand viele TLS-Handshakes lostritt und dein Server die ganze Zeit mit 100% CPU läuft.
Seit dem hat sich auch eine andere Sache verändert: CPUs mit nur einem Core gibt es nicht mehr. Es liegt also auf der Hand, dass ich mal das Modell von gatling und der Abstraktionsschicht ändern sollte, damit es sich auf mehrere Cores verteilen lässt. Das ist leider kein Selbstläufer, weil die unterliegenden APIs teilweise nervige Probleme haben. So gibt es einmal die fundamentale Frage, ob man edge triggered oder level triggered arbeiten soll. Level Triggering ist, was poll macht. Wenn du nach Deskriptor 3 fragst, und 3 ist lesbar, und du tust nichts mit ihm sondern rufst wieder poll auf und fragst nach Deskriptor 3, dann sagt dir poll wieder, dass er lesbar ist. epoll und kqueue arbeiten genau so, lassen sich aber umschalten. Edge Triggering heißt, dass das API dir nur einmal Bescheid sagt, dass ein Deskriptor lesbar ist. So funktioniert der Vorläufer von epoll, SIGIO, den meine Abstraktion unterstützt. Das verkompliziert aber das Programmiermodell massiv, weil ich jetzt darüber Buch führen muss, welche Deskriptoren lesbar sind und welche nicht. Dafür hat es aber den großen Vorteil, dass multithreading sozusagen von alleine geht.
Nehmen wir mal an, du hast vier Threads, und alle rufen epoll auf. Deskriptor 3 wird lesbar. Dann kommen alle Threads zurück und melden das. Das ist natürlich Unsinn, weil nur einer zum Zuge kommt und die anderen sinnlos Strom verbraucht haben.
Daher macht man das entweder so, dass nur ein Thread epoll aufruft und eine Datenstruktur befüllt, die dann von Worker Threads abgearbeitet wird. Oder man macht es so, dass jeder Thread einen eigenen Pool aus disjunkten Verbindungen verwaltet und die jeweils mit einem eigenen epoll bearbeitet. Die bessere Skalierbarkeit hat auf jeden Fall Variante 2, aber dann sollte man keine Threads sondern Prozesse nehmen.
gatling hat Fälle, z.B. CGI oder Proxy-Modus, bei denen mehr als ein Deskriptor zu einer Verbindung gehört. Das naive aufteilen der Deskriptoren auf Pools funktioniert also nicht, denn zusammengehörende Verbindungen müssen auch im selben Pool sein. Oder man baut ein API, um nachträglich Deskriptoren hin- und herzuschieben. Das wäre auch die bessere Lastverteilung gut, aber zieht einen Rattenschwanz an Komplexität nach sich. Ist daher aus meiner Sicht gerade erstmal unattraktiv.
Ich habe mich daher entschieden, lieber jeweils nur einen Thread zu haben, der epoll macht (oder halt kqueue, whatever), und der befüllt eine Datenstruktur, und aus der bedienen sich dann die Worker-Threads. Die Threads handeln das on the fly untereinander aus, wer gerade für Event-Abholen zuständig ist, und wer auf die Datenstruktur wartet. Damit das API nach außen einfach bleibt.
Das sieht ganz gut aus und scheint auch schön zu flutschen und vor allem ist das API viel einfacher als was ich vorher hatte. Aber ich kam ins Grübeln. Wenn ich hier schon einen neuen Webserver mache, dann soll der aber auch nicht nur TLS machen, sondern TLS mit Privilege Separation. Wenn jemandem ein Angriff auf den Webserver gelingt, möchte ich gerne möglichst minimieren, was er damit anstellen kann. In erster Näherung stelle ich mir vor, dass der Private Key von dem Server in einem separaten Prozess liegt (und ich per seccomp-filter o.ä. verhindere, dass man da ptrace o.ä. machen kann). Aber je mehr ich darüber nachdenke, desto weniger gangbar sieht das aus. Das erste Problem ist, und dafür kann TLS jetzt nichts, wenn ich den Handshake-Teil in einen Prozess tue und nur die Session Keys in den anderen Teil rüberreiche, dann hat ein Angreifer immer noch alle Session Keys im Zugriff. Das ist immer noch ziemlich schlimm. Gut, dank Forward Secrecy ist es kein Super-GAU, aber gut wäre es nicht.
Ein möglicher Ausweg wäre, dass man das gesamte TLS auslagert, und sozusagen durch einen TLS-Proxy-Prozess kommuniziert. Das riecht erstmal nach einem prohibitiv teuren Performance-Nachteil. Und gewonnen hätte man damit auch nicht viel, denn ein Angreifer könnte trotzdem allen Verkehr aller anderen Leute sehen und ihnen Müll senden, um sie anzugreifen, er könnte bloß nicht den schon gelaufenen Teil der Verbindung entschlüsseln. Ich glaube, das wäre die Kosten nicht wert.
Aber was, wenn man das TLS in den Kernel schieben kann. Linux hat seit kurzem ein API für Kernel-TLS. Da gibt man dem Kernel per setsockopt den Schlüssel und dann kann man auf dem Socket ganz normal Daten rausschreiben. Das klingt sehr attraktiv, denn den setsockopt könnte der TLS-Handshake-Prozess machen und dann den Socket rüberreichen zu dem Web-Prozess. Nachteil: Der Kernel-Support ist rudimentär und kann nur Daten rausschreiben. Kann nicht lesen, und kann keine Kontrollnachrichten schicken. Das muss man über ein krudes Spezial-API machen. Das müsste man dann zurück an den TLS-Handshake-Prozess delegieren. Gut, wäre denkbar. Schlimmer noch: Lesen kann der Kernel-TLS auch nicht. Das ist schon eher hinderlich.
OK, nehmen wir an, ich habe meinen Webserver aufgeteilt. Ein Prozess macht HTTP, einer macht TLS-Handshake. TLS hat aus Performance-Gründen ein Feature namens Session Resumption. Der Server behält die Krypto-Parameter für Verbindungen eine Weile vorrätig, und gibt dem Client ein Cookie. Wenn derselbe Client wieder kommt, kann er einfach den Cookie vorzeigen, und der Server findet dann die Krypto-Parameter und benutzt die weiter. Spart eine Menge teure Public-Key-Krypto und ist super für die Performance. Aber auf der anderen Seite heißt das eben, dass ein Angriff auf den Server auch diese ganzen gespeicherten Krypto-Kontexte im Speicher finden kann, und mit ihnen mitgesniffte Daten anderer Leute entschlüsseln kann. Das ist mal richtig doll Scheiße. Die Frage ist, ob sich Privilege Separation überhaupt lohnt, wenn man dieses Problem mit sich rumschleppt?
Und da denke ich mir gerade: Hey, was, wenn man die Tickets (so heißen die Cookies bei TLS) und die Krypto-Kontexte in einen dritten separaten Prozess packt. Grundsätzlich könnte das sogar sowas wie ein Redis auf einem anderen Server sein, dann könnten alle Frontends in einem Loadbalancer untereinander Session Resumption machen. Cloudflare hat vor ner Weile mal einen Hack in die Richtung angekündigt. Die Sicherheit von den Tokens basiert darauf, dass sie lang und zufällig und damit nicht vorhersagbar oder ratbar sind. Da müsste man gucken, wie man verhindert, dass ein Angreifer den Redis-Traffic mitsnifft, sonst hat man nichts gewonnen.
Naja und fundamental gibt es natürlich auch noch das Problem, dass die ganzen TLS-Libraries da draußen gar nicht vorsehen, dass man in ihren Interna herumpfuscht, und sowas macht wie nach einem Handshake die Krypto-Keys extrahieren und in einen anderen Prozess schieben, oder auf der anderen Seite einen bestehenden Krypto-Kontext entgegennehmen, aber ohne Public-Key-Teil des Kontexts, und dann damit symmetrisch Krypto zu machen.
Die nächste Frage ist natürlich auch, was eigentlich mehr CPU frisst, die Handshakes oder der symmetrische Teil. Das wird vermutlich von der Traffic-Load auf dem Server abhängen, ob der Videostreaming macht oder sowas wie mein Blog, was aus lauter kleinen kurzen Verbindungs-Bursts besteht.
Was ich sagen will: Ist alles nicht so einfach, und es ist auch nicht klar, ob sich der ganze Aufwand am Ende lohnen würde. Sollte aber glaube ich trotzdem mal jemand machen.
Update: Und es stellt sich natürlich die Frage, wen man hier eigentlich vor wem beschützen möchte. Muss man nicht eher befürchten, dass jemand den TLS-Stack hackt, als dass jemand den Webserver hackt?
Update: Vielleicht muss man sich aus Sicherheitsgesichtspunkten einfach generell von der Idee verabschieden, in einem Serverprozess mehrere Verbindungen zu multiplexen. Vielleicht sollte ich mal ein Extremkonzept implementieren, um zu gucken, wie schlimm das performt. Einfach damit man mal einen Datenpunkt hat. So pro Verbindung einen httpd-Prozess und einen TLS-Privilege-Separation-Prozess. Aber nicht abforken sondern schön fork+exec, damit die alle eigenes ASLR kriegen. Rein intuitiv kann das nicht gut performen, aber auf der anderen Seite gehen Rechnerarchitekturen ja gerade hin zu 256-Core-ARM-Servern. So würde man die ganzen Cores immerhin sinnvoll nutzen.
Echo woke up due to a word in background conversation sounding like “Alexa.” Then, the subsequent conversation was heard as a “send message” request. At which point, Alexa said out loud “To whom?” At which point, the background conversation was interpreted as a name in the customers contact list. Alexa then asked out loud, “[contact name], right?” Alexa then interpreted background conversation as “right”. As unlikely as this string of events is, we are evaluating options to make this case even less likely.”Mit anderen Worten: "it just happened". "Vertraut uns! Wir kümmern uns!"Das muss diese Zukunft sein, von der sie uns immer gesagt haben, die Cloud sei sie.
Update: Spracherkennung in der Interaktion mit Menschen ist eh voll das Erfolgsmodell!
New hotness: 1.1.1.1
Von der Performance her nehmen die sich nicht viel, beide antworten viel schneller als übliche DNS-Resolver von Internet-Providern.
Aber lasst euch mal nicht von dem "privacy-first"-Blablah täuschen. Das ist eine Behauptung, ein Versprechen. Google verspricht Ähnliches für 8.8.8.8.
Der DNS-Server kann alles sehen, was ihr an Anfragen ins Netz stellt, und sieht damit, was man seit Snowden bei Telefonen "die Metadaten" nennt. Wer seine DNS-Daten ohne Not in fremde Hand gibt, gibt damit seine Privatsphäre weitgehend auf.
Ich rate also entschieden davon ab, irgendeinen (gar zu einer ausländischen Organisation gehörende) DNS-Server zu verwenden — schon gar nicht aus Five-Eyes-Staaten.
OK, was sind die Alternativen? Den ISP-DNS benutzen. Das hat den Nachteil, dass die oft langsam sind, gerne mal ausfallen, und dass man möglicherweise auch nicht will, dass die Daten beim ISP anfallen. Letzteres kann man nur mit einem VPN verhindern (wobei dann der VPN-Endpunkt alle Daten sieht und zuordnen kann; auch nicht besser!) oder einem Anonymisierungsdienst wie Tor verhindern.
Ich persönlich betreibe einen eigenen Resolver in meinem Netz.
Man muss sich aber im Klaren sein, dass auch am Anfang einer TLS-Verbindung noch der Name der Site im Klartext dransteht, d.h. auch ohne DNS kann jemand, der den Traffic sieht, sehen, mit welchem Host du zu reden versuchst, selbst wenn hinter der IP ganz viele Sites hängen. Besserung war glaube ich für TLS 1.3 geplant, hier ist ein aktueller Draft dazu, aber scheint es nicht in den Standard geschafft zu haben…? Und das hat auch andere Probleme, wenn man das zumacht. Im Moment kann man einen Load Balancer bauen, der den TLS durchreicht, und der das richtige Backend am SNI erkennt (wo der gewünschte Servername steht), und dann wird der TLS im Backend terminiert. Das ist viel besser als wenn man den TLS im Load-Balancer terminiert und dann zum Backend unverschlüsselt kommuniziert. Ein Angreifer, der den Load Balancer übernimmt, kann dann alle Anfragen sehen.
Wenn man das beibehalten will, muss man sich ziemlich verbiegen. Ihr könnt ja selber man kurz in den Draft gucken.
Also, kurz gefasst: Seine DNS-Anfragen über irgendeine amerikanische Cloud-Klitsche routen, ist eine sehr schlechte Idee für eure Privatsphäre. Aber es selber zu machen hilft leider auch nicht so viel, wie man hoffen würde.
Ich finde bei sowas immer, dass man NSA und co ja nicht noch freiwillig entgegenkommen muss. Oh und richtig geil wäre das erst, wenn DNS verschlüsselt wäre. Es gibt da was mit TLS für DNS, aber das ist hochkomplex, eine riesige Angriffsoberfläche und erhöht die Netzwerklatenz deutlich. Cloudflare bietet das an. Aber das würde halt nur den Weg von euch zu Cloudflare schützen. Bei Cloudflare könnte die NSA immer noch alles abgreifen.
Update: Leser berichten, dass einzelne ISPs gar keinen DNS-Resolver mehr betreiben sondern ihren Kundern per DHCP 8.8.8.8 setzen. Das ist aus meiner Sicht ein starker Anreiz, sich schnell einen anderen ISP zu suchen.
Denn künftig sollen US-Behörden leichteren Zugriff auf im Ausland gespeicherte E-Mails haben. Das US-Justizministerium kann im Zuge des sogenannten "Cloud Act" Abkommen mit anderen Staaten schließen, um entsprechende Anfragen zu beschleunigen und langwierige diplomatische Prozesse zu umgehen.Oh ja, aber natürlich! Abkommen, my ass!
NA SOWAS, Microsofts T-Systems-Version von Azure verkauft sich nicht! Ich habe mich dazu mit einigen Cloud-Großkunden unterhalten. Die sind alle zuerst zu Azure gelaufen und wollten die Deutschland-Cloud. Und dann haben sie beim Testen rausgefunden, dass die von den Features, der Performance und dem Support Monate bis Jahre hinterherhinkt. Und haben sich gedacht: Lieber von den Diensten abgehört werden als von T-Systems aus dem Business verkacken lassen. So jedenfalls die Schilderungen, die bei mir ankamen.
Oh und wo wir gerade dabei sind: Die Bahn überlegt, eigene Mobilfunkmasten aufzustellen, damit sie endlich ordentlich Internet in die Züge kriegen. Auch dazu habe ich eine Gerüchteküche gehört. Die Bahn hatte das ursprünglich wohl mit der Telekom machen wollen, die haben T-Systems auf die losgelassen, und die haben das anscheinend nach Strich und Faden verkackt (Ich weiß! Überraschung!!). Das hat wohl produktiv nie wirklich funktioniert (war 1-2 Jahre online aber hat nicht überzeugt), und die T-Reaktion auf Probleme war unbefriedigend ("wir machen mal ein Ticket auf" statt schneller und unbürokratischer Hilfe oder gar Besserung) und die Bahn hat irgendwann die Reißleine gezogen und den ganzen Internet-Kack an Icomera outgesourced. Ihr wisst schon, die mit der Sicherheitslücke. Und wer schon mal in einer Bahn saß und das Internet benutzen wollte, der wird feststellen: Nicht mal im Bahnhof hat man zuverlässig Internet. Auf der Strecke noch weniger. Wenn ich ein Smartphone mit SIM-Karte der Telekom an den Laptop anschließe, habe ich mehr Deckung, mehr Bandbreite, weniger Latenz und höhere Verfügbarkeit als die Icomera-Lösung, die eine richtige Außenantenne anschließen kann, um ihr Signal zu optimieren. Icomera hat ja angeblich Deals mit allen Mobilfunknetzen und nimmt halt, was gerade da ist.
Für das beobachtete Verhalten sehe ich nur zwei Erklärungen. Entweder die Telekom erkennt Icomera-Sim-Karten und shaped die runter. Oder Icomera routet aus irgendwelchen Gründen lieber nicht über die Telekom, auch wenn das das einzige verfügbare Netz ist.
Das Gerücht, das ich dazu hörte: Die Telekom hat Icomera als einziges Netz keine Flatrate angeboten. :-)
Weiß da zufällig jemand was?
Übrigens finde ich ja, dass das tief blicken lässt, wenn die Bahn lieber mit den Icomera-Verlierern weitermacht, als zur Telekom zurückzugehen. Wie krass hat T-Systems denn da bitte verkackt, dass die Bahn lieber kein Internet in den Zügen hat, als mit denen zusammenzuarbeiten? Wow. Auch dazu würde ich gerne mal ein paar saftige Gerüchte hören.
Und zwar soll Intel das Microcode-Update zurückgezogen haben, nicht weil es zu Crashes kommt, sondern weil der Microcode zu Überhitzungen führt, die sogar den Sockel beschädigen können. Die "unexpected reboots" in der Intel-Pressemitteilung sind laut dieses Gerüchtes dann nicht "oh hups ich boote mal" sondern ein "ach du Scheiße der Prozessor ist viel zu heiß, Not-Aus". Der Prozessor soll bei der Stelle aber schon über 150% des TDP gezogen haben. Angeblich soll das bei Amazon in der Cloud schon zu Hardware-Ausfällen geführt haben.
Wow, das würde erklären, wieso Intel die Updates so hastig zurückgezogen hat.
Dank "Payment Services Directive" können Banken jetzt Dritten Zugriff auf eure Kontodaten geben. Bald gibt es also wahrscheinlich nur noch Kreditkarten oder Online-Bestellungen, wenn man sein Konto offenlegt. Oder so. Sie erwähnen explizit Paypal als Beispiel.
Die EU meint das natürlich alles nur gut!1!!
Mit dieser von ihr erlassenen Richtlinie verfolgt die EU hehre Ziele: Der Verbraucherschutz soll verbessert werden, zugleich sollen Innovationen und Wettbewerb unter den Finanzdienstleistern gefördert werden.Ja aber echt mal! Daten sind das Erdöl des 21. Jahrhunderts! Da sollen alle mitschürfen dürfen!1!!
Ich denke mal, da die Dummheit der Menschen unendlich ist, dass wir demnächst Cloud Computing 2.0 mit Kontodaten haben werden. Alle Leute werden ihre Daten an zig Unternehmen weitergeben, und sich dann wundern, wenn was wegkommt. Bisher kommen nur Kreditkartendaten weg, in Zukunft dann auch gleich die Transaktionen der letzten paar Monate. JA SUPER, liebe EU! Schon toll, wie die für uns kämpfen.
Oh und das ist noch nicht alles. Auch bei Geldanlagen gibt es "Reformen":
Zudem verlangen die neuen Vorgaben, dass eine Bank jedes Telefonat eines Kunden mit einem Wertpapierberater aufzeichnet und für mindestens fünf Jahre archiviert.Wisst ihr, was wir bisher noch viel zu wenig haben? Überwachung!!
OK, also werden bald nicht nur eure Kontodaten wegkommen, sondern auch eure Gespräche über Kreditanfragen mit der Bank. Ganz groß.
Update: Ich zitiere mal Ahoi Polloi dazu:
Banküberfall heißt in Zukunft auch "das lukrative Monopol der Banken beim Zugriff auf Kundenvermögen wurde gebrochen".
Update: Das mit dem Aufnehmen der Investment-Beratung geht nicht um Kredite, wie ihr hoffentlich selbst erkannt habt. Da geht es eher darum, dass die Bank inkriminierende Beweise aufheben muss, und nicht einfach sagen kann, sie hätten Oma Erna auf die Risiken hingewiesen, bevor sie ihr die Telekom-Aktie angedreht haben.
In der Cloud zahlt man ja für Leistung. Und jetzt, dank Meltdown-Prävention, braucht man für die selbe Leistung doppelt so viel Hardware. Man würde denken, dass man da was hören würde, oder? Entweder Cloud-Provider, die fett AMD einkaufen und Intel verklagen, oder vielleicht ihre Preise halbieren. Oder Cloud-Kunden, die heulen, weil sie jetzt doppelt so viele Server kaufen müssen. Oder Leute, die bisher auf einem Server laufen, und die Architektur kann nicht auf mehrere Server verteilt werden.
Man würde doch denken, dass da gerade alles mögliche platzt.
Wieso hören wir davon nichts?
Update: Hier kommt sie. Ein Leser schreibt:
als Sysadmin eines Anbieters von "Cloudservern" kann ich dir zumindest für UNS deine Frage beantworten: Von uns zum Beispiel hört man dazu nichts, weil es für das verwendete Hostbetriebssystem (Joyent SmartOS) noch keine Patches gab. Und auch sonst gibt man sich wohl schmallippig dazu.
Könnte mir jedenfalls vorstellen, dass hier auch andere Cloudanbieter schlicht noch nicht so weit sind.
Die physikalischen Server die bereits gepatcht sind verhalten sich bislang allerdings unauffällig.
Für nächste Woche ist wohl geplant, dass wir die Patches ausrollen, sofern sie wirklich verfügbar sind, dann werden wir ja sehen wie hart es VM-Hosts mit 30 bis 35 Gästen trifft. So oder so, bei mehr als 1500 physikalischen Hosts steht uns noch viel Arbeit ins Haus. Einziger zu erwartender positiver(?) Effekt: Die ganzen alten Schleudern, für die es keinen Herstellersupport mehr gibt, dürften bald ausrangiert werden.
Hier kamen auch schon diverse Aluhüte vorbei, die meinten, dass Intel das sicher bewusst herbeigeführt haben wird, damit die Leute neue Server kaufen. Das würde mich ehrlich gesagt wundern.
Ein anderer Einsender meint:
Weil die großen Cloud-Provider noch mitten im Patchen ihrer Infrastruktur sind. Amazon rollt seit ~2-3 Wochen peu a peu Instanzen durch. Azure hat das große Patchen für ab dem 9. Januar angekündigt, wir sehen bei uns aber Hinweise das sie intern vermutlich doch schon Maschinen durchstarten. Dazu kommt dass die Kunden sich gerade erst fertig machen ihre Applikations-Images mit den von AWS geupdateten Base-Images zu backen und zu releasen. In vielen Fällen werden die Kunden noch in der Schadensbestandsaufnahmephase sein und testen wie sehr ihre Applikationen betroffen sind.
Bei uns weiß ich von mindestens einer Applikation bei der wir auf einen größeren Instanztyp gehen werden müssen weil die Applikation auf dem derzeitigen eh schon sehr nah am Limit lief und nun permanent zuviel Load hat. In einem anderen Fall beobachten wir bei einer ElastiCache Umgebung mit klein gewählter Instance-Size seit 2 Wochen deutlich höhere Antwortzeiten inkl. mehr Time-Outs als zuvor, nachdem die darunterliegenden Instanzen kurz vor Weihnachten alle im Rahmen einer AWS planned maintenance durchgebootet wurden.
Aber wie gesagt, ich denke momentan sind die meisten Betroffenen noch am patchen und beginnen gerade erst damit zu analysieren, welche Mehrkosten dadurch entstehen.
Hah, das ist ja auch mal eine schöne Idee. Vielleicht sind die Kunden alle zu blöde, um 1 und 1 zusammenzuzählen, und klicken halt auf "größere Instanz bitte", vielleicht haben sie gar den Automatismus zum Server-Nachklicken aktiv und freuen sich noch über die höhere Rechnung, weil das ja heißt, dass mehr User klicken!1!!
Das Joyent-Ding ist übrigens kein Randgruppenproblem:
ich arbeite selbst bei einem der größeren deutschen Cloud-Anbieter.
Hier wurde in den letzten Jahren sehr stark auf SmartOS umgestellt um mehr Leistung zu erziehlen und damit das Preis/Leistungs-Verhältnis zu bessern.
Für SmartOS stehen derzeit noch keine Updates bereit.
Das SmartOS basiert übrigens auf der Open-Source-Version von Solaris.
Ein Einsender wirft die Frage auf, ob vielleicht die Zocker-Infrastrukturen (Börsen, etc) den Patch nicht einspielen werden, weil Latenz wichtiger als Security ist.
Nicht nur Joyent hat noch keine Patches:
bezüglich deiner Frage warum man bisher noch nicht viel von einer Cloud-Apokalypse hört kann ich aus meiner persönlichen Erfahrung als Angestellter bei einem großen deutschen Hoster folgendes sagen:
Alle unsere virtuellen Systeme laufen unter verschiedenen Virtualiserungslösungen der Firma Parallels (Virtuozzo) und bisher sind die Patches für diese Systeme noch nicht verfügbar und damit auch noch nicht eingespielt.
Das volle Ausmaß von Meltdown und Spectre auf unsere Intel-basierte Infrastruktur ist dem C-Level und auch den meisten anderen Personen in der Firma nicht bewusst bzw. wird als nicht so schlimm eingestuft.
Das jetzt ein großer Wechsel auf AMD-Prozessoren stattfinden wird ist unwahrscheinlich, die Hardwareplattformen sind eingerichtet und alle Prozesse für diese Systeme optimiert ein Wechsel erfordert einiges an Aufwand und Entwickler-Ressourcen sind knapp.
Ich vermute das dies einfach auf den Kunden abgewälzt wird, wenn seine Ressourcen nun nicht mehr ausreichen soll er halt auf eine größere Ausbaustufe wechseln.
Kannste dir nicht ausdenken.
Für sowas haben die Zeit und Energie?! Wie wäre es, wenn ihr die Energie investiert, um konkurrenzfähige Hardware zu bauen? Oder Treiber, die nicht legendär schlecht sind? Wobei das ja auch besser geworden ist. Aber ist der Ruf einmal ruiniert, …
Oder geht das vielleicht gar nicht über die Cloud? Würde mich freuen und wundern.
Update: Ein Leser hat das mal ausprobiert. Wenn man die Funktion anschaltet, dann startet ein lokaler Server, zu dem sich das Smartphone dann verbindet. Das in die Cloud nach Hause telefonieren scheint sich also nicht zu bestätigen.
Microsoft hat aus Versehen einen privaten Schlüssel für seinen Clouddienst Dynamics 365 veröffentlicht - und schaffte es über Monate nicht, auf Hinweise zu reagieren.m(
Nein, wirklich! SCHON WIEDER ein Fall von einer Tastatur-Software für Touchscreens, die die Daten in die Cloud hochlädt. Und natürlich gibt es dann einen Datenreichtum. Völlig überraschend. Ich weiß, ich weiß.
Anwender der Smart-Home-Lösung Homematic-IP beschweren sich nach einem Software-Update über Probleme. Nach dem Update, das Hersteller eQ-3 am Dienstag der vorigen Woche auf den Cloud-Servern des Systems eingespielt hat, gibt es offenbar Verbindungsprobleme und dauerhaft blinkende LEDs an den Access Points, über die die Smart-Home-Komponenten mit der Cloud verbunden werden.Gut, dass diese Smart-Home-Lösungen alle auch ohne Cloud funktionieren, nicht war? So mit manueller Steuerung und so?
Wie, nicht?
Tja. Äh.
Die beschriebenen Serverausfälle lassen grundlegende Zweifel am Nutzen eines solchen Smart-Home-Systems aufkommen.Wie, diese Serverausfälle lassen erst grundlegende Zweifel bei euch aufkommen, Heise? Dann habt ihr wohl bisher gepennt :-)
Nun, dass dachte sich auch jemand bei CENTCOM und PACOM (vom Pentagon).
Chris Vickery von UpGuard staunte nicht schlecht, als er Amazons Cloud-Speicherdienst S3 nach offenen Türen abklopfte. Dort fand er unter den Namen "Centcom-Backup", "Centcom-Archive" und "Pacom-Archive" drei riesige Datencontainer mit Überwachungsdaten aus sozialen Netzwerken rund über den Globus verteilt.Ach komm, das sind doch eh öffentliche Daten!1!!
Interessanter finde ich ja, was für Software die einsetzen. Es sind: Apache Lucene und Elasticsearch.
Und dann ncoh so eine Trotzreaktion bringen, ala "die Leitung war schon vor mir lahm". Ja, äh, und? Wenn du nicht flutschig arbeiten kannst, dann soll es auch sonst keinder können?
Zum Kotzen.
A company analyst who manually reviewed the archive quickly determined it contained confidential material. Within a few days and at the direction of CEO and founder Eugene Kaspersky, the company deleted all materials except for the malicious binaries.Sie sagen, sie bräuchten ja die Quellen auch gar nicht für ihre Arbeit. Das stimmt zwar, aber erstens: Wer weiß, wie viele ihrer Malware-Techs da noch Zugriff hatten, und ob da jemand ein Backup gezogen hat. Zweitens: Aufgeflogen ist das ja, weil die Israelis bei Kaspersky im Netz waren. Wer weiß, wer da noch war. Und mit wem die Israelis das alles geteilt haben.Ich würde aber trotzdem Kaspersky keine Schuld geben. Deren Software hat genau das getan, was sie gesagt haben, das sie tun würde. Wenn jemand Kaspersky ein Päckchen mit Geheimdokumenten in den Briefkasten schickt, würde man ja auch nicht Kaspersky beschuldigen sondern den Leaker.
Ich muss mal schnell ein neues Institut gründen, sonst verpasse ich den Anschluss!
Ich habe ja noch nie unter einer Seite kommentiert, die ihre Kommentarfunktion an Disqus outgesourced hat. Ein Cloud-Startup aus den USA? Das mich site-übergreifend tracken kann? Ja nee klar, da tu ich meine Daten hin!1!! GANZ sicher nicht.
Und wo wir gerade bei Enttäuschungen waren: Firefox kommt jetzt mit Cliqz-Datenmalware. Die haben echt den Schuss nicht gehört bei Mozilla. Euer Browser ist groß, lahm, bloated, feature-arm, euren Add-On-Vorteil habt ihr euch gerade mit dem Umstieg auf Webextensions weggeschossen, und in Sachen Codequalität und Security hinkt ihr Chrome hinterher. Gerade als es anfing, nach Hoffnung zu riechen, weil sie Browserteile in Rust nachbauen und die Servo-Engine kommt, da zerschießen sie sich wieder alle gesammelten Karmapunkte, indem sie ihren Kunden ungefragt diesen Pocket-Cloud-Bullshit reindrücken. Und jetzt das.
Ich versuche ja wirklich immer und immer wieder, Firefox ihren Scheiß zu verzeihen. Ehrlich! Aber DAS? Wenn ich eine Branche nennen sollte, der ich weniger als allen anderen Branchen traue, wenn es um meine persönlichen Daten geht, noch weniger als den üblichen Unterdrückungs-Regierungsprojekten mit Kameras und Flugdatenweitergabe, dann sind es die fucking Verlage! Cliqz ist von Burda. BURDA! WTF?!
Die NSA bemüht sich ja wenigstens noch nach Kräften, die erhobenen Daten nicht wegkommen zu lassen. Aber die Verlage? Zero fucks given! Was da an Werbe- und Tracking- und Optimierungsnetzwerken eingebunden wird, da qualmt der Adblocker! Und weil das immer noch nicht unseriös genug ist, versucht uns die Burda-"Publikation" "Focus" gerade auf der Hauptseite windige Investment-Tipps überzuhelfen. Und DENEN soll ich trauen, dass sie meine Daten schützen?! GANZ sicher nicht!
Update: Warum nenne ich Cliqz Datenmalware? Habe ich mir das näher angesehen? Nein.
Es kommt per Drive-By-Download. Das reicht schon. Dazu kommt: Es lädt meine Suchanfragen in die Cloud hoch, während ich sie tippe, bevor ich Return drücke. Das alleine würde auch schon reichen. Und in dem Bug-Eintrag bei Mozilla verteidigt das jemand damit, dass es ja nicht alle Mausbewegungen aufzeichne sondern bloß wie weit man die Maus bewegt hat. Das alleine hätte auch gereicht.
In Berlin sorgen IT-Probleme für ein Wahlchaos. Wie mein Kollege Fabian Reinbold erfuhr, flossen ab 20.30 Uhr keinerlei Ergebnisse mehr beim Landeswahlleiter ein. Das betrifft gleich zwei Abstimmungen: In Berlin wird nicht nur die Bundestagswahl ausgezählt, sondern noch ein Volksentscheid zum Flughafen Tegel.Packt eure Daten in die Cloud, sagten sie! Da sind die Daten sicher!Die sichere Cloud-Umgebung, auf der die Wahllokale die Ergebnisse eintragen sollen, ist demnach ausgefallen. Das Problem liege beim landeseigenen IT-Dienstleistungszentrum.
New hotness: Datenreichtum der NSA-Kryptoknackhardware-Dokumente über einen ungesicherten Rechner an einer Uni.
Die Dokumente dokumentieren "WindsorGreen", das Nachfolgemodell von WindsorBlue, über das in den Snowden-Dokumenten Andeutungen standen, daher ist das hier vermutlich echt.
Auf der Skala der paranoiden Bedrohungsszenarien, die sich Krypto-Leute seit Dekaden in endlosen Spekulationen über die NSA zurechtlegen, ist das ziemlich weit oben. Die haben da ASICs mit 30nm Strukturbreite am Start, eine Kooperation mit IBM. Der Vorgänger war noch 90nm. Und der Vorgänger hat noch DRAM verwendet, hier sind sie auf SRAM umgestellt. Das zeigt, dass es sich hier entweder um eine Verzweiflungstat oder ein "Geld spielt keine Rolle"-Szenario handelt, denn in normalen Computern wird SRAM für die Caches in der CPU verwendet, und für nichts größeres, weil es viel zu teuer wäre. Das zieht niemand auch nur in Erwägung. Cray hatte damals in ihren legendären Kisten SRAM als Hauptspeicher verbaut. Daher waren die auch so teuer.
Der Punkt ist jedenfalls: Wenn jemand zu mir käme, "Geld spielt keine Rolle, wir müssen Krypto knacken" sagt, dann wären das ungefähr die Rahmenparameter, die mir als unrealistische rechts-unten-Option einfallen würden. Ich will gar nicht wissen, was so ein Gerät kostet.
Scrollt mal ein bisschen runter. Da seht ihr eine Pixel-Art-Darstellung von einer Installation. Das ist eine Turnhalle, von der Größe her. Und das ist der Vorgänger des Vorgängers. Dieses Teil wird auch mindestens so groß sein.
Die gute Nachricht ist, dass das Angriffsmodell für Krypto-Algorithmen genau ein Laden ist, der solche Hardware bauen würde. Wenn ihr mindestens 2048-Bit RSA nehmt, und einen 256-Bit AES darüber, dann kann das auch so eine Maschine nicht mal eben brechen.
Aber wir wissen jetzt, dass sie es wirklich versuchen wollen. Die, die sich jetzt echt Sorgen machen sollten, sind Leute, die keine ordentlichen Passwort-Hash-Verfahren verwenden. Das ist in der Praxis so die schimmeligste Krypto-Eiterbeule, die man vorfindet. So "MD5 vom Password" oder so.
Übrigens ist Passwort-Hashing in den letzten Jahren explizit mit Verfahren wie scrypt oder Argon2 auf das Bedrohungsszenario ASIC eingegangen, und haben Verfahren entworfen, die viel RAM-Zugriffe haben. Denn das ist die Achilles-Sehne von ASICs. Diese Dokumente sind jetzt schon ein paar Jahre älter. ASICs können zwar Algorithmen beschleunigen gegenüber einer CPU, aber Speicherzugriffe sind immer noch langsam und man hat an ASICs im Allgemeinen Größenordnungen weniger Speicher als an normalen CPUs. Dieser Speicher-Faktor bei scrypt und Argon2 hat das Ziel, ASICs den Vorteil ihrer algorithmischen Beschleunigung nicht mehr ausspielen zu lassen. Die Frage ist jetzt, ob die NSA da genug SRAM verbaut hat, um solche Behinderungen zu kompensieren oder nicht.
Leaks of personal and business information from unsecured Amazon S3 buckets are piling up.
Währenddessen haben Facebook, Reddit und Paypal (!!) angesagt, dass sie die Nazis rausschmeißen wollen. Gerade Paypal finde ich an der Stelle bemerkenswert. Wenn die ihr Schikane-Arsenal, das sie bisher nur gegen angebliche Raubkopierer und Pornographen einsetzen, gegen die Nazis in Stellung bringen, dann werden die nicht viel zu lachen haben. Das schießt dann vermutlich auch deren Spenden-Infrastruktur weg, wenn nicht demnächst auch die Kreditkartenfirmen folgen. Mal gucken, wie sich das entwickelt.
Update: Auch der russische Hoster hat die anscheinend runtergeschmissen.
Es sieht ganz so aus, als hätten die einen Datenreichtum zu begießen!
How severe is the problem? Our experts could recover the following types of information from several Fortune 1000 companies:- Cloud keys (AWS, Azure, Google Compute) – which could provide you with access to all cloud resources
- App store keys (Google Play Store, Apple App Store) – letting you upload rogue applications that will be updated in place
- Internal usernames, passwords, and network intelligence
- Communications infrastructure (Slack, HipChat, SharePoint, Box, Dropbox, etc.)
- Single sign-on/two factor keys
- Customer data
- Proprietary internal applications (custom algorithms, trade secrets)
Naja, äh, das geht ja noch. Hätte ja noch schli… andererseits. Nee. Wüsste gerade nicht, wie das noch schlimmer hätte sein können. Das ist schon echt schlimm. (Danke, Maximilian)
Der „Cloud Storage Verbund“ solle die Verarbeitung riesiger Datenmengen und den schnellen Zugriff sichernWas kann da schon schiefgehen! (Danke, Harald)
Merken die nicht, dass sie ihren Erfolg wegpissen? Man betreibt doch so eine Site gerade, damit man mal einen Erfolg hat und viele Leute kommen!
Ich verstehe es nicht.
New hotness: Amazon-Cloud drosselt Plattendurchsatz.
Und zwar mit ähnlichem Hintergrund. Am Anfang flutscht alles ganz super, aber wenn man über eine bestimmte Menge I/O drüber geht, dann drosselt einen das System runter, damit man gegen Geld mehr IOPS bucht.
If you think you are saving money up front, just wait until the production issues start rolling in which, conveniently, can easily be solved by simply clicking a little button and upgrading to the next tier. Actually, it is brilliant and I would do the same if I had the unicorn QoS system at my disposal, and was tasked with converting that QoS system into revenue.Betonung auf "If you think you are saving money" :-)
The leak, which occurred in 2015, saw the names, photos and home addresses of millions exposed. Those affected include fighter pilots of Swedish air force, police suspects, people under the witness relocation programme, members of the military's most secretive units (equivalent to the SAS or SEAL teams) and more.Und wer war das jetzt? Der Geheimdienst? Deren Kanzleramt-Äquivalent? Nein! Das Kraftfahrzeugbundesamt.The leak occurred after the Swedish Transportation Agency (STA) decided to outsource its database management and other IT services to firms such as IBM and NCR. However, the STA uploaded its entire database onto cloud servers, which included details on every single vehicle in the country. The database was then emailed to marketers in clear text message. When the error was discovered, the STA merely sent another email asking the marketing subscribers to delete the previous list themselves.Ich muss gerade an die Geschichte denken, als ein Journalist Helmut Kohl fragte, was er in Sachen Datenautobahn zu tun gedenke, und er antwortete, Autobahnen seien Ländersache. Insofern schon irgendwie passend, dass die zuständige Behörde die Daten ins Internet hochlädt. Und überhaupt, das nenne ich mal transparente Behördenarbeit!
Staff at Indian outsourcing biz Tata uploaded a huge trove of financial institutions' source code and internal documents to a public GitHub repository, an IT expert has claimed.Bei der Cloud heißt es immer: Wenn du deine Daten in die Cloud tust, sind es nicht mehr deine Daten. Das gilt natürlich auch für Outsourcer.
Und Unternehmen machen das?!
Ich meine, mal ganz ruhig und unemotional aus der Ferne. Die geben einem Drittunternehmen ihre Login-Daten, und das tut die in die Cloud.
Kann man sich gar nicht ausdenken!
Wieso ich das erwähne? Na dreimal dürft ihr raten, was als Nächstes passiert ist!
Der für Unternehmenskunden konzipierte Single-Sign-on-Dienst OneLogin wurde gehackt.Un-fucking-believable!
Und die Punchline:
Security experts say the tool exploited a vulnerability that was discovered and developed by the National Security Agency of the United States.Voll die Security, die diese Agency schafft, wa?Und die Krankenhäuser sind nicht alles:
Hackers using a tool stolen from the United States government conducted extensive cyberattacks on Friday that hit dozens of countries around the world, severely disrupting Britain’s public health system and wreaking havoc on computers elsewhere, including Russia.Apropos Ransomware: Screenshot aus der S-Bahn Frankfurt.
Mir wird ja immer ganz schlecht, wenn ich mir vorstelle, wieviele Milliarden sinnlos als Lizenzgebühren für Windows auf solchen Info-Bildschirme ausgegeben wird.
Update: Ihr werdet jetzt sicher genau so schockiert sein wie ich, dass Virustotal eine 0% Erkennungsrate ausweist. Wie jetzt, Schlangenöl hilft nicht?! Fürs Archiv: Virustotal-Screenshot. Und wenn die AV-Hersteller wieder was von Behavior-Voodoo und Cloud-Magie erzählen, zeigt ihnen dieses Foto von einem Lab in einer Uni, bei der die Rechner der Reihe nach umkippen. Hier ist ein relativ apokalyptischer Feed. In Russland sind u.a. ne dicke Telco und das Innenministerium betroffen. Ja, äh, Leute, habt ihr alle noch nie von Patchen gehört!?
Hier gibt es übrigens Full Spectrum Cyber Pew Pew, falls ihr auf Wargames steht. Also den 80ies-Film jetzt.
Update: Bei diesem Dropper sehen die Erkennungsraten inzwischen schon besser aus, 32 von 62.
Update: Wer sein Full Spectrum Cyber auf wannacrypt eingeschränkt haben will: Übersicht.
Update: #ThanksObama!
Update: OH:
I can confirm FedEx was hit at an enterprise level. All computers to be shut down until Monday.
Ich bin mir fast sicher, dass Deutschland flächendeckend betroffen ist, aber alle schon im Wochenende waren, als die Fäkalien den Deckenventilator trafen.
Update: Diese Ransomware verbreitet sich im Intranet übrigens über die SMB-Lücke fort, die ich in den IoT-Folien als Belege dafür zitiert habe, dass die etablierten Sicherheitsexperten auch nicht wissen, wie man sichere Software schreibt. Das ist jetzt der 10. oder so Fall seit Anfang der Heise-Tour, dass eine Meldung kommt, die mir gerade zu 100% in die Argumentation passt. Ich fürchte mich gerade davor, da mein Karma auf Jahre hinaus verbraucht zu haben. Da muss ich dann wohl bald mal wieder einen Perl- oder PHP-Audit machen, um wieder Karma aufzubauen.
Update: Wannacrypt hatte einen DNS-basierten Kill-Switch drin. Der hat eine bestimmte Domain aufgelöst, und wenn die da ist, dann verbreitet er sich nicht weiter. Ein Typ hat das gesehen und die Domain registriert und da schlugen sofort tausende von Zugriffen auf.
Gut, und es kann natürlich nur Gewinner geben, wenn sich sich Cloudflare mit Anwälten kloppt.
Ich zitiere mal die ersten beiden Absätze. Bingo-Karten bereithalten!
Adobe hat auf seinem EMEA Summit in London neue Funktionen für die Experience Cloud vorgestellt. Das Web-Dienst-Paket für Online-Marketing ging im März aus der früheren Marketing Cloud hervor.Na dann ist ja alles gut.Die neue Experience Cloud vereint drei Produkte: die Marketing Cloud für Marketing-Kampagnen rund um Web, E-Mail, soziale Netzwerke und Video, die Analytics Cloud für Zielgruppen- und Kundenprofilverwaltung und die Advertising Cloud für Werbung im Web, in sozialen Netzwerken und im Fernsehen. Künftig will Adobe die Experience Cloud eng mit den Anwendungen der Creative Cloud verzahnen.
Der Einsender berichtet, ihm sei ein Fall bekannt, wo eine Firma Firmengeheimnisse über den Filesharing-Dienst von Hipchat geteilt habe.
Hätte uns doch nur jemand gewarnt, dass es ein Sicherheitsrisiko sein könnte, wenn wir unsere Geheimnisse in eine ausländische Cloud laden!1!!
G-Data stimmt mir grundsätzlich zu, dass Zahlen zur Wirksamkeit von Antiviren schwierig zu beschaffen sind, weil die im Allgemeinen von den Herstellern kommen und daher nicht als neutral gelten können. Die Zahlen, die eine große Bibliothek an Malware gegen Antiviren werfen, finden häufig hunderte von Viren, die nicht gefunden wurden, und die Antivirenhersteller reden sich dann mit angeblicher Praxisferne der Tests heraus. Ich las neulich von einer Studie, bei der eine Uni alle ihre einkommenden die Malware-Mail-Attachments bei Virustotal hochgeladen hat und auf unter 25% Erkennungsrate kam. Leider finde ich die URL nicht mehr. Vielleicht kann da ja ein Leser helfen. Mein Punkt ist aber unabhängig davon, ob das jetzt 5%, 25% oder 90% Erkennungsrate sind. Es reicht, wenn ein Virus durchkommt. Eine Malware ist nicht wie die Windpocken. Wenn man sie kriegt hat man halt rote Pünktchen im Gesicht und nach ner Woche ist wieder alles OK. Nein. Eine Infektion reicht, um die gesamten Daten zu klauen, die Platte zu verschlüsseln, und an einem DDoS-Botnet teilzunehmen. Die Erkennungsrate ist, solange sie nicht 100% ist, irrelevant. Ich bin immer wieder schockiert, mit welcher Selbstverständlichkeit Leute nach einer Malware-Infektion halt "desinfizieren" klicken in irgendeinem Tool und dann weitermachen, als sei nichts gewesen. Das ist wie wenn jemand in eine Schwimmbecken scheißt, und man fischt den größten Klumpen raus, und dann schwimmen alle weiter. WTF!?
Der nächste Talking Point der AV-Industrie ist (angesichts der miserablen Erkennungsraten in der Praxis), dass man ja nicht mehr rein reaktiv arbeite sondern auch magischen Einhorn-Glitter aus der Cloud habe. Erinnert ihr euch noch an den Aufschrei nach Windows 10, als Microsoft sich das erstmals explizit von euch absegnen ließ, dass sie eure Daten in die Cloud hochladen? Wie jetzt?! Die wollen gerne als Debugginggründen sehen, welche crashenden Programme ich ausführe!? DAS GEHT JA MAL GAR NICHT!!1! Ja was denkt ihr denn, was das ist, was die AV-Industrie mit der Cloud macht? Die werden im Allgemeinen nur die Hashes der Software hochladen, aber das heißt trotzdem, dass die sehen können, wer alles Winzip benutzt, oder dieses eine hochpeinliche aus Japan importierte Hentai-"Dating-Simulator"-Anwendung. Aber DENEN traut ihr?!
Ich sage euch jetzt mal aus meiner Erfahrung, dass die Analyse von einem Stück Software Wochen dauert, besonders wenn die Software gerne nicht analysiert werden möchte. Wenn die AV-Industrie also so tut, als könnte ihre magische Cloud "innerhalb von Sekunden" helfen, dann gibt es nur zwei Möglichkeiten: Entweder sie haben ein paar Wochen gebraucht und tun jetzt nur so, als sei die paar Wochen lang schon niemand infiziert worden. Oder sie haben da irgendwelche Abkürzungen genommen. Überlegt euch mal selbst, wieviel Verzögerung eurer Meinung nach akzeptabel wäre. Dann, wieviel Arbeit das wohl ist, anhand einer Binärdatei Aussagen zu machen. Zumal man solche Aussagen im Allgemeinen in einer VM macht, und Malware im Allgemeinen guckt, ob sie in einer VM läuft und dann die bösen Funktionen weglässt. Eine denkbare Abkürzung wäre also, schon so einen Check als Zeichen für Malware zu deuten. Da sind wir aber nicht mehr in der Branche der seriösen Bedrohungsabwehr, sondern in der Branche der Bachblüten-Auraleser-Homöopathen, das ist hoffentlich jedem klar.
Das ganze Gefasel mit proaktiven Komponenten halte ich auch für eine Nebelkerze. Wenn das funktionieren würde, gäbe es Weihnachten keine wegzuräumende Malware auf dem Familien-PC, und in der Presse wäre nie von Ransomware die Rede gewesen, weil das schlicht niemanden betroffen hätte.
Ja und wie ist es mit dem Exploit-Schutz? Das ist Bullshit. Das erkennt man schon daran, dass Microsoft diese angeblichen Wunderverfahren der AV-Industrie nicht standardmäßig ins System einbaut. Googelt das mal. Microsoft hat hunderttausende von Dollars für gute Exploit-Verhinder-Ideen ausgeschrieben und ausgezahlt. Und wieviele Prämien für gute Ideen findet ihr von der AV-Branche? Na seht ihr.
Überhaupt. Kommen wir mal zu den Standards. Microsoft hat den Prozess etabliert, den gerade alle großen Player kopieren, die SDL. Ich weiß das, weil ich dabei war, als sie das bei sich ausgerollt haben. Microsoft hat, was ich so gehört habe, sechsstellig viele CPU-Kerne, die 24/7 Fuzzing gegen ihre Software-Komponenten fahren, um Lücken zu finden. Microsoft hat ganze Gebäude voller Security-Leute. Ich würde schätzen, dass Microsoft mehr Security-Leute hat, als die typische AV-Bude Mitarbeiter. Microsoft hat geforscht, ob man mit dem Umstieg auf .NET Speicherfehler loswerden kann, ob man vielleicht einen ganzen Kernel in .NET schreiben kann. Sie hatten zu Hochzeiten über 1/4 der Belegschaft Tester. Es gibt periodische Code Audits von internen und externen Experten. Sie betreiben eine eigene Security-Konferenz, um ihre Leute zu schulen, die Bluehat. Aus meiner Sicht stellt sich also die Frage: Wenn DAS die Baseline ist, trotz derer wir immer noch ein Sicherheitsproblem haben, dann müssten ja die AV-Hersteller nicht nur genau so gut sondern deutlich besser sein. Sonst wären sie ja Teil des Problems und nicht Teil der Lösung. Das hätte ich gerne mal von den AV-Leuten dargelegt, wieso sie glauben, sie könnten das besser als Microsoft.
Oh und einen noch, am Rande:
Wenn Daten signiert sind ist klar, von wem die Informationen stammen. Oft ist es schon ein beträchtlicher Sicherheitsgewinn, wenn man weiß, dass die Information von einem bekannten und ergo vertrauenswürdigen Quelle stammen.Das ist natürlich Bullshit. Es sind schon diverse Malware-Teile mit validen Signaturen gefunden worden, und alle alten Versionen mit bekannten Sicherheitslücken sind ja auch noch gültig signiert. Code Signing dient nicht dem Schutz des Kunden sondern dem Schutz von Geschäftsmodellen.
Mir ist außerdem wichtig, dass ihr merkt, wenn ihr hier mit einer bestimmten Haltung an das Thema rangeht, weil ihr selbst schon entschieden habt, und jetzt nur noch die Argumente rauspickt und höher bewertet, die eure getätigte Entscheidung bestätigen. Das ist ein sehr menschliches und normales Verhalten, aber dem Erkenntnisgewinn dient das nicht. Wo kommen denn die Zahlen her, dass angeblich noch niemand über Lücken in Antiviren gehackt wurde? Wenn ihr zu Weihnachten 10 Viren findet — macht ihr dann erstmal eine wochenlange forensische Analyse, wo die herkamen? Nein, macht ihr nicht! Ihr seid froh, wenn die weg sind. Aussagen wie "noch keiner ist über seinen Antivirus gehackt worden" sind unseriös, und Aussagen wie "es sind keine Fälle bekannt" sind irreführend und Nebelkerzen.
Update: Wer übrigens die Früchte von Microsofts Exploits-Schwieriger-Machen haben will, der muss a) immer schön Windows updaten; weg mit Windows 7 und her mit Windows 10, und/oder b) EMET installieren.
Update: Hups, EMET-Link war kaputt.
Update: Ein Einsender weist darauf hin, dass es doch mal einen Fall von einer massenhaftung Malware-Verbreitung via Antivirus-Sicherheitslücke gab.
Update: Ein fieser Wadenbeißer hat sich mal durch die Archive gegraben:
es gibt noch weiteres Argument gegen die Schlangenöl-Branche, das ich glaube ich bei dir noch nicht gelesen habe, wenngleich das eher nicht gegen die Microsoft-Lösung zielt:
Kollateral-Schaden.
Wie oft hatten wir es bitte schon, dass ein Amok laufender Scanner von einem marodierenden Wozu-Testen-AV-Riesen schlicht Windows & co als Virus/Trojaner/Whatever eingestuft hat?
Gucken wir doch mal:
Das passt auch sehr schön dazu, welchen Testaufwand Microsoft im Vergleich betreibt.
Oh und was ist eigentlich mit Virenscannern, die Inhalte aus dem Netz nachladen, die nicht unbedingt... naja, gab es schließlich auch schon:
Soll man daraus schließen, dass die ihr eigenes Gift vmtl selbst gar nicht einsetzen?
Ach ja, ich vergaß, alles bedauerliche Einzelfälle vom Werksstudentenpraktikanten, die natürlich nie, nie, nie wieder passieren. Ungeachtet dessen, dass sie nie hätten passieren dürfen, das wäre eigentlich der Anspruch an diese Software.
So wie auch schon Schlangenöl auch nur in den besten Fällen keine Wirkung hatte.
Ich habe bisher auf diese Art von Linksammlung verzichtet, weil es mir gerade nicht darum geht, mit dem Finger auf einzelne Hersteller zu zeigen. Es gibt da sicher auch Pfusch bei einzelnen Anbietern, das sehe ich auch so, aber mir ist die fundamentale Kritik am Konzept des Antivirus wichtiger. Pfusch in Software gibt es ja leider häufiger.
Update: Ein anderer Einsender kommentiert:
Zum Thema Proaktive Komponente kann ich dir aus unserer Infrastruktur klar sagen: DAS ist das was am Meisten Fehlmeldungen produziert. Ich habe z.B. einen lang vergessenen Texteditor auf einer Netzwerkfreigabe rumliegen. Seit 2007. Und 2016 auf einmal meldet der Antivirus, dass das Ding verseucht ist und sofort desinfiziert werden muss. Ich warte zwei Tage (=zwei Signaturupdates) ab und lass den Ordner wieder scannen. Diesmal: Nix. Oder letzte Woche hat er uns 6 Userworkstations als virenverseucht gemeldet, weil die User Proxy PAC-Scripte im Browser konfiguriert haben. Ja, haben sie weil so unser Internetzugang funkioniert, aber ich frag mich ernsthaft warum der AV nur diese 6 Workstations gemeldet hat und nicht noch die anderen 400 die das AUCH haben. Tags drauf war wieder alles gut. Für mich als Admin ist das keine zusätzliche Sicherheitskomponente sondern nur zusätzliche Arbeit.
Und ich möchte auch zu der Cloud-AV-Sache noch mal klarstellen, wie sehr das Bullshit ist. Der CCC hat vor ein paar Jahren den Staatstrojaner veröffentlicht, ihr erinnert euch wahrscheinlich. Natürlich in einer entschärften Version, die keinen Schaden angerichtet hätte. Diese Version tauchte dann relativ zeitnah in den Cloud-Antivirus-Datenbanken auf. Die nicht entschärfte Version tauchte nicht auf. Nur falls sich da jemand Illusionen gemacht hat.
Update: Ein Biologe kommentiert:
Es gibt ja ein paar hübsche Analogien zwischen Computerviren und deren Verbreitung und der realen Welt. Beim Lesen des G-Data Pamphletes musste ich an einer Stelle herzlich lachen, als sie ihre "über 90% Erkennungsrate" beweihräucherten. Auf die Mikrobiologie übertragen ist das eine log1-Reduktion, also so knapp über Homöopathie und Gesundbeten. Ich arbeite mit Lebensmitteln, da darf man etwas "Debakterisierung" nennen, wenn man im log3-Bereich unterwegs ist. Also wenn 99.9% aller Keime gekillt werden. Pasteurisierung ist bei log5, also 99.999%. Und auch da wird die Milch nach 21 Tagen sauer.
90% ist da auf jeden Fall der Bereich "lohnt den Aufwand nicht". Da ist eine sinvolle Backup-Strategie und eine gewisse Routine im Rechner-wiederaufsetzen sinnvoller eingesetzt.
Update: Viele meiner Leser scheinen eine Statistik-Schwäche zu haben, und kommen mir hier mit Analogien wie "Kondome schützen ja auch nicht 100%" oder "im Flugzeugbau hat man auch nicht 100% als Anforderung". Vergegenwärtigt euch mal, wie viele Viren es gibt, und wie viele Malware-Angriffe pro Tag es auf typische Systeme gibt. Und dann rechnet euch mal aus, bei einer Erkennungsrate von 90%, oder sagen wir 99%, oder sogar 99.9%, wie viele Stunden es dauert, bis der Rechner infiziert ist. Ich habe in Köln und Hamburg das Publikum gefragt, wer schonmal Weihnachten einen Familien-PC säubern musste. Fast alle. Dann, bei wie vielen ein Antivirus drauf war. Jeweils einer weniger. EINER weniger. ALLE ANDEREN haben trotz Antiviren Malware eingefahren. Wir reden hier nicht von "ich habe dreimal pro Tag mit Kondom Sex und habe nie HIV gekriegt", sondern von über einer HIV-Infektion pro Tag. Und da, behaupte ich mal, wären auch die Nicht-Statistiker unter euch plötzlich mit der Kondom-Performance unzufrieden. Was ihr gerade am eigenen Leibe erlebt, das nennt man Rationalisierung. Ihr habt eine Entscheidung getroffen, nämlich einen Antivirus einzusetzen, und greift jetzt unterbewusst nach Strohhalmen, um das irgendwie zu rechtfertigen. Ich meine das gar nicht böse. So funktionieren Menschen. Euch kommt zugute, dass die meisten Viren bisher wenig kaputtgemacht haben. Vielleicht ein paar erotische Selfies exfiltriert, wenn es hochkommt an einem Botnet teilgenommen. Erst jetzt mit Ransomware werden Viren auch gefühlt richtig gefährlich. Ihr solltet nicht warten, bis euch das am eigenen Leib passiert.
Wir sollten mal Wettpools eröffnen, wann das nächste Fappening sein wird.
Dann schlage ich vor, kurz dieses Essay über Hype Driven Development zu lesen. Das ist der Kategorienbegriff.
Ich finde es auffällig, wie häufig in Projekten erst das zu verwendende Werkzeug festgelegt wird, dann was damit gemacht werden soll. Es gibt Argumente für die Vorgehensweise, beispielsweise wenn das Ziel der Übung ist, dass man jemanden mit einem bestimmten Tool trainiert, damit er danach damit umgehen kann. Also gibt man ihm ein-zwei Spielprojekte mit dem Tool. OK, dagegen sage ich nichts.
Was ich jetzt meine sind so Sachen wie: "Wir schaffen hier mal den IBM Virtual Mainframe Distributed Cloud Blockchain Orchestrator an!!1!", dann wird das gekauft, und nicht nur weiß keiner, wozu das gut ist, oder wie man es bedient, es ist auch kein Geld für Schulungen eingeplant (die Geschäftsführung hat gehört oder findet, dass Learning by Doing reicht, das eignet man sich schon im Vorbeigehen an). Und wenn sich die Erkenntnis der eigenen Unmündigkeit herumgesprochen hat, dann kauft man schnell externe Experten ein, die das einrichten.
Ich verstehe das ja, wenn man mal einen Fehler macht. Aber das ist so sinnlos und selbst zugefügt! Wieso passiert das immer wieder?
Vor allem ist der nächste Schritt dann, wenn das erste Wundertool nie seinen Zweck erfüllt hat, dass man ein anderes Wundertool kauft, nach dem selben Verfahren und mit dem selben Ergebnis.
Alles, was die Leute so IoT vorwerfen, ist auf Smartphones anwendbar. Billigst hergestellt, auf Verschleiß optimiert, gibt keine Updates vom Hersteller, Datenreichtum in der Cloud irgendwo, man fängt sich Dutzende von unklaren Abhängigkeiten auf irgendwelche Dienste irgendwo ein, und wenn die mal weg gehen, ist auch die Funktionalität weg. Nur um mal ein paar der üblichen IoT-Vorwürfe zu nennen.
Ich glaube daher, IoT ist eine Nebelwand, und eigentlich geht es uns um Smartphones.
Und meine eigentliche These ist ja, dass das alles bloß das Symptom ist, nicht das Problem. Und das Problem ist unterregulierter Kapitalismus.
Aber ich möchte schonmal ein paar Gedanken aus dem Kontext gerissen wiedergeben, weil ich sie interessant fand.
Inhaltlich sind die meisten der Meinung, dass die Hersteller in der Pflicht sind, ordentliche Produkte zu machen, aber es ist auch auffällig, wie viele Leute auch sich selbst ausreichend in der Pflicht sehen, um mir ihr Leid zu klagen, dass sie ja gar nicht mehr die Kontrolle über die Geräte haben, und da gar nichts sicher machen könnten, selbst wenn sie wollten. Ein paar haben sogar den Netzwerk-Traffic gesnifft und mal ne Firmware zu extrahieren versucht.
Ich finde das faszinierend, wie die Hacker sich diesen Schuh bereitwillig anziehen. Ich finde nämlich instinktiv nicht, dass man da die Enduser in die Pflicht nehmen sollte oder kann. Die sind gar nicht in der Lage, die Risiken zu erkennen oder gar abzuwehren. Und warum sollten sie? Die sind ja auch nicht in der Pflicht, eine frisch gekaufte Mikrowelle erstmal aufzuschrauben und ihre Sicherheit zu prüfen.
Danke jedenfalls schonmal für die vielen Einsendungen. Die beiden größten Ängste bisher sind die vor dem Kontrollverlust (Geräte closed source, tun unklare Dinge, haben wahrscheinlich Backdoors, Daten liegen in der Cloud, etc) und die davor, von den Ranzgeräten anderer Menschen geschädigt zu werden, durch DDoS- oder Spam-Botnets.
Das beste Money Quote bisher ist aber das hier:
Holzöfen gibt es jetzt noch zu kaufen und wie ich letzthin erfahren habe gibt es weltweit immer noch dieselben Hersteller, auch wenn Umweltschutznormen betr. Feinstaub für Randregionen extra Ausnahmen machen mussten. In einem abgelegenen Tal mit viel Wald sehe ich nicht ein, wieso dort ein Elektroherd stehen muss. Das IoT normiert nun noch viel schneller und radikaler alle unsere Lebensstile. Es wird in fünf Jahren sehr schwer sein, uninformiert andere, "TCP/IP-freie" Produkte zu beschaffen. Parallele Beispiele sind bestimmte (fast) unvermeidbare Konservierungsstoffe in Handwaschmitteln oder bei UEFI coreboot-fähige Geräte.Die Sorge, dass Polizei und Geheimdienste Zugriff auf die Daten nehmen können, wird übrigens nur von vergleichsweise wenigen geäußert. Die meisten vertrauen schlicht dem Hersteller der Produkte schon nicht und finden das ausreichend als Fundamentalkritik.Es wird einem unglaublich leicht gemacht, fleisch- oder gutenfrei zu leben, aber keinen Buffer overflow im Haushalt zu haben ist unmöglich. Das gibt mir schon zu denken.
Bin grad auf einer IBM-Veranstaltung in Böblingen. Die zeigen u.a. die Verwaltung von VMs und Docker Containern über Spracherkennung mit Watson in der Cloud über ein (ggf. öffentlich erreichbares) Webinterface. m(:-)(Ankreuz) bitte selbst einfügen. Ich hab die Karte für heute schon voll. Horizontal und Vertikal ;)
Das ist voll zuverlässig, sagten sie!
Heute: IBM und der österreichische "Arbeitsmarktservice".
Update: Habe mich verguckt, da steht gar nichts von Cloud. Dafür weisen Einsender auf zwei verwandte Meldungen hin, für Freunde der gepflegten Infrastrukturapokalypse: "Versicherte der Techniker Krankenkasse bekommen elektronische Patientenakte von IBM" und "IBM will mit Conti Toll Collect gemeinsam betreiben"! (Danke, Vid)
Aber man konnte es nicht sehen, denn das "ist alles OK"-Dashboard zieht seine Bilder auch aus der Amazon-Cloud, und konnte die "ist kaputt"-Bilder dann nicht laden, also sah im Dashboard alles grün aus.
Naja, Dashbaord, who cares. Sagt ihr vielleicht. Wenn ihr keine Razer-Maus habt, denn die ging nicht mehr ohne Amazon-Cloud.
Wenn ihr euch nicht sicher seid, ob ihr eine Razer-Maus habt, kann das daran liegen, dass ihr ohne Amazon-Cloud eure Smart-Glühbirnen nicht mehr anschalten konntet.
Hoffentlich habt ihr Thermostaten, die ohne Amazon-Cloud die Heizung anschalten konnten nachts.
Ist schon toll, dieses IoT, nicht wahr? The future is now! Früher nannten wir es obdachlos, heute nennen wir es Amazon-Cloud-Ausfall! :-)
Nun, … die Hersteller von Cloudpets.com hatten ihre Daten in einer MongoDB, die frei am Internet hing. Wenn ihr im Januar aufgepasst habt, könnt ihr euch sicher vorstellen, was als nächstes passiert ist.
The CloudPets data was accessed many times by unauthorised parties before being deleted and then on multiple occasions, held for ransom.
Hier sind die Details. "Cloudbleed" :-)
Die Forscher untersuchten rund 8 Milliarden TLS-Verbindungen zum Firefox-Update-Dienst, einigen E-Commerce-Sites und bei Cloudflare. Dabei stellten sie fest, dass bis zu 10 Prozent der gesicherten Verbindungen nicht mehr die typischen Verbindungsparameter des verwendeten Browsers aufwiesen – sie also irgendwo unterwegs unterbrochen wurden.10 Prozent finde ich ausgesprochen krass.
Konkret bedeutet das etwa: 13 von 29 untersuchten Antiviren-Programmen klinken sich in die verschlüsselten TLS-Verbindungen ein.Naja, TLS ist TLS, denkt ihr euch jetzt vielleicht. Ihr irrt. TLS handelt beim Handshake am Anfang aus, welche Verfahren verwendet werden, und wenn da ein Schlangenöl zwischen sitzt, das nur alte Gammelverfahren spricht, dann sinkt eben die Sicherheit der Gesamtverbindung dadurch. Wie schlimm ist es?
So erlaubten gemäß der Studie Produkte von Avast, Bitdefender, Bullguard, Dr.Web, Eset, G Data und Kaspersky direkte Angriffe auf die gesicherten Verbindungen. Bei den getesteten Security-Appliances für die Inspektion von TLS-Verbindungen sieht es nicht besser aus: 11 von 12 schwächten die Sicherheit etwa durch die Hinzunahme von kaputten Verfahren wie RC4.Ja prima!
Das Fazit ist:
"Viele der Verwundbarkeiten in Antiviren-Produkten und Proxies in Fimrenumgebungen [….] sind fahrlässig und ein weiteres Zeichen für den Trend, dass ausgerechnet Sicherheitsprodukte die Sicherheit verschlechtern statt sie zu verbessern" heißt es im Fazit.Ich weiß, ich weiß! Hätte uns doch nur jemand rechtzeitig gewarnt!!1!
„bei der cloud handelt es sich um eine private hochsicherheits-cloud auf geschützten servern bei uns selber im haus.“ ein hackerangriff ist damit nicht möglich. der fahrdienstleiter kann „bei unregelmäßigkeiten“ jederzeit selber eingreifen.Das finde ich eine tolle Begriffsschöpfung. "Private Hochsicherheits-Cloud auf geschützten Servern bei uns selber im Haus". Da hätte man früher schlicht "Server" zu gesagt. :-)
Ich finde es ja schonmal gut, wenn der Fahrdienstleiter jederzeit überstimmen kann. Allerdings wird der ja mit anderen Dingen beschäftigt sein, wenn man diesen Kram in die Cloud auslagert, oder nicht? Wo lägen sonst die Vorteile, wenn man da nicht jemanden wegkürzt, der da früher drauf geguckt hat?
Auch die anderen Fragen sind interessant. Zum Beispiel will da jemand wissen, ob Siemens bei Stuxnet mitgearbeitet hat, oder mit dem russischen Geheimdienst kooperiert. Beides kann Siemens ausschließen.
According to multiple support threads started in the last three weeks and merged into one issue here, users had complained about old folders that they deleted years ago, magically reappearing on their devices.Wie das so ist in der Cloud. Account löschen und Dateien löschen implementiert niemand wirklich. Das liefe ja dem Big Data-Anspruch zuwieder!
New hotness: T-Systems: Künstliche Intelligenz für Deutsche Bahn.
Hey, wie wäre es erstmal mit natürlicher Intelligenz? (Danke, Lorenz)
Update: Ein Einsender erklärt:
Das Bahnleitsystem (bei DB LeiDis) ist quasi eine Routing-Software, die die Zugfolge und die Strecken, auf denen die dann fahren, steuert.
Das ist nicht, ich wiederhole, NICHT die Stellwerkstechnik, die liegt weiterhin physikalisch mit den Außenanlagen gekoppelt an der Strecke.
Das Leitsystem ist sowas wie bei DBAG oder der S-Bahn die Betriebszentrale. Wenn die ausfällt, dann ist das zwar trotzdem Scheiße, weil dann über kurz oder lang alles stehenbleibt (Verfügbarkeit), aber nicht kritisch (Sicherheit).
Update: Ein anderer Einsender widerspricht:
Da ich zwar im Bereich Bahntechnik, aber nicht bei Siemens tätig bin, kann ich nur aus den ziemlich knappen Informationen und den verfügbaren Pressemitteilungen zu Iltis (Integrales Leit- und Informationssystem) meine Schlüsse ziehen.
Laut diesem Wiki-Artikel sind die Stellwerke über dieses System steuerbar und die Fahrdienstleiter kann zusätzlich zu den automatisch stattfindenden Vorgängen Bedienhandlungen durchführen und "Stellwerke fernsteuern".
Der Name (Integrales) und die Eigenschaften deuten darauf hin, dass hier die Funktion des LeiDis mit der des Fahrdienstleiters kombiniert wird. Diese Arbeitsweise wird in der DB als "steuernder Durchgriff" bezeichnet, wobei es sich meinen Kenntnisstand entzieht ob diese Funktion bei der DB bereits im Einsatz ist. Gewünscht wird sie auf jeden Fall, da damit der Disponent anstatt dem Fahrdienstleiter bedienen kann um bestimmte Züge zu priorisieren.In einem ausführlicheren Artikel über das Leitsystem in der Cloud wird deutlicher dargestellt, dass sämtliche Funktionen, also auch das Stellwerk, in der Cloud virtualisiert wurden.
Deutlicher Hinweis darauf ist der Satz: "Dabei ist für die Bedienung des Leitsystems, mit dem unter anderem das Gesamtsystem überwacht und die Weichen gestellt werden..." und der Vermerk des 3-Rechner-Systems.
2 von 3 Rechnersysteme, "Weichen stellen" und Überwachung sind typisch für die Sicherungsebene des Stellwerks und nicht für LeiDis.
Positiv ist hervorzuheben, dass immer noch die Möglichkeit besteht auf einen lokalen Rechnerverbund zurückzufallen, wobei dabei (wahrscheinlich) die Funktionen Bedienhandlungen und Zuglenkung erhalten bleiben, während die Fahrgastinformationen und der steuernde Durchgriff entfällt.Außerdem möchte ich den vorherigen Einsender auch zum Thema Betriebszentrale DB ergänzen: Aus der BZ werden die Bedienhandlungen des Stellwerkes getätigt, wobei sowohl in der BZ eine Bedienebene mit einem redundanten (akitves/passives) Rechnersystem existiert, als auch eine Bedienebene in jeder angeschlossenen Unterzentrale. Die UZ beinhaltet bei der DB auch immer die Stellwerksebene, aber in einem extra Raum getrennt von der Fahrdienstleiterstelle. Ein Ausfall der BZ würde dazu führen, dass die Fahrdienstleiter aus der BZ in die UZs fahren müssten und von dort den Betrieb steuern würden. Somit würde nicht alles über kurz oder lang stehenbleiben, sondern nur so lange wie die Fdl benötigen um die UZ zu erreichen und dort ihre Tätigkeit aufzunehmen. Dieser Fall ist meines Wissens aber in Deutschland noch nie so vorgekommen.
Der Aufbau für Siemenstechnik sollte prinzipiell gleich sein, mir sind aus meiner Tätigkeit keine signifikanten Unterschiede bekannt.
(Danke, Florian)
Eine Analyse der öffentlich im Internet erreichbaren Systeme zeigt, dass immer noch Hunderttausende für die OpenSSL-Lücke Heartbleed anfällig sind. Die bald drei Jahre alte Lücke findet sich demnach hauptsächlich in Mietservern der Cloud.Make the cloud great again!
Die Liste der Opfer ist beeindruckend: ehemalige Regierungschefs, Minister, Abgeordnete, Mitarbeiter der Zentralbank, Chefs der Finanzpolizei, Manager, Militärs und Kardinäle. Unter anderem hatten die Kriminellen Zugang zum Apple-Konto und damit zum iPhone des früheren Ministerpräsidenten Matteo Renzi sowie zu einem E-Mail-Konto des Präsidenten der Europäischen Zentralbank, Mario Draghi.Tut eure Daten in die Cloud, sagten sie! Da sind sie sicher, sagten sie!
Aber hey, das waren doch bestimmt die Russen, nicht wahr? Mit APT? Da kann man nichts machen.
Oh warte, doch nicht die Russen.
Der 45-jährige Giulio Occhionero ist ausgebildeter Nuklearingenieur, seine 49-jährige Schwester Chemikerin. 1998 gründeten die beiden die Investmentfirma Westlands Securities.Sekunde, Sekunde, kommt noch was:
Er war Mitglied einer FreimaurerlogeHahaha, fuck yeah! (Danke, Andreas)
"Pofalla soll Bahn-Vorstand für Infrastruktur werden"
Da war ich offensichtlich zu voreilig mit dem Wort "Infrastrukturapokalypse". Die geht jetzt erst richtig los.
Update: Und so könnte das konkret aussehen: Die Bahn will angeblich ihr Rechenzentrum in Mahlsdorf schließen und die Daten in die Amazon-Cloud schieben. (Danke, Boris)
Aber wartet, wird noch besser. Was präsentiert die Telekom in auf dem "Magenta Security Kongress" (nur echt mit Deppenleerzeichen)? "Neue Sicherheitsprodukte"! Aha, fragt ihr jetzt bestimmt. Produkte? Das ist ja spannend! Was könnte die Telekom denn so als Produkt anbieten? Hoffentlich keine DSL-Router?
Nein, nein, keine DSL-Router. Was mit Cloud!
Mit Angeboten wie einem isolierten Browser und einer Cloud-Lösung für Wirtschaftsprüfer und Anwälte will der Konzern neue Kunden ansprechen.Der "isolierte Browser" wurde vom Geheimdienst-Zulieferer Rohde & Schwarz gebaut, in Kooperation mit dem BSI (die, die den Bundestrojaner mitentwickelt haben). Hey, wenn das keine Credentials sind!1!! Da hat man doch Vertrauen!!1!
Aber geht ja noch weiter.
When I think security, I think cloud computing!!
Kann man gar nicht persiflieren, die Nummer!
Oh warte, doch, kann man! Man lässt einfach den Telekom-Chef eine Cyber-Nato fordern! Und dann lässt man ihn zu Protokoll geben:
Wir wissen, wovon wir reden, und wir wissen, was wir tun.So, jetzt kann man das nicht mehr persiflieren.
Oh warte, doch! Da geht noch was!
"Deutsche Telekom baut Drohnenschild"! NEIN!!! Wo ist sie? Wo ist die versteckte Kamera? Irgendwo im Hinterzimmer sitzen die doch, gucken sich unseren Live-Feed an und lachen sich kaputt über uns!
Die Datenschutzbeauftragte der Comuto Deutschland GmbH teilte gegenüber heise Security mit, dass die Daten mit AES verschlüsselt sind. Nur habe man bei der Archivierung auch den zugehörigen Schlüssel mit in der Cloud abgelegt.Na DIE hat sich ja SO RICHTIG gelohnt, die Verschlüsselung!1!!
Das ist so krass, dass die damit in meinem Weltbild weg vom Fenster wären als Cloud-Anbieter. Aber hey, ich wäre gar nicht erst rein gegangen in die Cloud. Mein Weltbild hat also einen gewissen Realitätsabstand an der Stelle.
Ach komm, eine Familienpackung Schlangenöl drüberkippen, und dann haben die Leute das bestimmt gleich wieder vergessen.
Ich hab ja vor so 15-20 Jahren oder so mal auf der CeBIT einen Stand von der Crypto AG gesehen, und das Standpersonal gefragt, wieso es ihre Firma noch gibt. Der Mann lächelte freundlich und erklärte uns, die Leute hätten eben kein gutes Gedächtnis.
Hilfreicherweise liegen sie da auch schön im Zugriff russischer Behörden, klar.
Nun, ein Gericht hat das jetzt gegen Linkedin angewendet, und Linkedin hat seinen Einspruch dagegen verloren. Damit wird Russland wohl den Zugriff auf Linkedin blockieren.
In Deutschland ist das bisher eher selten, nicht zuletzt weil wir das Prinzip der Datensparsamkeit haben. Wenn du die Daten nicht wirklich dringend brauchst, dann erhebst du sie gar nicht erst. Daten, die du nicht hast, können dir auch nicht geklaut werden.
Einfach. Einleuchtend. Offensichtlich.
Völlig klar. Da muss was geschehen!
Die drei federführenden Minister der digitalen Agenda sind sich einig, dass das Prinzip der Datensparsamkeit weg muss. Das Thema Datensicherheit sei eines der großen Digitalisierungshemmnisse für kleine und mittlere Unternehmen.Ich bin ja in diesem Blog einiges gewohnt, aber da verschlägt es mir die Sprache.
Wirtschaftsminister Sigmar Gabriel (SPD), Innenminister Thomas de Maizière (CDU) und Infrastrukturminister Alexander Dobrindt (CSU) haben auf dem Treffen des eco-Verbands am heutigen Dienstag die digitale Wirtschaft kritisiert. Schon bei der Öffentlichkeitsarbeit habe die IT-Branche den Dreh noch nicht raus, fand Gabriel: "Cloud hört sich schon so an wie Stehlen." Da mische sich die NSA und der Staat mit ein oder die Tatsache, dass die Server oft in anderen Ländern stünden. Viele hätten daher Angst, nicht mehr Herr ihrer eigenen Geschäftsmodelle zu bleiben.Äh ja, genau! Exakt! Das ist ja auch völlig begründet, diese Angst! Hallo McFly? Jemand zuhause?
Auf der anderen Seite freut es mich, dass die schönen Wortspiel-Jokes von meinem Kollegen Lindner es bis zu Herrn Gabriel geschafft haben. :-)
Und DAS, meine sehr verehrten Damen und Herren, ist, wieso wir heutzutage sogar die Tastatur in die Cloud schieben!
Der Unterhaltungsfaktor ist doch anders gar nicht zu erreichen?
Ich meine, lehnt euch mal in eurem Sessel zurück, macht es euch bequem, und denkt mal kurz darüber nach. Ihr habt eine Tastatur-App geschrieben. Was ist der spektakulärste Verkacker, der euch einfällt?
Seht ihr, so geht es mir auch.
Ist mir ein völliges Rätsel, was hier das Problem ist. ARM ist etablierte Legacy-Scheiße, die PC-Plattform ist voller etablierter Legacy-Scheiß, ARM64 ist zwar neuer aber im Wesentlichen architekturell auch nicht so unterschiedlich. Und auch bei PCs ändert sich ja der Steckplatz alle paar Jahre. Wieso kann ich nicht im PC-Schrauber-Bedarf ein ARM-Mainboard kaufen, Mini-ITX oder von mir aus kleiner oder größer, das in ein Standard-Gehäuse passt, wo ich Standard-USB- und PCIe-Anschlüsse für Peripherie habe, und damit kann ich dann basteln.
Wie soll denn diese Plattform populär werden, wenn es für Entwickler keine Plattform zum Populärmachen von ARM64 gibt.
Oh und kann mir mal jemand erklären, wass dieser "aarch64"-Bullshit soll? Das ist ja fast so bekloppt wie "x86-64"!
Schon ARM ist in der Beziehung eine absolute Katastrophe. Jede Implementation macht da ihr eigenes Gefummel aus irgendwelchen bescheuerten Loadern.
Ich hätte so gerne mal jemanden, der X86 glaubwürdig Konkurrenz machen kann! Wollen die unser Geld nicht haben oder was ist da los?
Nein, den Artikel müsst ihr nicht lesen. Die Überschrift reicht.
Akt 2: Google löscht das Blog und sein gesamtes Oevre.
Voll das Erfolgsmodell, dieses Cloud Computing! (Danke, Bruce)
So zum unvorbereitet sein: Ist so. es gab offensichtlich keinen Plan & keinen Strategie von UK-Seite; offensichtlich wurde auf EU-Seite durchaus zumndest kurz darüber nachgedacht. BTW - IT-Technisch brennt da auch gerade ein bischen die Luft - auch grosse Konzerne haben da gepennt. Denn wenn GB Austritt & nicht absolut zeitgleich mittels z.B. EWR den Zugang zum Single Market schafft, dann gibts ein klitzekleines Problem mit dem Europäischen Datenschutz. Das erwischt einige, die auch 'Cloud' anbieten. Seit Freitag später Nachmittag gehts da rund - ich hatte das auch nicht auf dem Radar, bis die ersten Anfragen auftauchten. Ein paar Telefonate später war mir dann einiges etwas klarer.
Denkt euch den erhobenen Zeigefinger mit Cloud und Single Point of Failure und unnötig von anderen abhängig machen dazu :-)
Macht Cloud Computing, haben sie gesagt! Ist voll sicher, haben sie gesagt! :-)
Update: Popcorn bereithalten!
Meine einzige Ausrede ist, dass ich diesmal erst am Vorabend ein paar Minuten Zeit hatte für die Vorbereitung. Ich wollte eigentlich auch einen node.js-Fehler nehmen, aber ein kurzes Recherchieren hat ergeben, dass node.js bei sowas abraucht / gar nicht erst hochkommt und keine Fehlermeldung per http ausliefert. Da hätte ich mir jetzt eine aus den Fingern saugen können, aber ich dachte mir dann, dass ich dann lieber eine Cloudflare-Fehlerseite nehme, da ist wenigstens ein bisschen Cloud-Ironie dabei. Leider hat offenbar niemand eine solche Fehlermeldung irgendwo archiviert. Ich fand bloß einen Screenshot.
Schade, da wäre mehr drin gewesen. Aber es sind immer noch genügend viele drauf reingefallen, dass ich es unter dem Strich als Erfolg verbuche.
Übrigens wäre schon das hier für mich ein Ausschlusskriterium für Cloudflare.
Ich finde ja gar nicht so bemerkenswert, dass Apple darüber nachdenkt, sondern dass da anscheinend sonst niemand drüber nachdenkt.
Erstens: Fast immer heißt es "keine Zeit". Auch in Abwandlung als "andere Sachen sind wichtiger". Wir reden hier also von einer BWL-Betrachtung der Situation. Da kommen dann so Argumente wie "der Kunde hat ja schon gezahlt". Wieso sollte ich mich um Bugs kümmern, nachdem der Kunde gezahlt hat? Wichtiger ist es, neue Kunden zu gewinnen.
Daraus folgt dann spannenderweise direkt ein Argument für Abo-Modelle, SaaS und Cloud Computing. In den Fällen, würde man ja denken, hat der Betreiber einen direkten Anreiz, seinen Scheiß stabil zu kriegen. Denn er schadet sich nur selber, wenn es nicht stabil ist.
Aber dem gegenüber stehen dann Einsendungen aus der Spielebranche. So F2P- und Browserspiele meine ich jetzt. Die haben ja nun "wir schaden uns nur selbst" als Extrem, sozusagen in Reinform. Dem Argument folgend müssten die ja alle Bugs immer sofort fixen. Tun sie aber nicht. Im Gegenteil, da bleibt auch alles liegen. Deren Metriken sind die Rate der neu angelegten Accounts und die reinkommende Kohle pro Tag. Das heißt, dass die Bugs ganz schnell schließen, mit denen man beispielsweise bescheißen kann, oder den Server abstürzen lassen kann. Die zweite Reihe sind Bugs, mit denen man andere Leute ärgern kann. Die werden auch gefixt, aber nur, wenn sie außen bekannt werden und weiträumig ausgenutzt werden.
Wir haben hier also keinesfalls die Situation, dass "der Markt das dann schon richten wird", wenn man das rein ökonomisch bewertet alles.
Andere strukturelle Probleme, die immer wieder angeführt werden, sind Ausschreibungen. Das Konzept der Ausschreibung führt dazu, dass der Billigste gewinnt, und der ist nur deshalb so billig, weil er kein Budget für Fehlerbereinigung zurücklegt. Mehrere Einsender schreiben sogar, dass Fehler absichtlich eingebaut wurden, damit man auch noch einen Support-Vertrag verkaufen kann, und über den dann die Differenz zwischen der Ausschreibung und den realen Kosten wieder reinholen kann.
Ein weiteres wiederkehrendes Element sind unnötige Grabenkämpfe. Die Tester fühlen sich von den Entwicklern vorgeführt und ignoriert. Die Entwickler fühlen sich von Testern und Management gegängelt. Das Management spart die Tester am liebsten ganz ein und macht den Entwicklern uninformierte Vorgaben. Gerne wird auch über Vertriebler geschimpft, die Dinge verkauft haben, die gar nicht einlösbar sind.
Ich glaube, dass man hier auf allen Seiten das Verhalten ändern muss. Das Management hat die Aufgabe, Geld zu sparen, und "Prozesse zu optimieren". Bis es schmerzt. Ob es schmerzt oder nicht, das brauchen sie als negatives Feedback. Und es muss für sie klar erkennbar sein, dass das jetzt zuviel "optimiert" war. Die Entwickler verhalten sich aber häufig dumm in der Situation und versuchen, die unmöglichen Vorgaben einzuhalten. Dabei wird der Code schlechter und schlechter, ein Legacy-Schuldenberg baut sich auf, und die Bugs kommen beim Management aber nicht als "das liegt an deiner Sparpolitik" an sondern als "die Entwickler sind inkompetent und undiszipliniert" an — und die machen dann weiter mit der "Kostenoptimierung".
Und was das Management falsch macht ist, dass sie keine Risiken eingehen. Man muss die Management-Hierarchie als Risiko-Puffer betrachten. Das Management unten und die Entwickler, die sollen Risiken eingehen. Die sollen keine unsauberen Abkürzungen nehmen. Aber wenn sich eine Gelegenheit bietet, mit einer anderen Technik besser zu sein, dann sollen sie das machen. Das untere Management hat genau die Aufgabe, das zu begleiten, und die Reißleine zu ziehen, wenn das schief läuft. Und das Management darüber ist dafür da, solche Fehlversuche dann zu kompensieren. In der Realität gibt das untere Management Kritik direkt an die Entwickler weiter, die sind dann verunsichert und machen lieber gar nichts, bevor sie was falsch machen, und das Ergebnis ist für alle Scheiße.
Entwickler müssen verstehen, dass sie gemanaged werden, nicht befehligt. Essentieller Teil von Management ist, dass man beobachten kann, wenn etwas falsch läuft, und dann gegensteuert. Entwickler, die schlechte Nachrichten nicht an das Management weiterleiten, und technische Schuld auftürmen, um dem Management zu gefallen, sabotieren damit das System und ruinieren die Firma.
Oh, eine strukturelle Sache habe ich noch: "Das ist doch nur ein Prototyp / end of life / wir rollen demnächst Version 2 aus, da muss man doch jetzt keine Arbeit mehr investieren". Und dann scheitert das Ausrollen der Nachfolgeversion und man hat sich selbst in den Fuß geschossen.
Auch "the guy left"-Szenarien scheinen erschütternd häufig vorzukommen. Und Teil von dem oben erwähnten Konkurrenzdenken ist auch, dass man dann Kosten externalisiert. "Ich muss das nicht fixen, wenn es einen Workaround gibt. Mit dem schlägt sich dann das Support-Team herum, nicht wir."
Die Heilsversprechen von Scrum und co haben sich in der Realität nur partiell manifestieren können. Bei einigen scheint das gut zu klappen, bei anderen führt es zu Burnout durch den hohen Druck und der totalen Transparenz, bei wieder anderen gibt es für Bugfixes keine Punkte im Sprint, daher macht es niemand, und bei noch anderen fallen Bugs unter den Tisch, weil man ihren Aufwand schlechter abschätzen kann als für Neuentwicklungen.
Update: Oh und: So 5% der Einsender widersprechen meiner Prämisse, dass das Management grundlegend versteht, dass Bugs nicht fixen die Sache schlimmer macht.
Update: Es waren dann doch auch mehr als nur einer dabei, die sagten, dass sie alle Bugs fixen, und zwar so schnell wie sie können.
Erstmal gibt es von RPM direkt zwei Stränge, RPM 4 und RPM 5, und beide behaupten von sich, das "offizielle" RPM zu sein. Lolwut?
Gut, hole ich mir RPM 4, weil das auf der Zieldistro eingesetzt wird. Kompiliert nicht. Will NSPR und NSS haben, aber guckt nicht in den Default-Install-Pfaden, konsultiert nicht nspr-config, was genau dafür da ist, und fragt nicht pkg-config, was auch genau dafür da ist. Nein. Und findet es dann natürlich nicht.
OK, überschreibe ich $CC, findet er das. Und findet dann Berkeley DB nicht. Berkeley DB? Srsly? Ist systemweit installiert. Klar, könnte man nehmen. Will man aber nicht. Nein, RPM will die Sourcen in seinem Quell-Tree haben und dann neu bauen. Gut, lege ich ihm das hin.
Stellt sich raus: Einfach ein RPM zu den anderen RPMs auf dem Install-ISO tun reicht nicht. Nein. Man muss da auch "repodata" neu erzeugen. Und das kann RPM nicht.
Natürlich nicht! Warum auch?
Dafür braucht man ein externes Tool namens createrepo. Das ist in Python.
Da gehen ja bei mir direkt alle Warnlampen an.
Installiere ich das also. Rufe es auf. Geht nicht. Braucht yum. Auch ein Python-Tool. Die zweite Riege Warnlampen geht an. Installiere ich also yum. Rufe es auf. Geht nicht. Braucht das rpm-Modul. Wie, ist das nicht bei RPM dabei?
Doch, ist es. Aber RPM installiert das nicht, außer man bittet explizit darum.
Also nochmal RPM gebaut. Rufe yum auf. Geht nicht. "No module named sqlitecachec". Oh super! Wo kriegt man das her? Steht da nicht. Warum würde das da auch irgendwo stehen? Ist ja nicht so, als wäre das hier alles die zentrale Software, auf der eine "Enterprise"-Distribution aufsetzt! Warum sollte das einfach so funktionieren?
Googelt man das also, findet keine Homepage. Nee, warum auch. Man findet diverse Distro-Pakete. Oh, das kommt von "yum-metadata-parser"! Na da hätte man ja auch direkt selber drauf kommen können!1!! 2010 zuletzt angefasst.
yum geht. createrepo immer noch nicht. Braucht "deltarpm". Sagt mal, soll das hier ein Scherz sein? Sogar der Rotz von Gnome prüft vor dem Bauen, ob die Abhängigkeiten erfüllt sind!
Oh und wer hat sich denn bitte das RPM-Dateiformat ausgedacht?! Was soll das werden? Soll das außerirdische Invasoren in den Wahnsinn treiben, damit sie nicht die Menschheit ausrotten können? Heilige Scheiße. Dagegen ist ja der Debian-Kram einleuchtend und selbsterklärend! Und selbstdokumentierend gar. Wie ein .deb funktioniert, kann man mit file und Hausmitteln rausfinden, man braucht nicht mal einen Hex-Editor.
Meine Güte. Und ich kenne ansonsten durchaus zurechnungsfähige Leute, die schwören auf CentOS!
Update: Vielleicht sollte ich mal sagen, wie ich mir so ein Paketverwaltungstool vorstelle. Meine Anforderung wäre, dass das immer funktioniert. Python zerschossen? Perl nicht installiert? glibc-Update in der Mitte fehlgeschlagen? Der Paketmanager muss noch gehen und das noch retten können. Und er muss klein genug sein, um mit Metadaten in 5 MB zu passen. Muss auch ohne OpenSSL und curl und wget arbeiten können, zumindest im Notfall. Von den Systemen, die ich bisher gesehen habe, gefällt mir pacman (Arch-Linux) am besten. Aber da geht noch was.
Update: Erwähnte ich, dass repodata dann XML und Sqlite ist? Geht's noch? Wieso habe ich dann Berkeley DB in RPM reinlinken müssen? Oh und wenn mir der Distro-Installer während der Installation Werbung anzeigt, habe ich da überhaupt kein Verständnis für.
Update: Wobei mir die Übung ja wenigsten eine Sache klar gemacht hat. Jetzt verstehe ich, wieso überall diese Cloud-Spezial-Distros aus dem Boden sprießen. Das "Minimal"-Redhat ist 1GB groß nur für Code. Und da ist dann kein netstat bei.
Ja wie jetzt. Duh?! Hat das ernsthaft irgendjemand noch nicht mitgekriegt? Die alten Männer mit ihren Filzstiften wollen Zugriff auf alles und jeden, immer und überall. Wenn es existiert, wollen sie Zugriff. Wollen nicht nur. Haben.
Wir reden hier von einer Junta, die mal eben für ein ganzes fremdes Land einen Ausschalter installieren, damit sie willkürlich das andere Land runterfahren können. Seit Jahren scrollen die Meldungen an uns vorbei, was GCHQ und NSA alles abschnorcheln. Und wo sie keinen offiziellen Zugriff kriegen, da beschaffen sie sich halt inoffiziellen Zugriff.
Und jetzt sollen wir denen ernsthaft glauben, dass sie ein gammeliges Iphone nicht entsperrt kriegen?!
Für wie blöde halten die uns eigentlich!?
Nein, liebe Leser, lasst euch da mal nicht verarschen.
Das ist Theater, dieser offene Brief von Apple. Selbstverständlich kann alles entsperrt werden.
Wir reden hier von der Regierung der USA auf der anderen Seite. Die Emails und SMSsen sind eh an der Schnorcheln der NSA vorbei gekommen, die Telefonat-Metadaten stehen in der Datenbank der Telcos, die mit der Polizei kooperieren.
Ich kenn mich jetzt nicht damit aus, wie Apple ihren Cloud-Scheiß technisch macht, aber ich würde mal vermuten, dass man da an die Daten wieder rankommt, wenn man genug Zeit zum PINs durchprobieren hat und an den Computer mit dem Itunes drankommt.
Wenn nicht eh die PIN als Textdatei auf besagtem Computer liegt.
Oder die NSA benutzt einen ihrer Baseband- oder Jailbreak-0days. Oder man wartet halt ein bisschen, bis die 0days von heute die bekannten Lücken von morgen sind, und dann benutzt man eine bekannte Lücke.
Und jetzt der völlig überraschende Teil: "The NSA’s SKYNET program may be killing thousands of innocent people"
NEIN! DOCH!! OOOOOOH!
Money Quote:
Patrick Ball—a data scientist and the executive director at the Human Rights Data Analysis Group—who has previously given expert testimony before war crimes tribunals, described the NSA's methods as "ridiculously optimistic" and "completely bullshit."Ach naja, das muss man aber auch verstehen. Wenn man nie nachweisen muss, dass etwas funktioniert, und immer einfach behaupten kann, alle Toten waren halt Terroristen, wieso würde man dann da was anderes als Optimismus als Methode verwenden? Kill them all, let God sort it out!
We've encountered an issue on the Mac where Adobe Creative Cloud appears to be removing the contents of the first hidden folder at the root of the drive, in alphabetic order.Wait, what?! (Danke, Frank)
According to Microsoft's press release, the data trustee for the new German cloud offerings is T-Systems, a subsidiary of the giant telecom company Deutsche Telekom.Ja wieso hostet ihr nicht gleich direkt beim BND? Na super, dann kommen die nicht direkt an die Daten sondern müssen über den BND routen. Na spitze! Da haben wir ja echt was gewonnen.
Frank steuert die Fachbereiche für Cyber-Feng-Shui, Cyberanthroposophie und Cyberontologie bei, ich bin für die Orgonenenergetik, Ordo-Fefeminismus und Fragestellungen aus der kybernetischen Vecturalmystik zuständig.
Ernstgemeinte Bewerbungen auf Beitritt zum Exzellenscluster werden wir wohlwollend prüfen, machen aber keine Versprechungen an dieser Stelle.
Update: Erklärtes Ziel des Exzellensclusters ist full-spectrum cyber, falls das jemandem nicht klar war.
Update: Für den interdisziplinären Aufbaukurs "Full-Spectrum Cyber" kommt überhaupt nur ein Dozent mit ausreichend Credentials in Frage. Damit wir uns jemanden von dem Kaliber leisten können, müssen wir aber noch ein paar Sponsoren gewinnen, fürchte ich.
Update: Wir konnten einen weiteren Stützpfeiler für unseren Exzellenzcluster gewinnen:
Das Bachinstitut für theoretische, angewandte und abgewandte Parainformatik könnte Euren Studierenden Austauschsemester mit den Spezialisierungsrichtungen Systemischer Asozialkonstruktivismus, Angewandte kanonische Cyberepistemologie, Protoorgasmische Multispektralpsychedelik, sowie Aufbaukurse in Indiskreter Hypermathematik, Orgonographie und Dissoziationsrechnung anbieten.
Update: Jeder Exzellenzcluster braucht auch einen Leuchtturm-Forschungsprojekt auf höchstem Niveau, an einem Lehrstuhl von internationalem Renommee. Bei uns ist das:
Der Kurz-Lehrstuhl für Cybersophrologie steuert seine interdisziplinäre Forschungsgruppe für empirische Forschungseklektik bei, die sich aktuell mit den Doktorarbeiten einiger hochrangiger Politiker beschäftigt.
Update: Sagten wir Sponsoren? Wir meinten natürlich: Drittmittel!
Update: Ich fürchte, wir müssen attraktiver für das Militär werden, wenn wir das Drittmittelproblem lösen wollen. Wir brauchen gezielte APT-Forschung und sollten auch gleich ein paar Bullshit-Startups ausgründen und Patenttroll-Gerichtsverfahren gegen Apple und Samsung führen.
Update: Wir haben hier noch eine Bewerbung für die Sozietätsgesellschaft für Cybersteuerung, die Forschungsvorhaben zu polymultipler Cybertechnik, kybernetischer Philosophie und technischem Infrastrukturunterbau beisteuern möchte. Man versicherte uns dort auch glaubwürdig, Fördermittel der Bundeserprobungsstelle für intelligente Kyberwirkmittel acquirieren zu können.
Update: Ein Einsender wies darauf hin, dass theologische Fragen noch nicht ausreichend gewürdigt werden, um von einer wahrhaft ganzheitlichen Forschung sprechen zu können. Wir veranstalten daher im Sommersemester ein interdisziplinäres Forschungskolleg zur Cyberkartografierung der heiligen Dreifaltigkeit aus Cloud, APT und Full-Spectrum Cyber.
Hätte uns doch nur jemand gewarnt, dass Cloud Computing eine schlechte Idee ist!
Update: Hier kommt per Mail der Hinweis rein, dass ein Hypervisor im Allgemeinen ja auch den APIC emuliert, und damit dieser Angriff nicht zum VM-Ausbruch reicht. Bei näherer Betrachtung stimmt das auffällig und ich ziehe meine obige Darstellung zurück. Der Bug ist damit in der Praxis unbedenklich, weil man eh schon Ring-0-Zugriff haben muss, um ihn durchzuführen, und an der Stelle ist eh schon alles vorbei.
Ich bin übrigens gespannt, wie sie das mit dem sich über die Jahre akkumulierenden Update-Cruft umgehen wollen. Es soll ja keine weiteren Versionen mehr geben nach Windows 10.
Und und übrigens Hat der Shodan-Typ mal nach MongoDB gescannt und ein paar Terabyte Daten gefunden.
The vast majority of public MongoDB instances are operating in a cloud: Digital Ocean, Amazon, Linode and OVH round out the most popular destinations for hosting MongoDB without authorization enabled.Ist ja auch irgendwie klar. Der perfekte Sturm an inkompetentem Hipster-Computing. NoSQL in der Cloud.There's a total of 595.2 TB of data exposed on the Internet via publicly accessible MongoDB instances that don't have any form of authentication.Herzlichen Glückwunsch, liebe "Apple-Programmierer". (Danke, Andreas)
New hotness: Chicago führt eine Netflix- und eine Cloud-Steuer ein.
Ich fand das ja schon die ganze Zeit auffallend, dass der Snowden per Cloud-Dienst mit der Welt sprach. Nicht dass Skype besser wäre, aber Cloud ist Cloud. Man kann genau niemandem vertrauen von diesen Cloud-Fuzzies. Jeder Anbieter unterliegt irgendwo irgendeiner Fascho-Regierung mit Orwellschen WIR MÜSSEN ALLES ENTSCHLÜSSELN KÖNNEN!!1! Ideen.
Der einzige Weg, wie man ordentliche Krypto hinkriegt, ist wenn man die Infrastruktur selber betreibt.
Ist die Krypto in WebRTC eigentlich Ende-zu-Ende? Ich glaube ja.
Warum sollte das bei Video auch anders sein als bei Email und Instant Messaging. Wenn man da irgendein Walled-Garden-System und intransparente kommerzielle Client-Software hat, dann hängt man von dem ab, was die einem vorsetzen. Vertrauenswürdigkeit ist was anderes.
Update: Hups, Link vergessen.
Update: WebRTC ist zwar Ende-zu-Ende-verschlüsselt, aber mit einem self signed Cert, d.h. hilft nur gegen Angreifer, die den Inhalt des Überseekabels komplett abgreifen, nicht gegen aktive Angreifer, die sich in die Mitte setzen und beiden Seiten gegenüber so tun, als seien sie die Gegenseite.
Nun, eine dieser Firmen ist Tiversa. Ich habe von denen noch nichts gehört vor heute.
Bei denen gab es gerade einen Whistleblower. Der erzählt, dass die Firma potentiellen Kunden einen Einbruch vortäuscht, um denen ihre Dienste andrehen zu können.
In 2010, Tiversa scammed LabMD, a cancer testing center in Atlanta, Wallace testified. Wallace said he tapped into LabMD's computers and pulled the medical records.The cybersecurity firm then alerted LabMD it had been hacked. Tiversa offered it emergency "incident response" cybersecurity services. After the lab refused the offer, Tiversa threatened to tip off federal regulators about the "data breach."
When LabMD still refused, Tiversa let the Federal Trade Commission know about the "hack."
An dem Kampf mit der FTC ist LabMD dann pleite gegangen.Und das ist nicht das einzige Beispiel, das der Typ nennt. Tiversa hat 2009 schon mal erzählt, der Iran habe die Baupläne für Obamas Hubschrauber.
Übrigens: Die machen Werbung damit, dass Ex-General Wesley Clark in ihrem Advisory Board sitzt. Und so passt mal wieder alles wie Arsch auf Eimer!
zu Deinem Post http://blog.fefe.de/?ts=abc8718c wäre es total super gewesen, wenn Du in dem Zug auf das eigentlich, viel gravierendere Problem hingewiesen hättest. Die betroffene Bibliothek AFNetwork ist ein Symptom für eine große Unsitte, nicht nur bei App-Entwicklern. AFNetwork ist eine externe Bibliothek für Netzwerk-Aufgaben. Es gibt nichts in AFNetwork, dass sich nicht mit wenigen Handgriffen mit Bordmitteln von iOS durchführen ließe. AFNetwork ist im Großen und Ganzen nur ein Wrapper für das URL Loading System. Es ist aber unter App-Entwicklern total hipp, per Cocoapods (externer Paketmanager) solche Libs einzubauen, weil … hey … ich benutze viele Libs mit wohlklingenden Namen … meine App muss gut und ich wichtig sein! AFNetwork wird häufig nur dazu benutzt, Certificate Pinning zu machen. Nativ sind das knapp 10 Zeilen Code:(Hervorhebungen aus dem Original zitiert)-(BOOL)checkCertificate:(NSURLAuthenticationChallenge *)challenge{ if ([[[challenge protectionSpace] authenticationMethod] isEqualToString: NSURLAuthenticationMethodServerTrust]) { SecTrustRef serverTrust = [[challenge protectionSpace] serverTrust]; BOOL trustedCert = NO; NSData *theData; NSArray *theHashes = [NSArray arrayWithArray:[EAPConfig eapCloudHashes]]; if(serverTrust != NULL) { CFIndex theCertCount = SecTrustGetCertificateCount(serverTrust); for(CFIndex theCertIndex = 0; theCertIndex < theCertCount; theCertIndex++) { SecCertificateRef theCert = SecTrustGetCertificateAtIndex(serverTrust, theCertIndex); theData = (__bridge_transfer NSData *)SecCertificateCopyData(theCert); for (NSString *theHash in theHashes) { if([theHash caseInsensitiveCompare:[EAPConfig sha1HexDigest:theData]] == NSOrderedSame){ trustedCert = YES; break; } else { trustedCert = NO; } } } } }Das müsste man sich aber entweder googeln oder selbst aus der Doku zusammensuchen. Und dafür braucht man Hintergrundwissen über X509. Viel zu anstrengend. Da klebe ich mir lieber eine Lib mit tausenden Zeilen von Code in meine App und habe keinen blassen Schimmer, was die tut. Und schlauer werde ich damit auch nicht.Ich habe schon viele Apps auditiert. Die Anzahl der Apps, bei denen keine externen Libs für Trivialaufgaben verwendet werden, kann ich an einem Finger abzählen. SDL … my ass!
Von mir sei als zusätzlicher Hinweis noch erlaubt, dass in meiner Berufserfahrung fast alle Apps für mobile Endgeräte keine ordentliche Zertifikatsprüfung machen.
Update: Hier gibt es eine Übersicht der ganzen grottigen Java-APIs an der Stelle. Wenn wir schon dabei sind, in der Kanalisation herumzurühren …
Auf einem normalen Windows kann man das auch herbeiführen, aber man müsste es (wenn ich das richtig verstanden habe) zu dem Zeitpunkt herbeigeführt haben, als das Truecrypt-Volume angelegt wurde. Das ist jetzt nichts, wo ich nachts unruhig schlafen würde.
„Es ist richtig, dass eine begrenzte Menge sensibler Daten wie Scans von Ausweisdokumenten oder E-Mail-Adressen potenzieller Kreditech-Kunden von einem Unbekannten gestohlen wurden“, sagt ein Polizeisprecher.Das war im Sommer 2014. Wieso haben wir davon nichts gehört?
Kreditech hat den Vorfall nie öffentlich gemacht.Hrm. Das klingt ja schon ziemlich übel. Von wieviel Daten reden wir denn hier konkret?
mehrere Gigabyte Logdateien, dann mehrere tausend individuelle Angebote für Darlehensverträge, außerdem mehr als 2.000 Scans und Fotos von Ausweisdokumenten. Darin enthalten sind sensible persönliche Daten: Email-Adressen, Klarnamen, Geburtsdaten, Telefonnummern, Ausweisdaten.Au weia. Was sagt denn Kreditech dazu? Lest selbst.
Mein persönliches Highlight ist diese an Kompetenz und Spezialexpertentum kaum zu überbietende Einschätzung eines Technikphilosophen:
„Es sieht mir schon nach sensiblen Daten aus“, sagt Gaycken, „allerdings auch nicht so wahnsinnig sensibel.“Gut, dass wir das geklärt haben!
Update: Siehe auch…
By reading from the same
address in DRAM, we show that it is possible to corrupt data
in nearby addresses. More specifically, activating the same
row in DRAM corrupts data in nearby rows.Öh, wie meinen? Naja gut, das wird ja wohl nur ein paar ranzige Chinaplaste-"Nur für Export"-Module betreffen, oder?We demonstrate
this phenomenon on Intel and AMD systems using a malicious
program that generates many DRAM accesses. We induce
errors in most DRAM modules (110 out of 129) from three
major DRAM manufacturers. From this we conclude that
many deployed systems are likely to be at risk.Oh fuck.Hmm, naja, die machen da mit FPGAs rum, das betrifft ja wohl in der Praxis niemanden, oder? Die Google-Leute haben mal geguckt und konnten das in Code umwandeln, der auf realen CPUs Bits in der Page Table flippen, und sich damit Schreibzugriff beschaffen.
Das ist einer dieser Momente, wo man sich fragt, ob man nicht doch lieber Schäfer in Neuseeland werden sollte.
Die nächste Frage wird sein, wie verbreitet das Problem in Cloud-Servern ist. So Amazon EC2 und Microsoft Azure und so. *schauder*
In der Public Cloud ist die Groupware mit 46 Prozent ebenfalls vorne, beliebter sind hier mit 36 Prozent Anwendungen für das Kundenmanagement und mit 23 Prozent Security as a ServiceBingo!
Ctrl-F Sozialadäquanz
Doch nicht. So ist das halt mit US-Firmen. Die sind dann auch dem Einfluss der US-Behörden ausgesetzt. Jemand wird denen beim Bierchen gesagt haben, dass das kontraproduktiv für weitere Cloud-Großaufträge von Regierungsbehörden wäre, wenn man jetzt nicht mehr an die Daten auf konfiszierten Android-Geräten rankäme. Und dann vielleicht noch ein bisschen mit Strafverfolgung argumentieren, damit Google versteht, aus welchem Winkel die Presse darüber berichten würde. "Wir konnten diesen Kinderschänder nicht fangen, weil sei Android-Telefon verschlüsselt war! Schaut euch nur dieses kleine, unschuldige blonde Mädchen an, das wir jetzt nicht finden können!1!!"
Facebook’s Mark Zuckerberg, Yahoo’s Marissa Mayer, and Google’s Larry Paige and Eric Schmidt all declined White House invitations, opting to send top information security executives insteadAlso nicht völlig boykottieren, man schickt da doch noch ein bisschen Fußvolk hin, die dann vermutlich ansagen, wohin Obama sich die Wahlkampfkohle für Hillary mal stecken kann, wenn er nicht jetzt eine 180°-Wende macht. Tim Cook ging aber für Apple hin und hat da anscheinend einmal episch auf den Tisch gekotzt."Too many people do not feel free to practice their religion or practice their opinion or love who they choose," said Cook, who is gay. "Or love who they choose.""In a world where that information can make the difference between life and death," he continued, "if those of us in positions of responsibility fail to do everything in our power to protect the right of privacy, we risk something far more valuable than money. We risk our way of life."
Das ist natürlich eine absolute Farce, wenn Apple als Cloud-Betreiber und Datensammler par excellence da jetzt einen auf Privatsphäre heuchelt, aber es zeigt, dass die Tech-Branche gerade echt schlechte Laune hat. Die Nacktbilder sind schon wieder vergessen, huh?Naja, vielleicht ist das ja endlich unsubtil genug, dass Obama den Wink mit dem Zahnpfahl mitkriegt.
Genau heißt es im Text: “Please be aware that if your spoken words include personal or other sensitive information, that information will be among the data captured and transmitted to a third party through your use of Voice Recognition.” (Seien Sie sich bitte bewußt, dass wenn das Gesagte persönliche oder sensible Informationen enthält, diese Information Teil der erfassten Daten ist und durch die Spracherkennung an Drittanbieter weitergegeben wird.)Ja super! (Danke, Daniel)
Inzwischen seien zwei konkrete Verwaltungsverfahren gegen US-Firmen in Berlin und Bremen eingeleitet, berichtete der Berliner Datenschutzbeauftragte Alexander Dix. Diese seien modellhaft, um möglicherweise weiteren Unternehmen einen Datenexport zu untersagen. Auch ohne das scharfe Schwert der Anordnungen sei in Berlin erreicht worden, dass zwei Firmen "von der Nutzung US-amerikanischer Cloud-Dienste Abstand genommen haben".Ich begrüße das. Endlich tun die mal was mit messbaren Konsequenzen. (Danke, Stefan)
"Imagine this scenario. Officers of the local Stadtpolizei investigating a suspected leak to the press descend on Deutsche Bank headquarters in Frankfurt, Germany," Microsoft said. "They serve a warrant to seize a bundle of private letters that a New York Times reporter is storing in a safe deposit box at a Deutsche Bank USA branch in Manhattan. The bank complies by ordering the New York branch manager to open the reporter's box with a master key, rummage through it, and fax the private letters to the Stadtpolizei."In a Monday legal filing with the 2nd US Circuit Court of Appeals, Microsoft added that the US government would be outraged.
"This case presents a digital version of the same scenario, but the shoe is on the other foot," the Redmond, Washington-based company said in its opening brief in a closely watched appeal.
Sie haben nicht "Gestapo" gesagt, aber es wird trotzdem sehr klar, was sie meinen :-)
Ich würde mal vermuten, dass das nicht nur um Smartphones von Verdächtigen ging, sondern auch um Smartphones, die irgendwo verloren wurden und gefunden wurden. Möglicherweise sind ja so die ganzen Hollywood-Nacktfotos in die Cloud gekommen, gar nicht weil die Starlets alle selber doof waren und die hochgeladen haben.
"Wenn jemand so blöd ist und als Promi ein Nacktfoto von sich selbst macht und ins Netz stellt, hat er doch nicht von uns zu erwarten, dass wir ihn schützen. Vor Dummheit kann man die Menschen nur eingeschränkt bewahren."Der Oettinger hat gar nicht verstanden, dass die Leute das bei vorgeblich privaten und geschützten Cloudprovidern hochgeladen hatten, und nicht in ihrem Blog oder bei Facebook. Für den müssen wir eine eigene Inkompetenz-Kategorie einführen. Die Bullshit-Skala aufbohren.
Naja, immerhin einen Vorteil hat das ja. Goldene Zeiten für Satiriker.
Ich hätte den 30c3-Facepalm noch zurückhalten sollen.
Dabei wäre das eigentlich eine schöne und richtige Aussage gewesen, wenn Oettinger verstanden hätte, wovon er da redet.
Die auf der Hand liegenden Konsequenzen sind, dass man dann keine Flug- oder Hotelbuchungen für Flüge im/ins Ausland mehr online machen kann, oder womöglich überhaupt gar nicht mehr.
Und natürlich freuen sich die inländischen Geheimdienste.
Aber jetzt versetzt euch mal in die andere Position. Stellt euch vor, ihr seid Russland, und die Daten eurer Bürger werden millionenfach von Google, Facebook, NSA und co gesammelt und gerastert, und ihr wollt da mal was gegen tun. Und euer Parlament ist nicht ganz so eine lächerliche Luftnummer wie unseres und lügt uns oben was von Empörung ins Gesicht, befördert das aber unten weiter. (Danke, Max)
Die aktuelle Inkarnation war, dass die nervigen Selbstvermarkter von Cloudflare sich hingestellt haben, und behauptet haben, also in IHREM Setup käme man per Heartbleed aber nicht an die SSL-Zertifikate ran, daher müssten sie jetzt auch nicht alle zurückrufen und neumachen. Als Beweis haben sie eine Teststellung hingestellt, und das Internet herausgefordert, ihnen eine mit ihrem Schlüssel signierte Botschaft zu schicken. Hier ist ihre Challenge-Webseite.
Und siehe da: jemand hat den Key extrahiert.
Nachdem Oracle Ende März mitteilte, man arbeite noch an Regeln für den Umgang mit Sicherheitslücken in der Cloud und könne keine genaue Zeitspanne für eine Auslieferung von Patches nennen, hatte Gowdiak sich entschieden, die Details der Lücken zu veröffentlichen.Wait, what?! Ich hoffe, bei dem Sicherheitsniveau bezahlt dann Oracle die Kunden für die Betatest-Dienstleistung und nicht umgekehrt. Was für eine Frechheit!
Völlig klar! Da hilft nur eins: Mehr Virtualisierung. Und ab in die Cloud mit den Daten. Virenscanner dranpappen. "Verschlüsselung" ausrollen.
Alternativ ein Zertifikat vom TÜV SÜD kaufen.
Oder wir hören einfach mal mit diesem ganzen Security-Bullshit-Theater auf. Das funktioniert schon an Flughäfen nicht.
Und PrivateCore macht … RAM-Verschlüsselung. Nein, wirklich!
vCage validates the integrity of the hardware environmentGemeint ist hier Trusted Computing, TPM-Measuring.provides a hardened hypervisor based on KVMHardened und "based on KVM" in einem Satz? Oioioio!and secures server random access memory (RAM) with AES encryption.Wie soll das funktionieren? Na ganz einfach!This is done by loading a secure hypervisor into CPU cache and acting as a gateway to encrypt memory paging in and out between the CPU cache and RAM.Soso, paging! Zwischen CPU-Cache und RAM, ja? Paging?Ob deren Produktbeschreibung aus irgendeinem Nonsens-Paper-Generator rausgefallen ist?
Das wäre ja alles höchst unterhaltsam, wenn nicht die Marketing-Ansage wäre: Wenn ihr das macht, müsst ihr dem Cloud-Provider nicht mehr vertrauen! Eure Anwendung kann dann vertrauenswürdig laufen, auch wenn die Hardware, auf der sie läuft, nicht vertrauenswürdig ist! Überhaupt hat Intel eine Technologie namens TXT im Angebot, von der sie versprechen, dass man damit TPM-Attestation bis hinein in die Anwendung haben kann, die in der VM läuft.
Wenn ihr übrigens mal Rüdiger Weis beim Meckern über TPM zugehört habt, werdet ihr die Einsicht mitgenommen haben, dass TPM nicht dazu da ist, den Anwender zu schützen, sondern die Software von Microsoft vor dem Anwender. Rüdi malt dann immer das Bild an die Wand, dass das Booten von Linux verhindert werden soll. TPM selbst kann das nicht, der führt immer auch unvalidierten Code aus. Aber wenn der Code fragt, ob er validiert wurde, dann kann ihm TPM sagen, ob das Windows in einer vertrauenswürdigen Umgebung hochgekommen ist oder nicht. Und da kommt dann halt bei manipulierten System (z.B. zum Linux-Booten, wenn man keinen TPM-fähigen Bootloader nimmt) "falsch" zurück als Antwort. Dieses Detail war das Feigenblatt, hinter dem sich die Trusted-Computing-Leute vor Rüdi versteckt haben. Intel hat allerdings noch mehr in ihren Prozessoren drin, das über das TPM-Zeugs hinausgeht. Da kann im Prozessor auch hinterlegt werden, dass nur als vertrauenswürdig signierter Code zur Ausführung kommen soll. Das nennt sich dann Launch Control Policy. Wenn Rüdi das hört, kriegt er einen Schlaganfall.
Update: Krass, Privatecore macht sogar explizit Werbung, dass ihr Produkt Cloudserver vor der NSA schützt. Was für eine Frechheit!
Jeder Mittelständler muss in den nächsten Jahren in die Cloud um wettbewerbsfähig zu bleiben.Jetzt könnt ihr lachen! :-)
Hallo, McFly? Jemand zuhause?! Was muss denn da bitte noch rauskommen!?
Soweit ich das sehen kann, ist die Industrie mit ihren Kraftwerken und Großgeräten in Sachen Security ungefähr 20-30 Jahre zurück. Stuxnet hat in der Branche dafür gesorgt, dass die Leute gesehen haben, dass ihre Anlagen angreifbar sind, auch wenn sie nicht am Internet hängen. Aber bei den meisten Leuten hat sich Konsternierung eingestellt, weil sie nicht verstehen konnten, woher die Amerikaner die ganzen Details kannten. Denn die "Sicherheit" dieser Anlagen basiert im Wesentlichen darauf, dass der Aufbau nicht publiziert wird, und das es keinen Internetzugang gibt (wenn man Glück hat). Und da die Firmen den Angriffsvektor nicht verstanden haben, haben sie nichts getan. Jetzt, dank Snowden, dämmert den Leuten langsam, dass die Amerikaner auch für alle unsere Anlagen alle Details abgeschnorchelt haben können, weil sie unsere Emails lesen und unsere Firmen ihre Daten in der Cloud speichern. Und es sieht fast so aus, als gerieten da gerade ein paar Hirnwindungen in Bewegung. Ich finde das prima. An der Zeit war das ja schon lange. (Danke, Arndt)
Hier hat jemand eine schlaue Idee. Die publizieren jede Woche einen "Privacy Canary", eine kurze PGP-signierte Nachricht mit ein paar aktuellen Schlagzeilen als Zeitstempel, und der Ansage, dass bis dahin noch kein solcher Warrant mit Schweigepflicht reingekommen ist. Wenn einer reinkommt, hören sie mit dem publizieren auf.
Die Frage ist, ob sie da trotzdem für auf die Fresse kriegen können. Und natürlich hilft das an der Stelle dem Betroffenen auch nicht, denn erfüllen müssen sie den richterlichen Beschluss natürlich trotzdem. Aber hey, immerhin setzt das mal ein bisschen Kreativität frei!
Wir haben heute vom Bundesnachrichtendienst erfahren, wie Kommunikation durch Glasfaserkabel verläuft, wie die E-Mails geleitet werden. Es geht nicht um den kürzesten Weg, sondern allein nach finanziellen Gesichtspunkten. Wenn Sie innerhalb Deutschlands eine E-Mail verschicken, ist es durchaus denkbar, dass diese über die Vereinigten Staaten und wieder zurück läuft.Denkbar? Ja. Wahrscheinlich? Nein. Außer natürlich er meint mit "innerhalb Deutschlands", dass der Mailserver im Ausland steht. Das ist der Fall, wenn Menschen doof sind und ihre Mail bei Hotmail oder Google oder so abwickeln. Aber dass das Routing zwischen zwei in Deutschland stehenden Mailservern über die USA läuft, das ist ausgesprochen unwahrscheinlich.
Aber das eigentliche Money Quote aus dem Interview ist das hier:
Wenn ich meine Daten dem Internet anvertraut habe, ist die Sache gelaufen. Dann kann jeder diese Daten einsammeln. Ich als Regierung kann nicht dafür sorgen, dass deine Kommunikation auf dem Weg durch die Glasfaserkabel um die Erde geschützt ist, es geht technisch nicht.Na klar geht das. Man könnte z.B. gesetzlich vorschreiben, dass Routing zwischen zwei Hosts in der EU über die EU laufen muss. Ich sage nicht, dass das eine tolle Idee wäre, aber von "geht nicht" sind wir genau so weit entfernt wie von der Vorstellung, dass Uhl die Regierung ist.
Update: Wenn das jetzt offizielles Regierungs-Dogma ist, dass das Internet halt Wildwest ist, und man da eh für nichts garantieren kann, dann wird es höchste Zeit, dass Konsequenzen gezogen werden. Netzsperren sind dann z.B. automatisch sinnlos und müssen weg. Und beim Staatstrojaner gibt es gleich mehrere Punkte, die man dann mal neu verhandeln müsste. Damals wurden wir ja noch belächelt, als wir anmerkten, dass die die Daten über einen Proxy in den USA routen. Nach heutigem Wissenstand von Uhl dürfte man das ja nicht mal mehr durch Deutschland routen. Und wenn der Staat nicht die Integrität des Routings garantieren kann, dann dürfen wir auch niemanden mehr wegen Urheberrechtsverletzungen im Internet verfolgen. Das könnte ja übers Ausland geroutet und dort manipuliert worden sein. Und die "Bundes-Cloud" ist natürlich auch tot.
Auf der anderen Seite schreiben sie auch, dass der holländische Inlandsgeheimdienst AIVD "Dauergast" bei ihnen ist. Nur falls jemand dachte, bei uns sei das irgendwie besser als in Amerika.
Today, nearly 15 percent of all new enterprise application functionality is written in COBOL. […] With more than 200 billion lines of COBOL code being used across industries such as banking, insurance, retail and human resources […]*grusel*
They work primarily with the Ft. Meade customer … combination of offensive and defensive Cyber software engineering … Reverse Engineering, Penetration Testing, Malware Analysis, and the application of Big Data / Cloud technologies to Cyber problems … seeking Kernel and Device Driver Developers (Windows or Linux/Unix)Falls jemand nicht weiß, wer der Ft. Meade customer sein könnte: Wikipedia hilft. Da sitzen das United States Cyber Command und die NSA.
Update: Und als weiterer Sargnagel für die Selbstregulierung der Industrie kommt raus, dass die Düngerfabrik beim Formular der Umweltschutzbehörde das Kreuzchen beim AKW-Feld gemacht hat. Ihr wisst schon welches. "Es besteht keinerlei Gefahr für Mitarbeiter oder Anwohner" :-)
Update: Hier hat das einer gefilmt. GANZ schlaue Idee! Hey, da brennt ein Haufen Sprengstoff! Lass uns da hinfahren und das filmen!1!! Was kann da schon passieren!1!!
I guess we've seen the dark side of cloud hosting.Na spitze. Da muss erst jemand bei ihm eindringen, damit er zu dem Schluss kommt, dass Cloud-Hosting möglicherweise nicht so schlau ist. m(
SDN steht für Software Defined Networking. Klingt schon total bekloppt? Na dann klickt mal. Z.B. hier. Das ist der Versuch, völlig überflüssige Hirnrisstechnologien wie "Clouds" und "Virtualisierung" aufzuwerten, indem man neue sinnlose Buzzwords dazutut. Und wie immer, wenn man nicht sagen will, worum es geht, nimmt man "Open" und tut irgendwas nach Bewegung oder Aktion klingendes dran. In diesem Fall "OpenFlow". Mit Highlights wie
Innovate in Your NetworkOpenFlow enables networks to evolve, by giving a remote controller the power to modify the behavior of network devices
OH MEIN GOTT!1!!Wer diesen ganzen Virtualisierungs-Bullshit aussitzt, dem will ich gratulieren und kurz ausführen, welchen Hirnriss er verpasst hat: virtuelle Switches. Im Sinne von Netzwerk-Switches. Aber in Software. Zwischen der Performancevernichtungstechnologie namens "VM". Weil, äh, Hardware war schnell, billig und funktionierte. Das war offensichtlich kein akzeptabler Zustand.
Zieht euch mal diesen Satz hier rein:
The "Virtualized Services Platform" (VSP), announced on Tuesday by Nuage, is a proprietary network virtualization overlay that uses distributed routing and switching to virtualize layers two through four of the networking stack, and is based in part on Alcatel-Lucent's Service Router Operating System.Nuage ("New Age", geddit?) war so ein typisches Buzzword-Startup. Venture Capital verbrennen, bis einen eine verzweifelte große Firma kauft. Und viel verzweifelter als Alcatel-Lucent wird es nicht unter den großen Firmen in der Netzwerk-Branche :-) Hier ist deren Selbstdarstellung:Nuage Networks focused on scalable, automated hybrid cloudsNa, könnt ihr noch?
Nuage Networks was established a year ago to tackle the scalability and automated service provisioning issues of cloud providers offering hybrid — public and private — multi-tenant cloud services.Nur ein Jahr gab es diese Firma, bevor die gekauft wurde. Könnt ihr euch ja selbst überlegen, wie umfangreich deren Leistungen gewesen sein können in dem einen Jahr."We want to make sure that the network gets out of the way," says Sunil Khandekar, Nuage CEO.Aha. Soso. Nee, klar.Und hier ist, wovon wir tatsächlich reden, wenn man den Bullshit zur Seite bulldozed:
VSP sits on top of standard data-center gear and supports the Xen, KVM, and VMware ESXi hypervisorsWir reden hier, mit anderen Worten, von einem Perl-Skriptchen.Update: Nein wie geil! Ich kriege gerade Mail von Openflow-Apologeten. Openflow sei doch eine total coole Technologie und habe nur am Rande mit Virtualisierung zu tun. Und Mail von Virtualisierungs-Apologeten, Virtualisierung sei doch eine total coole Technologie und habe nur am Rande mit diesem Netzwerk-Unsinn zu tun. o_O
Die meisten wissen das nicht, aber habt ihr euch mal gefragt, wie Antiviren eigentlich Kernel-Malware desinfizieren? Die haben einen Kernel-Treiber, klar, aber den will man ja nicht jedesmal updaten müssen, wenn man eine neue Desinfektions-Methode einbaut. Daher haben die ganzen Schlangenöl-Lieferanten im Allgemeinen in ihrem Kernel-Treiber einen ioctl, der sie im Kernel-Space frei lesen und schreiben lässt. Die eigentliche Desinfektion findet dann per Peek und Poke aus dem Userspace statt. Dadurch werden dann natürlich elementare Grundsätze wie Code Signing für Treiber unterlaufen, und insgesamt die Sicherheit kaputtgemacht. Aber so funktionieren Antiviren. Fast alle. Soweit ich weiß alle, bis auf Windows Defender. Der hat sowas nicht.
Wenn man dieses Detail kennt, und sich dann überlegt, dass Firmen ihre Systeme zertifizieren lassen, wegen der Sicherheit, und dann die Sicherheitsversprechen wieder kaputtmachen, indem sie Schlangenöl mit Kernel-Poke-Funktionalität drüberinstallieren, dann sieht man, was für ein Wahnsinn das ist, was die Leute sich da alle installieren.
Tja, und jetzt ist auch der letzte Schlangenöllieferant umgefallen, Microsoft.
Vielleicht glaubt ihr mir jetzt endlich, wenn ich sage, dass Antiviren Systeme unsicherer machen statt sicherer.
Aber hey, der Zeitgeist geht hin zum Antivirus für Android.
So langsam spricht sich herum, dass das bei uns genau so ist. Stichwort dazu ist übrigens auch "Bestandsdatenabfrage". Mein Alternativlos-Partner Frank hat übrigens kürzlich beim Logbuch Netzpolitik mitgemacht und u.a. darüber geredet. Zustände, wie man sie sonst nur in Russland und China erwarten würde.
Erstens: Wenn die beiden sich streiten, kann es nur Gewinner geben. Beide Parteien sind Unsympathen erster Güte.
Zweitens: Der "größte DDoS aller Zeiten", der "die Fundamente des Internet destabilisiert" ist reines Marketing-Geblubber von Cloudflare, dem DDoS-Abwehr-Dienstleister von Spamhaus. Die wollen ihre Dienste verkloppen. Nicht mehr, nicht weniger. Fallt auf diesen Scheiß bitte nicht rein.
Drittens: Dass das mit den DNS-Resolvern ein Problem ist, ist eine alte Geschichte. Das hat schon Dan Bernstein auf dem 27c3 anschaulich dargestellt, und wer sich dafür interessierte, konnte das schon seit 30 Jahren wissen.
Nur falls jemand dachte, seine in die Cloud hochgeladenen Daten blieben dort seine und seine Privatsphäre würde geachtet. (Danke, Lutz)
So viel Potential für Katastrophen auf so engem Raum gibt es selten im Leben. (Danke, Peter)
That’s according to a new report produced for the European Parliament, which has warned that a U.S. spy law renewed late last year authorizes “purely political surveillance on foreigners' data” if it is stored using U.S. cloud services like those provided by Google, Microsoft and Facebook.Sagen wir seit Jahren, und hören seit Jahren immer die gleichen Ausflüchte. Was tatsächlich passieren müsste, ist dass die EU den USA die Safe Harbor Privilegien entzieht.Übrigens, Lacher am Rande, falls das jemand noch nicht gehört hat: Die Bundesregierung ist auch besorgt, und will daher für ihre eigenen Daten eine "sichere Bundes-Cloud" bauen. T-Systems sitzt am Tisch. Keine weiteren Fragen.
Vielleicht sollte mal jemand eine Glosse zur selben Branche aus technischer Sicht schreiben, wenn die Leute dann Hadoop und NOSQL-Datenbanken einsetzen und in die Amazon-Cloud ziehen wegen der Skalierbarkeit, um dann dreieinhalb User pro Tag abzufackeln, und das einzige was dann an der Webseite performt sind die externen Werbeeinblendungen und Google Analytics.
Money Quote bei Don Alphonso:
Und morgen reden wir dann über Ihre Probleme mit dem ALG2 und die bodenlose Gemeinheit, dass man Ihnen trotz Ihrer Begabung noch immer kein gut dotiertes Profiblog bei den sterbenden Holzmedien gibt, mit dem Sie die Zeit bis zur Zukunft überbrücken können.HARR HARR HARR
In fact, the day after the October 21 game day, Amazon services — on which the whole campaign's tech presence was built — went down. "We didn't have any downtime because we had done that scenario already," Reed said. Hurricane Sandy hit on another game day, October 29, threatening the campaign's whole East Coast infrastructure. "We created a hot backup of all our applications to US-west in preparation for US-east to go down hard," Reed said.Ich bin ja irritiert, dass die überhaupt die Amazon Cloud in ihrem Projekt drin hatten.
Update: Jetzt geht die Webseite wieder aber der PDF-Link von gestern nicht mehr. Dieser ranzige Cloud-Mist immer!1!!
Im heise online vorliegenden Entwurf wird betont, dass die Auskunftspflicht auch für Daten wie PIN-Codes und Passwörter gilt, mit denen der Zugriff auf Endgeräte oder damit verknüpfte Speichereinrichtungen geschützt wird. Dies könnte sich etwa auf Mailboxen oder in der Cloud vorgehaltene Informationen beziehen.Wer also im Moment Daten in der Cloud hat, sollte das schnell rückgängig machen.
Ironischerweise kam es zu diesem Clusterfuck, weil das Rechenzentrum mit Wasserkraft-Strom betrieben wird, und Microsoft versprochen hat, auf Energieeffizienz zu achten. Das hat offensichtlich besser geklappt als sie vermutet hatten. Oder vielleicht verkauft sich der MS Cloud Service nicht so gut, wer weiß. (Danke, Ulrich)
Apple sagt natürlich, ihr Verfahren sei fundamental in Ordnung und hier sei bloß was schiefgelaufen, aber als Wired selber mal probiert hat, sind sie so auch durchgekommen. Mit anderen Worten: Apple lügt.
"I really worry about everything going to the cloud," he said. "I think it's going to be horrendous. I think there are going to be a lot of horrible problems in the next five years."He added: "With the cloud, you don't own anything. You already signed it away" through the legalistic terms of service with a cloud provider that computer users must agree to.
"I want to feel that I own things," Wozniak said. "A lot of people feel, 'Oh, everything is really on my computer,' but I say the more we transfer everything onto the web, onto the cloud, the less we're going to have control over it."
The intriguing the list includes obvious choices such as 'attack', 'Al Qaeda', 'terrorism' and 'dirty bomb' alongside dozens of seemingly innocent words like 'pork', 'cloud', team and 'Mexico'.Das PDF gibt es bei scribd und ab Seite 20 gehen die Stichwörter los. Lustigerweise kann man auch direkt die halbe IT-Industrie verhaften, denn auf der Liste sind auch "Mitigation", "Prevention", "Recovery", "Exercise", "Crash" und "Facility", "Cloud", "Smart", "Grid", "Warning" und "Help". Oh und "Spammer" und "China".
14. Anwendbares RechtAbgesehen davon haftet der Cloudanbieter natürlich für nichts:
Es gilt rumänisches Recht unter Ausschluss des UN-Kaufrechts (CISG).
CyberGhost haftet weder bei Verlust oder Beschädigung Ihrer Informationen, Dateien und Verzeichnisse, noch für Kosten oder Ausgaben im Zusammenhang mit der Sicherung oder Wiederherstellung Ihrer Informationen, Dateien und Verzeichnisse.Das passt ja mal wieder alles wie Arsch auf Eimer. Lustigerweise hat Rumänien CISG laut Wikipedia ratifiziert.
Diese Schaltjahre immer, wie die sich hinterhältig anschleichen! DAMIT konnte ja wohl NIEMAND rechnen!1!! (Danke, Pascal)
Der Bundesinnenminister Hans-Peter Friedrich treibt den Bau einer Bundes-Cloud voran, damit sensible Regierungs- und Unternehmensdaten nicht bei US-Behörden landen.Noch am Start? Einen hab ich noch. Ratet mal, wer das machen soll. Kommt ihr NIE drauf!
Die Regierung, das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Deutsche Telekom hätten in den vergangenen Wochen bereits miteinander gesprochen, heißt es aus Kreisen von T-Systems, der IT-Sparte der Telekom.OH NEEEEEEIIIIIINNNNN!!!
Der Patriot Act ist so etwas wie eine Etikett für diese Art von Sorgen geworden. Wir denken, dass es sich dabei zu einem gewissen Grad um ein Missverständnis handelt, das wir gerne beseitigen würden.Seht ihr? Das ist bloß ein Missverständnis! Ganz klare Sache eigentlich. Denn wir reden hier ja nicht über Verbrecher, die eure Daten ungefragt einsehen, sondern von der US-Regierung und ihren Schergen. Und die machen ja per Definition nichts Böses. Insofern keinerlei Grund zur Beunruhigung, alles bloß eine bedauerliche Fehlkommunikation.
Stellt sich raus, dass Google auch schon mal ohne Durchsuchungsbeschluss die Daten rausrückt, und wir reden hier nicht nur von Bewegungsdaten, das wäre ja schon schlimm genug, sondern von den Inhalten von Emails. Von "freiwillig" kann aber trotzdem keine Rede sein, weil es ja schon einen Gerichtsbeschluss gibt. Nur halt keinen Durchsuchungsbefehl.
He added: "This development is an important milestone on Diebold's roadmap to leveraging cloud computing technology in the retail financial space."Hey, Cloud Computing für Finanztransaktionen, was kann DA schon schiefgehen! Und dann noch wenn das ein ausgewiesener Sicherheitsexperten wie die Firma Diebold tut!1!!
Telling consumers their data is in the cloud is like telling a kid his dog has gone to doggie heaven.Sie meinen das leider anders, aber hey, ist trotzdem ein schöner Spruch. (Danke, Lutz)
Ich reihe mich da mal in die lange "told you so"-Schlange ein :-)
Wer jetzt noch seine Daten in der Cloud lagert, dem ist echt nicht mehr zu helfen.
Gerüchten, dass Amazon mich aus der Cloud geschmissen hätte, widerspreche ich aufs Schärfste. Ich war nie in der Cloud. :-)
Gut gemacht, Julian.
Die Mail sagt, dass Microsoft Danger gekauft hat, den Hersteller von Sidekick. Die haben sich dann entschieden, deren Infrastruktur einmal physisch in eines ihrer eigenen Datencenter zu schieben, um Mietkosten zu sparen. Die eigentliche Hard- und Software haben sie dabei nicht angefasst, das ist alles noch das alte Zeug. Und am letzten Dienstag, sagt die Mail, hat sich dann deren Storage spontan desintegriert. Da waren 800 TB Daten drauf. Das war ein fettes SAN, dessen Hersteller ich hier mal verschweigen will, aber wenn die Mail stimmt, ist es einer der Marktführer in dem Segment. Natürlich hatte Danger einen dicken Support-Contract mit dem Storage-Vendor. Die waren also ab Dienstag vor Ort. Und das SAN hat beim Sterben auch gleich mal die Parity-Platten zersägt, so dass an sich von Anfang an klar war, dass die Daten futsch sind. Das hat mal eben 800 TB an Daten geshreddert.
Es gab einen Backup, auf ein Off-Site Tape, also die haben sich da schon einmal an die Regeln gehalten, was man so an Vorsichtsmaßnahmen treffen kann für sowas. Leider, wenn das Array so platt ist, wie es jetzt ist, dann kann man das nicht einfach zurück spielen, dann muss man erst mal das SAN reparieren. Der Storage-Hersteller hat es laut dieser Mail nun bis Freitag Nachmittag versäumt, das Detail mit "alle Daten sind weg" zu kommunizieren, und sie haben auch kein Ersatz-Equipment eingeflogen. Das war also nicht nur in dem SAN der Supergau, auch der Support hat sich da einen Megagau geleistet. Ich zitiere mal den Money Quote aus der Mail:
Apparently [Vendor] has been on site since Tuesday, but didn't actually inform Danger/MS that their data is in the crapper until Friday afternoon. On top of that, [Vendor] has done nothing to bring in replacement equipment between Tuesday and Friday.Nun war MS eh gerade dabei, die Daten "in die Cloud" zu schieben, und hat daher ein zweites, größeres, SAN gekauft, aber das steht noch nicht im Rechenzentrum und ist auch ein Rack größer und da fehlt gerade der Platz für eine Notfall-Installation. Und im Übrigen dauert auch das Einspielen von 800 TB Daten vom Tape eine Weile.Warum erzähle ich das hier? Weil das genau so bei allen großen Firmen aussieht. Die kaufen ihr Storage vom Marktführer und zahlen Unsummen für Support-Verträge, und denken sich, hey, jetzt sind wir sicher. Wie man hier sehr schön sehen kann, ist man dann eben nicht sicher. Im Gegenteil. Die Performance hätte auch das in-house Team nicht schlechter hinkriegen können. Daher: kauft lieber nicht beim Marktführer sondern baut sowas intern auf. Ist billiger und im Zweifelsfall belügen euch eure eigenen Leute dann nicht, wenn das Storage abgeraucht ist.
Update: Und wenn ihr das selber macht, hatte ich schon mal einen passenden Link.
Update: Wieder da, nach über ner Stunde Downtime.