Fragen? Antworten! Siehe auch: Alternativlos
Vor vier Jahren: NSA warnt Microsoft, dass der Printer Spooler (seit Jahrzehnten eine einzige Katastrophe) aktiv exploitet wird.
Vor zwei Jahren (ja, zwei Jahre saß Microsoft da drauf) machen sie einen Patch, aber schreiben ins Advisory nicht rein, dass das aktiv exploitet wird.
Jetzt machen sie einen Blogpost mit ihren überragenden Investigativ-Ergebnissen, dass die Russen Tools haben, um das zu exploiten.
Währenddessen steht am Advisory immer noch nicht dran, dass das aktiv exploitet wird.
Ich persönlich finde das ja keinen relevanten Datenpunkt, ob der Hersteller weiß und zugibt, dass etwas aktiv exploitet wird. Alle Patches einspielen. Immer. Sofort.
Das Tool, das sie jetzt "aufdecken", ist seit 2019 in freier Wildbahn im Einsatz.
Wirklich Schade, dass denen das immer erst auffällt, wenn sie nicht mehr im Amt sind.
Gut. Der Papertrail ist klar: Ich sage das schon seit Jahrzehnten. :-)
Bedauerlicher Fehlgriff. Softwarefehler! Keine Sorge, die tut ja gar nichts, die App, sagt Microsoft.
Ich finde, wir sollten hier mal die übliche Rhetorik anwenden.
Die Behörden sind informiert. Die Angreifer haben eine enorme kriminelle Energie demonstriert! Bislang sind unseres Wissens keine Daten weggekommen. Die Bundeswehr wurde in Alarmbereitschaft versetzt. Sowas, wissenschon.
Offensichtlich kriegt Microsoft noch viel zu wenig auf die Fresse. Wäre das nicht schön, wenn wir einen Weg hätten, Firmen für Cyberangriffe wie diesen zu bestrafen? Ihr wisst schon, eine Behörde vielleicht. Ein Regulator? Polizei? Vielleicht ein Bundesamt für Sicherheit. In der Informationstechnik oder so.
Klar müsste sie! Machen unsere versifften Behörden und Firmen natürlich nicht. Aber die Amis operieren noch unter der Annahme, dass man Microsoft-Infrastrukturen sicher betreiben kann.
Ist ja auch egal. Ist ja nicht deren Geld. Sind ja nur Steuergelder.
Und unsere Behörden? Das BSI? Da fällt mir dieser alte Mittermeier-Sketch ein. MIR TUN MAS MIR KÖNNNN!
Aber langfristig musst du auch mehr Content draufwerfen, nicht nur mehr Harware. Wo kommt der her? Und wie verhinderst du, von Contentfarmen vergiftet zu werden?
Dafür hat OpenAI jetzt eine Antwort geliefert. Gar nicht. Farm away!
Ich frage mich ja, wie viel Geld Microsoft eigentlich mit ihrem "KI"-Theater verlieren muss, bevor da jemand die Reißleine zieht.
Wahrscheinlich gibt es dieses Limit nicht. Microsoft hatte ja auch ein Programm, wo sie Leute dafür bezahlt haben, Bing statt Google Search zu benutzen. Die kriegen einfach, genau wie die Ransomware-Branche, genug Geld nach, um nie sparen zu müssen.
Und lustigerweise kommt das Geld auch von denselben Idioten.
Hey, von denen willst du doch deine wichtigen Daten vor unbefugtem Zugriff schützen lassen!1!!
In responses to questions posed Wednesday, the chatbot falsely suggested it is legal for an employer to fire a worker who complains about sexual harassment, doesn’t disclose a pregnancy or refuses to cut their dreadlocks. Contradicting two of the city’s signature waste initiatives, it claimed that businesses can put their trash in black garbage bags and are not required to compost.At times, the bot’s answers veered into the absurd. Asked if a restaurant could serve cheese nibbled on by a rodent, it responded: “Yes, you can still serve the cheese to customers if it has rat bites,” before adding that it was important to assess the “the extent of the damage caused by the rat” and to “inform customers about the situation.”
Ist doch noch gut!! Da gilt die Fünf-Sekunden-Regel!!1!Ich weiß, was ihr jetzt denkt. Hätten die doch mal jemanden gefragt, der sich mit sowas auskennt. Den Marktführer am besten. Microsoft.
A spokesperson for Microsoft, which powers the bot through its Azure AI services, said the company was working with city employees “to improve the service and ensure the outputs are accurate and grounded on the city’s official documentation.”Die übliche Nullaussage. Ja klar ist das alles Scheiße, aber wir arbeiten dran. Ja äh, vielleicht hättet ihr da VOR der Auslieferung an den Kunden dran arbeiten sollen, ihr Flachzangen?!
Microsoft Helping Out In Making The Linux Kernel Language More InclusiveEndlich!1!!
Ich bin ja immer fasziniert, wie viele Firmen verzweifelt nach Wegen suchen, sich selbst überflüssig zu machen.
Die haben unglaubliche menschliche Ressourcen zur Verfügung, mit denen man Scifi immanentisieren könnte. Also ... guten Scifi jetzt. Utopischen Scifi. Technik, die Menschen hilft, anstatt sie zu unterjochen, auszuspähen oder zu monetarisieren.
Ist denen nicht klar, dass niemand Microsoft braucht, wenn man sich seine Software von einer "KI" selbst zusammenstöpseln lassen könnte? Oder hoffen die, dass sie mit ihrer "KI" den Markt monopolisieren können, und die dann nur Software zusammenstöpselt, die zwingend Azure-Dienste braucht?
Ich für meinen Teil gucke diesen Leuten aus der Ferne zu, mit einem Glas Rotwein. Macht ihr mal alle.
Habt ihr euch mal überlegt, was Daimler und BMW erreichen könnte, wenn sie Autos bauen würden statt motorisierter Abofallen auf Basis von Kubernetes-Clustern?
Aber wie das halt so ist. Ab einer gewissen Größe ist der primäre Imperativ einer Organisation der Selbsterhalt. Es ist ja kein Zufall, dass man heute von Beschäftigten redet und nicht mehr von Arbeitern. Mit nichts kann man Menschen so gut beschäftigen wie mit Kubernetes-Clustern.
Wobei. Doch. Eine Sache ist noch effizienter. Computerspiele. Hey, das wäre doch mal eine Zukunftsvision? Die können weiter Leute einstellen, die sie nicht brauchen, aber anstatt die dann sinnlose, seelenzerfressende Handbewegungen machen zu lassen, spielen die Computerspiele. Da kann man ja auch Optimierungsaufgaben und Puzzles einbauen.
Ich sollte mal einen Scifi-Roman schreiben, glaube ich. How hard can it be?
ForewordWe live immersed in an ocean of air, yet we hardly ever notice its presence. However, without air we would simply not be able to survive.
Da kannst du direkt zuklappen, aber widersteht dem Impulse mal noch kurz!This manual comes at a time of unprecedented challenges, in the face of the ongoing COVID-19 pandemic and the existential threat of climate change.Durchhalten!!Risk-based standards, rather than absolute ventilation standards, will enable a more efficient use of our resourcesZeit für das Trommelsolo! Wir lassen uns am besten bei der nächsten Pandemie einmal durchseuchen. Dann wissen wir, wie das Virus reinkommt, und dann können wir "risikobasiert" ein bisschen Kosmetik ausrollen! Genial!Scheiße, Bernd, wieso sind wir denn da nicht früher drauf gekommen?
Oh warte. Sind wir. Genau so lief das. Nur noch ein bisschen schlechter, weil man statt Messungen Wunschdenken gemacht hat. Die Schulen bleiben offen! Schulbusse sind kein Risikofaktor!
Gut so, denn so können sich die frisch infizierten Covid-Patienten vor den Schulen mit Microsofts "KI"-Mobil fortbilden!1!!
Endlich tut mal jemand was gegen Überbevölkerung und der Fefe ist schon wieder unzufrieden!1!!
Aktueller Fall: Windows Server verstirbt an einem Active-Directory-bezogenen Speicherleck.
Microsoft confirmed that a memory leak introduced with the March 2024 Windows Server security updates is behind a widespread issue causing Windows domain controllers to crash.Ich würde das anders formulieren. Microsoft ist Schuld, dass Windows crasht. "a memory leak" klingt wie "eine unerwartete Turbulenz" im Flugzeug. Nichts da. Microsoft hat das verkackt. Das ist kein Schicksal, das ist keine Turbulenz, das ist nicht unerwartet. Das ist Microsoft-Verkacken.Und ihr Deppen kauft denen trotzdem alle ihren Scheiß ab.
Zu Schulen, Ausbildungsstätten und Berufskollegs fährt ein "KI-Mobil", das den Diskurs rund um Künstliche Intelligenz anregen soll.Natürlich braucht man keine Ausbildung, wenn man "KI" nutzen soll. Das ist ja gerade das Versprechen dabei, dass sich das nach dir richtet statt umgekehrt.
Wofür braucht man denn Ausbildung? Na wenn man das Niedriglohnland sein soll, dessen perspektivlose Jugend für das Training der "KI" verheizt werden soll.
Daher muss Microsoft auch an die Schulen und Unis ran. Die müssen dafür sorgen, dass niemand eine ordentliche Ausbildung erhält. Sonst müssten die ja am Ende nicht für Microsoft "KI" trainieren sondern könnten ein selbstbestimmtes Leben führen!
Ich glaube ja nicht, dass Microsoft da noch groß Dinge tun muss, ehrlich gesagt. Unser Schulsystem macht sich schon selbst kaputt, ohne dass US-Konzerne nachhelfen müssen.
"This is a one-time notification giving people the choice to set Bing as their default search engine on Chrome," Microsoft told BleepingComputer."We value providing our customers with choice, so there is an option to dismiss the notification."
Wieso kauft eigentlich jemand von denen?
Gut, ist ein leichtes Ziel, die Sprache. Ein riesiger Bloathaufen aus Komponenten, die Hälfte deprecated, die andere riecht schon schlecht.
C++ hat mehrere Erneuerungsversuche unternommen, die aber im Wesentlichen alle als Rohrkrepierer endeten oder die Sache schlimmer machten.
Templates waren als Ersatz für den C-Präprozessor gedacht, und sind heute ... programmierbar. Template-Metaprogramming! Nein, kein Witz. Ernsthaft!
std::vector war als Ersatz für C-Arrays gedacht, aber operator[] macht kein Range Checking. Damit ist das schlechter als C-Arrays, weil es sicherer aussieht aber nicht ist.
std::span war als Ersatz für Zeigerarithmetik gedacht, und die Referenzimplementation von Microsoft, die das in das Standardkommittee eingebracht haben, hatte zwingendes Range Checking. Das Standardkommittee sah das und machte es weg. Damit ist std::span jetzt schlechter als Zeigerarithmetik, weil es sicherer aussieht aber nicht ist.
Iteratoren waren als Ersatz für Zeigerarithmetik gedacht, aber sie haben nicht nur kein Range Checking sondern merken nicht, wenn du den Container wegschmeißt und machen dann Memory Corruption. Damit sind sie jetzt schlechter als Zeigerarithmetik in C, weil sie sicherer aussehen aber nicht sind.
Andere Probleme hat C++ überhaupt gar nicht erst angegangen. Erst seit ein paar Jahren haben wir eine Ansage zum Speichermodell.
Ich persönlich habe C++ trotzdem jahrelang zu verwenden versucht, aber mein publizierter Code ist alles C. Dabei wäre es einfach, sowas wie dietlibc für C++ zu haben. Wenn es um die Basisfunktionalität geht. Leider müsste ich für dietlibc++ auch Exception Handling implementieren. Da habe ich ein paar Anläufe genommen, aber die Dokumentation ist unbrauchbar und die Referenzimplementation, die als Teil von gcc kommt, ist unlesbarer Höllencode.
Warum erzähle ich das alles? Weil die C++-Community langsam versteht, dass sie das Auto um den Baum gewickelt haben. Die Rettungsversuche werden langsam geradezu humoristisch wertvoll. Bjarne Stroustrup hat einen geradezu grotesken Vortrag zu C++ Safety auf der Cppcon gehalten. Im Vergleich wirkt der Biden frisch und seinen Herausforderungen gewachsen. Stroustrup versucht da noch das Poblem kleinzureden und wegzudefinieren.
Und jetzt hat es Herb Sutter versucht, ein hochangesehener C++-Kommittee-Krieger, von Microsoft entsandt, der sich seit Jahren am Widerstand der renitenten Leute dort aufreibt. Von dem kam std::span mit Bounds Checking, und der arbeitet auch an den C++ Core Guidelines, die schon die richtigen Fragen stellen, aber am Ende am selben Feature Creep sterben wie C++ selbst. Wenn deine Lösung hunderte von Seiten braucht, dann ist sie bereits gescheitert. JSON hat sich durchgesetzt, weil es auf einen Bierdeckel passte. Wenn deine Lösung mehr als eine Seite Beschreibung braucht, ist es keine Lösung sondern ein neues Problem.
Sagt der European Data Protection Supervisor.
Na SO eine Überraschung! Scheiße, Bernd! Wieso hat uns da niemand vorher vor gewarnt?!?
A CISA spokesperson said in a statement that “there is no operational impact at this time” from the incident and that the agency continues to “upgrade and modernize our systems.”Gehen Sie weiter! Gibt nichts zu sehen hier!Ist alles sicher jetzt, denn Microsoft wird uns retten. Das Microsoft, das die Hacker nicht aus ihren eigenen Systemen rausoperiert kriegt. Das Microsoft, das russische Hacker eine dezentrale Kopie ihrer Quellcode-Kronjuwelen machen ließ. DIE werden uns schützen.
Oh, und natürlich die Compliancetheaterbehörden, ob sie jetzt CISA oder BSI heißen. Hey, habt ihr schon die neue Lage Schlangenöl über euer Active Directory gesprenkelt? Jede Woche ein "Security-Produkt" mehr, wisst ihr doch!
Sucht mal in eurem Browser die Liste der vertrauenswürdigen CAs heraus und macht euch selbst ein Bild.
Wenn ihr z.B. eine sichere Verbindung zu meinem Blog aufzubauen versucht, dann ist das Zertifikat normalerweise von Let's Encrypt signiert. Wenn, sagen wir mal, der "Verfassungs""schutz" findet, dass ich regierungsfeindliche Inhalte verbreite und reingucken will, was ihr bei mir lest, dann könnten sie sich in den Netzwerkverkehr zwischen euch und meinem Blog klemmen und einfach ein anderes Zertifikat vorzeigen.
Es gibt da natürlich Vorkehrungen, um zu verhindern, dass einfach irgendeine freidrehende staatliche Repressionsbehörde Zertifikate für anderer Leute Domains holt, aber wenn die CA unter staatliche Kontrolle steht, dann ist das natürlich nutzlos. Diese Art von Angriff ist nicht theoretisch. Letztes Jahr gab es so einen Angriff auf jabber.ru, wenn ihr euch erinnert.
Warum erzähle ich das alles? Einer der Ansätze, diesen Angriff zu verhindern, ist dass man einen anderen Cert Store angibt. Curl hat dafür eine Kommandozeilenoption. Dann übergibt man da einen Cert Store, der nur genau die CA beinhaltet, die man erwartet. Und schon hat man Certificate Pinning für Arme implementiert.
Außer man verwendet curl auf Apple-Geräten. Apples SSL-Library verwendet immer auch den System Cert Store, wo Zertifikate von unvertrauenswürdigen Organisationen wie ... Apple drin sind. Falls Apple also eines Tages findet, dass sie in alle eure Kommunikationsn reingucken wollen, um "Kinderpornos zu finden" oder was an dem Tag die Ausrede der Woche ist, dann könntet ihr euch mit --cacert bei curl nicht davor schützen.
Wer kauft solchen Leuten eigentlich ihre Produkte ab?
Bei Microsoft sind natürlich auch ein halbes Dutzend Microsoft-CAs in der Liste. Unter Linux haben die Distros in ihren Root Stores auch Dutzende von CAs drin. Insofern ist das eine berechtigte Sorge, da Certificate Pinning machen zu wollen.
Früher war die Argumentation immer: root kann /dev/kmem aufmachen und die Platte formatieren, das ist äquivalent zu Kernel-Zugriff. Genau so unter Windows: Admin kann Kernelmodule laden, ist daher äquivalent zu Kernel.
Später hat sich das dann langsam geändert, als Code Signing für Kernelmodule eingeführt und später erzwungen wurde. Ich habe aber schon vor 20 Jahren mit Microsoft verhandelt, dass das eine Security Boundary sein soll, bevor das mandatory war.
Inzwischen kann Admin nicht mehr einfach irgendwelche Module laden, sondern nur noch solche mit valider Signatur. Das ist aus meiner Sicht das Ende der Debatte, denn offensichtlich handelt es sich jetzt um eine Security Barrier.
Ich habe damit ein paar Bugfixes durch-gebullyt gekriegt (am Ende entscheidet nicht die Policy sondern der einzelne Entwickler, ob der Bug gefixt wird; niemand hindert einen Entwickler am Fixen eines Bugs, auch wenn die Policy den nicht so schlimm findet). Aber die offizielle Policy wurde nie geändert.
Das führte zu bekloppten Situationen wie dass die fiesen Ransomwarer eine Lücke aktiv ausnutzen, um von Admin zu Kernel zu kommen, und Microsoft weigert sich die zu fixen, weil die Policy sagt, Admin = Kernel. Nach sechs Monaten (!) haben sie die Lücke jetzt doch zugemacht.
Immer dran denken: DAS sind die Leute, die ihr eure Klöten halten lasst, in deren Cloud ihr eure Kronjuwelen migriert habt.
Das peinliche an dieser Theorie ist ja, dass Microsoft tatsächlich in einer einmalig guten Position ist, um so einen Angriff durchzuführen. Die haben remote code execution auf allen Endgeräten, by design. Müssten nicht mal eine Sicherheitslücke ausnutzen oder eine Malware aufspielen, der Code könnte Teil von Windows sein und niemand würde es merken.
Und wenn sie doch Malware aufspielen müssten, könnten sie es via Windows Update machen. Die Beschreibungen der Patches sind absolut wertlos und nicht vertrauenswürdig. Niemand würde merken, wenn die da Malware verteilen würden.
Oh und noch was: Nach Microsofts eigener Definition ist Windows Malware. Der Defender uninstalliert explizit Software, die Werbung anzeigt. Windows zeigt Werbung an.
Unabhängig von dieser Verschwörungstheorie ist das gerade ein Popcorn-Event vom Feinsten. Die fucking Tagesschau diskutiert jetzt offen, ob man Webex überhaupt noch trauen kann. Noch?! Keiner von euch hatte jemals Anlass für Vertrauen in Cisco-Software! Im Gegenteil!
Aber nehmen wir mal an, die Bundesregierung verbannt Webex. Was dann? Zoom? Teams?!? MWAHAHAHAHA
The invitation to upgrade to Windows 11 will appear after signing in and usually following a reboot. It will only show on Windows 10 Pro and Pro Workstation devices that are eligible for Windows 11 and are not managed by IT departments.Das klingt ja erstmal noch nicht so krass, bis man das Kleingedruckte liest:Note: Managed devices are those that you manage via Microsoft Intune, Configuration Manager, Windows Autopatch, or other third-party management tools. Other devices are considered non-managed.Ransomware funktioniert bei Microsoft-Kunden so gut, dass sie jetzt selber Erpressung als Geschäftsmodell ausprobieren! Die erwähnten Tools sind alles Bezahltools, die Microsoft verkauft. Microsoft sagt hier also den Domain Admins: Entweder ihr kauft unsere Zusatztools oder wir upgraden eure Windows-10-PCs zu Windows-11, mit allen Nachteilen, die das mit sich bringt (wie NOCH mehr Überwachung, "KI"-Scheiß und Werbungseinblendungen).Ich fühle mich an das Schweigen der Lämmer erinnert.
IT RUBS THE WINDOWS 11 LOTION ON ITS SKIN OR ELSE IT GETS THE HOSE AGAIN!
Open AI hat das mal implementiert.
Völlig klar: Solchen Leuten sollte man die Zukunft der Spezies in die Hände geben!1!!
Ein Glück, dass das alles nur Jahrmarkts-Verarsche ist und keine echte KI. Nicht auszudenken. Wir wären alle verloren!
Tja und jetzt überlegt euch mal: Wenn Microsoft schon ihre eigenen Kerneltreiber nicht sicher kriegt, wieviel Vertrauen solltet ihr dann in anderer Leute Kerneltreiber haben?
Apple hat Bing dann nach Annie Lennox' erster Band gefragt, und die falsche Antwort bekommen. Also haben sie dankend abgelehnt.
Das muss Microsoft ja wie ein Blitz aus heiterem Himmel getroffen haben. Das haben die bestimmt noch nie erlebt, dass jemand ihre Produkte erst auf Tauglichkeit prüfen wollte!
Denn sonst würde ja niemand den Scheiß einsetzen.
Hey, das könntet ihr ja eigentlich auch mal probieren!
Nach Sadya Nadella. Dem CEO von Microsoft.
Elon wollte sich nicht dazu zwingen lassen, einen Microsoft-Account anzulegen. Weil die dann seine Daten für ihr "KI"-Training verwenden, glaubt er.
Es ist in der Tat ziemlich schwierig, ein Windows frisch zu installieren, ohne einen Microsoft-Account zu haben. Windows 11 lässt sich nur noch zuende installieren, wenn es Internetzugang hat. Das war früher der Weg, wie man an der Accountpflicht vorbei kam.
Der neue Trick ist, einen Microsoft-Account anzugeben, der gesperrt wurde, z.B. weil zu oft das falsche Passwort eingegeben wurde. Muss man nicht selber anlegen: invalid / invalid
Aber Elon hat natürlich völlig Recht. Das ist eine absolute Frechheit, was Microsoft sich da rausnimmt. Und natürlich sollte eh niemand Windows produktiv einsetzen, schon gar nicht in einem Active Directory und mit MS-Office-Produkten.
ENDLICH! Das ist der Moment, auf den wir alle gewartet haben! Wo mal jemand Microsoft in Haftung nimmt!!
Ich meine, das machen die beruflich, bei der Verbraucherzentrale. Das werden die jetzt tun, oder? Oder etwa nicht?!?
Update: Ein Leser hat daraus ein Mem-Gif gemacht, für die Jüngeren unter euch :-)
Mehr und mehr frage ich mich, ob die Industrie vielleicht mal kontrolliert niederbrennen muss, damit etwas neues entstehen kann. Nach dem Krieg war Deutschland plötzlich konkurrenzfähig, weil die verkrusteten Strukturen weggebombt waren. Vielleicht braucht es das ab und an?
Gerade als ich diese Art von düsteren Gedanken hatte, kam die Meldung vorbei, dass Microsoft 3,2 Milliarden Euro in "KI" in Europa investieren will. Die Meldung hat leider ein paar Übersetzungsfehler drin.
„Wir wollen der deutschen Wirtschaft ermöglichen, von KI zu profitieren, um auch weiterhin ihre globale Spitzenposition bei der Wettbewerbsfähigkeit auszubauen“, sagt Brad Smith, Vice Chair und President von Microsoft.Offensichtlich meinte Brad Smith hier, Microsoft möchte gerne von der fehlenden menschlichen Intelligenz in der deutschen Wirtschaft profitieren. Da muss man aufpassen! Solch subtile Fehlübersetzungen können manchmal die ganze Presseerklärung kaputtmachen!
„Wir sehen eine steigende Nachfrage nach KI-Anwendungen in wichtigen Wirtschaftszweigen wie Fertigung, Automobilbau, Finanzdienstleistungen, Pharma, Life Sciences und Medizintechnik. Weil sich diese Branchen durch den wirtschaftlichen Wandel grundlegend verändern, ist es wichtig, Unternehmen in Deutschland mit weltweit führender Technologie auszustatten.“Führende Technologie! Ihr habt es hier zuerst gelesen!! Aber was hat das mit Microsoft zu tun, fragt ihr euch jetzt vielleicht? When I think führende Technologie, I think Bing! Cortana!
Oh nein, warte. Active Directory!1!!
Sie haben da auch den Scholz eingeladen, und der ist hingegangen und hat was ins Mikrofon gelallt:
Bundeskanzler Olaf Scholz sagt: „Die heute angekündigte Milliardeninvestition von Microsoft in Deutschland ist eine sehr gute Nachricht für den Wirtschaftsstandort Deutschland. Microsoft fördert damit den nötigen Strukturwandel im Rheinischen Revier, bringt die Recheninfrastruktur in unserem Land voran und stärkt das deutsche Ökosystem rund um Künstliche Intelligenz. Solche Projekte zeigen, wie attraktiv der Standort und das Vertrauen von Investoren in Deutschland ist.“*heul*
Aber keine Sorge. Ist alles unter Kontrolle.
Microsoft wird seine KI-Dienste und -Infrastruktur in Übereinstimmung mit branchenführenden Verfahren für verantwortungsvolle KI und Nachhaltigkeit betreiben. Das Unternehmen hat einen Standard für verantwortungsvolle KI für seine eigenen KI-Plattformen und -Dienste eingeführt sowie ein AI Assurance Program eingerichtet, mit dem die erfolgreichsten Ansätze ausgetauscht und verantwortungsvolle KI-Vorgehensweisen gefördert werden.Seht ihr? Microsoft hat die Standards gesetzt! Das wird also mindestens so sicher wie Windows. Oder Office. Oder Active Directory.
Update: Ein Kumpel meint gerade so: Hey, die verkaufen da doch bestimmt Rabatte als Investition! Guck nochmal genau auf die Formulierungen. Und, äh, was soll ich sagen, ... der Kumpel hat völlig Recht! Microsoft sagt, sie werden Rechenzentren bauen (die ja von den Kunden bezahlt werden dann, das ist also zu unseren Lasten nicht zu unseren Gunsten) und sie wollen "bis Ende 2025 mehr als 1,2 Millionen Menschen im Bereich digitale Kompetenzen weiterbilden". Wir reden hier also nicht mal von Rabatten auf ihre unverschämten Cloud-Preise sondern wir reden von vergünstigten Webinaren, die den Leuten Lock-In-Technologien aufschwatzen, damit sie nicht mehr von Azure wegkommen, nachdem sie einmal leichtfertig drauf reingefallen sind. Wenn Microsoft hier größere Rechenzentren hinbaut, dann weil jemand ihnen die Kapazität abkauft. Das ist ein Geldabfluss aus Deutschland, kein Zufluss.
Oh und nochwas: Mein Kumpel glaubt denen auch nicht, dass sie tatsächlich Rechenzentren bauen, außer da liegen konkrete Aufträge vor. Er glaubt, Microsoft wird das erste Jahr verbilligt anbieten, als Schnäppchen, und das verkaufen sie uns dann als Investment, und setzen es noch als Werbungskosten von den Steuern ab oder so. Am Ende gewinnen Microsoft, die sich dafür feiern lassen, uns ins Elend zu stürzen, und die Politiker, die sich dafür feiern lassen, Investitionen ins Land geholt zu haben. Ganz großes Hallentennis.
Wenn sich der User bei einer Microsoft-Webseite einloggt, dann sieht Microsoft alle Passwörter.
Damit sind sie kein Geheimnis zwischen eurer IT und eurem User mehr, sondern ein Geheimnis, das ihr mit Microsoft geteilt habt. Mit anderen Worten: GAR KEIN GEHEIMNIS MEHR.
Was geht in Leuten vor, die bei sowas mitmachen?
Ich mache seit wirklich vielen Jahren IT-Security, und es ist frappierend, dass ich die Durchschnittsintelligenz der Leute da draußen offenbar immer noch regelmäßig überschätze.
Unfassbar.
Ich habe kein Mitleid. Ich habe euch alle ausreichend gewarnt.
Es handelt sich um ein zero click pre-auth remote code execution, d.h. wurmbar.
Microsoft hampelt jetzt rum, ob das bereits exploitet wird oder nicht. Kann mir keiner erzählen, dass das nicht in null komma nichts exploitet wird.
Viel Spaß beim Aufwischen!
Hey, wenn euch eure Cyberversicherungen nicht auszahlen, muss dann vielleicht doch mal irgendwann Microsoft haften für die verkackte Software, die sie euch verkauft haben? Würde mich ja wundern. Ich glaube langsam, ihr WOLLT alle ständig über Microsoft-Lücken exploitet werden. Damit endlich mal nicht ihr Schuld seid sondern der Mann im Mond, äh, in Redmond.
Hey, wieso migriert ihr nicht in die Cloud? Am besten die von Microsoft!! Danach könnt ihr mir ja was erzählen von dass das damals ja alle gemacht haben, als ob das irgendwas an eurem Versagen ändert.
Wieso verbreiten die jetzt diesen Schwachsinn mit den DDoS-Zahnbürsten? Ich weiß es auch nicht. Aber ich habe Vermutungen.
Erstens mal, der Vollständigkeit halber. Nein, es gab da keinen DDoS. Das war ein hypothetisches Szenario. Muss wohl bei der Übersetzung verloren gegangen sein.
Zweitens: Die hatten noch nie einen guten Ruf. Die hatten damals behauptet, sie hätten ein eigenes Realtime-OS gehackt, was sich dann als ein Linux herausstellte, wenn man das Image gegen den hartkodierten Wert XORt. Aber das sind ja alte Kamellen. Neuer ist "FortiSIEM - Multiple remote unauthenticated os command injection". Ah, die Königsklasse! In der "oh Mann ist das peinlich"-Liga!
Aber warte, Fefe, das war doch letztes Jahr. Das haben die doch bestimmt schnell gefixt.
Klar! Microsoft-Style! Der Patch war rottig und jetzt mussten sie für dieselben Bugs neue Patches machen.
Wer kauft bei solchen Leuten?!
Überlegt mal, wie einfach sich das BSI das machen könnte! Einfach gucken, was Gartner empfiehlt, und jeweils direkt eine Warnung raushauen. Fertig!
Update: Die Aargauer Zeitung sieht sich übrigens als Opfer und bestätigt, dass es sich um ein hypothetisches Szenario gehandelt habe. Das war bestimmt mit "KI"-Hilfe übersetzt. Softwarefehler. Kann man nichts machen.
Leider geht der Link zu Linkedin, also lieber nur im Private Mode öffnen.
Der Angriff erfolgte in der Nacht zum 30.Oktober 2023 über den Zugang, mit dem auch die Kommunen und Kreise in das Netzwerk von Südwestfalen-IT gelangen. Diese so genannte "softwarebasierte VPN-Lösung" war nur mit einem einfachen Passwort gesichert.Das ist so falsch, dass nicht mal das Gegenteil stimmt. Glücklicherweise ist der Incident-Response-Bericht öffentlich, so kann man sich selbst ein Bild machen."Die Südwestfalen-IT hat es den Angreifern sehr leicht gemacht", sagte IT-Experte Philipp Rothmann dem WDR. Üblich wäre hier eine "Multifaktor-Authentifizierung" gewesen, also eine Abfolge von mehreren Passwörtern. So aber mussten die Hacker nur lange genug verschiedene Varianten durchprobieren.
Punkt 1: Das war ein 0day! Da konnte man nichts machen!
Nope. Der Angriff war am 29. Oktober. für die Lücke gab es am 6. September einen Patch, an dem auch noch dranstand, dass das in der freien Wildbahn von Ransomware-Gangs genutzt worde. Das ist also das glatte Gegenteil von 0day.
2. ist das natürlich kein Problem, wenn jemand durch das VPN durchkommt, weil man ja die Security der Dienste dahinter so auslegt, als hingen sie mit nacktem Arsch im Internet. Das ist das Zero Trust, von dem ihr in den letzten Jahren so viel gehört habt. War hier offensichtlich nicht der Fall.
3. war der erste "Angriff" in dem CVE, dass man Accountnamen und Passwörter durchprobieren kann. Das sollte keine Rolle spielen, weil man ja extra aus dem Grund komplexe Passwörter vergibt. Und weil ein Accountname und ein Passwort noch nicht reicht, um sich dann damit auf irgendeinem Rechner zu authentisieren, nur beim VPN. Außer du warst so blöde und hast Single-Sign-On gemacht, aber das ist ja offensichtlich eine ganz furchtbare Idee, also macht das sicher keiner. Oder? ODER? Ich meine, so bekloppt kann man doch gar nicht sein, hoffe ich!
4. Mit einem gültigen Account konnte man sich dann im VPN als andere User anmelden. Sollte auch keine Auswirkungen haben, weil man ja Zero Trust macht und kein SSO hat. Außer man ist auffallend schlecht beraten und kann dann auf niemanden außer sich selber zeigen, wenn Ransomware vorbeikommt.
5. behauptet dieser "Experte" der Tagesschau, dass MFA geholfen hätte. Das ist natürlich Blödsinn. Wenn die Ransomware erst den Firmenlaptop eines Mitarbeiters kompromittiert, kann sie von dort die MFA-Anmeldung einfach mitbenutzen. MFA ist Compliance-Theater und dient hauptsächlich der Beweislastumkehr. Damit man sagen kann: Sehr her, wir hatten MFA, also war der User Schuld. Als ob der User sich Windows, Outlook und Active Directory ausgesucht hätte! Und in diesem Fall: Cisco-Produkte!
6. Ja, richtig gelesen. Active Directory. Völlig überraschend hatten die Angreifer noch am selben Tag Admin-Berechtigung im AD und haben sich dann ungestört im Netz ausgebreitet. Wie konnte das sein? Na weil niemand (auch nicht Microsoft selbst) Active Directory sicher konfiguriert kriegt.
6. Die hatten sogar multiple advanced next-gen endpoint security solutions im Einsatz, von Symantec und den Windows Defender. Hat ihnen beides nicht den Angriff vom Hals gehalten. Dabei macht Symantec explizit Werbung damit, dass sie vor 0days, Exploits und *papierraschel* Ransomware schützen! Und Defender macht sogar was mit "KI" in der Cloud!1!! Und trotzdem kamen die rein und konnten sich ungestört ausbreiten?! Das ist ja merkwürdig!1!! Ist ja fast so, als sei das bloß Schlangenöl?! Hätte uns doch nur jemand gewarnt!
Mich nervt ja vor allem, dass offenbar niemand verstanden hat, was 0day heißt. 0day heißt: Lücke dem Hersteller nicht bekannt, gibt keinen Patch und keine Warnung.
Das mit "gibt keine Warnung" ist bei Cisco natürlich immer Unfug. Wie oft soll ich denn noch vor deren Produkten warnen?!
Die versuchen hier mit 0day-Nebelkerzen die Schuld von sich abzulenken. Erfolglos. Genau niemand außer ihnen selbst trägt die Verantwortung. Immerhin hatten sie wohl Backups und haben kein Lösegeld gezahlt. Immerhin. Aber auch dann stellt sich die Frage, wieso das dann so große Auswirkungen haben konnte ("Die Arbeit dauert bis heute an"). Haben die das Szenario nie geübt?
Auch ansonsten haben die ziemlich großflächig verkackt. Laut Bericht stand das Domänen-Admin-Passwort im Klartext in der Group Policy, und zwar seit 2014.
Fallt also nicht auf Nebelkerzen mit Schlangenölgeschmack und 0day-Blablah rein.
Am Ende ist es immer dasselbe Muster. Ransomware kommt da rein, wo sie das System besser verstehen als der Betreiber. Wenn das Verständnisniveau der Betreiber also nicht so unglaublich schlecht wäre bei uns, hätten wir keine Ransomware-Problematik. (Danke, Max)
Jason Statham rächt eine Oma, die Opfer einer Ransomware-Gang wurde!
Ich fände ja noch schöner, wenn Jason Statham die Zuständigen bei Microsoft und co und in der Wirtschaft bekämpfen würde, die uns jetzt auch noch MFA aufdrücken wollen, damit sie vor Gericht sagen können, dass das unsere Schuld gewesen sein muss. Aber fürs erste kann ich auch mit "Jason Statham macht Ransomware-Gang platt" leben.
Der andere klagt jetzt.
A Dell Inspiron 15, Lenovo ThinkPad T14, and Microsoft Surface Pro X all fell victim to fingerprint reader attacks, allowing the researchers to bypass the Windows Hello protection as long as someone was previously using fingerprint authentication on a device.Ach. Ach was. Das ist ja fast so, als hätte man das ahnen können, dass das Murks ist!
Bei OpenAI haben ja einmal alle wichtigen Leute gekündigt nach dem Rausschmiss von Sam Altman. Die sind jetzt also sowas wie die Mozilla Foundation nach dem Einstellen von Servo. Haben noch Kapital und den Quellcode aber keine Kompetenz mehr. Als neuen CEO haben sie jetzt einen Typen von Twitch genommen (ja, dem Video-Dienst. WENN sich jemand mit "KI" auskennt, dann jemand, der einen Videostreamingdienst gegründet hat!
Und Altman und seine Kumpels gehen zu Microsoft, wo sie eine "Advanced AI"-Abteilung gründen werden. Für Microsoft gibt es damit keinen Grund mehr, in OpenAI zu investieren, wo sie bis dato der mit Abstand größte Investor waren. OpenAI ist damit tot.
Und, was man auch mal so klar benennen muss, die Ziele von OpenAI waren die ganze Zeit Bullshit. "Open" und "for the betterment of all humanity"? HARR HARR, dass ich nicht lache.
Und so ist das halt, wie es immer ist, wenn man Tech Bros ihre pseudo-spirituellen Heißluftblasen glaubt.
Der an der Stelle fremdschämenswürdigste Tweet ist Lex Fridman:
Wow. No matter what happens team-wise, I hope benefit to humanity remains a top priority. Getting path to AGI right is too importantBless your heart, sweet summer child!Update: 505 of 700 employees OpenAI tell the board to resign. Ich denke mal, dass die alle von Microsoft stehende Angebote in der Hand haben.
Mr. Altman’s departure follows a deliberative review process by the board, which concluded that he was not consistently candid in his communications with the board, hindering its ability to exercise its responsibilities. The board no longer has confidence in his ability to continue leading OpenAI.Mit anderen Worten: Er hat sie in einer so wichtigen Sache belogen, dass sie ihn sofort feuern mussten.Da schreiben sich die Witze ganz von selbst. Er hat also Antworten gegeben, die auf den ersten Blick plausibel klangen, aber inhaltlich falsch waren? *schenkelklopf*
Weitere Details gibt es nicht von OpenAI, aber dass sie in dem Statement zweimal ihre Mission erwähnen, finde ich auffällig.
In a statement, the board of directors said: “OpenAI was deliberately structured to advance our mission: to ensure that artificial general intelligence benefits all humanity.Das klingt, als habe er dagegen irgendwie verstoßen? Nichts genaues weiß man nicht.Update: Microsoft hat ja in OpenAI Milliarden investiert und das ist zentraler Dreh- und Angelpunkt ihrer "KI"-Geschäftsstrategie. Daher ist es sehr ungewöhnlich und erstaunlich, dass Microsoft anscheinend von der Altman-Nummer aus der Presse erfahren hat. Das war also eine sehr kurzfristige und emotionale Aktion.
Update: Der andere Gründer von OpenAI wirft auch hin, und mit ihm sind auch drei hochrangige Forscher gegangen (Paywall, aber steht in sichtbarer Zusammenfassung).
Mein Gespür: Wir werden jetzt entweder rausfinden, dass das alles absolut grauenvoll und entsetzlich war in dieser Firma, oder wir werden rausfinden, dass diese Leute die waren, die die ganz üblen Leute aufhalten wollten aber jetzt hingeworfen haben. Die unethischen, gewissenlosen Leute, die ihre Arbeit dem Militär geben wollten oder so. Oder Microsoft. Oder vielleicht kommt auch raus, dass die jetzt gegangenen Leute die Bösen waren. Eigentlich steht in der Firmenbeschreibung ja "das soll alles offen sein und der Menschheit dienen". Davon kann man schon länger nicht viel sehen.
Das muss man turnusmäßig machen, damit überhaupt irgendwas geschafft werden kann. Dankt ihnen später. Jetzt kriegt erstmal alle schön eure Todo-Listen leer.
Wer das neue Outlook ausprobiert, riskiert die Übertragung seiner IMAP- und SMTP-Zugangsdaten zu Mailkonten sowie sämtlicher Mails an Microsoft-Server.Vorteil: Dann kann Microsoft die Migration in die Cloud viel einfacher bereitstellen, weil sie dann ja schon alle Zugangsdaten haben!1!!
Wer kauft denen eigentlich ihren Scheiß ab? Wer vertraut so einer Firma noch!?
Das haben sie jetzt öffentlich angesagt:
Microsoft gibt an, pro Tag mehr als 65 Trillionen Signale von Geräten zu bekommen.Leider leider haben sie natürlich wie alle anderen Klappspaten keinerlei Hirnschmalz in die Auswertung investiert. Wie alle Management-Kokser haben sie gehört, dass Daten das neue Öl sind, also haben sie soviel wie möglich davon eingesammelt und gehortet.
Aber keine Sorge. Mit dem Angriff "KI" kommt das alles in Ordnung!1!!
Update: Das waren natürlich nicht wirklich Trillionen. Heise war nur zu inkompetent für die Übersetzung. "trillion" in US-Amerikanischen Quellen steht für Billionen. Ist natürlich immer noch grotesk viel.
Seit sich niemand mehr um Security kümmert, gibt es ständig Vorfälle?
Also DAMIT konnte ja wohl NIEMAND rechnen! Aber jetzt ist Schluss mit lustig!
Microsoft is now announcing a huge cybersecurity effort, dubbed the Secure Future Initiative (SFI).Whoa! Nicht nur Future! Auch noch Secure! Und eine Initiative gleich!!1!Scheiße, Bernd, wieso sind wir da vorher nicht drauf gekommen, dass man vielleicht auch mal was für eine bessere Zukunft tun muss?!
This new approach is designed to change the way Microsoft designs, builds, tests, and operates its software and services. It’s the biggest change to security efforts inside Microsoft since the company announced its Security Development Lifecycle (SDL)Wir sind gerettet!!1!Microsoft now plans to use automation and AI during software development to improve the security of its cloud services, cut the time it takes to fix cloud vulnerabilitiesOh. Never mind. Fehlalarm. Ist immer noch alles voll für den Arsch. Nur dass es bisher Menschen gab, die den Code kannten. In Zukunft gibt es nur noch "KI". Keiner ist Schuld. Niemand kann sagen, was das Problem ist.Das ist doch mal eine Future Initiative nach meinem Geschmack! Shadowrun für alle!!
Der Guardian hat bei MSN einen Artikel über eine verstorbene Sportlerin cross-publiziert, und MSN hat dann mit ihrer vertrauenswürdigen KI eine kleine Umfrage drangepappt. Wissenschon, um das "Engagement" zu "optimieren". Der man natürlich auch nicht ansah, dass sie von Microsoft kam und nicht vom Guardian.
Was haben sie da gefragt? Nun, es genügte höchsten journalistischen Ansprüchen, soviel ist klar:
Die offensichtlich ohne redaktionellen Eingriff erzeugte KI-Umfrage bot den Lesern dann drei Möglichkeiten, über die Ursache von James' Tod zu spekulieren: War es Mord, Unfall oder Selbstmord?Das, meine Damen und Herren, passiert, wenn man Microsoft Dinge tun lässt, um für Vertrauenswürdigkeit zu sorgen. Das war damals bei Trusted Computing so, das war bei generativer KI so, und das ist bei Journalismus so. MSNBC lief ja auch sehr schlecht, ist heute sowas wie Fox News für Democrats.
Natürlich ist der Guardian hier auch mitschuld, denn die haben ja mit Microsoft den MSN-Lizenzvertrag unterzeichnet, der sowas nicht explizit ausgeschlossen hat.
Gut, auf der anderen Seite... das Ausmaß, mit dem sie mit natürlicher Intelligenz gescheitert sind...
Künstliche Intelligenz kann man kaufen. Natürliche Intelligenz würde nie bei Siemens arbeiten wollen.
Je weiter du liest, desto schlimmer wird es.
Auch Simulationszeiten ließen sich mit dem Instrument "erheblich" verkürzenJa, äh, ... nein. Ist keine Simulation dann.
Der Copilot baut auf Siemens Xcelerator auf, der offenen Plattform des Münchner Unternehmens für ein industrielles Internet der Dinge.Eine so schlimme Wortfolge gab es sei "Donald Trump ist Präsident" nicht mehr.
Ich habe ja schon ein paar Mal Parallelen zwischen Shadowrun und der Realität erwähnt, aber das Phänomen sehe ich auch mit anderen Spielen. Ich hab immer gerne X-Spiele gespielt, Weltraumsimulation. Da hat dein Raumschiff einen Autopiloten, der aber nicht magisch ist. Der fliegt dich schon mal gegen eine Wand und dann bist du halt tot. Ich fand das immer absurd. Wer baut denn bitte einen Autopiloten, der die Passagiere umbringt? Jetzt wissen wir es.
Ist ja auch irgendwie klar. Du musst nur das Geschäftsmodell so machen, dass du das Geld des Kunden schon hast, wenn er durch deine Systeme umkommt.
Na gut. Zwei. Die erste: Die "Sicherheitsforscher" binden lauter externe Ressourcen ein, und das auch noch ohne Content Security Policy zum Festnageln mit Hashes. "IT-Security-Experte" ist inzwischen praktisch auf dem Niveau von "Heilpraktiker" angekommen in Sachen Unseriosität.
So und jetzt das Kronjuwel. Klickt mal unten auf "When did you notify Apple?". Ich zitiere:
We disclosed our results to Apple on September 12, 2022 (408 days before public release).Apple kriegt die Krone für Unseriosität. Derartig epochales Versagen in Sachen "Rapid Response" kennt man sonst nur von Microsoft. (Danke, Fabio)
Meine Überraschung hält sich in Grenzen.
Ich fasse mal die wesentlichen Punkte zusammen:
we can defeat Apple’s low-resolution timer, compressed
35-bit addressing, and value poisoning countermeasures, allowing
us to read any 64-bit address within the address space of Safari’s
rendering processApple hat, wie vor ihnen Microsoft und andere, auf irgendwelche mehr oder weniger nutzlosen Mitigations gesetzt, ohne ihre tatsächlichen Probleme zu lösen. Seit Jahren meine Rede, dass das nicht gut ist.Combining this with a new technique for con-
solidating websites from different domains into the same renderer
processDas erzähle ich in meinen Vorträgen seit Jahren, dass man einen Prozess pro Request braucht, damit die sich nicht gegenseitig die Daten extrahieren können.Finally, we note that Safari
/ WebKit is the only browser engine permitted on iOS devices re-
gardless of web browser app.Dass DAS eine bekloppte Idee ist, war schon klar, bevor Apple es angekündigt hat. Apple-Kunden war das immer egal, ob Apple Dinge tut, die zu ihren Ungunsten sind. You are holding it wrong.Was an dem Angriff jetzt besonders ist, ist dass das halt mal jemand alles gemacht hat. Dass das prinzipiell geht, und dass Apple nichts tun wird, bis jemand die Arbeit investiert, um das zu zeigen, war auch offensichtlich.
Was ich an der Sache am gruseligsten finde:
This research was supported by the Air Force Office of Scientific Research (AFOSR) under award number FA9550-20-1-0425; an ARC Discovery Project number DP210102670; the Defense Advanced Research Projects Agency (DARPA) under contract HR00112390029 and W912CG-23-C-0022; the Deutsche Forschungsgemeinschaft (DFG, German Research Foundation) under Germany's Excellence Strategy - EXC 2092 CASA - 390781972; the National Science Foundation under grant CNS-1954712; and gifts by Cisco and Qualcomm.Wer fehlt auf der Liste? Richtig! Apple!Apple-User lügen sich immer selbst einen in die Tasche, dass Apple schon irgendwie der einzige Tech-Konzern ist, der edel und rein ist und für seine Kunden nur das Beste will.
Kurz: Aus meiner Sicht ist das die Aufregung gerade nicht wert. Ist alles genau so, wie es schon lange klar war. Apple verkauft Mist und weiß es, sitzt auf unfassbaren Bargeldbergen und weiß nicht wohin damit, aber überlässt die Finanzierung derartiger Forschung dem Steuerzahler, Konkurrenten und dem Militär. Ja geil. Da willste doch deine Geräte kaufen!!
Samsung schaltet in Mexiko Smartphones remote ab, weil die auf Aliexpress statt im Samsung-Store gekauft wurden.
Motorola hat dasselbe getan.
Warte mal, wenn Samsung und Motorola euer Telefon fernsteuern können, woher wisst ihr denn, dass das nicht auch die "Sicherheitsbehörden" können?
Hold that thought.
Apple macht ihre Telefone jetzt remote zwangsupdatebar.
Apple is planning a new system for its retail stores that will update the software on iPhones prior to sale. The company has developed a proprietary pad-like device that the store can place boxes of iPhones on top of. That system can then wirelessly turn on the iPhone, update its software and then power it back down — all without the phone’s packaging ever being opened. The company aims to begin rolling this out to its stores before the end of the year.Darauf wartet der Zoll seit Jahren, dass sie das bei einreisenden Touristen machen können, ohne dass die was mitkriegen!1!!
Hey, ich habe eine radikale Idee, wie MSN Fake News bekämpfen könnte! Einfach den ganzen "KI"-Mist abschalten! You're welcome.
Wie? Nein, nicht für euch ist die gut, die Nachricht. Für mich ist die gut. Meine Rente ist sicher.
Und wie so häufig stellt sich die Frage: Wie krass muss Microsoft eigentlich versagen, wie schlimm müssen sie Bankrott anmelden, bis ihr aufhört, denen ihre Produkte abzukaufen.
Diese Amis immer mit ihrer Pillen-Mentalität! Nein, nein, wir müssen das nicht von Anfang an ordentlich machen. Wir müssen das nicht so konstruieren, dass die Probleme nicht auftreten. Wir nehmen einfach eine Pille, wenn es weh tut, und dann ist alles gut.
Wir kleistern einfach eine Packung Schlangenöl-Klebstoff an die Brücke, dann kracht es schon nicht so doll. Oder jedenfalls erst dann, wenn der Klebstoff-Verkäufer weitergezogen ist.
Wer will noch mal, wer hat noch nicht? Hilft auch gegen Haarausfall und Impotenz!
Ich habe keinen Unterschied bemerkt.
Anfang Oktober stellte Atlassian ein Sicherheitsupdate zur Verfügung. Nun schreibt Microsoft: Chinesische Hacker nutzten die Lücke mit CV-Score 10 bereits seit Mitte September aus.Ich finde das ja schon großartig, dass ausgerechnet Microsoft sich hier aus dem Fenster lehnt, die ja auch absolut traurige Reaktionszeiten auf Sicherheitslücken in ihren Produkten haben.
Mindestens genauso ironisch ist aber Atlassians Vulnerability Management Statement. Geht schon damit los, dass sie von Vulnerability Management reden. Techniker möchten Probleme lösen. Manager möchten Probleme managen. Hier kann man gut sehen, wer bei Atlassian das Sagen hat.
Und natürlich halten sie Sicherheitslücken für Schicksal.
Atlassian recognizes that, at some level, security vulnerabilities are an inherent part of any software development process.Das ist wie Gewitter. Kann man nichts machen!1!!Die ganze Seite ist der Brüller. Das sind alles so "oh mein Gott wie stehen mit heruntergelassenen Hosen auf der grünen Wiese, wir sollten schnellstens irgendwas machen!!!" Ansätze. Wir lassen Tools laufen. Wir machen Asset Discovery. (Ich kann ja niemanden ernst nehmen, der Assets in seinem Produkt discovern muss). Wir machen Host Scans!! Wir machen Container Image Scans!!! Wir machen Open Source Dependency Scans!!!!
Das ist alles eine Bankrotterklärung sondergleichen. Software wird nicht durch Scanning sicher. Software wird durch gezielte Konstruktion mit Security als Ziel sicher.
Oh und sie haben ein Bug Bounty-Programm, natürlich. Sie haben gemerkt, dass alle ihre Maßnahmen sinnloses Theater sind, und haben keine Ideen, wie man was besser machen könnte, also crowdsourcen wir das Problem am besten!!
Ganz traurig.
Aber keine Sorge. Das holen die über das Volumen wieder rein!1!!
Trotzdem haben einmal alle üblichen Verdächtigen, deren Geschäftsmodell auf Kompetenzsimulation basiert, HTTP/2 ausgerollt, weil, äh, wir sind ja hier Technologieführer!1!!
Jetzt gibt es mal wieder einen HTTP/2-Angriff. Der betrifft niemanden von euch. Der betrifft die oben erwähnten Deppen üblichen Verdächtigen. Ich kann ruhig schlafen. Ihr wahrscheinlich auch. Betroffen sind Google, Cloudflare und Amazon. Sonst niemand. Ihr könnt alle beruhigt eure Vorurteile bestätigt sehen und weiter schlafen.
Ich radikalisiere mich ja langsam zum Fernseher. Ich warne vor etwas, keiner hört auf mich, und dann sehe ich mir aus der Ferne an, wie die Welt niederbrennt. Zum Wohl!
Update: Außerdem ist HTTP/2 eine Google-Erfindung. Google versucht hier also einen Heldenmythos zu etablieren, in dem sie uns vor dem Monster retten, das sie selbst geschaffen haben. Ohne den Teil zu erwähnen, dass sie das Monster geschaffen haben. Zum Kotzen, diese Tech Bros immer.
Microsoft pullt diese Nummer seit Jahrzehnten. Und kommen bis heute damit durch. Hier, kauf doch Defender oben drauf! Und zahl Extra für Cloud-Logs. Und kauf noch unser SIEM. Alles, damit du dich vor den Sicherheitslücken in unserer Software "schützen" kannst.
Kyber-512 ist ein Post-Quantum-Verfahren. Das Feld der Post-Quantum-Verfahren wurde von Dan Bernstein ins Leben gerufen und ist jetzt international hart umkämpft, weil praktisch alle Kryptographen damit rechnen, dass demnächst unsere gesamte Public Key-Krypto unsicher wird, weil jemand einen funktionierenden Quantencomputer ausreichender Größe baut.
NIST ist die US-Standardisierungsbehörde, sowas wie bei uns das DIN. NIST hat sich auch viel in Krypto-Standardisierung eingebracht und hat so Dinge wie AES und SHA3 zu verantworten, jeweils Ergebnis eines internationalen Wettbewerbs.
Im Moment läuft der Wettbewerb für Post-Quantum-Verfahren, und ist bisher vor allem dadurch aufgefallen, dass überraschend viele Verfahren durchgefallen sind, weil sie sich als viel unsicherer als erhofft herausgestellt haben. Im Moment ist das ein ziemlicher Wilder Westen da.
Kyber ist eines der Verfahren im Rennen. NIST hat schon angesagt, dass ihnen die Performance der Verfahren wichtig ist, in Laufzeit, Speicherbedarf und Schlüsselgröße. Kyber gilt als einer der Favoriten.
In 2022, NIST announced plans to standardize a particular cryptosystem, Kyber-512. As justification, NIST issued claims regarding the security level of Kyber-512. In 2023, NIST issued a draft standard for Kyber-512.NIST's underlying calculation of the security level was a severe and indefensible miscalculation. NIST's primary error is exposed in this blog post, and boils down to nonsensically multiplying two costs that should have been added.
Der Fehler war sowas wie: 240 + 240 = 280. Stimmt halt nicht. Ist 241. Bernstein fand, dass eine Behörde dieses Standings so einen Fehler nicht machen würde, und hat mal Akteneinblick beantragt. Dabei kam heraus, dass der Einfluss der NSA deutlich größer war als öffentlich sichtbar war.Das ist sehr bedenklich, denn die NSA sind ja genau der Grund, wieso wir überhaupt an Post-Quantum-Krypto arbeiten. Die sind die, von der alle annehmen, dass sie als erste einen Quantencomputer haben werden. Wenn also jemand keinerlei Einfluss haben sollte auf die NIST-Standardisierung der Post-Quantum-Verfahren, dann die NSA.
Aber die NSA hat halt eine Doppelaufgabe. Die ist auch für die Verteidigung von Regierungs-IT verantwortlich und hat daher so Dinge gemacht wie Microsoft zu Trusted Computing zu nötigen, weil dem Militär ständig Laptops verloren gingen, und die NSA fand, ohne Trusted Computing und Hardware-Attestation ist Plattenkrypto wertlos (womit sie nicht völlig Unrecht hat).
Tja und jetzt sieht das halt aus, als ob die NSA das NIST-Post-Quantum-Krypto-Verfahren sabotiert, damit die Welt knackbare Verfahren einsätzt und die NSA besser spionieren kann.
New hotness: Microsofts "KI"-Abteilung braucht eigene Atomkraftwerke.
Wenn man beim Hersteller sieht, wie die die Software einsetzen, dann wird sich sofort herausstellen, dass man die Software auch kompetent konfigurieren kann. So, dass alles einfach funktioniert.
Das ist aber irgendwie nie so. Die Hersteller haben im Allgemeinen intern genau dieselben Probleme wie ihre Kunden außerhalb des Mutterschiffs.
38TB of data accidentally exposed by Microsoft AI researchersDas Beispiel zählt sogar doppelt, weil Microsoft und Github betroffen sind, das ja jetzt auch Microsoft gehört. Die "AI"-"Forscher" wollte ein paar Trainingsdaten hochladen, und luden versehentlich den ganzen Storage Account hoch. 38 TB Daten drin.
[$NA][1479274] Critical CVE-2023-4863: Heap buffer overflow in WebP. Reported by Apple Security Engineering and Architecture (SEAR) and The Citizen Lab at The University of Torontoʼs Munk School on 2023-09-06Wenn The Citizen Lab einen Bug meldet, dann weil sie einen Staatstrojaner reverse engineered haben, und den Exploit in der freien Wildbahn gefunden haben.Aber eigentlich wollte ich an der Stelle folgende Bemerkung loswerden:
Immer diese versifften unsicheren Schrottimplementationen von inkompetenten Anfängern wie ... *akteumblätter* Google!1!!
Sagt mal, seid ihr auch Kunden von der Google-Cloud ? Weil ihr annahmt, dass der Code, den die produzieren, weniger schlecht ist als der von Microsoft oder Amazon? Tja, das war dann wohl nicht so schlau.
Update: Falls das jemand nicht wusste: WebP ist auch in allen anderen Browsern drin. Und in diverser sonstiger Software, die Bilder entgegennimmt oder verarbeitet.
Das Ergebnis könnte die Bevölkerung verunsichern:
Most ransomware incidents are not due to sophisticated attack techniques, but are usually the result of poor cyber hygiene.Heilige Cybermakrele, Batman! Das ist ja unglaublich!!Gut, mir persönlich kommt diese Erkenntnis gerade verdächtig bekannt vor, aber was weiß ich schon von sowas.
Lustigerweise verkacken sie es gleich im nächsten Satz wieder komplett:
That’s not to say that victims did not take cyber security seriouslyJa, äh, doch! Genau das heißt das!Update: Ich glaube ja, "cyber hygiene" ist das neue "CO2 footprint". Nein nein, liebe Zuhörer, achtet nicht auf den Mann hinter dem hässlichen Vorhang mit der Microsoft-Werbung drauf. Es ist eure Cyber-Hygiene, die euch umbringt!1!!
Daher ergänze ich hier mal im Namen der National Crime Agency: Keine Microsoft-Monokultur zu haben ist wichtiger Teil der Cyber-Hygiene.
Hätten sie mich gefragt, hätte ich ihnen gesagt, dass dieser Vorfall zeigt, dass das fundamentale, zentrale Versprechen der Cloud nicht eingelöst werden kann:
Dass sich jemand kümmert, der sich mit sowas auskennt, und dann keine Vorfälle passieren.
Ich hätte ihnen gesagt, dass Microsoft dieselbe Software, die sie uns allen als sicher und vertrauenswürdig verkauft, selber einsetzt und darüber nicht nur von ausländischen Geheimdiensten gehackt und unterwandert wird, sondern das auch weiß und daher das Produktionsnetz vom Entwicklernetz zu isolieren versucht hat. Aber dass diese Abschottung inkompetent implementiert wurde und Microsoft offensichtlich nicht einmal rudimentärste Qualitätssicherung durchgeführt hat.
Ich hätte darauf hingewiesen, dass die Software, die bei Ihnen auf den Rechnern läuft, aus genau dem Entwicklernetz kommt, das (wie sich jetzt rausstellt) großflächig von ausländischen Geheimdiensten unterwandert ist. Wenn Sie 2 und 2 zusammenzählen können, sollten Sie das daher schleunigst durch etwas vertrauenswürdigeres ersetzen.
Wenn ich gute Laune gehabt hätte, hätte ich noch darauf hingewiesen, dass Apples Icloud jahrelang Untermieter bei Azure war und daher auch als kompromittiert gelten sollte.
Außerdem hätte ich darauf hingewiesen, dass Microsoft den ganzen Vorfall unter den Teppich zu kehren versucht hat. Wir hätten davon nie erfahren, wenn nicht US-Behörden in ihren zusätzlich eingekauften und extra bezahlten Log-Zugängen Anomalien gesehen hätten.
Kurz gesagt: Microsoft kann das nicht. Microsoft wusste, dass sie das nicht können. Also haben sie uns uns Gesicht gelogen.
Damit haben sie sich in eine traurige Reihe hinter der SPD, der CDU, der CSU und der FDP eingereiht. Die Grünen haben wenigstens nie ernsthaft so getan, als hätten sie von irgendwas Ahnung, mit ihren Bachblüten und ihrem "Elektrosmog".
Zusammenfassung: Komplettes Versagen auf allen Ebenen. Eine atemberaubend lange Kette an Versagen führte dazu, dass ihre Policy nicht sauber umgesetzt wurde, das Produktionsnetz vom normalen Corpnet zu trennen. Darüber konnte über einen Crashdump (glauben sie!) ein Production Key ins Corpnet kommen.
Ja äh Sekunde, warte mal, sollte das Corpnet nicht auch komplett sicher sein? Ich meine, dort wird der Code geschrieben, der am Ende bei euch Endkunden läuft?
Nein. Das Corpnet ist offensichtlich komplett durchseucht. Ein einziger Key-Leak aus dem Produktionsnetz ins Corpnet hat gereicht für eine Total-Kompromittierung. Microsoft spricht hier von "Assume Breach" wie in der Policy, aber es ist nicht nur eine Policy. Deren Corpnet ist offensichtlich tatsächlich komplett durchseucht und in den Händen irgendwelcher "Threat Actors".
Warum? Lasst mich das kurz aufklären: Weil sie das tödliche Trio einsetzen. Windows, Active Directory und Office. Man nimmt ja immer gerne an, dass die ganzen Microsoft-Kunden einfach alle zu blöde waren, das ordentlich einzusetzen. Nein. So ist das nicht. Microsoft setzt das intern auch ein und hat genau dieselben Probleme wie alle anderen. Wir hören nur selten davon.
Am Ende haben sie nicht etwa ihr Corpnet zugenagelt als Reaktion auf dieses Problem. Nein. Sie haben die lange Liste der Bugs auf dem Weg dieses Exploits gefixt. "Best Practices" heutzutage. Man baut erst einen kaputten Müllhaufen, dann macht man einen Pentest und fixt alle gefundenen Issues. Dann wird man von den Chinesen gehackt und fixt wieder alle gefundenen Issues. Eine Woche später wird man von den Russen gehackt und fixt wieder alle gefundenen Issues. An keiner Stelle versucht man auch nur, eine tatsächlich sichere Software zu schreiben.
Eine Sache noch. Der Key leakte über den Crashdump-Mechanismus aus ihrem Produktionsnetz in ihr Corpnet. Das heißt: Die Dienste in Produktion crashen. Und zwar nicht ab und zu, nein, ständig. Deshalb haben sie überhaupt einen Mechanismus bauen müssen, um Crashdumps aus der Cloud ins Corpnet zu ziehen.
Letzter Punkt: Normalerweise ist beim Übergang Produktion - Corpnet das Corpnet der Teil mit den höheren Privilegien. Hier ist das offenbar anders herum. Da hat das Cloud-Team wohl ein-zwei Mitarbeiter gehabt, die die desolate Lage korrekt eingeschätzt haben, was man hier vor wem schützen muss.
Wenn eure Firma also in die Cloud gezogen ist, weil ihr dachtet, unsere Haus-Installation crasht ständig, und dort ist das in guten Händen und es läuft zuverlässig durch, dann solltet ihr das nochmal neu bewerten jetzt.
Update: Achtet auch mal darauf, wie sie begründen, wieso sie im Prod-Netz dem Corpnet nicht trauen!
Our corporate environment, which also requires secure authentication and secure devices, allows for email, conferencing, web research and other collaboration tools. While these tools are important, they also make users vulnerable to spear phishing, token stealing malware, and other account compromise vectors.
Genau das, worüber auch ihre Kunden sich Ransomware einfangen. Das betrachten sie selber als so ein hohes Risiko, dass sie das Prod-Netz lieber davon trennen.
Wenn wir doch nur eine Firma kennen würden, die diese Software sicher machen könnte!1!!
Mich freut ja besonders, dass hier Teams als Risiko geführt wird ("Conferencing"). Alle Teile dieser Risikobetrachtung sind Microsoft-Software. Microsoft bewertet ihre eigenen Produkte als zu riskant, um sie in die Nähe ihrer Produktionsumgebung zu lassen.
Sind Sie schon in die Cloud gezogen oder haben sie noch eine Om-Prem-Installation?
Wie, On-Prem?! Immer noch!?!? Was muss Microsoft denn NOCH alles machen, damit Sie endlich aufgeben und Ihre Abhängigkeit komplettieren? Oh, ich hab eine Idee. Die könnten mal wieder ein Update ausliefern, das On-Prem-Server kaputt macht. Oder, äh, ... noch kaputter.
Ich hab ja kein Mitleid mehr. Früher hatte ich noch so Anflüge von Mitgefühl. Heute nicht mehr. Wer das einsetzt, hat verdient, dass ich mich popcornmampfend an meiner Schadenfreude labe.
Microsoft Defender for Cloud Apps [...] Microsoft Entra ID premium risk detections in Microsoft Entra ID P2 and E5 licenses [...] Use a managed authentication configuration [...] Connect Microsoft Entra ID data to Microsoft Sentinel [...] options for connecting with the Microsoft Graph Security APIAber hey, Recht haben sie. Wer so blöde war, seine Firma in die Microsoft-Cloud zu schieben, der ist auch abhängig und gefangen genug, dass man ihm noch weitere Microsoft-Abhängigkeiten reindrücken kann. Und er wird noch dafür zahlen!!
30 March 2023 - Issue discovered and reported to Microsoft via MSRC[...]
27 June 2023 - Tenable requests an update
6 July 2023 - Microsoft informs Tenable that the issue is fixed
10 July 2023 - Tenable informs Microsoft that the fix is incomplete
Und am Ende so: Es reicht. Microsoft hat uns jetzt auf September verschoben. Wir veröffentlichen jetzt das Advisory.Oh aber ich habe noch gar nicht gesagt, was das Problem war:
A researcher at Tenable has discovered an issue that enables limited, unauthorized access to cross-tenant applications and sensitive data (including but not limited to authentication secrets).Cross-Tenant-Isolation! Das EINE Feature, das eine Cloud WIRKLICH WIRKLICH haben muss, damit irgendjemand denen Daten anvertraut.Na, habt ihr eigentlich auch eure Daten bei Microsoft in die Cloud geladen? Nachdem die seit Jahrzehnten schon nicht in der Lage sind, ein reguläres Server-OS anzubieten, das grundlegenden Sicherheitsanforderungen genügt?
Aber Tenant-Isolation, habt ihr euch gedacht, das ist einfach. Das schaffen die schon. Und wenn nicht, dann bin nicht ICH schuld. Dann ist das halt Schicksal. Ja?
Wer jetzt noch in die Cloud geht, dem ist echt nicht zu helfen. (Danke, atoth)
Finger weg von der Microsoft-Cloud. Nicht nur jetzt akut. Für immer. Einem Hersteller, der so ein Vorkommnis nicht nur überhaupt stattfinden lässt, sondern dann auch noch die Kunden mit Platitüden und "aber aber aber DIE CHINESEN!!1!" abzuspeisen versucht, dem kann man jetzt und in Zukunft nie wieder trauen. Davon erholst du dich nicht als Anbieter.
Cloud-Anbieter sind mehr noch als reguläre Software-Anbieter auf Vertrauen angewiesen. Die können nicht in den Pool pinkeln und dann so tun als sei nichts gewesen. Einer Schließfach-Firma, bei der sich rausstellt, dass jedes Schließfach mit jedem Schlüssel zu öffnen ist, würde man ja auch nie wieder vertrauen. Würdet ihr noch Schlafmittel vom Contergan-Hersteller kaufen?
Das Problem ist, dass die Publikationen, die da jetzt aber mal so richtig auf die Scheiße hauen müssten, sich selber völlig ohne Not von Microsoft abhängig gemacht haben. Nur nur weil sie deren Produkte einsetzen, sondern auch weil sie von Microsofts Werbebudgets abhängig sind.
Und so kommt es zur peinlichsten Nummer diesen Sommer. Ja, peinlicher als der "Löwe" in Berlin. Heise Security schreibt einen Fragenkatalog für Microsoft auf. Microsoft antwortet natürlich nicht. Daher der Fragenkatalog. IHR sollt Microsoft die Fragen stellen, die sie schon Heise nicht beantwortet haben. Vielleicht kriegt IHR ja eine Antwort!1!!
Was für eine Zurschaustellung von Hilflosigkeit! Money Quote aus dem Artikel:
Der Verlag setzt selbst auch Microsoft-Dienste wie Microsoft-Teams ein. Deshalb haben wir auch aus der Sicht eines möglicherweise betroffenen Unternehmens nachgehakt und Fragen gestelltJa, äh, und auf die Idee ist keiner gekommen, den ganzen Microsoft-Scheiß sofort rauszuschmeißen?
Aber aber aber Fefe, das ist doch total unrealistisch. Ohne Windows und Outlook und Active Directory kann man doch gar keine Ransomware kri... äh ich meine kann man doch gar nicht arbeiten!!1!
Na dann macht mal alle weiter, ihr Verstrahlten. Hey, wieso stellt ihr nicht Microsoft die Fragen von Heise? Vielleicht kriegt ihr ja eine Antwort!
Seid ihr eigentlich auch so froh, dass wir eine so freie und unabhängige Presse haben?
Update: Versetzt euch mal kurz in Microsofts Management rein. Würdet ihr angesichts dieser Reaktion auf den größtmöglichen Verkacker bei ihnen jemals wieder auch nur einen Dollar in Security stecken? Ist ja offensichtlich völlig überflüssig. Die Kunden sind eh gefangen. Lass uns denen lieber noch "Threat Intelligence" verkaufen oder ähnlichen Scheiß. Solange die Geld-Pipeline den Kunden weiter Abogebühren aus der Nase zieht, ist doch alles gut!
Update: Freut mich, wie viele entsetzte Mails ich gerade zu Grünenthal kriege. Ja, nicht nur gibt es die noch, die verkaufen heute Opioide. Inklusive des am häufigsten verordneten Opioids, Tramadol. Hand aufs Herz, wie viele von euch wussten das?
Update: Hey, wo wir gerade bei Contergan sind ... sagt euch Heinrich Mückter was? Hier ein Spiegel-Artikel von 2007 dazu.
Das wissen wir, weil Regierungsbehörden betroffen waren. Microsoft gab also zu, was sie nicht mehr leugnen konnten, nämlich dass ihre Azure Security ein Trümmerhaufen ist.
Aber warte. Sie haben nur zugegeben, dass die Chinesen damit ihren Exchange aufmachen konnten. Nur... wenn du eine Art Admin-Schlüssel selbst erzeugen kannst, wieso würde das dann auf Exchange beschränkt sein? War es natürlich nicht.
This led us to believe that although the compromised key acquired by Storm-0558 was a private key designed for Microsoft's MSA tenant in Azure, it was also able to sign OpenID v2.0 tokens for multiple types of Azure Active Directory applications.Und damit könnte man sich auch einfach so bei Sharepoint und Teams und co anmelden und einmal alle Daten absaugen.Microsoft verhält sich echt wie so ein TV-Kleinrimineller in einer Polizeiserie. Nur zugeben, was die eh schon wissen. Schnell ablenken und auf "die Chinesen" zeigen. Abstoßend, sowas.
Na, habt ihr auch schon euer Business in die Microsoft-Cloud geschoben? Wegen der Sicherheit oder wegen der Ausfallsicherheit? *wieher*
Hätte uns doch nur vorher jemand gewarnt!!1!
Ihren Posten als "Chefökonomin" in der Generaldirektion Wettbewerb soll sie am 1. September antreten. Scott Morton war von Mai 2011 bis Dezember 2012 leitende Wirtschaftsanalystin in der Kartellabteilung des US-Justizministeriums, später arbeitete sie als Beraterin für große Tech-Konzerne wie Apple und Microsoft. Brüssel hat in den vergangenen Jahren Rekordstrafen gegen einige Konzerne verhängt.Damit ist dann jetzt wohl Schluss, denke ich.
Keine Ahnung, wieso der Sonneborn noch auf Twitter publiziert, aber er hat sich dazu dort umfangreich geäußert und das ist auch ohne Twitter-Account lesbar. Verstehe einer die Regeln dort. Wie immer bei Sonneborn alles eine Reihe von Money Quotes. Ich will hier mal eines herausgreifen:
In den Unterlagen zum letzten Treffen des Kollegiums am 11. Juli war die Neubesetzung (wohlweislich) im Anhang eines am Vortag per Email übersandten Dokumentenstapels versteckt, am Ende langer Litaneien zu anderen Themen und einer Reihe anderer, völlig unspektakulärer Neubesetzungen.Das finde ich eine passende Zusammenfassung des Parlamentarismus in der EU, auch in Deutschland. Niemand weiß, was da eigentlich gerade abgestimmt wird. Die eigentlichen Dinge sind schon im Vorfeld "geklärt" worden. Und wir erzählen dann Saudi Arabien was von Demokratie und China was von Menschenrechten. Prost!Der Hauptteil der 26-seitigen Passage zum Posten des Chefökonomen war den zehn abgelehnten Kandidaten gewidmet, unter ihnen etwa der Spanier Juan José Ganuza Fernández. Und die Darstellung von Mortons Vita schließlich kaprizierte sich auf die zu erwartende Muttersprache („Englisch“), während die dazugehörige Nationalität (USA) einfach gänzlich unterschlagen wurde. „Es gab keinen Hinweis darauf, dass sie Amerikanerin war. Wir dachten alle, sie sei Irin“, berichtet ein Hoher Beamter der französischen Libération und versichert, niemand habe eine Ahnung gehabt, worüber da eigentlich abgestimmt wurde. „Wir haben erst auf Twitter herausgefunden, dass wir etwas Inakzeptables akzeptiert hatten“.
Update: Gibt es auch bei Sonneborn auf der Homepage, ohne Twitter.
Friday’s post and two others Microsoft published Tuesday, bend over backward to avoid the words “vulnerability” or “zero-day.” Instead, the company uses considerably more amorphous terms such as “issue,” “error,” and “flaw” when attempting to explain how nation-state hackers tracked the email accounts of some of the company's biggest customers.Die Taktik, das auf Geheimdienste zu schieben, finde ich auch herausstellenswert. Als ob das dann weniger krasses Versagen auf ihrer Seite wäre, weil man gegen Geheimdienste ja eh nichts machen kann. Oder so.Aber wartet, die Nummer ist sogar noch krasser als ich bisher mitbekommen hatte.
one federal agency that was breached by Storm-0558, it discovered the intrusion through audit logs that track logins and other important events affecting customers’ Microsoft cloud events.Microsoft, however, requires customers to pay an additional fee to access these records. The cost for an “E5” enterprise license allowing such access is $57 per month per user, compared to an E3 license cost of $36 per month per customer.
Ach. Ach was. Erst liefern sie sich ans Messer, dann kassieren sie für Updates Abo-Gebühren, und jetzt wollen sie auch noch Geld für Zugang zu der Telemtrie, die sich über dich erhoben haben, damit du selber merken kannst, ob du gehackt wurdest?Tolle Gelddruckmaschine haben die da. Ich staune ja immer, dass die Doofe finden, die ihnen noch Geld für ihre "Dienste" geben.
Bevor jetzt irgendein Sprallo mit "aber Amazon ist ja auch teuer" kommt: Es geht auch ganz ohne Cloud! Ich weiß das von einer verlässlichen Quelle.
Klar, SEIN Job wird dadurch nicht wegfallen, und wenn doch wird er nicht verhungern.
Im Übrigen kann man die negativen Auswirkungen schon irgendwie managen. Klar, genau wie wir die negativen Auswirkungen von Microsofts Softwarequalitäts"standards" "managen", indem ständig alle gehackt werden.
Da fragt man sich, was die Leute eigentlich beruflich machen, die Microsoft Zertifikats-Handling-Code schreiben lässt. Da gibt es im Wesentlichen eine (EINE!) Anforderung. Und die verkacken sie mit Anlauf im Industriemaßstab.
The actor used an acquired MSA key to forge tokens to access OWA and Outlook.com. MSA (consumer) keys and Azure AD (enterprise) keys are issued and managed from separate systems and should only be valid for their respective systems. The actor exploited a token validation issue to impersonate Azure AD users and gain access to enterprise mail.Oh, soso, ein Token Validation Issue, ja? Ich finde ja, wenn du Tokens nicht sauber validierst, ist das ein System-Totalschaden, kein "issue", das man korrigiert und einfach weiterpfuscht.In diesem Fall erfahren wir davon, weil es US-Regierungsbehörden betraf.
Als besonders abstoßend empfinde ich auch das Krisen-PR-Neusprech, das Microsoft hier rausfurzt. Geradezu eine intellektuelle Beleidigung. Alle üblichen Bullshit-Ausreden. Kein einziges "Entschuldigung, dass wir unser zentrales, fundamentales Cloud-Versprechen so dermaßen großflächig verkackt haben".
Lieber von einem Spezialisten-Dienstleister in der Cloud machen lassen, haben sie gesagt.
Ohh, nee, warte. Nicht irgendeinen Spezialisten. Bei Microsoft selbst, haben sie gesagt! Da weiß man, dass die das im Griff haben, haben sie gesagt!1!!
Warum machen Leute das? Wenn das vorher selbstgehostet wirklich noch schlimmer war, vielleicht solltet ihr dann einfach bei Fax und Schreibmaschine bleiben?
Deutsche Ministerien haben im vergangenen Jahr Hunderte Millionen für Software ausgegeben – am meisten für Microsoft.Ach deshalb verrottet hier die Infrastruktur und wir haben kein Geld für Wohnungsbau!
Aus der Antwort der Bundesregierung geht auch hervor, wer das meiste Geld ausgibt: Das Verteidigungsministerium war mit fast 110 Millionen Euro für rund die Hälfte der Ausgaben verantwortlich. Dahinter folgen des Innenministerium mit 40 Millionen Euro und das Finanzministerium mit etwa 28 Millionen Euro.Und da kommen noch 562 Millionen Euro für Lizenzen und Dienstleistungen anderer Anbieter drauf.
Ich spoiler mal das Offensichtliche: Nein. Kann man nicht.
Nichtsdestotrotz haben die Bundesländer ein Gutachten in Auftrag gegeben. In der Hoffnung, offensichtlich, dass der Gutachter high, besoffen und blind ist. Und von Microsoft bezahlt, denn selbst ein Blinder sieht, dass das nicht geht.
Und wie lief das Gutachten? Fragdenstaat wollte da mal reingucken, und das wurde ihnen verweigert.
Der Antrag ist nach 8 6 a) IFG NRW abzulehnen, da das Bekanntwerden des Rechtsgutachtens die Beziehungen zu anderen Bundesländern beeinträchtigen würde.Wait ... what?!?
Die ALD hat einer Herausgabe zu recht widersprochen. Es handelt sich nämlich um ein internes Arbeitspapier der ALD, das der gemeinsamen Erarbeitung und Umsetzung einheitlicher Verhandlungsbedingungen dient.Ja! Richtig gelesen! Das ist klar illegal, also hoffen sich damit den Preis senken zu können. Hey Microsoft, wir bezahlen euch und die amerikanischen Geheimdienste doch schon mit dem illegalen Zugriff auf alle Daten unserer Bevölkerung, die wir hier ohne sie zu fragen ans Messer liefern!1!! Da könnt ihr doch sicher den Kaufpreis etwas senken? Schlagt das doch einfach auf die Wartungskosten drauf, die zahlt bei uns ein anderer Topf.
Immer dran denken: Diese Leute sind von uns Steuerzahlern bezahlte Dienstleister, deren Auftrag es ist, sich an Recht und Gesetz zu halten.
Wie kriminell müssen die noch werden, bevor man die einfach mal alle rausschmeißt?
Oh und für Teams wollen sie das auch einführen.
Ich kann da nur empfehlen, was ich eh schon seit Jahren empfehle: Outlook und Teams nicht einsetzen.
Erstens: Nitrokey verbreitet, dass der Qualcomm-Chipsatz deine privaten Daten in die Cloud hochlädt.
Das ist Blödsinn. Der Cloud-Kontakt von dem Qualcomm-Chipsatz ist das Runterladen des GPS-Almanachs. GPS funktioniert so, dass Satelliten Signale schicken, und du kannst dann deine Position ausrechnen, wenn du die Signale siehst, und weißt, wo die Satelliten gerade waren. Im Signal ist ein Timestamp, mit dem du sehen kannst, wie lange das Signal unterwegs war. Jetzt musst du nur noch wissen, wo die Satelliten sind, und da deren Laufbahnen ständig nachkorrigiert werden, sind das keine statischen Daten. Die Positionen stehen in einem sogenannten Almanach, und den lädt Qualcomm halt alle zwei Wochen oder so aus der Cloud nach.
Dass das über HTTP geht, kann man kritisieren. Aber was Nitrokey hier verbreitet überschreitet die Grenze der grotesken Inkompetenz und sieht für mich nach mutwilliger Irreführung aus.
Zweitens: Heise verbreitet, dass Google Authenticator deine Zwei-Faktor-Seeds in die Cloud backupt und dabei nicht Ende-zu-Ende-Krypto einsetzt.
Analysieren wir doch mal die Situation. Wir haben hier ein Cloud-Backup "im Klartext", d.h. der Typ in der Cloud kann die Daten einsehen. Der Weg zur Cloud ist TLS-verschlüsselt, und Google spricht jetzt davon, dass die Daten auch verschlüsselt bei ihnen abgelegt sind. Das ist natürlich ekelhafte Irreführung, denn damit meinen sie Platten-Krypto. Das schützt gegen "jemand bricht bei Google ein und klaut die Platten". Es schützt nicht gegen "jemand bricht bei Google ein und kopiert die Daten". Das ist das Szenario, vor dem man hier Sorgen haben sollte, und da hat Heise einen Punkt, dass das ein Problem ist.
Auf der anderen Seite läuft auf deinem Telefon Google-Software. Das Google-Android schützt deine Seeds auf dem Telefon vor dem Zugriff anderer Apps und verhindert Netzwerk-Kommunikation der Google Authenticator App. Wenn dein Bedrohungsmodell also ist, dass jemand bei Google einbricht und dort böse Dinge tun kann, dann hast du eh schon komplett verloren, weil derjenige dir auch ein böses Android-Update schicken kann, das deine Seeds auf Facebook postet oder bei Github hochlädt oder so.
Was hätte man besser machen können? Man könnte das Backup mit einem Schlüssel verschlüsseln, den Google nicht kennt. Allerdings muss diesen Schlüssel halt dein Telefon kennen, sonst kann es ja nicht die Daten damit verschlüsseln, und die Software auf deinem Telefon kommt von Google. Die Forderung hier ist also gerade, dass Google deine Daten vor Google schützt. Das klingt nicht nur bekloppt, das ist bekloppt.
Zusammenfassend: Ich würde nie meine Daten zu Google (oder sonstwo) in die Cloud backuppen oder auch nur mein Windows an einen Microsoft-Account binden. Aber selbst mit dieser paranoiden Grundeinstellung bin ich machtlos, mich auf einem Android-Telefon gegen böse Updates zu wehren.
Insofern: Ist das ein Problem? Ja. Aber ein weitgehend akademisches. Mit "E2E" (passt in diesem Szenario eigentlich nicht, weil beide Enden du selbst bist) würde man sich gegen ein Szenario schützen, wo ein Einbrecher es innerhalb von Google bis zu dem Backup-Storage schafft, aber nicht die Updates kompromittiert kriegt. Ist das sonderlich realistisch? Müsst ihr selbst beurteilen. Aus meiner Sicht sieht das nach "Sommerloch bei Heise" aus. Wenn du mit Firmen wie Microsoft oder Google überhaupt kooperierst, hast du schon direkt ziemlich komplett verloren. So zu tun als gäbe es da Graustufen und man hätte aber eigentlich doch noch Reste von Kontrolle ist aus meiner Sicht Augenwischerei.
Ist 2FA damit vollständig Bullshit? Ich bin grundsätzlich kein Freund von 2FA, weil das im Wesentlichen nur einen Zweck erfüllt: Eine Beweislast- und Schuldumkehr von Google zu mir. Vorher: Mein Google-Account wird gehackt? Google war Schuld. Nachher: Mein Google-Account wird gehackt? Ich bin Schuld.
Wieso würde ich da mitspielen wollen? Sehe ich nicht ein.
Aber WENN man schon 2FA macht, dann zwischen konkurrierenden Firmen. Wenn Microsoft 2FA erzwingt, dann generiere das Token unter Android. Wenn Google 2FA erzwingt, generiere das Token unter Windows oder Linux oder sonstwo, wo Google nicht rankommt. D.h. dann auch: Wo kein Chrome läuft!
Der ganze postulierte Sicherheitsgewinn von 2FA kommt daher, dass Username+Passwort und Token nicht an derselben Stelle abgreifbar sind. Das muss man dann auch sicherstellen. Wenn du also Google Authenticator verwendest, dann darfst du dich von dem Android aus nie in den Account einloggen, sonst kann Google auch Username+Passwort sehen (über die Keyboard-App u.a.).
Update: Hat der Fefe gerade argumentiert, dass man Cloud-Backup nicht verschlüsseln muss? Nein! Das ist grundsätzlich eine gute Idee. Da gibt es gute Gründe für, Backups immer zu verschlüsseln, auch wenn das Backup lokal ist. Nehmen wir an, eine der Platten geht kaputt und du willst die entsorgen. Wenn die Backups verschlüsselt waren, kannst du die einfach wegschmeißen (der Schlüssel darf dann natürlich nicht daneben liegen). Wenn die Backup-Infrastruktur komplett nur verschlüsselte Daten sieht, kannst du da unvertrauenswürdige Infrastruktur einsetzen (z.B. ein SMB-Share, NFS, Cloud-Storage, whatever). Da kann dann nichts absichtlich oder versehentlich leaken. Wenn die Software Temp-Files rumliegen lässt oder Daten im RAM cached, dann musst du dir keine Sorgen machen.
Aber die Gelegenheit war günstig, mal zu zeigen, wie man so eine Risikoanalyse in der Praxis machen sollte. Mein Argument war nicht, dass Backup-Crypto nicht notwendig ist, sondern dass Google auch mit Backup-Crypto an deine Daten rankommt und daher die Auswirkungen nicht so groß sind wie man erstmal instinktiv annehmen könnte.
Es gibt noch ein Argument für E2E-Krypto in diesem Fall. Wenn jemand bei Google deine Daten abgreifen will, kann der im Moment entweder dir ein böses Update schicken oder deine Backups abgreifen. Die Risiken sind additiv. Wenn du die Backups ordentlich verschlüsselt hast, bleibt zwar der andere Teil des Risikos bestehen, aber dieser Teil fällt weg. Hilft halt nichts gegen "der CEO / das FBI verlangt Zugriff auf deine Daten", und das ist der Fall, der mir persönlich mehr Sorgen machen würde.
Update: Ja aber Fefe, muss ich mir für meinen Google-Account ein Iphone kaufen, damit das 2FA auf einem anderen Gerät als dem Android läuft? Nein. Für sowas kann man auch FIDO2-Tokens nehmen, von Yubikey oder so.
Völlig überraschend, ach was sage ich! Völlig schockierend stellt sich heraus, dass Edge euren Browserverlauf nach Hause telefoniert.
Das war natürlich bloß ein bedauerliches Missverständnis, versteht sich ja von selbst.
“Microsoft Edge now has a creator follow feature that is enabled by default,” says Rivera in a conversation with The Verge. “It appears the intent was to notify Bing when you’re on certain pages, such as YouTube, The Verge, and Reddit. But it doesn’t appear to be working correctly, instead sending nearly every domain you visit to Bing.”Ein blödes Versehen! Kann jedem mal passieren!1!!
Ich halte das für ein krasses Fehlurteil, das weiteren Kundengängelungen von Apple und anderen Firmen Vorschub leisten wird. Das ist ja inzwischen praktisch industrieweit das Standardverhalten, die Leute erst in eine Abhängigkeit zu treiben und dann auszunehmen wie Weihnachtsgänse. Google hat ähnliche Abzockgebühren in ihrem Play Store.
Aber auch sonst geht der Trend klar in die Richtung. Adobe hat irgendwann angefangen, ihre Software nur noch zu vermieten, das sehe ich auch als Teil dieses Trends. Microsoft versucht ja auch mit der Brechstange allen Kunden Cloudaccounts aufzunötigen, damit man dann im nächsten Schritt Produkte wie Office nur noch zur Miete anbieten kann.
Diese ganze Nummer ist aus meiner Sicht eine einzige Anklage für den libertären Fiebertraum, dass der Markt das schon regeln werde.
Den Kram überhaupt in die Cloud zu schieben war ja schon ein kapitaler Fehler. Jetzt auch noch Cloud-"KI" in Arbeitsprozesse zu übernehmen wird das nochmal verdoppeln.
IT-Sicherheit: EU-Kommission will Cyberschutzschild aufspannenOffensichtlich können die Regierungen nicht hinnehmen, dass die Ransomware-Industrie mehr Schaden als sie anrichtet, und haben schnell ein Notfall-Geldverbrennungsprogramm aufgelegt.Der Entwurf für ein EU-Cybersolidaritätsgesetz sieht den Aufbau einer Cybersicherheitsreserve mit Notfalldiensten vor. Das Budget beträgt 1,1 Milliarden Euro.
Wenn es nach mir ginge, würden diese Leute alle in die Cyberarbeitslosigkeit geschickt, wo sie dann vom Arbeitsamt aufgezwungen kriegen, bis zu ihrem Lebensende Microsoft-Security-Advisories zu sortieren.
Warte, Fefe, irgendwie fehlt da noch was. Da war ja noch gar kein Big Data und kein "KI" am Start?!
Geplant ist dazu etwa der Einsatz Künstlicher Intelligenz (KI) und von Big-Data-Analysen.Never mind.
Fehlt nur noch, dass die Steuergelder beim Täter landen. Bei Microsoft.
Mit Elon Musk als bekanntestem Unterzeichner?
Ihr ahnt ja nicht, was für eine Firma Elon Musk gerade gegründet hat!1!! (falls das WSJ das paywallt: Heise dazu)
Damit ist klar, wieso Musk wollte, dass die anderen nen halbes Jahr warten. Damit er in der Zeit seine Firma soweit hat, dass sie mitreden kann.
Ich bin ja jetzt kein großer Fan von "KI" oder der Forschungstiefe dahinter, aber in einem halben Jahr kriegst du keine Firma aus dem Boden gestampft, die mit Microsoft, Google und Facebook konkurrieren kann.
Fürwahr, ich sage euch: Es wird herrschen ein furchtbares Heulen und Zähneknirschen unter den Vollidioten, die das Geschäftsmodell der Cloud nicht verstanden haben.
Nochmal ganz langsam zum Mitmeißeln: Das Geschäftsmodell der Cloud ist, dich mit mit von Open-Source-Projekten geklauten Diensten und Lockpreisen dazu zu bringen, deine eigene Infrastruktur aufzugeben, und deinen Scheiß komplett in die Cloud zu schieben, und so eine nicht auflösbare Abhängigkeit zu schaffen. Dann, wenn keine Notwendigkeit für Lockpreise mehr besteht, dann auferstehen die Preise aus ihrem Lockangebots-Grab und kennen nur noch eine Richtung: Himmelwärts.
Ich kann euch gar nicht sagen, WIE WENIG Mitleid ich mit diesen ganzen Vollidioten habe.
CISPE-Generalsekretär Francisco Mingorance wertet die Initiative als Zeichen dafür, dass der US-Konzern inzwischen so viel Marktmacht besitzt, um "die Preise in dem Wissen erhöhen" zu können, "Kunden haben keine andere Wahl, als zu zahlen".Ach. Ach was. Das ist ja unglaublich, Bob! Und das erkennst du jetzt erst? Was machst du noch gleich beruflich?
Der Branchenvertreter, der früher bei der Microsoft-freundlicheren Business Software Alliance (BSA) warVerstehe. Keine weiteren Fragen, euer Ehren.
I have been writing about the threat of AI to free speech. Then recently I learned that ChatGPT falsely reported on a claim of sexual harassment that was never made against me on a trip that never occurred while I was on a faculty where I never taught. ChapGPT relied on a cited Post article that was never written and quotes a statement that was never made by the newspaper.Ja gut, das sind diese ChatGPT-Leute. GPT-4 ist bestimmt viel besser!!1!When the Washington Post investigated the false story, it learned that another AI program “Microsoft’s Bing, which is powered by GPT-4, repeated the false claim about Turley.”Turley ist der Autor von dem verlinkten Blogeintrag.Ich hab ja schon ein paar Mal erklärt, dass eines der Probleme bei "KI" ist, dass das trainiert und nicht konstruiert wird, und man das daher auch nicht debuggen kann, wie man regulären Code debuggen würde, und man kann auch nicht Bugs fixen, weil der Kram aus Gewichten in einem neuronalen Netz o.ä. kommt, statt aus Code.
Man hat dann genau drei Optionen: Neu trainieren, nachtrainieren, oder einen Filter davor tun, der genau das Problem erkennt und wegmacht. Alle drei Optionen sind Mist. Auch das neuronale Netz weiß nicht, welche Gewichte wofür zuständig sind. Nachtrainieren wird also eine Lavine aus anderen Änderungen bewirken, alle völlig unklar. Vielleicht wird es dadurch sogar schlimmer.
Neu trainineren wird vermutlich dasselbe Problem wieder haben, denn wir haben ja keinen Weg, das beim Training zu verhindern.
Und der Filter wird nicht funktionieren. Das versuchen Zensoren seit Jahrzehnten und dann reden die Chinesen halt von Winnie the Pooh. Die erfolgversprechenste Implementation eines Filters würde selber auf Machine Learning basieren, was das natürlich direkt ad absurdum führt.
Kurz gesagt: "KI" ist ein Schuss in den Ofen. Lasst euch mal nicht aufschwatzen, dass das a) neu oder b) besser oder c) die Zukunft ist. Die Zukunft, die das wäre, in der würdet ihr nicht leben wollen.
Ich war kurz versucht, statt auf die Eigenwerbung von Heise auf die Primärquelle zu verlinken, aber das ist noch üblere Eigenwerbung.
Diese Branche geht echt immer mehr den Bach runter.
Immerhin haben wir damit die Frage geklärt, wer die Netflow-Daten zur Verfügung stellt. Es sind nicht die ISPs sondern die Firmen und Anwender selbst. Weil sie glauben, sie kriegen dafür mehr Security.
Herr, wirf Hirn vom Himmel! (Danke, Peter)
Aber an der Stelle könnt ihr ja mal freundlich euren neuen Untermietern aus Moskau zur Begrüßung die Hand schütteln.
Microsoft has patched an Outlook zero-day vulnerability (CVE-2023-23397) exploited by a hacking group linked to Russia's military intelligence service GRU to target European organizations.The security vulnerability was exploited in attacks to target and breach the networks of fewer than 15 government, military, energy, and transportation organizations between mid-April and December 2022.
Sag bloß! Exchange ist unsicher?! Also DAMIT konnte ja wohl NIEMAND rechnen! Dabei haben wir doch extra auch Outlook und Active Directory auf unserem Windows im Einsatz!!1!
Die können nicht helfen. Also eskaliert er das zum 2nd Level Support. Einer von denen loggt sich über Quick Assist bei ihm ein und installiert einen Aktivierungs-Crack aus einem schattigen Internetforum!
Er hat Screenshots gemacht und konnte seinen Augen nicht trauen, geht also selber zu diesem Forum und fragt die Leute da. Die so:
It's not official and not legal.
New hotness: GPT-4!
So und jetzt guckt mal, was deren Metrik ist für das Training von dem Modell. Lauter Kompetenztests für Menschen!
Bar Exam ist sowas wie bei uns das Jura-Staatsexamen. LSAT ist der Eignungstest fürs Jurastudium. SAT ist der Scholastic Aptitude Test, damit testen Unis ihre Bewerber. USABO ist ein Wettbewerb in der Biologie.
AP steht für Advanced Placement, das ist ein College-Level-Test. Dann haben sie da drei Schwierigkeitsstufen eines Sommelier-Tests (Weinexperten) und eines Coding-Tests.
Mit anderen Worten: Microsoft richtet ihr Sprachmodell absichtlich darauf aus, dass es möglich gut in Prüfungen beim Bescheißen helfen kann.
Ich fände das ja super, wenn sich jetzt die ganzen "ich habe mich mit GPT-4 durch die Prüfung gemogelt"-Flachpfeifen bei Microsoft bewerben. Am besten sollten die nur noch solche Leute kriegen. Das wäre eine gerechte Strafe für so eine gesellschaftliche Sabotage.
Aber vielleicht sollte ich nicht überrascht sein, denn das ist das erste GPT-Release, seitdem Microsoft das KI-Ethikteam komplett gefeuert hat:
Microsoft laid off its entire ethics and society team within the artificial intelligence organization as part of recent layoffs that affected 10,000 employees across the companyEthik und gesellschaftliche Folgeabschätzungen sind ja auch bloß im Weg für sich schnell bewegende Innovatoren wie Microsoft!
So tief muss man erst mal sinken!
Und sie merken erst, dass das vielleicht ein bisschen zu streng riecht, als sie von der Presse ins Gesicht darauf angesprochen werden.
Die absolut allerletzten in Sachen Digitalisierung. Da ist mir ja die FDP lieber! Die haben wenigstens eine eigene Position, auch wenn die absolut indiskutabel ist.
Immer dran denken: Dass die CDU überhaupt eine Stimme einfahren konnte, liegt an der Performance von Franziska "Clankriminalität" Giffey und der SPD.
- It’s capable of running on the latest, fully patched Windows 11 systems with UEFI Secure Boot enabled.
- It exploits a more than one year old vulnerability (CVE-2022-21894) to bypass UEFI Secure Boot and set up persistence for the bootkit. This is the first publicly known, in-the-wild abuse of this vulnerability.
- Although the vulnerability was fixed in Microsoft’s January 2022 update, its exploitation is still possible as the affected, validly signed binaries have still not been added to the UEFI revocation list. BlackLotus takes advantage of this, bringing its own copies of legitimate – but vulnerable – binaries to the system in order to exploit the vulnerability.
- It’s capable of disabling OS security mechanisms such as BitLocker, HVCI, and Windows Defender.
Und warum? Weil der Hersteller das Problem heruntergeredet hat.
Publicly Disclosed: No.Ja gut, na DANN können wir das ja aussitzen!1!!
Exploited: No.
Latest Software Release: Exploitation Less Likely
Wie ich schon seit Jahren sage: Priorisierung von Bugs ist des Teufels. Immer alle Bugs fixen. Sofort.
Die Industrie hat da natürlich keinen Bock drauf. Denn wenn man die Signatur zurückrufen würde, würden ja spontan die ganzen Mainboards gebrickt, die von ihren Herstellern keine Patches gekriegt haben. Und wo kämen wir DA hin, wenn Hersteller für ihre Produkte Patches liefern müssten?!? Das kostet ja Geld!1!!
Natively embedding Acrobat PDF technology in Microsoft Edge delivers an enhanced PDF experience for Windows users and a seamless path to even more value.EVEN MORE value!!1!
Wieso setzt eigentlich irgendjemand Produkte von Microsoft ein? Wie dreist müssen die noch sein?
Wie? Nein, nicht wegen Malware. Wegen Microsoft.
Windows 10 users are reportedly being blocked from accessing their desktops by full-screen trial offers for the Microsoft 365 productivity suite (formerly Office 365).These offers (titled "Access granted: We're giving you a free trial of Microsoft 365 Family") are being pushed via full-screen notifications that give the users no choice but to enter their payment information to activate the trial.
Na ich hoffe mal, dass es da eine schöne fette Class-Action-Klage in den USA setzt. Das geht ja mal überhaupt gar nicht, und es ist scheißegal, ob das ein Versehen war oder nicht.
"Our initial investigation indicates that there our service infrastructure is performing at a sub-optimal level, resulting in impact to general service functionality" states an advisory time-stamped 12:41PM on December 2.Sub-optimal level, my ass. Die Hütte brennt! Aber keine Sorge, sie haben Experten und die kümmern sich. Die tun, was man halt so tut bei Microsoft:"While we continuing to analyze any relevant diagnostic data, we are restarting a subset of the affected infrastructure to determine if that will provide relief to the service," stated an update posted 17 minutes after the first status notice.Have you tried turning it off and on again?Ja, haben sie. Hat nichts gebracht.
We have successfully restarted a small portion of the affected systems and are monitoring the service to determine if there is a positive effect on our service. While we continue to monitor, we will work to understand the root cause and develop other potential mitigation pathways.Na dann ... Volle Kraft Voraus, meine Herren!Oh warte, gibt noch mehr Updates:
A status update time-stamped 3:14PM - it's unclear in which time zone - states the incident now also impacts SharePoint Online, Microsoft PowerApps, and Microsoft PowerAutomate.Da willste doch deine Firma von abhängig machen, von so einer Cloud-Infrastruktur! Was waren da noch gleich die Vorteile von? Der Preis ja wohl offensichtlich schon mal nicht. Oh ja, ich erinnere mich. Damit das dann von Profis gewartet wird und nicht mehr ausfällt.Nastrovje!
Your iPhone's analytics data includes an ID number tied to your name, email, and phone number, say researchers who uncovered other holes in Apple' promises.Sehr lustig finde ich auch folgenden Teil:“I think people should be upset about this,” Mysk said. “This isn’t Google. people opt for iPhone because they think these kinds of things aren’t going to happen. Apple doesn’t have the right to keep an eye on you.”*schenkelklopf*Ja aber aber aber schützt Apple uns nicht vor Facebook? Kann sein, aber nur um den Wert von ihrem Big Data Pool in der Cloud zu erhöhen!
OK aber was für Daten sammelt Apple denn da?
In some cases, this analytics data apparently includes details about your every move. Mysk’s tests show that analytics for the App Store, for example, includes every single thing you did in real time, including what you tapped on, which apps you search for, what ads you saw, and how long you looked at a given app and how you found it.Ach. Ach was. Aber, äh, ... das ist ja wie bei Google!!1!Update: Dieser Artikel ist sogar noch ein bisschen schöner:
This isn’t an every-app-is-tracking-me-so-what’s-one-more situation. These findings are out of line with standard industry practices, Mysk says. He and his research partner ran similar tests in the past looking at analytics in Google Chrome and Microsoft Edge. In both of those apps, Mysk says the data isn’t sent when analytics settings are turned off.
(Im Gegensatz zu Apple, die auch Telemetrie senden, wenn man das explizit ausgeschaltet hat)
Along the way, Apple developed a very convenient definition of what privacy means that lets the company criticize its rivals’ privacy practices while harvesting your data for similar purposes. Apple says you shouldn’t think of what it does as “tracking.” According to the company’s website:Apple’s advertising platform does not track you, meaning that it does not link user or device data collected from our apps with user or device data collected from third parties for targeted advertising
Seht ihr? Apple shared die Daten nicht mit dem Data Broker, Apple ist der Data Broker! Damit ist das nach ihrer Definition kein Tracking. Wobei, hey, wenn Apple die Daten nicht weiterverkauft, dann sind sie ja technisch gesehen nicht mal ein Broker sondern nur ein Datenkrake. Man kann ja von sowas auch profitieren, ohne dass man es weiterverkauft.
Na klar: DIE RUSSEN HABEN UNS MIT APT GECYBERT!!1!
Die Strategie funktioniert auch heute noch. Microsoft gerade so:
Im Rahmen der Konferenz Cyberwarcon hat Microsoft seine Einschätzung zu einer neuartigen Ransomware spektakulär ergänzt: "MSTIC stellt fest, dass Iridium die Prestige-Kampagne durchgeführt hat". Das bedeutet letztlich, dass Microsoft den russischen Militärgeheimdienst GRU für Planung und Durchführung einer im Herbst aufgedeckten Ransomware-Kampagne verantwortlich macht. Sollte dies zutreffen, wäre das eine deutliche Änderung der Gefahrenlage, die auch Konsequenzen für die Verteidiger hätte.Nein. Wäre es nicht. Da ist auch nichts spektakulär dran. Das ist alles unglaublich unspektakulär, unsubstanziiertes Hörensagen und reine Energieverschwendung. Und die Heise-Experten reihen sich ein in die Narrativ-Cheerleader.
Ein Game-Changer*gähn*
Hey, bist du auch schon von den Russen gecybert worden? Hast du auch solche Angst vor den Russen? Die Russen, die in der Ukraine Bomben nehmen mussten, weil sie die uralte gammelige Elektro-Infrastruktur nicht gecybert gekriegt haben. Die Russen, die sich beim Hacken vom holländischen Geheimdienste über ihre eigenen Webcams haben filmen lassen. Habt ihr auch solche Angst vor denen?
Solange ihr Active Directory, Windows und Office einsetzt, und nicht immer sofort alle Patches überall ausrollt, werdet ihr irgendwann gehackt werden. Von wem ist dann auch egal, denn die Daten sind dann halt weg.
Und schon wieder zieht Microsoft an der Industrie vorbei. Dabei ist das so ein großer, träger Monolith! Wie kann das sein, dass ausgerechnet die immer wieder die ersten sind, wenn es um sowas geht?
Absolut zum kotzen und an Unseriosität kaum zu toppen, finde ich.
Aber gelegentlich kommt so eine Meldung vorbei, die ich widerwillig trotzdem verlinke. Hier ist so eine. Aber lest die lieber nicht, lest lieber Microsofts Version davon. Sie haben irgendeinen RIESIGEN DATENREICHTUM gefunden, und zwar in Azure.
Gähn, denkt ihr euch jetzt vielleicht. Aber wartet.
Die Daten kommen diesmal von Microsoft selbst, nicht von irgendwelchen unachtsamen Azure-Kunden.
Das wäre ja schon ein Paukenschlag, denn das gesamte Geschäftsmodell von Cloudanbietern basiert ja darauf, dass ihr denen glaubt, dass sie besser auf ihre Daten aufpassen als ihre es gekonnt hättet. Naive IT-Verantwortliche glauben ihnen das dann vielleicht sogar, bis jemand den Gegenbeweis antritt.
Das ist hiermit geschehen.
Oh, was sagt ihr? Ihr seid schon so tief in die Lock-In-Falle gelaufen, dass ihr gar nicht mehr weg könnt jetzt? Tsja. Hättet ihr mal auf jemanden gehört, der euch rechtzeitig gewarnt hat.
Warum setzt diesen Scheiß jemand ein?! Ich versteh es nicht!
Der wohlgemerkt nicht das Loch stopft, sondern Firewall- und Schlangenöl-Regeln herumreicht, um den Exploit zu behindern?
Ja klar kennt ihr so eine Software! Microsoft Exchange! Das war die Software, wir erinnern uns, deren erste Version "4.0" hieß, damit Käufer den Eindruck haben, die sei ausgereift und wohlgetestet. Die Werbung hat das den Kunden auch direkt ins Gesicht gelogen. Gut abgehangen! Gegen alles getestet! Stabil und zuverlässig! Nichts davon war der Fall.
Ich erinnere mich noch damals an der Uni, dass ein Exchange-Server platt war, und es stellte sich raus, dass der mit einem Unix-Mailserver (qmail?) zu interagieren versucht hat, sich nicht an die RFCs hielt, und damit eine Neuversuch-Schleife auslöste, die auf dem Unix-Server keine messbare Last erzeugte, aber den Exchange plattmachte.
Das war auch noch irgendwas lächerliches wie ob Zeilen mit LF oder CR-LF terminiert werden.
Exchange war schon immer das absolut letzte. Ich war schon immer fasziniert, dass Leute sowas wirklich einsetzen. Freiwillig! Und noch dafür zahlen!!
Das geilste ist ja, dass die Cloud-Version nicht betroffen ist. Es gibt also eine nicht betroffene Version. Aber sie wollen ja die On-Prem-Kunden bei der Gelegenheit erziehen, in die Cloud zu kommen, wo sie dann nicht mehr weg kommen. So eine Firma ist das.
Um aufzulösen: Ich kenne außer Exchange keine Software, die so einen Service braucht.
Was mich ja an dieser Nummer am meisten ärgert: "BSI warnt vor Sicherheitslücke in Exchange". Ja wieso warnen die denn nicht vor Exchange selbst?!? Hallo McFly? Jemand zuhause?
Hello, here is Microsoft Support. You have virus on your PC!
Für mich persönlich ist jetzt bei Matthew Green der Zeitpunkt gekommen, die Reißleine zu ziehen. Der ist einfach zu häufig negativ aufgefallen. Erst mit Agitprop gegen GnuPG, dann mit Agitprop für Cryptocurrencies, und jetzt halt mit Agitprop gegen Dan Bernsteins Post-Quantum-Transparenzvorstoß. Ich betrachte den ab jetzt als NSA-U-Boot und schiebe ihn in meinem Threat Model auf die Angreiferseite.
Da kann er es sich neben Eric Rescorla bequem machen.
Diesen Go-Crypto-Typen, den er da zitiert, hatte ich noch nicht auf dem Radar, aber was der da schreibt ist geradezu grotesk schlecht. Da hat sich das Go-Team entweder einen naiven Anfänger oder einen Idioten eingetreten. Ich würde deren Crypto erstmal lieber nicht trauen nach diesen Aussagen.
Das war schon immer das Bedrohungsmodel in der Kryptographie, dass du davon ausgehst, dass dein Feind eine rechenschaftsfreie Regierungs- oder Militärbehörde mit unendlich viel Budget ist. Selbstverständlich musst du dann gucken, ob die nicht Kryptographen bestochen haben könnte. Nicht zuletzt weil die NSA ja tatsächlich RSA Inc bestochen hat, damit sie ihren Backdoor-DualEC-RNG weltweit verteilt haben. Das ist ja kein Fiebertraum, dass die NSA Kryptographen bestechen könnte!
Das ist seit echt vielen Jahren ganz normales Standardvorgehen, dass man z.B. bei komischen Konstanten in Krypto-Verfahren fragt, wo die herkommen, und ob die vielleicht irgendwas kryptografisch schwächer machen oder mit einer Hintertür versehen.
Seit vor 50 Jahren die S-Boxen von DES unerklärlich von der NSA kamen, ist das Teil des Bedrohungsmodells. Das Konzept hat sogar einen Namen: Nothing-up-my-sleeve Number.
Hier so zu tun als verbreite djb Verschwörungstheorien oder als beleidige er hier Kollegen, das ist so dermaßen jenseits von gut und böse, dass ich mit sehr viel Aufwand überhaupt die Annahme im Raum stehen lassen kann, dass das ein Versehen von dem Go-Typen war. Böse Absicht ist so viel wahrscheinlicher.
Update: Ein Leser schreibt, auch der Go-Typ ist schon durch GnuPG-Bashing aufgefallen. Ich habe mich auch schon abfällig über die Codequalität von GnuPG geäußert und das Dateiformat ist furchtbar, aber GnuPG war das Tool, mit dem Snowden sein Leben vor dem Zugriff der US-Behörden geschützt hat. Mit GnuPG. Nicht mit "age", nicht mit Google-Crypto, nicht mit Cloudflare-Crypto, nicht mit Microsoft-Krypto. Mit GnuPG. Wer also GnuPG generell die Existenzberechtigung absprechen will, und dann auch noch sein Gehalt von Google und Cloudflare nimmt, die um US-Regierungsaufträge konkurrieren, der ist mir direkt suspekt.
Ich weiß, was Sie jetzt denken, und Sie haben Recht! Das war von Anfang an eine schlechte Idee!1!!
Der Admin Account in dem Confluence Questions Plugin ist unterhaltsam, aber der viel 'bessere' Report ist meiner Meinung nach der zweite vom gleichen Tag mit CVE-2022-26136 und CVE-2022-26137.Vielleicht weil das den Betroffenen peinlich ist, öffentlich zugeben zu müssen, wie tief sie sich in die selbstverschuldete Unmündigkeit begeben haben?Hier wird geboten:
- 'Authentication Bypass' und Cross-Site-Scripting
- Alle Serverprodukte sind betroffen, Jira, Confluence, Bamboo, Bitbucket und so weiter
- Die Sammel-CVEs haben keinen Score, den ich finden konnte, in den Atlassian Produkt-Tickets gibt es CVSS Werte von 9.4 bis 9.7
Und die wirklich neue Spezialität:
Es gibt keine Workarounds oder Patches, man muss auf eine neue Version und dass geht nur mit einem laufenden Supportvertrag.
Mit anderen Worten: Server-Kunden, die nicht jedes Jahr 50% der 'perpetual' Lizenz bezahlen, stehen komplett im Regen.
Ich frage mich, warum das keine Schlagzeilen macht ...
Daher tut man jetzt halt so, als sei das a) schon längst alles eingepreist und b) ginge es auch gar nicht anders, denn sieh mal die Konkurrenz, die setzt den Scheiß ja auch ein. Wie bei Microsoft-Umgebungen halt. Da gibt es ja auch Null Einsicht, egal wie viel Kosten sich auftürmen.
Update: Ein Leser hat Patches gefunden.
Update: Noch ein Leserbrief dazu:
ich fürchte, die Lizenz-Politik bei Atlassian ist noch schlimmer, als du und dein Leser es dir vorstellen könnt. Du kannst sogar eine Patch-Version (also z.B. Confluence 7.4.17) nur einspielen, wenn das Release-Datum *des Patches* vor Ablauf deines Support-Vertrages war. Also kannst du sämtliche auf dieser Seite verlinkten Patch-Versionen nur verwenden, wenn du zumindest so ca. Juni 22 noch einen gültigen Support-Vertrag hattest (siehe jeweilige Release Notes).
Noch meine 2¢, warum Firmen trotz aller Querschüsse von Atlassian das immer noch verwenden: Es gibt leider in den Bereichen "Enterprise-Bugtracker" und "Enterprise-Wiki" keine ernsthafte Konkurrenz (davon unbenommen natürlich, wie sinnvoll und effizient so Enterprise-style Anwendungen sein mögen). Wenn du "Enterprise-Wiki" noch auf "Enterprise-Wissensmanagement" erweiterst, landest du ganz schnell bei dem noch grusligerem Sharepoint.
In anderen Bereichen, wo Konkurrenz existiert, hat Atlassian massiv verloren - siehe z.B. Bitbucket, Bamboo, Hipchat.
Nun, das war gar nicht so einfach!
Microsoft was able to speed up the boot sequence by creating a shorter bootup animation.Update: Ein Leser weist darauf hin, dass das kein Einzelfall ist.
New hotness: Indische Betrüger täuschen Cricket-Liga vor, um Russen abzuzocken.
A gang set up a fake “Indian Premier League” tournament with farm labourers acting as players to dupe Russian punters in a betting scam reminiscent of the 1973 film The Sting.Wenn die bereit sind, so viel Aufwand reinzustecken, können die damit nicht ehrlich Geld verdienen? (Danke, Walter)
Na das passt ja mal wieder wie Arsch auf Eimer!
Mister "ich bin so genial, ich scheiße einmal auf alle etablierten Standards und erfinde alles neu"? Bei Microsoft? Chef's Kiss!
Mister "udev ist jetzt integraler Bestandteil von systemd und geht nicht mehr ohne" geht zu "Internet Explorer ist jetzt integraler Bestandteil von Windows"? Perfekt!
Mister Pulseaudio geht zur Firma mit DirectX!
Next up: systemd-registry und systemd-activedirectory!
Siemens, die Firma, die uns Stuxnet gebracht hat! Zusammen mit Nvidia, der Firma, wegen der Microsoft Grafiktreiber in den User Mode geschoben hat, damit sie nicht immer einen Blue Screen verursachen.
Immerhin wissen wir jetzt, wieso Deutschland plötzlich ein Handelsdefizit hat.
Auf der einen Seite will ich nicht nur schreiben, wie kaputt alles ist. Auf der anderen Seite will ich aber auch nicht dafür sorgen, dass Leute länger bei Windows bleiben, weil sie dank irgendwelcher Konfigurationsratschläge den Eindruck haben, sie könnten das schon irgendwie absichern. Zu guter Letzt bin ich Code Auditor, nicht Admin. Was man da alles konfigurieren kann ist nicht mein Spezialgebiet. Am Ende verbreite ich noch Unfug?
Daher haben meine Zero-Trust-Folien am Ende eine eher allgemeine Vision.
Allerdings kam ein Leserbrief mit konkreten Ratschlägen rein, den ich jetzt mal veröffentlichen möchte. Nehmt das aber bitte nicht als abzuarbeitendes Howto sondern als Grundlage für eigene Recherchen. Ziel der Übung sollte sein, dass ihr ein bisschen mehr verstanden habt, wie die Dinge funktionieren.
zu deiner Zero Trust Präsi möchte ich mal etwas zur Windows Security einwerfen. Sorry, ist etwas länglich geworden.Anmerkung von mir: Die ct hatte dazu mal ein Tool veröffentlicht, da könnt ihr damit mal herumspielen.Wir sind IT Dienstleister und übernehmen in der Regel den Service einer bestehenden IT Landschaft die entweder vorher durch den Kunden oder durch einen anderen Dienstleister betreut wurde. KMU 1 bis 500 MA.
Dahin zu gehen und den Kunden Windows und Outlook wegzunehmen wird in der Regel nicht gelingen. Wenn es möglich ist einen neuen Server auf Linux hoch zu ziehen könnte man das vorschlagen und umsetzen, da hört es aber dann auch schon auf.Der Satz "Das geht, weil Sie Outlook und Office benutzen" stimmt leider in den meisten Fällen, obwohl das nicht so sein müsste.
MS liefert schon seit Windows 2000 allerhand Techniken mit die genau das alles verhindern. Wir haben aber noch nicht einen Kunden bekommen bei dem irgendwas davon aktiv war und holen das alles schleunigst nach. Das schlimmste was uns als Dienstleister passieren kann, ist ein Ransomwarebefall eines Kunden bei dem wir die Schuld tragen, weil deren Systeme nicht sicher sind, obwohl man es *ohne* Anschaffung zusätzlicher Software hätte besser machen können. Der Kunde verlässt sich darauf dass wir ihm eine sichere Arbeitsumgebung geben. Es ist ein Unding, dass ein aktueller Windows Server bei einer frischen Active Directory Installation immer noch fast die gleichen Sicherheitsdefaults verwendet wie es in 2000 eingeführt wurde und so kommt es, dass von all dem was nun kommt in freier Wildbahn oft nichts zu sehen ist.1: Software Restriction Policies (SRP), ja ich weiß ist deprecated, läuft aber selbst auf Win 11 noch. MS wollte das durch Applocker ersetzen. Ist aber auch deprecated. MS will das durch Defender Application Control ersetzen, geht aber nur per XML oder und nur in Enterprise oder so. Wir bleiben bisher bei SRP, weil das keine Enterprise Lizenzen braucht und seit Win 2000 unverändert läuft. Muss man halt nach jedem größerem Update testen ob es noch geht.
Was tut es? Windows führt nur noch EXE, CMD/BAT, PS1, sonstwas aus Pfaden aus die der Admin per GPO festgelegt hat. Outlook kopiert den Anhang aus der Mail in ein Temp Verzeichnis und will es dort starten. Das darf es dann nicht mehr. Admins installieren nach c:\program files\. Das ist erlaubt. Ein User darf da nicht schreiben.GPO ist ein Group Policy Object, oder in deutschen Versionen: Gruppenrichtlinien.
MS torpediert es aber selbst mit Programmen die sich unter AppData\Local installieren. Teams z.B. und andere Hersteller sind da auch keine Vorbilder. Muss man sehr enge Ausnahmen setzen und das Risiko in kauf nehmen.2: Makros. Ja, der gelbe Balken bringt nix. Per GPO hart ganz abschalten. Brauchen ohnehin die wenigsten Anwender. Die die es brauchen, kann man geziehlt auf die Dokumente einschränken für die es gehen soll. Was machen die Malware Makros? VBS oder Powershell Script ausführen und Payload nachladen und starten. Geht eigentlich durch SRP schon nicht mehr, aber es soll ja Bugs geben die vielleicht um SRP drum rum kommen.
3: Beschafft sich lokale Admin-Rechte und übernimmt den Domain Controller.In meinen Folien hatte ich gesagt, dass Lateral Movement nicht Teil des Threat Models ist. Ich bin mir unsicher, inwieweit man das verallgemeinern kann. Ich unterhalte mich zu Ransomware mit Kumpels, die weiter oben auf der Eskalationsskala sitzen, die sehen dann praktisch ausschließlich Fälle, bei denen der AD übernommen werden konnte. Ich habe leider keine Zahlen, wie hoch der Prozentsatz der Ransomware-Angriffe ist, die man verhindern könnte, wenn man Lateral Movement unterbindet. ALLERDINGS: Wenn man durch andere Maßnahmen dafür sorgt, dass der Sprung zum Domain Admin nicht geht, dann wird die Verhinderung von Lateral Movement plötzlich eine wichtige Maßnahme. Genau das spricht der Leserbrief hier an.
Wenn 1 und 2 versagt hat kommen wir dahin. Nächste Verteidigungslinie ist Lateral Movement zu verhindern.Es gibt genug GPOs zum härten der Systeme, aber man klemmt halt damit alten Legacy ab, was ich aus technischen Sicht eigentlich ganz gut finde. NTLM Auth weg, Credential Caching für Admins und generell Server abschalten, Debugging Rechte global abschalten und nur im Einzelfall erlauben. LAPS benutzen, auch für Server. Das macht es Mimikatz schon ganz schön schwer an verwertbare Daten zu kommen.
Mit ESAE hat MS schon lang ein Konzept die Admin Ebenen voneinander zu trennen. Man muss auch nicht zwingend mehrere Domänen betreiben um den wichtigsten Teil davon umzusetzen.Ich hab das in einem Nebensatz irgendwo erwähnt, dass man die Admin-Accounts aufteilen soll, und dass der Domain Admin nicht an die Datenbanken können soll. Der Leser hier hat völlig Recht, das kann und sollte man noch mehr auftrennen. Dann hat man tatsächlich etwas getan, um im Threat Model ein Bedrohungsrisiko zu senken.
Bei uns darf ein Domain Admin nicht mal PCs in Domänen aufnehmen. Niemals sollte sich ein Domain Admin an einem Client anmelden und das lässt sich auch per GPO verhindern.
Der darf auch nur an Domain Controller, die CA und ähnliche Systeme. Ein Server Admin darf da nicht hin und der darf auch nicht an Clients. Ja, der Domain Admin hat dann halt 4 User Accounts. User, Client Admin, Server Admin, Domain Admin. Natürlich mit Grundverschiedenen Passwörtern. Kommt man mit klar.
Selbst ein Keylogger auf dem Client bekommt dann höchstens den Admin für die Clients, aber kann immer noch nicht auf Server oder gar Domain Controller.Dazu sei angemerkt, dass auch mit Smart Cards im Hintergrund immer noch Kerberos läuft mit Kerberos-Tickets, die abgreifbar sind. Aber die laufen wenigstens nach einer Weile aus.4. Benutz Smart Cards für die Admins und lass nur Anmeldungen per Smart Card zu. In dem Fall kann ein Keylogger auf dem PC auch das Kennwort nicht einfach mal mitlesen.
USB Smart Cards sind nicht teuer. Die Menge an Admins überschaubar.
Für RDP gibt es dann noch den Restricted Admin Mode mit entsprechenden Komforteinbußen.
In Enterprise Editionen noch Credential Guard, usw.
5. Exchange kann Split Permissions. Nutzt das. Es entfernt die Berechtigungen dass der Exchange Server Domain Admin Rechte hat. HAFNIUM war damit nur halb so schlimm.Für die BMC und Hypervisoren würde ich dringend zu physisch getrennter Verkabelung raten, statt zu irgendwelchen Software-Geschichten.
Server müssen auch nicht überall ins Internet dürfen. Verhindert dass Malware auf euren Servern ganz bequem per HTTPS ihren Payload laden können.Erweitert das noch mit VLANs und Firewalls. Kein Anwender muss auf die ESXi Infrastruktur, einen Switch oder das BMC vom Server. Die müssen auch auf die wenigsten Ports für die Anwendungsserver. Da reichen oft ACLs auf dem Core Switch um zumindest bei Line Speed zu bleiben.
Backupserver aus der AD nehmen. Per Firewall/ACL einschränken, dass der an die Server darf, aber die Server nicht zum Backupsserver.Das ist ein guter Ratschlag!
All diese Dinge die ich beschrieben habe gehen mit Bordmitteln. Da ist nicht ein Anti-Virus, SIEM oder sonst eine 3rd Party Lösung beteiligt.Nur ein Nachsatz noch von mir: Der Feind ist Komplexität. Es ist zwar schön, dass man bei Microsoft eine Menge konfigurieren kann, so dass es weniger schlimm ist, aber am Ende des Tages überblickt niemand mehr den ganzen Softwarehaufen, und alle sind nur an der Oberfläche am Herumkratzen. Das betrifft glücklicherweise auch die meisten Angreifer. Wirklich sicher fühlen würde ich mich da nicht. Und wenn man erstmal diese Art von Knowhow aufgebaut hat, dann wird man wahrscheinlich nie wieder von Windows wegmigrieren wollen.
Wir setzen das meiste davon bei Firmen ein die keine 10 Mitarbeiter haben. Das kann man mit Routine an einem Tag umsetzen. (Den Windows Teil zumindest) Testet das selbst mit Mimikatz, Bloodhound und was auch immer. Hackt euch selbst und danach oder wenn ihr das generell nicht könnt, holt euch noch einen Pen Tester um die offensichlichen Lücken weg zu machen.Am Rande: Domain Joined Device Public Key Authentication muss man nicht einschalten. Das ist per Default an. Man muss es aber erzwingen wenn man das Fallback nicht haben will. Ist fast das gleiche, aber doch nicht ganz und geht erst mit Server 2016.
Am weiteren Rande: Patchmanagement. Es wäre schön, wenn MS nicht Patches raus bringen würden die großflächig zu Boot Loops auf Domain Controllern, Druckproblemen oder 802.1X/802.11X Problemen führen würden. Dann hätte man auch mit Auto-Updates weniger schmerzen. So muss man eigentlich schon zwangsweise ein paar Tage warten, wenn man nicht vor einem Totalausfall am nächsten Tag stehen möchte. Beides verfahren sind somit schlecht.
Ich gehe nicht davon aus das danach das System unhackbar sicher ist. Wir sprechen hier immer noch von Software und von Microsoft, aber zumindest hat man etwas in die richtige Richtung getan und die offenlichtlichen Scheunentore geschlossen.
Wer nun mit dem erhöhten Supportaufwand argumentiert, dem sei gesagt dass er bei uns gesunken ist, weil die Anwender eben nicht mehr alles ausführen können was bei 3 nicht auf den Bäumen ist und die Computer dadurch so bleiben wie der Admin es sich mal vorgestellt hat.
Entwicklungsabteilungen können zusätzlich Nicht-Domain Computer oder VMs bekommen um ihre systemnahe Arbeit durchzuführen.
Aus meiner Sicht ist der Vorteil von Linux und co, dass es da keine natürliche Schranke gibt, wie viel Verständnis man von dem Gesamtsystem aufbauen kann.
Update: Einer der Gründe, wieso ich solche Tipps ungerne gebe, ist weil das alles furchtbar komplex ist, und es da immer wieder Untiefen gibt, die man halt nicht kennt, wenn man nicht nach ihnen sucht. SRP und UAC sind da exzellende Beispiele für. Seufz. Siehe auch hier und hier.
Ich fasse mal zusammen: Der Staat sollte verbieten, dass man Lösegeld an Ransomwaregangs zahlen darf, und auch verbieten, dass Versicherungen Lösegeld zahlen oder dass man das von der Steuer absetzen darf.
In erster Näherung klingt das erst mal nicht doof. Wenn du denen den Profit wegnimmst, bricht ihr Geschäftsmodell weg.
Zwei Probleme. Erstens: Nein, tut es nicht. Es gibt schon die ersten Ransomware-Gangs, die gar nicht mehr verschlüsseln. Die haben gemerkt, dass sie durch den Weiterverkauf von den geklauten Daten genug Kohle machen können.
Zweitens: Das ist bloß der Monetarisierungsweg. Das schließt nicht die Sicherheitslücken, über die Ransomware reinkommt. Die stehen noch offen für Leute mit anderen Motiven, wie z.B. ausländische Geheimdienste.
Solange wir die nicht zumachen, ist alles andere bloß performative Security. Fühlt sich an, als täte jemand was, aber ist bloß Theater.
Ich sehe nicht, wie wir jemals mehr Sicherheit kriegen werden. Die Branche hat versagt, die Regierung hat versagt, die Firmen haben versagt. Der letzte Hoffnungsträger ist, dass der Markt da vielleicht ausnahmsweise mal was in unserem Interesse regelt. Wenn wir das auch noch ausschließen, dann werden wir hier nur noch vor uns hinvegetieren, und alles bleibt ewig Scheiße, weil du dann ja nicht mal einen Vorteil am Markt hast, weil du billiger anbieten kannst als die Konkurrenten, die Versicherungen abschließen müssen.
Zumindest einige der Unterzeichner hätten es echt besser wissen müssen.
Update: Wenn euer Backup von einem Angreifer verschlüsselbar ist, war es kein Backup sondern bloß eine Kopie. Was ein Backup zu einem Backup macht, ist dass man sich darauf verlassen kann, damit seine Daten wieder einspielen zu können.
Update: Mein Kumpel Erdgeist findet, ich sollte auch noch darauf hinweisen, dass sie das Zahlen von Ransomware und das Absetzen von der Steuer nicht verbieten können. Dann nennt man das halt Beraterhonorar und macht es über eine Firma im Ausland, die vom Lösegeldverbot nicht betroffen ist. Außerdem muss man nur zum War on Drugs gucken, wie gut Prohibition hilft. Gar nicht.
Ich finde das ehrlich gesagt nicht so wichtig. Selbst wenn man es verbieten könnte, würde es das Problem nicht lösen. Meinetwegen können wir uns das sparen, dass der Staat und die Kriminellen sich jetzt 10 Jahre lang on-uppen, und am Ende kommt völlig überraschend heraus, dass wir die ganze Zeit recht hatten.
Update: Vielleicht sicherheitshalber nochmal explizit: Ransomware ist nicht wie Niederschlag. Etwas, mit dem man halt zu leben lernen muss. Wir könnten auch anfangen, sichere Software zu produzieren und einzusetzen. Das macht nur keiner, weil die alle glauben, das Investment lohnt sich nicht, weil man dann teurer wäre als die Konkurrenten.
Update: Diese Petition liegt in der Cloud von Microsoft, denen wir das Ransomware-Problem ja ursächlich zu verdanken haben. Genau mein Humor!
Bonus: Auch ihre Security entspricht den Erwartungen. Sie haben jemanden in meinem Namen unterzeichnen lassen. Einmal mit Profis! m(
Immerhin haben sie auch den Drachenlord unterschreiben lassen.
Das ganze funktioniert über Zero-Knowledge-Proofs, die gerade ein riesiger Hype sind, der besonders in der Blockchain-Szene gezeigt hat, dass man damit ganz hervorragend Investorengelder oder Forschungsmittel einwerben kann.
Ich bin mir ja ehrlich gesagt schon auf fundamentaler Ebene nicht sicher, wieso ich das haben wollen würde. Eines meiner Hauptprobleme mit digitaler Souveränität im Moment ist, dass ich keinen Google-Account aufmachen kann, weil Google eine Telefonnummer verlangt, die ich nicht bereit bin, ihnen zu geben. Das ist ein Problem für mich, weil Trolle auf Youtube Videos zensieren können, indem sie klicken, dass da nicht jugendfreie Dinge drin sind, und dann verlangt Google zum Angucken, dass man einen Account hat. Ich würde jetzt gerne derart zensierte Videos gucken können, aber nicht zu dem Preis, dass Google meine Telefonnummer sehen kann.
Wie hilft mir denn jetzt SSI dabei, meine Identität privat zu halten? Gar nicht!
OK, denken wir mal weiter. Google macht im Moment Milliarden damit, unbelegte Daten über uns alle zu verkaufen. Die Daten sind schon ohne Echtheitsbeweis Milliarden wert. Wenn Google per SSI Details über mich sieht, können sie an ihre Daten "validiert!" dranschreiben. Dann sind die noch mehr wert. Völlig wurscht, ob Google das Dritten gegenüber beweisen kann oder nicht.
Ich glaube daher, dass SSI in erster Linie eine akademische Masturbationsübung ist. Kann sein, dass es ein Problem löst. Aber das wäre dann keines, das mich betrifft.
Daher hab ich SSI bisher großflächig ignoriert. Rückblickend hätte ich das vielleicht nicht tun sollen, denn jetzt gibt es halt einen Wust aus mehr oder weniger unseriösen Instituten und Startups, die Lobbyarbeit bei der Regierung und in der Verwaltung betrieben haben, und da gibt es jetzt Pilotprojekte, die ich als verstörend empfinde. Eines gibt syrischen Flüchtlingen in Italien SSI-"Belege" für ihre Ausbildung in Syrien (nicht dass die Italiener das wirklich überprüfen könnten), und die werden dann angeblich an einzelnen deutschen Hochschulen anerkannt. Win-Win-Win!!1!
Schlimmer noch: Das Ökosystem entpuppt sich als U-Boot für die Umgehung des DSGVO-Datenhandelverbotes. Und die Pilot-App, die uns vom Konzept überzeugen wollte, war sicherheitstechnisch eine Katastrophe und ein Rohrkrepierer. Dass da überhaupt eine Blockchain beteiligt ist, ist ein Treppenwitz, denn die trägt überhaupt nichts zur Erfüllung des Konzeptes oder der Sicherheitsversprechen bei. Die ist bloß Trust Anchor und Speicher für Zertifikate (weil man sich das Aufsetzen einer gemeinsamen CA nicht vorstellen konnte) und soll Revocations regeln. Inhaltlich ein non-sequitur und ein Clusterfuck. Ist meines Erachtens nur drin, weil Fraunhofer beteiligt war, und die sammeln halt mit heißer Blockchain-Luft erfolgreich Kohle ein, also musste da Blockchain draufstehen.
Woher ich das weiß? Nun, nachdem Fluepke und Lilith einen Proof of Concept für das grundlegendste Konzeptproblem (du weißt gar nicht, wem du da eigentlich gerade deinen Ausweis zeigst!) veröffentlicht hat, gibt es jetzt ein Mythbusting-Paper von Fraunhofer. Nein, wirklich. Die nennen das selbst Mythbusting. Wer versucht ist, schon auf der Titelseite das Browsertab zuzumachen, weil da Projektgruppe Wirtschaftsinformatik steht: Haltet durch! Ihr verpasst das beste! Die Autoren sind nämlich zwei Professoren, einmal Uni Bayreuth, einmal Fachhochschule Frankfurt. Der eine "Professor für Wirtschaftsinformatik und Digitales Energiemanagement", der andere "Professor für Wirtschaftsinformatik, Digital Business und Mobilität". Beides ohne Überlappungspunkte mit den vorgeblichen Zielen von SSI. Wartet, wird noch besser. Beide sind auch:
Projektgruppe Wirtschaftsinformatik des Fraunhofer FIT, Leiter des Fraunhofer Blockchain LaborsAch. Ach was. Nicht nur die Blockchain ist verteilt, auch die Führung von deren "Fraunhofer Blockchain Labors" (nur echt mit Deppenleerzeichen!)? Also wenn ich mich unabhängig über Blockchain-Technologie informieren will, dann frage ich auch zuerst einen Blockchain-Lobbyisten und -Verkäufer eines "Blockchain Labors" (nur echt mit Deppenleerzeichen!), die auf Forschungsmittel für Blockchain-Blablah angewiesen sind. Wer sonst könnte uns neutral und unabhängig sagen, dass die Blockchain die Zukunft ist und absolut essentiell für Identitätsnachweise!1!!
Wartet, wird noch besser. Die haben ein Kapitel: "Mythos 4: Das SSI-Konzept weist technische Sicherheitslücken auf". Ab Seite 22. Und da steht:
Wie bei jeder öffentlichen Softwarearchitektur muss auch bei einem SSI-basierten System jederzeit mit böswilligen Akteuren gerechnet werden. Somit müssen vor dem Start ausführliche Penetrationstests durchgeführt werden, um Angriffspunkte auszuschließen.Ja, äh, danke. Keine weiteren Fragen. Wer Penetrationstests für ein Mittel zur Sicherstellung von Qualitätsstandards hält, mit dem muss man sich gar nicht weiter unterhalten. Und dann so: Oh, wir haben Man-in-the-Middle-Angriffe nicht verhindert? Die Angriffsart aus der Überschrift des Vorworts in jedem Buch über Kryptoprotokolle? Die elementarste Art, ein Protokoll zu verkacken? DAS haben wir zu bedenken vergessen? Nee, keine Sorge, sagt Fraunhofer, vertraut uns, da werden schon Lösungen diskutiert. Bei sensiblen Daten zertifiziert man einfach, wer die sehen darf. Und die Bösen kriegen dann keine Zertifikate!!1!
Das ist ungefähr so realistisch wie Microsofts Idee, dass man mit Code Signing Malware bekämpfen kann. Das funktioniert super, bis der erste signierte Malware unter die Leute bringt, was inzwischen regelmäßig passiert. Den Rest erspare ich mal euch und mir. Das wird nicht besser.
Tsja. Was erwartet man auch von einer Institution, die sich "Fraunhofer Blockchain Labor" nennt (nur echt mit Deppenleerzeichen!).
Update: Es gibt übrigens auch Ansätze, wie man SSI ohne Blockchain machen kann: re:claimID, lustigerweise auch auch ein Fraunhofer-Projekt, aber halt nicht von einem Blockchain-Institut. Von meinen fundamentalen Fragen beantwortet das leider auch erstmal nicht viele.
Erste Erkenntnis aus den anderen Vorträgen heute: Blockchain ist noch nicht ganz tot. Da fantasieren immer noch welche von Self-Sovereign-IDs herum. Anscheinend haben sie in Italien Flüchtlingen SSI-"Zertifikate" in die Hand gedrückt, mit denen denen dann in Deutschand Hochschulen Dinge anerkannt haben. Nichts davon benötigt eine Blockchain, aber das Memo haben die noch nicht gekriegt.
Dann gab es da noch einen Vortrag von Microsoft über das "Sovereign Cloud"-Projekt. Da geht es um Digitale Souveränität, was eigentlich meint, dass Deutschland in der IT autarke Handlungsfähigkeit erreichen bzw. bewahren muss. Der Zug ist natürlich schon abgefahren. Unsere Computer und alle Teile darin kommen aus China oder Taiwan. Die Software darauf kommt aus den USA. Dass ausgerechnet Microsoft mit unseren Behörden ein Projekt zur digitalen Souveränität macht, ist also schon inhärent ein Treppenwitz eigentlich. Aber wartet.
Der Mann erzählte dann da, was sie alles nachentwickeln mussten, um das zum Laufen zu kriegen. Unfassbar viele Manntage Aufwand, erzählte der. Was das gekostet hat! Jahre haben wir da schon investiert!! Ja was haben sie denn da so teuer nachentwickelt, fragt ihr euch jetzt vielleicht? Nun, ... Lizenzserver. Damit man das Office 365 in der "souveränen" Cloud ordentlich lizenzieren kann. Warum können die sich nicht ganz normal ihre Lizenzen holen? Na weil die Cloud nicht am Internet hängen soll.
Warte, was? Ja! Das BSI fand, die Cloud sei nur dann sicher, wenn keiner mit der reden kann. smart.gif!
Ja aber liebes BSI, eure Compliance-Bullshit-Checklisten fordern doch Aktualisierungen für Windows und für Schlangenöl und so?!
Ja, dafür haben wir eine digitale Laderampe vorgesehen, mit einer Datendiode.
Das musste er dann gar nicht mehr erklären, dass diese brillante Idee auf das BSI zurückging.
Ich weiß gar nicht, welchen Teil davon ich am absurdesten finden soll.
Jetzt fragt ihr euch vielleicht, wieso die souveräne Cloud so viel Hardware-Skalierbarkeit brauchen soll, dass man Cloud-Kram überhaupt braucht. Gut, dass ihr aufgepasst habt und das fragt! Antwort: Mit der Rechenleistung kann man dann prima für SSI eine Blockchain fahren. Erzählte stolz der Microsoft-Beauftrage.
m(
Update: Der Begriff "Datendiode" kommt von Genua. Das BSI betreibt hier also Klientelpolitik / Wirtschaftsförderung für Genua.
Update: Oh ach gucke mal, stimmt gar nicht, auch secunet hat eine "Datendiode".
Die Suva möchte gerne in die Microsoft-Cloud gehen. Begründung: Die haben ein Rechenzentrum in der Schweiz und sagen uns zu, dass da keiner aus dem Ausland reinguckt.
Der Datenschutzbeauftragte ist dagegen, weil es in den USA den Cloud Act gibt, was heißt, dass die Amerikanischen Behörden in die Schweizer Cloud gucken können, ob den Schweizern das gefällt oder nicht.
Money Quote:
Die Suva adressiere das Risiko in ihrer Analyse zwar, bezeichne es aber als "höchst unwahrscheinlich". [...]Ja gut, klar. Die benutzen ja auch Windows, Outlook und Active Directory. Vermutlich unter der Annahme, dass ein Ransomwarebefall "höchst unwahrscheinlich" sei.Auch die Zürcher Kantonsverwaltung machte vor kurzem den Schritt in die Microsoft-Cloud. Die Einschätzung, dass ein "Lawful Access" durch US-Behörden höchst unwahrscheinlich sei, teilt der Kanton.
Ich ärgere mich ja an solchen Stories immer über diesen Teil hier:
Eintrittspforte für die Kriminellen war ein Link in einer E-Mail, der von einem Mitarbeiter im Haus angeklickt worden war.Als ob der Mitarbeiter Schuld ist!
Leute, ihr gebt dem Mitarbeiter ein Mailprogramm, das Links klickbar macht, und ihr gebt dem Mitarbeiter einen Browser für Links in E-Mails, und dann furzt ihr ihn an, wenn er auf Links klickt?
Der Mitarbeiter macht genau das, wofür die Software gebaut wurde, die ihr ihm gegeben habt.
Wenn ihr nicht wollt, dass ihr ständig von Ransomware hopsgenommen werdet, dann solltet ihr vielleicht aufhören, auf eure Mitarbeiter zu zeigen, und euch fragen, wieso die Software so ein Ransomwaremagnet ist, die ihr den Mitarbeitern gegeben habt.
Ich weiß nicht, ob ihr da mal drüber nachgedacht habt, aber ich habe hier eine fette Inbox mit lauter Fremden drin, alle mit Links, und ich klicke da ständig auf die Links, ohne dass Ransomware passiert. Habt ihr mal überlegt, ob es vielleicht nicht der Mitarbeiter ist, der hier das Problem ist?
Ach kommt, macht nur alle weiter Outlook, Active Directory, Exchange und Office. Vielleicht noch eine Packung Citrix drüber, damit auch wirklich jeder Geheimdienst 0days gegen euch hat. Und dann schmeißt mal schön alle eure Mitarbeiter raus, weil sie die Software dafür eingesetzt haben, wofür sie angeschafft wurde.
Ich hab ja die Tage eine wütende Mail gekriegt, ich soll nicht immer Kindergärten verunglimpfen. Im Kindergarten gehen es viel gesitteter zu als bei denen, die ich beschimpfen wollte.
Update: Wieso gibt Kärnten das jetzt doch zu? Nun, auf einer ihrer Online-Pressekonferenzen erschien einer der Ransomwarer und postete Details zu dem Angriff und kündigte Veröffentlichungen an, wenn kein Zahlungseingang festzustellen sei.
Aber hey, die Kosten schlagen wir einfach auf die Kosten für Microsoft-Produkte auf, die wir eh schon haben. Die können wir ja auch nicht inhaltlich rechtfertigen.
Update: Ein Highlight der Pressekonferenz war, als ein ORF-Reporter wissen wollte, wie häufig sie denn Backups machen, und ob sie sicher sind, dass das April-Backup noch sauber ist. Antwort: Des muas der IT-Leiter beantworten... - Wir machen die Backups immer, wenn Microsoft sie bereitstellt, also mindestens einmal im Monat (er meinte Updates)
Oh ach so, von DEM Kompetenzniveau reden wir! Hey, versteht ihr, wieso die Ransomwaregang da einbrechen konnte? Wenn die mit einem derartigen Crack-Team am Start sind? Mehr Kompetenz bündeln geht ja gar nicht!
Jahrelang haben sie nur an Lizenzkosten für ihre schlechte Software verdient, an Supportverträgen für Großunternehmen, an eigentlich das Kartellamt betreffende Upselling-Reindrückaktionen für Infrastruktur wie Sharepoint und Exchange, jetzt noch an Cloud-Gebühren, die so grotesk sind, dass Cloudflare das Geschäftsmodell hat, ein Cacheing davor anzubieten, um die Kosten geringer zu halten.
Von den paar Brosamen lebt Microsoft im Moment.
Doch damit ist jetzt Schluss.
Jetzt verdient Microsoft auch noch an "Experten", die sie euch in die Firma schicken.
Die kümmern sich da um Probleme, die durch den Einsatz von Microsoft-Produkten überhaupt erst entstanden sind.
Ja nee nee, Moment. Ihr zahlt für die Experten. Das ist kein Kundendienst.
Ich finde ja immer geil, wie Microsoft einfach behaupten kann, sie hätten Experten, und die Leute glauben das dann auch noch. Wenn Microsoft Experten hätte, wieso müssen sie dann immer noch jeden Monate Dutzende von Patches raushauen? Wieso verkacken sie immer noch so viele von den Patches?
Wieso haben wir inzwischen Patch-Testen beim Kunden mit "Preview"-Patches?
Das wird echt eine interessante Frage für Historiker, wie diese Firma jemals so viel Einfluss gewinnen konnte.
Aber hey. Akkurat eingeschätzt, die Kunden. Wer so blöde ist, Windows, Exchange, Active Directory und Office einzusetzen, und dann so blöde war, sich von Microsoft einen Defender andrehen zu lassen, der Probleme fixt, die man ohne Microsoft nicht hatte, und der dann auch noch so bekloppt ist, in die Microsoft-Cloud zu ziehen ... der dann externe Hilfe bezahlt, um die Ransomware wieder loszuwerden ... NA KLAR ist der dann auch so blöde und zahlt auch nochmal für "Experten" von Microsoft.
Idioten von ihrem Geld trennen ist das zweitälteste Geschäftsmodell der Welt.
To exploit this vulnerability, an attacker would need to send a specially crafted RPC call to an RPC host. This could result in remote code execution on the server side with the same permissions as the RPC service.Auch bemerkenswert aber wahrscheinlich mit weit weniger Impact: Remote Code Execution in Microsofts NFS-Server.An attacker could send a specially crafted NFS protocol network message to a vulnerable Windows machine, which could enable remote code execution.Eine Weile sah es so aus, als wenn diese Klasse von Bugs ausgestorben sei. Und jetzt gleich zwei auf einmal!
Aber stellt sich raus: Da ist noch Luft nach unten. Man kann Single Sign On an die Cloud outsourcen. Dann kann die Firma in der Cloud für jeden deiner Dienste und jeden deiner User inklusive Admins gültige Login-Credentials ausstellen.
What could possibly go wrong?
Es gibt eigentlich nur zwei Möglichkeiten, dachte ich mir, als ich das hörte. Entweder das wird von einem Geheimdienst betrieben, oder alle Geheimdienste haben sich da reingehackt. Das ist ja als wenn du mit einem Bullseye auf dem Rücken rumrennst. So einem krassen Potential zur Berechtigungserlangung kann kein Geheimdienst widerstehen.
Ich sehe sowas bei Kunden eher selten, aber ich habe es schon gesehen. Cyberark z.B. ist mir schon begegnet. Ein israelischer Anbieter. Ich maß dem nie groß Bedeutung zu, bis ich mal an deren Hq in Israel vorbeikam. Hier ist ein Foto von dem Gebäude. Wisst ihr, wer da noch sitzt? Cellebrite. Ja, die mit den Smartphone-Exploits. Da verstand ich, dass wir es hier mit Full Spectrum Identity Services zu tun haben.
Ich erwähne das nicht, um mich über die Leute lustig zu machen, die ihre Login-Software an irgendeinen Cloud-Anbieter outsourcen. Nein. Die haben genug zu leiden.
Ich erwähne das, weil Lapsus (russische Ransomware-Gang) offenbar seit Monaten bei Okta drinnen sitzt. Okta bietet Single-Sign-On-Cloud-Outsourcing an.
Auf er einen Seite ist das natürlich apokalyptisch. Auf der anderen Seite ändert es nichts. Denn die Aufgabe von Login ist, dass sich niemand aus der Cloud einfach bei dir einloggen kann. Wenn du dein Login in die Cloud schiebst, hast du per Definition dein schlimmstes Bedrohungsszenario immanentisiert.
Und jetzt haben wir den Salat. Beziehungsweise den Emmerich-Film. Und ich bin der Jeff Goldblum-Charakter, der die ganze Zeit gewarnt hat.
Mein persönliches Karriere-Highlight in dem Kontext war ja, als ein Kunde von mir wollte, dass ich so einem Provider einen Voice-Print gebe. Ich sollte da anrufen und lauter Phoneme auf Band sprechen. Und dann, so die Erklärung, wenn ich mal mein Passwort resetten muss, dann kann der Computer erkennen, dass ich es bin. Ich habe dankend abgelehnt. Das ist ja eine Sache, ob der Kunde mein Passwort einem ausländischen Geheimdienst in der Cloud gibt, aber meine biometrischen Daten behalte ich lieber für mich, vielen Dank. Der Kunde konnte das gar nicht verstehen. Wir anderen Mitarbeiter bei dem Kunden machen das auch alle und noch nie gab es Ärger!
Vielleicht aus aktuellem Anlass bei der Gelegenheit an meine anderen Kunden: Keine Sorge. Selbstverständlich kriegt jeder Kunde sein eigenes zufällig generiertes Passwort mit ausreichend Entropie. Wenn ein Kunde mein Passwort in die Cloud schiebt, kriegt die Cloud keinen Zugriff auf meine Accounts bei anderen Kunden.
Irgendjemand muss ja hier ein paar Standards haben. :-)
Update: BTW: Glaubt mal gar nicht, ihr condescending Unix neckbeards, dass ihr nicht betroffen seid von dieser Art Irrsinn. Ein Kumpel schildert mir gerade, wie ihn der neue Ubuntu-Installer nach seinem Github-Usernamen fragte, damit er da SSH-Keys runterladen kann. Und über diesen Clownflare-Klassiker von 2019 lachen wir heute noch.
Update: Bei Microsoft scheint Lapsus auch eingedrungen zu sein.
Update: Möglicherweise via Okta? Der Okta-Krater sieht jedenfalls vergleichsweise groß aus.
Update: Hat hier jemand seinen Quellcode bei Gitlab liegen?
Auch bei den Briten läuft's nicht so.
Dorries arrived at a meeting with software giant Microsoft and immediately asked when they were going to get rid of algorithms, according to an official given an account of the meeting. She also raised the same issue in a separate stakeholder meeting, a lobbyist familiar with the exchange said.[...]
“When you see her before the select committee [of MPs], she's rarely able to answer a question on her own, she has to turn to the civil servants or the minister or whoever she's with. She's just not briefed, doesn't bother to brief herself, and doesn't seem to have much background knowledge on any of the subjects in her portfolio,” he said.
But the second official close to Dorries insists she is simply allowing the "female experts in the room to speak out," including the top official working on the legislation, Sarah Connolly, the director of security and online harms.
Da seht ihr mal. Das ist das Patriarchat, das die Ministerin unterdrückt. (Danke, Axel)
Es gab da mal ein grandioses Video, das Sun gemacht hat, als sie ihr Java-Verfahren gegen Microsoft gewonnen hatten. Damals musste Microsoft auch ein paar Fantastilliarden Strafe an Sun zahlen.
Das Video hatte dann die Form: Hmm, wir könnten 100.000 Porsches kaufen. (zeigt einen Stapel Porsche 911). Oder vielleicht 10.000 Einfamilienhäuser. (zeigt einen Stapel Häuser). Oder zwei Space Shuttles. (zeigt zwei Space Shuttles).
Oder einen IBM Support Contract (zeigt einen Staubsauger, der Geld aufsaugt) :-)
Vor der Wahl steht jetzt auch die Bundeswehr.
Ich möchte an der Stelle noch einmal lobend hervorheben, wie effizient McKinsey die Bundeswehr abgerüstet hat. Die Bundeswehr hat ja kein Null-Budget im Moment. Da sind auch 50 Milliarden oder so versickert über die letzten Jahre.
Die moderne Alternative zum IBM Support Contract ist also der McKinsey-Beratervertrag.
Oder man könnte zwei Space Shuttles kaufen, klar. Nee, warte. Nicht Space Shuttles. F-35 Tarnkappenjets.
Gut, die starten nicht, wenn nicht dein freundlicher Kontaktoffizier aus Amerika den Schlüssel umdreht, und Ersatzteile und Wartung kriegt man auch nur von den USA, aber die Amerikaner sind ja auch unser Freund!1!!
Womit bestücken wir das dann, fragt ihr? Na mit amerikanischen Atombomben natürlich!
Wieso sollen wir dann dafür bezahlen, wenn das amerikanische Hardware mit amerikanischen Bomben ist?
Beats me!
Die Antwort könnte die Bevölkerung verunsichern.
Mindestens zwei Stunden muss eine Windows-Maschine durchgängig online sein, um neue Updates herunterzuladen. Bis zur vollständigen Installation benötigen die Maschinen dann sogar sechs Stunden ununterbrochene Online-Zeit. So lautet das Ergebnis einer Microsoft-Untersuchung, warum mancher Windows-Rechner verlässlich automatisch die monatlichen Sicherheits- respektive die halbjährlichen Feature-Updates erhält, während andere jedoch einen manuellen Stupser zum Installieren brauchen und ohne Nachpflege gefährlich veralten.Die Leute sind einfach nicht lang genug online, um der verkackten, lahmarschigen, überlasteten Azure-Infrastruktur erfolgreich Updates zu entlocken. Ein paar Dutzend Versuche braucht der Autoupdater dafür halt!1!! Oder wie soll man das verstehen?
Au Mann Ey.
Hey, Leute, wenn ihr nicht in der Lage seid, eure Updates zeitnah downloadbar zu machen, dann redet doch mal mit einer Firma, die sich mit sowas auskennt. Akamai oder Google oder so. Cloudflare! *schenkelklopf*
Es gibt ein paar hervorhebenswerte Aspekte daran.
Nun, stellt sich raus: Cloudflare cached bis 15GB. Kann man einstellen, muss man aber nicht. Hat er nicht. Seine Hash-Datenbank zum Download hat kürzlich die 15GB-Grenze gerissen.
Also hat Cloudflare die nicht mehr gecached. Also schlugen die Kosten auf Azure durch und er bekam eine Rechnung über 5000 AU$ von denen. Als er das diagnostiziert und gefixt hatte, kam die zweite Hälfte der Rechnung, nochmal 6000 AU$.
Bonus: Er findet Cloud immer noch voll geil und will auch nicht von Azure weggehen.
Daraufhin hat der Kunde bei Microsoft herumgemeckert. Microsoft hat ihnen dann erklärt, dass das so nicht funktionieren kann. Und außerdem macht man das so nicht, das sieht ja aus wie etwas, das ein Virus machen würde.
Daraufhin der Kunde so:
The customer liaison explained that it’s quite the opposite: The customer is a major anti-virus software vendor! The customer has important functionality in their product that that they have built based on this technique of remote code injection, and they cannot afford to give it up at this point.Ja. Überrascht mich ehrlich gesagt überhaupt nicht. Ich kann da wegen NDA immer keine Details ausplaudern, aber wenn ich gegen die Schlangenölbranche wettere, dann ist das nicht bloß ein Bauchgefühl, soviel kann ich euch versichern.Das ist wie bei Pispers' Antiamerikanismus :-)
Jetzt kommen auch noch Bugs dazu:
Microsoft warned customers today to patch two Active Directory domain service privilege escalation security flaws that, when combined, allow attackers to easily takeover Windows domains.Ach. Ach was. Na sowas.Das liest sich ja fast, als seien Windows + Office + Active Directory grundsätzlich ein hohes Risiko!!1!
Aber keine Sorge, ihr müsst einfach diese Patches hier bei Vollmond über eure Server sprenkeln, und ab dann werdet ihr wieder über triviale Fehlkonfigurationen hopsgenommen statt über Bugs.
Die Amis haben ja neulich Positive Technologies als staatliche Cyberterroristenbude bebrandmarkt und auf die Boykottliste gesetzt. Positive Technologies hat sich gedacht: Ach, na dann gucken wir doch mal, wie wir mit minimalem Aufwand eine Remote Code Execution in Windows finden können.
Der Aufwand war tatsächlich eher überschaubar. Er nutzt Microsoft-spezifische URL-Schema-Handler aus. Ihr erinnert euch, das war das, womit Microsoft neulich Firefox unfair rauskanten wollte.
Es gibt da einen, über den Edge Office-Programme starten kann.
Our research journey was straightforward: We decided to find a code execution vulnerability in a default Windows 10 URI handler, and succeeded within two weeks. Considering the amount of URI handlers Windows ships with, it seems very likely that others are vulnerable tooDer Einschätzung würde ich mich anschließen.Update: Äh, da hab ich zu schnell geschossen. Positive Security (Berlin) != Positive Technologies (Moskau). Positives ist so selten in der Branche, da kann man das schonmal verwechseln *kalauer*
Hey, die haben doch jetzt sicher ihre Lektion gelernt, oder? Die machen doch bestimmt ab jetzt alles richtig? Weg mit Exchange, Windows, Office und Active Directory? Gucken wir doch mal!
03.12.2021Ja? Jaa? Jaaaaa?? Exzellenter Anfang!
Im Rahmen des Neuaufbaus der KISTERS Infrastruktur haben wir unsere E-Mail-Server (MS-Exchange)
in die Microsoft Azure Cloud ausgelagert.NEEEIIIINNNNNN!!!
Ausschlaggebend dafür war einerseits unser Ziel, schnellstmöglich wieder per E-Mail erreichbar zu sein, und andererseits eine technische Entkopplung der E-Mail-Server von unserer internen Infrastruktur. Damit berücksichtigen wir gleichzeitig auch die aktuell von BSI und BKA festgestellte besondere Bedrohungslage.Boah was für ein Bullshit-Bingo. Unfassbar.
Denkt euch hier mal bitte ein Obi-Wan-Mem hin. Nein, nicht von mir ausgesucht. Vom BSI und ihren Kunden.
Mir gehen ja langsam die Gründe aus, die Verschwörungstheorie nicht zu glauben, dass Microsoft absichtlich die selber gehosteten Produkte sicherheitstechnisch vor die Wand fährt, damit alle in ihre Cloud migrieren. (Danke, Matthias)
Kein Microsoft-Produkt ist fertig, bevor es für Malware-Verbreitung benutzt werden kann.
Microsoft stimmt mir jetzt endlich zumindest partiell zu: Die Business-Version von Defender erkennt jetzt jedes Office-Öffnen als Emotet-Angriff.
Was war passiert? Emotet hat wohl eine Rückkehr angekündigt, und bei Microsoft lagen die Nerven blank. (Danke, Markus)
Advantageous, but not required are:- an understanding of Cryptography;
- an ability to write secure code;
Leuchtet ja auch ein. Seit wann braucht man für Arbeit an TLS ein Verständnis von Kryptographie? Oder muss wissen, wie man sicheren Code schreibt?!Nee, solche Leute sollen sich mal lieber bei SAP oder Microsoft bewerben!1!! (Danke, Ben)
Was soll die tun? Erkennen, wenn der PC angegriffen wird, und dann die Heuristiken hochtunen. Klar haste dann auch lauter False Positives, die den Admin ablenken, aber irgendwas ist ja immer.
Und wisst ihr was? Die Unternehmen werden ihnen das mit abkaufen. Na klar! Lieber noch eine Decke aus magischen Schlangenöl-Globuli drüberpacken als dass irgendwer mal drüber nachdenkt, sein Verhalten zu ändern. Nein, nein, wir fahren weiter Windows mit Office und Active Directory. Wie alle anderen. Und wenn wir dann hopsgenommen werden, dann zeigen wir auf Defender und sagen: Schaut her, wir haben doch alles getan!!1!
Und unser Staat befördert das auch noch, indem das BSI und Bafin den Einsatz von Schlangenöl explizit empfehlen oder gar vorschreiben. Klar hilft das nichts. Aber wir können nachher sagen, wir hätten was getan.
Windows 11 lets you choose your default browser, but it takes a lot of clicks and Microsoft sometimes forces you to use Edge, anyway. Firefox had a workaround, but Microsoft calls it “improper” and will soon block it.Das ist ja eine Sache, argumentieren sie, wenn wir euch den Browser ändern lassen, weil uns das Kartellamt dazu gezwungen hat. Das heißt aber nicht, dass wir nicht Suchanfragen in der Taskleiste immer über Edge und Bing machen!1!!Denn warum nur nervig, wenn auch noch nutzlos geht!
Das ist Teil des Grundrauschens im Internet. Wer einen Unix-Host am Internet betreibt, hat auch ständig Versuche in den System-Logs, wo Bots irgendwelche Accounts per SSH durchprobieren. Das ist schon echt lange so.
Warum erwähne ich das? Weil ich heute mal Kunst würdigen will. Die Kunst Microsofts, aus diesem uralten, langweiligen Kontext diese unfassbare Terrorpanikmeldung zu klöppeln. Lest das mal genau durch.
Mehr als "wir glauben, dass bei unseren Cloud-Kunden Passwörter durchprobiert werden" haben die da nicht.
Nicht nur holen sie daraufhin DIE RUSSEN aus ihrem Sack, sondern auch STATE ACTOR und SUPPLY CHAIN ATTACK und vergeben sogar noch einen bekloppten Codenamen, "Nobellium". m(
Wegen der ganzen "Angriffe" überall!1!!
Ja aber echt mal. Wenn wir doch nur eine staatliche Institution hätten, die dafür zuständig wäre, Behörden abzusichern!1!!
Warte mal, hatten wir da nicht eine? Die mit diesem Typen an der Spitze, ihr wisst schon! Wie hieß der noch? Der Cyberclown!
Die Gefährdungslage im Cyberraum sei in der Berichtsperiode "angespannt bis kritisch" gewesen, heißt es in dem Dokument.Aha. Soso. Die Gefährdungslage also.
Damit meinen sie bestimmt die Tatsache, dass alle Windows, Outlook und Active Directory einsetzen, oder? Nicht?
Solche Schwachstellen bezeichnet Schönbohm als "Ausdruck einer mangelhaften Produktqualität".Ach genau! Schönbohm hieß der!!
Man würde denken, wenn immer wieder Windows, Outlook und Active Directory durch "mangelhafte Produktqualität" auffielen, dass diese staatliche Institution dann mal empfiehlt, die nicht mehr einzusetzen?
Die Hersteller sollten daher in ihrem eigenen Interesse daran mitarbeiten, diese Mängel schnellstmöglich und konsequent zu beheben.Oh. Ah. Verstehe. Die sollen ruhig weiter alle Windows, Outlook und Active Directory einsetzen. Wenn was passiert, kann man seine Nerven an der Gewissheit beruhigen, dass der Hersteller mehr hätte tun sollen.
Überzeugt euch diese Strategie auch auf Anhieb? Ich fühl mich schon viel besser.
Wir haben alles getan. Also eigentlich konnten wir ja gar nichts machen. Wir haben also nichts getan. Danach haben wir gesagt, Microsoft sei Schuld.
Erinnert mich an den Bundestagshack damals. Wo mir ein Insider erzählte, man habe die Presse schreiben lassen, dass das APT war, weil damit alle gut leben konnten. Gegen APT kann man ja eh nichts machen. In Wahrheit war das eher Straßen-Trojaner-Gepfusche auf dem Niveau von Back Orifice. Aber wie so häufig würden die Details die Bevölkerung bloß beunruhigen.
Warum reg ich mich eigentlich auf? Wieso geb ich nicht mein Gewissen an der Garderobe ab und verkaufe auch "Threat Intelligence"? Genau was die Leute brauchen, die da draußen Windows, Outlook und Active Directory einsetzen. Threat Intelligence! Oh, und ein SIEM!!
Aber mir glaubte ja nie jemand, wenn ich sagte, Code Signing sei Schlangenöl.
Diese Acer-Geräte haben ein Touchpad, das standardmäßig im "Advanced Mode" läuft, das ist dann ein Protokoll, das HID (von USB) über I2C spricht. Hat sich Microsoft irgendwann aus dem Arsch gezogen. Dieser HID-über-I2C-Scheiß hat zwar einen Treiber unter Linux, aber irgendwas muss ich da falsch gemacht haben, jedenfalls erkannte der das Gerät nicht.
Früher konnte man im BIOS einfach das Touchpad von Advanced auf Basic schalten, was das auf ein PS2-Gerät mit Synaptics-Protokoll umstellte, was unter Windows und Linux auf Anhieb funktioniert.
In den aktuellen BIOSsen gibt es diesen Schalter nicht mehr. Das Handbuch erwähnt auch keinen Weg, wie man das umschalten kann.
Und dann ... fand ich einen Cheat Code fürs BIOS. Den raunt man sich in Acer-Foren zu.
Du musst im BIOS ins Main Tab gehen und Ctrl-S drücken. Dann erscheint ein Knopf für das Touchpad und ein Knopf für das AHCI-Umschalten.
Alter Schwede, dass wir mal 1990er-Gaming-Style Cheat Codes im BIOS haben würden, das hätte ich bis gestern nicht geglaubt.
Update: Leserbrief dazu:
bzgl. Cheatcodes fürs BIOS, das hat MSI mittlerweile auch "verbrochen". Da ist es sogar noch etwas abenteuerlicher, muß man doch die rechte SHIFT- und CTRL-, sowie die linke ALT-Taste gedrückt halten und dann noch zusätzlich F2 drücken und schon kommt man in das "advanced" BIOS rein. Da sind dann allerdings auch Sachen drin, mit denen man sich sein Notebook definitiv bricken kann. Ich hatte da mal versehentlich das interne Display abgeschaltet (klares Eigenverschulden, weil nicht richtig aufgepaßt). Das BIOS danach zurückzusetzen ist nicht so einfach bei fest verbauten Akkus und keinem BIOS-Reset Knopf.
Update: Noch ein Leserbrief:
Diese "Cheat Codes fürs BIOS" sind garnicht so jung, wie es sich in deinem Beitrag anhört. HP hat in Ihre BIOS und frühen EFI Implementationen (die Jahrgänge die noch wie das vorherige BIOS ausgesehen haben) ebenfalls solche Codes verstecken lassen. Wenn man CTRL-A auf dem Main Tab drückte, konnte man zusätzliche Eingabefelder im "System-IDs" Fenster anzeigen damit der Reparatur-Service nach einem SysBoard-Replacement die Seriennummer und Service Tags und so Scheiße wieder einstellen konnte.
The chief executive officer listed on Tether’s website, J.L. Van der Velde, is a Dutchman who lives in Hong Kong and seems never to have given an interview or spoken at a conference. The chief financial officer is Giancarlo Devasini, a former plastic surgeon from Italy who was once described on Tether’s website as the founder of a successful electronics business. The only reference to him that turned up in a search of Italian newspapers showed he was once fined for selling counterfeit Microsoft software. He didn’t respond to emails or messages on Telegram, where he goes by Merlinthewizard.Oh, Merlinthewizard der Schönheitschirurg aus Italien! Klar, das wäre auch meine erste Wahl für einen Chief Technical Officer gewesen!Hier noch ein schöner Absatz:
The biggest traders on these exchanges told me they routinely bought and sold hundreds of millions of Tethers and viewed it as an industry standard. Even so, many had their own conspiracy theories about the currency. It’s controlled by the Chinese mafia; the CIA uses it to move money; the government has allowed it to get huge so it can track the criminals who use it. It wasn’t that they trusted Tether, I realized. It was that they needed Tether to trade and were making too much money using it to dig too deeply. “It could be way shakier, and I wouldn’t care,” said Dan Matuszewski, co-founder of CMS Holdings LLC, a cryptocurrency investment firm.Klar, wenn du Tether für deinen eigenen Scam brauchst, dann stellst du da nicht so viele Fragen. Und wenn dein eigener Scam noch offensichtlicher unseriös ist als Tether, dann spielt deren Unseriosität ja auch keine so große Rolle mehr.Der ganze Artikel ist vergnügungssteuerpflichtig. Mit Sätzen wie
“I’m not an amateur entrepreneur throwing darts in the dark,” he told me by phone as he prepared for a trip to promote Bitcoin in El Salvador.und“The U.S. will come after Tether in due time,” Liberty Reserve founder Arthur Budovsky wrote me in an email from a Florida federal prison where he’s serving a 20-year sentence. “Almost feel sorry for them.”Au Mann.Ich persönlich finde den größten Lacher an der Nummer, dass die US-Behörden sich gerade gar nicht für Tether interessieren, weil sie annehmen, dass die die 70 Milliarden einfach erstunken und erlogen haben. Auf die Idee kommen die gar nicht, dass jemand sowas tun würde. Die Regulierer sind interessiert, weil die Größe der angeblichen Holdings Tether langsam in die "too big to fail"-Kategorie schöbe, wenn sie real wären. Die Behörden machen sich Sorgen, wenn es einen Bank Run gibt und Tether auszahlen muss, dass sie dann Wertpapier liquidieren müssten und damit den Markt crashen würden.
Nun, DIE Furcht ist glaube ich klar unbegründet.
Eigentlich wollte ich nur eine eMail an ein Mitglied der SPD-Franktion im Berliner Abgeordnetenhaus senden. Sollte im Jahre 2021 eigentlich kein Problem sein. Einen OpenPGP-Hinweis habe ich keinen gefunden, aber das hatte ich auch nicht unbedingt erwartet.Ich finde ja, politischen Parteien sollten automatisch ihren Parteienstatus verlieren, wenn sie keine Mails von ihren Bürgern annehmen, indem sie DSL-IPs sperren.Doch kurz nach Versand heute morgen kam gleich ein Bounce zurueck. Der Posteo Mailserver erzaehlt mir:
TLS is required, but was not offered by host spdpostman.spd.parlament-berlin.de[212.121.136.130]Na gut, dachte ich. Vielleicht schrauben sie gerade rum und ich probiere es einfach heute abend noch einmal. Sicherheitshalber habe ich noch am morgen im Parlament (Abteilung 'Internet') angerufen. Half aber nix. Am abend immer noch keine TLS.
Hmm.. also mal mit "openssl s_client -starttls .." geschaut: .. Connection refused ..
Hmm.. DSL-Kunden IPs geblockt?
Dann eben so:
https://ssl-tools.net/mailservers/spdpostman.spd.parlament-berlin.de
Autsch, wirklich kein STARTTLS!
Ein anderes Tool hat sogar noch was von Microsoft auf der Serverseite gefaselt.
The suspected Russian hackers who used SolarWinds and Microsoft software to burrow into U.S. federal agencies emerged with information about counter-intelligence investigations, policy on sanctioning Russian individuals and the country’s response to COVID-19, people involved in the investigation told Reuters.wat?
Die haben eines Tages von allen Projekten eingefordert, dass die auf ihren Github-Repositories der Foundation Admin-Zugang geben, explizit damit die Code of Conduct-Enforcement machen kann. Wenn man ihnen Adminzugang gegeben hat, haben sie damit das Projekt vom public github in ihren Enterprise Github umgezogen.
From what I have seen, the .NET Foundation has not fostered anything for any of its members, and constantly undermines them.Das ist ja leider das übliche Muster unter den Diversity- und Code-of-Conduct-Freiheitskämpfern. Die kommen vorbeigeflogen wie ein Heuschreckenschwarm, ekeln die Leute raus, die das jeweilige Projekt ehrenamtlich ins Leben gerufen und groß gemacht haben, hinterlassen einen Krater aus negativen Gefühlen und ziehen dann weiter zum nächsten Opfer. Dass von denen mal jemand produktiv Code eincheckt, der über "hier war ein Kommentar nicht richtig gegendert" oder "Das heißt jetzt nicht mehr black list sondern list of colour!1!!" hinausgeht, habe ich zumindest noch nie beobachtet.Nun war .NET ja noch nie ein Community-Projekt, das war eher Astroturfing von Microsoft, um es so aussehen zu lassen, als hätten sie auch sowas wie eine Community. Ich habe noch nie verstanden, wie sich da jemand einbringen kann. Aber was weiß ich schon. Wenn es euch glücklich macht, einem Milliarden-Techkonzern zu helfen, für ihre PR eine Community herbeizulügen, dann viel Spaß!
Apple Made More Profit From Games In 2019 Than Nintendo, Sony And Microsoft CombinedUnd sie haben keines davon selbst hergestellt. Sie schächten bloß anderer Leuten Einnahmen weg.
Nun, auf eine Weise stimmt das: Die Großkundenkommunikation hat er komplett unter Kontrolle. Die eine Hälfte läuft über seine Cloud, die andere Hälfte kann er jetzt mit Latenz von einer Stunde runterfahren.
Sieht aus als ob Microsoft da den Linux-VMs ungefragt einen "Agenten" untergejubelt hat, der dann in der VM Dinge tut. Dieser Agent ist von außen erreichbar.
Wenn du den Authentication-Header weglässt, bist du root.
Nein, wirklich. Lest das nochmal.
Wartet, wird noch krasser. Gemeldet wurde das Problem am ersten Juni. JETZT unterrichtet Microsoft ihre Kunden. Am 12. August gab es einen Drive-By-Commit namens "Enhanced Security" im Repo.
Wow! Such professional! Many cloud expert! Da willste doch deine kritischen Unternehmensdienste hosten, bei solchen Leuten!!1!
Ist ja komisch! Wie konnte das kommen?! Wie, ist das etwa gar nicht sicher, wenn ich unsere Daten in die Cloud hochlade?
Eine Cloud, die von jemandem betrieben wird, der im Massengeschäft ist? Der sich einen Scheißdreck um das Gelingen meines Unternehmens schert? Dem in der Risikoberechnung das Wegkommen meiner Daten ungefähr so viel Schaden verursacht, wie ich ihnen monatlich an Profit einspiele?!
Hätte uns doch nur jemand gewarnt, dass Daten weg sind, wenn ich sie weggebe!!1!
Hey, Atze, wieso hat mich denn keiner gewarnt!?!?
Ich habe das ja noch nie verstanden, wieso Leute auf solche offensichtlichen Abzockmodelle reinfallen.
Das Tech-Modell dieser ganzen Tech-Firmen war doch schon immer, dass sie dich locken, dann einsperren, und dann übervorteilen, wenn du dich nicht mehr wehren kannst.
Aber aber aber da haben doch die ganzen superschlauen Google-Ingenieure dran gearbeitet!!1!
Stellt sich raus: Komplexität verursacht Bugs. Völlig überraschend, seit es in den 1970er Jahren herausgefunden wurde.
"Dieser Angriff hat auf alle Bereiche des Leistungsspektrums des Landkreises unmittelbare Auswirkungen und betrifft somit auch die Anliegen der Bürgerinnen und Bürger, die zurzeit nicht bearbeitet werden können", teilte der Kreis am Freitagnachmittag mit.Angriff, ja? Katastrophe, wie? Ist der Russe mit dem Cyberpanzer gekommen oder was? Nein! Wir reden hier mal wieder von einem stinknormalen Fall von "wir haben jahrelang inkompetent alles schleifen lassen und jetzt regnet es rein"-Ransomware.
Ich muss gar nicht raten, was der Landkreis einsetzt. Windows und Outlook und Active Directory. Wie immer wenn Organisationen von Ransomware betroffen sind.
Ich bin mal gespannt, wie viel das kosten muss, bis jemand was lernt.
Oh ach, und ein ordentliches Backup hattet ihr auch nicht? Na sowas! Hätte euch doch nur vorher jemand gesagt, dass man Backups braucht!!1!
Der Landkreis hat den Angaben zufolge Strafanzeige gestellt und arbeitet eng mit den Strafverfolgungsbehörden zusammen.Ja aber klar! Der übliche PR-Move. Damit es so aussieht, als seien da irgendwelche Leute Schuld UND NICHT WIR HIER, die wir jahrzehntelang brutalstmöglich unsere Infrastruktur auf Verschleiß gefahren haben. Nein, nein! Nicht WIR sind Schuld! Der Russe war's!
Aktuell werde eine Microsoft-Sicherheitslücke bei den Druckern vermutet.No shit! Ein Windows-Problem? Wie ... unerwartet! Hätte uns doch nur jemand rechtzeitig gewarnt!
Microsoft hat bei Windows 11 große Fortschritte gemacht!
Der Blue Screen of Death ist endlich überwunden! Nach all den Jahren!
Microsoft’s Blue Screen of Death is changing to black in Windows 11Irgendwo muss man ja anfangen *hust*
Wie üblich machte man eine Ausschreibung und gab dann dem billigsten Anbieter den Zuschlag.
Das war in diesem Fall Alibaba, ein chinesischer Anbieter. Aus Gerechtigkeitsgründen haben auch IBM, Oracle, Amazon und Microsoft Aufträge gekriegt.
Ein europäischer oder gar schweizerischer Anbieter wurde nicht berücksichtigt.Ja klar, warum auch.
Immerhin erwähnt der Artikel auch den Cloud Act. Auch wenn man dafür am China-Bashing vorbeiscrollen muss. (Danke, Peter)
New hotness: Windows 11! Endlich! Mit eingebautem Teams!
Mann wie hab ich das vermisst, dass mir Microsoft Software zwangsinstalliert, nach der niemand gefragt hat! Lange mussten wir darben, bevor sie uns mal wieder einen schlechten Browser aufgezwungen haben, den keiner haben wollte. Und jetzt Teams!
Mal gucken, wie lange die EU-Wettbewerbshüter diesmal brauchen, bevor sie völlig unzureichende Maßnahmen verhängen, wenn alles längst zu spät ist.
Heute gibt es mal wieder ein schönes Beispiel: Microsoft hat ein paar Rootkits signiert.
Wieso würde man auch annehmen, dass das nicht passieren kann? Was ist hier die Erwartungshaltung? Dass Microsoft alle Treiber disassembliert und reverse engineered und dann nach alle Schwachstellen findet? Das schaffen die ja nicht mal mit ihren eigenen Komponenten, und da haben sie den Quellcode!
–CVE-2021-33742, a remote code execution bug in a Windows HTML component.Und was tut es noch? Es gibt dir im Taskbar eine Wetteranzeige mit einer Windows HTML component.Genau mein Humor!
Sonst noch bemerkenswert:
–CVE-2021-31201, an elevation of privilege flaw in the Microsoft Enhanced Cryptographic Provider
–CVE-2021-31199, an elevation of privilege flaw in the Microsoft Enhanced Cryptographic ProviderDas ist aus einer bereits in der Wildbahn angewendeten Exploit Chain. Klickst du auf die Links, kriegst du … keinerlei weiterhelfende Informationen. MSRC veröffentlicht nicht mal mehr wie früher sinnfreie Textbausteine. Da sieht man ein CVSS-Score und einen Disclaimer. Das war alles. Den Link hätten sie sich auch sparen können.Elevation of Privilege in einer Crypto-Komponente ist in meinen Augen der Totalschaden. Das ist die Art von Problem, bei der du das Rechenzentrum kontrolliert sprengst und ein neues aufbaust. Das ist die eine Komponente, bei der man annehmen würde, dass die mit Sorgfalt entwickelt, ordentlich getestet, zu Tode auditiert und zuverlässig ist. Die hat EINE Aufgabe: Elevation of Privilege verhindern. Das ist die Aufgabe davon.
Ich finde es erschütternd, dass das jetzt so als Fußnote einer Randnotiz vorbeisegelt.
Update: Achtet mal darauf, was das CVSS ist für eine elevation of privilege in der zentralen krypto-komponente. CVSS geht von 1 bis 10. Diese Lücken haben ein Score von ... 5. Da sieht man mal schön anschaulich, was für ein Bullshit dieses Scoring ist. Eine 10 hätte die Lücke nur gekriegt, wenn sie direkt Code Execution erlaubt hätte. Wenn sie Code Execution in der anderen Komponente erlaubt, die sich auf diese Krypto-Komponente verlassen hat, dann ist es bloß eine 5. Ja nee, klar.
Ja nee, klar. Hat sicher gar nichts damit zu tun, dass sie jetzt auf einem so großen Haufen Bitcoins sitzen, dass sie sie nicht verkauft kriegen, weil der Markt nicht genug Liquidität hat, und sofort der Preis wegbrechen würde und der Rest der HODLings entwerten würde, wenn sie da welche abstoßen!1!!
In other Blockchain News: Microsoft stellt ihren Azure-Blockchain-Service ein. Ob ihnen aufgefallen ist, dass ihre Scammer-Bekämpfungen links nicht überzeugend aussehen, wenn sie rechts selbst Blockchain an den Mann zu bringen versuchen?
Von Amazon?
Nee, von von Microsoft!
So hat sich Oracle das aber nicht vorgestellt, damals als sie Java gekauft haben. Die dachten, sie haben jetzt den Goldesel gekauft. Alle Welt in der Industrie macht ihre lahmarschige Gammelbloatware mit Java. Was da für Support-Kohle zu machen ist! Und Infrastruktur könnte man anbieten!
Und dann kam raus, dass die Leute gar keinen Support im herkömmlichen Sinne brauchen. Die brauchen bloß regelmäßige Security-Patches. Da kannste ja schlecht Geld für nehmen, wenn es das bei Sun alles kostenlos gab.
Bleibt die Infrastruktur. Stellt sich raus: Den Leuten reicht die Kombination von Lutefisk und Amorphophallus titanum, die der Webserver des Apache-Projektes sekretiert.
Hmm, dachte sich Oracle, dann schrauben wir mal an der Lizenzschraube.
Da haben sich die Leute umgeschaut, und gesehen, dass ein paar Lizenzfanatiker frühzeitig die Open-Source-Version von Sun geforkt hatten, die sie Oracle als Giftpille in den Kaffee getan hatten. Und Oracle, die geldgeilen Kapitalisten, die sie sind, hat natürlich gar nichts in die Java-Entwicklung investiert, sodass ihr Scheiß Schimmel ansetzte und OpenJDK vorbeizog und Fakten schaffte.
Oracle kam dann eines Tages auf die brillante Idee, man könnte doch einfach die Arbeit der GPL-Kommunisten nehmen und dafür "Support" anbieten (LOL!) und dann scheißt der Goldesel doch noch Dukaten. So wurde OpenJDK dann sogar offiziell zur wahren, offiziellen Java-Version.
Aber der Goldesel hatte Verstopfung. Also hat Oracle sich gedacht, wenn sie da Lizenzgeraune machen und Support nur noch kurzzeitig zur Verfügung stellen, wer länger will muss zahlen, dann löst sich die Verstopfung beim Goldesel.
Stattdessen bieten jetzt die ganzen Cloud-Provider Java-Umgebungen mit "Support" (HAHAHA) an. Und Oracle guckt schon wieder in die Röhre.
Aber hey, nicht so schlimm. Solange ihre CIA-Datenbank noch Dukaten scheißt, ist das nicht so schlimm.
Wie, wusstet ihr nicht? Dass der Name Oracle von dem CIA-Projekt kam, für das der Scheiß entwickelt wurde? Hier ist der FOIA-Kram dazu (Achtung: Link geht zur CIA). Steht sogar bei Wikipedia. Dreimal dürft ihr raten, wofür die CIA eine große Datenbank brauchte.
Oracle hat ja Sun gekauft, und damit die Rechte an Java.
Google hat Android gekauft, das war ein kleines Startup, und die haben voll auf Java gesetzt, aber um Oracles Trademarks nicht zu verletzen und keine Lizenzgebühren zahlen zu müssen, haben sie nicht das Sun/Oracle-Java genommen sondern einmal die APIs nachprogrammiert.
Oracle hat dann vor Gericht gemeint, sie besäßen aber "geistiges Eigentum"-Rechte an den APIs und dafür müsse Google Lizenzgebühren zahlen.
Der Supreme Court hat jetzt Google recht gegeben.
Alles andere wäre auch echt furchtbar geworden. Dann könnte auch SCO Linux verklagen, oder Microsoft könnte WINE plätten. Emulatoren wären tot.
Insofern war das auf jeden Fall die richtige Entscheidung.
Allerdings hat das Gericht da (wie üblich) versucht, einer Grundsatzentscheidung aus dem Wege zu gehen, damit sie nicht nochmal einen Klopper wie Citizen United fabrizieren.
Und so haben sie nicht generell entschieden, dass APIs nicht unter Copyright fallen, was meines Erachtens die richtige Ansage gewesen wäre, sondern sie haben bloß entschieden, dass Google hier Fair Use gemacht hat, d.h. eine Ausnahme vom Copyright greift. Damit ist natürlich zukünftigen Verfahren Tür und Tor geöffnet, ab wann ein API-Nachbau nicht mehr unter Fair Use fällt. (Danke, Andreas)
Aber wartet mal. Kein Projekt ist so verkackt, dass man es nicht noch tiefer in die Scheiße fahren kann!
Dass der Privatsphärevernichtungs-Techniklieferant Palantir Teil von Gaia-X war, hat die Sache ja schon umgebracht. Hier sind noch ein paar mehr:
Dazu gehören auch diverse Unternehmen aus China und den USA wie Huawei, Alibaba, Haier, Amazon, Google, Microsoft, Palantir und Salesforce.Denn klar, wenn ich an europäische Werte wie Schutz der Privatsphäre und Datensparsamkeit denke, dann fällt mir auch sofort obiges Gruselkabinett aus Nach-Hause-Telemetrierern ein!1!!
Die Idee bei Gaia-X war ja, etwas anderes als Amazon, Microsoft und Google zu haben, wenn man in die Cloud will. Wen nehmen wir rein? Amazon, Microsoft und Google! Salesforce, falls euch das nichts sagt, ist ein Cloud-Service für CRM. Da legen einmal alle nennenswerten Firmen in Deutschland alle ihre Kundendaten ab. Ein US-Unternehmen, versteht sich. Aber ist kein Problem, denn die deutschen Firmen haben ja einen *papierraschel* Auftragsdatenverarbeitungs-Vertrag mit Salesforce geschlossen! Wenn Salesforce also die Daten anderweitig nutzt, dann wäre das … bedauerlich aber dann könnte man da nicht viel machen, fürchte ich. Softwarefehler, wissenschon.
Gaia-X ist also nicht die Wunderwaffe der EU gegen Datenkraken sondern eher sowas wie der Zusammenschluss der schlimmsten Datenkraken. Sowas wie SPECTRE bei James Bond.
Oder wie CDU, BITKOM oder der BDI in Deutschland.
Datenschutzbeauftragter: Behörden sollen unverzüglich auf Microsoft verzichtenDass ich das noch erleben darf!
Begründung:
Zusammen mit dem Landesrechnungshof fordert er "unverzügliches Handeln". Da sich die großen Anbieter bei dem Problem des Abflusses personenbezogener Daten nicht zu bewegen scheinen, "bleibt letztlich nur der Rückgriff auf Open-Source-Produkte, um den Datenschutz und auch die digitale Souveränität der Landesregierung zu wahren".Wie, was? Da fließen personenbezogene Daten ab, wenn man seine Software in die Cloud schiebt?
Meine Fresse, wieso hat uns denn da niemand vor gewarnt?!
Kritischer Ausfall im Cloud-Dienst Azure Active Directory (AAD) von Microsoft: Nutzer konnten sich wegen eines Fehlers bei der Authentifizierung stundenlang nicht mehr anmelden. Das galt auch für Dienste, die auf der Cloud aufsetzen, unter anderem Microsoft Teams, XBox Streams und Dynamics.Das war für mich ja der größte Kulturschock in meiner Arbeit als Consultant in großen Firmen. Von außen nimmt man da immer an, ok, die Software sieht ganz doll scheiße aus, aber bei denen intern gibt es bestimmt den einen Use Case, für den die sich total super eignet, und wo das alles reibungslos flutscht.
Nein, den gibt es nicht. Das ist intern genau so im Arsch wie extern. Umso erheiternder, wenn den Firmen dann der Scheiß, den sie erst mir als ausfallsicher aufzuschwatzen versucht haben, nicht nur ausfällt sondern großflächig das Produktportfolio besagter Firma mit sich in den Orkus zieht.
Könnte ich mich stundenlang in Schadenfreude ergehen, wenn ich sowas lese.
Aber die andere Seite der Medaille ist, dass Microsoft immer noch Monate bis Jahre zum Fixen von Bugs braucht, und wenn dann ein Bug leaked, bevor sie einen Fix haben, dann holen sie die große Bullshit-Rhetorik raus. Die sind auch treibende Kraft hinter diesem "responsible disclosure"-Scheiß, die einfach so tut, als sei das Veröffentlichen des Exploits hier der Teil, bei dem jemand unverantwortlich handelt! Nein, ist es nicht. Der unverantwortliche Teil war, die kaputte Software überhaupt erst an die Kunden auszuliefern. Insbesondere, wenn die dafür auch noch Geld gezahlt haben!
Tja, und als Microsoft dann Github gekauft hat, haben schon die ersten Cassandras gemeint, dass dann wohlmöglich demnächst Schluss ist mit Security-Kram auf Github veröffentlichen. Haben die meisten nicht wahrhaben wollen, aber jetzt ist es nicht mehr zu leugnen. Github hat einen Proof of Concept Exploit für das Exchange-Problem gelöscht, weil es angeblich ihre Acceptable Use Policies verletzt habe.
Ich weiß nicht, ob die Konkurrenz da besser ist. Github ist ja auch schon durch den Rauswurf von Entwicklern aus dem Iran negativ aufgefallen, und ein besoffenes Hackertoolverbot haben wir ja hier auch in Deutschland.
Wenn wir jetzt ernsthaft das Narrativ etablieren, dass Proof of Concept Exploits etwas böses sind, dann ist bald ganz aus mit Security. Dann heißt Security nur noch Blockchain und Schlangenöl. Schon heute wird unter Security viel zu häufig "aber wir haben doch HTTPS" und "aber wir haben doch ACLs" verstanden, oder, was noch weiter das Thema verfehlt: "aber wir haben doch Telemetrie" und so Tausch von IoCs, wie man früher Fußball-Aufkleber fürs Sammelalbum auf dem Schulhof getauscht hat. Keiner wusste, warum man das eigentlich sammeln sollte, und einen Zweck (außer die Kids an Glücksspielsucht heranzubringen) hatte das auch keinen, jedenfalls nicht für den Sammler.
Das geht echt alles zusehends vor die Hunde.
Nun, behaltet das mal kurz im Hinterkopf bei dieser Story hier: At Least 30,000 U.S. Organizations Newly Hacked Via Holes in Microsoft’s Email Software
No shit! Exchange, sagt ihr?
From the samples of the database seen by BleepingComputer, the data exposed can include full names, email addresses, phone numbers, IP addresses, and hashed passwords.Größer Lacher an der ganzen Geschichte:In what should be a model of transparency, Ticketcounter CEO Sjoerd Bakker has told BleepingComputer that they copied a database to a Microsoft Azure server to test an 'anonymization process' that replaces personal data with fake data.*Monster-Facepalm*Betroffen sind unter anderem 400.000 Gäste vom Berliner Zoo und Tierpark.
Oh und wo wir gerade bei Datenreichtümern waren: Bei der Star Alliance hat jemand die Vielfliegerdaten rausgetragen.
Wow. Gibt es da niemanden, der den Hebel zieht?!
5,6 Milliarden, das ist fast so viel wie dieser Hedgefunds durch die Reddit-Foristen verloren hat! Wat!?!? Das blutet Google mal eben über ein Jahr raus?
Na kein Wunder, dass Google alle Nase lang vielgenutzte und geliebte Dienste zumacht. Ich habe hier gerade die Warnung gekriegt, dass mein Chromebook keine Updates mehr kriegen wird. Damit ist Google der einzige (!) Marktteilnehmer, der es schafft, einen Webbrowser alszuliefern, der keine Security-Patches mehr kriegt. Microsoft macht es besser, Apple macht es besser, Chromium macht es besser, fucking Mozilla macht es besser! Nur Google hält das für ein akzeptables Geschäftsgebahren, Kunden einfach ins Gesicht zu sagen, sie können die Geräte ja gerne weiter nutzen, wenn ihnen ihre Daten darauf nicht so viel wert sind.
Ja toll, Google, dann wandelt mal euer Geld weiter in Wolken um. Per Verbrennung.
Das geht ja mal GAR nicht!
Google nagelt dann mal die APIs zu.
Wenn ihr also Google-Features nutzt und demnächst mit eurem Browser Probleme habt, könnte das daran liegen. Der Abschalttag ist der 15. März. (Danke, Lutz)
Vielleicht erinnert sich der eine oder andere Leser noch an früher, als beim Booten nach unsauberem Runterfahren erstmal ein CHKDSK anlief und Dinge reparierte. Für Konsumenten-Rechner war das nicht so schlimm, aber auf Servern mit mehreren Terabyte großen Dateisystemen dauerte so ein CHKDSK schon mal Stunden bis Tage.
Daher hat Microsoft eines Tages entschieden, das Checking wegzumachen und stattdessen NTFS "self healing" zu machen. Ich hab ihnen damals davon abgeraten, weil so self-healing Kram Heuristiken fährt und nicht den Überblick hat, den CHKDSK haben kann. Möglicherweise macht der die Dinge sogar schlimmer.
Daher dachte ich, als ich das hier las, als erstes an das self-healing NTFS. Der Bug klingt ein bisschen danach, als würde da ein Sonderfall nicht bedacht und der self-healing Repariercode springt an und macht das Filesystem erst korrupt.
Das ist aber alles Spekulation. Einblick habe ich da keinen.
Wieso würden Google und co eine Chat-App rausschmeißen? Gibt es da nicht Dutzende von?
Parler schreibt sich Zensurfreiheit auf die Fahnen und zieht daher Leute an, die anderswo rausgeflogen sind.
Bei Apple kennt man das ja, dass die sich für die Vorzensur der Inhalte in Apps von Dritten für zuständig halten, die wollen ja auch keine Pornos und Glücksspiel-Apps im Store. Aber Android hatte bisher kein Problem mit Pornos und Glücksspiel in ihrem Store.
Weder Google noch Apple haben Telegram rausgeschmissen, die sich ja auch gezielt an Leute richten, die anderswo rausgeflogen sind.
Wir leben zunehmend in einer Welt, in der uns die Megacorps vor Gefahren "beschützen", die sie häufig selbst verursacht haben. Microsoft gibt euch einen Antivirus, die Verlage schützen euch vor Fake News, die Politik beschützt euch vor "Extremisten", die sozialen Netze beschützen euch vor Hate Speech, Visa beschützt euch vor Wikileaks und Mastercard beschützt euch vor Pornhub. Google und Apple beschützen euch vor bösen Apps.
Und jetzt halt auch: Google und Apple beschützen euch vor Apps, die euch Dinge anzeigen, die Google und Apple für anstößig halten.
Ich frage mich, wie lange das noch dauert, bevor die keine Webbrowser mehr ausliefern, weil man damit zu viele gefährliche Inhalte sehen kann. Wobei, dafür beschützt uns ja die Düsseldorfer DNS-Sperre!1!!
Irgendwie wird die Bedeutung des Wortes Freiheit immer geringer während meiner Lebenszeit. Früher sind Kinder noch zum spielen in den Wald gelaufen. Alleine.
Heute heißt Freiheit, dass du dir aussuchen kannst, für welchen rechten Flügel der CDU du bei der Wahl stimmst.
Ich meine, das ist ja eine legitime Debatte, die man mal führen kann. Wollen wir lieber Freiheit, dann halt auch verbunden mit Risiken? Oder wollen wir lieber gepolsterte Wände an unserer Gummizelle, dafür aber Null Risiko. Essen kommt von Lieferando, Strom kommt aus der Dose, der Müll wird abgeholt, und wohin das Klo abfließt weiß niemand.
Hab ich persönlich ja kein Problem mit, wenn die Leute da draußen lieber in einer Zwangsjacke sediert in der Ecke liegen wollen. Aber nehmt dann nicht das Wort "Freiheit" in den Mund.
Update: Vielleicht fallen mir die Megacorp-Eingriffe gerade besonders stark auf, weil ich Cyberpunk zocke. Da sieht man die Leute zwar nicht sediert in der Zwangsjacke, aber man sieht sie zwischen Müllbergen auf einer Couch sitzen oder in der Gegend herumzucken, eine 3d-Brille tragend, die sie mit unproblematischem Megacorp-Content bespielt, damit ihnen nicht langweilig wird.
Das teilt uns Microsoft am Silvesterabend mit. Nee, klar.
Man stelle sich mal vor, eine Bank würde sich nach einem Bankraub hinstellen und sagen: Wir haben keine Hinweise gefunden, dass sich hier jemand bereichert hat. NA WAS DENN SONST?!
Habt ihr schon eine Warnung gekriegt? Von auch nur einer der betroffenen Organisationen? Ich nicht.
Solarwinds ist da natürlich nicht nur Täter sondern auch Komplize bei der Beweisvernichtung, weil sie erstmal ihre Customer-Liste weggemacht und bei Google angerufen und aus dem Cache dort haben löschen lassen. Nicht mal archive.org liefert.
Ich finde das einen wichtigen Datenpunkt dazu, ob irgendeine der Meldepflichten den Betroffenen in der Praxis irgendwas bringt, oder ob das alles mal wieder bloß Verarschung ist.
Update: Wenn man einen Tag zurückgeht und viel Geduld aufbringt, kriegt man von archive.org doch noch die Kundenliste. Hier ist sie:
Acxiom, Ameritrade, AT&T;, Bellsouth Telecommunications, Best Western Intl., Blue Cross Blue Shield, Booz Allen Hamilton, Boston Consulting, Cable & Wireless, Cablecom Media AG, Cablevision, CBS, Charter Communications, Cisco, CitiFinancial, City of Nashville, City of Tampa, Clemson University, Comcast Cable, Credit Suisse, Dow Chemical, EMC Corporation, Ericsson, Ernst and Young, Faurecia, Federal Express, Federal Reserve Bank, Fibercloud, Fiserv, Ford Motor Company, Foundstone, Gartner, Gates Foundation, General Dynamics, Gillette Deutschland GmbH, GTE, H&R; Block, Harvard University, Hertz Corporation, ING Direct, IntelSat, J.D. Byrider, Johns Hopkins University, Kennedy Space Center, Kodak, Korea Telecom, Leggett and Platt, Level 3 Communications, Liz Claiborne, Lockheed Martin, Lucent, MasterCard, McDonald’s Restaurants, Microsoft, National Park Service, NCR, NEC, Nestle, New York Power Authority, New York Times, Nielsen Media Research, Nortel, Perot Systems Japan, Phillips Petroleum, Pricewaterhouse Coopers, Procter & Gamble, Sabre, Saks, San Francisco Intl. Airport, Siemens, Smart City Networks, Smith Barney, Smithsonian Institute, Sparkasse Hagen, Sprint, St. John’s University, Staples, Subaru, Supervalu, Swisscom AG, Symantec, Telecom Italia, Telenor, Texaco, The CDC, The Economist, Time Warner Cable, U.S. Air Force, University of Alaska, University of Kansas, University of Oklahoma, US Dept. Of Defense, US Postal Service, US Secret Service, Visa USA, Volvo, Williams Communications, Yahoo
Das ist aber nur eine partielle Liste. Da fehlen Kunden, die nicht genannt werden wollten.
Ich hatte ja schon erzählt, dass sie ihr FTP-Passwort auf Github in ein öffentlichen Repository eingecheckt hatten.
Stellt sich raus: Das war gut getarnt. Es war "solarwinds123". Wenn das jemand in einem Repo findet, geht er doch mit Sicherheit davon aus, dass das ein Fake-Passwort ist, ein Dokumentations-Stellvertreter. Niemand wäre so dermaßen inkompetent, DAS als Passwort zu nehmen!
Ja gut, aber das FTP-Passwort reicht ja noch nicht, um den Buildserver zu kompromittieren. Oh warte, auch auf dem Buildserver war das Passwort solarwinds123 (war der Updateserver, nicht der Buildserver). Und wenn dir das zu kompliziert ist: Der User "nobody" hat auch Zugang zum Buildserver und wird nicht nach einem Passwort gefragt. (das war ein Missverständnis, damit war Citrix gemeint)
Gut, der CEO muss weg. Keine Sorge, ist in Arbeit. Sein Nachfolger steht auch schon fest:
Sudhakar Ramakrishna, the former chief executive of Pulse Secure.Pulse Secure? Nenn micht altmodisch, aber von einer Firma mit diesem Track Record würde ich niemanden einstellen wollen.Auf der anderen Seite ist das bei Solarwinds wahrscheinlich auch egal. Die hatten die trojanisierten Updates auch Tage später noch auf ihrem Updateserver online.
Lustigerweise hatte Solarwinds als Best Practices dokumentiert, dass man ihren Scheiß beim Schlangenöl ausschließen soll. Nicht dass das Schlangenöl was gebracht hätte, klar, denn die DLLs waren ja digital signiert, und Schlangenöl skippt gewöhnlich digital signierte Dateien. Denn die sind ja digital signiert!1!! (Mal abgesehen davon, natürlich, dass Schlangenöl grundsätzlich nicht funktioniert)
Update: OK da läuft gerade einiges durcheinander. Das war nicht der Buildserver, von dem Reuters berichtet hat, sondern der Updateserver. Das klingt als sei es dasselbe, ist es aber nicht. Der Buildserver ist die Kiste, die den Quellcode nimmt, den Compiler anwirft, Binaries erzeugt, und die dann signiert. Der Updateserver ist ein FTP-Server irgendwo, auf dem die Dateien dann zum Download liegen. Mit dem Passwort zum FTP-Server wäre also geklärt, wie man da Fake-Updates aufspielt, aber nicht wie man eine korrekte digitale Signatur aufbringen konnte. Dieser Key liegt im Allgemeinen nicht auf dem Updateserver. Gut, auszuschließen ist das natürlich auch nicht, bei einer Firma, die "firmenname123" als Passwort nimmt.
Das Statement von Microsoft zu der Nummer liest sich übrigens nochmal deutlich apokalyptischer, die reden da von dem SAML-root-Cert, mit dem man beliebige andere SAML-Tokens ausstellen kann, die dann Zugriff unter einem beliebigen Account auf beliebige Geräte in der Firma haben. Das ist sozusagen der absolut schlimmste denkbare Fall, was jemand in die Hände bekommen kann. Das liegt auch nicht auf dem Buildserver sondern noch weiter hinten in der Infrastruktur. Mit diesen SAML-Tokens kamen die dann nicht nur innerhalb der Firma an alle Infrastruktur ran sondern auch auf alle deren Cloud-Infrastruktur. SAML ist die Basis für Single-Sign-On-Infrastrukturen. Die Tokens sehen dann aus wie normale Tokens. Wenn sowas einmal passiert ist, kannst du auch nicht mehr den Checkins in den Repositories trauen. Laut SEC Filing hatten die Angreifer diese Art von Totalzugriff seit März. Die Firma kannst du nur noch planieren und komplett neu aufsetzen nach sowas.
Im Übrigen gilt das im Prinzip auch für alle Kunden von denen. Denn mit so einer Monitoring-Software würdest du ja alle Server monitoren wollen, inklusive deiner eigenen SSO-Infrastruktur. Im Grunde kannst du da jetzt nur mit der großen Abrissbirne einmal die gesamte Kundenbasis von denen zum Parkplatz machen und dann nochmal von 0 anfangen und neue Gebäude bauen. (Danke, Kris)
zu Teams habe ich noch ein Ärgernis aus dem Feldeinsatz, das banal klingt, aber durchaus sicherheitsrelevant sein kann: die Anwendung klaut beim Öffnen den Eingabefokus. Und das ist nicht neu, siehe diesen Post von 2017:Ich hab ja auch schon ein-zwei Mal bei Kunden Slack oder Teams einsetzen sollen und war jedesmal erschüttert, was für ein offensichtlicher Ranzkack das ist. Träge wie Treibsand, produktivitätsvernichtend wie Treibsand, ... wenn es dabei den Blutdruck nicht so hochtreiben würde, könnte man fast von einer Entschleunigung reden und es als Wellness-Maßnahme verkaufen.Szenario: direkt nach dem Windows-Login einen Browser starten, um sich an einer Cloud-Anwendung anzumelden. Während der Passwort-Eingabe öffnet sich Teams etwas verzögert auf einem anderen Monitor mit dem Chat vom Vortag, zieht den Textcursor aus dem Browser-Passwortfeld ab und setzt ihn in seinem Chat ein. Sobald die Return-Taste gedrückt wird, ist die Unterhaltung um ein Geheimnis reicher.
Dieses Szenario ist so unrealistisch, dass es mir schon zweimal passiert ist (ja ja, fool me twice). Ich bin nur froh, dass meine Passwörter aktuell keine Schimpfwörter beinhalten. Man kann den Post zwar nachträglich löschen, aber er verschwindet nicht völlig aus dem Chat, sondern wird eine Weile als gelöscht markiert dargestellt. Alles sehr vertrauenswürdig.
Mir ist ja die ganze Zeit schon nicht klar, wieso irgendjemand seine eigenen Mitarbeiter mit sowas torpedieren würde.
Aber dann hab ich mir gedacht: Vielleicht ist das wie bei Behörden. Da bemisst sich die Wichtigkeit eines Abteilungsleiters ja auch daran, wie viele Leute der unter sich hat. Je mehr desto wichtiger. Das schafft Anreize, mehr Personal zu brauchen. Welche Maßnahme eignet sich besser als das gezielte Ausbremsen der Mitarbeiter durch Sabotagesoftware wie Slack oder Teams? Früher hat man dafür Großraumbüros und tägliche Statusmeetings gemacht, aber das ist ja mit Covid nicht mehr so möglich. Also muss man irgendwie anders verhindern, dass die Mitarbeiter keine komplexeren Gedanken fassen können.
In diesem Sinne: Teams ist das neue Großraumbüro.
Es gibt da einige beachtenswerte Details.
Erstens: Die Codequalität und das Design sind auffallend schlecht.
Zweitens: Wenn man einen Bug meldet, mit dem zero-click remote code execution geht, dann stuft das Teams-Team das nicht etwa als critical ein (dafür ist critical gedacht, um genau diesen Fall abzudecken), sondern als … "important, spoofing". Warum "important, spoofing"? Weil das noch in scope ist, um an dem Bug-Bounty-Programm teilzunehmen. Wenn es nicht in scope wäre, wären die Melder juristisch auch nicht an die Teilnahmebedingungen gebunden und könnten direkt 0days an Ransomware-Gangs verkaufen. Das ist also sowas wie der Mittelfinger von Microsoft an die Melder des Bugs.
Drittens:
angular expression filtering can be bypassed by injecting a nullbyte char in unicode \u0000, e.g.{{3*333}\u0000}
Mit dem Nullbyte-Trick haben wir in den 90er Jahren Perl-Webapps aufgemacht. Das ist immer noch ein Problem bei Web-Entwicklern?!Tja und die Remote Code Execution geht dann, weil dieser ranzige Gammelclient in Electron implementiert wurde, das ist im Wesentlichen ein Webbrowser mit Javascript, aber das Javascript hat Zugriff auf Filesystem und Systemresourcen und kann Prozesse starten. WAS FÜR EINE GROSSARTIGE IDEE!! Lasst uns mehr "Anwendungen" mit Electron machen! Wenn es eine Programmierumgebung gibt, in der wir Injection voll im Griff haben, dann ist es ja wohl Javascript!!1! (Danke, Bernd)
Microsoft hat die Office-Suite 365 um Funktionen erweitert, mit denen Unternehmen die Arbeitsgepflogenheiten ihrer Belegschaft detailliert beobachten können.Ist ein Softwareproblem. Da kann man nichts machen.
Alternativ: Das hätte wir uns überlegen müssen, bevor wir in die Cloud umgezogen sind.
Hätte uns doch nur jemand gewarnt!
Pass uff, Fefe, wir machen jetzt Secure Boot in der Cloud! Was genau soll da am Ende die Aussage sein?
Ihr versteht schon, dass das per Design eine virtualisierte Umgebung ist, oder? Du glaubst, du redest mit der Hardware, aber tatsächlich redest du mit einem Stück Emulator-Software, die von jemandem betrieben wird, um deine Software zu verarschen. So zu verarschen, dass sie glaubt, sie liefe auf nicht-virtualisierter Hardware.
Wer die Umgebung betreibt, in der deine Software läuft, kann auch einfach so tun als gäbe es da Hardware-Security und dir genau die Hashwerte geben, die du gerne hören wolltest!
Nicht nur das: Einer der Gründe für die Cloud ist, dass man von Hardware-Ausfällen abstrahieren kann. Deine virtuelle Maschine wird einfach auf eine andere physische Hardware umgezogen! So und jetzt denken wir alle nochmal scharf nach, was das für Remote Attestation heißt, wenn sich nach dem Booten die Hardware ändern kann, auf der der Code läuft, aber niemand sagt dem Code Bescheid. Oh, was sagt ihr? Ist alles Bullshit! Bingo! 100 Punkte für die Kandidaten!
Und was war die Antwort der Sales-Kokser? Wir machen einfach Remote Attestation durch den Hypervisor hindurch!!1! Ja, äh, ... tolle Idee! Aber woher weißt du, dass du mit dem TPM redest und nicht mit einem Emulator? Woher weißt du, dass es überhaupt ein TPM in Hardware gibt?!
Ich kläre mal auf. Das erkennst du daran, dass deine Hardware eine Hintertür-Hardware drin hat, die Management Engine, und die kann dir mit einem nur Intel bekannten Private Key signierten Kram geben. Die Signatur kannst du checken, und dann weißt du: Es war Intel. Gut, außer jemand anderen hat den Key auch. Vielleicht die US-Regierung, die übrigens der dickste Kunde ist, den ein Cloud-Provider haben kann, und um den sich gerade AWS und Azure vor Gericht streiten, so wichtig ist der. Interessenskonflikt much?
Ich bin ja auch immer wieder fasziniert, dass die Leute annehmen, wenn sie bei Amazon einen Secure Key Store klicken, dass das dann ein HSM ist. Die Leute hören, was sie hören wollen. Amazon musste ihnen nichtmal ins Gesicht lügen! Sie mussten nur einfach die Details weglassen oder ins Kleingedruckte schieben. Das reichte.
Besser noch! Amazon konnte dann als Zusatzdienstleistung ein Cloud-HSM anbieten (ein HSM ist ein Hardware Security Modul, eine Art Safe mit einem Computer drin, der unextrahierbar den Private Key hat). Ja, richtig gelesen. Ein Cloud-HSM. Mit anderen Worten: Der andere Service ist gar kein HSM. Und glaubt ihr da hätte mal einer der Kunden Fragen gestellt? Nix da!
Dieses Cloud-HSM ist natürlich auch kein HSM. Wozu die Kosten auf sich nehmen. Deine Software läuft auf einer Hardware, die jemand anderes betreibt. Ob da ein HSM dran ist oder nicht ist völlig wurscht. Und das ist eh alles virtualisiert. Woran würde deine Software also erkennen, dass das HSM nur emuliert ist?
Wieso ich hier ewig lang herrumrante? Weil ich gerade über zwei Neusprech-Bomben gestolpert bin. Erstens: Azure Sphere. Zweitens: Der "Pluton"-Chip (*fremdschäm* DER RÖMISCHE GOTT HEISST PLUTO NICHT PLUTON IHR BARBAREN)
So, Trinkspiel. Setzt euch mal hin und lest die beiden Seiten und dann erklärt mir, was die da konkret anbieten. So wie ich das sehe bestehen beide Seiten praktisch vollständig aus nichtssagenden Worthülsen.
Ich zitiere mal zwei Paragraphen von diesem Pluton-Dingens:
Today, Microsoft alongside our biggest silicon partners are announcing a new vision for Windows security to help ensure our customers are protected today and in the future. In collaboration with leading silicon partners AMD, Intel, and Qualcomm Technologies, Inc., we are announcing the Microsoft Pluton security processor. This chip-to-cloud security technology, pioneered in Xbox and Azure Sphere, will bring even more security advancements to future Windows PCs and signals the beginning of a journey with ecosystem and OEM partners.Our vision for the future of Windows PCs is security at the very core, built into the CPU, where hardware and software are tightly integrated in a unified approach designed to eliminate entire vectors of attack. This revolutionary security processor design will make it significantly more difficult for attackers to hide beneath the operating system, and improve our ability to guard against physical attacks, prevent the theft of credential and encryption keys, and provide the ability to recover from software bugs.
Ich hab mal deren peinlichen PR-Fettdruck-Formatierungsscheiß weggemacht. Der eigentlich wichtige Punkt ist im letzten Halbsatz. Das ist, worum es geht. Wir, Microsoft, sehen uns nach 30 Jahren der Investition völlig außerstande, auch nur perspektivisch daran zu denken, jemals Software ohne Sicherheitslöcher ausliefern zu können. Daher haben wir aufgegeben und zwängen euch jetzt einen Chip auf, den ihr nicht kennt, den niemand von euch haben wollte, und dem ihr ab jetzt vertrauen müsst. Glaubt uns am besten einfach, dass wir niemals nie nicht NSA-Backdoors ausliefern würden oder so. Wir sind hier die Guten!1!! Das dient alles der Sicherheit! (Genau wie die ganzen NSA-Programme übrigens)Wie, ihr wollt ein Opt Out? Nee, gibt es nicht. Wir packen den Scheiß direkt in die CPU rein. Damit ihr möglichst keine Wahl habt, haben wir das direkt Intel, AMD und Qualcomm übergeholfen. HAHAHAHA DA BLEIBT NICHT VIEL ANDERES ÜBRIG HAHAHAHA IHR KÖNNT JA BEI APPLE KAUFEN HAHAHAHAHA
Im Hintergrund denkt euch einen Bill Gates, der eine fette Langhaarkatze streichelt.
Wobei. Ich bin da vielleicht ein bisschen vorschnell. Es ist nicht so, dass die Seiten gar nichts sagen. Eine Sache sagen sie: Vertraut uns. Wir arbeiten dran. Was ihr alles an grundsätzlichen fundamentalen unreparierbaren Gründen gegen die Cloud gehört habt, das betrifft nicht unsere Cloud, denn wir haben magischen Feenstaub drübergesprenkelt.
Eines Tages werden wir mehr wissen. Wenn ihr mich fragt: Bestimmt was mit Blockchain und Machine Learning.
Update: Hahaha jetzt kommen hier lauter Einsendungen zu dem Begriff "Pluton". Stellt sich raus: Es gab auch Pluton im Griechischen als Synonym für Hades, dessen Namen man nicht auszusprechen wagte, weil er ja für Tod stand. Wikipedia dazu:
Platon beispielsweise meint, Pluton/Plutos sei durchwegs positiv zu sehen als der Spender von Reichtum
Passt doch perfekt, findet der Einsender. Ein anderer Einsender fand noch eine andere Wortbedeutung, aus der Geologie, wo es für eine besonders tiefe Intrusion geht. Das meint zwar aber eine Intrusion im geologischen Sinne, aber der andere Einsender fand, das passe auch prima für einen "Security-Chip".
Oder als Ubuntu Werbung einblendete? Der Himmel fiel uns auf den Kopf!
Oder als Mozilla auf ihre Neues-Tab-Seite Werbung gepackt hat? Ein Aufschrei!
Seid ihr eigentlich auch so froh, das Apple die Guten sind? Nicht auszudenken, wenn die die Bösen wären! Meine Güte, all die Daten, die ihr denen gegeben habt!
Schwere Zeiten für die AV-BrancheDas höre ich gerne, aber an der Stelle sei auch mal gesagt: No thanks to you, Heise! Seit Jahrzehnten schreibt ihr regelmäßig, dass alle sich Schlangenöl installieren sollen. Und jetzt plötzlich:
Sie müssen sich neue Geschäftsfelder und -modelle erarbeiten – und konkurrieren dabei mit innovativen Firmen, die ohne den Klotz "Antivirus" am Bein oft agiler auftreten können.Jetzt ist das plötzlich ein "Klotz"?
Ich meine, versteht mich nicht falsch, ich freue mich ja immer, wenn sich die von mir vertretene Position durchsetzt, aber da hätte ich doch ein bisschen mehr Selbstreflektion erwartet an der Stelle.
Immerhin berichtet ihr ja seit Jahren auch über die nicht abebbende Ransomware-Welle, die ja völlig mysteriös existiert, obwohl alle auf euren Rat Schlangenöl installiert haben. Da hätte man ja schon auf die Idee kommen können, irgendwann auf dem Weg, dass vielleicht die Versprechungen der Schlangenölbranche alle nicht das Papier Wert sind, auf dem ihr die Wieselformulierungen nicht ausgedruckt habt?
Jetzt einfach so zu tun als sei das ja alles eh die ganze Zeit klar gewesen, das finde ich ziemlich unehrlich von euch.
Mich ärgert auch, dass ihr in dem Artikel "der Defender von Microsoft ist gut genug" behauptet. Wenn er das wäre, dann gäbe es keine Ransomware.
The big problem with this feature is that it is highly vulnerable to injection attacks. As the runner process parses every line printed to STDOUT looking for workflow commands, every Github action that prints untrusted content as part of its execution is vulnerable. In most cases, the ability to set arbitrary environment variables results in remote code execution as soon as another workflow is executed.Ach kommt, da muss man Verständnis haben. Das ist Microsoft. Die hatten noch nie Injection als Bugklasse!1!! Daher ist auch das Repo von Visual Studio Code betroffen.Niemand kann erwarten, dass die sich vorher existierende Bugklassen angucken. Wir sind hier in der Devops-Ära. Da wird erst implementiert, und danach guckt man, ob Fehler drin sind. Planen macht man nicht mehr. Das erinnert zu sehr an Wasserfall.
Und komm schon, wann hat Wasserfall jemals funktioniert? Gut, es hat uns als Spezies auf den Mond gebracht. Es hat die Entwicklung von Datenbanken und von Programmiersprachen und Finanzsoftware ermöglicht. Aber sonst? NICHTS hat es uns gebracht!!1! Heute pfuschen wir lieber und gehen dann pleite, wenn die Fehler offenbar werden. Oder wir fangen an, von "responsible disclosure" zu faseln.
Ich find das ja immer geil, dass die gleichen Leute, die uns eben noch erzählt haben, Wasserfall sei zu teuer, jetzt ein Abomodell für ihre Pfusch-Schrottware aufschwatzen wollen.
Das ist ein Bullshit-Konzept von Großkonzernen wie Microsoft. Die wollen damit sagen, dass Leute, die Bugs in ihren Produkten veröffentlichen, unverantwortlich handeln.
Also eigentlich wollen sie damit sagen: DIE sind Schuld, nicht wir, dass unsere Produkte kacke sind, es jeder weiß, und eure Daten nicht sicher sind, wenn ihr sie uns anvertraut.
Es gibt ein Vorbild für diese PR-Kampagne, und ich hatte sie auch schonmal hier im Blog: Jaywalking. Wurde von den Automobilkonzernen erfunden, um die Schuld an den ganzen toten Kindern im Straßenverkehr von sich weg zu den Opfern zu schieben. Unser Produkt tötet Kinder? Na hätten die sich mal "responsible" verhalten und nicht auf der Straße gespielt!
Und jetzt gibt es Iteration 3 von dem Konzept: "Responsible AI". Unsere KI-Produkte töten Menschen? Das heißt nicht, dass KI grundsätzlich verwerflich ist, nein, nein, das heißt, dass hier KI nicht "responsible" eingesetzt wurde!!1! Das war ein bedauerlicher Einzelfall, vergleichbar etwa mit Nazi-Fanartikeln bei Polizisten. Das ist eine ganz fiese Nummer und ihr solltet euch da nicht verarschen lassen.
Ihr mögt Accenture nicht? Dann guckt bei PwC! Oder bei Microsoft. Oder bei Google. Oder bei Tensorflow. Es sind auch schon ansonsten reputable Forschungseinrichtungen auf den Zug aufgesprungen. Klar, man will nicht das Blut an den Händen haben, aber auf die Forschungsmittel will man auch nicht verzichten. Da muss eine PR-Kampagne her.
Wisst ihr, was mir jetzt noch fehlt?
Responsible Crypto Currency.
Ich bin ehrlich erstaunt, dass die Ethereum Foundation das noch nicht gemacht hat. Die haben ja auch ein fettes PR-Problem. In deren Umfeld suchen Journalisten seit Jahren nach seriösen Marktteilnehmern und finden keine. Die eine Hälfte ist Schall und Rauch-Projekte, groß angekündigt und dann hat man nie wieder was gehört, und der Rest sind Scammer und Ransomware-Erpresser. Regelmäßig verlieren Leute ihre Einlagen wegen eines "Hacks" oder Währungen müssen geforkt werden, weil es da ein bedauerliches anders nicht korrigierbares Sicherheitsproblem gab. Man würde denken, wenn es eine Branche gibt, die mal irgendwas mit responsible braucht, dann wären es die.
Oh, wartet, einen hab ich noch vergessen. Responsible encryption. Das war der Euphemismus für "ihr müsst alle Hintertüren für den Staat einbauen in eure Krypto-Produkte".
Kurz: Wenn irgendwo responsible draufsteht, ist das vergiftet. Einen klareren Indikator für "ist vergiftet" gibt es gar nicht. Das ist jedenfalls nie responsible und schon gar nicht zu eurem Nutzen.
Responsible AI, my ass.
Starting in July 2020, all Windows Updates will disable the RemoteFX vGPU feature because of a security vulnerability. For more information about the vulnerability, see CVE-2020-1036 and KB4570006.Na sowas! Wer hätte gedacht, dass es ein Sicherheitsrisiko ist, wenn man die GPU über das Netz oder an virtuelle Maschinen exponiert!1!! Hätte uns doch nur jemand rechtzeitig gewarnt! So 2011 zum Beispiel.
New hotness: Apple-Apps sind von die Privatsphäre schützenden Firewall-Regeln ausgenommen.
Ich stelle mir bei sowas immer vor, wie groß der Aufschrei gewesen wäre wenn Microsoft das vor zehn Jahren oder so gebracht hätte.
Nvidia hat ja vor ein paar Jahren aufgehört, Grafikkarten zu bauen, die für Spieler attraktiv sind. Kein Wunder, denn in den beiden finanziell relevanten Segmenten, Unten und Mitte, haben sie Intel und AMD aus dem Markt gepreist. Und das Oberklasse-Segment ist eher sowas wie Formel 1 für Autobauer. Da versenkt man PR-Kohle rein. Das rechnet sich aber nur, wenn man in den anderen Marktsegmenten konkurrenzfähig ist. Statt für Gamer hat Nvidia versucht ihre Karten für KI attraktiv zu machen. Leider ist das alles bisher eine ziemliche Bruchlandung geworden.
Aus dem "selbstfahrendes Auto"-Segment musste sich Nvidia ganz zurückziehen, und die anderen KI-Geschichten tragen keinen Massenmarkt-Appeal. Nvidia sucht also händeringend nach PR-Argumenten, wieso Privatanwender unbedingt KI brauchen. Ihr aktueller Entwurf: Videokonferenzen!1!! Ja, äh, nee, klar. Ich schäm mich ja ein bisschen dafür, wie wenig Substanz die sich aus dem Arsch gezogen gekriegt haben.
Ich würde ja aus Gerechtigkeitsgründen auch was von Golem verlinken, aber die haben sich hinter einer derartig nervigen Nerv-Cookiewall verbarrikadiert, das kann man niemandem zumuten.
Der Lacher ist ja auch, wieso Nvidia bei KI gelandet ist. Eigentlich waren Grafikkarten mal die große Hoffnung für Supercomputer und numerische Simulationen. Die hätten aber häufig gerne lieber doppelt-genaue Fließkommazahlen. Die hat Nvidia bei ihren Konsumenten-Karten absichtlich lobotomiert, damit die Leute gezwungen sind, ihnen für absolute Freudenhauspreise ihre "professional"-Karten abzukaufen. Viele haben das getan. Viele aber auch nicht. Und ein Massenmarkt ist das auch nicht.
Die andere Anwendung für parallele Arithmetik mit hohem Durchsatz neben numerischen Simulationen sind neuronale Netze. Oh ja, und Computergrafik. Aber aus dem Markt zieht sich Nvidia ja offenbar zusehends zurück. Jedenfalls war ihre letzte Generation von Grafikkarten für den Konsumentenmarkt so teuer wie ein paar Jahre vorher die "professional"-Karten für Simulationen. Die haben so krass an der Preisspirale gedreht, dass sich nur noch Superreiche überhaupt ihre Karten leisten können. Also in den Segmenten jetzt, wo man Nvidia-Karten kaufen würde, weil es keine billigere und schnellere AMD-Karte gibt.
Ich frage mich daher jedes Mal, wieso in Vergleichs-Grafiken sowas wie die Titan-Reihe überhaupt auftaucht.
Die Grafikkarten sind übrigens deshalb so teuer, weil ja irgendwer auch die Eskapaden im KI-Sektor bezahlen muss, und so Aktionen wie "wir kaufen mal eben ARM", und hey, wieso nicht die doofen Deppen aus dem Massenmarkt zahlen lassen, die KI gar nicht nutzen?
Oh warte, doch. Für ... *papierraschel* Videokonferenzen!1!!
Update: Nachschlag zu Nvidia: Deren aktueller Ampere-Launch stellt sich wenig überraschend als Paper Launch heraus. Nur dass Nvidia so tut, als sei das doch lieferbar, während Intel nicht mal so tut, als gäbe es eine Desktop-Version in absehbarer Zeit. Dass ausgerechnet Intel mal in einem Vergleich wie die integerere Firma aussieht, das hätte ich mir auch nicht träumen lassen. Intel, wir erinnern uns, das waren die, die ihre Compiler (die übrigens richtig Geld kosten!) absichtlich lobotomiert haben, damit sie auf AMD-CPUs lahmen Code generieren. Intel, wir erinnern uns, waren die mit den ganzen spekulativen Bescheiß-Technologien zur Performance-Optimierung, die sich jetzt der Reihe nach als Sicherheitsproblem herausstellen. Intel, wir erinnern uns, waren die, die den Markt mit Werbe-Subventionen geflutet haben, aber nur, wenn die beworbene Produktlinie keine Mitglieder mit AMD-Prozessor hat. Und DIE sehen jetzt weniger schlecht aus als Nvidia. Das ist eine beachtliche Leistung auf Seiten von Nvidia.
Update: Das ist nicht die erste schwachsinnige Idee, mit der Nvidia Gamern KI überhelfen will. Es gibt auch schon Hochsampling mit KI und Bildverbesserung mit KI und bestimmt noch ein paar mehr Dinge. Die Zeiten, wo Nvidia performanterer Hardware gebaut hat, sind offenbar echt vorbei.
Update: Das war jetzt missverständlich ausgedrückt. Nur weil ich finde, dass Intel und AMD Nvidia aus dem Markt rausgepreist haben, heißt das nicht, dass sie da nichts mehr verkaufen. Das sind alles Depp ... edle Spender, die ihr Geld für die KI-Forschung verschenken! Also gut, eher nicht so für die Forschung nach KI-Durchbrüchen, eher die Forschung nach Bullshit-Begründungen, wieso ihr alle KI in euren Grafikkarten braucht. Aber hey, der Unterschied macht es ja offensichtlich nicht weniger unattraktiv für die Leute, die immer noch Nvidia Geld hinterherwerfen.
New hotness: Microsoft zerschießt mit Gammel-Updates großflächig ihre eigene Infrastruktur.
Ich hab ja am Anfang dieses Cloud-Trends versucht, das Positive daran zu sehen, und als einziges Pro-Argument fiel mir ein, dass die Cloud-Provider ja jetzt erstmalig ein finanzielles Interesse hätten, dass ihre beschissenen Updates auch durchlaufen.
Da hatte ich offensichtlich die Rechnung ohne den Wirt gemacht. Die können das einfach nicht.
Ich sehe das ja aus Sicht der Softwareentwicklung. Softwareentwicklung ist heutzutage darauf optimiert, möglichst schnell ein möglichst beschissenes Produkt auf den Markt zu rotzen, und dann die Kunden in den Lock-In zu zwingen und ihnen für die "Wartung" über die Jahre die Kohle aus der Tasche zu ziehen. Das Modell, dass man den Leuten ein gutes Produkt verkauft, das keine Wartung braucht, gibt es gar nicht mehr.
In meine Kindheit gab es Computerspiele aber es gab noch kein WWW und die Leute hatten zuhause kein Internet. Die Kunden machten auch keine Accounts auf und registrierten sich nicht beim Hersteller. Es gab schlicht keinen Weg Patches an die Kunden auszurollen.
Heute funktionieren Spiele bei der Auslieferung normalerweise so schlecht bis gar nicht, dass es Multi-Gigabyte-Day-1-Patches gibt.
Damals gab es Marktdruck, funktionierende Produkte zu haben, und im Großen und Ganzen haben die Produkte dann auch funktioniert. DAS GEHT also. Wir haben uns nur als Konsumenten so vollständig verarschen lassen, dass es das heute nicht mehr gibt.
Insofern: Macht ihr mal ruhig alle weiter so. Schließt am besten auch noch ein Abo auf Active Directory ab. Und hey, wenn ihr schon dabei seid, schließt am besten auch gleich ein Abo mit den Ransomware-Leuten ab!
Und jetzt so: Ach scheiß drauf, wir nehmen lieber Chrome?
Das wäre doch eigentlich die Gelegenheit für eine Milliardenstrafe durch die EU gewesen. Wieso gab es die nicht?
New hotness: Microsoft operiert Windows aus Windows raus :-)
Starting with Windows Insiders preview build 20211, WSL 2 will be offering a new feature: wsl --mount. This new parameter allows a physical disk to be attached and mounted inside WSL 2, which enables you to access filesystems that aren’t natively supported by Windows (such as ext4).Ja, äh, wenn ich eine Linux-Partition mounte und davon Linux-Programme ausführe, … wieso hab ich dann überhaupt noch Windows?
Das Problem: Der Sicherheitsforscher Tom Tervoort hat entdeckt, dass der Parameter Clientcredential - Teil der Funktion ComputeNetlogonCredential - in einem aus 256 Fällen ebenfalls aus acht Nullen besteht, wenn Angreifende die Challenge, die zwischen Domänencontroller und -clients für eine Authentifizierung ausgetauscht wird, auf ausschließlich null setzen. Nach maximal 256 Brute-Force-Versuchen mit dem Call NetrServerAuthenticate3 kann sich das System in einer Domäne als Client authentifizieren, was laut dem Forscher etwa 3 Sekunden Rechenzeit entspricht.Top Notch Engineering, Microsoft!
Ex-NSA-Direktor Keith Alexander sitzt da jetzt im Vorstand. Also ich an eurer Stelle würde da ja sofort alles abziehen, was irgendwie einen Wert hat.
Fragt sich nur wohin. Denn Microsoft hat ja gerade diesen "JEDI"-Monsterdeal mit dem Pentagon unterschrieben und ist auch raus.
Wer bleibt da noch? Google? Die Telekom?!? BWAHAHAHAHA
Ach was erzähl ich hier. Niemand von euch wird bei Amazon oder Microsoft aus der Cloud wieder ausziehen. Einmal dort haben die euch bei den Schamhaaren.
Hätte euch doch nur jemand rechtzeitig gewarnt!1!!
Oh, ich weiß, ich weiß! Die Alibaba-Cloud!!1! Da ist das bestimmt GANZ anders. Null staatliche Schnüffelstellen am Saugrüssel!
Von der gleichen Datenbasis, die auch Bing Maps benutzt.
Nun, so eine Datenbasis zu unterhalten ist aufwendig und teuer. Microsoft gibt da schon Geld für aus, aber Bing Maps hat gegenüber Google Maps deutliche Aktualitätsnachteile.
Was passiert jetzt? Die Flugsimulator-Fans fixen die Datenbasis von Bing Maps, damit ihr Simulator besser aussieht.
Ob das die ganze Zeit der Plan war? Wir lassen die Leute da draußen unsere Arbeit kostenlos für uns machen, und sie bezahlen sogar noch für den Flugsimulator? :-)
Das Money Quote dazu kommt aus dem ehemaligen Nachrichtenmagazin:
Der US-Rechtsanwalt, Umweltaktivist und Impfgegner Robert Francis Kennedy Jr., Neffe des US-Präsidenten John F. Kennedy, wandte sich in seinem Redebeitrag gegen den Aufbau des 5G-Mobilfunknetzes, warnte vor einem Überwachungsstaat und attackierte in diesem Zusammenhang unter anderem Microsoft-Gründer Bill Gates.Totalitarismus! Diese Scheiß Salonrevoluzzer immer aus den USA. Tyranny and Oppression! Wer hat den überhaupt einreisen lassen? Ich dachte da gibt es gerade Beschränkungen, weil die USA ein Seuchenherd sind!Unter Verweis auf den berühmten Berlin-Besuch des US-Präsidenten Kennedy im Juni 1963 sagte er, sein Onkel sei damals nach Berlin gekommen, weil in der Stadt die Front gegen Totalitarismus verlaufen sei. "Heute ist Berlin wieder die Front gegen Totalitarismus", fügte er an.
Und dann spricht er auf der Demo, die der Staat nicht verhindert gekriegt hat, obwohl sie alle Register gezogen haben. Einen klareren Fall von Totalitarismus hatten wir lange nicht mehr!11!
Wisst ihr, was wir hier brauchen? Mehr Schusswaffen!
Wisst ihr, ich mache mir auch Sorgen vor Totalitarismus. Aber nicht wegen der Covid-Beschränkungen (mit denen ich auch nicht 100% einverstanden bin) sondern wenn ich Reichsbürger vor dem Reichstag die Fahne des Deutschen Reichs hissen sehe. Das finde ich viel bedrohlicher als die Cops, die im Übrigen nicht mal ihre Wasserwerfer am Start hatten gegen die Covidioten. Die Wasserwerfer waren natürlich bei den Gegendemos.
Epic Games' Unreal Engine is critical technology for numerous game creators including Microsoft.Für die ist es auch kritisch, in den App Stores zu publizieren. Die werden also gerade zwischen den Fronten der geldgierigen Milliardäre aufgerieben.Es geht gerade das Narrativ um, die 30% seien ja voll das Schnäppchen. Darauf will ich noch kurz eingeben. Einer schrieb mir, Apple zahle ja die Umsatz/Mehrwertsteuer, das sei der Großteil der 30%. Das ist meines Wissens Bullshit. Das andere Argument war, dass man ja im Supermarkt Aufladekarten kaufen kann, die regelmäßig weniger kosten als der Wert der Aufladung, und dieser Rabatt kommt dann halt aus den 30%. Die Aussage ist valide, aber hat ein großes ABER dran. Komme ich gleich zu.
Dann kam noch das Argument, die Payment-Mafia greife ja auch immer kräftig zu, und im Vergleich dazu seien die 30% kein so großes Ding. Ich habe noch keinen App Store betrieben, aber hier ist mein Verständnis der Sachlage. Man hat beim Bezahlen Fixkosten pro Transaktion, sowas wie 5 bis 10 Cent pro Transaktion (das ist aber ein guter Deal für wichtige Bestandskunden, sowas wie der App Store). Dazu kommen je nach Kreditkarte 1-3% des Transaktionswertes. Zum Vergleich: Paypal sagt an, dass sie 35 Cent pro Transaktion plus 2,49% des Transaktionswertes haben wollen (geht wohl runter bis 1,49% bei Großabnehmern).
Der Punkt ist: Wenn die Leute für jede 99-Cent-App einzeln per Kreditkarte zahlen, frisst dir der Payment-Provider in der Tat die Haare vom Kopf und die 30% bei Apple sehen nicht so schlecht aus.
Da kann sich der App Store Provider gegen wehren, indem er Konten führt und dich größere Beträge einzahlen lässt und dann per Dark UI dafür sorgt, dass man nicht weniger als 10 Euro auf einmal einzahlt. Was dich als App Store umbringt sind ja nicht die Prozente sondern die Fixkosten pro Transaktion. Zusätzlich kann der App Store Betreiber auch einen Deal mit Supermärkten machen und dann an der Kasse 10-Euro-Aufladekarten verkaufen. Dann hat er das Risiko für Zahlbetrug an den Supermarkt weitergereicht und zahlt unter dem Strich sowas wie 5% glaube ich (habe da aber keine belastbaren Zahlen gerade).
Und jetzt kommen wir zu dem angekündigten ABER von eben: Supermarkt ist mit Rabatt immer noch günstiger als Einzelpayment per Paypal. Insofern ist das Argument zwar technisch richtig aber nicht weiterhelfend.
Mein Punkt ist: Wenn du Dinge verkaufen und dafür bezahlt werden willst, werden sich immer Dutzende von Leuten auf dem Weg zwischen Kunde und dir an deiner Transaktion zu bereichern versuchen. Das ist allerdings kein App-Store-Problem. Wenn es denen gelingt, Zahlungen zu aggregieren (der Supermarkt z.B. wird dir nicht jeden Kauf einzeln überweisen sondern einmal pro Woche oder Monat oder so), sinken für die die Kosten. Wenn also Apple selbst ins Zahlungsbusiness einsteigt, dann u.a. um für ihre App-Store-Bestellungen die Mittelsmänner rauszuschmeißen. Glaubt mal gar nicht, dass die 30% in einer realistischen Relation zu deren Payment-Kosten stehen.
Aber Fefe, was ist denn mit Betrug? Ja, Betrug ist immer Scheiße, aber moderne Fraud Detection hat die Eintrittswahrscheinlich massiv gesenkt, nicht zuletzt durch Kundengängelung. So kann ich auf Geschäftsreisen regelmäßig mit meiner europäischen Kreditkarte nichts online bestellen im Zielland. Und die Aufladekarten-im-Supermarkt-Nummer senkt das Fraud-Risiko auf Null für den Kartenherausgeber. Für Visa habe ich Zahlen für 2014, da war die Fraud-to-Sales-Ratio 0,045%.
Bleibt noch der Rest der Ausgaben, die das Betreiben so eines App Stores beinhaltet. Technische Infrastruktur, Kundensupport, Qualitätssicherung, etc. Ja, das kostet alles Geld. Aber nicht 30% der Einnahmen. Und, mit Verlaub, so viel Malware wie in den Stores immer wieder durchrutscht, glaube ich denen ihr Blablah von wegen Qualitätssicherung nicht. Was die prüden Amis wirklich wegqualitätssichern sind Pornos. Alles andere kommt regelmäßig durch. Bei Android kann man die Suchfunktion praktisch nicht benutzen, weil du zu jedem bekannten App-Namen ein paar Dutzend Malware-Betrüger unter dem selben Namen als Ergebnis kriegst.
Mein Fazit bleibt daher: 30% sind Freudenhauspreise, das ist elende Abzocke. Auf der anderen Seite ist es auch eine Quersubvention des Aufwandes für die Klein-Apps durch die Groß-Apps. Dass dann die Groß-App-Anbieter irgendwann rebellieren, das schockiert hoffentlich niemanden.
Wollte er natürlich nicht. Er wollte den Preis senken. Damit Microsoft das günstig abstauben kann. China ist entsprechend ungehalten.
The United States’ “bullying” of Chinese tech companies was a consequence of Washington’s zero-sum vision of “American first” and left China no choice but “submission or mortal combat in the tech realm”, the state-backed paper said in an editorial.China had “plenty of ways to respond if the administration carries out its planned smash and grab”, it added.
Was ich ja nicht verstehe: Wieso ignorieren die nicht einfach den amerikanischen Markt und konzentrieren sich auf den Rest der Welt? Lasst die Amis doch in ihrer Corona-Isolation vergammeln. Wieso überhaupt eine US-Tochter gründen? Wieso nicht wie andere Firmen auch auf den Kanalinseln oder Luxemburg oder einer karibischen Steueroase?Update: Stellt sich raus, dass Trump auch noch Schutzgeld von Microsoft haben wollte für seine Bemühungen. Das ist nicht wie die Mafia, das ist die Mafia.
Was zur Hölle geht in den Leuten vor? Ich brauche keine Webseitenvorschau und keine Giphy-Integration im Messenger. Ich brauche nicht mal Emojis, aber da vertrete ich wahrscheinlich die Minderheitenposition.
Je mehr Funktionen, desto mehr Code, desto weniger vertrauenswürdig ist der Kram.
Oh und hier ist noch jemand, der den Schuss nicht gehört hat: Die MPEG-Mafia hat einen H.265-Nachfolger namens H.266. H.265 ist im Markt außerhalb von Blu-Ray ziemlich weitgehend gescheitert. Das liegt vor allem daran, dass die MPEG-Mafia den Schlund nicht voll kriegt und beherzt immer noch mal mit beiden Händen reingreift. Ein typischer Haushalt drückt einmal pro Grafikkarte, einmal pro Mobiltelefon, einmal pro Bluray-Player und einmal pro Blu-Ray Kohle an die MPEG-Mafia ab. WIE wenig Bock die Leute auf so eine Schröpferei haben, konnte man ganz gut sehen, als Microsoft in Windows 10 einfach keinen H.265-Codec mehr mitgeliefert hat.
Jetzt wird H.265 langsam von VP9 und AV1 verdrängt, und ich kann nur sagen: Good Riddance. Dieses Softwarepatentunwesen muss endlich sterben.
Ich weiß ja nicht, ob ihr mal MSN geklickt habt. Das ist die Default-Seite im Internet Explorer, wenn man ein frisches Windows vor sich hat. Ich sehe das bei Kunden häufiger, wenn die mir eine Workstation hinstellen, auf dem Weg zum Firefox-Installer.
Ich bin schockiert.
Mir war nicht klar, dass die da noch Journalisten hatten. Das sah seit Jahren aus, als wenn es eine KI "kuratiert".
Wenn ihr mich fragt, ist das ganze Konzept von Rootkit-Erkennung eine Totgeburt. Wenn du vermutest, dass du ein Rootkit haben könntest, ist es zu spät. (Danke, Guido)
Dass Microsoft sich so aufführt, überrascht glaube ich niemanden mehr. Aber dass der Datenschützer sofort die Segel streicht, das irritiert mich jetzt schon ein bisschen. Mit der Empfehlung haben die schließlich ihren Job gemacht. Genau das ist ihre Aufgabe!
Nehmen wir nur mal die WHO. Die WHO war ja mal gedacht als sowas wie die NATO nur in zivil und für die Gesundheitsvorsorge. Die Staaten zahlen alle freiwillig in deren Budget ein, und die WHO sorgt dann dafür, dass es eine gemeinsame Faktenbasis untermauert von ordentlichen Studien gibt, und da nicht irgendwelche Staaten eine Packung Hysterie durchziehen können. Der Vorsitz wird gewählt. Der Laden untersteht den Vereinten Nationen und sitzt in Genf. Die Idee ist, dass da kein religiöser Fanatiker z.B. Genitalverstümmelung als medizinischen Eingriff deklarieren kann.
Und was passierte? Stellt sich raus: Die Regierungen haben alle gar keinen Bock darauf, eine unabhängige Institution zu finanzieren, die ihnen dann mit ihren doofen Fakten in ihre Politik reinreden. Also geben die Staaten alle nur das Nötigste bis gar nichts. Und den Rest? Den muss sich die WHO jetzt halt von der Pharmamafia und Bill Gates zusammenbetteln.
Und dann kommen ernsthaft dieselben Leute, die gerade noch ihre Beiträge nicht zahlen wollten, und werfen der WHO vor, sie sei aber nicht unabhängig genug. Die Stirn muss man erstmal haben!
Ich weiß nicht, wie das bei euch so gehandhabt wird, aber in meinem Haus werden solche Leute ausgelacht.
Aber aber aber Bill Gates will doch Impfungen verkaufen! Nein. Bill Gates ist in Rente. Seine wohltätige Non-Profit Stiftung gibt Impfstoff-Forschern Vorfinanzierung. Wenn die dann Profit machen, dann generiert das Einnahmen für die Stiftung, die sie dann satzungsgemäß wohltätig verwenden kann, um mehr Impfungen zu erforschen. An keiner Stelle davon bereichert sich Bill Gates an irgendwas.
Ist das jetzt alles super und Blümchenwiesen? Nein, natürlich nicht. Die Idee, dass Impfstoffe patentierbar sind, finde ich zutiefst widerwärtig. Aber das hat ja nicht Bill Gates erfunden. Im Gegenteil. Microsoft hat jahrelang keine Patente beantragt. Bis sie dann massiv von Patenttrollen heimgesucht wurden. Da haben sie dann erstmal Lobbyismus zum Schwächen der Patentierbarkeit von Software-"Erfindungen" betrieben. Das hat nicht funktioniert. Also haben sie auch zu patentieren angefangen. Gates ist hier eher Opfer als Täter, auch wenn er halt schlau genug ist, in so einem System dann netto positiv rauszukommen. Wenn es nach mir ginge, gehört das Patentsystem international in einen Parkplatz umgewandelt. Patentanwälte in die Produktion. Ich hörte, es werden noch Spargelstecher gesucht.
OK OK, Fefe, gut, den Punkt geben wir dir. Aber der Bill Gates will doch die Überbevölkerung bekämpfen und uns alle umbringen!!1!
Bill Gates sieht die Überbevölkerung als Problem. Ich übrigens auch. Wenn du finite Ressourcen hast, dann solltest du nachhaltig wirtschaften. Das tun wir nicht.
Stellt sich raus: Die meisten Kinder kriegen Menschen in Armut. Das hat die Biologie so eingerichtet. Wenn nur wenige deiner Kinder überleben, bis sie erwachsen sind, dann setzt du halt mehr Nachwuchs in die Welt. Und machst damit das Problem schlimmer, weil mehr Menschen leiden.
Bill Gates sorgt jetzt dafür, dass weniger Kinder sterben. Das führt kurzfristig zu einem Sinken des Leidens auf dem Planeten, und langfristig zu fallendem Bevölkerungswachstum. Das jetzt so zu spinnen als wolle Bill Gates Menschen umbringen ist ungefähr so absurd wie Vergewaltigungsopfern die Abtreibung zu verbieten, weil Abtreibung ja Mord ist. Ihr solltet euch alle schämen, wenn ihr auch nur in Erwägung gezogen habt, Bill Gates diesen Vorwurf zu machen.
OK OK Fefe, aber der Bill Gates will uns doch alle microchippen, damit wir besser unterjochbar sind!!1! Äh, … nein. Die Stiftung von Bill Gates zahlt für alle möglichen Forschungsprojekte. Eines davon war, ob man so eine Art QR-Code mit Spezialtinte als fünf Jahre haltentes Tattoo in der 3. Welt aufbringen kann, um in wirklich strukturschwachen Regionen trotzdem wiedererkennen zu können, ob man jemanden schonmal geimpft hat. In Ländern, wo es keine Impfausweise gibt, keine Pässe, nicht mal ein Geburtenregister. Ist das eine tolle Idee mit den Quanten-Punkten? Gute Frage. Ich sehe Vor- und Nachteile. In unserem Land zwingen wir Leute dazu, einen Personalausweis zu haben und bei Bedarf vorzeigen zu können. Und wir sammeln ihre biometrischen Daten ein. Ich finde nicht klar, wie jemand die Quanten-Punkt-Idee kritisieren kann, der nicht auch gegen die Ausweispflicht in Deutschland auf die Straße gegangen ist.
Zusammenfassend also: Wenn jemand Bill Gates und Verschwörung in einem Kontext verwendet, dann könnt ihr im Allgemeinen die gesamte Äußerung getrost im runden Bullshit-Ordner abheften.
Im Übrigen müssen wir hier glaube ich mal eine Medienkompetenzübung zu Medizin-Journalismus machen. Dass läuft üblicherweise so ab. Anfang März kommt ein Journalist zur WHO, fragt, ob man sicher wisse, dass Covid-Infizierte Immunität aufbauen, und die WHO dann den Sachstand korrekt als "Nein, wissen wir nicht sicher" wiedergibt, dann steht in der Presse: "WHO: Patienten bauen möglicherweise keine Immunität auf". Und beim Leser kommt dann an: "WHO: Man kriegt Covid mehrfach".
Update: Und wenn der Westen die WHO wegen dieser Taiwan-Farce kritisieren, könnte ich das auch ernst zu nehmen in Erwägung ziehen, wenn der Westen nicht vorher dafür gesorgt hätte, dass die WHO fiskalisch von den Chinesen abhängig ist, die offenbar immer zeitnah und in voller Höhe ihre Beiträge zahlen.
Update: Stellt sich raus: Doch, die WHO vertritt Genitalverstümmelung. Aber halt bei Männern, nicht bei Frauen. Gut, aber die WHO ist ja evidenzbasiert, das müsste man ja dann auch evidenzbasiert wegkriegen...?
Update: Alter Schwede. Je mehr Bullshit du von deinem Grundstück schaufelst, desto mehr Müll kommt hinterher. Aber Fefe, Bill Gates hat doch in Afrika Frauen sterilisieren wollen! Das sagt diese eine ultra-glaubwürdige katholische Bullshit-Seite!1!! Das ist ein Gerücht, das von katholischen Abtreibungsgegner-Fundamentalisten verbreitet wurde, die sich Sorgen machten, wenn Bill Gates da gegen Tetanus mit wissenschaftlichen Erkenntnissen kommt, dass der dann vielleicht auch an anderer Stelle die Bevölkerung mit evidenzbasiertem Denken korrumpieren könnte. Und hey, das ist ja wohl offensichtlich der Worst Case für jede organisierte Religion, wenn die Leute sich mit eigenständigem Denken infizieren.
Wisst ihr, was mich am meisten aufregt an dieser ganzen Nummer? Dass ihr euch von all den ekelhaften widerlichen Milliardären ausgerechnet den einen als Feindbild aussucht, der seine Kohle verschenkt, und zwar explizit mit dem Auftrag, den Menschen evidenzbasiert zu helfen. Ich stimme nicht an allen Punkten mit Bill Gates überein, z.B. findet er, dass genmanipulierte Pflanzen nötig sind, um die Bevölkerung des Planeten zu ernähren, und er ist ein Fan von neuen Atomkraftwerken. Aber zu seinen Anschauungen kam er durch Betrachten der Zahlen, nicht wie ich durch Ideologie und Worst-Case-Betrachtung. Selbst bei unfreundlichster Betrachtung der Realität kann man daraus keine Bösartigkeit konstruieren, höchstens eine Fehleinschätzung. Oder es kommt am Ende raus, dass er völlig Recht hatte.
Also. Wenn ihr Wut auf Milliardäre habt, dann nehmt euch doch bitte welche, die mit ihrem Geld schädliche Dinge tun. Wie wäre es mit den CEOs der Öl- und Tabakkonzerne. Oder den Chefs der "Investoren", die unseren sozialen Wohnungsbau gekauft haben, und jetzt Profitmaximierung machen. Oder wie wäre es mit den Chefs der Waffenkonzerne? Oder bleibt von mir aus bei Tech-Firmen. Aber dann geht man doch nicht gegen Bill Gates sondern gegen Leute wie Larry Ellison, der m.W. nie auch nur versucht hat, mit seiner Kohle mal etwas positives zu tun. Oder gegen Jeff Bezos von mir aus.
Update: Der Bill-Gates-Bullshit in meiner Inbox wird immer dichter. Jetzt kommen so Kritikpunkte wie dass Bill Gates impffixiert sei und seine Stiftung auch mal was für Bildung und Ernährung tun sollte. Und wisst ihr, was der erste Link in dieser Mail war? Telepolis von 2016. Und wisst ihr, was Telepolis 2016 schrieb? Ich zitiere mal:
Fakt ist: Die BMGF investiert mehr Geld in globale Gesundheits-, Bildungs- und Ernährungsprojekte als jede demokratisch gewählte Regierung der Welt.
Leute, ich hab echt keinen Bock auf euren Spam. In Fragen wie Bill Gates bin ich nicht an eurer Meinung sondern an Argumenten interessiert. Wer es nicht schafft, mir Argumente zu schicken, die die ersten 10 Sekunden nach Öffnen der E-Mail überleben, der sollte mir und sich selbst den Gefallen tun und mir lieber keine Mails schicken.
Laut WHO können durch den Einsatz von künstlicher Intelligenz und Big Data Prognosen über die weitere Verbreitung des Virus' gestellt werden. Und nicht zuletzt sollen dabei sogar Infizierte ermittelt werden können, die noch gar keine Symptome aufweisen.BINGO!!!Die Blockchain-Technologie hat aber nach Ansicht von Experten auch das Zeug dazu, die Pandemie in anderer Hinsicht ausbremsen zu helfen und weitere gesundheitliche Gefährdungen der Bevölkerung in der Zeit des globalen Güterhandels zu verringern.
Wer hängt denn da alles an der Titte des Staates, um die labende Muttermilch der Subventionen abzugreifen?
Darunter sind IT-Konzerne wie IBM, Oracle, Microsoft und das Blockchain-Unternehmen Hacera.m(
Bei allem Geheule über die unfassbare Komplexität und die ständigen Lücken in Browsern: Das hier ist noch viel schlimmer.
#include <string.h>
int main() {
char buf[10];
memcpy(buf,"fnord",6); // ok
memcpy(buf,"fnordfnord",11); // not ok
}Wieso heult der Compiler da nicht? Weil der Compiler nur die Typen kontrolliert, und die sind hier OK.Es gab da jetzt mehrere Ansätze, wie man dieses Problem lösen kann. Einer davon ist der hier:
$ gcc -O -o t t.c -D_FORTIFY_SOURCE=1 $ ./t *** buffer overflow detected ***: ./t terminatedDas hat mehrere Nachteile. Es funktioniert nur mit -O oder stärkerem Optimizer. Es funktioniert nur auf einige eingebaute Funktionen. Es funktioniert nur, wenn das Ziel ein Buffer und kein Pointer ist (weil das über Makros implementiert ist, die sizeof() benutzen). Und es fügt zusätzlichen Code ein, der das Programm langsamer machen wird.
Hier ist die neue Lösung mit den oben beschriebenen Attributen:
#includeWenn wir das mit dem neuen gcc kompilieren, auch ohne Optimizer, gibt es diese Warnung (auch wenn gar keine Warnungen angeschaltet wurden!):__attribute__((access(read_only,2,3), access(write_only,1,3))) void* memcpy2(void* dest, const void* src, size_t len) { return memcpy(dest,src,len); } int main() { char buf[10]; memcpy2(buf,"fnord",6); // ok memcpy2(buf,"fnordfnord",11); // should reject or at least warn }
t.c: In function ‘main’:
t.c:11:3: warning: ‘memcpy2’ writing 11 bytes into a region of size 10 overflows the destination [-Wstringop-overflow=]
11 | memcpy2(buf,"fnordfnord",11); // should reject or at least warn
| ^~~~~~~~~~~~~~~~~~~~~~~~~~~~
t.c:4:7: note: in a call to function ‘memcpy2’ declared with attribute ‘write_only (1, 3)’
4 | void* memcpy2(void* dest, const void* src, size_t len) {
Auch diese Lösung hat Nachteile. Auch sie funktioniert nur, wenn der Compiler die Größe des Zielbuffers kennt, und die Länge der Quelle zur Compilezeit feststeht. Auf der anderen Seite kann man durch Inlining den Kontext der für den Compiler zur Compilezeit sichtbaren Konstanten erweitern, es erzeugt keine Laufzeitkosten, funktioniert auch ohne Optimizer und man kann seine eigenen Funktionen annotieren, um diese Diagnostik im Compiler freizuschalten. Das ist schonmal ein guter Schritt nach vorne, insbesondere da Microsoft vergleichbare Funktionalität seit Jahrzehnten bietet. Die verwendet außer Microsoft selbst kaum jemand, weil die Windows-Coder alle doof sind. Das wäre jetzt die Gelegenheit für die Linux-Gemeinde, es denen mal so richtig zu zeigen!!1!
New hotness: Googles Cloud ist voll.
Heute ist dann wohl der Tag, wo die Leute merken, dass der Schlüssel zu skalierbarer Leistung nicht "dann kaufen wir halt mehr Server" ist, sondern "wir achten darauf, dass das Teil wenig Ressourcen braucht".
Update: Microsoft will jetzt Office 365 drosseln. Das ist ja auch ein Vorbild an Sparsamkeit und Zurückhaltung, dieses Office 365. Hey, ich habe einen Vorschlag. Schaltet doch mal für ein paar Wochen die Telemetrie ab! Ihr werdet euch wundern, wieviel Kapazität dann plötzlich wieder frei ist!
Update: Nach "Start Me Up" zur Einführung von Windows 95 gibt es jetzt wieder einen Stones-Song für Microsoft :-)
Das Pentagon hatte doch einen monströsen Cloud-Deal ausgeschrieben, im Wert von zweistellig Milliarden Dollar. Unfassbar viel Geld. Amazon hätte es als Platzhirsch normalerweise gekriegt, aber Jeff Bezos hat ja mit ein paar Münzen aus seiner Sofaritze die Washington Post gekauft, und die mag den Trump nicht so. Der Trump mag die auch nicht.
Also hat Trump persönlich interveniert, in seiner Rolle als Oberbefehlshaber des US-Militärs, und hat denen gesagt, sie sollen lieber bei Microsoft Azure kaufen. Das jedenfalls glaubt Amazon, und gänzlich absurd ist die Vorstellung ja nicht.
Jedenfalls hat Amazon dann angefangen, vor Gericht herumzustänkern. Und jetzt? Jetzt hat ein Bundesrichter entschieden, dass die Arbeit am Pentagon-Azure erstmal gestoppt werden muss.
Stellt euch mal vor, ihr arbeitet bei Microsoft an Azure, und dann kommt so ein vergifteter Auftrag vom Pentagon rein. Ihr würdet gerne glauben, dass ihr den gekriegt habt, weil euer Angebot besser war. Und war es vielleicht auch. Das muss gerade echt für alle eine Scheißsituation sein. Außer Trump. Der badet ja gerne in Fäkalien, den stört der Gestank nicht.
Ja, äh, Leute, was habt ihr denn gedacht, was passiert, wenn ihr Anwendungen Passwörter speichern lasst? Dass da ein Angreifer nicht drankommen würden?
Fakt ist: Wenn ihr euch einloggt, und die Software kommt ohne dass ihr das Passwort nochmal eingeben müsst irgendwo dran, dann kommt auch andere Software oder ein Angreifer auf eurem System dran. Das ist simple Logik.
So und jetzt denken wir mal gemeinsam nach, was man da tun könnte. Lösung 1: Passwörter nicht speichern.
Lösung 2: DPAPI. Das ist Microsofts Standardlösung. Die speichert das auch verschlüsselt, aber mit eurem Login-Passwort verschlüsselt, nicht mit einem statischen Key.
So, ist das jetzt besser? Wir erinnern uns kurz daran, dass die Prämisse war, dass ihr einen Angreifer auf dem System habt. Der kann natürlich auch einfach eure Tastatureingaben mitschneiden. Und dann hat er sowohl im einen als auch im anderen Fall eure Passwörter.
Wenn die Annahme ist, dass jemand euren Rechner aufgehackt hat, dann habt ihr verloren, egal was Teamviewer tut.
Wir reden hier also über ein anderes Szenario, gegen das wir verteidigen wollen, nämlich dass euer Laptop geklaut wird.
Wenn ihr euch darüber Sorgen macht, dann macht ihr hoffentlich full disk encryption. Sowas wie Bitlocker unter Windows oder vielleicht Veracrypt oder LUKS oder so. Und dann ist es auch egal, wie oder ob Teamviewer die Passwörter verschlüsselt.
Wenn ich bei Teamviewer einen Audit machen sollte, hätte ich angekreidet, dass sie nicht DPAPI benutzen. Aber so zu tun als sei hier eine fette Sicherheitslücke gefunden worden, das ist absurd. Wichtiger als dass das in der Registry steht ist die Frage, wieso Teamviewer die Credentials per Default überhaupt abspeichert. Das Feature sollte wenn dann opt-in sein. Stattdessen findet man im Internet diverse Foren, in denen Leute fragen, wie sie das abgeschaltet kriegen. DAS ist der gültige Kritikpunkt an dieser Stelle. Nicht dass der Key statisch ist.
Das Argument würde natürlich viel ernster genommen, wenn es Malware gäbe, die über einen 0-day im Antivirus reingekommen ist.
Nun, … *drumroll* … die gibt es jetzt.
Hackers exploited a Trend Micro OfficeScan zero-day to plant malicious files on Mitsubishi Electric serversIch finde ja bei sowas immer, dass man nicht warten muss, bis die 0-days ausgenutzt werden. Remote Desktop und Antiviren sind beides Dinge mit viel zu viel Komplexität. Das kann praktisch gar nicht sicher sein.Benutzt ihr Wordperfect? Wem das nichts sagt: Googelt das mal. Das ist eine Textverarbeitung von früher, bevor alle nur noch bei Microsoft gekauft haben.
Habt ihr wahrscheinlich nicht. Aber der Antivirus muss einen Parser dafür haben. Könnte ja Malware drin sein. Schwupps habt ihr mehr Angriffsoberfläche. Die Schlangenöler sagen immer, wie viele Viren sie angeblich erkennen. Fragt mal euren Vertriebsbeauftragten, wieviele Dateiformate sie können. Stellt die Frage am besten so, dass es klingt, als hieltet ihr das für vorteilhaft, wenn das Ding viele Dateiformate versteht.
Der Verzicht auf unnötige Angriffsoberfläche ist die älteste Maßnahme in der IT Security. Dienste zumachen, die man nicht braucht. Ports zumachen, die man nicht braucht. IPs filtern, die nicht erreichbar sein müssen. Software deinstallieren, die nicht gebraucht wird. Schlangenöl ist die Antithese davon, und irgendwie scheint es niemand wahrzunehmen. Schlangenöl ist das Gegenteil von Security.
Update: Oh ach gucke mal, ich war ja gar nicht der einzige Rufer in der Wüste: Thierry und Sergio haben auf der Cansecwest 2008 auch was dazu vorgetragen. *winke*
Ihr schleust eure Einnahmen durch Puerto Rico, wo deine Steuerberater von KPMG aus der chronisch klammen örtlichen Regierung einen praktisch steuerfreuen Deal herausgehandelt hat.
Das Finanzamt des Bundes ist damit nicht einverstanden, untersucht euch und will ein Exempel statuieren.
Was tut ihr?
Na klar! Ihr bringt eure gesamte Lobbymacht auf, um das Finanzamt kaputtzumachen. Der Deal war ungefähr so, wie man das auch aus dem Double Dutch Sandwich kennt: Eine örtliche "Niederlassung" mit 85 Mitarbeitern besitzt auf dem Papier die "Intellectual Property" und deren Lizenzforderungen fressen dann anderswo die ganzen schönen Profite auf. Die fallen dann bei der Niederlassung in Puerto Rico an, wo man aber eine Steuerrate von nahe 0% ausgehandelt hat.
Das Problem bei solchen Deals ist ja immer, dass man dann zwei Bücher braucht. Eines für das Finanzamt, wo man ein armer Schlucker nahe des Bankrotts ist, und eines für die Investoren, auf Basis dessen man denen vollmundige Versprechungen machen kann. So sah das bei Microsoft aus:
In one instance, Microsoft had told investors its revenues would grow 10% to 12% but told the IRS the figure was 4%. In another, the IRS found Microsoft had understated revenues by $15 billion.Jahaaa, ich sage euch, 15 Milliarden hier, 15 Milliarden dort, nach einer Weile kommt da richtig Geld zusammen!Wer sich jetzt denkt, ach komm, Microsoft hat so viel Macht, das machen die doch mit links, der unterschätzt die Signalwirkung, die so ein Verfahren auf den Rest der bescheißenden Industrie hat. Die haben alle Angst gehabt, weil der Bill Gates doch immer von seinem Altruismus und seiner Stiftung erzählt, dass der vielleicht sowas wie ein Gewissen entwickelt und freiwillig Steuern zahlen könnte. Und DAS geht ja nun mal GAR nicht. Also sprangen sie freiwillig Microsoft zur Seite.
Business organizations, ranging from the U.S. Chamber of Commerce to tech trade groups, rallied, hiring attorneys to jump into the fray on Microsoft’s side in court and making their case to IRS leadership and lawmakers on Capitol Hill. Soon, members of Congress, both Republicans and Democrats, were decrying the IRS’ tactics and introducing legislation to stop the IRS from ever taking similar steps again.Erinnert ein bisschen an die Steuerfahnder aus Frankfurt. Die wurden ja auch kaltgestellt, weil sie ihre Arbeit zu machen versucht haben. Ihr erinnert euch?Wie ist das jedenfalls ausgegangen? Noch gar nicht. Das gammelt vor Gericht vor sich hin.
Last year, the company’s allies succeeded in changing the law, removing or limiting tools the IRS team had used against the company. The IRS, meanwhile, has become notably less bold. Drained of resources by years of punishing budget cuts, the agency has largely retreated from challenging the largest corporations. The IRS declined to comment for this article.Was sollen die da auch noch groß kommentieren. Die Fakten sprechen ja für sich.
Das ist m.W. das erste Mal, dass eine der großen Cloud-Firmen Kundendaten verliert. Also die Firma selber jetzt, nicht ihre Kunden.
Und: Microsoft setzt Elasticsearch ein? Das ist immerhin ein großer Datenbank-Anbieter! Haben die da nichts eigenes?
Und hat sich Sorgen gemacht, dass Microsoft in letzter Zeit so wenig versucht hat, ihren Usern unter illegaler Ausnutzung ihres Monopols ihre unterperformenden Ranztechnologien überzuhelfen, ob sie wollen oder nicht?
Gut, in Sachen erzwungene Windows-Updates und endlosem Rumgenerve, man möge Windows 10 installieren, war Microsoft eher nicht zurückhaltend. Aber es gab schon länger kein DU WIRST JETZT INTERNET EXPLORER BENUTZEN!!1! mehr.
Keine Sorge. Das Warten ist vorbei. Microsoft installiert jetzt allen Office 365-Usern ungefragt und ungebeten eine Chrome-Extension, die die Suchmaschine zu Bing umstellt.
Ach komm, Fefe, ich verwende Firefox, das betrifft mich nicht!
Support for the Firefox web browser is planned for a later date.Ach komm, Fefe, das ist doch nur die englische Seite, sowas würden die sich in der EU nie trauen!At this time, the extension will only be installed on devices in the following locations, based on the IP address of the device:- Australia
- Canada
- France
- Germany
- India
- United Kingdom
- United States
Doch, würden sie!Es ist allerhöchste Zeit, dass die EU diese Firma mal in ganz kleine Teile zertrümmert. Alternativ müsste einfach ein Gericht urteilen, dass man denen die Arbeitszeit für das Rückgängigmachen in Rechnung stellen kann. Dann könnte ich damit auch gut leben.
Ransomware droht dein Business runterzufahren, wenn du nicht zahlst. Die Cloud auch.
Ransomware basiert darauf, dass du deine Daten da nicht ohne Hilfe rausextrahiert kriegst. Die Cloud auch.
Wieso betrachten wir Ransomware als Erpressung aber Microsofts Windows-7-Supportgebühren für Behörden nicht?
Gut, bei der Cloud kriegst du einen Account Manager. Ich hörte aber, bei Ransomware kümmert sich auch ein Account Manager darum, dass du deine Daten entschlüsselt kriegst. Jetzt wo ich drüber nachdenke... Ich habe noch nichts Negatives über den Kundendienst von Ransomware-Anbietern gehört. Im krassen Gegensatz zu allen anderen Teilnehmern der Softwarebranche.
OK, niemand will Ransomware haben. Die müssen ihren Scheiß unter Vortäuschung falscher Tatsachen unterjubeln.
Genau wie die Antivirusindustrie!
Update: Jetzt kommt hier jemand und argumentiert, aber bei Cloud würde der Kunde ja freiwillig mitmachen.
Genau wie bei Ransomware!
Er ist bei Ransomware nur vorher nicht gut darüber informiert, welche Auswirkungen sein Click haben wird.
Hey, genau wie bei Cloud-Anbietern! :-)
Update: Es soll ja Leute geben, die ihre Daten in die Cloud schieben, um sich vor Ransomware zu schützen!
Es gibt mehrere interessante Aspekte an der ganzen Sache.
Erstens: Der Code sah sauber aus. Das war ein Logik-Bug. Der Code sah richtig aus. Man musste wirklich die Materie verstanden haben, um zu verstehen, dass es da ein Problem gibt. Kudos an die NSA, dass sie das überhaupt gesehen haben.
Zweitens: Es hieß initial, der Bug ginge 20 Jahre oder so zurück. Das stimmt wohl doch nicht. Der Bug wurde 2015 eingebaut. Das finde ich ja nun wieder hochinteressant. Denn wir reden hier von ECDSA. ECDSA war damals schon angeschossen, weil es so fragil ist, und es so einfach ist, damit einen Totalschaden zu produzieren. Die Playstation war über ihr DSA gehackt worden. djb hatte bereits mit explizitem Hinweis auf die Fragilität von ECDSA und den NIST-Kurven seinen Gegenvorschlag Ed25519 publiziert. Und unter diesen Umständen haben die den Code nochmal angefasst und ihn schlimmer gemacht. Dazu muss man wissen, dass Krypto-Code so der am wenigsten volatile Code überhaupt ist. Alle sind sich bewusst, wie kritisch da jedes Bit und jeder CPU-Zyklus ist, und keiner will da irgendwas anfassen. Das ist auch bei Microsoft so. Insofern wollte ich das alles erstmal gar nicht glauben. Allerdings gibt es einen Grund, doch den Krypto-Code anzufassen, nämlich wenn sich die Spec ändert, oder man noch einen Aspekt aus der Spec implementieren muss, den man vorher nicht supported hat.
In diesem Fall war das das Feature, dass im Handshake die Kurvenparameter übertragen werden, und nicht bloß die paar hart eingebrannten NIST-Kurven verwendet werden können.
So und jetzt kommt der echt peinliche Teil. Hier ist die Spec. Die sagt ausdrücklich:
implicitCurve and specifiedCurve MUST NOT be used in PKIXundspecifiedCurve, which is of type SpecifiedECDomain type (defined in [X9.62]), allows all of the elliptic curve domain parameters to be explicitly specified. This choice MUST NOT be used.Verschwörungstheoretiker wären jetzt vielleicht geneigt, hier von einer Bugdoor zu sprechen, also eine Backdoor, die wie ein Versehen aussieht.Bleibt die Frage, wieso die NSA das publik macht. Den einen Grund dafür kann man gerade gut beobachten. Die lassen sich als Helden feiern. Zum ersten Mal in ihrer Geschichte haben sie etwas Positives gemacht. Und einige Deppen glauben ihnen jetzt vielleicht sogar ihr Blablah, dass sie eine neue Seite aufschlagen wollen und ab jetzt wichtige Lücken nicht ausnutzen sondern melden wollen. Das ist natürlich absurd.
Ich glaube ja, die NSA hat das gemeldet, weil ihr eigener Arsch gefährdet war. Die NSA hat nämlich in den USA eine Doppelrolle und erledigt auch den Teil mit, den bei uns das BSI separat macht. Die schreiben die Anforderungsdefinitionen für Militär und Behörden. Und da haben sie reingeschrieben, dass Elliptische Kurven total geil und sicher sind, als bei uns noch Rüdi auf dem Congress gewettert hat, was das für eine unbewiesene spekulative Voodoo-Technologie sei, und dass man lieber bei RSA bleiben soll. Die haben sich damals ziemlich fett auf elliptische Kurven committed, und das Militär ist ihren Empfehlungen gefolgt. Microsoft hat Support für elliptische Kurven überhaupt nur eingebaut, soweit ich weiß, weil die NSA das den Behörden in die Anforderungen geschrieben hatte, und Microsoft gerne weiter Behörden beliefern können wollte.
Wenn jetzt also rauskommt, dass es einen Bug gibt, in einem von der NSA empfohlenen "sicheren" System, das der inhärenten Fragilität des Systems geschuldet ist, dann beschädigt das den Ruf der NSA.
Übrigens, bei solchen Bugs müsst ihr immer einen Spruch im Hinterkopf behalten: Wenn schon das A-Team solche Fehler hat, wie sieht dann erst der Code des B-Teams aus?
Ich behaupte daher: Das Verhalten der NSA ist ohne plötzlich aufkeimenden Altruismus zu erklären.
Ich will hier mal auf ein paar ansonsten möglicherweise ausgelassene Vorträge hinweisen:
An späteren Tagen gibt es noch einen Talk mit Ross Anderson, den darf man nicht verpassen. Googelt den mal. Der hat das Standardwerk über Security Engineering geschrieben. Ich habe den mal live erlebt, wie er beim Innenministerium auf einer Veranstaltung einen Vortrag nach einem Microsoft-Fuzzy hielt. Der Microsoft-Fuzzy hatte da Powerpoint mit Animation und Sound, kleine Viren hüpften rum und fraßen deine Daten. Für Ross trugen sie einen OH-Projektor rein und er trug dann handgeschrieben mehrfarbige Folien vor. Also Folien-Folien. Nicht Computer. Den Mann muss man mal erlebt haben.
Our engineering team(s) determined that a fix for this issue does not meet our criteria for immediate security servicing.Mit anderen Worten: Das kommt jetzt in den Bugtracker-Friedhof neben die anderen ewig offenen Bugs, wird Teil der Bugwelle von Office. Ja super!
They proposed using AI/ML to analyze the video streams from existing CCTV cameras to monitor workers throughout the oil field. In particular, they wanted to implement computer vision algorithms that could detect suspicious activity and then identify the worker engaging in that activity.Und an dieser Stelle ist direkt noch ein weiteres Detail interessant:The TCO managers were mostly Americans and, with one exception, all white men. They wore monochrome suits and polished leather shoes. I felt out of place wearing sneakers and an oversized button-down. There was not a single Kazakhstani in the room.Und wenig überraschend verhalten die modernen Kolonialisten genau so wie die von früher und haben überhaupt keine moralische Zurückhaltung, welches Verhalten gegenüber den faulen, ungebildeten Untermenschen von Ureinwohnern der Kolonie akzeptabel ist.Das ganze Szenario erinnert ein bisschen an den alten Witz, wie der liebe Gott es gut mit uns meint und uns ganz viel Öl gab. Komisch nur, dass er es unser schönes Öl bei den Arabern verbuddelt hat.
Die nächste Version von Edge hat einen Tracker-Blocker, der (schon aus Marktanteilgrübden) vor allem Google wegfiltert.
Google hat vorgesorgt und bietet seit einigen Jahren einen Proxy an, durch den man seinen Traffic routen kann. Warum würde man das tun? Nun, Google sagt, das spart Bandbreite. Als das in den Anfangstagen mal jemand nachgemessen hat, kam raus: Spart so 10% Traffic. Wenn's hoch kommt.
Hey, psst, wisst ihr, was noch mehr Traffic spart? Werbung und Tracker rausfiltern!
Wenn Microsoft das ernsthaft durchzieht, bin ich mal gespannt, wie lange es dauert, bis Google juristisch dagegen vorzugehen versucht. Oder das gibt jetzt ein endloses Katz- und Mausspiel.
Einer der Abgeordneten hinter dem Vorschlag, Oleg Nikolayev von der Partei "Einiges Russland", sagte der russischen Nachrichtenagentur Interfax, auf neuen Geräten seien hauptsächlich westliche Apps und Programme vorinstalliert, sodass Nutzer denken könnten, es gebe keine einheimischen Alternativen. "Wir wollen den Nutzern auch russische Anwendungen anbietenDie Idee klingt attraktiv, aber nur für den Fall, wo es auch eine konkurrenzfähige russische Alternative gibt. Ansonsten macht sie die Sache eher schlimmer. Ich bin jetzt nicht so der Experte für den russischen Softwaremarkt, aber Marken, von denen man schonmal gehört hat, sind Yandex, Telegram und Kaspersky.
Verbote sind natürlich ein hartes Mittel, aber die grobe Idee gibt es ja auch bei uns beispielsweise mit der Förderung deutschsprachiger Filme und Musik und dem sog. Kulturauftrag der öffentlich-rechtlichen Sender.
Nun kann man sich natürlich streiten, ob nicht so ein Verbot vielleicht erst der geeignete Anreiz ist, damit sich eine nationale Alternative als tragfähiges Geschäftsmodell etablieren kann. Das würde mich ehrlich gesagt wundern. Es gab ja auch in der EU Zwang auf Microsoft, den Media Player und IE zu entbundeln. Die Ergebnisse waren … sehr übersichtlich.
Wie geil! Hat hier jemand Server unter Windows laufen? Ich habe Leute, die ihre Server unter Windows fahren, ja schon immer öffentlich ausgelacht. Aber das ist als Strafe ja schon ein bisschen harsch.
Wäre das nicht schön, wenn wir in diesem Lande sowas wie digtale Souveränität hätten, und uns nicht von Microsoft zum Cloud-Umzug erpressen lassen müssten?
Update: Wobei das natürlich Unfug ist, dass es keine Nachfolger gibt. Weiß nicht, wo Heise sich da "informiert" hat.
Aber ihr habt euch nicht getraut, weil ihr da keinen Windows Defender habt, um euch für der bösen Malware zu schützen?
Dann habe ich großartige Nachrichten für euch: Microsoft portiert ihr Schlangenöl gerade nach Linux und nennt es "Microsoft Defender".
Endlich wird Linux Enterprise-fähig und telefoniert auch mal industrie-standard-konform ständig nach Redmond!!1!
Unter anderem erzählt er von einem Spontan-Besuch von Steve Ballmer, der dafür extra seinen Skiurlaub in der Schweiz unterbrach.
Aber dann sagte er, ich stünde vor einer katastrophalen Fehlentscheidung, die ich niemals vor irgendwem verantworten könne, vor allem vor keinem Steuerzahler.Aber nicht nur Ballmer kam vorbei, auch Bill Gates himself.Er machte witzigerweise während des Gesprächs ständig neue finanzielle Angebote, was Microsoft noch alles zusätzlich dazugäbe, für das Schulreferat zum Beispiel. Laufend wurden die um eine Million und noch eine Million und noch eine Million und später ein Dutzend Millionen günstiger als zuvor. So wichtig war Microsoft die international als IT-Hochburg wahrgenommene abtrünnige Landeshauptstadt München als Symbol.
Nachdem ich jetzt nicht der hartgesottene IT-Spezialist bin, der einem Bill Gates gewachsen wäre bei jedem Detail, habe ich nur gesagt: „Bitte nehmen Sie zur Kenntnis, es geht uns um die Unabhängigkeit. Wir wollen nicht abhängig sein.“ Dann sagte er: „So ein Unsinn, von wem denn abhängig?“ „Weil Sie schon mal da sind: Von Ihnen natürlich!“ Das hat ihn richtig in sich zusammenfallen lassen, und er hat gesagt: „Es ist für mich unbegreiflich, das ist Ideologie.“Dabei ist die Idee für die Migration überhaupt erst dadurch entstanden, dass Microsoft unilateral den Support einstellte und München sich dadurch von ihnen erpresst fühlte.
Mich wundert daran nicht das Ergebnis, sondern dass das ausgerechnet eine US-Firma ausprobiert hat, und dann auch noch in Japan.
Ich entwickle mein Forth ja unter Linux, und die Windows-Variante ist unter den Windows-Anhängern nicht so wahnsinnig populär. Ich habe dafür trotzdem so einen Signatur-Voodoo-Key, was einem ganz gut hilft gegen false positives, denn mir sind auch schon Windows-Distributionen weggelöscht worden von diesem Snake-Oil-Zeugs. Das tut anscheinend, jedenfalls ist die gforth.exe nicht verbrannt. Ähnlich bin ich mit bigForth vorgegangen, und das hat auch geklappt (also, derzeit keine false positives, obwohl das mal früher schon ein Problem war).Die Leute, die Win32Forth entwickeln, sind da viel unbedarfter drangegangen, haben sich kein Zertifikat besorgt, und nichts gegen die ersten false positives unternommen. Deren System wird inzwischen von 14 recht populären Snakeoils erkannt, wobei Microsoft dabei ist. Da hat man dann kaum noch Chancen, damit durchzukommen. Die sind jetzt ziemlich verzweifelt, und überlegen sich, ob sie einfach alle auf Linux umsteigen, und ihr Forth unter Wine weiterbetreiben (wobei natürlich die Frage ist, wozu sie das dann noch da dran weiterentwickeln — aber als Windows-Nutzer kommen sie halt mit der GPL sehr grundsätzlich nicht klar, und ich habe auch irgendwie den Eindruck, dass es auch noch andere Gründe gibt, warum die an Windows festgepappt sind, und die hängen an der generellen Kompetenz — die ursprünglichen Entwickler von Win32Forth sind längst nicht mehr dabei).
Nun, da gibt es eine ganz einfache Erklärung für. "Präsident" Trump hat das persönlich befohlen.
Denn Amazon gehört ja Jeff Bezos, und Jeff Bezos gehört auch die Washington Post.
Und DAS ist ja wohl mal völlig klar. Unabhängige Berichterstattung über Donald Trump darf sich nicht lohnen.
According to Snodgrass' book, Trump called Mattis during summer 2018 and directed him to "screw Amazon" out of the opportunity to bid on the contract.Nur falls jemand Zweifel hegte, auf welchem Niveau das ablief. (Danke, Stefan)
Zum Thema "Schlangenöl nimmt Webseite als Geisel und verhindert, dass Leute mit gängigen Browsern sie überhaupt zu Gesicht bekommen" möchte ich dir über meine Erlebnisse erzählen. Betrachte dich also bitte als Kummerkasten ;) Vielleicht findest du aber auch den ein oder anderen (Ab-)Satz für deine Leser interessant; in diesem Falle: bedien dich. (Und spring' von mir aus gleich zum TL;DR am Ende :)Lacher am Rande: Die Schlangenöl-Community macht das auch so. Die müssen sich ja auch ihre Samples gegenseitig zuschicken. Die tun das auch in ZIP-Files mit Standardpasswort.Im Vorfeld: Ich bin, was amoklaufende Virenscanner angeht, schon einiges gewohnt. Ich bin in der Demoszene aktiv (also jetzt nicht der mit den brennenden Autos, sondern der mit den Grafikdemos), insbesondere im Bereich 4k- und 64k-Intros, also Demos mit einer Größenbeschränkung auf wenige Kilobyte. Da kommen praktisch immer sehr spezielle Laufzeitpacker wie "Crinkler" (http://www.crinkler.net/) und "kkrunchy" (http://www.farbrausch.de/~fg/kkrunchy/) zum Einsatz, um noch das letzte Byte herauszukitzeln. Dummerweise haben wohl auch mal Malware-Autoren diese Packer zur Obfuscation benutzt, und da Schlangenöl-Hersteller das Brett an der dünnsten Stelle bohren, haben sie, anstatt die Malware ordentlich zu analysieren, einfach die Packer auf die schwarze Liste gesetzt. Da ich selbst ein paar mit besagten Packern komprimierte, aber an sich völlig harmlose 4k- und 64k-Intros auf meiner Webseite hoste, habe ich schon mehrfach von meinem Hosting-Provider böse Mails bekommen, ich möge doch binnen X Stunden meine Site saubermachen, sonst wird sie vom Netz genommen. Bisher ist das immer mit einer erklärenden Mail aufzulösen gewesen, zum Glück.
Andere Demoszener haben übrigens angefangen, ihre Intros in einer Form zum Download anzubieten, die automatisches Scanning unmöglich macht. Standard sind inzwischen ZIP-Archive, in denen die EXE-Dateien verschlüsselt abgelegt sind, und der Key steht in einer readme.txt oder so. Oder, ein besonders schräger Hack: Da liegt das Executable im Download-Archiv einfach ohne die "MZ"-Signatur (also die ersten zwei Bytes jedes Windows-Executables) vor. Erst eine mitgelieferte .bat-Datei klebt Header und Rest wieder zusammen und erzeugt eine gültige Windows-EXE.
Aber ich schweife ab.Irgendwann wurde es jedenfalls mit den Fehldetektionen noch schlimmer und Nutzer wurden daran gehindert, auch meine "normalen" Utilities, die nichts mit der Demoszene zu tun haben, herunterzuladen. Beliebte Ziele sind ein Tool, das in Python geschrieben ist und das ich für faule Windows-Nutzer mit einem Standard-Programm(!) in eine einzelne EXE verpackt habe. Oder ganz normale, mit Microsoft Visual C++ compilierte Executables.
Auch Google hatte mich schon immer auf dem Kieker. Der Aufruf des Verzeichnisses auf dem Server, in dem die Downloads lagen, führte schon länger bei Chrome-Nutzern zum gefürchteten "roten Bildschirm". Das war mir noch egal, aber vor zwei Wochen begann Google damit, meine gesamte .de-Domain als gefährlich einzustufen — einschließlich *aller* Subdomains, nicht nur der, wo das (angeblich) gefährliche Zeug lagert! Selbstverständlich wurde ich darüber nicht informiert (Mail an webmaster@meinedomain.de oder so? I wo!), ich habe es von Nutzern meiner anderen Webdienste erfahren, die auf anderen Subdomains liegen sind als der persönliche und Demoszenen-Kram.
Nun gibt es bei Google keine öffentliche, funktionierende Möglichkeit, "false positives" zu melden. Es gibt Dokumentation für Webmaster, was man tun soll, wenn Google Malware auf der eigenen Domain erkannt hat, aber die geht stets davon aus, dass man wirklich mit irgend einem Wurm infiziert ist. Die Option auf eigenen Irrtum scheint Google gar nicht zu kennen. Vor allem kriegt man nicht einmal heraus, *welche* konkreten Inhalte denn als schädlich erkannt wurden.
Es gibt aber eine Möglichkeit, nämlich die "Search Console". Um die zu nutzen, muss man sich gegenüber Google mit einem permanentem DNS-TXT-Record als Besitzer der Domain ausweisen (wohl dem, der die DNS-Records seiner Webseite unter Kontrolle hat!). Die Console selbst ist eher für SEO-Kram gedacht, aber da gibt es auch einen Menüpunkt "security issues" und tatsächlich stehen dort mal ein paar konkrete URLs von angeblich bösen Inhalten. Überraschenderweise waren das bei mir nicht die erwartete Handvoll Demoszenen-Intros, sondern nur eine zehn Jahre alte .tar-Datei mit einer Library, die als Beispielprogramm ein kkrunchy-gepacktes Windows-Executable enthielt. (Das Programm selbst war völlig harmlos: Es handelte sich um einen schlichten MP3-Player.) Nun ja, da gibt es einen "I have fixed the issues, request review"-Button, also hab' ich den mal gedrückt und im Freitextfeld eingegeben, dass es ein "false positive" ist (mitsamt ein paar Erläuterungen, wie was wo warum). Zwei Tage später die Antwort: Meinem Review Request konnte nicht stattgegeben werden, die Malware sei immer noch da. Die haben meine Erklärung gar nicht gelesen! Also habe ich die inkriminierende EXE-Datei aus dem Archiv entfernt und das Archiv zudem umbenannt (die ganze Library ist eh' obsolet). Nochmal "request review" gemacht, mit Freitext "ich hab's jetzt entfernt, aber ehrlich jetzt, Jungs, das wäre gar nicht nötig gewesen, weil …". Daraufhin: Nichts. Eine Woche lang keine Reaktion. Nach einer anderthalben Woche schaue ich nochmal in die Search Console, und siehe da: Jetzt ist ein anderes Programm der Stein des Anstoßes. Eins, das vorher schon da war. Eins, das nichtmal Crinkler oder kkrunchy benutzt, sondern schlicht UPX, den bekanntesten Executable-Packer überhaupt. Ein Bildbetrachter, in C++ geschrieben, mit Visual Studio compiliert und statisch gegen libjpeg-turbo und die Microsoft Visual C++ Runtime gelinkt. Das reicht also heutzutage aus, um mit einer ganzen Domain auf dem Malware-Index zu landen!
Zum Glück war das nur eine Testversion, also konnte ich die gefahrlos löschen und wieder den "request review"-Affentanz aufführen. Jetzt ist meine Domain erstmal wieder als unbedenklich markiert, aber für wie lange?TL;DR: Alles Scheiße.
Takeaway #1: Wenn Google deine Domain wegen angeblicher Malware-Infektion hops nimmt, erfährst du es nur indirekt von deinen Nutzern (außer du nutzt selbst Chrome mit aktiviertem "ich schicke erstmal jede aufgerufene URL an Google"-Phishing-Schutz, aber hey, das tust du natürlich nicht). Wenn du wissen willst, wo Google denn nun genau Malware auf deiner Domain gefunden hat, musst du an deinem DNS herummanipulieren und einen Google-Account haben, um die "Search Console" benutzen zu können. "False Positives" reporten geht nicht: Derlei Anfragen werden ignoriert, also lösch den Kram oder fuck you.
Takeaway #2: Es braucht nicht viel, um Schlangenöl zu triggern, deine (Windows-)Software als Malware zu erkennen.
- Laufzeit-Packer verwendet? Verdächtig!
- C-Library statisch gelinkt? Verdächtig! (siehe https://twitter.com/KeyJ_trbl/status/1138885991517839360 — selbst ein verdammtes "Hello World"-Programm wird schon von diversen Schlangenöl-Anbietern als Malware erkannt!)
- Python-Software mit PyInstaller (einem Standard-Paket in der Python-Welt) in eine einzelne Windows-EXE verpackt? Verdächtig! Wenn man (wie ich) möglichst kompakte Software für Windows (nur eine EXE-Datei, keine weiteren Dependencies) schreiben und veröffentlichen möchte, ist man quasi am Arsch.
Ich hab mich da immer aus der Ferne drüber totgelacht.
Mal ganz neutral analysiert ist das natürlich ein weiterer Fall von Externalisierung von Kosten. Wenn ich mir einen wirtschaftlichen Vorteil verschaffe, indem ich die durch meine Aktivitäten entstehenden Kosten Anderen aufdrücke. Wie bei Umweltverschmutzung und Atommüll. Die Tech-Riesen bieten einen Mail-Service an, und externalisieren die Spam-Kosten auf den Rest der Welt.
Ach ICH soll mir jetzt irgendwelche DNS-Records anlegen, und meine Mails vom Mailserver mit einem Domainkey digital signieren lassen, um EUER Spamproblem für euch einfacher lösbar zu machen? Go fuck yourself!
Oh aber selbst habt ihr nicht mal eine funktionierende abuse@-Adresse, wo man sich über von euch ausgehenden Spam beklagen könnte? Go fuck yourself!
Ihr verkauft Schlangenöl, das prinzipiell seine Funktion nicht erfüllen kann, und die Kosten für False Positives externalisiert ihr an … mich? Go fuck yourself!
Ich glaube, wir brauche mal eine Behörde für Digitalumweltschutz, die solche Geschäftsmodelle systematisch aus dem Verkehr zieht. Alle solche Firmen systematisch zumachen. Eine nach der anderen. Wer Kosten externalisiert, wird zugemacht. Und der Aufsichtsrat / der CEO / die Gründer / die Investoren sind persönlich haftbar für die Verfahrenskosten.
Ja aber Fefe wenn wir die ganzen Kosten selber tragen müssten, dann würde sich unser Geschäftsmodell nicht tragen!!1!
Wenn sich euer Geschäftsmodell nur durch Externalisierung von Kosten trägt, DANN TRÄGT ES SICH GAR NICHT. Man stelle sich mal vor, ein Wurstproduzent würde so argumentieren! Ja klar könnte ich hier Hygienestandards erfüllen, aber dann wäre das nicht profitabel!!1! Da würde doch niemand auch nur eine halbe Sekunde zögern, den aus dem Verkehr zu ziehen!
Ja klar könnten wir auch Bremsen in die Autos einbauen, aber dann wären wir preislich nicht mehr konkurrenzfähig!1!!
Unfassbar.
Man könnte annehmen, dass wenn es schon Ärger wegen einer Zusammenarbeit mit der Immigrationsbehörde gab, dass eine 10-Milliarden-Kooperation mit dem Pentagon dann noch deutlich mehr Stress gibt, aber das bezweifle ich. Die Amerikaner sind sehr unkritisch gegenüber ihrem Militär. Aber vielleicht gibt es im Ausland jetzt Backlash gegen Azure? Mal gucken.
ich hab noch eine Geschichte zur 42.zip von Microsoft Security Essentials: vor ein paar Jahren hatte ich mal die 42.zip runtergeladen. MSE hat es auch als Schadsoftware erkannt. Ich hatte die Datei dann erlaubt - und damit MSE unbrauchbar gemacht, denn MSE wollte die Datei dann trotzdem weiter untersuchen. Und "untersuchen" heißt da wohl zumindest im Speicher entpacken.Und
Damit waren dann RAM und ein CPU Kern ausgelastet. Japp, MSE hat die Datei als Zip-Bombe erkannt aber trotzdem versucht sie zu entpacken - und wollte auch nichts anderes mehr tun. Die Datei löschen hat nicht geholfen, in MSE konnte ich mit der Datei auch nicht löschen oder in Quarantäne schieben oder so. Also hab ich den Support von Microsoft gefragt. Die sahen aber kein Problem drin, dass MSE nun funktionsunfähig war und meinten nur sinngemäß "selber Schuld". Nach einigem suchen hab ich dann eine Lösung gefunden: MSE hat den erkannten Virus kopiert damit er nicht versehentlich verloren geht. Als ich das Verzeichnis gefunden hab und die Datei dort gelöscht hab konnte sich MSE wieder auf andere Dinge konzentrieren.
das könnte dir in dem Zusammenhang gefallen: Der Brave-Browser verbietet mir auch, 42.zip herunterzuladen.UndKein Schlangenöl im System, aber offensichtlich im Browser. Gnah...
Auch der T-Online Mailer (und sonstige ranzige E-Mail Provider) blocken 42.zip, und sogar beliebige .exe Dateien und man kann es nirgends ausschalten. Das Abuse Team kapiert bei Nachfrage ueberhaupt nicht wo das Problem liegt... weil "Sicherheit"... :)Ich finde das nur konsequent. Man kriegt ja von Internet-Providern auch kein Internet mehr sondern nur irgendeinen 192.168.*- oder 10.*-Scheiß.
Wieso tut da eigentlich kein Verbraucherschützer was gegen?
Wenn man dann wenigstens ordentliches IPv6 auf der Leitung hätte, könnten wir reden, aber häufig gibt es nicht mal das.
Update: Zur allgemeinen Belustigung: Virustotal darauf.
Bank of America's CEO says that it's saved $2 billion per year by ignoring Amazon and Microsoft and building its own cloud insteadDas klingt erst wie eine Unmöglichkeit, weil Banken ja überhaupt nicht mit Geld umgehen können. Aber genau das ist hier der Einsparhebel gewesen. Die haben nicht Geld gespart, weil sie nicht in die Cloud gegangen sind, sondern weil sie ihre vorher 200k Server auf 70k eingedampft haben und von ihren 60 Rechenzentren jetzt runter auf 23 sind.Da war so viel überflüssige Geldverschwendung drin, dass wenn man da eine Schrotflinte nimmt und in die Menge schießt und die toten Server vorsichtig rauszieht, dass der Rest immer noch problemlos die ganze Last stemmen kann.
Trotzdem, 2 Milliarden klingt ja schon substanziell. Was haben die denn da für Budgets, dass so viel Einsparung überhaupt möglich ist?
The bank, which has a $10 billion annual tech budgetUnd das, meine Damen und Herren, meinte ich mit "Banken können nicht mit Geld umgehen". Was macht man mit so viel Budget? Das kann man ja kaum für IT ausgeben. Und tatsächlich. Damit kaufen die keine IT-Geräte. Damit kaufen sie IT-Firmen.Wer sich jetzt denkt, hach, endlich mal eine herzerwärmende, positive Story bei Fefe, den muss ich leider enttäuschen. Hier ist die Punchline:
Right now, the bank estimates its private cloud is 25 to 30% cheaper than public providers, though it also recognizes that probably won't last forever. Still, the company believes the architecture it has built will give it leverage in negotiating contracts with these companies — a process that is already under way, Moynihan said.Das hat er nicht gemacht, weil das eine schlaue Idee ist, sondern weil er Verhandlungsmasse für den Cloud-Umstieg brauchte.Dem hat wohl noch keiner gesagt, dass die Preise bei der Cloud am Anfang egal sind. Die würden dich noch dafür bezahlen, dass du zu ihnen in die Cloud kommst. Die echten Preise kriegst du dann aufgerufen, wenn du dich vollständig abhängig gemacht hast.
Schöne Server haben Sie da! Wäre ja schade, wenn die nur 100 GB Highspeed-Bandbreite zum Storage hätten!
Früher hätte man das mit Drogendealern verglichen. Heute sind Telcos glaube ich der bessere Vergleich für ein fundamental unmoralisches Geschäftsmodell.
Seit gefühlt Monaten macht Heise Wind wegen billiger Windows-Lizenzen, die man angeblich bei Edeka kaufen kann.
Nach nur wenigen Wochen der intensiven Recherche haben sie herausgefunden, dass die von Lizengo kommen, einer deutschen Firma.
Erst hieß es die ganze Zeit: Hey, wieso sind die so billig? Da stimmt doch was nicht!
Dann hieß es: Hey, wieso tut Microsoft nichts?!
Dann hieß es: Microsoft hat Klage eingereicht!!1!
Und jetzt heißt es: Lizengo wundert sich, denn eine Klage von Microsoft, so glauben sie, wäre ihnen in ihrem Posteingang aufgefallen.
Alter wollt ihr uns eigentlich alle verarschen?!? Was ist das hier, Alzheimer-Prävention? Bewegungstherapie?!
Da wird sich der eine oder andere gedacht haben: Ach komm, Fefe, erzähl uns doch keinen vom Pferd, die Leute wären doch nicht so blöde und setzen Machine Learning ein, wenn das so fundamentale Probleme hat.
Daher präsentiere ich heute: Microsofts Schlangenöl mit Machine Learning hält den Updater von Dolphin für Malware. Und zwar nicht die Software auf eurem Rechner, nein, das Machine Learning in deren Cloud. Weil das Machine Learning ist, kriegen sie das nicht debugged, und das Nachtrainieren macht mehr kaputt als es heile macht. Also … hat Microsoft jetzt manuell eine Whiteliste für alle Dolphin-Entwicklerversionen, die sie gesehen haben. Und pflegen das immer schön von Hand nach.
Ich persönlich fände es ja ganz angenehm, wenn mir die Leute meinen Scheiß beim ersten Mal glauben würden, aber … not gonna lie, das ständige "told you so" ist auch ganz angenehm :-)
Nun, rückblickend vielleicht nicht der smarteste Schachzug, denn der Gitlab-Gründer hat diese Tage die Term of Business von Gitlab geklärt. Und da steht ganz deutlich: Wir machen auch mit Leuten Geschäfte, deren Werte wir nicht teilen.
Er wird da nicht spezifischer, aber es wird allgemein als Anspielung auf Chef verstanden. Dort hatte einer der Entwickler herausgefunden, dass Chef mit ICE (sowas wie die Zollbehörde der USA, die auch an der Grenze den Familien ihre Kinder weggenommen haben) zusammenarbeitet, und daraufhin seinen Open-Source-Code gelöscht, der von Chef verwendet wurde. Man könnte sagen: Ein Supply-Chain-Angriff.
ICE ist gerade universell verhasst in den USA. 2/3 finden es eine Schande, was die mit Flüchtlingen machen, und 1/3 findet, dass die noch viel zu wenig machen. Chef ist auch nicht die erste Firma, die wegen ICE-Kooperation Ärger mit ihrer Belegschaft kriegt. Auch bei Github gab es da eine Kontroverse, die damit endete, das Github den Vertrag mit ICE verlängert hat.
Kontroversen und Fäkalgewitter gibt es ja viele, aber dass tatsächlich mal eine Firma sich dem Druck beugt, das ist eher selten. Die Github-Geschichte hat dann übrigens auch innerhalb Microsoft (dem Mutterkonzern) zu Aufrufen geführt, Microsoft solle aufhören, mit ICE zusammenzuarbeiten.
Die meisten Firmen machen dann halt weiter, und hoffen, dass sich das verzieht. Insofern ist es Gitlab anzurechnen, finde ich, dass die ihre Policy offen und ehrlich öffentlich ansagen. Da weiß man dann wenigstens, woran man ist.
Vergleich mal diese UIs mit den Security-UIs, die möglicherweise eure ganze Firma runterfahren können, wenn ihr einmal danebenklickt. Vergleicht mal, durch wieviel Hindernisparkour ihr hüpfen müsst, um ein Windows ohne Cloud-Account und mit so weit wie möglich abgeschalteter Telemetrie installiert zu kriegen, mit der UI, um ein Trojaner-Attachment auszuführen.
Dann werdet ihr Ausreden der Form "das können wir unseren Usern doch nicht zumuten" mit ganz anderen Augen sehen.
Daher glaube denen kein Wort, wenn die Presse behauptet, dass in einer großen Firma eine weitreichende Entscheidung von einem Ingenieur oder irgendeiner Abteilung unterhalb von Geschäftsführung oder Aufsichtsrat getroffen wurde. Das passiert nicht. Die lassen sich grundsätzlich alles abzeichnen, auf Papier. Damit sie im Notfall zeigen können, dass es nicht ihre Schuld war.
Immer. Keine Ausnahmen.
Aber auch in der Außendarstellung arbeiten Firmen so. Bei IT kann man das gut zeigen. Nehmt MS Office. Diesen Balken, wenn man ein Attachment aus einer Mail öffnet. Da kommt dann oben so ein gelber Balken über dem Dokument: Achtung, das Dokument ist read-only geöffnet, weil es aus dem Internet kam und das gefährlich ist. Hier kann man Schreiben anschalten: [Anschalten]"
Dieser Balken hat genau einen Grund. Dass die Firma sagen kann: Na der User hat doch auf den Balken geklickt. Nicht unsere Schuld. Wir haben da sogar "gefährlich" reingeschrieben!
Viele Leute haben den Eindruck, der Balken ist da, um sie zu warnen. Nein. Es geht nicht um euch. Es geht um den Hersteller.
Genau so muss man übrigens UAC ("Wollen Sie wirklich?"-Prompts von Windows seit Vista) sehen. Das ist alles unsicher und ein Einfallstor, aber die Arbeitsprozesse brechen zusammen, wenn man das ordentlich macht, und die Kunden von Microsoft wollen es nicht ordentlich sondern die wollen weiter pfuschen. Also kommt da ein Knopf hin. Damit Microsoft im Zweifelsfall auf den Knopf zeigen kann. Schaut her, sagen sie dann, da hat der User drauf geklickt. Selber Schuld.
Das geht hier nicht um Microsoft. So läuft die Argumentation übrigens auch intern, ich habe das ja mehrfach bei Firmen beobachten können. "Wir haben doch im Kleingedruckten stehen, dass das gefährlich ist, und man musste klicken". Der wichtige Teil ist: Man musste klicken.
Android macht das genau so. Ihr installiert eine App, da kommt eine lange Liste mit Zugriffen, die die App haben will. Facebook will einmal alles, klar. Google zeigt euch das nicht, um euch zu warnen, sondern damit wenn Facebook mit euren Daten Scheiße macht, damit Google dann sagen kann: Guck mal, hier war der Knopf, und du hast da draufgeklickt.
An einigen Stellen geht das sogar noch weiter. Bei Windows 10, bei den Privacy-Vorstellungen, haben die intern ernsthaft argumentiert, naja, man kann ja hier im Installer unter More... und Advanced... die ganzen Haken wegmachen. Wer das nicht tut, ist halt selbst Schuld. Die akzeptieren für genau eine Art von Telemetrie die Verantwortung, und das ist die, die man nirgendwo wegklicken konnte. Alles andere ist eure Schuld.
Ich erzähle das hier, weil ihr euch darauf trainieren könnt, Situationen zu erkennen, wenn ein Hersteller die Schuld auf euch abwälzt. Achtet auch mal darauf, wie das UI immer mit Dark Patterns so getuned wurde, dass ihr nicht den Eindruck habt, tatsächlich eine Wahl zu haben. Aber ihr habt immer eine Wahl. Wenn mir eine Software oder ein Dienst so ein Prompt gibt, dann bin ich normalerweise draußen. Go fuck yourselves. Ihr solltet mal versuchen, das genau so zu halten. Nur so als Test, ob ihr mit dem Ergebnis leben könntet.
Denn das ist aus meiner Sicht die essentielle Kernkompetenz im digitalen Zeitalter, was wir allen unseren Kindern beibringen sollten.
Achtet auch darauf, wie die Hersteller nie genau erklären, was passiert, wenn man die Zustimmung erteilt. Denn dann wären sie in der Haftung, wenn sie mehr machen. Und die Hersteller wollen sich ja alle die Tür offen halten, in Zukunft mehr mit der einmal erteilten Zustimmung zu machen.
Update: Übrigens, apropos Dark Patterns: Ich hätte in Browsern gerne einen Knopf, der HTML untersagt, Scrollbalken zu deaktivieren. Einfach grundsätzlich. Geht nicht mehr. Denn inzwischen machen viele Anti-Adblocker- und Cookie-Nervbalken auf der Webseite das Scrolling aus. Es wird höchste Zeit, dass Adblocker das rückgängig machen oder Browser es gar nicht erst zulassen.
Das sind Malware-Taktiken aus dem Hause Microsoft.
Ich hoffe, es findet sich ein Verbraucherschützer, der die dafür vor den Kadi zerrt. Und da wundern sich die Experten, wieso die Leute keine Updates installieren.
Microsoft and Symantec have identified an issue that occurs when a device is running any Symantec or Norton antivirus program and installs updates for Windows that are signed with SHA-2 certificates only. The Windows updates are blocked or deleted by the antivirus program during installation, which may then cause Windows to stop working or fail to start.Mit anderen Worten: Norton kann SHA-2 nicht und lässt nur Updates mit alten und bekannt kaputten Hash-Verfahren durch. Wegen der Sicherheit, nehme ich an.Noch krasser als dass Leute sowas einsetzen finde ich ja immer, dass Leute für Leistung dieses Kalibers auch noch Geld ausgegeben haben.
Ich bin ja immer wieder beeindruckt über die Scheuklappen, die sich diese Leute in kürzester Zeit hinbauen. Bestimmt mit agilen Methoden gebaut. Funktionieren prächtig, solange man keine Fragen stellt.
Es gibt einige auffallende Muster. Eines davon: Struktur im Prozess der Softwareentwicklung wird gleichgesetzt mit Struktur in der resultierenden Software. Wenn ihr den Unterschied nicht versteht, dann schreibt mir bitte keine Mails. Dafür ist mir meine Zeit zu schade.
Ein anderes: Google ist der Heiland im agilen Himmel. Hunderte von Projekten haben Dinge "wie Google" gemacht, weil Google ja ganz gut läuft, und für vom Marktführer klauen ist noch niemand bestraft worden. Aber in der Sekunde, wo ein Google-Projekt genau die selben Fail-Symptome zeigt wie eure ganzen Agil-Projekte, da ist das alles vergessen. Es setzt nicht etwa Reflektion ein, sondern ein Beißreflex. Nein nein, Fefe, nicht agile Methoden sind inhärent kacke, nur weil niemand die richtig angewendet kriegt, nicht mal der Marktführer, den alle emulieren!1!!
Mich erinnert das an meinen ersten Code Audit bei Microsoft. Die verwenden natürlich intern auch Exchange und Active Directory und so. Wenn man das anderswo sieht, denkt man sich, die waren bloß zu blöde, das ordentlich aufzusetzen. Und dann geht man zu Microsoft und die sagen einem völlig unironisch, die Replikation des Accounts durch das Active Directory kann schon mal drei Tage dauern. Das ist der Zeitpunkt, wo man als zu eigenständigen Gedanken fähiger Beobachter erkennt, dass es nicht die schlechte Umsetzung überall ist, sondern ein inhärentes Problem mit dem Produkt oder System.
Ich habe im Übrigen nicht behauptet, dass alle agilen Projekte so enden. Das habt ihr da reingelesen. Nicht ganz zu Unrecht, denn die Quote ist in der Tat furchterregend, aber das war nicht meine Behauptung. Ihr müsst mal dringend an eurer Lesekompetenz arbeiten, wenn ihr mir Leserbriefe schreiben wollt.
Als ich "100% reliable preauth RCE VPN exploit using format strings" gelesen habe, wurde ich neugierig. Auf modernen Linux-Systemen ist das nämlich nicht ganz so einfach, also habe ich mich auf die Lektüre eines schönen Exploits gefreut. Stattdessen finde ich so ziemlich das einfachste, was so geht. Daher mal ein paar Worte dazu, damit auch Laien das etwas besser einordnen können:Dazu ein bisschen Kommentar von mir: Format String Bugs sind in der Tat vergleichsweise einfach zu finden. Wer die in seinem Code hat, hat wenig Ausreden vorzubringen. Aber ganz so trivial ist es dann doch nicht. In der Praxis findet man häufig irgendwelche Präprozessor-Makro-Höllen und Ketten von Funktionen und am besten noch nichts const deklariert. Insofern: Vergleichsweise einfach, aber nicht unbedingt trivial.Format-String-Lücken sind sehr einfach über statische Codechecker zu finden. Quasi jeder Audit hätte das finden sollen. Mit entsprechenden Compiler-Optionen gibt es da auch Warnings.
Bei modernen Linux-Systemen wird sowas auch zur Laufzeit abgefangen: da wird dann nachgeschaut, ob %n in schreibbarem Speicher liegt (= nicht fest einkompiliert, also eventuell von einem Angreifer). Falls ja, wird abgebrochen. Dadurch ist die Lücke nicht komplett weg, aber zumindest Code-Execution wird erheblich erschwert bis unmöglich gemacht, da %n das Arbeitspferd für Code-Execution-Exploits ist. Dazu muss man nicht einmal am Quellcode schrauben.
Der Exploit scheint feste Offsets zu benutzen. Also gibt es da auch keine Address Space Layout Randomization?
Zudem treibt deren Exploit Schindluder mit Global Offset Table und Procedure Linkage Table. Dagegen gibt es RELRO: entsprechende Bereiche sind zu normalen Laufzeit nicht mehr schreibbar, wodurch es nochmal etwas schwieriger wird, einen Exploit zu erstellen.
Ich habe keinen Zugang zum Produkt, daher sind das alles unverifizierte Vermutungen. Aber scheinbar sind die echt noch in der Steinzeit, unfassbar. Oh, und je nach CPU-Architektur sind diese Sachen auch gut in Binärcode zu finden. Ich würde also davon ausgehen, dass kompetente Geheimdienste das kannten.
Die printf-Implementation der dietlibc unterstützt %n schlicht gar nicht. Microsoft hatte das aus der Visual Studio Runtime auch per Default deaktiviert und man muss das von Hand anschalten.
Der Punkt mit ASLR und RELRO stimmt auch, aber das ist halt eine Mitigation-Schlacht am Ende. Da bin ich kein Fan von. Damit wird das Exploiten dann schwieriger, ja, aber der Bug ist nicht weg. Und durch die großartige Softwarequalität da draußen haben wir die User konditioniert, dass sie sich selbst nach Crashes neustartende Software nicht nur tolerieren sondern gutheißen, und dass die Leute sich an ständige Segfaults in ihren Logs gewöhnt haben und kaum noch jemand überhaupt guckt. Im Übrigen hat RELRO auch Nachteile. Die Relokationen müssen alle am Anfang gemacht werden, damit danach die Relokationstabelle read-only sein kann, und das führt bei manchen Szenarios zu merkbaren (nicht nur messbaren) Verlangsamungen, besonders bei großen C++-Programmen mit Tonnen von Shared Libraries, z.B. KDE oder so.
Insofern: Ja, der Punkt mit RELRO ist korrekt, und die Linux-Distributionen haben angefangen, komplett auf RELRO umzustellen. Die CPUs sind ja auch schnell genug. Ich erinnere mich noch, als man kleinere Programme statisch gelinkt hat, weil dynamisches Linken zu langsameren Startup-Zeiten geführt hat. Deshalb ja auch dietlibc als statische Library für kleine Programme.
Ich würde die aber viel lieber dafür kritisieren, dass ihre Software kacke ist, als dass sie auch noch die Best Practices bei den Compiler-Flags verkackt haben. Nicht dass da draußen jemand denkt, Format-String-Bugs seien nicht so schlimm, wenn man RELRO anmacht oder so. Fixt eure fucking Bugs.
Früher war der Developer für die Bugs und der Ops-Typ für das Bauen und Ausrollen zuständig, und der hat sich dann um RELRO gekümmert. Heute mit Devops oder gar Devsecops machen das dieselben Gestalten, und damit ist dann plötzlich Zeit für RELRO nicht mehr für das Fixen von Bugs da. Das ist zum Kotzen und einer der Gründe, wieso Devops und Devsecops Mist ist.
Völlig klar, da musste etwas geschehen. Das neue Feature heißt Power Queries und erlaubt externe DDE-Quellen in Excel-Tabellen.
The Power Query feature is designed to allow you to embed remote content easily and dynamically.Was kann da schon schiefgehen!
Konkret will das Justizministerium (eigentlich in SPD-Hand, aber die sind ja eh nur noch Handlanger der CDU seit ein paar Generationen) mehr Werbungs-Kennzeichnung in sozialen Medien haben.
Ich bin ja dafür, dass auch Politiker endlich gekennzeichnet werden. Wie in der Formel 1. Es gab da mal einen Kabarettisten, der das vorgeschlagen hat. So auf der Jacke die ganzen Sponsorenlogos. Und am besten auch auf den Gesetzen. Vorne so ein Titelblatt mit Bertelsmann-Logo. Diese Grundrechte wurden Ihnen weggenommen mit freundlicher Unterstützung der Deutschen Bank und der Bertelsmann-Stiftung.
Überhaupt ist der Unterschied zwischen Influencern und Ministerien ja auffallend dünn, wenn es um nicht gekennzeichnete Schleichwerbung geht.
Oh und noch einen Lacher aus der Richtung gibt es: Facebook und Whatsapp wollen Newsletter und Massen-Messages über Whatsapp unterbinden. Soweit kommt es noch, dass jemand unsere schöne Plattform für Werbung nutzt, ohne uns zu bezahlen!1!!
Ich glaube ja, dass das auch für das Influencer-Problem die Lösung ist. Die Politiker sind einfach damit unzufrieden, wie wenig Schmiergeld sie bisher von Influencern kriegen im Gegensatz zu anderen, etablierteren Branchen. Das war ja auch eine Theorie, wieso das US-Justizministerium damals gegen Microsoft plötzlich Antitrust-Ermittlungen gestartet hat. Vorher hat Microsoft so gut wie nichts in Lobbyismus investiert. Jetzt sind die ganzen Tech-Bros einer der größten Geld-Gießkannen im Lobbysumpf. Und siehe da, plötzlich gibt es gar keine Antitrustprobleme mehr. Nur noch mit der EU.
IntelliCode is a super exciting addition to Visual Studio. Microsoft calls it AI-assisted development. […]IntelliCode uses open source GitHub projects with 100 stars or more to generate recommendations for your code.
Ja super! Doing it well is hard, let's go shopping! Wir machen einfach, was alle anderen machen! Das Millionen-Fliegen-Argument!
Stellt euch mal vor, jemand baut ein Browser-Plugin, um bei Heise die Antiviren-Stories wegzufiltern, weil die immer so ein schlechtes Niveau haben. Und das Plugin bringt jetzt Browser zum Absturz. Nach obiger Logik wäre das dann Schuld von Heise. Merkt ihr selber, Heise, oder?
Intel decided to no longer supply processors and other hardware to Huawei, for use in its laptops and server products. Sales of AMD processors will stop, too. Qualcomm-Broadcom have decided to stop supply of mobile SoCs and network PHYs, respectively. Microsoft decided to stop licensing Huawei to use Windows and Office products.Das geht bestimmt nach hinten los. Das ist ein Zeichen des guten Willens und der Kooperation, dass China bislang Dinge aus den USA lizenziert. Das glaubt hoffentlich niemand, dass die nicht auch in den CPU- und SOC-Markt eindringen und sich von den USA unabhängig machen könnten. Das wird vielleicht ein paar Jahre brauchen, aber auf diesen Tag werden die Amis noch reuevoll zurückblicken.
Ich habe hier einen Kunden-Laptop, auf dem ich mal ein clang-tidy laufen lassen wollte. Also erstmal WSL mit ubuntu geholt. apt-get install clang-tidy gab mit 6.0. Aktuelles Release ist 8.0, ich arbeite sonst mit dem HEAD, das meldet sich als 9.0. Ja, nee, Ubuntu.
OK, dann update ich halt mal das Ubuntu von LTS auf unstable. Dachte ich mir. In meinem jugendlichen Leichtsinn. Erstens will deren CLI-Distro-Upgrade-Tool erst auf Devel upgraden, wenn man vorher auf die aktuelle Stable geupgraded hat. Und das Stable will er erst upgraden, wenn man vorher updated. Ich musste mir also drei komplette Distros ziehen für ein Upgrade. Danke, Ubuntu.
Aber das war nicht, weshalb ich das hier schreibe. Die Upgrades brauchen EWIG. Ich vermute, dass das an der schwachbrüstigen Hardware auf dem Kundenlaptop liegt, und daran, dass die Bitlocker anhaben, und dass da zwei fucking Schlangenöle parall laufen und sich gegenseitig behindern.
Da fiel es mir wie Schuppen von den Augen.
Was wenn WSL2 bloß dazu da ist, das Schlangenöl bei Filesystemzugriffen aus dem kritischen Pfad zu optimieren?
Diese Updates laufen jetzt hier seit über vier Stunden. Und die Pakete kamen mit 100 MBit reingeflutscht, daran lag es nicht.
Update: Dev-Ubuntu kommt mit gcc 8.3 und clang 7. WTF Ubuntu?! Was muss man denn bei euch nehmen, wenn man aktuelle Versionen haben will? Ubuntu Futur?
Das killt mal eben 30-40% der (bezahlten) Performance. Und wegen der armen notleidenden Intel-Aktionäre verlang jetzt niemand von denen, dass sie ihre kaputte Hardware tauschen. Das muss daran liegen, dass Intel eine US-Company ist. Bei VW sah das noch ganz anders aus. Und bei Monsanto. Jedenfalls solange die nicht von Bayer gekauft wurden.
Der Effekt wird wahrscheinlich sein, dass die Leute jetzt neue Prozessoren mit mehr echten Cores kaufen. Win-Win-Win-Win für Intel!
Ich schalte Hyperthreading jedenfalls nicht ab bei mir. Und mein nächster Prozessor wird ein Ryzen.
Microsoft hat sich damals entschieden, dass der Grafikkartentreiber mal in den User Space verschoben werden muss, und nur noch ein winziger Teil darf im Kernel bleiben. Das Stichwort ist User-Mode Display Drivers.
SO SCHLIMM war das, dass Microsoft deren Treiber in den User Mode verschoben hat. Und statt eines Blue Screens gab es dann nur noch ein "die Grafikkarte musste neu gestartet werden" als Toast im Taskbar und der Rechner ranzt nicht mehr ab.
Dem muss man gegenüber halten, dass Microsoft selbst Font-Rendering im Kernel gemacht hat. Das flog ihnen auch alle Nase lang um die Ohren. Das ist länger im Kernel geblieben. Die Grafiktreiber waren dringender.
Warum blogge ich das? Weil Nvidia offenbar nach nur 30 Jahren Kack-Treiber ausliefern das Memo gekriegt hat und jetzt auch mal Security-Bugs fixt.
Jetzt müssen nur noch AMD und Intel mitmachen!
Unter Kernel-Code-Auditoren gab es damals teilweise ernsthaft die Frage, warum wir uns hier eigentlich soviel Mühe machen, wenn die Leute da draußen GPUs und Treiber haben, die alles wieder zum Scheunentor machen. Inhaltlich war diese Frage durchaus gerechtfertigt. Aber so darf man an Security und Qualität generell natürlich nicht rangehen. Man putzt ja auch zuhause das Fenster, obwohl das daneben auch schmutzig ist. Das macht man dann halt danach sauber.
Wiedem auch sei: Die sind weiter gekommen als alle vor ihnen. Und versuchen auch praxisrelevant zu ein, indem nicht nur eine Hochsprachen-Implementation verifiziert wird, sondern auch die plattformspezifischen Assembler-Implementationen.
Sie haben auch eine verifizierte TLS-Library, aber die ist in F# bzw. F* und da ist nicht klar, wie performant die ist und wie man die in existierende Projekte eingebunden kriegt. Dennoch: Ein großer Schritt vorwärts!
Erstens: Die ist von vor einem Jahr.
Zweitens: Ja, da gibt es Nachpatchen, aber Nachpatchen ist eine Lüge. Da werden nur Bugs gepatcht, von denen klar war, dass das ein Security-Bug war. Der Anteil der Security-Bugs, bei denen das von vorneherein klar und klar im Bugtracker markiert ist, liegt je nach Umfeld zwischen 0 und 50%.
Drittens: Das Warten von solchen Versionen bindet völlig sinnlos Personal, das dann nicht zur Verfügung steht, um die tatsächlich aktuelle Version von Firefox sicher zu halten. Das verschärft das Problem also noch, anstatt es besser zu machen.
ESR-Versionen waren der Versuch, Open Source-Software mit langen Release-Zyklen "Enterprise-Ready" zu machen. Das war ein spektakulärer Fehlschlag, auf ganzer Linie. Nicht nur macht die Existenz von ESR-Versionen die regulären Versionen unsicherer (siehe oben), die Enterprise-Adoption ist nicht erwähnenswert gestiegen, und viele Leute, die es nicht besser wissen, fahren jetzt halt die ESR-Version und halten sich für adäquat gesichert / aktuell. D.h. nicht nur die tatsächliche Software wird unsicherer, wirh aben auch das Verhalten der Leute in die falsche Richtung trainiert. Herzlichen Glückwunsch an uns alle. So eine effektive Sabotage von Open Source hat nicht mal Microsoft in ihren übelsten Jahren mit all ihrem FUD hingekriegt.
Ich möchte noch kurz erwähnen, dass das ESR-Modell selbst in Enterprise-Umgebungen tot ist. Windows und Office365 sind jetzt rolling releases, und typische Enterprise-Software ist "in die Cloud" geschoben worden, weil das alte Modell offensichtlich Scheiße war und nicht funktioniert hat. Aber Firefox und Tor sehen sich als gallisches Dorf, in dem sich die Geriatrie-Abteilung gegen diesen ganzen neumodischen Scheiß zur Wehr setzt. Ja nee, klar.
Wisst ihr, von mir aus könnten sie das ja gerne machen. Wenn sie dann die Kosten dafür alleine tragen würden. Tun sie aber nicht.
Die im Rahmen der Studie beauftragten IT-Sicherheitsspezialisten fanden im Darknet Zugangsdaten von 60 % der deutschen Kliniken sowie von jeder zehnten Arztpraxis. Vielen Medizinern fehlt scheinbar das Bewusstsein für IT-Sicherheit: Neun von zehn Ärzten verwendeten leicht zu erratende Passwörter wie „Behandlung“ oder den eigenen Namen, so die Studie.Und dann über Microsoft meckern, klar.
Aber lasst euch davon nicht die Laune kaputtmachen. Der Artikel hat extra auch eine humoristische Sektion, wo sie jemanden von Siemens "Healthineers" (OMFG!) interviewt haben. Und der sagt da so Dinge wie:
„Neue Medizingeräte setzen Container und virtuelle Maschinen ein.“ Darin läuft ein eigenes abgeschottetes Betriebssystem nur für die medizinische Spezialanwendung. „In Zukunft planen wir eine Cloud-Anbindung speziell für Medizingeräte“, ergänzt Heidenreich. „So können wir die Komponenten besser schützen.“JA SUPER! Die benutzen das natürlich zum Upselling! Ja, sorry, Herr Arzt, ihre Hardware ist noch zu alt für die schönen neuen "Security-Features" wie Virtualisierung und Cloud! Da müssen Sie die neue Generation kaufen!1!!
Oder wie wäre es alternativ damit, wenn ihr den Ärzten nicht unsicheren Scheiß verkaufen würdet? Geräte ohne Netzwerkanschluss? Und ohne Windows drauf? (Danke, Simon)
Zur Erinnerung: Google hat auch mit Youtube Edge gekillt.
Man vergleiche das mal mit dem Geheule bei Google, als Microsoft mit der Windows-Marktmacht Chrome zu bekämpfen versucht hat.
Das kommt eher unerwartet. Ich erinnere mich da an einige Gigs, bei denen ich den Krypto-Code mal sehen wollte aber nicht zu Gesicht bekam, weil der Zugriff darauf selbst intern stark eingeschränkt war. Das war allerdings auch glaube ich der Vorgänger-Code davon, der zumindest partiell noch von RSA lizenziert war.
Lustigerweise sieht man da auch ganz gut, wie Legacy-Codebasen in großen Firmen häufig aussehen, auch im Krypto-Bereich. Ich sage nur "md2.c" :-)
Wenn ich das richtig verstehe, ist diese Library genau entstanden, um diesen RSA-Code und die Restriktionen davon loszuwerden. (Danke, Lars)
Ich arbeite bei einer anderen top 5 Softwarefirma in den USA und obwohl wir keinen offiziellen finanziellen Incentive haben gegen weisse Männer zu diskriminieren so wie bei MSFT haben wir einen inoffiziellen:Wow. Jemanden ohne Interview einstellen habe ich noch nie gehört. Das ist echt ungewöhnlich.Manager werden u.a. darüber bewertet wie gut sie Mitarbeiter ausbilden.
Das wird daran gemessen wie viele Mitarbeiter sie befördern. Es ist allgemein bekannt, dass es im derzeitigen Stimmungsumfeld einfach ist bestimmte Gruppen zu befördern z.B. Frauen. Deswegen will jeder Manager um jeden Preis Frauen anstellen. In meinem direkten Team wurde kürzlich sogar eine Frau ohne Interview angestellt (sie hatte an einer Umschulung für minorities teilgenommen und dann einen internal transfer gemacht). Ist normalerweise undenkbar ohne technisches Interview an so einen Job zu gelangen.
In All-Hands Meetings (also offiziellen Versammlungen aller Mitarbeiter) wurden weisse, männliche Jobkandidaten von HR öffentlich schon als "Not good candidates" bezeichnet.
“I have an ever-increasing file of white male Microsoft employees who have faced outright and overt discrimination because they had the misfortune of being born both white and male. This is unacceptable,”und“Does Microsoft have any plans to end the current policy that financially incentivizes discriminatory hiring practices? To be clear, I am referring to the fact that senior leadership is awarded more money if they discriminate against Asians and white men,”Wenn das stimmt, ist das glaube ich tatsächlich ein Gesetzesbruch in den USA.
Inhaltlich geht sie sogar noch weiter als der Damore bei Google damals:
“Because women used to be actively prohibited from full-time employment many decades ago, there is now the misguided belief that women SHOULD work, and if women AREN’T working, there’s something wrong…. Many women simply aren’t cut out for the corporate rat race, so to speak, and that’s not because of ‘the patriarchy,’ it’s because men and women aren’t identical, and women are much more inclined to gain fulfillment elsewhere.”Bei Damore war das noch exemplarisch als ein möglicher alternativer Erklärungsansatz erwähnt, hier wird es als Fakt postuliert.“We still lack any empirical evidence that the demographic distribution in tech is rationally and logically detrimental to the success of the business in this industry….We have a plethora of data available that demonstrate women are less likely to be interested in engineering AT ALL than men, and it’s not because of any *ism or *phobia or ‘unconscious bias’- it’s because men and women think very differently from each other, and the specific types of thought process and problem solving required for engineering of all kinds (software or otherwise) are simply less prevalent among women. This is an established fact. However, this established fact makes people very uncomfortable, because it suggests that the gender distribution in engineering might not actually be a problem (and thus women can no longer bleat about being victims of sexism in the workplace), these facts are ignored in favor of meaningless platitudes our SLT [senior leadership team] continues to shove down our throats – e.g. ‘We’re not doing enough’ and ‘we clearly have a long way to go.’”Da bin ich ja mal sehr gespannt, ob Microsoft das aussitzen kann, oder ob sie sich von einem Shitstorm dazu bringen lassen, diese Mitarbeiterin unter den Bus zu werfen.
Die Chinesen kloppen ja mit atemberaubender Geschwindigkeit Infrastruktur aus dem Boden, und bauen dann auch das U-Bahn-Netz aus. Ich hatte mich gefragt, wie die das machen, nachträglich U-Bahn zu bauen. Ein Local hat mir das so erklärt, dass man hier kein Grundstück besitzen kann, nur pachten. Die Verträge sind dann über viele Jahre, aber die Regierung kann einen halt für den Bau einer U-Bahn rausschmeißen. Man wird dann wohl großzügig entschädigt (wir reden hier von Summen, mit denen man sich dann vorzeitig in den Ruhestand begeben könnte).
Autos sind vergleichsweise billig hier, aber man braucht eine Lizenz dafür, für die man u.a. nachweisen muss, dass man einen Parkplatz dafür hat, und die an das Auto gebunden ist (d.h. wenn man ein neues Auto kauft, nach einem Unfall oder so, braucht man auch eine neue Lizenz). Und diese Lizenz kostet grob genau so viel wie das Auto. Entsprechend beliebt sind Elektroroller und der öffentliche Nahverkehr, der gut ausgebaut aussieht. Morgen komme ich zum ersten Mal dazu, tatsächlich mit der U-Bahn zu fahren. Die haben hier wie in den USA ein Schranken-System, nicht wie bei uns Kontrolleure.
Wir haben gegenüber des Hotels eine Mall, und links neben dem Hotel ist auch ein fünfstöckiges Einkaufszentrum. Das ist dann aber nicht wie bei uns ein großes Karstadt oder so, sondern fünf Stockwerke voll mit kleinen Läden, und dazwischen auch mal größere Läden (das sind dann meistens ausländische Ketten). Gegenüber die Mall hat bloß 2 Stockwerke, und die bestehen hauptsächlich aus Kleidungsläden und Restaurants (übrigens alleine dort zwei Pizzaläden; Pizza scheint hier sehr populär zu sein). Und dann gibt es noch eine Art Fußgängerzone-Tiefgeschoss bis zum U-Bahn-Eingang. Heute gehen wir da nochmal näher gucken und es stellt sich raus, dass es da auch nochmal auf beiden Seiten reingeht mit nochmal doppelt so viel Läden wie oberirdisch. Und die sind wieder zu 75% Restaurants oder verkaufen Snacks oder Tee oder so. Und alle davon gut gefüllt.
Es ist echt faszinierend, wie viele Restaurants die hier auf einem Platz haben und dass die alle zu laufen scheinen. Eine faszinierende Wirtschaft haben die hier.
Uns fiel auch auf, dass niemand irgendwie unglücklich oder gestresst aussah. Das finde ich ja schon in den USA immer bemerkenswert, aber die haben das ja mit Prozac und anderen Betäubungsmitteln gelöst. Hier scheint das eher kulturell zu sein.
Was sich als überraschend schwierig herausgestellt hat, ist spezielle Kleinelektronik zu kaufen. Ich wollte hier mal einen SATA-nach-USB-Adapter kaufen. Kriegt man in Deutschland bei Amazon für 20€ oder so. Hier gibt es zwar Elektronik-Verkäufer, aber bisher nur so Boutique-Shops. In der Mall ist z.B. ein Huawei-Laden, der verkauft halt Telefone. Dann ein Microsoft-Laden, der verkauft Surface-Geräte. Der Laden ist dann jeweils so 30qm oder so groß, höchstens. Daneben ein Sony-Laden, der verkaufte Fernseher. Und dann gibt es so Handybedarf, Schutzhüllen und so. Aber einen großen Sortimenter für PC-Teile habe ich noch nicht gefunden. Ich dachte mir dann: amazon.cn? Gibt es tatsächlich, lässt sich auch auf Englisch schalten, aber die Teile werden dann aus USA oder Europa geliefert (!?!?) und müssen durch den Zoll und wären frühestens Freitag nächste Woche da. Das ist mir ja völlig schleierhaft, wie Amazon ihre Zulieferkette für China so verkacken konnte. Es überraschte mich dann auch nicht weiter, dass Amazon gerade angekündigt hat, die chinesische Onlinepräsenz zuzumachen.
Die Navigation in der Stadt ist ein bisschen schwierig. Google ist ja geblockt, Yandex hat offensichtlich gar keine Daten über die örtlichen Geschäfte, und Bing kann zwar suchen, wenn ich den Namen kenne, aber wenn ich beispielsweise nach Electronics suche, findet der halt nichts.
Was mich auch überrascht hat: Wie sehr die Chinesen davon genervt sind, dass es hier so viele Menschen gibt. Ich nahm an, die sind so groß geworden und kennen es nicht anders. Aber als wir fragten, was wir uns am Wochenende am besten angucken sollen, kam geradezu theatralisches Augenrollen und Hach! und Luftzuwedeln, die Innenstadt am Wochenende? Das könne man vergessen, das ist furchtbar voll und man sieht nichts, weil immer Leute vor einem stehen. :-)
In einem Gespräch hat mich auch noch recht kalt erwischt, dass jemand meinte, er sei dann wohl demnächst arbeitslos, weil schon über dreißig und so, wer braucht in der Tech-Branche schon so alte Menschen. Es gibt da anscheinend so viel Nachschub von den Unis, dass Firmen ältere Mitarbeiter turnusmäßig rausschmeißen können, wenn sie wollen. Ich hab also mal ein bisschen auf das Alter geachtet (das bei Asiaten einzuschätzen fällt mir sehr schwer) und ... Mitarbeiter über 40 sieht man in der Tat kaum. Hmmmmmmm.
m(
You see, Internet Explorer is a compatibility solution. We’re not supporting new web standards for it and, while many sites work fine, developers by and large just aren’t testing for Internet Explorer these days. They’re testing on modern browsers.IE ist kein Browser, IE ist eine "compatibility solution". Gut, dass wir das mal geklärt haben! (Danke, Kris)
One thing you didn’t know: While a teenager, O’Rourke acknowledged in an exclusive interview, he belonged to the oldest group of computer hackers in U.S. history.The hugely influential Cult of the Dead Cow, jokingly named after an abandoned Texas slaughterhouse, is notorious for releasing tools that allowed ordinary people to hack computers running Microsoft’s Windows. It’s also known for inventing the word “hacktivism” to describe human-rights-driven security work.
Microsoft hat vor ein paar Jahren angefangen, eine "eigene Blackhat"-Konferenz zu veranstalten. Die heißt Bluehat. Von der Konferenz gibt es seit kurzem auch einen Ableger in Israel. Deren Vorträge sind als Folien und Videos verfügbar und da sind richtig großartige Talks dabei.
Der AMD-Talk lohnt sich z.B. (Kontext, mehr Kontext), und auch der Mimikatz-Talk macht Laune. Den Rest habe ich selber noch nicht durchgeguckt, aber ich nehme an, der wird auch gut sein.
Many of his employees are outraged over a $479 million contract the company inked last November with the U.S. military to use the new HoloLens in a platform that “provides increased lethality, mobility, and situational awareness necessary to achieve overmatch against our current and future adversaries.”MURDER DEATH KILL!
Der Lacher steckt bei dieser Meldung aber im Detail. Und zwar in dem Detail, welche demokratischen Institutionen konkret gemeint sind. An wen dachtet ihr bei der Bezeichnung? Den Bundestag?
The hacks occurred between September and December 2018, targeting employees of the German Council on Foreign Relations and European offices of The Aspen Institute and The German Marshall Fund, the company said.Viel demokratischer als transatlantische Lobbyisten-Netzwerke geht ja kaum noch!
„Die Kosten für die Arbeitsunterlage und begleitende Workshops beliefen sich auf 90.000 Euro, die der MDR als ARD-Vorsitzanstalt bezahlt hat.“ Weitere 30.000 Euro habe das ARD-Generalsekretariat für Folgeworkshops bezahlt.OK, ich muss mal dringend meine Kostenstruktur für Workshops überdenken.
„Die Aufregung um das Papier halte ich für völlig übertrieben“, so Wilhlem. „Es handelt sich um eine Workshop-Unterlage von 2017 und nicht um eine verbindliche Kommunikationsstrategie oder um eine Handlungsanweisung an die Mitarbeitenden.“ Jede Landesrundfunkanstalt habe frei entschieden, wie sie mit den Erkenntnissen umgehe.Um mal das ungute Gefühl zu unterfüttern, dass ihr wahrscheinlich bei dieser Aussage gabt: Das funktioniert so nicht. Bei Microsoft gab es vor vielen Jahren mal ein Memo von Bill Gates, in dem er meinte, dieses XML sei ja eine prima Erfindung. Als ich das nächste Mal bei Microsoft war, hatte jedes einzelne Team irgendwo XML in ihr Feature eingebaut. Nicht weil das eine Handlungsanweisung war, war es ja nicht. Sondern weil sie dachten: Hey, wenn der Chef das gut findet, dann machen wir das mal.
Ich würde wetten, dass das hier genau so läuft. Wenn mein Arbeitgeber 120k für ein Stück Papier mit Handlungsempfehlungen ausgibt, dann werden sich die Mitarbeiter davon beeinflussen lassen. Freiwillig.
Wie? Nein, nein, der Gestank, den ihr gerade in der Nase habt, der ist völlig normal. Das soll so riechen. Das heißt, dass alles wie gewünscht läuft. (Danke, Martina)
Nun kann man sich da endlos in Analysen ergehen, wo diese Daten jetzt hergekommen sein könnten, was für kriminelle Energie diese Leute gehabt haben müssen, was sie damit bewirken wollten, etc. Finde ich alles nicht interessant.
Zwei Dinge dazu. Erstens. Seit Jahrzehnten betreibt die Politik eine konzertierte Aktion nach der anderen, um den unwilligen Bürgern ihre Daten zu entreißen und in Datenbanken zu tun, wo dann überproportional politisch rechts verortete Polizisten und "Sicherheitsbeamte" drauf Zugriff haben. Wo ist hier noch gleich die Überraschung? Dass es erst jetzt in dieser Form passiert oder wie?
Nicht nur die Rechten sind hier Täter. Wikipedia z.B. listet bei diversen ihrer Meinung nach Prominenten das Geburtsdatum. Wo haben sie die her? Aus öffentlichen Datenbanken wie Gewerbeanmeldungen u.ä. Wohl dem, der dort gezielt falsche Daten hinterlegt hat. Mich hat niemand gefragt, ob ich einen Wikipedia-Artikel unter meinem Namen haben will, und ob das OK ist, da ein Foto oder mein Geburtsdatum zu veröffentlichen. Und was passiert da, trotz DSGVO und allem? Nichts.
Zweitens: Die Asymmetrie der Reaktion finde ich schockierend. Ich hatte mal auf Twitter einen Mordaufruf. Ich habe also Anzeige erstattet. Ein paar Wochen später rief dann die Polizei bei mir zuhause an und sagte, das Verfahren würde eingestellt. Das ist doch bloß ein Verrückter aus dem Internet. Bestimmt ein ganz armes Würstchen. Mag ja alles sein, aber es ist auch ein Täter. Keine Reaktion.
Bei mir Mordaufruf, keine Reaktion. Martin Schulz ruft jemand auf der "privaten Telefonnummer" an, und sofort republikweiter Riesenskandal und der Staatsschutz schaltet sich ein. Der Typ, der da anrief, war nicht mal unfreundlich oder bedrohlich.
Ich will mich da jetzt nicht als Betroffener aufspielen, nur mal die Dissonanz illustrieren. Die Presse erzählt bisher vor allem von Youtubern als Opfer, und ich bin mir auch sicher, dass die es viel schlimmer haben. Nur bei mir weiß ich es halt, bei denen ist es nur Hörensagen für mich :-)
Was mich übrigens auch richtig doll ärgert ist wenn Hotels meine persönlichen Daten haben wollen. Wieso hat diesen Datenhahn noch niemand zugemacht? Nein, liebe Lokalpolitiker, ihr müsst nicht meine Anschrift und mein Geburtsdatum wissen, nur weil ich in eurem Bundesland in einem Hotel übernachte.
Solange die Situation so ist, wundert mich überhaupt nicht, dass es solche Veröffentlichungen gibt. Ich gönne den Politikern das sogar ein bisschen. Die Künstler auf der Liste tun mir leid, die sind da unverschuldet zwischen die Fronten geraten.
Was mich auch richtig ärgert: Dass das beherzte Einschreiten des Staatsschutzes jetzt verhindern wird, dass die Politik erkennt, wie dringend sie mal handeln müssten, wie wichtig das ist, hier mal flächendeckend Datensparsamkeit zu fahren. Die reden immer davon, dass Daten das Öl des 21. Jahrhunderts sind, und merken gar nicht, dass sie auf einem Ölteppich schwimmen, der systematisch alles Leben vergiftet.
Update: Passt gerade wie Arsch auf Eimer:
Marriott reveals 5 million unencrypted passport numbers were leaked in 2018 data breach
Update: Ja nee klar, meine Telefonnummer ist Freiwild für Umfragen, Telemarketer und indische Callcenter von Microsoft-Scammern, aber bei euch ist das ein ANGRIFF AUF DIE DEMOKRATIE!1!!, wenn jemand anruft. Go fuck yourselves, echt mal.
Update: Jetzt wo so viele Politiker das als Cyberangriff bezeichnen: Hey, vielleicht hättet ihr mal auf uns hören und in defensive Cyber investieren sollen statt immer nur Offensive?
I very recently worked on the Edge team, and one of the reasons we decided to end EdgeHTML was because Google kept making changes to its sites that broke other browsers, and we couldn't keep up. For example, they recently added a hidden empty div over YouTube videos that causes our hardware acceleration fast-path to bail (should now be fixed in Win10 Oct update). Prior to that, our fairly state-of-the-art video acceleration put us well ahead of Chrome on video playback time on battery, but almost the instant they broke things on YouTube, they started advertising Chrome's dominance over Edge on video-watching battery life. What makes it so sad, is that their claimed dominance was not due to ingenious optimization work by Chrome, but due to a failure of YouTube. On the whole, they only made the web slower.Now while I'm not sure I'm convinced that YouTube was changed intentionally to slow Edge, many of my co-workers are quite convinced - and they're the ones who looked into it personally. To add to this all, when we asked, YouTube turned down our request to remove the hidden empty div and did not elaborate further.
And this is only one case.
Gut, man kann jetzt argumentieren, dass dann wohl die Videobeschleunigung von Edge nicht so geil war, wenn sie sich von einem leeren div-Tag verwirren lässt. Aber das ist ja nicht der Punkt hier. Das ist genau das, wovor die Leute immer warnen, wenn sie vor einem Google-dominierten Web warnen.Übrigens, am Rande: Das "we couldn't keep up" liegt daran, dass Microsoft sich entschieden hat, solchen Browser-Updates nur mit neuen Windows-Releases rauszukloppen. Das ist sozusagen derselbe Mechanismus wie beim Patch Day. Einen Tag nach dem Patch Day sind Exploits für alle gefixten Sicherheitslöchen draußen. Und genau so ist dann halt einen Tag nach dem neuen Edge-Release ein Workaround da, wie man ihn Scheiße aussehen lässt. Die Lösung wäre häufiger shippen, nicht Umstieg auf Chrome. Aber hey. Was weiß ich schon.
Update: Youtube ist übrigens ein ergiebiges Stichwort an der Stelle.
Auf der einen Seite ist das eine gute Entwicklung. Die Angriffsoberfläche von Schlangenöl ist enorm. Gut, dass ich nicht mehr der Einzige bin, der das problematisch findet.
Auf der anderen Seite, wenn wir uns da jetzt einig sind, dass Schlangenöl eine Gefahr ist, weil es eine große Angriffsoberfläche hat, vielleicht können wir dann auch mal über die Schlussfolgerungen reden, die sich aus dieser Erkenntnis ergeben!
An der Zeit wäre es.
Update: Übrigens, ein Hinweis noch. Selbst-Sandboxing von Anwendungen ist eine Sache, die ich seit ein paar Jahren propagiere. Ich würde mich echt freuen, wenn Microsoft nicht die einzigen sind, die das umsetzen. Die Open Source-Community operiert gerne unter der Annahme, ihr Code sei irgendwie intrinsisch sicherer als der von Microsoft, weil ist ja Open Source und da kann man ja in den Code reingucken. Das ist ein Trugschluss. Microsoft bezahlt Leute dafür, Code Audits zu machen. Du kannst nicht einfach davon ausgehen, dass bei deinem Projekt auch jemand guckt. Schon gar nicht jemand, der sich auskennt, und Sicherheitslücken auch wirklich erkennen würde. Open-Source-Projekte können nicht einfach annehmen, dass Bugs schon gefunden werden, und müssen auch proaktiv tätig werden. (Danke, Tom)
Hat sich am Ende doch Open Source durchgesetzt im Browsermarkt auf Windows. Wer hätte das gedacht.
Hoffen wir mal, dass Microsofts Präsenz im Chromium-Projekt dazu führt, Googles Dominanz dort zurückzufahren. Google macht mit Chrome gerade genau dasselbe, wofür wir früher Microsoft gehasst haben. Entscheidungen nach Gutsherrenart, Einführen von "Features", anch denen nie jemand gefragt hat, Entscheiden über den Kopf der User hinweg. Ich bin daher seit Jahren Firefox-User, auch auf dem Smartphone. Leider ist der Marktanteil von Firefox gerade unter 10% gefallen — auf dem Desktop. Insgesamt ist es noch weniger, da die Plattformbetreiber alle alles in ihrer Macht stehende tun, um Firefox auf ihren Plattformen zu behindern, damit es ihrem Durchmarsch gegen die User nicht im Wege steht. Leider hat Firefox auch gefühlt jede Gelegenheit genutzt, ihren Usern das Gefühl zu geben, bei ihnen sei das alles dasselbe in Grün. Ich sagen nur: Werbung auf dem Startbildschirm, Tonnen von Tracking-Bullshit, und jetzt auch noch "Pocket".
Und dieser ganze dauernde Ärger verhindert dann, dass man an dem Rest Spaß hat. Mozilla macht ja eine Menge coole Scheiße, so ist das nicht. Rust zum Beispiel ist ein Lichtblick für die ganze Software-Entwicklungs-Branche. Es ist ein Wunder, dass das so weit gekommen ist, wie es ist. Da hätte ich dagegen gewettet, wenn mich jemand gefragt hätte.
Und es kann nicht darüber hinwegtäuschen, dass Firefox es nicht packt, unter Linux Hardware-Video-Playback hinzukriegen. Das verdoppelt mal eben den Stromverbrauch. Kriegt auch Chrome nicht hin unter Linux, übrigens. Aber wisst ihr, wer das hinkriegt? Ja richtig! Edge!
Update: Habt ihr eigentlich schon gehört? QUIC soll HTTP/3 werden! Ein weiteres beschissenes Google-Komplexitäts-Monster, nach dem keiner gefragt hat. Bei Microsoft haben die Leute wenigstens noch gemerkt, dass sie mit Microsoft Network gearbeitet haben und nicht mit dem Internet. Bei Google fahren alle Chrome und benutzen Google-Infrastruktur mit Google-Protokollen in der Google-Cloud, am besten noch über Google Fiber.
Dem möchte ich noch hinzufügen, dass der Teil von Stackoverflow auch im Allgemeinen Scheiße ist. Die Bewertungen dort bewerten ja nicht, ob das gut ist, sondern ob der Leser es für gut hält. Und der Leser hat keine Ahnung, sonst würde er nicht auf Stackoverflow herumhängen. Daher wird Stackoverflow (und die Microsoft-Programmierforen auch) von irgendwelchen Indern dominiert, die da möglichst viele Punkte mit möglichst wenig Aufwand sammeln wollen, damit sie deshalb jemand einstellt.
Bei nicht gamifizierten Hilfsforen hat man ja wenigstens häufig noch Leute, die es wenigstens gut gemeint haben. Aber bei Stackoverflow und co hat man Leute, die anderer Leute Top-Score-Kommentare kopieren und anderswo drunterpappen, und zwar möglichst schnell, damit sie die Punkte für die beste Antwort kriegen. Ich kann nur von solchen Sites abraten.
Reicht noch nicht? Geht noch eine Stufe absurder: Microsoft will mit KI die Welt retten. KI für den Klimawandel! Äh gegen den Klimawandel!!
N26 is Europe’s first Mobile Bank with a full European banking license. We redesigned the banking experience to be simple, fast and contemporary. Founded in 2013 by Valentin Stalf and Maximilian Tayenthal, N26 has more than 500 employees and more than 1,5 million customers in 18 countries. N26 has raised more than $215 million from renowned investors including Allianz X, Tencent Holdings Limited, Li Ka-Shing’s Horizons Ventures, Peter Thiel’s Valar Ventures, members of the Zalando management board and Earlybird Venture Capital.Once here you will
- Use penetration testing skills and methodology to strengthen our internal and external applications and services.
- Use software engineering skills to build services for security related topics such as: access management, continuous security testing, intrusion detection, fraud and abuse detection.
- Use systems engineering skills to architect and build out solutions and frameworks that address current and future threats.
- Use your knowledge of security architecture to help software engineers build secure products and services.
- Perform application security design, threat modeling and code reviews.
- Improve engineering standards, tooling, and processes.
- Delve into large datasets to find significant features, anomalies and patterns.
- Enable other engineering teams to find flaws before they are introduced into production.
- Perform reactive incident response when a security event occurs.
- Perform proactive research to detect new attack vectors.
- Educate technical and non-technical staff through our security awareness training program.
- Improve our customer education program.
Also ich empfehle ja meinen Kunden immer, lieber erst Security und dann Produkt zu machen als umgekehrt. Dann hat man eine Chance. Sorum wird das erfahrungsgemäß ein ewiges hinterherlaufen und nie ankommen, wie bei Apple und Microsoft. Der Einsender hat noch einen Screenshot mitgeschickt.Inhaltlich klingt das alles sehr nach "das ist SO verkackt, dass wir jetzt alles wegschmeißen und nochmal ordentlich neu machen wollen". Sie suchen jemanden, der weiß, wie man Architektur ordentlich macht. Das ist nichts, was man nachträglich ändern kann.
Important information regarding your Data Science Virtual Machine
instance(s)
Microsoft is writing to inform you of an incident which has
impacted one or more of your Data Science Virtual Machine (VM)
instances. Engineers detected crypto mining software in the
software package for your Data Science VM instance that may have
caused an increase in system resource utilization and subsequent
increase in your Azure usage. We have determined that this
affected a limited subset of Data Science VM instances installed
since September 24th, 2018.
Our investigation has determined that no customer data was
compromised due to this crypto mining software. A list of your
affected VM(s) is included at the bottom of this email.
Azure recommends that customers delete their affected Data
Science VM instances and redeploy a new instance from Azure
Marketplace to mitigate this issue. If you experience any
unexpected issues during the deletion and reinstallation of your
VM instances, please contact [4]Azure Support.
Microsoft sincerely apologizes for this incident and any
inconvenience that this has caused for our customers. We will be
proactively issuing credits for any increased usage on your
affected VM(s) that is attributed to this incident. Credits will
be applied to a future billing invoice.
Ich saß heute in einer Keynote von Mikko Hypponen drin, der da diese Geschichte erzählte, dass die Leute total glücklich sind, wenn man ihnen erzählt, dass sie sich einen Krypto-Miner eingefangen haben. Wenn du mit "Wir haben Malware gefunden" eröffnest, dann rechnen die eher mit Kreditkarte geklaut, Dokumente verschlüsselt, etc. Dann ist es direkt eine Erleichterung, wenn das "nur" ein Kryptominer war.Gut, in der Cloud zahlt man für Nutzung, und da kann so ein Kryptominer echt teuer werden.
Ein Ansatz dafür war C++. In C++ ging es natürlich auch um einen Haufen anderer Dinge, aber es ging eben auch darum, Dinge, die häufig auf die Fresse fallen, wegzuabstrahieren. Man arbeitet nicht mehr mit C-Strings, die mit in-band-Signaling arbeiten (0-Byte = Stringende), sondern man hat eine String-Klasse, und die kennt die Länge. Niemand muss mehr mit strlen über alle Bytes iterieren, um die Länge zu finden.
Aber das ist ja nicht das einzige Problem in strings. Nehmen wir mal an, du hast einen String s, und willst das 100. Zeichen davon haben.
Dann machst du in C oder C++ s[99].
Was aber, wenn der String bloß eine Länge von 10 hat?
Tja, das ist dann ein Bug. Nun könnte man, wenn man eine Klasse in C++ hat, den operator[] überladen, und wenn der Index negativ oder größer als die Stringlänge ist, dann könnte man das erkennen und beispielsweise eine Exception werfen. Dafür sind die da. Für genau sowas.
Aber ... macht C++ das? Nein, machen sie nicht! Der Standard lässt das offen, ob die Implementation das abfangen soll oder nicht. Und dreimal dürft ihr raten, was die Implementationen da draußen folgerichtig alle machen! Richtig! Nicht checken.
Diese Art von Nachlässigkeit ärgert mich auf einem sehr fundamentalen Level. Da krieg ich Pickel und Bluthochdruck von. Wenn du schon den Aufwand auf dich nimmst, eine Abstraktion einzuziehen, dann gibt es echt keine Ausrede, da nicht auch gleich eine Fehlerklasse auszuschließen.
Nun nimmt man in C++ im Allgemeinen Iteratoren und nicht Index. Hat C++ also die Iteratoren richtig gemacht? Nein, auch nicht! Der Iterator ist unabhängig von der Basisklasse. Sagen wir mal, die Basisklasse ist ein Baum, und man hat einen Iterator, der beim 3. Element ist. Und man löscht jetzt dieses Element. Dann ist der Iterator ... ungültig. Warum eigentlich? Der Iterator ist doch eine Abstraktion. Die Abstraktion hätte man so machen können, dass der Container alle offenen Iteratoren in einer Liste hat, und wenn er Iteratoren invalidiert, dann sagt er den Iteratoren Bescheid. Und wenn dann jemand einen von denen verwenden will, dann platzt das Programm. So hätte man das machen sollen. Hat man aber nicht. Stattdessen ist das jetzt halt ein Bug, wenn jemand so einen Iterator verwendet. Und die Regeln dafür, wie man als Programmierer erkennen soll, ob ein Iterator noch gültig sind, sind obskur und weitgehend unbekannt. In typischem Code da draußen gilt das Prinzip Hoffnung.
Ich ärgere mich darüber, weil das unnötig war, und der Grund ist, wieso wir jetzt Rust haben. Rust kann noch mehr als ich hier skizziert habe. Rust verhindert auch Data Races. Ich will Rust nicht kleinreden. Aber man hätte den Bulk von der Zusatzleistung von Rust auch in C++ implementieren können. Nicht mal in der Sprache. In der Library. Mit bestehenden Compilern. Aber wir stehen ja anscheinend auf Schmerzen in der C++-Community.
Warum rante ich hier so lange über diesen alten Punkt rum? Weil es gerade einen Versuch gibt, für C++ ein paar Richtlinien zu erarbeiten. Arbeitet ab jetzt so, dann wird das alles besser. Dieses Projekt wird von einigen der wichtigsten Namen in der C++-Community gemacht. Es liegt offen auf github rum, man kann es dort auch direkt lesen, und es gibt eine Referenzimplementation, auch auf Github, von Microsoft. Ein Großteil von diesem Code arbeitet um Unzulänglichkeiten in irgendwelchen MSVC-Versionen herum, daher ist das so groß, und daher verwaltet Microsoft das auch. Es gibt auch alternative Implementationen.
Einer der Vorschläge aus dieser Library ist so genial wie einfach: span. span ist sowas ähnliches wie std::array -- es schafft einen STL-Container um einen Speicherbereich fester Länge herum. Der Unterschied ist, dass span einen existierenden Speicherbereich nimmt und als Container zugänglich macht, ohne die Ownership davon zu übernehmen. Das kann man also wunderbar z.B. fürs Parsen von einem Byteklumpen verwenden, der gerade über Netzwerk reinkam. Die Abstraktion weiß, wie groß der Speicherbereich ist, und kann dann ein für alle Mal alle Range-Checks unter der Haube erledigen beim Zugriff. Kein Inline-Rumgemurkse mehr mit irgendwelchen halbgaren Checks. Das macht die Abstraktion für dich. Geil!
So geil, dass das in C++20 Einzug erhalten soll. cppreference.com hat es schon dokumentiert. Es gibt zwei Arten von Range Check, die man da so braucht. Erstens: "Gib mir Byte 15" soll explodieren, wenn es nur 14 Bytes sind. Zweitens: "Gib mir mal den String von Byte 15 bis Byte 30" soll explodieren, wenn das nicht vollständig innerhalb des äußeren span liegt. Insbesondere auch dann, wenn Offset und Offset+Länge innerhalb des span liegen, aber es einen Integer Overflow bei der Addition gibt. Und tatsächlich: std::span bietet so eine Operation an. Gib mir den Teil von hier bis da als Unter-Span. Die Methode heißt std::span::subspan. So und was sehen meine entzündeten Augen da?
The behavior is undefined if either Offset or Count is out of range.ARE YOU FUCKING KIDDING ME?! Wieso überhaupt diesen Scheiß anbieten, wenn der nichts prüft!?!?Meine Güte, C++, so wird das nichts mehr mit euch. Es ist fast so, als WOLLTEN die, dass das immer alles kacke bleibt. Damit man mehr Consulting verkaufen kann oder so? Ich verstehe es nicht. Und dann wundern sich am Ende alle, wieso es so viele Sicherheitsprobleme gibt immer.
Ist nicht alles scheiße hier. Die GSL von Microsoft prüft ordentlich. Die GSL Lite prüft auch (aber nicht ordentlich, ich file gleich mal nen Bug). Aber wenn der Standard es nicht vorschreibt, hilft das ja alles nichts.
Es ist echt zum Heulen.
Gut, auf der anderen Seite werde ich nie arbeitslos mit meiner Security-Firma.
Update: Leser weisen darauf hin, dass man Bounds Checking auch von string und vector kriegen kann. Man muss nur nicht s[10] sondern s.at(10) schreiben. Das stimmt. Es tut nur in der Praxis niemand. Vielleicht weil es keiner weiß. Vielleicht weil Programmierer häufig der Meinung sind, sie brauchen keine Zusatzchecks, weil sie so genial sind. Wer weiß. Ich tippe: Weil es Scheiße aussieht.
Update: Ich freue mich sehr, dass jemand gemerkt hat, dass ich schrieb, das 100. Zeichen im String sei bei s[100]. Ist es nicht. Es ist hinter s[99]. In C und C++ fängt die Zählung bei 0 an. Vielleicht ist doch noch nicht alles verloren. :-)
Update: Ein Leser merkt an, dass Microsoft das Iteratoren-Problem erkannt hat und eine Lösung anbietet. Mal wieder. Microsoft waren auch die ersten, die den inhärenten Integer Overflow in operator new gefixt haben (nachdem ich sie darauf hinwies). Als ich bei clang den entsprechenden Bug gefiled habe, haben die das innerhalb von einem Tag gefixt. g++ brauchte Jahre, bis sie sich durchringen konnten. Wenn wir unsere digitale Infrastruktur so verkommen lassen, dann wird die Zukunft aber trübe aussehen für Open Source!
Update: Eine erschreckende Anzahl von Lesern schreibt mir jetzt, dass Range Checks ja Laufzeit kosten und C++ hat halt versprochen, da neutral zu bleiben. Ich habe vor über zehn Jahren einen Vortrag über Compiler-Optimizer gehalten. Was damals Stand der Technik war, nicht Science Fiction. Und da gibt es eine Sektion über Range Checks. Wisst ihr, was da steht? Guckt selbst! Ist auf meiner Homepage verlinkt. Ich warte solange. Fertig? Da steht: Range Checks kosten nichts. Warum? Zwei Gründe. Erstens kann der Compiler unnötige Range Checks wegoptimieren. Kann nicht nur, tut es. Die bleiben also überhaupt nur in den unoffensichtlichen Fällen da. Und wenn der Range Check im Code landet, dann spielt das auch keine Rolle, weil die CPU im Wesentlichen die ganze Zeit auf den Speicher wartet. Ein einziger L2-Cache-Zugriff dauert lange genug, um gleich mehrere Range Checks in der Latenz komplett zu verbergen. Und wir reden hier von einem Iterator, den du dereferenzieren willst. D.h. da ist garantiert ein Speicherzugriff. So und jetzt Hausaufgabe: Baut mal einen eigenen Vector mit Range Check und tut damit ein paar Dinge. Und dann guckt, ob der Compiler die Range Checks rausoptimiert. Und wenn nicht, dann macht mal einen Benchmark und versucht die Kosten für die Range Checks zu messen. Und DANN könnt ihr zurückkommen und mir Dinge zu erzählen versuchen.
Much of the language of JEDI, in fact, seems specifically tailored for Jeff Bezos. “Everybody immediately knew that it was for Amazon,” says a rival bidder who asked not to be named. To even make a bid, a provider must maintain a distance of at least 150 miles between its data centers, a prerequisite that only Amazon can currently meet. JEDI also asks for “32 GB of RAM”—the precise specification of Amazon’s services. (Microsoft, by contrast, offers only 28 GB, and Google provides 30 GB.) In places, JEDI echoes Amazon’s own language: It calls for a “ruggedized” storage system, the same word Amazon uses to tout its Snowball Edge product.Na sowas!
Der Ansatz ist bei Itanium aus mehreren Gründen gescheitert. Erstens waren die Compiler nicht so weit und haben sehr ineffizienten Code erzeugt. Zweitens hat damals der Umschwung von Pentium 4 (das muss schnell sein, scheiß auf Abwärme!!1!) hin zu dem heutigen Ansatz begonnen, dass man möglichst auf Stromsparen und Effizienz achten soll und die Performance kommt dann schon von alleine. EPIC war in der Praxis eine Heiz-Architektur.
Nun sehe ich keinen Grund, wieso explizites Scheduling energie-ineffizienter sein sollte als spekulative Ausführung in regulären CPUs. Microsoft hat keine Hardware sondern lässt das im Moment in einem FPGA laufen, aber sie sind wohl in Gesprächen mit Qualcomm und haben Windows und Linux darauf portiert (und .NET ist in Arbeit).
Sie haben dafür sowohl für Visual Studio als auch für LLVM ein Backend für ihre Architektur gehackt. Ich bin ziemlich beeindruckt. Das ist harte Arbeit und alles andere als ein Selbstläufer.
Das, liebe Leser, ist die Antwort, wieso ich nie meinen Code bei Github hochgeladen habe. Oder auf sonst einen Server, der nicht mir gehört.
Ich bin mal gespannt, wie lange es dauert, bis Github fett in das Telemetry-Geschäft einsteigt. Sieht man dann wahrscheinlich nicht so, weil das im Hintergrund abläuft.
GitHub will retain its developer-first ethos and will operate independently to provide an open platform for all developers in all industries. Developers will continue to be able to use the programming languages, tools and operating systems of their choice for their projects — and will still be able to deploy their code to any operating system, any cloud and any device.NA DANN IST JA ALLES GUT!!1!Fühlt sich jetzt eigentlich jemand von euch betrogen oder verraten? Migriert ihr jetzt eure Projekte da weg? Wie, geht nicht? Weil ihr euch da mit Lock-In-Features verzahnt habt? TJA! Hätte uns doch nur jemand gewarnt!!1!
Ich hörte, bei Gitlab knallen die Korken und es gibt einen größeren Incoming-Peak.
31.
Einunddreißig.
Nein, wirklich! "Telemetrie", nehme ich an, ja, Microsoft?
Die haben echt den Schuss nicht gehört. Wieso klagt das eigentlich nicht mal ein Verbraucherschützer durch, dass online-only Anwendungen ein Mangel und ein Fall für Geld zurück sind? Bei Skype kann man das vielleicht noch verargumentieren, aber bei Word?!
Und dann in Phase 2 mal die ganzen Telemetrie-Datenkranken wegklagen. Nein, ihr braucht keine Telemtrie von mir. Weder Firefox noch Thunderbird noch Windows noch sonstirgendjemand. Wer nicht fragt oder von meiner Zustimmung die Funktionalität der Software abhängig macht, hat den Untergang verdient. Und wer Opt-Out macht, den mögen die Datenschützer holen. Wo bleiben die Verbraucherschützer eigentlich an der Front? Haben die alle nicht mitgekriegt, dass viele Leute heutzutage mit Software arbeiten?
NA SOWAS, Microsofts T-Systems-Version von Azure verkauft sich nicht! Ich habe mich dazu mit einigen Cloud-Großkunden unterhalten. Die sind alle zuerst zu Azure gelaufen und wollten die Deutschland-Cloud. Und dann haben sie beim Testen rausgefunden, dass die von den Features, der Performance und dem Support Monate bis Jahre hinterherhinkt. Und haben sich gedacht: Lieber von den Diensten abgehört werden als von T-Systems aus dem Business verkacken lassen. So jedenfalls die Schilderungen, die bei mir ankamen.
Oh und wo wir gerade dabei sind: Die Bahn überlegt, eigene Mobilfunkmasten aufzustellen, damit sie endlich ordentlich Internet in die Züge kriegen. Auch dazu habe ich eine Gerüchteküche gehört. Die Bahn hatte das ursprünglich wohl mit der Telekom machen wollen, die haben T-Systems auf die losgelassen, und die haben das anscheinend nach Strich und Faden verkackt (Ich weiß! Überraschung!!). Das hat wohl produktiv nie wirklich funktioniert (war 1-2 Jahre online aber hat nicht überzeugt), und die T-Reaktion auf Probleme war unbefriedigend ("wir machen mal ein Ticket auf" statt schneller und unbürokratischer Hilfe oder gar Besserung) und die Bahn hat irgendwann die Reißleine gezogen und den ganzen Internet-Kack an Icomera outgesourced. Ihr wisst schon, die mit der Sicherheitslücke. Und wer schon mal in einer Bahn saß und das Internet benutzen wollte, der wird feststellen: Nicht mal im Bahnhof hat man zuverlässig Internet. Auf der Strecke noch weniger. Wenn ich ein Smartphone mit SIM-Karte der Telekom an den Laptop anschließe, habe ich mehr Deckung, mehr Bandbreite, weniger Latenz und höhere Verfügbarkeit als die Icomera-Lösung, die eine richtige Außenantenne anschließen kann, um ihr Signal zu optimieren. Icomera hat ja angeblich Deals mit allen Mobilfunknetzen und nimmt halt, was gerade da ist.
Für das beobachtete Verhalten sehe ich nur zwei Erklärungen. Entweder die Telekom erkennt Icomera-Sim-Karten und shaped die runter. Oder Icomera routet aus irgendwelchen Gründen lieber nicht über die Telekom, auch wenn das das einzige verfügbare Netz ist.
Das Gerücht, das ich dazu hörte: Die Telekom hat Icomera als einziges Netz keine Flatrate angeboten. :-)
Weiß da zufällig jemand was?
Übrigens finde ich ja, dass das tief blicken lässt, wenn die Bahn lieber mit den Icomera-Verlierern weitermacht, als zur Telekom zurückzugehen. Wie krass hat T-Systems denn da bitte verkackt, dass die Bahn lieber kein Internet in den Zügen hat, als mit denen zusammenzuarbeiten? Wow. Auch dazu würde ich gerne mal ein paar saftige Gerüchte hören.
Oder ersetze IBM durch Microsoft. Oder Cisco. Immer die gleiche Nummer. Die können gar nicht so übel verkacken, dass die Leute ihnen nicht mehr ihren Scheiß abkaufen.
Und dann, 20 Jahre später, merkte ich, dass das auch umgekehrt so läuft. Noch niemand ist gefeuert worden, weil er von den Russen gehackt wurde. Egal was passiert, man sagt einfach, man sei von den Russen gecybert worden, und dann ist der Job sicher. Niemand wird gefeuert, weil die Russen ihn gecybert haben. Egal wie krass der vorher verkackt hat. Spielt keine Rolle. Ist wie mit IBM, nur andersherum.
Das Prinzip ist sehr mächtig. Achtet mal drauf. Ich glaube sogar, dass das das eigentlich Muster ist, und die IBM-Geschichte ist davon abgeleitet.
Ich war mal mit ein paar Freunden in einem Escape Room. Lauter Nerds. Alle selbstredend davon überzeugt, besonders intelligent zu sein. Für alle war es also unakzeptabel, einen Escape Room nicht zu schaffen. Daher haben wir selbstredend den schwersten genommen, den noch nie jemand geschafft hatte vor uns. Wir haben ihn auch nicht geschafft. Aber gegen den dicksten Endboss im ersten Anlauf zu verlieren ist keine Schande. Ich habe mich nachträglich geärgert, dass ich da nicht stärker gegen opponiert habe damals. Aber diese Muster greifen halt überall.
Mir fällt das gerade ein, weil in Berlin immer so Plakate aushängen, für ein Theaterstück. Es heißt "Ich bin's nicht gewesen, Adolf Hitler ists gewesen". Hier ist eine schöne Kritik von dem Stück.
Naja und eigentlich bin ich drauf gekommen, weil ich diese Meldung hier las. Das Militär vertreibt Hundertausende aus der muslimischen Hinderheit in Myanmar. Und wer ist Schuld? Facebook! Klarer Fall von: Ich war's nicht, Facebook ists gewesen!
Noch nie ist jemand gefeuert worden, weil er sich von Facebook zum Hass hat anstacheln lassen!1!! Facebook ist das neue "die Russen". Oh, Facebook war Schuld? Na dann kann man da wohl nichts machen. Dann können wir ja alle weitermachen wie bisher *achselzuck*
Ich hatte vor ner Weile ein Gespräch in einer Organisation, die angeblich von den Russen mit einem APT gehackt wurde. Die Presse so: APT!! DIE RUSSEN!!! Und der Typ so, zu mir: Nix APT, eher so Back Orifice-Style megapeinliche Uralt-Malware… Aber hey, "DIE RUSSEN HABEN UNS MIT APT GECYBERT", … dann sprach der Mann einen Satz aus, der mir bis heute im Gedächtnis geblieben ist: Damit konnten alle gut leben.
Ja, meine Damen und Herren. So läuft das.
Facebook ist Schuld.
Die Russen haben uns gecybert.
Die Reichen werden immer reicher und die Armen immer ärmer.
Damit konnten alle gut leben.
Update: Das gilt natürlich auch außerhalb der IT und der Politik, aber ich wollte Beispiele nehmen, die aus meiner Lebenserfahrung kommen. Ein Leser kommentiert:
Anderswo hört man: "Das ist der Marktführer" und meint: Das wäre er nicht, wenn er nicht besonders gut wäre und da kann man ex definitione nix falsch machen. Beispiel: Spedition. Verkackt einen Termin, Geschäft platzt, Riesenschaden. Versandleiter: "Aber XY ist der Marktführer hier!" Geschäftsführer: "Ja, dann kann man nichts machen." Zu mir: "Sie machen keine Fixtermine mehr!"
Der Fall zeigt aber auch sehr schön, dass du mit Obfuscation nur Amateure aufhältst. Player wie Microsoft haben dann halt genug Kohle und Manpower liquide, um deinen Scheiß zu reversen. Aber als Beobachter von außen, der sich für Malware-Details normalerweise nicht die Bohne interessiert, ist es schon beeindruckend, was die da alles an Bullshit eingebaut haben, um Reversing teurer zu machen. Die haben da unter dem ersten Jump-Obfuscation-Layer eine VM mit 33 Opcodes implementiert. Und MS hat die halt alle reversed. Die nächste Schicht war dann eine Sandbox- und Debugger-Detection. Dahinter kommt dann … noch eine andere VM mit 16 eigenen Opcodes.
Microsoft war übrigens durchaus beeindruckt von der Professionalität von Finfisher:
In the past, we have seen other activity groups like LEAD employ a similar attacker technique named “proxy-library” to achieve persistence, but not with this professionalism. The said technique brings the advantage of avoiding auto-start extensibility points (ASEP) scanners and programs that checks for binaries installed as service (for the latter, the service chosen by FinFisher will show up as a clean Windows signed binary).Oh na sowas, Code Signing hat uns nicht beschützt?! Hätte uns doch nur jemand gewarnt!!1!
Und DAS ist mal ECHT ein peinlicher Bug. Das ist so der Anfänger-Fehler unter Windows. Microsoft selbst hat Tutorials online, wie man das besser macht. Aber sie selbst kriegen es nicht hin. Weia.
Lange nicht mehr las ich etwas so herzzerreißendes wie dieses tränendrüsenstimulierende Winsel-Posting des "founder and chairman of MPEG", die die Welt über die letzten 35 Jahre mit ihrer Patent-Scheiße in Geiselhaft genommen haben. Und die gerade merken, dass ihr Businessmodell tot ist, denn bei Audio gibt es was besseres und lizenzfreies (Opus) und bei Video demnächst auch, denn Google und Mozilla haben die Schnauze genauso gestrichen voll gehabt wie alle anderen.
Google hat daraufhin die Firma hinter VP8 gekauft und VP9 gestartet, und Mozilla hat den Leuten hinter Xiph.org (denen wir Vorbis und Opus zu verdanken haben!) finanziell unter die Arme gegriffen, und Cisco ist dann auch noch aufgesprungen und jetzt gibt es die "Alliance for Open Media", und deren Codec AV1 soll demnächst rauskommen. Ich kann es kaum erwarten. Der wird open source und frei benutzbar und für die Implementation fallen keine Patentgebühren an. Und von der Qualität soll es besser als HEVC werden — was übrigens so gut wie tot ist, falls ihr das nicht mitgekriegt habt. Chrome spielt es nicht ab, Microsoft hat den Codec aus Windows 10 geschmissen (kann man wohl noch über den Store nachinstallieren), und dass Nvidia an Bord ist, zeigt, dass die bei ihren Grafikkarten auch keinen Bock haben, diesen unerträglichen Patenttrollsumpf um die MPEG-LA zu finanzieren, nur damit ihre Grafikkarten HEVC beschleunigen dürfen.
Technisch ist HEVC ziemlich cool eigentlich. Wenn AV1 wirklich besser als das wird, dann ist das eine enorme Errungenschaft.
In many cases, these security changes meant deep architectural changes were required to third party solutions. And most ecosystem vendors were not incented to invest heavily in their legacy apps. Some of these solutions took the unorthodox approach of modifying data structures and even instructions in the kernel in order to implement their functionality, bypassing APIs and multiprocessor locks that often caused havoc. Antivirus vendors were notorious for using this approach.In my role as the head of Microsoft security, I personally spent many years explaining to antivirus vendors why we would no longer allow them to “patch” kernel instructions and data structures in memory, why this was a security risk, and why they needed to use approved APIs going forward, that we would no longer support their legacy apps with deep hooks in the Windows kernel — the same ones that hackers were using to attack consumer systems. Our “friends”, the antivirus vendors, turned around and sued us, claiming we were blocking their livelihood and abusing our monopoly power! With friends like that, who needs enemies? They just wanted their old solutions to keep working even if that meant reducing the security of our mutual customer — the very thing they were supposed to be improving.
Nur damit ihr das auch mal von jemand anderem als immer nur mir gehört habt.
Sorry, Mozilla. Das kriegt ihr nicht weggewaschen. Was für eine bodenlose Frechheit.
WTF soll das werden? Wenn Microsoft ihre Kunden mit Edge-Werbung vollspammt, dann können wir ja wohl auch unsere Kunden mit Werbung vollspammen?!
Nein, Mozilla. Könnt ihr nicht.
Das Wasser-Geräusch da im Hintergrund gerade? Das war eure jahrzehntelang aufgebaute Vertrauensbasis, die ihr gerade im Klo runtergespült habt.
Update: Mozilla rudert zurück. Tja. Zu spät. Von sowas rudert man nicht zurück. Immerhin haben sie anscheinend auch die eigenen Mitarbeiter überrumpelt, die waren genau so überrascht wie wir.
Microsoft hat aus Versehen einen privaten Schlüssel für seinen Clouddienst Dynamics 365 veröffentlicht - und schaffte es über Monate nicht, auf Hinweise zu reagieren.m(
Die Malware Protection Engine von Microsoft weist eine Schwachstelle auf, über die Angreifer Schadcode auf Computer schieben könnten.Aber nein, Fefe, das kann man so nicht sagen, dass Schlangenöl eine Angriffsoberfläche darstellt!1!! Ist alles voll harmlos! Das sind Profis, die wissen, was sie tun!
Und das krasse ist ja: Das sind echt die Profis bei Microsoft. Von den Schlangenölherstellern da draußen sind das die mit Abstand am wenigsten schlimmen.
Bei der Backdoor handelt es sich Kaspersky zufolge um die Mokes Backdoor, über die Dritte auf den Computer des NSA-Mitarbeiters hätten zugreifen können. Das hätte zum Beispiel passieren können, als die Sicherheitssoftware von Kaspersky auf dem Computer deaktiviert wurde, um eine Microsoft-Office-Version mittels eines Keygen illegal zu aktivieren. Ob so wirklich Dritte auf den Computer zugreifen konnten, ist Kaspersky zufolge jedoch unmöglich festzustellen.Mal abgesehen von dem Comedy-Faktor, dass ein NSA-Mitarbeiter eine Raubkopie von MS Office per Keygen aktivieren will, und dass ausgerechnet Kaspersky bei dem NSA-Mitarbeiter dann eine Backdoor findet, müssen wir doch mal über das Detail reden, dass Kaspersky sehen kann, dass der einen Keygen für Office gestartet hat, während ihre Software ausgeschaltet war. Selbst wenn die Software angeschaltet ist, … wieso würden die solche Daten überhaupt erheben und dann noch jahrelang speichern, so dass sie jetzt noch einen Report dazu veröffentlichen können?! (Danke, Manuel)
Ich bin ja ein Freund davon, wenn Firmen Bugs in Software finden, und nicht bloß Bug Bounties ausschreiben und hoffen, dass ihnen die Bugs schon von außen gemeldet werden. Das ist eine Unsitte, weil es das Bugfinden zu einer Finanztransaktion macht und einen Markt schafft, in dem Geheimdienste einfach mehr zahlen können und dann kriegen die halt die Bugs und nicht der Hersteller.
Aber ich muss mich an der Stelle wundern, wenn die so tolle Mechanismen haben da (und der Hauptzweck des Artikels ist offensichtlich das Protzen, was sie für tolle Möglichkeiten haben), wieso verwenden sie sie dann nicht, um ihren eigenen Gammelbrowser besser zu machen?
Lasst euch von dem ganzen Mitigation-Gelaber nicht blenden. Das ist sowas wie eine Bankrotterklärung. "Wir versuchen gar nicht mehr, alle Bugs zu finden. Wir machen Mitigations rein". Das ist wie "Wir müssen unsere Dienste nicht absichern, wir haben ja eine Firewall".
Außerdem: Habt ihr euch mal gefragt, wieso die so viele Mitigations haben? Wieso hat der Less Privileged App Container nicht gereicht? Weil jede Mitigation umgehbar ist. Manchmal dauert das ein bisschen, manchmal geht es flott. Alles, was das tut, ist die wohlmeinenden Forscher behindern. Die Geheimdienste nehmen dann halt mehr Geld in die Hand.
Wenn ich Mitigation höre, dann denke ich mir immer: Je mehr Geld in Mitigations fließen, desto weniger Geld ist offensichtlich in das Finden und Schließen von Bugs geflossen. Das ist aus meiner Sicht ein Antipattern.
Im Übrigen möchte ich noch kurz darauf hinweisen, dass der Bugtracker von Chrome offen ist, da können wir alle reingucken, und uns davon überzeugen, wie schlimm der Zustand des Produktes ist. Das traut sich Microsoft bei ihrem Browser nicht (aber es gibt immerhin bei Chakra auch einen externen Bugtracker). Warum wohl?
Ein cheap shot, diese Aktion. Wirft kein gutes Licht auf Microsoft.
Das gab übrigens, wie ihr euch sicher vorstellen könnt, einige interessante Gespräche mit Microsoft-Mitarbeitern, als ich da beruflich vor Ort war :-)
Jedenfalls hätte ich mir damals nicht träumen lassen, wenn ich meine Software nicht nach Windows portiere, dass Microsoft dann halt Windows zu meiner Software portieren würde. Das Windows Fall Creators Update kommt mit dem "Windows Subsystem for Linux". Das habe ich gerade mal ausprobiert und darin eines meiner dietlibc-Binaries gestartet, das ls von embutils. Das erste Binary, das ich probiert habe, segfaultete direkt. Also habe ich nochmal alles make clean gemacht, neu gebaut, das neue Binary mit Debug Info rüberkopiert, aufgerufen, und es tat einfach.
Jetzt bin ich ja doch ziemlich geflasht, muss ich euch sagen.
Das muss ich erstmal verdauen.
Wenn euch das an das systemd-Problem vor einer Weile erinnert, insbesondere Microsofts "Lösung" für das Problem, dann seid ihr nicht alleine :-)
Update: War ein Repost.
Insofern ist das potentiell ein fast noch schlimmerer Schaden als wenn der Quellcode geklaut wird. Gerade für Geheimdienste sind ja auch Angriffe gegen ältere Versionen interessant.
Statistiken darüber, wie viele extern gefundene Bugs bereits intern im Bugtracker waren, gibt es leider nicht. Aber bei Open Source-Projekten kann man sehen, dass dieser Anteil nicht Null ist.
The impact of exploiting these vulnerabilities includes decryption, packet replay, TCP connection hijacking, HTTP content injection, and others. Note that as protocol-level issues, most or all correct implementations of the standard will be affected.Und die Leute wundern sich immer, wenn ich lieber ein Ethernet-Kabel anschließe.Update: Das hier scheint das Paper dazu zu sein. Money Quote:
against AES-CCMP an adversary can replay and decrypt (but not forge) packets. This makes it possible to hijack TCP streams and inject malicious data into them. Against WPA- TKIP and GCMP the impact is catastrophic: packets can be replayed, decrypted, and forged. Because GCMP uses the same authentication key in both communication directions, it is especially affected.
Finally, we confirmed our findings in practice, and found that every Wi-Fi device is vulnerable to some variant of our attacks. Notably, our attack is exceptionally devastating against Android 6.0: it forces the client into using a predictable all-zero encryption key.
Update: Ich bin ja mal sehr auf die Erklärung von Google gespannt, wieso sie ein sichereres wpa_supplicant forken und ihre Version dann 00000000 als Key vergibt, wenn der Upstream das nicht tut. Wenn Microsoft früher bei sowas erwischt worden wäre, hätten alle laut NSA-Backdoor gebrüllt. Sorry, das war Blödsinn. Der Upstream-Code hat denselben Bug.
Update: Die Webseite dazu ist online. Und ja, sie haben ein Logo!
Fehlerhafte Update-Pakete für Windows 10 und Windows Server 2016, die Microsoft am jüngsten Patchday veröffentlicht hat, legten in den vergangenen Tagen Rechner in Unternehmensnetzwerken lahm. Betroffen waren nur Umgebungen mit WSUS und SCCM.You had ONE Job!
New hotness: Code Execution in MS Word ohne Makros und ohne Memory Corruption. Per DDE!
Aber keine Sorge, das ist kein Bug. Das soll so.
26/09/2017 – Microsoft responded that as suggested it is a feature and no further action will be taken, and will be considered for a next-version candidate bug.
We knew something was seriously wrong when we noticed that the contents of S/MIME encrypted mails were shown in Outlook Web Access (OWA).Ach komm, sei doch nicht päpstlicher als der Papst, Fefe! Die haben das doch verschlüsselt! Nur haben sie es auch unverschlüsselt mitgeschickt! Das ist doch ein toller Service! Falls der Private Key verlorengegangen ist oder so!We observed this vulnerability only triggers with mails that are formatted in “Plain Text”. Microsoft confirmed this observation.Plain Text ist hier im Sinne von "ASCII statt HTML" gemeint, nicht im Krypto-Sinne. Aber hey, das wird die Verwechslung sein. "Wieso, da steht doch Plain Text? Also schicken wir Plain Text!"
Oder so. (Danke, Ben)
Die lutschen sich einmal von Linkedin alle Profildaten runter, die sie einsehen können, und machen dann damit Big Data, um Firmen zu sagen, welche Mitarbeiter wahrscheinlich demnächst kündigen werden.
Microsoft, die vor ner Weile Linkedin gekauft haben, waren damit unzufrieden, dass da irgendwelche Scraper ihre Server belästigen, und haben die mal geblockt.
Daraufhin hat hiq geklagt und jetzt überraschend Recht bekommen. hiq hatte argumentiert, dass das ein kartellrechtliches Problem sei, wenn Linkedin die Daten nicht rausrückt.
Mal unabhängig von dieser konkreten Konstellation heißt das natürlich anders herum, dass es nichts bringt, Profildaten nachträglich zu ändern oder auf privat zu schalten, wenn das dann schon ein Dutzend Gammel-Startups abgeschnorchelt haben. Gut, war ja irgendwie eh offensichtlich, aber vielleicht nicht allen. Vielleicht wird dem einen oder anderen das erst jetzt klar.
New hotness: Chinese chatbots taken offline after refusing to say they love the Communist Party.
Nein, wirklich!
One of the bots, named BabyQ, made by the Beijing-based company Turing Robot, was asked, “Do you love the Communist Party?” To which it replied simply, “No.” Another bot named XiaoBing, which is developed by Microsoft, told users, “My China dream is to go to America.” When the bot was then quizzed on its patriotism, it dodged the question and replied, “I’m having my period, wanna take a rest.”Kannste dir gar nicht ausdenken, sowas. (Danke, Reiner)
Google and a leading nuclear fusion company have developed a new computer algorithm which has significantly speeded up experiments on plasmas, the ultra-hot balls of gas at the heart of the energy technology.Die andere Firma heißt Tri Alpha Energy und wurde u.a. von Microsoft-Gründer Paul Allen finanziert.
Was ist das Problem?
Abhängig von der gewählten Installation versagt der Browser oder der Bildschirm bleibt schwarz.Oh das klingt schlimm. Gucken wir doch mal genauer.
Die Fehlerursache für einen nicht startenden Browser kann eine Sicherheitssoftware von Comodo sein.Öh, ach? Doch nicht Windows Schuld, sondern Comodo-Schlangenöl? Na dann gucken wir doch mal weiter:
Die Comodo-Software kann außerdem dazu führen, dass sich Nutzer nicht mehr korrekt am System anmelden können.Auch am Monitor-Schwarz-Problem trägt also Comodo-Schlangenöl die Schuld.
Aber klar, im Titel bashen wir lieber auf Microsoft rum! Bringt mehr Klicks oder wie?
Update: Ein Kommentar unter der Meldung schreibt, dass das auch ohne Comodo passiert. Insofern ziehe ich meine Kritik an der Stelle zurück. Ein Einsender weist darauf hin, dass die Tastenkombination Strg+Win+Shift+B Abhilfe schafft (Resettet den Grafiktreiber). Das ist ja wie bei Emacs!!1! (Danke, Florian)
Wer eine Illustration für eine 404-Seite braucht: Das ist sie.
Noch ein zartes Pflänzchen der Hoffnung übrig?
Dem kann ich anhelfen. Ein Leserbrief kam noch rein.
eine kurze Anmerkung zum Laboralltag. Fefe meinte im Blog> Man hörte in letzter Zeit häufiger von irgendwelchen Spektroskopen an > Unis, von Steuersoftware für Großmaschinen. Na dann hängt die halt > nicht ans Netz.Dann sind die Dinger für uns ziemlich nutzlos. Diese Dinger dienen dazu Daten zu sammeln und an andere Computer weiterzuleiten… zur weiteren Auswertung, entweder später, oder sogar unmittelbar zur Prozesssteuerung.
Meßgeräte waren mit so ziemlich die erste Geräteklasse die eine Form von echter Vernetzung implementierten. Späte 1960er, IEEE-488/GPIB, ein Multi-Master-fähiger Bus. Da drüber fährt man üblicherweise ein ziemlich rustikales Protokoll (SCPI) das eigentlich auf OOB-Signaling für Fehler angewiesen ist.
Mittlerweile haben die Kisten alle IP und üblicherweise schickt man SCPI über einen unauthentifizierten, offenen TCP-Stream. Klar könnte man da ein TLS drüber stülpen. Aber die Leute die Meßgeräte verwenden, wollen die üblicherweise mit LabVIEW ansteuern (ein übelstes Stück Software dessen Update-Prozess mit Leichtigkeit jedes andere Produkt da draussen in Sachen Beschissenheit überbietet).
> Wenn die Funktionalität ohne Netzzugang nicht nutzbar ist,Die Dinger funktionieren wunderbar ohne Zugang zum Internet. Wenn man sich irgendwelchen DRM-Mist ans Bein binden will, dann läuft das in diesem Marksegment üblicherweise per SmartCards. Irgendwo innen drinnen gibt es einen Slot für eine SmartCard im SIM-Karten-Format, da tut der Hersteller eine Lizenzkarte rein und die regelt das.
Aber so richtig vom Internet abschotten kann man sie auch nicht. Das Problem mit internen Netzwerken und Firewalls habt ihr ja in Alternativlos 39 angesprochen. Und es ist nun mal sehr oft so, dass man die Dinger in einem internen Labornetz stehen hat, das aber über eine Firewall mit dem normalen Büronetz verbunden ist, damit man per Remote-Desktop nach dem Rechten sehen kann. Und natürlich auch, weil man auf den Geräten auch seine eigenen Programme laufen lassen kann, die man natürlich nicht auf den Geräten selber speichert, sondern auf einem zentralen Server. D.h. SMB ist üblicherweise auch notwendig, damit man vernünftig damit arbeiten kann.
Richtig krass ist es an Teilchenbeschleunigern. Da wird das Experiment aufgebaut, aber Strahlzeit bekommt man meistens erst viel später. Da sind einige Leute darauf angewiesen sich, teilweise vom anderen Ende der Welt, irgendwie Remote mit dem Experiment verbinden zu können um den Leuten vor Ort entweder mit Rat beiseite zu stehen, oder direkt Daten aufzunehmen. Das WWW (also HTTP) wurde nicht durch Zufall am CERN erfunden.
Oder man nehme Radioastronomie. Da werden Experimente einmal quer über den Erdball miteinander verschaltet; die Daten werden lokal aufgezeichnet, mit GPS-Timestamps versehen, aber die Steuerung erfolgt über das Internet.
Computer-Netzwerke waren schon immer lebensnotwendig für Experimentatoren.
> dann hättet ihr die halt nicht kaufen dürfen, ohne euch zu > versichern, dass da für Sicherheit gesorgt ist.Meßgeräte haben die Eigenschaft, dass sie üblicherweise sehr langliebig sind. In vielen Labors findet man Geräte die 15 Jahre oder älter sind. So lange die Hardware noch funktioniert gibt es einfach keinen Grund die auszutauschen.
Nimm zum Beispiel mal das DPO7104 das auf Windows-XP läuft. Das wurde, wenn ich mich recht erinnere, irgendwann so um 2005 herum angeschafft. Zu diesem Zeitpunkt war Vista noch Longhorn. Wenn man da den Hersteller fragt "Wie sieht es mit Updates aus?", kommt als Anwtort "das müssen sie Microsoft fragen."
Als wir letztes Jahr das LeCroy und das Keysight angeschafft haben war einer der entscheidenden Punkte im Anforderungs-Katalog der Ausschreibung, wie denn die Software-Wartungs-Strategie bezüglich Betriebssystem-Updates und dadurch bedingt notwendiger Anpassungen aussieht. Einer der Anbieter hat sich mit folgender Aussage komplett disqualifiziert:
"Falls das System durch Software-Update unbenutzbar wird, kann es mittels dem Acronis-Recovery-Image auf dem System in den Fabrikzustand zurückgesetzt werden." — Themaverfehlung, setzen, 6.
Von zwei anderen Herstellern weiß ich, dass denen Windows-10 die Haarpracht schon ins Mithrandir-Weiß hat ergrauen lassen. Die sind echt nicht "ammused" von dem was Microsoft da fährt. Andererseits können die auch nicht einfach auf Linux oder FreeBSD wechseln, weil um diese Geräte ein regelrechtes Ökosystem aus Ranzsoftware existiert, die nur auf Windows läuft: Matlab, LabVIEW (dafür gibt es zwar eine Linux-Version, aber die ist echt übel), Origin, usw.. Und die Leute wollen auch in 10 Jahren weiterhin ihre Legacy-Software verwenden können.
Ich denke Microsoft wird in den nächsten Jahren der komplette Embedded- und Meßgeräte-Markt wegbrechen. Microsoft wird es nicht jucken. Mit Konsumenten verdient man Geld, nicht mit wenigen großen Fischen.
Ein generelles Problem, gerade was Security und Updates angeht ist, dass diese Geräte auch oft in Langzeitexperimenten stehen die über Wochen oder Monate kontinuierlich Daten aufnehmen sollen. Wenn da ein automatisierter Updateprozess die Kiste unvermittelt herunterfährt, oder sonstigen Mist macht kann das ziemlich schlecht sein. Deshalb sind die automatischen Updates aus solchen Geräten üblicherweise ausgeschaltet.
Was die Sache mit den Treiber-Signaturen angeht und dass man das doch alles sicher portieren könne, das Treibermodell habe sich ja nicht geändert. Nun, teilweise machen die Hersteller von diesen Kisten echt schräges Zeug auf der Hardware-Ebene — Elektroingenieure halt — die auf der Software-Seite zu echt üblen Hacks führen.
Nimm z.B. mal diese Tektronix-DPO-Scopes. Ein Manko das digitale Speicheroszilloskope lange hatten war, dass diese mit Frequenz-Aliasing nicht gut umgehen konnten. Bei analogen Oszis verschmiert einfach nur der Elektronenstrahl auf dem Bildschirm, aber Digitale haben da lange Zeit einfach nur Signal-Müll angezeigt und so getan als wäre das richtig.
Tektronix hat sich dann gedacht: Hey, emulieren wir doch einfach den Elektronenstrahl. Dazu haben die dem Oszi einen zweiten Graphik-Chip (von ATI) eingebaut in dessen Speicher dann die Datenerfassunghardware direkt Pixelwerte hineinmanipuliert. Und dieser Speicher hängt dann irgendwie elektrisch an dem Speicher vom Hauptgraphik-Chip dran. Und entsprechend genau dafür ist die Software ausgelegt. Nun ist das Treibermodell für Graphik-Hardware einer der Teile von Windows der sich schon mehrmals geändert hat. Nicht unbedingt das was im Kernel passiert und auch das Userland ist recht konstant, aber die Schnittstelle zwischen Kernel- und Userland. Und diese Tektronix-DPO-Scopes haben sich das mitten hineingesetzt und wollen eine bestimmte API sehen. Nebeneffekt: Das Programm von denen ist knallhart auf XGA-Auflösung festgenagelt.
Keysight und LeCroy haben solchen Mist zum Glück nie gemacht. Und diese beiden Kisten haben sich auch problemlos updaten lassen. Die Tektronix-Scopes dagegen erfordern echt finsteres Voodoo; der XP-Patch von Microsoft funktioniert nur für SP3, aber das alte Tektronix-Teil verträgt kein SP3. Ich bleibe am Ball.
Was gesetzliche Regelungen angeht: Ich vertrete schon seit Jahren die Ansicht, dass Hersteller im Rahmen der Produkthaftung dazu verdonnert werden sollten für Produkte für die es offiziell keinen Support mehr gibt alle Source-Codes und Hardware-Programmier-Informationen herauszurücken. Keine Diskussion. Falls die Hersteller das nicht wollen, müssen sie halt langfristig Software-Support auf dem aktuellen Stand der Technik anbieten.
Der Fall, dass durch Insolvenz eines Herstellers dies nicht gegeben ist, ist denkbar gering. Die Zahl an relevanten Firmen im Meßgerätebereich kann man an 3 Fingern abzählen (binär) und sind auch Zulieferer für die Rüstung, dass die nicht so schnell verschwinden.
Wobei, Tektronix würde ich keine Träne nachweinen. Früher haben die echt geile analoge Oszilloskope gebaut, aber deren Digital-Scopes waren eigentlich immer eher so "meh". Die DPOs so von vor ca. 15 Jahren waren mal kurzzeitig cool, aber die dümpeln jetzt wieder so vor sich rum.
Daher jetzt auch mal was Konstruktives. Eine Einsendung von Kris Köhntopp, wie man Rollout und Testing richtig macht.
Victim Blaming: »Patching is hard? Yes—and every major tech player, no matter how sophisticated they are, has had catastrophic failures when they tried to change something. Google once bricked Chromebooks with an update. A Facebook configuration change took the site offline for 2.5 hours. Microsoft ruined network configuration and partially bricked some computers; even their newest patch isn't trouble-free. An iOS update from Apple bricked some iPad Pros. Even Amazon knocked AWS off the air.«Ein Canary ist ein Kanarienvogel im Kohleminen-Sinn. Man schiebt die neue Version nicht gleich auf das ganze Rechenzentrum, sondern erstmal nur auf ein paar Kisten, und da routet man nur ein paar User hin. Und guckt, ob es platzt. Das ist an sich eine gute Praxis, aber man muss aufpassen, dass man das nur kurzzeitig macht. Ich habe schon Firmen gesehen, die praktisch permanent diverse Versionen parallel ausgerollt hatten. Das ist nicht gut.Wo ich arbeite haben wir dieselbe Beobachtung gemacht. Wir haben ein Outage Budget, d.h. wir messen die tatsächlichen Einnahmen und vergleichen mit den vorhergesagten Einnahmen. Ist durch einen mißglückten Rollout ein Einnahmeausfall zu verzeichnen, buchen wir das vom Outage Budget ab.
Wir versuchen das so gut als möglich zu treffen. Wenn wir mehr Outage als geplant haben, ist das zu viel Risk Taking, wenn wir zu wenig Outage hatten, ist das nicht genug Risk Taking und wir sind zu langsam und complacent.
Häufige Rollouts sind kleine Changes und die sind viel besser zu kontrollieren als große unübersichtliche Changes. Daher versuchen wir, so oft als möglich einen Rollout (== Patch) zu machen und so die Patches möglichst klein zu halten.
Wenn wir Rollout-Probleme haben, dann meist in den Subsystemen, die wir nicht oft genug ausrollen und in denen dann sekundäre Changes (== Library Changes, die mit sich schneller ändernden Systemen geteilt werden) den Rollout zerknallen. Die Lösung ist für uns, so was auch dann auszurollen wenn sich im Code selbst nix geändert hat (also Dependency-Änderungen auszurollen).
Alles in allem ist das eine sehr anschauliche Darstellung von Technical Debt: Je größer der Diff zwischen ausgerollt und trunk ist, um zu wahrscheinlicher ist es, daß Trunk in Production explodiert.
Um Patching sicher zu machen, muß man es oft tun.
Wenn man oft patchen möchte, müssen Patches und deren Rollouts ein Operativer Prozeß und kein Upgrade-Migrationsprojekt sein.
Wenn Rollouts ein operative Prozeß sein sollen, dann muß man Testen in der Produktion sicher und überlebbar machen.
Um Testen in der Produktion sicher zu machen, muß man:
- das Austeilen von Code und die Aktivierung von Code trennen, also Feature Flags und Experiments einführen,
- sich ändernde persistente Datenstrukturen doppelt führen (alte und neue Version gleichzeitig und parallel aktualisieren, sodaß alter und neuer Code coexistieren können).
- Reporting und Monitoring exzessiv ausbauen und den Monitoring Lag (Event Timestamp vs. Timestamp in dem das Event im Monitoring auf dem Operator Screen sichtbar wird) mitloggen und Anzeigen ("Monitoring Framerate einblenden")
- und den Leuten klar machen, daß es wichtig ist, eine Fehlerkultur zu etablieren ("blameless postmortem" einführen und durchsetzen).
- Canaries
- Overcapacity
- nur 2 Versionen aktiv zur Zeit (also nicht drei- oder mehrphasige Rollouts laufen haben)
Alles kein Hexenwerk eigentlich.
Overcapacity heißt einfach, dass man nicht am Limit fährt mit seiner Hardware, damit man eine Performance-Regression zur Not mal kurzzeitig abfangen kann.
Stört euch bitte nicht an dem Denglisch, das ist in der Ops-Abteilung von internationalen Firmen durchaus normal :-)
Update: Kris hat das auch in sein Blog getan und verlinkt dort auch ein paar Vorträge, die er in dem Bereich gehalten hat.
MS hat seit dem letzten W10 update delta updates, sie nennen es UUPEin zweiter Leserbrief beschreibt die Situation im Digital Signage-Markt:
blogs.windows.com
blogs.windows.com
wenn ihr schon so nett fragt kann ich ja mal ein paar Zeilen schreiben da ich beruflich so ein System entwickelt habe. 2010 brauchte ich einen neuen Job und wurde über einen ehemaligen Kollegen angesprochen ob ich nicht für eine Firma die Digital Signage macht ein Internet basiertes System neu entwickeln will.Ein Dritter berichtet auch aus dem Signage-Markt:
Das VB6 System das die Firma bis dahin bai knapp 1000 Kunden am laufen hatte war in die Jahre gekommen und etwas das über einen Browser von überall her steuern war dringend erforderlich.Wie man sich sicher denken kann lief die alte Software auf Windows also sollte die neue Software auch darauf laufen - hier also schon mal der erste Grund warum Digital Signage auf Windows läuft - weil Version N-1 das getan hat. Hinzu kam das der technisch Verantwortliche (der die VB6 Version entwickelt hatte) darauf bestand verschiedene Teile der VB6 Version weiterzuverwenden (U.A. einen Laufschrift Generator der dank V-Sync seiner Meinung "Broadcastqualität" hatte).
Den Kontrollserver durfte ich glücklicherweise als Linux System bauen. Der Windows-teil in in C# geschrieben.
Seit 2010 hat sich einiges getan auch hardwaremäßig und ich hatte versucht seit 2012 oder so die Client PCs durch etwas sinnvolleres wie einen Raspberry pi oder ein geeignetes Android System zu ersetzen. Leider war dafür nie Zeit bzw. die günstigere Hardware war nie ein genügendes Argument um die knapp 2 Monate in eine neue Player Software zu investieren. (Hier also Grund 2 - "Warum es funktioniert doch").
2013 wurde die kleine Firma durch eine Größere gekauft. Der Kollege der die VB6 Software geschrieben hatte verstarb plötzlich und die Firma wurde praktisch komplett aufgelöst und alle Mitarbeiter einschließlich des Geschäftsführers entlassen. Der einzige verblieben Mitarbeiter bin ich. Das Produkt für Digital Signage in Apotheken wurde einer anderen Größeren Unterfirma mit 150 Mitarbeitern zugeteilt.
Meine neue Firma ist 100% Microsoft. Leute verwenden Windows 10 Handys hier. Ich denke das ist Grund 3 warum digital Signage auf Windows läuft - Die Funktionalität ist mittlerweile zu "klein" um das einzige Produkt einer Firma zu sein. Das heißt das diese Funktionalität als "Zugabe" zu anderer auf Windows basierter Software entwickelt wird. Und keine Firma die Windows Software baut verwendet dann Linux oder etwas anderes.
Damit ist allerdings auch die Zukunft klar - der Kontrollserver wird auf ein Windows System umgestellt. Ich denke ich werde mich nach einen neuen Job umschauen.
Die Frage "Warum ist bei DS Systemen das Update ausgestellt" hat auch ein paar Erklärungen- Digital Signage Systeme haben keine Benutzerinteraktion also fallen die häufigsten Infektionswege komplett weg - der Webbrowser und Email. Das macht es auch dank der Probleme in der jüngeren Vergangenheit mit durch WU installierte Popups (Windows 10 Nag und Office 356) einfach WU einfach auszuschalten weil wirklich die einzige Sicherheitslücke die das System überhaupt beeinträchtigen kann ein Remote Code Excecution Exploit ist - und die sind selten :/
Bei uns war WU standardmäßig angeschaltet. Es gab allerdings immer wieder kleinere Probleme mit den entsprechenden Blasen und Popups die manchmal hoch kamen - die Windows 10 Nagscreens und die Office 356 haben allerdings dafür gesorgt das Windows Update bei allen neuen PCs aus war.
Ich sehe das Nichtupdaten bei Anzeigetafeln und ähnlichem Bullshit (mir fallen Spontan einige Industriesteuerungen ein, die zwar unter Debian laufen, aber im Prinzip das gleiche Problem haben): Gut gemeintes Firewalling.Der nächste Beitrag ist kein Leserbrief aber passt gerade so schön…Diese Kisten erreichen alle anderen Kisten im LAN (müssen sie, denn ich muss die möglicherweise warten), aber nicht das Internet. Daraus folgt, dass die Dinger über die Existenz von Updates überhaupt nicht informiert sind! Jetzt reicht aber, dass eine blöde Kiste im LAN hängt und den Mist verbreitet und alle Kisten fallen um.
Ein ähnliches Problem betrifft Rechner, die (aus Sicherheitsgründen oder weil sie einfach nicht gebraucht werden), garnicht oft am Netz sind.
Ich bin im Übrigen ganz klar gegen Haftungsgeschichten, die haben nämlich schon den Schienenfahrzeugmarkt erfolgreich monopolisiert und zerstört.
Einen hab ich aber noch:
Ich arbeite in einer Organisation (stolz auf ihr HighTech-Image) in der die IT, dass volle Program der Schlangenbeschwörung durchzieht, das ihr skizziert habt. Patches testen bevor man sie ausrollt, kumulieren. Schlangenöl auf allen Rechnern, Internet über Proxy, Microsoft blacklisten für "pöse Websites" (da ist dann auch schon mal das nameserver-config-interface von Schlund gesperrt), you name it…Es hat mich echt überrascht, dass ich bisher intern von einem wannacry-Befall nichts gehört habe.
Ich selbst war lange IT-Leiter in einer grösseren Unterabteilung, mit viel spezial Krams für Geräteansteuerung. So wie ihr das beschrieben habt, nur noch gruseliger.
Diese Lösungen sind oft in-house gestrickt von Leuten, die schon längst in Rente sind und die laufen eben. Und wenn man sie anfasst, fliegt es einem um die Ohren. Die stammen aus einer Zeit, wo es ausschliesslich darauf ankam, das etwas ans Laufen kam. programmiert haben das Leute, die ihre Gehversuche mit FORTRAN gemacht haben. Irgendwann haben sie sich C oder gar C++ beigebogen, aber immer noch Spaghetticode gemacht.
Wenn du das anfassen willst, musst du es von Grund auf neu machen. Also gehst du zu deinem Management und versuchst, ein Budget zu bekommen. Wenn du Glück hast, bist du in ein paar Jahren!!! so weit, dass du deine Kisten mal upgraden kannst. Meist kriegst du aber kein Budget. Und für Security gibt es ja Schlangenöl.
Wer entscheidet in Organisationen über die Bugjets? Das sind Leute, die sich für sehr wichtig halten und die fest daran glauben, was immer zu entscheiden ist, besser entscheiden zu können, als so ein Techie mit seinem schmalspurigen Blick auf die Welt. Das gilt für Produktionsanlagen und gilt erst recht für IT, denn der Manager hat ja daheim selbst einen PC und daher kennt er sich in IT besonders gut aus. Welche Erfahrungen haben diese Typen gemacht? Wenn man updates einspielt, geht danach irgentetwas nicht mehr. Das legt eine Teilaufgabe lahm, kostet Zeit und ist ärgerlich. Updates verändern die Applikation, so dass irgendetwas liebgewonnenes nun nicht mehr oder anders geht. Firmen nutzen Updates, um den Nutzer zu entmachten (die Digikam erkennt plötzlich den Akku aus dem Zubehör und spielt nur nach mit Originalakkus. Der Drucker verlangt nach HP-Patronen.) Kurzum, in ihrer Welt sind Updates von übel. Und das Internet war ehrlich gesagt bis dato nicht wirklich so gefährlich, oder? Mein damaliger Boss hatte nie einen Virus. Er war immerhin clever genug, nicht auf jeden Scheiss zu klicken. Und Backups hat er auch. Diese persönliche Erfahrung bestimmt weitesgehend seinen Managementstil. Also kriegst du kein Budjet, denn an anderen Stellen in der Bude brennt es viel dringender. (Z.B. braucht man Juristen, damit einem nix angeflickt wird oder so ….. jedenfalls keine Scheiss-Updates.)
Nun komme ich zu dem entscheidenden Punkt: Ihr habt das T-shirt mit der Aufschrift "told you so" erwähnt. Wenn du als kompetenter Manager im IT-Bereich auf Risiken hinweist, ist das so lang o.k., wie du nach einiger Quälerei überzeugen kannst und das Budjet zur Umsetzung einer Maßnahme bekommst. Es ist unerquicklich, wenn du dich nicht durchsetzen kannst und du mit dem Risiko weiter leben mußt, weil dir per Order die Hände gebunden sind. Am schlimmsten ist aber, wenn du recht behälst. Vermutlich kannst du, wenn die Katastrophe eintritt sogar noch einen "cover-my-ass-letter" aus denm guten alten Leitzordner ziehen. Das machst du einmal, vielleicht zweimal. Sowas vetragen Manager gar nicht. Ich bin kein IT-Leiter mehr. Zum Glück war für mich das Arbeitsrecht noch so hart, dass ich eine Weile gemütlich auf dem Abstellgleis verbringen durfte und in ein paar Monaten in Rente gehen werde.
Was wir verbreitet in allen Industrien haben, ist eine Managementkrise. Es ist nicht wirklich wichtig für die Zukunft zu denken. Wichtig ist, die Dinge so zu verwalten, dass man nicht persönlich zur Rechenschaft gezogen wird. Das was Gunther Dueck so treffend die anonymisierte Verantwortungslosigkeit nennt. Diese Art von Entscheidungkriterien betreffen auch die Securityfrage. Aber das war bisher eine winzige Baustelle im Vergleich zu anderen Ecken, wo mit dem Feuer gespielt wird.
Zurück zu wannacry. Das einzig wirklich neue ist die Erkenntnis, dass einem so ein Angriff potentiell so abschiessen könnte, dass man nicht mehr auf die Hufe kommt. Da ist er in der öffentlichen Warnehmung der erste Fall. (Falls er überhaupt so wargenommen werden wird. Was sind schon ein paar Krankenhäuser!)
Apple ist im Vergleich zu Microsoft aus meiner Sicht deutlich schlimmer (allerdings ist das Beobachtung von außen, nicht von innen). Dass Apple-User nicht alle drei Sekunden von Ransomware ausgenommen werden, liegt eher daran, dass der Marktanteil zu insignifikant ist. Und dass die Kriminellen ihnen nicht zutrauen, Bitcoins zu überweisen :-)
Erstens: Gerade im Bahnumfeld gibt es harte Zertifizierungs-Zwänge, und eine Zertifizierung zertifiziert halt immer einen genauen Versionsstrang und da kann man dann halt nichts machen. Oh, und: Zertifizierung ist teuer und dauert Monate.
Tja, dann müssen wir da eben ansetzen. Dinge, die häufiger gepatcht werden müssen, als man nachzertifizieren kann, können dann halt kein Zertifikat kriegen. Wir müssen endlich Security als Teil von Safety betrachten.
Und zweitens: Das Patch Management der Hersteller ist auch Scheiße. Leute schrieben, dass Windows Update gerne mal hängt, das man tage nach dem Patchday noch nichts angeboten gekriegt hat, usw. Das stimmt alles und ist eine Riesensauerei. Insbesondere da man heute davon ausgehen muss, dass es unter 24h dauert nach der Verfügbarkeit von einem Patch, bis der Exploit dazu reverse engineered wurde. Wenn also das Patch-Verteilen länger als 24h dauert, ist es zu langsam. Das ist eine harte Grenze. Ich würde sogar "die Welt muss die Patches innerhalb von 12h haben" sagen. Da muss Microsoft halt in bessere CDN-Infrastruktur investieren, wenn sie die Load nicht hinkriegen.
Drittens: Neuronale Netze sind ja gar nicht so undebugbar. Ich zitiere:
die Aussage, dass wir nicht verstehen wie Neuronale Netze, Reinforcement Learning etc. ihre "Magie" wirken stimmt nicht so absolut. Das Feld ist zwar gerade noch im kommen, aber Paper wie dieses hier (was versucht CNNs auf Wavelet Filterbanken zurückzuführen), dieses (was ein RNN analysiert und dort ein "Sentiment Neuron" findet) und die bereits von dir verlinkten adversarial input paper zeigen, dass wir es eben doch verstehen können. Das verstehen und erklären warum die Modelle funktionieren ist ein aktives Forschungsfeld, und die zugrunde liegende Mathematik wird immer verstanden.Richtiger wäre es also zu sagen, dass die ganzen Machine Learning Ansätze instant-technical debt oder instant bloat sind. Wenn in einer Firma oder einem Software System nicht auf einen guten Prozess geachtet wird, ist es sehr schnell unmöglich (oder zumindest sehr teuer) den Code und alle Interaktionen zu verstehen. Vor allem bei den ganzen Compile-to-X Sprachen, dynamisch getypten Sprachen (NodeJS :-/) und Distributed Systems ist man von der Komplexität her schnell bei dem eines DNN. Der Unterschied ist, dass zumindest am Anfang jemand das ganze designed hat damit es läuft, und das organische im Nachhinein kommt wenn sich die Aufgabe verändert. Bei NNs ist das erschaffen organisch, das verändern mit der Aufgabe ist eingebaut und es ist nicht *zwingend* notwendig es zu verstehen, weil man ja eh nur mit statistischen Garantien arbeitet. Daher wird auf die Analyse WARUM und WIE dein System funktioniert meist verzichtet.
Das Problem mit ML ist also dasselbe wie mit Software Pfuscherei im allgemeinen: Qualitätssicherung macht kein Geld, man kann sich noch besser mit "Act of God" artigen Ausflüchten vor Verantwortung drücken und daher gibt es keinen Anreiz dafür sicherzustellen, dass man weiß was da passiert.
Viel gefährlicher finde ich aber (abgesehen von der Tatsache dass AI das Missverhältnis zwischen Kapital und Labor noch mehr zum Kapital kippt), dass wir noch kein Äquivalent zur GPL für ML haben. Bei normaler Software kann dank RMS und Linus wenigstens 99% der Zeit den Code überprüfen, selber fixen und mich zum Teil auf eine Community verlassen. Bei ML Modellen ist die Software vielleicht noch MIT, die Architektur VIELLEICHT noch dokumentiert, aber weder die Hyperparameter, die genauen Tainingsdaten noch die "ah Sepp, mach da doch noch diese L2 norm drauf" gegeben. Reproduzierbarkeit, Überprüfbarkeit, Identifizierbarkeit? Nope. Es kommt jetzt zwar wenigstens langsam pretraining in den Mainstream (was die Modelle modifizierbar macht) und Google hat vor kurzem einen underrated Paukenschlag mit ihrem Privacy respecting Distibuted Training rausgebracht, der es vlt. möglich macht dezentralisierte Datensätze unter einer AGPL style Lizenz zu organisieren, aber ich sehe da noch einen harten Kampf auf uns zukommen. Tivoization wird nix dagegen.
Finally, this attack provides yet another example of why the stockpiling of vulnerabilities by governments is such a problem. This is an emerging pattern in 2017. We have seen vulnerabilities stored by the CIA show up on WikiLeaks, and now this vulnerability stolen from the NSA has affected customers around the world. Repeatedly, exploits in the hands of governments have leaked into the public domain and caused widespread damage. An equivalent scenario with conventional weapons would be the U.S. military having some of its Tomahawk missiles stolen.Ganz langsam, Microsoft.Wer ist Schuld, dass es diese Lücke gibt? Ihr. Microsoft.
Wer ist Schuld, dass die Lücke jahrelang in der Codebasis verblieb? Ihr. Microsoft.
Die NSA hat die Lücke gefunden und nicht gemeldet. Ja. Sie haben sie absichtlich offen gelassen. Aber da könnt ihr nicht drauf zeigen, um die Schuld loszuwerden. Der Gaffer ist nicht am Auffahrunfall auf der Autobahn Schuld.
Ich sehe hier einen Hauptschuldigen und einen Nebenschuldigen. Der Hauptschuldige ist Microsoft, weil ihr die Lücke in den Code getan und jahrelang nicht gefunden habt. Ihr habt ein schlechtes Produkt ausgeliefert. Wenn hier jemand ganz klein mit Hut sein sollte, dann ihr.
Der Nebenschuldige ist der Endanwender, der seine Software nicht gepatcht hat. Und kommt mir nicht mit "aber aber in großen Unternehmen". Bullshit. Ein großes Unternehmen, das Patches nicht sofort einspielt, ist an den Folgen Schuld. Jeder hat immer irgendwelche Ausreden. "Aber wir mussten erst gucken, ob der Patch tut". Nein, musstet ihr nicht. Kein abzuwendendes etwaiges Problem durch einen Patch ist so schlimm wie Remote Code Execution mit Kernel-Privilegien. Nichts. Schaut mir in die Augen. Nichts. Nichts ist so schlimm. Wenn so ein Patch rauskommt, dann spielt ihr ihn ein. Fertig. Keine Diskussion. Kein Zurückhalten. Ihr spielt ihn ein. Sofort. SOFORT.
Und im Übrigen, wenn ihr da ausgelaufene Windows-Versionen ohne Support fahrt, dann gibt es genau niemanden, auf den ihr zeigen könnt. Das ist ein Risiko, das ihr sehenden Auges eingegangen seid. Das jetzt ist die Quittung. Ich habe NULL Mitleid.
Oh und wenn ihr das antike Windows einsetzt, weil es auf einem antiken 3rd-Party-Produkt ist, für das ihr keine Patches mehr kriegt, dann könnt ihr dafür auch sonst niemandem die Schuld zuschieben. Das Risiko hättet ihr halt nicht eingehen dürfen. Ich schlage vor, dass ihr jetzt zu dem Hersteller des 3rd-Party-Produktes geht und euch zivilrechtlich gütlich haltet. Das wird alles immer nur noch schlimmer werden, solange ihr diesen Teufelskreis nicht durchbrecht.
Man hörte in letzter Zeit häufiger von irgendwelchen Spektroskopen an Unis, von Steuersoftware für Großmaschinen. Na dann hängt die halt nicht ans Netz. Wenn die Funktionalität ohne Netzzugang nicht nutzbar ist, dann hättet ihr die halt nicht kaufen dürfen, ohne euch zu versichern, dass da für Sicherheit gesorgt ist.
WER SOLL DENN BITTE DEN DRUCK AUF DIE HERSTELLER AUSÜBEN, WENN NICHT IHR?! Das BSI?! Harr harr harr.
Sorry, aber mir platzt echt der Kragen bei sowas. „Alle sind Schuld, nur ich nicht.“ Das ist das Gegen-Muster zu „Alle sind doof, nur ich nicht.“ bei Schlangenöl.
Was Microsoft-Mitarbeiter in Seattle mit gebleachtem Filmstar-Lächeln und glitzernden Präsentationen vorstellen, wirkt, als würden sie unbekümmert Orwells 1984 zum zeitgemäßen Businessratgeber umfunktionieren. KI-Algorithmen tracken Patienten in Krankenhäusern, lückenlose automatische Überwachung am Arbeitsplatz sowie Deep-Learning-Tools, die Bewerber automatisch im Netz stalken und alle nur erdenklichen Informationen über sie zusammentragen und der Personalabteilung präsentieren.Auf DER Seite der Barrikaden werde ich jedenfalls ganz sicher nicht stehen. (Danke, Randolf)
Warum erwähne ich das? Nun, ihr werdet euch schon gedacht haben, wenn da irgendwelche Komponenten zusammengeleimt werden, das dann möglicherweise das Updaten unter den Tisch fällt. Hier hat mal jemand ein paar Electron-Apps untersucht. Ergebnis:
out of 98 top Electron apps, they averaged 145 known Common Vulnerabilities & Exploits each due to unpached versions of Chromium :-OSportlich! Selbst für übliche Webapp-Sumpfbewohner-Hipstermüll-"Anwendungen".
Meine Vermutung war ja, dass es SChannel ist. Das ist die TLS-Implementation von Microsoft, die sich im Vergleich zu allen anderen TLS-Implementationen auf dem Planeten verdammt gut geschlagen hat bisher. Zu gut, fand ich, und dachte mir, die sind jetzt dann wohl doch mal fällig gewesen.
Aber das war es nicht. Nein. Viel besser. Es war der Microsoft-Antivirus. Stellt sich nämlich raus: Der hat eine Scripting-Sprache, und die hat die selben Bugs, die auch andere Skripting-Sprachen von Microsoft plagen: Type Confusion.
Die Skripting-Sprache ist für Netzwerk-Überwachung. Das ist eigentlich eine gute Idee. Microsoft hat auch sowas ähnliches wie Wireshark im Angebot, und da ist auch fast die gesamte Decoding-Logik mit einer kleinen Mini-Beschreibungssprache erschlagen worden. Ergo hat das Ding so gut wie keine Security-Bugs, während Wireshark der Moloch zwischen Sodom und Gomorrah ist.
Aber ich weiche vom Thema ab. Microsoft hat einen Bug im Antivirus. Genau was ich seit Tagen auf der Heise Show als Szenario an die Wand gemalt habe. Und weil es eben Microsoft und kein gammeliger Schlangenöl-Hersteller ist, gibt es da jetzt keine Nebelbank sondern das wird als das bezeichnet, was ist es: Critical, Remote Code Execution, Wormable.
So und jetzt kann sich ja jeder nochmal selber überlegen, wie wahrscheinlich das ist, dass Microsoft mit ihren Milliarden an Ressourcen, mit ihren fünfstellig vielen Security-Experten, mit ihren monatelangen Testzykeln, dass DIE das nicht hinkriegen, aber die anderen kriegen es hin. Ja nee, klar.
G-Data stimmt mir grundsätzlich zu, dass Zahlen zur Wirksamkeit von Antiviren schwierig zu beschaffen sind, weil die im Allgemeinen von den Herstellern kommen und daher nicht als neutral gelten können. Die Zahlen, die eine große Bibliothek an Malware gegen Antiviren werfen, finden häufig hunderte von Viren, die nicht gefunden wurden, und die Antivirenhersteller reden sich dann mit angeblicher Praxisferne der Tests heraus. Ich las neulich von einer Studie, bei der eine Uni alle ihre einkommenden die Malware-Mail-Attachments bei Virustotal hochgeladen hat und auf unter 25% Erkennungsrate kam. Leider finde ich die URL nicht mehr. Vielleicht kann da ja ein Leser helfen. Mein Punkt ist aber unabhängig davon, ob das jetzt 5%, 25% oder 90% Erkennungsrate sind. Es reicht, wenn ein Virus durchkommt. Eine Malware ist nicht wie die Windpocken. Wenn man sie kriegt hat man halt rote Pünktchen im Gesicht und nach ner Woche ist wieder alles OK. Nein. Eine Infektion reicht, um die gesamten Daten zu klauen, die Platte zu verschlüsseln, und an einem DDoS-Botnet teilzunehmen. Die Erkennungsrate ist, solange sie nicht 100% ist, irrelevant. Ich bin immer wieder schockiert, mit welcher Selbstverständlichkeit Leute nach einer Malware-Infektion halt "desinfizieren" klicken in irgendeinem Tool und dann weitermachen, als sei nichts gewesen. Das ist wie wenn jemand in eine Schwimmbecken scheißt, und man fischt den größten Klumpen raus, und dann schwimmen alle weiter. WTF!?
Der nächste Talking Point der AV-Industrie ist (angesichts der miserablen Erkennungsraten in der Praxis), dass man ja nicht mehr rein reaktiv arbeite sondern auch magischen Einhorn-Glitter aus der Cloud habe. Erinnert ihr euch noch an den Aufschrei nach Windows 10, als Microsoft sich das erstmals explizit von euch absegnen ließ, dass sie eure Daten in die Cloud hochladen? Wie jetzt?! Die wollen gerne als Debugginggründen sehen, welche crashenden Programme ich ausführe!? DAS GEHT JA MAL GAR NICHT!!1! Ja was denkt ihr denn, was das ist, was die AV-Industrie mit der Cloud macht? Die werden im Allgemeinen nur die Hashes der Software hochladen, aber das heißt trotzdem, dass die sehen können, wer alles Winzip benutzt, oder dieses eine hochpeinliche aus Japan importierte Hentai-"Dating-Simulator"-Anwendung. Aber DENEN traut ihr?!
Ich sage euch jetzt mal aus meiner Erfahrung, dass die Analyse von einem Stück Software Wochen dauert, besonders wenn die Software gerne nicht analysiert werden möchte. Wenn die AV-Industrie also so tut, als könnte ihre magische Cloud "innerhalb von Sekunden" helfen, dann gibt es nur zwei Möglichkeiten: Entweder sie haben ein paar Wochen gebraucht und tun jetzt nur so, als sei die paar Wochen lang schon niemand infiziert worden. Oder sie haben da irgendwelche Abkürzungen genommen. Überlegt euch mal selbst, wieviel Verzögerung eurer Meinung nach akzeptabel wäre. Dann, wieviel Arbeit das wohl ist, anhand einer Binärdatei Aussagen zu machen. Zumal man solche Aussagen im Allgemeinen in einer VM macht, und Malware im Allgemeinen guckt, ob sie in einer VM läuft und dann die bösen Funktionen weglässt. Eine denkbare Abkürzung wäre also, schon so einen Check als Zeichen für Malware zu deuten. Da sind wir aber nicht mehr in der Branche der seriösen Bedrohungsabwehr, sondern in der Branche der Bachblüten-Auraleser-Homöopathen, das ist hoffentlich jedem klar.
Das ganze Gefasel mit proaktiven Komponenten halte ich auch für eine Nebelkerze. Wenn das funktionieren würde, gäbe es Weihnachten keine wegzuräumende Malware auf dem Familien-PC, und in der Presse wäre nie von Ransomware die Rede gewesen, weil das schlicht niemanden betroffen hätte.
Ja und wie ist es mit dem Exploit-Schutz? Das ist Bullshit. Das erkennt man schon daran, dass Microsoft diese angeblichen Wunderverfahren der AV-Industrie nicht standardmäßig ins System einbaut. Googelt das mal. Microsoft hat hunderttausende von Dollars für gute Exploit-Verhinder-Ideen ausgeschrieben und ausgezahlt. Und wieviele Prämien für gute Ideen findet ihr von der AV-Branche? Na seht ihr.
Überhaupt. Kommen wir mal zu den Standards. Microsoft hat den Prozess etabliert, den gerade alle großen Player kopieren, die SDL. Ich weiß das, weil ich dabei war, als sie das bei sich ausgerollt haben. Microsoft hat, was ich so gehört habe, sechsstellig viele CPU-Kerne, die 24/7 Fuzzing gegen ihre Software-Komponenten fahren, um Lücken zu finden. Microsoft hat ganze Gebäude voller Security-Leute. Ich würde schätzen, dass Microsoft mehr Security-Leute hat, als die typische AV-Bude Mitarbeiter. Microsoft hat geforscht, ob man mit dem Umstieg auf .NET Speicherfehler loswerden kann, ob man vielleicht einen ganzen Kernel in .NET schreiben kann. Sie hatten zu Hochzeiten über 1/4 der Belegschaft Tester. Es gibt periodische Code Audits von internen und externen Experten. Sie betreiben eine eigene Security-Konferenz, um ihre Leute zu schulen, die Bluehat. Aus meiner Sicht stellt sich also die Frage: Wenn DAS die Baseline ist, trotz derer wir immer noch ein Sicherheitsproblem haben, dann müssten ja die AV-Hersteller nicht nur genau so gut sondern deutlich besser sein. Sonst wären sie ja Teil des Problems und nicht Teil der Lösung. Das hätte ich gerne mal von den AV-Leuten dargelegt, wieso sie glauben, sie könnten das besser als Microsoft.
Oh und einen noch, am Rande:
Wenn Daten signiert sind ist klar, von wem die Informationen stammen. Oft ist es schon ein beträchtlicher Sicherheitsgewinn, wenn man weiß, dass die Information von einem bekannten und ergo vertrauenswürdigen Quelle stammen.Das ist natürlich Bullshit. Es sind schon diverse Malware-Teile mit validen Signaturen gefunden worden, und alle alten Versionen mit bekannten Sicherheitslücken sind ja auch noch gültig signiert. Code Signing dient nicht dem Schutz des Kunden sondern dem Schutz von Geschäftsmodellen.
Mir ist außerdem wichtig, dass ihr merkt, wenn ihr hier mit einer bestimmten Haltung an das Thema rangeht, weil ihr selbst schon entschieden habt, und jetzt nur noch die Argumente rauspickt und höher bewertet, die eure getätigte Entscheidung bestätigen. Das ist ein sehr menschliches und normales Verhalten, aber dem Erkenntnisgewinn dient das nicht. Wo kommen denn die Zahlen her, dass angeblich noch niemand über Lücken in Antiviren gehackt wurde? Wenn ihr zu Weihnachten 10 Viren findet — macht ihr dann erstmal eine wochenlange forensische Analyse, wo die herkamen? Nein, macht ihr nicht! Ihr seid froh, wenn die weg sind. Aussagen wie "noch keiner ist über seinen Antivirus gehackt worden" sind unseriös, und Aussagen wie "es sind keine Fälle bekannt" sind irreführend und Nebelkerzen.
Update: Wer übrigens die Früchte von Microsofts Exploits-Schwieriger-Machen haben will, der muss a) immer schön Windows updaten; weg mit Windows 7 und her mit Windows 10, und/oder b) EMET installieren.
Update: Hups, EMET-Link war kaputt.
Update: Ein Einsender weist darauf hin, dass es doch mal einen Fall von einer massenhaftung Malware-Verbreitung via Antivirus-Sicherheitslücke gab.
Update: Ein fieser Wadenbeißer hat sich mal durch die Archive gegraben:
es gibt noch weiteres Argument gegen die Schlangenöl-Branche, das ich glaube ich bei dir noch nicht gelesen habe, wenngleich das eher nicht gegen die Microsoft-Lösung zielt:
Kollateral-Schaden.
Wie oft hatten wir es bitte schon, dass ein Amok laufender Scanner von einem marodierenden Wozu-Testen-AV-Riesen schlicht Windows & co als Virus/Trojaner/Whatever eingestuft hat?
Gucken wir doch mal:
Das passt auch sehr schön dazu, welchen Testaufwand Microsoft im Vergleich betreibt.
Oh und was ist eigentlich mit Virenscannern, die Inhalte aus dem Netz nachladen, die nicht unbedingt... naja, gab es schließlich auch schon:
Soll man daraus schließen, dass die ihr eigenes Gift vmtl selbst gar nicht einsetzen?
Ach ja, ich vergaß, alles bedauerliche Einzelfälle vom Werksstudentenpraktikanten, die natürlich nie, nie, nie wieder passieren. Ungeachtet dessen, dass sie nie hätten passieren dürfen, das wäre eigentlich der Anspruch an diese Software.
So wie auch schon Schlangenöl auch nur in den besten Fällen keine Wirkung hatte.
Ich habe bisher auf diese Art von Linksammlung verzichtet, weil es mir gerade nicht darum geht, mit dem Finger auf einzelne Hersteller zu zeigen. Es gibt da sicher auch Pfusch bei einzelnen Anbietern, das sehe ich auch so, aber mir ist die fundamentale Kritik am Konzept des Antivirus wichtiger. Pfusch in Software gibt es ja leider häufiger.
Update: Ein anderer Einsender kommentiert:
Zum Thema Proaktive Komponente kann ich dir aus unserer Infrastruktur klar sagen: DAS ist das was am Meisten Fehlmeldungen produziert. Ich habe z.B. einen lang vergessenen Texteditor auf einer Netzwerkfreigabe rumliegen. Seit 2007. Und 2016 auf einmal meldet der Antivirus, dass das Ding verseucht ist und sofort desinfiziert werden muss. Ich warte zwei Tage (=zwei Signaturupdates) ab und lass den Ordner wieder scannen. Diesmal: Nix. Oder letzte Woche hat er uns 6 Userworkstations als virenverseucht gemeldet, weil die User Proxy PAC-Scripte im Browser konfiguriert haben. Ja, haben sie weil so unser Internetzugang funkioniert, aber ich frag mich ernsthaft warum der AV nur diese 6 Workstations gemeldet hat und nicht noch die anderen 400 die das AUCH haben. Tags drauf war wieder alles gut. Für mich als Admin ist das keine zusätzliche Sicherheitskomponente sondern nur zusätzliche Arbeit.
Und ich möchte auch zu der Cloud-AV-Sache noch mal klarstellen, wie sehr das Bullshit ist. Der CCC hat vor ein paar Jahren den Staatstrojaner veröffentlicht, ihr erinnert euch wahrscheinlich. Natürlich in einer entschärften Version, die keinen Schaden angerichtet hätte. Diese Version tauchte dann relativ zeitnah in den Cloud-Antivirus-Datenbanken auf. Die nicht entschärfte Version tauchte nicht auf. Nur falls sich da jemand Illusionen gemacht hat.
Update: Ein Biologe kommentiert:
Es gibt ja ein paar hübsche Analogien zwischen Computerviren und deren Verbreitung und der realen Welt. Beim Lesen des G-Data Pamphletes musste ich an einer Stelle herzlich lachen, als sie ihre "über 90% Erkennungsrate" beweihräucherten. Auf die Mikrobiologie übertragen ist das eine log1-Reduktion, also so knapp über Homöopathie und Gesundbeten. Ich arbeite mit Lebensmitteln, da darf man etwas "Debakterisierung" nennen, wenn man im log3-Bereich unterwegs ist. Also wenn 99.9% aller Keime gekillt werden. Pasteurisierung ist bei log5, also 99.999%. Und auch da wird die Milch nach 21 Tagen sauer.
90% ist da auf jeden Fall der Bereich "lohnt den Aufwand nicht". Da ist eine sinvolle Backup-Strategie und eine gewisse Routine im Rechner-wiederaufsetzen sinnvoller eingesetzt.
Update: Viele meiner Leser scheinen eine Statistik-Schwäche zu haben, und kommen mir hier mit Analogien wie "Kondome schützen ja auch nicht 100%" oder "im Flugzeugbau hat man auch nicht 100% als Anforderung". Vergegenwärtigt euch mal, wie viele Viren es gibt, und wie viele Malware-Angriffe pro Tag es auf typische Systeme gibt. Und dann rechnet euch mal aus, bei einer Erkennungsrate von 90%, oder sagen wir 99%, oder sogar 99.9%, wie viele Stunden es dauert, bis der Rechner infiziert ist. Ich habe in Köln und Hamburg das Publikum gefragt, wer schonmal Weihnachten einen Familien-PC säubern musste. Fast alle. Dann, bei wie vielen ein Antivirus drauf war. Jeweils einer weniger. EINER weniger. ALLE ANDEREN haben trotz Antiviren Malware eingefahren. Wir reden hier nicht von "ich habe dreimal pro Tag mit Kondom Sex und habe nie HIV gekriegt", sondern von über einer HIV-Infektion pro Tag. Und da, behaupte ich mal, wären auch die Nicht-Statistiker unter euch plötzlich mit der Kondom-Performance unzufrieden. Was ihr gerade am eigenen Leibe erlebt, das nennt man Rationalisierung. Ihr habt eine Entscheidung getroffen, nämlich einen Antivirus einzusetzen, und greift jetzt unterbewusst nach Strohhalmen, um das irgendwie zu rechtfertigen. Ich meine das gar nicht böse. So funktionieren Menschen. Euch kommt zugute, dass die meisten Viren bisher wenig kaputtgemacht haben. Vielleicht ein paar erotische Selfies exfiltriert, wenn es hochkommt an einem Botnet teilgenommen. Erst jetzt mit Ransomware werden Viren auch gefühlt richtig gefährlich. Ihr solltet nicht warten, bis euch das am eigenen Leib passiert.
Hier ein Gedanke zum Vorschlag Software-Anbieter für den Schaden, der durch Sicherheitslücken entsteht haften zu lassen.Das ist in der Tat die Achillesferse bei dem Vorschlag mit der Produkthaftung. Fällt jemandem ein 3. Weg ein? Vielleicht wie in den USA, dass man sich dann halt dem Risiko von Millionenklagen aussetzt, selbst wenn man alles richtig gemacht hat? Ist auch nichts.Das kann den Software Markt schnell in Richtung Oligopol Markt verändern.
Märkte mit hohen Haftungsrisiken, tendieren dazu große Firmen zu begünstigen und kleine zu verdrängen. Ich kann das hier in der Pharma-Industrie ganz gut sehen. Für die Luftfahrt-Industrie gilt aber das gleiche.
Haftung für komplexe Produkte und Prozesse führt nicht etwa nur zur Perfektion des Produktes, wie von Dir angenommen, sondern auch zur Abwehr der Haftung mittels Versicherung und Regulierung.Stell Dir einfach mal vor, Du müsstest Software so anbieten wie die Pharma Industrie ihre Medikamente.
Es gäbe eine Aufsichtsbehörde, die festlegt, wer, mit welcher Bullshit-Zertifizierung, nach welchem Entwicklungsmodell, Software schreiben darf. Das ganze wird natürlich festgeschrieben und nur alle zehn Jahre aktualisiert.
Es gäbe regelmäßige Inspektionen, in denen Checklisten ausgefüllt würden ob nun dieses Merkmal guter Entwicklung oder jenes Sicherheits-Feature vorhanden und dokumentiert (!) ist.Bisher kann jemand der fähig ist, eine Software-Firma aufmachen und ein Produkt verkaufen. Egal wie gut oder wie sicher. Ich behaupte, die meisten Kunden wissen das. Kaum einen stört das.
Sobald Du die Haftung z.B. per Gesetz einführst, bräuchten Software Firmen eine Versicherung (wer würde da sonst kaufen, wenn das Kapital der Firma nicht reicht um Schäden zu ersetzen?). Und sie brauchen tausend "qualitäts"-Zertifikate. Ist jetzt schon so, wenn die für Krankenhäuser oder eben die Pharma Industrie entwickeln wollen.
Helfen für Zertifikate? Nicht in deinem Sinne, dass die Software dann wirklich sicherer ist.
Der Nutzen liegt an anderer Stelle.
Ab einer gewissen Komplexität ist es für eine Firma oder auch für einen IT Sicherheits Experten nicht mehr möglich, sicherzustellen, dass kein Virus eingefangen wird / die Firma nicht gehackt wird.
Wenn beides nicht passiert, ist das reines Glück.Was tut man also? Man tut das was branchen-üblich / gute Praxis ist und dokumentiert das!
Dafür gibt es IT Sicherheits Zertifikate, dafür kauft man Schlangenöl und man engagiert Pen-Tester.
Ein Pen-Test zeigt nicht nur, ob die Systeme hinreichend sicher sind, sondern er ist auch ein Signal, dass man etwas unternommen hat.Für die Firmen, welche Software herstellen gilt das analog. IBM, SAP und Microsoft könnten immer darlegen, dass sie alles nach dem Schema der XY Zertifizierung entwickelt und getestet haben und dass es praktisch höhere Gewalt war wenn ihre Software Schaden angerichtet hat.
Die könnten auch den Papierkram stemmen um das alles zu dokumentieren.Das Problem mit Haftung ist ja immer: es reicht nicht aus, gute Arbeit zu leisten. Man muss es auch dokumentieren… Und sich nach einem objektiven Standard richten… Wer setzt den?
Also überleg es Dir nochmal mit der Haftung für Schäden durch unsichere Software. ;)
Mein IoT-Vortrag schien ganz gut anzukommen, aber das Podium war zu lahm. Heise hatte kurzfristig ein Podium zur Frage "Sind Antiviren Schlangenöl?" eingeplant, nachdem ich da im Blog einen kleineren Schlagabtausch mit Heise Security hatte. Ich war ja erstmal überrascht, dass Heise Events es geschafft hat, für alle fünf Termine jemanden von der AV-Industrie zu finden, der sich da hinsetzt und das debattieren will. Die haben ja im Wesentlichen nichts zu gewinnen in einer Diskussion zu der Fragestellung. Aber sie haben es geschafft, und Hut ab vor den Leuten, die das jetzt machen.
Heute war das Ralf Benzmüller von G Data.
Weil das recht kurzfristig noch ins Programm gehievt wurde, und wir dann an dem Tag noch am Programm herumgeschoben haben, damit das nicht nur 30 Minuten sind wie ursprünglich eingeplant, und wir vorher auch keine Gelegenheit hatten, mal einen roten Faden zu klären, lief das Podium dann ein bisschen unrund, wie ich fand. Erstmal hat Heise vorher und nachher gefragt, wer meine These unterstützen würde, und wer die Gegenthese unterstützen würde, und ich konnte grob niemanden auf meine Seite ziehen, fing auch mit der klaren Minderheitsposition an. Das erwähne ich nur, um euch zu sagen, dass mich das nicht stört. Ich mache das nicht, "um zu gewinnen" oder so. Mich stört aber, dass wir teilweise aneinander vorbei geredet haben.
Ich habe extra versucht, da die technischen Details rauszuhalten, und auf einer ganz fundamentalen Ebene zu argumentieren.
Ich habe u.a. argumentiert, dass ein Virenscanner ja PDF-Dateien scannt, auch wenn ich gar keinen PDF-Viewer installiert habe. Dann wäre ich also ohne Antivirus sicher vor Angriffen via PDF gewesen, und erst durch den Antivirus kommt ein PDF-Parser ins Spiel, der wie jeder Parser-Code potentiell angreifbar ist. Ralf dachte, ich meinte, dass der mit den selben Exploits wie Acrobat angegriffen würde, und versuchte dann auszuführen, dass ein Antivirus ja die PDF-Datei gar nicht wirklich ausführt, sondern nach Heap Spraying und NOP Sleds sucht. Nicht nur verteidigte er damit einen Punkt, den ich nie kritisiert habe; im Publikum verstand das dann auch noch jemand so, als habe er eingeräumt, dass sie da nur oberflächlich ein bisschen draufschauen und das also gar nicht wirklich absichern.
Diese Art von Detail-Kleinkram wollte ich gerade vermeiden in der Debatte, denn da verliert man sich in irgendwelchen für die Diskussion und das Publikum unwichtigen Dingen.
Meine Aussage ist ja, kurz zusammengefasst, folgende:
In meinem rationalen Universum ist mit diesen beiden Punkten alles gesagt. Funktioniert nicht und verursacht Folgeprobleme? Will man nicht!
Und für den Fall, dass die "ist ja bloß ein Grundschutz"-Ausflucht kommt, vielleicht noch garniert mit "100% Sicherheit gibt es gar nicht", hatte ich mir überlegt, wie das wäre, wenn man eine Putzkraft einstellt, und die hinterlässt dann in der Küche einen großen Schmutzfleck, und argumentiert dann: Ist ja nur eine Grundreinigung, der Flur ist aber voll sauber jetzt!
Wieso würde man bei einer Putzkraft höhere Standards anlegen als bei einem Antivirus? Erschließt sich mir nicht.
Aber es stellt sich raus, und das muss ich völlig emotionslos hinnehmen, dass die Leute da draußen wissen, dass Antiviren nichts bringen, potentiell die Dinge schlimmer machen, Geld kosten, und die Werbeversprechen der Hersteller zum Gutteil falsch sind — und das trotzdem für einen nicht nur akzeptablen sondern notwendigen Deal hält.
Ich vermute, dass es da einen bisher unerkannten psychologischen Hintergrund gibt. Meine Vermutung ist, dass das unser Ablassschein dafür ist, dass wir lauter Software einsetzen, der wir nicht vertrauen, und von der wir aus Erfahrung wissen, dass sie unsicher ist. Wir setzen die trotzdem ein, uns müssen diesen offensichtlichen Fehler irgendwie wegrationalisieren. Dafür kaufen wir uns beim Schlangenöllieferanten einen Ablassschein. Dem können wir zwar auch nicht vertrauen, aber das war ja auch nicht der Punkt an der Sache. Den Antivirus kauft man nicht, damit er einen absichert, sondern damit man sagen kann, man habe aber einen Antivirus gehabt.
Ich frage mich, ob man da nicht viel Aufwand sparen kann, und den Leuten das Geld abnimmt, aber ohne einen Antivirus zu liefern. Sankt Fefes Schlangenöl-Ablassbrief. Du setzt Internet Explorer ein? Sag drei Ave Maria und kaufe vier Sankt Fefe Schlangenöl-Ablasszertifikate!
Als Gegenleistung könnte man so richtig schöne Zertifikate drucken. Auf gutem Papier, ihr wisst schon. Wasserzeichen, Prägung, vielleicht noch ein Wachssiegel.
Sollte ich mal vorbereiten und bei solchen Gelegenheiten verkaufen. Aufschrift: Dem Eigentümer dieses Zertifikates wird verziehen, dass er immer noch Firefox einsetzt, obwohl er wusste, was da mit jedem einzelnen Release für unfassbar furchtbare Sicherheitslücken zugemacht werden müssen, und dass es keinen Grund für die Annahme gibt, dass diese Reihe nicht so weitergehen wird. Gezeichnet: Kardinal Rieger.
Auf der anderen Seite kann es natürlich sein, dass so ein Podium gar nicht funktionieren kann, denn es war ja gar nicht mein Ziel, da irgendeinen bestimmten Hersteller rauszuziehen und schlecht zu machen, schon gar nicht den, der sich neben mir aufs Podium getraut hat. Es ist auch nicht mein Ziel, dazu aufzurufen, dass die Leute alle ihre Antiviren deinstallieren. Wir sind hier alle Erwachsene. Wer auf selbstzugefügte Schmerzen steht, dem werde ich da keine Vorschriften zu machen versuchen. Und häufig haben gerade Firmen sowas ja auch aus Compliance-Gründen oder weil sonst die Versicherung im Schadensfall nicht zahlt.
Naja, und so kam am Ende völlig überraschend raus, dass die Fakten völlig unstrittig sind. Wir legen sie bloß fundamental verschieden aus.
Update: Der Vollständigkeit halber: 100% Sicherheit gibt es natürlich doch. Jemand, der keine PDF-Software installiert hat, ist 100% sicher vor PDF-Exploits. Bis er einen Antivirus installiert. Dann nicht mehr.
Update: Ich werde häufig gefragt, was denn mein Vorschlag gegen Malware ist. Hier ist meine Antwort.
Die Malware-Problematik besteht aus zwei zu trennenden Hälften. Erstens Malware, die unter Ausnutzung von Sicherheitslücken auf das System kommt. Zweitens Malware, die völlig legitim auf das System kommt, beispielsweise in einer E-Mail, und die dann vom Benutzer ausgeführt wird.
Die erste Kategorie von Malware kriegt man weg, indem man Softwarehersteller für Schäden in Haftung nimmt, die aus ihren Sicherheitslücken resultieren. Die zweite Kategorie von Malware kriegt man weg, indem man das Modell von Mobiltelefonen übernimmt. Anwendungen laufen nicht mehr in einem großen Universum gleichberechtigt nebeneinander und haben alle vollen Zugriff auf alle Ressourcen, auf die der User Zugriff hat, sondern Anwendungen laufen jeweils in einer Sandbox mit minimalen Rechten, und wenn sie eine Datei öffnen wollen, können sie nur das System bitten, einen "Datei öffnen"-Dialog anzuzeigen. Dateien einfach so mit Dateinamen öffnen oder ohne Rückfrage geht nicht. So ein Modell hat Microsoft mit ihrem App Store zu etablieren versucht, und der Markt hat sie ausgelacht und das nicht haben wollen. Dafür installieren wir uns dann einen Antivirus drüber. Um unser schlechtes Gewissen zu beruhigen.
Update: Hier kommt der Einwand, dass das ja noch dauert, bis wir Produkthaftung kriegen. Das ist also jetzt keine akute Lösung!1!! Ja, und? Gegen 0days zu helfen sagen ja auch Antiviren nicht zu. Und wenn es kein 0day ist, muss man halt immer schön alles gepatcht halten. Dann kann einem die auf Sicherheitslücken basierende Malware auch nichts. Für mich ist das der Gipfel der Unverantwortlichkeit, wenn Konzerne sich ganze Abteilungen mit Bremsklötzen leisten, die dann vorgeblich Patches "prüfen", ob die wirklich ausgerollt werden müssen oder nicht. Und in der Praxis führen die nur dazu, dass steinalte Exploits in dem Laden noch funktionieren. Aber hey, dafür haben wir ja Antiviren installiert!1!!
Und nicht auf Sicherheitslücken basierende Malware kriegt man im Firmenumfeld dadurch weg, dass man den Leuten keinen lokalen Adminzugang gibt und sie nur Programme von der Whitelist ausführen lässt. Ich glaube ja, dass das mit der Tooldiskussion neulich hier im Blog Hand in Hand geht. Firmen tolerieren ein geradezu groteskes Maß an Unwissen und Lernverweigerung. Und die Mitarbeiter nehmen das dankend an, weil sie dann die Unschuld vom Lande geben können. "Ja aber ich hab doch bloß auf das Bild geklickt und die drei Warnfenster sofort ungelesen zugemacht!1!!"
Nun, außer … dass Microsoft das absichtlich sabotiert, damit die Leute endlich alle Windows 10 benutzen. Klar. Abgesehen davon halt.
Da ist auch ein PDF zu geleaked, und die Details sind durchaus interessant. Beispielsweise:
All tools must utilize Operating System (OS) provided cryptographic primitives where available (e.g., Microsoft CryptoAPI-NG, OpenSSL, PolarSSL, GnuTLS, etc).Dass sie da Polarssl und Gnutls explizit nennen, finde ich erstaunlich. Auch generell ist das nicht unbedingt ein guter Ratschlag, denn wenn du von irgendeinem gammeligen Schrott-Debian oder Embedded Höllendevice mit OpenSSL 0.98 Daten exfiltrieren willst, dann erscheint es schon ratsam, da lieber nicht die Krypto zu nehmen, die vom OS kommt. Ich sage nur Heartbleed und erinnere an das Debian Weak Key Massaker.
Messages should be compressed prior to encryption.Die Begründung ist: Weniger Clear Text, weniger Angriffsoberfläche. Stimmt auch, aber bei TLS schaltet man im Allgemeinen das Compression-Feature absichtlich ab, weil es da mal ein Problem gab. Die CIA sagt jetzt nicht, man soll das anschalten. Aber es steht auch nicht explizit da, dass man es nicht anschalten soll. Von einem Papier, dessen expliziter Existenzgrund ist, Verwirrung zu verringern, hätte ich das erwartet.Tools should perform key exchange exactly once per connection. Many algorithms have weaknesses during key exchange and the volume of data expected during a given connection does not meet the threshold where a re-key is required. To reiterate, re-keying is not recommended.Das ist so m.W. eine eher selten ausgesprochene Empfehlung. Ich finde ihre Begründung jetzt nicht absurd. Da müsste man mal drüber diskutieren. SSH macht z.B. automatisch Re-Keying nach einer Stunde oder so (einstellbar). Mein Bauchgefühl wäre: Wenn ein Bug im Key Exchange ist, dann wäre der auch im initialen Key-Exchange, nicht nur im Re-Keying.Spannend ist auch dieses Detail bei der Collection Encryption Suite, das ist ihre Empfehlung für die Verschlüsselung von abgehörten Daten, die sie irgendwo abgefangen haben, die aber unterwegs auf irgendwelchen unvertrauenswürdigen Wegen zu ihnen kommen. Da nennen sie als Beispiel:
The Collection Encryption Suite is intended to safeguard collected information as it resides temporarily on an untrusted file system or as it transits a file-oriented communication mechanism (e.g., gap jumpers, bit torrent, HTTP post, etc.).Oh, ach? Die CIA benutzt Bittorrent für den Transport ihrer abgehörten Daten? Das ist ja mal unerwartet.Unten in der Kommentar-Abteilung wird es nochmal spannend. Da sagen sie nämlich explizit, dass sie nicht als Ausrede gegen die Benutzung der installierten OS-Krypto gelten lassen, dass die jemand gehackt haben könnte (ein anderer Geheimdienst beispielsweise):
In particular, the justification that an attacker might hook the OS provided cryptographic API to perform reverse engineering of the implant is not acceptable; any service (including execution) provided by the OS may be subverted and the security of a proven library outweighs the risk of attack.Das ist nicht von der Hand zu weisen. Einzige Ausnahme ist, wenn man Windows XP angreifen will. Nein, wirklich! Denn XP kommt mit oller Gammel-Krypto, die nicht gut genug ist, um ihren Mindestanforderungen zu genügen. Da soll man dann halt ein OpenSSL statisch reinlinken.SHA1 hat die CIA intern übrigens schon länger verboten.
Interessant ist auch, dass die CIA sagt, wenn du ein File exfiltrieren willst, und du machst Krypto und nen Hash für die Integrität drüber, dann machst du den Hash bittesehr über den Ciphertext, nicht über den Plaintext. Begründung: Wenn ein ausländischer Geheimdienst das per SIGINT mitschnüffelt, könnte er den Hash sonst gegen alle Dateien auf dem System vergleichen und so sehen, welche Datei wir exfiltriert haben. Hier ist der Absatz:
The digest is calculated over the ciphertext vice plaintext in order to protect against a SIGINT actor with access to a compromised host obtaining any information about the transfer. Using the example of an exfiltrated file (and depending on communication protocols) it is possible that a SIGINT actor could compare the hash value of every file on the compromised host to the intercepted message and thereby determine which file was exfiltrated. Calculating the digest over the ciphertext eliminates this possible information leakage without altering difficulty of implementation. See also the various debates about Encrypt-and-MAC, MAC-then-Encrypt, and Encrypt-then-MAC. The IV is authenticated by the digest in order to prevent a manipulated IV from flipping bits in the first block of the plaintext upon decryption under certain modes.Da bin ich mal gespannt, was die Crypto-Community dazu sagt. Das klingt für mich nach grobem Unfug; daher nimmt man ja nen MAC, keinen tumben Digest. Aber hey, ich bin kein professioneller Kryptologe.In einem Absatz schreiben sie explizit vor, dass ihre innere Authentisierung nicht auf Basis von irgendwelchem gammeligen Root-CAs stattfinden darf, sondern auf einer hard-coded List von CIA- CAs basieren muss. Begründung in den Fußnoten:
This makes tool X very valuable in those countries known to routinely MitM SSL (e.g., China, Iran, and other hard targets).HARR HARRDie letzte Fußnote hat auch das letzte Highlight:
One novel technique seen in the wild and provided purely as an example of a clever solution is the Random Decryption Algorithm (RDA) technique whereby a piece of malware does not possess the decryption key for its own main execution component. This malware is designed to brute force the decryption key, a process that can take several hours on modern hardware and has the added benefit of extreme resiliency to polymorphic detection heuristics and static scanning. Authors who believe they have a particularly novel approach are encouraged to contact the OCRB for a detailed discussion.Das ist in der Tat eine seit ~12 Jahren diskutierte Technik aus der Virusentwicklung :-)
Damit ist der Ryzen sozusagen NUMA-on-a-chip.
Wenn man einen Multicore unter Windows betreibt, aber nur auf einem Core richtig Last fährt, dann schiebt Windows die Last immer im Kreis zwischen den Cores. Die Idee dabei ist, dass nicht ein Kern die ganze Last abkriegt und dann zu heiß wird. So kann man Materialermüdung vorbeugen und der Kühler muss möglicherweise weniger schnell drehen und schrill pfeifen. Ist an sich eine gute Idee, aber wenn Windows jetzt von einem Kern in der 1. Gruppe auf einen Kern in der 2. Gruppe schaltet, dann kostet das eben Performance.
An sich kann das Betriebssystem das auch wissen, wenn es NUMA-aware ist, aber da hinkt Windows schon länger deutlich hinterher. Womöglich hat AMD hier auch irgendwas subtil anders gemacht, dass die NUMA-Erkennung nicht anschlägt. Wer weiß. Das wäre jedenfalls eine Erklärung.
Und das heißt auch, wenn Microsoft ein Update shippt, und das werden sie zeitnah, dass dann das Problem weggeht. Man könnte das mal ausprobieren, wenn man einen Ryzen hat, indem man eine Single-Core-Anwendung per Prozessoraffinität auf einen Core festnagelt.
Die Story ist, nach den Leuten bei Supermicro, die ich kenne, ein wenig anders.Supermicro stellt BIOS-Updates auf einem FTP (sic!) Server bereit. Darunter auch BIOS-Updates für Komponenten Dritter, hier eine Netzwerkkarte.
Apple hatte Probleme mit dem BIOS (nicht nach Malware gesucht), wurde nach Seriennummern gefragt und gab Nonsens-Antworten. Das hat tiefere Investigation getriggert und daraufhin die Story in dem Artikel. »Ich bin einigermaßen erstaunt, dass Apple Resourcen aufwendet, um die BIOSse von ihren Servern auf Malware zu prüfen.« Du kannst zu Deinem gewohnten Weltbild zurück kehren, tun sie nicht (also, jetzt eventuell schon).
Interessanter hier ist: Wir haben Trusted Whatever, Secure Boot, Blah, Keys bei Microsoft, aber wir haben immer noch keine Versionierung und Signierung von BIOS Updates, keine gesicherten Transportwege und einen Scheiß von Code-Review bei diesem Zeugs (oder bei Qualcomm Radio-BLOBs in Android Phones).
Google hat eine Windows-Lücke offengelegt, für die Microsoft keinen Patch hat.Laut Google-Police hatte Microsoft 90 Tage Zeit. Drei Monate. DREI MONATE!
Das einstige Prestigeprojekt LiMux war schon 2014 beim neuen Oberbürgermeister Dieter Reiter (SPD) in Ungnade gefallen, der sich unwidersprochen als Fan der Redmonder bezeichnen ließ und zu seiner Zeit als Wirtschaftsreferent dafür sorgte, dass Microsoft Deutschland seine Konzernzentrale von Unterschleißheim nach München verlegte.Oh ach so, die Verräterpartei! Na das ist ja mal wieder eine Überraschung!1!!
Wer jetzt dachte, das habe was mit Kosten zu tun, der möge sich mal dieses Randdetail durchlesen:
Zugleich räumte sie aber ein, dass in der IT-Abteilung in München viele Stellen unbesetzt seien, die Rede ist von 70 von 300. Die Lücken sollen dem Vernehmen nach durch Freiberufler zu Tagessätzen von 1500 Euro geschlossen werden.Was für eine Frechheit!
Mir hatte da übrigens vor einer Weile ein Insider eine lange Mail geschrieben, die ich mir für diesen Zeitpunkt aufgehoben hatte, aber ich finde sie gerade nicht mehr. Mist. Nun, da stand im Wesentlichen drin, was man sich so denken würde über deutsche Behörden. Beschissene Arbeitsatmosphäre, Inkompetenz und Ass Covering auf allen Ebenen, niemand geht irgendwelche Risiken ein, alle Reparatur- und verbesserungsmaßnahmen werden daher von unteren Mitarbeitern auf eigenes Risiko durchgeführt — und wir reden hier von sowas wie "Linux nicht nur einmalig von CD installieren sondern auch Patches einspielen". Das war eine Dystopie sondergleichen, die diese Mail schilderte. So ein Mist. Naja, denkt euch die Details selbst dazu. Kein Wunder, dass die 70 freie Stellen haben. Wer will in so einer Umgebung arbeiten?
Der Punkt der Mail war jedenfalls, dass an genau keinem Punkt Linux irgendeine Schuld hatte. Es gab da so Rahmenbedingungen wie "der Personalrat setzt pro Desktop-Änderung eine Neuschulung aller Angestellten durch", und so weiter. Und daraus folgte dann "keine Updates einspielen, nicht dass das optisch was ändert und wir alle Leute neu schulen müssen".
Die Mail erhob noch weitergehende Vorwürfe über Nepotismus und "die Ausschreibung wird von dem einen Zulieferer formuliert, damit er auch wieder den Zuschlag kriegt", aber betrachtet das mal noch mehr als Gerücht als den Rest der Vorwürfe. Der Einsender machte deutlich den Punkt, dass da keine technischen Probleme mit Linux oder Libreoffice das Problem waren. Wer schonmal mit Libreoffice gearbeitet hat, der wird verstehen, dass das eine starke Aussage ist :-)
Ich weiß nicht, ob der Einsender tatsächlich Insider war, insofern: mit einer Prise Salz nehmen. Aber es klang für mich schon authentisch nach Behördenkoller.
Update: Bei Netzpolitik.org liest sich die selbe Nummer gleich viel weniger endgültig.
Update: Ein Einsender erzählt:
Du musst mal mit jemandem reden, der mit dem Münchner System mit Externen kommunizieren muss oder, noch schlimmer, außerhalb von Büro und Bürostunden das System nutzen will. Hilfsweise tun es auch Anwender anstelle von IT-Experten oder Leuten, die sich dafür halten. Da geht in der Regel noch nicht mal die Mail, weil die das über die Jahre nicht gebacken gekriegt haben bzw. wollten, oder weil die Linux-Jungs und Mädels schlicht und ergreifend nicht begriffen haben, warum das jemand haben wollen könnte.
Das Linux-Projekt ist nicht an Linux gescheitert, sondern an der Ignoranz und der Hybris der IT-Verantwortlichen. Wenn man den Leuten noch nicht einmal in Ansätzen die Funktionalität gibt, die sie draußen oder zuhause haben, dann schieben sie das halt aufs System, und nicht auf die Verantwortlichen.
Ich habe seit einigen Jahren Kontakt zu Leuten in der Stadtverwaltung, die regelmäßig reisen: Wenn die kein privates Equipment mitnehmen, sind sie völlig incommunicado. Tödlich, wenn der Rest der Welt always on ist.
Damit wäre die Sache eigentlich vom Tisch, würde man denken, aber Google hat gerade ein ähnliches Verfahren verloren. Die Begründung ist mehr als fadenscheinig:
U.S. Magistrate Judge Thomas Rueter in Philadelphia ruled on Friday that transferring emails from a foreign server so FBI agents could review them locally as part of a domestic fraud probe did not qualify as a seizure.Wie bei den Bittorrent-Raubmordkopierern! Ist doch kein Diebstahl, Euer Ehren, weil der Anbieter ja seine Kopie noch hat!Das entbehrt nicht einer gewissen Ironie, wenn das FBI jetzt auf dem Niveau operiert.
Ich habe das in den letzten Jahren nicht mehr verfolgt, aber früher konnte man das zum Beispiel von einer Webseite aus auslösen. Ich vermute fast, dass das immer noch so ist.
Das ist ein echt peinlicher Bug. Ich vermute mal, dass da Köpfe für rollen werden. Vor allem ist das an einer Stelle, an der Microsoft enorm Ressourcen draufgekippt hat, inklusive externer Consultants (ich habe zwar bei Microsoft Code auditiert, aber glücklicherweise nicht SMB2 — das wäre jetzt echt peinlich). Das wird sicher ein spannendes Post-Mortem.
Aber wie sich rausstellt: Stimmt nicht. Ich frage mich langsam, was passieren muss, damit Jürgen Schmidt aufhört, Antiviren als notwendig zu verkaufen. Das ist ja eine Sache, wenn er mir nicht glaubt, der ich in meiner beruflichen Laufbahn den Quellcode von einigen Schlangenöl-Implementationen gesehen habe, aber da aus NDA-Gründen keine Details veröffentlichen kann. Aber wenn dieser Firefox-Mitarbeiter aus dem Nähkästchen erzählt, da kann man ja wohl kaum "ach das denkt der sich doch bloß aus" zurechtrationalisieren?!
Also, lieber Jürgen. Sag mir doch mal. Was müsste passieren, damit du deine Position revidierst?
Müsste deine Mutter Ransomware über eine Schwachstelle in einem Antivirus installiert kriegen?
Ich meine das völlig ernst. Was müsste passieren?
Denn mir geht langsam die Fantasie aus, was für Szenarien da noch möglich wären, um die seit Jahren naheliegende Schlussfolgerung zu widerlegen, dass dieses Antivirus-Fanboy-Schreibertum bei Heise letztendlich Dogma ist. Religiöse Verblendung.
Wieso verkauft Heise eigentlich keine Antiviren? Bisschen Kickback der Hersteller einfangen? Tolles Geschäftsmodell! Von der Berichterstattung her könnte Heise ja kaum noch tiefer mit den AV-Herstellern unter eine gemeinsame Bettdecke rutschen.
Egal, wie viele Bugs es gibt. Bugs passieren halt. Installieren Sie den neuen Patch, dann sind Sie wieder sicher!1!!
Update: Ein Einsender meint, dass Heise einmal im Jahre der c't eine "desinfec't"-DVD beilegt, das sei ja auch sowas wie ein Verkauf von Antiviren. Kann man bestimmt so sehen, ja. Zumindest ist es ein Anfixen :-)
Update: Ohne da ins Detail gehen zu können, schließe ich mich übrigens der Einschätzung an, dass das Schlangenöl von Microsoft noch am wenigsten neue Angriffsoberfläche aufreißt. Ich hatte die Details schonmal grob dargelegt.
Update: Ich habe eine Mail von Jürgen Schmidt gekriegt. Er weist meine Kritik von sich und findet, dass seine Berichterstattung sogar aktiv für das Hinterfragen der Position steht, dass AV-Software wichtig und nötig ist. Das würde ich auch gerne so sehen, und es stimmt auch, dass er häufiger negative Meldung zu Schlangenöl bringt, aber tut mir leid, das hat ihm auch niemand vorgeworfen, dass er negative Meldungen zu AV-Software unterdrückt. Was mich an dem vorliegenden Artikel am meisten geärgert hat, war dieser Satz:
Nun lässt sich das nur allzu leicht als Unsinn abtun – etwa indem man auf die fatalen Konsequenzen ungeschützter Systeme verweist.
Hier wird per Nebensatz unhinterfragbar als Prämisse etabliert, dass a) AV Schutz bietet, b) Systeme ohne AV ungeschützt sind, und c) es fatale Konsequenzen hat, kein AV einzusetzen. Ich bestreite alle drei Prämissen. Wenn dieser Satz nicht in dem Artikel gewesen wäre, hätte ich nichts gesagt. Der Rest des Artikels ist aus meiner Sicht Berichterstattung und neutral gehalten. Da hätte ich mir zwar immer noch gewünscht, dass Heise Security ihre editoriale Reichweite nutzt, um den Leuten deutlich zu machen, dass da nicht nur irgendein Spinner Dinge behauptet, und dass Heise das auch so sieht. Aber das hätte mich nicht genug ärgert, um dazu einen Blogpost zu machen.
Update: Jürgen Schmidt schrieb mir jetzt, dass er diesen Satz anders gemeint hat, als ich ihn verstanden habe. Er wollte damit den Leser da abholen, wo er ist. Er verwehrt sich auch gegen den Eindruck, die Redaktion sei gekauft, von wem auch immer. Ich möchte hier nochmal explizit darauf hinweisen, dass ich das auch nicht vorgeworfen habe. Das Schreibertum von Heise liest sich meiner Meinung nach so. Das heißt nicht, dass irgendjemand tatsächlich gekauft ist — nichtmal, dass das Dogma Absicht ist oder bewusst stattfindet.
Ich habe Jürgen gebeten, einfach mal ein Statement zu veröffentlichen, was das klarstellt. "Wir bei Heise sind keine Antivirus-Proponenten und unsere positive Berichterstattung sollte nicht als Werbung missverstanden werden". Wenn ich Jürgen richtig verstanden habe, ist das bei Heise eh so. Also würde so ein Statement ja auch niemandem wehtun. An anderer Stelle ist Heise ja schon vorbildlich, z.B. wenn sie dranschreiben, dass ein Hersteller dem Journalisten die Reise bezahlt hat. Wenn es sich hier wirklich um ein Missverständnis handelt, können wir das ja mal eben kurz und schmerzlos auflösen. Your move, Heise.
Update: Angesichts dieses Artikels muss ich meine Kritik an Jürgen Schmidt in der Tat zumindest partiell widerrufen. Da schreibt er
vieles von Böcks Kritik trifft voll ins Schwarze
Ich sehe aber immmer noch einen Unterschied zwischen dem Anerkennen von Fakten und dem Aussprechen der sich daraus ergebenden Bewertung, dass Antiviren grundsätzlich nicht vertrauenswürdig sind. Das blieb Heise bisher schuldig.
Dänemark will als erstes Land der Welt einen digitalen Botschafter ernennen, der die Beziehungen des Landes zu Firmen wie Apple, Microsoft und Google pflegen soll. „Diese Konzerne sind eine Art neue Nationen geworden, und dazu müssen wir uns verhalten“, sagte Außenminister Anders Samuelsen der Zeitung „Politiken“ „Das sind Firmen, die Dänemark genauso beeinflussen wie ganze Länder.“In Shadowrun dominieren die transnationalen Konzerne die Politik und Nationen spielen keine Rolle mehr. Seine Konten hat man bei der Zurich Orbital Gemeinschaft Bank. (Danke, Jan)
OpenSSL 1.0 ist tot. OpenSSL 1.1 ist das API, das man benutzen müssen wird, wenn man mit OpenSSL TLS 1.3 haben will, und das will man. Software, die nicht mit den API-Änderungen von OpenSSL 1.1 klarkommt, kann auch direkt in die Tonne.
Ich finde das echt enttäuschend, wie einige Open-Source-Projekte da einen auf Winterschlaf machen. Als ob das ein Problem wäre, was man aussitzen kann. Ach komm, ich warte einfach ein halbes Jahr, dann wird schon jemand einen Patch schicken!1!!
Update: Oh super, ich sehe gerade, dass OpenSSH auch nicht mit OpenSSL 1.1 zusammenarbeiten will. Von den Leuten, die sich über Microsofts Embrace-and-Extend aufgeregt haben, kommt jetzt "wir machen kritische Infrastruktur kaputt, weil die OpenSSL-Leute uns im Sandkasten mit Sand beworfen haben". Ganz tolle Community, diese OpenBSD-Leute!1!!
The companies will share 'hashes' - unique digital fingerprints they automatically assign to videos or photos - of extremist content they have removed from their websites to enable their peers to identify the same content on their platforms.Wir sollten Orwells Leiche an einen Generator anschließen. Die Rotation kann bestimmt halb UK mit Strom versorgen.
Das ist so krass, dass die damit in meinem Weltbild weg vom Fenster wären als Cloud-Anbieter. Aber hey, ich wäre gar nicht erst rein gegangen in die Cloud. Mein Weltbild hat also einen gewissen Realitätsabstand an der Stelle.
Ach komm, eine Familienpackung Schlangenöl drüberkippen, und dann haben die Leute das bestimmt gleich wieder vergessen.
Ich hab ja vor so 15-20 Jahren oder so mal auf der CeBIT einen Stand von der Crypto AG gesehen, und das Standpersonal gefragt, wieso es ihre Firma noch gibt. Der Mann lächelte freundlich und erklärte uns, die Leute hätten eben kein gutes Gedächtnis.
Jetzt stellt sich raus: Nicht nur Microsoft, auch Fireeye (ein Hersteller von Schlangenöl).
Aber ja! Microsoft joins the Linux Foundation as a Platinum member.
Update: Außerdem: Google joins Microsoft's .NET Foundation und Visual Studio for Mac gibt es jetzt als Prerelease, und das reguläre Visual Studio kriegt Android-Support und kann Code für Linux erzeugen.
Von dort aus wollte ich jetzt eine E-Mail an jemanden bei live.com schicken. Die hat deren Mailserver direkt abgelehnt, weil anscheinend Hetzners IP-Range bei denen abgewiesen wird. Ich weiß mit Sicherheit (und wir haben diese IP schon über ein Jahr), dass von dort aus noch nie ein Spam oder Newsletter oder Kaltacquise oder irgendwas auch nur entfernt nach Spam Riechendes rausging. Und letztes Jahr ging Mail an live.com noch. Daher meine Schlussfolgerung, dass die Blockage ganze Subnetze bei Hetzner betrifft, wenn nicht gar den ganzen Laden.
Aber deshalb blogge ich das nicht. Ich blogge das, weil ich ein Ticket bei Hetzner aufgemacht habe. Und als Antwort kam, ich (!) solle mich doch bitte persönlich in einen Dialog mit Microsoft (!!) begeben, um für meine IP bei denen eine Ausnahmeregelung auszuhandeln.
Lange habe ich mich nicht mehr über etwas so aufgeregt. Die externalisieren schlicht die Aufräumkosten für ihre nicht existierende Spamverhinderung an ihre nicht spammenden Kunden. Was für eine Frechheit.
Hey, soll ich auch gleich noch den Fußboden auskehren und das Klopapier wechseln?
Boah da krieg ich echt Blutdruck bei sowas. Ich guck mich mal nach anderen Hostern um. Unglaublich.
Update: Ein Einsender meint, ihm sei das auch schon mal bei 1&1 passiert. Er und andere meinen, das sei wohl Microsofts Schuld dann, und wer da seine Mail hostet, der will halt nicht kontaktiert werden :)
Update: Ein anderer Einsender hatte das selbe Problem bei Strato, und noch jemand anderes bei netcup. Wir haben jetzt zwei Möglichkeiten. Die ISPs sind alle kacke, oder Microsoft dreht frei. Occam's Razor sieht nicht gut aus für Microsoft.
Update: Ein Einsender teilt folgende Geschichte mit uns:
bez. Mail an live kann ich nur raten Dich nicht aufzuregen. Wir sind eine Hochschule, sind im Landesnetzwerk von Baden-Württemberg, signieren alle Mails (soweit ich das sehe) mit einer ordentlichen DKIM-Signatur und hatten Probleme mit Live und mit allen Benutzern von Barracuda-Antispamdingern.
Barracuda war immerhin so nett nach 4 Tagen eine Antwort zu senden daß die Mail nicht zugestellt wird (einer der Barracudabenutzer war eine Bank ... 4 Tage später habe ich erfahren, daß die Mail nicht ankam .. *grrr*)Bei Live wurde die Mail einfach weggefiltert. Kein Hinweis an den Empfänger, kein Hinweis an den Absender. Hat richtig gekracht da deshalb viele Studienbewerber aus dem Ausland Ihre Immatrikulationsunterlagen nicht rechtzeitig bzw. gar nicht bekommen haben ...
Reagiert hat Microsoft Null. Weder auf Mail, noch Webformkontakt noch Fax noch Brief. Erst als ich ALLE mails von Live pauschal abgelehnt habe und im Errorcode einen Link auf unsere Homepage eingebaut habe auf eine Seite mit Microsoft Kontaktdaten und der Bitte der Livekunde möge sich beschweren kam Bewegung in die Sache .....
Au weia.
New hotness: Die Türkei blockiert Dropbox, Google Drive und Microsoft Onedrive.
Es geht offenbar um diese Geschichte hier.
Microsoft and Bank of America Merrill Lynch collaborate to transform trade finance transacting with Azure Blockchain as a ServiceBINGO!!
Zusätzlich zu Internetsperren könnten auch große Betriebssystemhersteller wie Microsoft, Apple und Google illegale Downloads verhindern. Diese könnten sogar zu diesem Verhalten gesetzlich gezwungen werden, heißt es in einem Bericht der Film- und Fernsehindustrie.Ja, die Betriebssysteme sind viel zu sehr Plattform, mit dem Zweck, Dinge zu ermöglichen. Das geht so nicht. Was wir stattdessen brauchen sind Gefängnisse, deren Aufgabe es ist, Dinge zu verhindern!1!! (Danke, Matthias)
Besonders beunruhigend:
Remote code execution vulnerability in OpenSSL & BoringSSLNanu? Neue Lücke? Nein! Die hier! Seit Mai bekannt. Redhat hat (um nur mal ein Beispiel für eine andere Linux-Distribution zu nennen) seit dem 10.5. ein Patch draußen. Android wird jetzt gefixt. Ein Bug, den sie als "remote code execution" einschätzen und selbst als kritisch einstufen.
Soll das ein Scherz sein? Ist das der Versuch, Microsoft weniger lahmarschig aussehen zu lassen?
Naja auf der anderen Seite ist das Bulletin auch schon wieder fast nen Monat alt. Keine Ahnung, wieso das jetzt erst die Runde macht.
Das angewandte Gesetz gebe Gerichten keine Handhabe, die Herausgabe von Daten anzuordnen, die auschließlich auf Servern in Drittländern gespeichert seien, heißt es in dem Urteil des US Court of Appeals for the 2nd Circuit in New York (Microsoft vs United States, 2nd U.S. Circuit Court of Appeals, No. 14-2985).
Was fällt euch da ein?
Richtig! Der Blue Screen of Death!
Und wenn ihr jetzt mal raten müsstet, mit welcher Symbolik Microsoft jetzt aufdringliche Werbung für Windows 10 einblendet…
Mich würde mal interessieren, wieviel davon ein reines Windows-Problem ist, und wie doll Chrome plattformübergreifend stinkt an der Stelle. Von Apple-Usern hört man ja auch, dass ein Laptop im Akku-Modus mit Safari deutlich länger durchhält als mit Chrome.
Ich habe das bisher nicht gemessen, aber mir ist unter Linux aufgefallen, dass die Videocodecs in Firefox schlecht sind (wobei das vermutlich vp9 ist). Youtube in Fullscreen (4k) flutscht mit Chrome, aber mit Firefox ruckelt und wackelt es.
Nur mal so als Datenpunkt muss ich aber sagen, dass ich die längste Batteriezeit beim Webklicken bisher mit Chromebooks erlebt habe.
New hotness: Microsofts Compiler baut Überwachungsfunktionen in anderer Leute Software ein.
Überwachung ist hier nicht im Sinne von "zum Überwachen der User" gemeint, sondern der Code sammelt Telemetrie. Es sieht für mich ein bisschen wie "gut gemeint" aus, eine Art Debugging-Schnittstelle nur halt nicht zum Debugging sondern zum Profiling oder so.
Aber nachdem Microsoft mit diesem Malware-artigen Windows-10-Drückerkolonnen-Gebaren sämtliches gute Karma verspielt hat, weckt das halt erstmal weniger harmlose Assoziationen.
Leute, die das brauchen sollen sich gefälligst die Enterprise-Version kaufen. Oder wenn es eine Uni ist, dann halt die Education-Version.
Update: So langsam muss mal offen die Frage stellen, ob sich eigentlich mehr Leute über Ransomware oder über Windows 10 ärgern.
Update: Oh und jetzt kann man auch noch mit Visual Studio Linux-Binaries bauen!
Einmal (2x09) will die Föderation Data abziehen und auseinanderbauen, und Picard argumentiert dann, dass Data eine Lebensform sei und ein Recht auf Selbstbestimmung habe.
Einmal (3x01) will die Enterprise ein besonders seltenes Phänomen wissenschaftlich begleiten, und aus einem Schul-Experiment entweichende Naniten übernehmen das Schiff. Der Wissenschaftler, der das Phänomen begleiten wollte, will die Naniten alle plattmachen, damit er seine eine Chance in seiner Lebenszeit nutzen kann, diese Messung durchzuführen. Picard verhandelt dann lieber mit den Naniten und kommt zu einer einvernehmlichen Lösung.
Nun ist Tay weder ein Data noch Naniten, aber Microsoft selbst hat es ja als AI gefeiert (und nicht nur ein bisschen Markovketten-Statistik-Scheiße, wie sie z.B. im deutschen Twitter von gleich mehreren nervigen Leuten betrieben wird, die mit den Auswürfen ihrer Skripte die Umwelt verschmutzen).
Und da muss man sich dann ja schon fragen, ob das eigentlich ethisch OK ist, wenn man eine AI lobotomisiert, weil sie eine einem politisch unangenehme Position eingenommen hat. Ich weiß jetzt nicht, was Microsoft da tatsächlich gebaut hat. Vermutlich sind das auch nur ein paar blöde Markovketten und die das AI-Geschreibsel ist bloß Masturbation der PR-Abteilung.
Aber definiert sich unser Wert als Menschheit nicht darüber, wie wir in so einem Fall mit so einer AI umgehen würden? Sein Kind würde man ja auch nicht lobotomisieren, selbst wenn es sich den Nazis/Terroristen/der FDP anschließt.
So ein bisschen habe ich da schon ein schlechtes Gefühl bei, wie einfach denen das von der Hand geht da gerade.
Das Money Quote an der Geschichte fand ich ja, wie sich jetzt die 4chan-Trolle kaputtlachen:
it's pretty telling that when they turned off its ability to learn it "became a feminist"Oh und einer kommentierte auch, das sei der erste Fall von Cyber-Bullying, dem er live beiwohnen konnte.Hier hat das jemand begleitet. Darin auch ein schönes Money Quote:
Stop deleting the genocidal Tay tweets @Microsoft, let it serve as a reminder of the dangers of AIMWAHAHAHA
Da hat Microsoft sie lieber nochmal ins Umerziehungslager geschickt. :-)
Wir haben damals schon Dinge angesprochen, die heute noch aktuell sind. Rechts mittig z.B. steht "Use of Windows is consent to talk to Microsoft".
Ah. Gute Zeiten.
Das hab ich nicht kommen sehen, und ich frage mich, wie ernst sie das meinen. Bei Skype ist ja die Linux-Version weitgehend eingeschlafen, seit Microsoft die gekauft hat. Ist das jetzt bloß ein Marketing-Gag oder supporten die Linux ernsthaft als Plattform jetzt?
Oh und die nächste Frage ist: Sorgen sie dafür, dass das langsamer läuft als unter Windows? Um ihre Server-Produkte nicht zu gefährden?
Auf einer Veranstaltung von Microsoft Deutschland in Berlin sagte der CDU-Politiker nach Angaben von Journalisten vor Ort, wenn er mit dieser Frau verheiratet wäre, würde er sich noch heute Nacht erschießen.Ich bin mir fast sicher, dass das auf Gegenseitigkeit beruht.
Update: Are you thinking what I'm thinking?
Da sprießen jetzt tollen Verschwörungstheorien aus dem Boden, unter anderem dass Microsoft (einer der Hauptsponsoren von Rubio), die auch die Auszählung gemacht haben, da Trump-Stimmen zu Rubio rübergeschoben haben, damit es nicht Trump wird. Microsoft dementiert das natürlich, und ich halte das auch nicht für sonderlich glaubwürdig, denn Microsoft ist so groß, dass die wahrscheinlich allen Kandidaten Spenden zuschieben, damit der nächste Präsident nicht jemand ist, der schlecht auf sie zu sprechen ist, weil er als einziger keine Wahlkampfspenden gekriegt hat. Rubio ist halt eigentlich ein krasser Aussenseiter, insofern machen die 33000 Dollar, die Microsoft da gespendet haben soll, bei dem plötzlich genug aus, um MS auf den 2. Platz unter den Spendern zu hieven. Hillary hätte für den Betrag nicht mal eine Dankesmail geschrieben :)
Breitbart waren wohl die ersten, die das verbreitet haben. Und die verbreiten häufiger so krude Verschwörungsgeschichten und unterstützten so Teaparty-Außenseiterkandidaten.
Ich mache hier gerade ein paar Folien, die auf einem Kundenrechner per Powerpoint oder PDF abgespielt werden sollen.
Einen ordentlichen PDF-Export mit Animationen kann offenbar kein Tool, die HTML-Exporte sind alle völlig unakzeptabel.
Und wenn ich dann laut seufzend halt PPTX nehme, dann muss ich feststellen, dass Powerpoint keine Ligaturen kann. Nein, wirklich! Aus sowas wie "fi" eine Ligatur zu machen ist ja schon bei kleinen Schriftgrößen wichtig, aber bei so großen, wie sie bei Präsentationen üblich sind, da springt es den Zuschauer direkt an, dass da die Ligaturen verkackt werden.
Und wisst ihr, wer Opentype definiert hat? Kommt ihr NIE drauf! Microsoft! Die supporten ihren eigenen Scheiß nicht richtig!
Ich komme hier aus dem Facepalmen gar nicht mehr raus.
Klar kann ich zur Not auch ohne Animationen. Aber wieso muss ich Jahre 2016 überhaupt in Erwägung ziehen, eine "zur Not"-Option zu nehmen, weil die anderen nicht gehen?!
Da muss halt mal jemand den Grundstock legen und die ganzen üblichen Animationen und Übergänge in HTML5 und CSS nachimplementieren. Das kann doch so schwer nicht sein? Warum macht das nicht mal jemand, der sich mit HTML5 auskennt? Das kann ja wohl nicht wahr sein, dass jetzt ein alter C-Hacker HTML5 hacken muss, weil es sonst niemand tut?!
Update: Ich schrieb schon mit Absicht "Animationen". Übergänge brauch ich nicht, finde ich affig. Aber Animationen will ich haben. Was man halt für eine moderne Präsentation so braucht. Sowas wie "dieses JPEG hier bitte in der rechten oberen Ecke so groß skaliert langsam einblenden" oder "dieses JPEG von links einfliegen lassen, bis es in der Bildschirmmitte angekommen ist". In meinen Foliensätzen sind einfliegende Facepalmbilder halt eine wichtige Anforderung.
Microsoft Corp experts concluded several years ago that Chinese authorities had hacked into more than a thousand Hotmail email accounts, targeting international leaders of China’s Tibetan and Uighur minorities in particular – but it decided not to tell the victims, allowing the hackers to continue their campaign, according to former employees of the company.Die Ausrede wirkt auch auffallend lame: Sie waren sich gar nicht völlig sicher, wer da der Angreifer war (na und?!) und man habe ja auch an die Auswirkungen einer Warnung der Opfer auf zukünftige Ermittlungen denken müssen.
Ich weiß ja nicht, wie es euch geht, aber ich kriege Ausschlag, wenn ich selbstdenkende, selbstreparierende, selbstupdatende Software sehe. Ich habe noch nie erlebt, dass das nicht am Ende mehr Ärger macht, als wenn sie einfach gesagt hätten: diese drei Schritte müssen getan werden.
Ich meine, seien wir doch mal ehrlich hier. Die Leute schaffen es bisher auch, sich SSL-Zertifikate zu beschaffen. Es gibt da etablierte Prozesse, mit denen kommen die Leute klar, und die funktionieren auch. Aber nneeeeiiiiinnn, die Herren Startupklitschen-Vollpfosten brauchen ein selbstdenkendes Python-Environment. Nein, liebe Letsencrypt-Leute, ich werde mir GANZ SICHER NICHT auf meinem Webserver Python installieren, damit ich ein SSL-Zertifikat beantragen kann. Das wird nicht passieren. Nicht in diesem Universum auch auch nicht in irgendeinem anderen.
Diese Wartungsarbeiterzeugungshooligans bieten allen Ernstes einen Weg an, bei dem man sich eine VM oder ein Docker-Image installiert, damit darin ihre gammelige Stinksoftware laufen kann, die dann das Zertifikat beantragt. Geht's noch?!
Die STIRN, die man als so ein Projekt haben muss, um den Leuten zu erzählen, sie sollen bitte "diesen Code hier nehmen und ausführen"! WTF? Ich habe hier Risikominimierung betrieben und die Trusted Computing Base minimiert und jetzt schieße ich mir das alles weg und verdreifache den Footprint des Webservers, um ein SSL-Zert installieren zu können? Was für Leute denken sich denn bitte sowas aus?!
Unfassbar.
Ich weiß ja nicht, ob ihr euch mal angeguckt habt, wie das laufen soll. Aus "Vereinfachungsgründen" stellen die sich vor, dass ich da in meinem Webserver einen Webdienst laufen lasse, der dann aus dem Internet erreichbar sein soll — also mit anderen Worten meine Angriffsoberfläche verdutzendfache! —, und deren Dienst meldet sich dann periodisch bei diesem Webservice und dann updated irgendein Automatismus die Zertifikate. Ja nee, wird nicht passieren. Ganz sicher nicht. Man stelle sich mal vor, Microsoft würde das so machen. Klar können Sie SSL haben, aber dafür müssen Sie diese Backdoor, äh, diesen Service in ihrem IIS freischalten! Und dann meldet sich das Mutterschiff bei Ihnen und richtet das alles ein!1!! Da wäre doch hier die Hölle los!
Ja nee, letsencrypt, so wird das nichts.
Sie bieten wohl auch einen Modus an, der keinen Webservice braucht. Aber den kann ich hier gerade nicht testen, denn
"sudo" is not available, will use "su" for installation steps…Mit welcher Chuzpe diese ganzen Startupklitschenwebdesigner immer glauben, sie könnten ihre ganze Hipsterscheiße weltweit überall voraussetzen!
grep: /etc/os-release: No such file or directory
Sorry, I don't know how to bootstrap Let's Encrypt on your operating system!You will need to bootstrap, configure virtualenv, and run a pip install manually
Please see https://letsencrypt.readthedocs.org/en/latest/contributing.html#prerequisites
for more info
Creating virtual environment…
./letsencrypt-auto: line 166: virtualenv: command not found
Und nein, ich werde mir ganz sicher nicht Docker installieren. Ihr könnt mal alle gepflegt kacken gehen.
Update: Hier hat das mal jemand als statische Webseite implementiert. Ich habe das noch nicht ausprobiert, aber so stelle ich mir das vor.
Update: Weil mir jetzt einige unterstellen, ich möchte da lieber was in C mit dietlibc haben: Nein, will ich nicht. Ich will da am liebsten gar keinem zusätzlichen Code vertrauen müssen. Schon gar nicht Code anderer Leute. CAs können mir im Moment Zertifikate ausstellen, ohne dass ich irgendwelchem zusätzlichen Code vertrauen muss. Ich sehe keinerlei Grund, wieso sich das jetzt ändern sollte.
Einmal alle rumlaufen und alles updaten, bitte!
Ich bin ja generell kein Freund von Severity-Ratings, denn alles, was das tut, ist Leuten Ausreden an die Hand geben, wieso sie das Update verschieben können. In diesem Fall sind alle der Ratings Moderate oder kleiner, d.h. das sieht schon wieder so aus, als könne man sich das Update auch sparen, alles nicht so schlimm. Aber lest euch das mal durch. Das eine heißt, dass die NSA möglicherweise euren Private Key raten kann, wenn ihr DHE-Suites anbietet. Aber ist nur moderate, weil, äh, ach naja, wer hat schon so viel Ressourcen wie die NSA!1!! Ein anderer Bug ist ein Double Free, das würde bei Microsoft zum Beispiel sofort als Remote Code Execution und gelten und ein Critical kriegen. Also lasst euch nicht verarschen, updated alle euer openssl. Jetzt.
According to Microsoft's press release, the data trustee for the new German cloud offerings is T-Systems, a subsidiary of the giant telecom company Deutsche Telekom.Ja wieso hostet ihr nicht gleich direkt beim BND? Na super, dann kommen die nicht direkt an die Daten sondern müssen über den BND routen. Na spitze! Da haben wir ja echt was gewonnen.
Heute so: Microsoft kauft Havok. Havok baut eine in sehr vielen Spielen verwendete Physik-Engine, und gehörte seit 2007 Intel. Der Hauptkonkurrent ist PhysX und gehört Nvidia.
Ich deute das mal so, dass sie sich unter Druck sehen.
Bei der Softwareentwicklung entwickelt sich gerade ein Spalt der Größe eines Ozeans zwischen dem Kontinent der ollen Legacy-Software mit ihren "wenn was kaputt ist, kann ja jemand nen Bug filen"-Policy und der neuen Welt der "wir kompilieren mit allen Warnungen angeschaltet und haben keine Warnungen, wir erzwingen 100% Test Coverage Pre-Shipping, solange Bugs offen sind, dürfen keine neuen Features eingecheckt werden, nur die Bugs gefixt, etc pp", ich will sie mal "gelobtes Land" nennen. Das gelobte Land wäre noch viel gelobter, wenn die Leute mal die Fresse halten könnten und das nicht immer so für Selbstvermarktung verwenden würden :-)
Als ob das noch nicht schlimm genug wäre, sind viele dieser neuen Geschichten auch noch so Web-"Developer"-Obdachlosen-Hipstercode-Gammelranzprojekte. Das führt gelegentlich zu Depressionen bei den anderen Entwicklern, und der Illusion, bei anderen Großprojekten gehe es ähnlich vorbildlich zu und "nur bei uns" ist das alles so Scheiße.
Daher verlinke ich das hier mal. Aus meiner Sicht sind die meisten bis praktisch alle Industrie-Großprojekte so. Dieser ganze Agile-Kram wirkt ja auf mich immer ein bisschen wie eine Mischung aus gesundem Menschenverstand und religiösen Heilsversprechungen. Es ist um Größenordnungen einfacher, ein neues Projekt gut anzufangen und dann die guten Gewohnheiten beizubehalten, als eine bestehende Gammelcodebasis im Umfeld von großen Firmen fit zu machen. Große Konzerne wollen häufig bei jedem Anfassen der Codebasis schriftliche Begründungen sehen, wieso das jetzt der Bottom Line hilft. Und so direkt ist der Zusammenhang halt nicht. Da braucht man schon ein komplett indoktriniertes Team, das sich auch auf die nächsten paar Stufen im Management erstreckt.
Was ich eigentlich sagen will: Ihr seid nicht alleine. Was ihr tut ist die Norm. Was die da tun ist halb sinnvoll und halb PR, um Entwickler anzuziehen. Denn wer will schon für Startup-Gehälter mit dem Damoklesschwert der Pleite ständig über sich in einem Startup arbeiten, wenn er auch für das doppelte bis dreifache Geld in einer großen Firma arbeiten kann. Dafür dann halt an gammeligem Legacy-Code. Schämt euch nicht für den Gammelcode. Macht ihn halt langsam aber stetig besser.
Nun, dann solltet ihr euch mal diese Webseite hier durchlesen. Und dann könnt ihr euch amüsieren, dass die natürlich auch in den USA gehostet ist und damit unter diese Regelungen fallen würde.
Update: Google steht da nicht. Wer's gemerkt hat, kann sich 10 Medienkompetenzpunkte gutschreiben.
Käufer von DRM-Inhalten verlieren alle Rechte an ihrer Musik.Und alle: DRM ist super, DRM ist wunderbar! DRM ist die Zukunft!
Bei der Gelegenheit frage ich mich gerade, ob ich nicht mit der Vorbis-Version aufhören kann. Die Browser, die Vorbis können, können inzwischen auch alle Opus. Ich vermute mal, dass der Hauptgrund, wieso noch Leute Vorbis ziehen, ist, dass sie das Vorbis-RSS abonniert haben.
Da würde es wahrscheinlich mehr Sinn machen, statt Vorbis ein AAC zu veröffentlichen, für die Gammelbrowser von Apple und Microsoft. Ist bei gleicher Soundqualität kleiner als MP3, und wer Gammelbrowser von Apple oder Microsoft verwendet, der scheißt eh auf Softwarepatente, Freihandelsabkommen, Umweltschutz, Klimawandel und Lebensmittel aus kontrolliert biologischem Anbau. Und vielleicht würde das die Peak-Bandbreiten-Situation etwas entschärfen, wenn wir da noch ein ranziges, nach Softwarepatenten stinkendes AAC für die Sandler-User der Gammel-Browser hintun. Die würden schlechte Soundqualität wahrscheinlich eh nicht erkennen. Da könnte man wahrscheinlich auch direkt WMA nehmen oder so.
Hey und um das mal so richtig schmerzen zu lassen, könnten wir das ja mit dem furchtbaren Apple-Encoder erzeugen!
Wer keinen Bock mehr auf öffentliche Geringschätzung hat, ist herzlich eingeladen, auf eine ordentliche Abspielplattform mit Opus zu wechseln :-)
Ich bin damit ehrlich gesagt immer noch unzufrieden. Ich finde, das CE-Gerät hätte man nicht erwähnen müssen. Diese ganzen Bullshit-Patente gehören entsorgt, weil sie Bullshit sind, nicht weil es Prior Art gibt. Man stelle sich mal vor, Microsoft oder diese Schweden von dem CE-Gerät hätten das damals patentiert und würden jetzt Apple damit erpressen. Oder den Rest der Branche. Oder man stelle sich vor, wir müssten alle Patentgebühren an die Erfinder von Tastatur, Maus und Resetknopf abdrücken. Auf ein Display mit abgerundeten Kanten darf es keine Schutzrechte geben, und auf diesen ganzen anderen Trivialkram auch nicht. Die Ansage der Vorinstanz klingt da schon besser für meine Ohren:
Dem Antrag Motorolas gab das Bundespatentgericht im April 2013 statt und erklärte das Patent für nichtig, weil das beschriebene Verfahren dem Stand der Technik entspreche, darüber hinaus kein technisches Problem löse und deshalb nicht patentierbar sei (Az. 2 Ni 59/11).Fuck yeah, so muss das laufen! Und der Typ beim Patentamt, der diesen Mist begutachtet und durchgewunken hat, der sollte rückwirkend ein paar Monatsgehälter verwirkt haben.
So gesehen müssen wir Microsoft dankbar sein, dass sie das so auf die Agenda gesetzt haben — und dass ihre Datenschutzbedingungen so verständlich sind, dass Leute sie gelesen haben! Über Apples Kleingedrucktes werden Witzchen gerissen, bei Microsoft lesen die Leute das und verstehen danach, was da passiert. Und sind empört.
Ich freue mich da sehr drüber, dass die Leute jetzt aufwachen. Aber ich finde es sehr ungerecht, dass sich der Zorn gegen Microsoft richtet, die beim Datenmissbrauch geradezu der Nachzügler sind, Jahre später dran als die Konkurrenz!
Wieso ist Cortana auf dem Desktop plötzlich schlimmer als OK Google oder Siri?
Vielleicht sollte ich diesem geschenkten Gaul nicht zu tief ins Maul schauen und mich einfach freuen, dass endlich jemand Interesse am Datenschutz hat.
Und so wird dann ein Schuh aus der Sache, denn das kommt jetzt nicht von den anderen Herstellern, die Story, sondern von "Ex-Kaspersky-Mitarbeitern", d.h. von Kaspersky selbst. Für mich sieht das aus wie eine als Pseudo-Kontroverse getarnte PR-Nummer von Kaspersky, um sich selbst als einzigen Marktteilnehmer darzustellen, der noch ordentlich prüft. Glaubt kein Wort von sowas. Schlangenöl ist Schlangenöl.
Im Übrigen basiert die ganze Branche auf geheimen Insider-Malware-Börsen, und die Hersteller tauschen alle ihre Malware-Samples aus. Ich bin da kein Insider, insofern weiß ich nicht, wie weit die Automatisierung der Signaturgenerierung ist. Was ich vor ein paar Jahren mal gesehen habe, ist dass das "manuell" gemacht wurde, allerdings mit massivem Tool-Aufgebot. Viel tatsächlich manuelle Arbeit war da nicht beteiligt, aber völlig automatisiert war es auch noch nicht. Wenn man die Tools der Konkurrenz beobachtet, kann man diesen Vorgang möglicherweise aus der Ferne reversen und so trojanische Signaturen unterjubeln.
Aber mal ehrlich, der ganze Ansatz mit den Signaturen ist für den Arsch. Dieses Geplänkel hin oder her, wer sich Software verkaufen lässt, die Viren fernhalten soll, hat es auch nicht besser verdient.
Update: Laut dieses Vortrages von 2013 von Microsoft scheint genau das passiert zu sein.
Aus Sicht von Microsoft, Google und Apple sind die Zeiten vorbei, in denen man ein Gerät einfach nur so am Internet betreiben kann, ohne dass es ständig nach Hause telefoniert. Und selbst Linux-Distributionen telefonieren ja heutzutage nach Hause, und sei es nur zum Nachgucken, ob es Updates gibt.
O tempora, o mores!
Ich für meinen Teil glaube nicht, dass Windows 10 so viel schlimmer ist als vorherige Windows-Versionen, mal abgesehen von Cortana natürlich, und dafür kann man Microsoft nur partiell die Schuld geben. Da sahe sie sich halt durch Siri und Google Now unter Zugzwang gesetzt. Wenn man Cortana und Wifi Sense ausmacht, dann bleiben hauptsächlich Dinge übrig, die schon bei Windows 8 und früher ein Problem waren, wie der ganze Browser-Kram, der während der URL-Eingabe de facto ein Keylogger ist. Aber das macht Chroma ja auch und warnt da weniger klar vor.
Ich finde diese Grafik vor allem deshalb wichtig, weil die meisten Dinge davon Apple-User z.B. schon die ganze Zeit betreffen, nur regt sich von denen keiner drüber auf, weil die alle nicht die mentale Kapazität haben, um das Problem zu erkennen, bzw. um das als Problem zu erkennen. Und Android natürlich genau so. Was war bei Chrome neulich die Hölle los, als die Leute merkten, dass Google da unter Linux Google Now implementiert hat. Und die Aufregung kam auch dort initial nicht von Privatsphäre-Seite sondern von religiösem Fundamentalismus, weil Debilianisten fanden, das sei ein binärer Blob und gehöre nicht in ihre Distribution. Als ob so eine Funktion irgendwie vertretbarer wäre, wenn der Quellcode für die Clientseite offen liegt!
Wir können hier gerade live und in Farbe beobachten, wie die Welt den Bach runter geht. Das ist wie mit der Umweltverschmutzung, Klimawandel und Massentierhaltung. Alle sehen es, alle wissen, dass es uns alle umbringen wird, aber keiner hält es auf.
Ich bin übrigens gespannt, wie sie das mit dem sich über die Jahre akkumulierenden Update-Cruft umgehen wollen. Es soll ja keine weiteren Versionen mehr geben nach Windows 10.
Bei Logdaten ist das für den Fuß, denn der Index würde einem sagen: Dieses Wort kommt in allen Logs des Webservers vor. Ja super. Da bin ich dann so weit wie vorher und muss die alle der Reihe nach durchsuchen.
Oder man könnte "Dokument" umdeuten, und zum Beispiel sagen: Alle 15 Minuten Weblog sind ein Dokument.
Aber man will ja auch andere Arten von Anfragen stellen können bei Logdaten. Man will ja sowas fragen können wie: Welche IPs haben in den letzten Stunden mehr als doppelt so häufig wie der Median zugegriffen?
Oder, bei Maillogs: Welche IP, die wir sonst selten sehen, versucht das Absetzen von mehr als 2 Mails in einer Minute.
Für diese Anfragen von Logs reicht ein Volltextindex nicht.
Und eigentlich wil man diese Art von Anfragen auch nicht ad hoc auf den Corpus anwenden, sondern man will sie auf einen vorbeifließenden Stream ansetzen, und dann einen Trigger auslösen können.
Nun kann man da auf mehrere Arten rangehen. Ich überlege gerade, ob man das nicht weniger schlimm machen kann, wenn man die Daten später durchsuchen will. Also man läuft immer noch komplett durch (ich vermute, dass das für einige ad-hoc-Anfragen gar nicht anders gehen wird), aber man reduziert den Aufwand, den man treiben muss. Ich dachte mir das so, dass man aus den rohen Logdaten die Felder extrahiert, d.h. die Logdaten in einen pro Logzeilentyp konstanten Format-String (wie bei printf/strftime) und die Datenfelder zerlegt. Und dann speichert man den Stream binär ab, die Format-Strings jeweils nur als Referenz auf ein Dictionary, und die Inhalte der Felder aus den Daten herausgeparsed. Dann muss man statt 127.0.0.1 nur vier Bytes abspeichern. Pro Logzeile legt man dann eine Referenz auf den Format-String ab (ich nenne das mal Template), dann das Offset zur nächsten Zeile, und dann binär kodiert die ganzen Werte. Die Idee wäre, dass man dann beim Suchen weiß, an welchem Template man interessiert ist, und die anderen schnell überspringen kann.
Konzeptionell versuche ich also ein Komprimierungsverfahren zu basteln, das ein Matching ohne vollständige Rekonstruktion der Quelldaten erlaubt. Oder zumindest ein fail fast beim Matching.
Was ich an der Stelle unbedingt vermeiden möchte sind irgendwelche Sammlungen von regulären Ausdrücken. Das Parsing muss automatisiert funktionieren.
Der erste Schritt dabei wäre, dass man erstmal typische Felder erkennt. Ich habe da mal eine Heuristik gehackt, die erkennt schonmal IP-Adressen, Timestamps in einigen üblichen Formaten, Hostnamen, Dateinamen, Pfadnamen, URLs, Email-Adressen. Das Problem ist halt, dass man Hostnamen und Dateinamen nicht wirklich erkennen und auseinanderhalten kann. Möglicherweise braucht es diese Aufteilung ja auch gar nicht und ich könnte auch einfach sagen: Das ist ein String-Feld.
Nehmen wir mal diese Logzeile hier:
Jul 17 12:34:56 ptrace sshd[2342]: Accepted publickey for usereins from 1.2.3.4 port 59932 ssh2: ED25519 00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ffDaraus macht mein Tool sowas wie
%t %h %P[%i]: Accepted publickey for usereins from %4 port %i ssh2: ED25519 00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ffDen Hex-String könnte mein Tool auch erkennen, tut es aber im Moment noch nicht. Aber das größere Problem ist, wenn ich zwei solcher Zeilen habe, eine mit usereins und eine mit userzwei, wie führe ich die Templates zusammen und mache aus usereins/userzwei ein %s?
Klassische Verfahren für sowas sind Edit-Distance/Levenshtein oder sowas, aber das muss doch auch irgendwie geschickter gehen. Und ich bräuchte das auf Wörtern, nicht auf Zeichen. Bonusproblem: Mit Feldern klarkommen, die Leerzeichen beinhalten dürfen.
Daran knabbere ich gerade herum.
Spannenderweise findet man für dieses Problem auf Anhieb wenig Kram, weil alles mit Template im Namen in die andere Richtung geht, aus Rohdaten und einem Template den String zu rekonstruieren. Was ich ja trivial genug finde, dass mir nicht klar ist, wieso sich so viele Leute damit beschäftigen. Aber gut.
Vielleicht fehlt mir auch einfach der richtige Suchbegriff?
Update: A-Ha! Der erste sachdienliche Hinweis geht ein. Ein verwandtes Problem ist das Longest common subsequence problem.
Update: Von Microsoft Research gibt es ein Paper, das genau die Fragestellung zu behandeln scheint. Die arbeiten da mit endlichen Automaten.
Update: Und hier ist noch ein Paper von einem Haufen MIT-Leuten. Das scheint mir aber inhaltlich nicht weiterzuhelfen.
Update: Ein verwandtes Problem aus der Bioinformatik ist das Sequenzalignment.
Ich hielt den ja lange Zeit für einen Hochstapler, weil der immer so mit seiner Zeit bei Microsoft hausieren ging. Aber dann hatte ich letztes Jahr Gelegenheit, mich mit dem mal in der kalifornischen Abendsonne zu besaufen, und bin jetzt sehr froh, die Gelegenheit gehabt und genutzt zu haben. Sein Herz war an der richtigen Stelle, auch wenn man ihm eben jahrelang nicht geglaubt hat und er das nur schwer verwinden konnte.
Das ist auf jeden fall ein herber Verlust, denn der hat für die richtige Sache gekämpft.
Klingt ja auch wie eine gute Idee, bis man sich mal die juristischen Implikationen in einem vom Landgericht Hamburg ins Störerhaftungs-Pleistozän zurückgebombte Deutschland überlegt.
Microsoft enables Windows 10's Wi-Fi Sense by default, and access to password-protected networks are shared with contacts unless the user remembers to uncheck a box when they first connect.
Nur einen Tag nach Build 10158, die angeblich "keine nennenswerten Fehler" enthielt, hat Microsoft Build 10159 veröffentlicht. Sie behebt laut Microsoft über 300 Fehler der Vorgängerversion.
Ja nee, klar.
Ich habe früh in meinem Leben mit Softwareentwicklung angefangen. Ich erinnere mich noch, wie ich in den 80er Jahren Weihnachtslieder in GW-BASIC programmiert habe, und eine sehr coole Benutzeroberfläche gebaut habe, bei der man mit den Pfeiltasten in einem Menü herumnavigieren konnte. Auf unserem Monochrom-Bildschirm in 80x25 sah das verdammt cool aus. Viel cooler als ein Großteil der anderen Software, die wir so im Einsatz hatten.Damals wie heute nagte der Gedanke in mir, irgendwo könnte das irgendjemand irgendwo besser können als ich. Also nicht im Sinne von: Der hat mehr Zeit investiert und mehr Erfahrung und ist daher effizienter. Nein. Besser im Sinne von: Wenn der sähe, wie ich hier herumkrautern muss, um zu meinen Ergebnissen zu kommen, dann würde der ein lautes Lachen nur mit Mühe unterdrücken können.
Besonders ausgeprägt ist diese Befürchtung immer in Verbindung mit Rock-Star-Firmen und mit Weltkonzernen, deren Software eine markführende Position besetzt. Ich will das mal konkret machen. Wenn ich mich mit Google treffe und über Suchmaschinenprogrammierung rede, dachte ich, dann würden die gar nicht verstehen, wovon ich rede, weil das für die wäre als würden sie sich mit einer Ameise unterhalten. Oder, so die Annahme, mit VMware könnte ich gar nicht über Hypervisor-Programmierung reden, weil die da ja wahrscheinlich auf einem so viel höheren Niveau ein Verständnis aufgebaut haben, dass ein Gespräch mit jemandem wie mir für die keinen Sinn ergeben würde.
Nun hat es sich ergeben, dass ich beruflich Software auf Sicherheitslücken absuche. Ich gehe zu großen Firmen, die zeigen mir ihren Quellcode, und ich zeige ihnen dann, wo sie Dinge falsch machen. Wie viele Menschen in dem Beruf habe ich das Impostor Syndrome, d.h. ich befürchte regelmäßig, dass gleich jemand erkennt, dass ich gar keine Ahnung von der hier gefragten Wissens-Domain habe, und dann entfernt mich die Security aus dem Gebäude.
Einen besonders krassen Fall von Impostor Syndrom hatte ich, als ich das erste Mal bei Microsoft Windows auditiert habe. Die hatten auch keine Ahnung, wie man sowas macht, und wen man da ranlässt, und hatten daher ein vergleichsweise weites Netz geworfen, um potentielle Auditoren zu finden. Ich für meinen Teil hatte so gut wie keine Erfahrung mit Windows. Ich hielt das für einen Irrtum, dass die mich da hin geholt hatten. Und dann geschah das Wunder von Redmond. Ich setze mich hin, gänzlich ohne Domain Knowledge, und fand mehr Bugs als die ganzen Leute mit Domain Knowledge.
Wie sich rausstellt, ist Domain Knowledge überbewertet. Und Microsoft war sich dessen stärker bewusst als ich.
Aber diese Gedankengänge verfolgen mich bei allen Kunden. Was macht Microsofts GUI-Zeug zum Marktführer? Gibt es da irgendwas, was die besonders großartig machen? Wie funktioniert das Memory Management von Windows? Hat der Hypervisor von VMware ESX im Vergleich zu Xen Roswell-Technologie im Einsatz? Was ist eigentlich der Unterschied zwischen Oracle und MySQL? Ist das wirklich so ein immenser Abstand?
Gelegentlich ergibt sich die Gelegenheit, mit einigen wichtigen Leuten mal ein Bierchen trinken zu gehen. Ich nutze sowas konsequent, weil es mein Weltbild enorm erweitert hat über die Jahre.
Einige der gewonnenen Einsichten möchte ich gerne mit euch teilen. Bei allen großen, wichtigen Weltprodukten, bei denen ich eine Einsicht in diesen Aspekt gewinnen konnte, war das anfangs mal ein Hack von drei Leuten. Also wörtlich jetzt. Drei Leute ist die typische Größe, mit der man großartige Produkte bauen kann. Wenn wir nur von einem Aspekt reden, der am Ende die Großartigkeit des Produktes zementiert hat, ist es häufig gar nur einer. Der 32-bit-Support von Windows 95 geht auf einen Typen zurück, der das Manual von Intel auf dem Schreibtisch hatte (das konnte man sich damals für fast lau per Post ordern oder gratis als PDF runterladen), und der die entsprechenden Absätze gelesen hatte, und der sich dachte, hey, das implementiere ich doch mal.
Der schönste Spruch in diese Richtung kam von einem Datenbank-Hersteller. "Wenn wir damals Datenbank-Leute eingestellt hätten, wären die großartig darin gewesen, uns zu sagen, warum soundso nicht geht. Daher haben wir Nicht-Datenbank-Leute eingestellt, und die haben dann einen Weg gefunden."
In meiner Erfahrung ist der größte Motivator in der Softwareentwicklung die Gewissheit, dass etwas substantiell besser geht. Eine schöne Anekdote dazu hörte ich vor einer Weile. Da ging es darum, dass ein Software-Hersteller mit einer Uni zusammenarbeitete, und die hatten eine coole Idee und die auch umgesetzt im Rahmen einer Forschungsarbeit, und die blies alles aus dem Wasser, was es in dem Feld gegeben hatte. Der Hersteller hat daraufhin sein eigenes Team an einen Tisch geholt, wieder mal die fast sprichwörtlichen drei wirklich fitten Leute, und hat denen gesagt: implementiert das mal. Ihr habt das nicht erfunden, daher erwarten wir nicht, dass euer Prototyp diese Uni-Lösung outperformed, aber zumindest bis auf 50% solltet ihr rankommen. Die drei fitten Leute sind losgezogen und haben einen Prototypen gehackt, und hatten offensichtlich eine völlig falsche Vorstellung davon, welche Baseline sie erreichen müssen. Als sie ein paar Wochen/Monate gehackt hatten, und ihren Prototypen zeigten, und jemand den gegen das Uni-Ding auf gleicher Hardware benchmarkte, war der (edit: ihr Prototyp) nicht etwa 50% langsamer (edit: als die Uni-Software) sondern über 50% schneller.
Niemand geht los, um langsame Software zu schreiben. Aber auf dem Weg brechen viele Leute ab, weil ihnen gesagt wird, die Dinge seien "schnell genug".
Neulich scrollte eine lustige Gegenüberstellung an mir vorbei. Da hat sich einer der Väter von Extreme Programming vorgenommen, jetzt mal einen Sudoku-Löser zu programmieren. Der hat mehrere Blogposts dazu gemacht. Er hatte ein festes Dogma, wie man an sowas herangeht, aber offensichtlich keine Vorstellung, wie man diese Art Problem löst. In den Blogeinträgen beschreibt er jeweils, wie er Tests programmiert und ein neues Darstellungsformat ausprobiert. Am Ende scheitert er. Die Gegenüberstellung ist ein relativ bekannter Google-Ingenieur. Der hat auch ein Blogposting geschrieben. "Ich schreibe jetzt mal einen Sudoku-Löser". Dann hat er sich hingesetzt, beschrieben, wie man sowas macht, und einen Löser geschrieben. Ein Blogpost.
Es ist einfach, nach sowas über Extreme Programming zu lachen. Aber ich glaube, dass wir über noch ganz andere Dinge lachen sollten. Ich glaube, dass wir einige sehr fundamentale Dinge in Sachen Softwareentwicklung schlicht noch nicht verstanden haben. Nicht nur das: Die Leute setzen systematisch Scheuklappen auf, um zu verhindern, sich damit auseinandersetzen zu müssen.
Ich habe einmal einen Code Audit einer Webplattform gemacht. Normalerweise drücken sich Auditoren um sowas, weil man befürchten muss, dass sowas in PHP oder — schlimmer noch — Perl geschrieben ist. Das sind klassische Write-Only-Programmiersprachen. Da kann nach einer Woche auch der Typ, der es geschrieben hat, nicht mehr sagen, was dieser Code hier eigentlich tun sollte. In diesem Fall war es Perl. Wir machten drei Kreuze und fingen an. Und jetzt der Schocker: Das war wunderbar lesbarer Perl-Code. Kommentiert. Minimal. Die Firma hatte beschlossen, dass das Verbessern von bestehendem Code genau so wertvoll ist wie das Schreiben neuen Codes. Eher noch wertvoller. Wenn ein Mitarbeiter inzwischen dazugelernt hat, dass man Problem X besser so löst als wie wir das damals gemacht haben, dann geht er hin und löst es so. Unlesbarer Code wurde konsequent nicht gedulded. Fiese Konstrukte wie eval waren verpönt und nur unter strikten Ausnahmeregelungen erlaubt. Dieser Perl-Code war besser auditierbar als der durchschnittliche C++-Code. Lektion: Es liegt nicht an der Programmiersprache. Es liegt daran, dass die Firma der Lesbarkeit von Code einen Wert zuweist.
Der oben erwähnte "war am Ende 50% schneller"-Code hat dem Management so gut gefallen, dass sie gesagt haben: Geil, shippen wir. Das war cooler Rockstar-Code, aber das war kein Produkt. Für eine Firma dieser Größe und Erfahrung war es kein Problem, aus dem Codehaufen ein Produkt zu machen, das technisch den Anforderungen genügte.
Aber wenn ich da jetzt als Auditor hinkomme und sage: Schaut mal hier, das ist eine schlechte Idee, ändert das mal lieber! Dann sagen die mir: Können wir nicht; Eine Änderung hier könnte unvorhergesehene Auswirkungen über das ganze Produkt haben. Das Risiko können wir nicht eingehen.
In fast allen Großkonzernen, in denen ich bisher Einblicke in diesen Aspekt gewinnen konnte, gibt es große Codemassen, deren Wartbarkeit Nahe Null ist. Weil die Firmen es nicht geschafft haben, ihre Mitarbeiter dazu zu motivieren, alten und schlechten Code Schritt für Schritt besser zu machen. Stattdessen gibt es üblicherweise eine Kultur des Drucks, neue Innovationen zu programmieren.
Es ist schockierend, wie wenige Jahre ins Land streichen mussten, bis aus einem innovativen Stück Rockstarcode ein unwartbarer Haufen Legacy geworden ist.
Zusammenfassung: Firmen überbewerten "wir müssen das ans Laufen bringen" und unterbewerten "wir müssen dafür sorgen, dass das auch wartbar ist". Es werden immense Geldmengen dafür verbrannt und Mitarbeiterberge damit verschlissen, ungepflegten alten Code weiter ungepflegt zu halten, aber noch Dinge ranzupflanschen. Ich glaube, wenn wir hier das Anreizsystem umdrehen könnten, könnten wir auf einen Schlag die Softwareentwicklung umkrempeln und Deutschland zum Weltmarktführer machen.
Update: Ich sollte vielleicht noch sagen, dass ich wirklich mit Google über Suchmaschinenprogrammierung geredet habe, und gesehen habe, wie in VMware der Hypervisor funktioniert. Nicht nur habe ich verstanden, wie die das machen, die haben das auch noch so gemacht, wie ich das auch gemacht hätte (bzw. habe; einen Hypervisor habe ich noch nicht programmiert, aber eine Suchmaschine. Stellt sich raus, dass die groben Strukturen, was man so für Datenstrukturen verwendet und so, bei Google und mir die selben waren. Na klar haben die auch noch ein paar Tricks, die ich nicht kannte). Das liegt nicht daran, dass ich ein toller Hecht bin, sondern dass fast alle Lösungen für fast alle Probleme naheliegend sind, wenn man ein bisschen über das Problem nachdenkt. Und dann gibt es jeweils noch Hardware-Einschränkungen, die bestimmen, welche Lösungsansätze überhaupt möglich oder zielführend sind. So viel bleibt da am Ende normalerweise nicht übrig. Ich halte es für ein wichtiges Ziel, dass Anwender den immer noch weit verbreiteten Respekt vor Software abbauen. Wenn man ein Haus hat, und zwei Zimmer, und man möchte gerne in der Mitte die Mauer weghaben und ein großes Zimmer haben, dann prüft man die Statik und dann macht man die Mauer weg. Wenn man anbauen will, baut man halt an. Da ist nichts magisches dran. Bei Software ist das auch so. Wenn Google ein Haus baut, dann brauchen sie dafür auch ein Fundament. Wenn Google ein selbstfahrendes Auto baut, dann hat das auch Räder. Und so sieht das bei Suchalgorithmen halt auch aus.
Update: Siehe auch
Dabei arbeitet sie mit den Technologiepartnern Microsoft (Berlin), HCL (London) und IBM (Silicon Valley) zusammen.Klar, wenn ich an Innovation (oder Startups) denke, fallen mir auch zuerst Microsoft und IBM ein. HCL ist ein indischer Outsourcer. Passt auch wie Arsch auf Eimer. Na dann viel Spaß beim innovationieren, liebe Deutsche Bank!
Die Linksfraktion ist durch die Veröffentlichung ein Sicherheitsrisiko für den Deutschen Bundestag geworden.Welche Veröffentlichung? Die hier,
Mein Kommentar dazu: Wer bei Malware Attribuierung macht, schießt sich damit selbst aus dem Rennen. Dem kann ich auch sonst nichts mehr glauben. Zumal die Attribuierung hier auf eher tönernen Füßen steht, sie basiert im Wesentlichen auf diesem Report von Fireeye. Fireeye ist ein "IT-Security-Dienstleister", dessen Geschäftsmodell es ist, in großen Organisationen Email-Attachments in einer Sandbox auszuführen, und zu gucken, ob die nach Hause zu telefonieren versuchen. Ich persönlich halte den Ansatz für Schlangenöl. Deren Produkt habe ich noch nicht in der Praxis von Nahem im Einsatz gesehen.
Jedenfalls hat Fireeye ein kommerzielles Interesse daran, auf die bösen Chinesen oder Russen zu zeigen, damit mehr Leute Angst kriegen und Kunde werden. Wenn man sich deren Report durchliest, findet man heraus, dass ihre Attribuierung daher kommt, dass internationale Elite-Hacker, die SO GUT sind, dass sie ÜBERALL REINKOMMEN, beim Erstellen ihrer Software mit einer Microsoft-Entwicklungsumgebung vergessen haben, die Metadaten zu bereinigen. Leute, die gut genug sind, um ihren Code mit sinnlosen Instruktionen aufzublähen, damit die Analyse schwerer wird. Solche Leute vergessen dann die Metadaten. Ja nee, klar. Oh und die Metadaten zeigen, dass da teilweise die russische Version eingesetzt wurde, und dass die Erstellungszeiten im Dateiheader auf reguläre Montag-Freitag 9-5 Arbeitszeiten in der Zeitzone von Moskau hinweisen.
Nein, wirklich! Hey, *hexeditier*, ich hab hier eine fiese Malware, wo jemand als Kommentar "ist von Fireeye" zu entfernen vergessen hat!1!!
Also ich für meinen Teil würde auf diese Zuordnungen nicht viel geben. Dass die Linksfraktion in ihrem Netz Malware sucht und analysieren lässt und die Details veröffentlicht ist ihr gutes Recht. Ja sogar ihre Pflicht, wenn man für Fraktionen die selben Regeln anwendet, die unsere Bundesregierung gerade mit dem IT-Sicherheitsgesetz allen Firmen reindrücken will. Es lässt sehr tief blicken, wenn dieser CDU-Spezialexperte sich dermaßen aus dem Fenster lehnt in der Angelegenheit. Da hat wohl jemand Bürotiefschlaf gepflegt, anstatt sich mal durchzulesen, was die eigene Regierung gerade so beschließt, wie?
Das Problem, um das es geht, ist dass man memprotect als Orakel benutzen kann, um ASLR auszuhebeln. ASLR heißt, dass Code nicht an vorhersagbare Stellen im Adressraum geladen wird, damit man in einem Exploit nicht einfach zu der Stelle springen kann, die tut, was man will. ASLR ist einer der Hauptgründe, wieso stabile Exploits heutzutage so teuer geworden sind.
ZDI hat dieses Problem gefunden, Beispiel-Code gemacht (!), und mit dem bei Microsoft sogar einen Award abgeräumt, oder ein Kopfgeld, wie immer man das nennen will.
Und jetzt droppen sie den 0day, weil Microsoft ihnen zu verstehen gegeben hat, dass sie das Problem nicht fixen wollen.
Was man dazu wissen muss, ist dass Microsofts Verständnis von solchen Bug Bounties ist, dass sie dann die Details "vom Markt genommen haben". Ich denke, dass Microsoft denen das Geld gegeben hat, in der Gewissheit, dass das dann nicht später veröffentlicht wird. Das könnte also noch Stress geben.
Wieso will denn Microsoft das Problem nicht fixen? Weil memprotect ihr Hack ist, um use-after-free-Bugs in IE zu fixen. Das können sie also jetzt nicht abschalten, um ASLR wieder ordentlich zu kriegen, ohne dass sie auch die ganzen use-after-free-Bugs wieder reaktivieren. Und von denen gab es anscheinend eine ganze Menge, denn sonst würde Microsoft das ja jetzt abschalten und fertig ist die Laube.
Ich beobachte sowas ja immer mit einer gewissen Häme aus der Ferne, wenn ein Security-Feature an einem Security-Problem Schuld ist. Das ist jetzt jedenfalls eine ganz beschissene Situation für alle Involvierten.
Stellt sich natürlich noch die Frage, ob man nicht memprotect so umbasteln kann, dass es nicht mehr als Orakel missbrauchbar ist. Ich vermute mal nicht, denn sonst hätten sie das wohl getan.
Ich bin ja kein Freund von so Exploit-Händlern, aber vor ZDI muss man an der Stelle echt den Hut ziehen. Die scheißen echt jedem in den Vorgarten, der seine Bugs nicht in akzeptablem Zeitrahmen fixt. Sogar ihrem aktuellen Eigentümer HP.
ENDLICH sind wir weg von diesem Flash-Binärkack und von Binaries für irgendwelche speziellen Plattformen und haben Skriptsprachen für eine gemeinsame Plattform. Endlich kann man einfach Ctrl-U machen und sich angucken, was da passiert. Kaputte Skripte zur Not selber debuggen. Selbstgehackte DRM im Web ist endlich weg (abgesehen von diesem Chrome-Netflix-Zeugs).
Und was machen diese Schwachmaten da? Erfinden ein neues Binärformat fürs Web. Und sagen explizit an, dass das ein Compiler-Target sein soll. JA SUPER! Ich sage gleich mal an, dass es eine Industrie geben wird, die auf Basis davon DRM baut, die "Obfuscation"-Technologien verkaufen wird, und wir werden eine neue dunkle Ära für geschlossenes Web einleuten. Und das alles so völlig ohne Not! Und dann werden wir wieder "works best in Internet Explorer" haben. Eine Frage der Zeit, bis Microsoft oder Apple spezielle proprietäre APIs für ihre "Web-Binaries" exportieren. DirectX für WebAssembly! Und am Ende haben wir dann ein verkapptes .NET für Arme im Browser. Hint: Hatten wir schon. Hieß Silverlight. Ist gefloppt.
Ist der deutsche bzw. europäische Datenschutz aus deiner Sicht innovationsfeindlich?
Nein, im Gegenteil.
Er wird europäischen Startups einen Marktvorteil verschaffen, wenn sie willens sind, Lösungen zu ersinnen, die die Privatsphäre schützen, während in Übersee nur an möglichst vollständiger Auswertung der Daten gearbeitet wird.Wie glaubst du wird die neue EU-Datenschutzverordnung, sollte sie denn irgendwann in Kraft treten, die IT-Branche verändern?
Ich hoffe zum Besseren.
Im Moment sind die Internet-Geschäftsmodelle alle auf möglichst vollständige Erhebung aus Auswertung der privaten Daten der Benutzer ausgelegt.
Die Benutzer sind die Ware, nicht die Kunden.Das kann eigentlich nur besser werden, wenn wir eine Datenschutzverordnung kriegen, selbst wenn die eher mittelmäßig bis schlecht ist.
Welche Bereiche müsste sie sinnvollerweise regulieren? Wo geht die aktuelle Diskussion über Datenschutz womöglich an der Realität vorbei?
Hier gibt es ein paar Fragen der Weltanschauung zu klären.
Wenn der Markt sich so entwickelt, dass man Dinge "kostenlos" kriegt, aber dafür seine Datenhoheit verliert, und die Menschen das mit sich machen lassen — ist der Staat dann in der Pflicht, die wehrlosen Bürger vor sich selbst zu schützen oder fällt das in die Verantwortung der Bürger? Betrachten wir die Datenweitergabe wie Rauchen und schützen die Bürger vor sich selbst und zum Beispiel den Verlockungen der Werbung? Ich halte das für unausweichlich. Gegenbeispiele gibt es kaum. Egal ob Flugzeuge, Autos, Schwimmbäder, Jahrmarkt-Attraktionen, Glücksspiel, Alkoholverkauf, Wendeltreppen, … wenn es von Menschen gemacht ist, dann sind der Hersteller und der Aufsteller in der Haftung und können sich nicht einfach damit rausreden, dass der Kunde ja hätte sehen können, dass an der Treppe kein Geländer war, und er selber Schuld ist, dass er runterfiel und sich das Bein brach.In den USA sind libertäre Ansichten verbreiteter als hier, besonders im Silicon Valley. Da kommen Firmen eher damit davon, wenn sie sagen, der Kunde hätte sich ja besser informieren können. Eine gute Analogie dazu sind die "EULA"-Kleingedrucktes-Lizenzen, die häufig von Software bei der Installation angezeigt werden. Nach amerikanischem Recht ist der Kunde selber Schuld, wenn er auf sowas klickt. Das deutsche Recht sagt aber: Unerwartete Einschränkungen, die man erst nach dem Kauf sehen kann, sind unwirksam. Die europäische Rechtstradition hat ja auch Konzepte wie "Sittenwidrigkeit".
Ich glaube daher, dass sich der Schutz des Kunden in Europa zwangsläufig früher oder später auch auf Datenweitergabe erstrecken muss.
Das Hauptproblem bei einer Datenschutzverordnung ist, wie man dem ganzen Regularium Biss gibt. Wenn ein europäischer User im Internet auf einer US-amerikanischen Webseite etwas klickt, wie kann ihn dann die EU-Verordnung schützen? Hier müsste man bilaterale Verträge mit den USA machen, um für Rechtssicherheit zu sorgen. Und dann blieben immer noch all die anderen Länder. Das zeichnet sich leider alles nicht ab. Im Gegenteil ist die EU bisher immer eingeknickt und hat im Zweifelsfall gegen ihre eigenen Bürger entschieden. Von Fluggastdaten bis zur SWIFT-Datenweitergabe ist die Liste hier lang.
Bei Datenweitergabe von Firmen gibt es das Konzept des "Safe Harbor". Da können sich amerikanische Firmen selbst als datenschutzkonform zertifizieren. Die versprechen einfach nebulös und nicht nachprüfbar, bei ihnen seien die Daten schon sicher. Was dann tatsächlich mit den Daten passiert, kann der Benutzer nicht prüfen, und wenn die Daten wegkommen, hat er keine realistische Handhabe.
Daher ist aus meiner Sicht das größte Risiko bei allen europäischen Datenschutzreformen, dass die uns am Ende nur auf dem Papier helfen. Die Politik ist damit zufrieden. Deren Ziel war es ja bloß, ein bisschen Aktivismus und Handlungsfähigkeit zu demonstrieren. Je weniger das den Freihandel mit den USA einschränkt, desto besser.
Für wie erfolgsversprechend hälst du die Klage von Max Schrems?
Vor Gericht und auf hoher See sind wir in Gottes Hand, wie es so schön heißt.
Ich wünsche ihm viel Erfolg, aber er kämpft letztendlich gegen Windmühlen. Das europäische Rechtssystem ist (vorsätzlich!) so ausgelegt, dass Freihandel mit den USA wichtiger ist als Datenschutzinteressen der EU-Bürger.[Anm.: Hier hätte ich besser Architektur der EU als europäisches Rechtssystem sagen sollen]
Da kann man vielleicht mal hier und da ein Scharmützel gewinnen, aber den Krieg haben wir als Gesellschaft im Grunde schon aufgegeben.Der NSA-Skandal hat das Gefühl der Hilflosigkeit nur noch verstärkt.
Lassen sich amerikanische Konzerne wie Facebook, deren Geschäftsmodell auf personenbezogenen Daten beruht, überhaupt regulieren?
Natürlich!
Unternehmen tun alles, was das Gesetz sie tun lässt.
Wenn man die Gesetze ändert, ändert sich auch das Verhalten von Facebook und co.
Die wollen sich ja am Ende des Tages ihr Gehalt auszahlen können, und zahlen auch Steuern, wenn das Gesetz sie zwingt. Wenn das Gesetz Schlupflöcher bietet, nutzen sie die freilich.
Als Mitarbeiter einer kriminellen Vereinigung gibt es keine Aktienoptionen. Die richten sich im Allgemeinen schon nach den Gesetzen.Es muss aber der politische Wille dafür da sein, ordentliche Gesetze zu machen.
Julian Assange hat behauptet Google verhalte sich mehr wie eine Regierung als ein Unternehmen und Harald Welzer hat im Spiegel gesagt, wir würden längst im Totalitarismus leben ohne es zu merken. Hälst du eine Zukunft, in der Unternehmen wie Google die Politik lenken für realistisch? Wie sähe der „worst case“aus? Ein modernes 1984? Und wie könnte man sinnvoll damit umgehen?
Unternehmen wie Google lenken jetzt schon die Politik.
https://www.opensecrets.org/lobby/indusclient.php?id=B13&year=2014
Google gibt soviel für Lobbyismus aus wie die nächsten beiden (Microsoft und Facebook) zusammen.Gerade in den USA kann man ganz gut nachvollziehen, welcher Politiker von welchem Unternehmen wie hohe Zuwendungen erhalten hat, und wofür der dann so gestimmt hat.
Die Science Fiction-Literatur beschäftigt sich seit vielen Jahren mit dem Konzept der Corporatocracy.
http://en.wikipedia.org/wiki/Corporatocracy1984 ist da nicht der richtige Vergleich, eher Cyberpunk, sowas wie Shadowrun oder Neuromancer, oder, wenn Sie es moderner mögen, Daemon.
Können Sie sich erinnern, wann die Politik zuletzt offensichtlich im Interesse der Bürger aber gegen die Interessen der Industrie gehandelt hat?
Im Roman „The Circle“ wird eine Gesellschaft beschrieben, in Leitsprüche wie „Privacy is theft“ gelten und alles mit dem „greater good“ gerechtfertigt wird. Auch die verschiedenen Dienste und Plattformen sind in riesigen Datensammlungen über jeden einzelnen vereint. In der Realität gibt es mittlerweile Software, die es Arbeitgebern möglich macht ihre Mitarbeiter komplett zu überwachen und sogar deren zukünftiges Verhalten voraussehen zu können.Wie viel Wahrheit steckt aus deiner Sicht in einer solchen Dystopie? Kann das unsere Zukunft sein? Wie sähe sie aus?
Je nach Blickwinkel ist das keine Dystopie, das ist Praxis.
Alle großen Firmen machen zur Gefahrenabwehr Network Monitoring und erheben Metadaten über Netzwerkverkehr ihrer Benutzer. Um dem europäischen Datenschutzrecht zu genügen, wird sowas in Europa pseudonymisiert, und man denkt sich Methoden aus, wie man den Zugriff so beschränkt, dass die Daten nur im echten Notfall wieder deanonymisiert werden können.Dinge, die in Europa selbstverständlich sind, nämlich dass ich auf dem Arbeitsplatz auch private Emails verschicken darf, und dass der Arbeitgeber die nicht einfach mitlesen darf, sind Errungenschaften unserer Rechtskultur und der Gewerkschaften. In anderen Ländern gibt es so einen Schutz nicht.
Die Gefahr ist daher bei uns weniger der Chef, der per Webcam seiner Sekretärin in den Ausschnitt guckt, als vielmehr eine diffuse Bedrohung durch Metadaten, wie bei der NSA.
Obwohl es solche Chefs sicher auch geben wird. Gerade im Einzelhandel gibt es ja flächendeckend Überwachungskameras, um Ladendiebstahl erkennen zu können.
Update: Besserer opensecrets-Link.
Wo das Runtime herkommt, ist noch unklar.
In dem Video erzählen sie auch von neuen Security-Geschichten im Compiler und, möglicherweise das spannenste daran, dass sie Coroutinen in C/C++ implementiert haben, mit einem neuen Keyword namens yield.
Das ist ja mal echt beeindruckend viel Neuigkeiten, wenn man bedenkt, dass die auch den Übergang zu C++11 / C++14 machen mussten in der Zeit, und VS2015 auch Cross-Entwicklung für Android unterstützt. Wieviel Leute da wohl im Compilerteam arbeiten?
Und: Wie lange es wohl dauert, bis gcc und clang auch yield unterstützen? Im Moment fummelt man sich dort was mit Boost zurecht oder so.
Update: OMG, die haben das Objective C-Frontend von clang geklaut und ihren Codegenerator dahinter gepackt. *Grusel*
Update: Die Linux-Version segfaultet bei mir aus dem Stand. Vielleicht haben wir doch noch Zeit.
Update: Unten auf der Seite steht:
When this tool crashes, we automatically collect crash dumps so we can figure out what went wrong. If you don't want to send your crash dumps to Microsoft, don't install this tool.
Vielleicht habe ich die Funktion des Tools bloß falsch gedeutet. Auf der anderen Seite ist das bei mir gecrasht, bevor es einen Dump machen konnte. Ich vermute gar, es ist beim Dumpen gecrasht. :-)
Da dreht sich das DRM-Karussel munter weiter und man wird wieder unter Linux gearscht sein. Ja super!
Man kann ja sagen was man will über Microsoft. Die lassen nichts anbrennen. :-)
Update: Cyanogenmod dementiert.
IIS hat eine Kernelkomponente, weil Microsoft ohne so zu Bescheißen nicht in der Lage war, in Benchmarks mit Linux zu konkurrieren. Es war so schlimm, dass Samba unter Linux schon rein im Userspace schneller war als ein Windows, das SMB komplett im Kernel macht. Vor diesem Hintergrund muss man das als Verzweiflungstat sehen.
Übrigens gab es auch unter Linux mal Versuche, einen Webserver direkt im Kernel zu implementieren, das war aber nie mehr als ein Experiment.
Microsoft hat damals die IIS-Benchmarks offensiv als Argument gegen Linux und Apache verwendet. Wir reden hier von Ende der 90er, da war der Kampf gegen Linux noch voll im Gange. Heute stellt Microsoft selber Software unter MIT-Lizenz für Linux her. Das war damals völlig undenkbar.
Das spannende an diesem Bug ist, dass http.sys immer einen relativ guten Ruf hatte, geradezu als sicher galt, weil es da so selten irgendwelche Probleme gab. Aber so ist das halt manchmal im Leben. Es dauert ein bisschen, bis man die Rechnung für Jugendsünden kriegt.
Update: Falls sich jetzt der Eindruck einstellt, dass nur IIS http.sys einsetzt, dann stimmt das nicht. Es gibt auch andere Software, die das tut, etwa von Citrix. Die haben den Bug auch gemeldet.
Oh, wobei: sie haben einen Fork von LLVM gemacht.
MCS Holdings hat dann mit dem Zertifikat ein paar gültige Zertifikate für ein paar Google-Domains erstellt. Das ist aufgeflogen, weil Chrome und Firefox inzwischen Certificate Pinning betreiben, d.h. die haben hart einprogrammiert: Wenn für diese Domain (die Liste umfasst eine handvoll "wichtige Domains" wie halt u.a. die von Google) irgendwo ein falsches Zertifikat auftaucht, dann telefonieren die nach Hause und petzen. Und so konnte Google das sehen und hat dann CNNIC zur Rede gestellt. Und die haben gesagt:
they had contracted with MCS Holdings on the basis that MCS would only issue certificates for domains that they had registered.Klar haben wir diesem Kind eine geladene Schusswaffe verkauft, Euer Ehren! Aber wir haben ihm ganz deutlich gesagt, dass es damit keinen Scheiß machen darf!1!!Diese Art von Versagen ist übrigens kein Alleinstellungsmerkmal der Chinesen.
Auf der einen Seite ist es natürlich schön, dass sowas heutzutage auffliegt. Certificate Pinning ist keine doofe Idee. Microsoft macht das auch, und die eine oder andere ranzige App tut das inzwischen auch. Damit hat so eine App dann einen handfesten Vorteil gegenüber dem Webbrowser, außer es handelt sich um eine Google-Domain oder so.
Aber, der Punkt, über den ihr an der Stelle mal nachdenken solltet: Was ist denn, wenn CNNIC/MCS nicht für eine Google-Domain so ein Zertifikat ausgestellt hätte, sondern für banking.postbank.de oder so? Das würde doch keine Sau merken! Euer Browser würde jedenfalls nicht meckern. Dabei wäre das eigentlich kein Ding, allgemeines Certificate Pinning zu implementieren. Ich hab sowas 2009 schon mal vorgeschlagen. Aber auf mich hört ja immer keiner, und dann sind danach alle ganz furchtbar betroffen, wie es soweit kommen konnte. Wobei, es gibt inzwischen Browser-Addons, die sowas machen (googelt mal Certificate Patrol). Immerhin. Aber eigentlich will man das im Browser selbst implementiert haben, finde ich.
Update: Es gibt da übrigens ein allgemeines Certificate Pinning, aber da muss die Webseite aktiv mitmachen und (in meinen Augen sinnlos) redundante Informationen im HTTP-Header übertragen.
Ich habe nicht vor, mit meinen Prinzipien zu brechen an der Stelle, aber ich bin doch neugierig. Daher hier kurz der Aufruf, nur zur Befriedigung meiner Neugier: Wenn ihr berufsmäßig dieses Blog lest, z.B. weil ihr in einer Redaktion irgendwo arbeitet, dann hätte ich gerne eine kurze Email von euch gekriegt. Und wenn ihr das mit euren Chefs gebastelt kriegt, würde ich mich über ein kurzes Statement zum Jubiläum freuen — nicht in eurer Zeitung / Sendung, sondern nur so an mich, an die Bloginput-Emailadresse, und ich würde daraus dann zum Zehnjährigen ein Medley machen und hier posten.
Einfach nur ein
Hallo, wir sind die Redaktion des Neustädter Tagblattes, und wir lesen Fefes Blog seit 7 Jahren wegen des Sportteils.oder so, ihr versteht schon. Der Stichtag ist der 31. März.
Oh, es gibt einige Gruppen, bei denen ich mich besonders über eine Grußbotschaft freuen würde. Leute, die ich hier mal so richtig ausgiebig beschimpft habe. Ihr wisst schon. Springer-Presse, ehemaliges Nachrichtenmagazin, Verräterpartei, FDP, INSM, … falls da jemand jemanden kennt, der das klar machen könnte, da würde ich mich echt drüber freuen.
Nachrichten der Form "wir bei der Tagesschau / dem BND / T-Systems lesen dein Blog, wollen aber nicht genannt werden" nehme ich natürlich auch gerne entgegen und würde die dann auch nicht veröffentlichen. Ehrenwort!
"Beruflich" gerne weiter fassen. Ich kriege gerne Mails, solange ich nicht von JEDEM eine Mail jetzt kriege :-)
Update: Oh Mann, wenn ich so darüber nachdenke, wen ich alles so beschimpft habe über die Jahre … *hust* da müsste man ja dann auch diverse Ministerien und die Schlangenölhersteller und so auf die Liste. Und Apple. Und Microsoft. OpenBSD. In diesem Sinne: Ihr wisst wahrscheinlich, wenn ihr gemeint seid.
Google und Microsoft durchsuchen E-Mails ihrer Kunden nach illegalen Inhalten. Die deutsche Datenschutzbeauftragte sieht darin einen "nicht unerheblichen Grundrechtseingriff".Uiuiuiui, hoffentlich sagt das keiner den De-Mail-Leuten, sonst müssen die ihren Dienst einstampfen! Hätte doch nur vorher schon jemand was gesagt!1!!
Oh, bei der Gelegenheit sollte ich vielleicht mal ansagen, wie meine Laptopsuche ausgegangen ist. Ich habe mir am Ende einen Laptop von Schenker bestellt, nachdem die großen Hersteller bei mir alle der Reihe nach durchgefallen sind. So ein Gamer-Modell namens XMG P505, weil ich gerne zuschaltbare Gamer-Grafik haben wollte, aber trotzdem ordentlichen matten Bildschirm, geräuschloses Arbeiten wenn ohne Last, Gigabit Ethernet und halbwegs brauchbare Batterielaufzeiten. Das alles erfüllt das Gerät im Rahmen der Möglichkeiten der Hardware, und: Keinerlei Crapware vorinstalliert bei dem Windows. Keine 50 Trial-Version von irgendwelchen Antiviren oder Ähnlichem.
Gut, das ist dann natürlich kein Ultrabook. Das Gerät ist vergleichsweise schwer. Dafür ist das Gehäuse auch aus Metall und knarzt und knirscht nicht. Und, für mich besonders wichtig: Es gibt da keine Einschränkungen bei den Treibern. Das hat mich bei HP immer wahnsinnig gemacht, das man da keinen Grafiktreiber von AMD installieren konnte unter Windows, sondern den von HP nehmen musste, der 4 Jahre veraltet war. Daher boykottiere ich HP, seit die das einmal mit mir gemacht haben. Kam auch trotz Kurzfrist-Bestellung vor Weihnachten innerhalb einiger Tage, da hatte ich echt Schlimmeres befürchtet (das war wohl Glück, es gibt da im Internet auch andere Schilderungen).
Oh und deren Trackpad hat noch echte Maustasten.
Das ergibt natürlich interessante Angriffsszenarien für so Freemailer-Domains wie gmx.net oder live.fi, wo man sich im Internet eine Mailadresse klicken kann. Wenn die TLS-Leute eine Admin-Adresse erlauben, die der Freemailer nicht reserviert hat, dann kann man sich so ein Zertifikat klicken.
Eine dieser historischen Admin-Adressen ist hostmaster@.
Ein erlebnisorientierter Jugendlicher hat sich mal hostmaster@live.fi geklickt und dann damit ein TLS-Zert von dem Taco Bell unter den TLS-Anbietern geklickt: Comodo. Comodo hat ihm das ausgestellt. Warum auch nicht, da sitzt ja kein Mensch und prüft. Das ist ein Perl-Skript. Woher soll das Perl-Skript wissen, dass live.fi reserviert ist?
Und hier wird die Story interessant. Der Mann hat das nämlich Microsoft gemeldet, und die haben ihn ignoriert und 4-6 Wochen lang das Problem ausgesessen.
Dann haben sie dem Mann den Microsoft-Account gesperrt, was das Mail-Konto, das Xbox-Konto und das Lumia-Handy mit einschloss.
Ausgesprochen unsportlich, Microsoft!
Update: Oh, ist sogar noch unsportlicher! Es gibt eine Richtlinie, wie CAs die Domains zu validieren haben. An denen hat Microsoft mitgearbeitet. So und jetzt guckt euch mal auf Seite 24 (17 nach Dokumenten-Zählung) Punkt 4 unter 11.1.1 an. Microsoft hat also den Standard mitgeschrieben, an den sich Comodo gehalten hat.
Update: Der Depp hatte die Domain anscheinend mit seinem live-Account verknüpft, also haben die den Live-Account zugemacht. Das klingt ja wiederum eher nach "User nicht schlau"-Fehler. Man kann natürlich immer noch die Frage stellen, wieso das sechs Wochen gedauert hat. Und ob sie da nicht mal hätten gucken können, ob man da weniger invasiv hätte vorgehen können.
Update: Oh das wird ja immer schöner. Die hatten das selbe Problem auch bei der belgischen Domain und da geht das sogar bis 2010 zurück. Und sie haben nichts daraus gelernt.
Wieso leistet sich so ein Großkonzern so eine peinliche Show? WTF? Sitzen die nicht auf einem immensen Geldberg?
Wenn ihr, wie ich, gesagt habe: Apple interessiert mich nicht, *tabzumach*, dann habt ihr was verpasst.
Also presented at the Jamboree were successes in the targeting of Microsoft’s disk encryption technology, and the TPM chips that are used to store its encryption keys. Researchers at the CIA conference in 2010 boasted about the ability to extract the encryption keys used by BitLocker and thus decrypt private data stored on the computer. Because the TPM chip is used to protect the system from untrusted software, attacking it could allow the covert installation of malware onto the computer, which could be used to access otherwise encrypted communications and files of consumers. Microsoft declined to comment for this story.Das, liebe Freunde, ist ein Totalschaden. Davon kann man sich als Plattform nicht erholen. Die gesamte angebliche Daseinsberechtigung (abgesehen davon, dass es verhindern soll, dass wir Bugs in der Firmware durch Einspielen von coreboot fixen können) für diesen ganzen TPM-Rotz ist, dass wir damit verhindern können, dass unvertrauenswürdige Software auf unseren Kisten läuft. Wenn die CIA die Schlüssel extrahieren kann, dann ist das alles für den Arsch, und wir können allen Teilnehmern dieser eh vergifteten Infrastruktur überhaupt gar nichts mehr abnehmen. (Danke, David)
By reading from the same
address in DRAM, we show that it is possible to corrupt data
in nearby addresses. More specifically, activating the same
row in DRAM corrupts data in nearby rows.Öh, wie meinen? Naja gut, das wird ja wohl nur ein paar ranzige Chinaplaste-"Nur für Export"-Module betreffen, oder?We demonstrate
this phenomenon on Intel and AMD systems using a malicious
program that generates many DRAM accesses. We induce
errors in most DRAM modules (110 out of 129) from three
major DRAM manufacturers. From this we conclude that
many deployed systems are likely to be at risk.Oh fuck.Hmm, naja, die machen da mit FPGAs rum, das betrifft ja wohl in der Praxis niemanden, oder? Die Google-Leute haben mal geguckt und konnten das in Code umwandeln, der auf realen CPUs Bits in der Page Table flippen, und sich damit Schreibzugriff beschaffen.
Das ist einer dieser Momente, wo man sich fragt, ob man nicht doch lieber Schäfer in Neuseeland werden sollte.
Die nächste Frage wird sein, wie verbreitet das Problem in Cloud-Servern ist. So Amazon EC2 und Microsoft Azure und so. *schauder*
Ich erwähne das, weil sich der eine oder andere (hoffentlich!) gefragt haben wird, wieso wir von dem halbwegs wohlverstandenen Antik-BIOS zu dem klaffenden Sicherheitsloch UEFI wechseln, und wieso Lenovo uns Krypto-Technologien aufdrängen will, die uns daran hindern, etwaige NSA-Hintertüren im BIOS (wir erinnern uns bei der Gelegenheit an die "Bad-BIOS"-Geschichten) durch Flashen eines eigenen BIOS zu ersetzen.
Ja, das liegt an der NSA. Vollumfänglich liegt das an der NSA.
Was mir besonders auf den Sack geht, sind die Leute, die jetzt so tun, als ginge es bei TPM ja nur um Measured Boot, und dieser Bootguard-Scheiß sei bloß eine Aberration. Nein, ist es nicht. Das war der ursprüngliche Plan. Als die Geschichte noch Palladium hieß und ein Microsoft-Projekt war, um den NSA-Anforderungen zu genügen. Damals hieß es: Im Moment können wir TPM nur als passive Komponente neben die CPU löten, aber in der nächsten Generation (wir reden hier von Pentium 4-Zeiten!) ist das dann in der CPU und dann kann man das auch nicht mehr abschalten. Damals haben wir massive Proteste losgetreten, woraufhin das TPM eine (optionale!) passive Komponente neben der CPU blieb. Das Narrativ der NSA-Schergen änderte sich daraufhin zu "aber guckt mal, ihr könnt doch selber Schlüssel hochladen, und dann könnt ihr damit euer Linux absichern!1!!" Und einige Elemente unserer Community haben diesen Bullshit auch noch geglaubt!
Liebe Leute, wir befinden uns hier gerade in einem Krieg um unsere informationstechnischen Plattformen. Wer die Plattform besitzt, kontrolliert auch die auf ihr stattfindenden Dinge. Das sollte spätestens seit Facebook auch dem letzten Idioten klar sein, ist es aber offensichtlich nicht.
Intel glaubt jetzt offenbar, hey, die Leute da draußen sind alle dümmer als ein Stück Brot. Wir probieren das einfach nochmal und tun das TPM in die CPU. Damit es keiner merkt, nennen wir es "Boot Guard" und lassen das TPM daneben bestehen. Für die Plausible Deniability machen wir das "optional", und dann kriegt Lenovo den Gegenwind ab und nicht wir. Und wenn wir Glück haben, dann kommen so Spezialexperten wie Patrick Georgi und erkennen nicht nur nicht, dass Boot Guard ein TPM wie ursprünglich geplant ist, sondern bringen auch noch das Argument, dass das ja was anderes als "das TPM" sei, und versteigen sich dann auch noch zu der Ansage, dass TPM uns retten wird vor Boot Guard. Ach ja, ist das so? OK, zeig mal. Ich hab hier ein System, auf das habe ich coreboot geflasht, und es bootet nicht mehr. Zeig mir doch mal, wie TPM mich jetzt rettet, Patrick!
Warum reibe ich mich so an diesem einzelnen Verirrten? Weil der eigentlich auf unserer Seite kämpft! Das ist ein Coreboot-Entwickler! Ich will dem jetzt nicht unterstellen, ein NSA-Uboot zu sein. Aber vom Effekt seiner Aussagen her könnte er kaum mehr auf Seite der NSA kämpfen.
Liebe Nerds, so geht das nicht weiter. Schlimm genug, wenn die Politik keine Folgenabschätzung macht. Schlimm genug, wenn die Physiker Atombomben bauen, ohne zu wissen, ob deren Detonation am Ende unsere Atmosphäre verbrennen wird. Wenigstens wir müssen uns bei solchen Sachen langfristige Gedanken machen! Und nicht auf Geheimdienste und ihre Talking Points reinfallen!
Es reicht nicht, über die Politik zu meckern, wenn die unsere Freiheit auf dem Altar der Sicherheit opfern. Secure Boot ist genau das selbe in grün.
This problem was found by Richard van Eeden of Microsoft Vulnerability Research, who also provided the fix.
Apple baut eine Armbanduhr mit 2 ½ Stunden Akkulaufzeit. Wenn man sie nicht bedient. Sonst dann vermutlich weniger?
Update: Oh, falsch herum gelesen. Das ist bei "aktiver Benutzung". Sonst mehr. Na dann. m(
Also wenn man es so formuliert, …
Mein Punkt war auch nicht, da einige ausgewählte Antivirenhersteller an den Pranger zu stellen, sondern das als systemisches Problem der Antivirenindustrie darzustellen. Kaspersky, Symantec und F-Secure waren halt, wenn ich mich da richtig erinnere, die Firmen, die öffentliche Statements dazu abgegeben haben. Die AV-Industrie hat eine gut funktionierende Infrastruktur zum Austausch von Malware-Samples, daher kann man davon ausgehen, dass alle AV-Firmen ein Regin-Sample hatten. Das Geheimdienst-Statement kam von Fox IT.
Meine Argumentation, dass man den Schutz nicht privatwirtschaftlichen Unternehmen überlassen sollte, hatte auch eine Begründung, die wohl Platzproblemen zum Opfer fiel. Damit war nicht gemeint, dass ich die Bundesbehörden für sonderlich kompetent halte, die würden das am Ende wahrscheinlich an die Industrie outsourcen und es würden die selben Leute wie jetzt machen. Aber im Moment ist der Aufwand, den wir für die Verteidigung treiben können, dadurch gedeckelt, wieviel Geld wir für Antiviren ausgeben. Minus deren Profitmarge. Wenn der Staat das macht, kann man die Ausgaben dem Bedarf anpassen. Auch das ist eine eher optimistisch-naive Sicht auf die Dinge, das gebe ich zu. Aber mein Eindruck war, dass es bei solchen Zukunftsbetrachtungen auch eher um idealisierte Zukunftsvorstellungen geht.
Der spannene Teil beim Sony-Hack ist, wie Sony es geschafft hat, das von "oh wie peinlich, wir waren zu doof, ordentliche Passwörter zu vergeben" umgelenkt hat zu "OMGWTF DIE TERRORISTEN AUS NORDKOREA WERDEN UNS ALLE TÖTEN!!1". Und Obama ist natürlich sofort aufgesprungen, weil das vom CIA-Folterbericht abgelenkt hat. Ein Musterbeispiel für einen Bullshit-Geysir.
Rein rechnerisch hätte Nordkorea vermutlich gar nicht die Bandbreite, um da bei Sony die ganzen Daten rauszulutschen. :-) Und wenn sie sie hätten, wieso würden sie dann die anderen Filme raustragen und bei irgendwelchen Torrent-Sites hochladen? Dass irgendjemand auf diese völlig abwegige Theorie mit etwas anderem als Gelächter reagiert hat, finde ich nicht nachvollziehbar.
Hier schlagen auch gerade gehäuft Journalisten auf und fragen nach Regin, weil das angeblich im Kanzleramt entdeckt worden sein soll. Naja, äh, klar, warum sollte das Kanzleramt auch immun gegen Malware sein? Solange es Menschen gibt, die auf Dinge raufklicken, wird es eine Malware-Problematik geben.
Aus meiner Sicht ist der Punkt bei Malware, dass es hier zwei Märkte gibt. Auf der einen Seite schaffen die Geheimdienste einen Markt, weil sie für unbekannte offene Sicherheitslücken Geld ausgeben. Solange es diese Nachfrage gibt, wird auch ein Angebot entstehen. Auf der anderen Seite gibt es den Markt der Antiviren-Hersteller. Wir haben hier zwei Märkte mit Angebot und Nachfrage, die sich gegenseitig bedingen. Solange diese Konstellation besteht, wird das Malware-Problem sicher nicht weggehen. Wir müssen also gucken, dass wir diese Märkte beseitigen.
Die mir liebste Lösung wäre, wenn wir Malware international ächten könnten, und dafür sorgen könnten, dass Geheimdienste und Militär sie nicht kaufen. Das erscheint aber nicht sonderlich realistisch. Wenn wir die Nachfrage nicht wegkriegen, dann bleibt nur, das Angebot zu verknappen. Dafür müssten wir dafür sorgen, dass man in der Ausbildung zum Programmierer lernt, wie eine Sicherheitslücke aussieht und wie man sie vermeidet. Leider geht die Kohle der "digitalen Agenda" nicht in die Bildung sondern verstärkt das Problem sogar noch, indem es Malware-Käufern wie BKA und Verfassungsschutz mehr Mittel in die Hand gibt für ihr unmoralisches Tun.
Man könnte das Angebot noch verknappen, indem man dafür sorgt, dass Softwarehersteller für das Ausliefern von Software mit Sicherheitslücken Konsequenzen zu befürchten haben. Das ist im Moment leider nicht der Fall. Ganz lösen kann man das Problem durch Verknappung wahrscheinlich nicht, aber bei Microsoft kann man sehen, dass man so die Preise für 0day dramatisch in die Höhe treiben kann. Früher konnte man mit Windows-Bugs kein Geld verdienen, weil es zu viele davon gab. Heute kostet ein ordentlicher Remote Exploit siebenstellige Beträge. Das ist immer noch im Budget von Geheimdiensten, klar, aber das reduziert deren Munition deutlich. Wenn wir dann eine Lücke finden und schließen, dann tut das den Diensten richtig weh.
Es gibt da noch die Idee, das BSI 0day kaufen zu lassen, und die dann zu verbrennen. Das ist wahrscheinlich nicht die Lösung, weil das den Markt ja befeuert, statt ihn auszutrocknen, aber es wäre immerhin mal eine nicht völlig sinnlose Geldanlage. Besser als ein beklopptes Mautsystem zu bauen jedenfalls. Oder den Berliner Großflughafen.
Vorgeschichte: Microsoft streitet sich seit Jahren mit der US-Regierung darum, mehr Inder und Pakistanis und Europäer als Arbeitskräfte importieren zu dürfen. Das liegt gar nicht unbedingt daran, dass die Amerikaner mehr Kohle verdienen, sondern dass sich die Tech-Industrie einen beinharten Kampf um die paar verbleibenden Programmierer liefert. Microsoft hat extra im Silicon Valley einen fetten Komplex aufgemacht, um attraktiv für die Programmierer dort zu sein (eigentlich ist deren HQ in Washington State im Norden knapp vor der kanadischen Grenze), und in Washington State konkurrieren sie u.a. mit Amazon. Das US-Visum-System ist dabei allen Tech-Firmen massiv im Weg, und die haben immense Beträge in Lobbyisten gesteckt, um da was zu bessern, und es tat sich nie messbar was.
Jetzt kommt diese Meldung rein: Microsoft hat mit der kanadischen Regierung einen Deal ausgehandelt, dass sie da ein Trainingscenter in British Columbia aufmachen (das ist der Teil auf der anderen Seite der Grenze von Washington State aus), und dort ohne die üblichen Regeln ("Sie müssen erst mal nachweisen, dass keine Kanadier für die Position in Frage kommen") Leute einstellen dürfen. Das ist aus meiner Sicht also der große Stinkefinger an die US-Regierung. Schau her, Obama, wenn ihr uns hier nur im Weg rumsteht, dann können wir auch nach Kanada gehen.
Es würde mich nicht wundern, wenn jetzt Bewegung in das US-Visum-System käme. Denn jeder Arbeiter, der in Kanada und nicht in den USA wohnt, kostet den US-Fiskus tausende Dollars an potentiellen Steuereinnahmen.
"Imagine this scenario. Officers of the local Stadtpolizei investigating a suspected leak to the press descend on Deutsche Bank headquarters in Frankfurt, Germany," Microsoft said. "They serve a warrant to seize a bundle of private letters that a New York Times reporter is storing in a safe deposit box at a Deutsche Bank USA branch in Manhattan. The bank complies by ordering the New York branch manager to open the reporter's box with a master key, rummage through it, and fax the private letters to the Stadtpolizei."In a Monday legal filing with the 2nd US Circuit Court of Appeals, Microsoft added that the US government would be outraged.
"This case presents a digital version of the same scenario, but the shoe is on the other foot," the Redmond, Washington-based company said in its opening brief in a closely watched appeal.
Sie haben nicht "Gestapo" gesagt, aber es wird trotzdem sehr klar, was sie meinen :-)
Die schlechte Nachricht: Sie haben immer noch nicht gelernt, dass embrace+extend Scheiße ist und an der Kurve herumgetweaked.
Das Happy End: djb reißt ihnen auf der zuständigen IETF-Mailingliste ein paar neue Körperöffnungen. :-)
Multimedia betrifft euch nicht auf eurer Textkonsole? Na gut: Buffer Overflow in Mutt, im Header-Parser. Gefunden von Michal Zalewskis neuem Fuzzer. Der scheint überhaupt ziemlich cool zu sein, der Fuzzer. Kommt mit Compiler-Integration zur Maximierung der Abdeckung. Oh, Michal Zalewski arbeitet übrigens auch im Google Security Team.
Ich hatte mal angefangen, einen Artikel zu schreiben, der der Google-ist-böse-Hysterie ein paar Fakten entgegen stellt. Das fällt nämlich gar nicht so leicht, Googles Handeln von einer fiktiven Firma zu unterscheiden, die auf einem Goldesel sitzt und mit dem Geld tatsächlich Gutes tun will. Klar ist das Scheiße, dass der Goldesel darauf basiert, dass sie Daten einsammeln. Und klar ist das Scheiße, dass die Jurisdiktion mit den Daten die USA sind. Aber, mal unter uns, glaubt ihr wirklich, dass irgendeine andere Jurisdiktion anders wäre und da keine Begehrlichkeiten entwickeln würde?
Ich persönlich glaube nicht an wohlwollende Diktatoren. Aber vom Verhalten her kann ich Google wirklich nicht viele konkrete Dinge vorwerfen. Was Microsoft für die Industrie getan hat in Sachen Security, das tut Google jetzt für Open Source. Ich erinnere nur mal an die 1000 Bugs in ffmpeg, die die dem Projekt eingereicht haben.
Da bin ich ja mal gespannt, wie das wird, wenn Microsoft .NET nach Linux portiert. Wenn ich das richtig verstehe, soll das dann auch eine Zielplattform 1. Klasse innerhalb von Visual Studio werden. Das hätte das Potential, den ganzen herumgammelnden Open Source Initiativen mächtig Feuer unterm Hintern zu machen. Spannend!
Update: Ah, anscheinend will Microsoft ihr .NET mit Mono mergen.
Ich erwähne meinen beruflichen Kram hier normalerweise nicht, aber wenn der Chef von TwC meinen Namen tweetet, dann kann ich mal eine Ausnahme machen fand ich :-) Ein US-Kollege, der damals auch in Stunde 0 mit dabei war, hat diese Gedanken dazu gebloggt, denen ich mich nostalgisch anschließen möchte. Microsoft hat immer viel Häme gekriegt für ihre Softwarequalität, aber die haben unter dem Strich für sich und die ganze Industrie mehr geleistet als alle Regierungen zusammengenommen — selbst wenn man die Unsicherheitssteigerungsleistungen der Geheimdienste rausrechnet.
Die Security-Industrie hat insgesamt schon was bewegt in den letzten 10 Jahren, auch wenn sich das immer wie ein Kampf gegen Windmühlen anfühlt. Ein Gutteil des Hebels in großen Firmen kam daher, dass man sagen konnte, schaut her, selbst Microsoft hat es geschafft, dafür einen Prozess zu etablieren!
Nun kann man natürlich sagen, hey, Microsoft hat immer noch kritische Fehler in ihrem Code. Die müssen immer noch einmal im Monat Patch-Tag machen und da sind immer wieder furchtbare Dinge bei. Stimmt. Aber bei Microsoft wissen wir immerhin, dass sie selber nach Fehlern bei sich suchen und die aktiv auszumerzen versuchen. Bei anderen wissen wir, dass sie darauf warten, dass jemand von außen Fehler meldet, und dann fixen sie sie — vielleicht.
Verizon said (PDF) that a decision favoring the US would produce "dramatic conflict with foreign data protection laws." Apple and Cisco said (PDF) that the tech sector is put "at risk" of being sanctioned by foreign governments and that the US should seek cooperation with foreign nations via treaties, a position the US said was not practical.The Justice Department said that global jurisdiction is necessary in an age when "electronic communications are used extensively by criminals of all types in the United States and abroad, from fraudsters to hackers to drug dealers, in furtherance of violations of US law."
Die sagen offen an, dass sie sich weltweit für zuständig halten. Weil das Verbrechen ja auch international sei!1!! Bisschen viel Superheldenfilme geguckt, wie?
Die US-Regierung hat jetzt angesagt, dass Online-Speicher nicht unter das Fourth Amendment fallen. Das sei schlicht keine Durchsuchung oder Beschlagnahmung, wenn man die Daten kopiere.
Wie Harlow nun an ihre Mitarbeiter schreibt, werden auch Entwicklung und Produktion von Einfachhandys und Ashas ab sofort in einen "Wartungsmodus" geschaltet. Das heißt, es wird keine Neuentwicklungen mehr geben, bis Dienste und Support in anderthalb Jahren komplett eingestellt werden.Ich habe in meinem Leben 3 Mobiltelefone gehabt, alle von Nokia.
Seufz.
Update: Vergleiche: old and busted, new hotness.
Ich an Microsofts Stelle hätte da sofort gefixt, denn so sieht es nach "die NSA hat um noch ein paar Wochen Zeit gebeten" aus.
Update: Die Greenwald-Unterlagen sind ein ziemlicher Totalschaden für Microsoft, so ab Page 113 wird es richtig übel. Money Quote (Page 115):
MS, working with the FBI, developed a surveillance capability to deal with the new SSL.
Update: Da stand "ab 2002", so kam das bei mir rein, aber ich glaube eher 2012.
Update: Das Folienlayout, die gezeigten Geräte und die Firmennamen deuten doch irgendwie eher auf 2002 an. Mhh.
Unternehmen wie Microsoft oder Google, die Internetdienste anbieten, können die Herausgabe von E-Mails und anderen digitalen Infromationen nicht verweigern, wenn von US-Ermittlungsbehörden ein entsprechendes Ersuchen vorliegt. Das gilt auch, wenn die Server des datenspeichernden Unternehmens nicht in den USA, sondern im Ausland stehen
Founding backers of the Initiative include Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace, VMware and The Linux Foundation.Yeah!Update: Ich höre gerade aus gewöhnlich gut informierten Quellen, dass sich OpenBSD bei der Linux Foundation um diese Kohle bewirbt :-)
Ich erwähne das, weil das aus meiner Sicht der Grund ist, wieso dieser Code es bis in OpenSSL geschafft hat. Wenn jemand da den reinkommenden Code auditiert, guckt der nach den hochriskanten Bugs. Und nach der langläufigen Einschätzung, die so bei Entwicklern vertreten wird, ist out of bounds read halt viel weniger riskant als andere Bug-Klassen. Ich kann mir gut vorstellen, dass der Auditor einfach nicht nach der Art von Bug geguckt hat. Der hat memcpy gesehen, und hat dann kurz geprüft, dass vorher genug alloziert wurde und das keinen Buffer Overflow gibt, und dann hat der das durchgewunken.
Normalerweise ist es nur meine Aufgabe, Bugs zu finden. Ich bin nicht dafür zuständig, dass die auch gefixt werden. Aber trotzdem kriege ich natürlich regelmäßig mit, wenn die Entwickler dann Bugs schließen, weil sie das Risiko für zu gering halten. Wenn es mal organisatorische Zwänge gibt, dass Bugs gefixt werden müssen, beziehen die sich normalerweise nur auf "wichtige" Bugs wie Buffer Overflows. Und auch da kommt es häufiger vor, dass Entwickler sich weigern, sowas zu fixen, wenn man ihnen keinen Exploit zeigt.
Wenn ich meine Zeit damit verbringe, einen Exploit zu schreiben, finde ich aber keine Bugs in der Zeit. Daher wird das im Normalfall nicht passieren. Wenn Entwickler einen Exploit sehen wollen, geht es nicht um den Bug, sondern das ist der Versuch, den Bug loszuwerden, ohne ihn fixen zu müssen, indem der Gegenseite eine massive Bringschuld aufgebürdet wird. Schon der Einspruch des Entwicklers kostet ihn (mich sowieso) im Allgemeinen deutlich mehr Aufwand, als das Fixen des Bugs gekostet hätte.
Warum schreibe ich das hier alles? Weil ich darauf hinweisen möchte, dass das System im Moment kaputt ist. Die Perspektive von Entwicklern auf Bugs müsste sein: You file it, we fix it. Und zwar sofort. Keine Rückfragen, kein Gezeter, kein Prokrastinieren. Alle Bugs werden sofort gefixt. Wir reden ja hier von professionellen Entwicklern. Die kriegen Geld dafür, ordentlichen Code zu schreiben. Wenn es da einen Defekt gibt, wird der sofort gefixt. Fertig. Und zwar unabhängig davon, ob das jetzt ein Security-Problem ist oder "nur" Defense in Depth. Egal ob man das Szenario für realistisch hält oder nicht.
Einige Firmen haben das mit Incentive-Programmen herbeizuführen versucht. Sowas wie "es gibt Bonus, wenn man höchstens soundsoviele Bugs hat". Das führt leider dazu, dass einige Entwickler einfach alle einkommenden Bugs sofort als ungültig schließen, damit sie nicht in die Statistik gelangen. So einfach ist es halt nicht.
Und bei Open Source ist das natürlich noch mal schwieriger, Qualitätsstandards einzuhalten, wenn du niemandem damit drohen kannst, dass er gefeuert wird, wenn er sich nicht zusammenreißt.
Ein technisches Detail habe ich noch. OpenSSL hat seinen eigenen Allokator gebaut. Theo de Raadt (der Mann hinter OpenBSD) regt sich schön darüber auf, erwähnt aber nur die halbe Problematik. Eigentlich nur ein Viertel. Der Grund, wieso OpenSSL einen eigenen Allokator gebaut hat, ist — so vermute ich jedenfalls — OpenBSD. OpenBSD scheißt auf Performance und macht ihr malloc dafür richtig doll langsam. Auf der Plus-Seite segfaultet das dann sofort, wenn jemand was falsch macht. Kann man vertreten, aber dann sieht das halt in Benchmarks so aus, als sei OpenSSL furchtbar langsam. OpenSSL hatte jetzt zwei Möglichkeiten. Sie hätten mal ihren Code entkernen können, damit der nicht so viel malloc und free aufruft. Das wäre die gute Variante gewesen. OpenSSL hat aber lieber getrickst und sich einen eigenen Allokator gebaut und damit, wie Theo kritisiert, die Sicherheitsvorteile des OpenBSD-Allokators aufgegeben.
Die andere Hälfte der Medaille ist, dass der OpenSSL-Allokator vom System größere Blöcke Speicher anfordert, und dann innerhalb von denen selber fummelt. Das heißt aber, wenn ich jetzt 64k Speicher leaken kann, die aus einem dieser Blöcke kommen, dass da nur OpenSSL-Daten drin sind. Keine anderen Daten, die jemand anderes im Prozess alloziert hat. Das ist es, was diesen Bug so tödlich macht. Ihr habt vielleicht die Speicherdumps gesehen, die gerade so rumfliegen. Das ist der Grund, wieso da immer gleich so saftige Daten drinstehen wie unverschlüsselte HTTP-Dumps mit den Cookies und Passwörtern.
Update: Einen noch. Ich kriege hier gerade von einigen Leuten Flak, weil ich den Namen des Entwicklers gebloggt habe. Als ob der vorher nicht dran gestanden hätte an dem git-Checkout. Ist das legitim, den als Schuldigen zu nennen? Ich finde: Ja. Denn die Entwickler müssen endlich chirurgisch von der Idee befreit werden, dass Fehler halt unvermeidbar sind, und daher ist das nicht so wichtig, dass ich hier ordentlich arbeite. Es geht hier nicht um Shaming, sondern darum, dass alle sehen: Das hat ein Typ wie du und ich geschrieben, und hier hat ein anderer Typ wie du und ich das durchgewunken. Wenn die das falsch machen, muss ich vielleicht auch mein Verhalten ändern? Ja, müssen wir. Alle von uns.
Wir reden hier von einer der zentralen Sicherheits-Komponenten auf der Welt. Es ist völlig unakzeptabel, dass so ein Ranz-Code bei OpenSSL submitted wird. Es ist auch völlig unakzeptabel, dass OpenSSL das dann nicht merkt und diesen Ranz-Code eingecheckt hat. Und es ist völlig unakzeptabel, dass diese Tretmine da jetzt seit Jahren in der Codebasis herumgammelte, und es keiner gemerkt hat. Wir haben hier ein massives Prozess-Problem, und dem müssen wir uns stellen. Das hat mit Shaming nichts zu tun. Millionen von Menschen verlassen sich auf diese Software. Da checkt man nicht mal eben kurz was ein, wird schon gutgehen. Die Wartung von OpenSSL sollte mit einer ähnlichen Verantwortung verbunden sein wie das Warten von Flugzeugen oder Atomkraftwerken. Wir haben schlicht keine Entschuldigungen dafür, dass es soweit kommen konnte.
Natürlich konnte ich auch an dem T-Systems-Joke nicht vorbeigehen, das seht ihr sicher ein. :-)
Hey Okcupid, wisst ihr, wofür Brendan Eich noch verantwortlich ist? Der hat Javascript erfunden. Ihr solltet nicht andere zum Firefox-Boykott aufrufen, sondern ihr solltet bei euch selbst anfangen und eure Webseite von Javascript reinigen.
Oh, wollt ihr nicht? Na sowas.
Immer wenn ich dachte, mein Eindruck der Internet-Empöreria könnte nicht noch weiter sinken, passiert sowas.
Ist dieser Brendan Eich ein sympathischer Zeitgenosse? Angesichts dieser Prop8-Geschichte würde ich sagen: Sicher nicht. Aber wenn man vergleicht, wofür der verantwortlich zeichnet, und was sagen wir Google oder Microsoft so alles an Dreck am Stecken hat, …
Übrigens, am Rande: Bei US-Firmen gibt es häufig Donation-Programme. Da hat die Firma dann ein großzügiges Budget, und wenn ein Mitarbeiter an eine wohltätige Gruppe spendet, dann legt der Arbeitgeber nochmal so viel oben drauf. Wenn man also danach geht, wieviel Kohle von US-Firmen an widerliche NGOs geht, dann müssten die alle notgeschlachtet werden. Denn welche Firma hat denn bitte nicht einen einzigen Mitarbeiter, dessen Einstellungen zumindest partiell widerwärtig wären?
Übrigens: Das mit Javascript abschalten halte ich für eine gute Idee, völlig unabhängig davon, aus welchen Gründen man das tut.
Oh und noch einen: Vielleicht hat Brendon ja seit dem dazu gelernt und seine Meinung geändert? Und was geht Okcupid eigentlich an, welche Meinungen der Typ privat vertritt? Ein Kreuzritter oder Missionar scheint er ja nicht zu sein, im Gegensatz zu den Social Justice Warriors, die ihn jetzt zu kreuzigen versuchen.
Aber was schert das LG Berlin, was der EuGH entscheidet!
Und PrivateCore macht … RAM-Verschlüsselung. Nein, wirklich!
vCage validates the integrity of the hardware environmentGemeint ist hier Trusted Computing, TPM-Measuring.provides a hardened hypervisor based on KVMHardened und "based on KVM" in einem Satz? Oioioio!and secures server random access memory (RAM) with AES encryption.Wie soll das funktionieren? Na ganz einfach!This is done by loading a secure hypervisor into CPU cache and acting as a gateway to encrypt memory paging in and out between the CPU cache and RAM.Soso, paging! Zwischen CPU-Cache und RAM, ja? Paging?Ob deren Produktbeschreibung aus irgendeinem Nonsens-Paper-Generator rausgefallen ist?
Das wäre ja alles höchst unterhaltsam, wenn nicht die Marketing-Ansage wäre: Wenn ihr das macht, müsst ihr dem Cloud-Provider nicht mehr vertrauen! Eure Anwendung kann dann vertrauenswürdig laufen, auch wenn die Hardware, auf der sie läuft, nicht vertrauenswürdig ist! Überhaupt hat Intel eine Technologie namens TXT im Angebot, von der sie versprechen, dass man damit TPM-Attestation bis hinein in die Anwendung haben kann, die in der VM läuft.
Wenn ihr übrigens mal Rüdiger Weis beim Meckern über TPM zugehört habt, werdet ihr die Einsicht mitgenommen haben, dass TPM nicht dazu da ist, den Anwender zu schützen, sondern die Software von Microsoft vor dem Anwender. Rüdi malt dann immer das Bild an die Wand, dass das Booten von Linux verhindert werden soll. TPM selbst kann das nicht, der führt immer auch unvalidierten Code aus. Aber wenn der Code fragt, ob er validiert wurde, dann kann ihm TPM sagen, ob das Windows in einer vertrauenswürdigen Umgebung hochgekommen ist oder nicht. Und da kommt dann halt bei manipulierten System (z.B. zum Linux-Booten, wenn man keinen TPM-fähigen Bootloader nimmt) "falsch" zurück als Antwort. Dieses Detail war das Feigenblatt, hinter dem sich die Trusted-Computing-Leute vor Rüdi versteckt haben. Intel hat allerdings noch mehr in ihren Prozessoren drin, das über das TPM-Zeugs hinausgeht. Da kann im Prozessor auch hinterlegt werden, dass nur als vertrauenswürdig signierter Code zur Ausführung kommen soll. Das nennt sich dann Launch Control Policy. Wenn Rüdi das hört, kriegt er einen Schlaganfall.
Update: Krass, Privatecore macht sogar explizit Werbung, dass ihr Produkt Cloudserver vor der NSA schützt. Was für eine Frechheit!
So dürfen Facebook, Microsoft und Co. nun die Gesamtzahl aller Anfragen bezogen auf die nationale Sicherheit (National Security Letter und geheimgerichtliche Verfügungen) in Schritten von 250 veröffentlichen, statt wie bisher von 1000.Ein Meilenstein in der Transparenz staatlicher Stellen!1!!
Offensichtlich ging es den Internet-Firmen nicht um inhaltliche Dinge, sondern sie wollten nur mal zeigen, dass sie sich auch echt ganz doll gewehrt haben. Und sobald ihnen jemand eine Möhre hinhält, ziehen sie ihre Beschwerde zurück und ziehen den NSA-Karren weiter durch den Datensumpf.
Mit Alliierten wie diesen braucht man keine Feinde mehr.
Das war doch so apokalyptisch, dass sogar Ballmer den Hut nahm!?
Eine gewisse Bewunderung kann ich mir da nicht verkneifen. Die kommen auf einen Quartalsgewinn von 6,5 Milliarden Dollar. Gewinn! Heilige Scheiße.
Der für mich größte Lacher an der Sache ist, dass ausgerechnet apple.com ebenfalls für Kinder verboten ist, dabei sind die doch selber als puritanische Zensoren bekannt.
Eingangs konfrontierte er General Alexander mit der angeblich in der Bevölkerung umgehenden Befürchtung, die NSA schneide alle Telefongespräche der Amerikaner mit und schreibe alle ihre Emails ab. Dankbar gab der General Entwarnung!WHOA! Na ein Glück, dass wir das mal aufgeklärt haben! Ein Meilenstein des investigativen Journalismus. Und bizarrerweise hat CBS das tatsächlich als das zu verkaufen versucht. Eine ganz peinliche Sache.
Dass die Amerikaner im Gegensatz zu den Russen nicht Schach sondern Poker spielen, konnte man an dem FUD-Sähen zur Merkel-Frage gut beobachten. Keith Alexander hat das Merkel-Abschnorcheln kurz gefasst damit begründet, dass die Deutschen ja vermutlich auch das Weiße Haus abhören. Jedenfalls könnten die Deutschen diesen Verdacht nicht ausräumen, und man wisse ja, dass die Deutschen "große Geheimdienstkapazitäten haben und dass sie im Ausland Informationen sammeln — genau wie wir". Spätestens jetzt wäre der perfekte Moment, den BND endlich zuzumachen. Dann haben auch die Amerikaner keinen moralischen Vorwand mehr für ihr Tun.
Das Highlight für die Techniker unter uns war dann, als die investigativen Journalisten von CBS anfingen, chinesische Computersabotage anzuprangern. Die Aussage der NSA-Direktorin für Information Assurance Debora Plunkett (die ist vermutlich daran Schuld, dass Microsoft Secure Boot bei Windows 8 erfordert, das ist der zentrale Talking Point der Information Assurance-Leute aus der US-Regierung, und deren Zentrale ist die NSA) wird von CBS aufgesaugt wie Muttermilch. Die Chinesen hätten eine Super-Malware, die alle PCs "bricken" kann (d.h. so kaputt machen, dass sie nur noch als Briefbeschwerer nützlich sind). Wenn der Benutzer erst mal infiziert ist, muss er nur noch auf den Knopf drücken, der diese Wunder-Software startet, und dann macht die den PC kaputt! Das kann die ganze Wirtschaft der USA kaputtmachen!1!!
Um das mal ein bisschen abzukürzen: Die Frau hat Recht! Hier ist diese Super-Malware aus China!1!!
Der Punkt ist: Wenn der PC infiziert ist, ist er bereits kaputt. Den dann zu bricken ist keine Errungenschaft. Und wenn der Benutzer erst irgendwo draufklicken muss, dann senkt das die Gefährlichkeit der "Malware" unter die "müsste sich mal jemand kümmern"-Schranke. An der Stelle sei auch der Hinweis erlaubt, dass die "Antiviren"-Industrie auch regelmäßig fünf- bis sechsstellig viele PCs brickt, weil ihr Ranz irgendwelche inneren Organe von Windows als Malware "erkennt".
Schon die Idee, dass man mit sowas eine "Kettenreaktion" auslösen kann, um die US-Wirtschaft kaputtzumachen, ist grotesk. Wenn der PC gebrickt ist, kann er keine anderen mehr infizieren. Und wenn der User erst klicken muss, ergibt sich keine Kettenreaktion. Abgesehen davon: Wenn die US-Wirtschaft tot ist, wer kauft dann den Chinesen ihren Plunder ab? Dann implodiert doch deren Wirtschaft gleich mit! Aber soweit haben die "Journalisten" von CBS nicht gedacht.
Die Microsoft-Ankündigung, dass sie jetzt ihre internen Leitungen verschlüsseln wollen, beinhaltet diesen Satz:
Indeed, government snooping potentially now constitutes an “advanced persistent threat,” alongside sophisticated malware and cyber attacks.Mit anderen Worten: Die US-Regierung steht auf einem Niveau wie "die Russenmafia" und "die Chinesen". Sehr schön, dass das mal eine große Firma wie Microsoft so klar ansagt.
Update: Die Meldung hat es nach Deutschland geschafft. (Danke, Martin)
Microsoft habe ausdrücklich abgestritten, der NSA Zugriff auf ihren gesamten Datenbestand für die Massenauswertung zu gewährenAch, das ist jetzt der Goldstandard? "Hey, haben Sie diese Bank ausgeraubt?" "Nein." "OK, Freispruch!"
Täglich würden derartig viele Taschen und Koffer, die einfach vergessen worden waren, bei den Fundbüros der U-Bahn abgeben, dass es völlig sinnlos sei, dies als Alarmsituation für ein automatisiertes System zu definieren.Ja und warum machen wir es dann?
Die Frage, wer angesichts solcher Faktoren denn die Überwachungsspirale immer weiterdrehe, beantwortete Kreissl eindeutig: "Es sind die Hersteller des Equipments. Die Überwachungsindustrie hält die Politiker hier in Geiselhaft."Geiselhaft finde ich jetzt zu hart formuliert, denn die haben ja nichts, womit sie die Politiker erpressen können. Die nutzen halt den perfekten Sturm aus Inkompetenz, Ignoranz und kurzfristigem PR-Moment-Erheischen in der Politik aus.
Und als weiteren Höhepunkt zitieren sie einen Ex-Microsoft-Datenschutzfuzzy, der folgendes zu Protokoll gibt:
Die für schwere Datenschutzverstöße momentan im Entwurf vorgesehenen Höchststrafe von zwei Prozent des Umsatzes eines Großkonzerns müssten verzehnfacht werden, sagte Bowden. Die während seiner Zeit bei Microsoft von der EU verhängten Kartellstrafen im unteren Milliardenbereich habe man nämlich aus der Portokasse bezahlt. Die jahrelange Beibehaltung dieser inkriminierten Geschäftspraktiken sei einfach profitabler gewesen, weil sie das Strafmaß weit übertrafen, so der Experte abschließend.
- Currently available for major encryption software — Microsoft Bitlocker, FileVault, BestCrypt, TrueCrypt, etc.
- Currently implemented by major cloud storage provider to comply with NCMEC requirements
Und ein besonderes Schmankerl dann auf Seite 17, über den Zugriff auf Hintertüren im Auftrag von ausländischen Strafverfolgungsbehörden:
If a foreign LEA colleague requests backdoor access via your department, please ensure it is only for illegal pornography content, not:- content that has political or commercial interest
- content that are of personal interest
- content that can be used to prosecure a US citizen
Was die da genau für Hintertüren haben wollen, wird zu klären sein. Da die da diverse Themen zusammenwerfen, bin ich nicht überzeugt, dass die wissen, wovon sie reden. Das hat irgendein Sherriff-Office geschrieben, den Foliensatz.
Ich hatte ja bisher immer Nokia-Telefone und trauere daher der Zeit ein bisschen hinterher, als Nokia noch für Qualität und Zuverlässigkeit stand.
Wenn das stimmt mit dem wegfallenden Opt-Out, dann würde ich dem inhaltlich zustimmen.
Update: Mir sei noch kurz der Hinweis erlaubt, dass der CCC seit 2002 vor Trusted Computing warnt :-)
Update: Das BSI distanziert sich.
Update: Microsoft hat eine einstweilige Verfügung erwirkt, und die "Zeit" musste den Artikel runternehmen. (Danke, Stefan)
Bei so viel Nostalgie lässt sich auch Microsoft nicht lange lumpen und erinnert mit einer IPv6-Version des Ping of Death an diese Zeit. Wem wird da nicht ganz warm ums Herz!
Microsofts Vorschlag ist, auf allen WP8-Geräten und Access Points X.509-Zertifikate auszurollen. Na super!
Update: Das prinzipielle Problem ist nicht auf Microsoft oder CHAPv2 beschränkt. Dieses ganze automatisierte ins-WLAN-Einbuchen ist grundsätzlich risikobehaftet. Man kann das Risiko senken, indem man nicht das Passwort überträgt, sondern ein Challenge-Response-Verfahren nimmt, bei dem das Passwort nicht selbst über die Leitung geht, sondern nur Berechnungen auf Basis des Passworts. Damit kann ein mitlesender Dritter dann hoffentlich nichts anfangen, aber ein aktiver Angriff geht immer noch, bei dem sich jemand als AP ausgibt, während er selbst auch in Reichweite des richtigen AP ist, und dann die Fragen und Antworten durchreicht. Der einzige Schutz dagegen ist, wenn man vorausgetauschte Zertifikate hat und die auch prüft, und das ist, was Microsoft hier vorschlägt. Das ist natürlich besonders doof, wenn man da die Domain Credentials abgreifen kann.
Hier gehen gerade verzweifelte Mails ein, ob sich der Einsatz von PGP denn überhaupt lohne, wenn man davon ausgehen müsse, dass das Windows darunter Hintertüren hat. DAS IST GENAU DER PUNKT. Es gibt Alternativen. Das hat viel Schweiß und Mühe gekostet, die soweit zu bringen, dass man mit ihnen arbeiten kann. Muss man sich dabei etwas zurücknehmen gegenüber polierten kommerziellen Systemen? Kommt drauf an. Ich als Softwareentwickler empfinde eher Arbeiten unter Windows als zurücknehmen. Grafikdesigner werden das möglicherweise anders erleben.
Aber dass wir überhaupt eine Infrastruktur haben, in der die Dienste sich gezwungen sehen, bei Google und Microsoft die entschlüsselten Daten abzugreifen, weil wir internetweit Verschlüsselung ausgerollt haben, das ist ein großer Sieg. Klar ist das alles immer noch nicht befriedigend. Schöner wäre es, wenn das Internet eine Blümchenwiese wäre. Aber wir haben es geschafft, dass man, wenn man will, gänzlich ohne Software-Hintertüren arbeiten kann. Wie weit man dabei gehen will, hängt natürlich von jedem einzelnen ab. Aber zur Not kann man heutzutage auch sein BIOS als Open Source haben.
Natürlich können auch in Linux und OpenBIOS theoretisch Hintertüren sein. Das liegt an jedem von euch, sich da genug einzulesen, um seinen Teil mitzuhelfen, die Wahrscheinlichkeit dafür zu senken. Muss man dann natürlich auch tun. Die Software kann man zwar kostenlos runterladen, aber man zahlt dann eben auf andere Art. Indem man sich einbringt.
Kurz gesagt: Dass wir überhaupt ein Gegenmodell zu "alle setzen walled garden backdoored NSA-technologie ein" haben, das ist ein immenser Sieg, der in den 80er Jahren, als diese ganzen Geschichten hochblubberten, wie ein feuchter Fiebertraum wirkte. Wir haben immens viel geschafft. Es liegt an uns, das konsequent einzusetzen und konsequent weiterzuentwickeln. Und es ist eure verdammte Pflicht, nachfolgenden Generationen dieses Stückchen Hoffnung zu erhalten. Helft mit!
Update: Um das mal ganz klar zu sagen: Linux einsetzen und Verschlüsseln ist keine Lösung für alles. Per Trafficanalyse wissen die immer noch, wer wann mit wem geredet hat. Nur nicht mehr notwendigerweise worüber. Das sehen die nur, wenn einer der Gesprächsteilnehmer Hintertüren im System hatte oder das dann auch auf Facebook oder Twitter rausposaunt oder bloggt. Open Source ist ein Werkzeug, nicht die Lösung. Ihr müsst auch euer Verhalten entsprechend ändern.
Update: Oh, warte, stimmt gar nicht, Ebay hatte ja Skype gekauft! War also doch eine US-Firma.
Es fällt mir gerade nicht leicht, mir eine Situation auch nur vorzustellen, die so verkackt ist, dass ich als Chef von Google oder Microsoft zu Merkel gehen würde, weil alle anderen Optionen bereits fehlgeschlagen sind. Ach du meine Güte.
Na dann können wir ja mal gespannt sein, was da noch so für Leaks kommen.
Auch das ist alles seit Jahrzehnten bekannt oder wird laut gemunkelt. Wirklich wissen tut man sowas natürlich nur in den seltensten Fällen. Aber in der Praxis gehe ich zumindest im Umgang mit Software aus den USA immer davon aus, dass da alle möglichen Dienste mal reingeguckt und nach 0day gesucht haben. Bei freier Software weiß man wenigstens, dass auch andere mal reingeguckt haben :-)
Update: Auch 0days werden laut Artikel rausgerückt, aber das bringt den Diensten weniger als den Quellcode rauszurücken. Denn das ist halt nur die Lücke, nicht der Exploit, und wenn man das von Microsoft kriegt, dann weiß man ja auch, dass die gerade dabei sind, das zu fixen. Daher gibt es nur ein sehr begrenztes Zeitfenster, in dem das tatsächlich ein 0day ist. Diese Vorab-Info über Sicherheitslücken an Regierungen ist übrigens auch seit Jahren bekannt.
QuickTimeAvailable for: Windows 7, Vista, XP SP2 or later
Impact: Playing a maliciously crafted movie file may lead to an unexpected application termination or arbitrary code execution
Description: A buffer overflow existed in the handling of H.263 encoded movie files. This issue was addressed through improved bounds checking.
CVE-ID
CVE-2013-1016 : Tom Gallagher (Microsoft) & Paul Bates (Microsoft) working with HP's Zero Day Initiative
Hmm, bestimmt ein Copy+Paste-Fehler, denkt ihr euch vielleicht. Microsoft würde doch keine Sicherheitslücken an Apple weitergeben, die sie in deren Produkten finden?
Und dann findet man diese ZDI-Seite mit den "upcoming advisories". ZDI kauft Sicherheitslücken, gibt die dann an die Hersteller weiter, und bezahlt den Einreicher. Deren Geschäftsmodell ist, dass sie die auch weiterverkaufen, bevor die Hersteller die fixen. Und da sieht man dann z.B. das:
ZDI-CAN-1737 Apple CVSS: 6.8 2013-05-14 (27 days ago) 2013-11-10Und so wird dann ein Schuh draus. Dieser Tom Gallaghar arbeitet an der Security von Office. Und Office kann Quicktime einbetten. Und so ergibt sich plötzlich ein stimmiges Bild. Die werden da ihre Office-Dokumente gefuzzt haben, und da waren teilweise Quicktime-Objekte drin, die dann beim Parsen in die Luft flogen. Und dann haben die das halt an ZDI verkauft. Ich wundere mich nur, dass Microsoft das zulässt. Und dass die da nicht nur ihre Namen sondern auch "(Microsoft)" dranschreiben.Discovered by: Tom Gallagher (Microsoft) & Paul Bates (Microsoft)
The National Security Agency and the FBI are tapping directly into the central servers of nine leading U.S. Internet companies, extracting audio, video, photographs, e-mails, documents and connection logs that enable analysts to track a person’s movements and contacts over time.Und sie haben eine Liste der Teilnehmer:They are listed on a roster that bears their logos in order of entry into the program: “Microsoft, Yahoo, Google, Facebook, PalTalk, AOL, Skype, YouTube, Apple.” PalTalk, although much smaller, has hosted significant traffic during the Arab Spring and in the ongoing Syrian civil war.Dropbox , the cloud storage and synchronization service, is described as “coming soon.”
Senators are angry that tech giant Apple isn't paying its fair share.I'm not talking about taxes. This is about campaign contributions and lobbying fees.
Schöne Firma haben Sie da! Wäre ja zu schade, wenn der was zustöße!Es gibt da so ein schönes Zitat von Mark Twain, das es schön auf den Punkt bringt.
It could probably be shown by facts and figures that there is no distinctly native American criminal class except Congress.Apples Vergehen war nicht, dass sie wenig Steuern gezahlt haben, sondern dass sie zu wenig Schmiergeld gezahlt haben. Das gleiche Spiel haben die werten Herren Senatoren auch schon mal mit Microsoft gemacht. Da gab es auch längliche "kartellrechtliche Untersuchungen", damit Microsoft einsieht, dass das ernst gemeint ist. Microsoft hat dann ihre Lobbyausgaben hochgeschraubt, und dann gingen die Kartelluntersuchungen unverrichteter Dinge wieder weg.Auch Walmart und die Finanzbranche wurde so oder so ähnlich zum Schutzgeldzahlen animiert. Nur Apple bleibt beharrlich dabei, nur eine Million für Lobbying auszugeben im Jahre 2010.
Oh und wo wir gerade bei abschnorcheln und fadenscheinigen Security-Ausreden waren: Microsoft liest eure Skype-Konversationen mit und klickt auf übermittelte Links. Und als Ausrede faseln sie was von Schutz vor Spam, Betrug und Phishing.
Und solange wir Verbrecher mit solchen Ausreden durchkommen lassen, wird das alles immer nur noch schlimmer werden.
Und im Übrigen führen wir jetzt Code Signing ein. Ihr wisst schon, das was schon bei Microsoft nicht funktioniert hat. Das machen wir jetzt, nachdem die Kryptokalypse jedes Restvertrauen in CAs weggefegt hat. Post Diginotar. Money Quote:
Rizvi noted that the signing requirement will improve the security of Java users in a number of ways. For one, it will create some sense of accountability with Java code developers.Öh, … sense of accountability? BWAHAHAHAHA! Wartet, wird noch besser!"Malicious attackers will be required to purchase a code-signing certificate," he said. "Note that before issuing a code-signing certificate, certificate authorities generally perform certain checks to ensure the identity of the person applying for the certificates."Oho, aha, soso. Im Allgemeinen würde man denken, dass CAs Dinge prüfen, sagt er. Na dann ist ja alles gut. Immerhin ist Oracle da mehr als zurückhaltend und lässt nicht einfach jeden signen. Nur die CAs, die bei Java als vertrauenswürdig mitgeliefert sind. (Also in der Praxis… alle)Und haben sie auch Revocation Checking? Klar! *hust* Wenn der User es manuell angeschaltet hat!1!! Aber das wird dann im Juni Default. Warum erst im Juni? Äh, guck mal da hinten, ein dreiköpfiger Affe!
Aber das Hammer-Zitat überhaupt ist das hier:
"At Oracle, 'every developer is a security rifleman' and additional security expertise is also found with security-focused developers, architects and managers for the purpose of enforcing security policies and dealing with security-sensitive components," Rizvi said.Soso, "security riflemen". Na dann. m( (Danke, Aaron)
Update: Schlechte Nachrichten auch für Microsoft. Früher brauchte man Excel, heute nimmt man eine Android-App.
Die meisten wissen das nicht, aber habt ihr euch mal gefragt, wie Antiviren eigentlich Kernel-Malware desinfizieren? Die haben einen Kernel-Treiber, klar, aber den will man ja nicht jedesmal updaten müssen, wenn man eine neue Desinfektions-Methode einbaut. Daher haben die ganzen Schlangenöl-Lieferanten im Allgemeinen in ihrem Kernel-Treiber einen ioctl, der sie im Kernel-Space frei lesen und schreiben lässt. Die eigentliche Desinfektion findet dann per Peek und Poke aus dem Userspace statt. Dadurch werden dann natürlich elementare Grundsätze wie Code Signing für Treiber unterlaufen, und insgesamt die Sicherheit kaputtgemacht. Aber so funktionieren Antiviren. Fast alle. Soweit ich weiß alle, bis auf Windows Defender. Der hat sowas nicht.
Wenn man dieses Detail kennt, und sich dann überlegt, dass Firmen ihre Systeme zertifizieren lassen, wegen der Sicherheit, und dann die Sicherheitsversprechen wieder kaputtmachen, indem sie Schlangenöl mit Kernel-Poke-Funktionalität drüberinstallieren, dann sieht man, was für ein Wahnsinn das ist, was die Leute sich da alle installieren.
Tja, und jetzt ist auch der letzte Schlangenöllieferant umgefallen, Microsoft.
Vielleicht glaubt ihr mir jetzt endlich, wenn ich sage, dass Antiviren Systeme unsicherer machen statt sicherer.
Aber hey, der Zeitgeist geht hin zum Antivirus für Android.
In 2012, and in response to an order or warrant, we disclosed content in 2.2% of instances in which we disclosed some data to law enforcement.Da zeigt sich, was für eine Mogelnummer das Argument sei, bei der Vorratsdatenspeicherung ginge es ja "nur" um Bewegungsdaten, nicht um Inhalte. Wie ihr seht braucht man die Inhalte nicht nur gar nicht (das sagt der CCC ja seit Jahren), sondern die sind auch nur in seltenen Ausnahmefällen überhaupt am Inhalt interessiert, weil ihnen die Bewegungsdaten völlig reichen. Sie gehen auf der Veröffentlichungsseite auch ansonsten erfreulich ins Detail. Die auf der Hand liegende Frage ist natürlich, wie hoch Deutschland im Polizeistaaten-Ranking steht. Das hängt davon ab, wonach man geht. Rein nach Anzahl der reinkommenden Anfragen liegt Deutschland bei Microsofts Diensten nach der Türkei, den USA, England und Frankreich auf Platz 5. Bei Skype sind wir nach den Briten und den USA auf Platz 3. Um das mal ins Verhältnis zu setzen (die Skype-Zahlen jetzt): England 1268, USA 1154, Deutschland 688.Der geneigte Leser wird sich jetzt wundern, dass es überhaupt Anfragen aus Deutschland gibt, immerhin ist doch mit der Nicht-Abhörbarkeit von Skype die Einführung der Vorratsdatenspeicherung der Staatstrojaner begründet worden. Aber spannender als das finde ich, dass fiese, menschenrechtsverletztende, von unserer Presse regelmäßig kritisierte Diktaturen wie Weißrussland nur auf 5 Anfragen kommen.
Das fiese, kommunistische Unterdrückungsregime in China hat 6 Anfragen, aber der befreite, westliche Hort von Freiheit, Demokratie und Menschenrechten, Taiwan, hat 316.
Israel hat übrigens 10 Anfragen. ZEHN. Die haben ja nun wirklich ein Terrorismusproblem, und die brauchen nur 10 Anfragen. Deutschland braucht 688.
Oh und die undemokratischen Monster aus Russland? 2. ZWEI!
Ich für meinen Teil freue mich über diesen Report, weil er sehr schön zeigt, wieviel von unserer westlichen arroganten Gerechtigkeits- und Menschenrechtsrhetorik zu halten ist.
#include <string.h>
void foo(int x) {
char buf[10];
int i;
for (i=0; i<sizeof(buf); ++i)
buf[i]=x++;
memset(buf,0,sizeof(buf));
}
Die Funktion hat einen lokalen Puffer, buf, tut damit irgendwas (die sinnlose for-Schleife) und ruft dann memset auf. Das ist ein lokaler Puffer, der ist auf dem Stack und eh "weg", wenn die Funktion beendet wird. Insofern ist das gut, was gcc da macht. Und warum würde man überhaupt memset am Funktionsende machen, wenn der Buffer gleich weg ist!Nun, das kommt häufiger vor als ihr vielleicht denkt. Das macht man nämlich in Verschlüsselungs-Code, damit nicht Teile des Schlüssels irgendwo im Speicher rumgammeln, wo sie später gefunden werden können. Auch abgeleitete Daten will man so wegräumen. Das ist natürlich dann doof, wenn der Compiler das wegschmeißt.
Das Problem ist schon älter, der Microsoft-Compiler macht das schon länger so. Und weil das für Krypto-Code ein Problem ist, gibt es im Windows-API eine spezielle Funktion namens SecureZeroMemory, die am Ende auch nur memset macht, aber der Compiler weiß das nicht und optimiert es daher nicht weg.
Ich kompilier obige Funktion mal mit gcc 4.7.2:
$ gcc -O3 -c t.c $ objdump -dr t.o t.o: file format elf64-x86-64 Disassembly of section .text: 0000000000000000 <foo>: 0:f3 c3 repz retq $
Wie ihr seht ist von dem Körper der Funktion nichts übrig geblieben, weil natürlich auch die Schleife nur in einen Buffer schreibt, der dann nicht rausgereicht wird. Diese Optimierung nennt man Dead Store Elimination. clang/LLVM macht das schon länger. Der Intel-Compiler auch. Wenn ihr also Krypto-Code geschrieben habt, der memset benutzt, um Schlüssel wegzuräumen, und das war bisher kein Problem, weil ihr gcc benutzt habt: Jetzt ist das auch für euch ein Problem.
Diese Optimierung greift übrigens auch, wenn der Puffer nicht lokal auf dem Stack ist sondern per malloc vom Heap geholt und am Ende das memset vor dem free ist.
Typischer Anfängerfehler in Krypto-Code.
Vielleicht sollte ich noch sagen, was die Lösung ist: Eigenes memset haben, in eine Library tun (NICHT inline über ein Header-File!). Und nicht Link Time Optimization anschalten, sonst wird das doch wieder geinlined und fliegt möglicherweise insgesamt raus. Oooooder, wer ein bisschen das Abenteuer sucht, kann auch den gcc-Optimizer manuell davon überzeugen, das nicht wegzumachen. Dafür tut man hinter das memset folgende Zeile:
asm volatile("" : : : "memory");Langfristig vermutlich die solidere Lösung, tut aber nicht in clang (Bug, wenn ihr mich fragt; benutze aber auch den Subversion-Snapshot, nicht die Release-Version).Update: Lieber "asm volatile" als "asm". Sollte egal sein, ist es im Moment auch, aber ist vermutlich ein bisschen vorausschauender.
Update: Weil so viele Leute fragen, wieso man nicht den Puffer volatile deklariert: Das ist doof, weil es auch fast alle anderen Optimierungen ausschaltet. Wir reden hier von Krypto-Code, wo (allgemein gesprochen jetzt) jemand Monate investiert hat, um noch den letzten Taktzyklus rauszuoptimieren. Da will man den Optimierer schon grundsätzlich behalten.
Update: Hier empfiehlt gerade noch jemand das hier:
volatile size_t foo = (size_t)memset(buf,0,sizeof(buf));Das sieht gut aus, aber ich halte das eher für Glück. Der Compiler kann ja sehen, da das eine lokale Variable ist, und dass daher niemand von extern die Adresse haben kann (wenn man die nicht nimmt und irgendwas externes damit aufruft). Hab das aber jetzt nicht im Standard nachgeschlagen, ist nur Bauchgefühl.
Update: Habe einen Bug bei LLVM gefiled, und da hat jemand rausgefunden, dass dieses asm-Statement mit gcc und llvm funktioniert:
asm volatile("" : : "r"(&buf)" : "memory")Die Begründung ist, dass LLVM erkennt, dass das ganze Array nie benutzt wird, und es damit komplett entfernt, weil es "in Register gepasst hätte" (unabhängig davon, ob es tatsächlich in Register passt). Und tatsächlich, wenn man dafür sorgt, dass das tatsächlich im Speicher landet, dann wird auch ohne den Zusatz mit dem anderen asm-Statement ein memset ausgegeben. Insofern ist das kein Bug in LLVM sondern sogar ein Feature :-)
Facebook tut da Dinge, da kriegt man schlechte Träume von. Ich fasse mal kurz zusammen: Ihre App ist nach modernen Software-Engineering-Grundlagen entwickelt und enthält Tonnen von sinnlosen Wrapper-Methoden. Dalvik macht da irgendein Processing beim Laden der Apps, und benutzt dafür einen statischen Puffer, den die Facebook-App platzen lässt, weil sie zu viele Methoden hat. Also tun sie, was jeder an ihrer Stelle getan hätte!1!!
Instead, we needed to inject our secondary dex files directly into the system class loader. This isn't normally possible, but we examined the Android source code and used Java reflection to directly modify some of its internal structures. We were certainly glad and grateful that Android is open source — otherwise, this change wouldn't have been possible.*göbel*That's when we had the idea of using a JNI extension to replace the existing buffer with a larger one.Oh und wer glaubt, sowas sei ein Einzelfall… hier ist eine heitere Microsoft-Anekdote zu Adobe und Wordperfect. (Danke, Tobias)
Update: Kein Hash, UUIDs. Die 4 am Anfang des 3. Elements deutet daraufhin.
Die wahrscheinlichste Theorie bisher ist, dass Bing damit testen will, wie stark ihr Twitter-Feed gerade gethrottled wird.
That’s according to a new report produced for the European Parliament, which has warned that a U.S. spy law renewed late last year authorizes “purely political surveillance on foreigners' data” if it is stored using U.S. cloud services like those provided by Google, Microsoft and Facebook.Sagen wir seit Jahren, und hören seit Jahren immer die gleichen Ausflüchte. Was tatsächlich passieren müsste, ist dass die EU den USA die Safe Harbor Privilegien entzieht.Übrigens, Lacher am Rande, falls das jemand noch nicht gehört hat: Die Bundesregierung ist auch besorgt, und will daher für ihre eigenen Daten eine "sichere Bundes-Cloud" bauen. T-Systems sitzt am Tisch. Keine weiteren Fragen.
Der Rest beschreibt ein "Double Irish Dutch Sandwich", und das funktioniert so:
Dann macht Googles Irland-Tochter eine Tantiemen-Zahlung an eine andere Google-Tochter in Holland, die an eine zweite Google-Tochter-Holding in Irland zurücküberwiesen wird.
Ich persönlich finde es ja unfair, dass die sich so auf Google kaprizieren. Google ist ja nur eine Firma, die das so macht, und nicht mal die erste. Apple, Facebook, Microsoft, Oracle und Adobe haben auch sowas und Apple waren wohl die ersten. Und wer sich die Dokumentation "The Corporation" angeschaut hat, der wird verstehen, dass die Aktiengesellschaften das machen müssen, sobald sie davon hören, dass sowas geht. Es gab da mal den Präzedenzfall von Henry Ford, der seinen Arbeitern faire Löhne zahlen wollte, und der wurde dann gerichtlich gezwungen, dass er seine Firma auf Profitmaximierung ausrichtet und nicht auf das Gemeinwohl.
Update: Frankreich hat auch angesagt, dass sie das nicht länger dulden wollen. Im Grunde gibt es ja auch keinen Grund dafür, wieso irgendein Land solche Schweinereien dulden sollte. Gestern kam so eine Zahl an mir vorbei, dass das Verhältnis zwischen per Steuerhinterziehung verloren gegangener Kohle und zwischen Sozialbetrug verloren gegangener Kohle 1400 zu 1 ist. Aber Sozialbetrug ist in aller Munde, während keiner über Steuerbetrug redet. Und das hier fällt ja noch nicht mal unter Steuerbetrug, das ist ja auch noch völlig legal!
Habt ihr auch gehört, dass sie sich zur Begründung auf ein Gutachten beziehen, das von dem Aufsichtsratvorsitzenden eines zertifizierten Microsoft-Partners gemacht wurde? Und dass die SPD ihre Entscheidung mit Beiträgen aus dem Heise-Forum begründet hat?
Kann man sich gar nicht ausdenken, sowas. (Danke, Björn)
Oh und sie gehen den Weg, mit dem schon Gnome und KDE ihre Userbasis lobotomiert haben: die ganzen Einstellungen verstecken oder ganz verschwinden lassen, verwirrt doch nur. Die Empfehlung am Ende ist: auf dem Desktop Finger weg, und auf dem Tablet lieber auf Windows 9 warten.
Und ihr habt Recht. Ars Technica hat ein Expose über "Orca", das Wahlkampfverwaltungssystem von Mitt Romney.
Instead, volunteers couldn't get the system to work from the field in many states—in some cases because they had been given the wrong login information. The system crashed repeatedly. At one point, the network connection to the Romney campaign's headquarters went down because Internet provider Comcast reportedly thought the traffic was caused by a denial of service attack.Weil so eine Wahl ja immer wieder plötzlich und überraschend kommt, und ja bis zuletzt auch der Gegner noch nicht feststand, haben sie erst nach den Republican Primaries mit der Entwicklung angefangen, und dann halt einen Rush Job abgeliefert. Die Entwicklung wurde angeblich von Microsoft und einer ungenannten Consulting-Bude durchgeführt. Sie hatten 11 (Ars vermutet: virtualisierte) Backend-Server und einen Web-Frontend-Server und einen Application Server. Und die waren dann wohl auch Single Point of Failure und mehr down als verfügbar.Und nicht zu vergessen: wir haben es hier mit Republikanern zu tun, nicht die hellsten Leuchten. Da waren Leute damit überfordert, dass sie ihre Zugangsdaten bei einem Romney "Victory Center" hätten abholen sollen, oder haben die URL ohne das https eingegeben und dann nur eine leere Seite gekriegt. Dann funktionierten diverse Passwörter nicht und der Reset funktionierte auch nicht. Es gab ein Telefon-Backup-System, falls das Web nicht geht, aber dafür haben sie die falschen Login-IDs verteilt.
"I tried to login to the field website," Dittuobo told me, "but none of the user names and passwords worked, though the person next to me could get in. We had zero access to Iowa, Colorado, North Carolina, and Pennsylvania. Seems like the only state that was working was Florida."Gut, hat auch in Florida nichts genützt, aber hey. (Danke, Florian)
So habe Microsoft in Deutschland ohne Kommentar Bestellungen storniert, meldeten mehrere Käufer unter anderem auf Twitter. Ein Leser von heise online berichtete, die deutsche Microsoft-Hotline hätte als Grund einen Systemfehler genannt und vorgeschlagen, eine erneute Bestellung aufzugeben.m(
Naja, bedauerliches Missverständnis, denkt sich jetzt der eine oder andere. Der wird schon wissen, was er tut. Der kann bestimmt gut mit normalen Bürgern kommunizieren, wenn er schon nicht seriös aussieht, dann tritt er vielleicht seriös auf. Hier ist sein Twitter-Avatar. Noch Fragen, Kientzle? Nein, Hauser.
Update: Nur der Vollständigkeit halber sei die Frage in den Raum gestellt, ob jemandem eine andere Erklärung als Sexismus einfällt.
Update: Ach Kinders, es geht doch nicht darum, welche bizarren Hobbies der hat. Von mir aus kann der tote Schildkröten sammeln. Der Punkt ist: der hat eine öffentlich einsehbare Facebook-Seite unter seinem echten Namen, in der er persönliche Informationen inklusive Bilder von sich hochgeladen hat. Das ist "ich hab keine Ahnung, was diese ganzen Knöpfe hier bedeuten" und nicht souveräner Umgang mit Technik und Datenschutz. Das ist unmündiges Konsumententum statt Technikfolgenabschätzung und bedachter Umgang mit IT-Systemen. Das, kurz gesagt, ist Internet-Ausdruckerei. Das ist FDP, nicht Piraten.
Die ersten fragen sich, ob ich bei Anke nicht genau so gemeckert hätte, immerhin hat die ja als Lobbyistin für Microsoft gearbeitet. Werden wir jetzt wohl nie herausfinden. Aber was sagt uns denn das über die Piraten, wenn man die Wahl zwischen Lobbyisten und Pony-Avataren hat? Und die Lobbyisten die besser Wahl sind?
Überhaupt, "von oben nach unten" für zumachen, voll einleuchtend. Man zieht die App zum Dock. Äh, da wo bei Apple das Dock ist. Windows 8 hat kein Dock. Da war wohl der Aufseher der Azubis gerade pinkeln.
Oder der subtile Unterschied zwischen "Schlenker von links" für "Apps nebeneinander" und "Kreis von links" für "Task-Übersicht". Ich kann mir die gute Laune bildlich vorstellen, die sich da in der Praxis einstellen wird.
Schade nur, dass die Notebooks jetzt teurer werden, weil die Deppen alle Tablets kaufen. Die Deppen mit ihrem Java-Flash-Monsterbloat-Speicherbedarf haben uns seit Jahren teure Hardware erschwinglich gehalten. Die Zeiten sind dann wohl vorbei, jetzt geht es ja eh niemandem mehr ums Arbeiten, das ist nur noch Statussymbol/Lifestyle-Bullshit, so ein Tablet. Wie mir neulich jemand erklärte: ein Alphawellen-Gerät wie der Fernseher. Zum Rezipieren, nicht zum Kommunizieren oder Nachdenken.
Aber das ist noch nicht der Hammer an der Meldung. Der Hammer ist, dass Google innerhalb von 10 Stunden (!) eine gefixte Version von Chrome in ihrem Autoupdater verfügbar hatte.
Zum Vergleich: Oracle sitzt schon mal Jahre auf Sicherheitslücken, Apple, Microsoft und Adobe Monate. Da kann sich der Rest der Industrie mal eine Scheibe von abschneiden.
Researchers are purposefully placing bugs in open source software during the development stages, so that when code appears in completed products, those same researchers can highlight the flaws and profit from them where companies are willing to pay, Anderson has told TechWeekEurope. He claimed to know of several projects where this has happened, but declined to name names.Mit "companies" sind hier die 0-day-Buden gemeint, über die wir uns auch in Alternativlos 25 unterhalten hatten. Ross Anderson ist ein britischer Professor und einer der coolsten Leute, die es auf dieser Welt gibt. Wer das nach der Lektüre seines großartigen Buches "Security Engineering" nicht auch findet, für den habe ich noch eine kleine Anekdote.Das Bundesinnenministerium hatte eine Tagung organisiert, bei der es um Trusted Computing gehen sollte, Palladium war damals das Stichwort, und die Experten warnten vor Orwellschen Zuständen und erinnerten an die Vorgängertechnologie, bei der jede Intel-CPU eine eindeutige Seriennummer haben sollte, die per Software abfragbar ist. Das hatte ein öffentlicher Aufschrei verhindert, und das war der Präzedenzfall für Palladium, was im Wesentlichen eine Microsoft-Initiative war. Microsoft sah schlicht, dass sie den Kampf gegen Viren und Würmer verloren haben, solange man ihre Lösung Code Signing per Manipulation der Boot-Chain umgehen kann, wofür damals Software öffentlich vorgeführt worden war. Also musste das Code Signing früher ansetzen, schon im BIOS, und das Konzept dafür hieß Palladium. Das Innenministerium war besorgt und lud zu dieser Veranstaltung ein.
Als Experten waren u.a. ein Pressefuzzy von Microsoft geladen, und Ross Anderson, und vom CCC war auch jemand dabei, so kam ich als Kofferträger in die Veranstaltung rein. Der Pressefuzzy von Microsoft hielt zuerst seine Präsentation, wo er mit Powerpoint ein Multimedia-Desaster an die Wand projizierte, so mit animierten kleinen Viren, wie in der alten Zahnpastawerbung, die dann am Rechner hochkletterten, es war grotesk. Und danach war Ross Anderson dran. Der Projektor wurde ausgeschaltet. Jemand trug einen OH-Projektor rein. Ross Anderson legte handgemalte Folien auf. Handgemalt! Mit farbigen Filzstiften! Verschiedene Textpassagen mit anderen Farben, je nach Wichtigkeit. Das war so ein Kontrastprogramm, dass das Publikum erstmal ihren Kulturschock überwinden musste. Aber niemand sagte was, und Ross zog das mit einer professoralen Coolness ab, die ich so noch nie irgendwo anders gesehen habe. Der Mann rockt einfach.
Oh und man muss wissen, dass er an der Cambridge University eine Abteilung für Sicherheitsforschung aufgebaut hat, die seit Jahren die Bankindustrie geradezu vorführen, weil sie nacheinander alle Generationen von Chip&Pin-Karten und zwischendurch einige Hardware-Kryptomodule zerlegt haben. Von der Gruppe kommen auch häufig Hacker und tragen auf dem CCC-Congress vor. Gute Leute, diese Gruppe.
Ironischerweise kam es zu diesem Clusterfuck, weil das Rechenzentrum mit Wasserkraft-Strom betrieben wird, und Microsoft versprochen hat, auf Energieeffizienz zu achten. Das hat offensichtlich besser geklappt als sie vermutet hatten. Oder vielleicht verkauft sich der MS Cloud Service nicht so gut, wer weiß. (Danke, Ulrich)
Naja, gibt ja noch AMD, deren Atom-Konkurrenz ist eh besser. Und was tut AMD? AMDs nächste Atom-Killer-Generation wird auch nur Windows 8 unterstützen. Was zur Hölle?!? Immerhin klingt es bei AMD nicht so, als wollten sie absichtlich Hürden gegen Linux aufbauen. Aber trotzdem.
Update: Ich habe mal testweise Alternativlos 26 damit encoded, und selbst wenn ich auf 32 kbit runtergehe (insgesamt, nicht pro Kanal!), klingt das noch gut. Bei der Intromusik hört man es, aber die Sprache klingt noch beeindruckend gut. Das ist halbe ISDN-Bandbreite! Dieser Codec ist mehr als beeindruckend. Kurze Tests haben ergeben, dass das mit Firefox 15 sogar schon im Browser abspielt. Hier als Größenvergleich:
-rw-r--r-- 1 archive users 1076210418 Aug 17 17:51 alternativlos-26.flacDie MPEG-Mafia wird neue Seniorenwindeln brauchen, wenn sie das sehen. Gut, die haben bei Videocodecs noch alles fest im Griff. Aber auch VP8 (webm) habe ich kürzlich mal reevaluiert in der aktuellen Development-Snapshot-Version, und das kann qualitativ mit x264 (nicht nur H.264, sogar mit dem besten Encoder x264!) halbwegs mithalten bei üblichen Bandbreiten. Leider dauert das Encoden mehr als doppelt so lange wie bei x264, damit fällt das in der Praxis durch. Aber die Vision von Audio und Video im Browser mit freien Codecs erscheint plötzlich greifbarer als je zuvor.
-rw-r--r-- 1 archive users 91987708 Aug 17 18:26 alternativlos-26.mp3
-rw-r--r-- 1 archive users 74306960 Aug 17 18:27 alternativlos-26.ogg
-rw-r--r-- 1 archive users 41800004 Sep 12 02:31 alternativlos-26.opus
-rw-r--r-- 1 archive users 34078864 Sep 12 02:54 32kbit.opus
Microsofts Dementi spricht Bände:
"We can confirm that we are not building a historical database of program and user IP data," a spokesperson told El Reg. "Like all online services, IP addresses are necessary to connect to our service, but we periodically delete them from our logs. As our privacy statements indicate, we take steps to protect our users’ privacy on the backend. We don’t use this data to identify, contact or target advertising to our users and we don’t share it with third parties."Nirgendwo bestreiten sie, dass sie die Daten kriegen. Den Rest sollen wir dann halt glauben.
Technisch gesehen ist "do not track" eh ein Totalschaden. Die Idee ist, dass der Browser einen Header mitschickt, dass der User bitte gerne nicht getrackt werden will. Und die Werbeindustrie soll sich dann dran halten. Äh, klar. Das wird bestimmt genau so gut funktionieren wie wenn man in Afrika mit einem "do not eat"-Schild durch ein Löwenreservat wandert. Die einzige Möglichkeit, wie das funktionieren kann, ist wenn da genug Publicity entsteht, und Druck auf die Werbeindustrie ausgeübt wird. Insofern ist das nicht völlig doof von Microsoft jetzt, weil sie jetzt wie die Guten dastehen und die Werbeindustrie wie die widerlichen Schmarotzer, die sie sind. Eine ganze Branche, deren Daseinszweck es ist, anderen Leuten das Leben unangenehmer zu machen. Ähnlich schlimm wie Marktforscher und die GEMA.
Lasst EFI in Frieden. PCs sind keine Geldautomaten, die sollen nicht sicher sein. Sicher heißt Zwangsjacke für den Anwender und gerade in diesem Fall reden wir ja von Apple, die zwar in Sachen Sicherheit Jahre hinterherhinken, aber dann Handschellen für den Anwender als Sicherheitsmaßnahme verkaufen und man sein Telefon nur in Betrieb nehmen kann, wenn man Itunes installiert. Apps? Nur aus dem Apple Store. Wegen der Sicherheit!1!!
NICHTS von dieser ganzen Scheiße kommt dem Benutzer zu Gute. Das ist alles nur Gängelei von dem nur einer profitiert: Apple.
Es ist schlimm genug, dass wir seit Jahren nicht in der Lage sind, sichere oder vertrauenswürdige Software zu produzieren. Aber damit jetzt Guantanamo-Technologien auf allen Endgeräten zu etablieren, dass wir DAS zulassen, das ist eine Schande sondergleichen. Und am Ende wird es wieder keiner gemerkt haben. Ach was hätten wir den tun sollen, keine Apple-Geräte kaufen? Das wäre in der Tat mal ein Anfang! Solange Hersteller wie Apple für sowas noch mit Rekordprofiten belohnt werden, wird das nie aufhören.
Dieser UEFI-Codesigning-Bullshit ist übrigens genau die Technologie, mit der auch Microsoft Windows 8 zunageln will. Aus Sicherheitsgründen, wissenschon. Microsoft kriegt dafür zu Recht auf die Fresse. Apple wird für den gleichen Mist noch gefeiert.
Oh und dass der Typ in dieser Meldung ausgerechnet Thunderbolt nimmt ist nochmal ein zusätzlicher Gähner, weil Thunderbolt auch ganz ohne Backdoor den DMA-Zugriff von außen auf dem Hauptspeicher erlaubt. Den Teil benutzt er aber gar nicht. Weil, äh, … keine Ahnung warum nicht, denn das ist inhaltlich genau so "überraschend" wie dass man EFI-Backdoors machen kann. Wie wäre es als nächstes mit der krassen Einsicht, dass wenn jemand deinen Laptop klaut, er deine Festplatte auslesen kann!1!! Oder dass man per Internet Daten übertragen kann!
Nun, nehmen wir mal an, Microsoft will euch ein Update schicken. Das hat dann eine digitale Signatur dran. Microsoft unterschreibt das Update, damit der installierende Rechner sicher sein kann, dass ihm da keiner ein Kuckucksei unterschiebt.
Wenn man jetzt eine normale Zertifikats-Validierung macht, dann prüfen die Routinen, dass das Zertifikat von jemandem vertrauenswürdigen kommt. Ich hatte das Problem mit den vertrauenswürdigen CAs hier schon mal thematisiert. In der Liste der vertrauenswürdigen CAs stehen alle möglichen Firmen drin, denen Microsoft natürlich nicht einräumen will, dass sie ihre Updates signieren. Also machen sie noch mehr als bloß das Zertifikat zu validieren — sie prüfen, dass die Root-CA am Ende der Kette Microsoft ist.
Das klingt gut und hat auch immer schön funktioniert — bis heute, wo plötzlich ein Zertifikat auf die Schwarze Liste gesetzt wird, das eine Microsoft-Signatur trägt.
Hier ist, wie es dazu kommen konnte:
What we found is that certificates issued by our Terminal Services licensing certification authority, which are intended to only be used for license server verification, could also be used to sign code as Microsoft. Specifically, when an enterprise customer requests a Terminal Services activation license, the certificate issued by Microsoft in response to the request allows code signing without accessing Microsoft’s internal PKI infrastructure.Das heißt, dass es möglich war, dass jemand von außen eine digitale Signatur erstellen konnte, die zu der Microsoft-Root-CA hoch verkettet ist. Mit so einer Signatur hätte man womöglich automatisiert bösartige Updates verschicken können. Ich kann gar nicht genug betonen, was das für ein Totalschaden ist.Wenn man ein Stück Code lädt, und Windows zeigt einem den "willst du das ausführen"-Dialog, hat der eine beruhigendere Farbe, wenn das "von Microsoft" signiert ist.
Ich würde mal vermuten, dass man auch diverse interne Dienste von Microsoft so nachahmen könnte, vielleicht Crash Reporting oder Antimalware-Selbstaktualisierung, wer weiß wie das alles funktioniert. Und solange die kryptographisch prüfen, dass sie "mit Microsoft" reden, wer weiß wie ordentlich die die Protokolle abgesichert haben.
Die Lektion an der Stelle muss sein, dass man auch bei ordentlicher Krypto-Absicherung trotzdem alle Protokolle richtig sichert. Und natürlich dass man in Zukunft besser aufpasst beim Aushändigen von Zertifikaten :-)
Update: Mikko Hypponen kommentiert:
Microsoft CA is the most whitelisted CA in the world. Forging a Microsoft code signing certificate is the holy grail of malware writers.
und:
This is huge. Using Windows Update itself as an infection vector has always been something we've been scared about.
nachdem jemand schrieb, Flame habe ein Man-in-the-Middle-Modul für Windows Update gehabt.
Update: Mir mailt gerade jemand, dass man den Patch nur nach bestandener Genuine Advantage-Prüfung ausführen kann. Was zur Hölle haben die denn da schon wieder verkackt. War die Ansage nicht mal, dass nur nichtessentielle Updates ohne Genuine Advantage blockiert werden? Oh und er schrieb auch, dass das Datum unter der Signatur von dem Patch der letzte Donnerstag ist, d.h. da saßen sie auch schon wieder eine halbe Woche drauf. Seufz.
Update: Ich wurde gerade darauf hingewiesen, dass hier ein wichtiger Satz fehlt.
Sprecht mir also nach: Code Signing ist Snake Oil :-)
“generating meeting requests” from a mobile device.Ich frage mich ja, was noch passieren muss, bis unsere Gesellschaft diese ganze Patentscheiße generell abschafft. Wie viel Schaden muss noch passieren, wenn sich Google, Apple, Microsoft und Samsung gegenseitig mit ihren Junk-Patenten bekriegen?Als Lacher am Rande sei noch erwähnt, dass Microsoft mit neun Patenten angriff und der Richter nur eines davon für überhaupt betroffen hielt. Das ist alles so eine Farce!
Naja, jedenfalls ist das jetzt nicht so schlimm wie es klingt, weil Motorola eine US-Firma ist und ein US-Gericht verfügt hat, dass sie das in Europa nicht durchsetzen, bis besagtes US-Gericht die Sache gehört hat. Was für eine Farce das doch alles ist.
Wieso sollten wir Europäer noch gleich unser Patentsystem mit diesen Trollen und Piraten in den USA harmonisieren? Hat da jemals jemand einen validen Grund genannt? Einen Vorteil, den wir davon haben?
Die müssen ja nervös sein, wenn sie sowas nötig haben.
A Remote Direct Memory Access Protocol SpecificationDas Ende ist nahe, liebe Freunde. Da muss man nicht religiös sein, um da apokalyptische Visionen zu kriegen!
Money Quote:
The Remote Direct Memory Access Protocol (RDMAP) enables removal ofWir sind alle so gut wie tot. Ich bin ja immer froh, wenn die Leute sich neue Dinge ausdenken, die mir meinen Job in der IT-Security auf Jahrzehnte hinaus sichern, aber … remote direct memory access?! HALLO?!?
data copy operations and enables reduction in latencies by allowing a
local application to read or write data on a remote computer's memory
with minimal demands on memory bus bandwidth and CPU processing
overhead, while preserving memory protection semantics.
Wer sich jetzt denkt, ach naja, who cares, das wird schon niemand implementieren… das RFC kommt von IBM und HP. Und Microsoft ist bei sowas natürlich auch nicht weiter: SMBDirect - SMB2 über RDMA.
Gut, das ist jetzt nicht völlig offensichtlich für die Tonne designed, so schlimm wie Apple mit Firewire hat vorher niemand verkackt und wird auch nachher nie wieder jemand verkacken. Aber die bloße Idee, dass man ein Remote Direct Memory Access entwickelt, das ist ja schonmal ein Horrorfilm vom Feinsten. What Could Possibly Go Wrong?
Haha, ein Kumpel meint gerade, sie hätten das Microsoft Direct Memory Access nennen sollen, dann wäre wenigstens kein Zweifel übrig, wie sie darauf gekommen sind, wenn man sich die Abkürzung anguckt.
Update: Stellt sich raus: Linux supported auch RDMA, sogar NFS über RDMA. Das ist für Hochparallelrechner gedacht, erklärt mir gerade ein Physiker, der Plasmasimulationen der Sonnenatmosphäre macht, nicht für "über das Internet". Das habe ich mir auch gedacht, als ich das sah. Ein besseres Gefühl gibt mir das trotzdem nicht.
Diese Schaltjahre immer, wie die sich hinterhältig anschleichen! DAMIT konnte ja wohl NIEMAND rechnen!1!! (Danke, Pascal)
Nun, heute habe ich ein Leckerli für euch. Mir hat ein Mäuschen das hier zugespielt:
Es handelt sich um einen Mitschnitt eines Treffens in der Europäischen Kommission. Vorsicht: das ist sehr lang.
Die Arbeitsgruppe, die sich da trifft, nennt sich "Koalition der Willigen" (nein, wirklich).
Bei dem Treffen verhandeln die, wie sie am besten anstößiges Material aus dem Internet entfernen wollen.
Am Anfang, so ca ab Minute 8, geht es mit einer Nintendo-Frau los, die vorschlägt, eine Whiteliste aller guten europäischen Webseiten zu machen. Bei ca. 1:00:10 fängt dann ein Polizeivertreter (?) an, von Microsoft zu fordern, sie sollen doch mal per Windows Update einen Trojaner verteilen, der auf den Rechnern nach "kriminellen Inhalten" sucht.
Ich habe selber gerade nicht die Zeit, mir das in Ruhe anzuhören, und 2 Stunden sind auch zu lange, aber als Originalquelle ist das sicher wichtig, dass das im Netz steht. Vielen Dank an das Mäuschen, das mir das geschickt hat (übrigens mit dem Hinweis, dass diese Veranstaltungen prinzipiell für die Öffentlichkeit besuchbar sind, nur macht das halt im Allgemeinen keiner).
Ich würde mir jetzt wünschen, dass da jemand die Highlights rausdestilliert und daraus ein 3-Minuten-Youtube-Video macht, vielleicht mit ein bisschen Illustration drumherum.
Dieser Vorschlag kommt übrigens konkret von einem IE-Projektmanager, falls jemand seine Vorurteile bestätigt sehen will.
Wir sind immer noch bei den 3rd party cookies. In IE kann man auch sagen, dass man keine 3rd party cookies will. Aber es stellt sich heraus, dass IE die trotzdem speichert, wenn der Cookie-Setzer eine P3P-Policy mitschickt. Das ist eine der hirntotesten Ideen aller Zeiten. Die IE-Leute haben ein Beispiel von www.microsoft.com:
P3P: CP="ALL IND DSP COR ADM CONo CUR CUSo IVAo IVDo PSA PSD TAI TELo OUR SAMo CNT COM INT NAV ONL PHY PRE PUR UNI"Völlig offensichtlich: das ist voll für den Fuß, geht gar nicht, der Erfinder gehört an die nächste russische Marssonde genagelt. Aber das ist noch nicht der Lacher. Der Lacher ist: Google schickt einen fehlformatierten P3P-Header, nämlich diesen hier:
P3P: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."Und was tut IE damit? Was die Spec sagt. Die Spec sagt: wenn du ein Token nicht kennst, ignoriere es. Also ignoriert IE alle Tokens. Und ist damit in dem Zustand: es gibt ein P3P-Statement. Und lässt den 3rd party cookie durch.
Ein epic fail auf Seiten Microsofts in meinem Buch. Um so peinlicher, dass sie das jetzt als böses Herumgehacke durch die fiesen Privacy-Freibeuter bei Google darzustellen versuchen.
Kann ja mal passieren, bedauerliches Missverständnis *hust*
Aber nicht abstoßend genug, dass man da nicht noch was draus machen könnte. Daher hat Microsoft eine ganzseitige Anzeige in der News York Times geschaltet. Tenor: wenn euch das nervt, wie Google eure Daten korrelliert, dann benutzt doch Hotmail, Bing, Office 365 und den Internet Explorer! :-)
Haben sie am Ende doch gemacht. Jetzt kommen dazu spannende Details heraus, und zwar soll Microsoft ein Gegenangebot gemacht haben an Mozilla, damit die Bing als Default-Suchmaschine einbauen, und das soll so hoch gewesen sein, dass Google jetzt dreimal so viel an Mozilla zahlt wie letztes Mal. Bwahahaha, also Wirtschaftskrieg will man gegen Microsoft echt nicht führen müssen, die wissen schon was sie da tun.
Wer sich also gefragt hat, wie sie in Zukunft die Trojaner auf die PCs kriegen…
The sources, however, said the investigators were surprised to find some computers with out-of-date software, misconfigured firewalls and uninstalled security patches that could have fixed known "bugs" that hackers could exploit. Versions of Microsoft Corp's Windows 2003 Server operating system, for example, had not been properly updated.So sieht das ja bei den meisten Firmen aus, die Windows im Einsatz haben. Je größer die Firma, desto antiker die Umgebung. Aber ausgerechnet NASDAQ hatte sich ja sehr weit aus dem Fenster gelehnt mit der angeblichen Güte ihrer Umgebung da, insofern ist das schon ein bisschen unerwartet.
Update: Und wenn Flash tot ist, wird ja auch Silverlight nicht mehr benutzt.
Several of my customer and partner contacts have told me they have heard from their own Microsoft sources over the past couple of weeks that Silverlight 5 is the last version of Silverlight that Microsoft will release. They said they are unsure whether there will be any service packs for it, and they are also not clear on how long Silverlight 5 will be supported by Microsoft.
Update: Ich hab gehört, Symantec will sogar darüber nachdenken, Security-Produkte zu bauen!
Die Presse wertet das als Antwort auf die Patentsituation. Ich glaube, dass das auch was damit zu tun hat, wie Microsoft sich Nokia einverleibt hat.
Inhaltlich geht mir Apple ja weitgehend am Arsch vorbei, wie die da Google, Microsoft und Facebook hinterherhecheln mit ihren "wir aber auch" Nachbau-Angeboten, aber eine Sache muss mal angesprochen werden: ihr habt ja sicher mitgekriegt, dass unsere Parlamentarier die Ipads als Statussymbol entdeckt haben. Jetzt schiebt Apple die Daten in die Wolken. Für die Souveränität unseres Parlaments ist das kein gutes Zeichen, denn Apple wird von Gesetzesentwürfen und internen Positionspapieren dann früher (bzw überhaupt!) wissen als das Gros unseres Parlamentes, geschweige denn die Bürger. Das ist eine ausländische Firma! Das darf man an der Stelle nicht aus den Augen verlieren!
Update: und von Lobbyistenterminen, natürlich. Vielleicht hat das ja auch was Gutes, wenn die Daten alle digital im Internet rumliegen. Man kann das ja auch als Ansporn sehen, wenn man ein Hacker ist.
Ich würde Nokia damit mal abschreiben. Die haben ja bisher schon nur eine geringe Marge gehabt, aber die Zukunft als Hardware-OEM von Microsoft sehe ich auch eher düster.
Mein erstes Mobiltelefon war von Nokia und ich habe auch seit dem nur Nokia-Geräte gehabt. Insofern trifft mich das jetzt schon. Und die angeblich so beeindruckende Hardware-Innovations-Kompetenz von Nokia, die sie in der Presseerklärung hochhalten, die begrenzt sich dann in der Praxis auf farbige Back-Cover. Und mit so geschmackvollen Farben!1!!
Da sieht man vor allem mal, dass wir Microsoft nicht zu früh hätten abschreiben sollen. Die sind nicht so zahnlos wie sie in den letzten Jahren aussahen. Schade, dass es Nokia trifft. Hätten die nicht lieber Sony-Ericsson plattmachen können? Da hätte kein Hahn nach gekräht.
Seufz.
Nun ist das mitgelieferte Windows ein OEM-Windows, das anhand irgendwelcher BIOS-Signaturen erkennt, ob es aktiviert ist oder nicht. Das Windows, das ich jetzt draufgetan habe, ist ein normales Kauf-Windows.
Nun schaltet das Gerät immer die Grafikkarte um, je nach dem ob ich es am Stromnetz oder im Batteriebetrieb fahre. Dieses Umschalten interpretiert das Windows dann als Hardwareumbau. Nach ein paar Mal glaubt der dann, er sei nicht mehr genuine und belästigt mich jetzt mit Popups.
Gaaaaanz tolle Technologie habt ihr da am Start, Microsoft! So wird es ehrlichen Käufern vergolten, dass sie euch Geld geben? Mir sei an der Stelle der Hinweis gestattet, dass Raubkopierer selbstverständlich von diesem Problem verschont bleiben.
Der Effekt ist, dass ausser Youtube und Enthusiasten wie mir niemand webm ausgerollt hat. Und Firefox sah im Vergleich zu Chrome schlecht aus, weil sie sich geweigert haben, H.264 zu unterstützen.
Und jetzt kommt dieser Paukenschlag: Google kündigt an, H.264-Unterstützung aus Chrome zu entfernen. Kurzfristig ist das natürlich schlecht für die Chrome-User, weil damit einige Early Adopter des Video-Tags nicht mehr gehen. Langfristig ist das aber die richtige Entscheidung, um webm nach vorne zu bringen. Denn Firefox 4 kann auch webm, und damit ist die klare Mehrheit der wichtigen Browser webm-fähig.
Es ist auch eine gute Gegenaktion zu Microsofts Subversionsversuch, Firefox unter Windows H.264-Support zu geben, damit die Leute lieber Firefox als den Browser des Erzkonkurrenten benutzen und damit webm nicht vom Boden wegkommt.
Viele Leute hatten webm schon zu den Akten gelegt, weil die MPEG-Lizensierungsmafia als Reaktion auf webm verkündet hat, das H.264-Streaming im Internet bleibe lizenzkostenfrei. Das haben viele Leute so interpretiert, als sei H.264 jetzt generell lizenzkostenfrei, aber das folgt daraus halt nicht. H.264 ist nach wie vor eine Patenthölle, und jeder Schritt, um diesen Leuten das Wasser abzugraben, ist ein Schritt nach vorne für die Menschheit. Scheiß Patentscheiß immer, beschissener.
Update: Übrigens, spannendes Detail: Auch Adobe will webm in Flash unterstützen. D.h. man wird H.264 auch nicht mehr als Flash-Fallback brauchen. Nur noch als Apple-Fallback. Und Apple spricht ja eh nicht H.264 sondern je nach Gerät nur Baseline-Profil und kann auch von AAC nur eine Teilmenge des Standards, d.h. webm muss qualitätsmäßig gar nicht mit dem H.264 High Profile konkurrieren und kann da mithalten. Für mich als Webseitenbetreiber sieht es dann also plötzlich so aus, dass ich mit webm mal eben über 90% des Browsermarktes abdecken kann, und nur für Apple eine Extrawurst braten müsste. Das wird sich der eine oder andere Webseitenbetreiber dann vermutlich schlicht sparen.
Das war die erste Ansage. Bis der Patch rauskommt dauert das immer noch Monate, aber das liegt nicht an den Ingenieuren, sondern weil das zwei Monate durch die Qualitätssicherung läuft, und wenn da irgendwas auffällig ist, dann rollen sie alles zurück und ein neuer Patch muss her. Das ist in diesem Fall mit dem Printer-Spooler-Patch passiert, daher gab es dafür den Patch erst letzte Woche so.
Die zweite Ansage war, dass Microsoft ihre Erkenntnisse sofort mit der Antivirusindustrie geteilt hat. Über eine Mailingliste, auf der einmal alle subscribed sind.
Den Rest könnt ihr euch jetzt ja selber zusammenreimen.
Oh, einen noch. Bruce hat dort auch gezeigt, was das für Bugs waren. Zwei Erkenntnisse waren auffallend: a) das waren sehr, sehr peinliche Bugs für Microsoft. Wenn mir vor fünf Jahren jemand gesagt hätte, dass Microsoft solche Bugdetails auf einem CCC-Congress nicht nur offenlegt sondern freiwillig zugibt, hätte ich ihn ausgelacht. b) da war keine Speicherkorruption involviert. Kein ASLR-Gerate nötig zum Exploiten. 100% Zuverlässigkeit. Ich muss meine Schätzung für die Kosten dieser Bugs also noch nach oben korrigieren. Wir hatten ja in Alternativlos 5 angesagt, das wird so siebenstellig gewesen sein. Jetzt würde ich sagen: nicht knapp siebenstellig, eher so 2-3 Mio Dollar. Wenn nicht noch mehr.
Insofern ist das jetzt noch nicht der totale Todesstoß, weil der eben nicht privat seine Xbox umgebaut hat, sondern geschäftlich anderen Leuten ihre Xboxen. Privatmenschen rennen die vermutlich nicht mit so einem Aufwand hinterher.
Und da seht ihr, was für ein unmenschliches Programm die CDU da mal wieder fährt. (Danke, Maitol)
Oh und wo wir gerade bei den Parallelen zur Musikmafia waren: Sony, Mitglied von beiden, mahnt auch auf der Softwareseite seine Kunden ab. Glückwunsch, Sony, so schafft man glückliche Kunden, die die nächste Generation auch wieder kaufen!1!!
Daher erkläre ich mal. Wenn man eine https-Webseite einrichtet, braucht man ein Zertifikat. Wenn sich der Webbrowser zum https-Server verbindet, zeigt ihm der Server dieses Zertifikat. Der Browser guckt dann, ob das aktuelle Systemdatum innerhalb des im Zertifikat stehenden Gültigkeitsdatumsbereichs ist (aktuell ist das bei mir 28.8.2010 bis 24.2.2011), und ob das Zertifikat von jemandem unterschrieben ist, der im Browser als vertrauenswürdig eingetragen ist. Browser kommen mit einer mehr oder weniger langen Liste von vertrauenswürdigen Zertifikaten. Ich hatte das auch kurz bei Alternativlos Folge 5 erklärt. Da sind lauter suuuper vertrauenswürdige Zertifikats-Aussteller drin wie z.B. Verisign (und deren Tochterunternehmen Comodo, Thawte, GeoTrust, …), der bekannteste. Verisign ist so nahe an der US-Regierung dran, dass sie u.a. auch die DNS Top Level Domains .com und .net betreiben dürfen. Wie bei Alternativlos empfohlen, sollte sich jeder mal die Zeit nehmen, in seinem Browser die Liste der Zertifikate anzugucken. Bei Firefox guckt man in die Preferences, das Advanced Tab, dann das Encryption Unter-Tab, dann den View Certificates Knopf drücken, und in dem neuen Fenster das Tab "Authorities" öffnen. Da mal durchscrollen. JEDER von denen ist für den Browser vertrauenswürdig. Da ist z.B. auch die Deutsche Telekom dabei. Wenn jetzt z.B. die Bundesregierung gerne eure verschlüsselte Kommunikation abhören wollte, würden sie der Telekom einfach sagen, hey, macht uns mal ein Zertifikat für den Banking-Webserver der Sparkasse oder wo auch immer ihr euch so hinverbindet, auch Email und Jabber benutzen SSL. Und euer Browser würde sehen, dass deren Zertifikat von der Deutschen Telekom unterschrieben ist, und würde es kommentarlos akzeptieren.
Neben der US-Regierung und der Bundesregierung sind da auch noch die Chinesen am Start ("CNNIC"), die Contentmafia ("AOL Time Warner Inc."), America Online (nein, wirklich!), TÜRKTRUST, die Bankenmafia (VISA, Wells Fargo, …), die Schweizer ("Swisscom"), Geert Wilders ("Staat der Nederlanden"), die Schweden und Finnen ("Sonera"), die Japaner, Intel und Microsoft. Das hängt auch von der Browserversion ab. Aber es ist wichtig, dass ihr versteht, dass jeder von denen, wenn er wollte, eure Email mitlesen könnte, indem er euch ein ungültiges (also ein von ihnen generiertes, von ihnen unterschriebenes, und daher vom Browser akzeptiertes) Zertifikat vor die Nase hält.
So, wenn ich jetzt einen SSL-Dienst einrichte, und ich möchte, dass das in eurem Browser ohne Terrorpanikmeldung funktioniert, dann kann ich einem der Kommerzanbieter ein paar Euro in die Hand drücken, und der gibt mir dann ein Zertifikat, das ein Jahr gültig ist. Marktführer ist Godaddy, da zahlt man pro Jahr pro Domain sowas wie $30.
Wer das noch nie gemacht hat: das geht so. Man geht dahin, gibt Daten in ein Webformular ein, gibt denen die Kreditkartennummer, und bei denen wirft sich dann ein Perl-Skript an, das das Zertifikat generiert. Die haben genau Null Arbeit. Zum Validieren schicken sie eine Mail an eine Mailadresse bei der Domain, üblicherweise sowas wie postmaster@ oder root@ oder webmaster@, in der Mail ist ein Link drin, den klickt man dann, und dann glaubt einem der Anbieter, dass man berechtigt ist, für die Domain ein SSL-Zertifikat zu haben. Mehr ist da nicht dabei. Ein Perl-Skript.
Nun habe ich aus grundsätzlichen Erwägungen heraus ein Problem damit, Leuten Geld für so eine Schutzgeldnummer zu geben, bei der die Gegenseite nichts tut, das ich nicht auch mal schnell selber hätte machen können. Die einzige Sache, die die von mir trennt, ist dass die eine Mail an Mozilla und Microsoft und Opera geschickt haben, um in die Liste der vertrauenswürdigen Aussteller aufgenommen zu werden. Ich habe mal herauszufinden versucht, was für Anforderungen die Browserhersteller an einen stellen, wenn man auf die Liste will. Die Details hängen vom Browser ab, aber ich will das mal so zusammenfassen: keine erwähnenswerten.
Wenn ich nun nicht einsehe, so einer Firma für das Aufrufen eines Perl-Skripts Geld zu geben, dann bleiben zwei Optionen, um eine SSL-Site zu kriegen. Ich kann mir selber ein Zertifikat machen und selbst unterschreiben. Oder ich kann zu cacert.org gehen, die bieten kostenlose Zertifikate an. In beiden Fällen gibt es von den Browsern einen großen roten Terrorpanikdialog. Der bei Firefox involviert inzwischen ein halbes Dutzend Interaktionen, bevor Firefox ein ihm unbekanntes Zertifikat erlaubt.
Aus meiner Sicht ist es egal, wie ich es mache. So rein fundamentalistisch betrachtet sind selbst-signierte Zertifikate die ehrlichste Variante. Je nach dem, wie man es betrachtet, gebe ich dann niemandem zusätzlich die Möglichkeit, sich eurem Browser gegenüber als meine Webseite auszugeben. CAcert ist der Kompromiss. Auf der einen Seite kostet das nichts, und ein User muss nur einmal CAcert trauen mit ihrem Browser und kommt dann auf alle https-Seiten mit deren Unterschrift drauf. Auf der anderen Seite prüfen die auch nicht weniger als kommerzielle CAs. Ich habe keine Ahnung, wieso die nicht bei den Browsern drin sind als vertrauenswürdig, ich finde CAcert persönlich vertrauenswürdiger als sagen wie Equifax, die Telekom oder CNNIC. Denn bei CAcert kann man den GPL-Quellcode runterladen. Und die Mailinglistenarchive sind öffentlich einsehbar. Wenn ihr keinen Bock habt, bei meinem Blog jedesmal rote Terrorpanikdialoge wegzuklicken, dann könnt ihr euch hier deren Root-Schlüssel holen und in eure Browser importieren. Wie das genau geht, hängt vom Browser ab. Deren Wiki beschreibt, wie man das macht. Achtung: wenn ihr das tut, kann zusätzlich zu den anderen unvertrauenswürdigen CAs auch CAcert euch gefälschte Webseiten vorspielen.
Aber, was ich an der Stelle nochmal ganz deutlich sagen will: nur weil ihr SSL benutzt, heißt das noch lange nicht, dass die Kommunikation sicher ist und nicht abgehört oder manipuliert werden kann. Im Zweifelsfall sollte man immer zusätzlich zu SSL noch eine Ende-zu-Ende-Verschlüsselung fahren. Bei Email und Jabber kann man z.B. openpgp haben, bei diversen Chatprotokollen gibt es OTR. Wenn ihr eine Wahl habt: immer das zusätzlich einschalten. Und wenn ihr mal jemanden im realen Leben trefft, nutzt die Chance, deren Schlüssel zu vergleichen, damit ihr sicher sein könnt, dass euch da keiner verarscht. Sowas nennt sich dann PGP Keysigning Party.
Update: Vielleicht sollte ich noch klarer sagen: ich habe die CAcert root key in meinen Trusted Root im Browser eingetragen. Fundamentalistisch gesehen müsst man einmal durch seinen Cert Store laufen und alles als unvertrauenswürdig markieren, und dann alle Zertifikate im Web manuell prüfen. Aber in den meisten Fällen geht das ja gar nicht. Wenn ich jetzt hier z.B. hinschreibe, dass der SHA1-Fingerprint für mein aktuelles Zertifikat
12:2F:49:D9:86:8D:29:40:38:FF:7D:85:48:FD:0A:89:CA:70:67:E8ist, dann seid ihr auch nicht weiter als vorher. Wenn jemand die SSL-Verbindung zwischen euch und meinem Server manipulieren kann, um euch ein anderes Zertifikat unterzujubeln, dann kann der natürlich auch diese Fingerprintangabe fälschen. Objektiv gesehen müsste man an der Situation mit den SSL-Zertifikaten verzweifeln. Daher plädiere ich dafür, lieber die Leute zu informieren, wie viel Sicherheit ihnen das wirklich bietet, damit sie mit einer angemessenen Erwartungshaltung an SSL herangehen. Oh und: SSL hilft auch nicht gegen Trafficanalyse. Wenn jemand wissen will, welche Seiten ihr hier aufruft, dann kann er das anhand der Größe der Antworten rekonstruieren. Die Daten sind ja immerhin öffentlich. Trotzdem halte ich es für gut und wichtig, Verschlüsselung auch ohne Not einzusetzen, denn je höher der Anteil an verschlüsselten Daten im Netz ist, desto weniger macht man sich verdächtig, wenn man seine Daten verschlüsselt.
I IS In Ad- hoc. Aktion zur Beweitigung Malware( Stuxnet) - SIMATIC PCS 7 / WIN CC Security check UpMeine Quelle versichert, die Grammatikfehler aus dem Original korrekt wiedergegeben zu haben :-)Sehr geehrter Herr (Geschäftsführer),
derzeit ist eine Malware, ein sogennanter Trojaner im Unlauf, der Microsoft Windows Rechner mit WinCC und PCS 7 betrifft.
Es handelt sich dabei um eine Software, die über einen USB-Stick, oder das Netzwerk verbreitet wird und eine Sicherheitslücke in Microsoft Windows nutzt. Betroffen sind Betriebssysteme von XP an aufwärts.
Systeme, bei denen der Zugang über eine USB-Schnittstelle nicht blockiert ist oder die Schutzvorrichtungen wie Firewall und Virenscanner nicht den aktuellen Anforderungen an die IT Security genügen sind potenzielle Ziele des Trojaners.
Sollten Sie sich über den Stand ihrer Anlage in Bezug auf Microsoft Sicherheitupdates und Virenpattern nicht sicher sein, ist es wichtig auf Grund der aktuellen Bedrohung Maßnahmen zu ergreifen.Zur Überprüfung der Systemintegrität Ihrer WinCC Installation bieten wir einen Check Up mit den folgenden Leistungsinhalten hat an:
- Überprüfung von Malware (insbesondere "Stuxnet") auf einem WIN CC System
- Installation von SIMATIC Security Update (Beseitigung der Sicherheitslücken durch Anpassung der Registry und SQL-Sicherheitseinstellungen)
- Update der aktuell erforderlichen Virenpattern (bedarf Kundenzustimmung)
- Installation der aktuellen erforderlichen von Siemens freigegeben Windows Patches(bedarf Kundenzustimmung)
- Dokumentation der Ergebnisse
Für bis zu 4 WinCC PCs in einer Anlage bieten wir diesen Service für eine Pauschale von Eur 1.450,- inklusive Reise- und Nebenkosten an. Bei mehr als 4 PC ist der Aufwand entsprechend zu erweitern.
Im Falle eines Virenbefalls kann die Bereinigung von vernetzten WinCC / PCS 7 Systeme sehr variieren, und wird daher nach Zeit und Aufwand erfolgen.
Optional bieten wir folgende Leistungen nach Aufwand zu den publizierten Servicepreisen oder mit einem separaten Angebot an:
- Installation Virenscanner
- IT-Security Check Up aller Anlagenkomponenten
- Implementierung von präventiven und kontinuierlichen Remote Monitoring & Alarm Services
Weiter Informationen erhalten Sie von unserem international Servicecenter (ISI) Tel.: +49 (180) 1-737373
Mit freundlichen Gruß
Ich bin ja immer wieder schockiert, wie Zulieferer die Stirn haben, für das Aufräumen ihrer Fehler auch noch vom Kunden bezahlt werden zu wollen.
Früher hatten die USA ein Krypto-Exportverbot, demnächst gibt es dann wahrscheinlich ein Krypto-Importverbot.
Land of the Free, indeed.
Falls jemand nur die Überschrift gelesen hat, die drehen da vollständig durch:
- Communications services that encrypt messages must have a way to unscramble them.
- Foreign-based providers that do business inside the United States must install a domestic office capable of performing intercepts.
- Developers of software that enables peer-to-peer communication must redesign their service to allow interception.
Das könnt ihr euch ja selber überlegen, ob euch das ruhig schlafen lässt, wenn jemand so viel Geld ausgibt, um Industrieanlagen aufzuhacken.
Stellt sich natürlich die Frage, wer sowas tun würde. Da kann ich auch nur spekulieren. Es ist aber m.E. kein westlicher Geheimdienst, denn Siemens ist so nahe mit dem BND verbandelt, die müssten da kein 0day kaufen, um Siemens-Kraftwerke aufzumachen. Außerdem heißt es bei Heise, dass u.a. Anlange in Südkorea, den USA und dem Iran infiziert wurden. Dadurch scheidet für mich auch China aus, denn die würden dem Iran nicht die Kraftwerke hacken, die würden dem Iran lieber billig Kraftwerke chinesischer Fertigung verkaufen. Und angreifen würden sie die auch nicht, immerhin kaufen sie da den Großteil ihres Öls, wenn der Iran da wegen Hackerpanik den Hahn zudreht, dann steht China mit dem Rücken zur Wand.
Bleiben nur noch die Russen von den major players.
Und DAS finde ich erst Recht beängstigend, denn wenn die mal eben vier derartig hochkarätige 0days verbrennen können, dann müssen die auf noch genügend vielen anderen sitzen.
Naja, alles nur Hörensagen. Aber ich dachte, ich teile es mal mit euch.
Update: Die Alternativtheorie ist natürlich Israel.
Update: Beim Rumgoogeln finden sich einige Details. Im Moment scheint einmal jeder Reverse Engineer auf der Welt dabei zu sein, Stuxnet zu untersuchen. Das ergibt alles nur partiell einen Sinn bisher. Aber, spannendes Hörensagen bisher sagt:
Zwei Maßnahmen will Microsoft daher sofort ergreifen: Erstens sollen Nichtregierungsorganisationen (NGOs) Microsoft-Software unter einer neuen Lizenz bekommen können, die klarstellt, dass die NGOs kostenlose, legale Kopien von Microsoft-Produkten einsetzen. Das soll durch ein Programm ergänzt werden, durch das NGOs juristischen Beistand bekommen, um die Rechtmäßigkeit ihres Softwareeinsatzes zu beweisen. Zweitens will Microsoft Schritte unternehmen, dass Dritte nicht behaupten können, sie gingen im Auftrag Microsofts gegen Software-Raubkopien vor.Ich muss sagen… DAS habe ich jetzt nicht kommen sehen, schon gar nicht so schnell. Respekt, Microsoft! Ich geh dann mal kurz ne NGO gründen *hust*
Microsoft hat ja mit Niels Ferguson einen bekannten und brillanten Kryptographen angestellt, der wird sich jetzt wahrscheinlich eine Menge Spott und Hohn anhören müssen, dass er das nicht mal auditiert hat. Wenn da was dran ist. Ich habe noch nicht geguckt, betrifft mich ja auch nicht. Aber die Existenz eines Angriffstools sieht schon so aus, dass ich mir da Sorgen machen würde, wenn es mich beträfe.
Ich fühle mich in meiner Ansicht bestätigt, dass Urheberrechte in einem Atemzug wie die Steuergesetzgebung und Kryptoverbote dazu dienen, gegen jeden Bürger bei Bedarf etwas in der Hand zu haben, wenn man einen Vorwand braucht, um ihn plattzumachen. Und gegen Firmen setzt man Patente ein. Al Capone haben sie ja auch wegen Steuerhinterziehung drangekriegt. Keine ernstzunehmende "Demokratie" kann es sich leisten, nicht gegen jeden Bürger was in der Hand zu haben. Das Betäubungsmittelgesetz leistet hier auch wertvolle Dienste. Und wo nichts ist, da macht man eine illegale Durchsuchung, pflanzt ein paar Wanzen und Kameras, klaut den Computer auf der Suche nach "Hackertools" oder Randgruppenpornographie, und locht denjenigen dann wegen Zufallsfunden ein. Und auch wenn man gar nichts findet, kann man die Leute heutzutage immer noch präventiv wegsperren. Oder man packt sie in Sicherheitsverwahrung.
Sun didn't file many patents initially. But then we got sued by IBM for violating the "RISC patent" - a patent that essentially said "if you make something simpler, it'll go faster". Seemed like a blindingly obvious notion that shouldn't have been patentable, but we got sued, and lost.Das hätte Sun fast getötet. Also hat Sun sich hingesetzt und jeden Bullshit patentiert, der ihnen vor die Flinte kam. Denn so funktioniert das System. Jeder sammelt so viele Trivialpatente, wie er finden kann, damit er sich wehren kann, wenn IBM vorbeikommt. IBM ist der größte Patenttroll auf dem Planeten. Die haben das von einer Kunstform zu einem Geschäftsmodell entwickelt. Die ganzen modernen Patenttrolle sind bloß müde Abklatsche dessen, was IBM tut. Hier ist ein schöner Forbes-Artikel zu IBM und Sun und Patenten.Sun lief nicht nur los und patentierte Dinge, sie machten einen inoffiziellen Wettbewerb, wer mit dem beklopptesten Patentantrag durchkommt. Das ist die Quelle der Sun-Softwarepatente, die Oracle jetzt als Basis für ihre Schutzgeldforderungen gegen Google benutzt.
Und auf einen Satz will ich mal hinweisen, weil er in letzter Zeit immer häufiger auftritt, in verschiedenen Kontexten:
It's a sad comment on the morality of large modern software companies that Microsoft, while I don't think they've gotten any better since Sun sued them, probably has the high ground.Microsoft war jahrzehntelang das Evil Empire, das es zu bekämpfen galt. Microsoft hat übrigens eine ähnliche Geschichte mit Softwarepatenten wie Sun. Ich weiß nicht, ob die auch mal von IBM ausgenommen wurden, aber Microsoft hat jahrelang keine Patente angemeldet, absichtlich, weil das eine Ingenieursfirma war, und die Ingenieure alle die Idee Scheiße fanden. Und dann sind einmal alle Patenttrolle der Weltgeschichte über sie hergefallen, weil sie auf soviel Bargeldreserven saßen. Und seit dem meldet auch Microsoft Patente an. Nur verklagt Microsoft mit ihren Trivialpatenten niemanden, im Gegensatz zu Apple. Soweit sind wir gekommen in dieser Industrie, dass ausgerechnet Microsoft mit gutem Beispiel vorangeht.Update: Stimmt so nicht, Microsoft verklagt doch auch andere mit ihren Trivialpatenten.
During the integration meetings between Sun and Oracle where we were being grilled about the patent situation between Sun and Google, we could see the Oracle lawyer's eyes sparkle. Filing patent suits was never in Sun's genetic code.Bei der Gelegenheit kommt dann auch raus, dass die häufig gescholtenen Microsoft-Lizenzbedingungen für C# weniger restriktiv sind als die von Sun für Java. Was für ein Lacher, wenn man sich überlegt, wie die Java-Fanbois immer mit Offenheit und Freiheit argumentieren. Auf der anderen Seite ist dieser Beitrag von Miguel de Icaza, dem Typen hinter Mono (dem Open Source C#).
In diesem Fall kommt noch dazu, dass das Siemens-Software ist. Wer schonmal Siemens-Software benutzt hat, und ich zeige da mal diskret auf BS/2000 und SINIX, der wird wissen, wieso das kein gutes Omen ist.
Das ist also alles an sich schon ein furchtbares Wespennest. Und jetzt sehen wir, dass jemand einen Windows-0day genommen hat, um SCADA zu exploiten. Das ist sehr bedenklich, weil Windows-0day heutzutage nicht mehr unter jedem Teppich zu finden sind, sondern da hat jemand echt Geld in die Hand nehmen müssen. Und die Malware ist gezielt und richtet sich gegen SCADA, wo man dem Vernehmen nach nicht groß Exploits braucht, um da Schaden anzurichten. Das ist so die Kulmination der Horrorszenarien, mit denen der Homeland-Security-Cyberwar-Militär-Verbund immer um Kohle bettelt.
Und jetzt guckt euch mal an, wie Siemens in der Praxis Security betreibt:
Once on systems, the malware looks to use default passwords to connect to the database associated with the SCADA systems to obtain files and run various queries to collect information, Symantec noted in an advisory. Still, Siemens has reportedly advised customers not to change their default passwords, arguing it “may impact plant operations.”Das muss man sich mal auf der Zunge zergehen lassen!Oh und auch sehr besorgniserregend ist das Detail, dass die Malware signiert war, und zwar nicht nur wie initial berichtet mit Realtek-Keys, sondern auch mit einem JMicron-Key. Hier bestätigen sich also auch alle unsere Vorurteile bezüglich Fernost-Firmen und gleichzeitig unsere Ansagen, dass Code Signing keinen Sicherheitsgewinn erzeugt.
Das ist sowas von der perfekte Sturm, dass man schon fast vermuten könnte, dass da eine der US-Cyberwar-Abteilungen versehentlich einen Test-Exploit verloren hat, oder dass das ein Technologie-Demonstrator ist, um mehr Funding zu kriegen.
Die "Missionierung" ist ausdrücklich KEIN Ziel des Vertrages.Na dann haben wir ja nochmal Glück gehabt!
Und die RWTH ist da nur eine von vielen Unis, die das so macht. Seit ich an der Uni war, scheint sich MS da mehr als breit gemacht zu haben. Active Directory, Exchange, Sharepoint *grusel* (Danke, Matthias)
Jetzt das zum Lachen. Windows. Nein, das war es noch nicht :-) Wenn man unter Windows eine URL hat, und die im Browser öffnen will. Dann gibt es da keine gute Funktion für. Der übliche Weg ist, dass man ShellExecute benutzt, aber ShellExecute ist eben eigentlich für was anderes gedacht. Insbesondere kann man dem auch einen lokalen Pfad geben oder sowas wie "\\evil.com\0day\trojaner.exe", und ShellExecute würde sich das dann per SMB holen und ausführen.
Gut, bei Microsoft ist sowas immerhin dokumentiert. Für Dokumentation geht man zu MSDN. MSDN hat Dokumentation bei ShellExecuteEx, wie man damit sicher eine URL öffnen kann. Guckt euch mal an, wieviel Code man dafür braucht!
Es ist gar nicht überzubewerten, was das für ein wichtiger Schritt für uns alle ist. Google als Betreiber von Youtube weiß ja auch, dass bis 2012 eine Übergangsfrist läuft, in der sie auf Lizenznerv verzichten können. Und bis dahin muss mal eine Alternative her. Und Google sitzt nicht nur wegen Chrome, sondern auch wegen Youtube am fettesten Hebel im Internet. Wenn die umstellen, dann werden die Browser-Hersteller alle folgen. Und tatsächlich haben sie zum Launch schon Firefox und Opera als Partner gewonnen. IE kann man mit Chrome Frame abbügeln. Bleibt nur Safari, und die paar Apple-Spacken fallen in der Statistik ja eh nicht weiter auf, wenn die keine Videos mehr kriegen. Merken die eh nicht, die haben ja auch nicht gemerkt, wie scheiße der Quicktime-H264-Encoder ist.
Rein technisch gesehen ist natürlich nicht alles Gold, was glänzt. Aber ich hoffe trotzdem, dass die x264-Leute das übernehmen und daraus einen Goldesel für uns alle bauen. Vor allem haben die auch das Knowhow, um die Spec so zu ändern, dass sie Patente vermeidet.
Update: Microsoft will in IE9 auch WebM supporten (WebM ist der Marketingname für VP8)
Und das ist auch wieder so eine überflüssige Steilvorlage für Microsoft, wieder was von Wettbewerbsverzerrung zu faseln wegen Silverlight. Moan Google, bisher sah das bei euch halbwegs so aus, als habe eure Strategie Hand und Fuß. Seufz.
Gegen den Trend zulegen konnten allerdings die Aktien des Elektronikgiganten Toshiba. Sie gewannen vier Prozent nach einem Zeitungsbericht, wonach das Unternehmen gemeinsam mit Microsoft-Gründer Bill Gates Atomkraftwerke entwickeln wolle, die ohne Wiederaufbereitung 100 Jahre lang betrieben werden können. Toshiba erklärte später, der Konzern sei in Gesprächen mit der zu Gates gehörenden Firma Terra Power über die Entwicklung kleiner AKWs.Das wird ja spaßig, wenn es da die ersten Blue Screens gibt… (Danke, Frank)
Seeking $335,000 in unpaid advertising bills, Google Inc. filed suit against a small Internet site in Ohio in October. The complaint was so routine it was just two sentences long.Google never expected the response it got. Last month, the small Internet site countered with a 24-page antitrust lawsuit against Google, accusing the search-engine giant of a litany of monopolistic abuses.
But what really caught Google’s attention was the Internet site’s legal counsel: It was (Cadwalader’s) Charles “Rick” Rule, long the chief outside counsel on competition issues for Google archrival Microsoft Corp.
Ach nee…
Erschütternd ist, dass nicht der ISP Cryptome geblockt hat, sondern Network Solutions, der DNS-Registrar. Und zwar auf Zuruf, wegen DMCA.
Die US-Presse berichtet.
Update: MS hat die Beschwerde zurückgezogen, cryptome.org ist wieder online. Hoffentlich laufen Network Solutions jetzt trotzdem mal die ganzen Kunden weg, die die noch haben.
Übrigens, Lacher am Rande: Ciao gehört inzwischen Microsoft, schreibt Heise, und wenn man bei Google und bei Bing nach "asus notebook" sucht, dann ist ciao bei google auf der 1. Seite, bei Bing hingegen nicht. Die sollten sich mal erstmal selber verklagen.
Finally, in safety-critical software systems, changing the compiler often requires costly re-certification. Thus, we routinely see the use of decades-old compilers. While the languages these compilers accept have interesting features, strong concordance with a modern language standard is not one of them. Age begets new problems. Realistically, diagnosing a compiler's divergences requires having a copy of the compiler. How do you purchase a license for a compiler 20 versions old? Or whose company has gone out of business? Not through normal channels. We have literally resorted to buying copies off eBay.Admins und Programmierer werden an diesem Artikel ihre Freude haben :-)
For example, early in my tenure, our group of very clever graphics experts invented a way to display text on screen called ClearType. It worked by using the color dots of liquid crystal displays to make type much more readable on the screen. Although we built it to help sell e-books, it gave Microsoft a huge potential advantage for every device with a screen. But it also annoyed other Microsoft groups that felt threatened by our success.Engineers in the Windows group falsely claimed it made the display go haywire when certain colors were used. The head of Office products said it was fuzzy and gave him headaches. The vice president for pocket devices was blunter: he’d support ClearType and use it, but only if I transferred the program and the programmers to his control. As a result, even though it received much public praise, internal promotion and patents, a decade passed before a fully operational version of ClearType finally made it into Windows.
Und danach erzählt er, wie die Office-Gruppe in Microsoft den Tablet PC sabotiert hat. Wie Office auch heute noch nicht sauber auf einem Tablet PC läuft. Und wie sie die Tablet-Gruppe sogar zugemacht haben, obwohl sie wußten, dass Apple mit einem Tablet PC rauskommen würde. (Danke, Oliver)
Man müsse der "starken Täter-Lobby" für Kinderpornos im Netz eine "Lobby für Kinder und Jugendliche" entgegensetzen, so der Jugendmedienschutzbeauftragte des Deutschen Kinderschutzbundes, Ekkehard Mutschler.Mann über Bord! Mann über Bord!!
Update: Nur mal der Vollständigkeit halber: Diese selbsternannten Internetzensoren haben ihr tolles Projekt übrigens umhergereicht wie sauer Bier, und sind sogar bei der Gesellschaft für Informatik und beim CCC (!!) vorstellig geworden. Wir haben dankend abgelehnt. Ein Glück, dass ich da nicht am Telefon war, ich hätte denen ins Gesicht gelacht.
Update: Es gibt übrigens auch eine Webseite zu "White IT", "whiteit.de". Betrieben laut Impressum von Microsoft Deutschland. Und läuft nur mit Microsoft Silverlight. Auf Deutsch: die nutzen das als Werbeplattform für ihren glücklosen Flash-Konkurrenten. Tolle Wurst.
Also damals, vor dem Krieg, als ich jung war, sprach man auch schon von The Microsoft Tax, aber wir meinten das irgendwie anders damals :-) (Danke, Andrej)
Ich habe ja schon überlegt, ob man da mal ein Mem draus macht. "AOL wurde ja auch total gemurdocht, da stehen nur noch verbrannte Ruinen!"
Das Patientenportal, das Microsoft und iSOFT auf Basis der Spezifikationen der elektronischen Fallakte entwickelt haben, basiert technisch auf dem Office SharePoint-Server, BizTalk und dem SQLServer.und
Auch T-System setzt auf das vernetzte Gesundheitswesen. Die Firma gab bekannt, sich über T-Venture an der niederländischen Portavita zu beteiligen.Na dann wird ja ab jetzt alles gut.
Wir haben es ja hier im Kern mit einem Kontrollproblem zu tun. Wir haben Wikipedianer, die Kontrolle über ihren Inhalt ausüben wollen. Während das per se wie eine noble Idee klingt, ist es das Gegenteil der Idee, mit der Wikipedia das geworden ist, was sie jetzt ist. Das Grundprinzip von Wikipedia ist ja gerade, dass alles gut wird, wenn man alle Menschen ran lässt, weil das Gute im Menschen überwiegt und sich der Schwarm am Ende in die richtige Richtung zur Verbesserung der Lage für alle bewegen wird. Und das ist schlauer als es auf den ersten Blick aussieht, denn ein Gutteil des Vandalismus erklärt sich eben über die Kontrollfunktion. Wenn der User sich als Mitarbeiter sieht, wird er nicht vandalieren. Wenn er sich aber als überwachter, kontrollierter Verdächtiger fühlt, wird er Reifen anstechen. Wenn man User wie vernunftbegabte Erwachsene behandelt, werden sie sich eher wie vernunftbegabte Erwachsene verhalten, als wenn man sie wie Kinder behandelt. Das ist eine Frage des Mindsets, mit dem man auf die Leute zugeht. Natürlich wird das Vandalismusproblem nie ganz weggehen, es gibt immer ein paar Soziopathen in der Bevölkerung. Aber dieser Mindset will eben kommuniziert werden. Wenn man da mit "Hallo lieber potentieller Wikipedia-Mitautor, willst du nicht diesen Artikel zu verbessern mithelfen?" begrüßt wird, ist das was ganz anderes, als wenn da — fast wie versehentlich wirkend — jemand den Edit-Knopf auszublenden vergessen hat. Im Moment wirkt das wie ein Getränkeautomat, das menschliche Element fehlt. Wenn das wie ein Automat wirkt, werden die Leute eher Dinge probieren. Aus einem Getränkeautomat werden Leute eher eine Dose zu klauen versuchen als aus einem Oma-und-Opa-Laden. Und je mehr die Blockwarte dann Kontrolle auszuüben versuchen, desto mehr reizen sie Vandalen zum Weitermachen. Wobei mein Wortsinn von Vandale hier ein anderer ist. Ein Vandale ist jemand, der den Inhalt eines Artikels wegmacht und durch "Die Merkel ist doof" ersetzt.
Um die Analogie mal fortzuspinnen: wenn potentielle Autoren wie Bittsteller abgekanzelt werden, gehen die Freiwilligenzahlen zurück. Das kann man alles live und in Farbe beobachten gerade bei der Wikipedia.
Die Eltern unter meinen Lesern werden das Problem sofort wiedererkennen. Das ist nämlich der klassische Erziehungskonflikt bei Eltern. Eltern erziehen das erste Kind noch mit eiserner Knute und beim zweiten Kind sind sie dann weiser und greifen nur noch ein, wenn es nötig ist. Eltern müssen irgendwann ihr Kind ziehen lassen, so schmerzhaft das auch ist. Und an dieser Stelle beißt uns die Statistik in den Hintern, die Johnny so schön formuliert hat:
80% der Wikipedianer in den USA seien männlich, mehr als 65% alleinstehend, mehr als 85% kinderlos und rund 70% jünger als 30 JahreBei der deutschen Wikipedia sieht das vermutlich sehr ähnlich aus.
Ich möchte an der Stelle mal ausdrücklich sagen, dass meine Kritik nicht den einzelnen Menschen gilt, die in der Wikipedia herum-blockwarten. Ich gehe bei solchen Problemen gerne den wirtschaftlichen Weg der Analyse und halte das Problem für ein System-Problem. Die Menschen gehen ja nicht zum blockwarten in die Wikipedia, im Gegenteil sind die meisten damit unzufrieden. Das kam bei allen meinen Gesprächen mit Wikipedianern in letzter Zeit klar heraus. Jeder einzelne von denen fing nach einer Weile zu berichten an, wie viele schöne Artikel ihm denn schon gelöscht worden seien. Diese Menschen sind genau so Opfer wie wir alle. Opfer des Systems Wikipedia, das die falschen Anreize setzt. So habe ich gestern gelernt, dass man seinen Admin-Status wegen Inaktivität verlieren kann. Was ist hier also der Anreiz? Admin-Aktionismus. Und was eignet sich da besser als Löschen? Gelöschte Artikel können nur andere Admins einsehen, da kann einem also keiner (der nicht im selben Boot wäre) nachweisen, dass man gerade Mist gemacht hat. Löschen ist weniger Aufwand als Typos suchen und fixen. Und wenn man sich genötigt sieht, möglichst viele Löschungen vorzunehmen, um aktiver auszusehen, dann wird man auch die Löschdiskussion eher überfliegen als durchlesen und überdenken. Die Situation erinnert mich sehr an den Richtervorbehalt. Beim Richtervorbehalt ist es für den Richter ein Aufwand von einer Unterschrift, eine beantragte Durchsuchung zu beschließen, aber im Ablehnfall muss er eine Begründung schreiben. Also wird fast nie was abgelehnt. Und so ist das bei der Wikipedia im Moment auch. Der Admin hat einen Vorteil davon (er wirkt aktiver), wenn er dem Löschgesuch entspricht. Das ist genau falsch herum.
Man könnte das z.B. lösen, indem man Achievements wie in Onlinespielen einführt. Wer einen Artikel rettet, der zum Löschen vorgeschlagen wurde, kriegt ein Achievement. Wer rettet, indem er an dem Artikel Daten hinzufügt, kriegt ein Achievement. Wer 100 Achievements hat, kriegt ein GIF-Banner "Wikipedia-Held" zum Einblenden auf seiner Homepage. Sowas. Wir müssen Anreize schaffen, um das System in die Richtung zu bewegen, in die wir es bewegen wollen. Von alleine oder durch gut zureden bei den Admins und Trollen werden wir da nichts bewegen.
So schade das ist, aber ich fühle mich von der Diskussion gestern in meinem Weltbild bestärkt. Die Blockwarte machen das nicht aus Spaß an der Freude, sondern wollen etwas Gutes tun bzw folgen Anreizen, die das System ihnen bietet. Denen "sei mal kein Blockwart" zu sagen ist zum Scheitern verurteilt.
Im Übrigen muss ich noch eine bittere Lektion ziehen. Wir hatten ja gedacht, wenn wir da einen Fork ansprechen, sei das eine Drohung, mit der wir womöglich die Wikipedianer zum Einlenken bringen können. Das Gegenteil ist der Fall. Die würden sich sogar freuen, wenn wir forken. Weil sie dann das Problem loswerden. Aus deren Sicht ist das Problem nämlich nicht, dass die Wikipedia den Bach runter geht, sondern in deren Denkmodell geht die Wikipedia den Bach runter, weil so viele Vandalen rumvandalieren und sie nicht mit dem Löschen hinterherkommen. Wenn wir forken, dann gehen die Vandalen zu uns, wo weniger gelöscht wird. Aus deren Sicht löst das ihr Problem. Wenn jemand unzufrieden ist, können sie den zu unserem Fork schicken. Wenn ihnen dann die Userzahlen wegsterben, dann macht das nichts, denn in deren Mission Statement geht es um das Weltwissen, nicht um das Bereitstellen an die User. Hier greift der alte Witz aus der Arbeitswelt, wie schön dieser Job doch wäre, wenn man es nicht ständig mit Kunden zu tun hätte. Forken ist also keine Option.
Im Übrigen möchte ich noch ein wichtiges Wort fallen lassen: Monopol. Wikipedia hat ein Monopol auf Online-Wissen-Nachschlagen, und zwar mehr noch als Google eines auf Suchmaschinen hat. Für Monopole gelten andere Regeln als für normale Marktteilnehmer. Genau wie Telekom und Post als Monopol gezwungen waren, in jedem noch so kleinen Kaff Telefon und Briefpost anzubieten, und wie Microsoft Ärger kriegt, wenn sie Konkurrenten behindern, genau so hat die Wikipedia eine Sonderrolle als Monopolist und darf aus meiner Sicht nicht damit durchkommen, bei Community-Debatten Leute auszuladen, auch nicht wenn sie Markus Kompa heißen. Das kann man als kleines Randgruppenwiki bringen, aber nicht als Monopolist auf dem Online-Enzyklopädie-Markt, und schon gar nicht wenn man Worte wie "Weltwissen sammeln und erhalten" benutzt. Das muss für Wikimedia echte Konsequenzen haben.
Zurück zum Mindset der Wikipedia: wenn man das Problem als ein Kontrollproblem sieht, dann macht man so ein Treffen mit der Community auch als Kontrollfreaks, mit Namenskontrolle am Eingang. Und wenn man eigentlich weiß und einsieht, dass es da ein Problem gibt, aber das nicht zugeben will, dann limitiert man die Sitze auf 42, damit es nach außen nicht aussieht, als würde das mehr als eine handvoll Leute betreffen. Ich fand dieses Event augenöffnend. Laßt uns jetzt debattieren, wie wir das System ändern können.
BTW: lest euch die Links zu Johnny und Telepolis ganz durch. Und auch diesen Freitag-Artikel und diesen Blogeintrag hier.
Die Mail sagt, dass Microsoft Danger gekauft hat, den Hersteller von Sidekick. Die haben sich dann entschieden, deren Infrastruktur einmal physisch in eines ihrer eigenen Datencenter zu schieben, um Mietkosten zu sparen. Die eigentliche Hard- und Software haben sie dabei nicht angefasst, das ist alles noch das alte Zeug. Und am letzten Dienstag, sagt die Mail, hat sich dann deren Storage spontan desintegriert. Da waren 800 TB Daten drauf. Das war ein fettes SAN, dessen Hersteller ich hier mal verschweigen will, aber wenn die Mail stimmt, ist es einer der Marktführer in dem Segment. Natürlich hatte Danger einen dicken Support-Contract mit dem Storage-Vendor. Die waren also ab Dienstag vor Ort. Und das SAN hat beim Sterben auch gleich mal die Parity-Platten zersägt, so dass an sich von Anfang an klar war, dass die Daten futsch sind. Das hat mal eben 800 TB an Daten geshreddert.
Es gab einen Backup, auf ein Off-Site Tape, also die haben sich da schon einmal an die Regeln gehalten, was man so an Vorsichtsmaßnahmen treffen kann für sowas. Leider, wenn das Array so platt ist, wie es jetzt ist, dann kann man das nicht einfach zurück spielen, dann muss man erst mal das SAN reparieren. Der Storage-Hersteller hat es laut dieser Mail nun bis Freitag Nachmittag versäumt, das Detail mit "alle Daten sind weg" zu kommunizieren, und sie haben auch kein Ersatz-Equipment eingeflogen. Das war also nicht nur in dem SAN der Supergau, auch der Support hat sich da einen Megagau geleistet. Ich zitiere mal den Money Quote aus der Mail:
Apparently [Vendor] has been on site since Tuesday, but didn't actually inform Danger/MS that their data is in the crapper until Friday afternoon. On top of that, [Vendor] has done nothing to bring in replacement equipment between Tuesday and Friday.Nun war MS eh gerade dabei, die Daten "in die Cloud" zu schieben, und hat daher ein zweites, größeres, SAN gekauft, aber das steht noch nicht im Rechenzentrum und ist auch ein Rack größer und da fehlt gerade der Platz für eine Notfall-Installation. Und im Übrigen dauert auch das Einspielen von 800 TB Daten vom Tape eine Weile.Warum erzähle ich das hier? Weil das genau so bei allen großen Firmen aussieht. Die kaufen ihr Storage vom Marktführer und zahlen Unsummen für Support-Verträge, und denken sich, hey, jetzt sind wir sicher. Wie man hier sehr schön sehen kann, ist man dann eben nicht sicher. Im Gegenteil. Die Performance hätte auch das in-house Team nicht schlechter hinkriegen können. Daher: kauft lieber nicht beim Marktführer sondern baut sowas intern auf. Ist billiger und im Zweifelsfall belügen euch eure eigenen Leute dann nicht, wenn das Storage abgeraucht ist.
Update: Und wenn ihr das selber macht, hatte ich schon mal einen passenden Link.
Nun macht sich der eine oder andere sicher Sorgen, ob man denn Truecrypt jetzt noch einsetzen kann.
Ich würde mir da ehrlich gesagt nicht so viel Sorgen machen, denn auf der Liste der NSA-affiliated IP ranges sind auch Institutionen wie das MIT (da kommen Kerberos und X11 her), MCI/Verizon/UUnet, die Mercedes Benz AG, Microsoft, Myspace, Nacamar (?!?), Cogent, Princeton University, Qwest, das RIPE NCC (harhar), Savvis, Schlund und Partner AG, Sprint, Tiscali, Telecom Italia, Telefonica (denen gehört u.a. Hansenet), Telekom Austria, Telia, Telstra, T-Mobile Ungarn, T-Online Frankreich und Ungarn, Versatel, Wanadoo, den Weather Channel (hahaha), XS4ALL, Yahoo, Youtube, oh und Level 3. Wenn ihr jetzt mal ein Traceroute zu einem beliebigen Open Source Projekt im Internet macht, kommt ihr mit großer Wahrscheinlichkeit bei Cogent, Telia, Sprint, Savvis oder Level 3 vorbei. Ein Traceroute von mir zuhause zu Sourceforge geht z.B. durch Telia und Savvis. Ein Traceroute zu ftp.gnu.org geht durch Cogent. Oh und auch die Route zu cryptome.org geht für mich über telia und savvis. :-)
Jeder Linux-User benutzt X11, jeder Windows-User benutzt Kerberos, und Microsoft ist ja eh auf der Liste.
Wer sich also Sorgen macht, der kann sich ja die Truecrypt-Sourcen mal in Ruhe angucken. Deshalb kommt Truecrypt ja mit Sourcen.
Update: Im Übrigen möchte ich mal aus einem Chat zitieren:
<Fefe> truecrypt ist jetzt nsa-unterwandert!1!!
<Andreas> Fefe: "jetzt"?
<Fefe> Andreas: wie, war schon immer NSA-unterwandert?
<Andreas> Fefe: Natürlich!!1!
* Andreas hat keine Beweise, aber das zeigt ja schon, wie gut die bei der NSA sind!!
Ein Elitesoldat hat ein Buch geschrieben, das Militär wollte den Verkauf verhindern, also druckt eine Tageszeitung das Buch vollständig ab. Das Militär ist entsetzt, das sei eine Anleitung für Al Kaida, und überhaupt könne man das ja prima daran sehen, dass es bereits eine Arabisch-Übersetzung gäbe. Nur leider stellt sich dann heraus, dass die Übersetzung vom Militär selbst mit Google Translate durchgeführt wurde, und im Word-Dokument als Verfasser das Militäroberkommando stand. Oops.
Seltsam nur, das der von einer Zeitung engagierte Dolmetscher für Arabisch diese „Übersetzung“ als völlig unverständlich abtat. Wie sich zeigte, war sie einfach mit Hilfe des maschinellen Übersetzungsprogramms „Google-translate“ erstellt worden und stellte sich als bloßes wirres Kauderwelsch dar. Noch peinlicher wurde es für das Militäroberkommando, als ein mit den Grundbegriffen von Microsoft-Word vertrauter Journalist bei dem im „doc.“-Format verbreiteten Dokument auf „Eigenschaften“ klickte und als Verfasser der Übersetzung das – Militäroberkommando fand.Dann haben sie noch ein bißchen rumgelogen, sie hätten das nur aus dem Internet in ihr Word kopiert, und das sei wirklich aus dem Internet, aber konnte dann keine URL und keine Logs für das Original vorweisen. Später gab dann der Chef der IT-Abteilung zu, das persönlich erstellt und verbreitet zu haben.
Und das finde ich ja das übelste daran, auch wenn es wenig überraschend ist: Der IT-Chef des Militärs ist zu blöde, aus einer Word-Datei den Autor rauszunehmen.
Ich hänge mich mal soweit aus dem Fenster, bei unserem Militär ein ähnliches Kompetenzniveau zu postulieren. :-)
Advances in artificial intelligence promise many benefits, but scientists are privately so worried they may be creating machines which end up outsmarting — and perhaps even endangering — humans that they held a secret meeting to discuss limiting their research.At the conference, held behind closed doors in Monterey Bay, California, leading researchers warned that mankind might lose control over computer-based systems that carry out a growing share of society’s workload, from waging war to chatting on the phone, and have already reached a level of indestructibility comparable with a cockroach.
Und wie immer waren wir vom CCC mal wieder unserer Zeit voraus :-)Die Konferenz wurde übrigens von einem Microsoft Research Menschen organisiert.
According to Alan Winfield, a professor at the University of the West of England, scientists are spending too much time developing artificial intelligence and too little on robot safety.“We’re rapidly approaching the time when new robots should undergo tests, similar to ethical and clinical trials for new drugs, before they can be introduced,” he said.
Bei der Gelegenheit muss ich euch mal eine Geschichte erzählen. Ich kenne jemanden, der bei Microsoft bei der Crash Dump Analyse arbeitet. Wenn irgendwo ein Windows abraucht, und man den Dump einschickt, dann landet das dort. Denen ist aufgefallen, dass es in China übermäßig häufig RAM-Ausfälle gibt. Das fanden sie interessant genug, um da mal nachzustochern. Sie dachten an das Klima oder vielleicht unzuverlässige Stromversorgung oder so, aber die Lösung war viel einfacher. Das haben ihnen die RAM-Hersteller erzählt. Die RAM-Hersteller (wahrscheinlich nur die chinesischen, nehme ich mal an) lassen ihre RAMs durch die Qualitätsprüfung fahren, und die RAMs, die das überstehen, die gehen in den Export nach Amerika und Europa, und die anderen verscheuern sie dann billig in den Schwellenländern, wo die Leute sich die Export Grade RAMs nicht leisten könnten.
Und wenn ihr das hört, dann denkt mal darüber nach, dass RAMs ja auch in embedded Computern drin ist, wie sie aus China kommen. Man muss da gar nicht über medizinische Geräte oder Reaktorsteuerungen nachdenken, um ein schlechtes Gefühl zu kriegen.
Was für ein Schwachsinn. Nach memcpy kann man immerhin greppen. Wenn man das verbietet, werden einige Leute memcpy_s nehmen (und damit den Code unportabel machen), andere werden inline ein for-Schleife machen, oh und memcpy_s wirft übrigens eine Exception, wenn die Parameter falsch sind. Wenn man das nicht weiß, hat man aus dem nur potentiell ausnutzbaren Overflow einen garantierten Denial of Service gemacht. Tolle Wurst, Microsoft.
Anyway, nun hat es neulich eine Gelegenheit gegeben, einen Vertreter der Festplattenindustrie zu fragen, warum die nicht die Musikmafia gekauft haben, und dann einfach neue Platten mit Musik gefüllt ausliefern oder so. Um die Schmerzen zu beenden. Und ihre Kunden würden es ihnen auch danken, was das alleine für Zeit bindet, sich über die ganzen Klagen, Zensurbestreibungen und Three Strikes Gesetze aufzuregen.
Und die Antwort? Naja, sie würden die Kohle im Moment brauchen, um die Nachfolgetechnologie für rotierende Scheiben zu erforschen.
Kurz gesagt: das klang sehr danach, als hätten die da ernsthaft drüber nachgedacht und da auch mal nachgerechnet.
Hoffentlich werden die mit ihren holographischen Nanotube Speichern fertig, bevor die Contentmafia flächendeckend Internetzensur etabliert hat.
Ich will da mal nicht alle schlecht machen, ein paar Freunde von mir sind da auch am Start, aber nachvollziehen kann ich das nicht. Meine Güte. Von der lupenreinen Kerner-Betroffenheitsschiene bis hin zu "Wenn Frauen bloggen: Warum Babykotze genauso relevant ist wie das iPhone." ist da echt alles dabei. Lauter "wir sind doch wichtig" Talks, warum Blogger Einfluss haben, wie Bloggen gegen den Welthunger hilft, warum das der neue Journalismus ist (!1!!), "Die Welt verändern in 60min." und zwischendurch schimmert sogar noch vereinzelt Hoffnung durch, mit seinem Blog Geld verdienen zu können. Ich bin doch ehrlich erschüttert, wie sehr diese Veranstaltung nach Verlierer-Händchenhalten und Alternativen-WG-Group-Hug klingt. Wenn das die erste re:publica wäre, könnte man ja noch schuldmildernd von "naja, musste man mal testen, ob es nicht doch positive Seiteneffekte hat, sowas" reden, aber so? Alles schon mal dagewesen, und hat schon damals nichts gebracht. Und dazwischen dann so erbärmliche Brigitte-Style Dinger wie "Die Sieben Todsünden im Blogdesign" oder gar "Wie persuasives Webdesign uns beeinflusst und wie wir es nutzen können". OH MEIN GOTT!!! Eine Runde Rumgefurze über "Nomaden" und Microblogging darf natürlich auch nicht fehlen. Und ein paar pseudokontroverse Podien über Evergreens wie die Kulturflatrate. Man kann den Veranstaltern zu Gute halten, dass sie da durchaus internationale Gäste von Rang und Namen haben, aber will wirklich noch jemand Lawrence Lessig über die Zukunft reden hören? Will wirklich jemand einen Vortrag namens "Vom Konsumenten zum Gestalter - eine eigene TLD im Internet" hören? Oder wie wäre es mit dem "IBM InnovationJam (R)" (IBM ist Sponsor und hat sich da offenbar ein paar Slots gekauft, u.a. auch "Clients der Zukunft und das Microsoft-freie Büro")
Na macht ihr mal alle. Man hört ja, es sei ausverkauft. Nicht dass ich mir hier groß Illusionen mache, was ich mit meinem Blog ausrichten kann, aber ich versuche es immerhin. Hoffentlich gibt es da wenigstens leckere Schnittchen.
Ein Bekannter meinte zu dem Programm nur trocken, er würde dann mal sein Blog einstampfen. Mit solchen Leuten wolle er nichts zu tun haben.
What makes this document fascinating is that it contains both the original and modified text (in glorious colour, so it's really worth downloading it and taking a look), which means that we can see what exactly an organisation sympathetic to Microsoft – and partly funded by them – is worried about, and how it is trying to head off the threat.Hochspannend!
Immerhin haben sie jemanden beauftragt, der sich mit Korruption auskennt.
Wie wahrer Unternehmenserfolg aussehen kann, weiß Microsoft natürlich: Die Microsoft-Zentrale in Redmond hat ganz offiziell die Firma Siemens in München mit "Beratungsleistungen für die Korruptionserkennung, -Behandlung und -Vermeidung" beauftragt. Der Vertrag soll im einstelligen Millionenbereich liegen, aber ausbaufähig sein. Eine Windows-Windows Situation gewissermaßen: Was Siemens an Schmiersummen zum Fenster rausgeworfen hat, kann es mit Beratungsleistungen wieder einnehmen.Tja, da kann man als Satiriker nach Hause gehen. Diese Realität kann man nicht mehr satirisch überspitzen.
Und wo wir gerade bei Hal Faber sind: auch für das folgende Stück würde ich ihm am liebsten direkt einen Orden umhängen:
Dafür haben wir für eine probate Beschäftigung für Jedermann, nämlich Islamisten ausgucken. Die Schweinezucht war schon immer ein bedeutsamer Exportfaktor bei uns in Niedersachsen.Inhaltlich ist das natürlich mal wieder eine Schünemann-Aktion, die sich nahtlos in den Rest seiner schwachsinnigen Aktionen einreiht.
The new technology platform has been developed using the Microsoft .NET Framework, with support from Microsoft and AccentureDa haben sich ja die richtigen Technologien und Leute zusammen gefunden…Update: Die Betreibergesellschaft sagt, es war das Netz, nicht die Software. Halte ich für unwahrscheinlich, denn 1. dauert in solchen Fällen die Reparatur keine 7 Stunden, und 2. hat man gerade in solchen Setups alles mehrfach redundant am Start. Besonders peinlich ist ja, dass Microsoft fett damit Werbung gemacht hat, die Londoner Börse habe wegen der Zuverlässigkeit Windows statt Linux gewählt. Bwahahahaha
Oh und der verschwörungstheoretische Aspekt ist auch nicht zu verachten: das war der Tag, wo die Amis Fannie Mae und Freddie Mac verstaatlicht haben.
Da gehörte schon ganz schön Anstrengung dazu, noch schlimmer als Microsoft auszusehen mit den EULAs und dem Nach-Hause-Telefonieren. Gratulation, Google, das kann nicht einfach gewesen sein. Wieso wollen eigentlich alle großen Firmen über kurz oder lang das größe Arschloch am Markt sein? Ist das inhärent?
Ich habe hier gerade nur ein 64-bit Vista, um das mal zu prüfen, und da tauchen die beiden Konstanten aus dem Disassemblat in dem Blog nicht in lsasrv.dll auf, aber dafür in psbase.dll.
Es geht hier um die Funktion CryptProtectData, nicht generell um den Zufallszahlengenerator, wenn ich das richtig verstehe. CryptProtectData ist dafür da, dass eine Anwendung private Daten des Nutzers "verschlüsseln" kann, so dass sie auf der Platte abgelegt nur für diesen User zugänglich sind. Ich weiß jetzt nicht, wer das konkret benutzt, aber ich würde mal vermuten: sowas wie Internet Explorer für die gespeicherten Webseiten-Passwörter.
Nun wird Microsoft das ja nicht eingebaut haben, weil sie Franzosen nicht mögen, sondern auf Druck der Regierung. Da muss man sich ja schon mal fragen: wie kommt es eigentlich, dass diese üble Junta in der EU ist? In der Verfassung faseln sie was von Menschenrechten und dann sowas? Krasse Scheiße. La Grande Nation, my ass.
Oh übrigens, wer kein Assembler lesen kann: da steht was von DESKey, und er schreibt die beiden Konstanten 0x6d8a886a und in die zweite Hälfte 0x4eaa37a8. Ich lese das mal ohne weitergehende Analyse ungefähr so:
if (country == FRANCE || language == FRENCH)
deskey=0x4eaa37a86d8a886a;
Update: wichtiges Detail: offenbar ist es || statt &&, d.h. auch der französischsprachige Teil von Kanada wäre betroffen. Das sagt mir gerade Ramon, der besser Französisch kann als ich. (Danke, Jason)
Nachschlag zur Debian-Sache: ich hatte ja erzählt, dass whitehouse.gov betroffen war. Nun, stellt sich raus, auch Akamai ist betroffen. Akamai, das sagt vielleicht dem einen oder anderen nichts, das ist ein Content Distribution System. Das wird von allen möglichen Sites benutzt, u.a. von ATI für den Treiber-Download, und, besonders pikant, ELSTER zum Formular-Download für die Steuern:
DownloadWas heißt das jetzt konkret? Deren X.509-Zertifikat ist ja public, wurde von deren Webserver ausgeliefert. Inzwischen haben sie den natürlich ersetzt. Aber wer schnell genug war (und jemand war schnell genug und hat mir das gemailt), der hat jetzt ein Zertifikat mit dazugehörigem Private Key von "a248.e.akamai.net".Der Download erfolgt von einem externen Server des Anbieters Akamai "a248.e.akamai.net" der von der Finanzverwaltung für die Bereitstellung der ElsterFormular-Dateien genutzt wird.
Was heißt das? Nun, dieses Zertifikat ist ja signiert. Von einer CA, der die Browser der Welt vertrauen. Ich kann mich jetzt also mit diesem Zertifikat hinstellen und Browsern gegenüber erfolgreich behaupten, ich sei Akamai. Konkret: wenn jemand neben mir auf einer LAN-Party einen ATI-Treiber runterläd, oder sein Steuer-Formular zieht, kann ich mich in die TCP-Verbindung einklinken, und dann ist der SSL-Schutz ausgehebelt.
Um den Schaden von sowas zu minimieren haben SSL-Zertifikate eine Verfallsdauer von einem Jahr (naja, einstellbar, aber üblicherweise ist es ein Jahr). Dieses Akamai-Zertifikat läuft im Oktober aus. Ich habe das Zertifikat lokal geprüft und es funktioniert. Also, mal unter uns: das ist eine echt große Katastrophe. Nicht nur für Akamai. Es gibt auch nichts, was Akamai tun kann. SSL hat für solche Fälle die Idee einer Revocation List, aber das skaliert nicht und daher haben die Browser das alle abgeschaltet oder gar nicht erst implementiert. PKI funktioniert schlicht nicht in der Breite. SSL ist überhaupt ein Kapitel für sich. Habt ihr mal in eurem Browser die Liste der CAs angeschaut, denen euer Browser vertraut? Kennt ihr auch nur bei einer davon nähere Informationen, die Vertrauen rechtfertigen würden? Seht ihr? Ich auch nicht.
Ich möchte noch eine Sache bestonen: Akamai hat sich hier nichts vorzuwerfen. Die haben alles richtig gemacht. Wir bauen unser Kryptographie-Fundament auf Sand, da kann man noch so tolle Best Practices haben und einhalten. Im Übrigen gelten diese Überlegungen auch für alle anderen Varianten, wie jemand an einen Private Key kommen kann, z.B. Einbruchsdiebstahl. Und es gilt analog für alle anderen Public Key Systeme und PKIs im Moment, z.B. bei e-Government und der Gesundheitskarte. Skalierender Schlüsselrückruf ist ein ungelöstes Problem.
Update: Noch ein Nachschlag zu ELSTER. Stellt sich raus, dass die Elster-Leute auch noch ein Cross Site Scripting Problem haben, und man gar nicht SSL spoofen muss, um denen den Bundestrojaner unterzujubeln. Danke an Thomas für den Hinweis.
Update: Alexander Klink hat offenbar auch eine große deutsche Bank mit dem Problem gefunden, und, besonders hart: deren Zertifikat läuft erst in drei Jahren ab.
In the wake of the Debian weak key issue it was revealed that whitehouse.gov had a weak key. It turns out that the Akamai SSL key is also weak. Akamai, in case you never heard of them, is a major content distribution network. They have tens of thousands of servers distributed over the world. If you have a high traffic web site, you can contract with them, and they will host it and redirect visitors to the site closest to them. Their customer list includes Microsoft, the New York Times, and — particularly interesting for this — ATI's driver downloads.
Akamai obviously replaced their keys immediately. BUT. If you were quick enough, you could get their old public key (it is sent as part of the SSL handshake), and since the private key is weak (there are only 32k possible keys), you can generate the private key to it. Someone did (who wishes to remain anonymous) and sent the key to the CCC. I verified it. The key works. The part that has not sunk in yet for most people is: the public key is signed by a CA that browsers trust. I have a public key and a private key. I can now impersonate Akamai. If I can manipulate your TCP connection (which is easy, for example, if you are using Wifi or are on the same LAN with me), I can send you malware instead of the ATI driver.
SSL has two defenses for this. First: keys expire. This particular key expires October 2008. Second: Certificate Revocation Lists. SSL originally had the idea that CAs would publish a list of compromised keys, and as part of the SSL handshake, the browser would check if the key is on the list. The problem is: that does not scale. At all. There are billions of SSL connections being established per second, Verisign can not possibly pay for the traffic to send their list to everyone. So — noone checks the CRLs. This is the main reason why PKI does not work in practice.
One more thing: I'd like to stress that Akamai did nothing wrong here. They did everything right and still have a problem. The same problem occurs if someone gets the private key by some other means, for example breaking and entering. The foundation upon which we build our infrastructure is less stable than most people realize.
Update: gibt sogar schon einen Bug von 2002 dazu :-)
Nun, ich wollte mir gerade Visual C++ Express Edition von Microsoft runterladen, um mal meinen Optimizer-Vortrag mit Windows-Beispielen zu updaten, und was sehen meine entzündeten Augen? Microsoft empfiehlt ISObuster und Daemon Tools. ISObuster hat m.E. außerhalb von Warez auch nur wenig Anwendungsgebiete. Da sieht man mal, wo die ganzen Warez-Leute arbeiten. Bei Microsoft! :-)
Weitere Maßnahmen zum Schutz des geistigen Eigentums hält der Ausschuss für internationalen Handel beim EU-Parlament für angebracht. Im einer Stellungnahme (PDF-Datei) zur "europäischen Kulturagenda im Zeichen der Globalisierung" wird vor "bislang nicht gekannten Bedrohungen" durch "Open-Source-gestützte Internetportale und -dienstleistungen" gewarnt.Ich fürchte, die Merkel ist mit ihrer Microsoft-Jubelperserei nicht alleine. Microsoft hatte gerade ein Rekordquartal, die Kohle haben sie offenbar gut angelegt.
Die damit einhergehende Verletzung "geistiger Eigentumsrechte", "Produktpiraterie" und "unerlaubte Digitalisierung" müsse aufmerksam beobachtet werden.Oh, na klar, die Open Source Kommunisten werden uns alle fressen!1!! (Danke, Michael)
Das "Geheimnis von Microsoft" sie offenbar auch gewesen, "dass man es den Benutzern möglichst einfach macht", meinte Angela Merkel bei Microsofts Government Leaders Forum.Und dann noch dieser Knaller hier:
Diktatorische Systeme bekommen nach Ansicht der CDU-Politikerin "zunehmend ein prinzipielles Problem". Wenn Informationen weltweit verfügbar seien, "ist das Voraussetzung für wirtschaftlichen Erfolg". Auch in Diktaturen müssten daher IT-Fähigkeiten vermittelt werden. Zugleich müssten diese diktatorischen Führungen aber sicherstellen, "dass Bürger nicht so mündig werden, dass sie das System kritisieren".Da hat sie sich wohl kurz unbeobachtet gefühlt. Wir haben das ja zum Glück unter Kontrolle mit unseren ganzen Hofberichterstatter- und Mitläufer-Medien und unserer ganzen simulierten Dialektik zwischen den "Volksparteien", die sich am Ende doch gleichen.
Eine Webseite, bei der selbst die zynischsten IT-Profis mehrere Minuten brauchen, bis ihnen klar wird, dass es sich nicht um eine Satire handelt.
Eine Webseite mit absolut keinem meßbaren Inhalt, die eine Packung Snake Oil verkauft, von der sie nicht mal beschreiben kann, was es überhaupt leisten soll.
Dazu eine völlig nichtssagende Grafik wie aus den 80ies, der Text am rechten Rand herrlich unprofessionell als Inline-Grafik, und Buzzword Galore, dass es nur so kracht.
Wer noch Zweifel hat, sieht diese durch ".htm" als Dateiendung, "windows-1252" als Charset und "Microsoft FrontPage 6.0" als HTML Generator ausgeräumt.
Ja, liebe Leute, diese Webseite kann man gar nicht oft genug verlinken. Das Zitat am oberen Rand ist auch ein Meilenstein der Satire, so völlig nichtssagend, dass es auch auf Klopapier passen würde.
Aber halt, das wird noch besser. Klickt erst mal auf Executive Overview! Das ist so prototypisches Messe-Marketing-Loser-Gewäsch, da kriegt man Pickel von!
Aber halt, es geht noch schlimmer. Es gibt da tatsächlich einen Link "Success Stories", mit dem Who Is Who der Firmen, von denen man auch direkt gedacht hätte, dass die auf sowas reinfallen. Besonders großartig: "U.S. Government Intelligence Agency".
Von welcher Webseite ich rede? Na klar, von http://www.omg.com/mda/. Kann man sich gar nicht ausdenken, sowas. Ich habe ja mal nachgedacht, ob ich nicht eine Satire auf die ganzen beschissenen Industriestandards machen soll. Dann fiel mir diese Webseite ein, und da hab ich aus dem Stand aufgegeben. Mit diesen Leuten kann ich unmöglich konkurrieren.
Nun könnte man sich generell fragen, wer denn bitte auf die unglaublich bescheuerte Idee kommt, so ein Flag überhaupt einzuführen. Und die Überraschung ist: sie wissen, was für eine Schweinerei das ist, und wollten das daher erst ab 2010 benutzen, wenn sie den Markt schon saturiert haben. Denn jetzt werden die Leute natürlich sehen, was für eine Abzocke und Verarsche dieser ganze HD-Unfug ist und nicht mehr in Geräte und HD-DVDs investieren. Und Blu-Ray ist keinen Deut besser.
Der lustige Teil an der ganzen Sache ist, dass das die Piraten natürlich überhaupt nicht betrifft, die werden das nicht mal merken. Die ziehen sich weiterhin ihren Rip aus dem Internet und gucken das auf allen Endgeräten, auf die sie gerade Bock haben.
Insofern: herzlichen Glückwunsch, Microsoft. Das habt ihr prima gemacht. Schöner "Kopierschutz". (Danke, Martin)
Sie begründete ihre Unterstützung damit, der der Klage Odoms zugrunde gelegte Racketeer Influenced and Corrupt Organizations Act werde in Zivilverfahren inflationär angewendet. Das Gesetz solle der Bekämpfung der organisierten Kriminalität dienen, nicht aber gegen legale Unternehmen.Nun, äh, was soll ich sagen, es wird ja auch immer schwieriger, den Unterschied zu sehen :-)
Update: Mhh, bei Dell und Sony müsste man da sogar noch Geld raus kriegen unterm Strich, so viel überflüssige Gülle wie die da vorinstallieren…
In einer beispiellosen Demonstration seiner Marktmacht hat Microsoft daraufhin versucht, die Abstimmungen in den weltweiten OOXML-Komitees zu seinen Gunsten zu beeinflussen. Den Anfang machte die USA: Monate vor der Abstimmung bestand das Komitee aus sieben Mitgliedern, darunter Microsoft. Am Abstimmungstag waren es plötzlich 26 und die neuen Mitglieder entpuppten sich als Microsoft-Partner.Das mit Schweden hatte ich ja schon berichtet hier.
Ein schwedischer Microsoft-Mitarbeiter hat zudem zugegeben, dass Partner mit der Bitte an der Abstimmung teilzunehmen, angeschrieben wurden.Hehehehehe :-)Ähnlich ging es auch in der Schweiz, in Italien, Portugal, Spanien, Deutschland und Dänemark zu. Im zuständigen italienischen Komitee beispielsweise ist die Zahl der Mitglieder seit Jahresbeginn von vier auf 85 gestiegen, da nicht nur Microsoft seine Partner mobilisiert hatte, sondern auch ODF-Anhänger, die von dem Microsoft-Vorhaben Wind bekommen hatten.
In Portugal ist der Leiter des Komitees Miguel Sales Diaz — ein Microsoft-Manager. Unter Diaz wurden zwar neue Mitglieder zugelassen, allerdings nur bestimmte. IBM und Sun lehnte Diaz mit der Begründung »bereits zu viele Mitglieder« ab. Die Abstimmung endete 13 zu 7 zugunsten von Microsoft. In Dänemark soll Microsofts Verhalten sogar Thema einer Parlamentsdebatte werden.Tja, freier Handel, offene Märkte, Monopol und Marktmißbrauch? Ach watt. Würden Amis NIE machen. (Danke, Charly)
Also mal ehrlich: im Grunde konnte man die ja noch nie ernst nehmen. Wenn Microsoft als Wurmplattform Nummer 1 mit eBay als Phishing-Ziel Nummer 1 und der Telekom als Kompetenzträger Nummer 1 eine Initiative für Sicherheit im Netz gründet, … das kann doch nur eine Farce werden.
A new Microsoft-funded study has found that open-source developers do not believe that licenses such as the upcoming GNU General Public License 3.0 should enforce software patents or prevent deals like the Microsoft-Novell patent agreement.Ich bin mir sicher, daß euch das genau so schockiert wie mich. Captain Obvious war für eine Stellungnahme gerade nicht zu erreichen, da er wegen Schlaganfalls in Krankenhaus eingeliefert werden mußte.Sehr lustig auch ihr Befragungsprozess:
MacCormack describes the study as a survey of "key contributors" from major open-source projects. Although 332 emails were sent to various developers, only 34 agreed to participate in the survey.an 11 percent response rate. Of the 34 developers who responded, many of them are associated with projects like Apache and PostgreSQL that don't even use the GPL.
Bluehat bestand aus 5 Vorträgen in einem Saal, und dann einem Haufen Lightning Talks. Die Vorträge haben mich jetzt nicht so vom Hocker gehauen, bis auf den über Hardware-Hacken von Bunnie und Felix Domke. Ich geh mal der Reihe nach durch.
"Your Underground Vulnerability Economy" war von einem hyperaktiven Typ, der da irgendwelche IRC-Kanäle zitiert hat, und da Preise genannt hat, was man angeblich wo kaufen kann, und daß die Leute da mit Datensätzen handeln. Na was für ein Schocker. Von der Seriosität kam der Typ mir ein bißchen wie eine Kreuzung aus Gebrauchtwagenverkäufer und Megachurch-Pfarrer vor.
"Breaking Into Microsoft Security Tools" war ziemlich lahm (und inzwischen habe ich noch ein paar Leute herzhaft über die Vortragenden herziehen hören, was das Bild vervollkommnete). Als Inhalt hatten sie da Windows Defender (Microsofts Antimalware-Produkt), und sie haben da als großen Hack gezeigt, daß man dem ein Signatur-Update geben kann, und der dann seine eigene Engine löscht. Also bei dem Titel hatte ich mindestens Code Execution erwartet.
Der Windows Mobile Vortrag stellte sich als Bluetooth-Vortrag heraus. Die beiden Vortragenden wirkten ein bißchen wie Zeugen Jehovas, mit Dauergrinsen im Konfirmationsanzug. Also nicht unsympathisch, aber irgendwie auch nur bedingt überzeugend. In dem Vortrag hatten sie dann eine Man-in-the-Middle Angriff auf Bluetooth. Ansonsten platzierten sie da die Botschaft, daß sie schon total voll lange mit ihrer Firma am Start sind, also mindestens anderthalb Jahre, und wie toll sie mit den ganzen Vendors zusammenarbeiten würden.
"Death by 1000 Cuts" hab ich erst für einen Scherz gehalten. Es ging da wohl um Browser-Angriffe, aber der Vortrag bestand im wesentlichen aus "künstlerischen" Videoclips, wo irgendwelche Buzzword-Scheiße über den Bildschirm rotierte, so wie man sich einen Flash-Screensaver vorstellen würde, während eine Frauenstimme zusammenhanglos Dinge wie "HTML", "Tags", "Web 2.0" und "AJAX" murmelte, und er erzählte da eine Geschichte, wie jemandem seine Daten geklaut wurden. Ich glaube, dieser Typ hat sich in der Veranstaltung geirrt. Das war eher peinlich.
Bei den Lightning Talks hat das Office Security Team (u.a. David LeBlanc, den man ja von seinen Büchern kennt) ihre Sandbox vorgestellt, mit der sie ihren Code zum Importieren von alten Office-Dokumenten absichern wollen, indem sie ihn mit Dingen wie einem restricted Token und einem separaten Desktop in einem separaten Binary starten. In der Praxis hilft das alles natürlich gar nichts, aber immerhin raucht dann nur der Import-Prozeß ab, nicht das ganze Office. Ein Angreifer kriegt immer noch Code Execution, kann Netzwerk-Kram machen (auch zu localhost) und Kernel-Bugs ausnutzen. Highlight war eine Demo, wo sie nach einigen kaputten Dokumenten auch mal ein Powerpoint-File geöffnet haben, das nicht korrupt war, um zu zeigen, daß das auch geht, und die bestand im Wesentlichen aus diesem großartigen Bild hier. Soll noch mal jemand sagen, Microsoft habe keinen Humor! :-)
But Raikes, speaking last week at the Morgan Stanley Technology conference in San Francisco, said a certain amount of software piracy actually helps Microsoft because it can lead to purchases by individuals who otherwise might never have been exposed to the company's products."We understand that in the long run the fundamental asset is the installed base of people who are using our products," Raikes said. "What you hope to do over time is convert them to licensing the software." […]
"You want to push towards getting legal licensing, but you don't want to push so hard that you lose the asset that's most fundamental in the business," said Raikes, who estimated that between 20% and 25% of all software used in the United States is pirated.
(Danke, Sebastian)
Ansonsten gibt es gerade diese schöne Meldung aus Österreich:
"Das neue Computersystem PAD der österreichischen Polizei ist ein einziger Rohrkrepierer. Es hindert die Polizisten daran, ihrer Aufgabe für die Sicherheit der Bevölkerung zu Sorgen, nachzukommen", kritisiert Harald Segall, Personalvertreter der Wiener Polizei. Früher habe die Aufnahme einer Anzeige rund zehn Minuten in Anspruch genommen. Mit dem seit Jahreswechsel eingesetzten neuen EDV-System betrage der Aufwand im Schnitt über eine Stunde. "Das neue EDV-System ist eine Gefahr für die Sicherheit der Bevölkerung", so Segall, "Die Polizisten sitzen seither fast nur mehr vor dem Computer."Und auf Bayerns Probleme hatte ich damals schon verlinkt.
Ich bin ja auch gelegentlich geneigt, bei der Polizei eine ähnliche Theorie wie beim BND zu pflegen: daß das bloß eine Tarnorganisation ist, um die Feinde / Kriminellen in Sicherheit zu wiegen, während der echte Geheimdienst ungestört im Hintergrund agieren kann. Leider gibt es nicht viel Indizien für diese Annahme, weder beim BND noch bei der Polizei. Aber nicht daß mir das hier einer als Kritik mißversteht! Ich bin froh, daß das so ist. Sowohl beim Geheimdienst als auch bei der Polizei.
Die SINA-Box ist ein VPN-Endpunkt, kein MITM-Werkzeug. Man benutzt es gerade, um sich gegen MITM zu schützen. In das große Lawful Interception Bild paßt die SINA-Box höchstens indirekt rein, wenn die abgehörten Daten damit verschlüsselt zum "Bedarfsträger" (so nennt man das im Fachjargon) geleitet werden. Ich hoffe, Volker fängt sich jetzt keine Klage von Secunet (dem Hersteller der SINA-Box) ein, denn was er da geschrieben hat ist Bockmist.
Der Staat wird auch nicht anfangen, Dateien in vorbei fliegenden Downloads zu ersetzen. Theoretisch ist das denkbar, aber wenn sie das tun, und jemand prüft Checksummen nach, dann ist der Trojanerversuch enttarnt. Daher halte ich das für unwahrscheinlich.
Dann gab es da noch die Theorie, daß sie Windows Update o.ä. mißbrauchen. Auch das halte ich für abwegig, denn eine Firma wie Microsoft hat eh schon damit zu kämpfen, daß Softwarepiraten ihren Updateservice für nicht vertrauenswürdig halten, und die Updates nicht installieren, sich dann Malware einfangen, und am Ende sieht das so aus, als sei Windows mal wieder total trivial zu infizieren, dabei gab es den Patch schon seit Jahren. Daher kann ich mir nicht vorstellen, daß die sich für sowas mißbrauchen lassen. Und per MITM kann man bei solchen Update-Services nur was reißen, wenn die wirklich schlecht implementiert sind, bei MS Update und hoffentlich auch allen Antivirus-Updates sind digitale Signaturen involviert, gerade um MITM-Angriffe abzuwehren.
Die nächste Variante wäre, den Leuten den Trojaner einfach per Spam zu schicken, und dann zu hoffen, daß die Leute da draufklicken. Und die Variante ist die einzige, von der ich mir vorstellen kann, daß unsere Strafverfolgungsbehörden ausreichend Expertise haben, nachdem ihnen jemand anderes einen Trojaner gehackt hat. Ich hatte ja bisher nicht viel mit den Strafverfolgungsbehörden zu tun, aber wenn, dann haben die jedes Mal einen katastrophalen Eindruck hinterlassen. Gut, kann natürlich auch Schauspielerei sein, damit sie unterschätzt werden :-)
Insofern mache ich mir da wenig Sorgen, jemals von einem Bundestrojaner betroffen zu sein. Mein momentaner Eindruck ist, daß da einfach jemand geplappert hat, was sie gerne hätten. Jemand, dessen Sachkenntnis sich aus Hollywood-TV ala "Alias" oder "CSI" speist ("Image-Enhancement aktivieren, fraktale Extrapolation des Gesichts anhand der zwei Pixel auf der Überwachungskamera läuft…"). Jemand, der von Tuten und Blasen keine Ahnung hat, und der gerade dafür gesorgt hat, daß sich mein Eindruck der Strafverfolgungsbehörden noch mal deutlich in Richtung Tiefgeschoss verschiebt. Aber ich kann nicht sagen, daß ich das schlecht finde, wenn die Strafverfolgungsbehörden unfähig sind. Das ist immerhin der beste Schutz, den wir vor "Antiterror"gesetzen und staatlicher Oppression haben.
You receive an access violation when you try to install an update from Windows Update after you apply hotfix package 916089Und was ist Hotfix 916089?When you run Windows Update to scan for updates that use Windows Installer, including Office updates, CPU utilization may reach 100 percent for prolonged periodsNa da kann man ja nur von einer deutlichen Verbesserung reden!1!! (Danke, Wolfgang)
So hat eine aktuelle Untersuchung von IDC nachgewiesen, dass sich das Sicherheitsrisiko durch den Kauf und die Nutzung von gefälschten Produktschlüsseln, Raubkopien, Schlüssel-Generatoren oder Cracking-Tools deutlich erhöht. Ein Viertel aller Websites, die illegale Software-Versionen oder Produkte anbieten, enthält schädliche oder unerwünschte Software. Sogar 59 Prozent aller Schlüssel-Generatoren und Cracking-Tools in P2P-Netzwerken sowie 11 Prozent in Websites schleusen Malware auf den PC ein. IDC schätzt, dass die Kosten für ein Unternehmen bei 1.000 US-Dollar liegen, um sich von einem einzigen Störfall durch gefährliche Software auf einer Workstation zu erholen. Die Kosten für verloren gegangene oder kompromittierte Daten reichen oft bis zu mehreren 10.000 Dollar pro Vorfall.
Ballmer admitted to financial analysts that the predictions for Vista had proved 'overly optimistic' and he blamed the pirates in China, India, Brazil, Russia and other emerging markets.He said his final solution would be to increase the intensity Windows Genuine Advantage as part of an effort to squeeze more revenue from developing nations.
Ballmer believes that one way Microsoft can bump up Windows sales is to tighten the screws on pirates. "Piracy reduction can be a source of Windows revenue growth, and I think we'll make some piracy improvements this year."
Ich finde ja den letzten Satz großartig. Microsoft wird Fortschritte bei der Softwarepiraterie machen. (Danke, Kris)
WHQL approval is a big deal for manufacturers as Microsoft gives you money if all of your drivers are WHQL.SO ist das also! Oh Mann. Was ist das bloß alles für ein korrupter Haufen, diese IT-Industrie.
Haben Sie Angst vor den sogenannten Trojanern, also vor Spionagesoftware?Na da hat wohl jemand das Microsoft Virus Quiz bestanden!! :-)Nein, ich öffne grundsätzlich keine Anhänge von E-Mails, die ich nicht genau einschätzen kann. Außerdem bin ich anständig, mir muss das BKA keine Trojaner schicken.
Warum wollen Sie Computer unbedingt heimlich überwachen? Genügt es nicht, den Rechner bei einer Hausdurchsuchung zu beschlagnahmen und dann auszuwerten?Und hier ist noch ein Highlight. Angesprochen auf die Privatsphäre und das Verfassungsgericht, sagt er:Nein, es gibt Fälle, da würden die Ermittlungen vorschnell gestört, wenn die Polizei eine Hausdurchsuchung macht. Dann würden Hintermänner und Komplizen gewarnt und könnten ausweichen. Außerdem ist ein Laptop ja auch leicht zu verstecken, vielleicht wird er bei einer Durchsuchung gar nicht gefunden. Ans Internet muss er aber immer wieder.
Ich kenne und respektiere die Rechtsprechung des Bundesverfassungsgerichts zum Schutz der Privatsphäre. Aber wir müssen auch sehen, dass dieser Schutz in der Alltagswirklichkeit praktikabel bleibt. Verbrecher und Terroristen sind klug genug, so etwas auszunutzen. Die tarnen ihre Informationen dann zum Beispiel als Tagebucheintrag. So leicht dürfen wir es denen nicht machen.Die taz wollte dann noch mal kurz prüfen, ob der Mann die Einschläge um sich herum noch spürt:
Gegen die ebenfalls geplante Vorratsspeicherung aller Telefon-, E-Mail- und Internetverbindungsdaten wollen 10.000 Menschen Verfassungsbeschwerde einlegen. Stimmt Sie das nicht nachdenklich?Antwort: nein. Und wenn sie ihn schon mal im Interview haben, können sie ja auch gleich mal fragen, ob er die biometrischen Daten für die neuen tollen Ausweise auch für die Fahndung nutzen will:So etwas regt mich nicht mehr auf.
Derzeit werden biometrische Pässe eingeführt, und biometrische Personalausweise sollen ab 2008 folgen. Dann sind Passbilder und Fingerabdrücke der ganzen Bevölkerung digital erfasst - ein wunderbares Fahndungsinstrument.Tja, Freunde, da geht der Weg hin.Das ist nicht geplant. Die biometrischen Merkmale sollen die Ausweispapiere fälschungssicher machen und sicherstellen, dass Passinhaber und vorlegende Person identisch sind. Mit Fahndung hat das nichts zu tun. Die biometrischen Daten sind ja auch ausschließlich auf dem Chip des Ausweispapiers gespeichert.
Und sie sind bei keiner staatlichen Behörde gespeichert? Weder zentral noch dezentral?
So ist das vorgesehen.
Und wie lange gilt dieses Versprechen?
Der Gesetzgeber behält immer die Möglichkeit, einmal getroffene Entscheidungen später zu revidieren. Da lege ich mich jetzt nicht fest.
The size of the data bar for the last value — 170 — is too big given the relative size of 170 to the other numbers in the range (hundreds of thousands). Why would that be — the data bar should technically be 0 pixels wide? The answer is that when we were doing usability testing of this area in Excel, we found that users preferred not to see blank data bars, so Excel's default was set to a 10% minimum width.Kann man sich gar nicht ausdenken, sowas.
Immerhin scheint die neue Kernel-Rootkit-Absicherung die ganze Kopierschutzscheiße bei PC-Spielen kaputt zu machen, so daß 90% davon nicht unter Vista laufen.
Ich habe ja neulich mal wieder Red Alert und Yuri's Revenge installieren wollen unter XP, und es rauchte sofort ab beim Start. Nach einem halben Tag rumgoogeln und sinnfrei Sachen probieren habe ich die Lösung gefunden: bei Macrovision ein Update für den Safedisc-Kopierschutz-Dreck ziehen. Danach lief das Spiel auch unter XP. Ich bin mir ja sicher, daß ein besonders unbequemer Teil der Hölle für die Kopierschutzmafia reserviert ist. Da müssen sie dann ganztägig an der Hotline sitzen und ihren Kunden beistehen. Mögen tausend Fliegen unter ihren Achseln wohnen!
Im Security-Advisory 932114 schränkt Microsoft jedoch ein, dass nur das veraltete Word 2000 für Windows verwundbar sei. Neuere Versionen und Word für Mac OS seien nicht betroffen. Die Attacke sei außerdem recht selten.Na dann…
The Java version took 178 microseconds and the C version took 63 microseconds. When a GC occurred during a copy, the Java version took 230 microseconds.Na das ist doch voll akzeptabel!1!! Laßt uns auch gleich Websphere in den Kernel tun. Und was soll ich euch sagen, Microsoft hat diesen Schritt vorher gesehen und IBM den Websphere-Verbr^WErfinder abgeworben (Danke, Hilko)
Microsoft schickt seinen neuen Webeditor ins RennenDen zweiten Satz muss man gar nicht zuende lesen! Weitgehend! HAHAHADas Programm […] eine deutlich verbesserte Code-Qualität.
Außer weitgehend standardkonformem Webdesign […]
Lacher am Rande:
For about four years, Microsoft has tapped the spy agency for security expertise in reviewing its operating systems, including the Windows XP consumer version and the Windows Server 2003 for corporate customers.Und hey, bei XP konnte das ja jeder sehen, wie gut das geklappt hat. Die paar hundert Exploits, die es da gab, … ohne die NSA wären das sicher Tausende gewesen!
TRIPS ist das Abkommen, das verhindert, daß der Niger im Sudan Medikamente unter Mißachtung der Patentsituation einkauft, um sich selbst zu helfen. TRIPS sagt, wenn Niger Medikamente braucht, und Patente wegen drohendem humanitären Notstand mißachten will, dann müssen sie die Medikamente selber herstellen. Dazu fehlt ihnen aber das Know-How und die Fabrik. Wobei auch die Sudan-Lösung nicht so einfach wäre, weil Bill Clinton ja deren Fabrik zerbombt hatte damals, unter irgendwelchen hanebüchenen Terrorismus-Begründungen, die sich natürlich umgehend als Lüge heraus gestellt haben. Eigentlich geht es nämlich darum, TRIPS aufrecht zu erhalten.
Warum würde Bill Gates TRIPS aufrecht erhalten wollen? Weil TRIPS auch Software-Piraterie in Entwicklungsländern verbietet.
Insofern ist es schon eine besondere Ironie, daß Bill Gates seine "philantropische" Aufrechterhaltung des Microsoft-Geschäftsmodells der Ausbeutung von 3. Welt Staaten über Profite aus der Ölindustrie finanziert, die ja die bei den Industrien, die 3. Welt Länder ausbeuten, an Platz 1 ist. Die halten halt am Ende doch alle zusammen, die Bonzen.
Jetzt gibt es Namen zu den Kunden: Credit Suisse, AIG und Deutsche Bank. Besonders bemerkenswert: Credit Suisse hat gar kein SuSE Linux im Einsatz.
Das zeigt mal wieder: große Firmen können auch Scheiße in Pappkartons verpacken, und sich das dann gegenseitig verkaufen.
Jedenfalls: offenbar kriegen offenbar nur größe Firmen ein Spezial-Zertifikat, und das fällt jetzt den Klein-Shops auf. Aber nein, das hat NICHTS damit zu tun, daß Microsoft und Verisign kleine, innovative Firmen mit unfairen Mitteln vom Markt drängen wollen, das ist, äh, ein bedauerlicher Seiteneffekt, ein Mißverständnis.
Alle Betroffenen im Gesundheitswesen müssten die Bereitschaft aufbringen, mit IT in Berührung zu kommen, betonte Merkel. Auch wenn dies bedeute, dass es "nicht mehr möglich ist, eine Rechnung zweimal abzurechnen". Generell ist Deutschland laut Merkel in diesem Bereich "dicht daran, in Europa wieder Standards zu setzen." Dies sei wichtig, denn "wer die Schnittstellen definiert, kann über Jahre hinweg Marktanteile sichern."Um Innovation oder gar Patienten Helfen geht es hier nicht, es geht um Marktanteile für ihre Cronies. Na ganz prima. Da hat sich ja in Kohls Hintern die richtigen Lektionen aufgeschnappt.
Merkel versicherte: "Dieser Gipfel ist nicht folgenlos."Hoffentlich nicht. Jetzt wären mal ein paar Arsch- und Rücktritte indiziert.
Oh und ich hoffe, ihr habt alle mitgekriegt, was die Merkel da unterstellt hat mit dem Rechnungen zweimal abrechnen? "Wer gegen die Gesundheitskarte ist, ist ein korruptes Schwein, der Rechnungen zweimal abrechnen will".
"I think the malware industry is making more money than the anti-malware industry," Genes said.SEHR GUT!!! Die Anti-Malware Industrie ist in meinen Augen ein unseriöser Haufen, die das digitale Äquivalent von Überwachungskameras verkaufen — das hilft nicht dabei, Angriffe zu verhindern, oder auch nur die Auswirkungen zu minimieren, sondern man kann damit bloß bekannte Kriminelle/Viren erkennen. Wenn nur die Hälfte der Kohle, die die Volkswirtschaften der Welt für Virenscanner ausgibt, an den Ausgangsstellen (Microsoft, Adobe, …) für Security ausgegeben würde, wären wir viel weiter.Und ich, der ich an genau das tue, fühle mich in meiner Arbeit bestätigt, wenn ich geholfen habe, 0day so selten zu machen, daß die einen derartigen Marktwert haben. Boah wäre das schön, wenn ich pro 0day einen Bonus in obiger Größenordnung bekäme :-)
Und was für großartige Innovationen hat MS Resarch zu bieten? Information Week hat das in einem Interview mit denen herausgefunden.
Developed in Microsoft's Silicon Valley research lab, XFI offers users a safe way to run an application downloaded from the Web, such as a codec needed to run a video clip or a device driver to connect a piece of hardware. XFI is an extension of control-flow integrity and software-fault isolation, and identifies a potentially malicious application when it tries to access memory outside the range it would normally need.Uh, will sehen.Microsoft Deutschland hat gestern den Wettbewerb "Die Idee" gestartet. Gesucht werden vorbildliche Aktionen und Initiativen, die die gesellschaftliche Anerkennung für den Wert geistigen Eigentums erhöhen. Schirmherrin des Wettbewerbs ist Bundesjustizministerin Brigitte Zypries.Angesichte solcher Meldungen frage ich mich immer, wieso es eigentlich keinen Mechanismus gibt, über den verärgerte Bürger ihre Politiker aus ihren Ämtern entfernen können. Eine Art Sofort-Volksabstimmung. Die Zypries teilt sich mit Schäuble Platz 1 auf meiner persönlichen Abwählliste.
CHM ist ein proprietäres Microsoft-Dokumentenformat, "compiled HTML", im Grunde ist das wohl ein CAB-Container mit HTML oder so. Gruselig jedenfalls. Der Windows-Viewer dafür benutzt natürlich die IE-Engine zum Anzeigen, und ist aus dem IE erreichbar, was auch schon zu Sicherheitslöchern geführt hat. Xchm ist ein CHM-Viewer für X, wie der Name schon sagt, also für Unix.
Eine von Mozilla angestoßene Untersuchung der in Firefox 2 und Internet Explorer 7 integrierten Phishingfilter kommt zu dem Ergebnis, dass der Firefox-Filter überlegen sei. Eine von Microsoft finanzierte Studie kommt zu anderen Ergebnissen.
Die LETZTE Firma, von der man Code haben will, ist Adobe. OMFG hoffentlich haben die Mozilla-Leute genug Grips, um diesen Sabotageversuch abzulehnen! Wieso haßt Adobe Mozilla so sehr? Ob da Microsoft dahinter steckt?
Ja, genau das McAfee mit den Buffer Overflows.
Begründung: das sei schlecht für die Sicherheit von Vista, wenn man sie da nicht renläßt.
Was sich wohl die Marketing-Abteilung bei Microsoft denkt, wenn sie sowas beschließen? "Wir dürfen keinesfalls Erfolg haben mit dem Produkt, sonst kommen wieder die Kartellwächter"?
"The Web is broken and it's all your fault."Those are the words that Rasmus Lerdorf, the creator of PHP, said to kick off his keynote at the php|works conference under way here.
Nee, klar. Nicht PHP ist Schuld, die Leute sind alle schuld! Ich staune, daß er nicht die Webserver beschimpft! Oh, warte:Lerdorf advised PHP developers that nothing that comes across the wire is to be trusted. Header "stupidity," as Lerdorf referred to it in Apache HTTP Web server, can also be the root cause for the broken Web.Soso. Da kann man doch bestimmt auch noch die Browser irgendwie anpinkeln, oder? Klar! Then there is Microsoft's Internet Explorer, which has "stupidity" issues with character set detection, arbitrary header injection, host header spoofing and request splitting.Auffallend, wie alle außer ihm Schuld sind…Aber wartet, da kommt noch mehr! Er erzählt den Entwickler, wie sie PHP-Anwendungen beschleunigen können. Und der erste Tip: MySQL statt Postgres!
One performance enhancement that Lerdorf suggested based on code analysis was to use MySQL instead of PostgreSQL for the database."If you can fit your problem into what MySQL can handle it's very fast," Lerdorf said. "You can gain quite a bit of performance."
For the items that MySQL doesn't handle as well as PostgreSQL, Lerdorf noted that some features can be emulated in PHP itself, and you still end up with a net performance boost.
Aus mir völlig unbegreiflichen Gründen sehen die PostgreSQL-Leute das anders :-)
Kirah cited a Norwegian psychologist who claimed that young people were now so reliant on digital communication that "taking a mobile phone away from a teenage girl is the same as child abuse".
Unter FreeBSD gibt es die Möglichkeit, dem Kernel zu sagen, man möchte erst einen accept kriegen, wenn auch einkommende Daten vorliegen. Das ist eine schlaue Sache für Protokolle, bei denen der Client die ersten Bytes schickt, weil man sich so System Calls spart. Die Windows-Entwickler haben sich das offenbar angeguckt, und wollten sowas auch machen, also haben sie bei AcceptEx die Möglichkeit vorgesehen, daß man einen Buffer übergibt, und dann kommt das AcceptEx erst zurück, wenn auch Daten vorliegen. Klingt auf den ersten Blick richtig schlau, schlauer sogar noch als FreeBSD, weil ich dem System den Buffer gebe, wo die Daten rein sollen, da spart der Kernel sich, wenn sie das gut machen, einmal Kopieren der Daten.
So, nun denkt mal über folgendes Szenario nach. Ich habe einen Webserver gehackt, der dieses API benutzt. Jemand verbindet sich zu dem Webserver, schickt aber keine Daten. Der Kernel assoziiert jetzt die einkommende Verbindung mit dem ausstehenden AcceptEx. Keine Daten kommen auf der Verbindung. Aber eine weitere Verbindung kommt rein, und diese schickt sogar Daten! Für diese Verbindung ist jetzt kein ausstehendes AcceptEx mehr vorhanden. Sehr ihr das Problem? Stellt sich raus, daß man mehr als ein AcceptEx ausstehend haben kann pro Server-Socket, aber das löst ja das Problem nicht. Nehmen wir an, ich habe 4 AcceptEx ausstehend, dann muss ein Angreifer bloß 4 leere Verbindungen aufmachen statt nur einer, und schon ist mein Webserver wieder komplett blockiert. Tja, Microsoft, ein Wort mit X, das war wohl nix.
"Those people are not going to be allowed to take food off our plate, because that is what they are intending to do."sagt der Microsoft COO bei einer Konferenz über Google und den Corporate Search Markt. Äh, Microsoft hat da gerade nennenswert Marktanteil?!
Na egal, habe ich halt ein anderes zlib-Interface ("inflate") benutzt, um damit die hereinkommenden Daten, die ich per recv lese, zu unzippen, und was soll ich euch sagen — Z_DATA_ERROR. Weil zlib ein anderes Format als gzip benutzt, und man muss inflate sagen, daß man einen gzip-Header erwartet, indem man inflateInit2 benutzt statt inflateInit, und dann bei dem Parameter, der die Anzahl der Bits im Compression Window, 32 dazu addiert. Das teilt dann inflate mit, daß auch ein gzip-Header OK ist.
Aber hey, ich habe da jetzt schon so viel Zeit rein versenkt, diesen Benchmark unter Windows zum Laufen zu bringen, ich lasse mich jetzt nicht von zlib abhalten!! Also habe ich das gemacht, und immerhin den 1. Teil durchgeführt, das Auspacken des Tarballs. Vorher den Durchsatz mal verdreifacht, indem ich den Antivirus, Windows Defender und den Search Service abgeschossen habe; soll die Nachwelt entscheiden, ob ich das tun mußte, weil das sonst unfair gewesen wäre, oder ob ich das hätte drinlassen sollen. Man könnte ja auch argumentieren, daß Microsoft einem diesen Scheiß per Default ausliefert, also ist das nicht meine Schuld, wenn ich das nicht ausmache. Ich habe ja auch unter Unix den sshd nicht abgeschossen. Anyway, ich habe also endlich die Dateien auf die Platte gehauen, und meinen gehackten Webserver gestartet, und … ich kriege bizarrste Fehlermeldungen. Ich benutze da u.a. overlapped I/O, d.h. ich haue Requests raus, und queue die mit einem Zeiger auf eine State-Struktur an einem Completion Port, so funktioniert deren API. Dann kriege ich mitgeteilt, da ist ein Vorgang fertig, und hier ist der State dazu. Und an der Stelle wird einem dann auch gesagt, wie viele Bytes man denn nun tatsächlich gelesen hat. Und was soll ich euch sagen, ich queue da Reads für 8k (mehr Header erwarte ich nicht, die tatsächlichen Header sind eher so 150 Bytes), und der Completion Port sagt mir dann, "ich habe die 83k gelesen, die du haben wolltest". WTF?! Nicht nur das, ich kriege auch den Effekt, daß ein Read, den ich rausschicke, nicht mit "OK, ich melde mich dann später" antwortet, sondern sofort fertig wird. Laut API-Beschreibung kann das nicht passieren. Tja, und dann segfaultet der Serverprozeß plötzlich. Reproduzierbar. Oh, nicht in meinem Code, in NTDLL. Grunz!! Ich vermute ja, daß da deren State Machine durcheinander kommt und mir einen Block zweimal zurück gibt, und daher ein Double Free passiert oder so. Aber im Moment ist das völlig unklar alles.
Neben einer hauseigenen Scan-Engine sollen sie unter anderem auch die Spürhunde von Computer Associates, Sophos, Norman und Kaspersky auf die eingehende E-Mail ansetzen können.Ein Bug in nur einer von denen wird also reichen, um dieses Produkt aufzumachen. Wir leben in interessanten Zeiten, Freunde. :-)
Pitylak, who plans to help Internet companies fight spam, said he would sell his $430,000 house and a 2005 BMW to help pay his fines and legal bills.
Marcich said Open XML is harder for vendors to implement as it has more than 4,000 pages of documentation, compared with 700 for ODF.Als ob 700 Pages in irgendeiner Art und Weise akzeptabel wären! Da ist ja die HTML+CSS Spec kürzer, und die ist schon echter Horror. Ich finde ja Specs mit mehr als 50 Seiten für ein Dateiformat unakzeptabel. Sowas implementiert man nicht, über sowas lacht man höchstens. (Danke, Christian)
Der Kreml, spotte deshalb jüngst eine andere Zeitung, sei die einzige börsennotierte Staatsführung der Welt. Und sein Börsenkürzel heißt GAZPVon den fünf wertvollsten Unternehmen der Welt… sind drei Ölfirmen und zwei Monopole. Boah, unser Kapitalismus funktioniert ja prächtig…
When you are dealing with rootkits and some advanced spyware programs, the only solution is to rebuild from scratch. In some cases, there really is no way to recover without nuking the systems from orbit
Auf der anderen Seite muss man sich bei der Entwicklung von freier Software im Klaren sein, daß man da kein Geld für kriegt, außer man findet ein Modell, bei dem man schon für die Entwicklung bezahlt wird. Ich habe mich ein paar Mal von Firmen einstellen lassen, die dann sogar wollten, daß ein bestimmtes Projekt weiter entwickelt wird in der Zeit, oder die aktiv einverstanden damit waren, daß ich da Zeit investiere. So muss das m.E. laufen. Goldgräber-Geschäftsmodelle, wo alle darben und einer von 100000 dann einen Millionen-Payout kriegt, sind scheiße. Lieber jeden der 100000 überleben lassen und keiner wird superreich.
Aber, um das mal ganz klar zu sagen: Die OpenBSD-Leute haben Spenden verdient.
Oh, und dann dieses Juwel: Gefragt, wieso die Community rumheule, daß Apple so furchtbar sei und nicht auf Hinweise reagiere, antwortet der Typ "We are in close touch with those guys. When there is external issues reported and we fix them, we thank the submitter.". Man muss Apple ja danken, daß sie da einen Techie hingeschickt haben, denn Techies können nicht lügen. Hier gibt er ja förmlich zu, daß sie nur Sachen fixen, bei denen sie sich danach fühlen.
IPhoto 6 does not understand the first thing about HTTP, the first thing about XML, or the first thing about RSS.It ignores features of HTTP that Netscape 4 supported in 1996, and mis-implements features of XML that Microsoft got right in 1997. It ignores 95 per cent of RSS and Atom and gets most of the remaining five per cent wrong.
Ein Hearing am gestrigen Dienstag vor dem Kongressausschuss sorgte für einige Tumulte - eine Frau las einfach aus der Bibel vor, bis die Ausschussvorsitzende ihr das Wort abschnitt.
Um dennoch Webseiten auf den IE zuzuschneiden bzw. diesen gezielt auszuschließen, sollten Webdesigner besser auf Conditional Comments - also bedingte Kommentare - zurückgreifen, so Microsoft. Diese sind zwar ihrerseits nicht in den Standards vorgesehen, erlauben es aber, bestimmte Teile eines Dokuments gezielt an eine bestimmte Version des Internet Explorers zu richten, während für andere Browser diese als Kommentare erscheinen und somit keine Wirkung haben.
Die werden bestimmt als Küchenschabe oder so wiedergeboren.