Fragen? Antworten! Siehe auch: Alternativlos
A few months earlier, a major insurance company called Lighthouse had gone bankrupt, leaving almost 30,000 homeowners in the state without storm coverage. The company went under thanks to last year’s Hurricane Ida, which led to $400 million in damage claims, far more money than the company had on hand. It had been up to Donelon to find a new company to take over these abandoned policies, but no other company wanted them. In fact, other companies were fleeing the state en masse.Sollten wir öfters machen lassen. Den Markt Dinge regeln. Das ist so gut wie praktisch fast immer zum Vorteil der Allgemeinheit!!1! (Danke, Burkhard)
Der Verdacht, der im Raum steht, ist ungeheuerlichJawoll ja! Un-ge-heuerlich!!
Körperverletzung im Amt, Verfolgung Unschuldiger, Nötigung und Freiheitsberaubung.Ich weiß! Ich bin genauso schockiert wie ihr! Berliner Polizisten, die Unschuldige verfolgen, nötigen, freiheitsberauben und verprügeln?! Wie kann das sein?!?
Wieso haben wir das nicht früher gemerkt?
Wobei ich mir gar nicht sicher bin, ob sie wirklich reingefallen ist, oder ob ihr das einfach nur wirklich scheißegal ist, mit wem sie gesehen wird, solange sie neben dem wichtiger aussieht als sie ist.
Update: Nicht nur in Berlin telefoniert man mit falschen Klitschkos.
Der Launcher hinterlässt Logs unter Windows, in %localappdata%/epicgameslauncher/saved/logs. Dort findet man dann episch veraltete Versionen von curl, openssl und zlib, und den Grund für das Problem: Epic hat ihre AWS-Konfiguration verkackt.
Während des Login-Vorgangs versucht der eine Verbindung zu catalog-public-service-prod06.ol.epicgames.com aufzubauen, und da kommen so ein Dutzend oder so verschiedene IPs zurück, von denen eine zu funktionieren scheint (vielleicht auch mehr), aber andere werfen Fehler von "Unknown CA" über "certificate expired" und "hostname not found in certificate".
Using libcurl 7.55.1-DEVDa fragste dich doch echt, was diese Leute beruflich machen.supports SSL with OpenSSL/1.1.1
supports HTTP deflate (compression) using libz 1.2.8
Ich hab versucht, das bei deren Support-System zu melden, aber die sagen, meine E-Mail sei ungültig. Tja, dann halt nicht.
Aktuell sind curl 7.83.1 (gab die eine oder andere Vuln seit dem), OpenSSL 3.0.4 (gab die eine oder andere Vuln seit dem), 1.2.12 (1.2.8 ist von 2013!!). Finde ich unverantwortlich, sowas unters Volk zu bringen.
Wenn hier also jemand jemanden bei Epic kennt, oder weiß, wer da für Security zuständig ist (falls es da jemanden gibt), dann tretet die doch mal bitte kurz. Das geht so gar nicht.
Mein Workaround war jetzt, eine funktionierende IP in der hosts-Datei festzunageln. Damit geht Login wieder. Aber jetzt wo ich weiß, was da für unsichere Komponenten drin sind, habe ich spontan kaum noch Lust, den Launcher überhaupt zu starten.
Praktisch alle Firmen sind heute in der Cloud, zumindest über Office 365. Trotzdem haben die alle Ransomware.
Glaubt das mal bitte keine Sekunde, dass euch die Cloud schützt.
Hat die Cloud denn Security-Vorteile? Kommt drauf an. Wenn ihr eure Patches nicht einspielt, dann ja.
Wieviel Zeit habt ihr für das Einspielen der Patches? 24h. Nach initialer Verfügbarkeit des Patches. Nicht nachdem ihr ihn zuerst wahrnehmt. Solange dauert das für einen guten Hacker, um aus einem Patch einen Exploit zu reverse engineeren. Ransomware ist profitabel. Die können sich gute Hacker leisten.
Müssen sie aber im Allgemeinen gar nicht, denn ihre "Kunden" sind alle so freundlich, Wochen bis Monate (bis Jahre!) zu warten mit dem Einspielen von Patches für bekannte und anderswo bereits fröhlich ausgenutzte Sicherheitlücken.
Wann geht’s los?Tja. Ich fürchte, da habe ich schlechte Nachrichten. Wir brauchen das Geld jetzt für andere Dinge. Da gibt es so ein Sondervermögen für die Bundeswehr und so.
Schade, dass sie das erst jetzt herausgefunden haben. Das Problem schwelt schon länger.
Dazu muss man wissen, dass der Senat Doctolib nicht einfach nur als Dienstleister eingebunden hat, sondern die haben auf Doctolib gelinkt, da musste man dann einen Account aufmachen. Man wurde also faktisch von dem Senat in einen Vertrag mit Doctolib gezwungen. Das fand ich auch absolut nicht OK, als ich das sah.
Glücklicherweise konnte man später auch einfach hinlaufen zum Impfzentrum, ohne Anmeldung, und wurde dann einfach so geimpft.
Nun, da hat die Landeshauptfrau von Niederösterreich guten Rat:
Bei einer Klima-Konferenz meinte sie, dass jede und jeder bei sich selber anfangen kann: "Das beginnt bei der Kleidung, dass man nicht zehn Ballkleider haben muss, sondern drei Ballkleider."Ja aber echt mal! Drei Ballkleider sind im Notfall völlig ausreichend!!1!
Das ist eine Webseite, wo man zusammen mit anderen Leuten an kurzen Texten schreiben kann, alle können gleichzeitig daran schreiben und sehen in Echtzeit die Änderungen.
Der Clou allerdings: Der Inhalt ist verschlüsselt, und der Schlüssel wird als Teil der URL unter den Mitschreibenden verteilt, und zwar so, dass der Schlüssel-Teil nicht beim Server ankommt.
Das ist also eine Infrastruktur, bei der man ungestört an Texten arbeiten kann, ohne dass der Server sieht, was man da genau schreibt.
Warum würde man sowas bauen? Nun, in erster Linie baut man sowas, weil man Privatsphäre-Aktivist ist, und weil dann eine Server-Beschlagnahme offensichtlich sinnlos ist. Die Software loggt natürlich auch nichts, aus genau dem Grund.
Die Piratenpartei hat eine Instanz von Cryptpad bei sich laufen gehabt, für die Öffentlichkeit. Also nicht versehentlich für die Öffentlichkeit. Absichtlich offen für alle. Das wurde dann natürlich relativ breit genutzt, angeblich auch beim Leaken von G7-Dokumenten.
Tja und was macht die Polizei? Rennt mir vorgehaltener Waffe bei der Piratenpartei ins Rechenzentrum und beschlagnahmt den Server. Im Auftrag der Staatsanwaltschaft München, die sich dafür meiner Ansicht nach eine Auszeichnung für besonders herausragende, atemberaubende Inkompetenz verdient hat.
Ja aber warte mal, Fefe, haben Parteien nicht besondere Privilegien bei sowas? Die können doch nicht einfach bei einer Partei Server raustragen?! Ja, was soll ich euch sagen, die Piratenpartei ist auch, gelinde gesagt, überrascht gewesen, dass die Polizei da trotzdem vor der Tür stand.
Am Ende haben sie denen eine Kopie der Serverplatten mitgegeben. Da sind garantiert keine Daten drin, mit denen die ihren Fall aufklären oder auch nur die Aufklärung vorantreiben können. Aber auf dem Server lagen wohl noch andere Daten herum, Parteiinterna.
Hier ist die Pressemitteilung der Piraten dazu. Hier ist eine Pressemitteilung von Patrick Breyer, der für die Piraten im EU-Parlament sitzt.
Aus meiner Sicht ist das einer der ganz großen Skandale der Nachkriegsgeschichte in Deutschland. Eine reine Willkür-Maßnahme, um mal Macht zu demonstrieren, gegenüber vermeintlich Schwächeren, die sich hoffentlich nicht wehren werden. Ich hoffe mal, dass sich an der Stelle die Staatsanwaltschaft in den Piraten geirrt hat, und die jetzt das größtmögliche Fass aufmachen werden. Davon sollte sich sich die Staatsanwaltschaft München jahrelang nicht erholen, dass sie so tief ins Klo gegriffen haben.
Update: Das ist jetzt wahrscheinlich kein wirklich guter Anlass, um euch zu sagen, dass ihr Cryptpad auch einfach selber bei euch hosten könnt, wenn man sich damit dann den Besuch bewaffneter Polizisten einfängt. Aber falls ich euer Interesse geweckt habe: Hier ist deren Homepage und hier ist der Quellcode. Das ganze ist unter der AGPLv3-Lizenz, d.h. könnt ihr einfach so bei euch installieren und benutzen und interessierten Dritten geben.
Update: Heißt Cryptpad, nicht Cryptopad.
Update: In dem Brief des Vorstands an die Mitglieder steht, was für Parteiinterna da auf dem Server lagen: Da lagen ein paar (nicht alle!) Mitgliedsanträge herum, Anträge zur Beitragsminderung, Umzüge.
Update: Das war nicht das erste Mal, dass die Polizei bei den Piraten Server rausgetragen hat.
Das ganze funktioniert über Zero-Knowledge-Proofs, die gerade ein riesiger Hype sind, der besonders in der Blockchain-Szene gezeigt hat, dass man damit ganz hervorragend Investorengelder oder Forschungsmittel einwerben kann.
Ich bin mir ja ehrlich gesagt schon auf fundamentaler Ebene nicht sicher, wieso ich das haben wollen würde. Eines meiner Hauptprobleme mit digitaler Souveränität im Moment ist, dass ich keinen Google-Account aufmachen kann, weil Google eine Telefonnummer verlangt, die ich nicht bereit bin, ihnen zu geben. Das ist ein Problem für mich, weil Trolle auf Youtube Videos zensieren können, indem sie klicken, dass da nicht jugendfreie Dinge drin sind, und dann verlangt Google zum Angucken, dass man einen Account hat. Ich würde jetzt gerne derart zensierte Videos gucken können, aber nicht zu dem Preis, dass Google meine Telefonnummer sehen kann.
Wie hilft mir denn jetzt SSI dabei, meine Identität privat zu halten? Gar nicht!
OK, denken wir mal weiter. Google macht im Moment Milliarden damit, unbelegte Daten über uns alle zu verkaufen. Die Daten sind schon ohne Echtheitsbeweis Milliarden wert. Wenn Google per SSI Details über mich sieht, können sie an ihre Daten "validiert!" dranschreiben. Dann sind die noch mehr wert. Völlig wurscht, ob Google das Dritten gegenüber beweisen kann oder nicht.
Ich glaube daher, dass SSI in erster Linie eine akademische Masturbationsübung ist. Kann sein, dass es ein Problem löst. Aber das wäre dann keines, das mich betrifft.
Daher hab ich SSI bisher großflächig ignoriert. Rückblickend hätte ich das vielleicht nicht tun sollen, denn jetzt gibt es halt einen Wust aus mehr oder weniger unseriösen Instituten und Startups, die Lobbyarbeit bei der Regierung und in der Verwaltung betrieben haben, und da gibt es jetzt Pilotprojekte, die ich als verstörend empfinde. Eines gibt syrischen Flüchtlingen in Italien SSI-"Belege" für ihre Ausbildung in Syrien (nicht dass die Italiener das wirklich überprüfen könnten), und die werden dann angeblich an einzelnen deutschen Hochschulen anerkannt. Win-Win-Win!!1!
Schlimmer noch: Das Ökosystem entpuppt sich als U-Boot für die Umgehung des DSGVO-Datenhandelverbotes. Und die Pilot-App, die uns vom Konzept überzeugen wollte, war sicherheitstechnisch eine Katastrophe und ein Rohrkrepierer. Dass da überhaupt eine Blockchain beteiligt ist, ist ein Treppenwitz, denn die trägt überhaupt nichts zur Erfüllung des Konzeptes oder der Sicherheitsversprechen bei. Die ist bloß Trust Anchor und Speicher für Zertifikate (weil man sich das Aufsetzen einer gemeinsamen CA nicht vorstellen konnte) und soll Revocations regeln. Inhaltlich ein non-sequitur und ein Clusterfuck. Ist meines Erachtens nur drin, weil Fraunhofer beteiligt war, und die sammeln halt mit heißer Blockchain-Luft erfolgreich Kohle ein, also musste da Blockchain draufstehen.
Woher ich das weiß? Nun, nachdem Fluepke und Lilith einen Proof of Concept für das grundlegendste Konzeptproblem (du weißt gar nicht, wem du da eigentlich gerade deinen Ausweis zeigst!) veröffentlicht hat, gibt es jetzt ein Mythbusting-Paper von Fraunhofer. Nein, wirklich. Die nennen das selbst Mythbusting. Wer versucht ist, schon auf der Titelseite das Browsertab zuzumachen, weil da Projektgruppe Wirtschaftsinformatik steht: Haltet durch! Ihr verpasst das beste! Die Autoren sind nämlich zwei Professoren, einmal Uni Bayreuth, einmal Fachhochschule Frankfurt. Der eine "Professor für Wirtschaftsinformatik und Digitales Energiemanagement", der andere "Professor für Wirtschaftsinformatik, Digital Business und Mobilität". Beides ohne Überlappungspunkte mit den vorgeblichen Zielen von SSI. Wartet, wird noch besser. Beide sind auch:
Projektgruppe Wirtschaftsinformatik des Fraunhofer FIT, Leiter des Fraunhofer Blockchain LaborsAch. Ach was. Nicht nur die Blockchain ist verteilt, auch die Führung von deren "Fraunhofer Blockchain Labors" (nur echt mit Deppenleerzeichen!)? Also wenn ich mich unabhängig über Blockchain-Technologie informieren will, dann frage ich auch zuerst einen Blockchain-Lobbyisten und -Verkäufer eines "Blockchain Labors" (nur echt mit Deppenleerzeichen!), die auf Forschungsmittel für Blockchain-Blablah angewiesen sind. Wer sonst könnte uns neutral und unabhängig sagen, dass die Blockchain die Zukunft ist und absolut essentiell für Identitätsnachweise!1!!
Wartet, wird noch besser. Die haben ein Kapitel: "Mythos 4: Das SSI-Konzept weist technische Sicherheitslücken auf". Ab Seite 22. Und da steht:
Wie bei jeder öffentlichen Softwarearchitektur muss auch bei einem SSI-basierten System jederzeit mit böswilligen Akteuren gerechnet werden. Somit müssen vor dem Start ausführliche Penetrationstests durchgeführt werden, um Angriffspunkte auszuschließen.Ja, äh, danke. Keine weiteren Fragen. Wer Penetrationstests für ein Mittel zur Sicherstellung von Qualitätsstandards hält, mit dem muss man sich gar nicht weiter unterhalten. Und dann so: Oh, wir haben Man-in-the-Middle-Angriffe nicht verhindert? Die Angriffsart aus der Überschrift des Vorworts in jedem Buch über Kryptoprotokolle? Die elementarste Art, ein Protokoll zu verkacken? DAS haben wir zu bedenken vergessen? Nee, keine Sorge, sagt Fraunhofer, vertraut uns, da werden schon Lösungen diskutiert. Bei sensiblen Daten zertifiziert man einfach, wer die sehen darf. Und die Bösen kriegen dann keine Zertifikate!!1!
Das ist ungefähr so realistisch wie Microsofts Idee, dass man mit Code Signing Malware bekämpfen kann. Das funktioniert super, bis der erste signierte Malware unter die Leute bringt, was inzwischen regelmäßig passiert. Den Rest erspare ich mal euch und mir. Das wird nicht besser.
Tsja. Was erwartet man auch von einer Institution, die sich "Fraunhofer Blockchain Labor" nennt (nur echt mit Deppenleerzeichen!).
Update: Es gibt übrigens auch Ansätze, wie man SSI ohne Blockchain machen kann: re:claimID, lustigerweise auch auch ein Fraunhofer-Projekt, aber halt nicht von einem Blockchain-Institut. Von meinen fundamentalen Fragen beantwortet das leider auch erstmal nicht viele.
Die Revision der Beklagten hat hingegen Erfolg. Das Berufungsgericht hätte den Zugang der Klägerin zu den übrigen Unterlagen nicht ohne vorherige weitere Sachaufklärung mit der Begründung gewähren dürfen, die Beklagte habe deren fortbestehende materielle Geheimhaltungsbedürftigkeit nicht ausreichend dargelegt.Eigentlich war die Idee, dass man nicht einfach "geheim" draufschreibt, und dann ist das für immer weggesperrt. Nach 30 Jahren sollte das automatisch befreit sein. In begründeten Ausnahmefällen kann die Frist nochmal um 30 Jahre verlängert werden. Das war der Deal. (Unter uns: Den finde ich schon nicht akzeptabel)
Und jetzt haben wir eine Lage, in der die nicht nur nach 60 Jahren immer noch Dinge geheimhalten, sondern auch in diesem Urteil ernsthaft argumentieren, dass die Forderung nach einer Begründung für die Verlängerung nicht nötig ist.
Unfassbar. Ein Skandal, wenn ihr mich fragt.
Update: Schenkelklopfer am Rande: Hier ist eine Ausarbeitung des Wissenschaftlichen Dienstes des Bundestags zur Frage der Geheimhaltung von amtlichen Unterlagen. Die Namen der Autoren sind geschwärzt. *badumm tsss*