Fragen? Antworten! Siehe auch: Alternativlos
Starting from firmware version 1.0.5.4, product registration is required to unlock full access to the local browser UI.Yeah ... nope. How about you go fuck yourselves, Netgear.Aber hey, vielleicht interpretiere ich das auch falsch und das ist tatsächlich der "benutzt bloß nicht unsere verkackte Firmware, nehmt lieber openwrt"-Antrag!
Das war noch nicht der Lacher. Der Lacher ist Facebooks lahme Ausrede:
Facebook wies die Anschuldigung zurück und behauptet, dass es sich dabei lediglich um einen Bug in der Software gehandelt habe, der fälschlicherweise eine Benachrichtigung ausgab, nach der die Software auf die Kamera zugegriffen hätte.Oh, die Kamera war an? *Pfeif* *flöt* Das muss sich um einen bedauerlichen Bug gehandelt haben!1!!
Damit ist ein Schreckensszenario eingetreten, vor dem viele Democrats Angst hatten, weil Richter am Supreme Court dort auf Lebenszeit benannt sind. Wenn Bader Ginsburg stirbt, ist das erstmal direkt ein Rechtsruck für das Gericht, weil sie links stand, aber wenn ein Präsident Trump den Nachfolger ernennen kann, wird der wahrscheinlich den Rechtsruck noch verstärken.
Bei Firefox muss man aktuell noch in about:config nach avif suchen ein ein Flag auf true setzen.
Encoding ist im Moment noch ein bisschen fummelig, weil die üblichen Verdächtigen das noch nicht in ihre Toolchains eingebaut haben, aber es gibt ein simples Go-Frontend, das auf den Encoding-Code aus libaom aufsetzt, das ich eh schon für meine Videocodec-Testereien installiert hatte, und der hat spontan funktioniert und ein 5MB JPEG runterkomprimiert auf unter 400k. Das Encoding dauert noch echt lange (für mein 4k-Testbild sowas wie 30 Sekunden), aber das Decoding im Browser flutscht, und darauf kommt es ja an.
Nun war mein Testbild einfach irgendein Foto, das ich rumliegen hatte, das war jetzt wahrscheinlich auch nicht gerade effizient JPEG-komprimiert. Aber dass AVIF was kann, das könnt ihr hier selber gucken. Angeblich kann Windows 10 das auch schon seit einer Weile, wenn man den kostenlosen AV1-Codec aus dem Store nachinstalliert. Interessiert mich aber nicht außerhalb von Firefox, ehrlich gesagt.
Und Brandenburg so: Wie, UMTS abschalten?!?
Ihr erinnert euch vielleicht, dass ich die Verräterpartei neulich kritisierte, weil sie jetzt Betroffenheit für die armen brennenden Flüchtlingsheime simulieren, aber davor konsequent jahrelang verhindert haben, dass denen geholfen wird.
Der eine oder andere meiner Leser scheint die damit konfrontiert zu haben.
Hier ist ein Tweet, in dem sich Saska Esken öffentlich zum Königsberger Klops macht.
Ich wollte ja erst nicht glauben, dass das ihr echter Account ist. Mit dem Simsons-Avatar? Come on! So unseriös ist nicht mal die SPD-Spitze, dachte ich.
Ich lag falsch.
Die Ironie daran ist ja, dass das seit gefühlt Jahrzehnten meine Rede und die des CCC ist. Stichwort: Datensparsamkeit. Damit meinten wir aber nicht, dass Behörden gar nicht mehr demokratisch kontrollierbar sein sollten!
Wie schon Wau Holland formulierte: Private Daten schützen, öffentliche Daten nützen!
Das waren öffentliche Daten. (Danke, Jakob)
Damit keine Malware auf Linux-Servern landet, sollten Admins die eigentlich schützende Software ServerProtect for Linux (SPLX) von Trend Micro auf den aktuellen Stand bringen. Das von der Lücke ausgehende Risiko gilt als "kritisch".Hat zufällig jemand eine Statistik greifbar, wie viel Linux-Malware Trend Micro so "erkennt"? Und in ihrer Firmengeschichte insgesamt abgewehrt hat? Ist jemandem ein einziger Fall bekannt?
Sprecht mir nach: Antiviren sind Schlangenöl!
Ja, DER Frank-Walter Steinmeier, der den Amis gesagt hat, sie können den deutschen Staatsbürger Murat Kurnaz ruhig weiterfoltern in Guantanamo. DER Steinmeier. Wenn das Gesetz bei DEM über dem Limit liegt. Wow.
Update: Hups, falsch dargestellt. Murat Kurnaz ist zwar in Deutschland geboren und aufgewachsen, aber türkischer Staatsbürger.
Laut Bericht des NRW-Justizministers starb eine Patientin, die wegen des Angriffs auf die Server der Klinik in ein weiter entferntes Krankenhaus nach Wuppertal gebracht werden musste.Das ist zu 100% Verantwortung der Uniklinik. Ransomware müsst ihr euch wie Schimmel an der Wand vorstellen. Wenn im Operationssaal Schimmel an der Wand ist, dann ist nicht der Schimmel der Täter, sondern der Zuständige, der das soweit runterkommen ließ, dass sich da Schimmel bilden konnte.
Grotesk, wie sie das jetzt auf die Ransomware zu schieben versuchen! Und nicht nur auf die Ransomware, auf jeden der nicht bei drei auf den Bäumen ist!
Die Sicherheitslücke, die die Hacker ausnutzten, habe sich in einer marktüblichen und weltweit verbreiteten kommerziellen Zusatzsoftware befunden, teilt die Uniklinik mit.Wenn ihr da den Bullshit zur Seite baggert, bleibt als Aussage übrig, dass WIR NICHT SCHULD SIND, denn die Software war MARKTÜBLICH, d.h. die anderen sind alle genau so scheiße aufgestellt wie wir.
Ich weiß ja nicht, wie es euch geht, aber in meiner Welt entschuldigt das gar nichts.
Aber wartet, geht noch weiter.
In dem Zeitfenster, das die Softwarefirma zum Schließen der Lücke benötigte, seien sie Täter in die Systeme eingedrungen.Wenn ihr hier den Bullshit beiseite baggert, bleibt die Lüge übrig, dass der Zulieferer für das Updaten von Software halt Zeit brauchte. Nein, brauchte er nicht. Das kann man alles komplett wegautomatisieren. Seit Jahren. Hätte die Uniklinik machen können, HAT SIE ABER NICHT. Daher: Was sie uns hier eigentlich sagen wollen, ist dass es nicht ihre Schuld ist, sondern der Zulieferer war zu langsam.
Die würden gerade ihre eigene Mutter beschuldigen, wenn es irgendwie ginge, um sich selbst aus der Schusslinie zu bringen. Ich fände es gut, wenn da mal ein paar Leute ihren Job verlieren. Wie wäre es, wenn ihr mal ein paar überflüssige Verwaltungsjobs wegmacht und mit dem Geld euren Keller entschimmelt?
Aber der größte Hammer an der Story ist in meinen Augen das hier:
die Täter hätten nach Kontakt zur Polizei die Erpressung zurückgezogenOh ach so?
Die IT-Experten haben mittlerweile den Zugang zu den Daten wiederherstellen können.Ja, äh, was für eine Ausrede bleibt euch denn dann noch, liebe Uniklinik?!
Könnt ihr mir nochmal erklären, wieso jetzt irgendjemand anderes als ihr für den Tod dieser Patientin die Verantwortung tragt?
Sagt mal, … gibt es da nicht persönliche Haftung für die Vorstände bei solchen Sachen? Mir war irgendwie so.
Update: Ein Vögelchen zwitschert mir gerade, dass das die Citrix-Lücke vom letzten Jahr war, über die die Ransomware reinkam. Ja, Shitrix. Das sollte strafrechtliche Konsequenzen haben, wenn jemandes Krankenhaus über ein halbes Jahr nach Bekanntwerden der Lücke und Verfügbarkeit von Patches über die Lücke angegriffen wird. Ab in den Knast mit den Zuständigen.
Update: Das BSI sagt auch, dass es Shitrix war.
Ein Sprecher der ZAC bestätigte, dass die Hacker eine Sicherheitslücke in einer Software genutzt hätten, die bei vielen Unternehmen genutzt werde. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) handelte es sich um ein Programm der Firma "Citrix". Eine seit Januar bekannte Schwachstelle in VPN-Produkten der Firma werde für Cyber-Angriffe ausgenutzt.
Dann erzählen sie was von Fällen, bei denen Leute gehackt wurden, bevor Citrix Patches fertig hatte. Ich bin ja auch ein Freund davon, Citrix öffentlich mit Scheiße zu bewerfen für ihr Verhalten bei der Lücke, aber in diesem Fall kam die Ransomware offensichtlich deutlich viel später als es Patches gab. MONATE später. Ein fucking halbes Jahr später.
Ja aber Fefe, was wenn die Ransomware-Leute über eine Backdoor reinkamen, die sie sich installiert haben, bevor es einen Patch gab? Mal abgesehen davon, dass da mehr Konjunktiv als in einer CDU-Rede über ihre Visionen für die Zukunft ist: NA DANN HÄTTE MAN VIELLEICHT MAL NACH BACKDOORS GUCKEN MÜSSEN? Wenn man sich nicht sicher ist, vielleicht ein paar zentrale Infrastrukturkomponenten neu aufsetzen? Das ist alles kein Hexenwerk. Aber bei der Methode "Kopf in den Sand" hat man halt unbefriedigende Ergebnisse.
Update: ACH NEE, die Uniklinik hat ein Statement veröffentlicht. Ich fasse mal zusammen: Sie sagen, sie haben alle Patches noch am selben Tag installiert, und das danach von zwei externen Firmen prüfen lassen, ob die Lücke jetzt auch wirklich zu ist.
Dann wundere ich mich über die vorherige Aussage derselben Leute, dass die mit der Wartung beauftragte Firma noch nicht dazu gekommen war, das zu patchen. Was stimmt denn jetzt? War das jetzt gepatcht oder nicht? Und wenn es gepatcht war, wie sind die dann reingekommen?
Lasst mich mal kurz wild spekulieren. Sie haben irgendwelche Workarounds ausgerollt, die nicht gereicht haben (sich später als unzureichend herausstellende Workarounds gab es wirklich und dafür trifft die Schuld zu 100% Citrix). Dann haben sie turnusmäßig einen Pentest machen lassen. Da geht es häufig nicht um Security sondern um Compliance. Der Kunde will im Wesentlichen eine Checkbox vom Pentester angekreuzt haben, dass alles OK ist. Entsprechend gibt es da einige Marktteilnehmer, die dann auch nicht so genau hingucken, denn wenn man was findet, macht das ja dem Kunden bloß Ärger, den keiner gebrauchen kann. Ich spekuliere weiter: Dem Pentester haben sie dann auch nicht gesagt, wonach er gucken soll, und vielleicht sogar noch, dass sie ja bei Citrix den Workaround eingespielt haben. Das hätte bei einigen Pentest-Anbietern gereicht, und schon fällt das hinten runter. Oder so.
Könnte so gewesen sein. Würde die Faktenlage erklären. Und dann könnte den Pentester eine Teilschuld treffen. Insiderinformationen habe ich in dieser Angelegenheit keine, insofern werden wir das wohl nie ausfinden. Wenn es tatsächlich stimmt, dass die noch am selben Tag alle Patches eingespielt haben, dann stellt sich zwar immer noch die Frage, wieso sie keine Backdoors gesucht und gefunden haben, aber dann wäre meinem Gerechtigkeitsgefühl nach Citrix in der Haftung. Wird natürlich alles nie passieren. Weil wir uns alle in einem großen Müllhaufen aus überkomplexen Frickelsystemen bewegen, deren Kontrolle uns längst entglitten ist. Mehr als Best Practices geht da in der Praxis nicht, und wenn die tatsächlich Patches noch am selben Tag einspielen, dann sind sie (so schmerzhaft das ist!) dem Rest der Industrie an der Stelle sogar weit voraus. Übliche Einspiellatenzen sind eher so im Monatsbereich.
Weil die Nachfahren von Doyle das Urheberrecht auf den netten Holmes beanspruchen.
Was muss eigentlich noch passieren, damit dieses Urheberrecht mal auf ein paar Wochen eingedampft wird? (Danke, Friedrich)
