Fefes Blog

Fragen? Antworten! Siehe auch: Alternativlos

Mon Aug 12 2024

• [l] Intels Mikrocode-Update gegen die Instabilitäten ist da und es gibt erste Benchmarks.

  Die Befürchtung war natürlich, dass das jetzt enorm Performance kostet, weil Intel ja zuviel Strom angefordert hat, damit mehr Leistung rauskommt.

  Die Benchmarks zeigen nur sehr geringe Performanceverluste durch das Update.

  Jetzt gibt es zwei naheliegende Erklärungen. Entweder das Update funktioniert nicht. Oder es funktioniert, und Intel hat für bestenfalls marginale Performancegewinne ihre Kunde der Instabilität ans Messer geliefert.

  Ich tippe auf letzteres. Das lässt alles sehr tief blicken und ich würde mal sagen, dass Intel ein paar Jahre lang auf dem Sofa übernachten muss, bis sie wieder genug Vertrauen aufgebaut haben.

  AMD hat auch gerade Pressewirbel wegen einer Sicherheitslücke, für die man bereits Superuser-Zugriff auf die Hardware haben muss. Wenn der Angreifer so weit kommt, habt ihr aber GANZ andere Probleme. Bei mir ruft das erstmal nur ein gelangweiltes Gähnen hervor.

  Also ja, ist nicht schön. Und ist eine weitere Lücke in einem Bereich, den die Hersteller vor ihren Kunden geheimzuhalten versuchen. Finde ich positiv, wenn ihnen das jetzt alles ständig um die Ohren fliegt. Ich hätte gerne eine vollständig dokumentierte und von mir kontrollierte CPU. Ohne System Management Mode, ohne Secure Boot, ohne Root of Trust beim Hersteller der CPU, ohne Management Engine, und ohne geheime Zutaten im BIOS. Eine Hardware, die man ohne signierte Blobs des Herstellers booten kann. Gibt es im Moment quasi nur bei Oxide, denen ich alles Gute wünsche für ihre Revolution.

Sun Aug 11 2024

• [l] Gute Nachrichten von Cisco!

  Cisco Systems mit Hauptsitz in San José will in einer zweiten Entlassungsrunde in diesem Jahr noch einmal Tausende von Arbeitsplätzen abbauen, berichten die Nachrichtenagenturen Reuters und Bloomberg. Der Hersteller von Routern und Switches wolle seinen Schwerpunkt auf wachstumsstärkere Bereiche wie Künstliche Intelligenz (KI) und Cybersicherheit verlagern.

  WENN sich jemand mit Cybersicherheit auskennt, besonders mit hartkodierten Hintertür-Passwörtern, dann ist es ja wohl Cisco!

  Ich bin kein Freund von "KI", aber wenn Cisco dann aufhört, unsichere Router und Software zu bauen, dann unterstütze ich das nachdrücklich.

  Das klingt jetzt wie eine Strategieänderung, aber es ist keine. Ciscos Geschäftsmodell war schon immer, dumme Idioten von ihrem Geld zu trennen. Das machen sie weiter, aber halt mit anderen Triggerwörtern.

  Am Ende ist es eh egal. Wer E-Mail-Gateways von Cisco kaufen würde, würde auch "KI" von Cisco kaufen. Kein Mitleid.

• [l] Was passiert, wenn Republicans an die Macht kommen? Das sieht man gerade gut in Idaho. Da kann ein minderjähriges Vergewaltigungsopfer nicht mehr mit einem Rape Kit die Spuren sichern, außer die Eltern stimmen zu.

  Das klingt vielleicht auf den ersten Blick nicht so schlimm, aber die meisten Vergewaltigungs-Täter sind dem Opfer bekannt, häufig Familienmitglieder. Da werden die Eltern eher nicht zustimmen dann, nicht wahr?

• [l] Wie schlimm ist die Lage für den Trump-Wahlkampf? So schlimm: Sie spielen Songs aus dem Titanic-Soundtrack.

  Ihr wisst schon, das sinkende Schiff.

• [l] Hacker hacken ... Trumps Wahlkampf-Organisation.

  Gibt ein paar lustige Details. Erstens: Trump sitzt so tief in Putins Arsch, dass sie nicht "DIE RUSSEN!!1!" gerufen haben sondern "DER IRAN!!1!" :-)

  Zweitens: Aber natürlich sind die in die Cloud gezogen und dort gehackt worden!

  The campaign blamed “foreign sources hostile to the United States,” citing a Microsoft report on Friday that Iranian hackers “sent a spear phishing email in June to a high-ranking official on a presidential campaign.” Microsoft did not identify the campaign targeted by the email and declined to comment Saturday.

  Ist ja komisch! Ihr habt euch komplett abhängig gemacht von gammeliger Microsoft-Cloud-Scheiße und jetzt wurden ihr gehackt? NA SOWAS! Hätte euch doch nur vorher jemand gewarnt!

  Wisst ihr, bei manchen Leuten bin ich ja ganz froh, dass die nicht auf mich hören.

  Ich persönlich würde ja bestreiten, dass die Hacker "hostile to the United States" sind. Das sind Freunde in der Not!1!!

Sat Aug 10 2024

• [l] Das wird euch vermutlich nicht überraschen, wenn ihr mein Blog schon länger lest. Aber Crowdstrike hat ein Postmortem veröffentlicht.

  Oben so:

  The CrowdStrike Falcon sensor delivers powerful on-sensor AI and machine learning models to protect customer systems by identifying and remediating the latest advanced threats.

  Da siehst du doch förmlich den Marketingkokser vor dir, wie er einer verfrühte Ejakulation hinlegt *kleenexreich*

  Und weiter unten dann:

  Rapid Response Content is delivered through Channel Files and interpreted by the sensor’s Content Interpreter, using a regular-expression based engine.

  Wie, bloß stumpfe Regexen... was ist denn aus der KI geworden? Und den machine learning models? Sag bloß, am Ende ist das bloß stumpfes Regex-Matching?!? Na sowas!1!!

  Sage ich seit Jahren. Glaubt mir immer keiner. Hier habt ihr es schwarz auf weiß vom Hersteller selbst.

  Der Rest ist auch grotesk, aber das haben schon andere besprochen. Sie haben ein API gebaut, das 21 Argumente nimmt, und in dem Update waren nur Daten für 20. Daraufhin platzte der ganze Kerneltreiber.

  Das ist natürlich auch unfassbar peinlich. So richtig GANZ doll peinlich. So Niveau "das lernst du, bevor sie dich überhaupt zum 1. Semester in den Hörsaal lassen".

  Besonders geil daran:

  the mismatch between the 21 inputs validated by the Content Validator versus the 20 provided to the Content Interpreter

  Der Validator ist geplatzt. Der hat einen Job. Eingabe validieren. Dem gibst du ungültige Daten und er platzt. Kannste dir nicht ausdenken.

  Auch sehr humorvoll:

  The number of fields in the IPC Template Type was not validated at sensor compile time

  Das ist genau die Art von Denke, die diese Art von Problem überhaupt erst erzeugt. Es muss egal sein, was für kaputten Scheiß reinkommt! Der Kerneltreiber darf unter gar keinen Umständen abstürzen!

  Dass man da vielleicht Bounds Checking machen könnte ist erst Finding 2 bei denen. Das würde mich als Kunde von denen nicht optimistisch stimmen, dass die diese fundamentale Sache immer noch nicht verstanden haben.

• [l] Ab und zu werde ich gefragt, was ich von der Cybercrime Convention halte.

  Ich schließe mich da inhaltlich der Einschätzung des CCC vollumfänglich an.

  Alleine dass das Abkommen zu Cybercrime von Russland vorgeschlagen wurde, die praktisch alle Ransomware-Gangster dieser Welt beherbergt, hätte eine dicke Warnlampe sein müssen, wenn irgendeiner der beteiligten Politiker über mehr als eine Hirnzelle zum Zusammenreiben verfügt hätte.

Fri Aug 9 2024

• [l] Nach langem Winterurlaub ist Captain Obvious mit ein paar Meldungen zurück.
  1. Sicherheitsforscher verwandeln Sonos-One-Lautsprecher in Wanze.

     Nein, tun sie nicht. Das war vorher schon eine Wanze, und ist es auch nachher noch.

     Woran man das erkennt? Daran dass ein Mikrofon eingebaut ist. Duh.

  2. Tinder, OKCupid, Grindr & Co. lassen intime Daten abfließen.

     Ja, äh, natürlich tun sie das! Was dachtet ihr denn, womit die ihr Geld verdienen?

  3. Agile hat Softwareentwicklung nachhaltig kaputt gemacht.

     Ich weiß!! Keiner versteht mehr, wie der Scheiß unter den drölfzig schrottigen Abstraktionen funktioniert, die auch noch alle ständig kaputt sind und "geupdated" (eigentlich: repariert) werden müssen. Am besten im Feld, beim Kunden.

     Wenn ihr jetzt denkt: Das hat bestimmt die CIA herausgefunden! Dann liegt ihr fast richtig: Moxie Marlinspike hat es herausgefunden.

  4. Insolvenzen steigen gegenüber Vorjahr wieder zweistellig.

     Das wäre ja erstmal nicht weiter übel, wenn der Markt sich hier von den ganzen Multimedia-Startups und Digitalberater-Klitschen bereinigen würde, aber es sind vor allem Industrie-Firmen, die pleite gehen.

     Ich weiß, was ihr euch jetzt fragt. Hat das was mit dem Ölpreis zu tun? Aber nicht doch!1!!

     Am häufigsten traf es im Mai Unternehmen aus dem Bereich Verkehr und Lagerei. Auch Zeitarbeitsfirmen und Baubetriebe zeigen häufig ihre Zahlungsunfähigkeit an.

     Hat also nichts mit dem Ölpreis zu tun!1!!
• [l] Die BBC hat mal recherchiert, wo eigentlich die Fake News herkamen, die jetzt zu diesen Nazi-Aufmärschen und -Ausschreitungen geführt haben.

  Die Site heißt "channel3now" und hat den Slogan "Unbiased and Accurate News for a Global Audience". Genau mein Humor!

  Naja, denkt ihr euch jetzt vielleicht. Botfarm. Russische Propaganda-Op.

  Stellt sich raus: Nein.

  The BBC has tracked down several people linked to Channel3Now, spoken to their friends and colleagues, who have corroborated that they are real people, and questioned a person who claims to be the “management” at the site.

  Schonmal keine Bots. Alles Menschen. Verbindungen nach Russland haben sie auch keine gefunden.

  The person claiming to be from Channel3Now’s management told me that the publication of the false name “shouldn’t have happened, but it was an error, not intentional”.

  An dem Artikel stand interessanterweise kein Autor dran. Ich fände ja richtig geil, wenn sich das jetzt als "KI"-Artikel herausstellt. So weit sind wir aber noch nicht.

  Bei dem Stochern sind sie natürlich sofort von allen Angeschriebenen geblockt worden, klar. Social Media, fuck yeah! *block* Aber nach einer Weile schrieb jemand von der Site zurück und sagte folgendes:

  Kevin claims there are “more than 30” people in the US, UK, Pakistan and India who work for the site, usually recruited from sites for freelancers - including Farhan and James.

  Gig Economy! Ausbeutung für alle!

  Aber jetzt kommen wir zum eigentlichen Teil:

  Kevin said the site is a commercial operation and “covering as many stories as possible” helps it generate income.

  Hör mal, Atze, wir wollen hier Geld verdienen! Recherche und Prüfen kostet Geld! Wenn wir das machen, machen wir keinen Profit!!1!

  Wie bei den anderen kommerziellen Medien auch. Nur das diese Klitsche hier ehrlich ist.

• [l] Ein Leser fragt gerade, wie das eigentlich legal sein kann, wenn eine Zeitung dir was von einem "Pur-Abo" erzählt, wo du "mit deinen Daten zahlst", und dann kriegst du aber nicht die Inhalte sondern bloß Werbung für "das Plus-Abo" oder so.

  Das wüsste ich auch gerne. Will sich da vielleicht mal ein Verbraucherschützer zu äußern?