Fefes Blog

Fragen? Antworten! Siehe auch: Alternativlos

Thu Oct 5 2023

• [l] Benutzt hier jemand curl? Es gibt ein außerplanmäßiges Release am 11. Oktober.

  The one rated HIGH is probably the worst curl security flaw in a long time.

Wed Oct 4 2023

• [l] Aus der beliebten Kategorie "Was kann da schon schiefgehen", heute: Facebook Messenger hat jetzt "KI"-generierte Sticker.
• [l] Old and busted: Go woke, go broke.

  New hotness: Woking is broke. Das ist eine Kleinstadt nahe London.

  Der Gemeinderat hat 1,8 Milliarden Pfund Schulden aufgehäuft durch verzockte Immobilien-Geschäfte. Die wollten zum "Singapur Surreys" werden, haben auf Pump ein paar Hochhäuser gebaut, und dann kam Covid und jetzt braucht die keiner und sie sitzen auf den Schulden.

  Im Juni musste sich Woking offiziell für bankrott erklären und bei der Zentralregierung in London eine sogenannte «section 114 notice» anstrengen. Dieses Verfahren hat zur Folge, dass alle neuen Ausgaben mit sofortiger Wirkung eingestellt werden müssen. Nur durch nationale Gesetze garantierte Leistungen wie etwa der Kinder- und Erwachsenenschutz oder der Betrieb von Sozialwohnungen werden fortgeführt.

• [l] Ihr ahnt ja gar nicht, was rauskommt, wenn sich mal jemand Software für Predictive Policing anguckt!

  A software company sold a New Jersey police department an algorithm that was right less than 1% of the time

  Das ist eine enorme Leistung! Das heißt, dass man bloß das Gegenteil tun muss, was die Software sagt, und man liegt 99% richtig!1!!

Tue Oct 3 2023

• [l] Berlin kriegt endlich ein schärferes Polizeigesetz!1!!

  Derzeit beträgt die Höchstdauer des Präventivgewahrsams zwei Tage. Künftig soll das Einsperren von Menschen, von denen schwere Straftaten erwartet werden, auf Beschluss eines Richters bis zu fünf Tage möglich sein – im Fall mutmaßlicher Terroristen bis zu sieben Tage.

  Im Moment zählen Klimakleber noch nicht als Terroristen, aber das Gesetz muss ja auch noch durchs Parlament. Das kriegt die CDU bestimmt noch hin.
• [l] NIST hat sich bei der Stärke von Kyber-512 verrechnet.

  Kyber-512 ist ein Post-Quantum-Verfahren. Das Feld der Post-Quantum-Verfahren wurde von Dan Bernstein ins Leben gerufen und ist jetzt international hart umkämpft, weil praktisch alle Kryptographen damit rechnen, dass demnächst unsere gesamte Public Key-Krypto unsicher wird, weil jemand einen funktionierenden Quantencomputer ausreichender Größe baut.

  NIST ist die US-Standardisierungsbehörde, sowas wie bei uns das DIN. NIST hat sich auch viel in Krypto-Standardisierung eingebracht und hat so Dinge wie AES und SHA3 zu verantworten, jeweils Ergebnis eines internationalen Wettbewerbs.

  Im Moment läuft der Wettbewerb für Post-Quantum-Verfahren, und ist bisher vor allem dadurch aufgefallen, dass überraschend viele Verfahren durchgefallen sind, weil sie sich als viel unsicherer als erhofft herausgestellt haben. Im Moment ist das ein ziemlicher Wilder Westen da.

  Kyber ist eines der Verfahren im Rennen. NIST hat schon angesagt, dass ihnen die Performance der Verfahren wichtig ist, in Laufzeit, Speicherbedarf und Schlüsselgröße. Kyber gilt als einer der Favoriten.

  In 2022, NIST announced plans to standardize a particular cryptosystem, Kyber-512. As justification, NIST issued claims regarding the security level of Kyber-512. In 2023, NIST issued a draft standard for Kyber-512.

  NIST's underlying calculation of the security level was a severe and indefensible miscalculation. NIST's primary error is exposed in this blog post, and boils down to nonsensically multiplying two costs that should have been added.

  Der Fehler war sowas wie: 2⁴⁰ + 2⁴⁰ = 2⁸⁰. Stimmt halt nicht. Ist 2⁴¹. Bernstein fand, dass eine Behörde dieses Standings so einen Fehler nicht machen würde, und hat mal Akteneinblick beantragt. Dabei kam heraus, dass der Einfluss der NSA deutlich größer war als öffentlich sichtbar war.

  Das ist sehr bedenklich, denn die NSA sind ja genau der Grund, wieso wir überhaupt an Post-Quantum-Krypto arbeiten. Die sind die, von der alle annehmen, dass sie als erste einen Quantencomputer haben werden. Wenn also jemand keinerlei Einfluss haben sollte auf die NIST-Standardisierung der Post-Quantum-Verfahren, dann die NSA.

  Aber die NSA hat halt eine Doppelaufgabe. Die ist auch für die Verteidigung von Regierungs-IT verantwortlich und hat daher so Dinge gemacht wie Microsoft zu Trusted Computing zu nötigen, weil dem Militär ständig Laptops verloren gingen, und die NSA fand, ohne Trusted Computing und Hardware-Attestation ist Plattenkrypto wertlos (womit sie nicht völlig Unrecht hat).

  Tja und jetzt sieht das halt aus, als ob die NSA das NIST-Post-Quantum-Krypto-Verfahren sabotiert, damit die Welt knackbare Verfahren einsätzt und die NSA besser spionieren kann.

• [l] Benutzt hier jemand Linux mit glibc? Wenn ihr Linux benutzt, dann ist die Antwort höchstwahrscheinlich: Ja.

  glibc hat in ihrem ld.so tolle neue GNU-Features eingebaut und darin einen Buffer Overflow.

  Die glibc-Leute haben noch keine neue Version veröffentlicht.

• [l] In Dänemark gibt es gerade einen Geheimdienstskandal. Ja, ich weiß, der dänische Geheimdienst, da schreiben sich die Witze praktisch von selbst.

  Es fing mit Snowden an. Der hat die US-Seite eines Deals mit den Dänen geleakt, der der NSA ermöglichte, Glasfaserkabel in Dänemark komplett abzuhören. Nicht "nur" Transit, auch Kommunikation von Dänen haben sie abgehört.

  Auf dänischer Seite war das der Auslandsgeheimdienst. Der hätte das natürlich nicht machen dürfen, weil Dänen betroffen waren, aber das ist nicht der Skandal gerade.

  Es gab einen jungen Geheimdienstler, der intern Protest einlegte gegen das Programm. Natürlich wurde das auf dem bürokratischen Weg nicht verfolgt und schnell eingestampft, aber der Typ fing dann an, verdeckte Audiomitschnitte von Meetings mit seinen Kollegen anzufertigen, wie sie über das Programm sprachen. Über 100 Stunden Audio. Diese Mitschnitte gelangten dann irgendwie in die Hände des dänischen Geheimdienst-Kontrollgremiums.

  Die haben eine unabhängige Untersuchung angestoßen, die zum Ergebnis kam, dass das alles natürlich illegal und hoch verwerflich war, was der Geheimdienst da gemacht hat. Also hat die Regierung ein Gegen-Gremium einberufen, mit von der Regierung ernannten (also nicht unabhängigen) Mitgliedern, die die unabhängige Untersuchung überstimmten und in der Rundablage abhefteten.

  Soweit die Vorgeschichte. Dann haben sie am Flughafen den suspendierten Geheimdienstchef verhaftet und eingelocht. Gegen ihn und seinen damaligen Minister-Chef haben sie Anklage erhoben, wegen Geheimdienstverrats.

  Welches Geheimnis sollen sie denn verraten haben? Na die Existenz des Programms! Der suspendierte Geheimdienstchef hat darüber mit seiner 84-jährigen Mutter geredet, und seiner Partnerin, und einem alten Freund. Und ein paar Journalisten, die ihm helfen sollten, negative Berichterstattung anderer Journalisten über seinen Geheimdienst zu kontern.

  Woher wissen die das? Nun, jetzt kommen wir zum Herz des Skandals. Sein Geheimdienst hat seine Wohnung und sein Auto komplett verwanzt, und sein Feriendomizil. Die Bänder davon sind jetzt die Beweise der Anklage gegen ihn.

  Und was ist mit dem Minister? Noch besser! Der hat im Fernsehen das Programm erwähnt. 2021. Das seit 2014 öffentlich bekannt war, dank Snowden.

  In December 2021, a week after the Frederiksen, the former minister, mentioned the NSA cable-tapping deal on television, police officers turned up at his home. Standing outside the thatched fisherman’s cottage, the officers informed the 76-year-old he’d been charged with treason.

  Ja, äh, aber das ist doch dann kein Geheimnis mehr, wenn es bereits öffentlich diskutiert wurde? Nun, doch, findet die aktuelle Regierung.

  “The present government is of the opinion that a secret is a secret,” Frederiksen says. “It might have been described in the newspapers, but they still say it’s a secret.” In court, the trial is expected to turn on whether an open secret can still be a state secret.

  Was für Sprallos. Keiner von denen denkt an irgendeiner Stelle darüber nach, wie das wohl wäre, wenn ihre Nachfolger ihre Präzedenzfälle und ihren Überwachungsapparat mal gegen sie einsetzen würden.

  Es hätte niemanden verdienteren treffen können, wenn ihr mich fragt.

• [l] Hat eigentlich jemand auf dem Radar, dass die Parkhäuser strukturell mit dem höheren Gewicht von Elektrofahrzeugen überlastet sein könnten?
• [l] Wusstet ihr, dass die Nato eine Kerosin-Pipeline in Europa betreibt?

  Kriminelle wussten es, haben die Pipeline angezapft und über Tankstellen an unwissende Autofahrer verkauft. (Danke, Sebastian)

Mon Oct 2 2023

• [l] Old and busted: Bitcoin-Miner brauchen eigene Kohlekraftwerke.

  New hotness: Microsofts "KI"-Abteilung braucht eigene Atomkraftwerke.

Sun Oct 1 2023

• [l] A Practical Deep Learning-Based Acoustic Side Channel Attack on Keyboards.

  When trained on keystrokes recorded by a nearby phone, the classifier achieved an accuracy of 95% [...] When trained on keystrokes recorded using the video-conferencing software Zoom, an accuracy of 93% was achieved

• [l] Neuer Abnehmpillen-Durchbruch.

  The new compound, developed and tested by a University of Florida professor of pharmacy and his colleagues, leads obese mice to lose weight by convincing the body’s muscles that they are exercising more than they really are, boosting the animals’ metabolism.

  Wir hatten in letzter Zeit mehrere echt phänomenale Pharma-Durchbrüche. Mal gucken, ob wir dann doch auch mal irgendwann was gegen Krebs tun können.
• [l] Motel One hat operative Herausforderungen. Hier ist, was sie öffentlich angesagt haben:

  Motel One ist Ziel eines Hackerangriffs geworden. Adressdaten von Kunden wurden abgegriffen, darunter 150 Kreditkartendaten. Die Betroffenen wurden informiert.
  Geschäftsbetrieb war zu keinem Zeitpunkt gefährdet. IT-Sicherheit & Ermittlungs- & Datenschutzbehörden sind involviert.

  Für die enorme kriminelle Energie der Angreifer war wohl kein Platz mehr.