Fragen? Antworten! Siehe auch: Alternativlos
New hotness: Nazis demonstrieren gegen Björn "Bernd" Höcke. Weil er ihnen zu linksgrünversifft ist.
Money Quote:
Linke Gruppen sind verunsichert, wie sie mit der Situation in Bornhagen umgehen sollen. Einige fürchten, eine Gegendemo gegen den Thügida-Aufmarsch könnte als Solidarität für Höcke interpretiert werden.m( (Danke, Lutz)
Mit Klassikern wie "Root-Passwort im Plaintext im Filesystem abgelegt", "der Webserver kann dir die Datei mit dem Plaintext-Passwort geben" und "Shell Command Injection via Webserver".
Hey, D-Link? Was macht ihr eigentlich beruflich?
Update: Die wollten halt nicht das Feld Cisco überlassen.
New hotness: Glasfaserdiebstahl.
Was die Diebe damit wohl machen wolten?
Im Raum Rheinberg haben Unbekannte mit viel krimineller Energie in einer Hochspannungstrasse auf einer Länge von 200m ein von Unitymedia angemietetes Glasfaserkabel entwendet – etwa 2.500 Unitymedia-Kunden sind dadurch zurzeit ohne Internet und Telefon.Ist nicht so, als ob einem das ein Rohstoffhändler abnimmt. Soweit ich weiß. (Danke, Thomas)
Economics war gestern. Heute machen wir Tokenomics. Also wenn das kein Full Spectrum Cyber ist, dann weiß ich auch nicht. (Danke, Johannes)
JA SUPER, DOCKER! Boah mich regen ja immer diese Silicon-Valley-Idioten auf, die zuhause 100 mbps oder so haben und dann ihre Services alle nach dem Motto "Scheiß auf die Datenmenge, weniger als 16 mbps wird schon keiner haben" entwerfen. Einmal fucking Android Updates und das durchschnittliche LTE-Monatslimit ist aufgebraucht.
Aber darum wollte ich euch nicht schreiben. Ich wollte euch schreiben, um euch von Herzen und im Namen aller Mitreisender zu sagen: SHUT THE FUCK UP! Ihr habt ein ICE-Portal, das zeigt alles an. Ihr habt Personal, das rumrennt, und den Leuten Anschlusszüge raussucht. Ihr habt eine Navigator-App, die den Leuten Anschlüsse raussucht. Ich sitze gerade in einem der neuen ICEs mit von der Decke hängenden Anzeigen mit den Anschlusszügen. Oh und auf jedem fucking Sitz liegt ein Zugplan mit den Stopps und Verbindungen aus.
Ich will auch nicht vom Zugführer per Lautsprecher begrüßt werden nach jedem Halt. Ich brauche auch keine Durchsage, dass wir gerade stehengeblieben sind. Das sehe ich.
Ich sitze hier im Ruhebereich und ALLE halten sich daran. NUR. IHR. NICHT.
Daher, mit freundlichen Grüßen, haltet bitte die Fresse. Ich versuche mich hier zu konzentrieren. Und ich brauche alle Konzentration, um meinen Blutdruck unten zu halten angesichts eurer beschissenen Internetqualität schon wieder.
Mir ist ja nach wie vor unklar, wieso Container als Methode zum Downloaden und sicheren Ausführen von Fremdsoftware aus dem Internet verkauft wird. Wenn man nicht gerade ein Cloud-Provider ist: Wie viele Szenarien beinhalten denn bitte, dass man unvertrauenswürdige Software ausführt? Wenn die Software nicht vertrauenwürdig ist, dann führt man sie nicht aus. Oder man lebt halt damit, dass die Software Mist machen kann, und lässt sie nicht an die Datenbank mit den Payroll-Daten oder das Corpnet ran.
Ich finde, Container muss man eher als Deployment-Technologie betrachten. Für Software, die man im Moment per # ./install deployed, oder per RPM oder DEB. Da schiebt man jetzt halt nicht ein RPM mit Dependencies herum, sondern aus dem Buildsystem fällt ein Image mit allen Abhängigkeiten, und die schiebt man auf das Zielsystem. Wenn das Ärger macht, dann fährt man das vorherige Image nochmal hoch und hat nur ein paar Sekunden Downtime. Das ist ein Versprechen, das Container grundsätzlich einlösen können, und da sind sie auch nicht schlechter als irgendein gammeliges manuell hochgepatches (wenn überhaupt) Redhat mit handinstallierter Anwendung — sondern haben sogar echte Vorteile.
Die ganze Idee hinter Containern ist dann, dass man beim Deployment agiler wird, und Fehler nicht so schlimm sind, weil man das alte Image noch hat. Dann muss man aber natürlich auch agil sein und seine Images häufiger neu bauen, insbesondere auch mit den aktualisierten Abhängigkeiten frisch. Warum das keiner macht, ist aber eine Frage für einen anderen Blogrant :-)
Bei Volkswagen hat einem Medienbericht zufolge der Vorstand neue Maßnahmen in Milliardenhöhe für die Diesel-Umrüstung beschlossen, um Fahrverbote für seine Kunden zu verhindern.Die vermuten wahrscheinlich, dass die Leute sich dann einen neuen VW kaufen.
Update: Genau hingucken: Die Dieselskandal-Fahrzeuge sind Euro-5. Die Abwrackprämie ist jetzt für Euro 1-4.
New hotness: CumEx-Files.
Es geht um mindestens 55 Milliarden Euro: Der organisierte Griff in die Steuerkasse durch "steuergetriebene Aktiengeschäfte" ist viel größer als angenommen.
Stellt sich raus: Die USA wollen jetzt aus dem Abkommen austreten, mit der expliziten Begründung, die Chinesen würden das unfair ausnutzen.
Important information regarding your Data Science Virtual Machine
instance(s)
Microsoft is writing to inform you of an incident which has
impacted one or more of your Data Science Virtual Machine (VM)
instances. Engineers detected crypto mining software in the
software package for your Data Science VM instance that may have
caused an increase in system resource utilization and subsequent
increase in your Azure usage. We have determined that this
affected a limited subset of Data Science VM instances installed
since September 24th, 2018.
Our investigation has determined that no customer data was
compromised due to this crypto mining software. A list of your
affected VM(s) is included at the bottom of this email.
Azure recommends that customers delete their affected Data
Science VM instances and redeploy a new instance from Azure
Marketplace to mitigate this issue. If you experience any
unexpected issues during the deletion and reinstallation of your
VM instances, please contact [4]Azure Support.
Microsoft sincerely apologizes for this incident and any
inconvenience that this has caused for our customers. We will be
proactively issuing credits for any increased usage on your
affected VM(s) that is attributed to this incident. Credits will
be applied to a future billing invoice.
Ich saß heute in einer Keynote von Mikko Hypponen drin, der da diese Geschichte erzählte, dass die Leute total glücklich sind, wenn man ihnen erzählt, dass sie sich einen Krypto-Miner eingefangen haben. Wenn du mit "Wir haben Malware gefunden" eröffnest, dann rechnen die eher mit Kreditkarte geklaut, Dokumente verschlüsselt, etc. Dann ist es direkt eine Erleichterung, wenn das "nur" ein Kryptominer war.Gut, in der Cloud zahlt man für Nutzung, und da kann so ein Kryptominer echt teuer werden.
Money Quote:
with 23 tons of cyber capabilities on wheelsFuck, Yeah! (Danke, Marco)
Diese Einstellung hört man glücklicherweise inzwischen nur noch sehr selten, und das begrüße ich. Meiner Erfahrung nach sind Entwickler im Allgemeinen interessiert daran, eine gute Arbeit zu machen. Und das beinhaltet: Keine Sicherheitslücken produzieren.
Ich habe schon häufig erlebt, dass Entwickler mit mir über Bugs verhandelt haben, aber das hatte immer falsche Anreize in der Organisation als Hintergrund. Sowas wie: Ich kriege einen Bonus, wenn ich keine Bugs habe. Du hast hier gerade Bugs aufgemacht, das killt meinen Bonus, daher bestreite ich die jetzt alle.
Man stelle sich mal vor, ein Architekt argumentiere so. Sagen wir mal: Ein Klimaforscher sagt: Wir haben Klimawandel, die Stürme werden stärker, ihr müsst eure Statik jetzt auf mehr Windstärke auslegen. Und die Architekten sagen dann: Der böse Klimaforscher hat mir gar nicht erklärt, was ich da genau tun muss jetzt!1!!
Undenkbar, da sind wir uns hoffentlich alle einig. Das sollten wir auch Software-Entwicklern nicht durchgehen lassen. Glücklicherweise kommt das auch jetzt schon so gut wie nicht vor, jedenfalls meiner Erfahrung nach.
Update: Ich sollte das nochmal explizit sagen: Das ist nicht die Realität. Jedenfalls nicht in meiner Erfahrung. Der Report erwähnt mindestens den Fachbegriff Integer Overflow, danach kannst du googeln und dann findest du, wie man das fixt. Oder der Report verweist auf intsafe/safeint oder die entsprechenden gcc/clang-Builtins. Und das ist auch bei ... weniger seriösen Marktteilnehmern so, weil das ein einfacher Weg ist, den Report zu strecken. Daher ist das eine akademische Diskussion hier. Ich bin aber der Meinung, dass jemand, der nicht weiß, was ein Zertifikat kaputt macht, die Finger von Code lassen sollte, der mit Zertifikaten hantiert.
libssh versions 0.6 and above have an authentication bypass vulnerability in the server code. By presenting the server an SSH2_MSG_USERAUTH_SUCCESS message in place of the SSH2_MSG_USERAUTH_REQUEST message which the server would expect to initiate authentication, the attacker could successfully authenticate without any credentials.
Hätten die nicht mal jemanden fragen können, der sich mit sowas auskennt?
Until now, perhaps. A new study of political attitudes in the United States offers stunning evidence that most Americans censor themselves, except among people they regard as like-minded, on a bundle of sensitive topics: immigration and immigrants; race and racism; gay, lesbian and gender issues; and Islam and Muslims.Wir haben sozusagen Sozialismus nur mit mehr Militarisierung des Polizeistaats, mit zwei Bullshit-Parteien statt einer, mit mehr Produkten im Laden, die aber alle entweder uns oder unsere Umwelt umbringen. (Danke, Mirko)
In den anderen Arbeitsfeldern rüstet ZITiS ebenfalls auf, wobei zwei besonderes Gewicht erhalten. Im Bereich der Digitalen Forensik forscht und entwickelt ZITiS unter anderem an „Passwortsuche“ und der „Auswertung von Smartphones“. Bisher haben Polizeibehörden sieben verschiedene Software-Tools gekauft, um beschlagnahmte Mobilgeräte auszulesen. Dieser Wildwuchs soll bei ZITiS vereinheitlicht werden.Da weißte doch, wofürde Steuern zahlst!
