Fefes Blog

Fragen? Antworten! Siehe auch: Alternativlos

Thu Oct 31 2024

• [l] Lacher des Tages:

  Collegium Intermarium, a university set up in Warsaw under the former national-conservative Law and Justice (PiS) government with the aim of “forging elites for the entire region”, has not enrolled a single student this year.

  Ein Erfolgsrezept! Ach was sage ich, ein Exportschlager!! (Danke, Andreas)
• [l] Pakistan hat riesige Öl- und Gasvorkommen gefunden. Unter Wasser allerdings, aber in ihren Gewässern.

  Na dann kann es ja nicht mehr lange dauern, bis dort Demokratie und Menschenrechte einkehren. Zur Not aus US-Bombern abgeworfen.

• [l] Ich erzähle ja seit Jahrzehnten inzwischen, dass Schlangenöl nicht nur keine Sicherheit gegen Malware bringt, sondern im Gegenteil die Angriffsoberfläche vergrößert und daher unter dem Strich sogar kontraproduktiv ist.

  Wisst ihr, wer das jetzt auch sagt? Sophos.

  For years, it's been an inconvenient truth within the cybersecurity industry that the network security devices sold to protect customers from spies and cybercriminals are, themselves, often the machines those intruders hack to gain access to their targets. Again and again, vulnerabilities in “perimeter” devices like firewalls and VPN appliances have become footholds for sophisticated hackers trying to break into the very systems those appliances were designed to safeguard.

  Ach. Ach was. Wartet, das war noch nicht Sophos. Das war die Einleitung von Wired.

  Wieso sagen die Leute das eigentlich immer erst, wenn es nicht mehr zu leugnen ist?

  Sophos versucht es natürlich anders zu spinnen. Sie sind hier die glorreichen Helden, die gegen die verruchten fiesen Chinesen "zurückhacken". Da werden sich aber die üblichen Kompetenzgranaten in Deutschland freuen, die meinen Vortrag dazu noch nicht gesehen haben.

  The company went as far as discreetly installing its own “implants” on the Chinese hackers' Sophos devices to monitor and preempt their attempts at exploiting its firewalls.

  Das ist selbstverständlich illegal, und zwar sowohl unter chinesischen wie auch unter britischem oder EU-Recht. Sophos gibt hier also unumwunden Straftaten zu. Das könnt ihr ja mal mit eurer Einkaufsabteilung besprechen, wenn die bei Sophos eingekauft haben.

  Aber mal abgesehen davon. Was fand Sophos denn da?

  In the process, Sophos analysts identified a series of hacking campaigns that had started with indiscriminate mass exploitation of its products but eventually became more stealthy and targeted, hitting nuclear energy suppliers and regulators, military targets including a military hospital, telecoms, government and intelligence agencies, and the airport of one national capital. While most of the targets—which Sophos declined to identify in greater detail—were in South and Southeast Asia, a smaller number were in Europe, the Middle East, and the United States.

  Das ist schön ausweichend formuliert, daher lasst es mich noch mal betonen. Alle diese Organisationen wurden über Sophos-Pfusch-Produkte angegriffen. Wenn die auf mich gehört und kein Schlangenöl gekauft hätten, wären die Chinesen auf dem Weg nicht reingekommen.

  Sophos says it’s telling that story now [...] to break the cybersecurity industry's awkward silence around the larger issue of vulnerabilities in security appliances serving as entry points for hackers.

  Absolut an der Zeit. Hätten sie auch 20 Jahre früher machen können. Am besten direkt auf ihre Produkte eine fette Warnung aufdrucken! Wer das hier kauft, öffnet den Chinesen eine Hintertür in sein Netz.

  Ist jetzt natürliche in bisschen ungerecht, so auf Sophos herumzuhauen. Die sind ja nur einer der Player, und der erste, der ein bisschen Anflüge von Ehrlichkeit zeigt in der Beziehung.

  In just the past year, for instance, flaws in security products from other vendors including Ivanti, Fortinet, Cisco, and Palo Alto have all been exploited in mass hacking or targeted intrusion campaigns.

  No shit.

  Bleibt mir nur eines zu sagen:

  TOLD YOU SO. (via)

• [l] DHL hatte ja gestern ein paar operationelle Herausforderungen. Heute claimt jemand, dass das eine "Cyber Attack" war!1!!

  Würde mich wundern. Dann hätten sie das nicht so schnell wieder ans Laufen gekriegt.

• [l] Passend zu Halloween urteilt das Bundesverfassungsgericht zu BAFöG:

  Die BAföG-Berechnung habe in dem fraglichen Zeitraum 2014/2015 nicht gegen die Verfassung verstoßen. Die Richterinnen und Richter machen in ihrem Beschluss ganz grundsätzliche Aussagen zur finanziellen Förderung von Studierenden: Es gebe keinen verfassungsrechtlichen Anspruch darauf, dass der Staat ihnen finanziell ein Studium ermöglicht.

  Es gibt also kein Grundrecht auf BAföG, das sich unmittelbar aus dem Grundgesetz ableitet. Weder aus der Menschenwürde noch aus dem Recht auf gleichberechtigte Teilhabe am staatlichen Studienangebot und auch nicht aus dem Sozialstaatsprinzip folge ein finanzieller Leistungsanspruch gegen den Staat.

  Sagten wir gleichberechtigte Teilhabe? Wir meinten: Irgendjemand muss ja in der Mensa den Boden schrubben!1!!

  Update: Damit wäre dann auch geklärt, wo FDP und CDU Sozialleistungen kürzen können, ohne Ärger mit dem Verfassungsgericht zu riskieren!

• [l] Zuckerberg kündigt viel mehr "KI"-"Content" auf Facebook und Instagram an.

  Klar, daher heißen die auch social, die networks. Damit man sich da von "KI"-Klärschlamm berieseln lässt, weil alle echten sozialen Kontakte längst das Weite gesucht haben.

• [l] Kennt ihr das, wenn Zombies in Zombiefilmen nicht die Feinmotorik haben, um eine Türklinke zu bedienen? Die müssen dann durchs Glas laufen oder durchs Fenster kommen oder der schiere Druck der Zombiehorde bricht die Tür auf.

  Daran musste ich denken, als ich diese Photo-Op von Donald Trump sah.

  Ich sagte ja neulich, wir müssen uns meiner Ansicht nach auf eine weitere Trump-Präsidentschaft einstellen.

  Jetzt glaube ich, wir sollten uns auch auf eine Vance-Präsidentschaft einstellen.

  Au weia.

• [l] Die für Wahlen zuständige Behörde in Colorado hat monatelang ein Spreadsheet mit Passwörtern für ihre Wahlsysteme auf ihrem Webserver. Immerhin offenbar nur Teile der Passwörter.

  For months, the agency “improperly” hosted a publicly available spreadsheet on its website that included a hidden tab with partial passwords for its voting machines.

  Update: Leserkommentar dazu:

  vielleicht sollte für Diejenigen Deiner Leser, die nicht so vertraut mit corporate IT desktop support sind, zusätzlich erwähnt werden, dass der Rest der Passwörter dann üblicherweise von irgendeinem mit dem Gerät verbundenen Kennzeichen (asset tag, MAC, serial number) abgeleitet wird. Hier beu uns ist's das asset tag.

  Die 'Teile der Passwörter' sind aller Wahrscheinlichkeit nach der 'random'-Anteil. Der Rest ist social engineering. Die Wahlmaschinen in Colorado dürften damit als vollständig kompromittiert gelten.

  Die spannende Frage ist eigentlich - wer hat das 'improperly' auf der Website geleakt, und zu welchem Zweck?

  Da würde ich die alte Faustregel anwenden, dass man nie mit Bösartigkeit erklären sollte, was auch mit Unfähigkeit erklärbar ist. Derjenige, der das hochgeladen hat, wusste vielleicht gar nicht, dass es da ein Hidden Tab mit den Passwörtern gibt. Und der, der dem das Spreadsheet gegeben hat, wusste nicht, dass das im Internet landet, und dachte sich, das ist ungefährlich, weil der Depp das eh nie bemerkt.

• [l] Die Russen haben angeblich riesige Öl- und Gasvorkommen in der Antarktis gefunden.

  Russia has reportedly found huge oil and gas reserves in British Antarctic territory, potentially leading to drilling in the protected region, according to the British publication The Telegraph and several online reports.

  The reserves uncovered are said to contain around 511 billion barrels worth of oil, equating to around 10 times the North Sea’s output over the last 50 years.

  Update: Ich mache mir da ehrlich gesagt wenig Sorgen.

• [l] Nordkorea hat angeblich eine Interkontinentalrakete getestet. Sie soll 86 Minuten unterwegs gewesen sein, bevor sie ins Meer stürzte.
• [l] Es gab ja über die Jahre mehrere Berichte von verhinderten Terroranschlägen, die alle eher an den Haaren herbeigezogen klangen. Da kam dann heraus, dass die Polizei die "Täter" regelrecht angestiftet und mit dem nötigen Material versorgt hatte.

  Aber jetzt gab es in Berlin einen Fall, der wirklich ernstzunehmend klingt.

  Polizisten kontrollierten in Neukölln einen Mann, der spontan die Flucht ergriff und eine Tasche stehen ließ. In der fanden die Polizisten dann ein halbes Kilo Sprengstoff, das sie in einem Park gezündet haben.

  Wir reden hier nicht von Böllern sondern angeblich war das TATP.

Wed Oct 30 2024

• [l] Die Deutsche Bahn überzeugt mal wieder auf ganzer Linie.

  Die haben heute Spam-Mails rumgeschickt an alle Deutschlandticket-Abonnenten. Man müsse da was abnicken weil das Ticket ja teurer wird und so.

  Klickst du also auf den Link und ... timeout. Prüfen Sie Ihre Internet-Verbindung sagt die App.

  OK dann halt im Browser. Zu Bahn.de, einloggen, dann die gut versteckte Abo-Webseite in den Accountsettings finden - Fehlermeldung. Die Klappspaten haben offenbar Oauth zwischen bahn.de und abo.bahn.de gemacht. Was zur Hölle. Das ist dieselbe fucking Domain ihr Spezialexperten! Ihr könnt die Cookies sehen! Wie bekloppt kann man sein!

  Es ist ein unerwarteter Fehler aufgetreten oder der Dienst ist aktuell nicht verfügbar. Bitte überprüfen Sie Ihre Internetverbindung.

  Was machen die eigentlich beruflich, die Techniker bei der Bahn?
• [l] Großbrand in britischer Atom-U-Boot-Werft in Cumbria. Money Quote:

  „Es besteht kein nukleares Risiko“, teilte die Polizei in Cumbria auf der Onlineplattform X mit. Den Anwohnern werde jedoch empfohlen, in ihren Häusern zu bleiben und Türen und Fenster geschlossen zu halten.

• [l] Falls ihr übrigens Hoffnung hattet, dass Google sich vielleicht fängt und wieder besser wird: LOL NOPE.

  “More than a quarter of all new code at Google is generated by AI, then reviewed and accepted by engineers,” CEO Sundar Pichai said on the company’s third quarter 2024 earnings call

  NOCH NIE haben wir so effizient falschen Code von Stack Overflow kopiert wie heute!

  Übrigens, falls jemandem nicht direkt klar ist, was für eine absurde Aussage das ist: Code Review ist viel aufwändiger als Code zu schreiben. Beim Schreiben des Codes hast du ein mentales Modell, was zu tun ist. Beim Reviewen musst du das erst reverse engineeren.

  Google hat hier also nicht den teuren Teil optimiert sondern den eh schon viel zu billigen ("wieviel neuen Code produzieren wir" ist genau die falsche Metrik!) und zahlt jetzt viel mehr für Code Review als sie für Code Schreiben gezahlt hätten.

  Oder, wahrscheinlicher, sie sparen sich den Review und lügen sich selbst und euch ins Gesicht.

  Eine Sache ist jedenfalls klar. Es muss erst noch viel weiter schlechter werden, bevor es besser werden kann.

• [l] Ich geriet vor vielen Jahren in den USA mit der Polizei in Konflikt, die Story erzähle ich gerne immer mal wieder. Die amerikanischen Städte haben das über-die-Straße-laufen kriminalisiert (außer natürlich über eine grüne Fußgängerampel), weil sie händeringend nach Handhaben gegen Obdachlose und Schwarze suchten, die laut Ansicht der Polizei ganz klar Gefährder waren, aber die noch nichts angestellt hatten, für das man sie bestrafen könnte.

  Praktisch alle wegen Jaywalking (oder neu: pedestrian interference) bestraften sind Schwarze.

  Stellt euch also meine Überraschung über diese Meldung vor:

  Jaywalking – that time-honored practice of crossing the street outside of the crosswalk or against the traffic light – is now legal in New York City.

  Ja, richtig gelesen! New York hat Jaywalking legalisiert!

  Begründung: Macht eh jeder aber bestraft werden nur Schwarze und Latinos.

• [l] Ich amüsiere mich ja seit Jahren darüber, wie Apple-Opfer verbreiten können, dass ihre Firma wisse, wie man Dinge designed und UI macht.

  Das war die Firma, die eine Maus mit nur einem Knopf verkauft hat.

  Und jetzt neu: Das ist die Firma, die einen Rechner verkauft, bei dem der An-Aus-Knopf an der Unterseite des Geräts ist. An der Unterseite!

  Update: Jetzt schlagen hier lauter Apple-Opfer auf und sagen: Der eine Mausknopf ist nicht das Problem sondern dass man die Maus während des Ladens nicht weiter benutzen kann. Apple will wohl, dass du zwei Mäuse kaufst. Eine zum benutzen und eine zum Laden. Genau wie man früher über Jaguar-Autos gewitzelt hat, dass man immer zwei kauft. Einen für die Straße und einen für die Werkstatt.

Tue Oct 29 2024

• [l] Coin-Bro als "Hessen-Champion 2024" ausgezeichnet.

  Die im Bereich Kryptohandel tätige Frankfurter Tradias GmbH trug in der Kategorie "Innovation" den ersten Preis davon. Die drei Sieger und die übrigen Finalisten machten Hessen zu einem attraktiven Standort, sagte Wirtschaftsminister Kaweh Mansoori (SPD). "Sie sichern damit Innovation, Wachstum, Beschäftigung und Wohlstand in unserem Bundesland."

  Ja aber unbedingt! Nichts sagt Innovation wie Crypto-Bros! (Danke, Christoph)
• [l] Putins Geldsorgen sind gelöst! Ein russisches Gericht hat Google zu ein paar Dollar Geldstrafe verurteilt!

  Russian court fines Google $20,000,000,000,000,000,000,000,000,000,000,000

  Ich meine, hey, Google hat eine Menge Geld, aber das ist mehr Geld als in der Geschichte der Welt insgesamt umgesetzt wurde.

  Da muss eine alte Oma aber eine Menge Onlinewerbung für schalten!1!!

• [l] Wenn Bayern eine moderne Justizvollzugsanstalt baut, ein Vorbild für alle anderen, was glaubt ihr, worauf die dann so achten?

  Deren Vorbild war offenbar Abu Ghraib.

  Dann habe der Beamte einen Knopf gedrückt. "Von überall kam Personal angerannt und sie haben auf mich eingeprügelt", so der Ex-Häftling.

  Ja gut, aber irgendwie mussten sie diesen gefährlichen Gefährder ja fesseln!

  "Als ich schon an Händen und Füßen gefesselt war, schlugen und traten die Beamten weiter auf mich ein, darunter auch Tritte ins Gesicht, sowie Schläge mit dem Knie ins Gesicht."

  Die waren sich bestimmt nicht sicher, ob er wirklich sicher gefesselt war!1!!

  Immerhin, denkt ihr euch jetzt vielleicht, mussten die Beamten das ganze Blut ja wieder abwischen. Das war bestimmt Strafe genug.

  "Ich habe auch die besonders gesicherten Hafträume gesäubert. Dabei musste ich Blut von Böden und Wänden wischen. Ein Beamter erklärte mir in einem Fall, dass ein Inhaftierter mehrmals mit dem Kopf voraus auf den Boden gesprungen ist."

  Hört man ja immer wieder. Die ist die Treppe heruntergefallen!
• [l] Hier ist noch ein Witz, der sich fast von selber schreibt.
  1. Walz: This might be the first time both Democrats on the ticket are gun owners. And it might also be the first time the guy on the other side can't pass a background check because he has felonies.

  2. Trump advisers propose bypassing FBI background checks for appointees.

  Genau mein Humor!

• [l] Die wunderbare britische Satireserie Yes, Minister eröffnet mit einer Episode namens Open Government. Die ganze Serie handelt davon, wie ein unfähiger Minister immer tolle Dinge ideologisch verbrämte Dinge verspricht und dann sein viel schlauerer Staatssekretär geschickt jede Bewegung in die versprochene Richtung verhindert.

  Die Versprechen hinter Open Government waren damals wie heute Transparenz und Teilhabe der Bürger. Daran musste ich denken, als ich diese Meldung über das Transparenzgesetz las, das uns die Ampel ganz am Anfang ihres Koalitionsvertrags versprochen hatte. Ich zitiere:

  "Uns leiten die Prinzipien offenen Regierungshandelns – Transparenz, Partizipation und Zusammenarbeit."

  Daraus könnte man einen tollen "how it started / how it's going"-Joke machen. Denn wie läuft es? Gar nicht!

  Der Referentenentwurf, der eigentlich schon 2023 vorliegen sollte, ist noch immer nicht in Sicht. Nachfragen zu dem Projekt beantwortet das Ministerium ausweichend. Journalisten, die sich gar nach dem persönlichen Interesse von Ministerin Nancy Faeser (SPD) erkundigen und etwa wissen wollen, wann sie zuletzt bei dem ihrer Leitung unterstehenden Beamtenapparat nachgefragt hat, sehen sich ihrerseits Vorwürfen durch das Ministerium ausgesetzt: Die versuchte Beobachtung des Ministerinnenverhaltens sei "übergriffig und verletzt zum einen die Privatsphäre unserer Behördenleiterin", heißt es in einer internen Stellungnahme

  Ein weiterer Fall für die beliebte Serie "Was darf Satire". Die Privatsphäre der Behördenleiterin! Alter, WIR bezahlen die! Dafür, dass sie arbeitet! Nachfragen, wann sie denn mit der Arbeit anzufangen gedenke, für die sie seit drei Jahren Diäten kassiert, ist nicht übergriffig sondern sehr zurückhaltend!
• [l] Oh, da dreht aber der Wind gerade! Gartner (!) warnt vor "KI"-Projekten.

  “The truth is that you’ve been in the mud for the last year, working hard to find all those benefits that were promised by AI,” said Hung LeHong, distinguished VP analyst and Gartner Fellow, during the keynote session. “It hasn’t been easy.”

  Hätte uns doch nur rechtzeitig jemand gewarnt!1!!
• [l] Polish broadcaster shuts down AI-run radio station after a week following backlash.

  Needs more blockchain!

• [l] Das Vertrauen in den Journalismus ist auf einem neuen Tiefstand in den USA. So tief, dass es im Ansehen erstmals hinter dem Parlament liegt.

  Das ist der Kontext, in dem Jeff Bezos in der Washington Post erklärt, wieso die Zeitung dieses Jahr nicht zur Wahl eines der beiden Präsidentenkandidaten aufrufen will.

  Kontext: Der Wapo sind seit der "kein Endorsement"-Ansage 200.000 Abonnements gekündigt worden.

  Aus deutscher Sicht ist die ganze Affäre eher merkwürdig anzuschauen. Bei uns gibt es ja auch keine Endorsements vor Wahlen. Wenn eine Zeitung einen Kandidaten oder eine Partei empfehlen würde, wäre die sofort aus dem Rennen, weil man ab da annehmen muss, dass sie die Fakten selektiv berichtet. Insofern halte ich das für die richtige Entscheidung, auch bei der LA Times. Die hätten nie damit anfangen dürfen.

  Nächster Schritt: Die Rhetorik runterdrehen. Je hysterischer du vor Trump warnst, desto mehr signalisierst du den "alles niederbrennen"-Leuten, dass sie dich ärgern können, wenn sie Trump wählen.