Fragen? Antworten! Siehe auch: Alternativlos
Gut, bei der Qualität von Microsoft-Software sind Bild-Anhänge wahrscheinlich tatsächlich gefährlich und eine potentielle Malware-Ingress-Route.
Aber der wichtigere Punkt hier ist: Exchange sabotiert mehr Mail-Zustellungen als die Bahn-Kabelbrand-Arschlöcher Bahnverbindungen.
Der Einsender meint dazu: wer Outlook einsetzt will eh keine Mail empfangen.
Update: Einem Leser ist noch dieser tolle Satz aufgefallen:
"We're reviewing service monitoring telemetry to isolate the root cause and develop a remediation plan."
Das hat Microsoft ihren Kunden und der Presse gesagt.
Und das, meine Damen und Herren, passiert, wenn man "KI" in der Security einsetzt. Der Satz ergibt überhaupt keinen Sinn, und zwar gleich auf mehreren Ebenen nicht. Telemetrie sind Daten über die Gesundheit der Systeme, mit denen du vor der Katastrophe erkennen kannst, dass etwas schief läuft, und so die Katastrophe verhinderst. Jedenfalls in der Theorie. So wurde uns das verkauft. Tatsächlich ist Telemetrie natürlich "wir saugen alle Daten auf und pumpen sie in unsere Cloud Storage, in der Hoffnung, dass irgendwann mal jemand eine Idee hat, was wir damit machen können". Dass die Telemetrie nach Hause schicken und trotzdem regelmäßig sowas passiert, sollte eigentlich die beste Begründung sein, jede Telemetrie in Richtung Microsoft abzuklemmen, und zwar sofort. Ihr zahlt dafür noch Netzwerktraffic, das ist euch schon klar, oder?
Dann "isolate the root cause", das tust du natürlich auch nicht mit Telemetrie, sondern indem du Test cases durchprobierst, und wenn du einen hast, dann den subtil zu variieren, bis du einen minimalen Trigger hast, der nur noch eine Erklärung zulässt, wo das Problem liegt.
"remediation plan" ist an Bösartigkeit grenzende Unfähigkeit, das fällt euch hoffentlich selber auf. Der remediation plan ist, dass sie anfangen, ihre Software vor der Auslieferung zu testen. Geht leider nicht mehr, weil ihr CEO die Tester alle rausgeschmissen hat. Zu der großen Überraschung aller Industriebeobachter hält das die Kunden nicht davon ab, weiter deren Produkte zu kaufen, auch wenn die sich im Produktiveinsatz wie scharfe Handgranaten verhalten.
Können sie nicht, weil es nicht funktioniert. Und die sind ja nicht doof. Nur Schlangenölverkäufer, nicht doof.
Stellt sich raus: Doch, die sind so doof. Das wird natürlich genau so wenig funktionieren wie der Rest von deren Produkten. Und ihre Kunden werden so blöde sein, und einmal für die originäre "KI" zu zahlen, und dann nochmal doppelt für die "Korrektur"-"KI".
Achtet mal drauf: sie nennen es absichtlich nicht Korrektur sondern CriticGPT! Aus Korrektur könnte man ja ableiten, dass sie versprechen, dass die Korrekturen a) nur Fehler korrigieren und b) Fehler korrigieren. Beides wird natürlich nicht so sein.
Hey, vielleicht sind die doch nicht doof. Vielleicht haben die einfach nur gewartet, bis der Markt hinreichend verblödet ist, dass er für so ein "Produkt" reif ist.
Na dann… herzlichen Glückwunsch, lieber Markt. Gut gemacht.
Aber was rege ich mich auf. Ihr setzt ja auch Exchange ein, und Antiviren. Ihr mögt auch BSI-Checklisten. Ihr habt euch auch schon bei Blockchain und IoT verarschen lassen, und aktuell schwappt gerade eine riesigen Quanten-Verarsche-Welle über das Land.
Na macht ihr mal ruhig alle. Ist ja nicht mein Geld, das ihr da verbrennt.
Oh warte. Doch. IST mein Geld, das ihr da verbrennt. Fucking Hell!
Exchange Rollback nach verkacktem Update geht nicht per Backup einspielen.Mit anderen Worten: Exchange anfassen ist wie Handgranaten jonglieren.Exchange hat den größten Teil der Konfig im Active Directory.
Eine Update kann eine Schemaänderung durchführen, und die wird komplett ins ganze AD verteilt.Wenn Du also ein Backup des Exchange versuchen willst, dann ... nimmst Du alles offline und rollst die gesamte Infrastruktur zurück.
Aber Cloud ist auch keine Lösung, weil der Pfad über die Hybrid-Migration erfordert, dass das On-Premise-AD mit dem Azure-AD in sync steht.
Da die Anleitungen dazu älter sind als die Software, die grade läuft, sind die meisten Kommandos (alles Powershell, nichts mit GUI) teilweise subtil fehlerhaft.
Und das bekommst Du nur mit, wenn Du nach jedem Schritt lange genug (Tage) wartest.
Unterschiede zwischen den installierten Versionen OnPremise und Cloud kommen extra.
Die Scripte laufen meistens von Lokal in die Cloud, aber halt auch asynchron in die andere Richtung. Das bedeutet, Du musst M$ erlauben remote mit Admin-Privilegien zu arbeiten.
Wegschmeißen und neu anfangen kann man im Mittelstand nicht. Sind ja alles keine StartUps.
Für mich als naiven Linux-Benutzer stellt sich die Frage, wieso das überhaupt irgendwer einsetzt. Das merkst du doch schon beim ersten Install, was das für ein Wespennest ist, oder nicht?
Lasst mich da noch einen drauf tun: Ich warne auch vor gepatchten Exchange-Servern. Schaut nur mal kurz die Meldungen über Exchange der letzten drei Jahre durch. Das kann niemand vor seinen Aktionären verantworten, diese Software im Einsatz zu haben.
Eine Sache noch. Mir erklärte vor einer Weile jemand, wieso die Exchange-Server da draußen alle ungepatcht sind. Ja, zum Teil liegt das an der Lizenzpolitik von Microsoft. Niemand sieht ein, alle zwei Jahre ein neues Produkt kaufen zu müssen, nur weil Microsoft keinen Bock mehr hat, ihren alten Scheiß weiter zu warten. Ist so teuer und so. JA WER DENN SONST soll diese Kosten tragen, liebe Microsoft-Spezialexperten, als der Verursachen? Also ihr!
Aber der eigentliche Grund, wieso selbst Leute mit laufender Lizenz und laufendem Supportvertrag ihr Exchange nicht patchen, ist, laut dieser Einsendung, dass man Exchange nicht patchen kann. Da steht zwar Patch drauf aber das ist ein voller Installer. Der installiert sich drüber, migriert deine Einstellungen, und wenn das dann nicht geht, dann kannst du nicht den alten drüber spielen, weil die Einstellungen migriert sind. Dann musst du ein Backup einspielen. Das kostet zusammen zwei Tage Komplettausfall. Danke, Microsoft.
Ich verweise angesichts solcher Szenarien immer auf die Smartphones, die ja vor demselben Problem standen, und eine Lösung gefunden haben. Oder kennt von euch jemand jemanden, bei dem ein Update das Gerät gebrickt hat? Ich nicht.
Wieso macht Microsoft das dann nicht ordentlich? Weil sie euch ihren Cloud-Kack andrehen wollen. Wieso würden die Leute ein teures Abo abschließen, wenn der On-Prem-Kram problemlos durchläuft? Also muss das ständig Ärger machen und Updaten muss die Pest in Tüten sein, und wenn es gut läuft schlägt sich auch noch das BSI auf die Seite von Microsoft und erklärt der Bevölkerung, sie müssen patchen oder einen Managed Service nehmen (was zufällig genau das ist, was Microsoft auch möchte. Das ihr alle einen Managed Service kauft.)
Ich finde es immer sehr bedauerlich, dass das BSI sich hier instrumentalisieren lässt, anstatt die Kunden vor Microsoft zu verteidigen und die zu ordentlichen Produkten zu zwingen.
Wenn das BSI das nicht tun möchte, dann können sie von mir aus auch Knöllchen für ungepatchte Exchange-Server verteilen. Das sollte teurer sein als Falschparken, finde ich. Ein ungepatchter Exchange kostet nicht nur die Firma einen potentiellen Besuch einer Ransomwaregang sondern dient auch als Plattform zum Angreifen unschuldiger Dritter. Das sollte Kosten verursachen, und das Gewaltmonopol sollte auch hier beim Staat liegen, nicht bei den Ransomwaregangs.
Dann brauchen wir noch einen Weg, wie sich die betroffene Firma das Geld von Microsoft zivilrechtlich zurückholen kann. Klar.
Update: OK gut, es gibt auch bei Smartphones gelegentlich kaputte Updates. Aber die bricken nicht das Gerät.
Im Artikel geht es darum, dass die Innenministerin mal wieder Innenministerdinge tut, nämlich mehr Befugnisse für ihre unfähigen Behörden zu fordern. Wenn die AfD endlich die Mehrheit hat, dann soll sie bitte einen vollständigen Überwachungsstaat und Unterdrückungsapparat vorfinden!1!!
Aber das meinte ich nicht.
Die gesetzlichen Befugnisse dafür müssten erweitert werden. Konkret meint sie damit erweiterte Befugnisse für das Bundeskriminalamt (BKA): "Keine aggressiven Rückschlagsbefugnisse" sollen es werden, aber das BKA solle handlungsfähiger werden. Damit spielte Faeser auf die Debatte über "aktive Cyberabwehr" an – und insbesondere die über sogenannten Hackbacks, also offensive Operationen in der Täterinfrastruktur.Nein, das meinte ich auch nicht. Das zitiere ich nur mit, damit ihr mitgähnen könnt, und damit ich mal wieder meinen Hackback-Vortrag verlinken kann, der diese Fragestellung abschließend beantwortet.
Das hier meinte ich:
Im Verfassungsschutzbericht für das Jahr 2023 werden vor allem Russland, China und der Iran als Urheber von Cyberattacken ausgewiesen. Haldewand verwies auf den Angriff auf die SPD zum Jahreswechsel 2022/2023, bei dem Angreier eine Zero-Day-Lücke in Microsoft Exchange nutzten. Diese Attacke schrieb die Bundesregierung Anfang Mai offiziell russischen Angreifern zu. Eine Haftung für Softwarehersteller wollte Bundesinnenministerin Nancy Faeser (SPD) in dem Zusammenhang am Dienstag nicht einfordern.Das versuche ich seit Jahrzehnten ins Gespräch zu bringen. Das betrachte ich als Riesenfortschritt, wenn die Presse das aufgreift und explizit anspricht. Richtig schön wäre natürlich, wenn hier nicht nur die Presse berichtet, dass Faeser lieber Kohle beim BKA verbrennt als Softwarehersteller in die Haftung zu nehmen, sondern wenn jemand mal die Faeser darauf anspricht, oder noch besser: wenn die Faeser das von sich aus sagt, dass sie das nicht machen will. Hey, vielleicht war das hier ja sogar schon so?
Mit der Faeser wird das natürlich nichts mehr werden, und wenn die CDU übernimmt, dann erst Recht nicht. Wir hatten ein kurzes Zeitfenster, und das hat die SPD versemmelt. Wie immer.
Ach komm, ist ja nicht so als sei die Kommunikation von Aktienpreisen die Kernfunktion einer Börse.
CTA said it experienced an issue that “may have been related to a new software release.” To fix the issue, the industry group said it relied on a secondary data center operating on the older version of the software.
Softwareproblem. Kann man nichts machen.Tja, so ist das halt in den Zeiten von Yolo Software Development, auch als Agile vermarktet. Man pusht einfach immer neue Releases raus. Bugs sind nicht so wichtig, weil du beim nächsten Release eh schon wieder andere kriegen wirst. Alzheimerprävention!
Welches Problem?
"Nach verheerendem Angriff auf Südwestfalen-IT: 205 Kommunen lassen IT prüfen"
Hunderte Kommunen in NRW lassen ihre IT-Sicherheit überprüfen, die Landesregierung bezahlt das. Sie will das Land künftig besser vorbereitet wissen.Hier also meine Hilfe. Kostenlos sogar.
Erstens: Spart euch das. Die Prüfung ist bereits abgeschlossen. Die Ransomwarer haben euch geprüft und ihr seid durchgefallen. Das Geld gibt man am besten VOR dem erfolgreichen Angriff aus.
Zweitens: Schmeißt die vier apokalyptischen Reiter raus: Windows, Office, Exchange und Active Directory. Lasst euch eure IT als Webanwendung machen und installiert den Leuten dumme Terminals. Irgendwas Linux-basiertes mit Komplett-Lockdown, das keine Daten lokal speichern kann, und als read-only Image verteilt und automatisch geupdated wird.
ChromeOS hat gezeigt, dass das grundsätzlich geht. Sollte vielleicht mal jemand als Produkt anbieten. Sowas wie Chromeos Flex aber ohne Google.
Oder ... gut, ich meine, ihr könnt natürlich einfach weiterpfuschen. Wir sehen uns dann beim nächsten Ransomwarevorfall. *winke*
Das ist immer eine tolle populistische Forderung, weil alle "Experten" sofort zustimmen werden.
Währenddessen werden die Leute rechts und links geransomwared, Active Directory braucht auch keine Memory Corruption Bugs. Shitrix war nicht Memory Safety. Die Exchange-0days gerade waren nicht Memory Safety. Die Gitlab-Bugs waren nicht Memory Safety. etc pp.
Versteht mich nicht falsch. Memory Safety ist gut und wichtig. Aber die Mitigations machen die Ausnutzung inzwischen nervig genug, dass ihr wahrscheinlich eher über andere Lücken aufgehackt werdet.
Die ganzen Atlassian-Bugs waren auch nicht Memory Safety glaube ich.
Arnsberg. Die nach einer Cyberattacke seit Wochen reduziert arbeitenden IT-Systeme in Südwestfalen wurden am Montag erneut heruntergefahren.Da brauchst du gar keine Ransomware, um nicht arbeiten zu können!
Komm, Atze, wir setzen am besten auch Exchange, Active Directory, Office und Windows ein. Da haben wir immer was zu patchen und niemand wird die Notwendigkeit unserer Jobs hinterfragen!1!!
Sagt mal, habt ihr eigentlich Windows Defender laufen, um euch vor Malware zu schützen?
A notorious ransomware group has filed a complaint with the US Securities and Exchange Commission (SEC) over the failure of a victim to disclose an alleged data breach resulting from an attack conducted by the cybercrime gang itself.
BWAHAHAHA wie geil! Hey, das wäre bei uns auch ein Geschäftsmodell für Ransomwarer. Auch bei uns gibt es Benachrichtigungspflichten, auch wenn die eher ein zahnloser Papiertiger sind.
Sagt mal, liefern sich gerade die ganzen Programmieren-Versager ein Rennen in die Hölle? Morgen dann wieder Citrix oder was passiert hier gerade?!
Ich habe keinen Unterschied bemerkt.
Sind Sie schon in die Cloud gezogen oder haben sie noch eine Om-Prem-Installation?
Wie, On-Prem?! Immer noch!?!? Was muss Microsoft denn NOCH alles machen, damit Sie endlich aufgeben und Ihre Abhängigkeit komplettieren? Oh, ich hab eine Idee. Die könnten mal wieder ein Update ausliefern, das On-Prem-Server kaputt macht. Oder, äh, ... noch kaputter.
Ich hab ja kein Mitleid mehr. Früher hatte ich noch so Anflüge von Mitgefühl. Heute nicht mehr. Wer das einsetzt, hat verdient, dass ich mich popcornmampfend an meiner Schadenfreude labe.
Das wissen wir, weil Regierungsbehörden betroffen waren. Microsoft gab also zu, was sie nicht mehr leugnen konnten, nämlich dass ihre Azure Security ein Trümmerhaufen ist.
Aber warte. Sie haben nur zugegeben, dass die Chinesen damit ihren Exchange aufmachen konnten. Nur... wenn du eine Art Admin-Schlüssel selbst erzeugen kannst, wieso würde das dann auf Exchange beschränkt sein? War es natürlich nicht.
This led us to believe that although the compromised key acquired by Storm-0558 was a private key designed for Microsoft's MSA tenant in Azure, it was also able to sign OpenID v2.0 tokens for multiple types of Azure Active Directory applications.
Und damit könnte man sich auch einfach so bei Sharepoint und Teams und co anmelden und einmal alle Daten absaugen.Microsoft verhält sich echt wie so ein TV-Kleinrimineller in einer Polizeiserie. Nur zugeben, was die eh schon wissen. Schnell ablenken und auf "die Chinesen" zeigen. Abstoßend, sowas.
Na, habt ihr auch schon euer Business in die Microsoft-Cloud geschoben? Wegen der Sicherheit oder wegen der Ausfallsicherheit? *wieher*
Hätte uns doch nur vorher jemand gewarnt!!1!
Lieber von einem Spezialisten-Dienstleister in der Cloud machen lassen, haben sie gesagt.
Ohh, nee, warte. Nicht irgendeinen Spezialisten. Bei Microsoft selbst, haben sie gesagt! Da weiß man, dass die das im Griff haben, haben sie gesagt!1!!
Warum machen Leute das? Wenn das vorher selbstgehostet wirklich noch schlimmer war, vielleicht solltet ihr dann einfach bei Fax und Schreibmaschine bleiben?
Aber an der Stelle könnt ihr ja mal freundlich euren neuen Untermietern aus Moskau zur Begrüßung die Hand schütteln.
Microsoft has patched an Outlook zero-day vulnerability (CVE-2023-23397) exploited by a hacking group linked to Russia's military intelligence service GRU to target European organizations.The security vulnerability was exploited in attacks to target and breach the networks of fewer than 15 government, military, energy, and transportation organizations between mid-April and December 2022.
Sag bloß! Exchange ist unsicher?! Also DAMIT konnte ja wohl NIEMAND rechnen! Dabei haben wir doch extra auch Outlook und Active Directory auf unserem Windows im Einsatz!!1!
Wahrscheinlich muss man dankbar sein, dass die Berliner Verwaltung überhaupt noch einen eigenen Mailserver betreibt und das nicht alles in die Cloud geschoben hat.
Ich weiß, was ihr jetzt denkt. Ja wie, haben die sich nicht an das BSI Grundschutzhandbuch gehalten?!
Stellt sich raus: Doch. Doch, haben sie.
Da die IT-Sicherheitsmaßnahmen den Standards und der IT-Grundschutz-Methodik des BSI folgten, zeige das "einmal mehr das hochprofessionelle Vorgehen und die kriminelle Energie der Organisation", da "es den Angreifern dennoch gelang, Daten abzuziehen und Lösegeldforderungen zu stellen".Da könnte man jetzt auch den Schluss ziehen, dass die gar nicht wirken und bloß sinnlose Geldverbrennung und Compliance-Theater sind.
Oder, klar, man sagt einfach: Da haben die Täter aber eine ENORME kriminelle Energie gehabt, dass die TROTZDEM erfolgreich waren!1!!
Der Einsender ergänzt:
Wer die Bausteine des BSI zu Exchange, Active Directory und Windows Server kennt, wird den Angreifern weit weniger Professionalität unterstellen. Compliance-Theater vom Feinsten, das zudem auf veralteten Versionen der betrachteten Software fußt: Der aktuellste offiziell freigegebene Baustein für Windows Server bezieht sich auf Version 2012!Na das passt ja mal wieder wie Arsch auf Eimer. (Danke, Andreas)
Neuestes Beispiel: Rackspace macht "forensische Untersuchungen" nach Ransomwarebefall.
Was hat die Ransomware befallen, fragt ihr? Nun, deren Hosted Exchange Server. Ja, richtig! Rackspace betreibt Exchange-Server für Dritte und hat nicht gepatcht.
Die Cloud ist sicher, sage ich euch! Mindestens so sicher wie die Renten!
Mein Popcorn ist alle und ich hatte extra welches nachgestellt!
Friedberg played a prominent and infamous role in the coverup of the insider-cheating scandal at UltimateBet in the mid-2000s, and he helped orchestrate some of the questionable legal moves that allowed the Portland, Oregon-based site evade U.S. law enforcement efforts throughout its existence. Those business and legal moves included the creation of a false-front office in Canada which in turn allowed for an IPO on the London Stock Exchange, a faked sale of the company to Tokwiro Enterprises (an entity created by the former chief of the Kahnawake nation, Joseph Tokwiro Norton), licensing in various offshore “rubber stamp” jurisdictions, and ultimately, a shadowy merger with another online-poker company, Absolute Poker, which was also riddled with insider fraud and crippled by its own cheating scandal.
Als Buchmanuskript hätte das keine Chance gehabt. Viel zu unwahrscheinlich. Das nimmt uns keiner der Leser ab!
Binance pledges to create crypto industry recovery fund, calls for regulation
Es spricht der CEO von dem Crypto-Exchange, der neulich FTX versenkt hatte, nachdem FTX was von Regulierung gemurmelt hatte. Der will jetzt plötzlich auch Regulierung.Ich glaube denen ist allen klar, dass das mit der Regulierung kommen wird, und dass sie dann lieber vorbereitet sind, um auf der richtigen Seite des Konflikts zu landen.
Aber vorher noch schnell die Konkurrenten plattmachen. (Danke, Peter)
Was ist jetzt passiert? Binance und FTX haben jeweils junge Crypto-Bros als Chef. Binance ist der größte Exchange, FTX der zweitgrößte. FTX fing an als Investment von Binance. Irgendwann war dann der Bro hinter FTX auf der Titelseite von Fortune und ließ sich als Crypto-Genie feiern und so weiter, und da haben die beiden erkannt, dass sie Konkurrenten sind, also hat Binance ihren Anteil an FTX verkauft. FTX hatte natürlich nicht das Geld rumliegen, um den nominellen Wert des Anteils auszuzahlen, also haben sie in selbsterfundenen Bullshit-Tokens bezahlt, das FTX intern zum Verrechnen von Transaktionsgebühren eingeführt hat.
Das ist natürlich ein bisschen doof, wenn du in wertlosen Bullshit-Tokens bezahlt wirst, denn du willst die ja in richtiges Geld umwandeln, aber die haben keine Liquidität, d.h. wenn du da erwähnenswerte Mengen von verkaufst, dann bricht der Kurs ein und der Rest, den du hältst, ist nichts mehr wert. Also hat Binance so tröpfelweise verkauft, immer gerade genug angeboten, dass die aktuelle Riege an Bigger Fools das kaufen konnte, ohne den Kurs zum Einsturz zu bringen.
Das änderte sich vor ein paar Tagen, als bekannt wurde, dass der FTX-Bro 8-stellige Wahlkampfspenden an Democrats verteilt hat, die gerade an Kryptoregulierung arbeiten, weil Tether so eine Shitshow ist, und weil so viele Crypto-"Investments" geplatzt sind dieses Jahr. Der FTX-Bro dachte sich wohl, wenn er da vorne im Wagen sitzt, dann kriegt er als erstes seine Lizenz und kann weitermachen und die anderen müssen das ausbaden. Die anderen haben aber alle überhaupt gar keinen Bock auf Kryptoregulierung, weil sie dann nicht mehr so einfach rumscammen könnten. Dann würde ein Regulierer in ihre Bücher gucken wollen, und dann platzt das alles in Minuten.
Als aber rauskam, dass FTX ihnen mit diesem Kryptoregulierungsscheiß in den Rücken dolchen will, hat der Binance-Bro angekündigt, ihre 2 Milliarden FTX-Bullshit-Tokens zu liquidieren. Wenig später ging dann das Geschiebe los. In dem Klima will natürlich niemand dieses Bullshit-Token kaufen, wenn demnächst ein großer Posten verkauft wird und den Preis drückt. Also ging ein Bank Run los.
FTX stand plötzlich mit heruntergelassenen Hosen im Regen auf dem Parkplatz. Hier ist ein Twitter-Thread dazu.
Als nächstes gab es ein Leak der Bilanzen von Alameda Research, das ist der Hedgefonds-Arm von FTX. Da stand drin, dass deren Assets größtenteils in Fantasie-Cryptotokens sind, d.h. nicht existieren. Insbesondere haben die Milliarden von dem Bullshit-Token als Asset, das Binance gerade zu verkaufen angekündigt hatte.
Falls das jemandem bekannt vorkommt: Ja, natürlich, die Crypto-Scammer operieren alle so. Bei Celsius war das auch so, bevor sie dann implodierten, als jemand "der CEO hat keine Kleider an" rief.
Jedenfalls sieht es jetzt so aus, als ob FTX und Alameda sich gegenseitig ihre Schulden zugeschoben haben, und FTX hat dazu offenbar die Einlagen ihrer Kunden benutzt, die ihnen laut ihrer eigenen AGBs gar nicht gehören. Natürlich hat Binance sofort dementiert, dass sie hinter dem Bilanz-Leak stecken.
Verunsicherte Investoren ziehen jetzt natürlich ihr Kapital aus dem Dumpster Fire, so schnell sie können. Besonders betroffen ist Solana, was wie üblich aber eine Plattform für hundert andere Cryptoscam-Startups ist, die jetzt auch alle den Pesthauch der Insolvenz im Nacken haben.
Als nächstes kam dann Binance und bot einen Bailout an, also einen Kauf der rauchenden Insolvenzmasse. Es dauerte keine 24h bevor Binance dann meinte: Oh nee, doch nicht.
Das sieht also alles ganz so aus, als habe Binance über den Hebel der FTX-Bullshit-Tokens eine Nuke unter dem Arsch von dem anderen Crypto-Bro gezündet, vielleicht gar die Bullshit-Tokens überhaupt nur als Zahlung angenommen, um jetzt diesen Hebel zu haben. Macht euch mal keine Illusionen, dass das bei Binance unter der Haube besser aussieht, aber in so einem Kontext sieht natürlich alles besser aus als mit dem FTX-Schiff unterzugehen.
Lacher am Rande: Dieser FTX-Werbespot alterte nicht so gut (Langversion)
New hotness: Nicht mal den Updateprozess kriegt Cisco hin.
Cisco und Exchange ergänzen sich echt prima. Am besten noch eine Lage Citrix drüber. Dann hat man den perfekten ... Industriestandard in Sachen kritischer IT-Infrastruktur.
Um nicht zu sagen überkritischer IT-Infrastruktur. Stehste? Stehste?
Warum setzt diesen Scheiß jemand ein?! Ich versteh es nicht!
Der wohlgemerkt nicht das Loch stopft, sondern Firewall- und Schlangenöl-Regeln herumreicht, um den Exploit zu behindern?
Ja klar kennt ihr so eine Software! Microsoft Exchange! Das war die Software, wir erinnern uns, deren erste Version "4.0" hieß, damit Käufer den Eindruck haben, die sei ausgereift und wohlgetestet. Die Werbung hat das den Kunden auch direkt ins Gesicht gelogen. Gut abgehangen! Gegen alles getestet! Stabil und zuverlässig! Nichts davon war der Fall.
Ich erinnere mich noch damals an der Uni, dass ein Exchange-Server platt war, und es stellte sich raus, dass der mit einem Unix-Mailserver (qmail?) zu interagieren versucht hat, sich nicht an die RFCs hielt, und damit eine Neuversuch-Schleife auslöste, die auf dem Unix-Server keine messbare Last erzeugte, aber den Exchange plattmachte.
Das war auch noch irgendwas lächerliches wie ob Zeilen mit LF oder CR-LF terminiert werden.
Exchange war schon immer das absolut letzte. Ich war schon immer fasziniert, dass Leute sowas wirklich einsetzen. Freiwillig! Und noch dafür zahlen!!
Das geilste ist ja, dass die Cloud-Version nicht betroffen ist. Es gibt also eine nicht betroffene Version. Aber sie wollen ja die On-Prem-Kunden bei der Gelegenheit erziehen, in die Cloud zu kommen, wo sie dann nicht mehr weg kommen. So eine Firma ist das.
Um aufzulösen: Ich kenne außer Exchange keine Software, die so einen Service braucht.
Was mich ja an dieser Nummer am meisten ärgert: "BSI warnt vor Sicherheitslücke in Exchange". Ja wieso warnen die denn nicht vor Exchange selbst?!? Hallo McFly? Jemand zuhause?
Verfassungsschutz: China könnte langfristig Cybergefahr Nummer eins werdenAh. Häufiges Missverständnis.
Die Hauptbedrohung für unsere IT-Sicherheit ist nicht China. China ist nicht mal in den Top 5. Hier sind die Hauptbedrohungen für IT-Sicherheit in der EU:
Ach ja, und: Wir haben digitale Souveränität nicht beachtet. Jetzt haben wir nicht mal mehr irgendwas, womit man glaubwürdig drohen könnte.
China. Dass ich nicht lache.
Das Hauptproblem von unserem undichten Dach ist der Regen!!1!
Das Hauptproblem unserer Gasversorgung ist, wenn Leute im Winter Heizen wollen!1!!
Je älter ich werde, desto schockierender wird für mich die himmelschreiende Dummheit der Politik. Es ist fast, als ob die absichtlich immer die langfristig schädlichste Option wählen. Um die Dringlichkeit im Wahlkampf aufrecht zu erhalten vielleicht?
Auf der einen Seite will ich nicht nur schreiben, wie kaputt alles ist. Auf der anderen Seite will ich aber auch nicht dafür sorgen, dass Leute länger bei Windows bleiben, weil sie dank irgendwelcher Konfigurationsratschläge den Eindruck haben, sie könnten das schon irgendwie absichern. Zu guter Letzt bin ich Code Auditor, nicht Admin. Was man da alles konfigurieren kann ist nicht mein Spezialgebiet. Am Ende verbreite ich noch Unfug?
Daher haben meine Zero-Trust-Folien am Ende eine eher allgemeine Vision.
Allerdings kam ein Leserbrief mit konkreten Ratschlägen rein, den ich jetzt mal veröffentlichen möchte. Nehmt das aber bitte nicht als abzuarbeitendes Howto sondern als Grundlage für eigene Recherchen. Ziel der Übung sollte sein, dass ihr ein bisschen mehr verstanden habt, wie die Dinge funktionieren.
zu deiner Zero Trust Präsi möchte ich mal etwas zur Windows Security einwerfen. Sorry, ist etwas länglich geworden.Anmerkung von mir: Die ct hatte dazu mal ein Tool veröffentlicht, da könnt ihr damit mal herumspielen.Wir sind IT Dienstleister und übernehmen in der Regel den Service einer bestehenden IT Landschaft die entweder vorher durch den Kunden oder durch einen anderen Dienstleister betreut wurde. KMU 1 bis 500 MA.
Dahin zu gehen und den Kunden Windows und Outlook wegzunehmen wird in der Regel nicht gelingen. Wenn es möglich ist einen neuen Server auf Linux hoch zu ziehen könnte man das vorschlagen und umsetzen, da hört es aber dann auch schon auf.Der Satz "Das geht, weil Sie Outlook und Office benutzen" stimmt leider in den meisten Fällen, obwohl das nicht so sein müsste.
MS liefert schon seit Windows 2000 allerhand Techniken mit die genau das alles verhindern. Wir haben aber noch nicht einen Kunden bekommen bei dem irgendwas davon aktiv war und holen das alles schleunigst nach. Das schlimmste was uns als Dienstleister passieren kann, ist ein Ransomwarebefall eines Kunden bei dem wir die Schuld tragen, weil deren Systeme nicht sicher sind, obwohl man es *ohne* Anschaffung zusätzlicher Software hätte besser machen können. Der Kunde verlässt sich darauf dass wir ihm eine sichere Arbeitsumgebung geben. Es ist ein Unding, dass ein aktueller Windows Server bei einer frischen Active Directory Installation immer noch fast die gleichen Sicherheitsdefaults verwendet wie es in 2000 eingeführt wurde und so kommt es, dass von all dem was nun kommt in freier Wildbahn oft nichts zu sehen ist.1: Software Restriction Policies (SRP), ja ich weiß ist deprecated, läuft aber selbst auf Win 11 noch. MS wollte das durch Applocker ersetzen. Ist aber auch deprecated. MS will das durch Defender Application Control ersetzen, geht aber nur per XML oder und nur in Enterprise oder so. Wir bleiben bisher bei SRP, weil das keine Enterprise Lizenzen braucht und seit Win 2000 unverändert läuft. Muss man halt nach jedem größerem Update testen ob es noch geht.
Was tut es? Windows führt nur noch EXE, CMD/BAT, PS1, sonstwas aus Pfaden aus die der Admin per GPO festgelegt hat. Outlook kopiert den Anhang aus der Mail in ein Temp Verzeichnis und will es dort starten. Das darf es dann nicht mehr. Admins installieren nach c:\program files\. Das ist erlaubt. Ein User darf da nicht schreiben.GPO ist ein Group Policy Object, oder in deutschen Versionen: Gruppenrichtlinien.
MS torpediert es aber selbst mit Programmen die sich unter AppData\Local installieren. Teams z.B. und andere Hersteller sind da auch keine Vorbilder. Muss man sehr enge Ausnahmen setzen und das Risiko in kauf nehmen.2: Makros. Ja, der gelbe Balken bringt nix. Per GPO hart ganz abschalten. Brauchen ohnehin die wenigsten Anwender. Die die es brauchen, kann man geziehlt auf die Dokumente einschränken für die es gehen soll. Was machen die Malware Makros? VBS oder Powershell Script ausführen und Payload nachladen und starten. Geht eigentlich durch SRP schon nicht mehr, aber es soll ja Bugs geben die vielleicht um SRP drum rum kommen.
3: Beschafft sich lokale Admin-Rechte und übernimmt den Domain Controller.In meinen Folien hatte ich gesagt, dass Lateral Movement nicht Teil des Threat Models ist. Ich bin mir unsicher, inwieweit man das verallgemeinern kann. Ich unterhalte mich zu Ransomware mit Kumpels, die weiter oben auf der Eskalationsskala sitzen, die sehen dann praktisch ausschließlich Fälle, bei denen der AD übernommen werden konnte. Ich habe leider keine Zahlen, wie hoch der Prozentsatz der Ransomware-Angriffe ist, die man verhindern könnte, wenn man Lateral Movement unterbindet. ALLERDINGS: Wenn man durch andere Maßnahmen dafür sorgt, dass der Sprung zum Domain Admin nicht geht, dann wird die Verhinderung von Lateral Movement plötzlich eine wichtige Maßnahme. Genau das spricht der Leserbrief hier an.
Wenn 1 und 2 versagt hat kommen wir dahin. Nächste Verteidigungslinie ist Lateral Movement zu verhindern.Es gibt genug GPOs zum härten der Systeme, aber man klemmt halt damit alten Legacy ab, was ich aus technischen Sicht eigentlich ganz gut finde. NTLM Auth weg, Credential Caching für Admins und generell Server abschalten, Debugging Rechte global abschalten und nur im Einzelfall erlauben. LAPS benutzen, auch für Server. Das macht es Mimikatz schon ganz schön schwer an verwertbare Daten zu kommen.
Mit ESAE hat MS schon lang ein Konzept die Admin Ebenen voneinander zu trennen. Man muss auch nicht zwingend mehrere Domänen betreiben um den wichtigsten Teil davon umzusetzen.Ich hab das in einem Nebensatz irgendwo erwähnt, dass man die Admin-Accounts aufteilen soll, und dass der Domain Admin nicht an die Datenbanken können soll. Der Leser hier hat völlig Recht, das kann und sollte man noch mehr auftrennen. Dann hat man tatsächlich etwas getan, um im Threat Model ein Bedrohungsrisiko zu senken.
Bei uns darf ein Domain Admin nicht mal PCs in Domänen aufnehmen. Niemals sollte sich ein Domain Admin an einem Client anmelden und das lässt sich auch per GPO verhindern.
Der darf auch nur an Domain Controller, die CA und ähnliche Systeme. Ein Server Admin darf da nicht hin und der darf auch nicht an Clients. Ja, der Domain Admin hat dann halt 4 User Accounts. User, Client Admin, Server Admin, Domain Admin. Natürlich mit Grundverschiedenen Passwörtern. Kommt man mit klar.
Selbst ein Keylogger auf dem Client bekommt dann höchstens den Admin für die Clients, aber kann immer noch nicht auf Server oder gar Domain Controller.Dazu sei angemerkt, dass auch mit Smart Cards im Hintergrund immer noch Kerberos läuft mit Kerberos-Tickets, die abgreifbar sind. Aber die laufen wenigstens nach einer Weile aus.4. Benutz Smart Cards für die Admins und lass nur Anmeldungen per Smart Card zu. In dem Fall kann ein Keylogger auf dem PC auch das Kennwort nicht einfach mal mitlesen.
USB Smart Cards sind nicht teuer. Die Menge an Admins überschaubar.
Für RDP gibt es dann noch den Restricted Admin Mode mit entsprechenden Komforteinbußen.
In Enterprise Editionen noch Credential Guard, usw.
5. Exchange kann Split Permissions. Nutzt das. Es entfernt die Berechtigungen dass der Exchange Server Domain Admin Rechte hat. HAFNIUM war damit nur halb so schlimm.Für die BMC und Hypervisoren würde ich dringend zu physisch getrennter Verkabelung raten, statt zu irgendwelchen Software-Geschichten.
Server müssen auch nicht überall ins Internet dürfen. Verhindert dass Malware auf euren Servern ganz bequem per HTTPS ihren Payload laden können.Erweitert das noch mit VLANs und Firewalls. Kein Anwender muss auf die ESXi Infrastruktur, einen Switch oder das BMC vom Server. Die müssen auch auf die wenigsten Ports für die Anwendungsserver. Da reichen oft ACLs auf dem Core Switch um zumindest bei Line Speed zu bleiben.
Backupserver aus der AD nehmen. Per Firewall/ACL einschränken, dass der an die Server darf, aber die Server nicht zum Backupsserver.Das ist ein guter Ratschlag!
All diese Dinge die ich beschrieben habe gehen mit Bordmitteln. Da ist nicht ein Anti-Virus, SIEM oder sonst eine 3rd Party Lösung beteiligt.Nur ein Nachsatz noch von mir: Der Feind ist Komplexität. Es ist zwar schön, dass man bei Microsoft eine Menge konfigurieren kann, so dass es weniger schlimm ist, aber am Ende des Tages überblickt niemand mehr den ganzen Softwarehaufen, und alle sind nur an der Oberfläche am Herumkratzen. Das betrifft glücklicherweise auch die meisten Angreifer. Wirklich sicher fühlen würde ich mich da nicht. Und wenn man erstmal diese Art von Knowhow aufgebaut hat, dann wird man wahrscheinlich nie wieder von Windows wegmigrieren wollen.
Wir setzen das meiste davon bei Firmen ein die keine 10 Mitarbeiter haben. Das kann man mit Routine an einem Tag umsetzen. (Den Windows Teil zumindest) Testet das selbst mit Mimikatz, Bloodhound und was auch immer. Hackt euch selbst und danach oder wenn ihr das generell nicht könnt, holt euch noch einen Pen Tester um die offensichlichen Lücken weg zu machen.Am Rande: Domain Joined Device Public Key Authentication muss man nicht einschalten. Das ist per Default an. Man muss es aber erzwingen wenn man das Fallback nicht haben will. Ist fast das gleiche, aber doch nicht ganz und geht erst mit Server 2016.
Am weiteren Rande: Patchmanagement. Es wäre schön, wenn MS nicht Patches raus bringen würden die großflächig zu Boot Loops auf Domain Controllern, Druckproblemen oder 802.1X/802.11X Problemen führen würden. Dann hätte man auch mit Auto-Updates weniger schmerzen. So muss man eigentlich schon zwangsweise ein paar Tage warten, wenn man nicht vor einem Totalausfall am nächsten Tag stehen möchte. Beides verfahren sind somit schlecht.
Ich gehe nicht davon aus das danach das System unhackbar sicher ist. Wir sprechen hier immer noch von Software und von Microsoft, aber zumindest hat man etwas in die richtige Richtung getan und die offenlichtlichen Scheunentore geschlossen.
Wer nun mit dem erhöhten Supportaufwand argumentiert, dem sei gesagt dass er bei uns gesunken ist, weil die Anwender eben nicht mehr alles ausführen können was bei 3 nicht auf den Bäumen ist und die Computer dadurch so bleiben wie der Admin es sich mal vorgestellt hat.
Entwicklungsabteilungen können zusätzlich Nicht-Domain Computer oder VMs bekommen um ihre systemnahe Arbeit durchzuführen.
Aus meiner Sicht ist der Vorteil von Linux und co, dass es da keine natürliche Schranke gibt, wie viel Verständnis man von dem Gesamtsystem aufbauen kann.
Update: Einer der Gründe, wieso ich solche Tipps ungerne gebe, ist weil das alles furchtbar komplex ist, und es da immer wieder Untiefen gibt, die man halt nicht kennt, wenn man nicht nach ihnen sucht. SRP und UAC sind da exzellende Beispiele für. Seufz. Siehe auch hier und hier.
Ich ärgere mich ja an solchen Stories immer über diesen Teil hier:
Eintrittspforte für die Kriminellen war ein Link in einer E-Mail, der von einem Mitarbeiter im Haus angeklickt worden war.Als ob der Mitarbeiter Schuld ist!
Leute, ihr gebt dem Mitarbeiter ein Mailprogramm, das Links klickbar macht, und ihr gebt dem Mitarbeiter einen Browser für Links in E-Mails, und dann furzt ihr ihn an, wenn er auf Links klickt?
Der Mitarbeiter macht genau das, wofür die Software gebaut wurde, die ihr ihm gegeben habt.
Wenn ihr nicht wollt, dass ihr ständig von Ransomware hopsgenommen werdet, dann solltet ihr vielleicht aufhören, auf eure Mitarbeiter zu zeigen, und euch fragen, wieso die Software so ein Ransomwaremagnet ist, die ihr den Mitarbeitern gegeben habt.
Ich weiß nicht, ob ihr da mal drüber nachgedacht habt, aber ich habe hier eine fette Inbox mit lauter Fremden drin, alle mit Links, und ich klicke da ständig auf die Links, ohne dass Ransomware passiert. Habt ihr mal überlegt, ob es vielleicht nicht der Mitarbeiter ist, der hier das Problem ist?
Ach kommt, macht nur alle weiter Outlook, Active Directory, Exchange und Office. Vielleicht noch eine Packung Citrix drüber, damit auch wirklich jeder Geheimdienst 0days gegen euch hat. Und dann schmeißt mal schön alle eure Mitarbeiter raus, weil sie die Software dafür eingesetzt haben, wofür sie angeschafft wurde.
Ich hab ja die Tage eine wütende Mail gekriegt, ich soll nicht immer Kindergärten verunglimpfen. Im Kindergarten gehen es viel gesitteter zu als bei denen, die ich beschimpfen wollte.
Update: Wieso gibt Kärnten das jetzt doch zu? Nun, auf einer ihrer Online-Pressekonferenzen erschien einer der Ransomwarer und postete Details zu dem Angriff und kündigte Veröffentlichungen an, wenn kein Zahlungseingang festzustellen sei.
Aber hey, die Kosten schlagen wir einfach auf die Kosten für Microsoft-Produkte auf, die wir eh schon haben. Die können wir ja auch nicht inhaltlich rechtfertigen.
Update: Ein Highlight der Pressekonferenz war, als ein ORF-Reporter wissen wollte, wie häufig sie denn Backups machen, und ob sie sicher sind, dass das April-Backup noch sauber ist. Antwort: Des muas der IT-Leiter beantworten... - Wir machen die Backups immer, wenn Microsoft sie bereitstellt, also mindestens einmal im Monat (er meinte Updates)
Oh ach so, von DEM Kompetenzniveau reden wir! Hey, versteht ihr, wieso die Ransomwaregang da einbrechen konnte? Wenn die mit einem derartigen Crack-Team am Start sind? Mehr Kompetenz bündeln geht ja gar nicht!
KOENIGSWINTER, Germany, May 19 (Reuters) - The world's top financial leaders called on Thursday for the swift and comprehensive regulation of cryptocurrencies following turmoil that has seen the demise of the Terra stablecoin last week, a draft communique showed on Thursday.
Vielleicht eine Anmerkung dazu: Man muss das trennen. Es gibt Kryptowährungen, das ist sowas wie Bitcoin, das ist ein geschlossenes System. Du kannst Transaktionen machen, du kannst Mining machen, Miner werden in Bitcoin bezahlt.Und dann gibt es Exchanges. Da kannst du Bitcoin gegen Dollar tauschen und umgekehrt.
Wenn die Politik sagt, sie wollen Kryptowährungen regulieren, geht es in erster Linie um die Exchanges. Was die da jetzt genau regulieren wollen, ist noch nicht bekannt, aber Kandidaten wären sowas wie Geldwäschegesetz für Krypto, d.h. bei Transaktionen ab 10k€ müssen die Personalien festgehalten werden.
Wäre auch schön, wenn die unter Kryptoregulierung ein Miningverbot verstehen würden, um die sinnlose Verbrennung der Ökosphäre des Planeten zu beenden. Aber das meinen sie glaube ich hier nicht.
Naja, wir werden sehen.
Unfreundlicherweise sind sie dort öffentlich einsehbar. Und da müssen Risiken benannt werden, denn wenn ein Risiko eintritt, und man hat das da vorher nicht benannt, dann kann man in die Haftung geraten.
Was schreibt Coinbase dort?
Moreover, because custodially held crypto assets may be considered to be the property of a bankruptcy estate, in the event of a bankruptcy, the crypto assets we hold in custody on behalf of our customers could be subject to bankruptcy proceedings and such customers could be treated as our general unsecured creditors.
Das kann man sich als Europäer vielleicht gar nicht vorstellen, aber in den USA funktionieren Banken anders. Wenn man ein Bankkonto eröffnet und dort Geld einzahlt, dann geht das Geld in das Eigentum der Bank über, aber sie verpflichtet sich vertraglich, das zurückzuzahlen. Bei uns gehört das Geld auf dem Konto dem Eigentümer des Kontos, nicht der Bank.Wenn in den USA eine Bank pleite geht, dann regelt die FDIC den Konkurs. Das ist eine staatliche Einlagenversicherung.
Nun ist es allerdings so, dass ein Crypto-Exchange keine regulierte Bank ist und daher sind die Einlagen nicht über den FDIC versichert. Die sind dann halt weg.
Was die hier als Risiko offenlegen, ist dass die Kunden mit Einlagen dann einfach wie bei regulären Unternehmen in die lange Liste der regulären Gläubiger kommen, und der Insolvenzverwalter verteilt dann die paar Krümel, die sie durch das Versteigern des Büromobiliars rausholen.
Erfahrungsgemäß sieht man da schon bei nicht-kriminellen Firmen sein Geld nicht wieder.
Update: Hah, meine Leser sind exzellent informiert! Auch in Deutschland gehört das Geld auf deinem Bankkonto nicht dir. Das ist auch in Deutschland ein Kredit an die Bank, nur halt mit ständiger Fälligkeit. Wenn die Bank pleite geht, haben auch wir einen Einlagensicherungsfonds, der ist bei uns in Höhe von 100.000€ staatlich garantiert.
Wertpapiere im Aktiendepot gehören bei uns allerdings tatsächlich dem Depoteigentümer. (Danke, Rafael)
Jahrelang haben sie nur an Lizenzkosten für ihre schlechte Software verdient, an Supportverträgen für Großunternehmen, an eigentlich das Kartellamt betreffende Upselling-Reindrückaktionen für Infrastruktur wie Sharepoint und Exchange, jetzt noch an Cloud-Gebühren, die so grotesk sind, dass Cloudflare das Geschäftsmodell hat, ein Cacheing davor anzubieten, um die Kosten geringer zu halten.
Von den paar Brosamen lebt Microsoft im Moment.
Doch damit ist jetzt Schluss.
Jetzt verdient Microsoft auch noch an "Experten", die sie euch in die Firma schicken.
Die kümmern sich da um Probleme, die durch den Einsatz von Microsoft-Produkten überhaupt erst entstanden sind.
Ja nee nee, Moment. Ihr zahlt für die Experten. Das ist kein Kundendienst.
Ich finde ja immer geil, wie Microsoft einfach behaupten kann, sie hätten Experten, und die Leute glauben das dann auch noch. Wenn Microsoft Experten hätte, wieso müssen sie dann immer noch jeden Monate Dutzende von Patches raushauen? Wieso verkacken sie immer noch so viele von den Patches?
Wieso haben wir inzwischen Patch-Testen beim Kunden mit "Preview"-Patches?
Das wird echt eine interessante Frage für Historiker, wie diese Firma jemals so viel Einfluss gewinnen konnte.
Aber hey. Akkurat eingeschätzt, die Kunden. Wer so blöde ist, Windows, Exchange, Active Directory und Office einzusetzen, und dann so blöde war, sich von Microsoft einen Defender andrehen zu lassen, der Probleme fixt, die man ohne Microsoft nicht hatte, und der dann auch noch so bekloppt ist, in die Microsoft-Cloud zu ziehen ... der dann externe Hilfe bezahlt, um die Ransomware wieder loszuwerden ... NA KLAR ist der dann auch so blöde und zahlt auch nochmal für "Experten" von Microsoft.
Idioten von ihrem Geld trennen ist das zweitälteste Geschäftsmodell der Welt.
"Eine bestimmte Type von Schaltuhren ist aufgrund eines Softwareproblems seit dem 1. Jänner nicht mehr aktiv", sagt Josef Stocker von Kärnten Netz. Diese Schaltuhren steuern Nachtstromanlangen, in erster Linie Boiler. Die meisten defekten Schaltuhren gibt es in Villach.Softwarefehler. Kann man nichts machen.
Ob die Exchange fahren? (Danke, Stefano)
The fix is to temp disable the anti malware agent on the server. Via the .\Disable-AntiMalwareScanning.ps1 script in the $exscripts directory. Then restart transport service.
Ach. Ach was.
Hey, die haben doch jetzt sicher ihre Lektion gelernt, oder? Die machen doch bestimmt ab jetzt alles richtig? Weg mit Exchange, Windows, Office und Active Directory? Gucken wir doch mal!
03.12.2021Ja? Jaa? Jaaaaa?? Exzellenter Anfang!
Im Rahmen des Neuaufbaus der KISTERS Infrastruktur haben wir unsere E-Mail-Server (MS-Exchange)
in die Microsoft Azure Cloud ausgelagert.NEEEIIIINNNNNN!!!
Ausschlaggebend dafür war einerseits unser Ziel, schnellstmöglich wieder per E-Mail erreichbar zu sein, und andererseits eine technische Entkopplung der E-Mail-Server von unserer internen Infrastruktur. Damit berücksichtigen wir gleichzeitig auch die aktuell von BSI und BKA festgestellte besondere Bedrohungslage.Boah was für ein Bullshit-Bingo. Unfassbar.
Denkt euch hier mal bitte ein Obi-Wan-Mem hin. Nein, nicht von mir ausgesucht. Vom BSI und ihren Kunden.
Mir gehen ja langsam die Gründe aus, die Verschwörungstheorie nicht zu glauben, dass Microsoft absichtlich die selber gehosteten Produkte sicherheitstechnisch vor die Wand fährt, damit alle in ihre Cloud migrieren. (Danke, Matthias)
Dass ihr das nicht selber erkennt, wenn ein Hersteller so viele Patches raushauen muss, dass er das auf einen Patchtag pro Monat limitiert, um sich die Organisation zu vereinfachen!
From 1981 to 2001, he was chairman of Riggs Bank, when he resigned due to prostate cancer during investigation by the Securities and Exchange Commission involving oil money from Equatorial Guinea at the same time that Riggs was facing broader charges of money laundering; his son Robert assumed the chairman position after his resignation; the bank was later purchased by PNC in 2005.
Von dort aus kann man dann noch dem Link zur Biggs Bank folgen und findet dort:The bank was investigated for several money laundering scandals, including going to great lengths to allow former Chilean dictator Augusto Pinochet to hide his fortune after his accounts were subjected to asset freezing and for unknowingly allowing the hijackers involved in the September 11 attacks to transfer money due to lax controls at the bank.
Da, meine Damen und Herren, kommt das Geld hinter Politico her. (Danke, Arnim)
Nun, auf eine Weise stimmt das: Die Großkundenkommunikation hat er komplett unter Kontrolle. Die eine Hälfte läuft über seine Cloud, die andere Hälfte kann er jetzt mit Latenz von einer Stunde runterfahren.
Aber die andere Seite der Medaille ist, dass Microsoft immer noch Monate bis Jahre zum Fixen von Bugs braucht, und wenn dann ein Bug leaked, bevor sie einen Fix haben, dann holen sie die große Bullshit-Rhetorik raus. Die sind auch treibende Kraft hinter diesem "responsible disclosure"-Scheiß, die einfach so tut, als sei das Veröffentlichen des Exploits hier der Teil, bei dem jemand unverantwortlich handelt! Nein, ist es nicht. Der unverantwortliche Teil war, die kaputte Software überhaupt erst an die Kunden auszuliefern. Insbesondere, wenn die dafür auch noch Geld gezahlt haben!
Tja, und als Microsoft dann Github gekauft hat, haben schon die ersten Cassandras gemeint, dass dann wohlmöglich demnächst Schluss ist mit Security-Kram auf Github veröffentlichen. Haben die meisten nicht wahrhaben wollen, aber jetzt ist es nicht mehr zu leugnen. Github hat einen Proof of Concept Exploit für das Exchange-Problem gelöscht, weil es angeblich ihre Acceptable Use Policies verletzt habe.
Ich weiß nicht, ob die Konkurrenz da besser ist. Github ist ja auch schon durch den Rauswurf von Entwicklern aus dem Iran negativ aufgefallen, und ein besoffenes Hackertoolverbot haben wir ja hier auch in Deutschland.
Wenn wir jetzt ernsthaft das Narrativ etablieren, dass Proof of Concept Exploits etwas böses sind, dann ist bald ganz aus mit Security. Dann heißt Security nur noch Blockchain und Schlangenöl. Schon heute wird unter Security viel zu häufig "aber wir haben doch HTTPS" und "aber wir haben doch ACLs" verstanden, oder, was noch weiter das Thema verfehlt: "aber wir haben doch Telemetrie" und so Tausch von IoCs, wie man früher Fußball-Aufkleber fürs Sammelalbum auf dem Schulhof getauscht hat. Keiner wusste, warum man das eigentlich sammeln sollte, und einen Zweck (außer die Kids an Glücksspielsucht heranzubringen) hatte das auch keinen, jedenfalls nicht für den Sammler.
Das geht echt alles zusehends vor die Hunde.
Nun, behaltet das mal kurz im Hinterkopf bei dieser Story hier: At Least 30,000 U.S. Organizations Newly Hacked Via Holes in Microsoft’s Email Software
No shit! Exchange, sagt ihr?
Der Einsender kommentiert:
Naja, wen kümmert es schon, wenn es nur noch Kartoffeln in den Regalen gibt und sonst nix, für das Volk.Ja. Ich fürchte auch, den Brexit werden wir nochmal nachverhandeln müssen. So war das nicht gedacht!!1!Aber jetzt kommt der Brexit bei der Financial Royalty an, und man macht sich Sorgen
Ich bin gerade etwas irritiert, dass ich da keine Paywall gekriegt habe. Vielleicht weil ich per URL copy&paste kam, ohne Referrer?
Ich bin auch erstaunt, dass ausgerechnet Amsterdam da jetzt vorne liegt und nicht Frankfurt. Aber stellt sich raus: Euronext ist ein großer Player und sitzt in Amsterdam.
An average €9.2bn shares a day were traded on Euronext Amsterdam and the Dutch arms of CBOE Europe and Turquoise in January, a more than fourfold increase from December. The surge came as volumes in London fell sharply to €8.6bn, dislodging the UK from its historic position as the main hub for the European market, according to data from CBOE Europe.
Das C in CBOE steht für Chicago, insofern ist deren Auftauchen in der Liste schon irgendwie lustig, und von Turquoise habe ich noch nie gehört. Stellt sich raus: Das gehört LSEG, der London Stock Exchange Group. Die haben rechtzeitig aufs Festland diversifiziert.Insofern stimmt vielleicht die Analyse des Einsenders nicht, dass die Financial Royalty betroffen ist. Wäre mal eine interessante Frage, wieviel des Finanz-Sumpfes aus London ihr Schäfchen ins Trockene gebracht hat.
Ich sehe das ja aus Sicht der Softwareentwicklung. Softwareentwicklung ist heutzutage darauf optimiert, möglichst schnell ein möglichst beschissenes Produkt auf den Markt zu rotzen, und dann die Kunden in den Lock-In zu zwingen und ihnen für die "Wartung" über die Jahre die Kohle aus der Tasche zu ziehen. Das Modell, dass man den Leuten ein gutes Produkt verkauft, das keine Wartung braucht, gibt es gar nicht mehr.
In meine Kindheit gab es Computerspiele aber es gab noch kein WWW und die Leute hatten zuhause kein Internet. Die Kunden machten auch keine Accounts auf und registrierten sich nicht beim Hersteller. Es gab schlicht keinen Weg Patches an die Kunden auszurollen.
Heute funktionieren Spiele bei der Auslieferung normalerweise so schlecht bis gar nicht, dass es Multi-Gigabyte-Day-1-Patches gibt.
Damals gab es Marktdruck, funktionierende Produkte zu haben, und im Großen und Ganzen haben die Produkte dann auch funktioniert. DAS GEHT also. Wir haben uns nur als Konsumenten so vollständig verarschen lassen, dass es das heute nicht mehr gibt.
Insofern: Macht ihr mal ruhig alle weiter so. Schließt am besten auch noch ein Abo auf Active Directory ab. Und hey, wenn ihr schon dabei seid, schließt am besten auch gleich ein Abo mit den Ransomware-Leuten ab!
Ich sehe das ja seit Jahren mit wachsender Bestürzung, wie immer mehr "Security" durch den Einsatz von Krypto erreicht wird. Krypto sollte der allerletzte Notnagel sein, wenn alle anderen Techniken versagt haben. Stattdessen ist Krypto heutzutage unsere erste und letzte Verteidigungslinie.
Beide Bugs sind über das Netzwerk ausnutzbar.
Aber hey, wer benutzt schon Broadcom-WLAN!!1! Also außer praktisch allen Smartphones da draußen jetzt meine ich.
Und Exchange hat ja glücklicherweise auch so gut wie niemand laufen!1!! Gut, außer denen, die gerade beim Aufräumen oder kurz vor der Entdeckung einer Emotet-Infektion sind.
Ist zwar richtig, dass Krypto selten angegriffen wird, aber gerade bei TPMs und Smartcards hatten wir echt ernsthafte Fälle von ranziger Krypto:Das ist nur ein Beispiel des Fehlers, da waren nicht nur TPMs, sondern auch SmartCards, Yubikeys und ähnliches betroffen. Gerade weil diese Chips so klein sind, und da irgendwie nur ein kleines Team von Leuten ohne besonders große Expertise dran rumbastelt, und es da keine sauber geauditete freie Software gibt, die das erledigt, ist das alles noch mal um ein paar Größenordnungen ranziger als sonst.
FIDO2 hat wohl auch deshalb auch auf RSA verzichtet, aber eine elliptische Kurve gewählt, die bei DJB definitiv als nicht trivial sicher implementierbar aufgelistet ist. Warum macht man sowas? Die NIST-Kurven mit ihrer NSA-Vergangenheit sind eh nicht besonders zu empfehlen. Nicht nur deshalb, sondern, weil da viele Details unnötig komplex sind.
Als jemand, der in der Donna-Implementierung von ed25519 erst mal zwei Löcher beseitigen musste (1. kein Constant-Time Diffie-Hellman-Exchange — das war in der Referenz-Anwendung nicht verlangt, aber ist ein sinnvolles Primitive, 2. Secret Keys werden auf dem Stack zurückgelassen und nicht gelöscht — das ist ein Standard-Faux-Pas, den man fast überall findet) kann ich nur sagen, dass Krypto halt doch schwer ist.
Mein Pet Peeve an FIDO2 ist, dass sie sich gar keine Gedanken über Recovery gemacht haben. Wenn das Token weg ist, ist der Zugang weg. Ich denke, die haben sich deshalb keine Gedanken gemacht, weil es ja diese herrliche Passwort-Zurücksetzen-Funktion über E-Mail gibt. Solange es das gibt, ist der Verlust des Tokens natürlich beherrschbar.
Aber dafür ist dann der Verlust des E-Mail-Accounts wieder die gleiche Katastrophe wie bisher auch schon. Ne, Leute! Und dass der E-Mail-Account natürlich auch mit dem Token abgesichert sein sollte, das hat sich von den Hirnwichsern keiner gedacht, oder?
Am Grundprinzip Pubkey-Authentication finde ich jetzt übrigens alles richtig.
Das ist ok so.
Ich bin ja immer wieder beeindruckt über die Scheuklappen, die sich diese Leute in kürzester Zeit hinbauen. Bestimmt mit agilen Methoden gebaut. Funktionieren prächtig, solange man keine Fragen stellt.
Es gibt einige auffallende Muster. Eines davon: Struktur im Prozess der Softwareentwicklung wird gleichgesetzt mit Struktur in der resultierenden Software. Wenn ihr den Unterschied nicht versteht, dann schreibt mir bitte keine Mails. Dafür ist mir meine Zeit zu schade.
Ein anderes: Google ist der Heiland im agilen Himmel. Hunderte von Projekten haben Dinge "wie Google" gemacht, weil Google ja ganz gut läuft, und für vom Marktführer klauen ist noch niemand bestraft worden. Aber in der Sekunde, wo ein Google-Projekt genau die selben Fail-Symptome zeigt wie eure ganzen Agil-Projekte, da ist das alles vergessen. Es setzt nicht etwa Reflektion ein, sondern ein Beißreflex. Nein nein, Fefe, nicht agile Methoden sind inhärent kacke, nur weil niemand die richtig angewendet kriegt, nicht mal der Marktführer, den alle emulieren!1!!
Mich erinnert das an meinen ersten Code Audit bei Microsoft. Die verwenden natürlich intern auch Exchange und Active Directory und so. Wenn man das anderswo sieht, denkt man sich, die waren bloß zu blöde, das ordentlich aufzusetzen. Und dann geht man zu Microsoft und die sagen einem völlig unironisch, die Replikation des Accounts durch das Active Directory kann schon mal drei Tage dauern. Das ist der Zeitpunkt, wo man als zu eigenständigen Gedanken fähiger Beobachter erkennt, dass es nicht die schlechte Umsetzung überall ist, sondern ein inhärentes Problem mit dem Produkt oder System.
Ich habe im Übrigen nicht behauptet, dass alle agilen Projekte so enden. Das habt ihr da reingelesen. Nicht ganz zu Unrecht, denn die Quote ist in der Tat furchterregend, aber das war nicht meine Behauptung. Ihr müsst mal dringend an eurer Lesekompetenz arbeiten, wenn ihr mir Leserbriefe schreiben wollt.
Tja, immerhin ist das Geld jetzt weg und damit bestmöglich vor staatlichen Zugriffen und Willkür geschützt. Nehmt Krypto-Currencies, haben sie gesagt!
It appears that QuadrigaCX was using deposits from their customers to pay other customers once they requested their withdrawal.
Kauft Cryptocurrency, sagten sie! Da ist euer Geld sicher, sagten sie!
The founder seemingly had sole control or knowledge of Quadriga’s cold storage solution. Robertson wrote that after his death, “Quadriga’s inventory of cryptocurrency has become unavailable and some of it may be lost.”She later added that she has no business records whatsoever for QuadrigaCX or its affiliated companies. While she does have Cotten’s laptop, the device is encrypted and she does not have its password or recovery key. While a consultant has been retained to try and recover the laptop’s contents, he has had limited success to date.
Robertson ist seine Witwe.
Die SZ hat eine neue Schriftart ausgerollt und bat um Kommentare. Ich habe einen Kommentar geschrieben. Ich finde, in Firefox unter Linux sehen die i-, und ä- und ü-Punkte leicht nach rechts verschoben aus. Ansonsten mag ich die Schriftart. Weniger mag ich die Sans Serif, die sie ausgerollt haben. Die ist mir zu breit. Wenn jemand Schriftarten breiter macht, habe ich immer den Eindruck, der schämt sich für seinen Inhalt und will ihn toller aussehen lassen als er ist.
Aber hey. Geschmackssache.
Jedenfalls kriege ich hier gerade eine Bounce-Mail. :-)
Fehler bei der Nachrichtenzustellung an folgende Empfänger oder Gruppen: [1]szdm.digitalesdesign@sz.de Ihre Nachricht kann nicht übermittelt werden, weil die Übermittlung an diese Adresse eingeschränkt ist. Diagnoseinformationen für Administratoren: Generierender Server: ad.sv.intern szdm.digitalesdesign@sz.de #550 5.7.1 RESOLVER.RST.AuthRequired; authentication required ##rfc822;szdm.digitalesdesign@sz.de
Erstens amüsiere ich mich über das "eingeschränkt". DAHER haben die Scammer also immer ihre Wortwahl! Von kaputt eingedeutschten Exchange-Fehlermeldungen! Die Fehlermeldung kam übrigens als HTML. Was besonders lustig ist, weil da auch die Mail von mir drin war, und da war ein Spam-Erkennungs-Header drin, der zeigt, dass sie u.a. Spam daran erkennen, dass der Content als HTML kommt.
Ja super, liebe Süddeutsche! Immerhin war ein Postfix davor, und der Exchange hängt nicht direkt mit nacktem Arsch im Internet.
College Encourages Lively Exchange Of Idea
Ja, Singular. Eine Idee :-)“As an institution of higher learning, we recognize that it’s inevitable that certain contentious topics will come up from time to time, and when they do, we want to create an atmosphere where both students and faculty feel comfortable voicing a single homogeneous opinion,” said Abrams, adding that no matter the subject, anyone on campus is always welcome to add their support to the accepted consensus.
Wun-der-schön! (Danke, Jens)
Da ist auch ein PDF zu geleaked, und die Details sind durchaus interessant. Beispielsweise:
All tools must utilize Operating System (OS) provided cryptographic primitives where available (e.g., Microsoft CryptoAPI-NG, OpenSSL, PolarSSL, GnuTLS, etc).Dass sie da Polarssl und Gnutls explizit nennen, finde ich erstaunlich. Auch generell ist das nicht unbedingt ein guter Ratschlag, denn wenn du von irgendeinem gammeligen Schrott-Debian oder Embedded Höllendevice mit OpenSSL 0.98 Daten exfiltrieren willst, dann erscheint es schon ratsam, da lieber nicht die Krypto zu nehmen, die vom OS kommt. Ich sage nur Heartbleed und erinnere an das Debian Weak Key Massaker.
Messages should be compressed prior to encryption.
Die Begründung ist: Weniger Clear Text, weniger Angriffsoberfläche. Stimmt auch, aber bei TLS schaltet man im Allgemeinen das Compression-Feature absichtlich ab, weil es da mal ein Problem gab. Die CIA sagt jetzt nicht, man soll das anschalten. Aber es steht auch nicht explizit da, dass man es nicht anschalten soll. Von einem Papier, dessen expliziter Existenzgrund ist, Verwirrung zu verringern, hätte ich das erwartet.Tools should perform key exchange exactly once per connection. Many algorithms have weaknesses during key exchange and the volume of data expected during a given connection does not meet the threshold where a re-key is required. To reiterate, re-keying is not recommended.
Das ist so m.W. eine eher selten ausgesprochene Empfehlung. Ich finde ihre Begründung jetzt nicht absurd. Da müsste man mal drüber diskutieren. SSH macht z.B. automatisch Re-Keying nach einer Stunde oder so (einstellbar). Mein Bauchgefühl wäre: Wenn ein Bug im Key Exchange ist, dann wäre der auch im initialen Key-Exchange, nicht nur im Re-Keying.Spannend ist auch dieses Detail bei der Collection Encryption Suite, das ist ihre Empfehlung für die Verschlüsselung von abgehörten Daten, die sie irgendwo abgefangen haben, die aber unterwegs auf irgendwelchen unvertrauenswürdigen Wegen zu ihnen kommen. Da nennen sie als Beispiel:
The Collection Encryption Suite is intended to safeguard collected information as it resides temporarily on an untrusted file system or as it transits a file-oriented communication mechanism (e.g., gap jumpers, bit torrent, HTTP post, etc.).
Oh, ach? Die CIA benutzt Bittorrent für den Transport ihrer abgehörten Daten? Das ist ja mal unerwartet.Unten in der Kommentar-Abteilung wird es nochmal spannend. Da sagen sie nämlich explizit, dass sie nicht als Ausrede gegen die Benutzung der installierten OS-Krypto gelten lassen, dass die jemand gehackt haben könnte (ein anderer Geheimdienst beispielsweise):
In particular, the justification that an attacker might hook the OS provided cryptographic API to perform reverse engineering of the implant is not acceptable; any service (including execution) provided by the OS may be subverted and the security of a proven library outweighs the risk of attack.
Das ist nicht von der Hand zu weisen. Einzige Ausnahme ist, wenn man Windows XP angreifen will. Nein, wirklich! Denn XP kommt mit oller Gammel-Krypto, die nicht gut genug ist, um ihren Mindestanforderungen zu genügen. Da soll man dann halt ein OpenSSL statisch reinlinken.SHA1 hat die CIA intern übrigens schon länger verboten.
Interessant ist auch, dass die CIA sagt, wenn du ein File exfiltrieren willst, und du machst Krypto und nen Hash für die Integrität drüber, dann machst du den Hash bittesehr über den Ciphertext, nicht über den Plaintext. Begründung: Wenn ein ausländischer Geheimdienst das per SIGINT mitschnüffelt, könnte er den Hash sonst gegen alle Dateien auf dem System vergleichen und so sehen, welche Datei wir exfiltriert haben. Hier ist der Absatz:
The digest is calculated over the ciphertext vice plaintext in order to protect against a SIGINT actor with access to a compromised host obtaining any information about the transfer. Using the example of an exfiltrated file (and depending on communication protocols) it is possible that a SIGINT actor could compare the hash value of every file on the compromised host to the intercepted message and thereby determine which file was exfiltrated. Calculating the digest over the ciphertext eliminates this possible information leakage without altering difficulty of implementation. See also the various debates about Encrypt-and-MAC, MAC-then-Encrypt, and Encrypt-then-MAC. The IV is authenticated by the digest in order to prevent a manipulated IV from flipping bits in the first block of the plaintext upon decryption under certain modes.
Da bin ich mal gespannt, was die Crypto-Community dazu sagt. Das klingt für mich nach grobem Unfug; daher nimmt man ja nen MAC, keinen tumben Digest. Aber hey, ich bin kein professioneller Kryptologe.In einem Absatz schreiben sie explizit vor, dass ihre innere Authentisierung nicht auf Basis von irgendwelchem gammeligen Root-CAs stattfinden darf, sondern auf einer hard-coded List von CIA- CAs basieren muss. Begründung in den Fußnoten:
This makes tool X very valuable in those countries known to routinely MitM SSL (e.g., China, Iran, and other hard targets).
HARR HARRDie letzte Fußnote hat auch das letzte Highlight:
One novel technique seen in the wild and provided purely as an example of a clever solution is the Random Decryption Algorithm (RDA) technique whereby a piece of malware does not possess the decryption key for its own main execution component. This malware is designed to brute force the decryption key, a process that can take several hours on modern hardware and has the added benefit of extreme resiliency to polymorphic detection heuristics and static scanning. Authors who believe they have a particularly novel approach are encouraged to contact the OCRB for a detailed discussion.
Das ist in der Tat eine seit ~12 Jahren diskutierte Technik aus der Virusentwicklung :-)
Update: Bei solchen Zahlen ist es immer wichtig, mal zu prüfen, ob der Vergleichswert korrekt ist, und ob die ihre Einheiten verkacken. In diesem Artikel wird der chinesische Strompreis in "3 to 6 cents per kw/h" angegeben. Tatsächlich berechnet man den Strompreis in kWh, also Multiplikation statt Division. Da kann man die Sache schon zu den Akten legen, aber gucken wir mal weiter. Laut des Links von ihnen verbraucht der durchschnittliche Amerikaner knapp 11000 kWh pro Jahr, das wären dann um die 30 kWh pro Tag. Wenn man von 215 MW und 110000 Transaktionen pro Tag ausgeht, kommt man bei 1,954 mWh raus pro Transaktion. Das ist der Stromverbrauch pro Stunde, nicht pro Tag. Der Artikelautor hat hier also gleich mehrfach ins Klo gegriffen. Der durschnittliche Stromverbrauch pro Haushalt in Deutschland liegt übrigens bei ca 3150 kWh pro Jahr, d.h. weniger als ein Drittel der Amis.
Update: OK, nochmal langsam zum mitschreiben.
215 MW, 24 Stunden pro Tag -> 5160 MWh für einen Tag.
110k Transaktionen pro Tag -> 46.91 kWh pro Transaktion.
Durchschnittlicher Stromverbrauch pro US-Haushalt: 10908 kWh/Jahr, 365 Tage pro Jahr -> 29.88 kWh pro Tag.
46.91 / 29.88 = 1.57. Was der Artikel auch geschrieben hatte.
Kaum macht man's richtig, funktioniert's!
Mir ist ja gerade aufgefallen, was für eine schwachsinnige Einheit kWh ist. W ist J / s. Da nochmal Zeit draufzumultiplizieren, sollte daraus wieder J machen, nicht Wh. Total beknackt.
Aber, damit daraus ein Schuh wird, sollte man das nicht mit dem Haushaltsverbrauch vergleichen, sondern mit dem Strompreis. Man zahlt im Moment für eine kWh so knapp 30 Cent in Berlin. 46.91 kWh für eine Bitcoin-Transaktion wären also rund 14 Euro. Das kommt mir jetzt ein bisschen viel vor für eine Überweisung. Da kann man ja gleich bei der Deutschen Bank sein Konto haben! Wobei das Mining daher in China gemacht wird, in Bereichen mit Stromüberfluss wegen Staudamm und zu schwacher Leitung nach draußen zum wegtransportieren des Stroms und so. Und es ist natürlich in jedem Fall eine Milchmädchenrechnung.
At the Nuclear Regulatory Commission, which regulates nuclear facilities, information about crucial components was left on unsecured network drives, and the agency lost track of laptops with critical data.Computers at the I.R.S. allowed employees to use weak passwords like “password.” One report detailed 7,329 “potential vulnerabilities” because software patches had not been installed. Auditors at the Department of Education, which stores information from millions of student loan applicants, were able to connect “rogue” computers and hardware to the network without being noticed. And at the Securities and Exchange Commission, part of the network had no firewall or intrusion protection for months.
Völlig klar, das können überhaupt nur die Chinesen gewesen sein!
WASHINGTON — The U.S. Senate passed a measure authorizing the nation’s defense programs Friday, and along with it managed to give lands sacred to Native Americans to a foreign company that owns a uranium mine with Iran.
Da bleibt kein Auge trocken! Und DIE wagen es, anderen Ländern Demokratie bringen zu wollen!the Southeast Arizona Land Exchange and Conservation Act, had twice failed to win support in the House of Representatives, blocked both by conservationists and conservatives.
There is no distinctly American criminal class - except Congress.
Auch in Europa drängt sich der Eindruck auf, dass die Häufung krimineller Energie in der Politik höher ist als sonstwo. Da muss man schon zu den Bankstern gehen, um ein ähnliches Niveau anderswo zu finden.Aber es gibt da offenbar noch Abstufungen. So wurde jetzt, nach Edathy, dem zweiten "Innenexperten" die Immunität entzogen. Diesmal, wenn man "Bild" glauben will, nicht wegen Kinderpornographie sondern wegen Verstoßes gegen das Betäubungsmittelgesetz.
Mir fehlt da ja die Fantasie, muss ich sagen. Ich kann mir nicht vorstellen, wieviel Koks sie finden müssen, damit das so aus dem Rahmen das Üblichen heraussticht, dass sie die Immunität aufheben.
Ein Kontext-Verweis sei mir aber noch erlaubt, gerade mit Blick zu Edathy: Die Dienste sind natürlich an den Pädophilen-Ringen beteiligt. Ganz normaler Teil ihrer Arbeit, Kompromat über jeden Entscheidungsträger im Giftschrank zu haben.
Update: Laut "Express" war es Crystal Meth, nicht Koks.
Update: Wer nicht bis zum Ende gelesen hat, für den zitiere ich mal den letzten Satz:
Michael Hartmann sitzt seit 2002 im Bundestag, er ist auch Mitglied im Parlamentarischen Kontrollgremium.
Nur falls jemand Fragen hatte, wieso das parlamentarische Kontrollgremium so eine Lachnummer ist (das sind die, die die Geheimdienste "kontrollieren" sollen). Da kommen wahrscheinlich nur Leute mit umfangreicher Kompromatakte rein.
Update: Aus aktuellem Anlass möchte ich mal zitieren, was der gestern zu Protokoll gegeben hat.
"Die Beschlagnahme eines Luxusautos ist ein geeignetes Mittel und kann durchaus das Aussageverhalten beeinflussen", sagte SPD-Innenexperte Michael Hartmann der "Welt". "Es gilt jetzt, dies rechtsstaatlich sicher einzupacken."
Da können wir ja gleich mal einen Präzedenzfall schaffen und dem Hartmann sein Auto wegnehmen.
Reicht euch nicht? Wartet, wird noch besser!
Effektiv wäre es, wenn auch Deutschland endlich die Beweislast umkehren würde, wie in Italien. Dort gilt: Bei konkretem Mafia-Verdacht kann das Vermögen beschlagnahmt werden - es liegt dann am Verdächtigen, nachzuweisen, dass es legal erworben wurde. Die Umkehr sei zwar "rechtsstaatlich probat, aber schwierig umzusetzen", sagte Hartmann.
Das exerzieren wir jetzt mal an dem Hartmann durch, und wenn das funktioniert, dann beweislastumkehren wir mal die ganzen anderen "Innenexperten" von CDU, CSU und SPD weg. FDP spielt ja glücklicherweise keine Rolle mehr. Und die Grünen hören dann hoffentlich den Schuss und bessern sich. Wenn nicht, beschlagnahmen wir halt ihre Luxusfahrräder.
Update: Angeblich war dieser Hartmann "der engste Vertraute" von Edathy.
A bug in the bitcoin software makes it possible for someone to use the Bitcoin network to alter transaction details to make it seem like a sending of bitcoins to a bitcoin wallet did not occur when in fact it did occur. Since the transaction appears as if it has not proceeded correctly, the bitcoins may be resent. MtGox is working with the Bitcoin core development team and others to mitigate this issue.
Das ist der Supergau.Update: Die Situation scheint weniger klar zu sein als da steht. Es mehren sich Stimmen, die behaupten, dass das doch "bloß" die Implementation bei diesem einen Exchange betrifft. Das Problem ist zwar im Protokoll, weil dieser ID-Wert nicht Teil der Checksumme ist, aber der Fehler, der zu Mehrfachauszahlen führt, ist bei MtGox, weil die ihre Auszahlentscheidung u.a. auf dieser ID basieren. Siehe u.a. hier.
Update: Und hier. (Danke, Rop)
Und PrivateCore macht … RAM-Verschlüsselung. Nein, wirklich!
vCage validates the integrity of the hardware environment
Gemeint ist hier Trusted Computing, TPM-Measuring.provides a hardened hypervisor based on KVM
Hardened und "based on KVM" in einem Satz? Oioioio!and secures server random access memory (RAM) with AES encryption.
Wie soll das funktionieren? Na ganz einfach!This is done by loading a secure hypervisor into CPU cache and acting as a gateway to encrypt memory paging in and out between the CPU cache and RAM.
Soso, paging! Zwischen CPU-Cache und RAM, ja? Paging?Ob deren Produktbeschreibung aus irgendeinem Nonsens-Paper-Generator rausgefallen ist?
Das wäre ja alles höchst unterhaltsam, wenn nicht die Marketing-Ansage wäre: Wenn ihr das macht, müsst ihr dem Cloud-Provider nicht mehr vertrauen! Eure Anwendung kann dann vertrauenswürdig laufen, auch wenn die Hardware, auf der sie läuft, nicht vertrauenswürdig ist! Überhaupt hat Intel eine Technologie namens TXT im Angebot, von der sie versprechen, dass man damit TPM-Attestation bis hinein in die Anwendung haben kann, die in der VM läuft.
Wenn ihr übrigens mal Rüdiger Weis beim Meckern über TPM zugehört habt, werdet ihr die Einsicht mitgenommen haben, dass TPM nicht dazu da ist, den Anwender zu schützen, sondern die Software von Microsoft vor dem Anwender. Rüdi malt dann immer das Bild an die Wand, dass das Booten von Linux verhindert werden soll. TPM selbst kann das nicht, der führt immer auch unvalidierten Code aus. Aber wenn der Code fragt, ob er validiert wurde, dann kann ihm TPM sagen, ob das Windows in einer vertrauenswürdigen Umgebung hochgekommen ist oder nicht. Und da kommt dann halt bei manipulierten System (z.B. zum Linux-Booten, wenn man keinen TPM-fähigen Bootloader nimmt) "falsch" zurück als Antwort. Dieses Detail war das Feigenblatt, hinter dem sich die Trusted-Computing-Leute vor Rüdi versteckt haben. Intel hat allerdings noch mehr in ihren Prozessoren drin, das über das TPM-Zeugs hinausgeht. Da kann im Prozessor auch hinterlegt werden, dass nur als vertrauenswürdig signierter Code zur Ausführung kommen soll. Das nennt sich dann Launch Control Policy. Wenn Rüdi das hört, kriegt er einen Schlaganfall.
Update: Krass, Privatecore macht sogar explizit Werbung, dass ihr Produkt Cloudserver vor der NSA schützt. Was für eine Frechheit!
Update: Die Meldung hat es nach Deutschland geschafft. (Danke, Martin)
The prosecutor, Assistant U.S. Attorney Joseph Facciponti, argued that Serge Aleynikov should be denied bail, for he was a danger to the community and a flight risk, as he had in his possession computer code which in the wrong hands could be used “to manipulate markets in unfair ways.” (Goldman Sachs presumably used it to manipulate markets in fair ways.)
BWAHAHAHAHAHAHA
Und dann kommen da Argumente, die sind so selbstentleibend dämlich, da muss man sich nach dem Lesen erstmal die Hände waschen gehen. Z.B. das "ach die paar Bytes". Wir reden hier von Artikeln, die tausende Male verlinkt werden. Das ist klassische Externalisierung von Kosten, genau wie wenn jemand seine Chemieabfälle in den Rhein kippt und dann argumentiert, dass das doch total verdünnt wird, bevor es bei etwaigen Opfern ankommt. Oder dass sich die Kosten auf so viele Steuerzahler verteilen, dass das keinem weh tut. Das ist nicht der Punkt! Es ist Umweltverschmutzung. Man lagert die Kosten für Dinge, die man zu seinem eigenen Vorteil macht, nicht bei anderen ab. Das ist unmoralisch, egal von welcher Größenordnung wir reden. Ich boykottiere das, denn irgendwer muss ja mal was sagen.
Oh und dann das nächste Argument. "Aber die sprechenden Links sind doch hilfreich, da weiß man vor dem Klick ob sich der Klick lohnt". OH DIE SCHMERZEN! Leute, die verdienen damit Geld, dass ihr auf ihre Dinge klickt. Es ist nicht in deren Interesse, euch vorher zu sagen, was ihr da vorfinden werdet. Selbst wenn es ginge, was ja nicht der Fall ist. Deren kommerzielles Interesse ist, genug falsche Fährten zu legen, um euch zum Klicken zu bewegen. Damit ihr erst nach dem Klick seht, ob sich das lohnt oder nicht. Wer DAS schon nicht verstanden hat, der sollte sich am besten gleich aus dem Internet zurückziehen, das kann nichts mehr werden.
Ganz zu schweigen davon, dass so lange URLs dann in der Praxis hinter URL-Shortenern verschwinden, weil sie … zu lang sind.
Aber hey, Nachdenken war ja noch nie Stärke der SEO-Leute und ihrer Apologeten. Hauptsache das Google-Ranking ist hoch. Inhalt kann man später ranschaffen, ist nicht so wichtig.
Oh und, fürs Archiv: NEIN, ich bin NICHT an einem Link Exchange interessiert. Erschießt euch selbst, ihr widerlichen SEO-Widerlinge! Aber bitte so, dass nicht jemand anderes die Kosten fürs Aufräumen tragen muss.
Update: Oh wo wir gerade von Boykottieren reden: eine Sache, wo Boykotte ja schon prima funktioniert haben, war der Versuch, Artikel auf 10 "Seiten" zu verteilen, wo man dann unten immer "next" klicken muss. Die Leute haben sowas boykottiert, und fertig ist die Laube. Ich linke auf sowas grundsätzlich (im juristischen Sinn) nicht. Und so ist diese Praxis weitgehend gestorben, außer bei unseriösen Ranzsites wie diesen ganzen stinkenden Hardware- und Spiele-Besprechen-Seiten. Die können alle mal sterben gehen, wenn es nach mir ginge.
Update: Dieser Artikel war kurzzeitig weg, sorry, mein Fehler.
But Groupon has had to beat back concerns that it takes aggressive views on accounting, most prominently when last year it had to cut its reported revenue in half to satisfy questions from the Securities and Exchange Commission.
Soso, "aggressive views on accounting", nee, klar, verstehe. So nennt man das heute.Aber macht euch keine Sorgen. Groupon hat zwar kein Geschäftsmodell, aber genug Kohle vom Aktienmarkt für ordentliche Bestech… äh Lobbyisten — oder hat jemand ne andere Erklärung für das hier:
Groupon's stumbles come as Congress advanced a bill, known as the Jobs Act, that would ease the regulatory burdens on fast-growing businesses.Under the act, Groupon, which has less than $1 billion revenue, would qualify as an emerging growth company, entitled to immunity from annual audits of internal accounting controls.
Bitte was?! Wenn man weniger als eine Milliarde an Umsatz macht, kriegt man Immunität von Buchprüfungen?! Was kann da schon schiefgehen!1!!The Jobs Act would loosen Groupon's duties "over exactly the type of controls that it was deficient in," said John Coffee, a law professor at Columbia University.
Na SO ein Zufall!
Hallo Felix,Nein.vielleicht hast Du ja schon von unserem Social Sharing Button [$DIENST] gehört.
Ich wollte heute einfach mal fragen, ob ein solcher (evtl. neuer) Dienst für Deinen Blog in Frage kommen könnte.Was machen wir besser?
Unsere Analytics geben Dir Aufschluss darüber, wie erfolgreich eine Empfehlung in den Netzwerken Twitter, Facebook, LinkedIn und GoogleBuzz war.
Weiterhin hast Du mit dem Button eine neue Möglichkeit Deals an Deine "Empfehler" zu vergeben und eröffnest Dir unter Umständen auch eine weitere Erlösquelle.
Erste Infos findest Du unter [$WEBSEITE], auf unserem Blog [$ANDEREWEBSEITE] oder natürlich direkt bei mir.
Ich tracke meine Leser nicht und will auch nicht, dass das jemand anderes tut.
Eure Link-Exchange-Angebote könnt ihr auch behalten, und eure Social Media "Like"-Buttons. Ich habe auch keine Kampagnen zu überwachen und plane auch keine Newsletter zu versenden.
Die "Missionierung" ist ausdrücklich KEIN Ziel des Vertrages.Na dann haben wir ja nochmal Glück gehabt!
Und die RWTH ist da nur eine von vielen Unis, die das so macht. Seit ich an der Uni war, scheint sich MS da mehr als breit gemacht zu haben. Active Directory, Exchange, Sharepoint *grusel* (Danke, Matthias)
The investment bank, which on Friday was charged with securities fraud by the US Securities and Exchange Commission, is expected to announce the bumper profits on the back of the strength in its fixed income division – the very division which the fraud charges stem from.
Na dann ist ja alles gut, business as usual.
"Four months ago, during the monsoon rains, we decided to set up this stock exchange. We started with 15 'maritime companies' and now we are hosting 72. Ten of them have so far been successful at hijacking," Mohammed said.
Wow. Er sagt dann noch, er habe Piraterie zu einer "Community Activity" gemacht. Im Übrigen zahlt da die Piraterie für fast alles, und die eigentliche Regierung hat keinerlei Einfluß. (Danke, Michael)
Queensland Police Union vice-president Ian Leavers said the system turned jobs that usually took an hour into several hours of angst.He said police were growing reluctant to make arrests following the latest phased roll-out of QPRIME, or Queensland Police Records Information Management Exchange.
"They are reluctant to make arrests and they're showing a lot more discretion in the arrests they make because QPRIME is so convoluted to navigate," Mr Leavers said. He said minor street offences, some traffic offences and minor property matters were going unchallenged, but not serious offences.
Wirtschaftskrise hin oder her, bei T-Systems scheint das Geschäft ja zu brummen! :-) (Danke, Clemens)
The cable, a copy of which was obtained by The Associated Press, was prompted by a major interruption in departmental e-mail caused by numerous diplomats hitting "reply all" to an errant message inadvertently addressed and copied to several thousand recipients. […]Most demanded to be removed from the list while others used 'reply all' to tell their co-workers, in often less than diplomatic language, to stop responding to the entire group, the officials said.
Some then compounded the problem by trying to recall their initial replies, which generated another round of messages to the group, they said.
Die Email-Zurückrufen Funktion war schon immer einer meiner Lieblings-Lacher bei Outlook und Exchange.
The Baltic Dry Index measuring rates for coal, iron ore, and grains, and other dry goods plummeted below 1000 yesterday, down 92pc since peaking in June.The daily rental rates for Capesize big ships have dropped $234,000 to $7,340 in weeks, leaving operators stuck with heavy losses on long leases. Empty ships are now crowding Singapore and other global ports.
"It is extremely serious, " said Jeremy Penn, president of the Baltic Exchange. "Freight rates have never fallen this steeply before. It is telling us that world trade in raw materials has slowed dramatically. Shippers are having genuine difficulty obtaining letters of credit from banks," he said.
In britischen Publikationen heisst "92pc" "92%".Schlimm genug, aber der Oberbrüller ist, dass sie jetzt alle Angst vor dem Weltwährungsfonds haben. Der Hintergrund ist, dass sie ja gerade alle Bailout-Kohle vom IMF haben wollen. Und der (und die Weltbank) sind ja auch dafür da. Nur haben die traditionell eben alle Länder unangespitzt in den Boden gerammt, die von ihnen Geld wollten, indem sie ihnen groteske Vorschriften gemacht haben, die ihre Wirtschaft komplett irreparabel plattgemacht haben. Südamerika, Afrika, Asien, die haben wir alle klein gehalten über diese Regeln. Und jetzt haben die ganzen westlichen Finanzpleitiers Angst, dass sie als Bittsteller auch zum Vernichten ihrer Wirtschaft gezwungen werden, wenn sie Kredit wollen. Großartige Ironie. Das werden uns diverse frühere Opfer des IMF gerade wärmstens an den Hals wünschen, denke ich.
The draconian terms raise fears that the IMF will apply the same medicine to Hungary, Ukraine, Belarus, Serbia, as well as Pakistan and a long list of other countries that may soon need a bail-out. Critics says the Fund risks repeating errors it made in Asia's 1998 crisis when it imposed a one-size-fits-all contraction policy on the region, causing bitter anti-Western feelings and arguably making matters worse.A deflationary strategy of this kind could prove counterproductive –or worse – if applied in enough countries simultaneously. It would defeat a key purpose of the rescues, which is to stabilise the global financial system.
Na wo kämen wir da hin, wenn wir an westliche Länder die gleichen Anforderungen stellen wie an die Neger und die Schlitzaugen!1!! Sollen sie doch Kuchen essen!
According to one veteran expert on the yakuza, the new activities of the nation's largest crime syndicates have effectively turned the mob into the biggest private equity firm in Japan. […]Japan's Securities and Exchange Surveillance Commission has compiled a watch list of hundreds of companies suspected of direct or indirect links to mafia money. The list, which was drawn up in private but has been seen by The Times, includes more than 200 publicly traded companies, many of which are household names in Japan.
The issue has become so acute that the Osaka Stock Exchange has been forced to introduce an entirely new screening system to establish which companies have direct mob links or large quantities of yakuza money on their shareholder registers. Scores of companies, one exchange source said, faced the threat of being delisted.
Ist bei uns genau so, nur dass die bei uns nicht mit dem Selbstbild des Mafiosi arbeiten, sondern sich ganz normal Investoren oder Hedge Fonds nennen.Was sagt euch das, wenn die Mafia von den "normalen Investoren" nicht zu unterscheiden ist? Laut Artikel stellt die Yakuza auch reihenweise die wegen der Kreditkrise gefeuerten Trader ein. Nur dass die Mafiosi sich wahrscheinlich im Vergleich zum Vorstand einer Investmentbank mit geradezu lächerlichen Auszahlungen zufrieden geben. :-)
According to one in-depth investigation by NHK, the state broadcaster, a few yakuza gangs even operate their own stock-dealing floors, where millions of dollars of shares are traded every day.
Na, woran erinnert euch das? Mich erinnert das an die Goldman Sachs Privatbörse, nur nicht mit so viel Cash. So viel kriminelle Energie wie die dicken Investmentbanken haben die Mafiosi halt noch nicht aufgebaut :-)Oh und wie manipulieren sie den Markt?
Joshua Adelstein, an author and consultant on the yakuza, says that one of the key recent developments has been the emergence of mob-backed auditing firms. It is by getting these auditing firms to sign-off false company accounts, he said, that the yakuza were able to manipulate both the apparent earnings and stock prices of numerous small listed companies.
Über die Auditoren! Die Parallele im regulären kriminellen Finanzsektor sind die ganzen Ratingagenturen, die die ganze Zeit die windigen "Investmentvehikel" als grundsolide bewertet haben.
The Securities and Exchange Commission can blame itself for the current crisis. That is the allegation being made by a former SEC official, Lee Pickard, who says a rule change in 2004 led to the failure of Lehman Brothers, Bear Stearns, and Merrill Lynch.The SEC allowed five firms — the three that have collapsed plus Goldman Sachs and Morgan Stanley — to more than double the leverage they were allowed to keep on their balance sheets and remove discounts that had been applied to the assets they had been required to keep to protect them from defaults.
Na gut, da hat die Bankenaufsicht halt versagt. Macht nichts, da lernen sie draus, und dann reparieren sie das wieder. Nicht wahr?Making matters worse, according to Mr. Pickard, who helped write the original rule in 1975 as director of the SEC's trading and markets division, is a move by the SEC this month to further erode the restraints on surviving broker-dealers by withdrawing requirements that they maintain a certain level of rating from the ratings agencies.
Oops. (Danke, Uwe)
The new technology platform has been developed using the Microsoft .NET Framework, with support from Microsoft and Accenture
Da haben sich ja die richtigen Technologien und Leute zusammen gefunden…Update: Die Betreibergesellschaft sagt, es war das Netz, nicht die Software. Halte ich für unwahrscheinlich, denn 1. dauert in solchen Fällen die Reparatur keine 7 Stunden, und 2. hat man gerade in solchen Setups alles mehrfach redundant am Start. Besonders peinlich ist ja, dass Microsoft fett damit Werbung gemacht hat, die Londoner Börse habe wegen der Zuverlässigkeit Windows statt Linux gewählt. Bwahahahaha
Oh und der verschwörungstheoretische Aspekt ist auch nicht zu verachten: das war der Tag, wo die Amis Fannie Mae und Freddie Mac verstaatlicht haben.
In a gambit with such low odds of success that traders question its legitimacy, someone wagered $1.7 million that Bear Stearns shares would suffer an unprecedented decline within days. Options specialists are convinced that the buyer, or buyers, made a concerted effort to drive the fifth-biggest U.S. securities firm out of business and, in the process, reap a profit of more than $270 million.Whoever placed the bet used so-called put options that gave purchasers the right to sell 5.7 million Bear Stearns shares for $30 each and 165,000 shares for $25 apiece just nine days later, data compiled by Bloomberg show. That was less than half the $62.97 closing price in New York Stock Exchange composite trading on March 11. The buyers were confident the stock would crash.
Da war sich offensichtlich jemand sehr sicher.
Bonds of U.S. investment banks lost about $1.5 billion of their face value this month […].The highest level of defaults in 10 years on subprime mortgages and a $33 billion pileup of unsold bonds and loans for funding acquisitions are driving investors away from debt of the New York-based securities firms. Concerns about credit quality may get worse because banks promised to provide $300 billion in debt for leveraged buyouts announced this year.
"The market is being driven by fear," said Mark Kiesel, who oversees $80 billion of corporate debt at Newport Beach, California-based Pacific Investment Management Co., manager of the world's biggest bond fund.
Auf der anderen Seite versucht Goldman Sachs gerade, Profit aus der Situation zu schlagen, indem sie einen 20 Milliarden Dollar fetten Hedge Funds gründen, der dann die rauchenden Ruinen der an der Housing Bubble verstorbenen Firmen billig aufkaufen soll.Auch auf die Gefahr hin, daß ihr das alles nicht mehr hören könnt: hier noch ein paar schöne Hiobsbotschaften:
The New York Stock Exchange never opened trading in shares of American Home Mortgage yesterday after the company said late Friday that it would suspend its dividend and was facing "significant margin calls" from its banks.Already down 70 percent for the year, shares in A.H.M. fell 39 percent in premarket trading, to $6.39.
Later in the evening, the Mortgage Guaranty Insurance Corporation, or M.G.I.C., said it would write down its $516 million investment in Credit-Based Asset Servicing and Securitization, or C-Bass, possibly to zero. The Radian Group, which has a $518 million stake in C-Bass, also said it might have to write off its investment completely. The rest of C-Bass is owned by its management.
Shares of M.G.I.C. fell about 12 percent in after-hours trading, to $40, and Radian shares fell 8 percent, to $37.
Und die haben da auch was über IKB:Earlier yesterday, IKB Deutsche Industriebank, a bank based in Düsseldorf, Germany, that provides loans to midsize companies, said that investments in American mortgage securities that it had pronounced healthy just 10 days ago had fallen sharply and would be taken over by a German state bank, KfW, which owns 37 percent of IKB. The bank's chief executive, Stefan Ortseifen, said he would retire.
Also ich frage mich ja schon immer, wer sich eigentlich solche Blasen-Geschäftsmodelle ausdenkt, aber wenn ich das hier sehe, das kann man ja auch nur noch durch den Honecker-Effekt erklären. Unten sitzen wahrscheinlich die Analysten und murmeln immer nur Stoßgebete vor sich hin, und dann filtert das durch die Powerpoint-Bullshit-Klärwerk-Etagen und kommt oben als "alles prächtig!1!!" an. Und ja, die wissen alle, daß sie kurz vor dem Sterben sind. Guckt nur, was die da für verzweifelte Aktionen machen:At A.H.M., lenders appear to have issued margin calls on debt that the company used to buy mortgage-backed securities that include its loans and those made by other lenders. At the end of March, the company had borrowed $6.7 billion to finance such investments and had $19.3 billion in liabilities.
Oh, und dann ist da noch ein Hedge Funds geplatzt, Sowood Capital. Die haben mit drei Milliarden angefangen, und haben dann gerade einen Brief an die Investoren geschickt, daß sie die Hälfte ihres Kapitals verloren haben, und jetzt ihre Beteiligung an einem anderen Funds losschlagen und die Rest-Gelder dann an die Investoren zurück geben werden.
Peter Ganten vom Linux-Verband sieht in der Entwicklung einen herben Rückschlag für die Verbreitung freier Software. Vor allem kritisiert er aber die Vergabepraxis. "Andere Hersteller hatten keine Möglichkeit, sich für das Groupwaresystem des Bundestages zu bewerben. Es gab keine Ausschreibung, wie sie für jede Verwaltung Pflicht ist", haderte er gegenüber süddeutsche.de.
Und was für großartige Innovationen hat MS Resarch zu bieten? Information Week hat das in einem Interview mit denen herausgefunden.
Developed in Microsoft's Silicon Valley research lab, XFI offers users a safe way to run an application downloaded from the Web, such as a codec needed to run a video clip or a device driver to connect a piece of hardware. XFI is an extension of control-flow integrity and software-fault isolation, and identifies a potentially malicious application when it tries to access memory outside the range it would normally need.
Uh, will sehen.Neben einer hauseigenen Scan-Engine sollen sie unter anderem auch die Spürhunde von Computer Associates, Sophos, Norman und Kaspersky auf die eingehende E-Mail ansetzen können.Ein Bug in nur einer von denen wird also reichen, um dieses Produkt aufzumachen. Wir leben in interessanten Zeiten, Freunde. :-)
In addition to Gilead, Mr. Rumsfeld presently serves as an advisor to several companies and as a member of the board of directors of ABB AB; Gulfstream Aerospace Corp. (die wurden 1999 von den Bombenbauern General Dynamics gekauft); Kellogg (die "Cerialien"-Sprachterroristen); Metricom, Inc.; Sears, Roebuck and Co. and Tribune Company. Mr. Rumsfeld's current civic activities include service on the board of trustees of the Eisenhower Exchange Fellowship, Freedom House and the RAND Corporation.