Fragen? Antworten! Siehe auch: Alternativlos
Aber nur wenn man Cookies und Speicherung der IP-Adresse zustimmt, "um Inhalte und Anzeigen zu personalisieren und die Zugriffe auf unsere Website zu analysieren".
Freut mich sehr, dass Deutschland endlich mal in einer Kategorie nicht die Schlechtesten sind. (Danke, Björn)
Bei dem festgenommenen Tatverdächtigen soll es sich um einen 50-jährigen Mann namens Taleb A. handeln, der aus Saudi-Arabien stammt und 2006 nach Deutschland kam.Da werden bei der AfD die Sektkorken knallen!
Oh warte, geht noch weiter.
Der Festgenommene ist als islamkritischer Aktivist bekannt, der sich selbst als Ex-Muslim bezeichnet.Hmm, der Teil ist aber weniger schön für die AfD.
In sozialen Medien, auf islamfeindlichen Websiten und in Interviews erhob er zuletzt Vorwürfe gegen deutsche Behörden.Oje, das klingt ja schon fast wie ein AfD-Sympathisant!?
Er hielt ihnen unter anderem vor, nicht genügend gegen Islamismus zu unternehmen und befürchtete eine Islamisierung Deutschlands.Scheiße, das klingt ja wirklich wie ein AfD-Sympathisant!
Auf dem Onlinedienst X bekundete er seine Sympathie zur AfD und träumte von einem gemeinsamen Projekt mit der in weiten Teilen rechtsextremen Partei: einer Akademie für Ex-Muslime.Dann sollte die Schlagzeile wohl lauten: AfD-Mann führt Terroranschlag gegen Weihnachtsmarkt durch.
Wieso du als Warnung vor Islamisierung ausgerechnet einen Weihnachtsmarkt zum Ziel deines Amoklaufs machen würdest, erschließt sich mir gerade nicht so wirklich, aber die AfD-Leute waren ja noch nie die Hellsten.
Und nicht nur in Deutschland ging das plötzlich super flott alles. Österreich hat schon debattiert, bevor Assad geflohen war, und setzt jetzt ganz schnell syrische Asylverfahren aus.
Auch in der Schweiz ging es ganz schnell mit Remigrations-Forderung von Rechtsaußen-Politikern. Das Asylverfahren für Syrer muss die Schweiz nicht aussetzen, denn es stellt sich raus: Bürgerkrieg ist nach Schweizer Recht kein Asylgrund. Das Asylverfahren war also nie eingesetzt.
Update: Bei uns ist Bürgerkrieg auch kein Asylgrund, bloß ein Grund für subsidiären Schutz (befristete Aufenthaltserlaubnis)
Bei Verschwörungstheorien beobachte ich immer begeistert, wie jahrelanges Wegleugnen eines Tages spontan umspringt, entweder zu "haben wir doch schon immer gewusst" (hat sich aber nie im Handeln niedergeschlagen und wurde die ganze Zeit nach Kräften geleugnet!), oder, noch schlimmer, zu "haben wir doch schon immer gesagt" (eine glatte Lüge).
Umso erfreulicher für mich in letzter Zeit, wie sich bei Kernthemen von mir langsam herauskristallisiert, dass wir uns diesem Kipppunkt nähern.
Heise-Kommentar: Sophos und der gebrochene Schwur. Was ist der gebrochene Schwur? Dass Sophos Malware an ihre Kunden verteilt hat, um angebliche chinesische Hacker auszuspionieren, die ihre kaputte Sophos-Software genutzt haben, um Sophos-Kunden anzugreifen. Hier mein Kommentar zu der Sophos-Nummer, als die ganz frisch war. Jürgen Schmidt, Chef von Heise Security, dazu:
Sie haben selbst Spionage-Software entwickelt und die gezielt auf Systemen von Kunden platziert, um diese auszuforschen. Das war eigentlich ein ungeschriebenes Gesetz der Branche: Wir entwickeln keine Malware und insbesondere setzen wir sie nicht ein, um unsere Kunden auszuspionieren.Ich würde noch einen Schritt weiter gehen und sagen: Das war schon immer Malware. Gut, ich habe da Einblicke, die vielleicht nicht jeder hat. Ich weiß, wie so "Antiviren" funktionieren, und was für Methoden die verwenden, um Kernel-Calls zu hooken und ihren Code in Prozesse zu injecten. Das ist genau das, was eine Verhaltens-Anomalie-Erkennung sofort als Malware flaggen würde. Daher haben die Antiviren Whitelists drin, um sich nicht gegenseitig zu flaggen, und warnen explizit davor, nur eine "Endpoint Security" zur Zeit zu installieren, und deshalb schaltet Norton erstmal den MS Defender aus. Der würde nämlich alle Alarmglocken zünden, wenn Norton tut, was Norton halt so tut. Norton hier als Stellvertreter für alle Antiviren.
Wenn man das weiß, dann wird spontan klar: Das war schon immer Malware, die sich Rechte rausnimmt, die man im System niemandem zugestehen sollte, schon gar nicht Vertriebsgetriebenen Firmen wie Antivirenherstellern.
Dieses ungeschriebene Gesetz, das Jürgen hier zitiert, das gab es noch nie. Das war schon immer ein Trust Me I Know What I'm Doing, und genau wie bei Wurstproduktion will der Konsument da gar nicht so genau hingucken, weil er weiß: Wenn er wüsste, was da passiert, könnte er das Produkt nicht mehr konsumieren.
Ich für meinen Teil finde auch nicht glaubwürdig, dass Sophos diesen Übersprung dazu, mit krimineller Energie Malware an ihre Kunden auszuliefern und deren Systeme absichtlich weiter zu gefährden, nur in diesem einen Fall gegen die fiesen Chinesen einsetzt. Kriminelle Energie mateiralisiert sich nicht über Nacht. So viel kriminelle Energie muss man über Jahre hegen und pflegen. Nur eine durch und durch unvertrauenswürdige Firma würde auch nur erwägen, solche Methoden einzusetzen.
Überlegt euch auch mal, wie verbogen deren moralischer Kompass sein muss, damit sie das auch noch für eine gute Idee, das öffentlich zuzugeben und sich damit als Helden zu feiern zu versuchen.
Sophos steht hier als Stellvertreter für alle Antiviren. Glaubt mal gar nicht, dass irgendeiner von denen vertrauenswürdig ist.
Hier ist noch ein Kipppunkt-Indikator. Ein anderer Heise-Kommentator pflichtet mir bei, dass es ungefährlicher ist, für Entdecker von Sicherheitslücken, die im Darknet zu verkloppen als sie dem Verursacher zu melden. Ich persönlich habe seit mindestens 20 Jahren keine Sicherheitslücken mehr initiativ-gemeldet oder auch nur gesucht. Ich suche Sicherheitslücken, wenn mich der Hersteller dafür bezahlt. Wenn ich über eine stolpere, melde ich die nur wenn es sich um freie Software handelt. An Bug Bounty-Programmen nehme ich nicht teil.
Die Lobbyisten der Industrie haben die Rahmenbedingungen so gesetzt, dass ich auch allen anderen nur raten kann, es mir gleich zu tun. Anderes aktuelles Beispiel in dem Kontext waren die polnischen Eisenbahnhacker auf dem letzten CCC-Kongress.
Die mussten sich inzwischen vor Gericht einer Klage dieser Firma stellen. Ich bewundere deren Heldenmut, aber hätte ich nicht gemacht. Da wäre ich Trump-Wähler und würde den ganzen Apparat herunterbrennen sehen wollen, bevor ich wieder mitzuhelfen bereit wäre. Dankt CDU und FDP.
Auch da scheint sich inzwischen die Erkenntnis breit zu machen, dass ich die ganze Zeit Recht hatte, und es gibt jetzt den Versuch eines Reförmchens. Ich glaube es, wenn ich es sehe.
Wenn man bedenkt, wie viel billiger und besser wir das alles hätten haben können, wenn die Leute gleich auf mich hören würden. Aber Plan B greift auch: Aus Schmerzen lernen. In diesem Sinne: Geht ihr mal alle in die Cloud und macht Blockchain, IoT und "KI". Wir sehen uns in 10 Jahren wieder und weinen gemeinsam dem verbrannten Geld hinterher.
French outlet La Lettre A had reported that Netflix's French operation was structured until 2021 so that all subscribers signed up with a Dutch subsidiary -- thereby "minimising its tax bill".That left it paying less than one million euros ($1.1 million at today's rates) in taxes to Paris across 2019 and 2020, when it had around seven million French subscribers.
Na kein Wunder, dass die Franzosen mit der Gesamtsituation unzufrieden sind.
Einziges Problem: Es gab keine Parade. Die hat sich eine "KI" aus dem Arsch gezogen.
The parade was announced by My Spirit Halloween and attracted thousands of Dublin locals to gather along a route from Parnell Square to Temple Bar for an event supposedly organised by Galway arts ensemble Macnas. It was only after the Halloween fans arrived that it became clear that the website had made the entire parade up.
Schon tolle Technologie, dieses "KI". Da willst du doch deine berufliche Zukunft drauf wetten!1!!
For months, the agency “improperly” hosted a publicly available spreadsheet on its website that included a hidden tab with partial passwords for its voting machines.
Update: Leserkommentar dazu:
vielleicht sollte für Diejenigen Deiner Leser, die nicht so vertraut mit corporate IT desktop support sind, zusätzlich erwähnt werden, dass der Rest der Passwörter dann üblicherweise von irgendeinem mit dem Gerät verbundenen Kennzeichen (asset tag, MAC, serial number) abgeleitet wird. Hier beu uns ist's das asset tag.
Die 'Teile der Passwörter' sind aller Wahrscheinlichkeit nach der 'random'-Anteil. Der Rest ist social engineering. Die Wahlmaschinen in Colorado dürften damit als vollständig kompromittiert gelten.
Die spannende Frage ist eigentlich - wer hat das 'improperly' auf der Website geleakt, und zu welchem Zweck?
Da würde ich die alte Faustregel anwenden, dass man nie mit Bösartigkeit erklären sollte, was auch mit Unfähigkeit erklärbar ist. Derjenige, der das hochgeladen hat, wusste vielleicht gar nicht, dass es da ein Hidden Tab mit den Passwörtern gibt. Und der, der dem das Spreadsheet gegeben hat, wusste nicht, dass das im Internet landet, und dachte sich, das ist ungefährlich, weil der Depp das eh nie bemerkt.
Neulich kam ein Video an mir vorbei, das die These äußerte, dass das Absicht sei. Der Typ googelte dafür irgendein Produkt nach Beschreibung, nicht nach Namen.
Die Werbung passte genau, aber die organischen Suchergebnisse passten gar nicht. Seine Schlussfolgerung: Die haben genau verstanden, was ich gesucht habe, und haben mir absichtlich Mist gezeigt, weil sie nur Geld verdienen, wenn du auf Werbung klickst.
Google hat also einen wirtschaftlichen Anreiz, dass die Werbung genau das ist, was du haben wolltest, aber die Suchergebnisse nicht. Und genau so ist es auch.
Amazon ist ja sogar schon einen Schritt weiter. Die finden auch nur Müll, wenn du nach einem konkreten Produkt suchst.
Da denke ich jetzt seit ein paar Tagen drüber nach. Wenn Google immer beschissener wird, müsste das doch die Gelegenheit für Bing und Duckduckgo sein, an Google vorbeizuziehen. Tun sie aber nicht.
Alles ist vergiftet.
Update: Schuld an der Enshittification von Google war ein McKinsey-Schlipshalter, der diese Tage abgesetzt wurde. Könnte sein, dass es jetzt besser wird. Aber ist nicht sehr wahrscheinlich.
Update: Sein Nachfolger heißt Nick Fox und ist auch ein McKinsey-Dude.
Einmal mit Profis arbeiten!
Alles, was der ARD Faktenfinder tut, ist beschissene Arbeit der Regierung schönzureden und offensichtliches Totalversagen zu relativieren zu versuchen.
Aktuell: Der Faktenfinder versucht, Trusted Flagger schönzureden.
Trusted Flagger sind ein Konzept aus dem Digital Services Act der EU. An der Stelle sei mal wieder der Hinweis erlaubt, dass Trusted nicht mit Trustworthy zu verwechseln ist. Trustworthy ist eine Instanz, die durch bisherige Arbeit überzeugt hat, und soviel gutes Karma aufgebaut hat, dass man annehmen kann, dass sie auch in Zukunft ordentlich handeln werden.
Also ... das Gegenteil von diesem Blog, das absichtlich bemüht ist, nicht als trustworthy zu gelten, damit die Leute lernen, die verlinkten Quellen zu rezipieren.
Trusted heißt das glatte Gegenteil von Trustworthy. Trusted heißt: Wir müssen dem Vertrauen, weil es keine Checks und Balances gibt, und wenn die freidrehen, können sie uns alles kaputtmachen. Wenn irgendeine Webseite sich als Trusted News Source oder so bezeichnet, dann ist das eine der größten roten Warnlampen, die es überhaupt gibt an der Stelle.
So, Trusted Flagger. Das ist jemand oder eine Organisation, die von der jeweiligen Landesregierung auserkoren wurde, privilegiert illegale Inhalte an Plattformbetreiber zu melden. Gemeint ist Kindesmissbrauchsfotos und ähnliches. In der Praxis ist es aber auch und viel eher (denn echt illegale Inhalte schmeißen die Plattformen ja von sich aus raus und die wird auch jemand anderes gemeldet haben): "Hassrede" und "Desinformation".
Hassrede, wir erinnern uns, ist überhaupt nicht definiert und völlig subjektiv. Ich zum Beispiel finde was die Künast hier tat Hassrede.
Desinformation bedeutet nicht, Achtung Verwechslungsgefahr, wenn die Bundesregierung uns sagt, Masken tragen sei keine gute Idee, weil wenn die Leute jetzt alle Masken kaufen, dann ist der Markt leer und die Krankenhäuser haben keine mehr. Nein, nein. Auch die ganzen Bullshit-Begründungen für Blockchainprojekte sind nicht gemeint. Oder wenn Pofalla damals Skandale einfach für beendet erklärt hat. Oder wenn sie "Steuervereinfachungen" versprechen.
Desinformation bedeutet auch nicht, wenn die CDU ihre eigene "Wirtschaftskompetenz" bewirbt, oder wenn die SPD behauptet, sie stünden für "soziale Gerechtigkeit". Nein.
Desinformation ist auch nicht, wenn der Faktenfinder den Eindruck zu erwecken versucht, es ginge hier um Konsumentensicherheit bei gefährlichen gefälschten Produkten:
Das betrifft beispielsweise Darstellungen sexuellen Missbrauchs an Kindern oder gefälschte Produkte.Was diese Trusted Flagger überhaupt qualifiziert? Da muss man sich schon ganz schön aus dem Fenster lehnen, um da ohne entgleiste Gesichtszüge eine "Erklärung" zusammenzuhalluzinieren:
"Die Idee dahinter ist, dass die möglichen illegalen Inhalte, die von Trusted Flaggern an die Online-Plattformen gemeldet werden, schon fachkundig geprüft worden sind", sagt Anna Bernzen, Professorin für Recht der Digitalisierung an der Universität Regensburg. Denn da sich die Trusted Flagger regelmäßig mit rechtswidrigen Inhalten beschäftigten, steige die Wahrscheinlichkeit, dass deren Trefferquote bei der Meldung solcher Inhalte höher ist als bei den normalen Nutzerinnen und Nutzern.Oh ach so. Ach so einfach funktioniert das? Hat die Baerbock sich jetzt lange genug mit Völkerrecht beschäftigt, dass man einfach annehmen kann, sei sei schon kompetent? Oder wie oder was? Und was heißt hier Trefferquote?!? Wieso würde man überhaupt jemanden zum Trusted Flagger machen, der weniger als 100% Trefferquote hat?!?
Tja und so bleibt als Schönreden-Rückzugspunkt für die Propagandaexperten vom Faktenfinder lediglich, dass für die Plattformen ja keine Löschpflicht im eigentlichen Sinne bestehe. Die müssen das bloß unverzüglich prüfen. Sie können nach der Prüfung auch sagen: Ist nicht illegal, bleibt da.
Das endet dann wahrscheinlich ähnlich wie bei den ganzen Verkehrsbetrieben, die auch nicht gezwungen sind, 60€ erhöhtes Beförderungsentgeld zu erheben, und 7€ Bearbeitsgebühr. Aber sie tun es trotzdem alle.
Schöne neue Welt.
Diesmal sind sie zu weit gegangen, finde ich. Heise dazu:
Die Autoren führen aus, dass Microsofts Active Directory die weit verbreitetste Lösung zur Authentifizierung und Autorisierung in der Enterprise-IT ist, und das global.Die finden ja alles raus. Alles finden die raus! Diesmal sogar NSA und nicht CIA.
Soll noch mal jemand sagen, Geheimdienste sind völlig wertlos und machen nur alles kaputt!
Zurückgegangen ist das auf NIST, die US-amerikanische IT-Sicherheitsbehörde. Die haben natürlich die Empfehlung zurückgezogen, als die Fakten auf dem Tisch lagen. Aber wenn so ein Scheiß einmal in alle möglichen Prozesse reingewandert ist, kriegst du das auch nicht mehr weg.
Daher hat das NIST jetzt die Brechstange rausgeholt und periodische Passwortrotation zu einem SHALL NOT gemacht (3.1.1.2 Punkt 6).
Mit anderen Worten: Das ist jetzt ein gültiges Security Finding in Audits. Das zu tun, was das NIST vor ein paar Jahren vorgeschrieben hat.
Ist auf der einen Seite witzig, aber ich finde das auch einen Hoffnungsschimmer. Nicht viele Menschen oder gar Organisationen sind in der Lage, Fehler nicht nur anzuerkennen, sondern Konsequenzen daraus zu ziehen. Schon gar nicht, wenn die Konsequenzen vielleicht peinlich sind.
In diesem Sinne: Gute Arbeit, NIST!
Oh und wenn ihr in einem Laden arbeitet, der Passwörter rotiert, dann holt euch mal gleich die Bug Bounty ab und meldet das als Sicherheitslücke.
Update: Ein Leser merkt an, dass das BSI das auch schon als Sicherheitslücke klassifiziert (unter ORP.4.A23).
IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern.
Update: Ein Kollege hat das mal recherchiert und sagt, das geht nicht auf NIST sondern die Rainbow Books vom Pentagon zurück.
Update: Ein anderer Kollege meint gerade, dass das schon länger beim NIST so steht, mindestens seit April. Wenn das so ist, hab ich da von nichts mitgekriegt und freu mich dann halt jetzt mit Verspätung :-)
Das IT-Sicherheitskennzeichen des BSI wird von 60,7 Prozent der Befragten als vertrauenswürdig eingestuft und 72 Prozent würden ein Gerät mit diesem Siegel eher kaufen als ein gleichwertiges Gerät ohne Siegel.So und jetzt finden wir doch mal kurz raus, was man tun muss, damit das BSI einen diesen Sticker aufkleben lässt. Hier sind die Details:
Hersteller und Dienstanbieter können ihre IT-Produkte mit dem IT-Sicherheitskennzeichen des BSI auszeichnen. Sie sichern damit zu, dass ihre Produkte bestimmte Sicherheitseigenschaften besitzen.NICHTS. Man zeichnet sich selbst die eigenen Produkte aus. Prüft das BSI überhaupt irgendwas? Die Antwort könnte die Bevölkerung verunsichern!
Nachdem Sie als Hersteller Ihren Antrag auf Erteilung des IT-Sicherheitskennzeichens gestellt haben, prüft das BSI den Antrag und die Herstellererklärung auf Vollständigkeit und Plausibilität.Auf Vollständigkeit und Plausibilität!!!
Dieses Kennzeichen ist für die IT-Sicherheits eines Produktes ungefähr so viel Wert wie ein Versprechen der SPD. Gar nichts.
Update: Falls das jemand nicht wusste: So funktioniert grob auch das CE-"Siegel". Früher gab es mal ein GS-Siegel, das stand für "geprüfte Sicherheit". Jetzt gibt es CE, das steht für eine Selbstversicherung, sich an geltendes EU-Recht gehalten zu haben bei der Herstellung. Es gibt Ausnahmen für als gefährlich eingestufte Produkte (Herzschrittmacher), da braucht es einen externen Prüfer. Das ist aber die Ausnahme.
Wichtig: NICHT NACHSCHLAGEN, direkt nach Wissensstand beantworten.
Frage: Was versteht ihr unter einem Software Development Lifecycle? Welche Schritte gehören eurer Meinung nach dazu? Welche haben einen konkreten Nutzen und welcher Nutzen ist das?
Hintergrund ist, dass das BSI kürzlich eine Technische Richtlinie herausgegeben hat, wo sie einen "sicheren Software-Lebenszyklus" definieren. Vor dem Beantworten meiner Umfrage bitte nicht da reingucken. Es geht gerade darum herauszufinden, wie realitätsnah das ist.
Wenn ihr Bock habt, könnt ihr nach der Beantwortung der Umfrage gerne das BSI-Dokument durchgehen. Ich warne schonmal vorher: Das BSI hat noch keine Checkliste gesehen, die ihnen nicht gefallen hätte.
Update: Hmm, vielleicht nochmal klarer sagen, was ich haben wollte. Ich dachte mir das so, dass ihr mir schreibt, was für ein Modell ihr "auf Arbeit" bzw. "in Produktion" fahrt, und dann welche Schritte davon eurer Meinung nach funktionieren und welche nicht.
Subject: FDP todeslostIst jetzt nicht meine Art von Lingo, eher Rezo, aber tatsächlich: Die FDP tut mal wieder FDP-Dinge. Die Vorschläge sind ähnlich fundiert und von Sachkenntnis und Nachdenken geprägt wie die typischen anderen FDP-Vorschläge zum "Bürokratieabbau".
Die FDP will mehr Autos in den Innenstädten und fordert weniger Platz für Fußgänger und Radfahrer.OK, typisches FDP-Trollen halt. Aber was fordern die denn so konkret?
Nach Medienberichten steht darin unter anderem, dass Städte und Gemeinden mehr Autos in die Innenstädte locken sollen, indem sie das Parken kostenlos machen.Klar, wenn wir es kostenlos machen, verdoppelt das mal eben die verfügbare Parkfläche! Dann schaffen wir endlich Platz für neue Geschäftsmodelle wie "Auto mit Werbung pflastern und in der Innenstadt in den Weg stellen". ENDLICH!!1!Als Alternative dazu stellt sich die FDP ein deutschlandweites Flatrate-Parken vor - nach dem Vorbild des 49-Euro-Tickets für die Bahn.
Aber das ist noch nicht alles!
Außerdem: weniger Fahrradstraßen und Fußgängerzonen, mehr grüne Ampelwellen.Da seht ihr mal, wie das aussieht, wenn man sich das Hirn weggekokst hat. Weniger Fahrradstraßen heißt weniger Leute fahren Fahrrad und mehr fahren Auto, und das heißt: NOCH mehr Stau. Großartige Idee, FDP!
Und grüne Wellen ... was genau ist deren mentales Modell? Dass die Städte alle ihre Ampelphasen absichtlich so legen, dass keine grüne Wellen stattfinden? Hat da niemand mal ne Sekunde drüber nachgedacht, wie man eine grüne Welle in der Praxis umsetzen würde?
Ich meine, das ist doch die Autofahrerpartei. Haben die nicht kapiert, dass beide Fahrrichtungen gleichzeitig grün sind? Und das das eine Priorisierung wichtiger Verkehrsadern ist, zu Lasten von kreuzenden Straßen? Du kannst nicht einfach überall grüne Welle machen!
Oder ... warte mal. Wird das hier so eine Hoteliers-Wiederholung? Entbürokratisierung Marke FDP? Einfach alle Ampeln auf grün schalten? Das gibt dann ein paar Tage lang Massenkarambolage, klar, aber seht doch mal die positive Seite! Was wir da für ein Metall recyclen könnten aus den ganzen Autowracks! Kupfer aus Kabeln, Lithium aus Akkus!!1! Und die ganzen Verkehrstoten entlasten die Gesundheits- und Rentensysteme!1!!
Gut, die FDP hat dann keine Wähler mehr, aber für das Opfer sind sie bereit. Sehr selbstlos, liebe FDP!
Update: Wo wir gerade bei todesloster FDP waren: Die FDP findet das Bürgergeld zu hoch. 20 Euro Senkung finden sie angemessen. Das Geld kann man dan ja an den Lindner auszahlen, dessen erstes Startup pleite gegangen ist und seit dem lässt er sich vom Staat alimentieren. Das muss man verstehen, wenn der Angst hat, dass der FDP-Fraktion das Koks-Geld ausgeht, wenn das als Bürgergeld ausgezahlt wird.
IT-Pannen wie kürzlich bei dem amerikanischen IT-Sicherheitsspezialisten Crowdstrike oder auch Cyberattacken auf kritische Infrastruktur werden nach Ansicht von Bundesdigitalminister Volker Wissing in Zukunft häufiger passieren.Ja noch shit! Weil die Leute alle unsicheren Schrott ausrollen, ihre Supply Chain in die Cloud schieben, und alle überflüssige Daten über ihre Kunden sammeln und in die Cloud laden, und niemand auch nur versucht, eine sichere Infrastruktur aufzubauen.
Wenn die Leute von Absichern von ihrer Software reden, meinen sie damit, dass sie TLS anschalten und in irgendwelchen stinkenden Webfrontends Permissions setzen.
Das wäre schon nett gewesen, wenn der zuständige Minister da versehentlich ein Korn gefunden hätte. Wie geht es denn weiter?
"Es wird zunehmen, weil der Grad der Digitalisierung steigt", sagte der FDP-Politiker der Deutschen Presse-Agentur in Mainz. "Und es wird zunehmen, weil künstliche Intelligenz die Digitalisierung rapide beschleunigt." Künstliche Intelligenz werde auch von krimineller Seite genutzt, um beispielsweise Cyberangriffe auszuüben.Tja. Gut, was erwarte ich auch Sachkenntnis von FDP-Personal.
Umgerechnet fünf Fusionskraftwerke. Aber hey, "KI" braucht ja keinen Strom, gell?
Update: Falls ihr euch übrigens gefragt habt, wo eigentlich das Geld für diese Geldverbrennungsaktion herkommen soll: Das wird bei Internet-Infrastruktur-Programmen wie NGI eingespart, die damit OpenSSL-Audits und so gemacht hatten. Das war eines der ganz wenigen EU-Förderprogramme, das tatsächlich Ergebnisse vorzuweisen hat. Liegt möglicherweise daran, dass das von den Niederländern vorangetrieben wurde, nicht von Deutschland. Bei uns wäre die Kohle bei Fraunhofer versickert, ohne Ergebnisse oberhalb der Nachweisgrenze zu zeitigen.
Update: Man könnte fast vermuten, dass Flinten-Uschi NGI absichtlich weghaben will, weil der Kontrast zu ihren eigenen "Projekten" die Korruption der CDU so deutlich zeigt. Den Präzedenzfall konnte die CDU nicht dulden, dass jemand Fördermittel nimmt und nicht bloß unter seinen Wahlspendern verteilt.
Wenn also der Microcode die Performance senkt, wovon ich mal ausgehen würde, dann haben die Zen 5 Vergleichsbenchmarks alle noch die besseren Zahlen von dem aktuellen Microcode drin.
Ich würde mich übrigens auch wundern, wenn Intel das nicht absichtlich gemacht hat, dass die CPUs zu eine so hohe Spannung ziehen. Das ist leider bei Intel und AMD schon lange üblich. Die Technologie wäre so weit, aber dann wären halt soundsoviel Prozent der produzierten CPUs direkt Ausschuss, weil die durch Produktionsmängel nicht so effizient sind.
Weil die Chiphersteller alle noch keinen Dollar gesehen aben, den sie nicht als Profit einsacken wollten, haben wir jetzt alle völlig sinnlos heizende CPUs in unseren Kisten drin.
Mein aktueller Arbeitslaptop ist ein Asus Zephyrus G14 von 2022, den ich mir vor allem deshalb gekauft habe, weil es hieß, AMD habe jetzt raus, wie man sparsame und kühl bleibende CPUs baut, und bei Asus gäbe es ja auch immer Undervolting-Tools. Tatsächlich ist in diesem Laptop von Sparsamkeit nichts zu sehen. Unter 20W habe ich das Gerät noch nicht gekriegt im Idle, und das Kühlsystem ist so unterdimensioniert, dass ich zum Zocken CPU Turbo Boost deaktiviert habe, weil das Teil sonst nach ner Weile überhitzt und Not-Aus macht. Für die Zephyrus-Geräte gibt es in der Tat Undervolting-Tools, aber (als einziges in der Baureihe?) nicht für mein Gerät.
Es ist echt zum Mäusemelken.
Ein ganz anderes Bild liefert mein Reiselaptop, auch AMD, ein Framework 14". Der ist ohne großes Zutun im Idle unter 5W. So hatte ich mir das vorgestellt.
Leider hat Windows offenbar irgendwann von der Anforderungsliste genommen, dass Laptops Suspend können sollen. Es reicht, wenn sie dieses neue Pseudo-Suspend haben, wo das Gerät dann schneller aufwacht, aber nie wirklich suspendiert war. Ich persönlich scheiße ja auf Windows und kann jetzt unter Linux nicht mehr suspend machen und der Akku hält dann über 24h wie bei meinem Reiselaptop davor.
Framework hat inzwischen eine neue BIOS-Version herausgegeben, aber wenn ich die einspiele, kommt das Gerät nicht wieder hoch. Immerhin erkennt es das und bootet nach dem Hart-Not-Aus dann wieder das alte BIOS.
Das muss alles unglaublich schwierig sein, den Leuten das zu verkaufen, was sie gerne haben wollen.
Aber es zeigt mal wieder, dass man Kultur nicht in die Hände von kommerziellen Interessen geben darf. Das endet immer schlechtestmöglich für alle.
Können sie nicht, weil es nicht funktioniert. Und die sind ja nicht doof. Nur Schlangenölverkäufer, nicht doof.
Stellt sich raus: Doch, die sind so doof. Das wird natürlich genau so wenig funktionieren wie der Rest von deren Produkten. Und ihre Kunden werden so blöde sein, und einmal für die originäre "KI" zu zahlen, und dann nochmal doppelt für die "Korrektur"-"KI".
Achtet mal drauf: sie nennen es absichtlich nicht Korrektur sondern CriticGPT! Aus Korrektur könnte man ja ableiten, dass sie versprechen, dass die Korrekturen a) nur Fehler korrigieren und b) Fehler korrigieren. Beides wird natürlich nicht so sein.
Hey, vielleicht sind die doch nicht doof. Vielleicht haben die einfach nur gewartet, bis der Markt hinreichend verblödet ist, dass er für so ein "Produkt" reif ist.
Na dann… herzlichen Glückwunsch, lieber Markt. Gut gemacht.
Aber was rege ich mich auf. Ihr setzt ja auch Exchange ein, und Antiviren. Ihr mögt auch BSI-Checklisten. Ihr habt euch auch schon bei Blockchain und IoT verarschen lassen, und aktuell schwappt gerade eine riesigen Quanten-Verarsche-Welle über das Land.
Na macht ihr mal ruhig alle. Ist ja nicht mein Geld, das ihr da verbrennt.
Oh warte. Doch. IST mein Geld, das ihr da verbrennt. Fucking Hell!
Ich ehrlich gesagt auch. Und ich sage das als jemand, der häufig und gerne zockt.
Der Bundesrechnungshof findet, für sowas seien die Länder zuständig, nicht der Bund, und im Übrigen sollten die Spielefirmen das zurückzahlen, zumindest wenn sie erfolgreich arbeiten.
Ob nun der Bund oder die Länder zuständig sind, finde ich persönlich nebensächlich. Die Zurückzahlung nur im Erfolgsfall lädt meiner Ansicht nach zum Betrug ein. Große Firmen haben ja jetzt auch schon keine Probleme damit, ihre Profite für die Steuer kleinzurechnen.
Aber was mich noch viel mehr ärgert ist die Argumentation der Branche. Deren Argumentation wirkt auf mich geradezu grotesk.
Der Prüfbericht lasse entscheidende Faktoren außer Acht und verkenne das Ziel der Games-Förderung.Das Ziel der Games-Förderung? Ja, äh, was IST denn das Ziel der Gamesförderung?! Eine Branche aus Mitnehmern und Subventionsabzockern heranzüchten, die Steuergelder für am Markt nicht erfolgreiche Produkte verbrennen, ohne staatliche Handouts nicht arbeitsfähig wären, und dann auch noch praktisch vollständig am Markt scheitern?
"Aufgrund des einseitigen Fokus auf befürchtete Gefahren durch Games in den 1990er und frühen 2000er Jahren hat Deutschland die Potenziale von Games nahezu vollständig verschlafen", schreibt game-Geschäftsführer Felix Falk.Wegen Geschwafel von irgendwelchen ewiggestrigen Geronto-Politikern der CDU hat Deutschland Spiele verschlafen? Alter, da haben ja eure schrottigen Games einen besseren Plot! Deutsche Firmen hätten einfach Spiele entwickeln können, die am Markt erfolgreich sind. Haben sie aber nicht. Ich vermute: Ist nicht so einfach, wenn man die Kosten selber tragen muss.
Ich persönlich finde es nicht wichtig, dass Spiele aus Deutschland kommen. Im Gegenteil. Wichtiger fände ich, dass Spiele nur für den PC gemacht werden, und zwar am besten nicht für Windows sondern für Linux. In allen anderen Fällen verdient nämlich vor allem einer: Der Plattformbetreiber. Xbox, Nintendo, Apple, Playstation, KEINER von denen hat auch nur einen müden Cent aus unserem Steuersäckel verdient. Das finde ich eine bodenlose Frechheit, dass unser Staat Firmen Geld in den Arsch bläst, die dann damit ausbeuterische Tech-Bro-"Ökosysteme" finanzieren.
Linux-Spiele spielen am Markt so gut wie keine Rolle. Also braucht es auch keine Förderung, finde ich.
Die Anzahl der Arbeitsplätze in der Spielebranche sind im Vergleich nicht mal ein Rundungsfehler. Die Arbeitsbedingungen sind legendär schlecht und weltweit segeln Studios der Reihe nach immer knapp vor der Insolvenz herum und werden dann von Makrophagen wie EA aufgekauft und eingestampft.
Kohle machen vor allem zwei Arten von Spielen: Spiele, die aktiv Suchtspiralen bei Minderjährigen auslösen und bedienen, und riesige Fußball-Franchise-Kackscheiße.
Ich halte es für unverantwortlich, solche Geschäftsmodelle überhaupt überleben zu lassen, geschweige denn auch noch staatliche Gelder draufzuwerfen.
Wir reden hier übrigens von 100 Mio Euro. Wisst ihr, wie viele Schulen man damit schimmelfrei kriegen könnte? Bei wievielen Schulen man das Dach reparieren könnte, damit es nicht mehr reinregnet? Aber hey, das reinregnen und das fehlende Klopapier stören die Kids nicht so, wenn wir ihnen süchtig machende Abzockspiele geben!1!!
In was für einer Dystopie leben wir hier eigentlich!?
Größter Subventionsabgreifer Stand Mitte letzten Jahres war übrigens die Embracer Group. Die danach pleite gegangen ist und diverse Studios mit in den Untergang gerissen haben, die sie vorher mit Börsenzockergeld gekauft haben, das sie dann nicht zurückzahlen konnten. SOLCHE LEUTE greifen dieses Geld ab. Platz zwei auf der Liste ist Kalypso, die seit Jahren nur noch Sequels für etablierte Franchises "entwickeln". Ja geil ey.
Platz 3 ist Egosoft, deren Spiele ich immer gerne gespielt habe, aber die sich auf dem Weg irgendwo offensichtlich massiv verhoben haben. Für mich als deren Kunde wirkt es, als seien die überhaupt nur noch am Markt, weil sie Millionenförderung kassieren und nie zurückzahlen müssen. Die versuchen nicht mal, einen breiten Markt zu bedienen, sondern das ist eine winzige Sparte an Weltraumsimulationen, die so klein ist, dass du dein Spiel im wesentlichen einmal an jeden Insassen verkaufen musst, um die Kohle wieder einzuspielen. Finde ich nicht nachvollziehbar, wieso der Staat da Geld reinschießen sollte, wenn nebenan die Grundschule weder dichte Fenster noch Klopapier hat.
Weiter unten gibt es dann noch Stillfront, von denen ich noch nie auch nur gehört habe, und Ubisoft und Bandai Namco. Wenn jemand KEINE Förderung kriegen sollte, dann solche langetablierten Megakonzerne.
Sorry, aber da bin ich Wirtschaftsliberaler. Wenn du keine Spiele entwickeln kannst, die dann am Markt Bestand haben, dann solltest du keine Spiele entwickeln. Ganz bestimmt nicht soll der Staat dein gescheitertes Geschäftsmodell mit Subventionen am Leben halten.
"Das hat zu Nachteilen im internationalen Wettbewerb gesorgt, die sich bis heute negativ auswirken. Diesen Rückstand können wir nur mit einer international konkurrenzfähigen Games-Förderung aufholen."BULLSHIT. Boah da krieg ich ja Puls ey. Ihr weinerlichen Versager! Parasiten an der Zitze der staatlichen Geldverschenker!
Die Auffassung des Bundesrechnungshofes verkenne die "weltweite Marktrealität".Oh, die weltweiter Marktrealität, ja? Lass mich euch kurz die weltweite Marktrealität zeigen:
Pile of Shame auf Steam hat 19 Milliarden US-Dollar gekostet
Der Pile of Shame sind Spiele, die verzweifelte Leute gekauft haben, und dann nie angespielt haben, weil die Spiele selbst kostenlos (weil bereits gekauft) nicht attraktiv genug waren, sie auch nur einmal kurz anzuspielen. SO VIEL GELD liegt da auf der Straße! Man muss nicht mal ein gutes Spiel machen, um das abzugreifen. Es reicht, wenn du ein mittelmäßiges Spiel machst. Die Leute sind so verzweifelt auf der Suche nach nicht total beschissenen Spielen, die kaufen jeweils Dutzende von Spielen, die sie dann nie spielen!Weltweite Marktrealitäten, mein Arsch!
Update: Mel Brooks hat übrigens mal einen Film zu dem Thema gemacht, dass Produzenten absichtlich einen Flop produzieren, um die Förderkohle einfach selbst einstecken zu können. Heißt The Producers und ist ein Klassiker, besonders Springtime for Hitler. Es gab auch ein Remake, das auch gut geworden ist.
Und zwar will HPE gerade Juniper kaufen (ganz furchtbar, HPE ist für Business-Produkte wie EA für Spielehersteller; das hat noch keiner überlebt, von denen gekauft zu werden). Das ist so seit Januar bekannt, aber wird erst gegen Ende des Jahres passieren, wenn überhaupt.
Bis dahin hat man erstmal ein MOU (eine Absichtserklärung) unterzeichnet und macht Due Diligence (guckt, ob alles sauber ist). Und natürlich ist nicht alles sauber, sondern bei Juniper sieht das aus wie bei allen anderen Cloud- und Appliance-Herstellern: Basiert alles auf irgendwelchen ewig lang abgelaufenen Open-Source-Distributionen mit uralten bekannten Lücken.
HPE hat also mal einen Scan laufen lassen und bekam eine laaaaange Liste mit offensichtlich unsicheren Komponenten und Juniper pullt jetzt einen "Lücken? Welche Lücken!1! *herumpatch*", damit zum Kauftermin alles "sauber" ist.
Das erklärt auch, wieso die Lücken aussahen wie bei IBM QRadar. Die sind auch gerade durch ein Due Diligence gelaufen für einen Verkauf an Palo Alto.
m(
Ich kann ja nur dringend vom Kauf von Appliances abraten. Das kombiniert alle Nachteile von "der Kunde kann nicht reingucken" mit den Nachteilen von "wenn es explodiert dann beim Kunden, nicht bei uns, wieso also proaktiv patchen?" und "hey, wenn es beim Kunden explodiert, kauft der bestimmt einen dicken Supportvertrag!"
Mit Zscalers neuen Zero-Trust-SIMs sollen sich Produktionstechnik und IoT-Geräte besser absichern lassen. Und eine KI-Anwendung soll Angriffe prognostizieren.Hahaha, großartig *träneabtupf*! Zero-Trust-SIM! HAHAHAHA! Für IoT-Geräte! BWAHAHAHAHA
Anstatt den Datenverkehr über Netzwerke mit VPNs und Firewalls im RZ zu leiten, ermöglichen die Zero-Trust-SIMs bidirektionale Kommunikation, bei der alle Datenpakete über die Zscaler-Plattform geleitet werden.Hey, das ist so haarschaft nahe der Realität, da gibt es bestimmt einige Vollidioten, denen gar nicht auffällt, dass das Satire ist, und die das kaufen würden. Das ist nicht wie bei herkömmlichen Anbietern einfach VPN und Firewall. Nein, nein, mein Herr! Hier versucht Ihnen jemand VPN und Firewall als Plattform zu verkaufen! Damit Sie schön noch Abogebühren zahlen!
Laut Angaben des Herstellers bietet diese Lösung nicht nur erhöhte Sicherheit, sondern reduziert auch die Latenzzeiten erheblich und eliminiert die Notwendigkeit für teure und komplexe Hardware.Klar, leuchtet ein. Natürlich reduziert das die Latenz, wenn du über eine zusätzliche 3rd-Party-Plattform routest, die dann auch noch "KI"-Bullshit drauf laufen lässt!1!!
Und die teure und komplexe Hardware, die hat jetzt die Plattform, nicht du. Das ist was GANZ anderes.
Über die Policy-Engine können spezifische Anwendungen festgelegt werden, die über die SIMs zugänglich sind, während unautorisierte Zugriffe blockiert werden.Ah, seht ihr? Die haben keine herkömmliche Firewall. Die haben eine Policy-Engine!! Das ist was GANZ anderes!!1!
Ferner wurde im Rahmen der Veranstaltung eine KI-basierte Anwendung zur Risikoanalyse namens Breach Predictor vorgestellt. Das Tool greift auf umfangreiche Sicherheitsdaten zurück, die der Hersteller selbst bereitstellt – einschließlich Bedrohungsscores und Risikobewertungen von Nutzern und Geräten, um Angriffspotenziale in Echtzeit offenlegen zu können.Mit anderen Worten: Deine Daten werten die aus, du bezahlst noch für, und sie verkaufen das dann anderen Kunden. Smart!
. Im Gegensatz zu traditionellen Systemen wie SIEM, SOA oder XDR, die primär vergangene Vorfälle analysieren, soll der Breach Predictor zukünftige Angriffe und deren Auswirkungen prognostizieren.Oh ja klar. Niemand würde ein SIEM, SOA oder XDR einsetzen, um damit Muster zu erkennen und zukünftigen Angriffen vorauszugreifen. Nein, nein, mein Herr. Dafür braucht es die "KI" von "zscaler" (die weder mit z noch mit scaler etwas zu tun haben übrigens). So eine vielschichtig filigrane Satire muss man würdigen!
Herzlichen Glückwunsch, Heise. Da muss sich die Konkurrenz aber warm anziehen. Und ihr müsst aufpassen, dass ihr Abstand zu echten Pressemitteilungen lasst, sonst glauben die Leute am Ende noch, ihr druckt bloß hirnlosen PR-Scheiß ab, und macht euch damit deren Verkaufsstrategie als Schleichwerbung zueigen.
Update: Falls ihr euch gefragt habt, was da für Leute bei Heise Artikel schreiben:
Bruno Stömer arbeitet seit 2021 bei Soeldner Consult im Bereich der Unternehmenskommunikation.
Unternehmenskommunikation ist ein Euphemismus für PR. Vertrieb. Das ist, mit anderen Worten, Werbung. Der Mann macht beruflich Werbung. Und Heise lässt den da eine Pressemitteilung publizieren, als sei es Inhalt. Skandalöse Zustände.
Hier sind ein paar davon.
BSI-Chefin Plattner meinte: Ich liebe Checklisten, aber Checklisten werden uns nicht retten. Da freut mich immerhin der hintere Teil von. Ihre Lösung war dann leider, man müsse da eben mehr Dinge automatisieren.
Das finden viele Softwarehersteller auch und automatisieren seit Jahren immer mehr Prozesse. Ergebnis: Der Druck auf dem Opfer, dem Kunden, wächst immer mehr, weil immer mehr Patches rauskommen.
Ich finde, man sollte Patches hier nicht so positiv sehen. Jeder Patch ist ein Nachweis dafür, dass der Hersteller versagt und unsichere oder anderweitig kaputte Software verkauft hat. Ich finde es gut, dass die Hersteller überhaupt Patches machen. Aber erinnern wir uns: Das war nicht die Arbeit des BSI, die das herbeigeführt hat, sondern dass Hacker lauter Exploits verbreitet haben, so dass man das nicht mehr unter den Teppich kehren konnte.
Leider ist über die Jahre ein bisschen unter den Tisch gefallen, dass wir heute nicht wirklich sicherer sind als früher, weil immer noch jede Software die ganze Zeit unsicher ist. Es gibt einen unaufhörlichen Nachschub an Bugs, wir kennen sie nur noch nicht.
Da wo wir wirklich Fortschritt gebraucht hätten, nämlich dass die Software weniger Patches braucht, haben wir das Gegenteil davon gekriegt. Frau Plattner meinte dann auch noch, moderne Software ließe sich besser schützen als alte. Das ist leider auch genau die Linie der Softwarehersteller, die Security nicht als Pflicht sondern als Vertriebsvehikel sehen. Was setzt du denn auch den alten Windows Server ein, kauf doch lieber einen neuen Windows Server!1!!
Plattner hat sich dann auch als "KI"-Fan geoutet, was mich ein bisschen zusammenzucken ließ. Sie sagte dann, was auf dieser Veranstaltung noch mehrere andere sagten: KI hilft Angreifern, wir müssen zur Verteidigung daher genau so schnell auf KI setzen.
Dafür kurz als inhaltliche Klarstellung: Nein. KI hilft Angreifern nicht. KI erzeugt keine Exploits, identifiziert keine Bugs, analysiert keine Patches. In einigen Proof of Concept Fällen kann man möglicherweise eine Demo faken, aber KI hilft Angreifern nicht.
KI kann dafür sorgen, so erklärten dann einige Teilnehmer, dass die Scam-Mails weniger Rechtschreibfehler haben. Die haben nicht verstanden, dass die Rechtschreibfehler absichtlich drin sind. Die Scammer richten sich ja nicht an Leute, die Scams erkennen, und dann möglicherweise Ärger machen und ihr Geld zurück haben wollen oder die Polizei rufen, wenn die noch was machen kann. Die richten sich an naive alte Menschen und filtern mit den Rechtschreibfehlern die anderen raus.
OK, nächste Aussage, die ich lustig fand: Da saß ein Typ von Rohde und Schwarz auf der Bühne in dem einen Podium mit der Plattner, der mehrfach negativ auffiel, indem er sie demonstrativ duzte. Ich würde ja schon grundsätzlich gegen die Anwesenheit von R&S opponieren, aber das fand ich echt auffallend respektlos und eine Frechheit. Jedenfalls, wieso ich den erwähne: Der erzählte (als Anekdote, dass in Deutschland Innovation ja wegen Überregulierung ausgebremst würde), sie hätten ja "KI" einführen wollen, seien aber am Personalrat gescheitert. Wieso ich R&S nicht mag ist weil sie IMSI-Catcher für den Unterdrückungsstaat bauen, und Militär und Geheimdienste mit Spezialequipment beliefern. Aus meinen Augen ist das unethisches Geschäftemachen.
Was haben wir noch ... da saß noch ein Telekom-Mensch, deren Cloud Security-Chef glaube ich, der sich (für Nerds humoristisch) verplapperte, dass man ja im Moment auch Mails von Servern mit abgelaufenen TLS-Zertifikaten annehmen müsse, weil der Zustand der Security-Landschaft da draußen so schlimm sei. Bei SMTP mit TLS präsentiert nur der annehmende Server ein Zertifikat. Der Einsender zeigt gar keines, das abgelaufen sein könnte. Den Versprecher fand ich lustig genug zum notieren :-)
Neben dem Telekom-Typ saß ein Cisco-Schlipsträger auf dem Podium, der dann erzählte, wenn sich Kleinunternehmer keine IT-Abteilung leisten können, dann müssen sie halt managed Services einkaufen von jemandem. Die Telekom daneben nickte. Da hab ich mich ziemlich geärgert, weil sich hier die Täter (die Telekom hat Millionen von schrottigen Plasteroutern im Feld und Cisco hat mehr Hintertüren in ihren Produkten gehabt als alle Konkurrenten zusammen und war gerade an dem Webex-Debakel Schuld) auf der Bühne erzählen dürfen, die Kosten solle mal ihr Kunde/Opfer tragen. Da hätte ich mir gewünscht, dass der Moderator mit dem großen Holzhammer draufkloppt.
Die Keynote von dem BKA-Chef war spannend, weil das mein erstes Mal war, dass ich die BKA-Panikslides sehe, mit denen sie die Politik immer wieder dazu kriegen, ihnen mehr Befugnisse zu geben. Kommunikationstechnisch waren die Slides brillant gemacht. Auf ihnen standen lauter PANIK-PANIK-Zahlen und Grafiken drauf, Milliardenschäden, alles furchtbar, wir sind so gut wie tot, die Kriminellen sind super ausgebildet und besser organisiert als wir und so weiter, aber der Vortrag war das glatte Gegenteil. Der Mann ist ein Karriere-Polizist, ein lockerer Typ mit nach Hamburg klingender Sprache, der da weitgehend ruhig und cool vorträgt, dass das ja alles schlimm aussähe, aber man sei am Ball, die Quote der Lösegeld bezahlenden Ransomwarebefälle sei rückläufig, und man habe ja schon folgende Domains beschlagnahmt und jeweils MILLIONEN von Euros in Bitcoin vom Markt genommen.
Die Folien sagten PANIK PANIK PANIK aber die Worte sagten: Alles im Griff. Wir werden hier nicht von technischen Dingen ausgebremst sondern von den Befugnissen. Wenn ihr nur kurz das Grundgesetz ändert (trug er wirklich so vor!), dann können wir die auch verhaften, bevor sie auch ransomwaren. Vorschlag dazu liegt auf dem Tisch, muss nur noch vom Parlament abgestimmt werden. Alles in Ordnung. Wir handlen das.
Das ist kein leichter Spagat! Auf der einen Seite OH MEIN GOTT IHR MÜSST JETZT SOFORT HANDELN kommunizieren aber gleichzeitig "bei uns ist das in guten Händen, wir haben alles im Griff" zu sagen und noch für eine Grundgesetzänderung für Gefahrenabwehr zu werben, ohne dass das wie Erpressung aussieht (ihr müsst das jetzt machen sonst sind wir alle tot).
Ich muss sagen: Hut ab vor dem BKA-Chef. Der weiß, was er tut, und wie er es tun muss. Der sammelt seit Jahren erfolgreich immer mehr Befugnisse ein, ohne dafür dann irgendwas vorzuzeigen zu haben.
Der nächste Vortrag war dann von ZITIS, hatte ich ja schon erzählt, mit den mobilen Quantencomputern. Der hatte noch ein paar andere haarsträubende Projekte, von denen er erzählte. Er wollte Quantenoptik haben (seine Begrifflichkeit!), damit man vor dem Tür eintreten durch die Wände gucken kann. Das ist meines Wissens nichts, was die Physik-Disziplin der Quantenoptik überhaupt auch nur versucht, geschweige denn als Ziel formuliert, aber da lasse ich mich gerne korrigieren. Desweiteren fand er "KI" transformativ und wir müssen schnell aufspringen, und im Übrigen werden Drohnen immer billiger und wichtiger, das brauchen wir auch, und dann warnte er noch vor kriminellen LLMs, die mit Darknet-Daten trainiert seien, und dann nicht wie bei den guten Menschen von OpenAI einen Filter drin haben, der sich weigert, Bombenbauanleitungen auszuhändigen. ZITIS lässt außerdem an neuronalen Netzen zur Erkennung von Hass im Internet forschen, und hat ein Projekt für die "Robustheit von KI" gestartet (kann ich jetzt schon sagen, dass das scheitern wird), und sie machen sich Sorgen vor der Manipulierbarkeit von "KI". Stöhn.
Den Schenkelklopfer des Tages brachte aber der CISO der Bundeswehr, schön in Ausgehuniform, der sich auch zu Ransomware äußerte (offenbar sehen sich da auch Bundeswehr-Behörden von angegriffen): Davon geht keiner aus, bei uns Lösegeld erpressen zu können. Das Publikum wieherte vor Lachen :-)
Update: Wenn ich hier gefühlt alles kritisiere, was Frau Plattner vorgetragen hat, wieso sah ich ihre Person trotzdem positiv am Ende? Ich hatte den Eindruck, dass die halt noch nicht alle Fakten gehört hat, und möglicherweise umgestimmt werden kann, wenn ihr mal jemand die andere Hälfte der Realität zeigt, und andere Blickwinkel. Den BKA-Chef, der Bundeswehr-CISO, den ZITIS-Typen, die wirst du alle nicht umgestimmt kriegen, egal was du vorträgst. Die machen da halt ihren Job und werden sich nicht von Fakten behindern lassen.
Update: Übrigens, am Rande: Der ZITIS-Chef war vorher Abteilungsleiter für technische Aufklärung beim Bundesnachrichtendienst.
Karl war viermal als Zeuge in den NSA-Untersuchungsausschuss des Deutschen Bundestags geladen. Als Unterabteilungsleiter im Bundesnachrichtendienst war er zuständig für die Übermittlung deutscher Internetdaten an die National Security Agency in der Operation Eikonal und deutscher Telefondaten an die Central Intelligence Agency in der Operation Glotaic.
Ja klar! Was machst du mit so jemandem? Rausschmeißen geht ja nicht, denn dann müsste man ja auch lauter andere Leute rausschmeißen. Bleibt ja quasi nur befördern! Mobile Quantencomputer, ich leg mich flach.
Ich hab zugesagt, weil ich Zeit hatte und das nicht weit weg ist, und es ist am HPI, also der Uni Potsdam, und ich mag Unis. Stellt sich raus: Das ist die Art von Veranstaltung, bei der die Tagesschau Filmaufnahmen macht, die dann abends im Fernsehen laufen. o.O
Die Vorträge waren größtenteils, was man erwarten würde, wenn man Sicherheitsbehörden nach einem Lagebild fragt. WIR WERDEN ALLE STÖRBEN! IMMER MEHR CYBER!! SO TU DOCH MAL JEMAND WAS!!!
Aber es gab ein paar interessante Neuigkeiten. Erstens: Der nächste Hype. Der nächste Hype werden "Mobile Quantencomputer".
Einer der Vorträge war vom Chef von ZITIS. Das sind die hier. Die sehen sich als eine Art DARPA und finanzieren Forschung an Bereichen, die sie in Zukunft für wichtig für den Sicherheitsapparat und das Militär halten, und der gute Mann erwähnte explizit "Mobile Quantencomputer".
Ich dachte, ich hab mich verhört. Ihr wisst schon, wenn man einen Liedtext nicht richtig versteht. Was man gehört hat, ergibt so gar keinen Sinn. Ich muss mich verhört haben.
Dann kam später der CISO der Bundeswehr, in Ausgehuniform, und erzählte, man werde ja in Zukunft auch mobile Quantencomputer brauchen.
Da wusste ich, dass ich mich nicht verhört habe, sondern das der neue heiße Scheiß ist. Blockchain ist ja schon so gut wie tot, KI atmet schon schwer. Mit irgendwas werden die Scammer ja ihr Geld verdienen müssen! Und das werden dann mobile Quantencomputer sein.
Also. You heard it here first. Mobile Quantencomputer!
Für mich war der Tag ein Gewinn, denn auf meinem Podium trugen die anderen natürlich vor, was sie alles für Ransomware-Domains beschlagnahmt haben in riesigen internationalen Kooperationen. Ich habe dann deren Arbeit mit Pokemon verglichen. Gotta catch them all!
Mal gucken, ob es das in irgendeine Presse schafft. :-)
Ich finde das gut und richtig, wenn die Ransomwaregangs hopsnehmen, aber so werden wir das Problem nicht gelöst kriegen. Ich schlug vor, Firmen in die Haftung zu nehmen, wenn sie unsichere Software einsetzen und dadurch ein Schaden entsteht, und die sollten sich das dann zivilrechtlich vom Softwarehersteller zurückholen können, wenn der (auch) Schuld ist.
Kurze Anekdote am Rande noch. Auf der Konferenz lief auch die neue BSI-Chefin herum, und sie hielt auch eine Keynote. Ich habe die vorher noch nie getroffen und sie hinterließ direkt einen viel positiveren Eindruck als alle ihre Amtsvorgänger. Ich dachte mir also, als ich sie beim Social Event sah, dass ich ihr das mal sagen sollte, gehe auf sie zu, und sage: "Ich kritisiere das BSI ja seit 20 Jahren gerne und häufig, ..." woraufhin sie ganz trocken meinte: "Ich hörte davon".
Äh ... wat? Gibt es da eine Liste? Und da bin ich drauf? Und ich habe genug Eindruck hinterlassen, dass die BSI-Chefin meinen Namen kennt?! Ich habe mein Kompliment dann noch rausgekriegt aber war ziemlich geflasht davon :)
Bei den Vortragenden gab es übrigens (abgesehen von mir) Konsens, dass die Kosten für das Absichern von Windows-Infrastrukturen von den Betreibern der Infrastrukturen bezahlt werden sollte. Niemand außer mir fand, dass man als Käufer von Software erwarten kann, dass der Hersteller die ohne Defekte ausliefert, und für Schäden durch Qualitätsmängel haftet.
Besonders großartig war der eine Vortragende in einem anderen Panel, der von Cisco kam. Nicht nur hat der mit keinem Wort erwähnt, dass Cisco für das Webex-Debakel verantwortlich zeichnet, das u.a. das BSI (!) betroffen hat. Der erzählte da, man müsse als Firma ja vorbereitet sein. Man sollte die Support-Telefonnummer für seine Zulieferer bereit haben. Falls was passiert. Kontext: Cisco hat jahrelang nicht mal Security-Patches zum Download angeboten, wenn man keinen laufenden Supportvertrag vorweisen konnte. Die Support-Telefonnummer hätte ich gerne mal genannt bekommen, die einem hilft, wenn man gerade per Webex abgeschnorchelt wurde.
Update: Ein Leser weist darauf hin, dass das HPI nicht Teil der Uni Potsdam sondern eine privatwirtschaftliche gGmbH ist, und die Uni Potsdam im Logo tragen darf, weil es eine gemeinsame Fakultät und eine Kooperationsvertrag gibt. :-)
New hotness: clang baut in Branchless-Code wieder Branches ein.
Branchless heißt, dass der Code keine conditional jumps hat, d.h. keine If-Statements. Das kann eine wichtige Optimierung sein, wenn ein Branch sehr schwierig vorhersagbar ist, und die CPU den immer mispredicted. Es kann aber auch lebenswichtig sein für Krypto-Code, wenn das If-Statement auf Teilen des Schlüssels oder Klartexts basiert, und man möchte, dass das immer mit konstanter Zeit abläuft, damit ein Beobachter keine Rückschlüsse ziehen kann.
In diesem Fall geht es um KYBER, einen der wichtigeren Post-Quantum-Algorithmen. Die haben da eine Transformation absichtlich branchless formuliert, um Timing-Angriffe zu vermeiden, und clang hat das hilfreich wieder zurück"optimiert" und leakt dann halt den Plaintext.
Ja geil ey! (Danke, Oliver)
Nach dem Dokument beabsichtigt Russland, Wassergebiete im Finnischen Meerbusen und in der Nähe der Städte Baltijsk und Selenogradsk in der Region Kaliningrad zu Binnengewässern zu erklären.Mal gewinnt Russland dazu, mal verlieren die anderen Ländereien. Kennt man ja.
Der Bericht geht zurück auf die Moscow Times. Die beruft sich auf einen Gesetzesentwurf, der auf einem Regierungsportal veröffentlicht worden ist. Ein bisschen irritierend: Das Dokument kommt wohl vom Verteidigungsministerium.
Als Begründung für die Anpassung sagt das Verteidigungsministerium, die alten Grenzen gingen zurück auf einen Erlass von 1985 und die damals verwendeten Karten seien alt (und ungenau?) gewesen.
Um dem ein bisschen Nachdruck zu verleihen, fiel der Veröffentlichungstermin auf den Starttag einer Militärübung mit nichtstrategischen Kernwaffen.
Bedauerlicher Zufall, da bin ich mir sicher.
Update: Russland hat den Gesetzesentwurf inzwischen gelöscht. Gibt nichts zu sehen hier, gehen Sie weiter.
Finde ich einen erfrischenden Moment der Ehrlichkeit. Was die da machen, ist ja schließlich keine KI sondern bloß "KI". Die ist nicht nur Parsecs von Bewusstsein entfernt, die versteht auch noch nichts sondern remixt nur.
Dass die überhaupt eine Abteilung gegründet haben, war reiner PR-Bullshit, von dem sich hoffentlich niemand hat ablenken lassen.
Das ist wie wenn die Bahn eine Pünktlichkeitsinitiative startet. Da geht es nicht um Pünktlichkeit, sondern darum, dass die Presse schreibt, die Bahn habe das Problem erkannt und kümmere sich. Damit es nicht mehr so aussieht, als sei das Absicht.
Immer ein hervorragendes Zeichen für Demokratie, Rechtsstaat und Menschenrechte, wenn die Polizei kommt und ein Presseorgan zwangsräumt, weil der Regierung die Berichterstattung nicht gefallen hat.
Israeli officials said the move was justified because Al Jazeera was a threat to national security. “The incitement channel Al Jazeera will be closed in Israel,” the country’s prime minister posted on social media after the unanimous cabinet vote.
Oh ach so. National Security. Tja, äh, na dann. Dann ist das wohl so. Wenn die Regierung einfach National Security behaupten kann und dann darf sie alles.Ja gut, aber Al Jazeera kann ja weiter berichten, denkt ihr euch jetzt bestimmt.
A government statement said Israel’s communications minister had signed orders to act immediately to close al Jazeera’s offices in Israel, confiscate broadcast equipment, cut the channel off from cable and satellite companies and block its websites.
Satellitenempfang kriegen sie damit natürlich nicht weg. Aber versucht haben sie es.
Ich mag ja das Gefühl, wenn sich meine Vorurteile bestätigen.
Update: Wobei natürlich nicht klar ist, dass sich das auf deren Profit auswirkt. Der ist gerade überraschend hoch ausgefallen. So hoch, dass Alphabet erstmals Dividende zahlt.
Die haben halt nicht völlig unrecht. Qualität ist teuer. Wieso für Qualität zahlen, wenn du auch Lock-In machen kannst?
Update: Ich schreib's sicherheitshalber nochmal explizit hin. Es ist nicht so, dass die Suche schlechter wird, und die Profite darunter leiden. Im Gegenteil haben sie die Suche absichtlich schlechter gemacht, um kurzfristig die Profite zu befeuern. Das ist kein Unfall, das war Absicht.
Ich habe mehrere tausend Stunden in Fallout 3, New Vegas und 4 verbracht und würde mich als Franchise-Fan bezeichnen. Bei den älteren Fallouts sind keine Zeitstatistiken verfügbar.
Das Set-Design alleine ist wirklich grandios. Es wirkt alles nach Props, nicht nach CGI. Klar gibt es auch CGI, und besonders die Monster haben dann eher so Doctor-Who-Qualitätsniveau (bis auf die Ghouls, die sehen gut aus), aber die Vaults? Die Kleidung? Die ganzen kleinen Details (Sugar Bombs! Yumyum Deviled Eggs! Der Trinkwasserbehälter!) sehen alle prächtig aus.
Es ist keine super ernst gemeinte Serie, klar, und so sind auch viele Details einfach auf einen billigen Lacher ausgerichtet. Die Brotherhood of Steel lässt ihre Squires für die Knights in der Power Armor geradezu grotesk übergroße Säcke mit Equipment herumtragen. Dabei weiß doch jeder: Die Power Armor erhöht die Stärke und damit das tragbare Gewicht massiv!1!!
Einige Sachen sind auch echt bescheuert, z.B. dass sie da eine Nonbinary-Figur ausgerechnet bei der Brotherhood of Steel einbauen mussten, die im Spiel eine faschistische Fraktion aus Alleshassern sind, die schon mal einen Genozid an Ghouls durchführen. Das ist die letzte Fraktion, die für Inklusivität stehen würde in den Spielen. Aber egal, kann man wegignorieren.
Unter dem Strich kann man das aber gut gucken. Leute, die das grüne-braune Farbspektrum von Fallout 3 vermissen, irren übrigens. Guckt euch mal Bilder von der Gegend um Tschernobyl an. Da ist kein Grünschleier in der Luft. Jedenfalls nicht vom Fallout. :-)
Ich persönlich habe mich über Fred Armisons Cameo kurz vor Ende gefreut, der sich eine lange Liste an Cameos bekannter Gesichter einreiht. Walton Goggins räumt wie üblich ab, klar. Die anderen beiden Protagonisten können da wenig gegen anstinken, aber sie schlagen sich auch ganz gut fand ich.
Die Serie über wirkt das Mysterium von Vault 33 ein bisschen farblos, aber die Auflösung am Ende hat einen schönen Payoff.
Ich hatte mir wirklich Sorgen gemacht, dass das Scheiße wird. Immerhin steht Todd Howard als Executive Producer in den Credits. Aber jetzt kann ich sagen: Das ist das erste Todd Howard-Projekt ohne Abstürze, ohne Day 1 Patches, ohne unofficial Patch der Community, weil Bethesda ihre Bugs nicht fixt. Grafik-Glitches gab es auch keine. Es sei ihm gegönnt auf seine alten Tage. War nicht ALLES Scheiße, was er angefasst hat!
Es muss aber geschmerzt haben, dass zwar optisch alles wie Fallout 4 aussieht, aber die Lore komplett auf Fallout 3 und New Vegas fußt. Speziell New Vegas räumt absolut überproportional ab. War ja auch das beste Spiel in der Serie. Aber war halt nicht von Bethesda sondern von Obsidian Entertainment, d.h. ohne Todd Howard.
Ein aktueller Fall illustriert das ganz gut: SuSE Linux Enterprise Server 15 SP4 hat eine BSI-Zertifizierung gekriegt. Ausgestellt am 15.12.2023.
Die benutzen OpenSSL 1.1.1. Das war zu dem Zeitpunkt bereits seit Monaten End-of-Life. Das steht auch im auf Dezember 2023 datierten Report drin, dass sie OpenSSL 1.1.1 verwenden.
Deren OpenSSH hat glaube ich auch noch keine Post-Quantum-Crypto drin. Weiß da jemand genaueres? War jedenfalls nicht Teil des Tests.
So, meine Damen und Herren, sieht Compliance-Sesselfurzerei aus. Kostet viel Geld, bringt weniger als nichts.
Wenn sich bei euch jemand damit bewirbt, dass er ein BSI-CC-Zertifikat habt, dann wisst ihr hoffentlich spätestens ab jetzt, was ihr von dem zu halten habt.
Update: Das Produkt selbst hatte übrigens am 31. Dezember 2023 End-of-Life, also weniger als einen Monat nach Zertifizierung (außer man zahlt LTSS). (Danke, Veit)
Das ist eine Sache, die man in der Industrie und Behörden häufiger beobachten kann. Compliance gilt für die Fußsoldaten. Die Ranghöheren betrachten es als ihr Privileg, nicht von dem ganzen Theater betroffen zu sein.
Und am Ende ist alles unsicher aber furchtbar teuer und es gibt keinen Projektfortschritt, weil die Leute, die für die Umsetzung zuständig wären, von sinnlosem Compliance-Bullshit gefesselt werden.
Ich halte das für Absicht. Manager bewerten ihre Wichtigkeit nach der Anzahl der Untergebenen. Personalverantwortung nennt man das. Auf der anderen Seite stellen sie mit Vorliebe mittelmäßige Parteisoldaten und Sesselfurzer ein, damit ihre eigene Inkompetenz nicht so auffällt im Vergleich.
Und so hast du am Ende einen grotesken Wasserkopf aus inkompetenten Deppen und alle wundern sich, wieso nie irgendwas klappt.
Auf eine experimentelle Nextcloud-Instanz der Bundeswehr, "(c) 2024 Pilotumgebung Link and More". Gestern stand da auch noch "s6 dev gru" und "b0rn 2 l33t". Nein, wirklich. Das stand da.
Und aus Sicherheitsgründen ist das passwortgesichert. Mit dem Passwort "1234".
Wer jetzt ein PDF erwartet, sieht sich getäuscht. Da kommt ein MP3. Mit einer Audioqualität, bei der jeder Podcaster oder Youtuber staunt, dass sich jemand damit ans Internet traut.
Bei allem Gelächter über die Bundeswehr ist das eher ein Zeichen dafür, was für eine Compliance-Hölle die Bundeswehr ist, und spricht eher dafür, dass das per Telefon einwählen Absicht war, damit die Russen das mitschneiden.
Dass die 1234 als Passwort setzen, zeigt, dass sie aus Compliance-Gründen die Plattform so eingerichtet haben, dass alles mit Passwort geschützt werden muss.
Dass sie uns die Plattform überhaupt zeigen, zeigt, dass sie die schon vorher hatten. So unseriös dieses "b0rn 2 l33t" auch aussieht: Die Bundeswehr ist eine lahmarschige, träge Bundesbehörde. Die setzt nicht über Nacht ein Nextcloud auf. Dem ging wahrscheinlich ein monatelanges Beschaffungsverfahren voraus.
Dass das unter bundeswehr.de liegt statt unter bund.de oder bmvg.de ist ein Zeichen, dass sie uns Handlungsfähigkeit demonstrieren wollen, und uns versichern wollen, dass das wirklich von ihnen ist und kein russisches Deepfake.
Unter dem Strich wirkt das alles wie "gut gemeint, schlecht gemacht". Besser wäre gewesen, wenn sie auf ihrer Webseite den Text als HTML gehabt hätten, anstatt auf ein mp3 zu linken. Das wäre barrierefrei gewesen, hätte die Leute nicht mit diesem l33t-Scheiß verunsichert, und da wäre auch niemand auf die Idee gekommen, dass die Russen die Bundeswehr-Webseite manipuliert haben.
Ist ein Nextcloud denn jetzt sicher? Nun ja. Kommt auf die Perspektive an. Auf der einen Seite ist das natürlich besser, wenn man Kram in seiner eigenen Infrastruktur hostet, anstatt in einer amerikanischen Cloud. Auf der anderen Seite hat man dann Verantwortung, der man auch nachkommen muss. Genau wie alle anderen Cloudumgebungen ist Nextcloud viel zu komplex, um eine Fehlerfreiheit anzunehmen. Da muss man dann ordentlich patchen und monitoren. Wer weiß, wie viele Nextcloud-Anwender das auch tatsächlich tun. Ich bin nicht optimistisch.
Wenn jemand einen Link auf eine Nextcloud-Umgebung mit dem Internet teilt, ist das jedenfalls grundsätzlich ein schlechtes Zeichen. Solche Dateien gehören auf den Webserver. Nextcloud hat eine riesige Angriffsoberfläche. Die sollte man so wenig wie möglich in Richtung Internet exponieren.
Wie? Na wie immer beim BSI. Mit einer Checkliste voller Compliance-Bullshit. Haben Sie schon ein paar Virenscanner installiert?
Aber wartet, das ist noch nicht die Punchline.
In welcher Form verteilen sie die Checkliste?
Richtig geraten! Als Excel-File!
Genau mein Humor!
Schon der Titel verrät es: Typisches Enabling, wie üblich beim BSI.
Die richtige Antwort wäre gewesen: Nicht einsetzen.
Stattdessen, BSI-üblich: Eine wertlose Compliance-Checkliste.
Begründung:
Bei der Anzeige stützt man sich demnach auf die Tatsache, dass der Wert der deutschen Waffenexporte nach Israel im Jahr 2023 von 326,5 Millionen Euro zehnmal so hoch sei wie im Jahr 2022. Aus Deutschland importierte Waffen machten 28 Prozent der israelischen Rüstungsimporte aus.Nicht völlig von der Hand zu weisen, oder?
Genehmigte Rüstungsgüter aus der BRD umfassen unter anderem 10.000 Schuss 120-Millimeter Panzermunition.D.h. nicht nur ein paar Daimler-Militärfahrzeuge, auch richtig Waffen.
Diese Art von Anzeigen landen beim Generalbundesanwalt, der dann prüfen muss, ob es einen Anfangsverdacht gibt, bevor er die Ermittlungen ablehnt. Diesen Schritt (die Prüfung) zumindest kann er sich in diesem Fall sparen, denn:
Dass im Fall des israelischen Kriegs gegen den Gazastreifen »plausible Ansatzpunkte« für eine »genozidale Absicht« vorlägen, habe der Internationale Strafgerichtshof, mit seinem Beschluss vom 26. Januar 2024 bestätigt.Da bin ich ja mal gespannt, wie sie das begründen werden, diese Strafanzeige nicht zu bearbeiten. (Danke, Annika)
Wenn du im App Store deines Vertrauens eine App auswählst und installieren willst, dann zeigt dir der Laden eine Liste mit Befugnissen an, die die App haben will. Die Facebook-App ist beispielsweise notorisch dafür, Zugriff auf alles haben zu wollen.
Das zeigt dir der App Store nicht an, weil sie gute Menschen sind, sondern das ist eine Schuldumkehr. Wenn du die App trotzdem installierst, und die dann deine Daten in die NSA-Cloud telefoniert, dann bist du selbst schuld. Wir haben dich sogar extra gewarnt!1!!
Das ist deine Verantwortung, keine Apps zu installieren, die komische Dinge tun wollen.
Update: Wo wir gerade bei App-Store-Missverständnissen sind: Die App Stores prüfen nicht, ob die App "Malware" ist. Tun sie nicht. Können sie auch gar nicht. Daher behaupten sie auch nicht, dass sie Security prüfen, denn dann wären sie ja in der Haftung, wenn Malware durchkommt. Das App Store-Ökosystem macht genau eine Security-Zusage: Dass die App nicht die Kamera benutzen kann, außer sie hat das beantragt, der App Store hat es angezeigt, und der User hat OK geklickt.
Das Betriebssystem auf dem Telefon versucht dann noch ein paar andere Dinge zu garantieren, wie z.B. dass die Apps ordentlich voneinander isoliert sind und sich nicht einfach Dateien ändern können. Aber da gibt es absichtlich eingezogene Wege, wie sich Apps doch gegenseitig reinpfuschen können. Eine davon ist bei dem eID-Ding gerade zum Problem geworden. Das ist aber gewollt, dass du als Inhaber des Telefons eine andere ID-App installieren kannst als die eine. Die können an der Stelle nicht gewinnen.
Update: Ja aber aber aber Fefe, kennst du nicht Play Protect? Die scannen doch nach Malware!1!!
Das ist eine PR-Nebelwand. Man erkennt das schon daran, dass sie "safety check" sagen, nicht "security check". Das ist im Deutschen dasselbe Wort, im Englischen nicht. Sie behaupten auch sorgfältig nicht, dass sie dich vor Malware schützen. Genau genommen machen sie überhaupt keine Sicherheitsgarantie. Sie warnen bloß davor, dass sie Apps unter deinem Arsch weglöschen können von deinem Gerät. Da geht es dann aber eher um ihr Geschäftsmodell als um deine Sicherheit.
Die eine relevante Metrik für sowas ist: Haften die für Schäden, die von Malware verursacht wird, die an ihren Scans vorbeigekommen ist.
Nein. Tun sie nicht. Natürlich nicht. Weil das PR ist, nicht Security.
Das nehme ich zum Anlass, eine neue Artikelreihe hier zu starten: "Unoffensichtliche Threat Models, einfach erklärt". Diesmal das Threat Model aus Sicht des Kunden im Supermarkt zu erklären. Nehmen wir an, ihr geht zu Aldi, kauft für 20€ Dinge ein, steht an der Kasse. Da ist jetzt ein Display, das während des Scannens die Artikel und Preise anzeigt.
Das ist die erste Hälfte des Threat Models. Auf dem Display könnt ihr sehen, was die Kasse glaubt, was ihr eingekauft habt. Wenn da ein anderer Preis oder eine andere Anzahl steht, dann werdet ihr gerade vom Supermarkt verarscht. Das ist eure Verantwortung, darauf zu achten.
Das ist aber sehr selten. Supermärkte verarschen auf andere Arten. Lidl zum Beispiel hängt die Preisschilder absichtlich falsch auf. Wenn du so ein Regal mit drei Etagen hast, dann hängen alle anderen Supermärkte den Preis für das mittlere Regal an die untere Kante des mittleren Regals. Bei Lidl hängen die Preise für die Mitte an der Vorderkante der Etage darüber. Das verwirrt die Kunden und es ist eure Verantwortung, euch davon nicht verarschen zu lassen.
Ein anderer Weg, wie Supermärkte euch verarschen, ist indem sie Preise rot hinterlegen o.ä., um es so aussehen zu lassen, als gäbe es hier etwas verbilligt, oder indem sie "premium" draufschreiben. Das bedeutet nichts und dient nur der Kundenverarschung. Der einzige inhaltlich definierte Begriff ist "Sonderangebot". Dann muss das tatsächlich billiger als sonst sein. Wenn es das nicht ist, könnt ihr euch bei der Verbraucherzentrale beschweren, und die gehen dann juristisch dagegen vor.
Der dritte Weg, wie Supermärkte euch verarschen, ist indem in den Packungen immer mehr Luft drin ist. Besonders gut beobachtbar ist das bei Chipspackungen. Von ehemals 250g sind jetzt teilweise nur noch 150g übrig, der Rest ist Luft. Das liegt in eurer Verantwortung, euch da nicht verarschen zu lassen.
An der Kasse geht es eher darum, ob der Kassierer euch oder den Supermarkt verarscht. Das will der Supermarkt natürlich genau so wenig wie ihr, daher piept der Scanner pro rübergezogenem Produkt, und daher ist da ein Display mit den Einzelposten und Preisen. Da müsst ihr drauf achten, dass die Angaben stimmen.
Und dann, der wichtigste Teil: Die Kartenzahlung. Die findet nicht über die Kasse statt, sondern da ist ein separates Gerät, wo man die Karte reinsteckt oder ranhält. Das ist absichtlich ein separates Gerät. Das Gerät traut der Kasse nicht und zeigt daher den Gesamtpreis nochmal extra auf einem eigenen Display an. Da müsst ihr drauf achten, dass der Preis auf dem Kartenterminal dem Preis auf dem Kassen-Display entspricht. Das ist der zweite Teil des Threat Models.
Aus Sicht des Supermarkts ist es wichtig, dass der Kassierer nicht euch mehr Bargeld abnimmt und die Differenz in die eigene Tasche steckt. Das würde aber auffallen, weil es dann eine Differenz zwischen Zahlbetrag und dem Wert auf dem Display der Kasse gibt, und das ist ja aus Sicht des Supermarkts eh eure Pflicht, das zu checken. Tut das also.
Das BSI äußert sich zur eID-Nummer. Das ist ein Feuerwerk aus sorgfältig formulierter Krisen-PR, ein Windbeutel neben der nächsten Nebelwand, eingebettet in ein Laken aus Nullaussagen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt, dass es von einem IT-Sicherheitsforscher auf eine vermeintliche Schwachstelle im eID-System hingewiesen wurde.Das "vermeintlich" ist eine Frechheit. Wenn sie geschrieben hätten "in der eID-App", dann hätte man hier verhandeln können. So ist das schlicht eine dreiste Unterstellung und eine Frechheit. Das ist eine tatsächliche Sicherheitslücke, und das BSI trägt die Verantwortung, weil sie die App für die Plattform hätten verhindern können, aber es nicht getan haben.
Im Ergebnis betont das BSI: Es handelt sich bei dem beschriebenen Szenario nicht um einen Angriff auf das eID-System selbst oder eine Schwachstelle in den zugehörigen Sicherheitsfunktionen.Ja, äh, doch! Genau das ist es! Wenn du eine App für Apple-Geräte baust, und die Sicherheitsgarantien macht, die sie nicht einhalten kann, dann ist das eine Lücke im System. Auch wenn deine App nicht Schuld ist.
Das BSI sieht weiterhin keine Änderung in der Risikobewertung bei der Nutzung der Online-Ausweisfunktion.Das ist eine Bankrotterklärung des BSI. Sie sagen uns hier: Ja gut, dass man daran sterben kann, das, äh, das wussten wir die ganze Zeit und das war absichtlich so durchgewunken (weil wir sonst zugeben müssten, dass wir völlig inkompetente Tester sind und unsere Risikobewertungen nicht das Papier wert sind, auf dem wir sie ausdrucken). Das ist wie wenn Donald Trump sagt, dass er absichtlich Nancy Pelosi und Nikki Haley verwechselt.
Um die Online-Ausweisfunktion des Personalausweises missbräuchlich verwenden zu können, ist ein mehrstufiger Cyberangriff auf ein mobiles Endgerät der Anwenderinnen und Anwender erforderlich.Lassen Sie mich nochmal die ENORME KRIMINELLE ENERGIE betonen, die jemand aufbringen müsste, um Sie zu hacken! Der Angreifer müsste Sie dazu bringen, dass Sie eine App installieren!1!! So wie es z.B. alle Supermarktketten erfolgreich tun, und die Deutsche Bahn. Und Behörden (KATWARN, NINA). Eine IMMENSE kriminelle Energie also!!1!
Dazu muss das mobile Gerät entweder vollständig kompromittiert werden oder die Anwenderinnen und Anwender müssen aktiv eine entsprechend manipulierte App installieren.Kommt, guckt mal kurz auf einer Smartphone, wie viele Apps ihr aktuell installiert habt. Dreistellig? Vierstellig?
Des Weiteren ist es bei jedem einzelnen Angriffsvorgang notwendig, den Ausweis physisch an der NFC-Schnittstelle zu platzieren. Ein vergleichbarer Angriff wäre auch bei zahlreichen weiteren Online-Diensten denkbar.Niemand würde niemals nie nicht sein Telefon in der Nähe seiner Geldbörse aufbewahren!!1! Und außerdem ist Paypal ja auch unsicher. Wer also einen Hauskauf mit der Paypal-App signiert, der sollte mal über sein Risikoprofil nachdenken!1!!
Aus Sicht des BSI sind grundlegende Sicherheitsmaßnahmen der Anwenderinnen und Anwender ausreichend, um einen erfolgreichen Angriff unmöglich zu machen. Dazu zählen die Verwendung aktueller Soft- und Firmware und die Verwendung legitimer Apps aus vertrauenswürdigen Quellen. Das BSI empfiehlt die Verwendung von durch das BSI zertifizierten Apps wie z.B. der AusweisApp, die kostenfrei durch den Bund zur Verfügung gestellt wird.Die andere App kam aus dem App Store. Das ist eine vertrauenswürdige Quelle. Das sind peinliche Nebelkerzen hier gerade.
Das BSI prüft zudem, mit welchen zusätzlichen Maßnahmen die Nutzung der Online-Ausweisfunktion noch sicherer gestaltet werden kann."Das BSI prüft" ist das neue "der Verfassungsschutz beobachtet", ja? Absolut grotesk. Es gab keinen Angriff. Wenn es ihn gab, dann war immense kriminelle Energie nötig. Wir haben nichts falsch gemacht! Aber wir gucken jetzt mal, ob wir was besser machen könnten. Das ist wie bei Calvin & Hobbes!
Lange las ich nicht mehr etwas so peinliches wie diese Presseerklärung vom BSI. *fremdschäm*
Handwerkskammern in NRW offline - Ein Hackerangriff?Ja waren die etwa nicht IHK-zertifiziert? Haben die etwa nicht das Heise-Webinar gekauft?!? (Danke, Pit)
Mit der aktuellen Werbekampagne unter dem Hashtag #Deutschlandcheckts möchte das BSI Verbraucher und Verbraucherinnen vom Nutzen des IT-Sicherheitskennzeichens überzeugen.Gibt es nicht auf Twitter, wenn man deren Search-funktion glauben soll. Google so: Meinten Sie "Scheck"? Hier ist die Wikipedia-Seite von "Scheck"!
*wieher*
Aber wartet, das ist noch nicht der Grund, wieso ich das im Blog habe. Der Grund, wieso ich das im Blog habe, ist das Bild an dem Artikel. Ich zitiere:
Der Hersteller versichert:Nein, echt jetzt! Ohne Scheiß! Wir sind hier auf das Niveau "freiwillige Selbstkontrolle". Aber halt mit Name Dropping.
Das Produkt entspricht den Anforderungen des BSI.
Das erklärt auch, wieso das "Sicherheitskennzeichen" heißt und nicht "Prüfsiegel". Den prüfen tut da niemand was.
Vielleicht hätten wir den Cyberclown doch nicht so schnell rauskanten sollen. Der Nachfolger scheint noch schlimmer zu sein. m(
Update: Hier ist die Seite des BSI dazu. Money Quote:
Mit dem IT-Sicherheitsgesetz 2.0 hat das BSI den Auftrag erhalten, ein freiwilliges IT-Sicherheitskennzeichen einzuführen.
Mit anderen Worten: Das geht nicht auf eine Schnapsidee des BSI zurück. Das geht auf die übliche gänzlich inkompetente Marktfundamentalismus-Ideologie der FDP zurück. "Pass uff, Atze, wir pappen da einen Aufkleber dran, und dann wird der Markt das schon richten."
Computer. Schäden, die der Versicherte etwa durch unbeabsichtigt übertragene Computerviren verursacht, sollten zumindest bis zu einer Höhe von 50 000 Euro und weltweit versichert sein.Wait, what? Ist schonmal jemand in die Haftung gekommen, weil er einen Computervirus verbreitet hat?! Weiß das jemand?
Wäre mir nämlich neu, dass es so einen Fall gegeben hat.
Meine Überraschung hält sich in Grenzen.
Ich fasse mal die wesentlichen Punkte zusammen:
we can defeat Apple’s low-resolution timer, compressed
35-bit addressing, and value poisoning countermeasures, allowing
us to read any 64-bit address within the address space of Safari’s
rendering process
Apple hat, wie vor ihnen Microsoft und andere, auf irgendwelche mehr oder weniger nutzlosen Mitigations gesetzt, ohne ihre tatsächlichen Probleme zu lösen. Seit Jahren meine Rede, dass das nicht gut ist.Combining this with a new technique for con-
solidating websites from different domains into the same renderer
process
Das erzähle ich in meinen Vorträgen seit Jahren, dass man einen Prozess pro Request braucht, damit die sich nicht gegenseitig die Daten extrahieren können.Finally, we note that Safari
/ WebKit is the only browser engine permitted on iOS devices re-
gardless of web browser app.
Dass DAS eine bekloppte Idee ist, war schon klar, bevor Apple es angekündigt hat. Apple-Kunden war das immer egal, ob Apple Dinge tut, die zu ihren Ungunsten sind. You are holding it wrong.Was an dem Angriff jetzt besonders ist, ist dass das halt mal jemand alles gemacht hat. Dass das prinzipiell geht, und dass Apple nichts tun wird, bis jemand die Arbeit investiert, um das zu zeigen, war auch offensichtlich.
Was ich an der Sache am gruseligsten finde:
This research was supported by the Air Force Office of Scientific Research (AFOSR) under award number FA9550-20-1-0425; an ARC Discovery Project number DP210102670; the Defense Advanced Research Projects Agency (DARPA) under contract HR00112390029 and W912CG-23-C-0022; the Deutsche Forschungsgemeinschaft (DFG, German Research Foundation) under Germany's Excellence Strategy - EXC 2092 CASA - 390781972; the National Science Foundation under grant CNS-1954712; and gifts by Cisco and Qualcomm.
Wer fehlt auf der Liste? Richtig! Apple!Apple-User lügen sich immer selbst einen in die Tasche, dass Apple schon irgendwie der einzige Tech-Konzern ist, der edel und rein ist und für seine Kunden nur das Beste will.
Kurz: Aus meiner Sicht ist das die Aufregung gerade nicht wert. Ist alles genau so, wie es schon lange klar war. Apple verkauft Mist und weiß es, sitzt auf unfassbaren Bargeldbergen und weiß nicht wohin damit, aber überlässt die Finanzierung derartiger Forschung dem Steuerzahler, Konkurrenten und dem Militär. Ja geil. Da willste doch deine Geräte kaufen!!
After 27 days of A12 blockades and more than 9,000 arrests, the Lower House is asking the cabinet to come up with a phase-out path for fossil subsidies.
Wir haben nicht zu viele Klimakleber in Deutschland. Wir haben zu wenige.Ja aber warte mal, Fefe, Subventionen für klimaschädliche Firmen? Sowas beklopptes würden wir Deutschen doch niemals machen!
Nun, äh, ... Machen wir, und zwar nicht nur im Konjunktiv.
In Deutschland werden danach aktuell mehr als 16 Milliarden Euro Steuergeld pro Jahr in klimaschädliche Subventionen für die Industrie investiert - und damit rund sechsmal so viel wie in deren klimafreundlichen Umbau.Immer diese Scheiß Klimakleber, ey!1!! Immer nur alles kaputt machen die!!1!
Die Revolution musste leider abgesagt werden. Das Betreten des Rasens war verboten.
A Democrat running for a crucial seat in Virginia’s House of Delegates performed sex acts with her husband for a live online audience and encouraged viewers to pay them with “tips” for specific requests, according to online videos viewed by The Washington Post.
Ich finde ja besonders den Halbsatz am Ende toll. Online videos viewed by The Washington Post. Endlich lohnt sich der Pornokonsum unserer Redaktion, liebe Leser!! :-)Die betroffene Politikerin argumentiert jetzt, das sei eine Verletzung ihrer Privatsphäre, und ihr Anwalt meint, im Übrigen könne man ja auch mal das Revenge-Porn-Verbot anwenden, das anscheinend weitreichend genug formuliert ist, dass es nicht nur tatsächlichen Revenge-Porn umfasst.
Update: Saved on Google ist anscheinend sowas wie ein Link-Sharing-Dienst, und dieser Typ hat seine Bookmarks da (unabsichtlich?) rein verbunden.
Die USA schlagen Alarm: China und Russland seien fähig, Satelliten zu hacken und zu kapern. Es gebe keine unkritische Infrastruktur im All, mahnen Experten.Ach. Ach was. Das ist ja unglaublich, Bob! Da rufe ich doch sofort die Nummer neben meiner Landesflagge an!
"Jeder ist auf den Weltraum angewiesen", weiß Steve Colenzo vom Air Force Research Laboratory im US-Bundesstaat New York.Das hat bestimmt die CIA herausgefunden. Die finden ja alles raus. Alles finden die raus!
Ja aber was machen wir denn jetzt? Jetzt wo sich völlig überraschend herausstellt, dass alle Akteure wohlwollend interpretiert gepennt haben und weniger wohlwollen interpretiert absichtlich Security ausgeblendet haben?
Die Autoren schlagen eine "Open-Source-Cybersicherheitsanalyseplattform im Zusammenhang mit Kleinsatelliten" vor.Scheiße, Bernd! Da hätten wir auch selber drauf kommen können! JETZT ruf ich aber schnell die Nummer neben der Landesflagge an!!1!
Ich wundere mich ja, dass noch keiner Antiviren vorgeschlagen hat.
Die Kläger behaupten, HP habe seine All-in-One-Drucker absichtlich so designt, um den Verkauf von Utensilien anzukurbeln.Das hat bestimmt die CIA herausgefunden!
Aber wartet, der Klopper kommt noch:
Scannen oder Faxen erfordere aber keine Tinte. HP hielt dagegen, Freund könne sich nicht auf die Aussage eines firmeneigenen Kundendienstmitarbeiters als Beweis dafür verlassen, dass das Unternehmen von der Einschränkung wusste.Das Unternehmen, DAS DIESE GERÄTE BAUT, sagt hier gerade dem Richter: Nur weil UNSER SUPPORT das wusste, heißt das nicht, dass WIR das wussten!1!!
Mit anderen Worten: Die Ingenieure, die die Geräte entworfen haben, wissen auch nicht, was die Geräte tun. Sagt HP offiziell vor Gericht.
Ich habe ja noch nie verstanden, wieso irgendjemand denen ihre Produkte abkauft.
Article 6 (para II and III) of the SREN Bill would force browser providers to create the means to mandatorily block websites present on a government provided list.
Ich frage mich ja immer, was in den Köpfen von Menschen vorgeht, die so eine Idee überhaupt Dritten gegenüber zu äußern wagen. Merken die nicht, was das für faschistische Kackscheiße ist?Nicht mal China und Russland sind bisher so tief gesunken!
Das war ein Projekt für Großbritannien, aber wieso sollte das bei anderen Windfarmen anders aussehen?
Immerhin haben die Bundesländer jetzt eine Idee, wie sie die Bürger zum Mitmachen bei Windfarmen bewegen können: Bestechung ... äh Gewinnbeteiligung! Das hätte man natürlich auch von Anfang an so machen können, aber dann hätte man ja die Idealisten nicht für lau gekriegt alle.
Update: In der Telepolis meint jemand, dass "Fossil-atomare Unternehmen" absichtlich Dumpingangebote bei solchen Ausschreibungen eintüten, den Zuschlag kriegen, und dann das Projekt wegen Kostensteigerungen absagen. Das Ziel wäre die Ausbremsung der erneuerbaren Energien als Konkurrent zu deren Kerngeschäft, nicht das tatsächliche Errichten von Windfarmen.
Auch ich hatte vor einer Weile einen Vortrag dazu gehalten und ins Netz gestellt, wo ganz andere Dinge rauskamen. Wie kann das sein?
Nun, das liegt an zwei Dingen. Erstmal ist Zero Trust inzwischen so ein Buzzword, das der Sinn auf dem Weg flöten gegangen ist. Jeder verkauft gerade unter dem Label Zero Trust alles. Googelt nur mal Zero Trust AI und staunt.
Mein geschätzter Kollege Kris Köhntopp hat auch einen langen Erklär-Thread gepostet, wo er nochmal auf andere Ergebnisse kommt als das BSI und ich. :-)
Eine Sache möchte ich aber mal kurz klären. Zero Trust heißt nicht assume breach. Zero Trust heißt, dass du von Perimetersicherheit als Modell wegkommst. Perimetersicherheit ist die Idee, dass wir ein vertrauenswürdiges internes Netz haben, und ein böses Internet, und dazwischen tun wir eine Firewall und dann sind wir sicher. Stellt sich völlig überraschend raus: Wenn du böse E-Mails durch die Firewall lässt, und ein VPN, dann kannst du dir die Firewall im Wesentlichen auch ganz sparen.
Zero Trust ist daher die Idee, dass alle Rechner so gebaut werden, auch und gerade die im Intranet, dass sie starke Authentisierung haben wollen, und Daten nur verschlüsselt übertragen.
Zero Trust sagt nicht, dass die Kisten Secure Boot haben müssen, oder Binaries signiert werden, oder dass da Telemetrie gemessen und ausgewertet wird. Oder dass die Software Least Privilege wird und man die TCB minimiert. Das ist alles orthogonal.
Zero Trust heißt, dass du einkommender Kommunikation nicht auf Basis ihrer IP-Adresse vertraust.
Lasst euch also vom BSI nicht aufschwatzen, dass ihr Endpoint Security für Zero Trust braucht, oder ein SIEM, etc pp. Und lasst euch von Kris nicht erzählen, dass das die Strukturen unbeweglich macht. Kann es, muss es aber nicht. Denkt lieber aus der anderen Richtung drüber nach. Wenn jemand rumspielen will, braucht der halt Erlaubnis in Form von Keys für seine Kommunikation. Den Keys kann man dann minimale Zugriffsrechte geben, und man kann auf der Serverseite sehen, welcher Key reinkam, und entsprechend erkennen, welcher Service mit welchen anderen Services redet. Das ist VIEL besser als im Moment, wo niemand sich traut irgendwas jemals wieder anzufassen, weil gar nicht bekannt ist, was sonst alles davon abhängt und wie das verzahnt ist.
Ich möchte mich bei unseren europäischen Nachbarn für Ursula von der Leyen entschuldigen.
Wenn wir gewusst hätten, dass die nach ihrem Rausschmiss in Deutschland zur EU hochbefördert wird und dann dort nach Belieben marodieren und brandschatzen darf, dann hätten wir sie lieber noch ein paar Jahre hier im Amt behalten.
Klar, sie hätte auch hier unermesslichen Flurschaden angerichtet, aber wenigstens müsstet ihr, liebe Nachbarn, das jetzt nicht ausbaden.
Es war jedenfalls keine Absicht. Wir wussten, wie schlimm die ist. Niemand hat das verdient, von dieser Frau in Grund und Boden regiert zu werden. Wir hätten euch die nicht geschickt, schon gar nicht vorsätzlich.
Wir bitten um Verzeihung!!
Users often depend on websites trusting the client environment they run in.
Äh... nein. Anders herum. User vertrauen dem Client-Environment, dass es Webseiten keine Scheiße machen lässt.This trust may assume that the client environment is honest about certain aspects of itself, keeps user data and intellectual property secure, and is transparent about whether or not a human is using it.
Ooooh hast du dir ein kaputtes Geschäftsmodell überlegt, weil du zu blöde warst, dich vorher über die Gegebenheiten der Umwelt zu informieren, in der du kräftig auf den Rasen kacken wolltest? Das ist aber bedauerlich, lieber Startup-Gründer, lieber Tech-Bro, lieber VC-Verbrenner.This trust is the backbone of the open internet, critical for the safety of user data and for the sustainability of the website’s business.
DAS ist das Optimierungsziel von Google, wenn sie vom "offenen Internet" reden: Die wollen eine Garantie, dass ihre "Geschäftsmodelle" zulasten der User funktionieren, und dass die sich nicht wehren können. Und nachdem ihr Deppen alle blöde genug wart, deren Browser zu benutzen, können sie das jetzt auch einfach mal so machen.Seid ihr stolz auf euch? Solltet ihr. Ihr habt ganze Arbeit geleistet.
Das fragt ihr euch doch auch, oder?
Nun, hier ist eine kurze Durchsage des Premierministers von Australien dazu:
JOURNALIST: In your experience, do you think that Australians understand the challenges we really face when it comes to cyber security?[...]PRIME MINISTER: [...] We need to mobilise the private sector, we need to mobilise as well consumers. We all have a responsibility. Simple things, turn your phone off every night for five minutes. For people watching this, do that every 24 hours, do it while you’re brushing your teeth or whatever you’re doing.
Gut, dass wir das mal geklärt haben.Wisst ihr was? Wenn das gut für die Sicherheit ist, dann schalte ich gleich mal ab. Und zwar nicht nur 5 Minuten. 10 Minuten!!
Mal ohne Scheiß jetzt: Das ist natürlich so erstmal Blödsinn. Was der sagen wollte, ist dass mal Geräte für Betriebssystemupdates gelegentlich mal booten muss. Üblicherweise fragt einen der Updater dann, ob jetzt genehm wäre, und dann sagt man: Ja. Und zwar sofort, wenn man gefragt wird, sagt man das.
Ab und zu mal eine App neu starten schadet auch nicht, aber nutzt im Allgemeinen auch nichts. Es gibt ein Szenario, wo das nutzen kann, nämlich wenn jemand einen Exploit in die App lädt aber nicht auf Platte schreibt.
Leider wissen die meisten Leute nicht, wie man Apps beendet, weil das nicht Teil des von den Herstellern gewünschten UIs ist. Google und Apple wollen es ja gerade so aussehen lassen, als müsse man sich um derlei Details nicht kümmern. Apps werden im Hintergrund geschlossen und neu gestartet, und speichern ihren Zustand solange im System.
Insofern ist das nicht völlig blöde, sein Telefon ab und zu zu booten. Aber viel wichtiger wäre, dass man alle Updates eingespielt hat. Und DAS macht Google ja schlicht nicht. Absichtlich nicht. Damit ihre "Partner" schön immer wieder neue Android-Schrottgeräte die Pipeline runter drücken können, die Android-Kunden dann kaufen müssen; weil es für das alte Gerät keine Updates mehr gibt.
Wenn wir doch nur eine europaweite Union hätten, die derartig umweltzerstörendes Verhalten verhindern könnte mit Regulierungsbehörden oder so!1!!
Ich habe einen Internetzugang bestellt, aber an dem Anschluss liegt kein Internet an sondern "Carrier Grade NAT" ohne öffentliche IP-Adresse.
Gibt es da schon eine Beispielklage der Verbraucherzentralen oder muss man das selber machen?
Update: Jetzt kommen hier neben sachdienlichen Hinweisen (bei der Hotline "VPN" sagen) auch lauter erschütterte Leserbriefe rein, dass jemand wie ich sein Internet von jemandem wie Vodafone bezieht. Ich bin ehrlich gesagt mit deren Performance ansonsten ganz zufrieden. Ich bin Kabel-Deutschland-Kunde, da bekam man eine public IP. Die wurden dann von Vodafone gekauft. Mein aktueller Tarif ist ein 100 MBit-Tarif, denn mehr kommt hier eh nicht über das WLAN bei der Familie an, und mir reichen 100 mbps.
Mir ist vor allem wichtig, nicht bei der Telekom Kunde zu sein. Da bist du nicht Kunde sondern Erpressungs-Faustpfand. Die Telekom hat absichtlich wenig Peering, damit sie dann zu Netflix gehen kann, und sagen kann: Hör mal, dein Video ruckelt für unsere Millionen von Kunden. Miete doch mal bei uns im RZ ein Rack, dann wird das besser!
Ein Kumpel von mir hat sich neulich erst darüber beschwert, dass imgur so lahm sei. Ich so: wat? Ist einer der flutschigsten Dienste im Internet! Der ist bei der Telekom. Daher fallen bei mir Telekom und -Reseller direkt raus. Imgur ist übrigens bei AWS. Könnt ihr euch ja selber überlegen, was das heißt.
Diese Art von Problem habe ich mit Kabel Deutschland nie gehabt, auch nicht nachdem Vodafone die gekauft hat. Internet-Dienste flutschen. Downloads flutschen. Ich habe immer, wenn ich drauf achte, maximalen Durchsatz. Sei es bei git up, sei es bei rustup, sei es beim Archivieren von Videos von Youtube. Kabel-Internet ist ein shared medium, d.h. ich konkurriere mit meinen Nachbarn um die Bandbreite. Davon habe ich aber nie etwas gemerkt.
Kurz: Ich bin mit deren Internet an sich zufrieden, nur will ich halt eine public IP haben, damit ich mich von Geschäftsreise zuhause einloggen kann. Was mich vor allem nervt: Langlaufende TCP-Verbindungen sterben bei ein paar Minuten Inaktivität einfach so. Das bin ich nicht zu dulden gewillt.
Wieso nehm ich nicht einfach IPv6? Weil da kein IPv6 bei meinem Router ankommt von außen. Ich habe oben absichtlich nicht IPv4 gesagt. Eine public IPv6 hätte mir gereicht.
Der Vodafone-Helpdesk hat mir gerade gesagt, IPv6 sei erst bei dem 250 mbps-Tarif bei, und der koste dasselbe was ich jetzt für 100 zahle. Ich so: Als zeitlich befristetes Lockangebot? Er so: Nein. Generell. Ich so: Wieso gibt es denn IPv6 erst ab 250? Er so: Verstehe ich auch nicht.
Lolvodafone! Naja, werden wir ja dann hoffentlich bald sehen, ob bei 250 IPv6 bei meinem Router ankommt.
Nehmt nur Barracuda. Die bauen "Email Security Gateways". Allerdings so schlecht, dass die reihenweise gehackt wurden.
Wenn man kurz einhält und sich fragt, was die zentrale Sicherheitszusage eines "Email Security Gateways" ist, dann fällt einem schnell auf, dass es das Netz vor Angriffen schützen soll, das heißt mindestens nicht selber hackbar sein darf.
Nicht nur kann Barracuda keine sicheren Appliances bauen, wie man an diesem Vorfall schön sieht. Sie sind auch nicht in der Lage, das ohne externe Hilfe zu bemerken (es brauchte einen externen Hinweis) oder aufzuklären (sie brauchten die Heißluftgebläse von Mandiant). Und jetzt der neue Rekord: Sie sind auch nicht in der Lage, gehackte Geräte wiederherzustellen.
Barracuda’s remediation recommendation at this time is full replacement of the impacted ESG.
Wegschmeißen! Dem kann ich mich nur anschließen. Einem Hersteller, der eine Security Appliance verkauft, die gehackt werden kann, sollten man sofort alle Artefakte aus allen zugreifbaren Netzen rausschmeißen.Aber diese Meldung ist auch in anderer Hinsicht toll. Ein hocharomatisches Geschmackserlebnis für alle Security-Interessierten!
The vulnerability stemmed from incomplete input validation of user supplied .tar files as it pertains to the names of the files contained within the archive.
Wenn du Dateien auspackst, um auf Malware zu scannen, hast du im Wesentlichen EINEN JOB: Nicht von komischen Dateinamen im Archiv verarschen lassen.Aber wartet, wir noch krasser.
Consequently, a remote attacker could format file names in a particular manner that would result in remotely executing a system command through Perl's qx operator with the privileges of the Email Security Gateway product.
Perl! Der externe Kommandos ausführen darf! Und der auch noch mit den maximalen Zugriffsrechten läuft!Mir fällt gerade kein Weg ein, wie sie noch krasser verkacken könnten. Wer von so einem Laden Security-Produkte kauft, hat alles verdient, was ihm danach deswegen zustößt.
Update: Mit "Appliance" ist hier nicht zwingend ein Gerät gemeint, sondern kann auch ein VMware-Image sein. Elektroschrott entsteht also immerhin nicht notwendigerweise beim Wegwerfen.
Um diese Kunstform ist es in letzter Zeit etwas ruhig geworden, wenn man mal von den russischen Fensterstürzen absieht.
Doch damit ist jetzt Schluss! Italien legt vor!
Geheimagenten ertrinken bei der Party im Lago Maggiore – war das Touristenboot völlig überladen?Ja! Wirklich! Ein Bootsausflug auf dem Lago Maggiore säuft ab (übrigens sehr zu empfehlen als Ausflugsziel, wenn man mal in der Nähe ist), und dann kommt raus, dass da lauter Geheimdienstler an Bord waren.
Für vier Menschen kam jedoch jede Hilfe zu spät. Zwei Frauen und zwei Männer starben, darunter die Frau des Kapitäns – eine 50-jährige Russin. Die drei anderen Todesopfer waren für den Geheimdienst tätig.Das klingt ja geradezu wie ein diplomatisches Gipfeltreffen! Jetzt müsste man nur noch wissen, bei welchem Geheimdienst die Überlebenden arbeiten.[…]
Das israelische Außenministerium teilte mit, dass eines der Todesopfer ein Mann „in seinen Fünfzigern“ aus Israel war, der früher bei den Sicherheitskräften tätig gewesen sei. Zudem seien ein 62-jähriger Mann und eine 53-jährige Frau gestorben, die beide für einen italienischen Geheimdienst arbeiteten
Update: Laut n-tv waren in der Gruppe acht Geheimagenten aus Italien und dreizehn aus Israel. Der Bootsverleih wurde überhaupt erst im April gegründet, sagen sie. Außerdem:
Suspekt scheint dem einen oder anderen allein schon, dass die überlebenden israelischen Agenten gleich mit einem Sonderflug in die Heimat zurückgebracht wurden und die italienischen Kollegen so schnell wie möglich vom Bildschirm verschwanden.
(Danke, Heiko)
Hohlmeier schildert dabei eine offenbar gängige Praxis: "Es taucht regelmäßig jemand auf, der zunächst mal anfragt, ob er nicht zum Billigpreis das Unternehmen kaufen könnte. Wenn das Unternehmen antwortet, dass es beabsichtigt, weiter hier tätig zu sein und sogar auszubauen, dann beginnen erneute, weitere Drangsalierereien. Die reichen wirklich bis zu Besuchen bei Familien zu Hause."Naja gut, denkt ihr euch jetzt vielleicht, so einen Pferdekopf vor der Haustüre kennt man ja aus Sizilien. Das ignoriert man halt weg. Aber wartet, geht noch weiter!
Dazu kommen Inspektionen oder behördliche Anordnungen. Oft werden Genehmigungen zur Teilnahme an Förderprogrammen der EU nicht erteilt. Die Unternehmen sollen mürbe für einen Verkauf gemacht werden. "Und wenn sie immer noch Widerstand leisten", so die Erkenntnis von Monika Hohlmeier, "dann macht man neue Maßnahmen. Wenn es ein Gerichtsurteil gibt, gibt’s am nächsten Tag ein neues Gesetz, eine neue Verordnung, um sie wieder ins Minus zu treiben. Es waren hier Unternehmen, die jährlich mit einem Minus von 70 Millionen, 80 Millionen, 100 Millionen kämpfen müssen."Und am Ende gehört dann alles Orbans Oligarchen-Kumpels, da hilft dann auch ein Regierungswechsel nicht mehr.
Update: Ja, DIE Monika Hohlmeier. Wenn sich jemand mit Korruption auskennt, dann ja wohl die! Das muss richtig schlimm sein, wenn sich Monika Hohlmeier über Korruption dort aufregt.
Ich hatte damals berichtet und kommentiert, dass ich den Schönbohm nicht mag und mit seiner Arbeit und der Arbeit des BSI unzufrieden bin, aber er nicht wegen dieser Scheiße zurücktreten sollte, sondern weil er schlechte Arbeit macht.
Nun, die Faeser hat ihn damals geschasst. Feuern konnte sie ihn nicht mangels Beweisen, denn der Schönbohm ist ja im Gegensatz zu der Faeser zwar nicht inhaltlich aber wenigstens prozedural ein Profi und hat sich immer alles abzeichnen lassen, bevor er es gemacht hat.
Jedenfalls hat die Nummer jetzt ein Nachspiel. Setzt euch fest hin, denn das wird euch sonst aus dem Stuhl fegen!
Nun, sechs Monate später, steht fest: Die Vorwürfe waren offenbar haltlos. Nach unseren Informationen aus Regierungskreisen räumte das Innenministerium Ende April in einem entsprechenden Schreiben an Schönbohms Anwälte ein: Die sechsmonatigen behördeninternen Voruntersuchungen hätten keine Anhaltspunkte gebracht, die die Einleitung eines Disziplinarverfahren rechtfertigen würden.Ach. Ach was.
Da stellt sich mir direkt eine Frage, von der ich mir wünsche, dass sie auch von anderen gestellt wird: Ist die Faeser schon zurückgetreten? Wenn nein: Warum nicht?!
Frau Faeser hat sich in der ganzen Nummer voll verrannt, lag von Anfang an erkennbar falsch und sollte jetzt Konsequenzen tragen.
Landgericht München: Massenabmahnungen wegen Google-Fonts-Einbettung waren rechtsmissbräuchlich. Das Gericht führt aus, dass die Abmahner die Webseiten ja gar nicht persönlich besucht haben, sondern das war ein Crawler.
"Vielmehr wurde ein automatisiertes Programm (sog. Crawler) eingesetzt, um Websites aufzufinden, auf denen Google-Fonts dynamisch eingebunden waren. (...) Wer Websites gar nicht persönlich aufsucht, kann persönlich auch keine Verärgerung oder Verunsicherung über die Übertragung seiner IP-Adresse an die Fa. Google in den USA verspüren", heißt es zur Begründung.*Tusch*
Wartet, wird noch besser.
Wer sich bewusst und gezielt in eine Situation begibt, in der ihm eine Persönlichkeitsrechtsverletzung droht, um daraus Ansprüche abzuleiten, sei nicht schutzbedürftig.Wo sind solche Richter, wenn die Urheberrechtsmafia irgendwelche computerlosen Omas wegen offener WLANs verfolgt?
Ja warte mal, Fefe, wenn das rechtsmissbräuchlich war, war das dann Betrug?
Das Gericht entschied jedoch nicht über die Frage, ob es sich bei den Anschreiben um einen strafbaren Betrugsversuch oder vollendeten Betrug gehandelt hat. Darüber "hat die Staatsanwaltschaft in dem von ihr geführten strafrechtlichen Ermittlungsverfahren zu entscheiden".Wenn ihr mich fragt, könnte man hier auch darüber nachdenken, ob das nicht schwerer Betrug ist, weil eine Bande gewerbsmäßig gehandelt hat.
In response to a new law that requires porn sites to verify users’ ages, Pornhub has completely disabled its websites for people located in Utah.
Erstens: Nitrokey verbreitet, dass der Qualcomm-Chipsatz deine privaten Daten in die Cloud hochlädt.
Das ist Blödsinn. Der Cloud-Kontakt von dem Qualcomm-Chipsatz ist das Runterladen des GPS-Almanachs. GPS funktioniert so, dass Satelliten Signale schicken, und du kannst dann deine Position ausrechnen, wenn du die Signale siehst, und weißt, wo die Satelliten gerade waren. Im Signal ist ein Timestamp, mit dem du sehen kannst, wie lange das Signal unterwegs war. Jetzt musst du nur noch wissen, wo die Satelliten sind, und da deren Laufbahnen ständig nachkorrigiert werden, sind das keine statischen Daten. Die Positionen stehen in einem sogenannten Almanach, und den lädt Qualcomm halt alle zwei Wochen oder so aus der Cloud nach.
Dass das über HTTP geht, kann man kritisieren. Aber was Nitrokey hier verbreitet überschreitet die Grenze der grotesken Inkompetenz und sieht für mich nach mutwilliger Irreführung aus.
Zweitens: Heise verbreitet, dass Google Authenticator deine Zwei-Faktor-Seeds in die Cloud backupt und dabei nicht Ende-zu-Ende-Krypto einsetzt.
Analysieren wir doch mal die Situation. Wir haben hier ein Cloud-Backup "im Klartext", d.h. der Typ in der Cloud kann die Daten einsehen. Der Weg zur Cloud ist TLS-verschlüsselt, und Google spricht jetzt davon, dass die Daten auch verschlüsselt bei ihnen abgelegt sind. Das ist natürlich ekelhafte Irreführung, denn damit meinen sie Platten-Krypto. Das schützt gegen "jemand bricht bei Google ein und klaut die Platten". Es schützt nicht gegen "jemand bricht bei Google ein und kopiert die Daten". Das ist das Szenario, vor dem man hier Sorgen haben sollte, und da hat Heise einen Punkt, dass das ein Problem ist.
Auf der anderen Seite läuft auf deinem Telefon Google-Software. Das Google-Android schützt deine Seeds auf dem Telefon vor dem Zugriff anderer Apps und verhindert Netzwerk-Kommunikation der Google Authenticator App. Wenn dein Bedrohungsmodell also ist, dass jemand bei Google einbricht und dort böse Dinge tun kann, dann hast du eh schon komplett verloren, weil derjenige dir auch ein böses Android-Update schicken kann, das deine Seeds auf Facebook postet oder bei Github hochlädt oder so.
Was hätte man besser machen können? Man könnte das Backup mit einem Schlüssel verschlüsseln, den Google nicht kennt. Allerdings muss diesen Schlüssel halt dein Telefon kennen, sonst kann es ja nicht die Daten damit verschlüsseln, und die Software auf deinem Telefon kommt von Google. Die Forderung hier ist also gerade, dass Google deine Daten vor Google schützt. Das klingt nicht nur bekloppt, das ist bekloppt.
Zusammenfassend: Ich würde nie meine Daten zu Google (oder sonstwo) in die Cloud backuppen oder auch nur mein Windows an einen Microsoft-Account binden. Aber selbst mit dieser paranoiden Grundeinstellung bin ich machtlos, mich auf einem Android-Telefon gegen böse Updates zu wehren.
Insofern: Ist das ein Problem? Ja. Aber ein weitgehend akademisches. Mit "E2E" (passt in diesem Szenario eigentlich nicht, weil beide Enden du selbst bist) würde man sich gegen ein Szenario schützen, wo ein Einbrecher es innerhalb von Google bis zu dem Backup-Storage schafft, aber nicht die Updates kompromittiert kriegt. Ist das sonderlich realistisch? Müsst ihr selbst beurteilen. Aus meiner Sicht sieht das nach "Sommerloch bei Heise" aus. Wenn du mit Firmen wie Microsoft oder Google überhaupt kooperierst, hast du schon direkt ziemlich komplett verloren. So zu tun als gäbe es da Graustufen und man hätte aber eigentlich doch noch Reste von Kontrolle ist aus meiner Sicht Augenwischerei.
Ist 2FA damit vollständig Bullshit? Ich bin grundsätzlich kein Freund von 2FA, weil das im Wesentlichen nur einen Zweck erfüllt: Eine Beweislast- und Schuldumkehr von Google zu mir. Vorher: Mein Google-Account wird gehackt? Google war Schuld. Nachher: Mein Google-Account wird gehackt? Ich bin Schuld.
Wieso würde ich da mitspielen wollen? Sehe ich nicht ein.
Aber WENN man schon 2FA macht, dann zwischen konkurrierenden Firmen. Wenn Microsoft 2FA erzwingt, dann generiere das Token unter Android. Wenn Google 2FA erzwingt, generiere das Token unter Windows oder Linux oder sonstwo, wo Google nicht rankommt. D.h. dann auch: Wo kein Chrome läuft!
Der ganze postulierte Sicherheitsgewinn von 2FA kommt daher, dass Username+Passwort und Token nicht an derselben Stelle abgreifbar sind. Das muss man dann auch sicherstellen. Wenn du also Google Authenticator verwendest, dann darfst du dich von dem Android aus nie in den Account einloggen, sonst kann Google auch Username+Passwort sehen (über die Keyboard-App u.a.).
Update: Hat der Fefe gerade argumentiert, dass man Cloud-Backup nicht verschlüsseln muss? Nein! Das ist grundsätzlich eine gute Idee. Da gibt es gute Gründe für, Backups immer zu verschlüsseln, auch wenn das Backup lokal ist. Nehmen wir an, eine der Platten geht kaputt und du willst die entsorgen. Wenn die Backups verschlüsselt waren, kannst du die einfach wegschmeißen (der Schlüssel darf dann natürlich nicht daneben liegen). Wenn die Backup-Infrastruktur komplett nur verschlüsselte Daten sieht, kannst du da unvertrauenswürdige Infrastruktur einsetzen (z.B. ein SMB-Share, NFS, Cloud-Storage, whatever). Da kann dann nichts absichtlich oder versehentlich leaken. Wenn die Software Temp-Files rumliegen lässt oder Daten im RAM cached, dann musst du dir keine Sorgen machen.
Aber die Gelegenheit war günstig, mal zu zeigen, wie man so eine Risikoanalyse in der Praxis machen sollte. Mein Argument war nicht, dass Backup-Crypto nicht notwendig ist, sondern dass Google auch mit Backup-Crypto an deine Daten rankommt und daher die Auswirkungen nicht so groß sind wie man erstmal instinktiv annehmen könnte.
Es gibt noch ein Argument für E2E-Krypto in diesem Fall. Wenn jemand bei Google deine Daten abgreifen will, kann der im Moment entweder dir ein böses Update schicken oder deine Backups abgreifen. Die Risiken sind additiv. Wenn du die Backups ordentlich verschlüsselt hast, bleibt zwar der andere Teil des Risikos bestehen, aber dieser Teil fällt weg. Hilft halt nichts gegen "der CEO / das FBI verlangt Zugriff auf deine Daten", und das ist der Fall, der mir persönlich mehr Sorgen machen würde.
Update: Ja aber Fefe, muss ich mir für meinen Google-Account ein Iphone kaufen, damit das 2FA auf einem anderen Gerät als dem Android läuft? Nein. Für sowas kann man auch FIDO2-Tokens nehmen, von Yubikey oder so.
"Bei KI muss die Geheimformel geprüft werden können"
Hier nochmal für alle zum mitmeißeln: Bei "KI" gibt es keine Formel. Auch keine Geheimformel. Es gibt eine lange, lange Liste von Zahlen (Gewichte in einem neuronalen Netz). Ob die veröffentlicht werden oder nicht spielt keine Rolle.
Also doch, spielt eine Rolle. Wenn die veröffentlicht werden, und die Struktur des Netzes auch, dann kann jeder eine Kopie davon selbst betreiben.
Aber es legt halt nichts offen im eigentlichen Wortsinne. Mit oder ohne Zahlen kannst du nicht wissen, was rauskommt, außer durch Ausprobieren. Es gibt keinen Algorithmus, den man verstehen oder debuggen kann.
Eine Formel wird konstruiert oder von mir aus gefunden. Eine "KI" wird trainiert. Während des Trainings ändern sich (je nach Verfahren) die Gewichte im Netz und/oder die Struktur der Vernetzung. Es gibt keine Formel.
Viel Sachkenntnis braucht es bei den Grünen offensichtlich nicht, um sich "Digital-Experte" nennen zu dürfen.
"Für die Zukunft ist eine Zertifizierung von KI denkbar, eine Art Prüfsiegel. Unabhängige Aufsichtsbehörden, auch und gerade auf EU-Ebene, werden sehr genau hinschauen müssen."*facepalm*
Es ist egal, wie genau die auf die Liste mit den Zahlen schauen! Durch Hinschauen gelangt man da zu keinen Erkenntnissen! Nicht nur die Behörde nicht. Auch die nicht, die das Training durchgeführt haben.
"Solange wir nicht wissen, auf welcher Basis Informationen gefiltert und zusammengestellt werden, ist das Risiko von Manipulation und Desinformation groß."Au weia. Das ist so falsch, dass nicht mal das Gegenteil stimmt. Ob du einen Sprachgenerator für Manipulation und Desinformation nutzen kannst, hat wenig bis gar nichts damit zu tun, wie es trainiert wurde. Das Bedrohungsszenario bei "KI" ist doch nicht, dass der Hersteller da absichtlich einen manipulativen Spin einbaut. Das Bedrohungsszenario ist, dass Leute wie von Notz nicht verstehen, was ein Language Model ist und was es nicht ist, und was von Desinformation in die Kamera faseln.
Interessant auch, dass es in Bezug auf die Pipeline Story einhelliges Bashing gab, dass sowas kein Journalismus sei mit einer anonymen Quelle und das gleiche bei der Cyberkrieger Sache als exklusiv, investigativer Qualitätsjournalismus geframed wird. Von den gleichen Akteuren.Da habe ich ein paar Zuschriften zu gekriegt, die Seymour Hershs Quelle mit dem anonymen Whistleblower des ukrainischen Militärgeheimdienstes vergleichen. Es gibt da aber einen fundamentalen Unterschied. Seymour Hersh kennt seine Quelle. Die "exklusiven" "Investigativ"-"Journalisten" nicht.
Bei Hersh gibt es also eine Konstellation "ich vertraue dem Hersh, dass seine Quelle glaubwürdig ist". Diese Cyberwar-Nummer kam von einer anonymen Quelle, d.h. die SZ ist in der Position, in der ich bei Hersh bin. Es gibt für mich also keinen Grund, der SZ zu glauben, dass ihre Quelle kein ukrainischer Geheimdienst-Psyops-General war. Das wissen sie selber nicht.
Wenn man Seymour Hersh nicht traut, ist das natürlich egal, was er für Zusicherungen macht, wie toll seine Quelle ist. Daher habe ich auch absichtlich im Blog so formuliert:
Seymour Hersh glaubt, dass es die USA waren, die Nord Stream gesprengt haben.Keinerlei "dann wird das wohl stimmen", kein "klingt plausibel", kein "also ICH glaube das".
Die IT-Beratung Materna SE aus Dortmund ist am Samstag dem 25.03.2023 Ziel eines professionell ausgearbeiteten Cyber-Angriffs auf Netzwerkebene geworden. Dabei wurden Systeme im Unternehmensnetzwerk attackiert sowie kompromittiert.Lass mich das mal kurz verständlicher formulieren: Wir haben verkackt und wurden gehackt.
Zum gegenwärtigen Zeitpunkt sind die Systeme und Dienste aus Sicherheitsgründen vorübergehend in der Verfügbarkeit eingeschränkt.Nee. Nicht aus Sicherheitsgründen. Aus Unsicherheitsgründen. Weil ihr eure Security verkackt hattet.
Unmittelbar nach dem Sicherheitsvorfall wurden die zuständigen Ermittlungsbehörden (Zentralstelle Cyber-Crime) hinzugezogen.Na DANN ist ja alles gut jetzt!1!!
Parallel sind externe unabhängige Sicherheitsdienstleister für die forensische Untersuchung sowie die Absicherung und Wiederherstellung im Einsatz.Wieso habt ihr das Geld nicht vor dem Vorfall in die Hand genommen sondern verbrennt es jetzt, wo es nicht mehr hilft?
Zusätzlich wurde eine Erstmeldung bei der Datenschutzbehörde erfolgreich abgesetzt, um präventiv bei einer möglichen Datenkompromittierung agieren zu können.Nee, nicht um präventiv agieren zu können, sondern weil das DAS GESETZ IST.
Die Materna SE aus Dortmund hat Sofortmaßnahmen sowie reguläre Maßnahmen zum Schutz der Kundendaten sowie internen Daten veranlasst, um die Situation zu überwachen sowie im gesicherten Umfeld zu kontrollieren.Ah ja? Und welche Maßnahmen waren das bitteschön? Wie wollt ihr denn irgendwas kontrollieren können, jetzt wo die Angreifer im System waren und potentiell alles bereits rausgetragen haben?
Das Materna-Team ist optimistisch, den Angriff der Akteure auf das Unternehmen abzuwehrenAbwehren? Den Angriff, der bereits erfolgreich erfolgt ist? Den abzuwehren seid ihr optimistisch? Vielleicht solltet ihr mal professionelle Hilfe in Anspruch nehmen, und ich rede hier nicht von IT-Hilfe.
Update: Was macht Materna eigentlich beruflich? Nun, sie verkaufen den Leuten "Security". Ist euch mal aufgefallen, dass alle in Detektion und Post-Incident-Bürokratie investieren, aber keiner in Abwehr? Der Grund liegt auf der Hand. Wenn man in Abwehr investieren würde, müsste man Prozesse umstellen, und dann wäre sichtbar, was man vorher alles falsch gemacht hat. Wenn man so tut, als seien Cyberangriffe halt Schicksal und Detektion und Handling reicht, dann ist niemand schuld und alle werden früher oder später gehackt, wodurch dann erst recht niemand schuld ist.
In meiner Wahrnehmung gibt es Captchas auch nur noch mit bei Download-Diensten, die einen absichtlich zu Wartezeiten und Bullshit-Captchas nötigen, damit man das Premium-Abo abschließt.
Wenn mir eine Firma ein Captcha vor die Nase hält, ist sie mich als Kunden jedenfalls los.
Egal, was ich eigentlich erzählen wollte: GPT-4 hat einen Menschen überredet, ein Captcha zu lösen. Indem es ihn anlog, dass es eine Sehbehinderung hat und Hilfe braucht.
Ich finde, damit haben wir die Matrix erreicht. Menschen arbeiten für Maschinen. Im Film erzeugen Menschen Energie für Maschinen, in der Realität sparen Menschen den Maschinen Energieverbrauch. Wobei nicht klar ist, ob die Bilderkennung mehr Strom gefressen hätte als einmal das bekloppte Sprachmodell zu betreiben.
So ging mir das gerade bei der Lektüre von diesem Jonathan Haidt-Artikel. Jonathan Haidt hatte ich hier schon ein paar Mal verlinkt, der hat die Heterodox Academy mitgegründet. Da geht es darum, dass unter College-Professoren die politischen Positionen sehr einseitig verteilt sind und das am Ende dem jeweiligen Feld schadet, wenn da nur noch gegenseitiges Schulterklopfen statt kritischer Auseinandersetzung gemacht wird. Ihm ging es um Psychologie und Geisteswissenschaften, er ist auch selber Psychologieprofessor. In der Forschung ist sein Gebiet vor allem Moralfragen.
Haidt wurde berühmt mit einem Buch namens "The Coddling of the American Mind", auf das sich natürlich die ganzen Konservativen gestürzt haben, weil sie glaubten, es stütze ihre Position.
Aber betrachtet den Artikel mal unabhängig von dem ganzen geschichtlichen Ballast. Das Buch geht zurück auf eine Kooperation mit einem Freund, der unter Depressionen leidet, und dafür im Krankenhaus in Behandlung war, wo man ihm CBT beigebracht hat, Cognitive Behavioral Therapy. Sie haben ihm gezeigt, worauf er achten kann, in seinem eigenen Verhalten, um zukünftige Depressions-Episoden abzumildern oder ganz zu vermeiden. Anders ausgedrückt:
Thinking in these ways causes depression, as well as being a symptom of depression. Breaking out of these painful distortions is a cure for depression.
So und die These von dem Papier ist jetzt, dass viele dieser Verhaltensmuster heute (ihm geht es vor allem um Universitäten, aber das lässt sich auch auf Schulen und Bibliotheken verallgemeinern) angewendet werden, nicht um absichtlich die Schüler krank zu machen, aber dass das eben der Effekt ist.Naja, könnte man denken, dann zeig uns doch mal die Zahlen, dass die Uni-Studenten alle psychisch krank werden. Jetzt liegen da ein paar Zahlen vor. Besonders heftig betroffen sind junge linksliberale weiße Frauen.
Ich hatte noch nie von CBT gehört und daher ist die ganze Herangehensweise seines Kollegen absolut neu und faszinierend. Vielleicht geht euch das ja auch so.
New hotness: GPT-4!
So und jetzt guckt mal, was deren Metrik ist für das Training von dem Modell. Lauter Kompetenztests für Menschen!
Bar Exam ist sowas wie bei uns das Jura-Staatsexamen. LSAT ist der Eignungstest fürs Jurastudium. SAT ist der Scholastic Aptitude Test, damit testen Unis ihre Bewerber. USABO ist ein Wettbewerb in der Biologie.
AP steht für Advanced Placement, das ist ein College-Level-Test. Dann haben sie da drei Schwierigkeitsstufen eines Sommelier-Tests (Weinexperten) und eines Coding-Tests.
Mit anderen Worten: Microsoft richtet ihr Sprachmodell absichtlich darauf aus, dass es möglich gut in Prüfungen beim Bescheißen helfen kann.
Ich fände das ja super, wenn sich jetzt die ganzen "ich habe mich mit GPT-4 durch die Prüfung gemogelt"-Flachpfeifen bei Microsoft bewerben. Am besten sollten die nur noch solche Leute kriegen. Das wäre eine gerechte Strafe für so eine gesellschaftliche Sabotage.
Aber vielleicht sollte ich nicht überrascht sein, denn das ist das erste GPT-Release, seitdem Microsoft das KI-Ethikteam komplett gefeuert hat:
Kontext: Wikipedia zur Urananreicherung.
TL;DR: Für Kernkraftwerke braucht man 3-5% Anreicherung im Uran. Für Atombomben braucht man 85-90%.
Der Iran sagt offiziell, sie seien nur an friedlicher Nutzung interessiert und wollen auf 60% anreichern. Das ist an sich schon ein Widerspruch.
Die Mengen, die jetzt gefunden wurden, sind sehr klein. Der Iran ist auch nicht daran gebunden, keine Atomwaffen zu erforschen oder zu bauen, weil Donald "Trampeltier" Trump den Vertrag aufgekündigt hat, der das verboten hätte.
Der Iran sagt jetzt, diese Partikel seien bloß ein unbeabsichtigtes Nebenprodukt ihrer 60%-Anreicherung gewesen.
Das klingt erstmal direkt wie eine Schutzbehauptung, wobei aber nicht ganz klar ist, was hier geschützt werden sollte. Welches Land sollte dem Iran den Bau von Kernwaffen verbieten? Und mit welchem Recht?
Wenn ich der Iran wäre, würde ich jedenfalls Kernwaffen haben wollen. Die sind umzingelt von Bedrohungen. Israel hat schon im Iran herumgebombt und hat Atombomben, die Saudis haben auch Atombomben und sind dem Iran feindlich gesinnt, die Russen haben sich in letzter Zeit auch nicht gerade als stabilisierender Faktor herausgestellt... und die ständige Drohrhetorik der Amerikaner hilft sicher auch nicht. Wer kann dem Iran übel nehmen, wenn sie Atomwaffen haben wollen?
Der Iran wird das einfach erst offiziell ansagen wollen, wenn sie fertig sind. Nicht dass das was ändern würde. Was soll passieren, wenn sie das jetzt ansagen würden, dass sie natürlich doch an Atomwaffen arbeiten? Sanktionen? *schnaub*
Update: Die Saudis haben natürlich nicht offen angesagt, dass sie Atombomben haben. Aber sie haben den Pakistanis ihr Programm finanziert. Das werden sie ja wohl kaum aus Nächstenliebe getan haben.
In Diskussionen in kleineren Kreisen bin ich oft mit einfachen medialen Wahrheiten konfrontiert, auf die ich nicht sofort reagieren kann, weil ich ja auch kein wandelndes Lexikon bin. Beispielsweise:Diese Drecks-Nordkoreaner immer!https://www.tagesschau.de/ausland/europa/new-start-vertrag-101.html
-> "Putin bricht sein Wort."
Gefühlt hatte das natürlich eine Vorgeschichte, aber die muß ich erst recherchieren. Die Wahrheit ist erfahrungsgemäß komplexer als die kurze Meldung eines Nachrichtenmediums. Zeitleiste:
"Am 14. April 2000 wurde START II schließlich von der Duma ratifiziert, jedoch unter der Bedingung des Verbleibs der USA im ABM-Vertrag. Die USA kündigte den ABM-Vertrag jedoch wenig später, so dass START II nicht in Kraft trat."
https://de.wikipedia.org/wiki/Strategic_Arms_Reduction_Treaty#START_II"Nach den Terroranschlägen des 11. September 2001 kündigten die USA den ABM-Vertrag, um neue Raketenabwehrsysteme entwickeln zu können."
https://de.wikipedia.org/wiki/ABM-Vertrag"Der [INF-]Vertrag wurde am 1. Februar 2019 durch die USA mit der vorgesehenen 6-monatigen Frist aufgekündigt."
https://de.wikipedia.org/wiki/INF-Vertrag"Die Vereinigten Staaten sind als bisher einziger Staat rechtswirksam am 22. November 2020 aus dem Vertrag [über den Offenen Himmel] ausgestiegen."
https://de.wikipedia.org/wiki/Vertrag_über_den_Offenen_Himmel"Putin said Ukraine had sought to strike a facility deep inside Russia where it keeps nuclear bombers, a reference to the Engels air base."
https://www.reuters.com/world/putin-update-russias-elite-ukraine-war-major-speech-2023-02-21/
https://www.tagesspiegel.de/internationales/erneuter-angriff-auf-den-engelsstutzpunkt-drei-tote-nach-drohnenattacke-auf-militarflugplatz-in-russland-9090250.html"Präsident Donald Trump hingegen sprach sich während seiner Amtszeit mehrfach gegen Rüstungskontrollen und entsprechende Abkommen aus. Zuletzt sagte er einen Open-Skies-Vertrag ab, welcher die gegenseitige Kontrolle aus der Luft erlauben sollte. Trotzdem trafen sich der US-Sonderbeauftragte Billingslea und der russische Vize-Außenminister Riabakow zu Gesprächen zur Verlängerung des New-START-Abkommens. Präsident Trump bestand darauf, China mit in den Vertrag einzubeziehen, während die Regierung Chinas entgegnete, dass ein Einfrieren oder sogar Abrüsten nicht in Frage käme, da China nur ein Zwanzigstel der Atomsprengköpfe von einem der beiden Supermächte besitzt. Demzufolge müssten Großbritannien und Frankreich ebenso einbezogen werden, da sie ähnlich viele Atomwaffen besitzen. Die chinesische Regierung vermutete hinter der Forderung Trumps, die Verhandlungen absichtlich scheitern zu lassen.
Ende Januar 2021 unterzeichnete der russische Präsident Wladimir Putin eine mit den USA ausgehandelte Vereinbarung zur Verlängerung von New START, dem letzten großen atomaren Abrüstungsvertrag der beiden Staaten, um fünf weitere Jahre. Anfang Februar 2021 unterschrieb auch US-Präsident Joe Biden. Im August 2022 gab das russische Außenministerium bekannt, dass es Kontrollen von Atomwaffenbeständen im Rahmen des Abkommens vorerst aussetze. Das Außenministerium gab an, dass Russland wegen der Sanktionen gegen seine Flugzeuge in Zusammenhang mit dem Ukraine-Krieg keine Inspekteure in die USA fliegen könne. Deshalb würde eine Wiederaufnahme der US-Inspektionen auf russischem Gebiet den Amerikanern einen Vorteil verschaffen. Man werde sich aber weiter an New START halten. Am 21. Februar 2023 setzte Wladimir Putin die Teilnahme an New START aus. Das russische Außenministerium erklärte noch am selben Tag, Russland werde sich weiter an die Obergrenzen für nukleare Trägersysteme halten. Das russische Verteidigungsministerium erklärte am Tag darauf das gleiche und ergänzte, dass die USA, wie zuvor, weiterhin über Verlegungen von russischen Atomstreitkräften unterrichten würden, „um Fehlalarme zu verhindern“."
https://de.wikipedia.org/wiki/Strategic_Arms_Reduction_Treaty#New_START
die Einwilligung zur Aktivierung von "TrustPid" geschieht wie folgt:Man kann gar nicht so viel fressen, wie man kotzen muss.Du besuchst irgendeine "Partnerwebsite", z.B. bild.de. Da kriegst du sowas wie ein (womöglich modales) Cookie-Banner angezeigt. Wenn du dann gewohnheitsmäßig auf "Zustimmen" drückst, wird TrustPid aktiviert.
Das perfide daran ist, dass diese Zustimmung nicht nur für bild.de gilt, sondern für deinen gesamten Traffic auf allen "Partnerwebsites" ab diesem Zeitpunkt.
Du kannst mal davon ausgehen, dass alle "Partnerwebsites" dir das unterzuschieben versuchen werden, falls noch nicht geschehen.
laut Kollegenaussagen von „Volksverrätern der SPD und CDU“ gesprochen habe und sagte, Stohn hätte ruhig noch schneller fahren können.Der ist inzwischen suspendiert und jetzt versuchen sie rauszufinden, ob der die Rettung absichtlich verlangsamt hat.
Die Cloud ist sicher, müsst ihr wissen. Und außerdem verschlüsseln wir ja zur Sicherheit in der Cloud.
Aber keine Sorge. Die Firma hat jetzt nachgebessert.
Das Unternehmen gibt an, betroffene Kunden mit Tipps zur Absicherung ihrer Accounts kontaktiert zu haben. Zusätzlich versichern sie, die Passwörter und MFA von einigen Kunden zurückgesetzt zu haben. Zudem haben sie eigenen Angaben zufolge deren Accounts automatisch auf eine Identity Management Platform mit erweiterten Schutzregeln migriert.Mit mehr Cloud-Bullshit.
Biden wurde überhaupt nur aufgestellt, weil ihn die Leute von Obama noch kannten. Jetzt im Amt ist er ein ziemlicher Auffahrunfall. Seine Vizepräsidentin Kamala Harris ist auch ein Totalausfall.
Biden selbst will wohl noch eine zweite Amtszeit anstreben. Das will die Partei verhindern, weil sie dann sicher zu verlieren glauben.
Heute haben wir die Reaktion der Industrie. Klar, man könnte in ordentliche Infrastruktur investieren, aber ist doch viel netter, wenn das einfach jemand anderes zahlt!1!! Wenn die Versicherungen nicht mehr wollen, dann ruft man erstmal nach dem Staat, klar, das hatten wir ja schon, und dann, wenn gar nichts geht, dann macht man die blödeste Sache, die man überhaupt machen kann:
Nun wehrt sich die Industrie - und gründet einfach einen eigenen Versicherer.Frage: Wie bekloppt kann man sein? Die deutsche Industrie: Ja!
Hold my beer!
Hey Leute, der Grund, wieso ihr keine Versicherung mehr kriegt, ist weil die zu erwartenden Schäden teurer sind als ihr vorher kollektiv eingezahlt habt. Wenn IHR jetzt eine Versicherung gründet, wird die halt pleite gehen nach den ersten Auszahlungen. Das hat ja nichts mit Gier zu tun, dass euch keiner euren Ranzkack versichern will, sondern mit der Ranzkackigkeit eures Ranzkacks.
Ich werde jedenfalls mit Popcorn am Beckenrand sitzen und euch beim Absaufen zugucken. Jeder einzelne von euch hat es verdient.
Gibt noch ein paar lustige Stellen in dem Artikel:
"Die Versicherer haben hohe Mindestvoraussetzungen für die IT der Unternehmen, die sie versichern." Wenn diese nicht erfüllt werden, gibt es keine Angebote oder nur solche mit Vorbehalten.No shit! Klar gibt es noch Cyberversicherungen, aber die setzen dann voraus, dass ihr getan habt, was ihr konntet! Und das habt ihr natürlich nicht. Denn in eurer Welt spart ihr euch das und zahlt Versicherungsprämie und das ist dann billiger.
Dass auch bei einem versicherten Event die Daten eurer Kunden wegkommen, da scheißt ihr doch alle drauf. Sind ja nicht eure Daten. Sind bloß die eurer Kunden.
"Unternehmen, die unsere zwölf Kernkriterien im Underwriting nicht erfüllen, versichern wir nicht", bestätigt Jens Krickhahn, der bei der Allianz Global Corporate & Specialty für das Cybergeschäft zuständig ist.Lustigerweise meinen die damit nicht etwa, dass man eine sichere Architektur gewählt hat, und auf Outlook, Active Directory und Windows verzichtet. Nein. Die meinen, dass man Backups hat.
Ich persönlich finde das ja eh lustig, wenn Versicherungen anderen Firmen Vorhaltungen machen, sie hätten veraltete, heruntergekommene Infrastruktur. Wenn man sich anguckt, wie das in Versicherungen aussieht, dann sieht im Vergleich die reguläre Wirtschaft geradezu Scifi aus. Oder, wie es der Artikel formuliert:
Die Versicherer machen es sich zu leicht, glaubt Maklerin Dammalacks. "Gerade produzierende Unternehmen haben es schwer, die rigiden Kriterien zu erfüllen." Das gelte für manche Chemieunternehmen, für die Lebensmittelbranche ebenso wie für Baustoffhersteller. Sogar manche Versicherungsgesellschaften haben veraltete Systeme und werden Opfer von Cyberangriffen.Denn am Ende des Tages investiert niemand in Abwehr und Absicherung. Lieber eine Versicherung abschließen und weiterpfuschen.
Na dann pfuscht ihr mal alle schön weiter. Das sind auch Leute, die beim Camping in der Wildnis ihren Müll liegenlassen.
Nicht nur klingt das wie eine tolle Hippie-Kommune, es ringt mir auch einen ganz neuen Respekt für die Ingenieure da ab. Dass dieser brennende Mülleimer so lange gehalten hat, ohne alle eure Tweets zu verlieren, das grenzt an ein Wunder.
Das fehlenende Monitoring führte dazu, dass sich Mitarbeiter absichtlich Spyware installiert haben für irgendwelche Regierungen irgendwelcher Länder, deren Geheimdienste ihre Finger im Pott haben wollten.
Ist schon lustig, dass wann immer man mal ein bisschen tatsächlich stattgefunden habende Angriffe anguckt, das eigentlich nie irgendwelche organisierte Kriminalität im Mafia-Sinne ist und praktisch immer "Regierungen", die da auch keinen Verstoß gegen ihre eigenen "Gesetze" sehen. Alles lupenreine Rechtsstaaten, sage ich dir.
Of course, the United States is extremely unlikely to convert missile defense launchers in Europe to strike Russian leadership targets. However, the United States is exploring the possibility of responding to new Russian missiles with its own noncompliant systems, reviving concepts from the late 1970s and early 1980s. The Obama administration even adopted that same peculiar phrase from the Carter administration — countervailing strategy — to describe the American response. The countervailing strategy was to have an array of systems capable of responding to various scenarios. At the time, the countervailing strategy was explicitly about the ability to not merely destroy Soviet forces but also to kill Soviet leaders. Obama administration officials may have forgotten this. Their Russian counterparts have not.
Der Artikel ist insgesamt eine lohnende Medienkompetenzübung, finde ich. Die überschlagen sich förmlich in Framing und Behauptungen, dass ja die Russen an allem Schuld seien und die brächen hier immer die Verträge und überhaupt sei ihre Paranoia ja völlig unbegründet — und dann kommt so ein Absatz wie der gerade zitierte, der eben zeigt, dass da überhaupt nichts dran bloß unbegründete Paranoia war.Putin hat sich mehrfach über die "Raketenabwehrsysteme" in Polen aufgerecht, weil er fand, die könnten innerhalb von Stunden in Offensivsysteme umgebaut werden, und dann könnte man damit Moskau plattmachen, im Wesentlichen ohne dass Moskau sich groß wehren könnte oder auch nur genug Zeit hätte, das rechtzeitig zu erkennen. Daraufhin behauptet der Artikel mehrfach, das sei ja eine völlig absurde Vorstellung von dem Putin, man hätte ja gar keine Atomsprengköpfe vor Ort und überhaupt: niemand habe den Plan, eine Mauer zu errichten. Und dann kommt das hier:
All of this seems bizarre. There are no nuclear weapons in Poland or Romania, nor are there plans to convert these missiles to offensive purposes. The problem is that such a conversion is feasible and it is the kind of thing that American officials occasionally propose. For example, in the Senate report accompanying the National Defense Authorization Act (NDAA) for Fiscal Year 2018, there was a call for “evaluating existing U.S. missile systems for modification to intermediate range and ground-launch,” including — among other systems — the Standard Missile-3 (SM-3). The SM-3, of course, is the missile deployed in Poland and Romania. The final version of the NDAA cast a wide net and called for a report on the feasibility of modifying current American missile systems to have an INF range (between 500 and 5,500 kilometers).
Oh, ach? Es ist so undenkbar, dass es regelmäßig in den USA von Amtsträgern gefordert wird? Diese Scheiß paranoiden Russen immer!1!!OK, wartet, eine Sache haben wir noch zu besprechen. Die Russen bauen da doch selbst an diesen atomsprengstoff Waffen, die den INF Treaty verletzten!1!! Na gucken wir doch mal:
Moscow appears close to deploying the INF-violating cruise missile, the 9M729. In parallel, Russia has also “circumvented” the INF by developing a RS-26 ballistic missile.
Die fiesen Russen, ey! Verletzen hier immer unsere schönen Verträge!!This missile was tested to a range in excess of the INF cap and then declared as a strategic system under a separate arms control treaty, New START.
Wie, was, Moment, die INF-verletztenden Raketen fallen gar nicht unter INF sondern unter START (der Vertrag für die Langstreckenraketen)?However, Russia appears to have increased the number of warheads on the RS-26, which decreases its range to a medium-range system.
Ooooh, d.h. das ist eine Langstreckenrakete, aber sie laden so viel Sprengköpfe rein, dass es am Ende de facto eine Mittelstreckenwaffe ist. Die Amis finden, damit sollte es unter INF fallen.Da stellt sich doch direkt eine logistische Frage. Wenn du einen Vertrag für Kurzstrecke und einen für Langstrecke hast, dann wirst do doch dafür sorgen, dass die im Langstreckenvertrag erlaubten Limits viel schmerzhafter sind als in dem für Kurzstrecken. Damit genau das nicht geht.
Nun, …
As for the RS-26, the Russians deftly – and entirely legally — exploited a loophole in New START to their advantage. During the ratification debate over the INF Treaty, it was clear that a loophole existed: Russia could build an intercontinental range ballistic missile (ICBM) with a range long enough that it did not count under INF, then pack it with warheads so that it would be an intermediate-range system. This problem was clearly understood at the time and a decision was made to address it with low ceilings in future strategic arms control agreements.
Ach. Ach was. Das war bekannt und absichtlich dringelassen? Weil man sich dachte: Na die wertvollen ICBM-Slots, die werden die Russen nicht für diesen Scheiß opfern wollen?Wie es dann weiterging, könnt ihr euch ja vielleicht schon denken jetzt:
(Since these missiles would count against START limits, trading ICBMs for Intermediate range ballistic missiles would be undesirable for Moscow.) But in New START, U.S. negotiators insisted on unnecessarily high numbers of delivery vehicles, reasoning that Russia could not afford to build a large number of ICBMs and that it would be unwise for the United States to trade away a potential advantage in deployed delivery vehicles.
Mit anderen Worten: Russland verstößt hier gegen überhaupt nichts. Da haben uns mal wieder die Amis ins Gesicht gelogen, die nicht wahrhaben wollten, dass ihre episches Verkacken hier die Schuld an dem ganzen Scheiß trägt.
Lieferzeitpunkt: 5. Dezember sagt Amazon. Das ist ein Artikel, der als Prime beworben wird. Das Versprechen von Prime war: Kostenlose Lieferung bis morgen.
Ja, äh, nix morgen.
Ich hatte neulich auch ein paar Fleece-Decken bestellt. Nicht weil ich die nächsten Monat haben wollte, sondern so schnell wie möglich. Der Verkäufer saß da einen Tag drauf, bevor er das Paket an DHL übergab. DHL hat das gestern angenommen, und hat dann verteilt über gestern und heute vier Einträge in der Verfolgung, alle im selben Verteilzentrum, dass das Paket für den Weitertransport vorbereitet werde. Dann dass es jetzt fertig vorbereitet ist. Dann wieder dass es wieder vorbereitet wird. Das Zentrum hat es derweil nicht verlassen.
Stellt sich raus: Frank hat genau darüber gerade eine Kolumne geschrieben. Viel Spaß bei der Lektüre. Er hat dafür, erzählte er, einen Haufen wirklich erschütternder Leserbriefe reingekriegt. Wenn ihr Frank erschüttern wollt, müsst ihr einen vergleichsweise großen Vorschlaghammer rausholen. Mal gucken, wie schnell meine Erkältung hier abklingt, vielleicht nehmen wir da mal ne Alternativlosfolge zu auf.
Die für mich interessante Lektion ist ja, auf was für dünnem Eis die Illusion der funktionierenden Gesellschaft immer gebaut ist. Im Grund ist das hier eine Art Westworld oder Stepford Wives-Szenario, und zwar die ganze Zeit schon gewesen. Alles Schönwetter-Kapitalismus. Läuft super, solange der Wachstum das Verkacken auffängt.
Frank hat da ein bisschen über Finanzprodukte zur Altersversorgung geschrieben, und hoffte glaube ich auf Leserbriefe von Insidern, die ihm sagen, dass das alles gar nicht so schlimm ist. Lass es mich so sagen: Leserbriefe von Insidern kamen wohl. Aber die sagten eher das Gegenteil von "alles gar nicht so schlimm".
Ich glaube ich will da auch mitmachen und nehme daher gerne Leserbriefe mit Stories von Leuten an, die sich "zum scammen gezwungen fühlen", weil "die anderen das ja auch alle so machen".
Frank kommt jedenfalls zu folgendem Schluss:
Im Kern ist es aber eine tiefgehende Korruption einer wichtigen Grundannahme des Kapitalismus: "Wenn die Kunden keine Lust mehr haben, beschissen zu werden oder schlechten Service zu bekommen, gehen sie halt zur Konkurrenz."Hey, war da nicht gerade was?Diese Annahme ist immer öfter nicht mehr wahr. Beschiss-Kartelle bilden sich absichtlich oder eigendynamisch. Kostenreduktion ohne technologisch unterfütterte Produktivitäts- und Effizienzgewinne geht zwangsläufig nur durch Qualitätsabstriche. Gerne werden diese Abstriche durch alle Teilnehmer eines Marktsegments fast gleichzeitig umgesetzt
Strafverfolger aus zehn Staaten melden einen Erfolg gegen die organisierte Cyberkriminalität. Der Online-Marktplatz "iSpoof" wurde von den Ermittlern geschlossen und über 140 Tatverdächtige festgenommen.Fuck yeah! War aber auch Zeit, dass jemand das Internet wieder sicher macht.
In der hoch arbeitsteiligen Welt der organisierten Online-Kriminalität hatte sich iSpoof auf das Fälschen von Mitteilungen jeglicher Art spezialisiert. Neben gefälschten SMS, etwa zum Austricksen von TAN-Abfragen, konnten Ganoven auch Anrufe mit gefälschter Telefonnummer über die Website buchen, um ihre Opfer zu übertölpeln. Der Cybercrime-Dienstleister war, so die Einschätzung von Europol, in der Lage, eine nahezu unbegrenzte Anzahl von Organisationen nachzuahmen – Banken, Versicherungen, aber auch Online-Shops.Wieso sind eigentlich die Schuld, dass man in Telefonnetzen immer noch mit falschem Absender agieren kann?
Your iPhone's analytics data includes an ID number tied to your name, email, and phone number, say researchers who uncovered other holes in Apple' promises.
Sehr lustig finde ich auch folgenden Teil:“I think people should be upset about this,” Mysk said. “This isn’t Google. people opt for iPhone because they think these kinds of things aren’t going to happen. Apple doesn’t have the right to keep an eye on you.”
*schenkelklopf*Ja aber aber aber schützt Apple uns nicht vor Facebook? Kann sein, aber nur um den Wert von ihrem Big Data Pool in der Cloud zu erhöhen!
OK aber was für Daten sammelt Apple denn da?
In some cases, this analytics data apparently includes details about your every move. Mysk’s tests show that analytics for the App Store, for example, includes every single thing you did in real time, including what you tapped on, which apps you search for, what ads you saw, and how long you looked at a given app and how you found it.
Ach. Ach was. Aber, äh, ... das ist ja wie bei Google!!1!Update: Dieser Artikel ist sogar noch ein bisschen schöner:
This isn’t an every-app-is-tracking-me-so-what’s-one-more situation. These findings are out of line with standard industry practices, Mysk says. He and his research partner ran similar tests in the past looking at analytics in Google Chrome and Microsoft Edge. In both of those apps, Mysk says the data isn’t sent when analytics settings are turned off.
(Im Gegensatz zu Apple, die auch Telemetrie senden, wenn man das explizit ausgeschaltet hat)
Along the way, Apple developed a very convenient definition of what privacy means that lets the company criticize its rivals’ privacy practices while harvesting your data for similar purposes. Apple says you shouldn’t think of what it does as “tracking.” According to the company’s website:Apple’s advertising platform does not track you, meaning that it does not link user or device data collected from our apps with user or device data collected from third parties for targeted advertising
Seht ihr? Apple shared die Daten nicht mit dem Data Broker, Apple ist der Data Broker! Damit ist das nach ihrer Definition kein Tracking. Wobei, hey, wenn Apple die Daten nicht weiterverkauft, dann sind sie ja technisch gesehen nicht mal ein Broker sondern nur ein Datenkrake. Man kann ja von sowas auch profitieren, ohne dass man es weiterverkauft.
Andere Leute hätten die Füße hochgelegt und sich einen Caipirinha gemacht, aber nicht der Schönbohm.
Das ist alles so eine Seifenoper. Mann Mann Mann.
Das für die Zertifizierung zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) kommt aber nun zur Einschätzung, dass ein kompletter Tausch der Geräte zum jetzigen Zeitpunkt nicht notwendig ist.Es geht, wie ihr euch wahrscheinlich schon denken konntet, um die Gesundheits-Telematik-Konnektoren.
Ich bin ja mal gespannt, wann das BSI merkt, dass man nicht nur den Austausch sondern die ganzen Konnektoren gar nicht braucht.
Gut, Videos aus der Zeit aus Westberlin waren auch nicht gerade von Reichtum, Wohlstand und Moderne geprägt, aber die geradezu niederknüppelnde Armut, die man da aus Russland sieht, die hat in mir eine unangenehme Fragen aufgeworfen. Erstens Mal: Vor DENEN hatten wir Angst? Dass die uns angreifen würden? DIE waren die Begründung für unsere Wehrpflicht?!?
Ich meine, gut, auf einer gewissen Ebene war ja schon die ganze Zeit klar, dass wir belogen werden, dass sich die Balken nur so biegen. Aber das Ausmaß der Lüge hat mir jetzt doch weiche Knie gemacht.
Zweitens: Es gibt da (ich habe bisher nur Teile der 1. Folge geguckt) eine herzzerreißende Szene, in der eine Mutter ihren Sohn verabschiedet, der seine zwei Jahre Wehrdienst ableisten muss. Dann: Cut, Afghanistan. Russen im Kreuzfeuer, russische Hubschrauber mit von der CIA gelieferten Stinger-Raketen runtergeholt. Sich ergebende Russen im Kreuzfeuer. Tote. So viele Tote.
Die Szene hat mich echt getroffen.
Auch sehr eindrucksvoll ist die Liste der Dinge, abgesehen von dem Zerbröseln ihrer Volkswirtschaft, die ihnen da zwischen den Fingern explodiert sind. Tschernobyl, Pipelineexplosionen, der desaströse Afghanistankrieg. Gut, das ist jetzt natürlich die Zusammenstellung von Curtis, der an keiner Stelle irgendwelche imperialen Absichten auch nur andeutet. Das fühlt sich alles an wie ein Volk, das einfach nur ein nicht völlig beschissenes Leben führen wollte. Genau wie wir.
Curtis stellt es so dar, als ob der eigentliche Grund für den Fall der Sowjetunion und das Übel danach gar nicht die Misswirtschaft der Sowjetunion vor Gorbatschow war, sondern Gorbatschows Perestroika-Politik, die dazu geführt hat, dass Kriminalität die Gesellschaft und Industrie komplett zerfressen hat.
Wenn ihr diese Videos irgendwo findet, kann ich nur nochmal eine Empfehlung aussprechen. Absolut erschütternde Zeitdokumente.
Ohnehin ist die Angelegenheit alles andere als abgeschlossen. Was als Satire in der Böhmermann-Sendung begann, entwickelt sich vielmehr zum Krimi. Die Verfassungsschützer warnten nämlich nicht nur Infotecs-Kunden, sie überwachten auch den Vorsitzenden des Cyber-Sicherheitsrats Deutschland e.V., Hans-Wilhelm Dünn. Nach SPIEGEL-Informationen kam es zu einer Telekommunikationsüberwachung. Dabei wurden auch Gespräche mit Schönbohm abgehört.
Grund ist polnischen Angaben zufolge eine unbeabsichtigte Beschädigung.Unbeabsichtigt, ja? Na dann ist ja gut.
"Die Ursache für das Leck in der Druschba-Pipeline wird derzeit untersucht. Bislang gibt es keine Hinweise auf die Ursache des Ausfalls. Alle Hypothesen sind möglich", schrieb der Sprecher des Koordinators der Geheimdienste, Stanislaw Zaryn, auf Twitter.Wie jetzt. Was denn jetzt?
Ja, der Schönböhm ist ein Cyberclown. Aber er war wenigstens ein berechenbarer Cyberclown. Wir wussten, woran wir waren. Der hat zwar nicht viel gemacht, aber immerhin stand er auch nicht viel im Weg herum oder hat da erratisch wichtigen Projekten in den Rücken gedolcht. Im Vergleich zu den Vollversagern im BMI und der Politik ist der Mann geradezu GOLD!1!!
Den Kommentar von Jürgen Schmidt hatte ich ja schon verlinkt, hier noch mein geschätzter Kollege Manuel Atug. Money Quote:
ein gutes Duo mit überdurchschnittlicher #Digitalkompetenz, gemessen an den sonstigen Akteuren.Eine humoristisch sehr schöne Formulierung. "Klar kann der nichts aber hast du mal das restliche Gruselkabinett gesehen?!" :-)
Wir müssen da glaube ich trennen zwischen inhaltlichen Punkten und taktischen Erwägungen. Inhaltlich ist der Schönbohm meiner Beobachtung nach eine absolute Lusche. Der rennt zu allen Veranstaltungen, kommt denn 5 Minuten zu spät, damit alle mitkriegen, wie wichtig er ist, dann lässt er ein paar Wortblasen ab, dass Sicherheit ja wichtig sei, und seine Behörde tut absolut nichts für Vorbeugung. Die verkaufen lieber wertlose Zertifikate, empfehlen Schlangenöl und machen Blockchain-Kram und SSI-Blödsinn.
Der Mann betreibt seine Behörde wie Junior-Entwickler ihren Lebenslauf! Springen auf jeden Hype auf, machen dann schlechte Projekte, die sie mangels Erfahrung verkacken, und feiern sich dann als Experten und verweisen auf ihre "Erfahrung".
Hat er das BSI vorangetrieben, wie Honkhase behauptet? Wenn man das nach Bürokratie-Metastasierung misst, dann vielleicht. Inhaltlich sicher nicht.
Finde ich, dass der Schönbohm wegen der KGB-Firma zurücktreten sollte?
Nein. Das ist an den Haaren herbeigezogen.
Ich finde, er sollte gehen, weil er schlechte Arbeit macht.
Faeser stand ursprünglich ja für "Schwachstellen werden gemeldet, nicht gehortet für Polizei oder Geheimdienste". Das hat sich inzwischen einmal um 180° gewendet, das Blatt. Gut, SPD halt. Wer die wählt, hat es nicht besser verdient.
Aber dass der Schönbohm sich dem Exploit-Horten in den Weg gestellt hat, das habe ich so nicht erlebt. Im Gegenteil. Da war er bemerkenswert konsequent.
Wird das jetzt wahrscheinlich noch schlimmer? Ist anzunehmen. Cyberclowns hat die Regierung genug in der Schublade. Seit dem Hackertoolverbot und dem damit verbundenen Versiegen des Nachwuchses sind Cyberclowns auch eine nachwachsende Ressource.
So war Schönbohm ja auch. Wenn du keine Ahnung hast, machst du sinnloses Compliance-Theater. Statt Vorbeugung, für die man Sachkenntnis bräuchte, machst du dann halt Reporting-Pflichten und Papierkrieg.
Ist fürs Branding wahrscheinlich eh viel besser. Bist du ständig in der Presse, wenn es wieder irgendwo brennt. Und du kannst sagen: Die Cyber-Bedrohung ist groß!1!!
Innenministerin Faeser will BSI-Chef feuern – doch ihr Staatssekretär genehmigte Rede vorabNatürlich ließ sich der Schönbohm das vorher genehmigen. Der ist ja nicht doof.
Zweitens: Ich war ja in letzter Zeit immer wieder fasziniert, wie Brancheninsider meinten, der mache ja gar keinen soooo schlechten Job. So tief sind die Erwartungen schon abgestürzt, bzw. waren noch nie viel höher. Das BSI ist im Wesentlichen eine Compliance-Behörde. Die erzeugen für andere Leute mehr Papierkram. Das ist, was die tun.
Drittens: Ich hatte ja von Anfang an meine Probleme mit dem Schönbohm, nicht zuletzt wegen dieses lächerlichen Vereins mit dem irreführenden Namen. Aber im Moment muss ich ihm sowas wie Respekt zollen, wie er seine Vorgesetzten da ins Messer laufen lässt. Und absolut verdient. Keiner von denen sollte im Amt sein, inklusive der Innenministerin.
Viertens: Die Fakten sind alle schon länger bekannt. Spätestens seit 2019, wo es eine Kontraste-Sendung zum Thema "Cyber-Sicherheitsrat" und Russland-Connections gab. Keine der Vorregierungen fand da was bei.
Fünftens muss man sich ja schon mal fragen, was unsere Geheimdienste eigentlich beruflich machen. Hat der Verfassungsschutz da mal wieder auf ganzer Linie verkackt? Oder hatten die einfach die Hände voll mit Nazigefahr-Leugnen und Linksautonome-Verfolgung? Hey, wer ist dafür eigentlich zuständig? Oh ja richtig! Das Kanzleramt! Auch alle Mann zurücktreten, bitte.
Update: Oh, nee, für den "Verfassungsschutz" (harr harr) ist das BMI zuständig. Na dann ist ja vieles klarer.
Ja OK und wie ist das mit den anderen Wahllokalen? Nun, das war nicht für ein Wahllokal, sondern für die ganze Gegend.
Ja, äh, wie, wieviele wohnen denn da? Für unter 40000 Menschen baut da ja wohl keiner ein Atomkraftwerk hin?
Laut Text wohnen da 1,7 Millionen Menschen. Man muss da ein bisschen vorsichtig sein, denn das ist sowohl der Name einer Stadt als auch einer Gegend. Die Stadt hatte 2017 700.000 Einwohner. 1,7 Millionen für die Gegend kann also gut hinkommen.
Wir reden hier also von einer Wahlbeteiligung im unteren einstelligen Prozentbereich.
Auf der einen Seite ist die Aussagekraft eines Referendums bei 3% Beteiligung natürlich Null. Auf der anderen Seite stellt sich die Frage, wieso die das so veröffentlichen würden, wenn das die ganze Geschichte so schlecht aussehen lässt. Und wieso unsere Medien behauptet haben, Russland habe behauptet, die Wahlbeteiligung sei bei 97% gelegen. Dieses amtliche Endergebnis auf dem Bild kommt ja von Russland. Haben die gleichzeitig hohe und niedrige Wahlbeteiligung behauptet?
In Deutschland gibt es ja das Instrument des Volksbegehrens, das hat auch eine Mindestmenge an Stimmen, die nötig sind, und dann ist das noch nicht mal bindend sondern das Parlament kann das immer noch einfach verwerfen. Bei Bundestagswahlen haben wir allerdings auch keine Mindestwahlbeteiligung, wir tun in den Grafiken sogar absichtlich so, als gäbe es gar keine Nichtwähler, und zeigen nur die gültigen Stimmen. Da sind wir also diesen Referenden unkomfortabel nahe und sollten vielleicht auch mal eine Mindestquote einführen, sonst ist die Wahl ungültig.
Der Typ, der das getweetet hat, hat eine Wikipediaseite, allerdings in der Вікіпедія. Kann man aber maschinell übersetzen. Der kommt aus der Gegend und ist Journalist, musste aber vor dem Krieg fliehen.
Update: Ah ich habe ein Beispiel für die russischen Behauptungen zur Wahlbeteiligung gefunden. Da geht es um Kherson und sie behaupten 87% Zustimmung bei 497,051 abgegebenen Stimmen.
Kann hier jemand den Text auf dem Bildschirmfoto übersetzen? Ist das wirklich für die ganze Region oder doch bloß ein Wahllokal?
Update: Oh wow! Stellt sich raus: Wenn man den Tweet mit dem Foto in Chrome öffnet, und dann auf das Foto rechtsklickt, dann kann man Google Lens klicken und dann holt der nicht nur den Text aus dem Foto raus, sondern bietet auch eine Maschinenübersetzung an. Das ist ja mal Scifi, ey! In der Tat steht in der Übersetzung: Referendum für die Saporischschja-Region. Heilige Scheiße!
Update: Ah, in den Klammern steht der Hinweis, dass es sich um Wahllokale auf dem Gebiet der russischen Föderation handelt. Also der jetzigen russischen Föderation. Flüchtlingslager vielleicht?
Zu dieser Feindberichterstattung gibt es einen wichtigen Datenpunkt aus der Geschichte. Die Vietcong haben aus Versehen Peter Scholl-Latour gekidnappt (also vor knapp 50 Jahren). Er durfte dort dann 8 Tage lang filmen, nachdem sie seine Identität bestätigt hatten, und darüber berichten.und auf Youtube:
https://www.youtube.com/watch?v=HQUQZVzJpKQ
Selbstverständlich waren die VC damals eindeutig der „Feind“ und wenn es nicht Peter Scholl-Latour gewesen wäre, und der nicht versehentlich, sondern absichtlich auf die andere Seite gegangen wäre, dann hätte ihm das vielleicht keiner geglaubt. Die Berichterstattung gehört neben dem Aufdecken des Massakers von My Lai und dem Bild von Kim Phuc zu den ganz wichtigen Bausteinen, die zum Bröckeln der Heimatfront beigetragen haben.
Der wohlgemerkt nicht das Loch stopft, sondern Firewall- und Schlangenöl-Regeln herumreicht, um den Exploit zu behindern?
Ja klar kennt ihr so eine Software! Microsoft Exchange! Das war die Software, wir erinnern uns, deren erste Version "4.0" hieß, damit Käufer den Eindruck haben, die sei ausgereift und wohlgetestet. Die Werbung hat das den Kunden auch direkt ins Gesicht gelogen. Gut abgehangen! Gegen alles getestet! Stabil und zuverlässig! Nichts davon war der Fall.
Ich erinnere mich noch damals an der Uni, dass ein Exchange-Server platt war, und es stellte sich raus, dass der mit einem Unix-Mailserver (qmail?) zu interagieren versucht hat, sich nicht an die RFCs hielt, und damit eine Neuversuch-Schleife auslöste, die auf dem Unix-Server keine messbare Last erzeugte, aber den Exchange plattmachte.
Das war auch noch irgendwas lächerliches wie ob Zeilen mit LF oder CR-LF terminiert werden.
Exchange war schon immer das absolut letzte. Ich war schon immer fasziniert, dass Leute sowas wirklich einsetzen. Freiwillig! Und noch dafür zahlen!!
Das geilste ist ja, dass die Cloud-Version nicht betroffen ist. Es gibt also eine nicht betroffene Version. Aber sie wollen ja die On-Prem-Kunden bei der Gelegenheit erziehen, in die Cloud zu kommen, wo sie dann nicht mehr weg kommen. So eine Firma ist das.
Um aufzulösen: Ich kenne außer Exchange keine Software, die so einen Service braucht.
Was mich ja an dieser Nummer am meisten ärgert: "BSI warnt vor Sicherheitslücke in Exchange". Ja wieso warnen die denn nicht vor Exchange selbst?!? Hallo McFly? Jemand zuhause?
Aber Treuhänderschaft reicht ja nicht. Man braucht ja auch eine neue Quelle für die Rohstoffe.
Da laufen Verhandlungen mit Polen. Und was macht Polen? Eine Sopranos-Nummer vom feinsten!
Schöne Raffinerie haben Sie da! Wäre ja zu schade, wenn die pleite gehen würde, weil sie kein Rohöl zum Raffinieren importiert kriegt? Denken Sie an all die Arbeitsplätze!
Wie? Ja klar können wir das liefern. Aber dann wollen wir den Laden auch komplett übernehmen.
Richtig gelesen. Der polnische Staatskonzern möchte gerne die Raffinerie haben, ansonsten lässt Polen den Laden absichtlich pleite gehen. (Danke, Jörg)
Ein solches Programm kostet viel Geld. Und so lautete der Auftragswert laut Ausschreibung 14 Millionen Euro. Doch Recherchen des WDR-Magazins Westpol zeigen, dass mittlerweile die Kosten explodiert sind. Auch der ursprüngliche Zeitplan wurde weit verfehlt.14 Millionen ist ja schon ambitioniert für ein Datenbank-Frontend.
Insgesamt 22 Millionen Euro netto sollen demnach alleine die Zahlungen an Palantir betragen – Lizenzkosten für fünf Jahre.Tja, so ist das, wenn man als öffentliche Hand etwas kaufen muss, und der Hersteller weiß das, und es gibt keine anderen Anbieter. Schlechte Konstellation!
Auf Anfrage teilt das Ministerium mit, im Ausschreibungsverfahren habe sich gezeigt, dass die geforderten Leistungen nicht für den geschätzten Wert erbracht werden konnten.Ach. Ach was. Aber das ist ja egal, wenn man einen Vertrag hat, oder nicht? Dann muss die andere Seite das zum angebotenen Preis liefern, oder nicht?!
Doch die Kosten stiegen weiter. Alleine für zusätzliche Hardware sollen rund 2,4 Millionen Euro aufgewendet worden sein, so das Innenministerium auf Anfrage. In Summe seien 13 Millionen Euro "für ergänzende Tätigkeiten anderer Unternehmen ausgegeben" worden.Na das war ja klar, dass die da auch nochmal McKinsey und co mit Geld beworfen haben. Insgesamt ist man jetzt bei knapp 40 Millionen.
Innenminister Reul spricht im Interview mit Westpol von einem Fehler, verneint eine Täuschungsabsicht.Oh aber nicht doch, mein Herr! Herr Reul täuscht nicht! Der ist einfach wirklich so inkompetent! (Danke, Samuel)
“The network data includes data from over 550 collection points worldwide, to include collection points in Europe, the Middle East, North/South America, Africa and Asia, and is updated with at least 100 billion new records each day,” a description of the Augury platform in a U.S. government procurement record reviewed by Motherboard reads. It adds that Augury provides access to “petabytes” of current and historical data.[...]
“Augury is the visibility into 93% of internet traffic,” another website describing the tool reads.
Mich überrascht das nicht, denn das war immer unser Threat Model. Wir haben angenommen, dass die NSA das selbst kann, nicht dass sie die Daten von einem privaten Dienstleister einkaufen, aber das spielt ja keine Rolle am Ende.Der Gedanke hinter diesem Threat Model war: Wenn es technisch geht, macht es jemand. Überlege dir also, wie du damit umgehen willst.
Mit dieser Art von Denke wurde man ja jahrelang immer gerne als Paranoiker verlacht, aber Schritt für Schritt stellt sich bei praktisch jedem Punkt davon heraus, dass wir Paranoiker absolut richtig lagen.
Nun, da hab ich eine Überraschung für euch.
Contrary to popular perception, Germany has delivered significant amounts of arms and equipment to Ukraine to aid the country in its fight against the Russian military. In fact, the volume of arms deliveries by Berlin exceeds that of every other country safe for the United States and the United Kingdom.
Ach. Ach was.Ja aber warte, Fefe, die Hardware, die wir da liefern, die ist doch total marode und gammelig und nur kosmetische Hilfe, las ich?
Worth pointing out that Ukrainian commanders have singled out the Gepard as one of the most crucial elements of their forces in the Kharkiv counteroffensive, keeping the Russian airforce at bay. Germany's support to Ukraine has been significant.
Ja aber warum hört sich das denn dann die ganze Zeit so an, als sei die deutsche Militärhilfe lachhaft?Nun, das ist Absicht. Die Politik möchte es sich gerne mit Russland nicht verderben, aber möchte auch der Ukraine helfen. Also liefert man der Ukraine Hardware und hält aber gleichzeitig das Narrativ am Laufen, dass das alle ranzig ist. Das hat auch den zusätzlichen Effekt, dass Russland sich nicht darüber beklagen kann, weil sie dafür zugeben müssten, dass ihre krasse Über-Armee von unserer Abfallhardware zerlegt wurde.
Wir haben da schon ein paar ganz schöne Schlitzohren in der Regierung gerade.
Ich glaube, Hyundai hat da gerade die neue Referenz gesetzt.
A developer says it was possible to run their own software on the car infotainment hardware after discovering the vehicle's manufacturer had secured its system using keys that were not only publicly known but had been lifted from programming examples.
Ja, richtig gelesen! Die haben mit Schlüsseln aus Programmierbeispielen "verschlüsselt"!Und nicht nur das. Sie haben die Keys auch noch auf ihre Webseite hochgeladen.
As luck would have it, "greenluigi1" found on Mobis's website a Linux setup script that created a suitable ZIP file for performing a system update.The script included the necessary ZIP password for the system update archives, along with an AES symmetric Cipher-Block-Chaining (CBC) encryption key (a single key rather than an RSA asymmetric public/private key pair) and the IV (initialization vector) value to encrypt the firmware images.
Gut, aber das hatten wir ja schon häufiger, dass Leute ihre Keys bei Github und co hochluden.Zurück zu den Keys, wo die herkamen.
"Turns out the [AES] encryption key in that script is the first AES 128-bit CBC example key listed in the NIST document SP800-38A [PDF]".
Ja gut, wenn die das ZIP-Passwort und den AES-Key öffentlich zugänglich haben, vielleicht ist dann auch der RSA-Schlüssel öffentlich!Luck held out, in a way. "Greenluigi1" found within the firmware image the RSA public key used by the updater, and searched online for a portion of that key. The search results pointed to a common public key that shows up in online tutorials like "RSA Encryption & Decryption Example with OpenSSL in C."That tutorial and other projects implementing OpenSSL include within their source code that public key and the corresponding RSA private key.
Und das, meine Damen und Herren, ist ein neuer Rekord. So viel geballte Inkompetenz habe ich persönlich noch nie gesehen.
Was sehen wir da?
Auf einem Bildschirm läuft die Tagesschau. Ganz super. Behörden beobachten das Fernsehen.
Auf dem nächsten ist eine belanglose Weltkarte, auf der man nichts sehen kann, außer dass es eine Weltkarte ist. Da sind irgendwelche Kreise eingezeichnet, vermutlich "Threat Intelligence". Halte ich grundsätzlich für komplett wertlos, aber besonders wertlos ist es auf einem Bildschirm an der Wand, zu weit weg vom Arbeitsplatz, als dass man da was erkennen könnte.
Dann links unten: Twitter. Irgendein belangloser Scroll-Content, der dir am Arbeitsplatz auch gar nichts bringt, denn da hat jeder Mitarbeiter vermutlich einen eigenen Twitter-Feed, der an den gelangweilten Mitarbeitern vorbeiscrollt. Die Meldungen, die man da sehen kann, erfüllen alle Vorurteile. Pressemitteilungen von irgendwelchen anderen belanglosen Pseudo-Cybercyber-"Experten".
Daneben irgendein Dashboard. Das sieht wie das einzige vertretbare Element der ganzen Bildschirmwand aus für mich. Vier Felder sind rot. Leider kann man die Details nicht erkennen.
Und mein Favorit ist der Bildschirm ganz rechts. Eine in ihrer völligen Nutzlosigkeit nicht zu toppende … Wortwolke. Mit so wichtigen Cybercyber-Fachbegriffen wie "twitter" und "public" und "facebook". Den Rest kann man nicht sehen, weil Arne "Cyberclown" Schönbohm davorsteht und gelangweilt auf den Bildschirm mit der Tagesschau guckt. Das müssen ja enorm interessante Ausführungen sein, wenn der BSI-Chef lieber Tagesschau guckt, und die Innenministerin auch aussieht, als würde sie hier gerne sofort per Hubschrauber rausgeholt werden.
Tja, und da haben wir es. Das Nationale IT-Lagezentrum des BSI, meine Damen und Herren. Eine Word Cloud aus Buzzwords.
Buchstäblich!
Update: Ein Leser weist noch darauf hin, dass die Weltkarte US-zentrisch ist.
Ein anderer Leser hat mal "Taranis" gegoogelt, das Hersteller-Logo über der Buzzwordcloud. Er fand dies und dies. Ergötzt euch selber. Eine Buzzwordcloud!! Wobei, vielleicht ist das ja der Screensaver von denen. LOL. Ein Randdetail noch aus der Wikipedia:
Die Gesellschafter waren bis August 2015 Airbus Defence and Space, Rohde & Schwarz, Thales mit jeweils 30 % sowie Northrop Grumman mit 10 %
Da sind ja alle üblichen Verdächtigen aus dem Militär- und Geheimdienstumfeld vertreten. Northrop Grumman ist vor allem durch eine wirklich ultrapeinliche Werbeaktion aufgefallen, macht mal Image Search auf full spectrum cyber. Der Brüller!
Und so wächst mal wieder zusammen, was zusammen gehört. Passt alles wie Arsch auf Eimer.
Update: Ein Leser hat die Weltkarte identifiziert. Hat nicht mal was mit Cyber zu tun.
Update: Haha jetzt kommen hier ein Dutzend Leser rein, die das Dashboard wiedererkannt haben — aber jeder hat eine andere Software erkannt. Ich finde das jetzt konkret auch gar nicht so wichtig, was das für eine Software ist. Vom Äußeren her sieht das aus wie generisches Host- und Service-Monitoring, vielleicht noch "sind unsere Zertifikate abgelaufen".
Update: Mehrere Leser wenden ein, dass das BSI einfach professionelle Opsec macht. Wenn jemand ein Foto macht, schalten sie schnell die wichtigen Bildschirme auf belanglosen Content um. Könnt ihr euch ja selber überlegen, ob ihr das glauben wollt.
Für mich persönlich ist jetzt bei Matthew Green der Zeitpunkt gekommen, die Reißleine zu ziehen. Der ist einfach zu häufig negativ aufgefallen. Erst mit Agitprop gegen GnuPG, dann mit Agitprop für Cryptocurrencies, und jetzt halt mit Agitprop gegen Dan Bernsteins Post-Quantum-Transparenzvorstoß. Ich betrachte den ab jetzt als NSA-U-Boot und schiebe ihn in meinem Threat Model auf die Angreiferseite.
Da kann er es sich neben Eric Rescorla bequem machen.
Diesen Go-Crypto-Typen, den er da zitiert, hatte ich noch nicht auf dem Radar, aber was der da schreibt ist geradezu grotesk schlecht. Da hat sich das Go-Team entweder einen naiven Anfänger oder einen Idioten eingetreten. Ich würde deren Crypto erstmal lieber nicht trauen nach diesen Aussagen.
Das war schon immer das Bedrohungsmodel in der Kryptographie, dass du davon ausgehst, dass dein Feind eine rechenschaftsfreie Regierungs- oder Militärbehörde mit unendlich viel Budget ist. Selbstverständlich musst du dann gucken, ob die nicht Kryptographen bestochen haben könnte. Nicht zuletzt weil die NSA ja tatsächlich RSA Inc bestochen hat, damit sie ihren Backdoor-DualEC-RNG weltweit verteilt haben. Das ist ja kein Fiebertraum, dass die NSA Kryptographen bestechen könnte!
Das ist seit echt vielen Jahren ganz normales Standardvorgehen, dass man z.B. bei komischen Konstanten in Krypto-Verfahren fragt, wo die herkommen, und ob die vielleicht irgendwas kryptografisch schwächer machen oder mit einer Hintertür versehen.
Seit vor 50 Jahren die S-Boxen von DES unerklärlich von der NSA kamen, ist das Teil des Bedrohungsmodells. Das Konzept hat sogar einen Namen: Nothing-up-my-sleeve Number.
Hier so zu tun als verbreite djb Verschwörungstheorien oder als beleidige er hier Kollegen, das ist so dermaßen jenseits von gut und böse, dass ich mit sehr viel Aufwand überhaupt die Annahme im Raum stehen lassen kann, dass das ein Versehen von dem Go-Typen war. Böse Absicht ist so viel wahrscheinlicher.
Update: Ein Leser schreibt, auch der Go-Typ ist schon durch GnuPG-Bashing aufgefallen. Ich habe mich auch schon abfällig über die Codequalität von GnuPG geäußert und das Dateiformat ist furchtbar, aber GnuPG war das Tool, mit dem Snowden sein Leben vor dem Zugriff der US-Behörden geschützt hat. Mit GnuPG. Nicht mit "age", nicht mit Google-Crypto, nicht mit Cloudflare-Crypto, nicht mit Microsoft-Krypto. Mit GnuPG. Wer also GnuPG generell die Existenzberechtigung absprechen will, und dann auch noch sein Gehalt von Google und Cloudflare nimmt, die um US-Regierungsaufträge konkurrieren, der ist mir direkt suspekt.
Wer z.B. Netscape Communicator nutzen wollte, und in Europa saß, musste die "Export-Version" davon benutzen, die bei ihrem https maximal 40 Bit RC4 aushandelte. Absichtlich kastrierte Schlüssellängen, damit die NSA das in Echtzeit entschlüsseln kann.
Irgendwann war das dann weg. Wer sich nicht erinnert oder es nicht miterlebt hat: Daniel J Bernstein hat damals gegen die US-Regierung geklagt, und zwar mit ziemlich durchschlagendem Erfolg.
Heute kennt man ihn eher für qmail, djbdns, NaCL, curve25519, ed25519, Salsa20 oder sein Engagement für Post-Quantum Crypto, also kryptologische Verfahren, die resistent gegen Angriffe mit einem hypothetischen Quantencomputer sind. Er war so früh dran mit seiner Quantencomputer-Arbeit, dass er den Namen des ganzen Forschungsgebietes setzen konnte.
Dan hat auch ein paar andere Male Alarm geschlagen, als viele andere ihn für paranoid hielten. Zum Beispiel zu der Frage, ob man elliptischen Kurven der US-Regierung (in Form von NIST) trauen kann, weil nicht nachvollziehbar ist, ob die NSA da nicht zahlentheoretische Hintertüren eingebaut hat durch geschickte Wahl der Konstanten, aus denen die Kurven konstruiert sind.
Warum erwähne ich das? Er klagt gerade ein zweites Mal gegen die US-Regierung. Er hat mehrere Informationsfreiheitsanfragen gestellt, um die Kommunikation zwischen NIST und der NSA offengelegt zu kriegen, aber nie haben sie ihm die nötigen Unterlagen geschickt. Jetzt hat er ihnen genug Gelegenheit gegeben, sich gesetzeskonform zu verhalten, und wird eben den Klageweg einschlagen.
Ich persönlich haben mehrere Fälle beobachtet, bei denen Dan ein Problem benannt hat, und Monate bis Jahre später haben ihm dann alle zugestimmt, oder Fakten kamen zum Vorschein, die das bestätigt haben. Privat und intern setze ich daher jetzt schon überall wo ich kann auf Bernstein-Krypto.
Grund für diese Klage von ihm ist, dass er annimmt, dass die NSA den gerade laufenden Post-Quantum-Wettbewerb der NIST sabotiert, und daran arbeitet, einen für sich brechbaren Post-Quantum-Standard zu etablieren, wie sie es in der Vergangenheit schon mehrfach getan haben (DES, DSA, DualEC-RNG). Lest euch seine Argumente selber durch. Ich finde das alles mehr als einleuchtend und wünsche gutes Gelingen.
Ich glaube, man kann das hier gerade kaum wichtig genug einschätzen. Das ist einer für die Geschichtsbücher.
Und nur dass das klar ist: Der kämpft da für uns alle. Für mich und für jeden von euch.
Verfassungsschutz: China könnte langfristig Cybergefahr Nummer eins werdenAh. Häufiges Missverständnis.
Die Hauptbedrohung für unsere IT-Sicherheit ist nicht China. China ist nicht mal in den Top 5. Hier sind die Hauptbedrohungen für IT-Sicherheit in der EU:
Ach ja, und: Wir haben digitale Souveränität nicht beachtet. Jetzt haben wir nicht mal mehr irgendwas, womit man glaubwürdig drohen könnte.
China. Dass ich nicht lache.
Das Hauptproblem von unserem undichten Dach ist der Regen!!1!
Das Hauptproblem unserer Gasversorgung ist, wenn Leute im Winter Heizen wollen!1!!
Je älter ich werde, desto schockierender wird für mich die himmelschreiende Dummheit der Politik. Es ist fast, als ob die absichtlich immer die langfristig schädlichste Option wählen. Um die Dringlichkeit im Wahlkampf aufrecht zu erhalten vielleicht?
Auf der einen Seite will ich nicht nur schreiben, wie kaputt alles ist. Auf der anderen Seite will ich aber auch nicht dafür sorgen, dass Leute länger bei Windows bleiben, weil sie dank irgendwelcher Konfigurationsratschläge den Eindruck haben, sie könnten das schon irgendwie absichern. Zu guter Letzt bin ich Code Auditor, nicht Admin. Was man da alles konfigurieren kann ist nicht mein Spezialgebiet. Am Ende verbreite ich noch Unfug?
Daher haben meine Zero-Trust-Folien am Ende eine eher allgemeine Vision.
Allerdings kam ein Leserbrief mit konkreten Ratschlägen rein, den ich jetzt mal veröffentlichen möchte. Nehmt das aber bitte nicht als abzuarbeitendes Howto sondern als Grundlage für eigene Recherchen. Ziel der Übung sollte sein, dass ihr ein bisschen mehr verstanden habt, wie die Dinge funktionieren.
zu deiner Zero Trust Präsi möchte ich mal etwas zur Windows Security einwerfen. Sorry, ist etwas länglich geworden.Anmerkung von mir: Die ct hatte dazu mal ein Tool veröffentlicht, da könnt ihr damit mal herumspielen.Wir sind IT Dienstleister und übernehmen in der Regel den Service einer bestehenden IT Landschaft die entweder vorher durch den Kunden oder durch einen anderen Dienstleister betreut wurde. KMU 1 bis 500 MA.
Dahin zu gehen und den Kunden Windows und Outlook wegzunehmen wird in der Regel nicht gelingen. Wenn es möglich ist einen neuen Server auf Linux hoch zu ziehen könnte man das vorschlagen und umsetzen, da hört es aber dann auch schon auf.Der Satz "Das geht, weil Sie Outlook und Office benutzen" stimmt leider in den meisten Fällen, obwohl das nicht so sein müsste.
MS liefert schon seit Windows 2000 allerhand Techniken mit die genau das alles verhindern. Wir haben aber noch nicht einen Kunden bekommen bei dem irgendwas davon aktiv war und holen das alles schleunigst nach. Das schlimmste was uns als Dienstleister passieren kann, ist ein Ransomwarebefall eines Kunden bei dem wir die Schuld tragen, weil deren Systeme nicht sicher sind, obwohl man es *ohne* Anschaffung zusätzlicher Software hätte besser machen können. Der Kunde verlässt sich darauf dass wir ihm eine sichere Arbeitsumgebung geben. Es ist ein Unding, dass ein aktueller Windows Server bei einer frischen Active Directory Installation immer noch fast die gleichen Sicherheitsdefaults verwendet wie es in 2000 eingeführt wurde und so kommt es, dass von all dem was nun kommt in freier Wildbahn oft nichts zu sehen ist.1: Software Restriction Policies (SRP), ja ich weiß ist deprecated, läuft aber selbst auf Win 11 noch. MS wollte das durch Applocker ersetzen. Ist aber auch deprecated. MS will das durch Defender Application Control ersetzen, geht aber nur per XML oder und nur in Enterprise oder so. Wir bleiben bisher bei SRP, weil das keine Enterprise Lizenzen braucht und seit Win 2000 unverändert läuft. Muss man halt nach jedem größerem Update testen ob es noch geht.
Was tut es? Windows führt nur noch EXE, CMD/BAT, PS1, sonstwas aus Pfaden aus die der Admin per GPO festgelegt hat. Outlook kopiert den Anhang aus der Mail in ein Temp Verzeichnis und will es dort starten. Das darf es dann nicht mehr. Admins installieren nach c:\program files\. Das ist erlaubt. Ein User darf da nicht schreiben.GPO ist ein Group Policy Object, oder in deutschen Versionen: Gruppenrichtlinien.
MS torpediert es aber selbst mit Programmen die sich unter AppData\Local installieren. Teams z.B. und andere Hersteller sind da auch keine Vorbilder. Muss man sehr enge Ausnahmen setzen und das Risiko in kauf nehmen.2: Makros. Ja, der gelbe Balken bringt nix. Per GPO hart ganz abschalten. Brauchen ohnehin die wenigsten Anwender. Die die es brauchen, kann man geziehlt auf die Dokumente einschränken für die es gehen soll. Was machen die Malware Makros? VBS oder Powershell Script ausführen und Payload nachladen und starten. Geht eigentlich durch SRP schon nicht mehr, aber es soll ja Bugs geben die vielleicht um SRP drum rum kommen.
3: Beschafft sich lokale Admin-Rechte und übernimmt den Domain Controller.In meinen Folien hatte ich gesagt, dass Lateral Movement nicht Teil des Threat Models ist. Ich bin mir unsicher, inwieweit man das verallgemeinern kann. Ich unterhalte mich zu Ransomware mit Kumpels, die weiter oben auf der Eskalationsskala sitzen, die sehen dann praktisch ausschließlich Fälle, bei denen der AD übernommen werden konnte. Ich habe leider keine Zahlen, wie hoch der Prozentsatz der Ransomware-Angriffe ist, die man verhindern könnte, wenn man Lateral Movement unterbindet. ALLERDINGS: Wenn man durch andere Maßnahmen dafür sorgt, dass der Sprung zum Domain Admin nicht geht, dann wird die Verhinderung von Lateral Movement plötzlich eine wichtige Maßnahme. Genau das spricht der Leserbrief hier an.
Wenn 1 und 2 versagt hat kommen wir dahin. Nächste Verteidigungslinie ist Lateral Movement zu verhindern.Es gibt genug GPOs zum härten der Systeme, aber man klemmt halt damit alten Legacy ab, was ich aus technischen Sicht eigentlich ganz gut finde. NTLM Auth weg, Credential Caching für Admins und generell Server abschalten, Debugging Rechte global abschalten und nur im Einzelfall erlauben. LAPS benutzen, auch für Server. Das macht es Mimikatz schon ganz schön schwer an verwertbare Daten zu kommen.
Mit ESAE hat MS schon lang ein Konzept die Admin Ebenen voneinander zu trennen. Man muss auch nicht zwingend mehrere Domänen betreiben um den wichtigsten Teil davon umzusetzen.Ich hab das in einem Nebensatz irgendwo erwähnt, dass man die Admin-Accounts aufteilen soll, und dass der Domain Admin nicht an die Datenbanken können soll. Der Leser hier hat völlig Recht, das kann und sollte man noch mehr auftrennen. Dann hat man tatsächlich etwas getan, um im Threat Model ein Bedrohungsrisiko zu senken.
Bei uns darf ein Domain Admin nicht mal PCs in Domänen aufnehmen. Niemals sollte sich ein Domain Admin an einem Client anmelden und das lässt sich auch per GPO verhindern.
Der darf auch nur an Domain Controller, die CA und ähnliche Systeme. Ein Server Admin darf da nicht hin und der darf auch nicht an Clients. Ja, der Domain Admin hat dann halt 4 User Accounts. User, Client Admin, Server Admin, Domain Admin. Natürlich mit Grundverschiedenen Passwörtern. Kommt man mit klar.
Selbst ein Keylogger auf dem Client bekommt dann höchstens den Admin für die Clients, aber kann immer noch nicht auf Server oder gar Domain Controller.Dazu sei angemerkt, dass auch mit Smart Cards im Hintergrund immer noch Kerberos läuft mit Kerberos-Tickets, die abgreifbar sind. Aber die laufen wenigstens nach einer Weile aus.4. Benutz Smart Cards für die Admins und lass nur Anmeldungen per Smart Card zu. In dem Fall kann ein Keylogger auf dem PC auch das Kennwort nicht einfach mal mitlesen.
USB Smart Cards sind nicht teuer. Die Menge an Admins überschaubar.
Für RDP gibt es dann noch den Restricted Admin Mode mit entsprechenden Komforteinbußen.
In Enterprise Editionen noch Credential Guard, usw.
5. Exchange kann Split Permissions. Nutzt das. Es entfernt die Berechtigungen dass der Exchange Server Domain Admin Rechte hat. HAFNIUM war damit nur halb so schlimm.Für die BMC und Hypervisoren würde ich dringend zu physisch getrennter Verkabelung raten, statt zu irgendwelchen Software-Geschichten.
Server müssen auch nicht überall ins Internet dürfen. Verhindert dass Malware auf euren Servern ganz bequem per HTTPS ihren Payload laden können.Erweitert das noch mit VLANs und Firewalls. Kein Anwender muss auf die ESXi Infrastruktur, einen Switch oder das BMC vom Server. Die müssen auch auf die wenigsten Ports für die Anwendungsserver. Da reichen oft ACLs auf dem Core Switch um zumindest bei Line Speed zu bleiben.
Backupserver aus der AD nehmen. Per Firewall/ACL einschränken, dass der an die Server darf, aber die Server nicht zum Backupsserver.Das ist ein guter Ratschlag!
All diese Dinge die ich beschrieben habe gehen mit Bordmitteln. Da ist nicht ein Anti-Virus, SIEM oder sonst eine 3rd Party Lösung beteiligt.Nur ein Nachsatz noch von mir: Der Feind ist Komplexität. Es ist zwar schön, dass man bei Microsoft eine Menge konfigurieren kann, so dass es weniger schlimm ist, aber am Ende des Tages überblickt niemand mehr den ganzen Softwarehaufen, und alle sind nur an der Oberfläche am Herumkratzen. Das betrifft glücklicherweise auch die meisten Angreifer. Wirklich sicher fühlen würde ich mich da nicht. Und wenn man erstmal diese Art von Knowhow aufgebaut hat, dann wird man wahrscheinlich nie wieder von Windows wegmigrieren wollen.
Wir setzen das meiste davon bei Firmen ein die keine 10 Mitarbeiter haben. Das kann man mit Routine an einem Tag umsetzen. (Den Windows Teil zumindest) Testet das selbst mit Mimikatz, Bloodhound und was auch immer. Hackt euch selbst und danach oder wenn ihr das generell nicht könnt, holt euch noch einen Pen Tester um die offensichlichen Lücken weg zu machen.Am Rande: Domain Joined Device Public Key Authentication muss man nicht einschalten. Das ist per Default an. Man muss es aber erzwingen wenn man das Fallback nicht haben will. Ist fast das gleiche, aber doch nicht ganz und geht erst mit Server 2016.
Am weiteren Rande: Patchmanagement. Es wäre schön, wenn MS nicht Patches raus bringen würden die großflächig zu Boot Loops auf Domain Controllern, Druckproblemen oder 802.1X/802.11X Problemen führen würden. Dann hätte man auch mit Auto-Updates weniger schmerzen. So muss man eigentlich schon zwangsweise ein paar Tage warten, wenn man nicht vor einem Totalausfall am nächsten Tag stehen möchte. Beides verfahren sind somit schlecht.
Ich gehe nicht davon aus das danach das System unhackbar sicher ist. Wir sprechen hier immer noch von Software und von Microsoft, aber zumindest hat man etwas in die richtige Richtung getan und die offenlichtlichen Scheunentore geschlossen.
Wer nun mit dem erhöhten Supportaufwand argumentiert, dem sei gesagt dass er bei uns gesunken ist, weil die Anwender eben nicht mehr alles ausführen können was bei 3 nicht auf den Bäumen ist und die Computer dadurch so bleiben wie der Admin es sich mal vorgestellt hat.
Entwicklungsabteilungen können zusätzlich Nicht-Domain Computer oder VMs bekommen um ihre systemnahe Arbeit durchzuführen.
Aus meiner Sicht ist der Vorteil von Linux und co, dass es da keine natürliche Schranke gibt, wie viel Verständnis man von dem Gesamtsystem aufbauen kann.
Update: Einer der Gründe, wieso ich solche Tipps ungerne gebe, ist weil das alles furchtbar komplex ist, und es da immer wieder Untiefen gibt, die man halt nicht kennt, wenn man nicht nach ihnen sucht. SRP und UAC sind da exzellende Beispiele für. Seufz. Siehe auch hier und hier.
Das ist eine Webseite, wo man zusammen mit anderen Leuten an kurzen Texten schreiben kann, alle können gleichzeitig daran schreiben und sehen in Echtzeit die Änderungen.
Der Clou allerdings: Der Inhalt ist verschlüsselt, und der Schlüssel wird als Teil der URL unter den Mitschreibenden verteilt, und zwar so, dass der Schlüssel-Teil nicht beim Server ankommt.
Das ist also eine Infrastruktur, bei der man ungestört an Texten arbeiten kann, ohne dass der Server sieht, was man da genau schreibt.
Warum würde man sowas bauen? Nun, in erster Linie baut man sowas, weil man Privatsphäre-Aktivist ist, und weil dann eine Server-Beschlagnahme offensichtlich sinnlos ist. Die Software loggt natürlich auch nichts, aus genau dem Grund.
Die Piratenpartei hat eine Instanz von Cryptpad bei sich laufen gehabt, für die Öffentlichkeit. Also nicht versehentlich für die Öffentlichkeit. Absichtlich offen für alle. Das wurde dann natürlich relativ breit genutzt, angeblich auch beim Leaken von G7-Dokumenten.
Tja und was macht die Polizei? Rennt mir vorgehaltener Waffe bei der Piratenpartei ins Rechenzentrum und beschlagnahmt den Server. Im Auftrag der Staatsanwaltschaft München, die sich dafür meiner Ansicht nach eine Auszeichnung für besonders herausragende, atemberaubende Inkompetenz verdient hat.
Ja aber warte mal, Fefe, haben Parteien nicht besondere Privilegien bei sowas? Die können doch nicht einfach bei einer Partei Server raustragen?! Ja, was soll ich euch sagen, die Piratenpartei ist auch, gelinde gesagt, überrascht gewesen, dass die Polizei da trotzdem vor der Tür stand.
Am Ende haben sie denen eine Kopie der Serverplatten mitgegeben. Da sind garantiert keine Daten drin, mit denen die ihren Fall aufklären oder auch nur die Aufklärung vorantreiben können. Aber auf dem Server lagen wohl noch andere Daten herum, Parteiinterna.
Hier ist die Pressemitteilung der Piraten dazu. Hier ist eine Pressemitteilung von Patrick Breyer, der für die Piraten im EU-Parlament sitzt.
Aus meiner Sicht ist das einer der ganz großen Skandale der Nachkriegsgeschichte in Deutschland. Eine reine Willkür-Maßnahme, um mal Macht zu demonstrieren, gegenüber vermeintlich Schwächeren, die sich hoffentlich nicht wehren werden. Ich hoffe mal, dass sich an der Stelle die Staatsanwaltschaft in den Piraten geirrt hat, und die jetzt das größtmögliche Fass aufmachen werden. Davon sollte sich sich die Staatsanwaltschaft München jahrelang nicht erholen, dass sie so tief ins Klo gegriffen haben.
Update: Das ist jetzt wahrscheinlich kein wirklich guter Anlass, um euch zu sagen, dass ihr Cryptpad auch einfach selber bei euch hosten könnt, wenn man sich damit dann den Besuch bewaffneter Polizisten einfängt. Aber falls ich euer Interesse geweckt habe: Hier ist deren Homepage und hier ist der Quellcode. Das ganze ist unter der AGPLv3-Lizenz, d.h. könnt ihr einfach so bei euch installieren und benutzen und interessierten Dritten geben.
Update: Heißt Cryptpad, nicht Cryptopad.
Update: In dem Brief des Vorstands an die Mitglieder steht, was für Parteiinterna da auf dem Server lagen: Da lagen ein paar (nicht alle!) Mitgliedsanträge herum, Anträge zur Beitragsminderung, Umzüge.
Update: Das war nicht das erste Mal, dass die Polizei bei den Piraten Server rausgetragen hat.
Die war natürlich nicht bindend. Wenn man so was ändern könnte, wäre das ja verboten. Aber dennoch hat es dazu geführt, dass im Koalitionsvertrag einige Versprechen standen, was man denn so zu tun gedenke, um die Lage zu entspannend.
Hier könnt ihr mal gucken, wie es so läuft. Spoiler: Franziska "Clankriminalität" Giffey ist regierende Bürgermeisterin. NA KLAR bleiben die Ergebnisse noch deutlich hinter dem Koalitionsvertrag zurück, und der war schon runtergedampft.
Die Giffey versucht sich da jetzt mit einer Wohlfühl-PR-Nummer rauszuwinden. Eine unverbindliche Absichtserklärung, bei der alle unterschreiben, dann feiert sich die Giffey, nichts passiert, und das Problem ist vertagt auf die Nachfolgeregierung.
Es geht um sicheren Code. Das ist ein immer noch ungelöstes Problem. Es gibt Ansätze, die tatsächlich helfen, aber am Ende schreiben wir immer noch ständig Code mit Sicherheitslücken.
Es gibt Empfehlungen, was man tun soll, um das Risiko zu minimieren. Man soll seine Funktionen kurz halten, man soll insgesamt so wenig Code wie möglich haben, man soll eine Programmiersprache ohne Memory Corruption verwenden.
Dann gibt es noch Empfehlungen, wenn das nicht geht, wie man sich in die richtiger Richtung schummeln kann: Privilege Separation, TCB-Minimierung. Das sind aber sekundäre Hilfsmittel. Die Ausgangsbasis war: Der Code ist sonst zu groß, um ihn verstehen und auditieren zu können.
Wenn ihr euch aber mal Smart Contracts anguckt, dann wird da exploitet, bis der Arzt kommt. Dabei sind die Funktionen kurz, die Codemenge ist klein, und das ist in einer Sprache mit Speichersicherheit geschrieben.
Ich finde, die Programmier-Branche muss sich an der Stelle ein paar peinliche, unangenehme Fragen stellen lassen.
Wie kommt es, dass die Smart Contracts so krass unsicher sind? Ich sehe mehrere mögliche Erklärungen:
Weitergehende Daten dazu habe ich nicht, aber die erste Variante glaube ich so erstmal nicht. Wir haben auch echt viele unerfahrene Noobs mit großen Visionen bei den "normalen" Programmierern. Gut, viele von den Fans im Umfeld erwecken nicht den Eindruck einer voll geformten Großhirnrinde, aber es geht ja hier um die Programmierer, nicht um die Opfer.
Die dritte Variante halte ich statistisch auch für unwahrscheinlich. Inzwischen wird zwar viel von dem Code von Abzockern zum Ziel des Abzockens geschrieben, aber die alte Garde unter den Crypto-Bros sind Libertäre, nicht Abzocker. Also ja, gibt da Überlappungen, keine Frage.
Und jetzt der Teil, der mich gerade nachts nicht gut schlafen lässt. Was wenn es die mittlere Variante ist? Was wenn der Code in Kraftwerken und Autos und Flugzeugen genau so kacke ist wie der bei den Smart Contracts, und wir sehen es bloß nicht, weil sich für nicht-psychopathische Angreifer der Aufwand bislang nicht gelohnt hat?
Kann es sein, dass der Code da draußen noch viel schlimmer ist als wir bisher wahrhaben wollen?
Ich spreche das an, weil wir gerade in der Ukraine einen Krieg haben. Im Krieg ist plötzlich jedes Mittel Recht und Psychopathen haben Hochkonjunktur. Wenn die Psychopathen der Gegenseite jederzeit alle unsere Softwareinfrastruktur kaputtmachen könnten, weil wir zu arrogant waren, mal wirklich hinzugucken, wie schlecht das alles ist, das wäre ja eher unschön, findet ihr nicht?
Am Ende wird es eine Kombination sein. Aber nur Punkt 1 und Punkt 3 reichen m.E. nicht, um das Ausmaß an Smart Contract Exploitation zu erklären.
Bei der Bahn kann ich schon seit Jahren nicht mit meiner Firmenkreditkarte zahlen, weil die da irgendeinen Compliance-Validierungs-Scheiß eingeführt haben, der bei meiner Karte immer failed. Die Karte ist zwar in meinem Namen aber halt nicht mit meinem Privatkonto verbunden, für das ich Onlinebanking hätte.
Gut, zahl ich halt mit Lastschrift. Ist mir eh das liebste Zahlungsverfahren unter den Kandidaten, weil ich betrügerische Abbuchungen zurückholen kann. Das lief seit Jahren gut. Heute nicht mehr. Ich kann zwar SEPA-Lastschrift auswählen, und das sieht auch erstmal so aus, als liefe es, aber dann kommt wieder die Auswahl, diesmal ohne Lastschrift. Da habe ich dann die Wahl zwischen Kreditkarte (funktioniert nicht), Giropay oder Paypal. Paypal macht am Ende Lastschrift, was ich die ganze Zeit haben wollte.
Dieses ganze Herumversagen der Bankenindustrie treibt mich am Ende zu Paypal, weil das die einzigen sind, die mich ohne Bullshit-Theater Dinge bezahlen lassen. Was zur Hölle ist denn bitte mit diesen ganzen Leuten los? WOLLEN die sich aus meinem Geschäftsleben rausekeln?
Giropay hab ich in Erwägung gezogen, aber der Prozess involviert, dass man einen Freischaltlink in seinem Homebanking erzeugt. Was der genau freischaltet ist für mich nicht nachprüfbar. Also mache ich das nicht.
Außerdem finde ich es nicht gut, dass Giropay (oder Paypal!) sehen kann, dass ich bei der Bahn was bezahle. Schlimm genug, wenn die Bahn und meine Bank das sehen können! Wenn ich das System designen sollte, wäre das eines der obersten Designziele gewesen, die anfallenden Daten zu minimieren.
Für die Sache mit dem Aktivierungslink kann Giropay m.W. nichts, das hat ihnen irgendeine Compliance-Bullshitlavine einer Behörde reingedrückt, oder waren es die Banken? Spielt für mich aber auch keine Rolle, wieso das so ist. Es ist so, und ich mag es nicht.
Update: Warum mag ich es nicht? Weil es ein Dark Pattern für Einleitung der Beweislastumkehr ist. "Aber Sie haben doch zugestimmt!" Nee. DEM HIER habe ich NICHT zugestimmt. Daher stimme ich dann lieber niemals irgendwas zu.
Update: Ein Leser meint, er hatte dasselbe Problem, und in Chrome ging es dann, nur Firefox ging nicht. Ein Kumpel von mir hat Firefox und bei dem geht es auch. Ich vermute irgendeinen a/b-Test-Bullshit.
Ein anderer Leser meint, es gäbe da noch einen Unterschied zwischen Giropay und Giropay Paydirekt, und das mit dem Link sei nur bei Giropay Paydirekt. Bei Giropay ohne Paydirekt, sagt er, brauchst du keinen Account irgendwo anlegen sondern du generierst im Onlinebanking eine TAN und die gibst du dann der Bahn-Webseite. Das finde ich ja eher noch gruseliger, muss ich sagen. Das klingt für mich wie eine Sepa-Lastschrift aber mit Beweislastumkehr und ohne Rückbuchbarkeit.
Update: OK, das mit der TAN stimmt offenbar auch nicht. Das ist doch eher wie Sofortüberweisung. Du klickst bei der Bahn, die schickt den Browser zu deiner Bank, da ist ein vorausgefülltes Überweisungsformular, und wenn du das abschickst, dann benachrichtigt die Bank die Bahn, dass du gezahlt hast. Also: Vorkasse und nicht zurückrufbar. Kombiniert geschickt alle Nachteile.
Update: Ein Leser spekuliert, dass die Lastschrift absichtlich für Sparpreis-Tickets abgeschaltet wurde. Das kann sein, ich hab in der Tat Sparpreis-Tickets gebucht.
Damit dampft sich die Liste der Möglichkeiten ein, was da passiert sein könnte.
Es handelt sich um Verifone H5000, die sind angeblich 2012 erstmals in Verkehr gebracht worden. Damit ist die naheliegende Erklärung: Das CA-Zertifikat ist abgelaufen.
Das würde erklären, wieso die alle auf einmal ausfallen, und wieso das nicht am nächsten Tag gefixt ist. Wenn das CA-Zertifikat abgelaufen ist, kann das Gerät auch keine Signatur unter einem neuen BIOS autentisieren, oder Admin-Logins, um ein neues BIOS einzuspielen.
Dann werden die jetzt im Netz die Zeit zurückdrehen müssen, um die alte CA wieder zu reaktivieren, was natürlich einen Haufen anderer Probleme macht, und eigentlich gar nicht gehen sollte, weil, äh, das könnten ja auch Angreifer machen sonst.
Man würde denken, dass so ein Pfusch gar nicht erst am Regulator vorbeikommt, aber dann fällt einem auf, dass der Regulator die Bafin ist, und was die beruflich machen habe ich auch noch nicht herausgefunden. Regulieren jedenfalls nicht.
Bleibt die Frage, wieso die Supermärkte ihre Terminals nicht rebooten sollen. Das könnte bedeuten, dass deren Zertifikats-Prüfung nur beim Aufbau der Verbindung gemacht wird. Wenn die gar keine Zeit aus dem Netz beziehen, aus Sicherheitsgründen durchaus sinnvoll bei sowas, dann hat der Hersteller jetzt die Arschkarte. Das würde erklären, wieso der im Moment nicht auf Presseanfragen reagiert.
Update: Offenbar hat ausnahmsweise nicht die Bafin verkackt sondern "Die Deutsche Kreditwirtschaft". Die Webseite sieht aus wie eine Lobbygruppe aber das ist der Kabal, der seit den 1980ern für tolle Entscheidungen wie "HBCI braucht keiner mehr" verantwortlich ist.
Das macht die Sache ja noch viel süßer, wenn die Banken sich da selbst in den Fuß geschossen haben.
Update: Es gibt noch einen Player, der auf dem Weg die Hand aufgehalten hat.
Update: Hier gibt es eine Bestätigung für die Zertifikats-Theorie:
"Aufgrund eines Zertifikatsfehlers wird es nach aktuellem Stand nötig sein, auf allen H5000-Terminals neue Softwareupdates einzuspielen", heißt es.
Verifone arbeite daran, heißt es weiter, die neue Softwareversion verfügbar zu machen. Die ist noch nicht verfügbar. Die haben noch kein Update.
Update: Auf Twitter gerüchtet jemand, es habe ein Update gegeben, Weihnachten 2021. Wo sie das nicht ausgerollt haben, ist jetzt halt das Terminal tot.
Update: Hier hat jemand ein paar Screenshots eines betroffenen Geräts und das scheint meine Theorie weitgehend zu bestätigen.
Money Quote:
Websites categorized as Pornography had the best privacy when it comes to surreptitious form data harvesting."A somehow surprising result was the following: despite filling email fields on hundreds of websites categorized as Pornography, we have not a single email leak," the researchers say
Und jetzt noch ein Lacher am Rande: Wenn du wissen willst, wo sich die russischen Soldaten in der Ukraine aufhalten, guckst du einfach auf die Roaming-Daten der Mobilfunkbetreiber.
Konkret: Polizeigewalt in Deutschland. Beim Umgang mit Polizeigewalt diagnostiziert er nach näherem Hingucken ein Systemversagen. Also nicht nur hier und da ein Einzelfallversagen. Nein. Das ganze System versagt.
Ich würde hinzuführen: By Design. Vorsätzlich. Das ist so ausgelegt. Denn wenn die Leute nicht damit rechnen müssen, verprügelt zu werden, dann gehen die am Ende noch frei demonstrieren! Was wenn die Bevölkerung mitkriegt, wie unbeliebt die Regierung auch bei allen anderen ist? Am Ende stürzt die noch jemand!
Bemerkenswerterweise wurde Melzer nicht etwa von dem Mann getriggert, dem die Polizei mit Wasserwerfern bei S21 das Augenlicht herausschoss, sondern von vergleichsweise trivialen Gewalttaten der Polizei:
Melzer war im Sommer 2021 wegen mehrerer Videos, die offenbar Polizeigewalt bei Berliner Demonstrationen gegen Corona-Maßnahmen zeigten, aufgeschreckt worden. Er äußerte Sorge darüber und bat die Bundesregierung um eine Stellungnahme. "Ich fand die Reaktion der Regierung bedenklich", sagte er jetzt. Nach Auffassung der Bundesregierung sei es verhältnismäßig gewesen, dass Polizisten beispielsweise einen nicht aggressiven Demonstranten vom Fahrrad stießen und auf den Boden warfen. "Die Wahrnehmung der Behörden, was verhältnismäßig ist, ist verzerrt", sagte Melzer.Klar ist die verzerrt, aber schon zu unseren Gunsten. Guckt euch mal alte Videos von den Anti-Atom-Protesten an, oder von Polizeikesseln in Berlin und Hamburg. Im Vergleich dazu kann man schon verstehen, wieso die Behörden gar nicht verstehen, was der Melzer will. Die hier leben doch alle noch!1!!
Jedenfalls hat der Melzer dann mal um Statistiken gebeten, wieviele Polizisten so in den letzten Jahren wegen unverhältnismäßiger Gewaltanwendung bestraft wurden. Ergebnis:
In zwei Jahren sei es ein einziger gewesen, und in mehreren Bundesländern gebe es gar keine Statistiken. "Das ist kein Zeichen von Wohlverhalten, sondern von Systemversagen", sagte Melzer. "Die Behörden sehen gar nicht, wie blind sie sind."Nee, nee, doch, doch, die wissen ganz genau, wie blind sie sind. Die sind ja absichtlich blind. Wer nichts sieht, sieht keinen Handlungsbedarf!
Ja gut, hat sich der Melzer gedacht, dann vergleichen wir doch mal die Verfolgungsintensität bei Demonstranten und Polizisten. Ergebnis:
Während Demonstranten teils in Schnellverfahren abgeurteilt würden, würden Verfahren gegen Polizisten eingestellt oder verschleppt, "bis niemand mehr hinschaut".Ach. Ach was. Na sowas!
Natürlich haben die "beide Seiten hören"-Journalisten mal die Bundesregierung um einen Kommentar gebeten. Deren Antwort rundet die ganze Chose so richtig schön ab:
Die Bundesregierung nehme jeden Verdacht der übermäßigen Polizeigewalt ernst und unterstütze die Aufarbeitung von möglichem Fehlverhalten, hieß es vonseiten des Bundesinnenministeriums. Dies komme auch zum Ausdruck durch die umfangreiche Stellungnahme der Regierung gegenüber dem UN-Sonderberichterstatter zu seiner Anfrage im Zusammenhang mit Gewalt-Vorwürfen bei den Anti-Corona-Demonstrationen. "Die hier gegenständlichen Einsätze erfolgten allerdings in der alleinigen Zuständigkeit der Länder", stellte der Sprecher des Ministeriums fest. Bundespolizei und Bundeskriminalamt seien hier nicht beteiligt gewesen.Polizeigewalt ist (in diesem Fall!) Ländersache!1!! Ja gut, und was die Länder da prügeln, das geht uns ja hier nichts an. Das sind alles bedauerliche Einzelfälle.
Aber die STIRN, mit der die da sagen, sie hätten ja auf die Anfrage geantwortet, daran könne man ja sehen, dass ihnen das wichtig sei! Während bei uns in Gefängniszellen Asylbewerber verbrennen und Menschen von Wasserwerfern die Augen rausgeschossen kriegen! Unglaublich.
Update: Ihre Menschenrechtsverletzung ist uns sehr wichtig! *dudel* Bitte bleiben Sie in der Leitung *fahrstuhljazz* Vor Ihnen warten noch drei-undfünfzig andere Menschen in der Notaufnahme! *weiterdudel*
Dazu jetzt ein Leserbrief:
reicht ja nicht, dass die Lücke von November 2021 bis vorgestern bei Oracle bekannt war, bis sie gepatcht wurde. Es gibt bis heute auch in kaum einer Distribution eine gepatchte Variante des OpenJDKs.Nehmt Java, haben sie gesagt! Das ist secure by design, haben sie gesagt!OpenJDK Projekt? Listet das geplante 17.0.3 Release Datum als 19.04., das letzte GA Release ist aber immer noch 17.0.2: https://wiki.openjdk.java.net/display/JDKUpdates/JDK+17u
Debian? CentOS? openSUSE? Warten wohl alle noch auf den Upstream Build und verteilen inzwischen weiterhin fleißig 17.0.2.
Adoptium? Hat ein fetzen Banner auf der Homepage, dass man sich hier den Buildzustand anschauen kann: https://github.com/adoptium/adoptium/issues/140
Ein fertiges Release gibts leider noch für keine Version.Die einzige bisher gepatchte OpenJDK Version scheint Arch zu haben: https://archlinux.org/packages/extra/x86_64/jdk17-openjdk/
Vermutlich haben die ihren eigenen Build.
Warum dauert das so lang? Offensichtlich gibts keinen Hotfix Prozess und es fallen Tests um: https://github.com/adoptium/aqa-tests/issues/3594
Da fragt man sich, was passiert eigentlich, wenn in Java ne RCE auftaucht? Warten wir dann auch > 2 Tage darauf, dass der Code Change im Binärpaket landet?
Nicht dass CVE-2022-21449 in irgendeiner Form etwas anderes als kritisch wäre...
Ich möchte an der Stelle darauf hinweisen, dass hier offensichtlich Oracle nicht OpenJDK vorab informiert hat, damit die auch einen Patch fertig haben. Das ist eine Sache, die man häufiger beobachten kann, dass Firmen selbst monatelang auf 0days sitzen, und nicht nur ihre Kunden gefährden, sondern auch absichtlich Open-Source-Komponenten uninformiert lassen, denn wenn du die informierst, dann fixen die das natürlich sofort und nicht erst wie du 6 Monate später. Und dann könnte die Welt ja sehen, was du für eine unzumutbare Patchpolitik fährst, indem du deine Kunden mit scharfen Sprengstoffgürteln durch die Gegend rennen lässt.
Aus meiner Sicht haben wir hier doppelt Oracle zu danken. Und es stellt sich die Frage, wieso die Finder dieser Lücke das überhaupt an Oracle gemeldet haben, und nicht bloß an OpenJDK. Den Oracle-Kram setzt doch eh niemand mehr ein!
Gab es da eine Bug Bounty oder was ist da los?
Update: Können wir an der Stelle bitte auch kurz hervorheben, dass wir von Open Source erwarten, dass es nach zwei Tagen funktionierende Patches für alle Plattformen gibt, während bei Oracle offenbar außer mir niemand ein Problem damit hat, dass die SECHS FUCKING MONATE ihre Kunden mit blutender Wunde unversorgt weiterhumpeln ließen?
Ich frage mich ja, wieso der Bug überhaupt an Oracle gemeldet wurde. Man hätte das an OpenJDK melden können. Oracle hätte dann sagen können: oh, äh, ja, das betrifft uns auch. Der nächste Patchtag ist im Oktober 2023!1!!
Update: Improve ECDSA signature support ist ja auch mal ganz großes Hallentennis als Commit Message.
Ein Leser schlägt vor, dass die Bugfilter ihr Geld damit verdienen, dass Bugs offen bleiben, damit ihre Kunden einen Vorteil davon haben, wenn sie deren Service einkaufen, der sie vor Lücken warnt. Insofern könnte das Vorsatz gewesen sein, nur Oracle zu informieren und nicht OpenJDK.
Update: Zwei Leserbriefe dazu kamen rein, die ich hier erwähnen will. Der erste meinte: Der Bug wurde an OpenJDK gemeldet, nicht an Oracle. Aber die Mannschaft hinter OpenJDK ist halt zum Großteil bei Oracle angestellt, insofern hat das nicht geholfen. Der andere meinte: Der Bug tritt angeblich nur unter Windows auf. Huch, muss ich übersehen haben im Advisory.
Update: Nein, hab ich nicht übersehen. Es gibt mehrere Fußnoten mit der Nummer 1. m(
80 Prozent der bei der Treuhand eingehenden Überweisungen konnten keinem Kaufvertrag zugeordnet werdenHier wird es dann tatsächlich konspirologisch. Die Politik war durchaus zufrieden damit, dass die Treuhand als Blitzableiter den ganzen gerechten Zorn erntete, und hat ihr trotz evidenter Überforderung immer noch mehr Aufgaben übertragen. Zusammenfassung der Forscher:
Es habe keinen Plan gegeben, jemanden zu schaden. Aber es habe ihr bisweilen an Kompetenz gefehlt, um andere daran zu hindern.
Ich hab keinen Bock mehr.
Jaja, wir sind die Guten. Die andere Seite sind die Bösen. Die haben angefangen, wir verteidigen hier nur.
Jaja, wir sind am gewinnen. Für die anderen läuft es nicht gut. Die sind so gut wie besiegt.
Jaja, wir sind die Guten, die anderen sind Faschisten.
Jaja, WIR wollten gar keinen Krieg.
Jaja, der Typ da, der Chef der anderen Seite, das ist ein fieses Monster. Ein Unmensch!
Jaja, die Opfer der Gegenseite waren gewollt oder zumindest mutwillig in Kauf genommen. Die von uns verursachten Opfer hingegen waren alles fiese Schweine, die es nicht besser verdient hatten, und im Übrigen unbeabsichtigte Versehen.
Jaja, 1000 Professoren und Kulturschaffende unterstützen unsere Seite, bei dem anderen sind nur tumbe Proleten dafür.
Jaja, wer unsere Berichterstattung nicht glaubt, ist ein Verräter und unterstützt die Monster auf der anderen Seite bei ihren unmenschlichen Kriegsverbrechen.
*Gähn*
Und ganz modern: Oh, die andere Seite hat uns erwischt? Das war alles Fake, das war eine False Flag Operation!!1! Alles Schauspieler!1!!
Muss ich mal wieder ein Bingo aufsetzen oder was?
Update: Oh hier ist noch einer: Die Gegner laufen in Scharen zu unserer gerechten Sache über!
Update: Ui, mit dieser Liste scheine ich ja einige Leute geärgert zu haben. Für die bin ich jetzt (ja, jetzt erst!!) ein Putin-Versteher. Dabei war doch ganz klar Putins Propaganda gemeint, nicht unsere. Was trieb euch denn alle zu der Annahme, dass hier unsere Propaganda gemeint war? Habt ihr etwa kognitive Dissonanz?
Im Übrigen, wenn ihr mal ganz genau hinguckt, werdet ihr feststellen, dass ich da überhaupt keine Propaganda kritisiert habe. Weder die eine noch die andere. Ich habe nur keinen Bock mehr auf die und schlug daher vor, Redundanzen rauszukürzen. Man könnte z.B. Meldungen der Form "wir sind die Guten, die anderen sind die Bösen" durch "Textbaustein-1" ersetzen. Was man da für Energie sparen könnte! CO2-Emissionen!!
Update: Ein Leser schlägt noch einen Textbaustein vor: Ist gar kein Krieg, eher eine Art Notoperation, die mit "chirurgischer Präzision" ausgeführt wird. Zum Wohle des Patienten, den wir hier zu retten versuchen, versteht sich.
Update: Es kann natürlich sein, dass die Leute dachten, ich meine unsere Propaganda, weil die Zensur von RT und Sputnik verhindert, dass sie die Putin-Propaganda überhaupt sehen. Komisch. Gestern erzählten mir noch Leute, dass das ja gar keine echte Zensur sei, weil man die ja umgehen kann. Ich müsse ja ganz schön inkompetent als IT-Fuzzy sein, wenn ich das nicht umgehen könnte!1!!
Antivirensoftware, einschließlich der damit verbundenen echtzeitfähigen Clouddienste, verfügt über weitreichende Systemberechtigungen und muss systembedingt (zumindest für Aktualisierungen) eine dauerhafte, verschlüsselte und nicht prüfbare Verbindung zu Servern des Herstellers unterhalten.Ach. Ach was.
Das fällt euch jetzt auf?
Oder ist das erst jetzt ein Problem für euch, wenn ausländische Firmen eine verschlüsselte privilegierte Hintertür in alle Systeme der deutschen Industrie haben?
Hätte uns doch nur jemand rechtzeitig gewarnt!!1!
Vielleicht ist jetzt der richtige Moment, um mal ein bisschen die Gründer der Player zu googeln. Der Gründer von Mandiant kommt von der US Air Force. Crowdstrike wurde einem Russen gegründet.
Wie wäre es mit McAfee? Ein für seinen krassen Drogenkonsum und seine Herumhurerei bekannter Playboy?
Fireeye wurde von einem Pakistani gegründet. Ist das vertrauenswürdiger als ein Russe?
Bitdefender kommt aus Rumänien, ESET aus der Slovakei. Kann man da annehmen, dass die unbestechlich und unkorrumpierbar sind?
Ein russischer IT-Hersteller kann selbst offensive Operationen durchführen, gegen seinen Willen gezwungen werden, Zielsysteme anzugreifen, oder selbst als Opfer einer Cyber-Operation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden.Oh und das kann in anderen Ländern nicht passieren?!
Hey, ich hab eine radikale Idee. Wie wäre es, wenn ihr einfach gar keinem eine privilegierte Backdoor in alle eure Systeme gebt?
Ich wollte das erst nicht ins Blog tun, weil ich mir dachte: Was ist hier die Aussage? Den Leuten im Donbass geht es Scheiße? Das wissen wir doch alle!
Wenn du die Lage im Donbass zeigst, bist du dann nicht bloß ein Partisane? In Kriegszeiten gar ein Propagandist?
Aber nachdem ich mal durch meine Inbox geguckt habe, wo Leute fragen, ob ich auch gehört habe, dass ukrainische Nazibrigaden in den Donbass reinschießen, denke ich mir jetzt, ich tue das besser doch mal ins Blog.
Ja, ich habe das auch gehört. Ich glaube, da gibt es auch wenig Zweifel dran, dass das passiert. Vielleicht an der Stelle ganz interessant: Die Definition von Völkermord. Ich zitiere:
c) die absichtliche Unterwerfung unter Lebensbedingungen, die auf die völlige oder teilweise physische Zerstörung der Gruppe abzielenDas hat Putin argumentiert. Schaut euch das Video an und entscheidet selbst.
Das Video ist eine Stunde lang. Der Aufmacher ist aber direkt ein Ausschnitt einer Rede des ehemaligen ukrainischen Präsidenten Poroschenko. Den solltet ihr gesehen haben. Sind nur ein paar Sekunden.
Update: Und hier ist die Gegendarstellung zu dem Ausschnitt aus der Rede.
Wisst ihr, was mich ja zunehmend beunruhigt an diesem ganzen Konflikt? Wie sich immer mehr von dem, was die Russen gesagt haben sollen, entweder als "haben sie gar nicht gesagt" oder als "bei genauerer Betrachtung ist da tatsächlich was dran" herausstellt.
Das bringt mich zu der Frage: Was, wenn Russland die ganze Zeit Recht hatte? Nehmen wir mal für eine Sekunde an, ihre Vorwürfe an die Ukraine stimmen, und da gibt es Nazi-Freischärlercorps, die seit Jahren über die Grenze in den Donbass schießen.
Wir glauben der Ukraine, dass es Schüsse aus dem Donbass in die Ukraine gibt. In solchen Konflikten ist es im Allgemeinen nicht so einfach zu sagen, wer jetzt zuerst geschossen hat. Aber wenn eine Seite schießt, schießt im Allgemeinen die andere Seite zurück.
Nehmen wir also mal für eine Sekunde an, beide Seiten schießen. Das ist meiner Beobachtung nach häufig so, dass beide Seiten mit ihren Vorwürfen Recht haben, aber beide tragen natürlich nur die Teile vor, die sie selbst als im Recht aussehen lassen.
Nehmen wir also mal kurz an, dass tatsächlich Nazi-Freischärler aus der Ukraine in den Donbass schießen. Ich kann mir ganz gut vorstellen, wie es dazu gekommen sein könnte. Aus Sicht der Ukraine sind das ja Brückenköpfe der Russen auf ihrem Territorium. Das liegt nahe, da zumindest eine Containment-Strategie zu fahren, damit diese Gebiete nicht größer werden. Wenn, sagen wir mal, das Saarland Anstalten macht, sich in Richtung Frankreich abzuspalten, und Frankreich denen dann Truppen schicken würde, dann wäre das hier bestimmt auch Priorität.
So eine Containment-Strategie ist furchtbar aufwendig und teuer, das kann die Ukraine vielleicht gar nicht leisten, und ist daher wenig wählerisch, wen sie das machen lässt, wenn sich da ein Regiment freiwillig meldet. Da guckt man dann vielleicht nicht so genau hin, ob die durch Nazi-Insignien aufgefallen sind. Das wäre auch alles nicht Zelenskis Schuld, sondern die seiner Vorgänger.
Ich kann mir auch gut eine Situation vorstellen, wie Russland da ohne eigenes Verschulden von den Donbass-Russen reingezogen wurde.
Wohlgemerkt: Ich sage nicht, dass das so passiert ist. Aber meiner Erfahrung nach kommt man in Verhandlungen immer nur genau dann weiter, wenn gewillt ist, für die Gegenseite anzunehmen, dass sie nicht vorsätzlich böse Dinge tun, um mich zu ärgern. Wenn man mit der Prämisse reingeht, kann man sich die Verhandlungen gleich sparen, dann kann da nichts rauskommen. Dann wird das ein reines Anbrüllen, wie verdorben die Gegenseite ist. Am Ende bestätigen sich beide Seiten nur ihre Vorurteile und man führt weiter Krieg gegen DIE BÖSEN.
Wenn man gewillt ist, der Gegenseite zu glauben, dass das keine Absicht war, dann gibt man ihnen eine Möglichkeit, da ohne Gesichtsverlust rauszukommen.
Aber WENN es so passiert wäre, würde ich als Gedankenexperiment gerne wissen, was wir dann eigentlich konkret von Russland fordern würden.
Also, Prämisse: In der Ukraine gibt es wirklich marodierende Nazi-Freischärler. Die schießen über die Grenze. Russland sieht jahrelang zu und wendet dann Gewalt an.
Was wäre denn, wenn wir das im Sinne einer erfolgreichen Verhandlung anzunehmen bereit sind, der Weg nach vorne jetzt? Was genau würde man von Russland fordern? Sie sollen zurück in den Donbass? Oder sie sollen ganz raus aus der Ukraine? Fordern wir, dass sie die Einwohner des Donbass evakuieren und mitnehmen?
Ich finde das alles die viel relevanteren Fragen als wer jetzt woran Schuld ist.
Wir sind jetzt in dieser Scheiß-Lage. Welche Zugeständnisse würde man von Russland fordern, und welche von der Ukraine?
Die Russen haben gesagt, sie wollen eine Demilitarisierung der Ukraine haben. Könnte die Ukraine ihnen anbieten, dieses Asow-Regiment rechtstaatlich abzuurteilen? Könnte die Ukraine überhaupt zusagen, dass keine Schüsse mehr von ihrem Gebiet in die Donbass-Gebiete fallen?
Wenn ich mich mal in die Russen reinzuversetzen versuche, würde ich eine totale Demilitarisierung der Ukraine nur fordern, wenn ich den Eindruck hätte, die hätten ihr Militär und ihre Freischärler gar nicht genug unter Kontrolle, um Zusagen machen zu können. Was könnte die Ukraine tun, um zu beweisen, dass sie das unterbinden könnten?
Ich würde ja echt gerne mal hören, was die da bei diesen Verhandlungen genau vortragen.
Meine Vermutung ist: Wenn es nicht voran geht, dann sind die noch beim Schuldzuweisen, und haben noch nicht mal damit angefangen, wie man gemeinsam aus dem Morast wieder rauskommt.
Du hast dich ja gestern darüber "beschwert", dass RT hier abgeschaltet wurde und man daher keinen Einblick in die russische Seite bekommt. Ich habe lange (virtuelle) Gespräche mit einer befreundeten Russin geführt, die nach westlichen Werten lebt und Putin überhaupt nicht abkann. Bis sie ihre Meinung geändert hat irgendwann letztes Wochenende und dieser Switch war unglaublich "spannend"/"interessant". Ich möchte dir ihre Argumente mal darlegen, denn sie lassen sich tatsächlich nicht entkräftigen. Sie ist Halb-Russin/Halb-Ukrainerin und hat Familie und Freunde in Russland, Ukraine und Weißrussland.Ob sich ihre Argumente entkräftigen lassen oder nicht, das will ich mal lieber euch überlassen. Aber gehört haben solltet ihr sie.
Außerdem: Die Russen töten keine Zivilisten sondern sagen vorher öffentlich an, wenn sie eine Militärbasis angreifen wollen, damit die Zivilbevölkerung drumherum fliehen kann. Mich erinnert diese Konstellation frappierend an Operationen von Israel im Gazastreifen.
- Die russische Armee kommt tatsächlich zur Friedensmission. Es würden keine zivilen Strukturen anvisiert und nur durch schwarze Schafe in der Armee / Blindgänger getroffen. So eine Art Kollateralschaden. Verglichen wurde das mit allen US-Kriegen der letzten Jahre, die ja auch regelmäßig Zivilisten zum Opfer hatten auf der Suche nach vermeintlichen Terroristen/dreckigen Bomben.
- Die Armee sei absichtlich so unerfahren und schlecht ausgerüstet. Sie sollen Ukraine nicht vernichten. Nur die Regierung austauschen
- Städte sollen nicht zerstört, sondern umzingelt und demotiviert werden
- Die russischen Soldaten im Land seien friedlich zur ukrainischen Bevölkerung
- Die ukrainische Bevölkerung wurde seit 2014 auf Russenhass getrimmt.
Dazu gibt es eine wissenschaftl. Quelle, die ich nicht bewerten kann.
Russisch zu sprechen sei in der Ukraine verboten worden.- Azow, Misanthropic Division und co. seien Grund genug einzumarschieren. Extrem weite Rechtsaußen mit Nazi-Anleihen und Nazi-"Presse-Stunts" noch und nöcher. Dazu die Bandera-Aufmärsche und co. Das zöge sich bis in die Politik ("Nazi politics in Ukraine: Ruslan Koshulinsky, Oleg Tyagnibok, Bogdan Chervak, Anatoly Gritsenko, Andrei Biletsky (he is a deputy and is the commander of Azov), Maxim Zhorin, Nikolai Kravchenko")
- Russischstämmige Ukrainer leb(t)en in Angst. In einigen Gebieten würden diese den invasierenden Truppen zujubeln.
- Die Volkszählungen in der Ukraine seien "fake", da enorm viele Russen gezwungen seien worden ihre Nationalität zu ändern und sich in Wahrheit als russisch identifiziert hätten. (Russisch sei keine Weltsprache, wer russisch sprechend aufwächst, fühle sich russisch)
- Die Bevölkerung in der Ukraine (spz. die nicht ethnisch-Ukrainische) habe mehr Angst vor den Nazi-Bataillonen und den 10.000 bewaffneten jetzt freigelassenen Häftlingen, die mordend, raubend und vergewaltigend durch die Länder ziehen würden. Mit Unterstützung (Geld, Waffen etc.) durch den Staat und dadurch indirekt durch den Westen/uns.
- Große Teile der Berichterstattung, die wir sehen, sei fake. Die Raketenwürfe auf Kharkiw seien aus dem Westen gekommen – dort steht allerdings das ukrainische Azow-Bataillon und nicht die russische Armee. Eine "Inszenierung".
- Putin habe 2007 in München bereits Abrüstung und Waffenstillstand angeboten. Das Angebot wurde abgelehnt und er ausgelacht. Er habe von Anfang an gesagt, dass Russland keine Spielfigur in einer amerikanischen Welt werden will. Dass Russland eigenständig sein und sein eigenes Ding machen will. Dass Russland nicht will, dass sich die NATO weiter ausbreitet. Er würde einfach nur zu seinem Wort stehen. Die Provokationen kämen aus dem Westen, deren Narrativ Russland extrem böse darstehen lässt, während dort nur Aggressionen aus dem Westen zu sehen sein.
- Nexta TV und co. sei durch und durch ukrainische Propaganda. Das meiste was wir sehen würden sei gefaket. Wir seien im Zeitalter der Fakes schon sehr doll angekommen. (auch zu sehen an den BILD TV Fails hier im Land (z.B. Bilder von 2014 oder vom Tianmen Square, China)
Das Narrativ in Russland ist wohl tatsächlich, dass die Ukraine im Wesentlichen vollständig von Nazis regiert wird, dass unter ukrainischer Fahne operierende Nazi-Battalione seit Jahren ständig in die Rebellengebiete reinschießen, bis hin zu Geschichten von ethnischen Säuberungen (Soldaten halten dich an, du musst ein Wort auf ukrainisch sagen, und wenn du einen russischen Akzent hast, wirst du erschossen).
Wenn DAS dein Bild davon ist, was in der Ukraine abgeht, dann könnte ich verstehen, wieso die russische Zivilbevölkerung den Krieg bisher mitzutragen scheint.
Ich persönlich kann nur mal wieder mein Bedauern äußern, dass die Medien hüben wie drüben es nicht für nötig erachtet haben, ihre Glaubwürdigkeit aufrecht zu erhalten. Die Tage kam beim "Faktenfinder" ein Artikel, der geheime amerikanische "Biolabore" in der Ukraine dementiert hat. Da war mein erster Gedanke: Oh Scheiße, die Amis haben Biolabore in der Ukraine!? Es reicht halt, wenn du ein paar Mal Propaganda sendest, und dir glaubt nie wieder irgendjemand irgendwas.
Wäre das nicht schön gewesen, wenn wir jetzt noch ein-zwei glaubwürdige, neutrale Nachrichtenquellen hätten?
Update: Leserbrief dazu:
Ich bin auch mit einer Halb-Russin/-Ukrainer verheiratet, und gleiche Erfahrung. Nur traue ich mir nicht darüber zu schreiben. Aber meine Frau feiert mit der gesamten (dort noch ausharrenden) Familie die Befreiung. Krass, aber so ist nunmal die Realität
Update: Boah Leute, jetzt kommen hier lauter Mails rein, dass ihr das inhaltlich nicht glaubt. Das ist überhaupt nicht der Punkt. Versteht mal bitte: Es geht hier nicht darum, was ihr glaubt, sondern was man in Russland glaubt. Wenn wir belastbare Informationen haben, wie der Krieg in Russland gerechtfertigt wird, dann haben wir einen Hebel, um diesen Krieg zu beenden. Wir müsste "nur" den Russen "die Wahrheit" zeigen. Jetzt wäre es hilfreich, wenn wir Medien hätten, die a) Russland erreichen und b) ihre Glaubwürdigkeit noch nicht verzockt haben.
Dann muss ich an der Stelle mal anerkennen, dass er es geschafft hat, im Wesentlichen die ganze Welt zu verarschen.
Es gibt ja dieses geflügelte Wort, dass die Russen Schach spielen und die Amerikaner Poker. Beim Schach haben die Spieler volle Informationen. Du siehst, wo die Figuren stehen.
Wir haben alle gesehen, wo Putins Figuren standen. Und er hat es trotzdem irgendwie hingekriegt, dass niemand (inklusive meiner Wenigkeit) das ernst nahm.
Vielleicht sollten wir mal darüber reden, wie er das geschafft hat?
Klar, es gab Warnungen der Geheimdienste, aber denen glaubt ja keiner mehr.
Klar, es gab Russland-Hetze der üblichen Russland-Hetzer, aber denen glaubt ja auch keiner mehr.
Klar, die Ukraine bat um Hilfe. Aber niemand wollte wirklich helfen.
Anstatt uns an Putins Persönlichkeit abzuarbeiten, sollten wir vielleicht mal lieber darüber nachdenken, wie es soweit kommen konnte, und warum. Ich befürchte ja, ein Aspekt davon ist wie bei Der Schäfer und der Wolf von Äsop. Wenn du einfach die ganze Zeit und immer vor Antisemitismus warnst, oder vor einem Angriff der Russen, dann gewöhnen sich die Leute an das Warn-Niveau und nehmen es nicht mehr ernst.
In meiner Wahrnehmung hat Putin uns nicht mal groß in die Irre zu führen versucht, bis auf "niemand hat die Absicht …". Die Karten lagen alle auf dem Tisch.
Haben wir vielleicht einfach auf die falschen Sachen geachtet? Möglicherweise hätten wir das ernster genommen, wenn es da eine fette russische Desinformationskampagne gegeben hätte. Gab es aber nicht. Wie auch, wir haben ja RT abgedreht.
Haben wir mit dem Gerede über russische Desinformation vielleicht sogar das Gegenteil erreicht? Die Leute haben jetzt eine Erwartungshaltung mit Desinformation, und glauben dann dem, der am lautesten schreit, nicht mehr? Und das waren halt die Geheimdienste in diesem Fall.
Dann bleibt noch die Frage, was jetzt aus der Ukraine werden soll. Historisch gibt es da Vorlagen. Vasallenstaaten der Großmächte ging es eigentlich immer beschissen. Und noch schlimmer ging es Ländern, in denen Proxykriege geführt wurden. Afghanistan war mal ein modernes, weltoffenes Land mit blühenden Landschaften.
Wieso lacht ihr diesen Leuten nicht ins Gesicht und schiebt sie zurück unter die Troll-Brücke?
Es ist ja nun wahrlich nicht so, als bestünde irgendein Zweifel daran, dass die Idee keine Vorteile mit massiv Nachteilen verbindet. Facebook heißt jetzt Meta, Blackwater heißt jetzt Xe Academi. FLoC heißt jetzt Topics. Und Crypto-Scam heißt jetzt Web3.
Web3 hat folgende Ziele:
Das Fundament ist instabil und ungeeignet, die Methoden zerstören den Planeten und sind ungeeignet außer für Scams, die Ziele sind gelogen, und die Player sind Scammer. Niemand will mit NFTs Werte schaffen. Die Käufer sind selbst NFT-Verkäufer, die mit Spielgeld Spieltransaktionen machen, um dem "Markt" eine Aura der Legitimität zu verleihen. Und die Presse ist blöde genug, das nicht zu kapieren, und berichtet fleißig darüber. NFTs sind wertlos.
Ich weiß nicht, ob euch alle klar ist, wie wertlos NFTs sind. Mal abgesehen davon, dass die Haupt-Plattform nicht mal mehr so tut, als sei das was anderes als ein Scammer-Aufenthaltsraum. Mal abgesehen davon, dass die meisten NFTs, die da angeboten werden, von Leuten verkauft werden, die die Rechte gar nicht haben. Nehmen wir mal an, du kaufst ein NFT. Was gehört dir dann? Ein Eintrag in einer Blockchain, in die genau niemand reinguckt außer der Verkaufs-Plattform-Firma. In dem Eintrag steht eine URL zu dem Web-Server der Plattform.
Ich hoffe, spätestens hier ist auch dem letzten Idioten klar, dass da nichts dezentral ist. Wenn die Firma pleite geht oder ihren Webserver ändert, zeigt dein NFT auf was anderes.
Auf dem Webserver ist dann ein JPEG-Bild, das da jemand hochgeladen hat. Wie bei flickr. Nur dass flickr sich um das Urheberrecht schert, die NFT-Bros nicht.
Kurz: Du besitzt nichts, nicht mal einen Besitznachweis. Selbst wenn du die Prämisse akzeptierst, dass die Blockchain dezentral und unmanipulierbar ist, dann zeigt die Blockchain immer noch nur auf einen zentralen Webserver, der nicht unter deiner Kontrolle steht.
Du könntest auch einfach direkt bei Hetzner einen Billighost klicken, da dein JPEG hochladen, und dann hättest du wenigstens eine vertragliche Basis für die Annahme, dass unter der URL auch in Zukunft das Bild zu finden ist, das du nicht gekauft hast, weil es dem Verkäufer nie gehörte.
OK, haben wir das T geklärt, das Token. Das ist ein Link zu dem Webserver der Plattform.
Das N und das F steht für non fungible. Geld ist fungible. Wenn du mir 10 Euro gibst, dann ist egal, welchen 10-Euro-Schein du mir gibst. Die sind alle austauschbar (fungible). Technisch gesehen stimmt das auch für NFTs, die sind alle völlig wertlos. Aber den mentalen Schritt geht ihr hoffentlich nicht, hoffen die Scammer. Daher lügen sie euch ins Gesicht, die wertlosen Tokens seien non fungible, d.h. hätten einen inhärenten Wert durch die Herbeiführung von künstlicher Knappheit. Wisst ihr, was noch knapp ist? Grundstücke auf dem Mond! Kaufen Sie jetzt, bevor sie alle weg sind!1!!
Das Scam-Modell ist so alt wie die Menschheit. Das ist wie Panini-Sammelbildchen, nur dass dir beim Panini-Sammelbild wenigstens am Ende das Bild gehört.
Der Lacher ist, dass die NFTs ja gar nicht herausgegeben werden, um Käufer abzuzocken. Das ist denen schon klar, dass das nur Deppen anzieht, daher kaufen sie sich ja gerade in ihren Spiel-Blockchains mit Spielgeld gegenseitig ihre wertlosen NFTs ab. Die brauchen keine Käufer. Die brauchen bloß den Anschein, dass es einen Markt gibt. Denn dann kann man auf dem Markt Casino spielen, Wetten abschließen, Derivate bauen und handeln.
Erinnert euch das an die Hypotheken-Derivate? Sollte es! Nur dass bei den Hypotheken-Derivaten wenigstens platzende Hypotheken dahinter standen. Bei NFTs steht gar nichts dahinter.
Das sind bloß ein paar Schichten aus Nebel, und sie hoffen, dass niemand die fünf Minuten investiert, die es braucht, um das alles als Scam zu erkennen.
Hört also bitte auf, über Web3 zu reden. Das ist ein Scam, betrieben von Scammern, gebaut auf Scam-Bullshittechnologie. Das ist wie Homöopathie, nur dass dir beim Kauf eines homöopathischen "Mittels" am Ende wenigstens das Wasser gehört. Bei NFTs gehört dir nur ein Link auf einen Webserver mit einem Bild von einem Wasserglas. Und nicht mal der Link gehört dir wirklich.
Wenn die Web3-Leute von Technologie reden, solltet ihr das in etwa so ernst nehmen, wie wenn Scientology von Technologie redet.
Update: Mein Kumpel Henryk weist darauf hin, dass man natürlich auch ein zweites NFT minten kann, das auf dieselbe URL zeigt. Dann hat man zwei austauschbare NFTs. D.h. schon auf einem grundsätzlichen, theoretischen Level ist das NF in NFT eine dreiste Lüge.
Klar kann man! Nennt sich Play-to-earn!
Ob damit der Boden des Fasses der Unmoral erreicht ist? Was meint ihr? Findet jemand eine noch abstoßendere Idee?
Bevor ihr antwortet, lasst euch in dem Video erst mal erklären, wie unmoralisch dieses Schema jetzt schon ist. Play-to-earn ist natürlich eine Lüge. Mit Play hat das nichts zu tun. Es muss sogar absichtlich so gemacht werden, dass es keinen Spaß macht, sonst wäre das Kaufen des Ergebnisses ja nicht attraktiv.
Wer wäre so blöde, bei sowas mitzumachen? Na niemand. Hier. Im Westen. Aber in Entwicklungsländern gibt es Leute, die die paar potentiellen Dollar Gewinn attraktiv finden. Die haben natürlich nicht die Kohle, um da die initialen Kosten zu zahlen. Aber sorgt euch nicht. Dafür gibt es "Scholarships". Kein Scheiß. So nennt die eine Firma, die da immer als Vorreiter herumgereicht wird, das. Stipendium.
Unfassbar.
Update: Ist ein bisschen wie in der Matrix. Die Maschinen halten die Menschen in einer virtuellen Welt gefangen, um ihnen ihre Lebensenergie auszusagen. Nur dass man ihnen hier Geld entzieht und nicht direkt Energie.
Gut, auf der anderen Seite: So formuliert trifft das auch auf die meisten Berufe im Kapitalismus zu.
Du musst um aus Erdgas Wasserstoff zu machen keine fossilen Energieträger verbrennen. Das geht auch direkt über chemische Prozesse (Dampfreformierung), die 70-80% Wirkungsgrad haben. Es wären also eher 70% statt 30%, zumindest wenn man den Prozess autotherm fährt. Sprich das Methan teilweise verbrennen zu lassen, so dass man am Ende etwas weniger Wasserstoff als auf die obigen 80% bekommt.Ich wollte dann wissen, was man denn mit dem Zeug macht, das bei der Pyrolyse übrig bleibt. Das wäre reiner Kohlenstoff. Daraufhin kamen noch ein paar Details:Dampfreformierung erzeugt allerdings mittelbar massig CO2 und ist ein Klimakiller.
Klüger und realistischer wäre tatsächlich Methanpyrolyse.
Dabei spaltet man bei hohen Temperaturen ohne C-O2 zu erzeugen CH4 zu C+H2+H2. Kostet mehr Energie als die Dampfreformation, ist aber klimaneutral und gleichzeitig bedeutend effizienter als Elektrolyse. Der energetische Sprung von CH4 ist zu H2+H2+C ist halt deutlich geringer als von H2O zu H2+O.
"Das Verfahren benötigt 87 Prozent weniger Energie als die Wasserelektrolyse – und belastet die Umwelt im Gegensatz zur herkömmlichen Dampfreformierung nicht mit CO2."
FAZ: Wasserstoff aus Methanpyrolyse.
Den Wasserstoff der so erzeugt wird bezeichnet man als türkis. Und er ist ein gutes Speichermedium für Energie, bis wir so viel erneuerbare Energien haben, dass wir uns die Wasserelektrolyse leisten können.
Pyrolyse ist theoretisch CO2 neutral, wenn man von Pipeline- und Förderungslecks absieht. Der übrig gebliebene, reine Kohlenstoff wird natürlich nicht verfeuert. Warum auch? Wenn du das tätest, könntest du direkt das Methan verbrennen und dir den ganzen Aufwand sparen. Du kannst reinen Kohlenstoff in der Chemie als Rohstoff gut gebrauchen. Oder im schlimmsten Fall kommt das Zeug in alte Bergwerke. Solange es nicht zu feucht ist, passiert dort nichts. Selbst wenn du Holzkohle im Waldboden vergräbst, dauert es Jahrtausende bis sie vollständig abgebaut wurde. (Quelle).Pyrolyse für Wasserstoff, vor allem für die chemische Industrie, wäre eine sehr gute, temporäre Alternative zur jetzigen Produktionsart. Die ist nämlich tatsächlich die CO2-Schleuder Dampfreformation. Natürlich können wir nur Methanpyrolyse betreiben, solange wir Methan haben. Auf Dauer werden wir um die nachhaltige Wasserelektrolyse nicht herum kommen. Und dann 5x mehr für den Wasserstoff bezahlen oder genug erneuerbare Energien haben, damit Strom fast kostenlos ist. Aber bis wir genug erneuerbare Energien haben, ist die Pyrolyse eine super Idee und ein riesiger Fortschritt der massig CO2 einspart, im Vergleich zur Dampfreformation.
Was nicht bedeutet, dass die Russen die Pyrolyse machen sollten. Wasserstoff ist furchtbar korrosiv (Wasserstoffversprödung) und hat die Eigenschaft ständig zu entkommen. Das sind kleine Wasserstoff-Stäbchen, im Gegensatz zu riesigen "Methan-Krähenfüßen". Wenn du ein Gas unter hohem Druck durch tausende Kilometer Pipeline schicken möchtest, wäre Methan vielleicht besser, weil dann deutlich weniger entweicht. Die Russen könnten uns das Methan verkaufen und wir machen die Pyrolyse selber. Siemens ist in der Pyrolyse weltweit ganz vorne mit dabei und in Deutschland gelten auch halbwegs strenge Umweltauflagen im Vergleich zu Russland.
Auf diese Art würde man 20 Jahre lang "dreckiges Methan" zu "sauberem Wasserstoff" verwandeln, den wir speichern und mit dem wir im Winter heizen könnten (via Gaskraftwerk -> Strom oder direkt verbrennen). Und in den 20 Jahren bauen wir genug Solarzellen in Australien, Arabien und der Sahara um Wasserstoff per Elektrolyse herzustellen.
Bei der Dampfreformation ist es nur eine Kleinigkeit, die ich bemängele. "Entweder sie verbrennen ihre fossilen Energieträger und verkaufen uns 30% in Form von Wasserstoff weiter.". Wenn wir Wasserstoff aus der Dampfreformation kaufen, kriegen wir 80% Wirkungsgrad-Wasserstoff aus einem chemischen Prozess. Nicht 30% Wirkungsgrad-Wasserstoff aus der Elektrolyse. Das ist inhaltlich fast das gleiche, aber ich glaube deine Leser sind technikinteressiert und freuen sich etwas über technische Verfahren zu lernen.
Und natürlich hast du absolut Recht. Wasserstoff ist für die Aufbewahrungsart von Energie und keine Energiequelle. CO2-neutrale Energiequellen müssen wir zusätzlich zur Wasserstoffproduktion möglichst schnell aufbauen!
Da du gerade zurecht um die BBC trauerst, möchte ich dir einen BBC Global Science Correspondent und seinen privaten Youtube Kanal empfehlen. Peter Hadfield macht Videos über den Wissenschaft an sich, Klimawandel und erneuerbare Energien. Meiner Meinung nach ist sein Kanal potholer54 fast auf dem Niveau vom Slate Star Codex.
The incentive to get into the mining game in Kosovo, one of Europe’s poorest countries, is obvious. The cryptocurrency currently trades at more than £31,500 a bitcoin, while Kosovo has the cheapest energy prices in Europe due in part to more than 90% of the domestic energy production coming from burning the country’s rich reserves of lignite, a low-grade coal, and fuel bills being subsidised by the government.
Aber bevor die libertären Marktfundamentalisten unter euch jetzt "selbst schuld, was subventionieren die auch den Strompreis" brüllen:The largest-scale crypto mining is thought to be taking place in the north of the country, where the Serb-majority population refuse to recognise Kosovo as an independent state and have consequently not paid for electricity for more than two decades.
m(
Jetzt machen sich Leute Sorgen, dass versiffte Web-Frameworks mit der dreistelligen Versionsnummer nicht klarkommen.
Mein Vorschlag: Alles niederbrennen.
Nein, nur Amazons Cloud ist mal wieder kaputt.
Mann, ein Glück, dass ich nie jemandem empfohlen habe, wegen der hohen Verfügbarkeit in die Cloud zu ziehen. Da sähe ich ja jetzt schön blöde aus!
Keine Sorge. Soweit lassen es die "Gesundheits"minister nicht kommen. Die machen lieber schnell die Testpflicht für Geboosterte weg. Dann können wir uns alle weiterhin in unserer selbstverschuldeten Unmündigkeit suhlen, und können nachher erklären, wir hätten ja keine besseren Zahlen gehabt, daher war unsere Inaktivität aus damaliger Sicht vertretbar.
Welche Inaktivität? Na dass wir nicht genug Impfstoff gekauft haben zum Beispiel.
Und neulich haben wir noch alle über den Söder gelacht, als der meinte, keiner seiner Experten habe ihm vorher gesagt, dass es so schlimm werden würde. Diese Art von absichtlichem Weggucken ist jetzt bundesweit die "Gesundheits"politik.
Mein Kumpel Kris hat das mal bei Heise ausführlich erklärt.
Und tatsächlich ist die Sache sogar noch verkackter als ich sie zu verstehen geglaubt hatte.
Besonders witzig bei Kris' Ausführungen finde ich, dass er für seine jahrzehntelage Arbeit in der PHP-Community bekannt ist, und dieses verkackte Classloader-Konzept, zur Laufzeit Code nachladen zu wollen, ist auch eine glorreiche PHP-Innovation, die dort allerdings Autoloader heißt.
Dass das möglicherweise grundsätzlich eine völlig verkackte Idee ist, zur Laufzeit Code nachzuladen, ist nicht nur den Founding Fathers von Java nicht gekommen.
Auch in C und C++ gibt es ein API, mit dem man Shared Library nachladen kann, heißt dlopen oder LoadLibrary, und wird für Plugins verwendet. Und auch da haben viele Leute noch nicht verstanden, dass das Plugin dann dieselben Zugriffsrechte hat wie das Programm, in dessen Kontext es ausgeführt wird.
Oh und lasst mich bei der Gelegenheit einen kleinen Schwank erzählen. Kris macht sich in dem Artikel darüber lustig, dass Java-"Anwendungen" heutzutage immer mit der genauen JRE-Version im Paket ausgeliefert werden, die man braucht, um sie auszuführen. Ich hatte mal bei einem Kunde die Gelegenheit, in eine als "Appliance" ausgelieferte Enterprise-Java-"Anwendung" reinzugucken, und die kam mit drei verschiedenen JREs für verschiedene Teile der "Anwendung". Es ist da draußen also noch krasser verkackt als Kris es hier ausspricht.
Ich empfehle ausdrücklich, nicht nur Seite 1 zu lesen. Die ganzen wunderbaren Money-Quotes sind auf Seite 2.
Der wichtigste Punkt an diesem wunderschönen Rant ist jedenfalls, und das sollte ihr auf jeden Fall mit heimnehmen hier: Das war kein Bug im Sinne von "ein Programmierer hat falschen Code hingeschrieben". Der Code war da vorsätzlich, absichtlich, und hat genau das getan, wofür er gedacht war.
Es war, könnte man sagen, einer der seltenen Momente, wo Java-Code genau das getan hat, wofür er gedacht war. Stressarm und flexibel.
Die Behörde erhöhte deswegen am Samstag ihre bestehende Cyber-Sicherheitswarnung für die Java-Bibliothek Log4j auf die Warnstufe Rot. Es handelt sich dabei um die höchste Kategorie der vierstufigen BSI-Skala für Cyber-Sicherheitswarnungen und um die gegenwärtig einzige Meldung in dieser Stufe.Seht ihr? Kümmert sich schon jemand. Müssen wir hier nichts mehr tun.
Außerdem ist das ein Softwareproblem. Da kann man eh nichts machen.
Ich schrieb:
Das Immunsystem merkt sich einen zufälligen Aspekt der Viren. Bei mRNA-Impfungen gibt es nur einen Aspekt zur Auswahl, das Spike-Protein. Das ist Absicht, weil das der Angriffsmechanismus ist. Wenn der mutiert, funktioniert der Angriff nicht mehr. Bei Totimpfstoffen kann es sein, dass sich dein Immunsystem einen Aspekt gemerkt hat, der bei der nächsten Mutation nicht mehr da ist.Bedenkt an dieser Stelle bitte zwei Dinge:
Omikron ist im hinteren Drittel das griechischen Alphabets.
Aus meiner Sicht besteht daher kein Grund, meine Aussage von damals zurückzuziehen. Gut, wir haben es hier mit einer Mutation des Spike-Proteins zu tun, die krass genug ist, dass die Wirksamkeit des Impfstoffs deutlich zurückgeht. Aber das ist, wie ich damals formulierte, eben dann auch nicht mehr derselbe Angriff und auch das Immunsystem ist nicht in der Lage, das abzuwehren.
Wenn wir uns hier also fragen, ob die Leute recht hatten, die meinten, ihr diamantenes kryptonisches Immunsystem sei besser als eine Impfung, dann ist die Antwort halt ganz klar: Nein. Hatten sie nicht.
War das sinnlos, die ganzen Leute zu impfen, wenn das jetzt mit Omikron nicht mehr wirkt? Das halte ich für eine völlig bekloppte Frage, denn die Impfung hat Menschen vor Delta gerettet. Ist es sinnlos, im Auto Anschnallpflicht zu haben, wenn die Leute eh irgendwann an Krebs sterben? Natürlich nicht! Die Impfung hat Leben gerettet und selbst wenn Boostern nur 25% hilft, rettet auch das Leben. Und zwar prozentual zu den Inzidenzen.
Also, kurz gesagt: Nein. Omikron validiert rückblickend keine einzige Aussage der Impfskeptiker, Impfleugner, Querdenker und Terroristen.
Und könnt ihr jetzt mal bitte endlich aufhören, euch irgendwelche Impfnebenwirkungen zusammen zu halluzinieren und euch mal die real existierenden Covid-Toten angucken? Ja, ich weiß, die halluziniert ihr euch gerne weg oder erklärt sie per Ferndiagnose zu einer Lüge der Systempresse. Geht halt mal hin zu einem Bestattungsunternehmer oder zu einem Krematorium. Fragt die nach Covid-Toten.
Hey, die haben doch jetzt sicher ihre Lektion gelernt, oder? Die machen doch bestimmt ab jetzt alles richtig? Weg mit Exchange, Windows, Office und Active Directory? Gucken wir doch mal!
03.12.2021Ja? Jaa? Jaaaaa?? Exzellenter Anfang!
Im Rahmen des Neuaufbaus der KISTERS Infrastruktur haben wir unsere E-Mail-Server (MS-Exchange)
in die Microsoft Azure Cloud ausgelagert.NEEEIIIINNNNNN!!!
Ausschlaggebend dafür war einerseits unser Ziel, schnellstmöglich wieder per E-Mail erreichbar zu sein, und andererseits eine technische Entkopplung der E-Mail-Server von unserer internen Infrastruktur. Damit berücksichtigen wir gleichzeitig auch die aktuell von BSI und BKA festgestellte besondere Bedrohungslage.Boah was für ein Bullshit-Bingo. Unfassbar.
Denkt euch hier mal bitte ein Obi-Wan-Mem hin. Nein, nicht von mir ausgesucht. Vom BSI und ihren Kunden.
Mir gehen ja langsam die Gründe aus, die Verschwörungstheorie nicht zu glauben, dass Microsoft absichtlich die selber gehosteten Produkte sicherheitstechnisch vor die Wand fährt, damit alle in ihre Cloud migrieren. (Danke, Matthias)
Sind diese ganzen Zertifikate am Ende völlig werlose Geldverbrennung? Compliance-Ringelpiez statt ernsthafter, evidenzbasierter Security?
Steirer infiziert sich absichtlich mit Corona – totBoah ein Glück, dass der sich nicht lieber impfen ließ! Wer weiß, was DAS erst mit ihm angerichtet hätte!
Und ich dachte, Ivermectin sei bloß in Oberösterreich ausverkauft? (Danke, Tobias)
Erstens: Es gibt da jetzt Covid-Jäger. Das sind Leute, die nach Erkrankten suchen, um sich gezielt bei ihnen anzustecken. Damit sie als genesen gelten und nicht mehr geimpft werden müssen.
Zweitens: Auf Online-Verkaufsbörsen suchen Leute nach positiven Speichelproben.
Drittens: Der (gerade selber an Covid erkrankte) FPÖ-Chef hatte neben Vitaminen und Paracetamol auch Ivermectin empfohlen. Ivermectin ist jetzt in Oberösterreich ausverkauft.
Oh und weil die Covidioten sich sicher sind, dass die Vitamine-, Paracetamol- und Ivermectin-Empfehlung wasserdicht ist, nehmen sie jetzt an, dass der FPÖ-Chef Opfer einer Intrige wurde.
Da die FPÖ für Samstag eine Großdemonstration gegen die aktuellen Corona-Maßnahmen in Wien angekündigt hat, er wegen seiner Erkrankung aber nicht selbst teilnehmen kann, vermuten einige Absicht dahinter. Kickl solle noch einen Test unter einem falschen Namen machen, denn es handle sich gerade wahrscheinlich um einen Versuch der "Herrschaften", ihn aus dem Verkehr zu ziehen, schrieb eine Person auf Facebook. Andere gratulierten zur Erkrankung, immerhin gelte er dann bald als genesen.
Gut, da war ne Passphrase dran. Aber trotzdem. Das ist nicht, was man unter Risikomanagement versteht.
Auf der anderen Seite erwartet vom BSI ja auch niemand faktenbasiertes Risikomanagement oder Security. Vom BSI erwartet man Compliance-Gehampel und Security-Theater.
Erstens: Totimpfstoffe sind gefährlicher als mRNA. Totimpfstoffe sind abgetötete Viren. Was wenn da ein paar überlebt haben? Außerdem muss man Totimpfstoffen Adjuvanzien beimengen, um die Immunantwort zu stimulieren. Die sind für praktisch alle Autoimmunprobleme nach Impfungen verantwortlich, bei mRNA gibt es die nicht.
Zweitens: Totimpfstoffe sind weniger wirksam. Coronaviren mutieren gerne und häufig. Das Immunsystem merkt sich einen zufälligen Aspekt der Viren. Bei mRNA-Impfungen gibt es nur einen Aspekt zur Auswahl, das Spike-Protein. Das ist Absicht, weil das der Angriffsmechanismus ist. Wenn der mutiert, funktioniert der Angriff nicht mehr. Bei Totimpfstoffen kann es sein, dass sich dein Immunsystem einen Aspekt gemerkt hat, der bei der nächsten Mutation nicht mehr da ist.
Das ist auch Grund, wieso ich mich selbst dann hätte impfen lassen, wenn ich natürliche Immunität gehabt hätte. Hat Vorteile aber keinen Nachteil.
So und jetzt hört endlich mit den Ausflüchten auf und lasst euch impfen. Macht euch nicht lächerlich mit immer neuen Bullshit-Ausreden.
Nein, nein, keine Sorge. Diesmal waren es keine hartkodierten Backdoor-Passwörter. Diesmal waren es "unintentional debugging credentials". Das ist was GANZ anderes!!1!
Diesmal war es keine Absicht!1!!
So glaubt uns doch!
Oh, warte, das war noch nicht alles!
The other critical hole is CVE-2021-40113, which can be exploited by an unauthenticated remote attacker to perform a command injection attack on the equipment's web-based management portal, thanks to insufficient validation of user-supplied input.
Einmal mit Profis!"A successful exploit could allow the attacker to execute arbitrary commands on an affected device as the root user."
Was macht die Security-Abteilung bei Cisco eigentlich beruflich?
Der Name, den K. in sozialen Netzwerken benutzt, lasse sich googeln und führe zu einer E-Mail-Adresse, mit der mehrere Websites registriert wurden. Mit diesen wiederum seien verschiedene russische Handynummern verknüpft, von denen eine zu einem Telegram-Account führt, auf dem eine Bitcoin-Adresse veröffentlicht wurde. Bitcoins im Wert von mehr als 400.000 Euro wurden darauf eingezahlt.Whoa!
Ein Slam-Dunk-Fall, um mal den CIA-Direktor Tenet über die Beweislage zum Irakkrieg zu zitieren!
Aber wartet, geht noch weiter. Wir haben nicht nur Handwaving. Wir haben auch Appeal to Authority!
Experten eines Unternehmens, das sich auf Blockchain-Analysen spezialisiert hat, schreiben diese Einzahlungen mit hoher Wahrscheinlichkeit Erpressungen zu.Ja also wenn das SO ist! Ungenannte Experten eines ungenannten Unternehmens sagen das! Na also DANN ist das ja wohl klar wie Kloßbrühe!!
Das, meine Damen und Herren, ist der Stand der Attribuierung von Cyberangriffen. Kaffeesatzlesen. Wir haben mal was gegoogelt.
Cyberattribuierung ist und bleibt eine Fata Morgana. (Danke, Simon)
The chief executive officer listed on Tether’s website, J.L. Van der Velde, is a Dutchman who lives in Hong Kong and seems never to have given an interview or spoken at a conference. The chief financial officer is Giancarlo Devasini, a former plastic surgeon from Italy who was once described on Tether’s website as the founder of a successful electronics business. The only reference to him that turned up in a search of Italian newspapers showed he was once fined for selling counterfeit Microsoft software. He didn’t respond to emails or messages on Telegram, where he goes by Merlinthewizard.
Oh, Merlinthewizard der Schönheitschirurg aus Italien! Klar, das wäre auch meine erste Wahl für einen Chief Technical Officer gewesen!Hier noch ein schöner Absatz:
The biggest traders on these exchanges told me they routinely bought and sold hundreds of millions of Tethers and viewed it as an industry standard. Even so, many had their own conspiracy theories about the currency. It’s controlled by the Chinese mafia; the CIA uses it to move money; the government has allowed it to get huge so it can track the criminals who use it. It wasn’t that they trusted Tether, I realized. It was that they needed Tether to trade and were making too much money using it to dig too deeply. “It could be way shakier, and I wouldn’t care,” said Dan Matuszewski, co-founder of CMS Holdings LLC, a cryptocurrency investment firm.
Klar, wenn du Tether für deinen eigenen Scam brauchst, dann stellst du da nicht so viele Fragen. Und wenn dein eigener Scam noch offensichtlicher unseriös ist als Tether, dann spielt deren Unseriosität ja auch keine so große Rolle mehr.Der ganze Artikel ist vergnügungssteuerpflichtig. Mit Sätzen wie
“I’m not an amateur entrepreneur throwing darts in the dark,” he told me by phone as he prepared for a trip to promote Bitcoin in El Salvador.
und“The U.S. will come after Tether in due time,” Liberty Reserve founder Arthur Budovsky wrote me in an email from a Florida federal prison where he’s serving a 20-year sentence. “Almost feel sorry for them.”
Au Mann.Ich persönlich finde den größten Lacher an der Nummer, dass die US-Behörden sich gerade gar nicht für Tether interessieren, weil sie annehmen, dass die die 70 Milliarden einfach erstunken und erlogen haben. Auf die Idee kommen die gar nicht, dass jemand sowas tun würde. Die Regulierer sind interessiert, weil die Größe der angeblichen Holdings Tether langsam in die "too big to fail"-Kategorie schöbe, wenn sie real wären. Die Behörden machen sich Sorgen, wenn es einen Bank Run gibt und Tether auszahlen muss, dass sie dann Wertpapier liquidieren müssten und damit den Markt crashen würden.
Nun, DIE Furcht ist glaube ich klar unbegründet.
Ein unbekanntes Objekt, hmm? Ich bin mir sicher, das haben die Chinesen da nicht absichtlich liegen lassen. Sowas macht man doch nicht!
The developer behind the NFT project, 'Evil Ape,' suddenly disappeared along with its Twitter account, website, and $2.7 million.
Na sowas. Ein Scam? Im "Crypto"-Umfeld? Scheiße, Bernd, die sind bestimmt alle bloß neidisch!!1! Oder wie es im Onecoin-Umfeld so schön heißt: Das sind bloß Hater.Diese eine andere Cryptocurrency hier, die die dieser andere Typ da drüben dir gerade andrehen will, die ist aber voll legit!1!!
HFSP!
Wobei. Man kann ja ne Menge sagen über die Crypto-Szene, aber nicht dass niemand reich geworden ist. Die Scammer scheinen da ja geradezu eine Goldmine gefunden zu haben. Opfer sind halt eine nachwachsende Ressource.
Update: Ich bin mir ja nicht sicher, ob der Typ da in dem Video weiß, wovon er spricht. Das ganze Ding wirkt überhaupt wie eine Dauerwerbesendung.
Update: Glaubt auch folgender Leserbrief:
Keine Ahnung, was der gute Herr für ein Professor ist, aber Semiotiker ist er garantiert nicht. Er kommt in dem Video nämlich zu den völlig falschen Schlüssen für den CDU-Spot. Ein Desaster von vorne bis hinten? Mitnichten, der Clip ist extrem gut gemacht (und ich bin beileibe kein CDU-Freund, ganz im Gegenteil):
Man sieht Laschet in einer Zeche und er sagt, dass sein Vater Kumpel war (=ich bin ein Mann des Volkes); Laschet sagt, er habe die letzte Zeche geschlossen (=er macht was im Gegensatz zu anderen – was durch den Kohlenstaub untermalt wird, der nur in seinem Gesicht ist). Dann gibt es den Teil mit der Digitalisierung und der Stimme aus dem Off (=Sprachebene) und das Video mit den Senioren und der Schule (=Bildebene). Da das Gesagte hier aus dem Off kommt, wird die Bildebene in den Vordergrund gerückt (kennt man von Tierfilmen). Das ist bei Weitem kein Fehler, ich denke, es ist sogar intendiert: Die Sprachebene bietet nur die üblichen Allgemeinplätze und politischen Schlagworte, von denen der potenzielle CDU-Wähler mal gehört hat und weiß, das sie „wichtig“ sind. Die Bildebene suggeriert aber etwas viel wichtigeres für Konservative: „Mit uns bleibt alles, wie es ist“.
Auch das Ende finde ich nicht falsch. "Ich bin Armin Laschet ... und ich weiß, dass wir das können": Eindrucksstelle, Spannungsbogen, Ausdrucksstelle.
Der Text vor schwarzen Hintergrund ist ja wohl klar. Schwarz = Farbe der CDU. Und hier wieder: schwarzer Text, dann CDU-Logo auf weißem Hintergrund: Eindrucksstelle, Ausdrucksstelle. Was suggeriert werden soll ist wohl: von der Dunkelheit ins Licht dank der CDU.
Es ist doch klar, dass Leute, die die CDU doof finden, ihre Spots auch doof finden. An diese Leute ist der Spot aber nicht gerichtet (siehe auch 2. Kommentar unter dem Video). Stelle Dir einfach für einen Moment mal vor du wärst potenzieller CDU-Wähler (*Schauder*) und dann schaue Dir den Clip in diesem Kontext noch mal an.
dazu kann ich auch noch einige Anekdoten aus meinem Umfeld beitragen:
- wir bekommen hin und wieder eine sperrige Lieferung per Spedition. Da gibt's wie auch bei DHL oder DPD einen Tracking-Link, um schauen zu können, wann die Fracht ankommt. Seit einiger Zeit steht da nach 2 Tagen nicht "unterwegs nach X", sondern "Lager voll", d.h. die bekommen das Zeug gar nicht erst auf die Straße...
- Dazu passend: der Betrieb in dem ein Kumpel arbeitet hat im Schnitt pro Tag 2 ganze LKW an Fracht versendet. Die Spedition (eine der größten) schickt aber nur noch einen. Also die nächste größere Spedition angerufen. Die wollten gar keine neuen Kunden, und holen nun gnädigerweise 4 Paletten pro Tag ab, also quasi nichts. Angeblich hat das auch damit zu tun, dass die großen Speditionen im ersten Lockdown die Bestellungen für neue LKW storniert haben, aber immer welche aus dem Leasing rauslaufen, kaputtgehen etc, diese Speditionen also immer weniger LKW zur Verfügung haben (auch wenn es auf der Autobahn nicht wirklich danach aussieht)
- Einige Automobilzulieferer haben sich, nachdem während des ersten Lockdowns die Hersteller von heute auf morgen gesagt haben, dass sie keine Ware mehr brauchen, in der Zwischenzeit Betätigungsfelder in anderen Branchen erschlossen. Wenn ein Daimler (der Name fiel in dem Zusammenhang des öfteren, aber nicht ausschließlich) jetzt wieder ankommt und sagt "ich brauche morgen wieder das Teil XY", springen diese Zulieferer nicht mehr über jeden Stock der ihnen hingehalten wird. Es liegt nicht alles an dem ominösen "Chipmangel", es ist teilweise auch eine Folge der Arroganz der Automobilhersteller, die ihre Zulieferer bis aufs letzte ausgequetscht haben mit den Preisen und just-in-time-Lieferbedingungen...
- Baustahl kann man kaum noch bezahlen, wenn es denn welchen gibt. Hat man welchen, und will da ein Teil verzinken lassen, werden dort teilweise auch die doppelten Preise aufgerufen. In dem Bereich gibt's zwar bei weitem nicht so eine Steigerung der Einkaufspreise, aber man kann's ja mal versuchen...
- braucht man etwas speziellere Schrauben, wird es schwierig. Selbst ein Laden mit ohnehin schon Mondpreisen aber grundsätzlich gutem Sortiment wie Würth hat (zumindest in den Filialen hier im Umkreis) halbleere Regale...
Wenn ich mir das alles anschaue, zusammen mit den anderen Meldungen zu dem Thema bei Dir heute, und auch sonst in den Medien, dann finde die die Theorie, dass die CDU die Wahl absichtlich verkackt, immer plausibler. Die Infrastruktur ist eh marode, und man bekommt nicht mal Material, um es reparieren zu können, selbst wenn man wollte. Sieht schon fast aus wie ein Wunder, dass wir es bis hierhin geschafft haben, aber wenn das so weitergeht, geht das ganz übel aus. Das soll dann mal gerne jemand anders ausbaden...
“You are in our prayers today. We are grateful for your support and prayer. When situations arise where individuals might not have honorable intentions, I pray for them,” Monster added. “I believe that what the enemy intends for evil, God invariably transforms into good.”
Wer ist EPIK? Nie gehört?Nun, das ist einer dieser schleimigen "Free Speech"-Hoster in den USA, der den Stein anbietet, unter dem sich die ganzen Reichsbürger, Antivaxxer, QAnons und Trumpisten verkriechen können.
Deren Dienstleistung ist im Wesentlichen, dass sie den echten Namen der Domain-Eigentümer nicht verraten.
Jetzt sind sie aber gehackt worden, und die Ergebnisse sind ... naja, sagen wir so. Diese Art von Digitalisierungskompetenz würde man ansonsten bei der CDU vermuten.
“They are fully compromised end-to-end,” they said. “Maybe the worst I’ve ever seen in my 20-year career.”The engineer pointed the Daily Dot to what they described as Epik’s “entire primary database,” which contains hosting account usernames and passwords, SSH keys, and even some credit card numbers—all stored in plaintext.
Ach naja komm, cancelst du halt die Kreditkarte und erzeugst neue SSH-Keys!The data also includes Auth-Codes, passcodes that are needed to transfer a domain name between registrars. The engineer stated that with all the data in the leak, which also included admin passwords for WordPress logins, any attacker could easily take over the websites of countless Epik customers.
Äh, ja, ... das ist schon ein größeres Problem für Epik-Kunden.Der ganze Datenreichtum bereichert jetzt als Torrent-Datei das Internet.
Gut, viel mehr als Beten und auf eine göttliche Intervention hoffen bleibt dem CEO da jetzt auch gar nicht.
Mich belustigt ja die Ironie, dass die Deppen, die bei Covid lieber an einen unsichtbaren Mann im Himmel als an die Wissenschaft glauben, dass die dann bei einem Typen hosten, der auch lieber an einen unsichtbaren Mann im Himmel glaubt als an ordentliche Arbeit.
Die Einzigen in diesem ganzen Kuhfladen, die an ordentliche Arbeit glauben, sind die Zahlungsdienstleister :-)
Ich war jetzt anlässlich einer Zuschrift von jemandem mit einem transplantierten Organ neugierig, wie da eigentlich der Stand ist.
Stellt sich raus:
Und sogar bei Organtransplantationen sieht es nicht schlecht aus. Da ist das Immunsystem dann so schwach, dass nach zwei Impfdosen öfter noch keine Immunantwort da ist, aber da kann man ja dann einfach noch ein paar mal nachimpfen, bis eine da ist. Verträglichkeitsprobleme scheint es jedenfalls eher wenige zu geben.
Das hat mich einigermaßen überrascht, muss ich sagen.
Fallen jemandem noch andere legitime Gründe ein, nicht geimpft zu sein? Also abgesehen von "BILL GATES WILL MICH VERCHIPPEN" und "ICH TRAUE DEM STAAT NICHT"?
Update: Allergien sind noch denkbar. Die sind aber bei Impfungen gerne gegen die Adjuvanzien, die es bei mRNA nicht gibt. Übrig bleiben so ne handvoll Fälle gegen die Nanolipide, aber weil das neu ist weiß man das vorher nicht, das ist also vorher auch keine valide Ausrede gegen sich impfen lassen.
Dann gibt es noch Immunsuppressiva, die langfristiger wirken, da ist das dann halt eine delikate Timingfrage aber auch nicht gänzlich unmöglich.
Die SPD habe bei Entscheidungen in der Nachkriegsgeschichte »immer auf der falschen Seite« gestanden, sagte Laschet auf dem CSU-Parteitag. Die SPD reagiert dünnhäutig und wehrt sich mit Trump- und Nazivergleichen.Die Verbrecherpartei und die Verräterpartei werfen sich gegenseitig Versagen vor? Da kann es nur Gewinner geben!
Da stellt sich doch direkt die Frage: Wieso habt ihr denn mit den anderen eine große Koalition gemacht, wenn das solche Versager und Verbrecher sind?
Sehr geil auch: Die CDU, die gerade den Planeten in den Klimatod altmaiert, DIE werfen anderen vor, auf der falschen Seite zu kämpfen? Die haben systematisch Solar und Wind zurückgebaut und runtergefahren. Die weltweite Technologieführerschaft haben sie lieber nach China geschoben. Und DIE werfen jetzt der SPD vor, auf der falschen Seite gekämpft zu haben!
Die Partei von dem Laschet, der nochmal schnell ein Kohlekraftwerk gebaut hat!
Die Partei, die es für mit einer Demokratie vereinbar halten, wenn man den Bürgern ihre Computer und Telefone verwanzt, und Sicherheitslücken absichtlich offenhält!
Die Partei mit dem Maut-Debakel!
DIE werfen ANDEREN vor, auf der falschen Seite gekämpft zu haben!!
Unfassbar.
Ich meine, sie haben natürlich Recht. SPD und CDU sind beide völlig indiskutabel und haben sich gegenseitig verdient. Und die FDP gehört auch noch in die Liste. Die glauben alle noch an den ewigen Wachstum als Lösung für alles. Gut, außer dafür dass wir die Ressourcen des Planeten schneller verbrauchen als sie sich regenerieren können. Aber darum kann sich ja die nächste Regierung kümmern!1!!
Das geilste ist ja, dass der Scholz jetzt Werbung macht, er sei der Klimakanzler. Als ob die nicht die letzten Legislaturperioden an der fucking Regierung gewesen wären!
Ich glaube ja, die CDU verkackt gerade absichtlich. Die wollen, dass jetzt mal jemand anderes ihren Trümmerhaufen wieder zusammenklaubt. Der macht dann die ganzen notwendigen Entscheidungen, vor denen die CDU seit Jahren wegrennt. Und wenn der fertig ist, und das Volk merkt, dass das Wachstum auf einem Planeten mit endlichen Ressourcen auch nur endlich sein kann, dann kommen die bestimmt zur CDU zurück, denken die sich.
Warum sonst würde irgendjemand Laschet aufstellen, außer der will verlieren?
Das ist der Gewöhnungseffekt von Youtubes Willkürherrschaft. Jeder lebt ständig in der Furcht, ihm könnten ohne Angabe von Gründen irgendwelche Zugänge weggenommen werden. Wir leben in einer Gesellschaft der Almosenempfänger.
Jedenfalls, warum ich das hier erwähne: Die haben eine Stellungnahme veröffentlicht. Da steht das hier drin:
Das Handelsblatt hat nun mithilfe von professionell gefälschten Dokumenten einen Gastzugang für einen nicht existierenden Apothekeninhaber erzeugt. Dazu wurden eine gefälschte Betriebserlaubnis und ein gefälschter Bescheid des Nacht- und Notdienstfonds vorgelegt. Unter der gefälschten Apotheken-Identität wurden insgesamt zwei Impfzertifikate ausgestellt.Ich bin ja nun echt kein Freund des Handelsblattes, sei die mich wegen Paperboy verklagt haben. Aber das ist ja mal echt schäbig, jetzt so zu tun, als seien die Journalisten daran Schuld, dass dieser windige Betreiberverein offensichtlich keinerlei Plausibilitätsprüfung durchgeführt hat.
Wer sich jetzt denkt: Hey, so eine Pressemitteilung kann ich nur ernst nehmen, wenn die auch noch was von krimineller Energie faseln! Für den habe ich gute Nachrichten:
Diese hat bis zum heutigen Donnerstagmittag keine Hinweise auf andere unberechtigte Zugänge ergeben, deren Erstellung in betrügerischer Absicht nur mit erheblichem Aufwand und krimineller Energie denkbar ist.Jaja. Wie alle anderen, auch noch so primitiven Angriffe von bescheidener Spam-Ransomware war auch hier äußerste kriminelle Energie im Spiel! Die Angreifer haben erheblichen Aufwand getrieben!!1! Die haben auf einem Kopierer den Kopieren-Knopf gedrückt!!1!
Den eigentlichen Elefanten im Raum sprechen sie dabei lieber gar nicht erst an:
Daher ist davon auszugehen, dass die über 25 Millionen Impfzertifikate, die bisher über Apotheken ausgestellt worden sind, alle von rechtmäßig registrierten Apotheken ausgestellt wurden.Ach, und damit sind die dann automatisch sauber? Ich finde ja, nur Apotheken, die keinen Esoterik- und Homöopathie-Scheiß im Angebot haben, sollten Zertifikate ausstellen dürfen.
Da muss man sich dann halt entscheiden. Entweder Wissenschaft oder halt nicht.
Heise spricht dann noch einen wunden Punkt an:
In der offiziellen Stellungnahme grenzt der DAV das Problem geschickt auf die Existenz der staatlich verordneten Gastzugänge ein. Insgesamt seien knapp 17.900 Apotheken beim Portal registriert, von denen nur 470 über den Gastzugang zugreifen. Warum der DAV den Zugang dann auch für Vereinsmitglieder sperrt, lässt der Verband offen.Ja, äh, in der Tat. Die Antwort würde auch mich interessieren. LOL
Gucken wir doch mal, was die gerade berichten ... Oh, nanu?
THIS WEBSITE HAS BEEN SEIZED
Ja nee, klar. Das FBI und das US-Justizministerium haben die Domain beschlagnahmt.
Gut, fragt man sich schon, wieso der Iran eine .com-Domain holt und nicht eine .ir -- oh warte, sie haben auch eine .ir-Domain. Hey, war das vielleicht ein großartiger Troll des Iran? Mal gucken, wann die Amis sich öffentlich so zum Stück Brot machen?
Gut, da haben wir jetzt die Antwort.
Und wir wissen jetzt auch, ob Trump oder Biden der krassere Betonkopf-Hardliner und Kriegstreiber ist.
So, dann gucken wir doch mal, wie der Iran das schlau nutzt. Vielleicht Statements von befreundeten "Nachrichten"seiten. Russia Today könnte das z.B. für ein generisches Statement pro Pressefreiheit nutzen. Gucken wir doch mal. Oh hier, das böte sich an: Biden kritisiert die Chinesen wegen Verletzung der Pressefreiheit, weil sie in Hong Kong Apple Daily zugemacht haben. Money Quote von Biden: Journalism is not a crime! Da hätte man was schönes draus machen können!
It is, of course, deeply ironic that a country which claims to champion freedom of speech has taken these websites down. But it’s merely the latest act in a long list of crimes and acts of aggression committed against Iran by Washington dating back decades.
Hmm, na gut, jetzt nicht das flammende Pro-Iran-Plädoyer, auf das der Iran gehofft haben wird.Irgendjemanden wird es ja wohl geben, der das für ein generisches Statement pro Pressefreiheit nutzet.
Ah ja, hier, sie haben jemanden gefunden!
Hezbollah, Iraqi anti-terror group slam US seizure of website domains tied to pro-resistance media
Nein, wirklich! Die zitieren da die Hisbollah, praktisch weltweit als Terrororganisation anerkannt.Frage mich, wieso sie das überhaupt auf Englisch veröffentlichen.
Gut, äh. Wo waren wir? Ah, bein internationalen Zum-Stück-Brot-Machen-Wettbwerb. Es steht unentschieden, würde ich sagen. m(
Na sowas!
Und alle so: Nein! Doch!! OOOOHHH!!!
Wenn uns das doch nur vorher jemand gesagt hätte, dass man Geheimdiensten nicht trauen kann!
Die INSM hat eine Anti-Baerbock-Kampagne gefahren, der mit antisemitischen Zerrbildern arbeitet. Baerbock wird da in der Moses-Kutte gezeigt, in den zu Klauen deformierten Händen zwei Steintafeln haltend, "die zehn Verbote". Fehlt nur noch eine lange und krumme Nase! Darunter der Spruch "Wir brauchen keine Staatsreligion".
Ach ja, brauchen wir nicht?
Das heißt, der Bullshit mit dem ewigen Wachstum hört endlich auf? DAS ist nämlich bisher unsere Staatsreligion. Getragen von INSM.
Was die INSM hier mit antisemitischen Klischees zum Ausdruch zu bringen versucht, ist dass sie echt Angst haben, jemand könnte mal was zur Abwendung der Klimakatastrophe tun.
Denn INSM ist der Propagandaarm der "Arbeitgeberverbände", schon das ein Propagandawort. Als ob es hier um edle Spender ginge, die für das Wohl der Gesellschaft Arbeitsplätze unter den Bedürftigen verteilen!
INSM wird von den Leuten betrieben, die bisher erfolgreich verhindert haben, dass Klimaziele auch nur in die Nähe davon kommen, eingehalten zu werden.
Ich bin ja kein Freund der Grünen, aber wenn es jemanden gibt, der noch deutlicher, noch dringender, noch wichtiger eine sofortige Entkernung verdient hat, dann ist es die INSM.
Gegründet vom "Arbeitgeberverband Gesamtmetall" (das sind die mit dem krassen Energieverbrauch) mit so Unternehmen wie VW, Daimler, BMW, Siemens, Bosch, Audi sind das die Leute hinter dem "mehr Wachstum"-Bullshit. Und was ist ihr Plan dafür, fragt ihr? Nun, ganz einfach! "die Sozialabgaben bei 40 Prozent deckeln" und "der Altersversorgung eine neue Zukunft geben" (eine Zukunft ... wo jemand anderes dafür zahlt, versteht sich). Außerdem wollen sie Tarifautonomie, d.h. der Staat soll sich nicht einmischen dürfen, wenn sie Knebel- und Ausbeuterverträge und moderne Sklaverei "aushandeln".
Update: Ein Leser hat auf Facebook die Gegenversion des Baerbock-Bildes gefunden, mit Laschet, der die 10 Gebote der INSM hält.
1. Gebot: Du sollst an ewiges Wachstum glauben
Quelle des Bildes (Achtung: Links gehen zu Facebook)
Update: Primärquelle auf Twitter.
Wie die Freie Universität Berlin mitteilte, fasste das Hochschulpräsidium den Beschluss "nach umfassender Beratung einstimmig".Hashtag Clankriminalität.
Wisst ihr was? Ich hab eine tolle Idee. Die sollte Oberbürgermeister von Berlin werden!!1!
Die Stadt hat schon viel zu lange unter der Führung von wohlmeinenden Demokraten gelitten, die zwar Gutes tun wollten aber keine Mittel hatten und dann halt versucht haben was ging.
Wir brauchen hier wieder jemanden wie den Diepgen. Jemanden, der kriminelle Energie mit Korruption und habitueller Lügnerei verbindet. Die Giffey wäre ideal und würde sogar ein paar neue Impulse einbringen!
Zum Beispiel die Infantilisierung der Politik. Zur Erinnerung: Der haben wir so Gesetzesnamen wie das "Gute-Kita-Gesetz" zu verdanken. Endlich Politik ala Teletubbies! Während der Parlamentsdebatten am besten eine Sonne einblenden, mit einem lachenden Babykopf drinnen!! Per-fekt, die Frau!
Die hält das ja auch für eine akzeptable Ausrede, dass sie bei ihrer Doktorarbeit nicht absichtlich betrogen habe. Sondern? "Ich war einfach zu doof, mich über die Regeln zu informieren" oder was?
I-de-ale Besetzung für den Oberbürgermeisterposten!
Ich sage euch: Das ist mein persönlicher Meilenstein für die Linkspartei. Wenn die eine Giffey als OB von Berlin stützen, dann sind die für mich Geschichte. Dann bleibt echt nur noch die PARTEI.
Update: Jetzt reiben sich hier Leute daran, dass das in Berlin "Regierender Bürgermeister" heißt und nicht OB. Ach kommt, echt? Anderswo heißt das Ministerpräsident. Berlin hat sich da ne eigene Nomenklatur aus dem Arsch gezogen, und ich zeige so meinen Mangel an Respekt.
Der Schweizer Messenger-Anbieter Threema hat vor dem obersten Gericht des Landes einen Sieg gegen das eidgenössische Justiz- und Polizeidepartement (EJPD) errungen.Die Geheimdienste fanden, Threema sei ein "Fernmeldedienstanbieterin im Sinne des BÜPF" und müsse daher eine Vorratsdatenspeicherung vornehmen und die Identitäten ihrer Nutzer jederzeit für die schleimigen Tentakel der Geheimdienste griffbereit vorhalten.
Dass Threema jetzt schon in zweiter Instanz gesiegt hat, sieht wie ein gutes Zeichen aus, aber ich würde das so werten, dass die dann halt die Gesetze anpassen werden, damit Threema darunter fällt.
So ein Überwachungs- und Polizeistaat, der die Privatsphäre seiner Bürger mit Füßen tritt, der fällt ja nicht vom Himmel. Da steckt jahrelange harte Arbeit der unmoralischen und ethikfreien Psychopathen dahinter, die gerne kleines Rädchen in einer Unterdrückungsbehörde eines Polizeistaates sein möchten.
Wie attraktiv das ist, unterschätzt man glaube ich als normaler Mensch mit Anstand und Moral gerne. Die meisten Polizisten wollen ja auch Verbrecher fangen und nicht die Grundrechte Unschuldiger mit Füßen treten. Trotzdem, wenn man ihnen Zugriff auf einen Computer gibt, mit dem sie anderer Leute Privatsphäre verletzten können, dann gucken sie vor oder nach einem Date gerne mal nach, was da über die neue Bekanntschaft steht.
Das heißt nicht, dass das alles Unmenschen sind. Eher dass die Versuchung zu groß ist, wenn man so ein Machtmittel vorhält. Daher sollte man als Demokratie oder Rechtsstaat sowas gar nicht erst haben.
Wenn ihr mal kurz selber gucken wollt, wie sich in Deutschland die Verbrechensrate pro 100k Einwohner seit 1990 entwickelt hat: Bitteschön.
Wenn jemand noch weiter zurück gehende Daten findet: Bitte gerne her damit.
Hey Fefe, wieso geht denn 2016 die Verbrechensrate so stark hoch? Meine Vermutung: Die Sexualstrafrechtsreform, mit der sie einen Haufen vorher nicht strafbarer Dinge verboten haben, u.a. "Anscheinsjugendpornographie".
Was soll das denn sein, fragt ihr? Na wenn ein geriatrischer CSU-Richter findet, dass ein Porno-Foto mit ausschließlich volljährigen Darstellern aber so aussehen könnte, dass jemand da doch noch nicht ganz volljährig ist. Oh, und: Es zählt auch als Kinderpornographie, wenn gar kein Kind beteiligt ist, z.B. weil es sich um eine Zeichnung handelt, für die der Urheber kein Live-Vorbild hatte. Ach ja, und wenn sich zwei verliebte Teenager gegenseitig Nacktfotos zuschicken, ist das seit dem auch eine Straftat. Zustände wie bei den Puritanern. Kein Wunder also, dass da die "Verbrechens"rate hoch ging.
Mir ist an dieser Stelle der Hinweis wichtig, dass das ein inhärentes Problem aller Organisationen ist, die irgendwas bekämpfen wollen. Wisst ihr, warum in den USA Cannabis als Rauschgift eingestuft wurde? Die eine Hälfte davon hatte ich schon im Blog. Hier ist die 2. Hälfte, wo das ursprünglich herkommt. Das war ein Doppel-Whammie. Die eine Hälfte war purer Rassismus gegen mexikanische Einwanderer. Googelt mal Reefer Madness, das war ein einflussreicher Propagandafilm, der Cannabis nachsagte, dass es die Leute zu mordenden Monstern macht, die keinen Schmerz mehr spüren. Der Film war von 1936. 1937 kam das Verbot. Hier gibt es eine kurze Zusammenfassung. Was da eher nur zwischen den Zeilen steht: 1933 brach die Prohibition zusammen, und die ganze staatliche Infrastruktur zum Verfolgen von Alkoholstraftaten hatte plötzlich keine Arbeit mehr. Was tun? Na klar, die brauchten etwas neues, das sie verfolgen konnten! Enter Cannabis.
Das ist ein häufig zu beobachtendes Phänomen. Wenn es eine Organisation gibt, die irgendwas bekämpfen will, kann die nie fertig werden, weil sie dann nicht gebraucht würde. Und die stärkste Kraft in allen Organisationen ist der Selbsterhalt und Einflussausbau. Was tut man also, wenn man am Siegen ist? Man ändert die Kriterien! Daher mussten bei uns immer und immer mehr Dinge unter "Kinderpornographie" fallen, denn sonst hätte man angesichts der Fallzahlen nur knapp über der Nachweisgrenze arbeitslos werden müssen. Der andere Trick ist, die Fallzahlen einfach durch hemmungsloses Lügen aufzublasen. Wenn sie z.B. ein Forum hopsnehmen und da im Log 20000 Zugriffe finden, dann erklären sie einfach in der Presse, die hätten 20000 Täter dort gehabt, auch wenn 15000 davon vom selben Account kamen.
Mit Schusswaffen sieht das übrigens ähnlich aus. Die meisten Fälle von fetten Waffenlagern waren schussunfähig gemachte Sammlerstücke oder der Typ hatte gar keine passende Munition. Aber ob die gefundene Munition zu den Waffen passt, das guckt die Polizei lieber gar nicht erst.
So sieht das auch mit Verkehrsunfällen aus:
Verkehrstote in Deutschland sind von über 100/100.000 Autos/Jahr bis 1970 auf unter 10/100.000 Autos/Jahr seit 1995 gefallen.Das kann die Polizei aber natürlich nicht einfach geschehen lassen, sonst fragt am Ende noch jemand, wozu wir eigentlich die ganzen Verkehrs-Cops bezahlen müssen. Also kontrollieren die jetzt halt auch Fahrradfahrer und verteilen Knöllchen für "kein Helm" oder "Reflektor fehlt". Was man halt so tun muss, um die Statistik hoch zu halten.
Genau so ist das auch mit der "Hassrede". Man senkt einfach solange die Kriterien, bis man genügend Fälle für eine Empörungssimulation zusammen hat. Dann redet man von dringendem Handlungsbedarf und macht ein paar Unterdrückungsgesetze, und schwupps hat man wieder einen Grund für die Schaffung einer neuen Behörde, die Führungspersonal brauchen, das man mit abgehalfterten Politikern besetzen kann.
Das ist nicht nur böse Absicht, versteht mich nicht falsch. Das ist auch eine Frage der Psychologie. Das Framing ist wichtig. Der Mensch guckt sich das an und sagt: Boah, also zumindest die schlimmsten 10% sollten wir weg kriegen. Dann kriegst du die 10% weg, und dann? Es wird immer "die schlimmsten 10%" geben, egal wie häufig du oben 10% wegnimmst. Da ändert sich dann eben das Bezugsmodell.
Weil bei denen die Anti-Astrazeneca-Propaganda nicht so gut wirkt.
Man könnte sich fast fragen, ob das Absicht war. Scheiß auf die Unterschichten, Hauptsache die Eliten überleben!1!!
Ich habe gerade ein bisschen den Eindruck, dass die Blockchain-Mafia Fortschritte macht, mit Nebelwerfer-Bullshit wie "Proof of Stake" Land zu gewinnen. Daher will ich dazu mal kurz was schreiben.
Was ist die Idee bei Proof of Stake?
Nun, die Original-Blockchain hat ja Proof of Work. Du hast lauter konkurrierende Miner, und wer als erstes die korrekten Daten gefunden hat, kriegt den Zuschlag und darf auswählen, was im nächsten Block landet.
Probleme: Furchtbare Energieverschwendung und hat ein Korruptionsproblem, wenn sich ein Kartell findet, die zusammen 51% der Miningleistung zusammenkriegen.
Proof of Stake macht daher kein Mining im Bitcoin-Sinn, sondern man errechnet einen "Zufallswert" (z.B. nimmt man einen Hash über die letzten 100 Transaktionen oder so). Dann macht man eine Liste der Pubkeys aller Teilnehmer, die gerne den nächsten Block bestimmen wollen. Dann weist man jedem von denen ein Gewicht zu, das von seinem "Stake" abhängt (Guthaben), und macht eine nach Hash des Pubkeys sortierte Liste daraus. Dann rechnet man den Zufallswert anhand der Gewichte auf die Liste um und der Ausgewählte darf dann.
Was heißt das konkret? Das ist eine Oligarchie. Und zwar eine selbstverstärkende Oligarchie, denn du kannst ja Gebühren pro Transaktionen kassieren, wenn du den Block auswählst, was dein Guthaben erhöht und damit deine Wahrscheinlichkeit beim nächsten Mal.
Oh und wer hat das meiste Guthaben? Na die, die von Anfang an dabei waren!
Kommt euch das bekannt vor? Von "Strukturvertrieben" und Schneeballsystemen zum Beispiel? Ja, das ist auch meine erste Reaktion, wenn ich das sehe. Das sieht aus wie ein riesiges Ponzi Scheme.
Ich finde ja auch total witzig, wie Proof of Stake hier praktisch eine natürliche Kartellbildung inzentiviert, und uns dann ins Gesicht lügt, das sei die Lösung für das Problem, dass Bitcoin durch Kartellbildung korrumpiert werden kann. Bei Proof of Stake ist die Korruption gleich ins Prinzip eingebaut, Teil der DNA!
Falls ihr übrigens dachtet, Ethereum habe Proof of Stake, weil sie ja seit gefühlt 10 Jahren rumlaufen und von Proof of Stake faseln: Nein, haben sie nicht. Das ist immer noch Proof of Work. Das güldene Ethereum 2.0 soll dann endlich Proof of Stake haben.
Wie komm ich da jetzt drauf? Nun, mein Kumpel Henryk hat da gerade einen schönen Rant zu veröffentlicht. Der hat dann dazu geführt, dass der CEO von Ubirch pampig wurde (Screenshot). Der Tweet ist inzwischen gelöscht und der Account ist auf private gesetzt. Der andere CEO von Ubirch versucht sich jetzt in Schadensbegrenzung.
Ubirch, wir erinnern uns, waren die mit den "fünf Blockchains" für den Impfpass.
Oh und einen noch: Bei Blockchain ist ja das Schöne, dass du nicht weißt, wer den nächsten Block bestimmt, bis er es tut. Traditionelle Schmiergeld-Korruption ist also schwierig, denn es gibt ja nicht mal eine Liste aller Miner. Bei Proof of Stake gibt es plötzlich einen Mafia-Angriff, wo die Mafia ausrechnet, wer den nächsten Block bestimmt, und dem "ein Angebot macht, das er nicht ablehnen kann" *zwinker*
Update: Übrigens, wenn euch die Begriffe vor den Augen verschwimmen, und ihr den Eindruck habt, was ihr gerade noch verstanden zu haben glaubtet ist jetzt plötzlich falsch: Das ist Absicht. Die Blockchain-Scammer definieren sich da in schöner Regelmäßigkeit die Welt um. Es gab da mal diese eine Eisteesorte, die Blockchain draufgeschrieben hat, und der dann Investoren die Tür einrannten. Es ist also nicht verwunderlich, dass jetzt so abwegige Dinge behaupten wie dass Blockchain kein Konsensfindungsverfahren sei (doch, ist es), weil ihr Eistee ja sonst nicht Blockchain wäre. Oh, sagte ich Eistee? Sorry, ich meinte "private-permissioned blockchain" (*wieher*). Besonders geil am Ende der Link auf den "ISO-Standard". Ob der gute "head of blockchain research" da am Ende mitgearbeitet hat? Sonderangebot! Für nur 38 CHF kannst du erfahren, welche GPT-3-generierten Bullshitbingo-Kandidaten-Begriffe sich unser Gremium aus Abzock Blockchain-Forschern diese Woche frisch aus dem Arsch gezogen haben!
Police have warned students in the UK against using a website that they say lets users "illegally access" millions of scientific research papers.The City of London police's Intellectual Property Crime Unit says using the Sci-Hub website could "pose a threat" to students' personal data.
Gut, die Polizei der City of London hat jetzt in der Vergangenheit keinen sonderlich großen Vertrauensvorschuss aufbauen können, aber was es da gab, haben sie damit in den Asphalt zurück gehämmert.Kinder, lernt lieber nichts!
Und dann die Lüge mit den persönlichen Daten, ich lach mich schlapp. Wie erbärmlich ist DAS denn!
Ja, absichtlich gelöscht. Nicht "verlorengegangen". Nicht "Brand im Rechenzentrum". Gelöscht.
Wer setzt denn bitte ein Munitions-Dokumentations-System auf, bei dem einfach jemand hingehen und alle Daten löschen kann!?!?
Oder mit anderen Worten: Was machen die ITler da eigentlich beruflich?
Naja, denkt ihr euch jetzt vielleicht, spielen wir halt das Backup ein. Gibt es anscheinend nicht. Warum auch. (Danke, Reinhard)
Man habe ihn bereits »vorgewarnt«, schrieb er, was Kukies bei dem Telefonat für Absichten verfolge: Das Bundesfinanz- und Bundeswirtschaftsministerium sollen darüber nachdenken, »für Wirecard eine ›deutsche Lösung‹« zu finden.Oh, eine "deutsche Lösung", ja? D.h. Korruption, Veruntreuung von Steuermitteln und Vetternwirtschaft? Oder was soll das heißen?
Oh warte, das kann ich aufklären. Wer ist noch gleich Finanzminister? Oh ja richtig!
Vieles an diesem Telefonat ist politisch äußerst heikel für Bundesfinanzminister Olaf Scholz (SPD) und dessen Staatssekretär KukiesScholz ... das war der mit dem Cum Ex, nicht? "Deutsche Lösung", indeed.
ich bin Arzt in einem relativ großen kommunalen Krankenhaus (größter Versorger im Umkreis von 80 km). Als das mit dem Impfen letzten Dezember so langsam los ging, hatten wir Assistenzärzte der inneren Kliniken uns schon geschlossen freiwillig gemeldet, in den lokalen Impfzentren auszuhelfen. Selbstverständlich in unserer Freizeit, ansonsten hatten wir ja COVID-Patienten (und "normale", die werden ja auch nicht weniger) zu versorgen (70-80 Wochenstunden waren - und sind mittlerweile wieder - die Regel, zwischenzeitlich mussten wir Neurologen, Chirurgen und sogar Psychiater um Unterstützung bitten). Das war mitten in der zweiten Welle und wir wussten nicht mehr, wo uns der Kopf stand. Weihnachten verbrachten nur die Wenigsten zu Hause und den Jahreswechsel hat man entweder verschlafen oder im Krankenhaus verbracht.Ich möchte diese Gelegenheit nutzen, um den Ärzten und dem Pflegepersonal meinen Dank auszudrücken. Niemand sollte 80 Wochenstunden arbeiten müssen. Das ist Raubbau an den körperlichen Ressourcen derjenigen Menschen. Ihr seid Helden, allesamt!Schön, möchte man meinen, allerdings sind Zweittätigkeiten immer genehmigungspflichtig und unser Haus hat dem Ganzen gleich am Tag des Impfstarts einen Riegel vorgeschoben. Vordergründig, um uns als Reserve in der Hinterhand zu haben, wenn die Hütte wirklich brennt (wir waren froh um jeden freien Tag, hätten den aber den Impfungen geopfert: mehr Geimpfte = weniger KH-Patienten), hintergründig wohl aus Geldgründen (der effektive Stundenlohn im KH für einen Assistenzarzt liegt bei weit unter 20 €, im Impfzentrum bekommt man 120 € - könnte ja jemand auf den Geschmack kommen und sich komplett ins Impfzentrum verabschieden).
Noch was: Meine Mutter (Hausärztin, soll demnächst selbst anfangen zu impfen) hat letzten Freitag endlich (als Risikoperson mit Vorerkrankungen, die jeden Tag selbst COVID-Patienten ausgesetzt ist) ihre Impfung im lokalen Impfzentrum bekommen, mit AstraZeneca. Hat sich dann auch mit einem der Impfärzte unterhalten, man kennt sich ja. Was der erzählt hat, lässt die Preise der Impfdosen (AZ: 2,50 €, BioNTech/Pfizer: 13 €, Moderna: 15 €) in einem ganz anderen Licht erscheinen. Für einen Trupp von 20 Impflingen, die innerhalb von 2 Stunden abgefertigt wurden, waren 18 Mitarbeiter vorhanden: Pro Patient zwei (!) Ärzte (einer klärt auf, einer spritzt), zwei Dokumentationskräfte (wir sind ja schließlich in Deutschland), eine, die den Impfstoff aufzieht, eine, die den Impfstoff zum Arzt bringt und eine, die den Impfpass ausfüllt. Dazu (für beide Teams) noch eine Art Oberärztin als Supervisor, eine Security (braucht man mittlerweile leider in medizinischen Einrichtungen) und vom Rest konnte nicht mal der Arzt sagen, was sie machen. Ein gelangweilter Trupp Johanniter stand sich um sein Einsatzfahrzeug auf dem Gelände auch die Beine in den Bauch und glotzte kollektiv in seine Handys. Ihr Kollege meinte dann auch, dass man das locker mit weniger Personal stemmen könnte, zwischen den Impfungen langweilte er sich auch und verbrachte 80-90% der Zeit mit Handy daddeln oder lesen.
Kostenpunkt: 120 €/h je Arzt, ca. 40 €/h pro Hilfskraft. Macht 112 € pro Impfling alleine an Personalkosten, dabei sind der Impfstoff, die Johanniter, die Gebäudemiete und andere Kosten noch nicht mal mit eingerechnet.
Ich weiß nicht wie andere Länder genau impfen, aber ich kann mir vorstellen, dass dort der Amtsschimmel nicht ansatzweise so laut wiehert wie hier.
Update: Ein anderer Leser klärt auf, wofür da die Johanniter herumstehen:
Ich kann aufklären, was „Die Johanniter“ bei den Impfzentren treiben: Die sind als sanitätsdienstliche Absicherung da. Also für die Versorgung von Impflingen und Mitarbeitern, die ein akutes medizinisches Problem bekommen. Das kann im Rahmen der Impfung auftreten (z.b. durch akute allergische Reaktionen) oder unabhängig von der Impfung, einfach weil da viele Menschen, z.T. Im hohen Alter und mit Vorerkrankungen anwesend sind. Da ist es nur eine Frage der Wahrscheinlichkeit, dass jemand seinen Herzinfarkt im Zentrum bekommt statt daheim auf dem Sofa. Bei uns bestehen diese Trupps aus Mitarbeitern mit rettungsdienstlicher Qualifikation, die mit akuten Fällen oft routinierter umgehen können als das bunt zusammengewürfelte Personal.
Eigentlich ist es ein Konflikt um Identity Politics vs. inhaltliche Fragen.
Die Frau, die Biden da jetzt hinsetzen will, ist halb mexikanisch, halb japanisch, und die Mutter saß im 2. Weltkrieg in einem Anti-Japaner-Internierungslager. Obama hat schon versucht, sie auf den Posten zu packen, aber Republikaner-Oberverhinderer Mitch McConnell hat es verhindert.
Aber jetzt gibt es Widerstand, und zwar deshalb:
Because she’s now a partner in a major corporate law firm, Wilmer Hale, that on its website cites its close relationship with regulated industries. And in 2006 she represented McDonald’s in an anti-discrimination lawsuit.
Tja. Was ist wichtiger?
Homomorphe Verschlüsselung ist ein Treppenwitz der Informatik. Ich rege mich da seit Jahren drüber auf. Das ist ein Taschenspielertrick, um den Cloud-Vertrieblern zu ermöglichen, den Leuten ins Gesicht zu lügen, man könne seine Datenbank in die Cloud schieben, ohne dem Cloud-Anbieter vertrauen zu müssen.
Ich will das daher mal kurz erklären.
Die Idee ist, dass man die Daten mit absichtlich kaputtgemachten Verfahren "verschlüsselt".
Wieso sage ich kaputtgemacht? Weil die Daten in "verschlüsselter" Form noch vergleichbar sein sollen. Je nachdem welche Verarbeitung man noch machen können will, desto kaputter wird die Verschlüsselung.
Nehmen wir mal an, ich schicke dir und deinem Nachbarn eine verschlüsselte Mail, und in beiden steht der gleiche Text. Dann ist der Ciphertext (die verschlüsselte Version) selbstverständlich unterschiedlich! Das leuchet hoffentlich direkt intuitiv ein, wieso das so gemacht wird. "Das ist derselbe Text, den er auch dem Nachbarn geschickt hat" ist ja Teil des Inhalts, den wir geheimhalten wollen! Weswegen wir überhaupt Verschlüsselung verwenden!
Bei homomorpher Verschlüsselung in der stärksten Version (bei der man nur Gleichheit testen können will) ist diese Eigenschaft aufgehoben. Wenn zum Beispiel zwei Leute das gleiche Geburtsdatum haben, dann kommt in der Datenbank auch das gleiche "verschlüsselte" Geburtsdatum raus. Das ist keine Schwäche sondern gerade das Ziel und Versprechen von homomorpher Verschlüsselung, dass man damit Datenbankoperationen machen kann. Die schwächste Anforderung, die man an Datenbankoperationen haben kann, ist dass man noch auf Gleichheit testen will.
Weitere Stufen, die die "Verschlüsselung" noch heftiger schwächen, wären Kleiner/Größer-Vergleiche. Das wäre für viele Webseiten die Mindestanforderung, weil die ja anhand des Datums gucken können wollen, ob derjenige über 18 ist.
In der Forschung geht es noch weiter, da gibt es auch Modelle, bei denen noch Addition und Subtraktion gehen soll auf den "verschlüsselten" Daten.
Aber Fefe, fragt ihr jetzt, was ist denn daran so schlimm?
Na stellen wir uns doch mal gemeinsam einen Angreifer vor. Der Angreifer hat die Datenbank erfolgreich angegriffen. Wir haben die Datenbank homomorph verschlüsselt, damit er mit den Daten nichts anfangen kann.
Erstes Problem: Der Angreifer will deinen Datensatz finden. Lösung: Dann loggt er sich bei der Datenbank mit deinem Usernamen ein und guckt, welchen Datensatz in der Datenbank der Webserver haben will. Damit hat er deinen "verschlüsselten" Usernamen und den Datensatz.
Problem 2: Als nächstes will der Angreifer deine Kreditkartennummer entschlüsseln. Wie macht er das? Er macht einen anderen Account auf, und trägt dann da eine Kreditkartennummer ein. Wenn die homomorphe Verschlüsselung noch Gleichheit testen erlauben will, dann kann der Angreifer einfach bei seinem Testaccount Kreditkartennummer durchprobieren. Der Webserver verschlüsselt die Nummer homomorph und trägt die in die Datenbank ein. Dort kann der Angreifer die verschlüsselte Version seiner Test-Nummer sehen. Wenn die verschlüsselte Nummer übereinstimmt, hat der Angreifer deine Kreditkartennummer erfolgreich geraten.
Bei allen diskreten Datensatztypen funktioniert dieser Durchprobieransatz. Ist aber möglicherweise nicht sehr effizient. Wenn die Datenbank Vergleiche auf kleiner und größer erlaubt mit ihrer homomorphen Verschlüsselung, ist das Durchprobieren eine Sache von Sekunden, weil man sich per Binärsuche annähern kann anstatt zufällig herumzustochern.
Ja aber Fefe, dass jemand sowohl die Datenbank kopiert und live beobachten kann, welche Anfragen reinkommen, das ist doch ein total unrealistisches Bedrohungsmodell!1!!
Ist es? Ich dachte homomorphe Verschlüsselung sollte dafür sorgen, dass ich die Datenbank in der Cloud haben kann, und nicht dem Cloudprovider vertrauen muss?
Der Cloudprovider kann die Datenbank abgreifen und die Anfragen sehen. Das ist genau das Bedrohungsszenario, für das dieser Scheiß angeblich gedacht war.
Kurz gesagt: Wenn euch jemand homomorphe Verschlüsselung andrehen will, lacht ihn aus. Am besten ins Gesicht. Öffentlich.
Und ich kann nur sagen: Intel setzt ihre Reihe von Innovationen, die sich als Sicherheitslücken herausstellen, auch unter Pat Gelsinger fort.
Schade.
Genau wie Intel Konkurrenz von AMD brauchte, braucht AMD Konkurrenz von Intel. Nicht dass Intel sich jetzt so ins Abseits schießt, dass AMD am Ende das neue Intel wird.
Oh und eine andere Sache, die an dieser Stelle hoffentlich intuitiv klar ist: Wenn der Webserver vor der Datenbank auch in der Cloud ist, dann bringt homomorphe Verschlüsselung überhaupt nichts.
Update: OK ich muss da vielleicht stärker differenzieren. Was homomorphe Verschlüsselung laut wissenschaftlicher Literatur ist, ist Berechnungen auf verschlüsselten Daten, also Addition und Multiplikation. Was homomorphe Verschlüsselung im Marketing ist, ist was ich oben beschreibe.
Wenn man sich komplett darauf zurückzieht, was die Wissenschaft beschreibt, ist es nicht ganz so kontraproduktiv wie ich oben beschreibe. Allerdings lässt es sich dann auch nicht für "du kannst deine Datenbank verschlüsselt in die Cloud tun" nutzen, denn du kannst ja nur Berechnungen durchführen, nicht einen Index auf das Feld haben, denn um im Index einer Datenbank etwas nachzuschlagen, musst du gleich und/oder kleiner-größer Vergleiche haben. Und, Spoiler: Der Index ist, was die Datenbank zur Datenbank macht. Kurz gesagt: Das ist eine Lösung, die noch nach ihrem Problem sucht.
Die Erkenntnis, dass das Frontend dann nicht in der Cloud sein darf, die gilt ja immer noch. Und findet mal das Frontend, das im Moment nicht in der Cloud läuft. Das ist ja gerade der Teil, den du weltweit verteilen willst, wegen der Skalierbarkeit.
Und die Berechnung muss glaube ich noch erfunden werden, die so teuer ist, dass sie teurer ist als die Daten homomorph zu verschlüsseln.
Und, wenn man genau hinguckt: Wieso würde man denn Berechnungen verschlüsselt in der Cloud durchführen wollen, wenn die Datenbank mit den Daten woanders ist? Was ist hier das Business Model? Dass du deine Datenbank unter Tisch stehen hast, aber die Daten darin einmal verschlüsselt in die Cloud exportierst, damit die eine bestimmte Liste von Operationen darauf durchführen können, dir andere verschlüsselte Daten zurückgeben, und die entschlüsselst du dann und tust sie wieder in die Datenbank?
I call bullshit.
Außer ... ja, außer die Berechnung auf den Daten ist "geheim". Das könnte hier das Endgame sein. Das es nicht darum geht, wo deine Daten lagern, sondern dass dir der Laden, der die Berechnungen macht, nicht verraten will, was sie da eigentlich genau berechnen. Sozusagen Algorithm as a service. Wo es nicht darum geht, ob du dem Anbieter vertraust, sondern dass der Anbieter dir nicht genug vertraut, um dir den Code zu geben, damit du ihn auf deinen Daten ausführen kannst.
Für diese krasse Umkehrung des Computing ist die Welt hoffentlich nicht blöde genug.
Gab ist einer dieser "Free Speech" Social Network-Schnellschüsse, die wie Pilze aus dem Boden schossen, als die ganzen von Deplatformern rausgeworfenen Leute neue Plattformen brauchten.
Der Dump wurde offenbar per SQL Injection erlangt und beinhaltet nicht nur alle öffentlichen sondern auch die privaten Nachrichten.
Ich finde ja vor allem die Ineffizienz bemerkenswert, mit der die ihre Daten gespeichert haben:
DDoSecrets said that the 70GB GabLeaks contains over 70,000 plaintext messages in more than 19,000 chats by over 15,000 users.
Immerhin waren die Passwörter gehasht. Aber 70 GB für 70000 Nachrichten heißt, dass die pro Nachricht 1 MB Speicherplatz brauchten. Das kann ja wohl nicht sein, oder!? Sind das die Telemetriedaten, die da soviel Platz verbraten?
German Foreign Minister Heiko Maas said: “Our legal view on jurisdiction of the ICC regarding alleged crimes committed in the Palestine territories remains unchanged. The court has no jurisdiction, because of the absence of the element of Palestinian statehood required by international law.”
ICC ist der International Criminal Court, hierzulande besser bekannt als der Internationale Strafgerichtshof. Ihr wisst schon, der, der im Wesentlichen Vollzeit gegen braunhäutige Diktatoren kämpft. Ab und zu ist auch mal ein Serbe dazwischen. Aber erst, versteht sich, nachdem die den Krieg verloren hatten.Eigentlich war das Gericht mal gegründet worden, um gegen Kriegsverbrecher vorzugehen. Und gegen Regierungen, die selbständig nicht in der Lage sind, gewisse Mindestanforderungen der internationalen Gepflogenheiten einzuhalten, wie z.B. Menschenrechte.
Eigentlich ein tolles Instrument. Stellt euch vor, europäische Regierungen ließen Flüchtlinge im Mittelmeer ersaufen. Absichtlich. Das wäre schon großartig, wenn es da ein Gericht gäbe, das die zur Verantwortung ziehen würde.
Aber irgendwie ... fällt mir gerade kein einziger Fall ein, in dem dieses Gericht mal jemanden aus einer "westlichen Demokratie" verurteilt hätte. Insofern wirkt das eher wie ein Instrument der Machtausübung des Westens gegen seine ehemaligen Kolonien als wie ein Mittel zur Herbeiführung von Gerechtigkeit.
Wer genau aufgepasst hat, wird sich gefragt haben: Warum denn nur Werbung? Warum nicht auch Analytics?
Und ja, natürlich auch Analytics. Da fehlte nur bisher der gute Fall, auf den man zeigen konnte. Den gibt es jetzt.
Researchers from Prague-based Avast said on Wednesday that the extension developers employed a novel way to hide malicious traffic sent between infected devices and the command and control servers they connected to. Specifically, the extensions funneled commands into the cache-control headers of traffic that was camouflaged to appear as data related to Google analytics, which websites use to measure visitor interactions.
Filtert auch alla Tracker und alles Analytics raus. Zu eurer eigenen Sicherheit, nicht nur für eure Privatsphäre.Webseiten, die euch Analytics-Dienste reinzudrucken versuchen, habe ich persönlich ja schon immer für unseriös gehalten. Insofern: Immer schön alles adblocken. Alles.
Nun haben sich das diverse Hedgefonds und andere institutionelle Anleger (Zocker) die Situation angeguckt und sind zu einem ähnlichen Ergebnis wie ich gekommen. Wenn man professioneller Börsenzocker ist, und sich sicher ist, dass eine bestimmte Firma auf dem absteigenden Ast ist, dann kann man Short Selling machen. Man leiht sich Aktien der Firma und verkauft die dann. Ein paar Tage später muss man die zurückgeben. Zu dem Zeitpunkt kauft man dann Aktien der Firma und gibt sie an den Verleiher zurück. Wenn der Kurs seit dem gefallen ist, macht man die Differenz Profit.
Das hat zwei Probleme. Erstens: Was wenn der Kurs nicht fällt? Wenn man eine Aktie kauft und die ist morgen wertlos, hat man maximal sein eingesetztes Kapital verloren. Wenn man Short Selling macht, und sich der Aktienwert mehr als verdoppelt, dann hat man mehr Geld verloren als man eingesetzt hat. Das ist also hochgefährlich.
Zweitens: Es kann sein, dass auch die Verleiher die Aktie gar nicht hatten. Die Börse ist im Wesentlichen ein Kasino, wo lauter habituelle Glücksspieler sich gegenseitig abzuzocken versuchen. Es kann vorkommen, dass mehr Aktien verkauft wurden, als es gibt, und dass es gar nicht möglich ist, dass die Short Seller nach ein paar Tagen ihre Aktien "zurückkaufen". Das ist 2008 mit Porsche und VW passiert. Da hat Porsche angesagt, dass sie ihren Anteil bei VW erhöht haben, und dass sie Optionsscheine halten, die eingelöst ihren Anteil auf 75% oder so erhöht hätten. Daraufhin fiel den Short Sellern auf, dass sie mehr als den Rest der Aktien ausstehend hatten, und die mussten alle zu egal welchem Preis Aktien kaufen, um ihre ausstehenden Positionen zu füllen. Wenn alle kaufen wollen, aber keiner verkauft, dann geht der Preis hoch. Bei VW ging der Aktienkurs kurzzeitig von 200 auf 1000 Euro hoch.
Und so etwas passiert auch gerade bei Gamestop. Da haben sich ein paar Kiddies in Webforen abgesprochen und als Flashmob Gamestop-Aktien gekauft, mit dem expliziten Ziel, sie nicht an die Short Seller zu verkaufen. Die Tagesschau hat einen schönen Kurschart von Gamestop.
Ich erwähne das, weil Louis Rossman ein tolles Video dazu gemacht hat, das ist der Typ hinter Right to Repair, der mit dem Repair Shop in New York. Und der hat eine wunderschöne Interpretation der Situation: Dass die Leute, die die Aktien gerade halten, das absichtlich gemacht haben, und zwar nicht um sich zu bereichern, sondern um Wall Street mal den Stinkefinger zu zeigen. Das sei sozusagen die Rache der Betrogenen an den Betrügern, die Rück-Umverteilung des Reichtums von den Wall-Street-Zockern zu den Abgezockten.
Das ist ja an sich schon lustig, aber jetzt kommt halt ein Detail hinzu, dass das blogwürdig macht: In den USA gibt es eine Aktienhandelapp, die sich explizit an unerfahrene Hobbyisten richtet, und die die Hürden für das Verzocken des eigenen Vermögens an der Börse super niedrig legt. Die heißt ausgerechnet Robinhood.
Der Name passt jetzt zufällig mal wie Arsch auf Eimer, wenn Louis' Theorie zutrifft.
Besonders lustig finde ich auch, wie sich jetzt die Memes überschneiden, und die Gamestop-"Anleger" in den Foren "HODL" rufen, den "niemals verkaufen!!1!"-Schlachtruf der Bitcoin-Spinner, ursprünglich ein Tippfehler von "hold", was das Wort ist, das man an der Börse für "halten" nimmt im Englischen, also für "nicht verkaufen".
Um in feindlichen Regimes wie den USA die Dissidenten zu unterstützen?
Genau wie die Amerikaner es damals mit Radio Free Europe und Radio Liberty vorexerziert haben!
Nun, stellt sich raus: Im Vergleich zu den Kosten dafür spielen die Kosten für die Parler-Infrastruktur keine so große Rolle. Die Gelegenheit ist also günstig, für vergleichsweise wenig Geld vergleichsweise viel Effekt zu erzielen in Sachen Destabilisierung der USA.
Ist also nicht verwunderlich, dass Parler jetzt mit russischer Hilfe wiederbelebt wurde.
Die Politik und das Recht in Deutschland sind "viel zu viel auf den individuellen Datenschutz ausgerichtet". [...] So komme es auch, dass die Corona-Warn-App der Bundesregierung "wirkungslos" sei: Sie registriere nur, wer sich mit dem Virus infiziert habe, erlaube eine "Nachverfolgung" der Betroffenen aber nicht.Ja, und zwar mit Absicht. Damit Zombies wie Friedrich Merz sich nicht mit den Daten zum Masturbieren in den Hinterzimmer zurückziehen können.
Wenn wir eine vertrauenswürdige Regierung hätten, hätte man das vielleicht auch anders machen können. Haben wir aber nicht. Weil da so Leute wie Friedrich Merz drohen.
Aber hey, wenn du die Wahl zwischen Merz, Laschet und Röttgen hast, dann kannst du dich auch direkt aus dem Fenster stürzen.
Aber Fefe, das ist doch eine klare Nummer! Laschet ist inkompetent, Merz ein Triebtäter, Röttgen ist der einzige Erwachsene im Raum!1!!
Mag sein, aber Röttgen hat das hier gesagt. Röttgen, Sie sind raus!
Mal gucken, ob sie such noch einen vierten Kandidaten aus dem Arsch ziehen. Wie wäre es mit einer Frau? Kristina Schröder wäre frei, hörte ich!1!!
Ich weiß gar nicht, was ich beeindruckender finde. Dass das passiert ist, oder dass ich ein halbes Dutzend Einsendungen dazu bekommen habe. Die Leute sind sensibilisiert!
Geht mal auf Seite 932. Da geht es darum, wie sie DNA-Profildaten sicher austauschen wollen.
Worauf haben sie sich geeinigt? Auf 1990er-Jahre-Tech: S/MIME mit 1024-bit RSA und SHA-1. Zum Vergleich: Das BSI empfiehlt RSA ab 2000 Bits und gar kein SHA-1 mehr.
Als Implementation empfiehlt das Dokument Netscape Communicator 4.x (davon kam die letzte Version 2002 heraus).
Mensch na ein Glück, dass wir das mal standardisiert haben! Nicht dass die Leute sich einfach ad-hoc für irgendeinen Krypto-Standard entscheiden und dann versehentlich zu kurze Schlüssel oder unsichere Verfahren oder Software einsetzen!1!!
Dem einen oder anderen Beobachter wird vielleicht nicht klar sein, wieso ich sie Verräterpartei nenne und nicht Verliererpartei oder Verkackerpartei.
Da gibt es gerade ein paar schöne Tweets zu. Nicht nur ist das bei denen Absicht, die sind auch noch stolz drauf.
Von 2006 bis 2016 hätte die SPD zehn Jahre lang immer mit der Linkspartei die CDU überstimmen können. Wir haben es selbstverständlich nie getan - weil eine Koalition mit wechselnden Mehrheiten unmöglich funktionieren kann.Da bleibt kein Auge trocken! (Danke, Dominik)Hätte in diesen Jahren gegolten, dass Koalitionspartner sich bei Uneinigkeit enthalten, dann hätte die CDU mitansehen müssen, wie mit den Stimmen der Linken eine rot-rote Agenda durchkommt.
Ich verstehe langsam, wie die Covidioten und die Trumpisten und so zu ihrem Verständnis der Presse kommen.Ich fürchte, da muss man dieselbe Argumentation wie bei den Covidioten anwenden. Die sind einfach in ihrer Existenz bedroht, und zwar seit Jahren. Die fahren alle nur noch Autopilot auf dem Zahnfleisch.Die halten immer nur das Mikro hin und drucken das dann ab.
Hamburg meldet zwei Wochen ++ keinen einzigen Toten und keiner fragt nach. Stellt sich raus: Die wurden nicht obduziert. Wochenlang nix passiert.
Das ist natürlich Wasser auf die Mühlen der "eS gIbT gAr kEinE tOteN!" Covidioten gewesen.
Hamburger Schulen haben einen Inzidenz von 3x Normalbürger und keiner rechnet das dem Senator mal vor. Nur auf Twitter und das interessiert keinen.
Offensichtlich können die alle nicht rechnen und wenn es ihnen einer vorrechnet, dann trauen sie sich trotzdem nicht, da mal nachzufragen. Weil sie da nicht sattelfest sind? Weil sie es selber nicht glauben? Ich verstehe das nicht.
Wenn dein Boot abgesoffen ist und du auf einem Floß im Ozean dahingleitest, dann machst du keine plötzlichen Bewegungen mehr. Dann legst du dich möglichst flach hin und deine Gliedmaßen sind mit Festhalten beschäftigt. Von so jemandem kann man nicht erwarten, dass er am Floß wackelt.
Mikro hinhalten und Presseerklärungen wiedergeben geht auch im Halbkoma mit Autopilot.
Aber warte mal, Fefe, Inzidenz an Schulen höher als in der Restbevölkerung? Wie kann das sein? Ich dachte Kinder sind immun! Naja, diese Version der Wahrheit beruht auf einem freiwilligen Massentest an einer Hamburger Schule. Die Interpretation, dass die Inzidenz an den Schulen dann wohl höher als in der Restbevölkerung sein wird, ist natürlich fragwürdig. Denn wir haben ja dank des vollständigen Totalversagens der Politik weder von der Bevölkerung an sich noch von Schulen brauchbare Zahlen. Alle Labors arbeiten am Anschlag und haben Rückstau. Mehr Kapazitäten hätte man über die Sommerferien schaffen können, aber das hätte Geld gekostet und die Politik gibt Geld erst aus, wenn es nicht mehr gebraucht wird. Das weiß doch jeder.
Weil wir hier in einem Verschwörungsblog sind, kann ich auch einfach mal ansagen, dass die Politik das natürlich absichtlich macht. Tatsächliche Zahlen würden a) das Ausmaß ihrer Inkompetenz belegen, und b) zeigen, wie schlimm es über den Winter werden wird, und c) könnte man dann nachher nicht behaupten, dass das so in dieser Konsequenz nicht absehbar war.
Ja, die Presse überzeugt gerade nicht. Es hätte an der Politik gelegen, dafür zu sorgen, dass die Presse auch ohne Kleinanzeigen überleben kann. Nicht alles muss ein Geschäftsmodell sein. Es reicht, wenn die Finanzierung gesichert ist. Mit Nachrichten muss meiner Ansicht nach niemand einen Profit machen. Da hätte man einen schönen Trust aufsetzen können. Klar, die Verleger wären unzufrieden gewesen, aber Verleger sind für eine gesunde Presse so notwendig wie Zuhälter für Sex.
Stattdessen hat die Politik lieber nach Wegen gesucht, wie sie selber nichts tun müssen sondern einfach anderen in die Hosentasche greifen können, in diesem Fall den blöden US-Firmen. Dass sie damit dafür gesorgt haben, dass diese Firmen aus Deutschland nie wieder Konkurrenz befürchten müssen, war egal.
Ihr solltet euch eher vor Lärmschutzwand-Betonplatten sorgen. Neulich wurde ja eine Frau in ihrem Auto auf der Autobahn von einer Lärmschutzplatte erschlagen. Seit dem hat sich in dem Fall ein bisschen was bewegt. Der Tagesspiegel berichtet dazu:
Die [] Betonplatte an der A3 [] wurde bei ihrer letzten planmäßigen Untersuchung 2013 mit „Sehr gut“ bewertet.Oh ach so. 2013, ja? Sehr gut, wie? Ist das nicht ein bisschen lange her?
Tatsächlich hätte das Bauwerk 2019 erneut überprüft werden sollen.Ach naja, ihr wisst ja wie das ist. Da haben sich so viele Dinge angestaut, die mal jemand gucken müsste, da hat man halt Yolo gesagt und die "verzichtbaren" Prüfungen nach hinten geschoben.
Warum war die verzichtbar, fragt ihr? Na, äh, die war ja gerade erst geprüft und für sehr gut befunden worden. Brandneu, außerdem! Habt ihr mal eine unserer alten Autobahnbrücken gesehen?! Da hättet ihr auch alles andere erstmal stehen und liegen gelassen, um die Brücken zu priorisieren. Leider ist da kein Geld für tatsächliche Ausbesserungen da, insofern bleiben die Brücken auch Priorität. Das heißt ja nicht, dass sich da jemand kümmert, nur weil das Priorität hat.
Aber ich schweife ab.
[] beim Einbau der Platte 2007 improvisiert worden sei, um einen Höhenunterschied auszugleichen.Ich hör im Hintergrund ECKHAAAAAAAAART. Das sind ja Zustände...
Die Behörde sprach von einem „mit Absicht herbeigeführten Mangel“.Wot? Das wird ja immer schlimmer!!
Na gut, dann haftet halt die Baufirma, nicht wahr? Gucken wir doch mal, wer das war.
Laut dem Bericht des Verkehrsministeriums an den Landtag hatte eine Firma aus Gelsenkirchen 2007 die Stützwand errichtet, eine andere fertigte die Betonplatte an.Wenn ihr euch jetzt Sorgen macht, dass die sich gegenseitig die Schuld zuschieben, dann habe ich gute Nachrichten: Nein, tun sie nicht.
Beide Unternehmen seien inzwischen aber insolvent.Ja, äh gut. Das verkompliziert die Dinge ein bisschen. Sie können jetzt nicht mal rausfinden, ob das eine der Pleitefirmen war oder ein Subunternehmer.
OK. Also. Ähm. Na dann gucken wir doch wenigstens mal, ob die anderen Platten, die diese Unternehmen angebracht haben, auch lebensgefährlich sind, nicht wahr?
[] einen bereits verbogenen Schweißanschluss mit erhöhter Rissgefahr entdeckt. Es sei nicht davon auszugehen, dass bei ähnlichen Bauwerken an anderen Autobahnstellen akute Gefahr besteheAh. Phew. Für einen Moment habe ich mir da Sorgen gemacht.
Gut, dass wir das mal geklärt haben!
Hier *brösel* gibt es nichts *bröckel* zu sehen! Weitergehen!
Ich weiß gar nicht, was du an der Qualifikation der Gesundheitssenatorin auszusetzen hast, Jens Seuchenspahn ist ja auch Bankkaufmann.Habt ihr auch so gute Laune gerade?Die Ministerin in Bayern ist übrigens approbierte Ärztin. Bei uns wird deshalb auch die ganze Klasse 2 Wochen in Quarantäne geschickt, wenn auch nur ein Kind erkrankt. Und es gibt Maskenpflicht überall, auch im Klassenzimmer.
https://www.sueddeutsche.de/bayern/schule-bayern-corona-regeln-1.5020737
Die Liste der geschlossenen Schulen oder Schulklassen ist so lang, dass sie gleich aufgebrochen nach Städten wird. Hier etwa München:
https://www.sueddeutsche.de/muenchen/muenchen-corona-schulen-ueberblick-1.5027908
Da herrscht auch gerade Zoff wegen der Maskenregeln: München möchte für Grundschüler keine, die Regierung in Oberbayern aber schon. Immerhin…
Ich halte das Schule offen halten trotzdem für ein sehr gewagtes Experiment.
Zu dieser Durchseuchung von Schulen und damit den Eltern kann man nur sagen: Die Schwurbler haben wahrscheinlich halb Recht. Damit wird die Bevölkerung sanft dezimiert. Nicht mit der Impfung, gleich mit dem Virus selbst. Sanft, weil es erst die nächste Generation betrifft. Wie das?
Na, laut den Untersuchungen der Chinesen können die so durchseuchten Eltern weitere Kinder knicken, das wird wahrscheinlich nichts mehr mit nur noch ~10M Spermien/ml. Und ob die so infizierten Kinder vor der Pubertät sich von ihrem Hodencovid erholen (oder erst gar keine bekommen), erfahren wir erst in 5-10 Jahren. Bei Mumps nach der Pubertät wissen wir auch, dass es *gelegentlich* zu Unfruchtbarkeit führt (weil in den 20-30% der Fällen, in denen ein Hoden betroffen ist, der andere meist heil bleibt), weshalb da ja auch die Impfung empfohlen ist. Bei Covid19 ist das dagegen der Normalfall.
Ja, das Absinken der Fruchtbarkeit war völlig unabhängig von der Schwere der Lungenentzündung:
https://www.thelancet.com/journals/eclinm/article/PIIS2589-5370(20)30348-5/fulltext
Asymptomatisch haben die Chinesen nicht untersucht.
Ansonsten, zur Einschätzung der globalen Tragödie: 10000 Tote pro Tag (da sind wir jetzt) sind übrigens mehr, als im 1. Weltkrieg so im Schnitt gestorben sind. Aber noch deutlich weniger, als nach dessen Ende an der Spanischen Grippe gestorben sind.
Es wäre alles viel einfacher, wenn das Virus bei jedem Toten laut und deutlich „allahu akbar“ schreien würde. Dann wäre beim ersten Toten sofort der weltweite Notstand ausgerufen worden, und weit wäre das Virus dann nicht gekommen…
Aber solange vor allem Kinder in Brennpunktschulen (Studie aus Österreich) angesteckt werden, glaube ich, finden unsere Autoritäten das gar nicht mal schlecht.
Auch verschiebt sich die Inzidenz-Rate durch die Schulöffnung hin zu Kindern.
https://twitter.com/VolkerScheeff/status/1327246784532516864/photo/1
It is widely understood that the first digits of precinct vote counts are not useful for trying to diagnose election frauds. [...]To date I’ve not heard of anysubstantial irregularities having occurred anywhere, and the particular datasets examinedin this paper give essentially no evidence that election frauds occurred.
Ansonsten stellt sich noch die Frage, von was für Betrugsszenarien wir hier gerade reden. Das Problem bei Wahlbetrug ist ja, dass man da Zugriff auf die Infrastruktur braucht, und die hat normalerweise nur die aktuelle Regierung. Wahlbetrug ist also grundsätzlich erstmal ein Mittel des illegitimen Machterhalts der regierenden Machthaber. Das macht die meisten Szenarien direkt kaputt. Democrats hätten in einem Republican-dominierten Wahlkreis gar nicht die Möglichkeit, unbemerkt Wahlzettel in die Urnen zu stopfen, weil das ganze Personal da von den Republicans geschickt wurde und wahrscheinlich selber Republican-Wähler sind.Daher konzentrieren sich die Vorwürfe im Moment auf ein anderes Szenario. Nehmen wir mal einen Bundesstaat wie Michigan. Hier sieht man eine Übersicht über die Wahlbezirke in Michigan bei der Senatswahl 2018. Es fällt direkt auf, dass praktisch alles rot gefärbt ist, also Republicans. Aber die paar Bezirke, die blau sind, da wohnen halt proportional viel mehr Leute.
Der Wahlbetrugsvorwurf ist jetzt, dass korrupte Democrats in einer Großstadt einfach mehr Stimmen für sich melden als sie hatten. An der Lage in ihrem Bezirk ändert das nichts, da hätten sie eh gewonnen. Aber Michigan-weit könnten sie damit das Ergebnis verfälschen.
Nun ist das ja genau der Fall, gegen den man sich bei Wahlen verteidigen will, dass der Wahlbetreiber bescheißt. Dafür gibt es verschiedene Mittel. Erstens: Es fällt auf, wenn es mehr Stimmen als Wähler gab. Zweitens: Während der Wahl gibt es Wahlbeobachter, und die können zugucken, wie die Zettel aus den Urnen genommen und verplombt gelagert werden, damit man eine Nachzählung durchführen kann. Das Wahlpersonal und die Beobachter müssten also alle unter einer Decke stecken.
Denkbar ist das Szenario, keine Frage. Und es wird bei Wahlcomputern noch dadurch verschärft, dass die häufig keinen Paper Trail haben, d.h. man kann gar keine Nachzählung machen. Die Wahlcomputer aufgestellt haben aber die Republikaner. Die sind daher jetzt in keiner Position um da Wahlbetrug zu schreien.
Für den Fall, dass es ein Wahlkreis schafft, unbemerkt falsche Wahlzettel in die Urnen zu stopfen: Auch das fällt auf, weil man ja auch im Wahlregister Buch führt, wer gewählt hat. Damit niemand zweimal wählen geht. Das heißt dann aber auch, dass man im Wahlregister sehen kann, wieviele Wahlzettel man haben müsste, und wenn es mehr sind, ist man des Betrugs überführt.
Das könnte der Wahlfälscher kontern, indem er einfach pro gefälschtem Wahlzettel einen Nichtwähler im Wahlregister ankreuzt. Das würde nur auffallen, wenn man stichprobenhaft Wähler kontaktiert und fragt, ob sie wirklich gewählt haben. Den Aufwand hat glaube ich noch keiner auf sich genommen. Aber würde man sich darauf verlassen wollen als Wahlfälscher, dass das keiner nachprüft?
An dieser Stelle ist man bei den Kosten und Risiken der Betrugsdurchführung so weit, dass andere Betrugsarten einfacher und billiger sind. Und sogar legal. Die GOP zum Beispiel stellt gerne vor Wahlbüros Leute hin, die dann bei Afroamerikanern pauschal anzweifeln, dass die überhaupt wahlberechtigt sind. Dann dürfen die zwar wählen, aber nur mit einem vorläufigen Wahlzettel, und die fliegen gerne mal zu hunderttausenden in die Mülltonne.
Oder man filtert im Vorfeld mit absichtlich schlechter Software Knackis raus, nach Namen. Und da gibt es halt ethnische Muster. Jackson Brown z.B. ist wahrscheinlich ein Schwarzer. Wenn irgendwo jemals ein Jackson Brown im Knast saß, dann filtern die Republikaner einfach überall alle Jackson Browns raus. Greg Palast hat zu diesen Betrugsverfahren seit Jahren recherchiert und publiziert.
Ohne diese Art von Betrug hätten die Republicans seit vielen Jahren keinen Fuß mehr auf den Boden gekriegt. Daher ist und bleibt das legal. Die, die es abschaffen müssten, profitieren im Moment davon. Und Joe Biden wird es auch nicht abschaffen, genausowenig wie es Obama abgeschafft hat. Das alte Millionärsdilemma. Man schafft keine Dinge ab, von denen man nicht sicher ist, dass man sie nicht in Zukunft auch brauchen wird, um Millionär zu werden.
Update: Hier gibt es auch ein schön entspanntes Vorkau-Video, wieso Benford's Law nicht auf die Wahlergebnisse anwendbar ist. Leichter rezipierbar als das Mathe-Paper aber inhaltlich dieselben Argumente.
Update: Ein Leser weist auch darauf hin, dass die Democrats dann wohl die inkompetentesten Wahlbetrüger aller Zeiten sein müssen, wenn sie im Unterhaus Sitze verlieren und im Oberhaus nicht die Mehrheit holen. Das ist wahrscheinlich wie mit Bill Gates Corona-Verschwörung und Hunter Bidens Laptop. Man findet einfach kein gutes Personal mehr.
Bitte hört auf, mir diesen Scheiß zu schicken.
Trump hatte jetzt vier Jahre, ein sicheres Wahlsystem zu installieren. Die ersten zwei Jahre hatte er alle Mehrheiten dafür. Hat er nicht gemacht.
Warum nicht?
Na weil das potentiell auch den Wahlbetrug seiner Seite verhindert hätte. Denn das ist eines der zentralen Demokratiedefizite des US-Wahlsystems: Das Electoral College. Das sorgt dafür, dass Stimmen unterschiedlich viel wert sind, je nach Wohnort.
Großstädte wählen im Vergleich zur Landbevölkerung progressiv. Das ist ja auch bei uns so. Die CSU kriegt in München keinen Fuß auf den Boden. Dazu kommt, dass es eine Landflucht gibt (Leute ziehen in die Städte), was den Effekt verstärkt, und dass neue Zuwanderer häufiger in Städte als aufs Land ziehen. Man könnte vermuten, dass das den Trend umkehren würde, aber so funktionieren Menschen nicht. Menschen möchten gerne von Freunden umgeben sein und passen sich im Konfliktfall lieber an. Nicht alle natürlich, aber der Durchschnittsmensch.
Wenn eine Zuwanderergruppe in einer Stadt eine substanzielle Minderheit oder gar die Mehrheit bildet, kann das anders aussehen (z.B. die Exilkubaner in Miami), aber das ist nicht die Regel.
Wenn ihr mal sehen wollt, wie krass das Electoral College sich vom Popular Vote unterscheidet, hat Wikipedia eine Übersicht. Und das ist mal echt krass, wenn ihr mal bei Richard Nixon und Ronald Reagan guckt. Die hatten im Electoral College über 90%! Ergebnisse wie in der DDR!1!!
Kurz gesagt: Ist das Wahlsystem der USA undemokratisch und unsicher? Ja, natürlich!
Heißt das jetzt, dass Trump sich beklagen kann? Nein. Denn er hätte es reparieren können, hat es aber nicht getan, weil er selber auch weiterhin schön bescheißen können wollte. Wenn es jemand verdient hätte, durch Wahlbetrug abgesetzt zu werden, dann jemand, der vorher die Chance hatte, das System zu reparieren, und es nicht getan hat.
Aus meiner Sicht ist das ganze System in den USA ein einziger Wahlbetrug. Aber das ist deren Land, deren Demokratie. Wenn die da keinen Handlungsbedarf sehen, dann ist das deren Entscheidung. Nicht unsere. Wer JETZT davon überrascht ist, dass das System kacke ist, der hat seine demokratischen Pflichten seit Jahren verkackt und hat es nicht besser verdient.
Update: Aber Fefe, woher weißt du denn, dass das Absicht war, dass Donald Trump das Wahlsystem nicht repariert hat? Nun, ich präsentiere: Exhibit A: Ein Trump-Tweet aus dem Jahre 2012.
The electoral college is a disaster for a democracy.
Anhörung im US-Senat. Partisanen-Theater von Trump-Handlangern. Die haben Google vorgeladen und wollen einen Schauprozess mit ihnen machen, um ihnen publikumswirksam nachzuweisen, dass sie Trump-freundliche Medien zensieren.
Für Google vor Ort: Sundar Pichai. Der CEO von Alphabet.
Seine Verteidigung: Wir sind neutral! Wir zensieren auch linke Seiten!1!!
Republicans-Senator Mike Lee aus Utah so:
“I think the trend is clear that you almost always censor—meaning block content, fact check or label content or demonetize websites—of conservative, Republican or pro-life individuals or groups or companies... Can you name for me one high profile person or entity from a liberal ideology who you have censored and what particular action you took?”
Daraufhin Pichai so: Na wsws.org!
wsws so: Öhm, ... ach?
wsws ist die World Socialist Web Site, die Webpräsenz der Sozialsten. Das Internationale Kommitee der Vierten Internationalen. Die haben seit Jahren ihrem Traffic von Google beim Kleinerwerden zugesehen und Fragen gestellt, aber Google wollte nie irgendwas zugeben.
Bis jetzt.
Im Kleingedruckten dann:
Als Beispiel führt sie die Zwecke an, Direktwerbung zu betreiben, Betrug zu verhindern und die Netzwerk- und Informationssicherheit eines IT-Systems zu gewährleisten. […]Ja nee, klar. Wieso soll Direktwerbung eigentlich explizit erlaubt sein? Um den Kartellen den Koksabsatz zu sichern? Und der Rest ist ja wohl mal wieder Wieselwort-Performancekunst. Jede der drei Dinge kann ja wohl jeder immer einfach so behaupten.Die Bundesregierung möchte Datenverarbeitungen aus diesen Gründen weiter ermöglichen und schafft einzelne konkrete Erlaubnistatbestände dafür.
Wer auf seiner Homepage unentgeltlich Inhalte verfügbar macht und sich über Banner finanziert, soll den Zugang dazu mit dem Aufspielen von Cookies ohne Zustimmung der Nutzer verbinden können.Habt ihr auch das Gefühl, dass hier endlich mal eure Volksvertreter eure Interessen vertreten?
Ein Einverständnis ist dem Plan zufolge zudem nicht nötig bei Authentifizierungs-Cookies zur Überprüfung der Identität von Nutzern, die an Online-Transaktionen beteiligt sind. Das Gleiche gilt beim Speichern von Artikel in einem Warenkorb.Ok …
Cookies könnten zudem "ein legitimes und nützliches Instrument sein", um die Wirksamkeit eines bereitgestellten Dienstes etwa "für Website-Design und Werbung" zu messen oder Besucher zu zählen.Äh nein, nicht OK.
Unter dem unverfänglichen Titel »Konfliktentschärfung bei Weltraumaktivitäten« heißt es dort: Die Vertragsstaaten beabsichtigen, Sicherheitszonen einzurichten, zum Beispiel rund um eine Mondbasis oder rund um Orte, an denen Bergbau betrieben wird. So soll sichergestellt werden, dass sich die Staaten nicht in die Quere kommen.Das ist eine direkte Verletzung des Weltraumvertrags von 1967, ratifiziert von 110 Staaten.
Deutschland hat das noch nicht unterschrieben, aber Italien z.B. schon.
Das zuständige Landesamt habe offenbar nicht erkannt, dass es sich bei der beanstandeten Hitler-Datei um eine Parodie handele, mit der Hitler verspottet werde.Au weia. Ob die da KI-Software benutzt haben, vielleicht die, die von Youtube für den Uploadfilter verwendet wird?
Aber wartet, kommt noch härter.
zumal nicht einmal klar sei, ob sie die Datei überhaupt wahrgenommen habe (Az.: 2 L 1910/20). Die Polizistin sei lediglich Mitglied einer WhatsApp-Gruppe gewesen, in der die Datei gepostet wurde.Es gibt eine Whatsapp-Gruppe, darin geht eine Parodie herum, und wen ziehen sie raus? Die (eine?) Polizistin. Wo ist Alice Schwarzer, wenn man sie braucht?
Aber wartet, wird noch krasser.
Das Gericht bemängelte weiter, die Suspendierung der Frau sei nicht nur inhaltlich, sondern auch formal mangelhaft gewesen.Hey, lieber Herr Reul, wenn das mit der Karriere als Innenminister nichts wird - für Personal ihrer Kompetenzklasse haben wir jetzt den Flughafen Berlin-Brandenburg.
Auch der in dem Bescheid des Landesamtes geäußerte Verdacht, dass Straftaten begangen worden seien, etwa das Verwenden verfassungswidriger Kennzeichen oder Volksverhetzung, sei "nicht nachvollziehbar".Da steht jetzt leider nicht, welches Landesamt das war. Ich vermute mal: Das Landesamt für Verfassungsschutz?
Jedenfalls drängt sich bei dermaßen vollständigem Totalversagen noch eine weitere Erklärung auf: Dass die absichtlich verkackt haben, weil sie kein Interesse daran hatten, die ganzen Nazis ernsthaft zu bekämpfen. Welchen besseren Weg dafür kann es geben als die schwächste Anklage aufzubauen, die man sich ausdenken kann, damit das vor Gericht krachend scheitert (beachtet auch, wie außer dem Innenminister niemand namentlich genannt wird).
Falls sich jemand wundert, wieso die Staatsanwaltschaft bei so einer Farce mitspielt: Die Staatsanwaltschaft ist in Deutschland weisungsgebunden.
Update: Ein Leser hat mehr Details:
Hier gab es keine Anklage, da es eine verwaltungsgerichtliche Streitigkeit war. Es gab auch kein Urteil, sondern einen Beschluss in einem verwaltungsgerichtlichen Eilverfahren. Dort wurde auch nur eine vorläufige Regelung getroffen, bis die Angelegenheit in einem - länger dauernden - Hauptsacheverfahren geklärt wird. Beim Landesamt handelt es sich nicht um den Verfassungsschutz, sondern um das Landesamt für für Besoldung, welches quasi für die dienst- und bezügerechtlichen Angelegenheiten der Landesbeamten zuständig ist (die Frau wurde suspendiert, hiergegen hat sie sich gewehrt).
Entsprechend gab es hier auch keine Staatsanwaltschaft, die irgendwie beteiligt war.
Im Übrigen ist die Kritik natürlich gerechtfertigt. Die Tatsache dass allein die Mitgliedschaft in der Gruppe das Problem gewesen sein soll, ist natürlich verheerend. In WhatsApp Gruppen ist man unmittelbar nach der Einladung Mitglied ohne weiteres zutun. Man muss aktiv austreten, war dann aber dennoch für einen Moment Mitglied.
Nvidia hat ja vor ein paar Jahren aufgehört, Grafikkarten zu bauen, die für Spieler attraktiv sind. Kein Wunder, denn in den beiden finanziell relevanten Segmenten, Unten und Mitte, haben sie Intel und AMD aus dem Markt gepreist. Und das Oberklasse-Segment ist eher sowas wie Formel 1 für Autobauer. Da versenkt man PR-Kohle rein. Das rechnet sich aber nur, wenn man in den anderen Marktsegmenten konkurrenzfähig ist. Statt für Gamer hat Nvidia versucht ihre Karten für KI attraktiv zu machen. Leider ist das alles bisher eine ziemliche Bruchlandung geworden.
Aus dem "selbstfahrendes Auto"-Segment musste sich Nvidia ganz zurückziehen, und die anderen KI-Geschichten tragen keinen Massenmarkt-Appeal. Nvidia sucht also händeringend nach PR-Argumenten, wieso Privatanwender unbedingt KI brauchen. Ihr aktueller Entwurf: Videokonferenzen!1!! Ja, äh, nee, klar. Ich schäm mich ja ein bisschen dafür, wie wenig Substanz die sich aus dem Arsch gezogen gekriegt haben.
Ich würde ja aus Gerechtigkeitsgründen auch was von Golem verlinken, aber die haben sich hinter einer derartig nervigen Nerv-Cookiewall verbarrikadiert, das kann man niemandem zumuten.
Der Lacher ist ja auch, wieso Nvidia bei KI gelandet ist. Eigentlich waren Grafikkarten mal die große Hoffnung für Supercomputer und numerische Simulationen. Die hätten aber häufig gerne lieber doppelt-genaue Fließkommazahlen. Die hat Nvidia bei ihren Konsumenten-Karten absichtlich lobotomiert, damit die Leute gezwungen sind, ihnen für absolute Freudenhauspreise ihre "professional"-Karten abzukaufen. Viele haben das getan. Viele aber auch nicht. Und ein Massenmarkt ist das auch nicht.
Die andere Anwendung für parallele Arithmetik mit hohem Durchsatz neben numerischen Simulationen sind neuronale Netze. Oh ja, und Computergrafik. Aber aus dem Markt zieht sich Nvidia ja offenbar zusehends zurück. Jedenfalls war ihre letzte Generation von Grafikkarten für den Konsumentenmarkt so teuer wie ein paar Jahre vorher die "professional"-Karten für Simulationen. Die haben so krass an der Preisspirale gedreht, dass sich nur noch Superreiche überhaupt ihre Karten leisten können. Also in den Segmenten jetzt, wo man Nvidia-Karten kaufen würde, weil es keine billigere und schnellere AMD-Karte gibt.
Ich frage mich daher jedes Mal, wieso in Vergleichs-Grafiken sowas wie die Titan-Reihe überhaupt auftaucht.
Die Grafikkarten sind übrigens deshalb so teuer, weil ja irgendwer auch die Eskapaden im KI-Sektor bezahlen muss, und so Aktionen wie "wir kaufen mal eben ARM", und hey, wieso nicht die doofen Deppen aus dem Massenmarkt zahlen lassen, die KI gar nicht nutzen?
Oh warte, doch. Für ... *papierraschel* Videokonferenzen!1!!
Update: Nachschlag zu Nvidia: Deren aktueller Ampere-Launch stellt sich wenig überraschend als Paper Launch heraus. Nur dass Nvidia so tut, als sei das doch lieferbar, während Intel nicht mal so tut, als gäbe es eine Desktop-Version in absehbarer Zeit. Dass ausgerechnet Intel mal in einem Vergleich wie die integerere Firma aussieht, das hätte ich mir auch nicht träumen lassen. Intel, wir erinnern uns, das waren die, die ihre Compiler (die übrigens richtig Geld kosten!) absichtlich lobotomiert haben, damit sie auf AMD-CPUs lahmen Code generieren. Intel, wir erinnern uns, waren die mit den ganzen spekulativen Bescheiß-Technologien zur Performance-Optimierung, die sich jetzt der Reihe nach als Sicherheitsproblem herausstellen. Intel, wir erinnern uns, waren die, die den Markt mit Werbe-Subventionen geflutet haben, aber nur, wenn die beworbene Produktlinie keine Mitglieder mit AMD-Prozessor hat. Und DIE sehen jetzt weniger schlecht aus als Nvidia. Das ist eine beachtliche Leistung auf Seiten von Nvidia.
Update: Das ist nicht die erste schwachsinnige Idee, mit der Nvidia Gamern KI überhelfen will. Es gibt auch schon Hochsampling mit KI und Bildverbesserung mit KI und bestimmt noch ein paar mehr Dinge. Die Zeiten, wo Nvidia performanterer Hardware gebaut hat, sind offenbar echt vorbei.
Update: Das war jetzt missverständlich ausgedrückt. Nur weil ich finde, dass Intel und AMD Nvidia aus dem Markt rausgepreist haben, heißt das nicht, dass sie da nichts mehr verkaufen. Das sind alles Depp ... edle Spender, die ihr Geld für die KI-Forschung verschenken! Also gut, eher nicht so für die Forschung nach KI-Durchbrüchen, eher die Forschung nach Bullshit-Begründungen, wieso ihr alle KI in euren Grafikkarten braucht. Aber hey, der Unterschied macht es ja offensichtlich nicht weniger unattraktiv für die Leute, die immer noch Nvidia Geld hinterherwerfen.
Wir können die [Migranten] nachher immer noch alle erschießen. Das ist überhaupt kein Thema. Oder vergasen, oder wie du willst.Hat die Youtuberin ausgepackt? Ja und nein. Nein, sie hat nicht ausgepackt. Aber ja, die wollte aus der rechten Szene aussteigen und hat daher einem Prosieben-Team gesteckt, wann und wo das Treffen stattfindet (in einer öffentlichen Bar in Berlin Mitte), also waren die da mit versteckter Kamera am Start und filmten fröhlich alles mit.
Der Lüth hat noch andere Nuggets unter die darbenden Zuhörer geworfen:
"Je schlechter es Deutschland geht, desto besser für die AfD. Das ist natürlich scheiße, auch für unsere Kinder. (…) Aber wahrscheinlich erhält uns das."In der Tat. Das hat der schon richtig erkannt. Die AfD lebt von einem dumpfen Unzufriedenheitsgefühl. Inhalte oder gar Lösungen haben die nicht, wenn man mal von Klimawandel- und Covid-Leugnung absieht.
Das Problem ist halt, dass man Unzufriedenheit herbeireden kann. Das funktioniert auch, wenn es nicht faktenbasiert ist. Wie zum Beispiele dieses ganze faktenfreie Ausländerbashing, das die immer betreiben. Es gibt in Deutschland genug Gründe für Unzufriedenheit, aber dass "die Ausländer" oder "die Migranten" und die Jobs wegnehmen gehört nicht dazu. Die Automatisierung hat euch die Jobs weggenommen, nicht die Ausländer. Schuld daran, dass das schlecht für euch ist, ist in der Tat eine fundamentalistische Religion, aber nicht der Islam sondern der Glaube an das ewige Wirtschaftswachstum bei nicht wachsenden planetaren Ressourcen, wie er von allen Parteien gepredigt wird. Klar, "wir müssen mal weniger Ressourcen verbrauchen" ist im Wahlkampf nicht so sexy wie "ihr könnt euch alle noch mehr Wegwerfelektronik aus China leisten, wenn ihr uns wählt!!1!"
In Sachen Umgang mit früheren Wahlfälschungen in Belarus waren sowohl Tilo Jung als auch Steffen Seibert nicht gut vorbereitet, es gab schon lange und häufiger Sanktionen der EU gegen Lukaschenko nach Wahlmanipulationen und wegen Menschenrechtsverletzungen, nur hat die EU da insgesamt wenig Hebel, weil es kaum wirtschaftliche Verflechtungen gibt und auch keinen Massentourismus, wie zb in der Türkei.Es ging hier auch nicht um Gleichsetzung, sondern es geht darum, dass das Menschenrechte sind, und damit jedem Menschen zustehen. Wenn wir das ernst meinen würden, müssten wir es überall anwenden, auch in Bayern. Menschenrechte sind auch nicht verhandelbar. Da gibt es kein "aber in Belarus ist es noch schlimmer".Lukaschenko ist die EU recht egal, es sei denn er braucht sie gerade um sich von Russland zu emanzipieren. Bei den Wahlen 2015 war eine Zeit der Annäherung, es wurden viele politische Gefangene freigelassen und die EU hat die Sanktionen runtergefahren. Minsk hat im Ukraine Konflikt vermittelt und Belarus war um ein gutes Image bemüht. Jetzt zeigt das Regime sein wahres Gesicht. In dem Zusammenhang das "Polizeirecht" bei uns mit dem aktuellen geschehen in Belarus gleichzusetzen, finde ich verfehlt, die Sicherheitskräfte haben dort Narrenfreiheit, Lukaschenko hat dehnen Straffreiheit zugesichert und die Justiz ist gleichgeschaltet. Bei uns werden wir auch nicht hart festgenommen, weil wir die französische Nationalhymne singen oder mit Kreide auf der Straße malen. Zyperns Sicht hingegen teile ich aber voll und ganz.
Eigentlich.
Der Leserbriefschreiber hat noch ein paar Links mitgeschickt:
https://www.youtube.com/watch?v=ElNCYj825fo (gestern Nacht in Minsk)
https://www.youtube.com/watch?v=B9tm4JdMoBs (9-11.08)
"Lieber Diktator sein als schwul"
EU ruft alle Botschafter aus Weißrussland zurückWer das tägliche geschehen gerne mitverfolgen möchte kann das zb ganz gut hier tun: https://www.tut.by/. Google Übersetzer funktioniert erstaunlich gut.
Update: Ein anderer Leser dazu:
Bzgl. der Anmerkung, wir würden nicht wg Kreidemalerei auf den Boden festgenommen (sicher kein Vergleich zu Belarus, aber dennoch), hier zwei Meldungen aus, natürlich, Bayern:
https://www.nordbayern.de/region/wegen-anti-nazi-parolen-aus-kreide-vor-gericht-1.667489
Sie sollen mit Kreide politische Parolen an Fassaden geschmiert haben - dafür landeten vier junge Männer vor dem Amtsgericht Fürth, wurden wegen Sachbeschädigung verurteilt. Für die Jugendlichen ein Skandalurteil: Sie legten Berufung ein und wurden nun freigesprochen.https://www.presseportal.de/blaulicht/pm/6013/4599633
Am Samstagmittag (16.05.2020) beschmierte ein Mann den Boden des Gewerbemuseumsplatzes mit Kreide. Nach einem kurzen Gespräch mit der Polizei entfernte der 54-Jährige sein Werk wieder mit Wasser und Besen.https://www.redside.tk/2019/04/22/prozess-wegen-spruehkreide-24-04-1030/
Am 24.04.2019 um 10:30 Uhr werden sich zwei Aktivisten/Berufsschüler vor dem Oberlandesgericht in Nürnberg (Sitzungssaal 26, EG) verantworten müssen für eine Straftat die ihresgleichen sucht.Der Strafbefehl lautet wie folgt: „Am 30.05.2018 gegen 18:29 sprühten (sic!) der gesondert Verfolgte […] auf das Kopfsteinpflaster vor dem Heimatministerium […] mit orangener „Sprühkreide“ folgenden Text: „Bildungsstreik, 22.06.18“. Das so entstandene Graffiti ließ sich nur unter erheblichem Aufwand und mithilfe einer professionellen Reinigung beseitigen. Der Stadt Nürnberg entstand hierdurch ein Schaden i.H.v. 318,- €, wie der gesondert Verfolgte […] wusste und zumindest billigend in Kauf nahm. Bei diesem Vorhaben unterstützten Sie den gesondert Verfolgten […] durch psychische Hilfe, indem sie (sic!) seinen Tatentschluss unterstützten und Zweifel an der Tatausführung minderten bzw. beseitigten und Fotos von der Tathandlung machten und die Umgebung absicherten.“
LOL :-)
Ich bin mir sicher, dass da dasselbe verschissene Äquivalenzdenken dahinter stand wie in der IT Security häufig. Ja klar kann ein Angreifer den ganzen Rechner kompromittieren, wenn er einen USB-Stick mit manipuliertem Dateisystem einsteckt, aber aber aber wenn er so nah an den Rechner rankommt, könnte er ihn auch direkt mit einem Vorschlaghammer demolieren!1!!
Und am Ende fixt keiner seinen Teil des Problems, weil es ja auch noch andere Wege gibt. Die wiederum machen ihren Teil nicht zu, weil wir hier noch nicht zugemacht haben. Und am Ende sind alle unsicher, bis ein Idealist vorbeikommt, der einfach immer alles ordentlich machen möchte und ohne Vergleich mit anderen immer alles absichert.
Aber was ich über deren Geschäftsmodell verstanden habe, ist dass es auf Lock-In basiert. Sie locken dich mit total super und einfach zu benutzenden vorgefertigten Diensten an, und dann kannst du deine Software nicht mehr zur Konkurrenz schieben, ohne sie von den Lock-In-APIs von Anbieter 1 auf die Lock-In-APIs von Anbieter 2 umzustellen. Die APIs sind natürlich vorsätzlich fundamental unterschiedlich, denn sonst wäre es ja kein Lock-In.
Soviel zur Vorgeschichte. Jetzt lese ich diesen Artikel hier über die Google-Cloud und da geht es im Wesentlichen darum, dass Google ihre Lock-In-Dienste inzwischen so schnell umstellt und die alte Version abschaltet, dass der Lock-In-Effekt verschwindet. Money Quote:
And the thing is, I get these [e-mails about service deprecations] about once a month. It happens so often and so reliably that I have been inexorably pushed away from GCP, towards cloud agnosticism. I no longer take dependencies on their proprietary service offerings, because it actually winds up being less DevOps work, on average, to support open-source systems running on bare VMs, than to try to keep up with Google’s deprecation treadmill.
Wow. Das ist hart. Ich bin ja kein Freund von Google aber für so taktisch inkompetent habe ich sie nicht gehalten.Der Autor des Artikels vergleicht das gar mit planned obsolescence, also wenn sie dir ein Gadget verkaufen, das absichtlich nach nem Jahr kaputt ist.
Oder natürlich auch wenn Firmen und Behörden einen mit sinnlosem Papierkram erschlagen, klar, aber da ist das glaube ich nicht Absicht.
Ich spreche das an, weil Sascha Lobo die (in meinen Augen einleuchtende) These aufstellt, dass dieser "IKEA-Effekt" auch bei Verschwörungstheorien wie QAnon greift. Wenn irgendwelche windigen Youtube-Kanäle die Leute aufrufen, "selber zu recherchieren", und die Leute googeln dann alle nach "okkulte pädoelite", dann finden sie natürlich lauter Quellen, die das "bestätigen" (auch behaupten), denn keine seriöse Quelle würde so ein Wort in den Mund nehmen, also kann man so auch nur die anderen Reingefallenen finden.
Am Ende bestätigen sich alle gegenseitig im Kreis und jeder hat das Gefühl, sich unabhängig informiert zu haben. Und weil das mit Aufwand verbunden war, hat man das Gefühl, man habe sich da etwas erarbeitet und genieße gegenüber den anderen einen Wissensvorsprung.
Dann, wenn ein Sicherheitsproblem auftritt, nutzt der Hersteller die Geheimhaltung, um das Ausmaß des Problems zu verschleiern.
Und Drittens ist diese Technologie so komplex und so schwierig von außen zu verstehen, dass es Jahre dauert, bis die Forschung diese Details herausgefunden hat.
Wir reden hier von einer menschengeschaffenen Sache, nicht von einem Aspekt der Natur! Stellt euch mal vor, Brücken würden so gebaut! Ja gut, die ist jetzt eingestürzt, aber vielleicht stürzen die anderen ja nicht von alleine ein! Wir reduzieren mal den Verkehr, vielleicht hilft das ja!1!! Wir reduzieren uns hier selbst auf vorsintflutliche phänomenologische Aberglauben-Level Reaktionen auf Verhalten, das wir verstehen könnten, aber wo wir absichtlich im Dunkeln gehalten werden. Ich finde das einen Riesenskandal.
Asien war die Quelle der mysteriösen 1,9 Milliarden, die sich dann als nicht existent herausstellten.
Also SO einen klaren Fall von Herzinfarkt hatten wir ja schon lange nicht mehr!
Die Financial Times (leider Paywall) hat noch folgende Details:
A guard at the Bauers' gated community said he had died of a heart attack. [...] A group of men playing cards outside the Bauers' house in Manila said the widow could not comment and suggested speaking to her lawyer, whose contact details they declined to disclose. The men were standing by the property’s gate, which was marked by the logo of a local motorcycle club called Iron Cross Sons, whose website features scantily dressed women with Nazi-themed attire.
Ach ja, ein bisschen journalistisches Flair, um der Story Farbe zu geben!Update: Ein Leser weist auf zwei Dinge hin. Erstens: Die Philippinen sind der "global leader" für "faking your own death". Zweitens: Er wurden sofort eingeäschert (Quelle dafür ist leider die FT, und die hat Paywall, daher kein Link). Angeblich ist ein florierendes Geschäftsmodell, dass Gefängnisinsassen für ihre Freilassung zahlen, das Gefängnis sagt dann, die seien verstorben und wegen Covid sofort eingeäschert worden, und später werden die draußen auf freiem Fuß vorgefunden.
Ich kann das verstehen. Der Vorwurf ist ähnlich toxisch wie "der ist Antisemit" oder "der ist pädophil" oder "der ist schwulenfeindlich". Der Vorwurf alleine kann Karrieren beenden, auch wenn er ungerechtfertigt war. Das ist ja auch der Grund, wieso er hier angewendet wurde. Die wollten JK Rowlings Reputation und Karriere kaputtmachen.
Ich halte die Bezugnahme auf § 43 Jugendgerichtsgesetz (JGG) für eine Schutzbehauptung. Es ist richtig, dass die Lebens- und Familienverhältnisse von Jugendlichen (und NUR Jugendlichen!) ermittelt werden sollen. Ich halte es für sehr, sehr unüblich, dass die Polizei das macht. Erstens, weil sie gar nicht dafür ausgebildet ist, bei der Polizei arbeiten nämlich ausgebildete Polizisten und nicht ausgebildete Sozialarbeiter.Zweitens, weil die Polizei dafür gar nicht zuständig ist. Denn die "Erforschung der Persönlichkeit, der Entwicklung und des familiären, sozialen und wirtschaftlichen Hintergrundes des Jugendlichen" ist gemäß § 38 Abs. 2 S. 2 JGG Aufgabe der Jugendgerichtshilfe und die ist auch in Stuttgart Teil der Stadtverwaltung ("im Haus des Jugendrechts" sagt die Website der Stadt Stuttgart) und nicht der Landespolizei von Baden-Württemberg.
Soviel zur abstrakten Rechtslage. Zufällig arbeitet ein Schulfreund von mir bei der Jugendgerichtshilfe, zwar in NRW, aber so unterschiedlich dürfte die Handhabung nicht sein. Er ist von der Angelegenheit milde erstaunt. Dass jedenfalls die Polizei wie derzeit ihre Ermittlungen über das reine Tatgeschehen hinaus auf die familiären Umstände ausweitet hat er in der Form in seinem Bereich jedenfalls noch nicht erlebt und ist auch, siehe oben, der Auffassung, dass die Polizei da ihre Befugnisse überschreitet.
Solange mir also von Seiten der Polizei Baden-Württemberg niemand die Weisung der Jugendstaatsanwaltschaft oder das Amtshilfeersuchen der Jugendgerichtshilfe zeigt, in dem steht, dass bitte die Polizei die Ermittlungen zur Staatsangehörigkeit durchführen soll, stelle ich mir das Zustandekommen dieser Angelegenheit ungefähr wie folgt vor:
"Du, Erich?" "Joh?"
"Desch sin a gans schen viele Deitsche a dabei, gell?"
"Gell."
"Wolle mer doch amol sehn, ob die ned a Migrationshinnägrunnd ham, gell?"
"Joh! Ruf Du schonmol de Standesämtle im gannze Bundesgebied an, ich hol a Drollinger fürsch zum dringge beim tällefoniere, gell?"Ernsthaft, § 43 JGG ist da nur vorgeschoben. Die wollten die Statistik mit dem Migrationshintergrund aufpolieren. Ob die nun doch mehr "Ausländer" finden wollten, als sie nach Passlage haben oder ob sie damit irgendwelchen rechten Verschwörungstheorien (ist ja sehr beliebt in rechten Kreisen bei "Täter ist deutscher Staatsangehöriger" direkt zu schreien "Ja, der Täter vielleicht, aber sicher nicht der Ur-Ur-Urgroßvater seiner Tante dritten Grades! Ausländergewalt!1elf!") direkt vorbeugen wollen, ist mir übrigens gleichgültig. Das war meiner Auffassung nach schlicht nicht ihr Job.
Nachtrag: Jugendgerichtshilfe ist normalerweise bei den Jugendämtern im Kreis angesiedelt. Aber Stuttgart ist kreisfreie Stadt, daher Stadtverwaltung.
"Stammbaumforschung" ist so eine Einordnung des Journalisten. Es gibt laut §43 Jugendgerichtsgesetz jedoch einen gesetzlichen Auftrag das Umfeld/Lebensumstände von Jugendlichen bzw. jenen die unter Jugendstrafrecht fallen könnten zu ermitteln. Das bei jugendlichen die Eltern zum Umfeld gehören ist hoffentlich unbestritten. Die Absicht des Gesetzes ist vor allem, eine bessere Behandlung des Einzelfalles und damit tendenziell zu Gunsten der Beschuldigten. Sowas als "Stammbaumforschung" einzuordnen ist abenteuerlich, vor allem da der Begriff das Handeln der Polizei in die Nähe zu Praktiken aus dem 3. Reich setzt. Was insofern fatal ist, da §43 Jgg von der Bedeutung das krasse Gegenteil in Absicht und Wirkung zu dem ist, was unter den Nazis stattfand.Ohne Kritik will ich dabei die Polizei aber auch nicht lassen. Der verkacken ihre Kommunikation gerade spektakulär. Anstatt die die von allein darauf kommen ihr Handeln mit dem Gesetz zu begründen und die positiven Absichten dahinter genau darzulegen faseln die mitunter etwas von "öffentlichem Interesse". An der Stelle schaut es dann wirklich so aus, als würden sie rassistische Schreihälse bedienen wollen.
Das war eigentlich ein Antrag der FDP, an zwei Sonntagen im Herbst den Einzelhandel öffnen zu lassen. Daraufhin hat die PARTEI einen Änderungsantrag eingebracht, dass man aus dem Einzelhandel das Internet und aus öffnen abschalten macht, und der wurde dann angenommen.
Das alleine ist ja schon großartig. Aber wartet, die Pointe kommt noch.
„Ich wollte deutlich machen, dass das Internet natürlich die größte Konkurrenz ist und es nicht mit einzelnen verkaufsoffenen Sonntagen getan ist. Und ich fand die Idee der Partei witzig“, erklärte Ulla Wacker von den Grünen gegenüber „Bild“, wieso sie dem Antrag zustimmte.Die tut jetzt einfach so, als habe sich absichtlich dafür gestimmt! Ein seltener Einblick in die innere Funktionsweise von der Politik. Wobei Menschen ja genau so funktionieren, auch wenn das keiner wahrhaben will. Wir entscheiden erst und rechtfertigen dann später. Ganz selten kommt die Ratio schon bei der Entscheidungsfindung zum Einsatz. Das ist eher die Ausnahme.
Update: Primärquelle für die ganze Nummer ist offenbar dieses Lokal-Blog.
Exploiting Bitdefender Antivirus: RCE from any websiteJa gut, deshalb hat man ja auch mehrere Schlangenölschichten übereinander. Damit die sich gegenseitig schützen!!1!
Ich hab ja eine Weile vermutet, dass die einfach nicht in der Lage sind, ordentliches Trainingsmaterial zu beschaffen. Inzwischen glaube ich, dass das Absicht ist. Der Scheiß funktioniert vielleicht einfach nicht so gut bei Dunkelhäutigen. Könnte ich mir jedenfalls vorstellen, denn da sind die Kontraste zwischen Haut und Gesichtsfalten nicht so ausgeprägt, je nach Beleuchtung natürlich.
Aber dem Tech-Bro, der den Scheiß programmiert hat, ist das ja wurscht, solange er einen Doofen findet, der das trotzdem kauft. Und der findet sich natürlich bei den üblichen Polizeibehörden, bei denen das ja nicht so schlimm ist, wenn mal ein Unschuldiger erschossen wird, solange er schwarz war.
Das war übrigens nicht der erste Fall: Es gab da schonmal eine "Terroristin", die per Software "identifiziert" wurde. Die war völlig überraschend auch dunkelhäutig.
Wenn es um Corona ginge, hätte man da auch einfach einen entwickeln lassen können und alle anderen nehmen das dann. Ist ja bei Open Source auch lizenztechnisch kein Problem.
Ich als ewiger Optimist hoffe aber trotzdem, dass die App versehentlich auch gegen Covid-19 hilft. Von der Akzeptanz her sieht die App ja gar nicht mal so schlecht aus mit inzwischen angeblich knapp 10 Mio Installationen. Und das trotz aktueller Meldungen wie dieser, dass die Geheimdienste jetzt endlich Staatstrojaner-Befugnis bekommen sollen. Das würde ja eher dagegen sprechen, irgendwelchen Apps irgendwelcher Behörden zu vertrauen. Merken die eigentlich nicht, wie viel Vertrauen sie jetzt schon verloren haben?!
Update: Einen Punkt würde ich an dieser Stelle noch gerne machen. Open Source ist schön und gut, aber nicht hinreichend. Wer sagt denn, dass die App, die man aus dem App Store installiert kriegt, auch aus dem Quellcode kommt? Eigentlich müsst jeder von euch selber aus dem offenen Quellcode die App bauen und auf sein Telefon spielen, was aber natürlich Google und Apple nicht zulassen, weil die ja gerne ihr parasitäres App-Store-Schutzgeldgeschäftsmodell ("Schöne App haben Sie da! Wäre ja schade, wenn die Leute die gar nicht installieren können! Geben Sie uns mal 30% Ihres Umsatzes!") weiter fahren möchten. Und das geht ja nicht, wenn sich die Leute selber Apps installieren dürfen! Wieso hat das eigentlich das Kartellamt noch nicht unterbunden?
Bliebe noch der Weg, dass ihr die App selber baut und dann vergleicht, dass die App aus dem App Store identisch ist. Doch das ist technisch kein Selbstläufer und auch da legen Google und Apple absichtlich Steine in den Weg.
Tja und wenn jetzt der Staat kommt und selber ein Schutzgeldgeschäftsmodell gegen Google und Apple fährt ("Schönen App store haben Sie da! Wäre ja schade, wenn der in unserem Land verboten wäre! Hier, liefern Sie mal diese Malware aus!"), dann geht das ja am Ende auch immer alles zu Lasten des Bürgers. Für uns Bürger kämpft ja leider niemand.
Die Lage ist nicht völlig aussichtslos. Man kann z.B. sehen, was die App alles können will. Da hat leider Google auf ganzer Linie verkackt und auf älteren Android-Versionen (älter als 9 habe ich gehört) kommt da "will Location-Daten haben". Das hilft also nicht, im bösartige Profilbildung zu verhindern.
Bleibt noch die Möglichkeit, dass man stichprobenhaft die App aus dem App Store holt und von Experten vergleichen lässt. Damit sind wir aber auch wieder nicht viel weiter, denn wir haben nur "du musst Google/dem Staat vertrauen" gegen "du musst dem CCC-Experten vertrauen" ausgetauscht. So ganz kriegt man das Vertrauen Müssen nicht weg, denn die Tools, mit denen man solche Analysen macht und Apps baut, die kommen ja auch von irgendjemandem, dem man vertrauen muss. Aber schön ist das nicht.
Bleibt noch die Frage, ob die Geheimdienste vielleicht Google zwingen, ihre Hintertüren nur gezielt auszurollen. Damit wären Stichproblem umgangen, außer einer der Stichproben-Downloader ist auf der Liste der Geheimdienste. Ist alles nicht so einfach.
Update: Oh und dann gibt es natürlich noch das Problem (jetzt vielleicht nicht bei der Corona-App aber bei anderen), dass die App einmal pro Woche ein Update erfährt. Da wird das Fenster für Aussagen über die Vertrauenswürdigkeit einer bestimmten Version sehr schnell sehr klein.
Insbesondere die Telekom scheint da völlig ethikfrei mit allen Händen in den Topf gegriffen zu haben. Schon was die SAP aufgerufen hat finde ich ausgesprochen irritierend, aber was die Telekom da abgreift? Meine Herren, da fallen mir gar keine Witze mehr zu ein. Ob das Teil des Sanierungsprogramms für die T-Systems ist, die ja angeblich bis zum Herbst zerschlagen werden sollte?
Bleibt die Frage, ob das jetzt reine Industrieförderung war, oder ob die App auch tatsächlich was nutzen kann/soll.
Weiß ich auch nicht. Der ewige Optimist in mir hofft, dass die App was bringt, egal ob das beabsichtigt war oder nicht.
Und mir bleibt als Lektion, dass ich mal dringend meinen Tagessatz hochsetzen muss.
Lieferengpässe nehmen seit ca 2005 (seit dem AVWG - Gesetz zur Verbesserung der Wirtschaftlichkeit der Arzneimittelversorgung) stetig zu.Vielen Dank an dieser Stelle für die vielen Einsendungen, auch die, die ich nicht berücksichtigen konnte.
Der aktuelle Krisenhöhepunkt wird zwar auch durch die Corona-Krise befeuert, die Ursachen sind aber viel älter.Es gab auch vor 2005 schon vereinzelt Medikament, die aus unterschiedlichen Gründen nicht lieferbar waren (Chargenausfälle, Insolvenzen beim Hersteller etc.) aber das war vergleichsweise selten und harmlos.
In 2005 kam dann das Gesetz von Ministerin Ulla Schmidt, was es den Kassen ermöglichte, Rabattverträge mit den Herstellern von rezeptpflichtigen (RX) Medikamenten abzuschliessen. Vulgo: Du bekommst nur noch Medikamente in der Apotheke ausgehändigt, wenn die Krankenkasse (KK) einen Vertrag mit dem Hersteller des Medikamentes hat. Vorher gab es einen relativ freien Markt, der aber natürlich auch so seine Fehlanreize hatte. Das darf man nicht beschönigen.
Heute kauft der Apotheker zu einem festgelegten Einkaufspreis und verkauft zum festgelegten Verkaufspreis (diese sogenannten TaxPreise sind bei RX-Medikamenten gesetzlich vorgeschrieben. Von ihnen darf nicht abgewichen werden).
Die Krankenkasse bezahlt dem Apotheker diesen festgelegten Preis, holt sich aber gleichzeitig den (geheimen!) Zwangsrabatt beim Hersteller zurück, so dass sie faktisch nur die Differenz zwischen Apotheken-EK und Zwangsrabatt bezahlt.
Bei manchen Krankenkassen (wie den AOKen) gab es sogar nur einen Vertrags-Hersteller pro Wirkstoff. Die Absicht dahinter war, den Preis auf ein Minimum zu drücken, indem man dafür dem Hersteller ein quasi-Monopol versprach.Gleichzeitig wurde den Herstellern verboten, die Preise ihrer Medikamente - zum Beispiel zum Inflationsausgleich - nach oben anzupassen (Preis-Moratorium). Das gilt seit 2005 bis heute.
Das Ende vom Lied ist, daß Deutschland inzwischen im Bereich der RX-Medikamente ein ausgesprochenes Niedrigpreisland ist (auch wenn im Volksmund immer das Gegenteil behauptet wird). Die internationalen Hersteller verkaufen aber Ihre (beschränkte) Ware größtenteils an die Länder, wo sie mehr dran verdienen können.
Da bleibt dann oft nur eine kleinere Menge für Deutschland über.Ohne viel vorwegzunehmen kann sich jeder vorstellen, daß das nicht die beste Idee in punkto Versorgungssicherheit für die Versicherten war.
Dieses System führte in den vergangenen 15 Jahren zu einer Menge Fehlstellungen:
Die europäischen Hersteller und -standorte sind innerhalb weniger Jahre dem Preisdiktat zum Opfer gefallen. Es gibt nur noch ganz wenige Medikamente, die in Europa, geschweige denn D produziert werden. Wir sind quasi vollständig von Indien und China abhängig.
Dort findet nämlich fast ausschliessslich die Herstellung der Wirkstoffe statt. Ist einfach billiger und es guckt keiner so genau hin. Das merkt man hierzulande an den immer weiter eskalierenden Qualitätsmängeln (nicht zuletzt die Verseuchung von vielen Medikamenten mit krebserregendem NDMA im letzten Jahr).Viele Wirkstoffe haben nur noch wenige oder sogar nur noch einen großen Hersteller. Ein gutes Beispiel ist dafür der bekannte Schmerzwirkstoff Ibuprofen. Er wird weltweit nur noch in einer handvoll Fabriken hergestellt. Da hat Sanofi ein quasi-Vertrags-Monopol für die Tabletten der meisten deutschen Krankenkassen mit seinem Produkt Ibuflam.
Die anderen Hersteller produzieren nur noch unbedeutende Restmengen. Wenn bei Sanofi mal wieder was schief geht fällt also nahezu die gesamte RX Ibu-Tabletten-Versorgung flach, da diese Restmengen nur für einen kurzen Überbrückungszeitraum reichen.Gleichzeitig haben die Kassen die Preise für dieses Monopol so sehr gedrückt, dass den Herstellern keine finanziellen Spielräume mehr bleiben. Es geht da dem Vernehmen nach um einzelne Cents. Das setzt sich in der ganzen Lieferkette bis zum Wirkstoffhersteller fort, was nicht gerade zu einer Steigerung bei der Qualitätssicherung führt. Aus Effekivitätsgründen werden dann nur 98-99% des realen Bedarfes produziert, weil man keine finanziellen Reserven für Überproduktionen hat. Man beachte bitte, dass die Krankenkassen bis heute die geheimen Abrechnungspreise nicht offenlegen wollen. Für Körperschaften des öffentlichen Rechtes schon ein starkes Stück.
Wir als Apotheken können einen Teil der - durch dieses bekloppte System bedingten - Ausfälle abfedern, da wir - nur ausnahmsweise bei Nichtlieferbarkeit des Vertragspartners - auch gleichartige Produkte von anderen Herstellern abgeben dürfen. Das hat sicher schon jeder mal in der Apotheke gehört: "Tut mir leid, Ihr Artikel ist gerade wieder nicht lieferbar. Darf ich Ihnen ein wirkstoffgleiches Medikament mitgeben?" Das bedeutet für die Apotheken aber einen hohen Dokumentationsaufwand, da wir die Nichtlieferbarkeit erst aufwendig beim Großhandel und Hersteller erfragen und dokumentieren müssen. Ansonsten streichen einem die Krankenkassen 100% des Preises und man bleibt komplett auf dem Schaden sitzen. Gleichzeitig behaupten die Hersteller immer, sie wären lieferfähig, weil viele Rabattverträge eine Strafklausel bei Nichtlieferfähigkeit vorsehen.
Die Krankenkassen sind übrigens zwar an einem Großteil dieser Misere schuld, aber auch die anderen Marktteilnehmer sind nicht ganz unschuldig.
Alles in allem möchte ich nochmal betonen: Das ist nur ein Teil der ganzen Problematik, die viel umfangreicher und vielschichtiger ist. Ich musste auch oben einige Sachen vereinfachen und aus unserem Apothekensprech übersetzen, damit sie überhaupt nachvollziehbar werden, dafür bitte ich um Entschuldigung.Zum Schluß noch eines: Es wird aktuell immer wieder über eine Freigabe der gesetzlich festgesetzen RX-Preise diskutiert. Im Zuge der Corona-Krise sollte inzwischen auch dem letzten klar geworden sein, daß die fixen Preise vor allem zum Schutz der Bevölkerung dienen.
Man stelle sich mal vor, es würde einen effektiven - aber beschränkt bevorrateten - Wirkstoff oder Impfstoff gegen das Virus geben. Der Preis eines lebensrettenden Medikamentes würde (bei freien Preisen) deutlich schneller eskalieren, als der von Klopapier und Schutzmasken.
Wollen wir wirklich eine Gesundheitsversorgung, wo die Überlebenschancen vom Geldbeutel abhängen, so wie in den USA?
When he looked around the Web on the device’s default Xiaomi browser, it recorded all the websites he visited, including search engine queries whether with Google or the privacy-focused DuckDuckGo, and every item viewed on a news feed feature of the Xiaomi software. That tracking appeared to be happening even if he used the supposedly private “incognito” mode.The device was also recording what folders he opened and to which screens he swiped, including the status bar and the settings page. All of the data was being packaged up and sent to remote servers in Singapore and Russia, though the Web domains they hosted were registered in Beijing.
Boos hofft darauf, dass Apple und Google auch für zentralisierte Apps eine Schnittstelle bereitstellen [… wollen die aber nicht, weil das totalitären Staaten Tür und Tor öffnet …] Chris Boos sieht ein solches Vorgehen als Erpressung, spricht davon, dass Google und Apple demokratischen Regierungen nicht vorschreiben sollten, wie sie ihre Apps entwickeln.OK. Letztes Mal wollte ich mich zu Boos noch nicht allzu negativ äußern, weil ich über den nichts wusste. Aber jetzt reicht mir das. Der Typ betreibt eine Firma, die der Politik seit Jahren KI als Allheilmittel reinzuschlangenölen versucht. Die Entscheidung der App sehe ich daher als Profitmaximierungsabsicht für sein Geschäftsmodell. Jetzt so zu tun, als sei das die Entscheidung einer demokratischen Regierung (die haben aus mir völlig unerfindlichen Gründen eben nicht entschieden sondern Leuten wie ihm die Entscheidung überlassen, unter der Annahme, dass er sich nach dem Wohl der Bevölkerung richten würde), ist aus meiner Sicht mindestens irreführend wenn nicht gar offen gelogen.
Das sagt er auch selber:
Boos sagt dazu, dass mit einer zentralisierten App mehr epidemiologische Daten bereitstehen würden, mit denen Institutionen wie das Robert-Koch-Institut arbeiten könnten.Ja nee klar. Oh und ... wer noch? Ja richtig! Seine Firma, die zufällig KI-basierte Automatisierungslösungen für Big Data in der Cloud anbietet!
Ich unterstelle dem nicht Bösartigkeit. Vielleicht merkt der das gar nicht selber. Wer einen Hammer hat, für den sehen alle Probleme wie ein Nagel aus. Aber offensichtlich hätte man dieses Konsortium in die Hände von jemandem geben sollen, bei dem das Problemfeld noch andere Dimensionen als "wie kriege ich möglichst viele Daten für meine Auswertungen" hat.
Dass sie ihn absichtlich verkacken bzw. gar nicht erst mitbestellen.
Hessens Covid-19-Krisenstab nutzt bald Software des US-Unternehmens Palantir, um den Überblick über die Corona-Krise zu behalten.Ja super! Ausgerechnet Palantir!
Das ist jetzt wahrscheinlich nicht so übel wie es klingt, weil auch Palantir nicht zaubern kann. Der kann nur die Daten auswerten, die man da reinschiebt. Allerdings steht halt zu befürchten, dass die Politik gerade im Hühnerstallmodus fährt und da alles reinpackt, was sie in die Krallen kriegen können. Inklusive Funkzellendaten.
Das ist übrigens nicht der erste Kontakt von Hessen und Palantir. (Bisschen Kontext zu Palantir)
Update: In Hessen regiert seit gefühlt Jahrzehnten die CDU durch, mit so Lichtfiguren wie Volker Bouffier und Roland Koch. Hessen war auch das Bundesland, das Steuerfahnder von einem Psychiater dienstunfähig schreiben ließen, weil die ihre Arbeit gemacht hatten. Und das ist nicht gut für die Wirtschaft, wenn den Bonzen jemand beim Steuerhinterziehen im Weg steht. Woher sollen dann die Parteispenden für die CDU kommen, wenn das Finanzamt diese Kohle hat?
Ich dachte mir, ich skizziere mal kurz, wie man da rangehen würde, damit ihr versteht, was das Problem ist.
Nehmen wir also mal an, Bluetooth ginge nicht durch Wände und mein Telefon hätte Daten darüber, welche Geräte in den letzten zwei Wochen im Radius von 2m waren.
Aus Datenschutzgründen speichern wir nicht die echte ID des Gerätes, sondern dein Handy generiert für jedes 2m-Radius-Ping ein neues zufälliges Token. Das Token wäre so, dass dein Gerät es wiedererkennen kann, aber sonst niemand es deinem Gerät zuordnen kann. Wenn du jetzt herausfindest, dass du dir Covid eingefangen hast, dann gehst du mit der Liste der Tokens der letzten beiden Wochen zu einem Server und lädst sie dort hoch.
Da haben wir das erste größere Privacy-Problem. Der Server sieht deine IP und dass du infiziert bist. Das ist schonmal nicht gut. Aber nehmen wir mal an, das ginge irgendwie, vielleicht über Tor anonymisiert.
Wie teilt denn der Server jetzt den Betroffenen mit, dass sie ein Problem haben? Die Tokens konnte man ja nicht zuordnen! Das war ja absichtlich so designed.
Also müsste man das so machen, dass alle Geräte periodisch auf dem Server die Liste aller Tokens abholen, und dann gucken, ob sie betroffen waren. Das wären sehr schnell sehr große Downloads. Das ist also auch kacke. Man würde also lieber ein System basteln, indem die Tokens zwar nicht direkt zuordnungsfähig sind, aber wo man bei der Abfrage einen Wert hochlädt, anhand dessen dann der Server die Tokens identifizieren kann, die mich betreffen. Diesen Wert könnte man z.B. im Telefon täglich oder stündlich neu vergeben, um die Zuordnung zu erschweren. Aber wenn wir das machen, dann kann der Server sehen, ob ich infiziert bin, weil die Antwort an mich nicht leer ist.
Das ist also auch Mist. Die offensichtliche Lösung wäre, entweder auch über Tor zu gehen (das kann man bandbreitentechnisch mal vergessen, das würde das Tor-Netz vermutlich krass überfordern). Oder man baut in die Daten der Infizierten auch lauter "blinde" Tokens ein, die "nicht infiziert" heißen, aber das kann nur das Endgerät des Betroffenen sehen. Dann müssten aber alle Endgeräte die ganze Zeit immer zwei Tokens hochladen, das Blind-Token und das echte Token, damit der Server nicht sieht, welches welches ist. Das wäre vom Traffic und dem Speicherplatz für die Datenbank her prohibitiv teuer.
Ich sehe da ehrlich gesagt nicht viel Luft für eine datenschutzrechtlich einwandfreie Lösung.
Da muss man schon echt die Augen zukneifen und viel mit den Händen herumwedeln, um sich von der nervigen Realität abzulenken. Da kommen dann so Modelle wie "Ja gut, aber die IP speichern wir ja nicht, das wäre ja böse. Vertrauen Sie uns. Wir sind die Guten." raus. Oder "wir machen das mit Google/Apple/Vodafone/Telekom, die haben eh eure Daten". Ja super.
Bleiben so Modelle wie "wir zwingen einfach die Telcos dazu, diesen Traffic kostenlos zu machen". Oder "Wir teilen das in zwei Teile auf; Google macht den einen, Apple den anderen. Der Kapitalismus schützt uns dann schon davor, dass die Kartellbildung machen." Mag sein, aber der Kapitalismus schützt uns nicht davor, dass Hacker bei beiden einbrechen oder dass der Staat einfach per Durchsuchungsbeschluss bei beiden die Daten rausträgt und verknüpft.
Update: Eine Krypto-Lösung ist einem Kumpel noch eingefallen. Man macht das so, dass man die Tokens mit einem Pseudozufallszahlengenerator generiert. Die funktionieren so, dass man sie mit einem (hoffentlich tatsächlich echt zufälligen) Zufallswert füttert und der Rest der augespuckten Werte sieht zufällig aus und ist auch praktisch nicht vorhersagbar, wenn man nicht den Initialwert kennt. Das könnte man nutzen, indem man im Infektionsfall den Seed veröffentlicht, und die Tokens bleiben auf den Endgeräten. Dann könnte mein Handy vom Server die Liste der Seeds holen und gucken, ob es damit irgendwelche der gespeicherten Tokens generieren kann. Nachteil: Das wäre eine sehr akkuunfreundliche Operation. Und man müsste die Initialwerte einmal pro Woche neu auswürfeln, damit nicht beliebig lange in die Vergangenheit Treffer rausfallen würden.
Update: Man kann da noch Bandbreite optimieren, z.B. mit einem Bloom-Filter. Wenn ihr davon noch nie gehört habt, googelt das mal. Das zum ersten Mal erklärt bekommen löst in manchen Menschen eine religiöse Erfahrung aus :-)
Da der Hebel so hoch ist (jedes Endgerät im Land einmal pro Tag) ist das aber immer noch sehr viel Traffic.
Update: Liebe Leute, der Punkt dieses Beitrags war nicht, eine Lösung zu finden. Der Punkt war, euch ein Gefühl dafür zu geben, was da so ein paar der Dimensionen des Problemraums sind. Mein Eindruck ist, dass im Moment viele Leute so „mein Cousin kann PHP, der hätte da schon längst was gehackt” drauf sind, und gar nicht verstehen, wieso man da überhaupt so lange berät und wieso da nicht einfach kurz jemand was hackt.
Auf die Frage, was denn mit dem Pessach-Fest sei (8. bis 16. April, also ab morgen abend), ob das stattfinden könnte, meinte er nur so:
Litzmans Antwort: Man hoffe, dass der Messias vorher erscheine, um Israel zu erlösen.Na hopp hopp, Messias! Die Zeit drängt!
Angesichts der sonstigen Lage in Israel wirkt das ziemlich fahrlässig, denn Netanjahu regiert gerade aus der Quarantäne heraus, sein höchster Militärkommandant und der Mossad-Chef sind auch in Quarantäne.
Punchline:
Die Religiösen scheint das nicht zu beunruhigen. Als die Polizei die Haredim in Jerusalem an einer Versammlung hindern wollte, hustete ein Junge die Beamten an. Absichtlich.Gesundheitsminister Litzman wurde inzwischen sogar positiv auf das Virus getestet. Er soll sich israelischen Medienberichten zufolge bei einem jener Gottesdienste angesteckt haben, die sein Ministerium selbst verboten hatte.
Oh und auch von den Christen gibt es Neuigkeiten. Keine Sorge um Boris Johnson. Americans are praying for his recovery.
He added that his administration had contacted Johnson's doctors and told them he had asked two unnamed medical companies who worked on treatments for AIDS and Ebola to offer the prime minister support.
Na dann wird ja alles gut.
New hotness: Hoffentlich haben die Datendiebe nicht meinen Antrag auf Pornofreischaltung!!
By exploiting the Ghostcat vulnerability, an attacker can read the contents of configuration files and source code files of all webapps deployed on Tomcat.In addition, if the website application allows users upload file, an attacker can first upload a file containing malicious JSP script code to the server (the uploaded file itself can be any type of file, such as pictures, plain text files etc.), and then include the uploaded file by exploiting the Ghostcat vulnerability, which finally can result in remote code execution.
Der Bug ist in dem AJP-Handler.
Meldung 1: Tech von NSA-Mitarbeitern soll eure Browser absichern, sagt McAfee. Warte mal, McAfee? Die, die gerade mal wieder mit heruntergelassenen Hosen erwischt wurden? Die, auf die sich das Kammergericht Berlin verlassen hatte, um dann festzustellen, dass sie verlassen waren? Ja, genau die!
Meldung 2: Die Telekom macht jetzt auch Security! Ergebnis:
Bei einem Softwareupdate der beiden betroffenen Routertypen habe man versucht, die Geräte gegen eine neue Angriffsart abzusichern. "Durch diese Implementierung werden ungewöhnlich kleine Netzwerk-Pakete, die häufig bei bestimmten Angriffen verwendet werden, vom Router ignoriert", heißt es in dem Statement.What the FUCK? Kleine Pakete? Soll das ein Scherz sein? Wisst ihr, welche Pakete klein sind? DNS! Signalisierung von TCP! Ping!
Erst nachträglich habe sich herausgestellt, dass diese Art von Datenpaketen nicht nur von Angreifern, sondern auch von den Onleihe-Servern sowie einigen älteren IoT-Geräten verwendet würden.Ja, äh, NO SHIT, SHERLOCK!
Meldung 3: IOTA wurde final zerstört, haben das eh schon verspielte Vertrauen endgültig verspielt (oh und Bonus: Cloudflare war involviert!). Und in der Mitte des Artikels? "Lesen Sie auch: IOTA - die nächste Generation der Blockchain?"
Srsly? Hey, Heise, fällt euch das nicht selber auf, wie lächerlich ihr euch da macht?
Nicht gestattet ist …Und hier ist der zweite Leserbrief:…Gepäck unbeaufsichtigt stehen zu lassen. Im Falle einer vorsätzlichen oder grob fahrlässigen Zuwiderhandlung behalten wir uns vor, die Kosten für eingeleitete notwendige Sicherungsmaßnahmen und eventuelle Folgeschäden in Rechnung zu stellen.
Natürlich geht es dabei um Repression. Dinge wie ein polizeilicher Platzverweis tauchen aktuell maximal in irgendwelchen Beschützerdatenbanken auf, aber nicht in den öffentlich einsehbaren wie einem Strafregisterauszug. Wenn du aber - absichtlich oder weil du die Kohle nicht hast - die Beschützerrechnung für deinen Platzverweis nicht zahlst, läuft die komplette Maschinerie auf, Pfändungs- und Vollstreckungsbescheid, Gerichtsvollzieher, Gehaltspfändung, Kontopfändung und im Extremfall halt Einfahren wegen Nichtbezahlens. DAS steht dann in deinen öffentlich einsehbaren Records, du bist erstmal nicht mehr kreditfähig, mit Pech dein Konto, eventuell auch deinen Job, los, die ggfls. fällige Erzwingungshaft steht im Strafregister.Man macht also durch die Hintertür Handlungen, die bisher - vom Stress mit den Beschützern abgesehen - im Grunde sanktionsfrei waren, zu Dingen, die dich wirtschaftlich ruinieren können.
Natürlich kannst du gegen den Gebührenbescheid Widerspruch einlegen, aber der dürfte, sofern der Bescheid nicht grundsätzlich falsch ist, keine Chance haben. Du kannst dann natürlich vor einem Verwaltungsgericht gegen den Bescheid klagen, aber das hat (meines Wissens!) keine "aufschiebende Wirkung", die Vollstreckung läuft also erstmal weiter (und Gerichtstermine können ja schon mal eine Weile auf sich warten lassen) und welche Chancen das am Ende haben dürfte, ist auch nicht schwer zu erraten. Rechtsstaat vom Feinsten. Der Staat ist alles, du bist nichts.
Das Thema weckt in mir sehr starke Emotionen, vor allem Wut und Ratlosigkeit, weil ich mich wie viele andere im Bereich IT-Sicherheit seit Jahren so fühle, als würden wir absolut und vollkommen darin versagen, irgendetwas nachhaltig zu bewirken.Es gibt da glaube ich mehrere wichtige Aspekte, die man bedenken muss. Der wichtigste ist: Das ist kein Zufall, unglückliches Timing oder Vertrotteltheit, wieso das Management und die Politik nicht zuhören. Das ist Strategie. Versetzt euch mal in deren Lage rein. Ich erkläre mal für die, die keine Management-Erfahrung haben. Als Vorgesetzter hast du drei Arten von Untergebenen:Anstatt jedoch nur draufzuhauen (zurecht!) lieferst Du in Deinem Artikel wirklich die wie ich finde entscheidenden Argumente.
Deine Analogie zum Arschabwischen ist auch recht zutreffend.
Ich leite ein Computernotfallteam und wir haben uns über Jahre das Image als kompetente Retter in der Not erarbeitet.
Zwar fürchtet man auch, von uns kontaktiert zu werden, weil wir häufig schlechte Nachrichten überbringen, aber wir haben stets mit unendlicher Geduld versucht, den Betroffenen zu helfen und meistens aus Sicht der Betroffenen recht erfolgreich. Diese Hilfe ging häufig weit über das hinaus, was meines Erachtens Aufgabe eines Computernotfallteam ist, immer mit der Hoffnung, dass die Leute es danach selbst geregelt bekommen. Aber nein, so funktioniert das nicht.
Inzwischen fahre ich eine etwas stringentere Linie weil es auch rein kapazitätsmäßig nicht mehr anders geht.
Ich erwarte inzwischen mehr Eigenverantwortung, mehr Selbständigkeit, mehr Verbindlichkeit und mehr nachhaltiges Agieren von Management, IT-Administration und Entwicklung.
Dies führt auf Seiten der verwöhnten Kunden/Betroffenen von Unverständnis und Irritation über unterschwellige und teils auch unverholene Kritik an unserem "Rollenverständnis und unserer Aufgabenwahrnehmung“ bishin zu panikartiger Verunsicherung und Hilflosigkeit. Gott sei Dank sind das bisher noch Einzelfälle.
Die große Herausforderung aber ist, wie wir das in die Köpfe der Entscheidungsebene und der Politik hineinbringen, denn die erweisen sich seit Jahren als extrem resistent gegenüber allem, was ich an Berichten, Beschlussvorlagen, Vermerken oder sonst was vorgelegt habe.
Ich fürchte tatsächlich, es muss alles erst viel schlimmer werden, bevor es besser werden kann. Und dem Prophet im eigenen Lande schenkt man ohnehin keinen Glauben.
Leider besuchen die Entscheider meistens eher industrielastige Veranstaltungen. [Großer IT-Dienstleister] hat mich doch tatsächlich zu einer Veranstaltung eingeladen, bei der irgendwelche „Cyber-Weisen“ irgendeinen Bericht übergeben sollten, nach Vorbild der so genannten Wirtschaftsweisen. Ich habe darauf geantwortet, dass mein Team garantiert an keiner solchen Veranstaltung teilnehmen wird, weil bereits die Ankündigung jedem ernstzunehmenden Profi unseriös erscheinen muss. Würden wir doch kommen, so wäre das sicherlich das letzte Mal, dass wir zu so etwas eingeladen würden, denn ich würde meinen Mund sicher nicht halten und laut sagen, was ich davon halte.
Aber wie bekommen wir jemand dem zugehört wird in solche Veranstaltungen, um unsere Argumente überzeugend vorzutragen?
Die Guten unter den Erfahrenen geben dir direkt noch einen Haken mit, wieso es nicht ihre Schuld ist: Wir müssen mehr Geld in die Hand nehmen, sonst wird das nichts. Das ist wie Scotty bei Star Trek TOS. Kirk: Wie lange brauchen wir? Scotty: 2 Wochen. Kirk: Du hast 4 Stunden. Scotty: (schafft es in zweien)
Das ist, was Upper Management im Projektgeschäft den ganzen Tag hört. Von allen Teilnehmern. Das war eine schlechte Idee, wir hätten das nie anfangen dürfen, das wird alles nichts, die Planung ist völlig absurd optimistisch, und so weiter. Das hören die auch für gutlaufende Projekte.
Ich habe in meinen Vorträgen häufiger das Verhältnis von Management und Entwickler als Training bezeichnet, wie bei Machine Learning. Das gilt auch hier. In einem solchen Umfeld haben wir die Leute, die uns jetzt nicht zuhören, jahrelang mit unserem Verhalten darauf trainiert, uns nicht zuzuhören, weil wir eh immer dasselbe sagen.
Beim Aspekt "wir müssen Geld für Vorbeugung ausgeben" kommt noch dazu, dass das aus deren Sicht ein Affront ist, denn wir geben ja schon Geld für Sicherheit aus. Du und dein Team, ihr seid das Geld, das wir für Sicherheit ausgeben. Von euch will ich hören, dass ihr das Problem löst, nicht dass wir mehr Geld ausgeben müssen. Wenn ihr mir sagt, dass wir mehr Geld ausgeben müssen, ist das zur einen Hälfte für mich ein vorbeugendes "ist nicht unsere Schuld" (ja wessen denn sonst? Meine etwa!? Klar höre ich dir dann nicht zu!) und zur anderen Hälfte ein "du machst deinen Job nicht gut" (da hat auch niemand Bock drauf, sich sowas anzuhören, und noch dazu von Untergebenen, die ja per Definition weniger befähigt sind, das einschätzen zu können, sonst wären sie im Management oder der Politik und nicht Ingenieure!1!!)
Ich übertreibe das jetzt natürlich zur Illustration ein bisschen. Versucht mal, die Welt aus der Perspektive zu sehen, und plötzlich ergibt das alles viel mehr Sinn und ihr fühlt euch nicht mehr so von surrealem Bullshit umgeben.
Tja und was nun? Es gibt mehrere Strategien. Die eine ist, das Framing zu ändern. Du gehst nicht hin mit "alles scheiße, brauchen mehr Geld", sondern mit "OK CERT (meine Aufgabe) haben wir jetzt gelöst und da wirst du gut aussehen, aber in der Vorbeuge könntest du noch punkten". Management hat ja auch Vorgesetzte, und seien es die Aktionäre.
Die zweite Strategie ist strukturelle Inkompetenz (den Job annehmen und absichtlich so krass öffentlich verkacken, dass weiterwurschteln nicht geht und ihr nie wieder mit der Aufgabe betraut werden könnt).
Der dritte Weg ist, dass du einfach die Weisung von oben ignorierst und das machst, was die gleich hätten machen sollen. D.h. du bist ein CERT? Dann nimmst du deine CERT-Kohle und gibst die in Vorsorge aus, machst Vorträge, Schulungen, etc. Und hast dann im Zweifelsfall keine Mittel für CERT-Arbeit. Der Trick an der Stelle ist dann, wie man das nach oben kommuniziert. Wenn du dem Management sagst: Wir konnten nicht besser, weil wir mehr Geld brauchen!, dann führt das wahrscheinlich nicht zum Erfolg. Außer euer CERT ist das persönliche Prestigeprojekt deines Vorgesetzten, dann hast du vielleicht eine Chance. Der Trick ist, dem Management gegenüber glaubwürdig zu simulieren, als bist du einer der Stolzen, die nicht zugeben, wenn es nicht gut läuft, aber du bist nicht besonders gut darin, es zu verheimlichen. Du sorgst dafür, dass die mitkriegen, was nicht läuft, aber beteuerst, dass du es im Griff hast und alles gut wird. Das ist, worauf das Management trainiert ist. Das erkennen die.
Illustiert euch das an einem Beispiel. Ihr kauft ein Auto. Wenn das Auto dir die ganze Zeit erzählt, das teurere Modell hätte jetzt noch folgende Features gehabt, wie wirkt das dann auf dich? Wie Werbung! Die wollen mich über den Tisch ziehen! Der Effekt ist, dass du dich bestärkt fühlst, das richtige Auto gekauft zu haben. Ich war nicht so doof, mich von Werbung beeinflussen zu lassen! Wenn das Auto aber einfach ohne zu meckern arbeitet und in der täglichen Arbeit klar wird, dass der Kofferraum zu klein ist, dann nimmst du mehr Geld in die Hand.
Um es auf den Punkt zu bringen: Management sieht sich als derjenige, der die Handlung vorantreibt. Den Entscheider. Die müssen selber auf die Entscheidung kommen, sonst wird die nicht umgesetzt. Du darfst denen nicht sagen, welche Entscheidung sie treffen müssen, sondern du musst dafür sorgen, dass sie alle Dinge sehen, die sie selbst zu der Entscheidung bringen werden.
Und nochmal zum Training. Management erkennt an dem Gemecker, dass wir mehr Geld brauchen, dass sie den Sweet Spot getroffen haben. Wenn keiner meckert, dass wir mehr Geld brauchen, dann verplempern wir hier gerade Ressourcen.
Der Name ist eine Anspielung auf die OffensiveCon, ebenfalls in Berlin, in ein paar Tagen. Dort treffen sich so Exploit-Schreiber und Malware-Leute und diskutieren Angriffsmethoden und -vektoren. Mich stört das schon länger, dass die Regierungen alle in Angriff investieren und niemand macht Verteidigung. Daher freute ich mich, dass jemand eine Gegen-Con macht.
Meine Erwartung war: Fehlerminimierende Softwarearchitektur, resilienzsteigernde Netzwerkarchitektur, vorbeugender Coding-Stil, sowas.
Tatsächlich war das aber ein Treffen von der AG Kritis. Kritis ist der Name für das BSI/BBK-Projekt zum Schutz kritischer Infrastrukturen, also Strom, Wasser, Krankenhäuser, etc. Ich habe mich da nie für interessiert, weil das aus meiner Sicht voll am Thema vorbeischießt. Die reden da überhaupt nicht darüber, wie wir eine sichere Infrastruktur aufbauen können, oder wie wir von Windows+Outlook+Active Directory wegkommen, sondern die optimieren da, wie schnell man nach einem Emotet-Befall neu aufsetzen kann. Den Emotet-Befall selbst verhindert niemand. Der ist bei dem Zustand der Infrastruktur so sicher wie das Amen in der Kirche.
Aus meiner Sicht ist damit das ganze Projekt nicht interessant. Versteht mich nicht falsch: Man kann da prima Geld verdienen. Man kann Installationen zertifizieren, man kann Audits machen, ob alle Punkte auf der Checkliste bearbeitet wurden, … aber nichts davon finde ich auch nur das geringste bisschen attraktiv. Nicht nur ist das nicht attraktiv, es hilft auch niemandem. Meine Code Audits haben zumindest einen nachweisbaren kurzfristigen Nutzen in die richtige Richtung. Das, was wir aber mal wirklich machen müssten, das macht niemand. So war dann auch eine meiner ersten Wortmeldungen aus dem Publikum nach dem Vortrag des BSI-MIRT (Mobile Incident Response Einheit). Ich fragte den BSI-Menschen, da ja Windows+AD+Outlook der Einfallsvektor für Emotet sei, ob sie da mit gutem Vorbild vorangehen und was anderes einsetzen. Er verweigerte lieber die Aussage, und meinte dann in der Pause so zu mir: Wir haben auch eine Menge Linux-Rechner!!
Ich bin inzwischen der Meinung, dass das nicht nur nicht hilfreich ist, sondern dass das aktiv schädlich ist, wenn man in Incident Response investiert. Ich kenne das von Software-Herstellern. Wenn der Daemon sich automatisch restartet nach Crashes, dann ist der Leidensdruck weg, was gegen die Crashes zu tun. Dann lebt man halt mit den Crashes. Ich habe das auch bei der Softwareentwicklung schon beobachtet, dass mir Entwickler erklärten, es gäbe da ja eine Security-Abteilung, die für sowas zuständig sei, daher müsse man sich hier jetzt nicht so stressen deswegen.
Die zentrale Verlautbarung auf der Konferenz war aber die Vorstellung eines neuen Cyberwehr-Konzeptes. Weil es schon ein Cyberwehr-Konzept gab, und das voll verkackt wurde und gescheitert ist, heißt das jetzt Cyber-Hilfs-Werk, als Wortspiel auf das THW. Die Idee ist, dass man bei einer "Großschadenslage" (ein Konzept aus dem analogen Katastrophenschutz) erste Hilfe leistet, damit die Versorgung der Bevölkerung schnell wieder anläuft. Wenn jemand unseren Strom wegcybert, dann könnte das Menschenleben kosten. Das ist also schon quasi unterlassene Hilfeleistung, wenn ich als Nerd dann nicht freiwillig und ehrenamtlich mithelfe.
Sorry, aber das sehe ich überhaupt nicht so. Im Gegenteil. Das setzt die völlig falschen Anreize. Wenn die Stromkonzerne sich darauf verlassen können, dass ich ihnen im DurchNotfall den Arsch abwische, wieso sollten die dann in Vorbeugung investieren?
Ja aber Fefe, sagten die mir, das ist doch ein Großschadensfall! Der ist eh schon astronomisch teuer! Dann müssen wir halt dafür sorgen, dass das nicht billiger wird durch unseren ehrenamtlichen Einsatz!
Sorry, überzeugt mich auch nicht. Die Unternehmen spekulieren offensichtlich darauf, wenn wir schon die völlig überflüssigen und volkswirtschaftlich kontraproduktiven Banken mit Milliardenbailouts retten, und da war noch nicht mal ein Angreifer am Start sondern die haben sich mit ihrem Gezocke selber versenkt, dann ist ja wohl aus Sicht der Stromversorger völlig klar, dass der Staat bei einer Großschadenslage einspringen würde. Ich erinnere daran, dass die Bahn ihr Schienennetz auf Verschleiß fährt und nicht ausbessert, weil bei akuter Einsturzgefahr von Brücken der Staat zahlt und nicht die Bahn. Glaubt mal nicht für eine Sekunde, dass die Stromkonzerne auch nur einen Euro in Vorsorge investieren, wenn sie sich den auch in die Tasche stecken oder an die Shareholder auszahlen könnten.
Ich fühle mich in meiner Position bestätigt, wenn ich sehe, dass Vater Staat das Konzept der Cyberwehr großartig findet und voll an Bord ist. Vater Staat ist nämlich nicht so doof wie man immer glaubt. Das ist ja schon länger meine These, dass so viel Verkacken nicht nur mit Inkompetenz erklärbar ist. Das ist Strategie. Der Staat sieht das offensichtlich genau so wie ich und würde gerne die Kosten für die Reparatur an die Ehrenamtlichen externalisieren.
Als der wohlmeinende Vortragende dann noch erklärte, dass man aus versicherungstechnischen Gründen nur auf Anordnung (!!) des Innenministeriums (!!!!) aktiv würde, weil man dann ein Verwaltungshelfer sei und gegen Unfälle auf dem Weg zum Einsatz versichert sei, da knallten bei mir die letzten Sicherungen auch noch durch. GANZ SICHER werde ich NIEMALS für das Innenministerium irgendwas tun. Das sind die Leute, die mir aktuell Trojaner auf die Geräte spielen wollen. Das sind die Leute, die gegen meine Proteste Videoüberwachung ausgerollt haben, obwohl klar war, dass das nichts bringt und meine Grundrechte verletzt. Das sind die mit dem großen Lauschangriff. Mit der Funkzellenauswertung. Das sind die mit dem Hackertoolverbot. DIE LETZTEN, auf deren Ruf ich zur Mithilfe bereit bin, sind die vom Innenministerium. Das geht gar nicht. Absoluter No-Go.
Mir tut das echt in der Seele weh, denn in der Szene sind viele liebe kompetente hilfsbereite Nerds, die einfach nur Menschenleben retten wollen. Aber ich glaube, dass das nie besser wird, wenn wir nicht mal einen so richtig fetten Großschadensfall haben und denen ihre Ministerien niederbrennen, weil keiner vorgesorgt hat. Je länger dann alles down ist, desto besser. Damit das auch mal Konsequenzen hat. Mir schwebt da so ein Fight-Club-Szenario vor.
Aber genug von der Cyberwehr. Es gab auch noch andere Vorträge. Zum Beispiel einen über die völkerrechtliche Bewertung von Hackback. Nun habe ich mich ja schon zu Hackback geäußert, aber nicht zu rechtlichen Fragen. Das war Absicht. Ich halte die rechtliche Debatte für kontraproduktiv. Auf der anderen Seite sitzen schließlich die Leute, die Gesetze machen. Wenn du denen nachweist, dass ihr Scheiß gegen die Gesetze verstößt, dann machen die halt neue Gesetze. Das Völkerrecht kann ich nun überhaupt nicht ernst nehmen. Das ist Freiwilligenrecht. Für mich war das Interessanteste an dem Vortrag daher nicht der Inhalt, sondern wie die Vortragende es vortrug. Mit dem Brustton der Überzeugung kamen da so Aussagen wie: Das wäre dann klar völkerrechtswidrig. Äh, mal in den Irak geguckt? Wie war das mit unserem NATO-Angriffskrieg in Jugoslawien damals? Auch alles klar völkerrechtswidrig. Hält genau niemanden auf. Die halten nicht mal inne und denken nochmal drüber nach. Die Vortragende dann so: Das hat der Internationale Gerichtshof so festgestellt! Ja, äh, und? Erinnert mich an eine Aktionskarte bei dem Brettspiel Junta. "Studenten protestieren gegen Menschenrechtsverletzungen. Keine Auswirkungen." Daher habe ich mich in meinen Hackback-Überlegungen darauf konzentriert, dass das auch inhaltlich völlig bekloppt ist und garantiert nicht weiterhelfen wird. Ein weiterer Referenzpunkt in dem Vortrag war die Martensklausel. Googelt das mal selbst und überlegt euch, ob ihr das ernst nehmen würdet als Rechtsnorm. Und wer da eurer Meinung nach für die Durchsetzung zuständig ist.
So bin ich am Ende in der paradoxen Lage, dass das eine wunderschöne Konferenz mit kompetenten Vortragenden und netten Unterhaltungen war, aber ich inhaltlich nichts gelernt habe. Ich habe schon Dinge gelernt, aber über die Leute, nicht über die Inhalte.
Hmm. So kann ich euch jetzt nicht gehen lassen. Lasst uns mal ein Szenario entwickeln, in dem das schon alles gut ist. Mir fällt nur eins ein: Strukturelle Inkompetenz. Strukturelle Inkompetenz ist, wenn du dich freiwillig bereiterklärst, in der WG das Geschirr zu waschen, und das dann so unzureichend wäschst, dass sie dich nie wieder fragen werden. Möglicherweise ist das Cyberhilfswerk auch sowas. Wir reden jetzt jahrelang darüber, und dann machen wir einen Plan, und der Plan rechnet dann mal aus, wieviel das im Zweifelsfall hilft, und kommt zum Ergebnis: Gar nicht. Vielleicht merken die dann, dass sie lieber vorbeugen sollten. Angesichts der praktisch reinen Symbolpolitik in Digitalfragen halte ich das für eine gefährliche Strategie. In allen bisherigen Fällen hat der Staat dann trotzdem die offensichtlich und mit Ansage ungenügende schlechte Idee umgesetzt, und dann danach schockiert festgestellt, dass es nicht geholfen hat. Warum sollte das diesmal anders laufen?
Übrigens, am Rande: In Israel fährt der Staat jetzt das volle Arsch-Abwischen-Programm und telefoniert proaktiv Firmen hinterher, sie sollen mal patchen. Wie in der Seniorenresidenz. Hast du heute schon deine Pillen genommen? Was für ein Menschenbild! Meine Erfahrung ist außerdem: Wenn du Menschen wie Kleinkinder oder Alzheimerpatienten behandelst, dann werden die sich auch wie Kleinkinder oder Alzheimerpatienten verhalten.
Update: Was wäre denn mein Vorschlag? Strafen. Hohe Strafen. Und nicht warnen sondern direkt die Firma schließen. Das muss richtig doll wehtun, wenn du die Infrastruktur runterkommen lässt, weil du glaubst, die Kosten externalisieren zu können. RICHTIG fucking schmerzhaft muss das sein. So mit rückwirkender Pfändung von vorher ausgezahlten Vorstands-Gehältern und so. Und insbesondere würde ich das für den Aufsichtsrat schmerzhaft machen, wenn sie ihrer Aufsichtspflicht nicht nachkommen.
Das ist eigentlich auch Teil von Kritis übrigens. Wenn der Auditor sagt: Das hier ist ein hohes Risiko. Dann kann die Firma sagen: Wir akzeptieren das Risiko. Nur hat das im Moment halt keinerlei Auswirkungen, wenn das ganze Ding dann hochgeht. Das müssen wir ändern.
Update: Einer der anderen Veranstalter weist darauf hin, dass nur 3/5 bei AG Kritis sind, aber 5/5 in der c-base. Die akkuratere Darstellung wäre also, dass das eine c-base-Veranstaltung war, auch wenn das Programm am Ende Kritis-lastig aussah :-)
Update: Leserbrief dazu:
in Deinem Kritis-Rant schreibst Du: "Wenn der Auditor sagt: Das hier ist ein hohes Risiko. Dann kann die Firma sagen: Wir akzeptieren das Risiko."
Das ist i.A. richtig, aber eben nicht bei Kritis-Audits. Dort gilt vielmehr: "Der B3S stellt klar, dass bzgl. relevanter Risiken für die kritische Dienstleistung eine eigenständige dauerhafte Risikoakzeptanz durch den Betreiber in der Regel keine zulässige Option im Sinne des BSIG ist" (Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß § 8a (2) BSIG, Abschnitt 4.3.2, Quelle)Ob das am Ende einen großen Unterschied macht, sei mal dahingestellt ...
Hier ist die Anleitung, welche Zertifikate man nehmen soll.
Der Einsender kommentiert:
der Schuster hat ja bekanntlich die schlechtesten Schuhe...:-) (Danke, Andrej)
Die Revolutionsgarden haben das für einen US-Marschflugkörper gehalten. Das ist ja leider aus deren Sicht auch nicht völlig von der Hand zu weisen, der Verdacht. Allerdings ... war das Flugzeug in Teheran gestartet. Das flog also aus dem Iran raus, nicht in den Iran rein. Das negiert in meinen Augen die Marschflugkörpertheorie.
Heute morgen war ich zu spät dran und hab daher nicht mal mehr versucht, in den OpenBSD-Vortrag zu kommen. Den werde ich mir aber definitiv auf Video angucken.
Daher war mein erster Vortrag die Affäre Hannibal, von zwei taz-Journalisten, die da die Recherchen gemacht haben. Der Vortrag hat jetzt nicht so viele Neuigkeiten gebracht, wenn man der Story schon gefolgt ist, aber lohnt sich als Überblick trotzdem. Der Vortrag brachte mich auf die Idee für ein paar Medienkompetenzübungen. Man könnte z.B. mal ein Experiment machen, wie leicht es ist, aus zufälligem Rauschen Muster zu erkennen. Und das zweite Experiment wäre, mit der üblichen Rhetorik (in dem Talk hieß es sinngemäß, die hätten sich ja dezentral verwaltet und hätten sich nur unter Pseudonym gekannt teilweise; das ist beim CCC genau so!), die man so gegen die Nazis verwendet, um es gefährlich klingen zu lassen, über eine Organisation redet, in der man selbst Mitglied ist. Nur um mal zu merken, wie schnell sich ein gefährlich klingendes Narrativ konstruieren lässt. In diesem Fall gab es tatsächliche Dinge, auf denen das fußte, versteht mich nicht falsch. Verstoß gegen das Kriegswaffenkontrollgesetz, gestohlene Bundeswehrwaffen und -Munition, etc. Die hatten Listen vonn Leuten, die sie nicht mochten, und man nimmt jetzt an, dass das eine Todesschwadron-Zielliste war. Das klingt auch für mich so. Auf der anderen pflegt fast jeder Twitter-Teilnehmer eine Liste von Leuten, die er nicht mag, und bei vielen ist die inhaltliche Rhetorik auch in eine Richtung, bei der man als neutraler Rechtsstaat eine Tötungsabsicht unterstellen könnte.
Der taz-Vortrag hielt sich aber mit krasser Rhetorik sehr zurück, das will ich hier ausdrücklich loben. Das Phänomen meine ich allgemein, nicht konkret auf den taz-Talk bezogen.
Der nächste Vortrag war ein Rückblick vom Peng-Kollektiv, der auch sehr empfehlenswert war. Das war nicht nur ein Jahresrückblick sondern ging länger zurück.
Der nächste Vortrag wird für mich über Finfisher sein, das machen ths und Ulf, das wird bestimmt lustig. Danach natürlich djb und Tanja in Saal 2 (ja, dafür lasse ich sogar eine Snowden-Liveschalte ausfallen). Danach kommt mein Kumpel Ilja mit seinem Kollegen Joseph und erzählt über Bootloader, das wird ein ganz großes Blutbad. Danach mache ich glaube ich ein bisschen Pause und gucke mir abends vielleicht noch das Schimpfwörterbuch an.
So langsam setzt dann auch eine gewisse Ermüdung ein, man wird halt auch nicht jünger :-)
Es gab ja kürzlich diesen Klimagipfel in Spanien, der seinen Namen nicht verdient hat. Stellt sich raus: Die haben die Amis eingeladen. Die Amis, die gerade aus dem Pariser Abkommen ausgetreten waren. Die haben da natürlich einmal auf den Tisch gekackt und dann mit ihrer Scheiße geworfen, Hauptsache aus dem Gipfel wird nichts. Und, wenig überraschend: Aus dem Gipfel wurde nichts.
Ich bin mir übrigens ziemlich sicher, dass die Europäer die Amis absichtlich eingeladen haben. Als Blitzableiter. Damit sie nichts machen müssen und die Schuld kriegen die Amis. Aber egal.
Jedenfalls war ja Greta Thunberg auf dem Gipfel und hat die Polit-Klasse zu beschämen versucht. Das funktioniert leider nur mit Leuten, die ein Rückgrat und Werte haben und Scham empfinden können.
Greta fuhr dann mit der Bahn nach Hause und tweete darüber. Sie meinte das gar nicht böse, dann volle Züge sind ja für Klimaaktivisten etwas Positives. Und so musste sie nicht fliegen. Jedenfalls hat sie da ein Foto von sich getweetet, wie sie auf dem Boden sitzt, weil der Zug voll war und sie keinen Sitzplatz hatte. Warum hatte sie keinen? Weil der Zug ausfiel, in dem sie eine Reservierung hatte. Das Übliche halt mit der Bahn.
So einen schönen PR-Pass hat die Bahn schon lange nicht mehr gehabt. Was hätte man da alles draus machen können! Macht es wie Greta, fahrt Bahn! Wir fahren mit Ökostrom (gut, das ist ja eher Bullshit, aber den Talking Point haben sie ja sonst auch immer ohne Sternchen und Kleingedrucktes im Programm)! Das Bahnnetz in Europa ist so geil, dass man von Madrid nach Schweden fahren kann!
Was hat die Bahn tatsächlich getan? Foulball in die Tribüne. Und zwar so richtig Doppel-Foul.
Denn wisst ihr? Dass man Tickets online bucht und die Bahn dann deinen Namen kennt, das ist ja eigentlich ein Datenschutz-Albtraum. Die Bahn muss nicht wissen, wann ich von wo nach wo fahre. Gut, die Bahn ist eine olle Behörde voller Sesselfurzer, haben sich da viele gedacht, die werden diese Daten schon nicht auswerten, um bei Einzelnen die Verbindungen zu rastrerfahnden.
Wir haben uns gefreut, dass Du am Samstag mit uns im ICE 74 unterwegs warst.Ja, richtig! Nicht nur wertet die Bahn das aus, sie guckt auch bei Promis mal auf dem kurzen Dienstweg in die personenbezogenen Daten und veröffentlicht die zu PR-Zwecken, wenn sie glauben, dass ihnen das Punkte bringt. Also wenn ich Datenschutzbeauftragter wäre, würde ich die Bahn-IT jetzt in einen Parkplatz umwandeln.
Aber das war alles noch nicht der Grund, wieso ich das geblogt habe. Die Japan Times hat diese ultra-peinlichen Tweets gesehen und schreibt über sie. Die Japan Times. Danke, liebe Bahn, dass ihr unser Image als Technologiestandort nicht nur national und EU-weit ruiniert sondern bis nach Japan.
Was schreiben sie denn?
Deutsche Bahn, which used to be famous for its punctuality, has come under fire in recent years for delays, last-minute train cancellations and expensive ticket fares.
HAHAHAHAHAHAHA! DANKE, liebe Japan Times! Das ist dann wohl die Bahn-Version von "das ehemalige Nachrichtenmagazin". Das ehemals für seine Pünktlichkeit bekannte Transportmittel "Deutsche Bahn". LMAOFalls ihr übrigens dachtet: Ach komm, Twitter, who cares. Immerhin haben sie nicht unbedacht ein ultrapeinliches Press Release rausgekloppt! Dann habe ich schlechte Nachrichten für euch. Hier ist das ultrapeinliche Press Release.
Das Leben in vollen Zügen genießen! Thank you for traveling with Deutsche Bahn!
Weltbank: AktienHANDELSVOLUMEN 2018; 68.212 trillion - Hier geht es um den Jahresumsatz aller Transaktionen.Ihr seht schon: Das mit den vergleichbaren Zahlen ist nicht so einfach.Das ZINSderivatevolumen Mitte 2019: 524 trillions - dies ist das ausstehende Nominalvolumen. Hier geht es nicht um die Transaktionen innerhalb eines Zeitraums. Wenn man all diese Derivate tatsächlich als Hedge betrachtet, dann sind damit Risiken oder Anlagen in Höhe von 524 trillions abgesichert. Um diese Derivate zu kaufen, müsste man jetzt den "gross market value", also den aktuellen Marktwert ausgeben in Höhe von 12,7 trillions. Das Volumen der Derivatetransaktionen ist wesentlich höher.
Meine Derivatezahlen stammen von der ISDA und geben als Quelle auch die BIS an. Hier die Zahlen der BIS. Die 12,7 trillions finde ich bei der BIS aber nicht in einer Zahl wieder.
Im Zusammenhang mit der Finanztransaktionssteuer machen natürlich Umsatzzahlen viel mehr Sinn, nur gibt es die leider nicht für die Derivate.
Die Mär vom Derviat als Hedge verkauft sich in der Öffentlichkeit zwar recht gut, aber in der Praxis befindet sich ein großer Teil dieser Derivate in Form von Zertifikaten oder strukturierten Anleihen. Viele nicht-öffentliche Hedge-Fonds sind nur in Derivaten investiert. Ich habe die Erfahrung gemacht, dass von den Investoren oft die Kosten für eine Absicherung gescheut werden, aber die Ertragschancen durch das Eingehen von zusätzlichen Derivate-Risiken gerne wahrgenommen werden. Insbesondere, wenn die Derivate in einem komplizierten, renditeträchtigen Produkt versteckt und somit nicht ohne weiteres erkennbar sind. Und selbst wenn jemand einen Hedge abschließt, gibt es dazu immer noch die Gegenseite des Derivategeschäfts, die entweder zufällig auch einen Hedge ergibt oder eben eine offene Position.
Die Aktienmarktzahlen von mir kann ich leider nicht in weiteren Quellen verifizieren. Da möchte ich nicht ausschließen, dass diese leider nicht korrekt sind.
Seltene Erden werden auch von allen anderen High-Tech-Firmen benötigt. Die kommen auch keineswegs nur in China vor, aber die Chinesen haben halt weniger Lohn und weniger Kosten für Bergbau-Absicherung, daher können die konkurrenzlos billig schürfen. Und als dann die anderen Länder alle dichtgemacht hatten, haben die Chinesen angesagt, dass sie ihre seltenen Erden eigentlich selber brauchen und nur noch einen kleinen Teil davon exportieren wollen.
Public-Private-Schnüffelpartnership!
Wenn ihr schon dabei seid, dann gründet doch am besten auch ein Institut zum Verhindern der Klimakatastrophe und eines für Frieden im Nahen Osten!
Das eigentlich überraschende an der Meldung ist aber, dass das den Freistaat Bayern nur 20 Millionen gekostet hat. Was ist denn da los? Haben die üblichen Freunde der Fraunhofer-Gesellschaft aus der Rüstungsbranche gerade Spendierhosen an? Weihnachtstimmung?
Update: Dieser ganze Artikel ist unterhaltungssteuerpflichtig. Mit so Highlights wie:
Der Präsident der TU München Professor Thomas Hofmann betonte zwar einerseits eine Spitzenposition Münchens im KI-Bereich, beklagte aber zugleich die Personalsituation: "Es ist erschreckend, festzustellen, dass die Pipeline leer ist. Es gibt kaum renommierte internationale KI-Forscher, die bereit sind, nach Deutschland zu gehen".
Die Spitzenposition in München wird dann von einer KI gehalten oder wie, wenn es kein Personal gibt?
Das Fraunhofer IKS soll eine Schlüsselrolle im Kompetenznetzwerk "Künstliche maschinelle Intelligenz" der Bayerischen Staatsregierung einnehmen.
Ich laufe mal an der Vorlage mit dem Kompetenznetzwerk vorbei und schlage vor, dass sie erstmal bei natürlicher Intelligenz für die Bayerische Staatsregierung anfangen sollten.
Und wo wir schon bei Ratschlägen sind: Behaltet eure Verkehrsminister bitte bei euch. Anderswo sind die Straßen in schlechterem Zustand und brauchen einen Verkehrsminister, der sich um Instantsetzung kümmert.
Besonders ermutigend auch dieses Statement:
"Cybersecurity ist ein Teamsport", erklärte Klaus Lenssen, Chief Security Officer bei Cisco. "Sicherheit ist ein Prozess und kein Zustand."Bei euch vielleicht nicht. Anderswo ist Sicherheit auch schon ein Zustand.
Die alte Theorie ist, dass der Chef sich absichtlich mit Luschen umgibt, damit seine eigene Leistung im Vergleich besser aussieht, und damit er argumentieren kann, seine Leute schafften es nicht und brauchen Verstärkung, und mehr Mitarbeiter bedeutet mehr Führungskraft für ihn, denn die Macht eines Manager berechnet sich aus der Anzahl der Mitarbeiter.
Es gibt jetzt auch eine neue Erklärung.
HR setzt Astrologie-Software ein und keiner der guten Kandidaten kommt durch.
Warum würden die guten Kandidaten nicht durchkommen? Weil so Persönlichkeitstests ein anderes Skillset als der Job sind, und wer gut für den Job wäre, der hat wahrscheinlich keine Zeit mit dem Trainieren für Persönlichkeitstest-Voodoo verbracht. Und wenn die Bewerber eine Pareto-Distribution einnehmen, dann ist es astronomisch unwahrscheinlich, dass bei einer nicht auf die Fittesten zielende Auswahl die Fittesten zufällig durchkommen.
Update: Hier nennt jemand Namen solcher Firmen. Deren Selling Point ist, dass sie "anti-diskriminieren-compliant" sind, d.h. dass man mit ihrem Einsatz Klagen der unterlegenen Bewerber vermeidet, weil "der Algorithmus" ja nicht diskriminieren könne. Dazu gehört schon eine Menge Chuzpe, so eine Behauptung aufzustellen, nachdem diverse Forscherteams "Algorithmen" Rassismus nachgewiesen haben.
Heilpraktiker unterstehen deshalb der Aufsicht des Innenministeriums und nicht der des Gesundheitsministerium, weil damit deutlich gemacht wird, daß es sich nicht um Gesundheitspflege, sondern um Gefahrenabwehr handelt. Die abzuwehrende Gefahr ist der Heilpraktiker, nicht die Krankheit! Das war übrigens, anders als Deine anderen Quellen behaupten, auch von den Nazis schon beabsichtigt. Dementsprechend wird in der Heilprakterprüfung auch nicht irgendeine Heilkompetenz überprüft, sondern nur, ob der/die Geprüfte weiß, wann es Zeit für einen Arzt ist.Ich wollte mich gerade darüber lustig machen, dass man mit der Argumentation ja auch die Nazis und Terroristen dem Innenministerium unterstellen müsste, aber das Lachen ist mir im Halse steckengeblieben.Dementsprechend gehört die Homöopathie konsequent in die Hände des Heilpraktikers und nicht des Arztes. Allerdings ist wissenschaftlich hinreichend nachgewiesen, daß auch Hokuspokus aller Art (und das ist Homöopathie) die Gesundwerdung fördern kann (siehe Placebo-Effekt), weil Menschen aus (manipulierbarer) Psyche und Körper bestehen und beides nicht voneinander getrennt werden kann. Insofern hat auch Hokuspokus aller Art eine gewisse Daseinsberechtigung, solange es dem Patienten nicht schadet (Gefahrenabwehr!).
In welcher Höhe Hokuspokus aller Art von den Kassen vergütet werden sollte, ist eine ganz andere Frage.
Update: Der Leserbriefschreiber schickt noch ein paar Links hinterher: LTO zur Geschichte, Abs 1 Buchstabe i beinhaltet die Gefahrenabwehr, stellvertretend für andere Bundesländer Ziffer 4.2 der Regelung aus Bayern schreibt auch recht deutlich, dass es nicht darum geht, dass der Heilpraktiker irgendjemandem hilft, sondern nur darum, dass er keinen Schaden anrichtet.
Aber jetzt gehen wir mal ein bisschen tiefer.
EU-Agrarsubventionen werden nach Land bezahlt. Mehr Land — mehr Subventionen.
So und jetzt denken wir mal über den Ostblock nach. Da gehörte das Land ja nicht dem Bauern, sondern das war eine Kolchose. Viel Land gehörte dem Staat.
Wer hatte da die Befugnis, das Land zu verkaufen? Die Regierung.
Jetzt werdet ihr euch wahrscheinlich denken, hey, das wird bestimmt zu einer immensen Korruption und Vetternwirtschaft beim EU-Beitritt der Ostblockländer geführt haben!
Die New York Times hat mal recherchiert. Ihr habt völlig Recht, genau so war es. Sie exerzieren das mal am Beispiel von Viktor Orban durch, aber es betrifft auch die anderen Länder.
A company formed by the Czech prime minister, Andrej Babis, collected at least $42 million in subsidies last year.
Na SO ein Zufall! Ausgerechnet die Leute, die den Bürgern erzählen, die Ausländer nähmen ihnen das Geld weg, sind selbst die eigentlichen und größten Räuber. Wie ... poetisch!
Heise lädt nämlich mit 1 Sekunde Verzögerung, wenn man Adblocker hat. Ich bin ja bei sowas gutwillig und nehme immer erstmal Inkompetenz an. Im Zweifel für den Angeklagten. Aber es stellt sich raus: Das ist nicht Inkompetenz, das ist Bösartigkeit. Das wird von einem Stück Javascript auf deren Webseite künstlich herbeigeführt, den sie über eine dieser windigen Onlinewerbungs-Startups reingelutscht haben. Das Forumsposting erklärt auch, wie man dieses Skript in Firefox wegblockt.
In der IT-Security habe ich schon länger das Problem, dass ich andere Teilnehmer immer nur noch als potentielle Angreifer betrachte und niemandem per Default Vertrauen entgegenbringe. Das ist einfach das Modell in der Security. Ich fand immer, dass das schlecht fürs Gemüt ist, denn die meisten Menschen sind ja nicht böse. Zumindest nicht aktiv.
Aber so langsam zeigt sich ja nach und nach, dass das völlig richtig ist. Jede einzelne Webseite da draußen will dich ans Messer liefern. Heise hat sich ja schon durch Outbrain-Einblendungen ins Abseits katapultiert, wo dann lauter so Scammer inserieren, die dir Bitcoin-Investments und Silbermünzen mit total voll hohem Wiederverkaufswert andrehen wollen. Oder ein Malware, äh, Treiberpaket zum Download anbieten.
Vielleicht bin ich einfach nur ein schlechter Kapitalist, aber da würde ich lieber die Hälfte meiner Mitarbeiter feuern, als mir so den Ruf zu ruinieren. Absolut undiskutabel.
Oh und wo wir gerade bei Scams waren: Es ist ja inzwischen offenbar absolut üblich, sich seine Entwicklung durch Kickstarter finanzieren zu lassen, und dann aber auch nochmal Kohle für das von wohltätigen Spendern finanzierte Ergebnis sehen zu wollen. Hab ich da irgendein Memo nicht gekriegt?
Die Webseite des zum BSI gehörenden Cert-Bund war verwundbar für sogenannte Cross-Site-Request-Forgery-Angriffe. Damit wäre ein Zugriff auf die nichtöffentlichen Sicherheitswarnungen des Cert möglich gewesen.
Kann ich mal bitte nen Knopf haben, der Webseiten verbietet, den Copy&Paste-Buffer zu manipulieren?
Oder noch besser: Findet mal heraus, wer das initial bei euch eingebaut hat, und hängt denjenigen an den Schamhaaren auf.
Gleich mal nen CVE beantragen. Stellt euch vor, jemand pasted das in eine Shell und die Webseite hat da nen Befehl mit Newline eingebaut.
Update: Leser weisen auf zwei about:config-Settings hin, einmal dom.event.clipboardevents.enabled und einmal dom.allow_cut_copy. Ich finde das irrelevant, ob und wie man das abschalten kann. Das ist eine Bedrohung und darf gar nicht erst an sein.
Update: Ein Leser weist zu Recht darauf hin, dass Copy und Paste vom Browser zum Terminal grundsätzlich problematisch ist.
Ein Leser hat mal bei Sophos geguckt. Ergebnis:
Der Zugriff wurde aufgrund der Erkennung des Threats Mal/HTMLGen-A auf der Website verweigert.Und wenn man da auf mehr Details klickt, landet man hier.
Na gucken wir doch mal.
Kategorie: Viren und SpywareErste Zeile, erste Lüge. Starker Start, Sophos!
Typ: Malicious behavior.Zweite Zeile, zweite Lüge! Holla! Boris Johnson ist bestimmt stolz!
EigenschaftenÄh, nein? Tut es nicht!
Lädt Code aus dem Internet herunter.
VerbreitungsmethodeDas verbreitet sich überhaupt nicht.
- Browsing
Die offensichtliche Lösung wäre gewesen, für Fälle wie 42.zip (das da wie gesagt seit 19 Jahren unverändert liegt!) eine Whitelist anzulegen, in der unbedenkliche Fehldiagnosen landen.
Aber wieso würde eine Schlangenölfirma die Gelegenheit auslassen, "versehentlich" einen ihrer lautesten Kritiker zu schädigen?
Ja, meine lieben Leser, das ist genau die Absicht dahinter.
Das sind Vernebelungsbegriffe, damit die vor eurer Nase "öffentlich" debattieren können, wie sie euch verarschen, ohne dass ihr es merkt.
Mit Zahlungsauslösedienst ist die Sofortüberweisung gemeint. Deren Geschäftsmodell ist ja, dass sie für euch die schlechtest-mögliche Bezahlform (nämlich Vorkasse) schlechtestmöglich umsetzen (nämlich so, dass ihr denen eure PIN und TANs gebt, und die sich damit in eurem Onlinebanking einloggen und in eurem Namen Geld überweisen). Schlechtestmöglich ist das deshalb, weil a) jemand anderes als ihr von eurem Konto Geld überweisen kann und b) ihr die Zahlung nicht wie bei Kreditkarte und Lastschrift zurückrufen könnt. Die Banken haben daher selbstverständlich ausgeschlossen, dass ihre Kunden ihre Zugangsdaten weitergeben. Und wie so häufig, wenn Kunden im Großmaßstab abgezockt werden, kommt sofort die Politik und macht es schlimmer.
Mit Kontoinformationsdienst ist die Schufa gemeint. Die kennt ihr ja hoffentlich.
Mal wieder Spannendes(?) aus meiner niederländischen Heimat: das niederländische Aufsichtsamt macht amtlich, dass der Telekomsektor den Glasfaserausbau absichtlich verbockt.Da die Tricks in die Niederlande genau die gleichen sind wie in Deutschland, denke ich, dass die Ergebnisse sich gut übertragen lassen auf die deutsche Situation.
Die "Autoriteit Consument en Markt" (ACM, Aufsichtsamt) veröffentlicht heute einen Report ("Marktstudie"), der das alles mal haarfein auseinander nimmt.
Alle fiesen Tricks, die so angewendet werden, werden aufgelistet. KPN bekommt den Hauptteil der Aufmerksamkeit, aber auch T-Mobile und VodafoneZiggo werden namentlich erwähnt.
Sie stellen leider (aber nicht überraschend) fest das die aktuelle Regeln das alles erlauben, und sogar fördern.
Alles bereits ein alter Hut natürlich, aber im Abschluss wird das im interessanten Kontext platziert:
Wegen der neue EU-Regeln (European Electronic Communications Code, EECC) muss das niederländische Telecomgesetz eh überarbeitet werden…
Die ACM sieht Möglichkeiten ein paar Lücken zu schließen (Stichwort "Co-invest").
Außerdem bekommen die Gemeinden noch ein paar Tips wie sie, trotz Maulkorb der aktuelle Regeln, "first mover" schützen können, damit die fiese Tricks nicht ständig die schöne Initiativen in ihren Stadt kaputt machen.
ACM schließt ab mit den Mitteilung das sie ab jetzt den Markt "nauwlettend" ("akribisch") im Auge behalten werden.
Ich werte das mal als Warnschuss: "Liebe Telekomgiganten: Euer asoziales Verhalten ist aufgefallen, dokumentiert, und so langsam ist Schluss mit lustig."
Quelle: Presse-Erklärung, Studie.
Update: Die Pressemitteilung gibt es auch auf Englisch. (Danke, Jules)
Ist euch aufgefallen, wie lahm das ist? Nicht? Dann habt ihr fettes Internet.
Denn leichtgewichtig ist die Site nicht :-)
Update: Siehe auch dieses Video oder in Textform.
Das BSI war da bisher eher zurückhaltend und hat lieber gearbeitet als Terrorpanikmache herumzuschwadronieren, scheint sich aber jetzt unter dem Cyberclown auf BKA-Linie einzuschwingen von der Strategie her.
So erkennen sie Emotet (!) zum "König der Schadsoftware", die "auch in Deutschland besonders aktiv" sei (berufen sich dafür auch noch auf Kaspersky, die Könige der Cyberterrorpanikmache!). Auch Ransomware wird immer mehr und wird uns alle umbringen. Die Lage ist so schlimm, dass
In den Regierungsnetzen würden 61 Prozent der Cyber-Attacken "nur durch Eigenentwicklungen" der Behörde abgewehrt.Ja nee, klar. Ob sie damit sowas hier meinen?
Oh ach ja, unsere Identitäten werden uns auch in nie dagewesenem Umfang gestohlen, und das BSI bringt die Wortschöpfung der "digitalen Hilflosigkeit aufseiten der Anwender" in den Umlauf.
Ich sehe mich da ja eher als Teil der Aufklärung als der Vernebelung und propagiere daher eher den Begriff der selbstverschuldeten Unmündigkeit aufseiten der Anwender.
Nichts davon ist gottgegeben.
Aber wenn ihr alle Windows mit Outlook und Active Directory einsetzt, dann kriegt ihr halt auch alle die typischen Probleme von Windows mit Outlook und Active Directory. Da ist nichts magisch oder überraschend dran.
Wenn ich das BSI wäre, würde ich ja mal die eine Statistik anfertigen, die hier wirklich inhaltlich weiterhilft:
Oh ach, gucke mal, wie überraschend!!1! Also DAMIT konnte ja wohl NIEMAND rechnen! Aber lasst uns mal lieber darüber reden, wie fies, böse und gemein Emotet ist, und nicht darüber, wie fundamental wir unsere Arbeitsplatz nicht gegen Steinschlag abgesichert haben.
So und jetzt überlegt euch mal: Wenn diese Site es nicht schafft, ihre Daten zu sichern. Wieso sollten wir dann unseren Behörden glauben, dass sie ihre Datenbanken absichern? Bei der Site arbeiten ja offensichtlich Leute, die verstehen, wie Daten geklaut werden, weil sie es selber tun. Und bei denen hängt im Gegensatz zu unseren Behörden die Existenz ihres Lebensunterhalts davon ab, dass nichts geklaut wird.
Und NICHT MAL DIE können das.
Daher habe ich die Situation immer zusammengefasst als: Wir wissen nicht, wie man Daten sicher ablegt.
Und meinte damit nicht pluralis majestatis sondern wir als Gesellschaft. Wir gehen hier gerade mit Daten um wie Marie Curie mit Uran umgegangen ist. Der Unterschied ist, dass wir es besser wissen müssten.
Ja und nein. Auf der einen Seite ist das kein reiner Schlangenöl-Placebo. An der Spec haben sich Experten aus mehreren Fachgebieten die Hände wund-masturbiert. Da ist einmal alles drin. Von Challenge-Response über Public-Key bis hin zu USB und NFC. Die Spec erwähnt als Inspiration auch Smartcards, damit wirklich jeder an Bord ist.
Das hat technisch schon Hand und Fuß, was die da machen. Ich rede trotzdem von Masturbation, weil dem ein paar Annahmen zugrundeliegen, über die man, zurückhaltend formuliert, nochmal diskutieren sollte.
FIDO2 kombiniert zwei Trends, die wir gerade gehäuft sehen in der IT-Security. Erstens: Unsere Software ist so unfassbar komplex geworden, dass wir Security nicht mehr herbeiführen können, daher bauen wir jetzt einen kleinen Mini-Rechner, und der ist dann so klein, dass man ihm noch vertrauen kann. Das Muster kennt ihr wahrscheinlich aus dem Supermarkt oder von Banken, die euch dann da so ein kleines Mini-Terminal für Kartenzahlung hinhalten. Da ist auch der Gedanke, dass das klein und verplombt ist und man dem daher vertrauen kann, weil die Bank oder der Supermarkt daran gar nicht mehr herumpfriemeln könnte, selbst wenn sie wollten.
Der zweite Trend ist, dass wir von sich gegenseitig vertrauenden Komponenten und der Unterscheidung "Internet vs. Intranet" zusehends wegkommen und stattdessen überall Krypto ausrollen. Selbst innerhalb von Chips haben wir inzwischen Krypto, und innerhalb von Modulen einer Software. Selbst so ein SOC, wie er in Mobiltelefonen verbaut wird, besteht inzwischen aus sich gegenseitig nicht mehr vertrauenden Modulen, die Krypto einsetzen.
Welche Annahmen meine ich jetzt, über die man nochmal reden sollte? Na die erste ist offensichtlich, dass diese Hardware "tamper proof" ist. Einer meiner Lieblingssprüche zu tamper-proof hardware ist von Peter Gutmann, der sagte: It is said that the only tamper-proof hardware is Voyager 2. Und zwar nicht, weil die Hardware sicher ist, sondern weil man da so schlecht rankommt, weil das Ding so weit weg ist. Die Annahme, dass man so einen Stick überhaupt tamper-proof machen kann, würde ich schonmal direkt bestreiten wollen. Klar, billig ist so ein Angriff auf so eine Hardware dann nicht. Aber wer weiß, wie viel wert die Geheimnisse sind, die ihr mit so einem Gerät absichern wolltet?
Die andere, wichtigere Annahme ist, dass es mit 2FA nicht so schlimm ist, wenn der Rechner oder der Browser gehackt wird. Und das stimmt halt auch nur partiell.
Ohne 2FA ist es so, dass ein Eindringling alle eure gespeicherten Passwörter direkt auslesen und ausleiten kann. Das ist im Normalfall ein Totalschaden.
Mit 2FA ist es so, dass die Passwörter nicht reichen, weil man den 2. Faktor braucht. Allerdings kann ein Angreifer im Browser ja einfach warten, bis ich mich das nächste Mal mit 2FA anmelde, und dann mit meiner angemeldeten Session Unfug machen. Das ist von der Auswirkung her fast genau so schlimm.
Dann gibt es da auch wieder eine Convenience-Abwägung. Nimmt man ein Token, was man bloß einstecken muss? Oder eines, wo man zusätzlich einen Knopf drücken muss? Oder eines, wo man den Fingerabdruck geben muss, damit der freischaltet? Die meisten Leute werden fürchte ich ein Token nehmen, das man einfach einsteckt und dann stecken lassen kann, und dann hat man halt nicht viel gewonnen in dem Szenario, dass ein Hacker den Browser übernimmt.
Und so ist es wie so häufig in der Security. Ist eigentlich keine doofe Idee, aber bringt eben auch nicht so viel, wie einem das Marketing aufzuschwatzen versuchen wird.
Ich persönlich verkünde ja seit ein paar Jahren, dass Komplexität der Feind ist. Unter der Metrik sieht so ein Token recht komplex aus. Zwischen PC und dem Token gibt es ein Binärprotokoll, über das man möglicherweise die Software auf dem Token angreifen kann. Weiß ich nicht, ob das eine reelle Bedrohung ist, aber die Angriffsoberfläche gibt es jedenfalls schonmal, und vorher gab es die nicht. Mir persönlich stößt es sauer auf, dass die erstmal NOCH ein neues Binär-Serialisierungs-Verfahren "erfunden" haben dafür. Dabei kommt dieser Scheiß von Google, und die haben uns vorher schon völlig ohne Not ihre Protocol Buffers reingedrückt. Der Typ von Protocol Buffers ist inzwischen nicht mehr bei Google. Was hat er als erstes getan? Ihr werdet es geraten haben: Ein neues Binär-Serialisierungs-Verfahren gemacht ("Cap'n Proto").
Das sind die Leute, die uns vorher gesagt haben, ASN.1 sei gefährlich und wir sollen unsere Krypto lieber als JSON in Base64 machen (googelt man JWT, wenn euch das neu ist).
Also, zusammengefasst. Ist das Schuldabwälzung? Ja. Ganz klar. Wenn euer Account jetzt gehackt wird, dann habt ihr euer Token verbummelt und es ist eure Schuld.
Ist es nur Schuldabwälzung? Ich glaube nicht. Aber ob euch das tatsächlich was nützt, hängt davon ab, ob es wahrscheinlicher ist, dass ihr (im Vorher-Szenario) den Laptop verliert, oder (im Nachher-Szenario) das Token. Dass die Krypto von den Tokens ranzig ist, da müsst ihr euch glaube ich wenig Sorgen machen. Es kommt so gut wie nie vor, dass Krypto-Krams über die Krypto angegriffen wird. Ich würde mir eher Sorgen machen, dass mir ein Taschendieb das Token klaut, und weil das nichts wiegt, merke ich es nicht sofort. Und dann ist da am besten auf dem Fingerabdrucksensor noch ein rekonstruierbarer Fingerabdruck von mir drauf.
Im Übrigen: Wenn ihr euch für FIDO2 entscheidet, dann gilt natürlich dasselbe wie auch für andere Security-Produkte. Kann ich dem Hersteller trauen? Ist das Open Source? Kann ich das zur Not selbst patchen, wenn der Hersteller stirbt oder sich weigert? Wie sind die Recovery-Pfade, falls das Token verlorengeht? Fange ich mir damit eine Beweislastumkehr ein?
Update: Dies ist vielleicht die richtige Gelegenheit für den Hinweis, dass es auch außerhalb von 2FA Wege gibt, die Arbeitsumgebung sicherer zu machen. Es hat sich z.B. eingebürgert, sich bei Webseiten einzuloggen, und dann einfach eingeloggt zu bleiben. Während ihr bei einer Site eingeloggt seid, kann auch eine andere, böse Webseite auf allen anderen Webseiten, auf denen ihr noch eingeloggt seid, Daten abgreifen und eventuell sogar Transaktionen auslösen. Das ist ein häufiger Bug in Webseiten, gegen den es seit einer Weile ordentliche Browser-Gegenwehr gibt, die über "wir passen halt überall auf" hinausgeht. Aber das ist ein Risiko, das man sich gar nicht erst ans Bein binden muss. Ich jedenfalls halte mich auf Webseiten wenn möglich unangemeldet auf und logge mich nur kurz ein, wenn ich einen Kommentar abgeben will oder so. Und dann ist da noch die Frage, was man mit den Passwörtern macht. Hier gibt es ein weites Spektrum an Ratschlägen. Ein Master-Passwort im Browser vergeben hilft, falls einem der ausgeschaltete Rechner wegkommt. Hilft nicht, wenn man sich einen Trojaner einfängt oder einen Angreifer im Browser hat oder wenn der Rechner nur im Sleep-Modus war und nicht ganz ausgeschaltet, und da am Besten noch ein Browser offen war. Und für "der ausgeschaltete Laptop wird geklaut" habt ihr hoffentlich eh schon Full Disk Encryption aktiviert.
Meine Einschätzung ist im Moment, dass die Browser die Achillesferse der IT sind, und man immer sofort alle Security-Updates einspielen muss. Ich bin sogar soweit gegangen, meine Browser vom Beta-Channel zu beziehen, damit ich nicht nur einmal im Monat Bugfixes kriege.
Dass man nicht überall dasselbe Passwort nehmen soll, hat sich glaube ich schon herumgesprochen. Ich halte es so, dass ich Passwörter von einer Software zufällig generieren lasse. Dann weiß ich, dass die Passwörter ausreichend Entropie haben. Nachteil: Die Passwörter merkt man sich dann nicht mehr. Dafür gibt es Passwortmanager, oder man verlässt sich auf den Browser. Allerdings: Wer den Browser übernehmen kann, kommt auch an eure Passwörter, solange es da einen Automatismus gibt und ihr die nicht immer manuell rüberkopiert.
Im Prinzip ist das mit der Versionierung richtig, nur, äh, git hat diese Möglichkeit, die komplette History zu überschreiben. Auch beim Pushen auf den Server.Tja. git ist leider auch ein Opfer seiner eigenen Überkomplexität geworden. Dabei fing das mal schön einfach und überschaubar an vor vielen Jahren.Also, wenn du möchtest, kann ich dir gerne einen PoC für einen git- Verschlüsselungstrojaner schreiben, der wirklich die ganze History mit verschlüsselt, und die so verschlüsselten Daten auf die zugehörigen Remote- Repositories pusht. Das ist überhaupt kein Thema. Aber man braucht dazu IMHO keinen PoC:
https://stackoverflow.com/questions/10054611/how-to-push-new-rewritten-history-to-remote-repository
Es reicht einfach ein git push --force, und fertig. Kann der Entwickler absichern, in dem er an der Stelle eine Passwort-Eingabe erzwingt, macht aber niemand (Komfort!!!).
Die eigentliche Verschlüsselung würde ich wohl auf git fast-export und git fast-import basieren. Das ist ausgesprochen trivial, einfach die data <bytes> Statements rausfischen, und durch entsprechend verschlüsselte Daten ersetzen. Ich würde für einen PoC maximal ein paar Stunden ansetzen, inklusive Test-Zerstörung und Rekonstruktion eines auf github gehosteten größeren Repositories. Hauptschwierigkeit: Im Dschungel der git-Befehle die richtigen finden, damit nicht versehentlich irgendwas lesbares übrigbleibt.
Update: WOW jetzt kommen hier lauter Leserbriefe rein, dass man das ja wegkonfigurieren kann, und das würde eh alle größeren Projekte machen, bestimmt jedenfalls nachdem sie einmal auf die Fresse geflogen sind damit. Heilige Scheiße, Leute, diese Denke gibt es noch? Ich dachte das hätten wir zivilisatorisch überwunden!
Vergleiche: Die Firma war selber Schuld, die haben ihre Mail-Attachments geöffnet!!1!
Vergleiche: Die hätte halt einen längeren Rock anziehen müssen.
Alle, die mir diesen Leserbrief geschrieben haben: Ihr solltet euch was schämen!
Nicht nur Du bist von dem Urteil überrascht. Ich unterrichte an der Uni u.a. im Sommersemester ein, zwei Einheiten meiner Lehrveranstaltung zur Meinungsfreiheit. Und ich war überrascht. Bisher war jeder, mit dem ich darüber gesprochen habe, ziemlich überrascht. Dieses Urteil verstehen wohl nur die, die es geschrieben haben (wenn überhaupt).Aber von vorne:
In den 80ern hatten die Grünen z.T. sehr problematische Einstellungen zum Thema Pädophilie. So hat der Landesverband NRW wohl einen Beschluss gefasst, die Strafbarkeit von sexuellen Handlungen an Kindern aufheben zu wollen "wenn keine Gewalt im Spiel ist". Der damaligen Abgeordneten im Berliner Abgeordnetenhaus wurde das wohl in einer Rede eines CDU-Abgeordneten zum Vorwurf gemacht – natürlich pauschal, ohne die Einschränkung hinsichtlich der vermeintlichen(!) Gewaltfreiheit. Das hat die Berliner Abgeordnete durch den Einwurf "Komma, wenn keine Gewalt im Spiel ist" korrigiert.Zwischenbemerkung: Das ist eine ziemlich dumme Aussage, da man sie dahingehend verstehen kann, dass man mit Kindern tatsächlich gewaltlosen Sex haben kann. Ich bin der Auffassung, dass die Vornahme sexueller Handlungen an Kindern immer ein Akt der Gewalt ist, wenn nicht physisch, dann auf jeden Fall psychisch. Darum geht es aber im Urteil gar nicht.
Der obige Vorfall ist, wie gesagt, aus den 80ern. Im Jahr 2015 kochte er nochmal hoch, weil die Grünen da ihre zweifelhafte Vergangenheit mit dieser Thematik aufgearbeitet haben. In dem Zusammenhang kommentierte u.a. die Welt in einem Artikel, dieser Einwurf höre sich so an, als sei Sex mit Kindern okay, wenn keine Gewalt im Spiel ist.
Das wiederum hat die Facebook-Seite / der Blog "Halle Leaks" (dem Vernehmen nach wohl von einem Ex-Blood and Honor Nazi betrieben) aufgegriffen und der Politikerin die Aussage "Komma, wenn keine Gewalt im Spiel ist, ist Sex mit Kindern doch ganz okay. Ist mal gut jetzt" in den Mund gelegt.
Darauf hin hat der Mob auf Facebook das gemacht, was der Mob auf Facebook halt so macht. Unter anderem die Politikerin als "Stück Scheisse", "Krank im Kopf", "altes grünes Drecksschwein", "Geisteskrank", "kranke Frau", "Schlampe", "Gehirn Amputiert", "Drecks Fotze", "Sondermüll", "Alte perverse Dreckssau" oder "Paädophilen-Trulla" bezeichnet. Jemand schrieb "Knatter sie doch mal einer so richtig durch, bis sie wieder normal wird!". Eine andere Äußerung war: "Wurde diese 'Dame' vielleicht als Kind ein wenig viel gef… und hat dabei etwas von ihrem Verstand eingebüßt…". Wieder eine andere Äußerung war: "Die will auch nochmal Kind sein weil sonst keiner an die Eule ran geht!".
Das Landgericht Berlin fand das alles "zwar teilweise sehr polemisch und überspitzt und zudem sexistisch", aber letztlich um zulässige Meinungsäußerungen und insbesondere nicht für Beleidigungen.
Wie kommt es dazu?
Nun, zunächst hat die Politikerin Facebook verklagt. Die Politikerin wollte nämlich juristisch gegen die Urheber der Posts vorgehen und von Facebook wollte sie deren Identitäten. Dass sie die bekommen kann, steht in § 14 Abs. 3 Telemediengesetz (TMG). Der nimmt Bezug auf "rechtswidrige Inhalte nach § 1 Abs. 3 Netzwerkdurchsetzungsgesetzes (NetzDG). Hier also: Beleidigung.
Mit anderen Worten: Wenn die fraglichen Äußerungen Beleidigungen darstellen, dann muss Facebook die Bestandsdaten der Urheber herausgeben.
Daher hat sich die 27. Kammer des LG Berlin Gedanken darüber gemacht, ob die Äußerungen Beleidigungen sind.
Interessanterweise hat das LG Berlin Beleidigung gar nicht definiert. Das ist auch schwierig, weil die Beleidigung (§ 185 StGB) der meiner Kenntnis nach einzige Straftatbestand ist, der im Gesetz nicht weiter beschrieben wird. Das Gesetz benennt "Die Beleidigung" als Tatbestand, beschreibt aber nicht weiter, wie die Handlung "jemanden beleidigen" aussieht. Mit "meinen" Studierenden im ersten und zweiten Semester bespreche ich das dann u.a. in Bezug auf das verfassungsmäßige Bestimmtheitsgebot…
Das LG Berlin hat anders angefangen und gesagt, dass zulässige Meinungsäußerungen jedenfalls keine Beleidigungen sind. Das ist grundsätzlich richtig, denn wenn eine Meinungsäußerung eine (strafbare) Beleidigung ist, dann ist sie ja folgerichtig auch nicht mehr zulässig.
Jedenfalls grenzt man hinsichtlich Meinungsfreiheit und Beleidigung (verkürzt) etwa wie folgt ab: Zunächst wird zwischen Tatsachenbehauptungen und Meinungen getrennt. Tatsachenbehauptungen sind grundsätzlich beweisbar (Bsp. "Es regnet." Wir können jetzt einen sachverständigen Metereologen fragen, was Regen ist und dann z.B. die Niederschlagsmenge messen oder feststellen, dass keine Wolke am Himmel ist und kein Niederschlag fällt) während Meinungen von "subjektiven Elementen des wertenden Dafürhaltens" (BVerfG, iirc) geprägt sind und grundsätzlich nicht beweisbar sind (Bsp. "Das Wetter ist schön." Schönes Wetter ist subjektiv und nicht beweisbar; der eine mag Regen, der andere Sonne, der nächste Schnee, und der Vierte braucht Trockenheit aber starken Wind usw. usf.). Wenn es eine Tatsachenbehauptung ist, dann kommt eher die üble Nachrede in Frage. Bei einer Meinung eher die Beleidigung. Bei Vermischung von Tatsachenbehauptung und Meinung ist das Gesamte im Zweifel als Meinung zu betrachten, die ist besser geschützt.
Das Gericht hat alles als Meinung betrachtet. Würde ich sogar noch mitgehen.
Die Grenze zwischen scharfer Kritik und Beleidigung wird (da gibt es einige Urteile vom BVerfG dazu, daher auch hier wieder verkürzt) dort gesehen, wo nicht mehr die Sache (dann zulässig) sondern die Person im Vordergrund steht. Mit anderen Worten: je ad hominem desto Beleidigung. Auch scharfe Werturteile zur Person sind zulässig, da gibt es also einen Graubereich, aber als Fausformel darf gelten, dass wenn die Person im Vordergrund steht und die Sache völlig in den Hintergrund tritt, dann liegt eine Beleidigung vor.
Daneben gibt es noch die sogenannten "Formalbeleidigungen". Das sind Ausdrücke und Wendungen, die immer auf die Diffamierung der Person abzielen; regelmäßig Ausdrücke aus der Fäkalsprache. "Arschloch" ist so ein Standardbeispiel der (heutzutage) eher gemäßigten Tonlage.
Das Gericht ist der Auffassung, dass sämtliche Äußerungen, die Gegenstand der Klage waren, noch ausreichend mit der Sachebene verbunden sind, dass sie nicht die Person der Politikerin, sondern die inhaltliche Frage in den Vordergrund stellen. Udo Vetter titelt im Lawblog passend: "Auf der Suche nach dem Sachkern" (Lawblog).
Dann ordnet es insgesamt 22 Äußerungen (die oben habe ich alle aus diesen 22 Punkten zitiert) mit ein paar Sätzen ein. Und schafft damit effektiv den Beleidigungsparagraphen mal eben en passant ab. Jedenfalls, wenn es um Politiker und emotionale Themen geht.
Bonmots aus dem Urteil sind dann so Absätze wie:
"Soweit die Antragstellerin geltend macht, es liege mit "Stück Scheisse" und "Geisteskranke" eine Formalbeleidigung vor, steht dem entgegen, dass wie sich aus dem zweiten Satz ergibt eine Auseinandersetzung in der Sache erfolgte, so dass eine Formalbeleidigung ausscheidet".
"Auch in dem Kommentar 'Schlampe' kann eine von der Äußerung im kommentierten Post losgelöste primär auf eine Diffamierung der Person der Antragstellerin und nicht auf eine Auseinandersetzung in der Sache abzielende Äußerung nicht gesehen werden. Vielmehr ist auch dieser Kommentar ein Beitrag in einer Sachauseinandersetzung."Wenn das stimmt, dann darf ich die Richter auf Grund dieses Urteils als "miese Ärsche" bezeichnen, weil sie ja über diesen Fall so schlecht zu Gericht _gesessen_ haben (*tusch*). Ich glaube da aber eher nicht dran.
Wirklich eklig wird es dann beim Filetstück des Urteils:
"Der Kommentar 'Drecks Fotze' bewegt sich haarscharf an der Grenze des von der Antragstellerin noch hinnehmbaren. Weil das Thema, mit dem sie vor vielen Jahren durch ihren Zwischenruf an die Öffentlichkeit gegangen ist sich ebenfalls im sexuellen Bereich befindet und die damals von ihr durch den Zwischenruf aus der Sicht der Öffentlichkeit zumindest nicht kritisierte Forderung der Entpönalisierung des gewaltfreien Geschlechtsverkehrs mit Kindern erhebliches Empörungspotential in der Gesellschaft hat, ist die Kammer jedoch der Ansicht, dass die Antragstellerin als Politikerin sich auch sehr weit überzogene Kritik gefallen lassen muss. Dass mit der Aussage alleine eine Diffamierung der Antragstellerin beabsichtigt ist, ohne Sachbezug zu der im kommentierten Post wiedergegebenen Äußerung ist nicht feststellbar."Mit anderen Worten: "Drecks Fotze" ist schon okay, wenn es um ein emotional aufgeladenes Thema im Bereich Sexualität dreht. Nein. Einfach nein.
Das Gericht macht es sich mit dem Argument "Die ist Politikerin und muss viel aushalten, außerdem haben die sich ja über etwas aufgeregt und daher hat das einen sachlichen Anknüpfungspunkt" sehr viel zu einfach. Vieles davon ist eindeutig eine
FormalbeleidigungSchmähkritik und meines Erachtens deutlich über die Grenze dessen, was Politiker(innen) sich bieten lassen müssen.Auch eklig sind so Passagen wie:
"Die (…) Äußerung 'Knatter sie doch mal einer so richtig durch, bis sie wieder normal wird!' ist eine sicherlich geschmacklose Kritik, die mit dem Stilmittel der Polemik sachliche Kritik übt. Es geht dem Äußernden erkennbar nicht darum, die Antragstellerin als Person zu diffamieren, sondern an der von ihr getätigten Äußerung Kritik zu üben. Es liegt daher keine Beleidigung nach § 185 StGB vor. Die Antragstellerin wird nicht, wie sie dies meint, zum Gegenstand sexueller Fantasien gemacht."Ja nee, ist klar. Das Gericht erklärt die These, an einem Menschen sollten bis zu dessen Meinungsänderung sexuelle Handlungen vorgenommen werden zu einem sachlichen Debattenbeitrag, der keine sexuellen Vorstellungen in Bezug auf diesen Menschen beinhaltet. Schönen Dank auch. Tolles Menschenbild hat das LG Berlin da.
Noch so eine Passage in die Richtung:
"Die Äußerung 'Die will auch nochmal Kind sein weil sonst keiner an die Eule ran geht!" ist eine mit dem Stilmittel der Ironie ausgedrückte Kritik an der im kommentierten Post wiedergegebenen Äußerung der Antragstellerin. Die Antragstellerin wird entgegen ihrer Meinung in dem Kommentar nicht wirklich zum Objekt sexueller Vorstellungen gemacht. Sicherlich macht sich der Kommentar ein wenig über die Antragstellerin lustig, eine Beleidigung liegt aber nicht vor."Heißt übersetzt: Wenn jemand sich vorstellt, dass a) an die Politikerin keiner "ran geht" und b) die Politikerin aber will, dass jemand an sie "ran geht" und sie daher "auch nochmal Kind sein will", da es ja inhaltlich um Sex mit Kindern geht – dann ist das keine sexuelle Vorstellung mit der Politikerin als Gegenstand. Sondern inhaltliche Kritik mit dem Stilmittel der Ironie. So das LG Berlin.
Du hast irgendwann mal in einem Alternativlos Podcast den Begriff der 'fractal wrongness' benutzt. Dieses Urteil ist das juristische Paradebeispiel dafür. Das ist fraktal falsch. Egal welche Ebene man sich anguckt, man findet immer irgendwas, was völlig daneben ist.
(Einschub: Es gibt da tatsächlich einige Äußerungen, die ich noch für zulässig halte. Beispiel: Die Äußerung "Ich könnte bei solchen Aussagen diese Personen die Fresse polieren" ist (abgesehen vom Akkusativ/Dativ-Fehler) "okay", d.h. nicht nett aber rechtlich zulässig.)
Das Sahnehäubchen ist aber:
Das Gericht ist der Auffassung, dass die Politikerin sich das falsche Zitat (der Halle Leaks Blog, wir erinnern uns dunkel) voll als das eigene zurechnen lassen muss. Denn: Man könnte das Zitat ja in dieser Weise verstehen und sie hat dieser Interpretation nicht widersprochen.Mit anderen Worten: Nicht die Meute ist schuld, nicht der Hetzer, der der Meute den vergifteten Brocken hingeworfen hat – sondern die Politikerin ist selbst schuld.
Das ist Victim Blaming vom Feinsten. Und natürlich ein Freibrief für all diejenigen, die "den gerechten Volkszorn" entfachen wollen.
Insofern: Dieses Urteil kann man mit Recht sehr ausführlich kritisieren. Ich hoffe sehr, dass es nicht hält. Denn sonst weiß ich echt nicht, wo bei Beleidigungen noch die Grenzen gezogen werden sollen, wenn das noch innerhalb des Erträglichen ist.
Nachlesen kann man das Urteil im Volltext übrigens bei den Anwälten der Politikerin.
Update: Der Einsender korrigierte nochmal ein formales Randdetail :-)
Ich baue da ja absichtlich keinen Watchdog mit Autorestart ein, damit es einen Leidensdruck gibt, das Problem mal zu debuggen und zu fixen.
du musst jetzt tapfer sein. Updates im Netzwerkbereich werden gemacht wenn die Hardware getauscht wird. Oder wenn einen funktionalen Bug gibt der die Arbeit stört. Also meistens zumindest. Ausnahmen bestätigen die Regel.Der Kollege hat inhaltlich natürlich völlig Recht. Genau so sieht das in der Industrie aus. Aber ich habe mir noch nie einen schönen Rant voller gerechtem Zorn von Fakten oder der Realität kaputtmachen lassen!1!!Beispiele:
- Vor vielen Jahren hab ich in einem Projekt man ein Tool zum Config Backup (rancid) aufgesetzt und mit einem Tool zum Config Audit (nipper, war damals noch OpenSource) verheiratet.. Dazu noch ein wenig Shell und es gab eine mehr oder weniger schöne Webseite mit einem Report. Das ganze für einen Laden eine hohe zweistellige Anzahl von Cisco "Firewalls" speziell für site-2-site VPNs im Einsatz hatte. Musste ich wieder abstellen weil zu viel Rot. Und Updates wären zu viel Arbeit. Gut, wahrscheinlich waren viele der Verwundbarkeiten überhaupt nicht relevant für den Einsatzzweck, aber für die Security eines Outsourcing Ladens ist das schon eine komische Einstellung.
Der Laden nahm ITIL sehr ernst und als es ein Ticket zu "die CheckPoint braucht mal dringend Updates und vor allem mehr RAM" für die interne Firewall gab wurde das wegen eines zu hohen Risikos abgelehnt. Ein paar Tage später ist sie dann ausgefallen und es konnte gar nicht schnell genug gehen bis sie wieder ging.
- Vor etwas weniger Jahren hab ich mich mal um das Netz eines Kunden gekümmert. Inkl. BGP zur Außenwelt. Einer der großen Hersteller (IIRC Juniper) hatte einen Bug in der BGP Implementierung. $Carrier schickte eine Mail das sie ganz dringend Updates machen. Das Update erforderte einen Reboot. Nur: Die BGP Session stand noch 2 Wochen danach. Dann gab es Tagsüber einen kurzen Schluckauf. Wahrscheinlich hat irgendwer im Internet mal die passenden Pakete an den Router geschickt und das Teil hat rebootet. Da das nicht noch mal passiert ist, gehe ich davon aus, dass mit dem Reboot auch die neue Softwareversion hoch kam.
- Vor noch weniger Jahren hab ich für einen anderen Kunden Netzkram gemacht. Da lieft mir in irgendeinem IRC Channel ein Hinweis zu einem Cisco Bug über den Weg. Betraf alle der Hauptswitche im Office. Habs abgestellt, den Kollegen von der Security und den Netzwerkern am anderen Standort den Link geschickt. Die Security fand das cool das einer mitdenkt und hat sich bedankt. Von den Kollegen am anderen Standort gab es 2 Wochen später eine Reaktion. Da haben sie von dem Problem bei Heise gelesen und musst mich ganz dringend auf den Bug hinweisen.
- Und dann war da noch der Laden mit dem Cisco WLAN Controller der das WLAN absichern sollte. Also eigentlich eine Kiste zum Management von Accesspoints. Sowas will man in einer großen Umgebung haben und die Dinger funktionieren im Normalfall sogar. Der Fall war nicht normal, weil die viele tausende Euro Appliance hing einfach so im Rack. Ohne Netzwerkkabel und vor allem ohne Strom.
- Cisco hatte da mal eine ganze tolle Management Software. Da konnte man dann u.A. zu allen IOS Versionen im Netz die passenden Bugs raus suchen. Mir hat das Teil beim Kunden immer was davon erzählt, dass es keine Bugs gibt. Bis ich dann mal mit tcpdump / Wireshark geschaut habe. Das Tool rief eine Webseite von Cisco auf (http!) und bekam einen 404 zurück.
Ich glaube übrigens nicht, dass die Software bei anderen Herstellen besser ist. Von den anderen hört man nur weniger. IIRC hab ich auch noch nie einen anderen Hersteller gesehen der selbst Bugs auf Security Mailinglisten veröffentlicht.
Übersetzt heißt dies, dass der Verfassungsschutz künftig auch journalistische Redaktionen mit Staatstrojanern ausspähen dürfen soll. Man kann dies aber nicht lesen, ohne dass der gesamte Schreibtisch übersät ist mit aufgeschlagenen weiteren Gesetzen.Absichtlich, versteht sich. Wenn die Bürger die Gesetzesentwürfe nicht verstehen, dann protestieren sie auch nicht. Also lässt Seehofer verklausulieren.
Ich wünsch dem ja, dass er über irgendein verklausuliertes Bullshit-Ermächtigungsgesetz seiner Vorgänger oder Nachfolger stürzt und dann jahrelang in den Knast muss. Ja wie, Herr Seehofer, haben Sie etwa die Gesetze nicht verstanden?!
Wie wäre es mit einer obskuren Steuervorschrift?
Laut Forbes hat VISA derzeit nicht die Absicht, die dem Hack zugrundeliegenden Schwachstellen zu beseitigen.Das, meine Damen und Herren, ist das Maximal-Szenario für verkackende Hersteller. Jemand demonstriert eine Sicherheitslücke, die sich nicht leugnen lässt, und der Hersteller weigert sich dann trotzdem, sie zu schließen. Schlimmer geht es nicht.
Dafür sollte Visa maximal auf die Fresse kriegen. Es gibt keine Ausreden oder Entschuldigungen für dieses Verhalten.
Wer sich fragt, wie realistisch MITM-Angriffe auf Zahlsysteme sind: Skimmer an Geldautomaten sind MITM-Angriffe.
Nun wird vielleicht der eine oder andere einwenden, dass man die Betrugs-Buchung dann halt storniert. Ja schon, aber wer bleibt auf den Kosten sitzen? Der Händler? Ich vermute, dass die Fraud-Kosten dann einfach auf alle Kunden umgelegt werden und/oder Visa die Gebühren erhöht. Und das wird auch der Grund sein, wieso Visa sich so verhält. Die wissen einfach, dass sie den Schaden an ihre Kunden durchreichen können. Wieso also ordentlich machen?
Nun, … gut dass ich dagegen war.
die Karrenbauerin hat die zehn biblischen Plagen wahrscheinlich mit den Sieben Plagen der Endzeit durcheinandergeworfen.Hier noch einer:Insofern Konsequent, auf den Vorwurf der Inkompetenz mit Inkompetenz zu reagieren. Als Vorsitzende der Christlichen Union* muss man den Unterschied zwischen altem und neuen Testament offensichtlich nicht kennen.
Also dann: Auge um Auge, Zahn um Zahn.*) sozial absichtlich aus Gründen unterschlagen
Ich hatte als Akademiker ja bisher keine besonders hohe Meinung von Youtubern.Ich hab da ja eine Idee. Wie wäre es, wenn wir die Ministerposten mit Experten besetzen?
Aber was der da macht kann man als super wissenschaftliche Arbeit ansehen.
Wenn der das Ganze aufschreiben würde, kann das als wissenschaftliche Veröffentlichung durchgehen. Ich ziehe den Hut.Insofern passt die Reaktion der lieben Damen und Herrn von der CDU konsistent ins Bild der Beachtung von wissenschaftlichen Arbeiten und wissenschaftlich fundierten Positionen.
Christlich ist halt eben NICHT Wissenschaft sondern Glauben. Also schon im Parteinahmen verankert (*gacker*)
*schenkelklopf*
China hat anscheinend sogar absichtlich genau das Sanktionspaket genommen, was ihren eigenen Leuten am meisten Schaden zufügt. Um zu zeigen, wie ernst sie das meinen, und dass sie nicht mit Terroristen verhandeln.
Websites promoting what appear to be two local German anti-fascist groups, Antifa West Berlin and Antifa Nord Ost, share a server used by Russian government hackers who attacked the Democratic National Committee during the 2016 election. The registration information for one of the German sites includes an anonymized email address that was also used to set up a pair of Russian spearphishing sites.
Das Ziel ist natürlich Unfrieden sähen.This month, these two websites prodded thousands of Twitter followers to attend an anti-AfD rally in Berlin.
Wie in den USA, nur anders herum. In den USA gab es Aufrufe zum Protest gegen Black Lives Matter, weil sich die Trolle da als Teil der Trump-Rechtspopulisten ausgegeben haben.Update: Wer die Beweislage der New York Times ein bisschen dünn fand, ist in guter Gesellschaft.
On the data website, the hackers included an email address to contact them. That email is also the contact address for at least one previous ransomware campaign.
Jetzt stellt sich natürlich die Frage, ob die da auch über Ransomware reingekommen sind, oder ob das ein "richtiger" Angriff war.
Die Antwort lag fast schon auf der Hand:
As Boeing hustled in 2015 to catch up to Airbus and certify its new 737 MAX, Federal Aviation Administration (FAA) managers pushed the agency’s safety engineers to delegate safety assessments to Boeing itself, and to speedily approve the resulting analysis.
Das war der alte Klassiker "Selbstzertifizierung", der große Bruder von "freiwillige Selbstverpflichtung". Und hey, wenn bei uns das CE-"Prüfsiegel" selbst zertifiziert wird, von dem ja auch Menschenleben abhängen, wieso dann nicht auch bei Flugzeugen. Wer braucht schon mehr als Absichtserklärungen bei sicherheitsrelevanten Bauteilen.
Er sieht sich in der Tradition aller Zeitungen, die ihre Foren zugemacht haben, nur dass er sich die Zeit nimmt, da drüber nachzudenken und offen drüber zu reden.
The fact is, it’s very easy to moderate comment sections. It’s very easy to remove spam, bots, racial slurs, low-effort trolls, and abuse. I do it single-handedly on this blog’s 2000+ weekly comments. r/slatestarcodex’s volunteer team of six moderators did it every day on the CW Thread, and you can scroll through week after week of multiple-thousand-post culture war thread and see how thorough a job they did.But once you remove all those things, you’re left with people honestly and civilly arguing for their opinions. And that’s the scariest thing of all.
Some people think society should tolerate pedophilia, are obsessed with this, and can rattle off a laundry list of studies that they say justify their opinion. Some people think police officers are enforcers of oppression and this makes them valid targets for violence. Some people think immigrants are destroying the cultural cohesion necessary for a free and prosperous country. Some people think transwomen are a tool of the patriarchy trying to appropriate female spaces. Some people think Charles Murray and The Bell Curve were right about everything. Some people think Islam represents an existential threat to the West. Some people think women are biologically less likely to be good at or interested in technology. Some people think men are biologically more violent and dangerous to children. Some people just really worry a lot about the Freemasons.
[…]
The thing about an online comment section is that the guy who really likes pedophilia is going to start posting on every thread about sexual minorities “I’m glad those sexual minorities have their rights! Now it’s time to start arguing for pedophile rights!” followed by a ten thousand word manifesto. This person won’t use any racial slurs, won’t be a bot, and can probably reach the same standards of politeness and reasonable-soundingness as anyone else. Any fair moderation policy won’t provide the moderator with any excuse to delete him. But it will be very embarrassing for to New York Times to have anybody who visits their website see pro-pedophilia manifestos a bunch of the time.
Alleine für diese Absätze hat sich für mich die Lektüre schon gelohnt. Aber es geht natürlich mit dem Twitter-Müllschacht weiter.Every Twitter influencer who wants to profit off of outrage culture is going to be posting 24-7 about how the New York Times endorses pedophilia. Breitbart or some other group that doesn’t like the Times for some reason will publish article after article on New York Times‘ secret pro-pedophile agenda. Allowing any aspect of your brand to come anywhere near something unpopular and taboo is like a giant Christmas present for people who hate you, people who hate everybody and will take whatever targets of opportunity present themselves, and a thousand self-appointed moral crusaders and protectors of the public virtue. It doesn’t matter if taboo material makes up 1% of your comment section; it will inevitably make up 100% of what people hear about your comment section and then of what people think is in your comment section. Finally, it will make up 100% of what people associate with you and your brand. The Chinese Robber Fallacy is a harsh master; all you need is a tiny number of cringeworthy comments, and your political enemies, power-hungry opportunists, and 4channers just in it for the lulz can convince everyone that your entire brand is about being pro-pedophile, catering to the pedophilia demographic, and providing a platform for pedophile supporters. And if you ban the pedophiles, they’ll do the same thing for the next-most-offensive opinion in your comments, and then the next-most-offensive, until you’ve censored everything except “Our benevolent leadership really is doing a great job today, aren’t they?” and the comment section becomes a mockery of its original goal.
In diesem Sinne: Respekt für alle, die noch eine Kommentarsektion haben. Und die nicht an Disqus oder so outgesourced haben.Ich würde echt am liebsten den ganzen Artikel hier zitieren, so wichtig ist mir das. Leute haben ihn zu doxxen angefangen, haben einen Smear-Subreddit aufgemacht, um ihn und seine Arbeit zu diskreditieren, haben nach Threads über ihn oder seine Arbeit gesucht, und sind dann da aufgetaucht, um eine out-of-context-Sammlung angeblich böser Dinge zu posten, die er gesagt oder geduldet haben soll.
Some people found my real name and started posting it on Twitter. Some people made entire accounts devoted to doxxing me in Twitter discussions whenever an opportunity came up. A few people just messaged me letting me know they knew my real name and reminding me that they could do this if they wanted to.Some people started messaging my real-life friends, telling them to stop being friends with me because I supported racists and sexists and Nazis. Somebody posted a monetary reward for information that could be used to discredit me.
One person called the clinic where I worked, pretended to be a patient, and tried to get me fired.
Es ist echt eine Riesenschande, was da passiert ist. Wer Slatestarcodex häufiger liest (ich linke da immer wieder drauf), und sich ein Bild von den Artikeln da gemacht hat, der wird mir sicher zustimmen, dass die Vorwürfe gegen den Typen absolut grotesk sind. Es ist auch eine Schande, dass unsere Community der Pareto-Distribution unterliegt, und die Last und das Risiko nur auf einigen wenigen Schultern ruht. Die meisten sind nur passive Konsumenten und kriegen gar nicht mit, wenn solche Aktionen laufen, oder denken sich, es ist nicht ihr Problem oder es wird schon nicht so schlimm sein.
Zur Eröffnung des 22. europäischen Polizeikongresses in Berlin forderte Günter Krings, parlamentarischer Staatssekretär im Bundesinnenministerium, ein einschneidendes Verbot von Tor: "Ich verstehe, warum das Darknet einen Nutzen in autokratischen Systemen haben kann. Aber in einer freien, offenen Demokratie gibt es meiner Meinung nach keinen legitimen Nutzen. Wer das Darknet nutzt, führt in der Regel nichts Gutes im Schilde. Diese einfache Erkenntnis sollte sich auch in unserer Rechtsordnung widerspiegeln."Die Debatte können wir von mir aus führen — nachdem wir Abgeordnetenbestechung ordentlich unter Strafe gestellt haben. Die Prämisse, dass nur Menschen mit bösen Absichten Tor benutzen, ist natürlich eine dreiste Lüge. Aber wie das so ist bei den Populisten. Erst kloppen sie plumpe Populistenforderungen raus, dann werfen sie der AfD Populismus vor. Und am Ende wundern sie sich, dass sie niemand ernst nimmt.
Das ist natürlich eine tolle Gelegenheit für ein paar Einblicke, wie China die Uiguren trackt:
For each user, there was also a list of GPS coordinates, locations where that user had been seen.
Genau wie man sich das vorstellt, oder?The database also contained a list of "trackers" and associated GPS coordinates. Based on the company's website, these trackers appear to be the locations of public cameras from where video had been captured and was being analyzed.
Keine weiteren Fragen, Euer Ehren.
Facebook maintains a list of individuals that its security guards must "be on lookout" for that is comprised of users who've made threatening statements against the company on its social network as well as numerous former employees.The company's information security team is capable of tracking these individuals' whereabouts using the location data they provide through Facebook's apps and websites.
Ist das nicht süß, wie sie so tun, als würden sie nicht auch bei allen anderen Facebook-App-Installationen die Location tracken? Putzig! (Danke, Thorsten)
"Es gibt Risiken, die mit 5G und einer möglichen Beteiligung von Huawei daran verbunden sind", sagte Schindler dem Redaktionsnetzwerk Deutschland (RND) am Mittwoch. Wer die neue Technik bereitstelle, der sei auch "in der Lage, Kommunikationsinhalte abzugreifen".Ja und nein. Das ist wie zu behaupten, der Hersteller von Zellentüren könne Gefangene ausleiten. Stimmt, aber dann ist der erstmal nur aus der Zelle raus, nicht aus dem ganzen Knast. Ein Huawei-Router kann natürlich Daten routen. Aber nur an Ziele, zu denen er eine Leitung hat. Und der nächste Router auf dem Weg könnte den Traffic sehen. Telcos machen Traffic-Überwachung. Solange die nicht alles von Huawei kaufen (und Monokulturen sind sicherheitstechnisch inhärent problematisch), heißt das nicht automatisch, dass eventuelle Ausleitungen auch erfolgreich und unerkannt wären.
Aber gut, geben wir Schindler mal den Punkt. So geht es weiter:
"Die Technologie von Huawei ist anderthalb bis zwei Jahre weiter als unsere", erläuterte Schindler.Wait, what!? Was genau meint er denn bitte mit "unsere" hier? Die vom BND? Die haben ihre Abhörschnittstellen noch nicht fertig oder was?!
Dass Huawei da auf UFO-Technologie sitzt, das kann ich ausschließen. Und zwar ohne die Technologie von denen konkret gesehen zu haben. Die Standards sind alle verfügbar. Die kann man beschaffen und das nachimplementieren. Niemand hat da außerirdische Raketentechnologie. Das sind prinzipiell offene Standards. Gut, sie könnten noch offener sein, geschenkt.
Zum Vergleich: Videocodecs werden auch standardisiert, aber bei MPEG kriegt man nur eine Definition des Bitstreams und eine Beschreibung, wie man das dekodiert. Encoder können immer noch proprietäre Raketentechnologie drin haben. So ist das bei Netzwerk-Equipment nicht. Auch nicht bei 5G. Insbesondere ist bei LTE und noch mehr bei 5G ja gerade der Punkt, dass man proprietäre Bitfrickelscheiße rausschmeißt und lieber IP mit TCP, HTTP und JSON drüber macht. Das ist die Antithese zu Raketentechnologie. Das ist absichtlich so gewählt, dass es jeder Depp ohne Raketen-Knowhow bauen kann.
Aber wartet, das war noch nicht der Hammer. Das hier ist der Hammer:
"Wir sind also gar nicht in der Lage, zu beurteilen, was da eingebaut wird.Das Statement ist eine Lüge und eine Frechheit. Der Schindler und seine BND-Spezialexperten sind vielleicht nicht in der Lage. Andere sind es selbstverständlich schon. Huawei legt im Gegensatz zu ihren Konkurrenten den Quellcode für Inspektionen offen. Und im Gegensatz zu Cisco ist Huawei auch noch nicht mit Hintertüren erwischt worden. Das ist eine absolute Frechheit, was der Schindler sich hier zurechtlügt. Schämen sollte der sich. Aber das wird einem wahrscheinlich beim BND abtrainiert. Schamgefühl.
Update: Kontext, mehr, noch mehr. Schindler, falls das jemand verpasst hat, ist jetzt übrigens Consultant. Mit lauter anderen Ex-Funktionären. Wenn ihr mal bei Schindler auf "mehr" klickt, kommt als Beschreibung seiner Kernkompetenz beim BND:
Weltweite Informationsbeschaffung
Wie jetzt, Herr Schindler, aber die Information, dass Huawei als einzige Einblick in ihren Quellcode gewähren, die konnten Sie nicht beschaffen?! Das war ja wohl GAR nichts. Wer die wohl gerade beauftragt? Die Amerikaner vielleicht? Oder hat sonst noch jemand ein Interesse an der Darstellung, dass Huawei weiter als alle anderen Marktteilnehmer ist? Ihre Konkurrenten ja wohl eher nicht, oder?
[Einige Kunden] stellten fest, dass ihre Datenbanken plötzlich gelöscht wurden.Und wie üblich in der Cloud war das kein menschliches Versagen eines Admins, weil das alles durchautomatisiert ist.Ein Nutzer berichtet etwa von einer gelöschten und wieder restaurierten Azure SQL-Datenbank, die aber leer war.
“An automated process, designed to trigger when custom keys are removed from KeyVault, inadvertently caused these TDE databases to be dropped.We are in the process of restoring a copy of these SQL DBs from a recovery point in time of less than 5 minutes before the database was dropped. These restored databases … are located on the same server as the original database.”
Ich finde das ja immer süß, wenn Leute Daten in der Cloud verschlüsseln. Als ob das irgendwas besser machen würde! Der Schlüssel, mit dem ihr die Daten verschlüsselt, befindet sich auf dem Rechner, der jemand anderem gehört und von jemand anderem administriert wird. Das ist Security-Theater.
Na?
Kommt ihr NIE drauf!
Vielleicht sollten die bei nutzlosen Gütesiegeln für Webseiten bleiben.
‘Bankruptcy is a last option,’ the service said in a tip sheet published on a website.
Hoffentlich stellt sich das als Kunstaktion von irgendeinem Zyniker raus. Hoffentlich sind die nicht wirklich so abgehalftert.
The website’s admin is scamming them: no assassination is ever executed. The admin would dole out a hail of lies for why hits had been delayed, and keep the bitcoins.
Der Artikel handelt von jemandem, der in seiner Freizeit solchen Sites hinterherrecherchiert, und zu dem Schluss kam, und das auch im Internet veröffentlichte, diese Sites seien alles Scams. Und dann meldet sich der Admin von einer dieser Sites bei ihm.“We are open to suggestions, we will do our best to make it the best marketplace focusing on body harm revenge and property destruction,” Yura wrote.
Den Rest spoiler ich mal nicht, müsst ihr selber lesen.Als Highlight der Story gibt es am Ende die moralische Rechtfertigung des Typen, der die Auftragsmord-Site betreibt.
Update: Ein Leser weist darauf hin, dass das Whitepaper auch inhaltlich überzeugt. Sie schlagen dort eine „Modifizierte Blockchain mit bidirektionaler Verknüpfung für mehr Sicherheit und Effizienz“ vor. Hier ist ein schönes Zitat:
Anders als in der Blockchain sind die Kettenglieder in beiden Richtungen miteinander verknüpft – ein Block kennt also seinen Nachfolgerblock ebenso wie seinen Vorgängerblock. Durch diese Verkettungsstruktur lässt sich die Integrität von Blöcken und ihren jeweiligen Nachbarn in beiden Richtungen detailliert und schnell überprüfen – bis hin zum letzten Kettenglied. Als Absicherungsmechanismus dienen nicht Hashwerte, sondern Funktionen aus der quantenmechanischen Analytik. Vereinfacht gesagt: Aus den beiden benachbarten Blöcken werden Informationen vermischt und in beiden als Prüfwert integriert.
Wow!
Update: Oh, stellt sich raus: Heise hat da schonmal drüber berichtet, insbesondere über den Quanten-Teil. Ladungswolken! Datacule (statt Molecule)! Ich muss angesichts der Menge der neuen Terminologie gerade hart Assoziationen von revolutionärer Vollbit-Verschlüsselung unterdrücken :-)
Die Marktteilnehmer sollen – so heißt es im Gesetz – „vor unlauterem Wettbewerb“ geschützt werden. Dafür wurde eigens eine Zentrale Stelle Verpackungsregister geschaffen, bei der sich alle Betroffenen registrieren müssen.Mehr Datenbanken? Check!
Wer nicht in dem Register steht, kann also leicht abgemahnt werden. Außerdem droht der Gesetzgeber bei Ordnungswidrigkeiten mit Geldbußen von bis zu 200.000 Euro.Die Webseite handelt von selbstpublizierten Büchern, aber ich stelle mir gerade mal so einen Wochenmarkt vor, oder eine Bäckerei oder Schlachterei, die nicht Teil einer monströsen Kette ist. Die stehen doch alle mit einem Bein in der Insolvenz dann?
Im Übrigen ist eine wahre Tatsachenbehauptung keine Beleidigung.
Aber mein persönliches Highlight ist:
Die Nennung der Telefonnummer der Polizeidirektion Chemnitz auf der besagten Website ist nicht autorisiert.Wait, WHAT?!
Und Fließtext dann:
sagte BSI-Präsident Arne SchönbohmIs nich wahr!1!! Den kenn ich doch!
Der von Brancheninsidern als „Cyberclown“ verspottete Schönbohm liefert keinerlei Indikation für technische ExpertiseHach komm, Fefe, seit wann braucht man technische Expertise, um sich als Experte bezeichnen zu lassen?
Na siehste. Wie immer. Wie Arsch auf Eimer.
Update: Weiter unten im Artikel, habt ihr hoffentlich alle gesehen:
Jedoch müssten die Kunden IT-Sicherheit einfordern, sagte Schönbohm.
Das sagt der, der gerade verhindert hat, dass die eingeforderten sicheren Plasterouter stattfinden. (Danke, Markus)
Demnach streben Brüssel und London eine "ehrgeizige" und "tiefe" Partnerschaft an.Ja, äh, wieso eigentlich?
Dem Entwurf zufolge streben die EU und Großbritannien enge Partnerschaften in vielen Bereichen an. Beabsichtigt sei unter anderem eine Handelsbeziehung beim Austausch von Gütern, die so eng wie möglich sein soll, hieß es in dem Dokument für die künftigen Beziehungen zwischen beiden Seiten.Wie jetzt? Vorteile mitnehmen, Nachteile nicht?
Aber der entscheidende Teil kommt bei der Tagesschau nicht, dafür muss man zum Spiegel:
Besonders eng zusammenarbeiten wollen Briten und EU künftig auch in der Sicherheitspolitik und der Justiz, etwa beim Kampf gegen die Geldwäsche. Diese Punkte sind der britischen Regierung besonders wichtig, denn sie fürchtet unter anderem, den Zugang zu europäischen Datenbanken zu verlieren. In der politischen Erklärung ist nun von einer "breiten, umfassenden und ausgeglichenen Sicherheitspartnerschaft" die Rede, in der man gemeinsam gegen Terrorismus, internationales Verbrechen, Cyberangriffe und Desinformation kämpfen will. Dazu sollen auch Flugpassagier-, DNA- und Fingerabdruckdaten ausgetauscht werden.Nur falls jemand dachte, wenigstens seien wir das Herumgeheimgedienste der Briten ein bisschen los.
Oder das Herum-U-Booten der Amis mit den Briten als Proxy.
Grandiose Idee! Alles, was wir jetzt noch brauchen, ist ein Weg, wie wir erkennen, ob ein Router sicher ist!
Oh ich habe eine Idee! Freiwillige Selbstkontrolle! Wie beim CE-Logo! Die Hersteller verpflichten sich einfach, das ab jetzt alles richtig zu machen, und dann dürfen sie das Logo aufdrucken. Fuck yeah! Ein weiterer erfolgreicher Arbeitstag für BSI-Chef Arne Schönbohm!
Update: Mehr Details zu der Router-TR gibt es bei Golem. Erster Punkt: Die Hersteller müssen das Mindesthaltbarkeitsdatum (bis wann es garantiert Updates gibt) nicht auf die Verpackung drucken. Weil, äh, wo kämen wir da hin. Wir wollen ja hier nichts wirklich verbessern. Wir wollen nur sagen können, wir hätten uns gekümmert.
Ja gut, denkt ihr euch jetzt bestimmt, das muss man ja auch nicht auf die Verpackung drucken, wenn eh 5 Jahre vorgeschrieben sind oder so.
Wie bereits von Schönbohm Anfang Oktober bestätigt, macht die TR keine zeitlichen Vorgaben für einen Mindestsupport.
Natürlich nicht! Das wäre zu einfach! Sie müssen nicht mal alle Sicherheitslücken schließen, nur die mit CVSS-Wert größer 6. Das heißt, dass sich Hersteller in der Praxis mit Diskussionen über die Schwere und Exploitbarkeit von Bugs jahrelang aus der Verantwortung stehlen können und dann ist verjährt. Tolle Wurst, liebes BSI! Oder, wie mein Kumpel Frank das formuliert hat:
Damit erfüllt das BSI offenbar eine Forderung der Hersteller. Nach Angaben von Frank Rieger, Sprecher des Chaos Computer Clubs (CCC), sagten einige Hersteller zum Thema Mindesthaltbarkeitsdatum in den Beratungen der BSI-Arbeitsgruppe: "Wenn wir das draufschreiben, dann ist der Verkauf dieser Router ja nicht mehr wirtschaftlich."
JA DANN BAUT LIEBER GAR KEINE ROUTER! Die Verbraucherzentralen hatten übrigens kostenfreie Sicherheitsupdates für die gesamte tatsächliche Nutzungsdauer digitaler Produkte gefordert. Daraus ist natürlich nichts geworden. Wir machen hier schließlich Wirtschaftsförderung und in der Politik geht es um Arbeitsplätze. Und nichts schafft so sicher Arbeitsplätze wie wenn die Kunden alle paar Monate alles neukaufen müssen, weil die Hersteller keine Updates zur Verfügung stellen. Gut, die Arbeitsplätze schafft das in China, nicht hier, aber wollen wir mal nicht päpstlicher als der Papst sein!
Der CCC hatte noch gefordert, dass man als Kunde auch eine eigene Firmware einspielen können muss. Das ist natürlich auch ignoriert worden.
Besonders peinlich für das BSI:
Als mögliche Absicherung der Konfiguration werden "One-Time-Pads (OTP)" vorgeschlagen.
Da werden alle Vorurteile vollumfänglich bestätigt.
zu der ACE-Geschichte noch ein paar Hintergruende:Ein anderer Leser hat diesen Link dazu geschickt, der in eine ähnliche Richtung geht.
- Der Organizer, Adrian Cheok, hat letztes Jahr auf der Foundations of Digital Games einen Vortrag gehalten, der auf der Konferenz und auf Twitter (relativ) sachlich kritisiert wurde. Die Kritik war definitiv links angehaucht, und das Thema "Love and sex with robots" ist wohl von Natur aus etwas kontroversiell, aber bei so einem Thema kann man damit rechnen, dass nicht alle auf einer Linie sein werden. Er ist daraufhin ziemlich entgleist und hat die Kritiker, und in weiterer Folge auch FDG persoenlich angegriffen (sowas wie "Even a 10 year old could understand my talk. SAD and DUMB!"). FDG hat sich dann von seiner Position distanziert und das war (soweit ich das mitbekommen habe) alles, was die Konferenz mit ihm zu tun hatte (und jetzt sind sie auf seiner naughty-list, obwohl sie mit der ACE Geschichte nix zu tun hatten). [1, 2]
- Das ACE steering committee hat dann, mit Cheok gemeinsam, beschlossen, dass es fuer das Image von ACE besser waere, wenn er zuruecktritt, und jemand anderes die Konferenz organisiert. Das hat er dann aber nicht gemacht, worauf der Rest des Steering Committees zurueckgetreten ist (das war im Fruehjahr dieses Jahres). Ausserdem haben einige von den Leuten, die als Reviewer auf der Website gestanden sind, gar nicht davon gewusst. Daraufhin hat es dann mal Fragen darueber gegeben, ob da ueberhaupt ordentlich reviewt wird. [3] Der Publisher hat dann auch irgendwann gemeint, sie koennen ordentliche reviews nicht garantieren, deshalb werden die proceedings nicht publiziert.
- Als neues Steering Committee Mitglied ist dann David Levy ernannt worden, der gerade in einen lawsuit verstrickt ist, weil er beschuldigt wird mit einer indiegogo Kampagne 500 000 GBP verdient zu haben ohne jemals was zu liefern/produzieren [4]. Gibt einige Leute, die darueber ziemlich veraergert sind, und alle (soweit ich das sehen kann) von den persoenlichen Angriffen gegen Levy kamen von einem einzigen Twitter account, der quasi ausschliesslich ueber diese indiegogo Geschichte wettert, und dann halt fuer mehr visibility auch den #boycottACE Hashtag zu verwenden begonnen hat [5]
Die ganze Konferenz war also schon eine shitshow bevor Bannon auch nur angekuendigt war. Ich war letztes Jahr auf der FDG und hab den Talk gesehen, und ganz abgesehen vom Inhalt war Cheok's Einstellung und Reaktion auf Kritik halt akademisch untragbar (fuer offene Kritik haben wir ja den Diskurs auf Konferenzen). Muss auch sagen, dass Bannon mit einer pro-Nationalism Rede auf einer Games Konferenz doch eher deplaziert wirkt, und dann geht da halt keiner hin. Das "Schlaue", das Cheok gemacht hat, war fuer Leute in Montana $0 keynote-only tickets anzubieten (Fuer die volle Konferenz ist die Registration ueber $800), dh die academics waeren nicht hingegangen, und haetten mit ihrer Registration fee einen Bannon-Rally fuer die Leute von Montana finanziert, und *das* ist halt ziemlich questionable. (Abgesehen davon find ich die Idee mit $0 keynote-only tickets fuer Konferenzen aber grossartig, wenn die keynote fuer die zahlenden Teilnehmer auch relevant ist).
Will dir aber gar nicht abstreiten, dass die Kontroverse groesser war, als notwendig gewesen waere (die Konferenz waere anscheinend auch ganz von selbst gestorben, ohne ernsthafte reviews und mit den ganzen Ruecktritten). Ganz so ein Opfer, wie er sich selbst darstellt, ist Cheok aber auch nicht.
A stunning report published in the Annals of Internal Medicine concludes that researchers often make "inappropriate requests" to statisticians. And by "inappropriate," the authors aren't referring to accidental requests for incorrect statistical analyses; instead, they're referring to requests for unscrupulous data manipulation or even fraud.
Wenn die "Wissenschaftler" die Wahl haben zwischen ordentliche Wissenschaft aber nichts publizieren und publizieren aber ist halt Beschiss haben, dann bescheißen verdammt viele. Nicht aus Versehen. Mit Vorsatz.
Damals war ja für mich schon alles gesagt zu dem Spahn.
Aber der hat sich zu einer neue Höchstleistung hochgearbeitet. Die Heute-Show zitiert es hier:
Wenn von einer Million Pflegekräften 100.000 nur drei, vier Stunden mehr pro Woche arbeiten würden, wäre schon viel gewonnen.Nein, wirklich! Das ist ein Zitat. Keine Satire. Quelle: Augsburger Allgemeine. Der dritte Absatz mit seinen Antworten. Ctrl-F gewonnen. Ich wollte es auch nicht glauben.
So, wartet. Wird noch geiler. Was passiert als nächstes? Das Bundesgesundheitsministerium wirft der Heute-Show "absichtliche politische Fehlinformation" vor. Nein, wirklich!
What. The. Fuck!?!?
Von Putin lernen heißt siegen lernen, oder wie?
Gut, liegt ja irgendwie nahe. Wer könnte glaubwürdiger Confusion Politics umsetzen als die CDU.
Update: Hier kommt gerade eine Menge Unzufriedenheit rein, weil der Spahn, der wollte das ja besser machen. Und der Satz davor in dem Interview lässt das ja viel weniger schlimm aussehen. Tut es? Finde ich nicht. Hier ist er:
Außerdem haben viele Beschäftigte in Heimen und ambulanten Diensten ihre Stundenzahl reduziert, sodass wir auch ein Auge auf die Arbeitsbedingungen werfen müssen.
Das macht es in meinen Augen noch schlimmer. Die Pflegekräfte in Deutschland gehen seit Jahren immer wieder auf die Straße, weil sie ... na? Habt ihr das nicht mitverfolgt? Weil sie so viele unbezahlte Überstunden schieben. Der Trick war nämlich, dass die Krankenhäuser sagen: Hey, arbeite du doch „halbtags“, dann können wir mit dem gesparten Geld noch eine Pflegekraft einstellen. Gesagt getan, und dann wird aber von beiden erwartet, dass sie mit ihrer Halbtagsbezahlung aber Ganztags-Überstunden schieben. Eine ganz miese Nummer, die ausnutzt, dass Pflegekräfte das häufig aus Idealismus machen, weil sie sich für das Patientenwohl verantwortlich fühlen. Und wenn sie nach Ende der Bezahlung einfach gehen, dann sterben da halt Patienten. Also lassen sie sich unter Druck setzen und bleiben länger. Mir wurde von 60-80-Stunden-Wochen in der Pflege berichtet. Und der Spahn tut jetzt so, als seien das „Zustände“, also quasi vom Himmel gefallen, da kann niemand was für. Und da müsste doch mal jemand... JA, HERR SPAHN. SIE HÄTTEN MAL MÜSSEN. Es liegt nämlich in Ihrer Verantwortung. Und jetzt die Stirn zu haben, öffentlich zu fordern, dass die einfach mehr Überstunden machen sollen! Unglaublich.
Wenn ihr mal genau hinguckt, werdet ihr auch feststellen, dass er da keinesfalls verspricht, dass der Bund mal Geld in Hand nimmt und mehr Stellen bezahlt. Oder die Kassen zwingt (die übrigens auf einem Milliardenkissen aus Rücklagen sitzen), mehr Stellen zu bezahlen. Nein.
Update: Ein anderer Einsender findet, dass ich in der Abtreibungssache mit Spahn unfair umgehe. Er verweist auf die Thomas-Fischer-Kolumne zum §219a.
Ich für meinen Teil kann kaum erwarten, wie viel besser die Codequalität wird, wenn jetzt endlich auch die ganzen blauhaarigen Schneeflocken und Einhorn-Bronies einchecken können, die bisher von Linus weggeekelt wurden. Das wird bestimmt ein FEST!Frage 1: Steht da, dass blauhaarige Schneeflocken und Einhorn-Bronies nicht programmieren können?
Frage 2: Steht da, dass Linus Schneeflocken und Bronies nicht mag?
Frage 3: Steht da, dass der Autor Schneeflocken oder Bronies nicht mag?
Frage 4: Ist da vielleicht verstecker Sarkasmus, der die Leser irregeführt hat?
(Spoiler: Nein, nein, nein, und der Sarkasmus ist nicht versteckt und hat niemanden irregeführt)
Ich bin einigermaßen entsetzt, wie viele Zuschriften völlig unreflektiert davon ausgehen, dass Bronies nicht programmieren können, und ich sie hier bloßstellen würde. Das Gegenteil ist der Fall. Ich kenne überhaupt keine Bronies ohne Programmiererfahrung. Wo kommt eure Homo- und Transphobie her?! Und wieso projiziert ihr die ausgerechnet auf mich? Unfassbar. Ich dachte, diese Zeiten seien vorbei.
Was steht da wirklich? Da steht, dass es eine Teilmenge an Schneeflocken und Bronies gibt, die sich von Linus weggeekelt fühlten, und die jetzt Code einreichen könnten, und das wird bestimmt ganz schlimm. Das ist keine Aussage über die Codequalität von Bronies, sondern das eine humoristische Anspielung darauf, dass mir unter denen, die sich marginalisiert fühlen und lieber anderen Vorwürfe machen als selbst am positiven Ausgang ihrer Gesamtsituation zu arbeiten, dass unter denen blauhaarige Schneeflocken und Einhorn-Bronies stark überrepräsentiert erscheinen.
Und, um das nochmal explizit anzusagen. In der Geschichte von Linux ist NOCH NIE jemandes Code nicht genommen worden, weil der Einsender $IRGENDWAS war. Entscheidend ist der Code. Wenn den ein Hund einreicht, aber der Code gut ist, wird er genommen. Genaugenommen ist Code im Internet einsenden DIE EINE GELEGENHEIT im Leben, wo die Person des Einreichers keine Rolle spielt. Linus kann deine Haarfarbe gar nicht sehen, wenn du was einreichst. Ich weiß aus 1. Hand, dass im Linux-Kernel Code von blauhaarigen Schneeflocken eingeflossen ist. Warum auch nicht? Völlig absurd, da auf die Haarfarbe zu gucken.
So und wer bleibt jetzt übrig, der Code in den Kernel reinbrechstangen will, aber an Linus nicht vorbeigekommen ist? Na die, deren Code nicht gut genug war. Und DAS ist ein Grund zur Sorge.
Haben glaube ich auch alle auf Anhieb richtig verstanden. Aber die beste Reaktion auf absichtliches Missverstehen zur besseren Als-Nazi-Beschimpfung ist m.E., das nochmal zu erklären. Und nochmal. Und nochmal, wenn es sein muss. Genau was Linus immer getan hat, bis ihm nach Monaten des abusive behavior irgendwann die Hutschnut platzt.
So und jetzt hört mal bitte mit eurer Homo- und Transphobie gegenüber blauhaarigen Schneeflocken und Bronies auf. Ist ja widerlich. Echt mal. Ekelhaft, sowas.
wegen total fehlender Sachkenntnis werde ich zu Chemnitz nichts schreiben.Ich hatte vor vielen Jahren mal ein Erlebnis, an das ich auch häufiger zurückdenken muss bei Debatten wie dieser. Ich war mit einem Freund in New York, und er fühlte sich plötzlich schlecht, also stiegen wir in die U-Bahn und wollten zu einem Krankenhaus fahren. Auf dem Weg bekam er einen Übelkeitsanfall und brauchte frische Luft, also stiegen wir bei der nächsten Station aus und gingen hoch. Und das war mitten in Chinatown. Kein einziger Nicht-Asiate weit und breit. Die Geschäfte alle auf chinesisch beschriftet, sogar Starbucks und Mcdonalds. Und weil wir keine Ahnung hatten, wussten wir das vor dem Hochgehen nicht. Ich erinnere mich noch gut an dieses erdrückende Gefühl der Fremde, des "du solltest hier nicht sein". Wir guckten uns an, mussten im Wesentlichen kein Wort sagen. Er nickte und meinte, es ginge ihm schon viel besser, schnell zurück in die U-Bahn. Und so haben wir es gemacht. Wie es uns im Krankenhaus ergang ist eine andere Geschichte. Aber ich erinnere mich an diesen Moment gut, weil da nichts von rational war. Das war Instinkt.
Aber ich hatte vorgestern abend ein Aha-Erlebnis in Duisburg.Ich lebe in einer sehr "deutschen" Gegend mit einem Ausländeranteil nahe 0% (das ist ein paar hundert Meter weiter, auf der anderen Seite der Hauptstraße, bereits ganz anders).
Ein Haus steht seit ein paar Jahren leer, und soll jetzt verkauft werden. Der Makler brachte nun mehrfach Interessenten her, die wirken, als hätten sie türkische Wurzeln.Gestern spät abends habe ich mich mit jemandem unterhalten, der ein gutes Dutzend Häuser weiter wohnt, und eindeutig besorgt ist. Neben den üblichen Platitüden kamen auch ein paar interessante Widersprüche ("wenn Türken hier wohnen, verfallen die Hauspreise" versus "die Türken können ja alles zahlen, die kriegen ja umsonst Geld", und "die bringen dann ihre ganzen Familien mit" und "ich wäre ja froh, wenn mein Sohn wieder nach Duisburg käme, aber im Duisburger Süden kann man die Mieten ja nicht mehr zahlen").
Dann glitt das Gespräch ins Politische ab - er war vor langer Zeit bei den Jusos, und mal richtig links, damals als links noch bedeutete, für die Arbeiter zu sein, und ein Genosse der Bosse nicht vorstellbar war (seine Aussage).
Und jetzt denkt er darüber nach, AfD zu wählen. Nicht etwa weil die so toll wären, das sind sie seiner Meinung nach nicht, sondern weil der Rest auch nicht besser ist. Ich zitiere aus dem Gedächtnis so gut es geht: "Dann werden nicht wir niederstochen sondern die Anderen, und dann räumt endlich mal jemand die Duisburger No-Go-Zonen auf."Yeah. Die Duisburger No-Go-Zonen. Mein absolutes Lieblingsthema, wenn ich mit Rechten aneinandergerate (die beiden letzten Wörter benutzte ich jetzt in weitem Sinn). Ich war diesen No-Go-Zonen in den letzten Jahren auch mal spät abends oder nachts, und wenn man mal davon absieht, dass ich den Sprachmix nicht verstehe, war alles in Ordnung. Ich sah auch nicht, dass die Leute vom Ordnungsamt, die da am Tag jemanden besucht haben, besonders muskulös und geschützt gewesen sind.
Aber für meinen Gesprächspartner ist Marxloh eine No-Go-Zone. Hm. Ja, der Stadtteil mit der vermutlich weltweit größten Dichte an Hochzeitsmodenläden. Zugegeben, 100 Meter von der Hauptstraße entfernt sieht's nach 70 Jahren Vernachlässigung aus, schön ist es dort ganz sicher nicht. Aber für mich ist es keine No-Go-Zone.
Warum also für ihn? Weil der Mann dort Angst hat.
Im Laufe der Diskussion hat mir der Mann dann eine Frage gestellt - nämlich wovor und wo ich in Duisburg Angst habe.
Da gibt es tatsächlich eine Sache… nämlich die Gegend um das Stadion, vor und nach Spielen des MSVs. Ich bin zwei mal in meinem Leben in Auseinandersetzungen zwischen Pro-MSV-Schlägern und ihren jeweiligen Feinden geraten, beide Male als ich mit der S-Bahn nach Hause wollte und an der Haltestelle "Schlenk" aussteigen wollte - was unglücklicherweise auch die Station ist, an die bereits vor dem Spiel aufgeputschten gewalttätigen Irren aussteigen müssen.
Seitdem ist die Gegend um das Stadion an Spieltagen des MSV für mich eine No-Go-Zone, und ich verstehe nicht, dass die Polizei nichts unternimmt, um diese Gegend für normale Menschen sicher zu machen, die nicht bis zur der Grenze eine akuten Alk-Vergiftung voll sind. Und ich verstehe nicht, wie Eltern mit ihren Kindern dahin gehen können.Vorgestern habe ich endlich verstanden, dass eine No-Go-Zone etwas sehr Subjektives ist.
Ich frage mich jetzt, warum ich da Angst habe. Habe ich Angst, wegen der schlechten Erfahrungen (im Endeffekt ist nicht mehr passiert als ein oberflächliche, nicht stark blutende Schramme, an der der Zustand der Haltestelle genauso so schuld war wie die "Fans"), oder weil ich die Subkultur der Fußballfans nicht verstehe und nicht verstehen will?
Die Frage, warum ich in den "überfremdeten" Stadtteilen weitaus weniger Angst habe als Andere kann ich dagegen beantworten - ich bin in einem Stadtteil mit hohem Anteil an Türken zur Schule gegangen (was nichts daran änderte, dass auf dem Gymnasium ganz extrem wenig Türken waren), habe auch später immer wieder mal Kontakt mit Türken gehabt, und dann hat meine Freundin einige Jahre in einem türkisch dominiertem Stadtteil gelebt.
Türken sind mir nicht so fremd wie sie das Anderen sind - das dürfte die Erklärung sein.Aber wenn das die Erklärung ist - was ist die Abhilfe?
Die Menschen zwingen, andere Kulturen kennen zu lernen? Das würde weder funktionieren (Menschen hassen Zwang), noch wäre es richtig (dazu haben wir nicht das Recht).
Mehr Bildungsfernsehen / -Radio / -Youtube-Kanäle? Wer guckt sich an, was nicht in sein Weltbild passt? Wir sind doch längst soweit, dass wir überall Falschnachrichten und bewusste Irreführung sehen.Ich weiß die Abhilfe nicht, aber die Verängstigten, egal wie unbegründet ihre Angst aus irgendeiner Sicht sein mag, als Nazis, Feigling, besorgte Bürger, whatever, zu bezeichnen, hilft nicht weiter. Irgendjemanden zu beleidigen hilft sehr selten.
Vielleicht ist die Antwort, dass viele Menschen mit "typisch deutschem" kulturellen Hintergrund nur eine gewisse, sehr schwer zu bestimmende, Menge "Fremder" aushalten, dass "wir" als Gesellschaft darauf zu lange keine Rücksicht genommen haben, und dass wir durch die sich daraus ergebenden Konsquenzen nun durch müssen und nur hoffen können, dass dieser Prozess zivilisiert verläuft.
Gegen Instinkte kann man ankämpfen, man kann sie überwinden. Ich ärgere mich im Nachhinein, dass ich mich da so habe übertölpeln lassen von einem diffusen Angstgefühl. Aber es gibt mir halt auch eine Perspektive auf andere Menschen und ihre Angstinstinkte. Dafür darf man die nicht abkanzeln sondern die brauchen Hilfe, das zu überwinden. Der Schlüssel für das Überwinden ist glaube ich, dass man a) das Einzelperson zu Einzelperson macht, nicht wenn eine Gruppe zuschaut, und b) dass man als Betroffener Zeit hat, sich nicht überraschen zu lassen. Das vorher einmal durchdenken.
Durch Abkanzeln erreicht man das Gegenteil des Gewünschten, nämlich dass den Menschen ihre Angst peinlich ist. Dass sie sie als Schwäche empfinden, und dann ein Gefühl der Stärke aufbauen müssen, um das loszuwerden. Und so entsteht dann aus Angst vor dem Unbekannten Hass gegen Fremde. Glaube ich.
„Wenn man unter der Personalnummer dreimal ein falsches Kennwort eingibt, wird der Benutzeraccount gesperrt“, sagte ein hochrangiger Beamter dieser Zeitung. „Dann muss jemand nur bei der System-Hotline anrufen und bekommt einfach so ein neues Passwort.“Und die Personalnummer ist offen, steht bei allen Vorgängen dran, die jemand bearbeitet hat.
Wer sich jetzt denkt, hey, da gibt es bestimmt immerhin einen Rückanruf über den Anschluss des Beamten, oder wenigstens ein Log von solchen Resets: Nein und nein.
Einmal mit Profis arbeiten! (Danke, Alexander)
Wahrscheinlich muss man froh sein, dass da keine Leichenteile gefunden wurden im Fundament :-)
Update: Ihr habt hoffentlich auch alle die Kommentare gelesen und ggf. übersetzen lassen, wo steht, dass das kein Zeichen für Pfusch sondern Absicht ist. Über Hohlkanäle spannt man den Beton und die Hohlziegel senken das Gewicht, um den Druck auf dem Fundament zu entlasten. Ein Einsender vom Fach formuliert es so:
der kern einer stuetze traegt nur bei hohen lasten in achsrichtung der stuetze mit (zb. in einem lagerhaus). ein pylon einer abgespannten bruecke wird jedoch hauptsaechlich auf biegung belastet und traegt daher hauptsaechlich am rand. der kern kann und wird somit aus gewichtsgruenden weggelassen (siehe zb. schleuderbetonstuetzen) werden, damals mit hohlziegeln gefuellt damit der beton nicht reinrinnt, heutzutage mit kunstoffelementen (zb schwarze kunststoffbaelle rechts vorne in der decke.
Bei diesem Bild zeigt aber glaube ich tatsächlich mafiöse Betonmanipulation.
Update: In Hamburg gibt es eine Therme, die auch keine Kinder reinlässt. Ist das jetzt ein neuer Trend?
Update: Öhm, und in Schottland gibt es ein Dorf ohne Kinder. Und zwar mit Absicht, als Regel verhängt. Und Reisebüros haben jetzt auch eine "Adults Only"-Kategorie. (Danke, Martin)
DNS hat zwei große Probleme. Erstens dass jeder auf dem Weg die Anfragen und Antworten sehen kann. Und zweitens dass man falsche Antworten auf anderer Leute Anfragen schicken kann.
Das erste Problem ist zwar doof, aber nicht verheerend. Das liegt daran, dass man für die DNS-Auflösung normalerweise den DNS-Server des Internet-Providers nimmt, und der kann eh sehen, mit welchen IP-Adressen du redest. Der gewinnt also nicht so viel, und mit dem hast du ein Vertragsverhältnis und das ist eine deutsche Firma und die unterliegt dem deutschen Datenschutz. Nicht ideal aber auch kein Beinbruch. Und wem das nicht reicht, der kann sich einen eigenen DNS-Resolver irgendwo hinstellen und selbst betreiben. Dann muss man aber ein VPN zu dem benutzen, sonst kann der ISP immer noch alles sehen.
Ja aber Fefe, der BND könnte doch Kabel Deutschland hacken und die DNS-Daten abschnorcheln! Ja, könnte er, aber er müsste dann alle ISPs hacken, um an alle DNS-Daten ranzukommen. Wenn ihr 1.1.1.1 oder 8.8.8.8 verwendet, dann muss die NSA nur diesen einen Anbieter hacken und hat alle DNS-Daten von allen Leuten auf der Welt. Macht das also nicht!
Das zweite Problem, dass jemand falsche Antworten unterschieben kann, wird vollständig von TLS gelöst.
Warum spreche ich das an? Weil Heise gerade Propaganda fährt, DNS sei so unsicher, und man möge doch JSON über HTTPS zum Auflösen von Namen nehmen. Dazu kann ich nur sagen: NEEEEIIIINNNNN! Der Feind von Sicherheit ist Komplexität. Einen DNS-Resover kann man in ein paar hundert Zeilen Code schreiben. Ich weiß das, weil ich es getan habe. Ein JSON-über-HTTPS-Client sind 5-6stellig viele Zeilen Code.
Und das noch größere Problem: Firefox hat das gerade in ihren Browser eingebaut. Und zwar so, dass die Anfragen über Cloudflare gehen. NEEEIIIINNNN!!!! Damit ist Cloudflare ganz oben auf der Liste der für die NSA interessanten Firmen, und da könnt ihr mal einen drauf lassen, dass die die DNS-Daten da abgreifen werden. Zur Not nicht per Hack sondern per National Security Letter.
Was also tun? Nun, Option 1: Das wegkonfigurieren bei Firefox. about:config, nach trr suchen, network.trr.mode auf 5 setzen.
Option 2: Eigenen DNS-over-HTTPS-Server betreiben. Kann man machen. Hier ist eine solche Software in Rust. Das Kosten-Nutzen-Verhältnis stimmt aber aus meiner Sicht nicht.
Hier ist ein aktueller Blogpost dazu.
Ich finde es höchst bedauerlich, wie Firefox mit solchen Geschichten weiter Krieg gegen ihre User führt. An die Werbe-Add-Ons und die extern gehostete Addons-Seite mit Google Analytics erinnert ihr euch ja sicher noch alle. Und an die tolle Idee, Werbung auf der New-Tab-Seite einzublenden? Mann Mann Mann, Firefox. Was denkt ihr euch bloß!
Update: Das betrifft im Moment nicht die Stable-Version. Offizieller Doku.
Update: Nachdem Golem und Heise hierauf linken, ist es vielleicht an der Zeit, Gegenforderungen aufzustellen. Meine Forderung ist ganz einfach: Weniger Komplexität. Komplexität ist der Feind. Die Anzahl der Bugs steigt mit der Codegröße. Die Leute stöpseln heute nur noch Komponenten aus Libraries zusammen. Das ist Schönwetter-Programmieren! Ein Programm, das nur beherrschbar ist, wenn es zufällig gerade gut funktioniert, ist wertlos. Wir brauchen Programme, die überschaubar wenig Dinge tun, und dafür vollständig beherrschbar sind. Am besten nicht nur vom Programmierer, sondern auch vom Benutzer. Die Geschwindigkeit, mit der wir uns mit unbeherrschten und unbeherrschbaren Technologien umzingeln, ist aus meiner Sicht ein Vorbote der Apokalypse.
Asimov beschreibt in seiner Foundation Serie eine Zukunft, in der die Menschheit selbst-reparierende Atomkraftwerke gebaut hat. Und als die fertig waren, starben die Leute aus, die die noch reparieren konnten, weil man sie nicht mehr brauchte. Nach vielen Jahren war die Selbstreparatur dann am Ende und es gab niemanden mehr, der die warten konnte.
So ungefähr machen wir das auch gerade. Nur dass wir den Schritt mit dem Selbstreparieren überspringen. Wir bauen direkt Dinge, die niemand mehr reparieren kann. Schlimm genug, wenn die Hardware heute so ist, aber das heißt doch nicht, dass die Software auch so sein muss?!
Mich macht besonders fertig, dass wir jetzt mit "KI" soweit sind, dass wir unwartbare Software absichtlich herbeiführen. Wie in einem Scifi-Film, wo die Aliens erst Hirnfresser-Parasiten schicken, damit die Zielrasse sich selbst kaputtmacht, und man für die Machtübernahme nicht mehr so viel Ressourcen aufwenden muss.
“I think it is a matter of public interest that border service agencies like the CBSA are able to obtain access to DNA results from sites like Familytreedna.com and Ancestry.com,” said Subodh Bharati, a lawyer who is representing a man who says he’s Liberian, but who the government is now trying to prove is actually Nigerian.
Ich kenne mich mit sowas nicht aus, aber ich nehme mal an, dass man auf so einer Webseite auch landen kann, weil ein Familienmitglied da Daten hinterlässt, nicht nur weil man sich selber da einträgt. Also unverschuldet, sozusagen.
Zudem arbeiten wir künftig mit Cloudflare zusammen, um eine Web Application Firewall (WAF) auf unserer Webseite und im Kundenmenü einzusetzen. Diese dient als Filter zwischen unseren Servern und potenziell bösartigem Datenverkehr aus dem Internet. Sie schützt vor betrügerischen Aktivitäten wie SQL-Injections und Cross-Site-Scripting und wird in den nächsten Tagen aktiv.Ich bin kein Kunde von denen und kann daher nicht beurteilen, dass das wirklich so von Domainfactory geschrieben wurde.
Aber erstens: Das ist wie "wir haben einen Virenscanner installiert und sind jetzt sicher". Bullshit.
Zweitens: Der Traffic zwischen dem Kunden und der Firma geht jetzt über eine Drittfirma mit Sitz im Ausland. Das fände ich als Kunde unakzeptabel. Ich finde es auch unakzeptabel, wenn Firmen ihre Mail über Drittserver von Anbietern im Ausland machen. Möglicherweise vertrete ich da eine Mindermeinung.
Drittens: Wenn jemand seine Sicherheitsprobleme nicht durch "wir machen die Software sicherer" sondern durch "wir schalten Schlangenöl davor" löst, dann liegt die Vermutung nahe, dass die Kompetenz fehlte, das Kernproblem zu lösen. Meiner Meinung nach ist das eine Bankrotterklärung. Wieso habt ihr die Software dann überhaupt eingesetzt, wenn ihr die nicht absichern könnt?!
Nun ist der Betrieb sicherer Systeme für einen Hostinganbieter Teil der Kernkompetenz. Wenn die also an der Stelle schon eine solche Bankrotterklärung verkünden, würde das mein Vertrauen in den Rest ihrer Kernkompetenzen deutlich schmälern.
Zu Cloudflare im Speziellen: Ich bin bisher nicht beeindruckt von denen. Die fallen vor allem durch Marketing-Getöse auf. Und durch Fehlermeldungen und Captchas vor irgendwelchen Webseiten, die sie angeblich "beschützen". Und diese "Fehlermeldungen" sind vor allem Cloudflare-Eigenwerbung. Ich hatte glaube ich sogar schon mal eine Cloudflare-Fehlermeldung als Aprilscherz. :)
Update: Über ein Dutzend Leser haben bestätigt, auch eine Mail mit diesem Textblock von Domainfactory gekriegt zu haben. Einer schrieb, er habe anlässlich der Sicherheitslücke letztens eine fristlose Kündigung ausgesprochen und sei damit (für ihn überraschend) anstandslos durchgekommen.
Bei Security hätte ich an ARMs Stelle auch lieber die Klappe gehalten, nachdem Trustzone so ein Totalschaden war.
Für mich sieht das aus wie dieser Spruch: Erst ignorieren sie dich, dann lachen sie über dich, dann bekämpfen sie dich, dann gewinnst du. Nächster Schritt dann wohl: RISC-V gewinnt.
Update: Und weg ist die Site!
"Hackbacks": Bundeswehr-Hacker könnten jetzt zurückschlagenGlücklicherweise verfliegen die Sorgen schnell, wenn ich ein bisschen runterscrolle und dann lese:
Die Bundeswehr verfolgt im "Cyber- und Informationsraum" zahlreiche Projekte, die bis spätestens 2021 ihren vollen "Wirkbetrieb" aufnehmen sollen, darunter etwa das Absichern von Gefechtskommandos per Blockchain-Technik.Danke, McKinsey! Ich machte mir kurz Sorgen, dass ihr vielleicht nur das physische Schlachtfeld befrieden könnt mit eurer Geldabsaug- und -vernichtungskampagne gegen die Bundeswehr. Aber offensichtlich seid ihr auch in der Demilitarisierung des Cyberspace bahnbrechend effektiv. Phew! Nicht ausdenken!
Ich hatte kurz Sorgen, dass die vielleicht so viel Geld auf das Problem werfen, dass sich das doch von alleine löst. Aber fürchtet euch nicht:
Ein Aggressor müsse die Abschreckung sofort nach seiner Identifizierung (sofern sie eindeutig möglich sei) zu spüren bekommen, und sie sei auch nicht auf den Cyber-Bereich beschränkt. Im Rahmen der Null-Toleranz-Richtlinie könnten weitere Maßnahmen folgen.Nach dieser Meldung ist völlig ausgeschlossen, dass da jemand sitzt, der mehr als Management by Buzzword-Sprechblase betreibt. Ich schlafe jetzt wieder ruhiger.
Und? Nach all der Terrorpanik in den letzten Tagen fragt ihr euch vielleicht, ob es schon die ersten Toten gibt.
Ja, gibt es. Die LA Times und alle anderen Publikationen von Tronc sind jetzt aus der EU nicht mehr abrufbar.
Aber hey, auch wenn die Datenschutzbehörden jetzt unter ihrer Last zusammenbrechen werden und keinerlei Verfahren lostreten können, weil sie unter einer Flut begraben werden, dann ist doch zumindest auf einen Verlass: Auf Max Schrems. Der nutzt die GDPR nicht nur gegen Facebook sondern endlich auch gegen Android!
Three complaints worth €3.9 billion were filed in the early hours of Friday morning against Facebook and two subsidiaries, WhatsApp and Instagram via data regulators in Austria, Belgium and Hamburg. Another complaint worth €3.7 billion was filed with French data protection authority France CNIL in the case of Google’s Android operating system.
Bei Facebook beklagt er sich natürlich darüber, dass die ihren Usern halt die Pistole auf die Brust setzen, friss unsere Datenerhebung oder du kannst deinen Account nicht mehr benutzen. Und das ist grob auch die Beschwerde gegen Android:In the case of Google’s Android operating system, the noyb complaint says users of a new phone with the Android operating system are bounced into the Google ecosystem.“There was no option to use the phone without consenting,” it adds, something the privacy group claims is a breach of GDPR informed consent rules.
Das habe ich auch so verstanden. Freut mich sehr, wenn da gleich mal jemand Butter bei die Fische macht.Primärquelle: noyb.eu.
Sie können unsere neue Datenschutzerklärung bereits heute sehen. Die neue Datenschutzerklärung wird ab dem 25. Mai 2018 gelten und unsere bisherige ersetzen. Wenn Sie unsere Website nach dem 25. Mai 2018 besuchen, stimmen Sie den Aktualisierungen automatisch zu.Ja, äh, nee, so funktioniert das nicht.
Oh und: Trump benutzt natürlich Apple-Geräte. Wie alle Leute, die sich für schlau und progressiv halten, aber keines davon sind.
One might be tempted to think that the solution is just more intellectual autonomy. Echo chambers arise because we trust others too much, so the solution is to start thinking for ourselves. But that kind of radical intellectual autonomy is a pipe dream. If the philosophical study of knowledge has taught us anything in the past half-century, it is that we are irredeemably dependent on each other in almost every domain of knowledge.
Und es gibt auch Anzeichen dafür, dass mein Ansatz nicht funktioniert. Auf der anderen Seite reicht es mir, wenn er ab und zu mal funktioniert. Ich mache mir ja auch gar keine Illusionen, die Welt retten zu können.Ich habe hier gerade wieder zwei so Fälle am Bein, die mich echt an der Welt zweifeln lassen. Der erste Fall waren ein paar Zuschriften zu Beschneidung. Wie komme ich denn dazu, das zu vergleichen! Mädchen wird da die Klitoris abgeschnitten! Das ist ja wohl was völlig anderes als das bisschen Vorhaut bei Jungs, das ist gar nicht so schlimm, das weiß ich aus eigener Erfahrung (schreiben die Einsender, ich weiß das nicht aus eigener Erfahrung). Fefe, wie kannst du das nur gleichsetzen!
Wer genau hinguckt, wird feststellen: a) ich habe das nie gleichgesetzt, und b) habe ich nie behauptet, dass das gleich schlimm ist. Das macht mich jetzt nicht fertig, dass mir Leute Kritik schreiben. Mich macht fertig, wenn die Leute mir Dinge unterstellen, die ich (absichtlich!!) nicht gesagt habe, Mich macht fertig, wenn Leute von einem Messpunkt auf die Welt verallgemeinern. Mich macht fertig, wenn Leute Argumente wie "bei mir hat das aber keinen Schaden angerichtet" für ihre Position benutzen, die sie in die Gegenrichtung nicht gelten lassen (und zu Recht!). Ja habt ihr denn alle gar nichts gelernt?!
Der andere Fall ist jemand, der in meinem Blog 20 Meldungen über Skripal sieht, die das aus der russischen Perspektive beleuchten, und dann einen (EINEN!) Leserbrief nicht aushalten kann, der die Gegenperspektive bringt. Und dann so empörte Formulierungen wie "wenn es hart auf hart kommt, schwenkst du wieder auf die Nato-Linie ein". Solche Leute machen mich echt fertig. Ich hatte gehofft, wir sind im Zivilisationstreppenhaus schon ein paar Stockwerke höher.
Ich frage mich auch, was solche Leute glauben, was passiert, wenn sie mir faktenfreie Empörungsmails schreiben? Dass ich dann meine Meinung ändere? Die ihr übrigens gar nicht kennt in beiden Fällen, weil ich sie sorgfältig zurückgehalten habe?
Mann Mann Mann.
Update: Hier scheinen einige Leute grundlegende Sprachverständnisprobleme zu haben. Ich sage: Mord und Ladendiebstahl sind Scheiße und sollten verboten sein. Da findet keine Gleichsetzung statt. Wer das nicht selber merkt, der sollte sich bitte zu solchen Fragen nicht äußern, auf dass er Philosoph bleibt.
Russia had covertly subsidized Poincare's election campaign and he had therefore abandoned socialism for another party and warfare. Even if Germany intentionally condemned Belgium to occupation, they had already accused Russia of starting the conflict.
Nun. Brian hat diese Tage einen Bericht über Coinhive veröffentlicht. Das ist so eine JS-Mining-Geschichte, die im Browser Monero minen kann. Mich haben diese Browser-Miner nie interessiert, weil es offensichtlich in erster Linie die Besucher verärgert, deren Akku dann nicht so lange hält und deren Geräte heißlaufen, und weil es sich meiner Überschlagsrechnung nach auch gar nicht lohnen kann. Aber hey, wenn man die Kosten komplett externalisieren kann, ist einem das vielleicht egal. Und so kam es, wie es kommen musste: Böse Menschen haben das Coinhive-Zeugs als Malware verbreitet, und das hat dann irgendwann so ein Ausmaß angenommen, dass es Brian Krebs anzog.
Der hat dann mal rumgestochert und fand, dass Coinhive eine Firma ist (ich kann coinhive.com nicht mal absichtlich besuchen, weil uBlock das schon ewig in der Blockliste hat), die 30% der Kohle als Gebühren kassiert und den Rest ausschüttet. Wenn man denen eine Malware meldet, die bei ihnen mined, dann sperren die den Key, sagt Krebs, was aber nicht heißt, dass die Malware weg ist (duh!), sondern dass Coinhive 100% des Geldes behält. Krebs bezieht sich in dem Teil auf einen anderen Security-Forscher namens Troy Mursch, und verlinkt seine Quellen auch immer ordentlich.
Jedenfalls: Was kam raus bei den Recherchen, wo Coinhive herkam? Krebs fand heraus, dass das ursprünglich bei dem deutschen Imageboard pr0gramm.com auftauchte. Wer nicht weiß, was ein Imageboard ist: Das ist eine Art Webforum für anonyme oder manchmal auch pseudonyme Kommunikation, mit Bildern als Transport-Medium (obwohl es auch Textkommentare gibt). Das bekannteste Imageboard ist 4chan, bei denen voll-anonym kommuniziert wird, und Threads werden nach einer Weile automatisch gelöscht. Der Effekt ist wie bei Star Wars: You will never find a more wretched hive of scum and villainy. pr0gramm archiviert seine Threads und hat Pseudonyme, ist insofern nicht ganz so furchtbar wie 4chan, aber wie 4chan führten libertäre Grundeinstellungen, ritualisierte Ablehnung von Netzzensur und Pseudonymität zu einem Rennen darum, wer sich mit dem krassesten Fehlverhalten aus der Masse abheben kann. Bildmaterial aus dem 3. Reich und die-Ausländer-vergewaltigen-unsere-Frauen sind an der Tagesordnung. Das funktioniert natürlich nur, wenn die Pseudonymität nicht von außen aufgehoben wird, und hier kommen wir zu Brian Krebs. Der hat beim Coinhive-Recherchieren herausgefunden, dass die erste Version von dem Javascript-Code bei pr0gramm in Anwendung war, und wollte dann mal wissen, wer eigentlich das pr0gramm betreibt. Er schrieb daraufhin Leute an und fand Namen heraus und hat die in dem Bericht veröffentlicht.
Das ist ein Angriff ins Mark für Imageboards. Entsprechend heftig fiel die Reaktion aus. Bei mir gingen bestimmt ein halbes Dutzend mehr oder weniger wütende Mails ein, dass hier ein fieser Ami gerade arme deutsche Imageboardler doxxt und ihre Rechte mit Füßen tritt. Ich las mir daraufhin seine Recherche durch und fand da jetzt nichts besonders ehrenrührig. Er schreibt halt, was er rausgefunden hat. Kein erhobener Zeigefinger, außer man liest den selber rein. Keine Vorwürfe zwischen den Zeilen. Nichts. Also jedenfalls nicht gegen pr0gramm. Einzig die Stelle, wo er Coinhive dafür kritisiert, dass sie Malware nicht stoppen sondern die Kohle zu 100% behalten, fand ich grenzwertig. Wie soll Coinhive denn Malware auf irgendwelchen gehackten PCs stoppen, bei denen sie selbst nur ein Modul beigesteuert haben, und das auch noch im Quellcode, d.h. das können die Malware-Verbreiter verändert haben? Der Teil bei Krebs war bescheuert, fand ich, aber er hat schon Recht damit, dass diese Situation so aussieht, als pulle Coinhive da gegenüber den gehackten Usern eine Youtube-GEMA-Argumentation, nur auch noch ohne "wenn ihr uns hinweist, machen wir das weg" (weil sie das gar nicht können).
Die Story geht dann so weiter, dass er bei pr0gramm natürlich nur Leute anschrieb, die daraufhin direkt abwehrend und entsetzt reagieren, denn niemand will öffentlich als User oder gar Betreiber eines Imageboards genannt werden. Keiner von denen hat Krebs irgendwas gegeben, was für den natürlich aussieht wie eine typische mafiöse Vereinigung, wo der halt sonst so recherchiert :-)
Und Krebs findet natürlich auch was, denn der hat Zeit für sowas und lässt sich nicht abwimmeln — und veröffentlicht in der Tat den Realnamen des aktuellen Admins vom pr0gramm. Daraufhin hat besagter Admin auf pr0gramm gepostet, dass sie dann wohl mal gucken werden, wie lange sie die Site noch offen lassen wollen. Das löste bei der Userschaft ein Heulen und Zähneknirschen aus, das man wahrscheinlich noch bei Brian Krebs im Keller hören konnte. Die Site ist bald weg und der Krebs ist Schuld? Den hassen wir jetzt alle! Lasst ihn uns DDOSsen? Ach nee, ist sinnlos, dann sehen wir bloß schlecht aus und das merkt der gar nicht, weil Google ihn schützt.
Und dann — dann postete jemand einen Spendenbeleg. Bei der Krebshilfe. Nein, wirklich! Als Protest gegen Brian Krebs hat der der Krebshilfe gespendet. Und jetzt nicht 2 Cent sondern 25€ oder so, also keinen Trollbetrag. Das löste eine Welle von Spenden aus, die zeitweise das pr0gramm selbst und die Spendenseite der Krebshilfe zum Erliegen brachte.
Und das, meine lieben Leser, hat mir dann doch Tränen in die Augen gebracht. Das ist der erste mir bekannte Fall, wo ein Imageboard aus Rache etwas Positives getan hat.
Können wir das nicht häufiger haben? Vielleicht Spenden für die Alkoholhilfe aus Wut über Heiko Maas (wegen des Namens jetzt, bessere Puns werden gerne angenommen)?
Update: Anscheinend sind da inzwischen "weit über 100.000€" zusammengekommen, schätzt ein Einsender.
Update: Was die pr0gramm-Leute am meisten ärgert, ist dass der Krebs ihren aktuellen Admin enttarnt hat, der wohl mit der ganzen Sache gar nichts zu tun hatte, weil das unter der Ägide seines Vorgängers stattfand und überhaupt alles bloß einer ihrer User geschrieben hat, und mit Coinhive hatte keiner von denen wirklich was zu tun, sagen sie. Da treffen dann amerikanische und deutsche Journalismus-Ethik aufeinander. In den USA ist das völlig normal, in Berichten Namen zu nennen. Wer es nicht tut, macht keinen guten Journalismus, weil er sich mit nicht belastbarem Hörensagen abspeisen ließ. In Deutschland hält man die Namen zurück, außer es handelt sich um Personen des Zeitgeschehens, also Politiker oder Stars aus Sport oder Unterhaltung.
Update: Ein Einsender weist darauf hin, dass diese Aktion auch im pr0gramm ihren Ursprung nahm. Das ist also nicht das erste Mal, dass bei denen was Positives rauskam.
Update: Einige Einsender sagen, dass Coinhive das Mining doch stoppen könnte. Ich habe mir das Protokoll nicht angeguckt, das die da fahren. Mag sein.
Golem hat mal beim BSI einen Informationsfreiheitsantrag gestellt und die haben ihm die Studie geschickt — aber sie dürfen sie nur lesen, nicht veröffentlichen.
Sehr ärgerlich ist aus meiner Sicht auch dieses Detail hier:
Das BSI bestätigte uns, dass es die Ergebnisse nicht an die Entwickler der anderen Bibliotheken weitergegeben hatDie anderen sind LibreSSL und NSS. Und um das hier ging es:
So gibt es etwa Hinweise auf Compilerwarnungen und eine Einschätzung, wie schwerwiegend diese sind, außerdem eine Auflistung von Fehlern in den State Machines der TLS-Handshake-Implementierung und Hinweise, an welchen Stellen der Code besser gegen Timing-Angriffe geschützt werden sollte.Ja, äh, was sprach denn da bitte dagegen, das den Projekten mitzuteilen?! Bei Botan haben sie ja nicht nur Bescheid gesagt sondern sogar Patches hingeschickt!
Das hinterlässt ja einen noch schlechteren Nachgeschmack als vorher, und das war vorher schon nicht gut. Wow, BSI, das war ja mal ein echter Rückschritt. Habt ihr schon aufgegeben? Glaubt ihr, euch glaubt eh nie wieder jemand was? Gut, könnte was dran sein, zumal mit dem Cyberclown jetzt. Tja.
Die USA forschen zwar auch an Railguns herum, aber die sind bisher wohl nur stationär. Tjahaa, da wird den USA wohl nichts übrig bleiben, als endlich ihre Rüstungsausgaben drastisch zu erhöhen!1!!
Der Ford Fusion ist übrigens dasselbe Modell, wie der Mondeo in Eurpa. Aber der ist nicht von dem Rückruf betroffen. Egal, zu dem genialen Sketch "Front fell off" habe ich gerade die reale Geschichte gesucht, und der Tanker, der da havariert ist, wurde zuvor von "Germanischer Lloyd" in Hamburg begutachtet (und der Rost übersehen). So, und die sind jetzt fusioniert, aber es gibt sie immer noch - aber auf ihrer Website dnvgl.com prangt mir gleich als erstes "Safer Smarter Greener Use blockchain technology to tell the story of every product Introducing My Story - A Digital Assurance solution" entgegen.:-)
libsodium nimmt man, weil das API so brutal einfach ist. Da kann man nicht viel falsch machen.
Du willst einen Buffer signieren?
crypto_sign(signed_message, &signed_message_len, MESSAGE, MESSAGE_LEN, secret_key);Der tut unter der Haube, was man erwarten würde: SHA512 über den Buffer, dann Ed25519 über den Hash. Dann gibt er einem im Zielbuffer die Signatur und dahinter die signierten Daten.
Du willst einen Buffer signieren, aber nur die Signatur haben?
crypto_sign_detached(sig, &sig_len, MESSAGE, MESSAGE_LEN, secret_key);Die Nachricht passt nicht in den Speicher, du willst die stückweise signieren? Kein Problem!
crypto_sign_init(&state);Das ideale API, um es Leuten in die Hand zu drücken, und "mach mal" zu sagen.
crypto_sign_update(&state, MESSAGE_PART1, MESSAGE_PART1_LEN);
crypto_sign_update(&state, MESSAGE_PART2, MESSAGE_PART2_LEN);
crypto_sign_final_create(&state, sig, &sig_len, secret_key);
Bis … ja bis die Leute dann eine Signatur mit crypto_sign_detached erzeugen und dann auf der Gegenseite mit der Multi-Chunk-Validierungsfunktion prüfen wollen. Denn dann failed die Validierung.
Ich hab also mal ein bisschen in den Quelle von libsodium herumgepopelt. Alle drei Funktionen machen SHA512 über den Buffer und dann Ed25519 über das Ergebnis davon. Aber das Multi-Chunk-API hasht vor dem Buffer noch einen konstanten String:
static const unsigned char DOM2PREFIX[32 + 2] = {Nun bin ich kein Kryptologe, aber aus meiner Sicht ergibt das überhaupt gar keinen Sinn. Hash-APIs gibt es seit vielen Jahren, und da hat es noch nie eine Rolle gespielt, ob man die Daten in einer oder in 15 Raten einzahlt.
'S', 'i', 'g', 'E', 'd', '2', '5', '5', '1', '9', ' ',
'n', 'o', ' ',
'E', 'd', '2', '5', '5', '1', '9', ' ',
'c', 'o', 'l', 'l', 'i', 's', 'i', 'o', 'n', 's', 1, 0
};
Tja, libsodium. Damit habt ihr den Hauptgrund weggeschossen, wieso ich euch immer empfohlen habe. Weil eure APIs einfach und unüberraschend aussahen. Das ist übrigens absichtlich so. Die libsodium-Doku sagt dazu:
Note: Ed25519ph(m) is intentionally not equivalent to Ed25519(SHA512(m)).
Oh ach so. Na DANN ist ja alles gut.m(
Update: Der Autor von libsodium erklärt:
The prefix is mandated by the specification: https://tools.ietf.org/html/rfc8032#section-5.1.
Ja, schon, aber dann nenne das API halt anders, wenn das eine andere Sache tut als was der Name impliziert.
Update: Ich habe den DOM2PREFIX da explizit gepasted, weil man das viel besser machen kann. Ein Leser weist mich jetzt darauf hin, dass das vielleicht nicht alle wissen. Hier:
static const unsigned char DOM2PREFIX[] = {
"SigEd25519 "
"no "
"Ed25519 "
"collisions\x01"
};
Oder halt in einer Zeile.
Update: Der technische Hintergrund ist übrigens, dass crypto_sign_detached die Nachricht zweimal hashen will. Beim ersten Mal fällt eine Nonce raus, mit der macht man eine Berechnung und die hasht man dann und dahinter nochmal die Nachricht. Da lässt sich Chunking nicht mal eben einbauen. Daher macht das Chunking-API was anderes: Einmal die Nachricht hashen und dann crypto_sign_detached auf den Hash der Nachricht. Und so haben wir eine Situation, in der eine syntaktische Änderung (ich möchte das mal mit "Leerzeile in Code einfügen" oder "Kommentar editieren") überraschend die Semantik ändert. Und das kann man nur fixen, indem man die Semantik von crypto_hash ändert, dass es auch diese Indirektion macht. Der Autor von libsodium schrieb mir, dass er das in seiner anderen Crypto-Lib, libhydrogen, auch so macht. Schön, aber zu spät für libsodium.
Daraufhin schossen die Theorien ins Feld. Das sei der FAZ zu rechts gewesen, war eine davon. Das ist natürlich absurd. Guckt nur mal in den Politik- oder Wirtschaftsteil. Zu rechts, haha, der FAZ, haha. Ich sage nur Jasper von Altenbockum. Zu rechts!! Lächerlich.
Zu viel Stress mit der Netzcommunity, war eine andere Theorie. Das ist natürlich auch absurd. In dem Gewerbe misst man Erfolg über Zugriffe und Kommentare. Daher machen viele Publikationen absichtlich nur noch pseudo-kontroverse Sachen, weil das mehr Klicks bringt. Und diese Blogs waren AFAIK in Spitzenzeiten für über ein Viertel der FAZ-Aktivität verantwortlich. Oder so. Nagelt mich darauf nicht fest. Das war es also auch nicht.
Tja, was dann? Irgendwelche internen Ränkespiele? Der neue Chef muss sich beweisen? Neue Besen kehren gut? Mehr als Spekulation habe ich da auch nicht, daher habe ich nichts gesagt. Aber jetzt gibt es von Don Alphonso selbst einen einordnenden Blogbeitrag. Wer also Fragen hat, kann den ja mal lesen.
Update: Ist ja auch geil. Erst werde ich angepupt, weil ich auf Don Alphonso gelinkt habe, dann weil sein Server zusammenbrach nach einem Link von mir. Könnt ihr euch mal einigen?
Er habe aber so gezielt, dass er niemanden habe treffen können. Zum Zeitpunkt des Aufpralls seien die nächsten Polizisten, die gen Tunnel liefen, anderthalb bis zwei Meter entfernt gewesen.Wenn ihr denkt, das ist schon der Höhepunkt, dann haltet mal das Popcorn bereit:
Seine Motive: Wut, Hilflosigkeit und Angst vor Polizeigewalt. Es sei das erste Mal gewesen, dass er sich mit seinem Beruf nicht mehr habe identifizieren können.Ja, äh, was sollen denn die anderen Menschen erst sagen, wenn schon die Cops Angst vor Polizeigewalt haben!? (Danke, Florian)
Trawling through 900 ICOs in one sitting is a deeply depressing experience, news.Bitcoin.com can report. Abandoned Twitter accounts, empty Telegram groups, websites no longer hosted, and communities no longer tended are par for the course. A digital graveyard, complete with metaphorical tumbleweed, characterizes the crop of 2017 that decided to take the money and run. Many raised zero; some raised a couple of thousand dollars; and a handful raised over $10 million. In each case, the end result was the same though: no MVP, no alpha release, and no contribution to the decentralized web for the betterment of humanity.
Schockierend! Hätte uns doch nur jemand warnen können!
Tut es aber nicht. Die Begründung ist haarsträubend:
Bis zuletzt schickten Banken und andere Stellen ihre Meldungen an die FIU vor allem per Fax, da eine Software-Lösung noch nicht bereitstand. Bis zuletzt waren studentische Hilfskräfte damit beschäftigt, Tausende Faxe in Datenbanken zu übertragen.Wie schlimm ist es denn?
Im vergangenen Dezember musste das Bundesfinanzministerium auf eine Anfrage eines Abgeordneten der Linksfraktion im Bundestag einräumen, dass von 29.000 eingegangenen Verdachtsmeldungen 25.000 noch nicht vollständig bearbeitet sind.Das flutscht!!
Ja gut, denkt ihr euch jetzt vielleicht, das ist ja bald vorbei. Die Bundesregierung redet doch ständig von ihrer Digitalisierungs-Strategie und dass Daten das Erdöl des 21. Jahrhunderts sind. Gucken wir doch mal, was die meinen, wenn sie Digitalisierungsstrategie sagen!
Durchbruch bei den Groko-Verhandlungen in Berlin: Die Arbeitsgruppe „Digitales“ hat sich auf konkrete Projekte verständigt, die unter anderem eine dezidierte Games-Förderung und eine politische Anerkennung des eSport-Segments erwarten lassen.Oh ach soooo! Das heißt Digitalisierung für die Bundesregierung! Verstehe.
Nun, äh, nach den Meldungen neulich über die ausgebremsten Steuerfahnder stellt sich ja die Frage, ob das nicht Absicht ist.
Die Auswirkungen kann man hier sehen. Ein Massaker. (Danke, Malte)
Ad security company Confiant, the one who discovered this entire operation, says ads bought by this group reached 62% of ad-monetized websites on a weekly basis.
Das finde ich ja nun wieder sehr geil. "Ad Security Company", srsly? Die Werbemafia hat noch ein Layer an Bullshit-Abgreifern in ihre Abzockkaskade eingebaut? Wow.
Peterson hat unter anderem Vorlesungen von sich auf Youtube veröffentlicht, und deckt von Lebenshilfe (was ich als Selbsthilfe-Ratschläge aus Ratgeber-Büchern im Grabbelkasten neben der Kasse im Buchhandel klassifizieren würde) über Kunstgeschichte und Philosophie ein sehr breites Spektrum ab.
Peterson hat sich aber mit seinem Widerstand gegen ein Gesetz in Kanada Feinde gemacht, das ihm vorschreibt, mit welchen Worten er Transgender-Menschen ansprechen soll. Da wurde er Hardcore-Free-Speech-Advokat und wurde bissig (weil er fand, dass das in einem Gesetz nichts zu suchen hat, und kein Gesetz vorschreiben darf, welche Wörter wir benutzen, nicht weil er was gegen die Pronomen hatte) und seit dem verfolgt ihn ein Lynchmob. Ein paar Blogger in den USA haben ihn dann auch mal interviewt, aber der war bisher nur auf der anderen Seite des Atlantik aktiv. Bis jetzt. Jetzt hat ihn Channel 4 interviewt, das ist der größte Privatfernsehkanal in Großbritannien. Und dieses halbstündige Interview ist eine hervorragende Übung in Medienkompetenz und Journalismus. Ich würde sogar soweit gehen, dass man das jedem Journalisten in der Ausbildung zeigen sollte.
Anlass für seinen Besuch in UK ist wohl ein neues Buch, für das er jetzt die Werbetrommel rührt. Aber für mich ist das ein Zeichen, dass diese gesamte hasserfüllte Lynchmob-Gemengelage jetzt rüberschwappt aus Amerika. Bisher konnte man sich ja ein bisschen zurücklehnen und sich einreden, das sei bloß ein Problem an US-amerikanischen Universitäten. Sowas wie das Google-Memo betraf uns hier in Europa bisher nicht so. Das ist jetzt glaube ich vorbei.
Bei der BBC im Radio war Peterson auch. Es wirkt so, als hätten die Feministen spontan eine Warteschlange gebildet, um sich an ihm abzuarbeiten.
Jedenfalls, warum ich das Channel-4-Video empfehle: Das ist einer der wenigen mir bekannten Fälle, wo ein Akademiker, über dessen Arbeit berichtet wird, daneben sitzt und Gelegenheit hat, jeder Falschdarstellung direkt zu widersprechen. Journalismus versucht häufig, komplexe Zusammenhänge auf einfache Formeln runterzubrechen, damit das Publikum dem folgen kann. Typische journalistische Berichterstattung über Forschungsergebnisse sind aber praktisch immer falsch, weil Dinge falsch zusammengefasst oder unzulässig verkürzt wurden. Journalisten wissen das natürlich, und teilweise wird das ja auch absichtlich gemacht, weil man mit unzulässig zusammengefassten Schlagzeilen wie "Kaffee hilft gegen Krebs" mehr Klicks macht als mit unverständlichen vieldimensionalen Ergebnissen von Studien, die man auf einer Seite Text gar nicht kommuniziert kriegt.
Insofern Hut ab für Channel 4, dass sie die Langfassung des Interviews überhaupt aufgehoben und dann auch noch auf Youtube hochgeladen haben. Man sieht hier sehr schön, wie Journalismus häufig funktioniert, und welche rhetorischen Tricks von Journalisten erwartet werden, weil man ja möchte, dass sie den Interviewten möglichst aus der Reserve holen und konfrontieren.
Wer sich für Journalismus und die Mechanik von Interviews interessiert, sollte sich das anschauen.
Ich persönlich bin ja eher ein Freund von nicht-konfrontativen Interviews. Wenn man den Interviewten die ganze Zeit anpinkelt, kommt am Ende halt eine Serie von "das habe ich so nicht gesagt" raus, damit ist der Zuschauer nicht weiter als vorher. Ich bin ein Freund davon, den Interviewpartner reden zu lassen, ihm möglichst viel Gelegenheit zu geben, sich um Kopf und Kragen zu reden. Wobei das bei Peterson wahrscheinlich auch nicht viel gebracht hätte, der war ja wie man sehen kann exzellent vorbereitet.
Ich glaube ja, dass das Absicht ist. Absichtlich herbeigeführt. Aus Sicht der Regierung ist ja nichts nerviger als Bürger, die sich einmischen. Die wollen einfach nur entspannt durchregieren. Ab und zu mal eine Entscheidung treffen, immer schön die Diäten erhöhen, je weniger Stress mit dem Souverän desto besser. Also ist das gesamte System darauf ausgelegt, dem Souverän das Gefühl zu geben, dass seine Stimme keinen Einfluss hat, dass er eh nichts machen kann. Das ist aus Sicht der Regierung absolut notwendig und wichtig, dass die Bürger nicht das Gefühl kriegen, ihre Meinung sei gefragt, oder sie seien gar verantwortlich für das Handeln der Regierung, wenn die z.B. US-Drohnenmordkampagnen via Ramstein duldet.
Und da frage ich euch: Ja wer denn sonst? Wer ist denn eurer Meinung nach verantwortlich? Die Merkel?! Ja, die ist halt Kanzlerin, da konnten wir nichts machen?
Einer schreibt mir gerade: Ja, mit der Argumentation, da wäre ja auch die US-amerikanische Bevölkerung am Irakkrieg Schuld. JA! Ja wer denn sonst!? NATÜRLICH ist der Wähler in der Verantwortung dafür, was seine Regierung tut! Wer nicht mindestens auf die Straße gegangen ist gegen den Krieg, der trägt mit die Verantwortung.
Unsere Verfassung geht da mit Artikel 20 ja noch einen Schritt weiter als andere und sagt explizit, dass der Bürger das Recht zum Widerstand hat, wenn jemand die verfassungsmäßige Ordnung beseitigen will, und andere Abhilfe nicht möglich ist. Viel klarer kann man doch gar nicht ausdrücken, dass der Bürger in der Verantwortung ist?
Habe ich den Eindruck, dass meine Stimme viel ausmacht? Nein. Na und? Deshalb bin ich doch nicht machtlos! Die regieren da in meinem Namen! Das Mindeste, was ich tun kann und muss, ist mich laut äußern, wenn ich nicht einverstanden bin.
Und ihr solltet das genau so handhaben.
Update: Oh und natürlich könnt ihr eurer Verantwortung auch nachkommen, indem ihr Wahlhelfer/Wahlbeobachter werdet, und indem ihr zu den Veranstaltungen der Parteien in eurem Wahlkreis hingeht und Fragen stellt. Fragen wie "gibt es eine Korrelation zwischen Flüchtlingen und Waffenexporten", oder zum NetzDG von mir aus.
Ich bin weder im CCC noch kenne ich das Opfer oder den Beschuldigten. Ich habe überhaupt keinen privilegierten Zugriff auf die Wahrheit und würde mich am liebsten gar nicht äußern, weil ich nichts sagen kann. Aber bei mir türmen sich die besorgen Zuschriften, daher hier kurz, was ich gehört habe. Das ist alles Hörensagen aus 2. und 3. Hand, ich weiß gar nichts. Bitte nichts davon als Faktenbehauptung betrachten.
Vorgeschichte: Auf dem letzten Camp in den Niederlanden gab es anscheinend einen sexuellen Übergriff von einem Mann auf eine Frau. Die ist ins Krankenhaus gefahren, wo Gewaltspuren festgestellt wurden. Sie hat Anzeige erstattet, die Polizei hat ermittelt, die Ermittlungen wurden eingestellt und keine Anklage erhoben. Der Beschuldigte wehrt sich nach Kräften gegen die Vorwürfe.
Dann jetzt, im Sommer: Die Frau meldet sich beim CCC und fordert, den Beschuldigten nicht auf dem Congress reinzulassen. Der CCC ist mit der Situation erstmal überfordert und braucht eine Weile für die Reaktion. Sie finden inzwischen selber, dass sie zu lange gebraucht haben. Ich weiß nicht, wie lange sie gebraucht haben, oder wie lange man für sowas brauchen sollte. Ich gebe das nur wieder. Ergebnis der CCC-Beratungen war, dass man der Frau sagte, der CCC könne oder wolle diesem Typen nicht Hausverbot erteilen. Aber man verstehe ihre Situation und bot ihr an, dass sie sich von Security-Engeln begleiten lässt, und das Awarenessteam stand auch bereit, und wenn irgendwas ist, werde man sofort einschreiten und dafür sorgen, dass diesmal genügend Augenzeugen und Beweise für eine Anklage zur Verfügung stehen.
Daraufhin schwappt die Geschichte auf Twitter herum, wo sich dann die "der CCC besteht aus frauenhassenden Männern" und "CCC are Rape Enablers" Anklagen gegen den Club mehrten.
Am Ende kam dann die Frau zum Congress, und der Mann war wohl auch da (?). Aber es passierte nichts weiter, die Frau hat selbst auf Twitter Selfies von sich publiziert, wie sie glücklich in die Kamera lächelnd frohlockend durch die Assemblies zieht und offenkundig Spaß am Gerät hat. Der CCC betrachtete daraufhin die Angelegenheit als friedlich begelegt.
So, jetzt meine Bewertung dieses Sachverhalts, unter der Annahme, dass diese Darstellung tatsächlich der Wahrheit entspricht.
Wegen des Krankenhaus-Aspekts glaube ich persönlich der Frau, dass es da einen Übergriff gab, und dass sie auch auf den richtigen Täter gezeigt hat. Ich glaube aber auch an die Unschuldsvermutung und an ordentliche Gerichtsverfahren und das Recht, gehört zu werden, und sich anwaltlich vertreten zu lassen, und so weiter. Der Schiedsrichter von Schuld in unserer Gesellschaft sind Gerichte. Solange nicht ein Richter in einem ordentlichen Verfahren nach Sichtung aller Beweise und unter fairer Würdigung aller Fakten entscheidet, dass der Mann das getan hat, ist er nicht Täter sondern Beschuldigter. Und das reicht in meinem Wertesystem halt nicht. Der CCC war hier sicher nicht in einer einfachen Situation, aber ich finde die Entscheidung richtig. Alle anderen Optionen wären noch schlechter gewesen.
Beachtet bitte auch, dass in dem Hörensagen oben nur die Seite der Anklage zu Wort kam.
Auf mich wirkt die ganze Chose, als wollten da ein paar Aktivisten, aufs Prinzip pochend, am CCC ein Exempel statuieren, weil sie eben wissen, dass der CCC eine eher progressive Organisation ist, und die Mitglieder ein Unrechtsgefühl haben, dass man vergleichsweise leicht triggern kann. In diesem Fall hat sich dann aber der erwartete Lynchmob nicht spontan formiert, und da haben die Aktivisten eben noch ein bisschen an ihrer Instigier-Methodologie getweaked, aber das hat auch nicht gefruchtet. Ich nehme die ursprüngliche Anklägerin übrigens explizit aus, wenn ich hier von Aktivisten rede. Damit meine ich andere Leute, die nicht persönlich betroffen sind, den CCC teilweise auch gar nicht näher kennen, aber für die "gute Sache" unter den Bus zu werfen gewillt waren.
Aber das ist wie gesagt nur meine Deutung. Kommt am besten zu eurer eigenen Deutung. Oder glaubt dem CCC, hier nicht leichtfertig oder willkürlich entschieden zu haben.
Ich persönlich finde es gut und richtig, dass der CCC sich nicht zum Richter aufschwingt, und Leute bestraft. Das sollte der CCC nicht nur nicht tun, das darf der CCC nicht tun. Ich kann aber verstehen, dass man hierzu auch eine andere Position haben kann.
Update: Wie zu erwarten war, sind bei der Darstellung oben einige Teile falsch, oder jedenfalls behaupten Leute das. Ich werde jetzt aber nichts korrigieren oder updaten. Ich kann nichts davon nachprüfen und will nicht den Eindruck erwecken, als hätte ich irgendwelche geprüften Informationen. Das ist aus meiner Sicht gerade der Punkt bei dieser ganzen Geschichte, dass das alles Hörensagen und Behauptungen sind.
Update: Zumindest eine Sache ist definitiv falsch, nämlich dass es auf der SHA eine Vergewaltigung oder einen Übergriff gab. Genau wie mit dem CCC hat die Anklägerin das auch mit der SHA gemacht, und der Beschuldigte kam da gar nicht erst rein. Und aus Gerechtigkeitsgründen will ich hier mal noch ausführen, was mir inzwischen von der Story der Gegenseite erzählt wurde. Bitte auch alles als Hörensagen betrachten, ich kann da nichts von prüfen. Also: a) es gibt keine Anzeige bei der Polizei, sie hat nur ein Statement bei denen zu Protokoll gegeben, b) die sind/waren ein Paar und es handelt sich um einen Vorfall bei denen zuhause, nicht auf der SHA, c) sie hat dann bei der SHA dafür gesorgt, dass er nicht reinkommt, weil die es nicht für nötig hielten, den Beklagten anzuhören, d) der CCC hat den Beklagten angehört und dessen Seite der Story klang genau so glaubwürdig wie ihre. Sie rennt jetzt halt von Gizmodo zu Buzzfeed und gibt Interviews (Buzzfeed sagt dazu, sie habe ein Interview abgelehnt), und rennt von SHA zu CCC und will den rausgeworfen haben. Und er sitzt zuhause und versucht Schadensbegrenzung. Ihr erklärtes Ziel scheint zu sein, den Typ jetzt überall auf die schwarze Liste zu setzen, wo der jemals in seinem Leben Freunde oder eine gute Zeit hatte. Als sich rausstellte, dass der CCC auch den Beklagten angehört hat, hat sie aufgehört, mit dem CCC zu reden, und macht jetzt nur noch Napalm-Flächenbombardement über Twitter und die Presse.
Ich habe da wie gesagt keine Aktien in der gesamten Sache. Aber jetzt habt ihr aus beiden Seiten das Hörensagen gehört. Ich rufe euch alle ausdrücklich dazu auf, euch in anderer Leuten Disputen nicht auf eine Seite zu stellen, bevor ihr nicht sicher seid, dass ihr wisst, was wirklich passiert ist. Mein Eindruck ist, dass beide Seiten Hilfe brauchen, aber nicht Hilfe dabei, den jeweils anderen plattzumachen.
Der Winkel mit Vergewaltigung scheint übrigens komplett Bullshit zu sein. Die Vorwürfe handeln von Gewalt, nicht von sexualisierter Gewalt. Das haben nur im Rahmen der Metoo-Debatte gerade alle sofort da reingelesen, dass es was mit sexueller Gewalt zu tun gehabt haben könnte.
Update: Ich bin darauf hingewiesen worden, dass der Stil des Hörensagens in die eine Richtung abwiegelnder klingt als in die andere Richtung. Das ist auf meine Ausgeschlafenheit und die Tageszeit und das unterschiedliche Stresslevel zurückzuführen und war weder beabsichtigt, noch soll es eine Wertung ausdrücken. Nehmt es als Medienkompetenzschulung.
Was für eine großartige Veranstaltung. Was für eine großartige Community.
Ich bin auch von viele angesprochen worden, das war auch prima. Einige haben sich gewundert, dass ich dann nicht viel erzählt habe. Ja wie, ich erzähle doch die ganze Zeit in unserer Beziehung bisher. Jetzt ist dann mal Zeit zum zuhören!
Ich habe ein schlechtes Gewissen, dass ich nicht mal groß geguckt habe, was ich für Vorträge verpassen würde. Da waren bestimmt ein paar echt wunderbare darunter. Dass ich mir den Luxus leisten kann, das so zu machen, weil ich weiß, dass die Videos alle im Netz stehen werden, ist eine Freiheit, die man gar nicht hoch genug bewerten kann. An dieser Stelle nochmal extra herzlichen Dank an das Videoteam.
Der ÖPNV von Leipzig hat übrigens schnell reagiert und fährt jetzt längere Züge. Und die haben die extrem eindrucksvolle Domain l.de! Ich vermute mal, dass noch nie so viele Leute in der Stadt waren, die beurteilen können, wie krass das ist :-)
Anyway. War ein toller Tag 2. Schon jetzt ganz klar einer der besten Congresse, auf denen ich je war.
Oh ach warte, stimmt gar nicht, einen Vortrag habe ich doch gesehen heute. Ganz am morgen. Der war von Michael Kreil, der beim Berliner Tagesspiegel arbeitet, soweit ich weiß, aber der hier privat seine Forschungsergebnisse über Social Bots vortrug. Und den Vortrag kann ich nur allen empfehlen. Keine Ähs, keine Füllsätze, keine unsubstanziierten Behauptungen, keine Ergebnisse ohne Erklärungs des Vorgehens, keine Bullshit-Übertreibungen. Und inhaltlich auch geil. Der hat eine heiße Nadel genommen, lief damit zum Luftballon "fiese russische Bots hacken auf Twitter unsere Wahlen" und hat da fast zärtlich die Luft rausgelassen. Da blieb kein Auge trocken. Klare Video-Empfehlung dafür!
Und das scheint unter SEKs stilistisch sogar so üblich zu sein.
Aber der größte Lacher an der ganzen Panzer-Geschichte ist, dass das Fahrzeug einen Untercover-Modus hat (Vorsicht: Nervige Anti-Adblocker-Popupkacke, Screenshot gibt es hier). Ich stelle mir das gerade vor, wie die mit dem Boliden vorfahren, beim Einparken versehentlich ein paar Autos zerquetschen, und dann vor deinen Augen triumphierend grinsend den Undercover-Modus deaktivieren und dann fällt es dir wie Schuppen von den Augen!1!!
Update: Übrigens, aus Fontnerd-Sicht ist die Schriftart überhaupt kein "Nazi-Font", sondern eher im Gegenteil. Die Nazis haben an der Abschaffung von Fraktur-Schriften gearbeitet, nannten sie sogar Judenschrift. Nein, wirklich! Money Quote:
Goebbels betonte fünf Vorteile der Antiqua: 1. Wirksamere Verbreitung deutscher (Propaganda-)Schriften im Ausland; 2. verbesserte Möglichkeiten, eroberte Gebiete zu verwalten; 3. Absicherung der militärisch-politischen Herrschaft durch eine schriftlich-kulturelle Dominanz; 4. Abgrenzung gegenüber der Sowjetunion und Anpassung an Westeuropa mit einer einheitlichen europäischen (deutschen) Schrift; 5. wirtschaftliche Vorteile durch Verbesserung des Absatzes deutscher Bücher im Ausland.
Update: Oh, das Fass hätte ich wohl nicht aufmachen sollen. Jetzt kommen hier Fraktur-Nerds und weisen darauf hin, dass das falsche Binnen-S verwendet wurde. Frakturschriften haben zwei Zeichen für s, das eine sieht aus wie ein f ohne Querstrich, das andere wie ein s. Im Wort verwendet man das lange s, am Wortende das kurze. Das haben sie verkackt. Also fassen wir zusammen: Sie haben die falsche Schriftart genommen, sie haben sie falsch angewendet, und es sieht auch noch wie das falsche Wappen aus...?
Update: Die Primärquelle da oben hatte noch ein anderes Money Quote:
Außerdem ist eine non-lethale Werferanlage für Nebel und Reizstoffe angebracht. Perspektivisch kann auch ein Waffensystem installiert werden. „Das gibt die Gesetzeslage aber bisher nicht her“, erklärte LKA-Sprecher Tom Bernhardt.
Update: Jaja, am Silbenende nimmt man auch das kurze s. Scheiß Klugscheißer immer :-)
Besucher des Weihnachtsmarktes seien nicht gefährdet gewesen, weil sie zum Zeitpunkt des Vorfalls, nach Angaben der Behörde, mehrt als 50 Meter entfernt von den Polizisten standen.Bitte was? Womit schießen die denn da? Weihnachtskugeln?!
Kurzes Realitätsupdate: Ich habe in den Nuller Jahren in den USA gelebt und dort einige Monate für zwei Firmen aus der Industrie contracted (Jules Jordan und Brazzers). Die haben recht früh kapiert das man Raubmordkopien der DVDs nur mit legalen on-demand / payperview Angeboten bekämpfen kann und es ging dort um Aufbau einer ansprechenden website und logischerweise Konzeption eines soliden Hinterbaus der den content auch ruckelfrei liefert. Diese Firmen hatten sich zusammengetan um die Kosten / das Risiko zu teilen. (Die Brazzers Website wurde 3 Jahre später "Best Adult Website" gekürt, ich bin immer noch unsicher ob sowas in den Lebenslauf sollte oder nicht).Und ein anderer Leserbrief klärt über HIV-Tests auf:Da gab es dann auch interessante Gespräche mit anderen Beschäftigten. Es ist in der Tat so das selbst bei Brazzers (die im Prinzip 30+ "Sparten"-Websites aller Couleur betreiben) JEDER einen Riesenbogen um Bi- und Homosexuellen content macht, WENN Männer involviert sind. Lesbenkram oder girl-girl-boy oder sowas geht immer. Girl-boy-boy aber auch nur wenn beide Männer "known straight" sind. Das male homo porn biz existiert in seinem eigenen Kosmos.
Das riecht erstmal nach Diskriminierung, aber letztlich sind die Betreiber Geschäftsleute und vor allem werden die DarstellerInner selber oft genug schräg angeguckt werden wenn sie erzählen was sie machen. Meiner Erfahrung nach ist bei Leuten die selber gesellschaftlich stigmatisiert werden ist die Schwelle selber zu diskriminieren höher.
Knackpunkt ist einfach der Lifestyle ausserhalb der Dreharbeiten zwischen straight male/female DarstellerInnen und den Bi- / Homo-Darstellern. Industriestandard ist der aktuelle 14 Tage-Test. Alle 14 Tage HIV-Test und Abstrich auf sonstige Seuchen (Tripper usw). Das ist wohl eine Abwägung die zwischen praktisch und sicher sehr weit Richtung sicher geht. Es gibt aber auch Darsteller (straight) die die letzten 4 Tests im 7 Tage Takt sehen wollen.
Der Unterschied ist jetzt: man sieht das in der schwulen Szene wohl etwas entspannter. Hab spasseshalber gerade mal bei Agenten für straighte Darsteller geguckt, da steht bei jedem Darsteller bei das er 14 Tage Testfrist einhält und dokumentiert und die auch vom Partner verlangt. Ansonsten bitte gar nicht erst anfragen. Bei den gay booking agents finde ich davon nichts. Kann ein Zufall sein, Sample klein, aber der Stellenwert scheint geringer.
In weiterer Faktor ist der Lebensstil. Für mich damals (serieller Monogamist) vollkommen überraschend sind im Prinzip alle der männlichen und weiblichen straight Darsteller in festen Beziehungen, teils wirklich langjährig. Manchmal mit anderen Leuten aus der Industrie, anderen Darstellern, meist aber mit führen die neben den Drehs ein total spiessiges Normaloleben, ausser das sie halt für Geld ficken. Und das ist der Unterschied zur Schwulenszene. Zumindest in den USA ist da sehr viel Promiskuität der Normalfall, zumindest in dem üblichen Alter der Darsteller (so bis 30).
Bei straight Darstellern kann man zwischen Drehs davon ausgehen das die zu Hause nur mit ihrem langfristigen, sauberen Partner bumsen. Bei schwulen Darstellern besteht das Risiko / die Wahrscheinlichkeit das die auf Piste gehen und beim anonymen Sex oder one night stand halt mal ein Gummi reisst oder drauf verzichtet wird. Dieser sorglosere Umgang ist ein no-go in der Industrie.
Dazu kommt dann auch noch eine statistische Gemeinheit. Bei normalen Verkehr (oral, vaginal) zwischen 1 gesunden und 1 infizierten Partner ist die Frau statistisch stark im Nachteil. Klingt komisch, aber es ist absolut logisch, das Ansteckungsrisiko ist beim Oralverkehr für beide am geringsten, aber bei Vaginalverkehr geht es schon los. Der Penis ist da im Vorteil weil die Chance auf Geweberisse oder ähnliches sehr gering sind. Bei einem großen Penis und einer engen Frau sind Überdehnungen der Vagina und Mikrogewebrisse fast vorprogrammiert, das sind dann Einfallstore für die Viren. Das Risiko für einen Mann sich vaginal bei einer Frau anzustecken ist wohl 3/100, das Risiko das eine Frau von infizierten Mann eine Infektion mitnimmt eher irgendwo bei 15-25/100 (anal natürlich höher, aber für beide proportional). Ich hab die genauen Zahlen nicht im Kopf, nicht drauf festnageln, aber die Relation stimmt in etwa.
Von daher absolut nachvollziehbar das eine Frau wissen will wo der Schwanz überall gesteckt hat mit dem sie jetzt drehen soll. Einem bisexuellen Mann der mal dies oder mal jenes dreht kann es aus oben gennanten Gründen eine Spur egaler sein, daher stammt wohl auch diese gewissen laissez faire Haltung und damit begründet sich extrem klar die deutliche Firewall zwischen den sexuellen Orientierungen im porn biz.
Es bleibt zwar in der Regel ein eher "low probability" Risiko weil nicht jeder Verkehr automatisch eine Ansteckung zur Folgen haben muss. Aber er kann, und das wäre dann ein "high stakes" Risiko. Und darum macht jeder vernünftige Mensch einen Bogen.
zu den HIV Tests: Ich arbeite ehrenamtlich bei der AIDS-Hilfe, und da sprechen wir bei den neuen Tests von einer Aussagekraft für den Status vor 6 Wochen. Also wenn du Montag einen Test machst, und in der Regel eine Woche wartest, dann zeigt am Ende das Zertifikat ob du vor 6-7 Wochen HIV hattest. Und das ist ein Fortschritt zu den 3 Monaten von früher. Ob du jetzt Männer oder Frauen geil findest ist dem Test egal. Aber wenn du in diesen 6 Wochen eine Risikosituation hattest (ungeschützt Sex, Nadeln teilen), ist dieses Ergebnis natürlich mit Vorsicht zu genießen.So wie ich ihre Tweets gelesen habe lag da auch der Knackpunkt. Sie schrieb, sie habe den Menschen was ihr Privatleben angeht nicht vertraut, und deswegen den Sex abgelehnt. Das ist wenn es um Sex ohne Kondom geht aus Präventionssicht ein legitimes Argument (Unabhängig von sexueller Orientierung).
Das ist auch zu unterscheiden von Stigmatisierungen, wie: „Habt keinen Sex mehr mit Gruppe XY, die haben alle HIV!“. Sowas ist falsch, unfair, und im Umkehrschluss („Alle anderen sind safer“) auch gefährlich unsicher.
An dieser Stelle kann man auch mal auf die neuen Erkenntnisse und Methoden hinweisen: Vor allem „Schutz durch Therapie“ - wer HIV hat und jeden Tag seine Pille nimmt und immer zum Arzt kontrollieren geht, kann die Viruslast in seinen Körperflüssigkeiten so stark senken, dass er/sie nicht mehr ansteckend ist. Also ungeschützter Sex, Schwangerschaft, Kinder kriegen, alles sicher! Deswegen sagen wir in der AIDS-Hilfe auch, Menschen die von ihrem HIV wissen sind sicherere Sexpartner als die vermeintlich HIV-negativen, die sich (mit Glück!) auf dem Testergebnis von letztem Frühling ausruhen.
Dann gibts noch die Post-Expositions-Prophylaxe PEP („die Pille danach“, senkt das Infektionsrisiko nach ungeschütztem Sex), und die Prä-Expositions-Prophylaxe PrEP („die Pille davor“ als Safer-Sex Methode).
Kann man ja mal googlen.
Update: Ein Pharmazeut weist darauf hin, dass es sich hier um eine andere „Pille danach“ handelt.
Die "richtige" Pille danach, Ulipristalacetat und Levonorgestrel, bietet keinen Schutz gegen HIV Infektionen, im Gegensatz zur Präexpositionsprophylaxe.
Posting on social media, NiceHash said that "there has been a security breach involving NiceHash website" resulting in a loss of funds. NiceHash, formed in 2014, serves as a marketplace for miners to rent out their hash rate to others.
Also dieses Cryptocurrency-Zeug, das ist ja mal eine überzeugende Sache. Da will man doch sein Geld anlegen!
Na klar, bei Amazon! :-)
Der Generalbundesanwalt hatte bereits am Mittwoch mitgeteilt, der Verdächtige Yamen A. habe "über einen Internet-Versandhändler" Schwefelsäure und Wasserstoffperoxid enthaltende Oxydatorlösung bestellt. Beide Chemikalien würden neben Aceton zur Herstellung des hochexplosiven Sprengstoffs Triacetontriperoxid (TATP) benötigt. Es sei anzunehmen, dass der Beschuldigte diesen Sprengstoff herzustellen beabsichtigte. Hierfür spreche auch die Bestellung eines Thermometers. Der Herstellungsprozess muss unter Kühlung erfolgen.
Ich bin ja ein Freund davon, wenn Firmen Bugs in Software finden, und nicht bloß Bug Bounties ausschreiben und hoffen, dass ihnen die Bugs schon von außen gemeldet werden. Das ist eine Unsitte, weil es das Bugfinden zu einer Finanztransaktion macht und einen Markt schafft, in dem Geheimdienste einfach mehr zahlen können und dann kriegen die halt die Bugs und nicht der Hersteller.
Aber ich muss mich an der Stelle wundern, wenn die so tolle Mechanismen haben da (und der Hauptzweck des Artikels ist offensichtlich das Protzen, was sie für tolle Möglichkeiten haben), wieso verwenden sie sie dann nicht, um ihren eigenen Gammelbrowser besser zu machen?
Lasst euch von dem ganzen Mitigation-Gelaber nicht blenden. Das ist sowas wie eine Bankrotterklärung. "Wir versuchen gar nicht mehr, alle Bugs zu finden. Wir machen Mitigations rein". Das ist wie "Wir müssen unsere Dienste nicht absichern, wir haben ja eine Firewall".
Außerdem: Habt ihr euch mal gefragt, wieso die so viele Mitigations haben? Wieso hat der Less Privileged App Container nicht gereicht? Weil jede Mitigation umgehbar ist. Manchmal dauert das ein bisschen, manchmal geht es flott. Alles, was das tut, ist die wohlmeinenden Forscher behindern. Die Geheimdienste nehmen dann halt mehr Geld in die Hand.
Wenn ich Mitigation höre, dann denke ich mir immer: Je mehr Geld in Mitigations fließen, desto weniger Geld ist offensichtlich in das Finden und Schließen von Bugs geflossen. Das ist aus meiner Sicht ein Antipattern.
Im Übrigen möchte ich noch kurz darauf hinweisen, dass der Bugtracker von Chrome offen ist, da können wir alle reingucken, und uns davon überzeugen, wie schlimm der Zustand des Produktes ist. Das traut sich Microsoft bei ihrem Browser nicht (aber es gibt immerhin bei Chakra auch einen externen Bugtracker). Warum wohl?
Ein cheap shot, diese Aktion. Wirft kein gutes Licht auf Microsoft.
Berlin subsidized the arms export deals to the tune of 700 million euros, but can the German government allow an arms deal to go through despite the apparent payment of large bribes? How does the Chancellery intend to explain that German taxpayer money ended up in the pockets of people close to Netanyahu?
Das ist ja schon geil. Wir mussten die noch schmieren, damit sie unsere U-Boote geschenkt nehmen? Die, die ihnen eine nukleare Zweitschlags-Abschreckung ermöglichen? Wow.
Dabei sei es ihnen ohne Probleme gelungen, in unmittelbarer Nähe der Abklingbecken ein Feuerwerk abzuschießen, so Greenpeace.Naja gut, die haben ja bestimmt Spezialgerät gehabt, sich ausm Hubschrauber abgeseilt oder so!
Nee, eher nicht:
Laut Roger Spautz von Greenpeace Luxemburg habe man die äußere Absperrung in fünf Minuten überwunden. "Unter Zuhilfenahme von einfachen Leitern standen unsere Aktivisten nach fünf Minuten am Fuße des Gebäudes mit dem Abklingbecken. Wer bösartige Absichten gehabt hätte, wäre also ohne Probleme bis hierhin vorgedrungen."o_O (Danke, Marc)
Wer es konkreter mag: Schöne NDR-Doku über die Post und ihre Sub-Sub-Sub-Unternehmer aus Polen.
Das ist, was die Merkel meint, wenn sie von Erfolg und weiter so spricht im Wahlkampf.
Wohlgemerkt: Das ist der Anstieg des Wasserspiegels, nicht hohe Wellen oder Sturm oder so. Das ist nicht Wasser, das vom Meer geschwappt kommt, das man per Deich aufhalten könnte. Die mussten Pumpen installieren, und die laufen jetzt die ganze Zeit.
Update: Ein Einsender erklärt die Hintergründe:
Das hängt oft weniger mit dem steigenden Wasserspiegel zusammen sondern mehr mit der Absenkung des Festlandes. Viele Großstädte in Küstenregionen, aber auch im Inland (Mexiko-City) haben das Problem. Zuallererst ist hierfür das Abpumpen von Grundwasser schuld. Viele Städte verbieten das inzwischen, um das Absenken zumindest zu verlangsamen. Ich kenne mich in den USA jetzt weniger aus aber zumindest von New Orleans und New York ist das eigentlich bekannt. Bangkok, hier bin ich etwas besser informiert, sinkt etwa um 1-3 cm pro Jahr, in der Vergangenheit war das sogar mal noch mehr. Auch hier muss laufend abgepumpt und abgeleitet werden. Zwar ist das Abpumpen von Grundwasser direkt in Bangkok verboten, aber südlich von Bangkok, wo auch der neue Airport liegt, hat sich viel Industrie angesiedelt, welche das weiterhin ungehindert durchführt. Dadurch ist inzwischen die Küstenlinie deutlich nach Norden gewandert und das ganz OHNE höheren Meeresspiegel.
Jakarta, Tokyo und viele Städte in China (etwa Shanghai) haben das gleiche Problem. Tokyo hat sogar noch ein zusätzliches Problem der Bodenverflüssigung durch seismische Aktivitäten. Dieses beschleunigt das Absinken etlicher Teile der Metropole enorm.
Und mehrere Leser haben darauf hingewiesen, dass auch im Ruhrgebiet Pumpen laufen müssen, um die Folgen des Bergbaus zu kompensieren.
Hier ist die Antwort:
In internen Analysen heißt es, die deutsche Strategie sei aufgegangen, die vielen öffentlichen Erklärungen und Warnungen deutscher Politiker und Sicherheitsbehörden hätten die Russen abgeschreckt - genau so, wie man es auch beabsichtigt habeEs gibt da eine legendäre Episode von Ernie und Bert in der Sesamstraße. Ernie hat eine Banane im Ohr. Bert will wissen, wieso. Ernie meint, das schreckt Krokodile ab. Bert so: Hier gibt es gar keine Krokodile. Ernie so: Siehste? Funktioniert!1!!
Update: Einer meiner Leser hat das Youtube-Video zur Ernie-Banane rausgesucht!
Daraufhin mussten einige Flugzeuge in BER landen, wo sie natürlich nicht aussteigen konnten, weil der Flughafen ja nicht offen ist. Da saßen sie anscheinend stundenlang fest.
Und heute: Terminal A vom Flughafen Tegel wegen Reizgas gesperrt.
Laut Bundespolizei hatte sich eine Reizgas-Sprühdose bei der Entsorgung an einer Sicherheitsschleuse unabsichtlich entleert. So etwas passiert immer mal wieder“, sagte Flughafen-Sprecher Daniel Tolksdorf.Es fühlt sich ein bisschen so an, als wollten sie vor dem Volksentscheid noch kurz ein bisschen Stimmung gegen TXL machen. Jetzt zur Wahl gibt es auch einen Volksentscheid dazu, ob TXL weiterhin offen gehalten werden soll.
Update: Eine der umgeleiteten Maschinen war von Air Berlin und das Bodenpersonal von Schönefeld wollte denen nicht die Treppe ans Flugzeug rollen und den Busdienst für lau machen, also haben sie vom Flugpersonal (!) 100 Euro verlangt.
Auf Kredit wollte das Bodenpersonal in Schönefeld Bus und Treppe nicht zu der Maschine aus Düsseldorf anrollen lassen. Die dafür fälligen 100 Euro forderten es in bar. Ein Passagier der Maschine und die Kopilotin Julia Peukert legten zusammen. „Na toll, das sehe ich bestimmt nie wieder“, hatte die einem Passagier zugerufen. „Ich beteilige mich“, gab der zurück, zog einen Zwanziger aus seiner Tasche und reichte ihn der verblüfften Crew-Mitglied. Typisch Berlin – in Krisenzeiten.
Nun, das Innenministerium verbietet linksunten.indymedia.org.
Wie zunächst der »Spiegel« berichtet hatte, sei eine entsprechende Verbotsverfügung den drei in Freiburg lebenden Betreibern der Website zugestellt worden. Dabei kam es auch zu Hausdurchsuchungen, Computer wurden beschlagnahmt. Festnahmen gab es allerdings keine. »Aktuell finden noch Durchsuchungen mehrerer Objekte statt«, sagte Baden-Württembergs Innenminister Thomas Strobl (CDU).De Maiziere sagte in einer Pressekonferenz:
In der Begründung für das Verbot heißt es, das Portal laufe »nach Zweck und Tätigkeit den Strafgesetzen zuwider« und richte sich gegen die »verfassungsmäßige Ordnung«.
Update: Noch ein Lacher aus der Pressekonferenz:
Bei den Durchsuchungen seien Laptops, Messer, Schlagstöcke und Rohre gefunden worden. "Es sind typische Gegenstände aus der linksextremistischen Szene", sagte de Maizière.
Hey, wisst ihr, wo man das noch alles findet? Im Polizeirevier! Die sind also auch alle linksextrem!1!!
Währenddessen haben Facebook, Reddit und Paypal (!!) angesagt, dass sie die Nazis rausschmeißen wollen. Gerade Paypal finde ich an der Stelle bemerkenswert. Wenn die ihr Schikane-Arsenal, das sie bisher nur gegen angebliche Raubkopierer und Pornographen einsetzen, gegen die Nazis in Stellung bringen, dann werden die nicht viel zu lachen haben. Das schießt dann vermutlich auch deren Spenden-Infrastruktur weg, wenn nicht demnächst auch die Kreditkartenfirmen folgen. Mal gucken, wie sich das entwickelt.
Update: Auch der russische Hoster hat die anscheinend runtergeschmissen.
Aktuell: Trumps Transgender-im-Militär-Ding und die Scaramucci-Saga sind Burying, und das Bowder-Russland-Statement vor der Senatsanhörung sollte damit verborgen werden. Money Quote:
Based on the language of the Magnitsky Act, this would make Putin personally subject to Magnitsky sanctions.
Der Magnitsky Act ist ein Gesetz von 2012, das von diversen Russen die internationalen Gelder einfriert. Und Bowder glaubt, dass dieses Gesetz durchschlagenden Erfolg hatte gegen Putin und seine Handlanger.This is particularly worrying for Putin, because he is one of the richest men in the world. I estimate that he has accumulated $200 billion of ill-gotten gains from these types of operations over his 17 years in power.
Das wird schon länger behauptet, aber Belege gab es nie. Daher würde ich das mal mit Vorsicht genießen, aber:The second reason why Putin reacted so badly to the passage of the Magnitsky Act is that it destroys the promise of impunity he’s given to all of his corrupt officials.
DAS hingegen ist ein valides Argument, selbst wenn man nicht glaubt, dass Putin sich selbst bereichert hat, sondern nur Korruption duldet, um damit Loyalität zu erkaufen.
Vor drei Monaten hat der Internet-Monopolist Google Pläne angekündigt, seinen Usern den Zugang zu „Fake News“ zu erschweren. Seither sind die Besucherzahlen bei den Websites zahlreicher linker, progressiver, Antikriegs- und Bürgerrechtsorganisationen deutlich zurückgegangen.Ich frage mich ja, ob das nicht ein massiver Rückschritt ist, diese Art von Maßnahme. Wenn wir annehmen, dass der Zugang zu Nicht-Mainstream-Inhalten möglicherweise die Menschen in der Mitte radikalisiert, dann müssen wir auch umgekehrt annehmen, dass der Zufluss von Mainstream-Leuten bei den Linken und Rechten deren Positionen moderiert. Und das fällt jetzt halt weg. Damit könnte das zu seiner selbsterfüllenden Prophezeihung werden mit dem Fake News.
Hamburgs Erster Bürgermeister Olaf Scholz (SPD) sieht weiterhin keine Schuld bei der Polizei. "Polizeigewalt hat es nicht gegeben, das ist eine Denunziation, die ich entschieden zurückweise", sagte er dem Sender NDR 90,3.Währenddessen in einer Paralleldimension: 35 Ermittlungsverfahren gegen Polizisten nach G20-Einsatz.
Und wer sich lieber an der Quelle informieren will: G20 Doku sammelt Polizeigewalt-Beispiele.
Update: Anscheinend kann man keine Links auf g20-doku.org mehr tweeten. Danke, Herr Maas! Ich hätte gedacht, dass es ein bisschen dauert, bevor unsere Regierung so die Hosen runterlässt. Normalerweise dauert es ein halbes Jahr oder so zwischen "wir würden NIE die Mautdaten für Strafverfolgung nutzen" und "na klar nutzen wir die Mautdaten für Strafverfolgung!"
Die Flughafen Berlin Brandenburg GmbH beabsichtigt einen Rahmenvertrag für Ausführungsleistungen von Abbrucharbeiten für den Flughafen Berlin Brandenburg abzuschließen.(Danke, Daniel)
Der Film zeigt auch einige jüdische Kinder in Frankreich, die offenbar sehr ungünstig zwischen verschiedenen mehrheitlich arabisch besiedelten Banlieues wohnen, und da mehrfach Angriffen ausgesetzt waren. Das akzeptiere ich als gültigen Inhalt des Filmes, und wenn sie da mehr von gehabt hätten, und vielleicht noch versucht hätten, ein paar der angeklagten Araber darauf anzusprechen, dann wäre das besser gewesen. Aber so ging es nicht um Klärung von irgendwas oder Erkenntnisgewinn sondern um die Darstellung, dass das halt alles überall fiese Antisemiten sind, die die armen Juden plattmachen wollen.
Sehr schön auch eine Szene mit einer Professorin, die sie länglich ausführen lassen, Antisemiten würden heute ja nicht mehr das Wort "Juden" in den Mund nehmen. Sie sprächen beispielsweise nicht vom "internationalen jüdischen Finanzkapital" sondern nur noch vom "internationalen Finanzkapital" und würden ihrem Judenhass dadurch Ausdruck verleihen, dass sie jüdisch klingende Namen wie "Rothschild" oder "Goldman Sachs" nennen. Auch Israelkritik wird pauschal als Antisemitismus abgekanzelt. So etwas wie legitime Israelkritik gibt es nicht.
Fragen wie "wo kommt der eigentlich her" und "kann man mit Antisemiten reden und sie von ihrer Position abbringen" werden nicht gestellt. Die einzige Herkunftsanalyse, die mir auffiel, war, dass schlicht behauptet wurde, die Araber in Paris wären ja gar nicht per se antisemitisch, denen habe man (wer eigentlich?) aber eingetrichtert, sie müssten mit den Palästinensern solidarisieren, und die sind halt das Wurzel allen Übels. Im Übrigen, falls ihr das nicht wusstet: Die EU ist auch fies antisemitisch und fördert Hunderte von antisemitischen NGOs wie Amnesty International und Brot für die Welt in Palästina. Überhaupt fließt mehr Geld nach Palästina als in alle anderen Krisenherde der Welt. Die müssten eigentlich alles Millionäre sein, die Palästinenser, wenn die nicht so unmoralisch, verderbt und kriminell wären alle, und die Hilfsgelder (auch der Uno übrigens) absichtlich nicht in Reparaturen und Infrastruktur stecken würden, denn wenn man da Besserung sehen würde, dann könnten ja weitere Gelder wegbleiben.
Diese Vorwürfe gegen die Palästinenser kamen mir gegen Ende so absurd vor, dass ich mich an typische antisemitische Theorien erinnert fühlte, die den Juden ja ähnliches multi-level-Bösesein unterstellen.
Oh und natürlich darf kein Film über Antisemitismus vollständig sein, ohne die Protokolle der Weisen von Zion zu zitieren, und anzumerken, dass die Hamas das angeblich in ihrem Parteiprogramm zitiert (ist das so? LOL! Wie blöde sind DIE denn?!)
Das Tragischste daran ist ja, dass sie ja inhaltlich Recht haben könnten. Das könnte ja alles sein, was sie da behaupten. Es ist nur so unglaubwürdig präsentiert, und sie haben so wenig versucht, auch die Gegenseite zu Wort kommen zu lassen, dass sie ihre eigene Glaubwürdigkeit damit zerschossen haben. Ich für meinen Teil warte dann mal auf die nächste Dokumentation, die hoffentlich besser ist. Ich verstehe jedenfalls, wieso arte das nicht ausstrahlen wollte. Von Skandinavien und Ungarn war weit und breit nichts zu sehen. Ich hätte ihn aber trotzdem gezeigt. Diesen Streisand-Effekt hätte man nicht mitnehmen müssen.
Update: Ein bisschen bedauerlich ist auch, dass das einzige echte Beispiel in Europa mit Betroffenen-Befragen in Frankreich war, von einer deutschen Produktion. Das hat ja ein bisschen ein Geschmäckle, so ala "in Deutschland ist alles super, daher mussten wir nach Frankreich gehen".
Update: Money Quote des Mitautors des Films:
"Völlig überrascht"zeigt sich auch Mitautor Joachim Schroeder. Ihn beschäftige vor allem eine Frage: "Warum ist unser Film gut genug für ein Massenmedium wie Bild, aber nicht für den WDR und Arte?"
Au weia.
Update: Zapp hat dazu einen Beitrag gemacht, hier noch ein Interview dazu.
Man merkt dem Comey an, dass er Erfahrung mit Verhören hat. Das perlt alles nur so an dem ab, kein einziges Mal ließ der sich auch nur ein bisschen vorführen, oder es so aussehen, als hätte man ihn auf dem falschen Fuß erwischt. Weia.
Update: Inhaltlich ist das durchaus unterhaltsam. Comey wurde z.B. gefragt, wieso er bei Trump die Notizen gemacht hat, wenn er sie vorher bei anderen nicht gemacht hatte. Und Comey meint so ganz trocken, naja, war wichtig, und seine Persönlichkeit. Wie, seine Persönlichkeit? Na ich musste annehmen, dass er später über den Inhalt des Gesprächs lügen würde. *krawumm*
Ansonsten merkt man, dass der Mann viele Jahre Verhör-Erfahrung hat. Der lässt sich überhaupt gar nicht aus der Ruhe bringen, alles perlt an dem ab. Keine einzige Falle greift. Die Republikaner haben dann auch aufgegeben, seine Person anzugreifen, und fingen an, über Benghazi und die Clinton-Emails zu reden. Alles bloß nicht Trump. Paul Ryan meinte dan, das sei doch gar kein mafiöses Verhalten, was Trump da an den Tag gelegt hat, der sei bloß neu hier und kenne das Protokoll noch nicht so!1!! So verzweifelt sind die.
Übrigens fand ich bemerkenswert, in welchem Maß Comey sich im Amt rückwärts aus dem Fenster gebeugt hat, um Trumps Gesicht zu wahren. Selbst als Trump ihn aufforderte, öffentlich anzusagen, gegen ihn werde nicht ermittelt, hat Comey es nicht getan — weil, wie sich rausstellt, das FBI dann auch offiziell ansagen müsste, wenn sie doch gegen ihn zu ermitteln anfangen. Ich an seiner Stelle hätte da mit Kusshand die Steilvorlage genommen, mir von Trump schriftlich geben lassen, dass er das gerne offiziell angesagt haben möchte, und das dann offiziell angesagt. Ein besseres Szenario als Trump sich selbst Schaden zufügen zu lassen gibt es doch gar nicht, nachdem der sich mir gegenüber wie ein Mafia-Don verhält.
Das andere Zitat, über das die Amis sich gerade ein Loch in den Bauch freuen, ist "Lordy, I hope there are tapes"
Auch ansonsten erweckt Comey den Eindruck, dass er nicht jemand ist, den man sich zum Feind machen will. An einer Stelle sagt er z.B.
if there is evidence of any wrongdoing, I am sure [Sonderermittler im Trump-Russland-Sumpf] Mueller will find it.
Das kann man auch als "ich habe die Sachen genau da hingelegt, wo Mueller als erstes gucken wird" interpretieren.
Zu der offenen Trump-Drohung, es gäbe Tapes der Meetings, meinte er nur so
I hope there are tapes and he turns them over
Denn wenn der Präsident Tapes hat, landen die irgendwann in irgendeinem Archiv und werden öffentlich einsehbar. Ein Einsender kommentiert:
Dass er die Papiere bei einem Law-Prof hinterlegt hat, ist ein echt schicker Trick. Der Typ hat genug Ahnung, dass ihm keiner an den Karren pisst, ist neutral genug, dass es nicht schlecht aussieht, und die Papers sind für das Ermittlungsgremium einsehbar, auch wenn sein Nachfolger beim FBI die Shredder warmlaufen lässt.
Auch die ganzen Fragen, mit denen sie versucht haben, ihn zu Aussagen über Geheimdinge zu bringen, blieben alle erfolglos. Die Senatoren sind ja nicht doof, die fragen das mit Absicht. Um Comey dazu zu bringen, dass er sich strafbar macht, oder zumindest angreifbar, oder dass die Sitzung geschlossen werden muss. Das perlt alles nur so an Comey ab. Der Mann weiß, was er tut.
Update: Was ich ja richtig geil fände: Wenn jetzt die Russen Comey ein Jobangebot machen würden. Es gibt ja diesen alten Spruch: Die Amis spielen Poker, die Russen Schach. Comey hat gezeigt, dass er Schach spielt. Er würde gut passen. Könnte er natürlich nicht annehmen.
MS hat seit dem letzten W10 update delta updates, sie nennen es UUPEin zweiter Leserbrief beschreibt die Situation im Digital Signage-Markt:
blogs.windows.com
blogs.windows.com
wenn ihr schon so nett fragt kann ich ja mal ein paar Zeilen schreiben da ich beruflich so ein System entwickelt habe. 2010 brauchte ich einen neuen Job und wurde über einen ehemaligen Kollegen angesprochen ob ich nicht für eine Firma die Digital Signage macht ein Internet basiertes System neu entwickeln will.Ein Dritter berichtet auch aus dem Signage-Markt:
Das VB6 System das die Firma bis dahin bai knapp 1000 Kunden am laufen hatte war in die Jahre gekommen und etwas das über einen Browser von überall her steuern war dringend erforderlich.Wie man sich sicher denken kann lief die alte Software auf Windows also sollte die neue Software auch darauf laufen - hier also schon mal der erste Grund warum Digital Signage auf Windows läuft - weil Version N-1 das getan hat. Hinzu kam das der technisch Verantwortliche (der die VB6 Version entwickelt hatte) darauf bestand verschiedene Teile der VB6 Version weiterzuverwenden (U.A. einen Laufschrift Generator der dank V-Sync seiner Meinung "Broadcastqualität" hatte).
Den Kontrollserver durfte ich glücklicherweise als Linux System bauen. Der Windows-teil in in C# geschrieben.
Seit 2010 hat sich einiges getan auch hardwaremäßig und ich hatte versucht seit 2012 oder so die Client PCs durch etwas sinnvolleres wie einen Raspberry pi oder ein geeignetes Android System zu ersetzen. Leider war dafür nie Zeit bzw. die günstigere Hardware war nie ein genügendes Argument um die knapp 2 Monate in eine neue Player Software zu investieren. (Hier also Grund 2 - "Warum es funktioniert doch").
2013 wurde die kleine Firma durch eine Größere gekauft. Der Kollege der die VB6 Software geschrieben hatte verstarb plötzlich und die Firma wurde praktisch komplett aufgelöst und alle Mitarbeiter einschließlich des Geschäftsführers entlassen. Der einzige verblieben Mitarbeiter bin ich. Das Produkt für Digital Signage in Apotheken wurde einer anderen Größeren Unterfirma mit 150 Mitarbeitern zugeteilt.
Meine neue Firma ist 100% Microsoft. Leute verwenden Windows 10 Handys hier. Ich denke das ist Grund 3 warum digital Signage auf Windows läuft - Die Funktionalität ist mittlerweile zu "klein" um das einzige Produkt einer Firma zu sein. Das heißt das diese Funktionalität als "Zugabe" zu anderer auf Windows basierter Software entwickelt wird. Und keine Firma die Windows Software baut verwendet dann Linux oder etwas anderes.
Damit ist allerdings auch die Zukunft klar - der Kontrollserver wird auf ein Windows System umgestellt. Ich denke ich werde mich nach einen neuen Job umschauen.
Die Frage "Warum ist bei DS Systemen das Update ausgestellt" hat auch ein paar Erklärungen- Digital Signage Systeme haben keine Benutzerinteraktion also fallen die häufigsten Infektionswege komplett weg - der Webbrowser und Email. Das macht es auch dank der Probleme in der jüngeren Vergangenheit mit durch WU installierte Popups (Windows 10 Nag und Office 356) einfach WU einfach auszuschalten weil wirklich die einzige Sicherheitslücke die das System überhaupt beeinträchtigen kann ein Remote Code Excecution Exploit ist - und die sind selten :/
Bei uns war WU standardmäßig angeschaltet. Es gab allerdings immer wieder kleinere Probleme mit den entsprechenden Blasen und Popups die manchmal hoch kamen - die Windows 10 Nagscreens und die Office 356 haben allerdings dafür gesorgt das Windows Update bei allen neuen PCs aus war.
Ich sehe das Nichtupdaten bei Anzeigetafeln und ähnlichem Bullshit (mir fallen Spontan einige Industriesteuerungen ein, die zwar unter Debian laufen, aber im Prinzip das gleiche Problem haben): Gut gemeintes Firewalling.Der nächste Beitrag ist kein Leserbrief aber passt gerade so schön…Diese Kisten erreichen alle anderen Kisten im LAN (müssen sie, denn ich muss die möglicherweise warten), aber nicht das Internet. Daraus folgt, dass die Dinger über die Existenz von Updates überhaupt nicht informiert sind! Jetzt reicht aber, dass eine blöde Kiste im LAN hängt und den Mist verbreitet und alle Kisten fallen um.
Ein ähnliches Problem betrifft Rechner, die (aus Sicherheitsgründen oder weil sie einfach nicht gebraucht werden), garnicht oft am Netz sind.
Ich bin im Übrigen ganz klar gegen Haftungsgeschichten, die haben nämlich schon den Schienenfahrzeugmarkt erfolgreich monopolisiert und zerstört.
Einen hab ich aber noch:
Ich arbeite in einer Organisation (stolz auf ihr HighTech-Image) in der die IT, dass volle Program der Schlangenbeschwörung durchzieht, das ihr skizziert habt. Patches testen bevor man sie ausrollt, kumulieren. Schlangenöl auf allen Rechnern, Internet über Proxy, Microsoft blacklisten für "pöse Websites" (da ist dann auch schon mal das nameserver-config-interface von Schlund gesperrt), you name it…Es hat mich echt überrascht, dass ich bisher intern von einem wannacry-Befall nichts gehört habe.
Ich selbst war lange IT-Leiter in einer grösseren Unterabteilung, mit viel spezial Krams für Geräteansteuerung. So wie ihr das beschrieben habt, nur noch gruseliger.
Diese Lösungen sind oft in-house gestrickt von Leuten, die schon längst in Rente sind und die laufen eben. Und wenn man sie anfasst, fliegt es einem um die Ohren. Die stammen aus einer Zeit, wo es ausschliesslich darauf ankam, das etwas ans Laufen kam. programmiert haben das Leute, die ihre Gehversuche mit FORTRAN gemacht haben. Irgendwann haben sie sich C oder gar C++ beigebogen, aber immer noch Spaghetticode gemacht.
Wenn du das anfassen willst, musst du es von Grund auf neu machen. Also gehst du zu deinem Management und versuchst, ein Budget zu bekommen. Wenn du Glück hast, bist du in ein paar Jahren!!! so weit, dass du deine Kisten mal upgraden kannst. Meist kriegst du aber kein Budget. Und für Security gibt es ja Schlangenöl.
Wer entscheidet in Organisationen über die Bugjets? Das sind Leute, die sich für sehr wichtig halten und die fest daran glauben, was immer zu entscheiden ist, besser entscheiden zu können, als so ein Techie mit seinem schmalspurigen Blick auf die Welt. Das gilt für Produktionsanlagen und gilt erst recht für IT, denn der Manager hat ja daheim selbst einen PC und daher kennt er sich in IT besonders gut aus. Welche Erfahrungen haben diese Typen gemacht? Wenn man updates einspielt, geht danach irgentetwas nicht mehr. Das legt eine Teilaufgabe lahm, kostet Zeit und ist ärgerlich. Updates verändern die Applikation, so dass irgendetwas liebgewonnenes nun nicht mehr oder anders geht. Firmen nutzen Updates, um den Nutzer zu entmachten (die Digikam erkennt plötzlich den Akku aus dem Zubehör und spielt nur nach mit Originalakkus. Der Drucker verlangt nach HP-Patronen.) Kurzum, in ihrer Welt sind Updates von übel. Und das Internet war ehrlich gesagt bis dato nicht wirklich so gefährlich, oder? Mein damaliger Boss hatte nie einen Virus. Er war immerhin clever genug, nicht auf jeden Scheiss zu klicken. Und Backups hat er auch. Diese persönliche Erfahrung bestimmt weitesgehend seinen Managementstil. Also kriegst du kein Budjet, denn an anderen Stellen in der Bude brennt es viel dringender. (Z.B. braucht man Juristen, damit einem nix angeflickt wird oder so ….. jedenfalls keine Scheiss-Updates.)
Nun komme ich zu dem entscheidenden Punkt: Ihr habt das T-shirt mit der Aufschrift "told you so" erwähnt. Wenn du als kompetenter Manager im IT-Bereich auf Risiken hinweist, ist das so lang o.k., wie du nach einiger Quälerei überzeugen kannst und das Budjet zur Umsetzung einer Maßnahme bekommst. Es ist unerquicklich, wenn du dich nicht durchsetzen kannst und du mit dem Risiko weiter leben mußt, weil dir per Order die Hände gebunden sind. Am schlimmsten ist aber, wenn du recht behälst. Vermutlich kannst du, wenn die Katastrophe eintritt sogar noch einen "cover-my-ass-letter" aus denm guten alten Leitzordner ziehen. Das machst du einmal, vielleicht zweimal. Sowas vetragen Manager gar nicht. Ich bin kein IT-Leiter mehr. Zum Glück war für mich das Arbeitsrecht noch so hart, dass ich eine Weile gemütlich auf dem Abstellgleis verbringen durfte und in ein paar Monaten in Rente gehen werde.
Was wir verbreitet in allen Industrien haben, ist eine Managementkrise. Es ist nicht wirklich wichtig für die Zukunft zu denken. Wichtig ist, die Dinge so zu verwalten, dass man nicht persönlich zur Rechenschaft gezogen wird. Das was Gunther Dueck so treffend die anonymisierte Verantwortungslosigkeit nennt. Diese Art von Entscheidungkriterien betreffen auch die Securityfrage. Aber das war bisher eine winzige Baustelle im Vergleich zu anderen Ecken, wo mit dem Feuer gespielt wird.
Zurück zu wannacry. Das einzig wirklich neue ist die Erkenntnis, dass einem so ein Angriff potentiell so abschiessen könnte, dass man nicht mehr auf die Hufe kommt. Da ist er in der öffentlichen Warnehmung der erste Fall. (Falls er überhaupt so wargenommen werden wird. Was sind schon ein paar Krankenhäuser!)
Ich halte das ja für ein Sturm im Wasserglas, denn der Präsident ist im US-System der oberste Arbiter darüber, was geheim ist und was nicht. Wenn Trump also irgendwas versehentlich oder absichtlich ausplaudert, ist das damit automatisch declassified. Geheimnisverrat ist die eine Sache, die man Trump also nicht vorwerfen kann.
Allerdings kam dieses Geheimnis angeblich von den Israelis, und es könnte sein, dass er jetzt diplomatisch mit denen ein Problem hat. (Danke, Florian)
Finally, this attack provides yet another example of why the stockpiling of vulnerabilities by governments is such a problem. This is an emerging pattern in 2017. We have seen vulnerabilities stored by the CIA show up on WikiLeaks, and now this vulnerability stolen from the NSA has affected customers around the world. Repeatedly, exploits in the hands of governments have leaked into the public domain and caused widespread damage. An equivalent scenario with conventional weapons would be the U.S. military having some of its Tomahawk missiles stolen.
Ganz langsam, Microsoft.Wer ist Schuld, dass es diese Lücke gibt? Ihr. Microsoft.
Wer ist Schuld, dass die Lücke jahrelang in der Codebasis verblieb? Ihr. Microsoft.
Die NSA hat die Lücke gefunden und nicht gemeldet. Ja. Sie haben sie absichtlich offen gelassen. Aber da könnt ihr nicht drauf zeigen, um die Schuld loszuwerden. Der Gaffer ist nicht am Auffahrunfall auf der Autobahn Schuld.
Ich sehe hier einen Hauptschuldigen und einen Nebenschuldigen. Der Hauptschuldige ist Microsoft, weil ihr die Lücke in den Code getan und jahrelang nicht gefunden habt. Ihr habt ein schlechtes Produkt ausgeliefert. Wenn hier jemand ganz klein mit Hut sein sollte, dann ihr.
Der Nebenschuldige ist der Endanwender, der seine Software nicht gepatcht hat. Und kommt mir nicht mit "aber aber in großen Unternehmen". Bullshit. Ein großes Unternehmen, das Patches nicht sofort einspielt, ist an den Folgen Schuld. Jeder hat immer irgendwelche Ausreden. "Aber wir mussten erst gucken, ob der Patch tut". Nein, musstet ihr nicht. Kein abzuwendendes etwaiges Problem durch einen Patch ist so schlimm wie Remote Code Execution mit Kernel-Privilegien. Nichts. Schaut mir in die Augen. Nichts. Nichts ist so schlimm. Wenn so ein Patch rauskommt, dann spielt ihr ihn ein. Fertig. Keine Diskussion. Kein Zurückhalten. Ihr spielt ihn ein. Sofort. SOFORT.
Und im Übrigen, wenn ihr da ausgelaufene Windows-Versionen ohne Support fahrt, dann gibt es genau niemanden, auf den ihr zeigen könnt. Das ist ein Risiko, das ihr sehenden Auges eingegangen seid. Das jetzt ist die Quittung. Ich habe NULL Mitleid.
Oh und wenn ihr das antike Windows einsetzt, weil es auf einem antiken 3rd-Party-Produkt ist, für das ihr keine Patches mehr kriegt, dann könnt ihr dafür auch sonst niemandem die Schuld zuschieben. Das Risiko hättet ihr halt nicht eingehen dürfen. Ich schlage vor, dass ihr jetzt zu dem Hersteller des 3rd-Party-Produktes geht und euch zivilrechtlich gütlich haltet. Das wird alles immer nur noch schlimmer werden, solange ihr diesen Teufelskreis nicht durchbrecht.
Man hörte in letzter Zeit häufiger von irgendwelchen Spektroskopen an Unis, von Steuersoftware für Großmaschinen. Na dann hängt die halt nicht ans Netz. Wenn die Funktionalität ohne Netzzugang nicht nutzbar ist, dann hättet ihr die halt nicht kaufen dürfen, ohne euch zu versichern, dass da für Sicherheit gesorgt ist.
WER SOLL DENN BITTE DEN DRUCK AUF DIE HERSTELLER AUSÜBEN, WENN NICHT IHR?! Das BSI?! Harr harr harr.
Sorry, aber mir platzt echt der Kragen bei sowas. „Alle sind Schuld, nur ich nicht.“ Das ist das Gegen-Muster zu „Alle sind doof, nur ich nicht.“ bei Schlangenöl.
Mein IoT-Vortrag schien ganz gut anzukommen, aber das Podium war zu lahm. Heise hatte kurzfristig ein Podium zur Frage "Sind Antiviren Schlangenöl?" eingeplant, nachdem ich da im Blog einen kleineren Schlagabtausch mit Heise Security hatte. Ich war ja erstmal überrascht, dass Heise Events es geschafft hat, für alle fünf Termine jemanden von der AV-Industrie zu finden, der sich da hinsetzt und das debattieren will. Die haben ja im Wesentlichen nichts zu gewinnen in einer Diskussion zu der Fragestellung. Aber sie haben es geschafft, und Hut ab vor den Leuten, die das jetzt machen.
Heute war das Ralf Benzmüller von G Data.
Weil das recht kurzfristig noch ins Programm gehievt wurde, und wir dann an dem Tag noch am Programm herumgeschoben haben, damit das nicht nur 30 Minuten sind wie ursprünglich eingeplant, und wir vorher auch keine Gelegenheit hatten, mal einen roten Faden zu klären, lief das Podium dann ein bisschen unrund, wie ich fand. Erstmal hat Heise vorher und nachher gefragt, wer meine These unterstützen würde, und wer die Gegenthese unterstützen würde, und ich konnte grob niemanden auf meine Seite ziehen, fing auch mit der klaren Minderheitsposition an. Das erwähne ich nur, um euch zu sagen, dass mich das nicht stört. Ich mache das nicht, "um zu gewinnen" oder so. Mich stört aber, dass wir teilweise aneinander vorbei geredet haben.
Ich habe extra versucht, da die technischen Details rauszuhalten, und auf einer ganz fundamentalen Ebene zu argumentieren.
Ich habe u.a. argumentiert, dass ein Virenscanner ja PDF-Dateien scannt, auch wenn ich gar keinen PDF-Viewer installiert habe. Dann wäre ich also ohne Antivirus sicher vor Angriffen via PDF gewesen, und erst durch den Antivirus kommt ein PDF-Parser ins Spiel, der wie jeder Parser-Code potentiell angreifbar ist. Ralf dachte, ich meinte, dass der mit den selben Exploits wie Acrobat angegriffen würde, und versuchte dann auszuführen, dass ein Antivirus ja die PDF-Datei gar nicht wirklich ausführt, sondern nach Heap Spraying und NOP Sleds sucht. Nicht nur verteidigte er damit einen Punkt, den ich nie kritisiert habe; im Publikum verstand das dann auch noch jemand so, als habe er eingeräumt, dass sie da nur oberflächlich ein bisschen draufschauen und das also gar nicht wirklich absichern.
Diese Art von Detail-Kleinkram wollte ich gerade vermeiden in der Debatte, denn da verliert man sich in irgendwelchen für die Diskussion und das Publikum unwichtigen Dingen.
Meine Aussage ist ja, kurz zusammengefasst, folgende:
In meinem rationalen Universum ist mit diesen beiden Punkten alles gesagt. Funktioniert nicht und verursacht Folgeprobleme? Will man nicht!
Und für den Fall, dass die "ist ja bloß ein Grundschutz"-Ausflucht kommt, vielleicht noch garniert mit "100% Sicherheit gibt es gar nicht", hatte ich mir überlegt, wie das wäre, wenn man eine Putzkraft einstellt, und die hinterlässt dann in der Küche einen großen Schmutzfleck, und argumentiert dann: Ist ja nur eine Grundreinigung, der Flur ist aber voll sauber jetzt!
Wieso würde man bei einer Putzkraft höhere Standards anlegen als bei einem Antivirus? Erschließt sich mir nicht.
Aber es stellt sich raus, und das muss ich völlig emotionslos hinnehmen, dass die Leute da draußen wissen, dass Antiviren nichts bringen, potentiell die Dinge schlimmer machen, Geld kosten, und die Werbeversprechen der Hersteller zum Gutteil falsch sind — und das trotzdem für einen nicht nur akzeptablen sondern notwendigen Deal hält.
Ich vermute, dass es da einen bisher unerkannten psychologischen Hintergrund gibt. Meine Vermutung ist, dass das unser Ablassschein dafür ist, dass wir lauter Software einsetzen, der wir nicht vertrauen, und von der wir aus Erfahrung wissen, dass sie unsicher ist. Wir setzen die trotzdem ein, uns müssen diesen offensichtlichen Fehler irgendwie wegrationalisieren. Dafür kaufen wir uns beim Schlangenöllieferanten einen Ablassschein. Dem können wir zwar auch nicht vertrauen, aber das war ja auch nicht der Punkt an der Sache. Den Antivirus kauft man nicht, damit er einen absichert, sondern damit man sagen kann, man habe aber einen Antivirus gehabt.
Ich frage mich, ob man da nicht viel Aufwand sparen kann, und den Leuten das Geld abnimmt, aber ohne einen Antivirus zu liefern. Sankt Fefes Schlangenöl-Ablassbrief. Du setzt Internet Explorer ein? Sag drei Ave Maria und kaufe vier Sankt Fefe Schlangenöl-Ablasszertifikate!
Als Gegenleistung könnte man so richtig schöne Zertifikate drucken. Auf gutem Papier, ihr wisst schon. Wasserzeichen, Prägung, vielleicht noch ein Wachssiegel.
Sollte ich mal vorbereiten und bei solchen Gelegenheiten verkaufen. Aufschrift: Dem Eigentümer dieses Zertifikates wird verziehen, dass er immer noch Firefox einsetzt, obwohl er wusste, was da mit jedem einzelnen Release für unfassbar furchtbare Sicherheitslücken zugemacht werden müssen, und dass es keinen Grund für die Annahme gibt, dass diese Reihe nicht so weitergehen wird. Gezeichnet: Kardinal Rieger.
Auf der anderen Seite kann es natürlich sein, dass so ein Podium gar nicht funktionieren kann, denn es war ja gar nicht mein Ziel, da irgendeinen bestimmten Hersteller rauszuziehen und schlecht zu machen, schon gar nicht den, der sich neben mir aufs Podium getraut hat. Es ist auch nicht mein Ziel, dazu aufzurufen, dass die Leute alle ihre Antiviren deinstallieren. Wir sind hier alle Erwachsene. Wer auf selbstzugefügte Schmerzen steht, dem werde ich da keine Vorschriften zu machen versuchen. Und häufig haben gerade Firmen sowas ja auch aus Compliance-Gründen oder weil sonst die Versicherung im Schadensfall nicht zahlt.
Naja, und so kam am Ende völlig überraschend raus, dass die Fakten völlig unstrittig sind. Wir legen sie bloß fundamental verschieden aus.
Update: Der Vollständigkeit halber: 100% Sicherheit gibt es natürlich doch. Jemand, der keine PDF-Software installiert hat, ist 100% sicher vor PDF-Exploits. Bis er einen Antivirus installiert. Dann nicht mehr.
Update: Ich werde häufig gefragt, was denn mein Vorschlag gegen Malware ist. Hier ist meine Antwort.
Die Malware-Problematik besteht aus zwei zu trennenden Hälften. Erstens Malware, die unter Ausnutzung von Sicherheitslücken auf das System kommt. Zweitens Malware, die völlig legitim auf das System kommt, beispielsweise in einer E-Mail, und die dann vom Benutzer ausgeführt wird.
Die erste Kategorie von Malware kriegt man weg, indem man Softwarehersteller für Schäden in Haftung nimmt, die aus ihren Sicherheitslücken resultieren. Die zweite Kategorie von Malware kriegt man weg, indem man das Modell von Mobiltelefonen übernimmt. Anwendungen laufen nicht mehr in einem großen Universum gleichberechtigt nebeneinander und haben alle vollen Zugriff auf alle Ressourcen, auf die der User Zugriff hat, sondern Anwendungen laufen jeweils in einer Sandbox mit minimalen Rechten, und wenn sie eine Datei öffnen wollen, können sie nur das System bitten, einen "Datei öffnen"-Dialog anzuzeigen. Dateien einfach so mit Dateinamen öffnen oder ohne Rückfrage geht nicht. So ein Modell hat Microsoft mit ihrem App Store zu etablieren versucht, und der Markt hat sie ausgelacht und das nicht haben wollen. Dafür installieren wir uns dann einen Antivirus drüber. Um unser schlechtes Gewissen zu beruhigen.
Update: Hier kommt der Einwand, dass das ja noch dauert, bis wir Produkthaftung kriegen. Das ist also jetzt keine akute Lösung!1!! Ja, und? Gegen 0days zu helfen sagen ja auch Antiviren nicht zu. Und wenn es kein 0day ist, muss man halt immer schön alles gepatcht halten. Dann kann einem die auf Sicherheitslücken basierende Malware auch nichts. Für mich ist das der Gipfel der Unverantwortlichkeit, wenn Konzerne sich ganze Abteilungen mit Bremsklötzen leisten, die dann vorgeblich Patches "prüfen", ob die wirklich ausgerollt werden müssen oder nicht. Und in der Praxis führen die nur dazu, dass steinalte Exploits in dem Laden noch funktionieren. Aber hey, dafür haben wir ja Antiviren installiert!1!!
Und nicht auf Sicherheitslücken basierende Malware kriegt man im Firmenumfeld dadurch weg, dass man den Leuten keinen lokalen Adminzugang gibt und sie nur Programme von der Whitelist ausführen lässt. Ich glaube ja, dass das mit der Tooldiskussion neulich hier im Blog Hand in Hand geht. Firmen tolerieren ein geradezu groteskes Maß an Unwissen und Lernverweigerung. Und die Mitarbeiter nehmen das dankend an, weil sie dann die Unschuld vom Lande geben können. "Ja aber ich hab doch bloß auf das Bild geklickt und die drei Warnfenster sofort ungelesen zugemacht!1!!"
Na, wer macht so einen Vorschlag, was meint ihr?
Selbstverständlich nur mit den nobelsten Absichten, versteht sich.
Aber wisst ihr was? Ich sehe da Synergieeffekte. Der Papst hat gerade Flüchtlingslager, besonders in Griechenland, mit Konzentrationslagern verglichen. Es reicht also, wenn wir den Flüchtlingen die Flüchtlingslager zeigen. Oh warte, die kennen sie ja schon!1!! (Danke, Peter)
Der Fix ist hier.
Und DAS erwischt mich ja jetzt schon hart, denn das ist seit 2006 bekannt. Ich hielt es damals für einen Compiler-Bug, aber es stellte sich dann als pure, bösartige Absicht heraus. gcc fand damals, dass wenn der Standard sagt, dass es bei Pointer-Arithmetik in wohlgeformtem Code keinen Überlauf geben darf, dass man dann auch Code, der gucken will, ob ein Überlauf stattgefunden hat — um das Programm wohlgeformt zu halten! —, wegoptimiert werden kann. Weil nicht sein kann, was nicht sein darf. Wissenschon.
Das hat ihnen damals eine Tonne Probleme beschafft und inzwischen hat gcc diese Optimierung zumindest für Zeiger zurückgenommen. Unter anderem hatten sich auch Teile von gcc selbst darauf verlassen, dass das nicht wegoptimiert wird. Das war echt ein Brüller.
Aber leider ist es formaljuristisch korrekt, was gcc macht, daher darf man diese Art von Check nicht mehr machen, sondern muss die Pointer vorher zu uintptr_t casten. Vorsicht: nicht intptr_t! Integer mit Vorzeichen haben das selbe Problem.
Was mich jetzt irritiert, ist dass diese Art von Fehler in einer Library wie Cap'n Proto passieren kann. Das ist immerhin das Nachfolgeprojekt (von dem selben Typen) von Protocol Buffers, das Google und die halbe Welt benutzt. Der Typ macht das seit vielen Jahren. Ich hätte getippt, dass der das weiß.
Aber da seht ihr mal: Der Teufel liegt im Detail. Nicht auf Libraries von irgendwelchen Quellen vertrauen, alles nochmal selber auditieren.
Oh und: Mir fiel dieser Fehler damals auf, weil ich eine Testsuite hatte, die auch Fehlerfälle geprüft hat, ob die korrekt abgefangen wurden. Wer das für Code mit Sicherheits-Implikationen (wie Parser, Bounds-Checking-Code) nicht tut, handelt fahrlässig.
Fehlt nur noch die CIA und die Russen und die Chinesen zu einer zünftigen Verschwörungstheorie! Amateure!
du hast es wahrscheinlich mitbekommen, dass die US-geführte "Anti-ISIS-Koalition" eingeräumt hat, Hunderte Zivilisten in Mosul ausradiert zu haben [taz-Link entfernt, auf die taz linke ich nicht mehr]. (NYT spricht sogar von 200 Opfern).Na ein Glück, dass wir das mal geklärt haben! (Danke, Tilo)Die Bundesregierung sieht die Hunderten getöteten Unschuldige als "Unglück" an. Man zeigt sich traurig, aber man wolle die Menschen in Mosul doch nur "befreien". Der Kampf gegen ISIS müsse weitergehen. Die US-Untersuchungen will man nur erstmal, wie immer, abwarten. Aber eines ist Seibert wichtig: Man bombardiert unschuldige Menschen nicht mit Absicht - im Gegensatz zu Assad & den Russen! Zum Schluss erklärt das Verteidigungsministerium dann noch, dass die Bundeswehr-Tornados mit ihrer "Aufklärung" über Syrien und den Irak (und damit Mosul) die Aufgabe haben, Achtung!, Zivilisten zu schützen… aber für solche "Unglücke" könne man
Dan Bernstein ist auf dem Gebiet ein Vorreiter, der die elliptische Kurve Curve25519 so definiert hat, dass eine Implementation mit konstanter Laufzeit möglich und realistisch ist. Diese Kurve hat es inzwischen in TLS geschafft, das ist ein Big Deal, wie man so schön sagt.
Und jetzt kommt raus: Visual Studio verkackt das Kompilat über eine implizite Laufzeitroutine zum Multiplizieren.
Das heißt jetzt nicht, dass Software mit Curve25519 unsicher ist, aber das Ergebnis ist trotzdem eine echte Katastrophe. Noch eine Front mehr, die man klären muss. Am besten nur noch als Assembler ausliefern, alles!1!! :-)
Update: OK, also bei näherer Betrachtung stellt sich die Lage anders dar. Es geht um curve25519_donna, ein 64-bit-Port von curve25519 von djb. Das 32-bit curve25519 von djb hat das Problem nicht. curve25519_donna ist für 64-bit und hat dort das Problem auch nicht. Man muss also absichtlich und vorsätzlich das falsche curve25519 auf der falschen Plattform kompilieren. Dann fügt Visual Studio eine Routine ein, die die Multiplikation macht. Das macht gcc übrigens genau so unter diesen Umständen. Ich ziehe daher meine Anschuldigung zurück, dass VS hier was verkackt. Verkackt hat alleine der Typ, der das Advisory geschrieben hat. Ich vermute, der wollte nur mal seine 15 Minutes of Fame abholen. Scheiß Publicity-Scheiß immer.
Nun, außer … dass Microsoft das absichtlich sabotiert, damit die Leute endlich alle Windows 10 benutzen. Klar. Abgesehen davon halt.
Bei solchen Meldungen kriege ich ja Gewaltfantasien. Das ist doch kein Zufall oder Versagen des Systems! Das ist Absicht! Merkel schirmt sich systematisch von Erkenntnissen ab, und regiert in einer virtuellen Welt ohne Außeneinflüsse vor sich hin.
Für mich ist das keine Entschuldigung, vorher nichts getan zu haben, sondern ein Grund für einen Rücktritt. Frau Merkel, was tun Sie da eigentlich noch auf Ihrem Posten? Machen Sie mal Platz für jemanden, der seinen Job so versteht, im Voraus über sowas informiert zu sein! Immerhin ist das Land Niedersachsen mit über 11% an Volkswagen beteiligt! Hallo?! Jemand zuhause, McFly?
Es ist mir unbegreiflich, wie die Merkel sich nach sowas einfach hinstellen kann, "mein Name ist Hase, ich wusste von nichts" sagen kann, und dann ist alles wieder gut. WTF?!
Da ist auch ein PDF zu geleaked, und die Details sind durchaus interessant. Beispielsweise:
All tools must utilize Operating System (OS) provided cryptographic primitives where available (e.g., Microsoft CryptoAPI-NG, OpenSSL, PolarSSL, GnuTLS, etc).Dass sie da Polarssl und Gnutls explizit nennen, finde ich erstaunlich. Auch generell ist das nicht unbedingt ein guter Ratschlag, denn wenn du von irgendeinem gammeligen Schrott-Debian oder Embedded Höllendevice mit OpenSSL 0.98 Daten exfiltrieren willst, dann erscheint es schon ratsam, da lieber nicht die Krypto zu nehmen, die vom OS kommt. Ich sage nur Heartbleed und erinnere an das Debian Weak Key Massaker.
Messages should be compressed prior to encryption.
Die Begründung ist: Weniger Clear Text, weniger Angriffsoberfläche. Stimmt auch, aber bei TLS schaltet man im Allgemeinen das Compression-Feature absichtlich ab, weil es da mal ein Problem gab. Die CIA sagt jetzt nicht, man soll das anschalten. Aber es steht auch nicht explizit da, dass man es nicht anschalten soll. Von einem Papier, dessen expliziter Existenzgrund ist, Verwirrung zu verringern, hätte ich das erwartet.Tools should perform key exchange exactly once per connection. Many algorithms have weaknesses during key exchange and the volume of data expected during a given connection does not meet the threshold where a re-key is required. To reiterate, re-keying is not recommended.
Das ist so m.W. eine eher selten ausgesprochene Empfehlung. Ich finde ihre Begründung jetzt nicht absurd. Da müsste man mal drüber diskutieren. SSH macht z.B. automatisch Re-Keying nach einer Stunde oder so (einstellbar). Mein Bauchgefühl wäre: Wenn ein Bug im Key Exchange ist, dann wäre der auch im initialen Key-Exchange, nicht nur im Re-Keying.Spannend ist auch dieses Detail bei der Collection Encryption Suite, das ist ihre Empfehlung für die Verschlüsselung von abgehörten Daten, die sie irgendwo abgefangen haben, die aber unterwegs auf irgendwelchen unvertrauenswürdigen Wegen zu ihnen kommen. Da nennen sie als Beispiel:
The Collection Encryption Suite is intended to safeguard collected information as it resides temporarily on an untrusted file system or as it transits a file-oriented communication mechanism (e.g., gap jumpers, bit torrent, HTTP post, etc.).
Oh, ach? Die CIA benutzt Bittorrent für den Transport ihrer abgehörten Daten? Das ist ja mal unerwartet.Unten in der Kommentar-Abteilung wird es nochmal spannend. Da sagen sie nämlich explizit, dass sie nicht als Ausrede gegen die Benutzung der installierten OS-Krypto gelten lassen, dass die jemand gehackt haben könnte (ein anderer Geheimdienst beispielsweise):
In particular, the justification that an attacker might hook the OS provided cryptographic API to perform reverse engineering of the implant is not acceptable; any service (including execution) provided by the OS may be subverted and the security of a proven library outweighs the risk of attack.
Das ist nicht von der Hand zu weisen. Einzige Ausnahme ist, wenn man Windows XP angreifen will. Nein, wirklich! Denn XP kommt mit oller Gammel-Krypto, die nicht gut genug ist, um ihren Mindestanforderungen zu genügen. Da soll man dann halt ein OpenSSL statisch reinlinken.SHA1 hat die CIA intern übrigens schon länger verboten.
Interessant ist auch, dass die CIA sagt, wenn du ein File exfiltrieren willst, und du machst Krypto und nen Hash für die Integrität drüber, dann machst du den Hash bittesehr über den Ciphertext, nicht über den Plaintext. Begründung: Wenn ein ausländischer Geheimdienst das per SIGINT mitschnüffelt, könnte er den Hash sonst gegen alle Dateien auf dem System vergleichen und so sehen, welche Datei wir exfiltriert haben. Hier ist der Absatz:
The digest is calculated over the ciphertext vice plaintext in order to protect against a SIGINT actor with access to a compromised host obtaining any information about the transfer. Using the example of an exfiltrated file (and depending on communication protocols) it is possible that a SIGINT actor could compare the hash value of every file on the compromised host to the intercepted message and thereby determine which file was exfiltrated. Calculating the digest over the ciphertext eliminates this possible information leakage without altering difficulty of implementation. See also the various debates about Encrypt-and-MAC, MAC-then-Encrypt, and Encrypt-then-MAC. The IV is authenticated by the digest in order to prevent a manipulated IV from flipping bits in the first block of the plaintext upon decryption under certain modes.
Da bin ich mal gespannt, was die Crypto-Community dazu sagt. Das klingt für mich nach grobem Unfug; daher nimmt man ja nen MAC, keinen tumben Digest. Aber hey, ich bin kein professioneller Kryptologe.In einem Absatz schreiben sie explizit vor, dass ihre innere Authentisierung nicht auf Basis von irgendwelchem gammeligen Root-CAs stattfinden darf, sondern auf einer hard-coded List von CIA- CAs basieren muss. Begründung in den Fußnoten:
This makes tool X very valuable in those countries known to routinely MitM SSL (e.g., China, Iran, and other hard targets).
HARR HARRDie letzte Fußnote hat auch das letzte Highlight:
One novel technique seen in the wild and provided purely as an example of a clever solution is the Random Decryption Algorithm (RDA) technique whereby a piece of malware does not possess the decryption key for its own main execution component. This malware is designed to brute force the decryption key, a process that can take several hours on modern hardware and has the added benefit of extreme resiliency to polymorphic detection heuristics and static scanning. Authors who believe they have a particularly novel approach are encouraged to contact the OCRB for a detailed discussion.
Das ist in der Tat eine seit ~12 Jahren diskutierte Technik aus der Virusentwicklung :-)
The interesting thing is that the "survey app" responsible for data collection is initially launched through another app called Apollo, a "music player app"Apollo is a default music app in CyanogenMod and a special version is available through the Google Play store for install on other Android devices, the "Joe" version is developed by a man named Joseph Cohen who has, according to his website, worked for "government research labs" as well as other government-sponsored projects.
Da weiß man, was man hat!Update: Einsender 1:
fyi seit CM12 (Ende 2014) ist Apollo nicht der Standard von CM (hab gerade keine bessere Quelle).
Und Einsender 2:
Die Version, um die es da geht, nennt sich "JoeApollo" und ist nicht Teil von Cyanogenmod: http://archive.is/KbIwJ
Aber man konnte es nicht sehen, denn das "ist alles OK"-Dashboard zieht seine Bilder auch aus der Amazon-Cloud, und konnte die "ist kaputt"-Bilder dann nicht laden, also sah im Dashboard alles grün aus.
Naja, Dashbaord, who cares. Sagt ihr vielleicht. Wenn ihr keine Razer-Maus habt, denn die ging nicht mehr ohne Amazon-Cloud.
Wenn ihr euch nicht sicher seid, ob ihr eine Razer-Maus habt, kann das daran liegen, dass ihr ohne Amazon-Cloud eure Smart-Glühbirnen nicht mehr anschalten konntet.
Hoffentlich habt ihr Thermostaten, die ohne Amazon-Cloud die Heizung anschalten konnten nachts.
Ist schon toll, dieses IoT, nicht wahr? The future is now! Früher nannten wir es obdachlos, heute nennen wir es Amazon-Cloud-Ausfall! :-)
Eine unzureichende Absicherung bei der Lizenzprüfung von Eset Endpoint Antivirus für macOS ermöglichte es einem Angreifer, beliebigen Code mit Root-Rechten auszuführen.Bei der Lizenzprüfung! Remote Code Execution! Mit Root-Rechten! *TILT* *TILT* *TILT* *Konfetti+Luftballons*
Hier gibt es eine Theorie. Intel soll angeblich mal wieder bei unlauteren Methoden erwischt worden sein. Es gibt Gerüchte, dass sie Händler genötigt haben sollen, noch schnell eine Großpackung Intel-Chips zu kaufen, und sie kriegen Rabatt, wenn sie die AMD-Chips nicht aufnehmen. Dafür gibt es m.W. keine Beweise, nur Gerüchte.
Aber die andere Sache, die gerade rumgeht, und die von mehreren Leuten behauptet wurde:
Eine an die Tester geschickte Mail soll unter anderem die Aufforderung "Call us before you write" (Ruf uns an bevor du schreibst) enthalten. Dazu soll Intel "Guidelines" herausgeben, wie man die AMD Ryzen CPU testen soll.Und das rückt die Sache natürlich ein ein anderes Licht. Möglicherweise hält AMD absichtlich die Samples bis auf den letzten Drücker zurück, um Intel so wenig Möglichkeit wie möglich zum Vorbereiten zu geben.
Auf der anderen Seite ist momentan anscheinend auch die Plattform noch instabil:
Unser Testbericht zum neuen Ryzen wird vermutlich nicht zum Launch fertig sein, denn aktuell scheinen nicht einmal die BIOS-Versionen der Mainboards final zu sein. Mehrere Redakteure, die bereits Muster besitzen, haben sich in Foren geäußert, dass die Systeme zum Teil instabil laufen. Neue Bios-Versionen sollen die Probleme in Kürze beheben.Das wäre natürlich auch ein valider Grund, Benchmarks vor dem Launch bzw. vor der Verfügbarkeit der stabilen BIOS-Versionen zu blockieren.
zu Deiner Frage, ob das Zeigen von Experten eine Strategie ist, um den Leuten das Gefühl zu geben, dass es da draußen Leute gibt, die sich auskennen, und der Zuschauer sich da nicht mehr näher für interessieren muss:Ich sollte das vielleicht noch mal genauer ausführen, was ich gemeint habe. Ich meinte nicht, dass ein einzelner Fernsehmacher oder Talkshowproduzent sich denkt, hey, heute halte ich mal die Massen dumm und lade ein paar Experten ein. Mir ging es eher darum, ob wir es uns in einem System bequem gemacht haben, in dem die Bevölkerung glaubt, das Wahlvolk ist eh zu doof für eine echte Demokratie, und das wäre bloß gefährlich, wenn man die ernsthaft entscheiden ließe. Wenn man diese Prämisse akzeptiert, dann wäre das ständige Vorzeigen von Experten ein mögliches Verfahren, um diese Idee zu bestärken. Ob jetzt mit Absicht oder nicht.Als Fernsehmacher sage ich dazu ganz klar: Nein.
Ob sich meine Zuschauer näher für ein Thema interessieren, nachdem ich ihnen einen Experten dazu gezeigt habe, ist deren Entscheidung. Ich habe da keine Präferenz. Wieso auch sollte ich denen das vorschreiben wollen?
Ich glaube vielmehr, die Zuschauer interessieren sich hinterher stärker für ein Thema, wenn sie das Gefühl haben, dass es sie unmittelbar betrifft.
Und die Auftritte von Experten in den Medien sind für mich auch kein Symptom dafür, dass man als Journalist sein Publikum für dumm hält.
Was glaubst Du denn, warum zum Beispiel die FAZ gerade Dich über Trojaner-Angriffe auf die Bundesregierung befragt? Doch bestimmt nicht, weil sie ihre Leser für dumm hält oder sie sich nach der Lektüre des Artikel nicht mehr näher für das Thema IT-Sicherheit interessieren sollen?
Oder habe ich da irgend etwas an der Argumentation in dem Posting falsch verstanden?
Ich denke, dass ich eigentlich auf den Widerspruch zwischen "ich habe einen Verstand, und wenn ich auf ein Problem stoße, dann benutze meinen Verstand, um mir selbst zu helfen" und "lass mal die Experten sich kümmern, ich hab ja eh keine Ahnung" hinaus wollte.
Experten sind jetzt nichts Schlechtes. Wir können ihnen gerne das Sammeln und Bewerten der Argumente überlassen. Aber wir sollten Experten nicht dafür nutzen, uns das Denken oder die Entscheidung abzunehmen.
Das Mem, dass die PSHUFB-Lösung schneller sei als POPCNT, geht schon länger rum, stimmt allerdings nicht, wenn man's richtig macht. :)Wieder was gelernt! :-) (Danke, Fabian)Dan Luu hat darüber geschrieben, das verlinke ich einfach mal:
http://danluu.com/assembly-intrinsics/Das POPCNT-Erratum, dass er da am Ende nennt, existiert über mehrere CPU-Generationen von Intel und ist möglicherweise "Absicht". Nicht um die Performance von POPCNT für nicht-NSA-User zu sabotieren :), sondern weil ein x86-Decoder ziemlich haarig ist und der Bug nicht wirklich schlimm.
Die meisten x86-Befehle sind ja bekanntlich dest = dest OP src. Jedes "Loch" in der Opcode map, in dem ein unärer Befehl steht, muss in der Instruction Decoding-Logik kodiert werden, damit der Renamer weiss, dass der Destination-Operand keine Quelle ist. Nun ist x86 sowieso relativ unregelmäßig, allerdings bei weitem nicht so sehr (auf Encoding-Ebene und für die häufig vorkommenden Befehle), wie viele das denken.
Ursprünglich (bei Nehalem, dem original-Core-i7) war das ziemlich sicher ein Bug, den sie zu spät bemerkt haben: da hat jemand den Spezialfall vergessen und es macht halt nichts wirklich kaputt, also haben sie das Design lieber nicht angefasst. CPU-Hersteller sind bei sowas sehr konservativ: wenn man spät einen nicht-kritischen Bug mit einfachem Workaround findet, dann fixt man den in der Regel nicht. Denn bei dem Bug weiss man, was passiert - ein Fix macht möglicherweise was anderes kaputt, und Validierungszeit und neue Steppings sind extrem teuer. Wenn da was schief geht, hat man erstaunlich schnell zweistellige Millionenbeträge verbrannt, dementsprechend vorsichtig geht man da vor.
In diesem Fall ist der Bug insgesamt harmlos genug, dass er offenbar über mehrere Generationen in der Bug-Datenbank lag und nie gefixt wurde, weil er nicht genug Priorität hatte. Sowas ist nicht selten.
Popcount ist übrigens für diverse SIMD-Anwendungen hilfreich, nicht nur Video. Eigentlich, wann immer es um "filter"-artige Transformationen geht (nicht Filter im DSP-Sinne, sondern die Funktion höherer Ordnung). Bei x86 macht man eine Vergleichsoperation, dann movmskps (oder pmovmskb) um eine Bitmaske mit den Resultaten in ein Integer-Register zu kriegen, und dann kann man mit ein wenig rumgeshuffle die Daten rausschreiben. Popcount braucht man dann am Ende, um rauszufinden, um wieviele Bytes man den Output-Zeiger verschieben soll. Auch da habe ich einen Link: https://deplinenoise.files.wordpress.com/2015/03/gdc2015_afredriksson_simd.pdf
Für SSE2 und 32-bit-Daten ist POPCNT noch ein bisschen albern (eine 16-Element-Tabelle tuts auch), wenn man auf 8-bit oder 16-bit arbeitet oder AVX macht (8 Lanes statt 4) lohnt sichs aber langsam.
Er bat um Paraphrasierung statt direkten Zitates, daher hier seine Antworten in meinen Worten:
Wenn man zu einem Termin nicht erscheint, muss man einen "wichtigen Grund" angeben. Was jetzt genau als wichtiger Grund durchgeht, liegt allerdings doch ein bisschen im Ermessen des Sachbearbeiters. Faustregel: Wenn man zur Arbeit gemusst hätte, hätte man auch zur Arbeitsagentur gemusst. Geburtstag ist also beispielsweise keine gültige Ausrede.
Er meint, dass seiner Beobachtung nach die meisten Sachbearbeiter strikt nach Gesetz entscheiden, weil sie nämlich bei grober Fahrlässigkeit selber in die Haftung geraten können. Wenn jemand Geld bekommt, obwohl der Sachbearbeiter eine Sanktion hätte verhängen müssen, dann kann dafür der Sachbearbeiter in Anspruch genommen werden. In der Praxis passiert das nicht, weil der Staat da nicht insistiert, die Haftung auch erst anspringt, wenn der Empfänger das Geld nicht zurückzahlen kann, und man grobe Fahrlässigkeit auch erstmal nachweisen muss. Aber das kann ich mir schon auch gut vorstellen, wenn sowas wie ein Damoklesschwert über einem schwebt, dass man dann im Zweifel gegen den "Kunden" entscheidet.
Wenn man jetzt aus Mitleid oder so eine Sanktion nicht verhängt, dann ist das sogar Vorsatz und nicht nur Fahrlässigkeit, das ist noch schlimmer.
Im Übrigen ist der Einsender auch Jurist und ist jetzt angefressen, dass ihm der andere Jurist seine Vereinfachungen vorwirft :-) Ich denke mal, dass meine Leser schlau genug sind, zu erkennen, was die jeweiligen Einsender hier jeweils mit ihren Ausführungen gemeint haben. Das ist ja auch eine Medienkompetenz-Frage.
Update: Ein befreundeter Jurist weist noch darauf hin, dass "Ermessen" nicht "Gutdünken" heißt; Ermessen ist gerichtlich nachprüfbar.
Der Verurteilte sitzt als Abgeordneter in der Stadtverordnetenversammlung und dem Kreistag Havelland und war sogar Kandidat für den Einzug in den Bundestag.
Dass dieser Anschlag gemacht wurde, bevor Flüchtlinge in dem Heim waren, heißt für mich, dass die sich das genau überlegt haben. Mörder wollten sie nicht sein, nur Sachbeschädiger. Das heißt aber auch, dass die da ein moralisches Gerüst konstruiert haben, innerhalb dessens so ein Anschlag der guten Sache dient. Aber nur, solange da noch keine Flüchtlinge drin sind. Ich bin mir jetzt gerade nicht sicher, was meine Erwartungen waren. Aber wenn das völlig unberechenbare wilde Tiere wären, dann hätten sie auch Mord in Kauf genommen, oder? Ist das jetzt gut oder schlecht?
Auf jeden Fall heißt es aber, dass die NPD keine Qualitätssicherung hat bei ihren Abgeordneten-Kandidaten macht. Das sind nicht "die weniger Schlimmen". Oder vielleicht gibt es bei der NPD auch gar keine weniger Schlimmen.
Update: Oder die NPD stellt absichtlich so Leute auf, um Nazi-Gewalt zu normalisieren und den Tätern Schutz zu bieten.
> Von: [Leser] > An: [Reporter] > Betreff: Re: Das leise Sterben der Wahrheit > > Sehr geehrter [Reporter], > > Sie hatten mich auf die Website https://euvsdisinfo.eu aufmerksam > gemacht, aus der Sie auch zitiert hatten. Dort lese ich > nun heute: > > "The Bulgarian outlet “BG news 168” gave us this curious news that the > EU Court (we’re not sure which court they refer to) has ruled that after > March 2017, Europeans are no longer allowed to baptise their new-borns." > https://euvsdisinfo.eu/eu-bans-baptising-children/ > > Unten steht im Impressum > "the EU’s East StratCom Task Force… was set up after EU Heads of State > and Government stressed the need to challenge Russia’s ongoing > disinformation campaigns" > > Die Republik Bulgarien gehört doch aber nicht zur Russischen Föderation > sondern ist ein EU-Mitglied? > > Oder ist 'The Bulgarian outlet “BG news 168”' eine verschleierte > russische Quelle? Ein Impressum finde ich dort nicht. > > Alles sehr verwirrend. > > Ich sende Ihnen das nicht, weil ich meine, daß Sie das irgendwie > kommentieren müßten. Die Site euvsdisinfo.eu scheint mir aber nicht so > komplett bedenkenlos zitierfähig. Als Ihr Leser wäre mir lieb, > Sie geben dieser Quelle kein zu großes Gewicht bei Ihrer > Nachrichtenbeschaffung. > > Freundliche Grüße > > [Leser] ________________________________________ [Reporter] schrieb > > Werter [Leser], die genannte EU StratCom-Abteilung StratCom East beschäftigt sich mit russischer und Kreml-naher Propaganda in der EU bzw. auf die EU gerichtet. Insofern steht Bulgarien nicht wie früher als faktische Sowjetrepublik, sondern als EU-Mitgliedsstaat im Fokus dieser Abteilung. > > Mit besten Grüßen, > [Reporter] ________________________________________ Von: [Leser] An: [Reporter] Betreff: Re: Das leise Sterben der Wahrheit > mit russischer und Kreml-naher Propaganda in der EU Ja doch - habe ich durchaus verstanden. Es soll doch aber offenkundig eine bulgarische Quelle (also eine EU-Quelle?) der Desinformation überführt werden? > "The Bulgarian outlet “BG news 168” Oder sind das getarnte Russen? Also - Transparenz zur Beförderung der Wahrheit fühlt sich für mich anders an. Beste Grüße [Leser] ________________________________________ Betreff: AW: Das leise Sterben der Wahrheit Von: [Reporter] An: [Leser] kreml-nahe Quellen sind nicht notwendigerweise russische Quellen. ________________________________________Oder, zusammengefasst: Kreml-nahe Quellen erkennt man daran, dass sie Propaganda schreiben. Und Propaganda erkennt man daran, dass sie Kreml-nahe Positionen vertritt. Gut, dass wir das mal geklärt haben!
Nun hat einer von Trumps Beratern sich beklagt, dass der Euro so schwach ist, und die Tagesschau befragt mal einen Ökonomen dazu. Der sagt:
"Mit Verlaub - das ist absurd"Gut, dass wir das mal geklärt haben!
Aber wie sich rausstellt: Stimmt nicht. Ich frage mich langsam, was passieren muss, damit Jürgen Schmidt aufhört, Antiviren als notwendig zu verkaufen. Das ist ja eine Sache, wenn er mir nicht glaubt, der ich in meiner beruflichen Laufbahn den Quellcode von einigen Schlangenöl-Implementationen gesehen habe, aber da aus NDA-Gründen keine Details veröffentlichen kann. Aber wenn dieser Firefox-Mitarbeiter aus dem Nähkästchen erzählt, da kann man ja wohl kaum "ach das denkt der sich doch bloß aus" zurechtrationalisieren?!
Also, lieber Jürgen. Sag mir doch mal. Was müsste passieren, damit du deine Position revidierst?
Müsste deine Mutter Ransomware über eine Schwachstelle in einem Antivirus installiert kriegen?
Ich meine das völlig ernst. Was müsste passieren?
Denn mir geht langsam die Fantasie aus, was für Szenarien da noch möglich wären, um die seit Jahren naheliegende Schlussfolgerung zu widerlegen, dass dieses Antivirus-Fanboy-Schreibertum bei Heise letztendlich Dogma ist. Religiöse Verblendung.
Wieso verkauft Heise eigentlich keine Antiviren? Bisschen Kickback der Hersteller einfangen? Tolles Geschäftsmodell! Von der Berichterstattung her könnte Heise ja kaum noch tiefer mit den AV-Herstellern unter eine gemeinsame Bettdecke rutschen.
Egal, wie viele Bugs es gibt. Bugs passieren halt. Installieren Sie den neuen Patch, dann sind Sie wieder sicher!1!!
Update: Ein Einsender meint, dass Heise einmal im Jahre der c't eine "desinfec't"-DVD beilegt, das sei ja auch sowas wie ein Verkauf von Antiviren. Kann man bestimmt so sehen, ja. Zumindest ist es ein Anfixen :-)
Update: Ohne da ins Detail gehen zu können, schließe ich mich übrigens der Einschätzung an, dass das Schlangenöl von Microsoft noch am wenigsten neue Angriffsoberfläche aufreißt. Ich hatte die Details schonmal grob dargelegt.
Update: Ich habe eine Mail von Jürgen Schmidt gekriegt. Er weist meine Kritik von sich und findet, dass seine Berichterstattung sogar aktiv für das Hinterfragen der Position steht, dass AV-Software wichtig und nötig ist. Das würde ich auch gerne so sehen, und es stimmt auch, dass er häufiger negative Meldung zu Schlangenöl bringt, aber tut mir leid, das hat ihm auch niemand vorgeworfen, dass er negative Meldungen zu AV-Software unterdrückt. Was mich an dem vorliegenden Artikel am meisten geärgert hat, war dieser Satz:
Nun lässt sich das nur allzu leicht als Unsinn abtun – etwa indem man auf die fatalen Konsequenzen ungeschützter Systeme verweist.
Hier wird per Nebensatz unhinterfragbar als Prämisse etabliert, dass a) AV Schutz bietet, b) Systeme ohne AV ungeschützt sind, und c) es fatale Konsequenzen hat, kein AV einzusetzen. Ich bestreite alle drei Prämissen. Wenn dieser Satz nicht in dem Artikel gewesen wäre, hätte ich nichts gesagt. Der Rest des Artikels ist aus meiner Sicht Berichterstattung und neutral gehalten. Da hätte ich mir zwar immer noch gewünscht, dass Heise Security ihre editoriale Reichweite nutzt, um den Leuten deutlich zu machen, dass da nicht nur irgendein Spinner Dinge behauptet, und dass Heise das auch so sieht. Aber das hätte mich nicht genug ärgert, um dazu einen Blogpost zu machen.
Update: Jürgen Schmidt schrieb mir jetzt, dass er diesen Satz anders gemeint hat, als ich ihn verstanden habe. Er wollte damit den Leser da abholen, wo er ist. Er verwehrt sich auch gegen den Eindruck, die Redaktion sei gekauft, von wem auch immer. Ich möchte hier nochmal explizit darauf hinweisen, dass ich das auch nicht vorgeworfen habe. Das Schreibertum von Heise liest sich meiner Meinung nach so. Das heißt nicht, dass irgendjemand tatsächlich gekauft ist — nichtmal, dass das Dogma Absicht ist oder bewusst stattfindet.
Ich habe Jürgen gebeten, einfach mal ein Statement zu veröffentlichen, was das klarstellt. "Wir bei Heise sind keine Antivirus-Proponenten und unsere positive Berichterstattung sollte nicht als Werbung missverstanden werden". Wenn ich Jürgen richtig verstanden habe, ist das bei Heise eh so. Also würde so ein Statement ja auch niemandem wehtun. An anderer Stelle ist Heise ja schon vorbildlich, z.B. wenn sie dranschreiben, dass ein Hersteller dem Journalisten die Reise bezahlt hat. Wenn es sich hier wirklich um ein Missverständnis handelt, können wir das ja mal eben kurz und schmerzlos auflösen. Your move, Heise.
Update: Angesichts dieses Artikels muss ich meine Kritik an Jürgen Schmidt in der Tat zumindest partiell widerrufen. Da schreibt er
vieles von Böcks Kritik trifft voll ins Schwarze
Ich sehe aber immmer noch einen Unterschied zwischen dem Anerkennen von Fakten und dem Aussprechen der sich daraus ergebenden Bewertung, dass Antiviren grundsätzlich nicht vertrauenswürdig sind. Das blieb Heise bisher schuldig.
Beide reden sich um Kopf und Kragen, aber die SJWs löschen dann schnell ihre peinlichen Tweets.
Ich frage mich, ob dem Trump einfach noch keiner erklärt hat, wie man Tweets wieder löscht, ob dem seine alten Tweets schlicht nicht peinlich sind, oder ob er das nicht alles mit voller Absicht macht.
Stellt euch mal vor, ihr wäret US-Präsident, und ihr wurdet von den ganzen Rednecks gewählt. Eigentlich seid ihr eher progressiv drauf, habt jahrelang für Abtreibungen argumentiert, für eine ordentliche staatliche Gesundheitsversorgung, für Drogenliberalisierung. Ihr müsst jetzt irgendwie diese Hillbillies befrieden, damit die nicht mit Mistgabeln nach Washington kommen. In Sachen Signalling macht Trump gerade aus der Perspektive alles richtig, und da sind auch die alten peinlichen Tweets alle eher Asset als Liability.
Aber hey, was ich eigentlich sagen wollte: Ich brauche eure Hilfe. Arnold hat ja bei Trumps Amtseinführung seine Reality-TV-Sendung "The Apprentice" übernommen, und ohne Trump gingen natürlich direkt die Einschaltquoten runter. Seit dem piesacken die sich gegenseitig aus der Ferne. Arnold meinte dann irgendwann, hey, Trump, lass uns tauschen. Du machst Apprentice, ich mach Präsident! :-)
Trump hat daraufhin beim National Prayer Breakfast (nein, wirklich!) dazu aufgerufen, für Arnold zu beten. Also nicht direkt für Arnold, für Einschaltquoten. Glaubt ihr nicht?
President Donald Trump veered off script at the start of the National Prayer Breakfast Thursday when he asked a room full of lawmakers, foreign dignitaries and religious leaders to pray for Arnold Schwarzenegger so that ratings of his show — NBC's "The Apprentice" — would go up.
Also ich für meinen Teil kann nur sagen: you had me at "National Prayer Breakfast". WTF?!Aber da ging mir durch den Kopf: Was wir jetzt brauchen, ist ein GIF. Arnold geht in die Vergangenheit, um Trump zu verhindern. Ich finde gerade keine Bilder von Miles Dyson (dem Cyberdyne-Chef in Terminator 2) mit Arnold in einem Bild. Das wäre glaube ich das angebrachte Motiv an der Stelle. Da halt über den Dyson einen Trump-Kopf photoshoppen.
Oder man könnte auch einen Photoshop machen mit einem Trump-T800, der Arnold jagt. Denkt euch mal was schönes aus, und viel Spaß dabei!
Update: Oh das war anders herum. Erst hat Trump zum Gebet gerufen und dann hat Arnold gemeint, wir können ja tauschen, dann können die Leute wieder ruhig schlafen.
die internationale Dating- und BDSM-Community fetlife.com wird gerade existentiell bedroht. Die 2 Geschäftskonten des Betreibers bei 2 verschiedenen Banken sind gesperrt, auf Betreiben eines Kreditkartenunternehmens, das sich über "blood, needles, and vampirism" und etwas schwammiger über "Illegal or Immoral" Inhalte beschwerte. Als erste Maßnahme hat der Betreiber gezwungenermaßen Hunderte Gruppen und Accounts gelöscht, die einschlägige Themen behandeln oder auch nur im Namen trugen. Wohlgemerkt, es geht um sexuelle Fantasien und ausschließlich einvernehmliche Praktiken.Das ist in der Tat eine Sache, über die viel zu wenig gesprochen wird, dass privatisierte Zensurinfrastruktur keinen Rechtsweg offen lässt. Ich habe das ja bei Facebook und Hatespeech schon ein paar Mal angesprochen, aber dass damit jetzt irgendwelche Puritaner anderen Leuten das Ausleben ihrer Sexualität untersagen wollen, das ist ja leider kein großer Schritt mehr von da aus :-(Warum sollte uns das kümmern?
- Es sind hunderttausende Mitglieder aus vielen Ländern betroffen (Deutschland ist eine der größten Untergruppen), die oft keine andere Möglichkeit haben, überhaupt über ihre eigene Sexualität zu sprechen. Fetlife.com ist dezidiert queer und poly und offen, daß sie jetzt zu so einem Schritt gezwungen werden, richtet gewaltigen Schaden an.
- Die Macht der Kreditkartenfirmen (und -abwickler) ist gewaltig. Ohne sie läuft in den USA gar nichts, keine Firma, keine Organisation, die auch nur irgendwie Geld bekommt, seien es Anzeigenerlöse oder Spenden. Das haben konservative Gruppen erkannt und benutzen diesen Hebel, um ihnen unangenehme Inhalte und Aktionen zu unterdrücken.
- Es gibt keine gesetzlichen Regelungen, keinen Rechtsweg, um sich gegen so eine Kontosperrung wehren zu können. Die Situation ist vergleichbar mit Youtube-Sperrungen wg Copyrightclaims oder Facebook-Sperrungen wg "Verstoß gegen unsere Content-Policy".
- Fetlife.com ist keineswegs ein Einzelfall, Seiten wie motherless, imagefap etc haben schon längst ganze Kategorien gelöscht und viele Begriffe un-suchbar gemacht.
- Es geht nicht etwa nur um Sex oder "irgendwelche Vorlieben". Mit demselben Hebel (mit genügend Geld wedeln) können zB Immobilienbesitzer Websites von Mieterinitiativen lahmlegen. Die Taktik, dem Gegner einfach mal die Lebensgrundlage zu entziehen, wird wieder beliebter, siehe Humboldt-Uni gegen Andrej Holm.
- Die BPjM hat dick die Finger drin, wenn es nach ihr ginge, wäre die ganze Community für Deutschland gesperrt, weil kein zertifiziertes Altersverifikationssystem (vulgo Gelddruckmaschine für Wegelagerer) den Zugang verhindert.
Was wäre zu tun?
Zunächst einmal ist Öffentlichkeit herzustellen, denn dann zensiert sichs nicht mehr so einfach unbemerkt im Dunkeln.
Die Diskussion um irgendwelche "dringend benötigte" Zensurinfrastruktur, wie aktuell für Facebook, klammert sich hierzulande sehr an Gepöbel und Holocaustleugnung, blendet aber die Folgen aus und vergißt, daß selbst das schlechteste Gesetz immerhin noch einen Rechtsweg besitzt - aber eine funktionierende Zensur in den Händen privater Firmen unangreifbar ist. Nötig wäre ein gesetzlicher Rahmen, der allen Firmen eine "Content-Neutralität" auferlegt und Verstöße dagegen ahnden kann.
Quellen:
Die Stellungnahme von John Baku, Betreiber von Fetlife.com
Zusammenfassung der LageDisclaimer:
Ich bin im Vorstand von BDSM-Berlin e.V. (bdsm-berlin.de), wir sind ein gemeinnütziger Verein und seit fast 20 Jahren aktiv in Sexualaufklärung, Beratung und Hilfe.
Update: Highlight aus der verlinkten Stellungname von dem Fetlife-Betreiber:
Why haven't you embraced Bitcoin to get away from the restrictions of the banks / credit card companies? - @Eibon
We used to accept bitcoins through Coinbase.
They dropped us a year ago because we are a kinky site. No joke.
Kannste dir gar nicht ausdenken, sowas.
BREKEND Wij spraken met een getuige over Trumps Golden Shower. Morgen. @Telegraaf @MrNedjerovÜbersetzt heißt das: EILMELDUNG: Wir sprachen mit einem Zeugen über Trumps goldene Dusche. Gemeint ist, dass Trump gerade in Holland eine riesige Protz-Jacht bauen lässt, und da ausdrücklich eine goldene Dusche installiert haben wollte. Hier ist ein Foto davon.
Aber natürlich war das (absichtlich) missverständlich und anscheinend sind ein paar russische Medien voll aufgesprungen und haben sowas wie "ZEUGE FÜR TRUMPS SEX-ESKAPADEN PACKT AUS" verbreitet. Daraufhin hat der Journalist wohl ein bisschen Druck gekriegt, den Tweet wegzumachen und sich auch wortreich entschuldigt :-)
Hier ist ein Bild der "Jacht" (eher ein Kreuzfahrtschiff von der Größe her).
Update: Kris Köhntopp hat mehr Details. Das war nicht kürzlich, wie sich rausstellt, sondern in den 80er Jahren.
Der Punkt war, daß das alles 30 Jahre her ist, und Jos da einen Witz gemacht hat, der eskaliert ist.
Nichtsdestotrotz ist die Story interessant, weil a) die Yacht selbst eine spannende Geschichte hat und ein Star in einem James Bond Film ist, b) Trump sie praktisch umsonst bekommen hat (29 Mio, und noch eine Million Rabatt, wenn er sie umbenennt, weil Kashoggi sie nicht in Trumps Händen mit dem Namen seiner Tochter wissen wollte - kann ich verstehen), c) die Geschichte der Werft spannend ist und sie eine lange Historie an Kreuzfahrtschiffen für Superreiche hat und d) Trump nach der Yacht eine noch größere bauen wollte und die Holländer dafür bezahlen sollten. Das ging schief und am Ende mußte Trump die Werft kaufen.
Die Jacht gehört inzwischen übrigens nicht mehr Trump, der hat sie 1991 verkauft — und dabei 9 Millionen Dollar Verlust eingefahren. (Danke, Vincent)
Money Quote:
Wenn jemand das Gefühl hat, ein anderer verschweige seine wahren Absichten, dann muss er, sorry, den Nachweis führen. Und nein, dass eine Zeitung Immobilienanzeigen druckt, beweist nicht, dass ihre Redaktion von der Immobilienwirtschaft gelenkt wird.:-)
Update: Wo kommt eigentlich der Kampagnen-Vorwurf her? Vom ehemaligen Nachrichtenmagazin!
Zu groß war auch der Druck der Öffentlichkeit und insbesondere einiger Berliner Medien.
Welchen Druck der Öffentlichkeit die da meinen, erschließt sich mir nicht. Die Öffentlichkeit hat eher in Richtung Holm Bleibt gedrückt.
Im Hotel-Frühstücks-Saal hängen lauter Fernseher aus, das ist in den USA (leider) so üblich. Normalerweise nervt das nur, aber dieses Mal war das echt ein Gefühl wie in einem Matrix-Film. Da lief heute morgen Berichterstattung über Märsche gegen Trump, und die hatten Bilder aus mehreren Großstädten, so Luftbilder, wo das nach Hunderttausenden aussah, zusammen womöglich mehr als eine Million. Viele davon waren Frauen, die gegen Trumps Sexismus protestieren wollte, aber nicht nur.
Kennt ihr die Eingangsszene von Shawn of the Dead? Ein großartiger Zombie-Film aus Großbritannien. Der Protagonist läuft völlig in seiner eigenen Welt auf dem Weg zur Arbeit an brennenden Autos und Zombies vorbei. So fühlte sich das hier auch an. Im Fernsehen liefen diese ganzen apokalyptischen Bilder von wegen "die Welt brennt, das Land zerbricht, run for the hills" und keiner der Leute schien das wahrzunehmen. Ich starrte da halb entgeistert auf die Schirme, als diese enormen Menschenmassen gezeigt wurden, und die anderen nippten halt an ihrem Pumpkin Latte oder was die hier für gruseliges Zeug trinken.
Tja, und in Deutschland treffen sich die Rechtspopulisten, das wurde hier ein paar Mal in einem Atemzug genannt. Brexit, Trump, Marine Le Pen.
Ich bin einigermaßen erschüttert über dieses Urteil. Seit wann spielen die Erfolgsaussichten eine Rolle? Bei den Terrorfällen spielte es ja in der Vergangenheit auch keine Rolle, wenn die Terroristen noch keinen Zünder für ihren Sprengstoff hatten, oder?
Auf der anderen Seite ist damit ja wohl auch das KPD-Verbot rückwirkend hinfällig (das war meiner Meinung nach schon immer ein Schandfleck für die Bundesrepublik Deutschland).
Update: Hier ist die KPD-Passage nochmal explizit, weil das so wichtig ist:
An der abweichenden Definition im KPD-Urteil, nach der es einem Parteiverbot nicht entgegenstehe, wenn für die Partei nach menschlichem Ermessen keine Aussicht darauf besteht, dass sie ihre verfassungswidrige Absicht in absehbarer Zukunft werde verwirklichen können (BVerfG 5, 85 <143>), hält der Senat nicht fest.
Liebe Leser, willkommen bei der Medienkompetenzschulung. Erfolgreiche Manipulation funktioniert heute nicht mehr so, dass man unwahre Dinge behauptet, sondern dass man Dinge nicht sagt sondern nur andeutet. Natürlich habt ihr alle Recht, dass die Frage nach der Absicht solcher Konditionierung auch wichtig ist, aber ich hatte sie nicht gestellt. Die schwang nur mit.
Mir ging es vielmehr darum, dass Kriege, Unterdrückung und Ausgrenzung immer eine Dehumanisierung des Gegners benötigen. Die Nazis haben viel Aufwand investiert, um das Konzept des „Untermenschen“ zu etablieren. Das ist auch heute noch zentraler Bestandteil des Narrativs gegen Ausländer, nur umschreibt man es. Heute wird die angeblich inhärente Rückständigkeit des Islam als Argument für die Dehumanisierung der Flüchtlinge genommen, oder ihre angeblich höhere Kriminalität, oder ihre angeblich geringere Bildung. Immer Dinge, bei denen wir hier ein höheres Niveau zu haben glauben, und das wird dann in dem Narrativ zum Standard erhoben und wer unter den Standard fällt, ist halt weniger wert. So funktioniert das.
Und die Synapsenbahnen, die man für die Dehumanisierung der Flüchtlinge braucht, werden durch so Bilder wie bei World War Z trainiert. Das ist jedenfalls die These, über die ich euch zum Nachdenken bringen wollte.
Glaube ich, dass es da einen Kabal an Filmemachern gibt, die die Anti-Flüchtlings-Agenda vorantreiben wollen? Nein. Aber was durchaus seit Jahren bekannt ist, ist dass Actionfilme nicht ohne Hilfe des US-Militärs die ganze geile Militär-Hardware zeigen können, und das US-Militär hilft nur mit, wenn sie Einfluss auf die Agenda des Films nehmen dürfen. Googelt da mal ruhig selber ein bisschen.
Was ich erreichen wollte: Dass ihr beim nächsten Mal im Kino aufmerksam beobachtet, wie die eure Synapsenbahnen trainieren, wenn sie euch gesichtslose Horden von namenlosen Degenerierten zeigen, gegen die die Helden sich mit einer Mauer schützen müssen. Seien es jetzt Aliens, Zombies oder Roboter. Seid euch dessen bewusst, was da gerade passiert.
als Filmstudent ist man in der komischen Lage, dass man sich noch so lang mit dem Thema beschäftigen kann, man hat trotzdem nie das Gefühl "mehr" sagen zu können als andere, die das aus der reinen Konsumentenperspektive sehen. Deiner These würde ich zumindest teilweise zustimmen: das hat was mit den grausamen, barbarischen und gleichzeitig irgendwie untoten Massen zu tun, die im krassen Kontrast zu dem Individuum des Helden stehen. Aber ob das jetzt Flüchtlinge sind oder ob das vielleicht nicht doch eine liberale Hollywoodelite ist, die mit den blöden Orks, Zombies usw. die Menschen in ihrem Land gemeint haben, die sich jetzt (aus ihrer Perspektive) erdreistet haben den Falschen zu wählen? Kann man nicht sagen, denke ich, im Film gibt es keinen Einfluss in Reinform, heute ist alles eine Mischung aus 1000 Einflüssen: ökonomische Zwänge, Zuschauerstudien, Verträge mit Stars die bestimmte Shots haben wollen, Gewohnheiten, Eitelkeiten, Zufälle, das Gefühl Angesichts der CGI-Möglichkeiten megalomanisch zu werden, welche Nachrichten ein Drehbuchautor an dem Tag gesehen hat als er eine bestimmte Szene geschrieben hat usw.Dazu kurz meine Replik: Ich habe extra nicht die Frage gestellt, ob das absichtlich passiert, sondern nur ob es passiert. Aus meiner Sicht ist nämlich die Dehumanisierung der Gegenseite die wichtigste Kriegsvorbereitung, die es gibt. Und das machen bei uns die Hollywood-Filme.
Ich würde dem nicht so viel Bedeutung beimessen. Es gibt wesentlich stärkere "Verblendungen" im modernen Kino. Siehe:https://www.youtube.com/watch?v=jZSRxp-dJ-Q
Dieser großartige Videoessay vergleicht das erste (und unübertroffene) Meisterwerk "Seven Samurai" von Akira Kurosawa mit dem heutigen Actionfilm. Criswell beschreibt da ein Gefühl, das ich schon ganz lange habe, wenn ich heutige Filme schaue: man sieht ganz oft Aktion, aber ganz selten die Folgen von dieser Aktion. Alles ist seltsam virtuell und folgenlos. Was bringt einem die Explosion einen ganzen Öltankers, wenn man nicht das Gefühl hat, dass es irgendwelche Folgen für Protagonisten, Umgebung und den weiteren Verlauf hat? Kurosawa schneidet in seinem Film von dem, der zuschlägt immer auch auf die Leute die dadurch sterben – es gibt eine Aktion und eine Folge. Im heutigen Actionfilm klebt die Kamera förmlich an den Helden und zeigt diejenigen die sie bekämpfen auf eine seltsam entrückte Art und Weise. Oder die Kamera fliegt entfesselt durch das unübersichtliche Getümmel wie in World War Z und stellt CGI wie einen Jahrmarkteffekt aus. Man stelle sich vor wie die Schlacht um Helms Kamm bei Kurosawa ausgesehen hätte..?
Ich versuche schon länger meinen Finger darauf zu legen was das genau für eine Entrücktheit ist und warum die Leute das schauen und nicht etwa abstrafen. Vielleicht wird da sowas wie ein Wunsch nach einer Loslösung von einem durch Physik und Moral eingeängten Körper erträumt? Als Vorstufe zum virtuellen Cyborgwesen? Vielleicht ist das auch ein Verdrängungsmechanismus? Der Versuch "wir sind die Guten" so selbstverständlich zu verankern, dass niemand je auch nur einen Moment zweifeln könnte?
Es ist bezeichnend, dass das bei Kurosawa nicht immer so ganz eindeutig ist, wer die Guten sind, obwohl der Plot ("Samurai verteidigen Dorfbewohner vor Banditen") das sowas von massiv hergeben würde.
Parteien sollen demnach künftig weniger EU-Finanzierung erhalten, wenn Mitglieder oder Partnerbündnisse von autokratischen Regimen mitfinanziert werden. […]Ist bisher nur Wahlkampfgefasel der CDU, aber wer weiß.Als jüngstes Beispiel wird in der EVP die Absichtserklärung der österreichischen FPÖ genannt, mit Putins Partei "Einiges Russland" zu kooperieren.
Denn: Das BSI ruft "Risikostufe 5" aus.
Ich finde zwar gerade keine Erklärung dafür, welche Stufen es gibt und ob 5 gut oder schlecht ist, aber ich denke mal, es ist allen klar, dass die Lage außerordentlich ernst sein muss, wenn das BSI überhaupt Risikostufen öffentlich verkündet.
WIR WERDEN ALLE STÖRBEN!!1!
Jetzt kann doch jemand mit Gewinnerzielungsabsicht urheberrechtsverletzende Werbung schalten und dann die Webseiten in Anspruch nehmen!
Oder übersehe ich da was?
Und wenn Webseiten für Urheberrechtsverletzungen bei Dritten haften, dann doch sicher auch für Malware! Wir können also endlich die Verlage für die Malware in Anspruch nehmen, die über deren Werbenetzwerke verbreitet wird!
Vielleicht wird Ransomware damit zu einer Art Geschäftsmodell, aber nicht nur für den Erpresser sondern auch für den Erpressten. Der kann sich ja die Kohle von dem Verlag zurückholen, der ihm die Malware-Werbung eingeblendet hat!
Oder übersehe ich da was?
Lohnt es sich ab heute, auf so viele schmierige Internetbanner wie möglich zu klicken?
Update: Ist das eigentlich transitiv? Wenn das über eine Kette von Werbenetzwerken geht, kann ich die dann alle der Reihe nach in Anspruch nehmen?
Update: Ein Einsender schlägt vor, die Leistungsschutzrecht-Verfechter zu priorisieren.
Die Website des hamburgischen Justizportals verwendet keine Cookies.Na dann gucken wir doch mal!
$ curl -I http://justiz.hamburg.de/impressum/5886970/datenschutzIst das eigentlich strafbewehrt, in seiner Datenschutzerklärung unrichtige Behauptungen aufzustellen?
HTTP/1.1 200 OK
ServerHost: apache/portal4
X-Frame-Options: SAMEORIGIN
Set-Cookie: JSESSIONID=0BDB6C32B9841D0D54E8F12D28560878.liveWorker2; Path=/; HttpOnly
Content-Type: text/html;charset=UTF-8
Content-Language: de-DE
Transfer-Encoding: chunked
Set-Cookie: BIGipServerv5-webstatic-80-12-cm7=201593260.20480.0000; path=/
Vary: Accept-Encoding
Heute so: Gucken wir doch mal ins Impressum bei justiz.hamburg.de!
Das Justizportal Hamburg enthält auch Links und Verweise auf Websiteangebote Dritter. Die Verantwortung für diese fremden Inhalte liegt ausschließlich bei dem Anbieter, der diese Inhalte bereithält. Den Nutzerinnen und Nutzern des Justizportals Hamburg wird mit diesen Links allein der Zugang zu diesen Angeboten vermittelt. Für rechtswidrige, fehlerhafte oder unvollständige Inhalte sowie für Schäden, die aus der Nutzung dieser Websites entstehen, haftet allein der Anbieter der Seite, auf welche verwiesen wurde.NEIN!! DOCH!!! OOOOOH!!!! (Danke, Moritz)
Boah was bin ich froh, keine Gewinnerzielungsabsicht mit meinem Blog zu verfolgen.
Nein.
Millions of readers who visited popular news websites have been targeted by a series of malicious ads redirecting to an exploit kit exploiting several Flash vulnerabilities.
Was dieses Mal anders ist, ist wie sie ihren Exploit-Code verbreiten: Über den Transparenz-Kanal in einem PNG-Bild vom Adserver. Oh und einen URL-Shortening-Service benutzen sie auch zum Verschleiern. Für deren Existenz gibt es ja auch genau keine Ausreden.
The companies will share 'hashes' - unique digital fingerprints they automatically assign to videos or photos - of extremist content they have removed from their websites to enable their peers to identify the same content on their platforms.
Wir sollten Orwells Leiche an einen Generator anschließen. Die Rotation kann bestimmt halb UK mit Strom versorgen.
Update: Ihr seid hoffentlich gegenüber populärjournalistischen Medizinmeldungen inzwischen ordentlich abgehärtet. Wenn nicht, übernimmt das hier ein Einsender:
Einige Dinge sind sehr ungewöhnlich:
- Die scheinen an die Presse gegangen zu sein, ohne dass das Paper akzeptiert ist.
- Die haben eine nicht klar genannt Fallzahl/Methoden/Kontrollen
- Es gibt gleich Gegenwind von peers, die finden dass es viel zu früh ist, irgendwelche Schlüsse zu ziehen und die Resultate entweder Zufall sind oder andere Erklärungen haben könnten
Du hast manchmal Medizinisches im blog und ich möchte als Arzt und seit ein paar Jahren Forscher mal generell warnen:
- die reproducibility crisis, die in der Psychologie schon länger diskutiert wird, ist bei der Grundlagenforschung auch voll angekommen: große Krebsstudien in Mäusen (also von viel höherer wissenschaftlicher Qualität als die Chemo/Eizell story) lassen sich nur selten reproduzieren (Wikipedia hat da was zu "Reproducibility": "In 2012, a study by Begley and Ellis was published in Nature that reviewed a decade of research. That study found that 47 out of 53 medical research papers focused on cancer research were irreproducible".
- der "level of approval" von drugtargets, die es bis zur Phase one clinical trial geschafft haben, ist in Onkologie etwa 7% (google "loa drug oncology") - und da sind nichtmal die targets drin, die die Pharma vorher als bullshit entlarvt hat.
- eingereichte papers bei namhaften journals sind voll mit Fehlern, die doch teilweise arg nach Absicht aussehen (EMBO journal z.B. hat so 5-25% davon, je nachdem wie man die Fehler deutet)
Insgesamt kann man eigentlich nur zu dem Schluss kommen, dass in der biomedizinischen Forschung alles ganz mies ist. Arbeitsbedingungen in "academia" sowieso, aber auch das, was rauskommt und was wir größtenteils mit Steuermitteln bezahlen. Ein Lichtblick ist aber vielleicht, dass das Ausmaß des Problems von immer mehr Forschern verstanden wird und viele versuchen, die Situation zu verbessern. "Aus dem System heraus" ist das aber wie immer saugefährlich, also gibt es Anführer aus dem großen Pool von frustrierten, am System gescheiterten postdocs, Exforschern, die mehr Interesse daran haben, die Drogentestproben aus Ostdeutschland der 80er mit heutigen Methoden nochmal zu analysieren, als das System für die Zukunft zu verbessern. Spätestens, wenn alle alten paper automatisch gescreent werden (was jetzt schon beginnt in der Psychologie und vielen Wissenschaftlern da einen Sauschrecken einjagt) und alle verdienten Professoren mit den falschen p-values der Vergangenheit konfrontiert werden, wird man wahrscheinlich sehen, ob wir sowas wie open data bekommen und schnellsten Karrieresysteme darauf anpassen können (im Moment entscheidet der kumulative Impact Factor deiner Publikationen, was aus dir wird, nicht der Inhalt deiner Wissenschaft), oder ob man eine Mauer baut, eine große Mauer und die frustrierten Expostdocs dafür zahlen lässt (keine Ahnung, wie das gehen soll, aber das hält einen ja nicht davon ab, das als Alternative vorzuschlagen).
In jedem Fall will ich warnen vor Übernahme jeglichen Enthusiasmusses aus solchen Pressemitteilungen - der ist sogar bei riesigen, augenscheinlich gut kontrollierten Studien selten angebracht und bei kleinen, obskuren Ergebnissen, die an die Presse lanciert werden sicher noch weniger. Ausnahmen bestätigen die Regel.
Diese Website verwendet Cookies, um Ihnen den bestmöglichen Service zu gewährleisten.eigentlich keine zehn Jahre Knast im sibirischen Gulag? Dieser ganze Cookie-Warnungs-Bullshit ist eingeführt wurde, damit Webseiten ihre Kunden aufklären, nicht damit sie ihnen ins Gesicht lügen.
Pointe 1: Es handelt sich um die Süddeutsche.
Pointe 2: Ihre Primärquelle ist … Buzzfeed.
*badumm tssss*
Pointe 3:
Das Portal Washington Examiner beklagt vor allem die mangelhafte Methodik. So habe Buzzfeed in seine Untersuchung eine Vielzahl von Medien nicht einbezogen - darunter Yahoo News und Daily Mail - die zwei meistgelesenen Nachrichtenseiten in den USA.So und jetzt gucken wir kurz in die freundlicherweise von der SZ verlinkten Primärquelle nach:
They didn't include Yahoo News and the Daily Mail, two of the most-read news sites in the U.S. Also excluded: Reuters, BBC, Associated Press, Bloomberg, and, ahem, the Washington Examiner. You could add the Boston Globe, the Chicago Tribune and the major newspapers in every city besides New York, L.A., and D.C.
Und, äh, dass die Daily Mail (eine Boulevard-Schmutzgazette aus UK) in den USA eine der meistgelesenen Nachrichtenseiten sein soll, das glauben die hoffentlich selber nicht. Bei Alexa tauchen die nicht mal in den Top 50 auf (und selbst in UK sind die nicht in den Top 10).Hey, liebe Süddeutsche, wenn ihr als seriöse Nachrichtenquelle ernst genommen werden wollt, dann solltet ihr vielleicht anfangen, seriöse Nachrichten zu bringen. Nur so'n Vorschlag.
Und mit besser meine ich jetzt: Desto mehr Klicks.
Mhh, warte mal, wird man nicht pro Klick bezahlt bei Internet-Werbung?
Hey, das wäre doch ein tolles Geschäftsmodell, Leute mit Bullshit-Hysterie zu ködern und dann auf Bullshit-"News"-Sites zu lenken und dort einfach Werbung einzublenden und zu kassieren.
Besonders wenn man im ehemaligen Ostblock wohnt, dann würde sich das richtig lohnen, weil die ja sonst nicht so viele Einnahmequellen haben. Hey, das müsste denen mal jemand sagen, dann könnten die … Oh warte, never mind. Stellt sich raus: Genau das passiert. Da kommen die ganzen Bullshit-"News"-Sites her.
The town of Veles, Macedonia (population 44,000), is the unlikely home for dozens of avowedly pro-Trump political news sites, featuring headlines like Hillary’s Illegal Email Just Killed Its First American Spy and This is How Liberals Destroyed America, This Is Why We Need Trump in the White House.
Und nebenan klingelt der Adsense-Klingelbeutel. Trump, stellt sich raus, lohnt sich mehr. Die Trump-Fans reagieren besser auf Hysterie. Den Mazedoniern da ist es auch natürlich völlig klar, dass ihre "News" alle Bullshit sind. Aber die sind ja auch nicht im News-Business, die sind im Werbekohle-Abgreifen-Business. Wenn es die Leute zum klicken bringt, dann publizieren sie es.Wie geil ist DAS denn?!
The Guardian has identified more than 150 domains registered to people claiming addresses in Veles, though not all of those are associated with active websites.
MWAHAHAHAHA
Ein bisschen Kontext gibt es hier.
Unter anderem pflegt sie eine Karte unter www.mut-gegen-rechte-gewalt.de, die "flüchtlingsfeindliche Vorfälle" von politisch rechts eingestellten Tätern dokumentiert. Diese Statistik hält jedoch der Überprüfung für Bielefeld nicht stand. Ein Faktencheck der aufgezählten Fälle in der Stadt ergibt: Die Fehlerquote liegt bei 80, eventuell gar bei 100 Prozent.Und wisst ihr, was das krasse daran ist? Ich bin mir sicher, dass das keine böse Absicht und kein Manipulationsversuch war. So viel Einfluss hat das Weltbild auf uns. Nicht nur auf die. Auf uns alle.
Update: Haha, sehr schön, ein Einsender weist darauf hin, dass das natürlich im gegenüberliegenden politischen Spektrum ganz ähnlich läuft. Da kursieren die Statistiken der Terrorpanik-Anschaulichkeit halber als Google-Maps-Karte mit riesigen roten Pömpeln für jeden angeblich von fiesen Migrantenausländerflüchtlingen verübten Kriminaldelikten.
Ich habe in gatling vor mehreren Jahren SSL-Support eingebaut, mit OpenSSL damals. Später habe ich auch Unterstützung für PolarSSL nachgerüstet, und als die sich nach mbedtls umbenannt haben, bin ich mitgegangen. Der Code für den SSL-Support war immer ziemlich krude, weil ich a) damit keine Erfahrung hatte und b) die APIs alle furchtbar und kompliziert sind und üblicherweise die Dokumentation eher untauglich ist. So mache ich, was viele in der Situation machen, und greife mir ein Stück Code, das ich irgendwo funktionieren gesehen habe, und übernehme das. Bei PolarSSL war das recht einfach, die liefern ein relativ minimales Beispielprogramm mit. Bei OpenSSL war das die Krätze. Es gibt da im Wesentlichen ein Beispielprogramm, nämlich den Code für s_client in dem OpenSSL-Binary, und der macht lauter unnötige und unklare Sachen. Die beschreiben das sogar irgendwo als Absicht, weil das eher Code zum Testen ist als Code zum als Vorbild nehmen.
Benutzung von SSL ist nicht so schwierig, man macht einfach statt read() SSL_read() und statt write() SSL_write(), mal ganz plump gesprochen. Hacks wie sendfile gehen dann halt nicht. Im Fall von gatling kommt erschwerend hinzu, dass ich da auf non-blocking sockets operiere, und SSL halt ein Protokoll ist, d.h. die Signalisierung ist komplexer. write() sagt unter Unix EAGAIN, um mir zu sagen, dass ich später nochmal probieren muss. Bei SSL kann es aber sein, dass ich SSL_write später nochmal probieren muss, aber das nötige Event ist nicht "kann auf diesem Socket schreiben" sondern "kann von diesem Socket lesen", beispielsweise wegen einer Renegotiation oder so. Daher haben SSL_write() und SSL_read() zwei Rückgabewerte, einen für "komm wieder, wenn ich schreiben kann" und "komm wieder, wenn ich lesen kann". Aber gut, kein Ding.
Haariger ist die Initialisierung der Sockets, das ist echt fummelig und nervig. Und die Dokumentation, die da ist, kommt in Form einer Referenz, nicht in Form eines Tutorials oder einer Einführung. Bei OpenSSL operiert man nicht auf Deskriptoren, sondern auf einer Abstraktion namens SSL*. Es gibt aber auch ein SSL_CTX*, und der Unterschied ist nicht so klar, insbesondere weil man seinen Private Key in das SSL reinlädt, nicht in das SSL_CTX. Jedenfalls war das in dem Code so, den ich damals kannibalisiert habe. Wie sich rausstellt, kann man den Private Key aber auch in den SSL_CTX reinladen, und damit steht der Wiederbenutzung des selben SSL_CTX nichts im Wege. Das habe ich neulich mal eingebaut, und die SSL-Performance hat sich wenig überraschend massiv verbessert. Ist ja auch irgendwie klar. Wieso haben die überhaupt ein API, um den Private Key in das SSL* reinzuladen statt in den SSL_CTX*? Kann ich nicht nachvollziehen, verwirrt bloß.
Aber egal, darum geht es nicht. Was ich erzählen wollte: Der SSL-Code hat zwar seit Jahren funktioniert, aber auf ptrace (meinem Blog-Server) habe ich immer bizarre Probleme gesehen, wenn ich eine größere Datei per SSL runterladen wollte. Größer ist so "ab 100 KB" in dem Kontext. Der genaue Stresspunkt variierte. Das Symptom war, dass die Verbindung in der Mitte abbrach. wget verbindet sich dann neu und probiert nochmal, aber das nervt schon. Und vor allem war völlig unklar, was das Problem war. Normale SSL-Verbindungsabbrüche schicken über die Verbindung vorher ein Alert-Paket, damit die andere Seite sieht, wieso die Verbindung geschlossen wurde. Das ist auch nichts, was ich in gatling programmatisch mache, sondern das macht OpenSSL unter den Abstraktionen. So ein Paket kam bei dem wget nicht an.
Daraus schloss ich, dass ich wahrscheinlich irgendwo versehentlich einen Deskriptor schließe, der zu einer anderen Verbindung gehört, und habe aktiv nach Race Conditions und so gesucht. Zuhause konnte ich das nie nachstellen. Schlimmer noch: Wenn ich einen zweiten gatling auf ptrace gestartet habe, konnte ich das auch nicht nachstellen. Nur auf dem Haupt-Blog-gatling mit der ganzen Last tauchte das Problem auf.
Diese Untersuchungen führten zu diesen Überlegungen. Und als ich den Bug da geschlossen hatte, … brachen die SSL-Downloads immer noch ab. Es war also klar, dass ich da noch tiefer analysieren muss. Ich fing also an, mir das Log mit SSL-Fehlermeldungen zuspammen zu lassen, und kriegte da Fehlermeldungen, die so aussahen, als machte ich beim Ausgeben der Fehlermeldungen was falsch. Ich machte also einen strace auf gatling, während das Problem auftauchte, und sah eine Abfolge von Syscalls in etwa so:
accept() -> 23Hier konnte ich also ganz klar sehen, dass kein Fehler vorlag, aber die Verbindung trotzdem geschlossen wurde.
ein paar kurze read/write auf Socket 23, kein Fehler
ein längerer read auf Socket 23, kein Fehler (offenbar der HTTP-Request)
ein langes write auf Socket 23, kein Fehler
noch ein langes write auf Socket 23, diesmal wurden von den 8k nur 4k geschrieben (der Socket ist non-blocking, das soll also so sein)
SSL-Fehlermeldung im Log
close(23)
Nun ziehe ich mir ja SSL-Fehler nicht aus dem Arsch, sondern die kriege ich vom API gemeldet. Da stimmt also was nicht, und es lag nicht daran, dass meine State Machine irgendwo versehentlich einen Socket zu früh oder von woanders schließt.
Die komische SSL-Fehlermeldung, die ich bekam, war übrigens, dass "Shutdown in der Init-Phase aufgerufen wird" (ich hab mir die genaue Fehlermeldung nicht aufgeschrieben, aus der Erinnerung). SSL_Shutdown wird in gatling in cleanup() aufgerufen, das ist die zentrale "fertig, mach mal alle Ressourcen weg"-Funktion. So und jetzt der Fnord: OpenSSL hat einen Error Stack, nicht bloß eine aktuelle Fehlermeldung. Nach SSL_Shutdown habe ich keine Fehler geprüft, denn ob das protokollmäßig funktioniert oder nicht ist mir egal, ich schließe danach den unterliegenden Socket und gebe das SSL* frei. Aber gut, für das Debugging habe ich da mal ein Stück Code eingefügt, das den Error Stack leert.
Plötzlich waren die Verbindungsabbrüche weg.
Ich reime mir das jetzt so zusammen:
Ich hoffe mal, ich freue mich nicht zu früh, und der Bug tritt jetzt wirklich nicht mehr auf. Der ist nicht so einfach zu reproduzieren.
Wir lernen daraus: Error Stack nicht global sondern pro Context oder noch besser pro State machen.
Update: Hier kommt noch der Hinweis rein, dass einem dieser globale Error-Stack dann bei Multithreading massiv auf den Fuß fallen kann. Das befürchte ich auch. gatling ist im Moment noch nicht multithreaded.
Update: Ah, der Error Stack ist pro Thread. Oh Graus ist das alles widerlich.
Es geht um die Frage, wieso wir von der Politik so offensichtlich für dumm verkauft werden. Früher war das besser, da haben sie uns noch ernst genug genommen, um uns eine zumindest oberflächlich plausible Lüge ins Gesicht zu lügen. Heute macht sich niemand mehr die Mühe.
Meine Theorie basiert auf der Beobachtung, dass Nigeria-Scammer ja auch strunzdämlich scammen, so abgrundtief schlechte Scams, dass da nur die dämlichsten der Dummen drauf reinfallen. Niemand mit mehr als zwei Hirnzellen würde auf so einen Amateur-Kack reinfallen. Und da stellte sich ja irgendwann raus, dass das mit Absicht so ist, weil das für die den Stress minimiert. Je schlauer ihre Opfer, desto mehr Anzeigen, Verfolgung, Rückbuchungen gibt es, desto mehr Nachfragen gibt es per E-Mail, von Leuten, die dann nicht dumm genug sind, sich überzeugen zu lassen. Daher zielen die ihre Scams absichtlich auf die größten Idioten unter den Vollpfosten.
Was, wenn das in der Politik genau so ist? Was, wenn die Politik ihre Nachricht auf die größten Vollidioten optimiert, und die bilden dann einen wütenden Partisanen-Mob, der Argumenten und rationalen Gedanken nicht zugänglich ist.
Und was ist mit den anderen? Die fühlen sich verwirrt und marginalisiert und alleine auf weiter Flur. So wie ihr jetzt in diesem Moment, liebe Leser. Dieser Mechanismus ist bekannt und wohldokumentiert. Der Mensch sehnt sich nach Gruppenzugehörigkeit. Irgendwann knickt ihr ein und schließt euch einem Mob an. Und solange haltet ihr euch für umzingelt von Idioten und muckt nicht auf.
Als die Politik gemerkt hat, dass die außerparlamentarische Opposition unfähig ist, größere Opposition nicht nur auf die Beine zu stellen, sondern in die Medien zu tragen, hatten die keinen Grund mehr, sich um euch zu kümmern. Ihr seid ein Problem, das sich von selbst löst.
Und die paar Mal, wo größere Demonstrationen zustande kamen, hat die Presse die schon von ganz alleine lächerlich gemacht oder in die Naziecke geschoben. Da musste die Politik gar nicht aktiv werden.
Was meint ihr zu der Theorie?
Das muss Altersdemenz sein.
Update: OK, ich glaube, ich habe sie alle wieder rekonstruieren können.
So Firmen wie Yahoo, ja?
"Kooperationsvereinbarung Cyberwehr" heißt das Papier. Es ist eine Art Vertrag, den interessierte Firmen mit dem Innenministerium und dem BSI schließen sollen. Darin erklären sie sich bereit, Mitarbeiter für diese Cyberfeuerwehr abzustellen.Cyberwehr! Kannste dir gar nicht ausdenken, sowas!
Ich meine, mal unter uns, ich warte doch seit Jahren auf eine Gelegenheit, mal endlich meine Lebenszeit und Arbeitskraft an den Staat verschenken zu dürfen, damit der weiterhin seine Kohle in Offensiv-Cyberscheiß investieren kann und nichts für Verteidigung und "die Lage besser machen" ausgeben muss!1!!
Ihr denkt euch: Hey, das hätte doch nie funktionieren dürfen?
Und dann, ab der Sekunde, hört es auch tatsächlich zu funktionieren auf?
Das passiert mir häufiger. Bisher fand ich das immer ganz lustig, aber wenn es meinen Webserver betrifft, dann ist das schon unschön.
gatling basiert auf libowfat, das abstrahiert das Event-Polling-Interface weg. In meinem Fall auf blog.fefe.de ist es epoll, das wegabstrahiert wird. Früher hatten wir poll() und select() für Netzwerk-Events unter Unix, und das war Scheiße. Der Kernel und das Userland mussten pro Iteration durch alle beobachteten Deskriptoren durchgehen und alle einmal angucken. Völlig sinnlose Verschwendung von CPU-Zeit und RAM-Bandbreite, denn normalerweise hat man als Webserver sowas wie 1000 Verbindungen offen (je nach dem, was für Timeouts man da eingestellt hat), und davon ist auf drei oder vier was los.
Die nächste Iteration von Event-API hieß SIGIO, und da hat man dann das Ansagen, an welchen Deskriptoren und Event-Arten man interessiert ist, und das Rückmelden der tatsächlich eingetretenen Events voneinander getrennt. Leider konnte SIGIO jeweils nur ein Event zur Zeit zurückliefern. Das sah damals wie ein krasser Nachteil aus, wie eine Ineffizienz. Syscalls sind nicht kostenlos, also will man pro Syscall die Arbeit maximieren. Daher war der nächste Ansatz, epoll, so, dass wieder Anmelden und Abholen getrennt war, aber das Abholen geht in Gruppen, d.h. da kriegt man sowas wie 100 Events auf einmal. Das ist deutlich effizienter, also mache ich das natürlich so.
Nun unterhalte ich mich mit meinem Kumpel Erdgeist seit längerem darüber, wie wir libowfat mal ordentlich multithreading-fähig kriegen. Der Punkt dabei ist, dass das aktuelle Programmiermodell von libowfat single-threaded ist, und das ist nicht bloß ein Problem mit Locking und Datenstrukturen. Das Problem ist folgendes.
Nehmen wir mal an, man arbeitet auf zwei Sockets zur Zeit, die zusammengehören. Bei gatling kommt das zum Beispiel für Proxy- oder CGI vor, d.h. beim Blog. Ein Socket geht zum Webbrowser des Users, ein Deskriptor geht zum CGI von dem Blog. Die gehören jetzt zusammen. Schließe ich einen, schließe ich auch den anderen.
Nehmen wir jetzt mal an, wir haben die internen Datenstrukturen soweit multithreading-fähig gemacht, und es liegen zwei Events an, einer bei dem Socket zum Webbrowser und einer beim Socket zum CGI. Aber die landen bei verschiedenen Threads. Dann kommen sich die Threads möglicherweise ins Gehege. Die Strategie für effizientes Multithreading ist, dass man die Daten so weit wie möglich trennt. Am effizientesten ist "shared nothing". Daher ist mein Ansatz, dass ich sage: Das lohnt sich erst, wenn der Thread, der einen Socket bearbeitet, da nicht groß rumlocken muss. Aber selbst wenn wir sagen, der lockt herum, dann ist das immer noch nicht trivial. Die Sockets sind ja gleichberechtigt. Wenn als Thread 1 den 1. lockt und dann den anderen, und Thread 2 lockt seinen 1. (den 2. aus Sicht des 1. Threads) und dann den anderen, dann gibt es einen Deadlock. Am liebsten will man also, dass die Anwendung nichts mehr locken muss.
Nun fiel mir vor zwei Tagen auf, dass durch dieses Event-Batch-Verfahren das ja auch passieren kann, dass du ein Event für beide Sockets reinkriegst. Das Event auf dem 1. Socket ist sagen wir mal "Connection reset by peer", du rufst auf beide Deskriptoren ein close() auf, … und an der Stelle schmeißt der Kernel weitere, noch herumliegende Events für den Deskriptor weg und meldet die nicht mehr. Alles gut? Nein! Denn wir haben ja 100 Events auf einmal abgeholt. Wir haben also potentiell noch ein Event für den Deskriptor in der Tasche, den wir gerade geschlossen haben!
OK, denkt ihr euch jetzt vielleicht, aber den habe ich ja geschlossen. Wenn das Event ankommt und ich mache ein read() auf den Deskriptor, gibt es sofort eine Fehlermeldung von read() und alles ist gut. Das ist halt gerade nicht so klar. Nehmen wir mal an, in der Mitte ist noch ein anderes Event, für das öffnen wir beispielsweise eine Datei oder einen Proxy-Socket oder ein CGI. Der Kernel wird dann versuchen, den kleinstmöglichen Zahlenwert für den Deskriptor zu liefern, und der kleinste freie Deskriptor ist der, den wir gerade geschlossen haben. D.h. wenn das Event für den 2. Socket reinkommt, ist der Deskriptor schon für was anderes belegt, und es passieren eben merkwürdige Dinge.
Wir guckten uns virtuell an, und Erdgeist meinte nur so: Wenn jemand close macht, schmeißst du die Events aber schon weg, die da noch rumgammeln?
Nein, tat ich nicht. An die Möglichkeit hatte ich nicht gedacht. Darauf war meine Datenstruktur auch nicht ausgelegt, dass man aus der Mitte der Queue was löschen wollen würde. Ich könnte da jetzt immer irgendwelche Warteschleifen durchlaufen, aber die Datenstrukturen waren ja absichtlich so ausgelegt, dass alle Zugriffe O(1) sein sollten. Nix iterieren.
Also ist die bessere Lösung, da nichts zu löschen, sondern wenn jemand close auf einen Deskriptor macht, und ich habe noch ein Event für den in der Queue (das kann ich ohne Iterieren sehen), dann verzögere ich das tatsächliche Schließen des Deskriptors, bis alle Events abgearbeitet sind. Das hat natürlich auch Nachteile, denn jetzt gibt es mehr System-Last bei der Anzahl der offenen Deskriptoren. Es gammeln ja immer ein paar noch rum, die eigentlich schon geschlossen sein sollten. Ist also auch keine schöne Lösung, aber scheint gerade erstmal zu tun. Ich mache jetzt gleich einen Mike Drop für heute und guck morgen nachmittag nochmal vorbei, ob noch alles läuft. Wenn nicht, dann wisst ihr ja :-)
Oh, Auto-Abschuss und Auto-Neustart gibt es bei mir nicht. Meine Philosophie ist, dass man Fehler sofort brachial merken und hocheskalieren muss, nicht verstecken oder verbergen, sonst gibt es nie genug Leidensdruck, die schnell zu fixen.
Wie kann es denn so eine bescheuerte Hintertür in den US-Steuergesetzen geben?!
Nun, wie sich rausstellt, ist das schon länger bekannt. Und die haben auch versucht, was zu tun, die US-Finanzbehörden:
In new guidance, the department tightened regulations requiring American businesses to bring foreign profits back home — a process known as repatriation — if they want to get credit for taxes paid in that country. Treasury issued the rule last year to prevent companies from enjoying a foreign tax credit when the related profits remained offshore. But businesses circumvented it by shifting money within their foreign subsidiaries, and Thursday's guidance aimed to end that practice.The department said it hoped the new notice would reduce corporate America’s incentive to “take advantage of our broken international tax system.” Washington is worried that mounting international tax obligations will eat away at what's left for Uncle Sam.
Ich glaube ja bei sowas nicht an Zufälle. Das war bestimmt harte Lobbyarbeit, diese Hintertüren da unterzubringen.
Allerdings bezieht sich diese Entscheidung auf einen Fall mit Gewinnerzielungsabsicht. Private Blogs ohne Werbeeinblendung könnten also nicht betroffen sein. (Danke, Vincent)
Das gute alte CDU-Politikmuster. Absichtlich unrealistische Ziele setzen, dann in Klagen reinlaufen, die man verlieren wird. Dann kann man dem Steuerzahler gegenüber so tun, als haben man es immerhin versucht, und das ist halt eine Entscheidung der Gerichte, da kann man nichts machen. Und der Industrie gegenüber gibt es fette Zahlungen. So geschehen bei der Energiewende, bei H&K, und leicht abgewandelt bei den Flüchtlingen.
Die Merkel schafft es so tatsächlich, beide Seiten still zu kriegen. Die Industrie kriegt ihre Kohle, der Steuerzahler wird über den Tisch gezogen, und die Merkel gibt die Unschuld vom Lande. Ich kenne Leute, die Merkel jetzt wegen der Flüchtlingsgeschichte für eine Humanistin halten. Die hat sich mit dem Manöver schlicht auf Jahrzehnte die Linken vom Hals gehalten und hat jetzt freie Schussbahn, kann ungestört durchregieren. Wer braucht denn noch Linke, wenn die Merkel die Flüchtlinge solidarisch behandelt? Oh und dann läuft das Land völlig überraschend und unvorhergesehen in die Realität, die die Merkel und ihre Berater natürlich vorher gesehen und dann meiner Meinung nach absichtlich eine Kollision herbeigeführt haben. Und dann? Hat Merkel einen Vorwand, die ganzen Flüchtlinge wieder auszuweisen. Damit sind dann auch die Rechten wieder auf ihrer Seite.
Aber die Merkel ist halt kein Obama. Bei Obama hat keiner gemerkt, was das für ein Mensch ist. Der hat besseres Brand Management. Auf der anderen Seite hat Merkel ja auch noch Zeit. Aus der Energiewende ist sie ja auch am Ende gestärkt hervorgegangen. Auf der anderen Seite standen da auf der anderen Seite auch Wissenschaftler, nicht AfD-Wähler. Nun, wir werden sehen.
Auf der anderen Seite redet auch in Deutschland kaum jemand über die sich häufenden Schlagzeilen, wie viele Tausende von Flüchtlingen jetzt schon wieder wegen irgendwelcher Vorwände ausgewiesen werden sollen. Klar, ein Gutteil davon ist purer Populismus. Aber das heißt ja nicht, dass die nicht wirklich ausgewiesen werden.
Ich denke das diese Leute es ernst meinen, dass die Strafverfolgungsbehördern hier gegen "Hatespeech" etc. vorgehen sollen. Das Verhaltensmuster kommt mir bekannt vor: Rede mit Gegenrede beantworten ist out, lieber wendet man sich an eine Obrigkeit, die das Problem für einen erledigt. Das ist natürlich sehr bequem, denn man erspart sich den unangenehmen Kampf.An den amerikanischen Unis ist das total In, dort hat man es auch mit einer Autorität zu tun, auf die man viel unmittelbarer Zugriff hat als auf eine Staatsanwaltschaft.
Der Druck auf die institutionalisierte Autorität wird via moralischer Erpressung ausgeübt.
"X is voll rassistisch" etc. Der Trick dabei ist es, vorher ein Klima zu schaffen, in dem eine Autorität es sich nicht gefallen lassen kann, dass man ihr vorwirft, nicht entschlossen gegen Sexismus/Rassismus/X vorzugehen. (Deswegen muss man auch immer neue Dinge als Rassismus definieren. Wäre ja blöd wenn so ein griffiges Schlagwort ungenutzt bliebe. Vgl: Vor 50 Jahren war Rassismus, wenn der Prof was von "Drecksnegern" geredet hat, heute ist es Rassismus, wenn die Verwaltung nicht die gleiche Demographie wie die Studentenschaft hat.)Das ganze Vorgehen hat was von Virtue Signaling, weil man nicht mit dem spricht, mit dem man eigentlich grade spricht. Das Messaging ist hier aber nicht an die Masse der Zuschauer gerichtet, sondern an eine höher gelagerte Autorität. (Das students council, die Unileitung, hier die Strafverfolgungsbehörden)
Das hat auch was von Plattformbesetzung.Ich denke, dass diese ganze "Hatespeech"-Kampagne ein Vorspiel für genau sowas ist. Die Rechten machen sowas die ganze Zeit vor: Wird das Klima auf die richtige Weise vergiftet, kommt die gewünschte Reaktion von alleine. Die gesamte "Sicherheitspolitik" der Union funktioniert genau auf dieser Schiene.
Aber das Klima vergiften ist halt richtig Arbeit und wir haben es hier mit Dilettanten zu tun, die wenig Erfahrung haben, "Hatespeech" ist nicht so leicht medial transportierbar wie "Rapefugees" etc. (Du kennst sicher noch Hunderte Beispiele.)
Deswegen lassen die sich auch absichtlich so gern beschimpfen: Neben dummer Kritik und inhaltlicher Kritik gibts natürlich immer auch ein paar echte Nazis die irgendwas unvorstellbar Ekliges ablassen. So ist das nunmal auf Social Media. (Und es gibt noch Zusatzpunkte in der jeweiligen In-Group.)Ich bezweifle übrigens, dass das in diesem Fall in Deutschland funktionieren wird. Lethargische Strukturen in Verwaltungen und Behörden sind ein guter Schutzmechanismus vor staatlicher Übergriffigkeit, und die zu besetzende Plattform, damit das wirklich wirksam wird, ist einfach zu groß. Das macht es aber auch zu einem interessanten Ziel.
Das Ganze ist auch ein delikates Thema, denn eine Polizei, die auf sowas erstmal gar nicht mehr reargiert, ist antürlich auch scheiße.
Ich habe das jetzt absichtlich neutral geschrieben. Und mir fällt auf, dass das genau das selbe ist, was die Linken sagen. Auch die Linken sind überzeugt davon, dass sie in der Minderheit sind und der Mainstream von den Rechten dominiert wird, dass Staat und Medien sich gegen sie verschworen haben und mit unlauteren Methoden agieren, und auch die Linken sind für Meinungsfreiheit und gegen Zensur. Sie meinen nur was anderes mit diesen Begriffen. Aber so gesehen meinen ja auch die Rechten was anderes mit den Worten. Wirklich für Meinungsfreiheit und gegen Zensur ist ja so gut wie niemand. Irgendwo zieht doch jeder eine Grenze.
Die Linken fordern Meinungs- und Zensurfreiheit für sich, aber finden, Nazi-Gedankengut muss bekämpft werden. Die Rechten fordern Meinungs- und Zensurfreiheit für sich, aber finden, kommunistisches Gedankengut muss bekämpft werden.
Und wenn sie an die Macht kommen, sind sowohl die Linken als auch die Rechten im historischen Vergleich Freunde und Betreiber eines Zensur- und Überwachungsstaates.
Vielleicht sollte man an der Stelle mal klären, wer eigentlich dieser Mainstream ist, mit dem sich Links und Rechts in Opposition wähnen. Der Neoliberalismus? Die Konzern-Herrschaft?
Ich finde auch spannend, dass ja auf gewisse Weise beide Seiten Recht haben. Sie sehen halt jeweils die Aspekte, bei denen ihre Ideologie Teil des Mainstreams geworden ist, nicht als Errungenschaft oder Guthaben sondern als selbstverständlich und ihnen zustehendes Geburtsrecht an, aber übergewichten die Aspekte, in denen die Ideologie des Gegners Einzug in den Mainstream erhalten hat.
Wenn Frau Merkel zum Beispiel ihre humanistische Ader entdeckt und Flüchtlinge ins Land lässt, dann wertet die Rechte das als Katastrophe und sich gegen sie wendender Mainstream. Aber die Linke wertet das nicht als Gewinn sondern als "das war ja wohl klar, dass man die reinlassen muss". Wenn Frau Merkel dann umdreht und keine Flüchtlinge mehr reinlassen will, dann werten das die Linken als Katastrophe und sich gegen sie wendender Mainstream. Aber die Rechten wertet das nicht als Gewinn sondern als "das war ja wohl klar, dass man nicht noch mehr reinlassen kann".
Ein faszinierendes Konundrum.
Insbesondere scheint für die Aufrechterhaltung eines radikalen Weltbildes unerlässlich zu sein, dass man sich als verfolgte Minderheit sieht. Das scheint einer der größten Faktoren zu sein, mit denen man sich eigene Handlungen und Positionen schönreden kann.
Also. Liebe Linke und liebe Rechte. Ihr seid beide nicht verfolgt in diesem Staat. Jedenfalls nicht verfolgter als die andere Seite. Niemand wird hier in irgendwelche Lager oder Geheimknäste verschoben, niemandem wird sein Hab und Gut konfisziert — im Gegenteil kriegen viele von euch noch Stütze von dem Staat, den sie politisch bekämpfen.
Wir haben hier natürlich freidrehende Geheimdienste, die die rechten finanzieren und die linken überwachen, das ist schon ein Moment der Ungerechtigkeit an der Stelle.
was ich dann auch bei mir beobachte ist, dass dadurch, dass linke Themen und Kommentare in den Medien von so Gift sprühenden Schaumschlägern besetzt werden, ich zu den konservativen Blättern wechsel.Mein Kommentar dazu: Ich sehe das ähnlich. Die Frage ist halt, was man mit linker Politik meint. Bürgerrechte, soziale Absicherung, gerechtere Verteilung des Vermögens? Schon an Fragen wie "wie verhält man sich gegenüber Israel" zerbrechen bei den Linken Freundschaften und Ortsverbände. Die Linke ist halt mehr mit Streiten als mit gemeinsamen Werten beschäftigt, und so könnte ich gemeinsame Werte der Linken gar nicht mehr aus dem Stand aufzählen.In meiner Jugend habe ich mich immer über die BILD-Zeitung echauffiert, wenn ich sie gesehen habe: Überschriften gelesen, den Kopf geschüttelt und über die Vereinfachungen gelästert, zu jeder Story habe ich sofort im Kopf einen Gegenpunkt parat gehabt. Nun fällt mir auf, dass ich ich bei Spiegel Online schon lange mache: Ich ruf die Seite auf, überfliege die nur Überschriften auf der Hauptseite, nur um die Macher für mich selbst zu verspotten. Und wenn ich dann dochmal die Stories lese, dann kommt mir das so vor als wenn ich an eine Wand der Dummheit geklatscht werde von dem Text. So ungefähr kommt mir das auch bei denjenigen Linken vor, die gerade von den Medien hofiert werden. Wie eine Wand, die plötzlich bei voller Fahrt auftaucht, und der man nicht mehr ausweichen kann. Texte, nach deren Lektüre man dümmer ist als vorher. Texte, für die man sich schämt, weil sie einfach existieren, und obwohl man sie nicht verfasst hat.
Das führt dazu, dass ich mir die Tageszeitungen, nicht mehr nach politischer Richtung aussuche, sondern nach der Qualität der Texte. Das sollte man ja eigentlich generell so machen. Ist eigentlich nicht verkehrt. Aber ich merke trotzdem, dass die besseren Texte eben auch politisch abfärben. Vielleicht bei mir weniger als bei vielen anderen, aber mehr als ich mir eingestehen möchte. Milo Yiannopoulos Konter gegen die SJW zum Beispiel fand ich ziemlich lustig, obwohl die auch unter der Gürtellinie waren. Warum? Weil die einfach so nerven, dass ich auch dafür dankbar bin, wenn Leute wie Yiannopoulos denen Konter geben.
Ich weiß nicht, wie man gegen diese Stimmung vergiftende Strömung in der Linken anders vorgehen kann. Nichts scheint zu helfen, Argumente nicht, Spott nicht. Die bekommen einfach immer wieder genug Aufmerksamkeit in den Medien, damit die die Debatten vergiften können, und die gesamte Linke als ein Haufen Idioten hingestellt werden kann.
Ich vermisse jedenfalls so richtig scharfe und intellektuell anspruchsvolle Kritik von links. Wenn die doch mal kommt, dann werden die Verfasser diffamiert (von links) oder marginalisiert.
Und ich glaube bei mir, dass ich, wenn ich einmal konservative Blätter mit Genugtuung lese, dann nur, weil es mal halbwegs zivilisiert und mit weniger Misgunst und Ad-Hominem gegen irgendwelche Abweichler in den eigenen Reihen geschrieben wurde. Mich nervt es einfach nur noch und Spiegel Online ist in der Hinsicht das Kotzblatt schlechthin. Und ich schaue mir wie ein Bulimiker das jeden Tag an, um mal kurz über die Art wie sie über ihre Lieblingsthemen schreiben einen abzukotzen.
Der Punkt ist, Seiten wie die Nachdenkseiten, können noch so aufklärerisch schreiben. Es bringt für mich persönlich als Leser keinen Spaß, sich daran zu beteiligen, wenn diese Seiten wie z.B. die NDS in der öffentlichen Debatte keinen Einfluß haben. Wenn ich weiß, der oder der Artikel auf den NDS oder bei Netzpolitik.org schlägt ein wie eine Bombe und plötzlich schreiben und berichten alle anderen darüber und setzen sich mit deren Argumenten und Inhalten auseinener, dann bringt es Spaß diese Seiten zu verfolgen. Aber wenn das nicht passiert, wird man als Leser genauso isoliert, wie diese Seiten.
Für mich ist der Unterschied zwischen den Linken und den Grünen nicht mehr offensichtlich.
Ich sehe da weit und breit niemanden, der beispielsweise für eine fundierte Kapitalismuskritik steht.
Aber ja, dass die Empörungslinken mit ihrem Gekreische die Leute den Konservativen in die Arme treiben, den Eindruck habe ich auch. Und es fällt mir auch zusehends schwerer, Argumente dafür zu finden, dass das eine schlechte Entwicklung ist.
1. Man liest seit dem Attentat, es gäbe für die UMFs [unbegleitete jugendliche Flüchtlinge] die Möglichkeit, eine Traumatherapie zu machen, z.B. hier. Stimmt so aber nicht. Tatsächlich bekommt man für jugendliche Flüchtlinge nichtmal Plätze in der Psychiatrie, wenn man von jenen absieht, die einen so schlechten Ruf haben, dass sie einfach keine einheimische Kundschaft mehr bekommen. Selbiges gilt für Psychologen - der einzige mir bekannte in [Gegend zensiert], der UMFs behandelt, stopft die dann einfach mit Psychopharmaka zu, und die Behandlung ist fertig.2. Wo wir gerade bei Ärzten sind: Viele weigern sich, UMFs zu behandeln, oder stellen nicht erfüllbare Forderungen. Z.b. das ein Dolmetscher zur Behandlung mitkommt.
3. Wo wir gerade bei Dolmetschern sind: Die paar Male, als ich welche bekommen habe, wenn ich sie brauchte (kostet ja Geld), kann ich an einer Hand abzählen.
4. Und Geld wird gerne gespart. Im oben verlinkten Artikel steht, der Vormund hätte die Aufgabe den Familiennachzug zu beantragen. Klingt toll? In beiden Landkreisen werden die Anträge von Minderjährigen systematisch verschleppt. Und solange der Antrag nicht bearbeitet wurde, kann kein Familiennachzug beantragt werden. Auf wundersame Weise kommt das Ausländeramt immer erst dann dazu, wenn der Jugendliche 18 Jahre alt wird, und damit den Anspruch auf den Familiennachzug verliert. Mit diesem Nachzug bringen übrigens die Schleuser die Familien dazu, ihre minderjährigen Söhne auf die Reise zu schicken.
5. Eine ähnlich nette Praxis gibt es bei der Hilfe für junge Volljährige. Laut Gesetz müssen die noch weiter betreut werden, wenn sie (noch) Hilfe brauchen. Da Vater Staat aber gerne spart, werden die ohne weitere Überpüfung in die GU/DU [GU = Gemeinschaftsunterkunft, DU weiß ich auch nicht] gesteckt. Wenn sie Glück haben, gibt es jemanden, der sich um sie kümmert. Wenn sie Pech haben nicht. Das wird hier so praktiziert, selbst wenn ein Blinder sieht, das die Person, um die es geht (weshalb auch immer), alleine nicht über die Runden kommen wird. Die einzigen Ausnahmen sind attestierte Behinderungen.
6. Die UMF-Unterkünfte. Die Mitarbeiter sind größtenteils nicht für den Umgang mit Traumatisierten ausgebildet. Sie sind größtenteils nicht für Migrationsarbeit ausgebildet. Sie sind größtenteils nicht für die Arbeit mit Jugendlichen ausgebildet. Die Mitarbeiter in den Unterkünften sind häufig anstrengender als die Jugendlichen. Fast keiner unter den Mitarbeitern spricht Englisch. Die Träger versuchen zu sparen, so gut es halt geht, und holen meiner Einschätzung nach teilweise auch sehr gut Geld aus der Geschichte. Dementsprechend stellen die viel zu wenige, viel zu gering Qualifizierte ein, die dann teilweise 60, 70 Stunden pro Woche (und schlimmstenfalls mehr) arbeiten. Die Heimaufsicht ist dabei sehr großzügig, weil es ja zu wenig Plätze gibt (weil ja niemand damit rechnen konnte das hier mal Leute herwollen!). Die haben in [Gegend zensiert] zwei Stellen besetzt, die sich mit den UMF-Gruppen beschäftigen, und für den Bezirk [Gegend zensiert] zuständig sind. Nur die richtig miesen Läden (z.B. [Name zensiert], ein "sozialer" Sperrmüllhändler bzw. ein "soziales Zeitarbeitsunternehmen" der seine angeschlagenen Finanzen mit seinem Ausflug in den Bereich aufbessern wollte) wurden dabei ernsthaft kontrolliert und dichtgemacht. Den Standards gerecht wird aber keiner.
7. Die Beschulung ist auch scheiße. Viel zu große Gruppen, teilweise nicht ausreichend ausgebildete Lehrer. Und nicht annähernd genügend Schulplätze. In der Umgebung warten ca. 200 minderjährige auf einen Schulplatz.
8. Jetzt noch etwas positives zum Schluss: Die Flüchtlinge mit denen ich arbeite, ob jung oder alt, sind sehr viel höflicher und motivierter als die Deutschen, die einen ähnlichen Bildungszugang haben. Eigentlich sind die alle sehr offen und freundlich, sieht man von extremen Ausnahmefällen ab (die dann aber auch eine entsprechende Biographie haben). Im Alltag sind sie auch viel weniger chauvinistisch (sei es gegenüber anderen Religionen, dem anderen Geschlecht, oder anderen Sexualitäten) als die Vergleichsgruppe. Probleme mit Gewalt gibt es ab und zu, aber das sind dann harmlose Raufereien unter Jugendlichen. Aber auch hier ist es bei den Flüchtlingen in der Qualität gefühlt harmloser.
Ich und alle anderen in dem Bereich sind guten Mutes, das die Integration der Jugendlichen klappt. Wenn die beschriebenen Probleme beseitigt würden, täten wir uns daran allerdings deutlich leichter.
Update: Ein anderer Leser dazu:
Diese Art der Verschleppung von Anträgen und die unberechtigte Einstellung von Hilfsleistungen bei Volljährigkeit gibt es nicht nur bei Flüchtlingen. Wir haben als Pflegefamilie so ziemlich genau dieselben Dinge erlebt, die Jugendämter verfahren mit unbequemen oder teuren Anträgen gerne genauso. Und wir reden hier über deutsche Pflegekinder aus deutschen Herkunftsfamilien. Wir haben regelmässig Anträge gegen persönliche Unterschrift des Sach^h^h^h^hSozialarbeiters direkt im Amt abgeliefert, und mussten des öfteren Leistungen, die den Kindern nach SGB VIII zustanden und die benötigt waren, unter Androhung von Klage bzw durch tatsächliche Klage einfordern. Hier wird sehr gerne nach dem Prinzip verfahren, das das Jugendamt zunächst versucht, Dinge auszusitzen, dann damit droht, die Kinder aus der Familie zu nehmen, da man ja offensichtlich überfordert sei, im Verfahren dann schnell wegen klarer Chancenlosigkeit einknickt und trotzdem noch um jeden Cent (buchstäblich) einer Leistung feilscht.
Es geht hier niemals um die Betroffenen, sondern darum, das den Buchstaben des Gesetzes Folge geleistet wird, und das mit möglichst wenig finanziellem Aufwand. Dabei sind die Gesetze im SGB VIII dazu da, Leistungen nach dem Bedarf des Hilfsbedürftigen zu regeln. Regelmässig wird auch von Richtern dementsprechend entschieden, das eine Leistung dem Bedarf entsprechend zu leisten ist, dennoch werden diese Urteile von Amtsseite immer wieder ignoriert.
Wir behandeln also in Deutschland alle Hilfesuchenden gleich beschissen.
New hotness: Donald Trumps Gattin plagiiert ihre Antrittsrede auf dem Republikaner-Parteitag von … Michelle Obama (ausgerechnet!)
Das ist ja schon an Peinlichkeit kaum zu überbieten, aber als die Trump-Wahlkampforganisation darauf angesprochen wird, sagen sie, das sei "keine Absicht" gewesen und versuchen, das Thema auf Hillary Clinton zu lenken :-)
Nigel Farage so: Rentenansprüche? Davon höre ich ja zum ersten Mal!1!!
Und an den Rentenansprüchen liegt es natürlich NICHT, dass Farage seine Amtszeit noch zuende absitzen will. Sondern, äh, an … oh schaut mal, hinter euch, ein dreiköpfiger Affe!!1!
Die Glaubwürdigkeit in Person, dieser Farage!
Erstens: Der Videomitschnitt eines Vortrags an der Uni Frankfurt, bei der Night of Science 2016 zum Fällen von unbeabsichtigtem Schusswaffengebrauch bei der Polizei. In dem Video zeigen sie ein Testvideo über Wahrnehmung, das in dem Mitschnitt stark ruckelt. Nehmt an der Stelle einfach die Youtube-Version.
Und hier noch ein Hinweis von einem schlecht gelaunten Sportschützen (?):
Die Handhabungssicherheit bei Polizisten ist unter aller Sau. Weiß nicht, wie es in NRW ist, aber hier in BY müssen die Polizisten 3 - 4 Schießtermine (einer davon Schießprüfung) pro Jahr absolvieren. Dazu haben sie insgesamt 150 Schuß. In NRW ist die Trainingssituation AFAIK schlechter als in Bayern. In Berlin findet wegen schadstoffbelasteter und maroder Schießstände so gut wie kein reguläres Training mehr statt.(Danke, Mark und Heiko)BTW: Ohne Schießprüfung darf kein Außendienst gemacht werden. Da man aber zu wenige Leute hat, schickt man auch Beamte auf die Straße, die ihre Waffen ungenügend beherrschen.
Zum Vergleich: Als Sportschütze muß man (behördlich vorgeschrieben) mindestens 12 - 18 Schießtermine pro Jahr im Schießbuch nachweisen können. Im Schnitt kommt ein durchschnittlicher Schütte aber auf wenigstens 25 - 30 Termine. Bei jedem Trainingstermin gehen im Schnitt 50 Schuß raus, vor und bei Wettkämpfen auch wesentlich mehr.
Sicher, behördlicher Waffeneinsatz unter Streß in der Öffentlichkeit ist eine andere Situation als ein Wettkampf. Trotzdem sind die meisten Polizeibeamten in Deutschland mMn nicht ausreichend an der Waffe qualifiziert - Sondereinheiten wie SEK, MEK, etc. mal ausgenommen.
Nach Angaben der Polizei hatte der Beamte die Waffe gezogen […] Bei der Verfolgung löste sich der Schuss."Euer Ehren, wir haben keine Ahnung, wie sich der Schuss lösen konnte! Alles, was ich tat, war, die Dienstwaffe aus dem Holster zu nehmen, zu entsichern, damit auf den Fliehenden zu zielen und den Finger auf den Abzug zu legen!1!!"
Ja, völlig unerklärlich, wie sich unter diesen Umständen ein Schuss lösen konnte!
Update: Ein Einsender schreibt, er habe in einer TV-Dokumentation gesehen, dass Polizeischusswaffen nicht entsichert werden müssen. Ein anderer Einsender schreibt, die Polizei in NRW habe eigentlich auf Walther P99 umgestellt, weil die eine Anti-Stress-Abschussvorrichtung haben, die man dann besonders stark drücken muss.
Update: Das "gezielt" stimmt so wohl nicht:
" ... löste sich durch die Dienstwaffe des hinterher eilenden Polizeibeamten ein Schuss in den Geländeboden unmittelbar neben dessen Füße."
Ein Ensender kommentiert:
Entgegen typischer US-amerikanischer Klischees aus Film und Fernsehen laufen deutsche Streifenpolizisten nicht zielend hinter einem Flüchtigen hinterher, sondern halten die Waffe nach unten. Eben aus dem Grund, weil sich beim Laufen unabsichtlich ein Schuß lösen kann. Die waren ja nicht vom SEK, wo sowas laufend (haha) trainiert wird.
Die Walther P99 hat ein Abzugsgewicht von 2000g. Leg mal deine Hand auf den Tisch und drück mit dem Zeigefinger auf eine Küchenwaage. Du wirst überrascht sein, wie schnell man ohne Mühe (als geübter Vieltipper) die 2000g erreicht.
Als die Russen Beweise vorlegten? Und im Westen nicht ernst genommen wurden, weil die Beweise von den Russen kamen und auf RT und Sputnik veröffentlicht wurden? Und DAS weiß ja wohl JEDER, dass das keine seriösen Quellen sind und den Russen darf man ja eh nichts glauben!1!!
Ja? Ihr erinnert euch?
Nun, … Erdogan entschuldigte sich gerade für den Abschuss. Und selbst diese Geste verkackt er noch:
Erdogan habe an den russischen Präsidenten Wladimir Putin geschrieben, dass der Abschuss keine Absicht gewesen sei, sagte Kremlsprecher Dmitri Peskow. Erdogan habe der Familie des getöteten Piloten sein tief empfundenes Beileid ausgesprochen und um Vergebung gebeten.Aha. Keine Absicht, ja? So klang das damals aber nicht. Und überhaupt, was heißt denn das für die Nato, wenn ein Nato-Mitglied versehentlich Flugzeuge abschießt? Haben die ihre Hardware so wenig im Griff, dass da schon mal versehentlich ein Passant abgeschossen wird?!
Die Russen haben das damals, falls ihr euch an das Detail nicht mehr erinnert, so dargestellt, dass dieses Flugzeug zum Beweisesammeln da war, und zwar Beweise dafür, dass die Türkei schwunghaften Handel mit Öl von ISIS treibt. Dann stand da noch die Behauptung in der Luft, Erdogans Sohn Bilal sei Hauptprofiteur.
Wenn sich schon der "die Russen haben unseren Luftraum verletzt" nicht halten lässt, dann können wir jetzt ja auch den Rest glaubwürdiger bewerten, oder?
Und als ihr dann gehört habt, dass es da jetzt eine Reform gibt, … habt ihr da gedacht: Das ist doch bestimmt reine Kosmetik?
Nun, ihr hattet natürlich völlig Recht. Die Geheimdienste haben ja gar nicht versagt. Die haben genau so gehandelt, wie ihre Auftraggeber in der Politik es wollten. Das ist Absicht, dass die Parlamentarier über die Giftmüllcontainer nicht informiert werden, denn sonst wären sie mitschuldig und müssten handeln.
Die ganzen übelriechenden radioaktiven Details könnt ihr wie üblich bei Netzpolitik.org nachlesen.
Aber, lasst es mich mal so formulieren… das ist kein Zufall, dass das zur EM "gemacht" wurde.
Im Grunde ist das nicht berichtenswert, denn es ändert sich ja nichts.
Aber auf der anderen Seite ist es ja schon berichtenswert, dass sich nichts ändert.
Ich finde das nachvollziehbar. Ich würde dem BSI auch nichts zum Prüfen geben. Ich meine, das BSI hat auch beim Staatstrojaner mitgemacht. Wer kann denn so jemandem jemals wieder über den Weg trauen?
Siehste. Keiner.
Hunderttausende Briten wollten sich für das Brexit-Referendum registrieren. Doch kurz vor Fristende um Mitternacht brach die Website zusammen. Die Cameron-Regierung - nicht ganz unschuldig an der Panne - versucht Schadensbegrenzung.Cameron? Nicht ganz unschuldig? NEIN!! DOCH!!! OOOOOH!!!!
Das mit dem Curriculum kürzen ist ein Feature, kein Bug. Denn so kann das Schulsystem seinen eigentlichen Auftrag um einiges besser erfüllen. Wer in der Schule nicht genügend Mathe hatte, hat keine Chance, eine Naturwissenschaft zu studieren oder eine ähnlich komplexes Fach, und wird damit bei einer Ausbildung oder einem Studiengang light bleiben. Für die Gesamtbevölkerung bedeutet das, dass hauptsächlich Kinder von Akademikern, die Naturwissenschaften studiert haben, eine Naturwissenschaft studieren werden, dadurch bleibt der Aufbau der Bevölkerung in denselben sozialen Schichten erhalten. Das nennt sich Soziale Reproduktion. Diese ist laut PISA-Studie besonders groß in Deutschland. In anderen Ländern wie in Finnland oder Norwegen ist der Faktor zwischen der Bildung der Eltern und der Bildung des Kindes nicht mit einer so starken Korrelation verbunden.Es gibt bereits seit 100 Jahren Ansätze, wie das Bildungssystem verbessert und auf den neusten Stand gebracht werden könnte, dabei sind als wichtige Vertreter John Dewey, Alexander Sutherland Neill und natürlich Wilhelm von Humboldt zu nennen. Moderne Bildungsreformer setzen ihren Hauptaugenmerk auf die Ausbildung zur Selbstständigkeit. Das bedeutet in der Schule, dass die Schüler in ihrer eigenen Geschwindigkeit ihre eigenen Projekte durchführen (wie einen Roboter bauen, ein Stillleben malen, ein eigenes Spiel designen o.ä.). Dafür sind Plattformen wie die Khan Academy ausgelegt, die selbstgesteuertes Lernen und eigene Kreativität durch eigene Projekte unterstützen (Vorsicht Werbung. Die khanacademy.org gibt es für die 1-8. Klasse jetzt auch auf deutsch.).
Es sind bereits genügend Studien von modernen sowie älteren Autoren durchgeführt worden, die Fähigkeiten eines solchen Systems aufzeigen. Da trotzdem nicht nach diesen Systemen gearbeitet wird, welches mehr Naturwissenschaftler und mehr aus sich heraus glückliche bürger hervorbringen würde, muss davon ausgegangen werden, das dahinter die Absicht steckt, soziale Reproduktion zu gewährleisten.
Ihr werdet es euch schon gedacht haben: Ist gar kein Bug. Sowas geschieht nicht aus Versehen. Ist Absicht.
Leider muss man sich bei der Site durch ein nerviges Bettel-Popup durchquälen.
Die Mengen, um die es da geht, sind durchaus erheblich: Durch atmosphärische Stickoxiddüngung werden allein in unserem Land jährlich 55 Millionen Tonnen Kohlendioxid zusätzlich in der Holzmasse des Waldes fixiert. Das sind über 6 Prozent des gesamten anthropogenen CO2-Ausstoßes Deutschlands. Das in anderen Pflanzen gebundene CO2 ist hierbei noch gar nicht berücksichtigt. Anders formuliert: Die Stickoxide tragen mehr zum Klimaschutz bei als irgendwelche Verordnungen zur Wärmedämmung in Gebäuden.Die Automobilindustrie hat uns mit ihrem Bescheißen gerettet! Anders formuliert: Sie haben uns zu unserem eigenen Besten beschissen!
Update: Ein Leser weist auf diese Publikation des Umweltbundesamtes hin.
Dort z.B. ab S.15:
Die unbeabsichtigte Stickstoffdüngung aus der Luft kann durchaus zu einer Steigerung des Baumwachstums führen. Mehr Wachstum ist aber nicht gleichzusetzen mit mehr Gesundheit. Das Überangebot an Stickstoff im Vergleich zu anderen wichtigen Nährelementen, wie beispielsweise basische Kationen, spiegelt sich in der Zusammensetzung des Holzes und der Blätter wider: es werden weniger feste, die Pflanzen stützende Substanzen produziert. Dadurch verringert sich die Dichte und Stabilität des Holzes, so dass die Kronen bei Sturm leichter abbrechen (Windbruch). Mit Stickstoff überversorgte Bäume produzieren weichere Nadeln und Blätter. Diese sind anfälliger gegenüber Austrocknung und Frost, sie schmecken Schadinsekten besser und können Infektionen durch Bakterien und Pilze weniger entgegensetzen.
Update: Ein anderer Leser kommentiert:
Die Fruchtbarkeit der Wälder, bis jetzt der Landwirtschaft und dem Klimawandel zugeschrieben, ist insofern ein Problem, als daß normalerweise nur alle paar Jahre ein Mastjahr wäre und ansonsten die Leitbache die Zeugung von Nachwuchs unterdrückt.
Mittlerweile ist jedes Jahr ein Mastjahr, so daß sich die Wildschweine extrem vermehren und alle sauen trächtig werden dürfen. Daß die Schweine keinen Frostwinter mehr überstehen müssen, hilft auch nicht wirklich. Nur den Eber freuts, da sich entsprechend mehr Gelegenheit und weniger Zank ums weibliche Geschlecht ergibt.
Bisher habe ich mir das nur im Fernsehen von Andreas Kieling und co. aus der Mediathek erklären lassen, kurzes Googlen scheint die Existenz des Problems zu bestätigen.
(PS, Leitbachen werden demnach abgeschossen, wenn sie die Rotte regelmäßig in Siedlungen führt, nicht um die Schweine sich vermehren zu lassen.)
PS2 stolperte ich gerade über diesen Link:
"Moreover, nitrogen dioxide, which can reduce resistance to respiratory infections, decreased by 49 percent in the same two decades. USC researchers linked the drop in nitrogen dioxide with a 21 percent decrease of bronchitic symptoms in children with asthma and a 16 percent decline of bronchitic symptoms in kids without asthma."
(Danke, Rolf)
Die Links sorgten zwar dafür, dass die umstrittenen Bilder deutlich leichter aufzufinden waren. Der Öffentlichkeit zugänglich gemacht wurden sie allerdings durch die Website, die sie ins Internet gestellt hat, nicht durch andere, die die Inhalte verlinkt haben.Dem aufmerksamen Beobachter wird auffallen, dass diese Begründung 1:1 auch auf Bittorrent zutrifft.
Wathelet erklärte, eine andere Auslegung des EU-Rechts könne das Funktionieren des Internets erheblich beeinträchtigen und das erklärte Ziel, die Informationsgesellschaft in Europa zu fördern, gefährdenNa DA bin ich ja mal gespannt, ob sich das Gericht der Empfehlung des Generalanwalts anschließt!
Update: Die Musikindustrie wird von der Entwicklung eher überrascht:
freute sich Bäcker: "Langsam erziehen wir die Gerichte."
Das Wesen und das Schöne des Rechtsstaates besteht ja darin, dass er das Prinzip über die Intuition im Einzelfall und damit eben auch vor allem über den gesunden Menschenverstand stellt. Gute Absichten genügen eben nicht. Datenschutz ist keine dekorative Girlande unserer Demokratie, sie ist ein Kernelement unserer Werteordnung.
Erstens: Fast immer heißt es "keine Zeit". Auch in Abwandlung als "andere Sachen sind wichtiger". Wir reden hier also von einer BWL-Betrachtung der Situation. Da kommen dann so Argumente wie "der Kunde hat ja schon gezahlt". Wieso sollte ich mich um Bugs kümmern, nachdem der Kunde gezahlt hat? Wichtiger ist es, neue Kunden zu gewinnen.
Daraus folgt dann spannenderweise direkt ein Argument für Abo-Modelle, SaaS und Cloud Computing. In den Fällen, würde man ja denken, hat der Betreiber einen direkten Anreiz, seinen Scheiß stabil zu kriegen. Denn er schadet sich nur selber, wenn es nicht stabil ist.
Aber dem gegenüber stehen dann Einsendungen aus der Spielebranche. So F2P- und Browserspiele meine ich jetzt. Die haben ja nun "wir schaden uns nur selbst" als Extrem, sozusagen in Reinform. Dem Argument folgend müssten die ja alle Bugs immer sofort fixen. Tun sie aber nicht. Im Gegenteil, da bleibt auch alles liegen. Deren Metriken sind die Rate der neu angelegten Accounts und die reinkommende Kohle pro Tag. Das heißt, dass die Bugs ganz schnell schließen, mit denen man beispielsweise bescheißen kann, oder den Server abstürzen lassen kann. Die zweite Reihe sind Bugs, mit denen man andere Leute ärgern kann. Die werden auch gefixt, aber nur, wenn sie außen bekannt werden und weiträumig ausgenutzt werden.
Wir haben hier also keinesfalls die Situation, dass "der Markt das dann schon richten wird", wenn man das rein ökonomisch bewertet alles.
Andere strukturelle Probleme, die immer wieder angeführt werden, sind Ausschreibungen. Das Konzept der Ausschreibung führt dazu, dass der Billigste gewinnt, und der ist nur deshalb so billig, weil er kein Budget für Fehlerbereinigung zurücklegt. Mehrere Einsender schreiben sogar, dass Fehler absichtlich eingebaut wurden, damit man auch noch einen Support-Vertrag verkaufen kann, und über den dann die Differenz zwischen der Ausschreibung und den realen Kosten wieder reinholen kann.
Ein weiteres wiederkehrendes Element sind unnötige Grabenkämpfe. Die Tester fühlen sich von den Entwicklern vorgeführt und ignoriert. Die Entwickler fühlen sich von Testern und Management gegängelt. Das Management spart die Tester am liebsten ganz ein und macht den Entwicklern uninformierte Vorgaben. Gerne wird auch über Vertriebler geschimpft, die Dinge verkauft haben, die gar nicht einlösbar sind.
Ich glaube, dass man hier auf allen Seiten das Verhalten ändern muss. Das Management hat die Aufgabe, Geld zu sparen, und "Prozesse zu optimieren". Bis es schmerzt. Ob es schmerzt oder nicht, das brauchen sie als negatives Feedback. Und es muss für sie klar erkennbar sein, dass das jetzt zuviel "optimiert" war. Die Entwickler verhalten sich aber häufig dumm in der Situation und versuchen, die unmöglichen Vorgaben einzuhalten. Dabei wird der Code schlechter und schlechter, ein Legacy-Schuldenberg baut sich auf, und die Bugs kommen beim Management aber nicht als "das liegt an deiner Sparpolitik" an sondern als "die Entwickler sind inkompetent und undiszipliniert" an — und die machen dann weiter mit der "Kostenoptimierung".
Und was das Management falsch macht ist, dass sie keine Risiken eingehen. Man muss die Management-Hierarchie als Risiko-Puffer betrachten. Das Management unten und die Entwickler, die sollen Risiken eingehen. Die sollen keine unsauberen Abkürzungen nehmen. Aber wenn sich eine Gelegenheit bietet, mit einer anderen Technik besser zu sein, dann sollen sie das machen. Das untere Management hat genau die Aufgabe, das zu begleiten, und die Reißleine zu ziehen, wenn das schief läuft. Und das Management darüber ist dafür da, solche Fehlversuche dann zu kompensieren. In der Realität gibt das untere Management Kritik direkt an die Entwickler weiter, die sind dann verunsichert und machen lieber gar nichts, bevor sie was falsch machen, und das Ergebnis ist für alle Scheiße.
Entwickler müssen verstehen, dass sie gemanaged werden, nicht befehligt. Essentieller Teil von Management ist, dass man beobachten kann, wenn etwas falsch läuft, und dann gegensteuert. Entwickler, die schlechte Nachrichten nicht an das Management weiterleiten, und technische Schuld auftürmen, um dem Management zu gefallen, sabotieren damit das System und ruinieren die Firma.
Oh, eine strukturelle Sache habe ich noch: "Das ist doch nur ein Prototyp / end of life / wir rollen demnächst Version 2 aus, da muss man doch jetzt keine Arbeit mehr investieren". Und dann scheitert das Ausrollen der Nachfolgeversion und man hat sich selbst in den Fuß geschossen.
Auch "the guy left"-Szenarien scheinen erschütternd häufig vorzukommen. Und Teil von dem oben erwähnten Konkurrenzdenken ist auch, dass man dann Kosten externalisiert. "Ich muss das nicht fixen, wenn es einen Workaround gibt. Mit dem schlägt sich dann das Support-Team herum, nicht wir."
Die Heilsversprechen von Scrum und co haben sich in der Realität nur partiell manifestieren können. Bei einigen scheint das gut zu klappen, bei anderen führt es zu Burnout durch den hohen Druck und der totalen Transparenz, bei wieder anderen gibt es für Bugfixes keine Punkte im Sprint, daher macht es niemand, und bei noch anderen fallen Bugs unter den Tisch, weil man ihren Aufwand schlechter abschätzen kann als für Neuentwicklungen.
Update: Oh und: So 5% der Einsender widersprechen meiner Prämisse, dass das Management grundlegend versteht, dass Bugs nicht fixen die Sache schlimmer macht.
Update: Es waren dann doch auch mehr als nur einer dabei, die sagten, dass sie alle Bugs fixen, und zwar so schnell wie sie können.
Ich frage mich jetzt, ob man den Ärger irgendwie quantifizieren kann, der durch diese Art von "technical debt" aufläuft.
Ab wie lange rumliegen lassen wird das Arbeiten mit den alten Bugs teurer als wenn man sie gleich gefixt hätte?
Wenn jemand eine Idee hat, wie man das messen kann, dann bitte ich um eine E-Mail!
Update: Ein Einsender schlägt vor, nicht von debt („Schulden“) zu reden, sondern von unhedged short call (bisschen unhandlicher Begriff aus der Hochfinanz; Ein call ist ein Optionsschein, der den Kauf einer Aktie zu einem bestimmten Wert an einem bestimmten Zeitpunkt in der Zukunft erlaubt. Ein short call ist ein solcher Schein, den man verkauft, ohne ihn zu besitzen. Man spekuliert darauf, dass der Preis der Aktie fallen wird, und liefert nach, wenn er gefallen ist. Wenn der Preis hochgeht, macht man Verlust. Und ein unhedged short call ist ein solcher Optionsschein, bei dem man keine Absicherung für den Fall vorgenommen hat, dass der Kurs steigt). Der Punkt des Einsenders ist, dass man bei Schulden weiß bzw. ausrechnen kann, wie hohe Kosten auf einen zukommen werden. Bei solchen Optionsscheinen weiß man es nicht, da kann man viel mehr Geld verlieren, als man investiert hat. Es gibt kein Limit nach oben. Der Einsender argumentiert jetzt, dass das bei ungefixten Bugs auch so ist. Da werden regelmäßig die Auswirkungen von Bugs unterschätzt, mit teilweise desaströsen Auswirkungen. Die Idee geht auf dieses Essay zurück.
Update: Ein Einsender hat eine Theorie:
Die Familie von der Leyen ist eng mit der Führungsriege der MHH verwoben. (https://de.wikipedia.org/wiki/Heiko_von_der_Leyen).
Ich hatte bei ihrem Mann während meiner Promotion einige Seminare. Heiko von der Leyen verfügt über eine illustre Karriere in der medizinischen Forschung und hat sicherlich eine Menge "Pull" im Präsidium der MHH. Meiner bescheidenen Meinung nach (und zum Glück geht es ja bei dir um Verschwörungen) ist das die "Beweisführung", die dazu geführt hat, dass unserer geschätzten Kriegsministerin der Titel nicht aberkannt wurde. Die MHH hätte auf diese Weise doppelten Schaden erlitten: einerseits durch den Imageverlust auf Grund des Skandals um die Aberkennung der Doktorwürde und andererseits durch den (empfundenen) Gesichtsverlust auch ihres Mannes, der in führender Position in der MHH und der MHH nahestehenden Firmen tätig ist.
Das ist natürlich sehr praktisch, wenn man da ein Familienmitglied hat, das Schaden abwenden kann.
Die waren dort, weil sie die Überführung eines neuen U-Bootes vom Land aus absichern sollten.
Ich finde, man muss da Verständnis haben. So eine fiese kaltnasse Witterung und Matsch kennen die von zuhause wahrscheinlich gar nicht.
When Supreme Court Justice Antonin Scalia died 12 days ago at a West Texas ranch, he was among high-ranking members of an exclusive fraternity for hunters called the International Order of St. Hubertus, an Austrian society that dates back to the 1600s.[…]
The International Order of St. Hubertus, according to its website, is a “true knightly order in the historical tradition.” In 1695, Count Franz Anton von Sporck founded the society in Bohemia, which is in modern-day Czech Republic.
The group’s Grand Master is “His Imperial Highness Istvan von Habsburg-Lothringen, Archduke of Austria,” according to the Order’s website. The next gathering for “Ordensbrothers” and guests is an “investiture” March 10 in Charleston, S.C.
The society’s U.S. chapter launched in 1966 at the famous Bohemian Club in San Francisco, which is associated with the all-male Bohemian Grove — one of the most well-known secret societies in the country.
BINGO!
beim Honig haben wir auch seit Jahren mit solchen Grenzwerten zu tun.Und er fügt dann noch an:Wenn von niemandem eine Anwendung angemeldet wird, dann wird automatisch die Bestimmungsgrenze (LoQ) als Grenzwert festgelegt. Das ist nicht die Nachweisgrenze, sondern der Wert, bei dem die Menge bestimmbar ist.
Wenn eine Anwendung gemeldet wird, dann wird der Grenzwert auf den "Worst Case“ gesetzt, der bei einer Anwendung nach der guten fachlichen Praxis vorkommen kann.
D.h. der Wert wird automatisch so justiert, dass ein zugelassenes Pestizid mit einer zugelassen Anwendung den nie reißen kann. Das Fukushimaprinzip ist in das Verfahren also schon eingebaut.
Die Aussage, eine Lebensmittelprobe hätte Rückstände über dem Grenzwert, ist damit automatisch fast immer eine Selbstverständlichkeit und das ist auch so gewollt.
Dieser Algorithmus hat nur entfernt mit Erkenntnissen über tatsächliche Gesundheitsgefahren zu tun, wie die Debatte über Glyphosat zeigt.
Wie ich in meinem Blog Bienenpolitik unter dem Titel "Pflanzenschutzmittelzulassung — Der Kunde ist König" aufgezeigt habe, gehört es zum Kundenservice, die Studien der Industrie stets als Nachweis der Sicherheit einzuschätzen, während bei unabhängigen Studien immer ein Haar in der Suppe gefunden wird.
Das geht auch deshalb relativ leicht, weil es in der Regel kein Geld für solche Studien gibt und daher mit kleinen Fallzahlen gearbeitet werden muss.
Das Umweltinstitut in München ist spendenfinanziert.
Im Biobereich ist Glyphosat nicht zugelassen. Rückstände können durch Abdrift vom konventionellen Nachbarn auftreten, der aber nahezu nie dafür in Haftung genommen werden kann.
Das Prinzip der gesamtschuldnerischen Haftung aus dem Gentechnikrecht gibt es bei Pestiziden leider nicht.
Imker bleiben regelmäßig auf dem Schaden sitzen, wenn ein konventioneller Landwirt so gespritzt hat, dass die Bienen tot und der Honig kontaminiert ist.
Insofern macht es Sinn, das Bier aus konventioneller Produktion zu überprüfen, denn bei der Produktion dieser Zutaten wird der Wirkstoff eingesetzt.
das sind die Regeln der EU für Grenzwerte. In der Zusammenfassung heißt es: A general default MRL of 0.01 mg/kg applies where a pesticide is not specifically mentioned.Und noch eine Einsendung von einem Forscher beim Max-Planck-Institut:D.h. es stimmt nicht, dass es für Bier keinen Grenzwert gibt. Es gibt keinen spezifischen MRL und dann gilt der default MRL.
Es gibt auch eine schicke Datenbank, wo man sich die MRLs für jeden Wirkstoff ansehen kann.
Also, wenn das Glyphosat-Thema auf Deiner Seite plötzlich so prominent ist, dann sage ich auch noch was dazu, ich kenne mich etwas aus. Zuerst mal: die ganze Pharmabranche WEISS SCHON LANGE, dass Glyphosat viele schädliche Nebenwirkungen hat. Es wurde zwar halbherzig getestet (von Monsanto, vor der Zulassung), aber auch nur unter Bedingungen, die dann als Dosierung auf der Packung angegeben wurden. In den meisten Fällen wird Glyphosat heute aber in wesentlich höheren Mengen benutzt, Motto: viel hilft viel, u. a. gegen Superweeds, also störende Pflanzen, die schon eine natürliche Resistenz entwickelt haben. Es gibt seit ca. 3 Jahren eine neue von Bayer mitfinanzierte Firma (Targenomix), die das einzige Ziel hat, ein neues Totalherbizid zu finden, das Glyphosat ersetzen kann (Milliardenmarkt zusammen mit den passenden, resistenten, genetisch veränderten Pflanzen). Die ersten Leute, die negative Effekte von Glyphosat beschrieben haben, waren vor ca. 10 Jahren die Bodenmikrobiologen. Glyphosat stört massiv die Bodenmikrobiologie und wird im Boden nur dann abgebaut, wenn das Klima stimmt und wenn man das nach Gebrauchsanweisung dosiert. In unseren Breiten ist der Boden zwischen Oktober und März quasi inaktiv, weil die Temperatur zu gering ist für eine ausreichende Aktivität der Bodenmikroben. Dann akkumuliert auch eine „normale“ Ausbringung im Boden. In vielen Ländern wird Glyphosat heute exzessiv eingesetzt und akkumuliert deswegen auch in wärmeren Klimaten in den Böden. Es gibt mittlerweile eine sehr breite Datenlage über diverse schädliche Effekte von Glyphosat. Eine Professorin aus Leipzig (Monika Krüger), hat sich ausgiebigst mit Glyphosat beschäftigt. Auf deren Website kann man sich das ganze Elend anschauen, wenn man will…
Update: Oh und einer noch:
In Bier ist das sehr viel größere Problem die Mykotoxine. Also die "natürlichen" Gifte der Schimmelpilze die auf dem Getreide wachsen (Auf dem Feld genauso wie bei der Lagerung). Ochratoxin A ist da das entsprechende Stichwort. Das sind nämlich echte Carcinogene (1B)
"We're profitable in the USA, but we're losing over $1 billion a year in China," Uber CEO Travis Kalanick told Canadian technology platform Betakit.
Ich rate da zur Vorsicht. Eine Milliarde hier, eine Milliarde da, nach einer Weile kommt da richtig Geld zusammen!1!!Der Konkurrent, den sie damit aus dem Markt kanten wollen, tut natürlich genau das selbe in die Gegenrichtung:
Uber and China's Didi Kuaidi, backed by Chinese technology giants Tencent Holdings and Alibaba Group Holding, have both spent heavily to subsidise fares to gain market share, betting on China's Internet-linked transport market becoming the world's biggest.
An Argentine physicians' group has come forward to challenge the notion that the mosquito-spread Zika virus is responsible for a recent increase in Brazilian babies born with the birth defect microcephaly, saying that a toxic larvicide introduced into the area's water supplies is the real culprit.
Wie, Moment, die kippen toxische Substanzen ins Trinkwasser, und wundern sich dann über Schäden bei Menschen?!Ironischerweise geht es hier um die Larven der Mücken, die das Zika-Virus tragen. Die sollten damit bekämpft werden.
Aber wartet, kommt noch besser. Ratet mal, welche Firma dieses Gift herstellt!
Kommt ihr NIE drauf!
Pyriproxyfen is manufactured by Sumimoto Chemical, a Japanese subsidiary of Monsanto.
Na sowas! Die Welt ist klein, huh?
Ich hätte mich da auch bewerben können, aber habe es nicht getan, weil ich lieber wollte, dass das jemand macht, der die ganzen Crypto-Details so gut versteht, wie ich typische C-Programmierfehler verstehe. Kurz: Ich habe mir Sorgen gemacht, dass wenn ich das mache, dass ich das dann nicht richtig abdecke. Sondern halt nur den Teil wirklich angucke, den ich halt besonders gut kann, und über den Rest im schlechtesten Fall gar nichts sagen kann oder im besten Fall zwar geguckt habe, aber möglicherweise nicht genug Hintergrundwissen oder Durchdringung der Materie mitbringe, so dass meine Aussage kein großes Gewicht hat am Ende.
Nun, der Audit hat stattgefunden.
Zu meiner großen Enttäuschung muss ich jetzt konstatieren, dass das dann halt andere Leute genau so gemacht zu haben scheinen, wie ich es bei mir vermeiden wollte. Die haben halt da geguckt, wo schon Lücken bekannt waren, und haben dann diese Lücken nicht mehr gefunden. Diesen Audit hätte man sich auch sparen können. Einen Black-Box-Audit auf den Zufallszahlengenerator? Soll das ein Scherz sein!? Und dann gnädigerweise auch mal kurz ein paar Zeilen Quellcode angeguckt?!?
Das war ein Reinfall. Das wäre ja sogar besser geworden, wenn ich mich beworben hätte. Und das ist keine starke Aussage, siehe oben.
Sehr schade. Eine vertane Chance.
Wobei ich meine Einschätzung jetzt natürlich auf diese Meldung bei Heise stütze. Vielleicht ist die ja falsch und es war besser als es sich da jetzt anhört.
Update: Einer der Auditoren hat mir eine Mail geschrieben:
Die Darstellung in deinem Blogeintrag bzw. Heise ist nicht korrekt (http://blog.fefe.de/?ts=a842a5a6).
Die Analyse des RNG war nur im ersten Schritt Black-Box (wodurch Schwächen gefunden wurden). Im zweiten, selbstverständlich aufwändigeren Teil haben wir uns den Source Code angeschaut, ein Modell des RNG-Algorithmus aufgebaut, den Lebenszyklus des RNGs und dessen Zustand angeschau, etc. Die Methodik ist im Bericht dokumentiert, ein Blick in das Inhaltsverzeichnis liefert schon Informationen dazu.
Bei der Schwachstellenanalyse wurde ähnlich vorgegangen. Es wurden Blackbox-Tests durchgeführt (durch die Schwächen gefunden werden konnten), sowie eine Code Review verschiedener wichtiger Komponenten durchgeführt. Wir mussten selbstverständlich den Scope einschränken (wen interessiert schon die GOST und SSL3.0-Implementierung?), aber denken, dass die wichtigen Komponenten in einem angemessenen Rahmen betrachtet wurden.
Nach meiner Einschätzung würde sich das BSI mit einer oberflächlichen Analyse nicht zufrieden geben. Da sitzen Leute, die sich mit der Thematik sehr gut auskennen.
Update: Hier ist das PDF des Berichtes.
Update: Oh, es gibt nicht nur ein PDF, sondern drei.
Ich mache hier gerade ein paar Folien, die auf einem Kundenrechner per Powerpoint oder PDF abgespielt werden sollen.
Einen ordentlichen PDF-Export mit Animationen kann offenbar kein Tool, die HTML-Exporte sind alle völlig unakzeptabel.
Und wenn ich dann laut seufzend halt PPTX nehme, dann muss ich feststellen, dass Powerpoint keine Ligaturen kann. Nein, wirklich! Aus sowas wie "fi" eine Ligatur zu machen ist ja schon bei kleinen Schriftgrößen wichtig, aber bei so großen, wie sie bei Präsentationen üblich sind, da springt es den Zuschauer direkt an, dass da die Ligaturen verkackt werden.
Und wisst ihr, wer Opentype definiert hat? Kommt ihr NIE drauf! Microsoft! Die supporten ihren eigenen Scheiß nicht richtig!
Ich komme hier aus dem Facepalmen gar nicht mehr raus.
Klar kann ich zur Not auch ohne Animationen. Aber wieso muss ich Jahre 2016 überhaupt in Erwägung ziehen, eine "zur Not"-Option zu nehmen, weil die anderen nicht gehen?!
Da muss halt mal jemand den Grundstock legen und die ganzen üblichen Animationen und Übergänge in HTML5 und CSS nachimplementieren. Das kann doch so schwer nicht sein? Warum macht das nicht mal jemand, der sich mit HTML5 auskennt? Das kann ja wohl nicht wahr sein, dass jetzt ein alter C-Hacker HTML5 hacken muss, weil es sonst niemand tut?!
Update: Ich schrieb schon mit Absicht "Animationen". Übergänge brauch ich nicht, finde ich affig. Aber Animationen will ich haben. Was man halt für eine moderne Präsentation so braucht. Sowas wie "dieses JPEG hier bitte in der rechten oberen Ecke so groß skaliert langsam einblenden" oder "dieses JPEG von links einfliegen lassen, bis es in der Bildschirmmitte angekommen ist". In meinen Foliensätzen sind einfliegende Facepalmbilder halt eine wichtige Anforderung.
Nun, das FBI natürlich. Wer denn sonst?
Mehrere hundert Männer sollen demnach mehrfach versucht haben, sich mit Gewalt Zugang zu der Diskothek "Elephant Club" zu verschaffen. Der Chef des Sicherheitsdienstes sprach im "Westfalen-Blatt" von 500 Männern.500 Männer wollen in eine Disko rein? Wieviele Türsteher hatten die denn, dass sie die abwehren konnten?!Auf der Website des Clubs wurden Bilder von den Ausschreitungen veröffentlicht (Vorsicht: Link geht zum Facebook-CDN). Frauen seien dem Bericht nach im Intimbereich angefasst worden. "Nur unter Anwendung körperlicher Gewalt konnten wir den Frauen helfen, sich zu befreien", wird der Augenzeuge zitiert.
Update: THIS ... IS ... SPAAAAAARTAAAAAAA!! :-) (Danke, Ralf)
Das schöne daran ist, dass hier nicht einfach nur gerantet wird, sondern hier wird die Größe von Webseiten mit klassischer russischer Literatur verglichen, und so lernt man auch gleich was über klassische russische Literatur! So muss ein Rant sein! :-)
Aber auch ansonsten ist das genau meine Art von Humor:
Google has rolled out a competitor to Instant Articles, which it calls Accelerated Mobile Pages. AMP is a special subset of HTML designed to be fast on mobile devices.Why not just serve regular HTML without stuffing it full of useless crap? The question is left unanswered.
The AMP project is ostentatiously open source, and all kinds of publishers have signed on. Out of an abundance of love for the mobile web, Google has volunteered to run the infrastructure, especially the user tracking parts of it.
Bwahahahaha
Aber die Japaner haben jetzt veröffentlicht, dass die Amis schon 1983, nur zwei Monate nach dem Abschuss, vertraulich den Japanern bestätigt hatten, dass das ein Versehen auf Seiten der Sowjets war.
Die Sowjets hatten das die ganze Zeit beteuert.
Russia Today zieht jetzt natürlich die Parallele zum Abschuss über der Ukraine, und deutet an, da solle man den Ami-Aussage auch keinen Glauben schenken.
Jetzt geht der BSI-Chef in den Ruhestand und der neue BSI-Chef wird ein Schlipsträger aus der FDP, der bisher durch Bullshit-Bingo-Veranstaltungen wie den "Cyber-Sicherheitsrat Deutschland" aufgefallen ist und vorher EADS-Lobbyist war.
Wenn ihr noch Fragen habt, schaut euch mal die Homepage vom Cybersicherheitsrat an (lädt Javascript von Google nach, sicherer geht es ja kaum!) und von dem Laden, wo der gerade Vorstandsvorsitzender ist. Da bleibt kein Auge trocken. "Cyber-Frühstück". "2. Cyber-Stammtisch". "Das Internet ist eine sichere Plattform. Die Digitalisierung ist ein Wohlstandsgarant."
Klingt wie die Selbstbelüg-Mantren der Neocons zur sozialen Marktwirtschaft! "Sozial ist, was Arbeit schafft!" "Das Internet ist sicher!"
Wo finden die nur solche Clowns? Was waren da bitte die Auswahlkriterien? "Er muss die Erwartungshaltung deutlich senken"?
In der Selbstdarstellung sind seine Skills eher nicht-technisch. Eher so Sales. Genau was das BSI jetzt braucht!
Update: Ich bin nicht der Einzige, der sich über die Ernennung wundert.
Update: Den Schönbohm hatte ich auch schon mal im Blog. Keine weiteren Fragen.
Update: Der Cyber-Sicherheitsrat läuft übrigens mit Wordpress. Wordpress!! Und hat das gleiche Impressum wie die BSSAG. Oh und der Titel der Webseite ist:
Cyber-Sicherheitsrat Deutschland e.V.Cyber-Sicherheitsrat Deutschland e.V. Cyber-Sicherheitsrat Deutschland e.V.
Einmal mit Profis arbeiten! Oh und wo wir gerade bei Profis sind: Die Bewertungen unter seinem Buch sehen auch aus, als seien sie von professionellen Kommentarschreibern geschrieben worden.
Hey, ich habe eine Idee, was man da tun kann. Beim Buchen muss man die Daten angeben. Die Buchung ist erst perfekt, wenn die Daten eingegeben wurden. Reservieren ohne Daten gibt es nicht. Wenn dann ein anderer Bürger als der online reserviert habende zum Termin auftaucht, lässt man ihn den Slot nicht haben. Problem gelöst.
Oder man stellt das einfach direkt unter Strafe und knastet diesen Arsch wegen Denial of Service ein.
Update: Der RBB hat herausgefunden, wer diese Terminverkäufer sind, und hat Fotos von ihnen. Allerdings haben sie auch Zahlen, wie viele Termine die verkauft haben.
Seit dem Start der Website Mitte Juni 2015 gab es nach Angaben der drei Gründer 150 Anfragen. Vermittelt wurden bis zu 90 Besuche auf dem Amt.
OK, sorry, wenn die nur 90 Besuche vermittelt haben, dann sind die nicht das Problem, sondern bloß ein Symptom. Es sei denn, dass der Rest der Termine dann ausfiel, weil die die reserviert hatten und nicht verkauft gekriegt haben und dann niemand sonst die Termine wahrnehmen konnte. Das müssten wir noch wissen, ob das so war. Kennt jemand jemanden bei einem Bürgeramt und könnte das mal rausfinden?
Update: Wobei, ob das die Terminverkäufer sind, das weiß RBB natürlich nicht. Vielleicht gibt es da noch andere?
Update: Hinweis per Mail: Der eigentliche Grund, wieso man in Berlin keine Bürgeramts-Termine mehr kriegt.
According to Microsoft's press release, the data trustee for the new German cloud offerings is T-Systems, a subsidiary of the giant telecom company Deutsche Telekom.
Ja wieso hostet ihr nicht gleich direkt beim BND? Na super, dann kommen die nicht direkt an die Daten sondern müssen über den BND routen. Na spitze! Da haben wir ja echt was gewonnen.
Na? Noch nicht genug Brechreiz? Dann guckt mal hier:
Bundesinnenminister Thomas de Maizière (CDU) sprach von einem „Gewinn an Sicherheit und Ordnung für Deutschland“. Der bayerische Ministerpräsident Horst Seehofer (CSU) sagte der „Passauer Neuen Presse“, es sei „ein sensationeller Erfolg, in so kurzer Zeit von einer reinen Willkommenskultur zu einer realistischen Flüchtlingspolitik zu gelangen.“*göbel*
Der Informationsgehalt des Artikels (und der verlinkten Inhalte) lässt sich meiner Meinung nach auf die folgenden wesentlichen Punkte reduzieren:Egal welcher Seite man am Ende Glauben schenkt, es ist in jedem Fall eine gute Übung in Medienkompetenz. (Danke, Alexej)
- Putin verharmlost die Verbrechen des Stalinismus.
- In Moskau haben Menschen der Opfer des Stalin Regimes gedacht.
- Die Bibliothekarin Natalya Sharina wurde wegen Verbreitung von verbotener Literatur und Anti-Russland Propaganda festgenommen.
- Diverse Beispiele der erwähnten Verbrechen aus der Zeit des KGB.
Hier ist meine Kritik an diesen Punkten:
- Komplett unbelegt. Die Aufnahmen, die ich finden konnte, beweisen eher das Gegenteil. [1]
- Diese Veranstaltung wurde nicht verboten, oder offiziell kritisiert.
- Was hat das bitteschön mit dem Thema Stalin zu tun? Es gibt momentan nur wenige Informationen zu diesem Vorfall. [2]
- Das meiste davon wurde in zahlreichen russischen Filmen, die mittlerweile zur Klassischen Kinematografie gehören, aufgearbeitet. Die Mehrheit der Russen hält nichts von "Erbschuld" - ein Konzept, das von den Siegermächten früher in Deutschland und jetzt in Russland aktiv der Bevölkerung aufgedrückt wurde/wird.
==[1]===============================================================
Während der "Offenen Gespräche" von Vladimir Putin hat er sich zum Thema Stalin mehrmals geäußert:
https://youtu.be/nlFDfGfKQto?t=2m22s
Hier ist ein längerer Ausschnitt, leider nur auf Russisch:
https://youtu.be/r6dzOBVtOGo?t=27s
Meine gekürzte Übersetzung:
Q: Was halten Sie davon, dass Denkmäler von Stalin und Dzerzhinsky auf der Lubjanka widerhergestellt werden sollen?
A: In erster Linie ist das ein Privileg der Moskauer Behörden einschließlich der Abgeordneten des Moskauer Stadtrats.
Wie unterscheidet sich Cromwell von Stalin? Können Sie mir das sagen? Gar nicht! Aus der Sicht unserer Liberalen war er genau so ein blutiger Diktator. Und es war wirklich ein sehr blutrünstiger Kerl, muss ich sagen. In der Geschichte von Großbritannien hat er eine bedeutende Rolle gespielt. Sein Denkmal steht und niemand reißt es ab.
Es geht hier nicht um die Symbolik. Es geht darum, dass wir jeden Abschnitt unserer Geschichte mit Respekt behandeln müssen.
Ebenfalls nur auf russisch:
https://www.youtube.com/watch?v=B5W3TYEx-og
Meine gekürzte Übersetzung:
Q: Halten Sie die Tätigkeit von Stalin insgesamt für positiv, oder negativ?
A: Es ist mir klar, wie brisant diese Frage ist. Die Meinung der Öffentlichkeit ist ebenfalls gespalten. Wenn man "positiv” sagt sind die einen unzufrieden, wenn man "negativ" sagt, sind die anderen unzufrieden.
Meiner Meinung nach darf man keine Bewertungen "insgesamt" machen.
Es ist offensichtlich, dass von 1924 bis 1953 das Land - das damals von Stalin regiert wurde - sich fundamental verändert hat. Aus einem Agrarstaat wurde eine Industrienation. Das Christentum ist nicht geblieben (Redewendung/Tonfall deutet auf Unzufriedenheit mit dieser Tatsache hin).
Es gab viele Probleme und für die ländlichen Regionen gab es nichts positives, doch die Industrialisierung wurde tatsächlich realisiert. Wir haben den Großen Vaterländischen Krieg gewonnen. Und egal wer was sagt, der Sieg wurde erzielt. Sogar, wenn man die Verluste betrachtet, … niemand kann jetzt mit Steinen nach den Leuten werfen, die diesen Sieg organisiert haben. Denn wenn wir den Krieg verloren hätten, wären die Folgen für unser Land viel katastrophaler gewesen.
Dennoch waren all diese positiven Errungenschaften mit einem unakzeptablen Preis erzielt worden. Die Repressionen fanden jedoch statt. Das ist Fakt! Millionen unserer Mitbürger haben darunter gelitten. Und diese Methode der Staatsregierung und des erreichen von Resultaten ist nicht akzeptabel, das ist nicht möglich (im Sinne von "das darf nicht sein").
In dieser Zeit müssen wir nicht nur einen Persönlichkeitskult verzeichnen, sondern auch mit Massenverbrechen gegen die eigene Bevölkerung. Das ist auch Fakt und das dürfen wir ebenfalls nicht vergessen. Alle historischen Ereignisse muss man in ihrer Gesamtheit betrachten.
==[2]===============================================================
Quelle: http://www.gazeta.ru/social/2015/10/29/7852289.shtml
Laut diesem Bericht wurde die Frau wegen Volksverhetzung (auch in Deutschland verboten) und der Verbreitung von Büchern des Autors Dmytro Kortschynskyj verhaftet. Es wird momentan untersucht, ob die Verbreitung absichtlich geschah. Diese Annahme wird jedoch dadurch bekräftigt, dass sie antirussische Propaganda besessen haben soll.
Die Organisation des Autors wurde vom obersten russischen Gerichtshof als extremistisch eingestuft und verboten. Hier ein netter Artikel zu dieser Person:
http://www.samaa.tv/international/2015/07/ukraine-militia-leader-wants-to-create-christian-taliban/
Laut der Regierung, ist es eine Angelegenheit der Staatsanwaltschaft. Ob die Verdächtige angeklagt wird, ob sie schuldig ist und welche Strafe sie davon tragen könnte entscheidet das Gericht.
Leute. Wenn ihr #32c3 schreibt, dann stellt sicher, dass man zu 32c3 was findet. Und zwar nicht nur euer inhaltsfreies selbstreferentielles Gesabbel, sondern eine offizielle Homepage. Das Beispiel war jetzt blöd, weil es um 32c3 selbstverständlich Suchergebnisse gibt, die auch sofort aufklären, um es sich handelt. Das habe ich absichtlich so gewählt, weil ich nicht Teil des Problems sein möchte, indem ich irgendwelche Stichwörter googelbar mache und damit dann bloß unnötig Leute verwirre, die sich fragen, worum es hier eigentlich gerade geht.
Das ist, ob es euch auffällig oder nicht, ein Exklusionswerkzeug. Ihr posiert damit gegenüber euren ungewaschenen Lesermassen damit, dass ihr über etwas reden könnt, worüber sie nicht reden können, weil sie nicht informiert genug sind. Wer sowas macht, sollte sich was schämen. Das ist ja wie in amerikanischen Highschool-Kommödien! Bewegt euch bitte mal geistig etwas nach vorne.
Oh und gerade bei Veranstaltungen ergibt es sowas von GAR keinen Sinn, sie zu bewerben, ohne dass das Ziel der Werbung herausfinden kann, was man da gerade bewirbt, dass ich mir jedesmal vor die Stirn klatschen könnte, wenn ich sowas sehe.
Überfordern solche trivialen Gedankengänge Leute, die bei "sozialen Medien" teilnehmen?
Machen soziale Medien ignorant und lethargisch? Keine Ahnung. Interessiert mich auch nicht.
“Paulson’s declaration that no government money would be used to save Lehman, both before and during the weekend, also understandably fueled the belief that we chose to let Lehman fail,” Mr. Bernanke writes, recalling the crucial weekend in mid-September 2008 when it became apparent that no one would rescue Lehman. “Hank had various reasons for saying what he said, including his personal and political discomfort with the face of unpopular bailouts of too-big-to-fail institutions.”But crucially, Mr. Bernanke writes: “Hank’s statements were to some extent beside the point, in that the Fed loans were the only government funds available. It would have been the Federal Reserve’s decision — not Hank’s or the Treasury’s — whether to make a loan, had a loan of sufficient size to save the firm been judged feasible.”
Also mit anderen Worten: Er holt hier seinen Kumpel Paulson aus der Schusslinie. Es war die Entscheidung der Federal Reserve, nicht des Finanzministers.“In congressional testimony immediately after Lehman’s collapse, Paulson and I were deliberately quite vague when discussing whether we could have saved Lehman,” Mr. Bernanke writes. “But we had agreed in advance to be vague because we were intensely concerned that acknowledging our inability to save Lehman would hurt market confidence and increase pressure on other vulnerable firms.”
OK, das müsst ihr euch mal durch den Kopf gehen lassen. Die Fed rettet Lehmann nicht, und lässt es dann aber in ihrer Außenkommunikation absichtlich so aussehen, als hätten sie Lehman absichtlich platzen lassen. Und das soll weniger Panik auslösen? o_O
Scientists who consider themselves real skeptics – who debunk mysticism, ESP and other pseudoscience, such as those who are part of the Center for Skeptical Inquiry – complain that non-scientists who reject mainstream climate science have usurped the phrase skeptic. They say they aren’t skeptics because “proper skepticism promotes scientific inquiry, critical investigation and the use of reason in examining controversial and extraordinary claims.” That group prefers the phrase “climate change deniers” for those who reject accepted global warming data and theory. But those who reject climate science say the phrase denier has the pejorative ring of Holocaust denier so The Associated Press prefers climate change doubter or someone who rejects mainstream science.
Ich glaube ja, dass das Absicht war, dass Climate Change Denier nach Holocaust Denier klingt. Aber dafür hatte die AP dann doch nicht genug Arsch in der Hose.
Dass es egal ist, ob du ausgegrenzt wirst, oder ob du dich selber ausgrenzt, indem du in deiner Filterblase die Welt zurechtsiebst. Der Effekt ist gleich. Sozial Schwache arme Würstchen radikalisieren sich in ihrer Echokammer durch Abwertung und Dehumanisierung ganzer sozialer Gruppen.
Auf der einen Seite Leute wie der Gärtner hier in der Mitte von dem Video, bei denen die Schuldigen an seinem Problem alles die anderen sind, besonders die Ausländer. Auf der anderen Seite arbeitslose sozial Schwache, für die die Schuldigen an seinem Problem alles die anderen sind, besonders die Nazis. Waren das denn wirklich Alternativlos-Hörer? Najaa, so direkt gefragt, … nein. Aber während die Beschimpfung noch eine Packung Mithetzer unterschreiben, u.a. Mitarbeiter der Amadeu Antonio-Stiftung ("für Zivilgesellschaft und demokratische Kultur"? Wie konnte DAS eigentlich passieren?), aber bei dem Geständnis der Faktenfreiheit des Vorwurfs dann Schweigen im Walde.
Aber hey, die Nazis sind meine Feinde, und der hier ist mein Feind, also muss das ein Nazi sein! Elementare Prädikatenlogik!1!!
Und das tragische daran: Sie halten sich noch für gute Menschen, weil ihre ausgegrenzte Gruppe "die Nazis" sind. Und die haben es verdient, da sind sich ja wohl alle einig.
Schade nur, wenn man dann dank Filterblase von der Realität nur noch so kleine Ausschnitte sieht. In der (selbst verschuldeten) Dunkelheit (nachts) sind alle Katzen grau.
Das kombinieren wir jetzt mit einer Filterblase, die "die Nazis fernhalten" will, und plötzlich ergibt sich eine Äquivalenz aus "gefällt mir nicht und kommt in meiner Filterblase sonst nicht vor" und "muss Nazi sein".
Schade nur, dass man bei freiwilliger Ausgrenzung und Filterblasierung nicht mehr den Dialog mit denen suchen kann. Da sind solchen Leuten also sogar die Nazis voraus. Nazis ist das zwar auch unangenehm, mit Fakten und der Realität konfrontiert zu werden, aber sie filtern nicht von sich aus missliebige Fakten weg. Sie passen nur auf, nicht versehentlich mit ihnen konfrontiert zu werden. Wenn man diese Konfrontation absichtlich herbeiführt, kann man da gelegentlich noch was reißen.
Update: Übrigens, der Vollständigkeit halber. Netzpolitik.org ist noch nie durch Duldung von Rassismus aufgefallen. Die löschen im Allgemeinen prompt und nachhaltig. Ausgerechnen DENEN jetzt so den Vorwurf zu machen, sie würden Nazis dulden, zeugt von einem Realitätsabstand, bei dem selbst Otto Schily langsam unruhig würde.
Update: Ich weiß, ich weiß, es ist doof, wenn man seine Beleidigungen erklären muss. Aber weil ich Zuschriften gekriegt habe: Sozial schwach ist in diesem Fall tatsächlich im Wortsinn gemeint, nicht als Euphemismus für ökonomisch schwach. Ich dachte, das sei klar, weil ich das gerade erst erklärt hatte.
Da wird mir ganz Angst und Bange, ehrlich gesagt.
Ich verlinke das jetzt absichtlich nicht, weil ich finde, dass das die Menschenwürde verletzt. Mein Verachten der Nazis beruht in wesentlichen Teilen darauf, dass ich mich ihnen moralisch überlegen fühle. Das träfe nicht mehr zu, wenn ich zu solchen Methoden griffe, um sie aus ihren Jobs rauszukanten.
Aber das wirft auch ein paar knifflige Fragen auf. Ist das legitim, wenn ein Chef jemanden für Dinge feuert, die derjenige zuhause außerhalb seiner Dienstzeit getan hat? Wenn ja: Woher soll er das wissen? Ist das seine Aufgabe, seine Mitarbeiter auf Facebook zu stalken? Müssen Chefs jetzt Denunziations-Postfächer unterhalten?
Ich bin mir da auch uneins, wo genau ich für mich die Grenzen ziehen würde.
Aber ich denke mal, ein guter Vergleichswert ist, wie wir mit Straftätern umgehen. Bei Gefängnisstrafen ist das ja auch so, dass es nicht um die Bestrafung geht, sondern um Resozialisation. Wir haben ja auch keine Todesstrafe mehr, egal wie schlimm jemand straffällig wird. Wäre es bei Straftätern OK, wenn man deren Arbeitgeber mit dem Ziel anschreibt, dass die gefeuert werden? Dieser Typ hat einen Ladenbesitzer umgebracht, weil er Schnaps stehlen wollte. So jemanden sollten Sie nicht bei sich arbeiten haben! Wäre das akzeptabel? Eher nicht, oder?
So und jetzt kommt dazu, dass im Falle des Raubmörders ein faires Verfahren stattgefunden hat, in dem ein Richter entschieden hat, ob der schuldig ist oder nicht. Hier haben wir es zwar im Allgemeinen auch mit einer relativ klaren Beweislage zu tun, aber das Strafmaß wird nicht von einem Richter verhängt, sondern von einem wütenden Mob eingefordert.
Ich finde diese ganze Entwicklung jedenfalls zutiefst beunruhigend. In besagtem Blog finden sich übrigens auch schon die ersten unschuldigen Kollateralschäden, wo die Recherche den falschen Arbeitgeber gefunden hat, oder wo derjenige sich ungerecht verfolgt fühlt, er sei gar kein Rechter und die hätten seinen Kommentar missverstanden.
Ich bin mir jedenfalls ziemlich sicher, dass der Resozialisierungsgedanke zum Scheitern verurteilt ist, wenn man die Leute aus ihren Jobs rauszwängt. Dann haben die doch erst Recht das Gefühl, dass die Ausländer uns die Arbeitsplätze wegnehmen, wenn sie keinen neuen finden. Das verstärkt den Hass-Zyklus doch nur noch weiter.
Bei all der Negativität finde ich es aber auch gut, dass das gesellschaftlich immerhin hinreichend geächtet ist, ein Nazi zu sein, dass die dann auch tatsächlich gefeuert werden. Das könnte ja auch anders sein. In so einem Land würde man ja auch nicht wohnen wollen.
Seufz.
Die Kernthese ist, wie ich finde, sehr spannend. Ich zitiere mal (ist gleich im ersten Absatz):
We’re beginning a second transition of moral cultures. The first major transition happened in the 18th and 19th centuries when most Western societies moved away from cultures of honor (where people must earn honor and must therefore avenge insults on their own) to cultures of dignity in which people are assumed to have dignity and don’t need to earn it.
Ehre muss man sich erarbeiten, und wenn man sie nicht verteidigt, dann ist sie weg. Würde hat man, und man muss sie auch nicht mit Gewalt verteidigen. Es gibt keine Duelle mehr. Wenn jemand kriminell handelt, dann geht man zur Polizei und nicht zum Waffenschrank. Und jetzt kommt der zweite Übergang, sagt dieses Paper:Campbell and Manning describe how this culture of dignity is now giving way to a new culture of victimhood in which people are encouraged to respond to even the slightest unintentional offense, as in an honor culture. But they must not obtain redress on their own; they must appeal for help to powerful others or administrative bodies, to whom they must make the case that they have been victimized. It is the very presence of such administrative bodies, within a culture that is highly egalitarian and diverse (i.e., many college campuses) that gives rise to intense efforts to identify oneself as a fragile and aggrieved victim.
Jetzt haben wir, sagen die, einen Übergang von der Kultur der Menschenwürde zur Kultur des Opfertums. Jetzt definiert man sich nicht mehr über seine Menschenwürde und kann auch mal über eine kleine Unfreundlichkeit den Mantel des Vergessens ausbreiten, sondern jetzt definiert man sich darüber, wie übel man verfolgt und benachteiligt wird, wie stark man von anderen zum Opfer gemacht wird. Man wehrt sich nicht mehr selbst, sagen sie, sondern man muss sich an mächtige Verbündete richten.Das wiederum deckt sich nur partiell mit meinen Erfahrungen. Ich sehe durchaus auch Gewalt, oder sagen wir mal: Aktionismus zu Lasten anderer, der mit der eigenen Opferrolle legitmiert wird. Aber das ist nicht der zentrale Punkt hier. Ich zitiere:
The key idea is that the new moral culture of victimhood fosters “moral dependence” and an atrophying of the ability to handle small interpersonal matters on one’s own. At the same time that it weakens individuals, it creates a society of constant and intense moral conflict as people compete for status as victims or as defenders of victims.
Daraus leiten sie dann ab, dass die Taktik im Konfliktfall ist, Dritten gegenüber eine besonders überzeugende Anklage gegen den angeblichen Täter vorbringen zu können, was dann dazu führt, dass man schon mal ein bisschen übertreibt oder einzelne Punkte gar ganz erfindet.Ich finde ja die Frage spannend, ob wir es hier mit einer Verunselbständigung zu tun haben. Das etablierte Narrativ, zumindest Jungen gegenüber, ist ja immer: Du musst dich wehren können, es wird Situationen geben, bei denen du dich nur auf dich selbst verlassen kannst. Und das würde ja jetzt auf den Kopf gestellt, zu: Du alleine kannst gar nichts machen, du brauchst immer Hilfe von anderen. Ist das gut oder schlecht? Hat das Auswirkungen auf andere Dinge? Ich denke jetzt an sowas wie so Robinson Crusoe-Situationen. Wenn man so erzogen ist, dass man sich selber helfen können muss, dann sucht man Nahrung, baut eine Hütte und pflanzt vielleicht was an. Wenn man so erzogen ist, dass man alleine eh nichts reißen kann, verhungert man dann? Oder kann man das nicht übertragen?
Ich bin mir noch nicht sicher, ob ich diesem Framing folgen kann, aber es baut zumindest einen Rahmen auf, innerhalb dessen man mal darüber reden kann, was wir hier eigentlich gerade beobachten.
Und in der Tat stellen sich interessante Fragen, wie zum Beispiel ob wir jetzt komplett zu einer Aufmerksamkeitsökonomie werden. Ob sich der Selbstwert darüber definiert, wieviel Aufmerksamkeit man erheischen kann, und die erheischt man ja dann über die überzeugende Darstellung, wie verfolgt und benachteiligt man ist, so in seiner Opferrolle.
Eine Sache will ich noch zitieren:
Indeed, the core of much modern activism, from protest rallies to leaflet campaigns to publicizing offenses on websites, appears to be concerned with rallying enough public support to convince authorities to act.
Mit anderen Worten: Wenn die Authorities dann nicht reagieren, verpufft das alles ganz schnell wieder. Das kann man ja bei den ganzen hohlen Empörungswellen auf Twitter auch gut beobachten. Da gibt es so Empörungstouristen, die von einer Gerechten Sache zur nächsten dackeln, aber keine davon hat irgendeinen bleibenden Wert. Damit meine ich: Niemand hat etwas investiert, niemand ist ein Risiko eingegangen.Auch die Beobachtung, dass die Opfer von Mikroaggressionen selber alle hochprivilegiert sind, wird angesprochen:
Rather, such forms as microaggression complaints and protest demonstrations appear to flourish among the relatively educated and affluent populations of American colleges and universities. The socially down and out are so inferior to third parties that they are unlikely to campaign for their support, just as they are unlikely to receive it.
Die gehen sogar noch einen Schritt weiter und sagen: Die echten Opfer würden sich nie an diese aktuellen Strukturen professioneller "Opfer" wenden, weil sie nicht davon ausgehen könnten, von denen Unterstützung zu erfahren.Der Text ist nicht ganz so lang, wie es auf den ersten Blick aussieht, weil die unteren 50% oder so Kommentare sind.
Aber beim Großteil der Berichterstattung gebe ich mir große Mühe, keine Position zu beziehen. Ich äußere möglicherweise Verständnis für Positionen, üblicherweiser die der Underdog-Seite.
Das wird gelegentlich von Lesern missverstanden. Besonders häufig, so scheint mir, handelt es sich um Leser, die mit vorgefassten Positionen anfingen und dann gar nicht die Muße hatten, sich meine Äußerungen tatsächlich durchzulesen. Und hey, solange die Nazis es für sonnenklar halten, dass ich Linksextremer bin, und die Antifa es für erwiesen hält, dass ich Nazi bin, mache ich offensichtlich irgendwas richtig.
Aber ich möchte heute einmal anhand des Artikels über den Hugo Award zu Protokoll geben, dass das einer der Artikel war, bei denen ich absichtlich keine Position bezogen habe.
Wer also von euch den Eindruck hatte, dass ich mich da auf die Puppy-Seite schlage, oder die Seite der SJW, der liest such den Artikel bitte nochmal durch. Von Anfang bis Ende. Langsam. Lieber zweimal lesen. Wenn ihr bei dem Artikel, neutral und bewusst gelesen, den Eindruck gewinnt, ich hätte mich da auf eine Seite geschlagen, dann seid ihr durchgefallen.
Wir haben es bei dem Konflikt dort mit einer fundamentalen Frage zu tun, da ist man nicht vorher schon auf der einen oder anderen Seite. Da setzt man sich hin, hört sich alle Argumente in Ruhe an, wägt das ab, überlegt sich am besten noch ein paar eigene Argumente, und DANN kommt man möglicherweise nach einmal durchschlafen zu einer Seite, auf der man steht. Es gibt da keine Abkürzungen.
A whistle-blower anonymously published a highly sensitive report obtained from an Australian spy agency on the website 4chan, but his document was soon automatically deleted after it failed to gain much attention. Those 4chan users who did view the document dismissed it as "fake and gay".
OH DIE SCHMERZEN!!The documents were reportedly marked with "Secret, 5 eyes"
Wo ist meine Schwielencreme!Wobei die eigentlich interessante Nachricht natürlich ist, wie sie ihn erwischt haben.
Court documents reveal that a former Defence Signals Directorate officer made the "fortuitous" discovery of the leak on the notorious chat forum after it was posted
Mit anderen Worten: Die Dienste "lesen" 4chan.Scerba was identified by the Australian Federal Police, who tracked the IP address of the original post.
Hier ist seine Antwort auf die Frage, wieso Tsipras eingeknickt ist:
Es war quälend für ihn. Sie hielten ihm die Pistole an die Schläfe - und so verhandelt es sich schlecht. Wie soll man da frei entscheiden, wenn einem gesagt wird, klipp und klar: "Wenn du nicht zustimmst, bleiben die Banken zu. Wir zerquetschen dich!" Tsipras, als Regierungschef, muss an die Rentner denken, die Geld brauchen, an die vielen Menschen, die weiter in die Armut absinken würden oder sogar verhungern.Und noch ein echtes Highlight:
[Stern:] Andere sehen das ganz anders. Etwa Hans-Werner Sinn, einer der wichtigsten Ökonomen Deutschlands, Berater von Schäuble.Hihihi[Varoufakis:] Oh Gott, ich kenne Sinn. Ich weiß aber auch von Schäuble, dass er nicht besonders viel von ihm hält.
Und noch einer für die Verräterpartei-Wähler:
Wenn Sie wüssten, wie ich Gabriel erlebt habe, würden Sie sich für ihn schämen.Und dann erzählt er, wieso sie nicht die Oligarchen geschlachtet und ihr Schwarzgeld aus der Schweiz zurückgeholt haben. Und bringt u.a. diesen Hammer von Schäuble:[…]
Als ich ihn Anfang des Jahres in seinem Berliner Büro traf, hatten wir ein sehr langes Gespräch. Es war wie unter Brüdern. Es gab nicht den Hauch von Meinungsverschiedenheit. Es war fantastisch, als ob ich mit einem Syriza-Mitglied redete. Einem Genossen. Und dann, kurz danach, krieg ich mit, wie er über uns herzieht. Unfassbar.
Diese Jahrhundert-Krise ist zu gut, um sie ungenutzt verstreichen zu lassen. Ganz am Anfang sagte mir Dr. Schäuble, wir könnten uns den Sozialstaat nicht mehr leisten. Insofern nutzen sie die humanitäre Katastrophe schamlos aus.Lest das. Alles davon. (Danke, Christian)
Ich habe heute dem Generalbundesanwalt mitgeteilt, dass ich Zweifel daran habe, ob die Journalisten mit ihrer Veröffentlichung die Absicht verfolgt haben, die Bundesrepublik Deutschland zu benachteiligen oder eine fremde Macht zu begünstigen.Das klingt ja fast so, als habe der Range die Ermittlungen aufgenommen, ohne sich vorher bei seinem Chef zu versichern, dass der das inhaltlich deckt! Für so blöde hält uns der Maas hoffentlich nicht, dass wir ihm das einfach so abnehmen.Ich habe ihm außerdem mitgeteilt, dass ich Zweifel daran habe, ob es sich bei den veröffentlichten Dokumenten um ein Staatsgeheimnis handelt, dessen Veröffentlichung die Gefahr eines schweren Nachteils für die äußere Sicherheit der Bundesrepublik Deutschland herbeiführt.
Übrigens, wer das gerade nutzen will, um zu überprüfen, ob er der richtigen Partei seine Stimme gegeben hat: Hier äußert sich der innenpolitische Sprecher der CSU.
Aber wisst ihr auch, dass so gut wie niemand tatsächlich Schulden tilgt? Die einzige "Tilgung", die man gelegentlich mal sieht, ist wenn ein Land umschuldet. Das senkt natürlich den Schuldenberg nicht, eher im Gegenteil.
Aber eigentlich ist es irreführend, den Zinsendienst mit dem Haushalt in Relation zu setzen. Man muss ihn mit der Höhe der Neuverschuldung in Relation setzen. Ich hätte gerne eine Statistik, pro Land, wieviel (wenn überhaupt) Neuverschuldung noch nötig wäre, wenn der Zinsdienst ausfiele.
Mein fieser Plan wäre nämlich, dass man das einfach mal offen diskutiert, ab jetzt keine Zinsen mehr zu zahlen. Damit man moralisch auf der sicheren Seite ist, schlage ich vor, dass man nicht einfach Staatsbankrott erklärt, sondern die Schulden zurückzahlt. Aber halt ohne Zinsen. Und wenn jemand (wahrscheinlich von den angeblich christlichen Parteien) rumheult, dann holt man halt die Bibel oder den Koran raus und verweist auf die einschlägigen Stellen mit den Zinsen.
Frank hat ein bisschen rumgeklickt aber auf die Schnelle keine solchen Statistiken gefunden. Hat da jemand zufällig was rumliegen? Oder kann eine entsprechende Statistik finden? Stellt euch mal vor, man könnte sagen: Ab jetzt tilgen wir, und im Jahre 2200 sind wir schuldenfrei! Die Perspektive haben wir doch gar nicht im Moment! Und zwar absichtlich nicht, denn in unserem System entsteht Geld durch Schulden. Das Geld der Reichen sind die Schulden des Staates, also der Armen. Wenn wir ab jetzt die Zinsen nicht mehr bedienen, dann betrifft das so gut wie ausschließlich die Reichen und ihre Investments, und natürlich auch sowas wie Lebensversicherungen. Aber mit der Kohle, die wir dann nicht mehr in Zinsen Abstottern pumpen, könnten wir ein Sozialsystem haben, in dem man keine Lebensversicherung braucht, um im Alter menschenwürdig leben zu können! Ich glaube, das könnte funktionieren. Es wagt nur noch keiner offen anzusprechen im Moment. Ich glaube, es würde helfen, wenn wir mal zeigen könnten, wie die Haushalte und die Neuverschuldung ohne Zinsdienst aussehen würden.
Update: Schäubles "schwarze Null" verdanken wir der Tatsache, dass Deutschland im Moment so gut wie keine Zinsen für Neuverschldung zahlen muss, aber Griechenland hohe Zinsen an uns abdrückt. Für einen Eindruck, wie das in Deutschland generell aussieht, empfehle ich dieses PDF der Bundesbank, die Grafiken auf Seite 50 und 52.
Kurz und knapp:
Die F-35 ist ein Mehrzweckkampfflugzeug mit Tarnkappeneigenschaften. Das soll keinen Dog-Fight können. Es ist dafür entwickelt worden seine Mission zu erfüllen ohne von der gegnerischen Luftabwehr abgeschossen zu werden.Da hat man eine eher unwichtige Eigenschaft eines modernen Kampfflugzeuges getestet und zwei grundverschieden Flugzeuge verglichen. Die F-35 ist im Normalfall doppelt so schwer wie die F-16. Das maximale Lastvielfache ist ein Indiz wie eng ein Flugzeug kurven kann.
Das der F-16 ist doppelt so hoch. Wie man solche Aussagen bewerten sollte beschreibe ich unten.Siehe auch:
https://en.wikipedia.org/wiki/Post%E2%80%93World_War_II_air-to-air_combat_losses
https://de.wikipedia.org/wiki/Lockheed_Martin_F-35#Technische_Daten
https://de.wikipedia.org/wiki/General_Dynamics_F-16#Technische_DatenAusführlich:
Ich habe während meiner Offiziersausbildungszeit bei der Luftwaffe und später beim Studium (Luft- und Raumfahrttechnik) sehr viel zu diesem Thema gehört. Vieles immer nur mündlich, daher hier keine großen Quellen.
Dieses "Gejammer" der Piloten über die Dog-Fight-Fähigkeiten der Kampfflugzeuge gibt es schon sehr lang. (Selbst gehört von angehenden Piloten, die noch nie im Flieger saßen!)
Auf Flugmediziner Seite erzählte man, dass das alles nur ein psychologisches Problem der Piloten ist. Die Piloten wollen, verständlicherweise, immer in der Lage sein sich selbst zu verteidigen falls es zu einer Begegnung mit einem feindlichen Kampfflugzeug kommt. Daher bestehen sie unter anderem darauf, ein Bordgeschütz im Flugzeug mitzuführen. Dazu gleich mehr.
In Kampfeinsätzen kommt es aber so gut wie nie zu einer Begegnung mit einem feindlichen Flugzeug, da der Luftraum z.B. durch AWACS komplett überwacht wird und man nur mit Absicht auf feindliche Flugzeuge stößt. Der Dog-Fight ist zwar noch immer Teil des Trainings, wird aber immer weiter reduziert. Die Bundeswehr übt das z.B. im Übungsgebiet vor der Küste Sardiniens. Da hat man mir erzählt dass das nur noch als eine Art Belohnung für die Piloten veranstaltet wird und für Tests neuer Systeme. Aber in den 80er-90er Jahren trat man sich auf den Füßen rum so viel war da los.
Gemessen an der Verlusten von Flugzeugen durch andere Flugzeuge im Dog-Fight sind jedoch die Verluste durch Flugabwehr und Pilotenfehler ein viel größeres Problem. Daher setzen alle neuen Flugzeuge auf Stealth-Eigenschafen und Selbstschutzmaßnahmen. Es ist viel wichtiger ein Flugzeug auf diese Anforderungen zu zuschneiden als auf den Dog-Fight. Ich denke, da mag einer einfach das Flugzeug nicht. Das Geheule gab es auch als die F-14 aus dem Verkehr gezogen wurde und durch die weit überlegene F-18 ersetzt wurde. Was war das für ein Drama :).Zum Thema Bordkanone:
Im Eurofighter war ursprünglich keine Bordkanone vorgesehen, weil man aus den Statistiken wusste, dass sie quasi nur im Einsatz gegen Ziele am Boden bedingt nützlich waren. Gegen Flugzeuge war die Ausbeute bescheiden. Fast alle Abschüsse auf mittlere Entfernung und im Dog-Fight wurden mit Raketen erziehlt. Daher wurde extra für den Eurofighter die IRIS-T (https://de.wikipedia.org/wiki/IRIS-T) entwickelt. Das verzichten auf die Bordkanone spart jede Menge Gewicht und macht ein Flugzeug dadurch leistungsfähiger, in fast allen Bereichen. Auch im Dog-Fight. Alle Entwickler sahen das so, nicht aber die Piloten. Als das Design dann fertig war sagten die: "Da steigen wir nicht ein. Was ist wenn die Raketen alle sind?" Darauf rollten die Entwickler mit den Augen, da die Piloten einfach nicht in der Lage waren die Fakten zu verstehen oder dies nicht wollten. Die Politik erzwang dann den Einbau einer Bordkanone. Das ist einer der Gründe warum der "Jäger 90" etwas länger dauerte. So eine Bordkanone ist so schwer und groß, dass man das komplette Flugzeug umkonstruieren muss.
Moderne Flugzeuge sind immer wendiger, d.h. auch der potentielle Gegner. Die Flieger können so eng Kreisen, dass man bildlich gesprochen um die Ecke schießen muss um sie zu treffen. Das kann man aber nur mit Raketen.Ich habe die Erfahrung gemacht, dass die Luftfahrt für die meisten Leute zu kompliziert um sie im Detail zu verstehen, was normal ist. Anstatt dann aber auf die Ingenieure zu vertrauen wird vieles nach Bauchgefühl bewertet und entschieden. Das betrifft sowohl die Politik als auch die Piloten. Daher ist die Luftfahrt auch in der Entwicklung erzkonservativ. "Man darf die Leute nicht zu sehr erschrecken, die haben eh schon Angst wenn sie sich in die Luft begeben." Bestes Beispiel: Pilotenfreies Flugzeug. Gute Idee, absolut sinnvoll, aber keiner würde einsteigen. Mal schauen wie sich die fahrerlosen Autos entwickelt. Es würde viel Menschenleben retten, aber die meisten Menschen werden es nicht nutzen wollen, da sie ja nicht eingreifen können wenn was schief geht. Man denke nur an die Diskussionen als ABS eingeführt wurde. "Oje der Bremsweg wird länger, wir werden alle sterben."
In der digitalen Quarantäne-Liste, die vom Bundesamt für Sicherheit in der Informationstechnik bereitgestellt wird, sind mehrere Zehntausend Websites erfasst, die im Zusammenhang mit der Verbreitung von Schadsoftware aufgefallen waren.Da stellen sich natürlich direkt mal einige Fragen, z.B. ob die Liste aktuell ist? Wer die wartet? Ob da auch mal Domains runtergenommen werden oder immer noch mehr angehängt werden? Wir erinnern uns an die BPjM-Liste. Oder die No-Fly-List. Das wäre die erste Blacklist in der Geschichte der Menschheit, die ordentlich gepflegt würde. Und kann man überhaupt eine Liste mit sechsstellig Einträgen pflegen?
Man muss sich ja auch fragen, ob man ein Parlament haben will, das in einer Filterblase sitzt, und einige Dinge gar nicht sehen kann. Ich muss da spontan an Fuck the EU denken.
Alles höchst beunruhigend. Es hilft auch nicht, dass sie sagen, das sei nur temporär. Meiner Erfahrung nach hält kein noch so langfristig geplantes Feature so lange wie temporäre Notbehelfe.
Nicht nur ich mache mir da Sorgen:
"Es ist mit dem freien Mandat unvereinbar, dass eine Regierungsbehörde entscheidet, auf welche Informationen Abgeordnete zugreifen dürfen, und diese Kommunikation zudem protokolliert."Da hat er völlig Recht. Auf der anderen Seite hilft natürlich ein freies Mandat nicht, wenn die User dann alle doof sind und sich im Netz Malware einfangen.
Ich für meinen Teil finde es ja hochamüsant, dass die Abgeordneten kein zensierte Netz haben wollen, nur gut zehn Jahre nach Jürgen Büssow.
In letzter Zeit scheint es mir, als würdest Du Artikel nur überfliegen, da Dir imho inhaltliche Fehler in deinen Kommentaren passieren.Ich kriege in letzter Zeit einige dieser Mails, und das freut mich sehr. Um das vorher zu sagen: Natürlich passieren mir Fehler. Aaaaber. :-) In der Mehrheit der Fälle ist das Absicht._Frank Hanebuth_: Du schreibst "/Der beste Rechtstaat, den man für Geld kaufen kann!/"
Jedoch ist es in Spanien Recht, dass die Untersuchungshaft bis zu 4 (vier) Jahren andauern darf.
Ich habe ja hier schon häufiger gesagt, dass es mir darum geht, bei meinen Lesern die Medienkompetenz zu stärken. Und genau wie ich selbst über die Jahre dazu lerne, wie Medien-Strategien funktionieren, genau so muss ich auch meine Strategien anpassen. Ich habe ja schon relativ früh angefangen, in meinen Kommentaren den Inhalten der verlinkten Artikel zu widersprechen. In den letzten Jahren habe ich mich dann entschieden, die Widersprüche impliziter zu machen. Auf mögliche Gegenargumente in dem verlinkten Artikel gar nicht mehr einzugehen. Denn so funktionieren ja auch die realen Nachrichten mit ihren Widersprüchen zwischen Überschrift und Volltext. Wenn "Studien" als Referenz für irgendwelche Aussagen genommen werden, die sie gar nicht stützen. Ganz so weit gehe ich nicht, ich bin (abgesehen von Fehlern, die mir auch passieren) im Allgemeinen durchaus der Meinung, dass meine Kommentare gerechtfertigt sind. Aber ich nenne die Schritte dazu nicht mehr. In der Hoffnung, dass das den Lesern auffällt, und sie ein bisschen darüber nachdenken, und am Ende weniger anfällig für diese Art von Bullshit-Argumentation werden.
In diesem konkreten Fall ist das inhaltliche Gegenargument gegen meinen Kommentar, dass 4 Jahre U-Haft in Spanien legal sind. Nach 2 Jahren muss dann der Richter mal prüfen, das ist in diesem Fall passiert. Man könnte also sagen: Das System funktioniert wie geplant. Aber Rechtsstaatlichkeit beinhaltet eben auch so Konzepte wie dass man sich gegen Inhaftierung juristisch wehren kann. So ist ja auch diese Prüfung gemeint. Wenn die Fakten so sind, wie der Artikel sie beschreibt, dann war diese Prüfung eine Farce. Und das verletzt die Rechtsstaatlichkeit, weil der Mann hätte freigelassen werden müssen.
Ist das jetzt besser, wenn ich das ausführlich hinschreibe? Keine Ahnung. Aber ich habe mir schon was dabei gedacht, das so zu machen. Möglicherweise mache ich es falsch. Aber im Moment habe ich den Eindruck, dass es funktioniert. Ich kriege jedenfalls fragende Mails zu solchen Blogpostings, und das freut mich sehr.
Der zweite Teil der Mail geht um die Kleiderkammer der Bundeswehr.
_Kleiderkammer der Bundeswehr_: Du schreibst: "/Ich finde es immer wichtig, auf solche Fälle hinzuweisen, weil man ja immer wieder von Neocons hört, dass sowas wie BER nicht passiert wäre, wenn man nur ordentlich privatisiert hätte/."Stimmt, das steht da. Der Punkt, von dem ich hoffte, ihr habet ihn noch im Hinterkopf, ist, dass die Bundeswehr McKinsey ins Boot geholt hat, und dass hier nicht dran steht, welcher Prüfer da zu welchem Zweck gegenüber wem welche Prüfung durchgeführt hat. Damit muss man annehmen, dass die Prüfung von McKinsey kam, und McKinsey wird bei Privatisierungen immer sagen, da sei halt nicht genug privatisiert worden. Das ist das Neocon-Dogma. Und mehr Privatisierung = mehr Beratungsbedarf durch McKinsey.Im Artikel wird allerdings explizit auf einen Prüfbericht hingewiesen, der das Scheitern dem Verteidigungsminister anlastet, also scheinbar nur teilweise der privaten Firma.
Zitat: "/In einem weiteren Bericht hatten Prüfer als Ursache für das Scheitern der Ausrüstungsfirma mangelnde Kompetenz auf Seiten des Bundes genannt. Im Verteidigungsministerium fehle es schlicht an Betriebswirten, um eine solche Firma führen zu können./"
Dieser Teil schwang nur implizit mit, aber der Hinweis mit dem Neocon-Gedankengut und "halt nicht genug privatisiert" war ja schon explizit da. Ich dachte, das sei offensichtlich genug :-)
So, ich hoffe, das damit ein bisschen aufgeklärt zu haben.
Meine Rolle als Blogger ist ja auch schwierig, denn auf der einen Seite ist so ein Blog natürlich dazu da, dass ich meine Meinung zu Dingen transportieren kann. Auf der anderen Seite will ich aber gerade vermeiden, meine Meinung als Fakten darzustellen, sondern ich will, dass ihr euch eure eigene Meinung bildet. Ich versuche das zu lösen, indem ich zu besonders klaren Fällen meine Positionen ausrolle, und bei weniger klaren Fällen dann wenig bis gar keine Wertung dranschreibe, oder eher nebulöse Anmerkungen. Der Erfolg der Strategie ist bisher noch nicht so klar messbar, weil das Feedback eher das ist, dass Leute dann halt den Scheiß da rein lesen, den ich extra nicht gesagt habe, und mir daraus dann irgendwelche Antisemitismus- oder Rassismus- oder Misogynie-Keulen zu basteln versuchen. Aber damit muss ich wohl leben.
Ich glaube denen ja allen kein Wort mehr mit ihren ganzen Hacker-Angriffen. Was zur Hölle?
Oh übrigens, an das A400M-Debakel erinnert ihr euch ja bestimmt noch. Da gibt es jetzt auch News: Stellt sich raus, wenn man auf den Triebwerks-Steuerungscomputern die Software löscht, dann funktionieren die nicht mehr. DAS WAR BESTIMMT AUCH EIN HACKERANGRIFF!!1!
Höchste Zeit, dass Post und Bahn mal ihr Narrativ von Streik auf Hacker ändern!1!! Das scheinen ja alle da draußen einfach so zu schlucken, wenn man ihnen sagt, da war halt ein Hacker. Supermarkt zu? Hacker! Briefmarken alle? Hacker! Post wird nicht zugestellt? HACKER!
An der Vorratsdatenspeicherung ist bestimmt auch ein Hacker Schuld.
Update: Ich höre gerade, dass ein fieser Hacker die Fertigstellung von BER schon seit Jahren verhindert!1!!
5%? 10%?
Ich meine, man hört ja immer, was für krasse Gebühren die da nehmen, um das Geschäftsmodell aufrecht erhalten zu können!
Hier gibt es ein paar Folien von Visa. Ctrl-F 6 cents:
Every time a transaction is initiated across our network, we run proprietary risk models in near real time to determine whether the transaction should be approved. Our centralized processing architecture allows us to scan, evaluate and react to risks quickly. We work continuously to enhance our network´s fraud-detection performance. As a result of our efforts, fraud across the Visa system remains at historic lows at less than 6 cents for every $100 transacted.
Jetzt wisst ihr's.Und lasst euch nicht davon ablenken, dass sie in der Mitte die Einheit zwischen Dollar und Cent wechseln, damit sie nicht 0,06% schreiben müssen. Oder ohne Prozent, weil es dann noch krasser wirkt: Fraud-Faktor 0,0006.
Wir reden bei Kreditkarten von einer Transaktionsgebühr in einer Größenordnung von 1,5%. Könnt ihr euch ja selber ausrechnen, ob das angemessen ist.
Das Problem ist, dass Diffie Hellman praktisch die Basis von allen Online-Public-Key-Kryptographiesystemen da draußen ist — SSH, TLS, IPsec, … Schlimmer noch: Wir haben das bei TLS massiv forciert, weil Diffie Hellman erst für Perfect Forward Secrecy sorgt. Das ist die Eigenschaft eines Protokolls, dass wenn die Cops kommen und den Server mit dem Schlüssel drauf beschlagnahmen, sie damit trotzdem nicht vorherige verschlüsselte Verbindungen entschlüsseln können.
Was ist jetzt genau das Problem?
Erstens gibt es eine Downgrade Attack. Downgrade Attack heißt, dass jemand von außen die Pakete im Netz manipuliert. Nehmen wir an, ich verbinde mich zu https://blog.fefe.de/, und die NSA sieht die Pakete und manipuliert sie. Eine Downgrade Attack heißt jetzt, dass die NSA (vereinfacht gesagt) in meinen Handshake-Paketen die ganzen harten Verfahren aus der Liste der unterstützten Kryptoverfahren rausnimmt. Der Server nimmt sich das härteste vorhandene Verfahren, aber wenn die NSA die Liste manipulieren kann, dann ist das halt nicht sehr hart. TLS hat dagegen bezüglich der Cipherliste Vorkehrungen getroffen, aber jetzt kommt raus, dass die NSA von außen die Diffie-Hellman-Bitzahl auf 512-Bit runterschrauben kann. Das ist eine Katastrophe. Die einzige Lösung hierfür wäre, wenn die Server schlicht keine schwachen Diffie-Hellman-Schlüssel mehr zulassen würden. Dann käme keine abhörbare Verbindung zustande. Die NSA kann dann zwar immer noch verhindern, dass ich eine Verbindung aufnehme, aber das kann sie eh, unabhängig von Krypto.
Das zweite Problem ist noch gruseliger. Und zwar galten die Diffie-Hellman-Parameter immer als öffentlich. Das ist sowas wie ein Zahlenraum, auf den man sich einigt, in dem man dann seine Krypto-Operationen macht. Das hat dazu geführt, dass viele Server am Ende des Tages die selben Parameter verwenden. Jetzt stellt sich aber raus, dass der erste Schritt im Algorithmus zum Brechen von Diffie Hellman nur auf diesen Parametern basiert, nur auf einer Primzahl. Und wenn da alle die selbe verwenden, dann muss ein Angreifer diesen ersten Teil auch nur einmal machen. Das ist eine ganz doll gruselige Erkenntnis!
Was kann man denn jetzt tun? Zwei Dinge. Erstens müssen wir jetzt dafür sorgen, dass unsere Server "Export-Verschlüsselung" (also absichtlich geschwächte Krypto) auch bei Diffie Hellman nicht mehr akzeptieren. Ich glaube im Moment, dass man dafür die SSL-Libraries patchen muss, weil es kein API gibt. Aber ich kann mich da auch irren, vielleicht gibt es ein API. In dem Fall müsste man die ganzen Server patchen, damit sie das API benutzen.
Und der zweite Schritt ist, dass man dem Server schlicht Diffie-Hellman-Parameter vorgibt. Die erzeugt man unter Unix mit
$ openssl dhparam -out dhparams.pem 2048Man kann auch noch größere Parameter machen, aber das sollte man dann über die Mittagspause laufen lassen, das dauert ewig und drei Tage. Und dann muss man der Serversoftware sagen, dass sie diese DH-Parameter verwenden soll. Lest die Dokumentation. Das ist wichtig!
Klingt alles schon apokalyptisch genug? Wartet, kommt noch krasser!
Breaking the single, most common 1024-bit prime used by web servers would allow passive eavesdropping on connections to 18% of the Top 1 Million HTTPS domains. A second prime would allow passive decryption of connections to 66% of VPN servers and 26% of SSH servers. A close reading of published NSA leaks shows that the agency's attacks on VPNs are consistent with having achieved such a break.
Update: Ich hatte vor nem Jahr mal bei https://blog.fefe.de/ 2048-Bit-Diffie-Hellman-Parameter generiert und das hat mir jetzt wohl den Arsch gerettet an der Stelle. Ein bisschen Paranoia schadet halt nicht :-)
Update: Wer in Firefox die rote Box auf der Logjam-Seite weghaben will, muss in about:config die dhe (nicht die ecdhe!)-Ciphersuiten wegkonfigurieren.
Update: Und natürlich will man auch die ganzen RC4-Ciphersuites wegkonfigurieren, das hatte ich in dem Screenshot jetzt nicht drin, weil ich nur die Einstellungen fett haben wollte, die für Logjam relevant sind.
New hotness: Fossile Brennstoffe werden subventioniert.
Und zwar nicht zu knapp:
‘Shocking’ revelation finds $5.3tn subsidy estimate for 2015 is greater than the total health spending of all the world’s governments
o_OUpdate: Link vergessen m( (Danke, Robin)
Konkret geht es um den Umgang mit der Dienstwaffe. Diese ist auch im Normalbetrieb stets entsichert und durchgeladen. Das war auch im August 2013 so, als nach gemeinsamen Recherchen des NDR Fernsehmagazins Hallo Niedersachsen und des Nachrichtensenders NDR Info der Beamte im gemeinsamen Aufenthaltsraum seine Dienstwaffe gezogen und den Lauf einem anderen Polizisten an die Schläfe gehalten haben soll. Zugleich soll er ihn zu sexuellen Handlungen aufgefordert haben. Nach Angaben eines Insiders, der seinen Namen nicht in den Medien lesen möchte, haben insgesamt fünf Beamte diesen Vorgang miterlebt.FÜNF BEAMTE haben das miterlebt! Und keiner hat Anzeige erstattet?!
Und das ist nicht mal ein Einzelfall! Die haben noch einen Whistleblower am Start, der aussagt, dass auf ihn auch schon mehrfach geladene Dienstwaffen gezielt worden seien. Was zur Hölle!?
Noch ein Money Quote aus dem Artikel:
Ich betrachte solche Polizeigruppen häufig als Gefahrengemeinschaften, in denen auch eine gegenseitige Abhängigkeit besteht, weil jedem im Laufe seiner Dienstzeit einmal etwas passiert, bei dem er auf die Diskretion der Kollegen angewiesen ist. Das können Kleinigkeiten sein. Aber alle Polizisten wissen etwas von einander, was nicht an die Öffentlichkeit dringen soll - und das macht die Sache so schwierig.Aufmerksame Alternativlos-Hörer werden dieses Motiv wiedererkennen, das haben wir u.a. in Sendung 22 besprochen. Geheimgesellschafts-Absicherung durch gemeinsames gegenseitiges Kompromat. Dass das jetzt mal jemand offiziell ansagt, das ist schon erfreulich. Übrigens ist das nicht irgendwer, sondern Professor Behr, Dekan des Fachhochschulbereichs der Akademie der Polizei. Vielleicht sollten wir den mal zu einer Alternativlos-Sendung einladen? (Danke, Christian)
33 Staaten, fragt ihr? Ja, 33 Staaten! Da musste ich ja direkt an gewisse Nicolas-Cage-Filme denken. Aber wartet, wird noch besser!
They said they belonged to a group called the Masonic Fraternal Police Department
Masonic Fraternal = Freimaurer-Bruderschaft. Wait, what?!which they claimed dated back to the Knights Templar.
Knights Templar = Tempelritter. Uh …Naja, paar Meth-Heads denkt ihr euch jetzt vielleicht. Bisschen zu tief in die Pulle geschaut. Oder vielleicht ein Scherz einer Fraternity einer naheliegenden Uni. Nein!
One of the trio is a junior aide to California's attorney general.
Junior heißt hier nicht, dass der jugendlich ist, der Mann ist 31."When asked what is the difference between the Masonic Fraternal Police Department and other Police Departments the answer is simple for us. We were here first!" the group's website page reads.
o_O die haben eine Webseite? Aber ja doch!Und hier kommt das Sahnehäubchen an der Story:
According their website, the Masonic Fraternal Police Department was created by the Knights Templar in 1100 BC
Die haben da vor und nach Christus verwechselt!Merke: Auch bei Verschwörungen gilt: Lieber jemanden fragen, der sich mit sowas auskennt! :-)
Damit fällt für die Polizei endlich dieses nervige Herumfummeln mit Peilsendern weg!
Doch wartet! Alles halb so schlimm, denn:
"Wir wollen klar machen, dass es keine kontinuierliche Beobachtung mit diesem System gibt", sagte die parlamentarische Berichterstatterin Olga Sehnalová (Sozialdemokraten).Sehr ihr? Niemand hat die Absicht, eine Mauer zu bauen!
Und wenn es eine Partei gibt, auf deren Versprechen Verlass ist, die uns nie verraten würden, dann sind es ja wohl die Sozialdemokraten!1!!
Interessanterweise gab es eine Partei, die dazwischen funken wollte.
Ein Antrag der Liberalen, wonach Nutzer das System "leicht von Hand deaktivieren können" sollten, fand im Plenum aber keine Mehrheit.Wieso gibt es in Deutschland eigentlich keine liberale Partei?
Die Grünen begrüßten, dass der ursprüngliche Vorschlag der Kommission an einigen Stellen habe verbessert werden können. Sie lehnten das Vorhaben aber trotzdem ab, unter anderem weil Verbraucher nicht selbst entscheiden können, ob sie ihren Neuwagen mit eCall ausstatten wollen. Das Projekt nutze so in erster Linie den Systemherstellern.DAS muss man sich mal auf der Zunge zergehen lassen! Eine Idee, die das Autofahren teurer machen würde, ist SO SCHLECHT, dass sie VON DEN GRÜNEN abgelehnt wird!
Wow. (Danke, Stefan)
Die andere Lektion, an der gefühlt so gut wie alle vorbei gelaufen sind, war die Feminismus-Nummer hier. Leute, strengt euch mal ein bisschen an! So geht das nicht weiter hier. Das haben offenbar diverse Leute als "der Fefe hasst Feministen und mag auch keine Moslems" gewertet. WTF? Tatsächlich war damit natürlich gemeint, dass der Islam als Religion von ein paar Krawallbrüdern in den Schmutz gezogen wird, die die Werte des Islam mit Füßen treten und was von Jihad blubbern. Ähnlich sieht es mit dem Christentum aus (auch wenn das mit der Nächstenliebe sich da zu selten auf Flüchtlinge bezieht und daher Heuchelei diagnostiziert werden muss). Und mit dem Feminismus.
Aaaaaaaber. Die Moslems distanzieren sich immer wieder von den Dschihadisten. Die Christen distanzieren sich immer wieder von den Fundi-Spinnern. Nur die Feministen distanzieren sich nicht von ihren Fundi-Spinnern, sondern machen es sich viel lieber in einer schönen Opferrolle der missverstandenen und beschimpften Minderheit bequem, genau wie sich Christen in den USA immer wieder völlig irrational die Rolle der Minderheit zurechtlegen, um sich auch mal verfolgt fühlen zu können.
Natürlich habe ich das absichtlich schön zweideutig formuliert, damit es einfach ist, sich einlullen zu lassen und weiter zu scrollen. Aber wer sich einlullen lassen und weiterscrollen will, dem sage ich hiermit mal ganz deutlich ins Gesicht: Du bist bei mir falsch.
Also, liebe Leser. Strengt euch mal ein bisschen an. Ich will hier Erkenntnisgewinn und Gegenwehr gegen mundfertig vorbereitete Schnuller-Formulierungen sehen!
Auf der anderen Seite will ich wohl einräumen, dass es mich freut, wenn meine plumpen Manipulationsversuche funktionieren. Dass heißt, dass ich das hier nicht umsonst mache, sondern es wirklich Bedarf gibt. Und dass ich es nicht zu schlecht anstelle, sonst würde ja keiner drauf reinfallen.
Update: Noch ein Hinweis des Typen von der Grundrechtepartei: Die sagen nicht Gesetzesgrundlage, was die korrekte Terminologie ist, sondern rechtliche Grundlage. Das ist dann vermutlich sowas wie „Premium“ oder „Joghurt mit Fruchtzubereitung“ im Supermarkt.
Update: Übrigens war auch der Link falsch :) Er ging zu deren Rechtfertigung für Bundeswehreinsatz im Inland, nicht im Ausland. Die Rechtfertigung für Auslandseinsätze der Bundeswehr basiert tatsächlich auf Art 24 GG.
Quidam iuvenis Christianus secretius Sancto Andreae dixit: «mater mea pulchrum me videns de opere me illicito tentat. cui dum nullatenus assentirem, iudicem adiit, volens in me crimen tantae nequitiae retorquere, […] accusat constanter mater filium, quod se voluerit violare.Dazu die Übersetzung:
Ein junger Christ sagte recht geheimnisvoll zum hlg. Andreas: Meine Mutter verlangt Verbotenes von mir, da sie sah, daß ich schön bin. Da ich keineswegs einwilligte, ging sie mit der Absicht zum Richter, dieses ruchlose Verbrechen auf mich zu schieben, (…) Die Mutter klagte den Sohn ohne Skrupel an, daß er sie vergewaltigen wollte. [Übs. Weidinger, E. (ed.), Legenda aurea. Das Leben der Heiligen, Aschaffenburg 1986, 32]Dieser Text ist aus der Legenda aurea des Jacobus de Voragine (ca. 1230-1298). Das hier ist aus der Heiligenerzählung des Apostels Andreas. Wir haben es also mit einem sehr frühen Vergewaltigungsvorwurf zu tun hier.
Die Geschichte geht dann noch so weiter, dass die Frau auch noch gegen Andreas Vergewaltigungsvorwürfe erhebt. Der Richter glaubt ihr und will den jungen Mann geteert säcken (Verurteilter + Schlange + Skorpion in einen Sack stecken und ins Wasser werfen, damit er ertrinkt) und Andreas in den Knast werfen. Darauf betet Andreas und die Frau wird vom Blitz erschlagen.
Als Atheist hat man in so einer Situation dann halt verloren :-)
Update: Wow, sogar im Alten Testament gibt es schon Geschichten von falschen Vergewaltigungsvorwürfen! (Danke, Jens)
Das BSI als unabhängige Instanz ist seit der Staatstrojaner-Nummer jedenfalls vom Tisch.
Die ausführliche Stellungnahme ist auch als PDF beim CCC online
Und warum freuen die sich über die Vorratsdatenspeicherung? Kommt ihr NIE drauf!
Die verschieden langen Speicherungen von Verbindungsdaten zu Telefongesprächen, IP-Adressen und Standortdaten bei mobiler Telefonie bedeuteten aber einen erheblichen Mehraufwand, dessen Kosten der Steuerzahler tragen solle.Die hoffen auf einen Geldregen des Steuerzahlers! Denn wenn irgendwo noch nicht genug Geld in Bewegung ist, dann ist es ja wohl offensichtlich vom Steuerzahler zur Telekom!1!! (Danke, Michael)
Die Gefahr für Leib und Leben von Beamten ging nach Ansicht der Frankfurter Polizeispitze am 18. Mai soweit, dass nicht nur der Einsatz von Pfefferspray, Tränengas oder Schlagstöcken nahe gelegen hätte. "Das hätte in Einzelfällen durchaus den Gebrauch der Schusswaffe in Notwehr gerechtfertigt", sagte der Frankfurter Polizeipräsident Gerhard Bereswill beim Empfang im Römer.Das sagt der Polizeipräsident.
Ich finde übrigens, dass das jetzt unser offizieller Term sein sollte für Ausschreitungen mit EZB-Involvement. EZB-Riots. Wenn IMF Riot dann auch EZB Riot. (Danke, Juko)
Your security and well being are our primary concerns. By visiting this website from outside of the U.S. and contacting us, you may be subject to monitoring by security or intelligence services, or other third parties that do not adhere to U.S. Internet privacy laws. While we employ numerous safeguards to help minimize this risk, we suggest that you not use your home or work computer to contact us. Use instead a computer where you are entirely unknown. Although our website is encrypted, it is still possible for others to see that you have visited CIA.gov. As an added precaution, we recommend you use current web browsers and clean the computer's search and/or browser histories after you visit the website.
"third parties that do not adhere to U.S. Internet privacy laws", ja? Die meinen damit so fiese Rogue Agencies wie die DEA und die NSA, nehme ich an?
Nach außen tue ich immer ganz normal, aber eigentlich bin ich ein komischer Typ. Diese Komizität äußert sich auf viele Weisen, aber sie hat einen heimlichen Kristallisationspunkt: meine Ambivalenz, mein Verständnis unterschiedlicher Seiten, mein einerseits/andererseits. Ich kann immer soviele Leute irgendwie verstehen. Die schmerzhafteste Einsicht im Prozess meines Erwachsenwerdens zwischen 27 und 39 Jahren war, dass die Welt noch sehr, sehr viel komplizierter ist, als ich bis dahin unter dem Begriff „kompliziert“ verstanden habe. Vereinfachung enthält deshalb auch immer Subjektivität und strukturelle Ungerechtigkeit. Einerseits. Aber andererseits ist diese Vereinfachung zugleich ein Instrument, das ich selbst benutze und von dem ich stark profitiere. Denn Vereinfachung ist ein fast zwingender Bestandteil der Medienwelt. Ein idealer Satz in einer Talkshow ist wie ein idealer Tweet: simpel, kurz, pointiert. Verdichtung erzeugt Reichweite, und mein Job in dieser Medienwelt der Vereinfachung ist „Experte für Internet plus X“. Könnte man auch mal drüber streiten, aber nicht jetzt und hier.Ein Gastbeitrag von Sascha Lobo.Die selbstreferentiellen Eingangsworte sind notwendig, weil ich zum zehnten Geburtstag von Fefe einen Text schreiben möchte, der nicht nur mir selbst, sondern auch ihm gerecht wird. Dazu wird zwingend eine Selbstverortung benötigt. Schaut man sich nämlich die bisherigen Gratulanten an, üben sie sich fast ausnahmslos im Fach Selbstähnlichkeit. Der Verschwörungsaffine lobt die Verschwörungsaffinität. Netzpolitik.org wünscht sich, dass Fefe Netzpolitik.org werden soll, mit Fact Checking und Redaktion und Crowdfinanzierung. Und der Piratenchef tut so, als würde er sich über die viele Kritik ganz dolle freuen, was ja auch in der Partei sein Hauptjob ist. Naja. Man kann der subjektiven Betrachtung kaum entfliehen, man kann sie sich nur bewusst machen.
Zugleich ist wichtig zu verstehen: Meine Funktion in der Öffentlichkeit verläuft trotz einiger unterschiedlicher Haltungen in Teilen parallel zu der von Fefe. Deshalb ist die Kritik, die ich an Fefe äußere, oft auch Kritik, die man stärker oder schwächer an mir üben könnte. Und so folgt hier meine offensiv ambivalente Würdigung von Fefe. Oder vielmehr der beiden Fefes, die ich von meinem Sowohl-Als-Auch-Standpunkt aus sehe. Ins mittelschwer Bizarre driftet diese Absicht jedoch – weil ich eigentlich beide Fefes nicht lesen kann, wenn auch aus unterschiedlichen Gründen.
Fefe, der Notwendige
Ich kann Fefe nicht regelmäßig lesen, weil ich trotz allem Optimist bin und bleiben will. Aber ich bin auch so empfindsam wie ein neugeborenes, dreibeiniges, blindes Flauschekätzlein. Schon fünf Minuten Fefe lesen und Links nachverfolgen bringen mich zur Verzweiflung über die Welt. Und zwar auch dann, wenn ich die schwierigen, unklaren und eventuell falschen Teile abziehe. Trotzdem setze ich mich der Verzweiflung ab und zu aus: Ich benutze Fefe als eine Art Medikament, wenn die Verlockung, doch wieder Frieden mit der defekten Welt zu machen, zu groß wird. Zwei, drei pointierte Bemerkungen über die zutiefst verstörende Behördenkatastrophe rund um die NSU, die völlig zufällig kurz vor der Aussage verstorbenen Zeugen – und mir ist übel für drei Wochen. Es ist die Übelkeit, die als Antrieb funktioniert, gegen etwas zu kämpfen, was falsch ist. Und der Weg in die digitale Gesellschaft ist auf viele Arten katastrophal falsch. Fefes Erfolg liegt in der Vereinfachung der Sachverhalte und der Selbstbestätigung für eine bestimmte Gruppe, und manchmal braucht man Vereinfachung und Selbstbestätigung dringender als Differenzierung und Ambivalenz, damit man sich selbst nicht alles schönschmirgelt mit dem ständig relativierenden Einerseits/Andererseits. Schlimmer noch: Mit Snowden habe ich persönlich eine Bestätigung bekommen, dass das, was ich mir nicht vorstellen konnte oder wollte und Fefe seit vielen Jahren transportiert – doch wahr war. Ein blinder Fleck in meiner Realitätseinschätzung, von katastrophal großen Ausmaßen. Daraus möchte ich lernen. Für mich ist Fefe wichtig als stechende Rückversicherung, mich nicht zu bequem einzurichten in meiner Position. Dafür bin ihm zu Dank verpflichtet, als mit einem Klick aufrufbaren, schmerzhaften, aber notwendigen Stachel im Fleisch.
Fefe, der Problematische
Ich kann Fefe nicht regelmäßig lesen, weil mir übergroße Selbstgewissheit zuwider ist. Anders als offenbar viele Leser ziehe ich keinen Nektar aus der wiederholten Bestätigung „Ich habe es ja schon immer geahnt/gewusst/gesagt“. Dieses Muster zieht sich jedoch durch, selbst die durchaus vorhandene Selbstkritik erscheint mir als Teil davon – weil sie nur aufgeschrieben wird, aber keine für mich erkennbaren Konsequenzen hat. Dadurch wird Selbstkritik vom Instrument zur Pose, ich weiß das sehr genau, denn bin selbst auch schon oft in diese Falle getappt.
Zweieinhalbmal habe ich Fefe live getroffen und länger mit ihm gesprochen (einmal ist als Podcast dokumentiert). Das reicht nicht, um ihn näher kennenzulernen. Aber es reicht, um zu ahnen, dass diese Eindimensionalität ein mediales Rezept ist. Die Kritikfähigkeit und Vielschichtigkeit der Person dahinter erscheint mir deutlich größer, als das Blog vermuten lässt. Leider blitzt das noch zu selten auf.
Meine Vermutung für den Grund wäre, dass Fefe als gefühlter Einzelkämpfer begann, der allein gegen die schlimme Welt anschreiben musste, und der deshalb Unterstützerscharen andocken wollte. Truppen sammeln. Das macht man mit Bestätigung der Sorte „Wir, ihr und ich, haben alle total recht und sind auf dem allerrichtigsten Pfad“. Das ist legitim. Ab einer gewissen Wirkmacht aber sollte dieser Pfad verlassen werden (sonst erstarrt man zur ritualisierten Selbstgerechtigkeit). Mir scheint, als sei das Fefe noch nicht ganz gelungen. Vereinfachung und damit Zuspitzung ist in der Kommunikation oft essentiell und hochwirksam, aber als Hauptzutat zu einem Weltbild schlecht. Wenn Fefe es aufgrund der Reaktionen auf seine Anfragen für notwendig hält, seinen „gruseligen“ Fefe-Mob zur Ordnung zu rufen – allein schon, dass es so etwas gibt wie einen Fefe-Mob! – weist das auf zweierlei hin: Dass mein Eindruck von Fefes persönlicher Vielschichtigkeit und Kritikfähigkeit nicht ganz falsch ist. Das ist gut. Aber dass zugleich ein Teil des Publikums die mediale Vereinfachung nicht durchschaut und sein Weltbild vollständig auf der Fefe-Interpretation aufbaut. Und zwar samt des gewollt inszenierten, anmaßenden, aggressiven, destruktiven Tons. Das ist schlecht. Und eine gewisse, fefeseitige Verantwortung dafür ist schwer zu leugnen.
Fefe, was nun?
Differenzierung ist unglaublich anstrengend, ernüchternd, zehrend. Und sie widerspricht dem bisherigen Erfolgsrezept dieses Blogs. Aber sie erscheint mir als nächster Schritt sinnvoll, schon um diejenigen Leute abzuschütteln, die alles Schlechte an Fefes Blog verkörpern und diejenigen zu bestärken, die das Gute an diesem Blog sind und noch stärker sein könnten.
Dass dieser Schritt notwendig ist und darüber entscheiden wird, ob Fefes Wirkung unter den deutschsprachigen Nerds zukünftig als eher positiv oder eher negativ zusammengefasst werden kann, lässt sich – überraschend – auch an Snowdens Enthüllungen ablesen. Präziser: an einem blinden Fleck der Nerdwelt, die Fefe adressiert. Denn die Grundhaltung dieser Community ist, dass soziale Probleme mit der richtigen Technologie gelöst werden könnten. Und das entspricht der Herangehensweise an die Welt, die zur radikalen Überwachung geführt hat: die Überzeugung, alle Probleme durch Datenauswertung in den Griff kriegen.
Ein großer Teil der Politik, rechts wie links übrigens, ahnt nicht einmal, dass er bestürzend oberflächlich einer extremen Technologiegläubigkeit folgt. Weil ihnen Behörden und Überwachungskonzerne versprochen haben, dass sie mit viel Geld für die richtigen Technologien alle gesellschaftlichen Probleme (Terrorismus, Drogen, kaputte Straßen) schon in den Griff kriegen. Das soll explizit nicht heißen, dass „die Nerds“ an „der Überwachung“ schuld sind – es heißt aber, dass die Welthaltung, die mit in das gegenwärtige Dilemma geführt hat (Technologiegläubigkeit), uns sehr wahrscheinlich nicht wieder herausführt.
Die Zukunft dieses Blogs sollte aus meiner Perspektive also weniger „Preaching to the Converted“, Verächtlichkeit und Vereinfachung sein – und dafür mehr Differenzierung, Toleranz und echte Selbstkritik, die auch Folgen hat. Dann steht zweifellos ein goldenes Zeitalter bevor, denn der notwendige und beglückenderweise vorhandene Layer der Unterhaltsamkeit – der muss natürlich bleiben.
(Anm.d.Red.: Der angesprochene gemeinsame Podcast ist Alternativlos 33)
Wie kam Fefe eigentlich zu seinem Blog?Ein Gastbeitrag von Frank Rieger, meinem Co-Netzbeschaller bei Alternativlos).
Eine Erinnerung, die vielleicht die Wahrheit(TM) ist, oder aber doch nur eine schöne Geschichte.In einem sehr privaten, äußerst mysteriösen Chatsystem weit draußen in den abgelegenen Spiralarmen jener Galaxis, die irgendwann später von sensationsheischenden Journalisten "The Darknet" getauft wurde, begab sich eines Abends eine folgenschwere Konversation. Wieder einmal hatte Fefe den Tag über extensiv eine Funktion genutzt, die es erlaubte, URLs mit einem kurzen Kommentar in eine Art Notizbuch des Chatsystems zu posten, den anderen Insassen zur Kenntnis und Freude. Es gab keinen echten Konsens darüber, wofür und wie oft man dort Links hinterlassen sollte, bevor es als lästig empfunden wurde. Fefe war mit Abstand der fleissigste Nutzer, sein fortgeschrittenes News-Junkietum (siehe auch die causa Paperboy) hatte einen ersten Höhepunkt erreicht.
Eine kleine Handvoll Regulars fühlte sich aus unerfindlichen Gründen davon gestört. Vermutilch war es das lästige Gefühl, bei der Lektüre der schieren Menge an Informationen nicht mehr hinterherzukommen. "Hey Fefe, kannst Du Dir nicht mal ein Blog zulegen? Das wird echt ganz schön viel hier…" war der Tenor der zufällig zusammengewürfelten Runde. Ähnliche Rufe von anderen Teilnehmern waren immer wieder erschallt, nun war aber eine gefühlte kritische Maße erreicht.
Fefe tat, was er in solchen Situationen häufig tut. Erst polterte und paulte er ein wenig. Dann schmollte er ein bißchen. Dann setzte er sich hin und codete sich ein erstes Blogsystem, aus dem was gerade so an brauchbaren Fragmenten herumlag. Einen Webserver hatte er schon geschrieben, dann gab es da gerade noch einen LDAP-Server, der als Backend für die Posts bastardisiert wurde. Dann rumpelte, blitzte und krachte es noch geheimnisvoll hinter dem Vorhang und am Ende war blog.fefe.de geboren. Absichtlich schlicht, absichtlich kurz und knapp – mehr als ein Kommentar zur URL war ja auch nicht das Ziel. Und in seiner sparsamen Schlichtheit auch unter den widrigsten Bandbreiten-Umständen noch zu lesen – egal ob über GPRS, Rauchzeichen, Trommelsignale oder Brieftauben-IP.
Zehn Jahre später ist aus der täglichen News-Linkliste eine Institution geworden, eine beliebte Quelle des Abschreibens, ein Ort des Kopfschüttelns, Aufregens, Hassens, Angwidertseins, enthusiastischer Zustimmung, krassen Fanboitums und schnöden Neids. Wenn Fefe auf einen schwachbrüstigen Server linkt reichen die Klicks der Leser oft aus, das System zu überlasten. Wenn er eine Ente postet, ist sie nur schwer wieder aus der Welt zu bekommen. Und alles nur, weil ein paar Leute unbedacht meinten, Fefe solle sich doch mal gefälligst ein Blog zulegen, für seinen Linkposting-Durchfall…
(Anm. d. Redaktion: Ein Blog wollte ich damals eigentlich nicht haben, weil Tim Pritlove überall herumevangelisierte, heutzutage müsse jeder mindestens ein Blog haben, wenn nicht direkt auch gleich noch einen Podcast. Das roch mir alles zu sehr nach Apple-Technologien.)
A few weeks ago Margot Wallström, the Swedish foreign minister, denounced the subjugation of women in Saudi Arabia. As the theocratic kingdom prevents women from travelling, conducting official business or marrying without the permission of male guardians, and as girls can be forced into child marriages where they are effectively raped by old men, she was telling no more than the truth. Wallström went on to condemn the Saudi courts for ordering that Raif Badawi receive ten years in prison and 1,000 lashes for setting up a website that championed secularism and free speech. These were ‘mediaeval methods’, she said, and a ‘cruel attempt to silence modern forms of expression’. And once again, who can argue with that?
Spannend ist, was dann passierte. Saudi Arabien hat ihren Botschafter in Schweden zurückgerufen und erteilt Schweden jetzt kein Visum mehr. Die vereinigten arabischen Emirate haben sich dem direkt angeschlossen. Natürlich gab es auch eine Packung Rhetorik dazu:The Organisation of Islamic Co-operation, which represents 56 Muslim-majority states, accused Sweden of failing to respect the world’s ‘rich and varied ethical standards’
Ach so ist das. Na dann.
Vielleicht hat der ja nen epileptischen Anfall gehabt, oder ein Aneurysma. Herzinfarkt? Schlaganfall? Vielleicht hat der die Tür nur verriegelt, weil das so in irgendwelchen bescheuerten Terrorpanikregeln stand?
Kann man das bei so einem pulverisierten Krater überhaupt feststellen, ob die Tür normal oder antiterrorverriegelt war?
Update: Die Antwort kam prompt per Mail:
Es handelte sich um einen "Absturz" mit sehr konstanter Sinkrate - da war der Autopilot schon fast zwangsläufig im Spiel. Zumeist fliegt der Autopilot im LNAV-Modus (lateral navigation), und der jeweilig zu fliegende Kurs bezieht der Autopilot aus dem bereits abgespeicherten Routenplan. Die Flughöhe wird von der Flugsicherung vorgegeben, und wird mit einem simplen Drehknopf separat eingegeben. Um die Flughöhe auf 0 zu setzen, muss man einen Drehknopf von 38000 Fuss auf 0 stellen - soviel ich weiss in 1000er-Schritten (und 1000 Fuss sind ja rund 330 Meter).
Jemand mit Schlaganfall müsste also diesen Drehknopf drehen, drehen, drehen… ein derartiger drastischer Fehler bei der Flughöhen-Einstellung beim Autopiloten kann fast gar nicht anders erklärt werden als durch Absicht.
Ich hoffe, dass das jetzt mal eine schöne Debatte über die Gehälter und Arbeitsumstände von Piloten anwirft. Sowas kommt ja nicht aus heiterem Himmel. Piloten werden zwar im Vergleich zum Bodenpersonal vergleichsweise gut bezahlt, aber das liegt nicht daran, dass Piloten besonders gut bezahlt werden, sondern dass Bodenpersonal besonders schlecht bezahlt wird. So eine Ausbildung kostet gehoben sechsstellig Euros, und die schießt die Fluglinie vor, wenn man Glück hat. Dafür ist man dann sozusagen deren Leibeigener, bis man das abgestottert hat.
In dem Zusammenhang sei auch mal auf pay-to-fly verwiesen. Piloten müssen nämlich Flugstunden nachweisen, um ihren Job machen zu dürfen. Und für das Privileg müssen sie zahlen. Da zahlt dann der Pilot dafür, seinen Job machen zu dürfen. Nicht anders herum.
Update: Aus einer Mail:
Mein Sohn hat Lufthansapilotenprüfung bestanden. Der Preis der Ausbildung beträgt aktuell 80.000 Euro (hörte gestern: eine 3 1/2jährige Ausbildung bei Siemens kostet, wie gestern von Siemens gehört, auch 100.000). Man muss allerdings auch noch seine Lebenskosten in den deutschen Standorten, wie Bremen selbst tragen. Bafög gibt es nicht, denn ein Lizenzerwerb gilt nicht als reguläre Ausbildung (Sohn sagt: wie Gabelstaplerschein, hätte er zu hören bekommen).
Die Ausbildungskosten hat man nach drei Jahren locker weg, sagt nicht nur die LH, sondern auch Piloten. Schau mal nach den Einstiegsgehältern und den Zulagen.
Also lebenslange Sklaverei ist nicht richtig. Zumal die auch von anderen Airlines abgeworben werden können.
Er versucht jetzt, die Kohle per Crowdfunding zusammenzukriegen.
Ich denke, die $10000 sollten im Rahmen des Möglichen liegen!
Update: Der darf übrigens immer noch nicht das Land verlassen, im Internet chatten und muss vor dem Kommunizieren mit Ausländern um Erlaubnis bitten. (Danke, Gaby)
Das Bundesinnenministerium hatte [nach dem BVerfG-Urteil] das BSI beauftragt, im Rahmen seiner gesetzlichen Aufgaben das BKA bei den für die Erstellung der RFS erforderlichen IT-Sicherheitsüberlegungen, wie die Eignung grundsätzlicher Sicherheitsmechanismen, Kryptoalgorithmen und Protokolle, zu unterstützen, um so die notwendige IT-sicherheitliche Korrektheit der Software gewährleisten zu können."Wir haben doch bloß die Software auditiert!1!!" Mit anderen Worten: die Wernher von Braun-Verteidigung!
Once the rockets are up,
who cares where they come down?
That's not my department!
says Wernher von Braun
Britain's security agencies should look to recruit more middle-aged women and mothers to be new spies and should target websites popular with parents to find them, [the Intelligence and Security Committee] said on Thursday.
Denn wenn jemand weiß, wie man mit Terrorismus umgeht, dann sind es ja wohl Mütter von kleinen Kindern!
Die gute Nachricht: Siedewasserreaktor, kein heißer Brüter oder so. Also ein prinzipiell eher abgehangenes Prinzip.
Die schlechte Nachricht: In Pakistan, zwischen den Terroristen mit Urananreicherungsabsichten.
Die schlechtere Nachricht: An einem Tsunami-Strand.
Die noch schlechtere Nachricht: In einem Erdbebengebiet.
Die noch schlechtere Nachricht: Die 20-Millionen-Stadt Karachi liegt zur Hälfte innerhalb der 20-Meilen-Zone.
Hey, was kann da schon schief gehen?
Ich erwähne das, weil sich der eine oder andere (hoffentlich!) gefragt haben wird, wieso wir von dem halbwegs wohlverstandenen Antik-BIOS zu dem klaffenden Sicherheitsloch UEFI wechseln, und wieso Lenovo uns Krypto-Technologien aufdrängen will, die uns daran hindern, etwaige NSA-Hintertüren im BIOS (wir erinnern uns bei der Gelegenheit an die "Bad-BIOS"-Geschichten) durch Flashen eines eigenen BIOS zu ersetzen.
Ja, das liegt an der NSA. Vollumfänglich liegt das an der NSA.
Was mir besonders auf den Sack geht, sind die Leute, die jetzt so tun, als ginge es bei TPM ja nur um Measured Boot, und dieser Bootguard-Scheiß sei bloß eine Aberration. Nein, ist es nicht. Das war der ursprüngliche Plan. Als die Geschichte noch Palladium hieß und ein Microsoft-Projekt war, um den NSA-Anforderungen zu genügen. Damals hieß es: Im Moment können wir TPM nur als passive Komponente neben die CPU löten, aber in der nächsten Generation (wir reden hier von Pentium 4-Zeiten!) ist das dann in der CPU und dann kann man das auch nicht mehr abschalten. Damals haben wir massive Proteste losgetreten, woraufhin das TPM eine (optionale!) passive Komponente neben der CPU blieb. Das Narrativ der NSA-Schergen änderte sich daraufhin zu "aber guckt mal, ihr könnt doch selber Schlüssel hochladen, und dann könnt ihr damit euer Linux absichern!1!!" Und einige Elemente unserer Community haben diesen Bullshit auch noch geglaubt!
Liebe Leute, wir befinden uns hier gerade in einem Krieg um unsere informationstechnischen Plattformen. Wer die Plattform besitzt, kontrolliert auch die auf ihr stattfindenden Dinge. Das sollte spätestens seit Facebook auch dem letzten Idioten klar sein, ist es aber offensichtlich nicht.
Intel glaubt jetzt offenbar, hey, die Leute da draußen sind alle dümmer als ein Stück Brot. Wir probieren das einfach nochmal und tun das TPM in die CPU. Damit es keiner merkt, nennen wir es "Boot Guard" und lassen das TPM daneben bestehen. Für die Plausible Deniability machen wir das "optional", und dann kriegt Lenovo den Gegenwind ab und nicht wir. Und wenn wir Glück haben, dann kommen so Spezialexperten wie Patrick Georgi und erkennen nicht nur nicht, dass Boot Guard ein TPM wie ursprünglich geplant ist, sondern bringen auch noch das Argument, dass das ja was anderes als "das TPM" sei, und versteigen sich dann auch noch zu der Ansage, dass TPM uns retten wird vor Boot Guard. Ach ja, ist das so? OK, zeig mal. Ich hab hier ein System, auf das habe ich coreboot geflasht, und es bootet nicht mehr. Zeig mir doch mal, wie TPM mich jetzt rettet, Patrick!
Warum reibe ich mich so an diesem einzelnen Verirrten? Weil der eigentlich auf unserer Seite kämpft! Das ist ein Coreboot-Entwickler! Ich will dem jetzt nicht unterstellen, ein NSA-Uboot zu sein. Aber vom Effekt seiner Aussagen her könnte er kaum mehr auf Seite der NSA kämpfen.
Liebe Nerds, so geht das nicht weiter. Schlimm genug, wenn die Politik keine Folgenabschätzung macht. Schlimm genug, wenn die Physiker Atombomben bauen, ohne zu wissen, ob deren Detonation am Ende unsere Atmosphäre verbrennen wird. Wenigstens wir müssen uns bei solchen Sachen langfristige Gedanken machen! Und nicht auf Geheimdienste und ihre Talking Points reinfallen!
Es reicht nicht, über die Politik zu meckern, wenn die unsere Freiheit auf dem Altar der Sicherheit opfern. Secure Boot ist genau das selbe in grün.
Das verschlüsselte Handy des NSA-Ausschussvorsitzenden Sensburg wurde womöglich gehackt. Das defekte Gerät wurde zur Untersuchung vom Bundestag nach Bonn geschickt. Der Behälter kam an - aufgebrochen.Da haben die Amis uns aber mal ganz deutlich gezeigt, wer hier die Infrastruktur kontrolliert und wer nicht. :)
Oder, um es mit einem Kumpel zu formulieren:
einen blackberry (!) per post (!) zur sicherheitsprüfung (!) ans bsi (!)Die Nerds haben jetzt jedenfalls Spaß :)
Obama bluntly said Monday that Netanyahu had been proven wrong about his diplomatic initiative before, telling Reuters that Netanyahu has in the past made "all sorts of claims" about the deal and that "none of that has come true."
Deutlicher kann man "he is full of shit" wohl nicht ausdrücken. Dann stand plötzlich das Gerücht im Raum, Netanjahu würde da absichtlich Details aus den Verhandlungen zwischen Iran und USA ausplaudern, um die zu beschädigen. Im Vorfeld hatten Obama und Vizepräsident Biden schon dafür gesorgt, heute unabkömmlich zu sein für Netanjahu.Der hat dann wohl keine Details verraten, aber hat doch die Gelegenheit für seine übliche WIR WERDEN ALLE STÖRBEN-Rhetorik genutzt, worauf das Weiße Haus mit unverhohlenem Ärger reagierte.
Netanyahu openly sided with President Barack Obama's Republican critics and sparked an immediate and furious reaction from the White House, as relations between Washington and Israel spun into their deepest chasm for many years.
Übrigens gibt es in der israelischen Presse gerade Debatten dafür, ob Netanjahu da nicht nur sich zum Klops macht, sondern auch zukünftigen Regierungen die Handlungsfähigkeit nimmt, weil die USA sich nicht mehr genötigt fühlen könnten, Israel in dem bisherigen Umfang anzuhören oder zu fördern.The response from the White House was swift and did not even try to disguise anger at Netanyahu […]Speaking to reporters shortly after Netanyahu finished his remarks, Obama said there was "nothing new" in Netanyahu's address.
Well duh! Aber wartet, wird noch besser! Obama hat eine Merkel gepullt!"But on the core issue, which is how do we prevent Iran from obtaining a nuclear weapon, which would make it far more dangerous and would give it scope for even greater action in the region, the prime minister didn't offer any viable alternatives," Obama told reporters before meeting with Defense Secretary Ash Carter.
Und da hat er sich noch zurückgehalten mit den Formulierungen! Hier ist, was ein anderer Regierungs-Fuzzy sagte:A senior administration official said in language, extraordinarily strong considering the long alliance between the U.S. and Israel, that the speech contained "literally not one new idea; not one single concrete alternative; all rhetoric, no action."
Das klingt ja doch so, als hätten die echt keinen Bock mehr auf Panikmache bezüglich Iran.
In particular, a network attacker can send the certificate of any arbitrary website, and skip the rest of the protocol messages. A vulnerable JSSE client is then willing to accept the certificate and start exchanging unencrypted application data. In other words, the JSSE implementation of TLS has been providing virtually no security guarantee (no authentication, no integrity, no confidentiality) for the past several years.
Die Experten von Sun mal wieder! Wie war das noch? Java setzt man wegen der Sicherheit ein? Oh nein, warte, wegen der Performance!1!!Auch auf der Webseite: FREAK. Da geht es darum, dass offenbar diverse Webserver noch einen Export-Modus implementieren, aus Krypto-Uhrzeiten. Das ist ein Krypto-Downgrade, das man anscheinend auch triggern kann, dass die benutzt werden. Und dann wird ein so schwacher Schlüssel verwendet, dass man den für $50 knacken kann. Und das betraf anscheinend auch mal wieder OpenSSL.
Update: Achtet auch auf den Screenshot, wo sie den Angriff gegen NSA.gov fahren.
"Today, 90 percent of those who swing toward terrorist activities within the European Union do so after visiting the internet," Cazneuves told reporters last week, after presenting the decree to French ministers. "We do not combat terrorism if we do not take measures to regulate the internet."
Also, liebe Terroristen, äh, Leser, hört mal auf, euch im Internet zu radikalisieren!1!! (Danke, Thomas)
Aus Unterlagen, die dem ARD-Magazin Monitor vorliegen, geht hervor: Die zuständige Fachabteilung im Umweltministerium mit dem Namen "RS I,3" wurde gezielt daran gehindert, an der Begründung des Moratoriums und der anschließenden Sicherheitsüberprüfung der Atomkraftwerke mitzuwirken.Und ohne Begründung können die jetzt klagen.
"Es ist ein völlig unübliches Verfahren, die Einzigen, die fachkompetent sind in einer Behörde, aus einem Verfahren herauszuhalten", sagt Wolfgang Renneberg, früherer Leiter der Abteilung Reaktorsicherheit im Umweltministerium.Na sowas. Gezielte Inkompetenz. Wer hätte gedacht, dass bei der CDU noch mal jemand Inkompetenz extra vortäuschen müsste! (Danke, Sebastian)
Da habt ihr natürlich völlig Recht, genau das ist geschehen, aber es gibt dennoch Entwarnung, denn:
Denn die Kontinuität zu den NS-Geheimdiensten war eher dünn und das Amt auf dem rechten Auge auch nicht blinder als andere Behörden.In der Praxis sah das dann so aus:
das System zweierlei Mitarbeiter in den Nachkriegsjahren: unbelastete Angestellte, die zur Legende des Neuanfangs passten, und frühere Leute von Gestapo oder SS, die mit falschen Namen, bei Tarnfirmen oder Landesbehörden aktiv waren, aber in Wahrheit vom Bundesamt bezahlt wurden. In Köln verstand man es damals trickreich, den Schein zu wahren.Aber ist alles nicht so schlimm, denn die meisten Alt-Nazis waren schon beim BKA in Lohn und Brot. Außerdem bestanden die Alliierten darauf, dass da keine SS, SD oder Gestapo-Mitarbeiter eingestellt wurden. Also haben sie die halt als "freie Mitarbeiter" geführt.
Gustav Halswick, ein früherer SS-Sturmbannführer, baute ein Scheinunternehmen auf, die Firma „Dokumentenforschung“, wo man die Freien bezahlen und sozial absichern konnte. Selbst das Finanzamt war eingeweiht; kein Steuerprüfer sollte den Schwindel aufdecken.Die besten Entnazifizierung, die man für Geld kaufen kann!
Hier ist ein Artikel über die Frankfurter Demo. Money Quote:
Angemeldet hat die erste Frankfurter Pegida-Demo nach hr-Informationen Heidi Mund. Sie leitet gemeinsam mit ihrem Mann, dem Freien-Wähler-Stadtverordneten Mathias Mund, die fundamentalchristliche Bewegung "Himmel über Frankfurt" und organisiert sogenannte Jesusmärsche. Nach ihrer eigenen Aussage hat während eines Aufenthaltes in Jerusalem Gott mit ihr gesprochen.Keine weiteren Fragen, Euer Ehren! (Danke, Daniel)
In ihren Villen seien exzessive Partys gefeiert worden, heißt es von den Ermittlern. Unter anderem sollen die 33 und 35 Jahre alten Männer nach dem Vorbild der Comicfigur Dagobert Duck in Geld gebadet haben.Oh Mann. (Danke, Jan)
"According to estimates, about 20-25% of money is stolen now," [Presidential advisor and assistant to the defense minister Yuriy] Biriukov said.
Na macht nichts, Deutschland wirft mal kurz 500 Millionen Euro hinterher.Das Instrument der „Garantien für ungebundene Finanzkredite“ nutzt die Bundesregierung zur Absicherung von Vorhaben im Ausland, die sie als förderungswürdig einstuft. Es wird relativ selten genutzt.(Danke, Sascha)
Erstens sollte ein zukunftsfähiges System des öffentlichen Rundfunks dem Subsidiaritätsprinzip mehr Gewicht geben; die öffentlich-rechtlichen Anbieter sollten nur da auftreten, wo das privatwirtschaftliche Angebot klare Defizite aufweist. Zweitens sollte im öffentlichen Rundfunk auf die Werbefinanzierung komplett verzichtet werden, da ansonsten die Fehlanreize der Programmgestaltung, die mit dem öffentlichen-rechtlichen Rundfunk beseitigt werden sollen, gleichsam durch die Hintertür wieder eingeführt werden. Drittens sollte sich der Gesetzgeber entweder für eine klare Finanzierung aus dem allgemeinen Haushalt oder für eine moderne Nutzungsgebühr, die beispielsweise dem Subskriptionsmodell im Zeitungsmarkt folgt, entscheiden. Viertens ist eine größere Transparenz durch die Publikation von Kenngrößen dringend notwendig, um die Kosteneffizienz im öffentlich-rechtlichen Rundfunk zu fördern.Das wäre das Ende von Seifenopern, Krimiserien und Unterhaltungsshows. Das sind aus meiner Sicht gute Forderungen. Niemand braucht öffentlich-rechtliche Seifenopern. Mir fehlt da nur noch die Forderung, den undurchsichtigen Produktionssumpf trockenzulegen und alle mit öffentlichen Geldern produzierten Inhalte unter einer freien Lizenz für die Ewigkeit ins Netz zu stellen.
Das Dokument trägt den schlichten Titel "Beste Praktiken bei der Aufstandsbekämpfung", kommt aber schon in der Unterzeile zur Sache: "Wie man Operationen mit hochwertiger Zielauswahl zu einem effektiven Mittel der Aufstandsbekämpfung macht". Entstanden ist das Papier über das "High-Value Targeting" im Office of Transnational Issues (OTI), das sich auf der Website der CIA damit rühmt, es habe "einzigartige funktionale Sachkompetenz anzubieten, um bestehende und entstehende Bedrohungen für die Sicherheit der USA einschätzen zu können".Das Dokument, um das es hier geht, ist das Meuchelmord-Manual der CIA, geleakt von Wikileaks.
Die Kern-Forderung des Dokumentes ist, dass man nicht einfach bei irgendwelchen Krautern seine Penetrationstests in Auftrag geben soll, sondern bei zertifizierten Prüfstellen. Nun gibt es bisher keine zertifizierten Prüfstellen, weil völlig unklar ist, wer da überhaupt die Kompetenz haben soll, andere Marktteilnehmer zu zertifizieren. Es gibt natürlich Common Criteria und ISO9000, aber das ist hier mit Zertifizierung nicht gemeint.
Ich für meinen Teil sehe das Problem auch, dass es unseriöse Marktteilnehmer gibt, aber das wird man mit Zertifikaten nicht los. Im Gegenteil, die verkaufen selber üblicherweise Zertifikate. Ich würde sogar soweit gehen, dass man unseriöse Marktteilnehmer relativ zuverlässig daran erkennen kann, dass sie Zertifikate verkaufen.
Hier ist, was das BSI vorschlägt (Sektion 2.2.3).
Anbieter, die IS-Penetrationstests anbieten, sollten möglichst als Prüfstelle zertifiziert sein. Sie sollten nachweislich die Grundsätze des Datenschutzes, der sicheren Datenhaltung und der IT-Sicherheit einhalten und qualifiziertes Personal beschäftigen.Das ist in der Praxis natürlich Blödsinn. Einhaltung des Datenschutzes weist man nicht nach, wie soll das auch vor dem Einsatz für die Zukunft gehen, sondern man macht einen Vertrag, wo das mit heftigen Strafen belegt wird. Und dann leakt da auch nichts. Bei der sicheren Datenhaltung kann man jetzt natürlich sagen, dass das wie eine gute Idee klingt. Aber in der Praxis steht im Vertrag drin: ihr dürft unseren Quellcode sehen, aber nicht kopieren. Es gibt da keine Daten, die man als Pentester halten würde. Außer natürlich dem Report, den man im Rahmen des Auftrags schreibt. Man archiviert da nicht jahrelang irgendwelche Daten von irgendwelchen Kunden, die bei irgendwelchen Tests vor 10 Jahren angefallen sind. Das tut man in den Vertrag und fertig.
Das mit dem qualifizierten Personal halte ich für am gefährlichsten an der ganzen Chose. Denn da gibt es schlicht keine Metriken. Es gibt natürlich irgendwelche Gruppierungen aus dem Zertifikate-Verkloppen-Umfeld, die auch Zertifikate für Personen verkloppen. Und bestürzenderweise zitiert das BSI auch genau diese Leute in ihren Referenzen am Ende, irgendwelche sinnlosen "ethical hacker"-Pömpel mit genau Null Aussagekraft. Selbst wenn jemand sein Leben lang ehrlich war, kann der ja trotzdem morgen kriminell werden und mit deinen Daten weglaufen. Die Aussagefähigkeit und Messbarkeit ist hier meines Erachtens nicht gegeben. Und insbesondere haftet keiner dieser Zertifikatsherausgeber dafür, wenn einer ihrer Zertifikatsträger sich dann anders als zertifiziert verhält. Zertifikate verkaufen ist ein Geschäftsmodell, kein Kundendienst.
Und so stellt sich auch für das BSI die Frage, was man denn jetzt machen soll, wenn keine Zertifikate vorliegen. Antwort:
Es wird dort verlangt, dass ein IS-Penetrationstester Berufserfahrung in dem Bereich IT-Penetrationstest besitzt und eine technische Ausbildung abgeschlossen hat. Der Projektverantwortliche muss in den letzten acht Jahren mindestens fünf Jahre Berufserfahrung (Vollzeit) im Bereich IT erworben haben, davon sollten mindestens zwei Jahre (Vollzeit) im Bereich Informationssicherheit absolviert worden sein. Zudem sollte der IS-Penetrationstester an mindestens sechs Penetrationstests in den letzten drei Jahren teilgenommen haben. Dies sollte möglichst vom Anbieter über entsprechende Referenzen nachgewiesen werden.Aus meiner Sicht ist das wildes Hand Waving. Gestikulieren, damit keiner merkt, dass der Kaiser keine Kleider trägt.
In der Praxis kann man das mit den Referenzen vergessen. Viele Kunden wollen nicht als Referenz auftreten. Und selbst wenn Firma XY mit Mitarbeiter A und B einen Pentest bei Firma Z durchgeführt hat, weiß Z doch gar nicht, wer da tatsächlich die Arbeit gemacht hat. Das ist schlicht nicht bewertbar, ob A oder B fit ist. Oder beide. Oder vielleicht keiner von ihnen und sie hatten nur Glück oder ein gutes Tool dabei.
Der Report fällt dann noch durch Vorschläge wie den hier auf (Sektion 3.1.2):
Der Auftraggeber sollte gewährleisten, dass keine Änderungen an den Systemen während der Tests durchgeführt werden. Sollte der Ansprechpartner des Auftraggebers durch Beobachten des IS-Penetrationstests oder Gespräche auf Sicherheitslücken aufmerksam werden, so muss er warten, bis der IS-Penetrationstest abgeschlossen ist, bevor er die Lücke beseitigt, da sonst die Testergebnisse verfälscht werden können.Bitte was? Der Kunde darf seine Systeme nicht sicherer machen, weil sonst der Test verfälscht werden könnte? Liebes BSI, Ziel eines Pentests ist, dass die Systeme sicherer werden, nicht dass der Test nicht verfälscht wird. Was ist DAS denn für ein Blödsinn?! Und im Übrigen, ich als Pentest-Durchführer bin der Auftragnehmer, ich kann da meinem Auftraggeber keine Vorschriften machen, wie ein Test ordentlich durchgeführt gehört.
Sollte eine derart gravierende Lücke entdeckt werden, dass es unabdingbar ist, diese sofort zu schließen, so sollte der IS-Penetrationstest abgebrochen und zu einem späteren Zeitpunkt weiter durchgeführt werden.Es gibt keine fachliche Grundlage für diese Empfehlung.
Humoristisch besonders wertvoll ist auch diese Empfehlung (Sektion 4.1.2):
Das BSI empfiehlt, das IS-Penetrationstester nur solche Exploits einsetzen, deren Wirkungsweise sie schon untersucht und getestet haben.Scheiße, Bernd!! Hätte mir das doch mal vorher jemand gesagt!1!!
Kurz gesagt: Das ist ein Schuss in den Ofen. Ich verstehe, dass das BSI hier gerne aktiv werden würde, denn Zertifikate kosten Geld, womöglich kann das BSI sich hier ähnlich wie das Patentamt zu einem Profit Center entwickeln. Aber den Kunden hilft das nichts. Aus meiner Sicht sind die Empfehlungen alle gesunder Menschenverstand, angereichert mit "kauft uns doch ein paar Zertifikate ab, Zertifikate können wir gut!"
Aber einen gibt es, der mit offenem Visier kämpft. Der sah sich glaube ich zu einer Reaktion genötigt, weil ich seinen Thread mit Mario Sixtus verlinkt hatte. Sascha versucht hier heldenhaft, sich auf die Seite von Julia zu schlagen, aber kann an meinem Blogeintrag auch beim besten Willen keine Schmähkritik finden, daher konstruiert er halt eine:
Lustig, gell, da liegt ne Frau am Boden, da prügelt noch jemand drauf ein.Ich weiß ja nicht, wie das bei Sascha zuhause so ist, aber da wo ich herkomme ist das nicht lustig, wenn jemand auf eine am Boden liegende Frau einprügelt. Ich finde das überhaupt nicht witzig und halte es auch für unangebracht, da Witze drüber zu machen. Die Formulierung damals war absichtlich so gewählt, um auf den Umstand hinzuweisen, dass hier jemand ohne Not auf Wehrlose einprügelt.
Ich bin ja fast ein bisschen gerührt, wie Sascha und co sich dann bemühen, meine Äußerungen zu dekonstruieren, um da irgendwelche angreifbaren Punkte zu isolieren. Leider ist da nichts, und so bleibt nur der Vorwurf, wenn ich auf den Hass aus der Richtung der Feministen hinweise, dass ich damit den Hass in Richtung der Feministen ignoriere oder geringschätze oder relativiere. Diese These ist besonders sportlich angesichts der Tatsache, dass ich am Vortag extra auf diesen Hass hingewiesen hatte.
Inhaltlich bleibe ich dabei, dass man nicht das Unrecht der eigenen Seite gegen das Unrecht der anderen Seite aufrechnen kann. Wer Unrecht begeht, hat die Legitimität seines Anliegens verloren. So einfach ist das. Das gilt für "Männerrechtler", die das Wort "Feminazi" gebrauchen, genau so wie für "Frauenrechtler", die Passanten als "Masku" oder "Nazi" beschimpfen. Und egal um welches Anliegen es geht, wenn jemand das Wort "menschlicher Abschaum" in den Mund nimmt, hat er vollständig und auf Jahre für sich und seine Mitstreiter verkackt, egal worum es ursprünglich mal ging.
Oh, und, Pro-Tipp: Wenn ihr in einem meiner Blogeinträge keine Schmähkritik findet, dann war da wahrscheinlich keine drin.
Im Übrigen haben bei mir alle Journalisten direkt für immer verkackt, die nicht in der Lage sind, den Namen ihres Gegenübers richtig zu schreiben. "Don Alphonso". Notiert es euch. Nicht Fonsi, nicht Fossi, nicht Alphons. Don Alphonso. Wer damit überfordert ist, den Namen seines Gegenübers zu schreiben, der hätte lieber nicht Journalist werden sollen. Ja, Herr Sixtus, damit sind Sie gemeint. Tippfehler kann man mal verzeihen, aber absichtlich den Namen falsch schreiben, um den Gegenüber der Lächerlichkeit preiszugeben, das geht in dem Gewerbe gar nicht. Bei aller Geringschätzung, soviel Niveau muss sein. Ich nenne Sie auch nicht Herr Sackstuss oder so.
Update: Ah, Twitter-Zeitaccount. Und der Tweet. Kämpft sie also doch auch mit offenem Visier. Und ein Teil der gehässigen Formulierungen oben ziehe ich zurück, das war dann meine Schuld, dass ich diesen Tweet nicht gefunden habe, von dem mir jemand einen Paste schickte, ich ihn aber dann nicht wiederfand.
Update: Um das noch mal ganz deutlich zu sagen: Ich sehe mich da nicht als Betroffenen, weder von den marodierenden Masku-Horden, noch von den unflätigen Feministen-Schreihälsen. Aber im Vorbeiscrollen begegne ich ja schon diversem Unrat, und da war bisher noch so gut wie kein Masku-Unrat dabei, aber jede Menge Feministen-Schreihals-Unrat. So war das gemeint.
Ich bin wie gesagt in der Debatte nicht so drin, weil ich mich da auch absichtlich raushalte. Das liegt vor allem daran, dass mir gleich schon die erste Seite, deren Argumente ich mir anhören wollte, Vorschriften machen wollte, welche und wessen Argumente ich anhören darf und welche nicht. Wenn das passiert, mache ich normalerweise einen großen Bogen um das ganze Thema und nehme keinen der Teilnehmer mehr ernst. Es gibt da so einen schönen Spruch, der George Bernard Shaw zugeschrieben wird.
I learned long ago, never to wrestle with a pig. You get dirty, and besides, the pig likes it.
Das gilt eben nicht nur für Wrestling mit Schweinen sondern auch für Internet-Diskurse in Webforen, und bei Twitter ist es offensichtlich noch mal eine Packung schlimmer. Es ist übrigens auch im Leben außerhalb des Internets eine bewährte Maxime.Ich nehme ja hier im Blog auch selten ein Blatt vor den Mund, aber das heißt nicht, dass man andere Menschen so persönlich anpinkeln muss. Das ist ja eine Sache, das mit Politikern zu machen, die in meinem Namen Dinge tun, die ich nicht gutheiße. Das ist nochmal eine völlig andere Sache, einfach so im Internet irgendwelche wildfremden Leute mit Scheiße zu bewerfen. Also, in diesem Sinne. Wir sind keine steinzeitlichen Höhlenbewohner mehr. Benehmt euch mal bitte entsprechend.
Respekt an dieser Stelle übrigens für die Ausdauer von Don Alphonso. Die Energie hätte ich nicht gehabt, mich durch diese Fäkalienlavine durchzuarbeiten, um da das Best-Of verlinken zu können.
Übrigens, am Rande: Kennt ihr schon die Non-White-Heterosexual-Male License?
Der Name des Providers ist in den Akten für den Untersuchungsausschuss geschwärzt, aber Insider wissen, dass die Deutsche Telekom dem Dienst behilflich sein musste. BND und Telekom schlossen einen Vertrag, die Firma stellte dem BND den Zugang zu seinen Servern zur Verfügung - und bekam dafür monatlich 6000 Euro.Das ist recht witzig, weil die Telekom immer eine ziemlich ablehnende Grundhaltung gegenüber DE-CIX hatte. Der BND hat dann einen Trafficfilter gebastelt, damit die Amis "nur ausländischen Traffic sehen können", aber der hat von Anfang an nicht funktioniert.
Besonders heikel: Das G10-Gremium wurde nicht informiert. Die Geheimdienstaufsicht wurde absichtlich belogen und betrogen. Wir wussten ja schon vorher, dass eine parlamentaische Geheimdienstaufsicht nicht möglich ist, aber das sollte dann wohl alle Restzweifel ausräumen.
Ich bin ein bisschen irritiert, wieso die OSZE überhaupt für die Ostukraine taugt. Die Ostukrainer sind ja nicht OSZE-Mitglied. Wieso sollten die sich an OSZE-Spielregeln halten? Mal abgesehen davon, dass wir ihnen nicht mal genug Respekt entgegenbringen, um uns eine noch nicht aufgeflogene Legende für unsere Spionage-Einsätze auszudenken. Alleine dafür haben wir aus deren Sicht mal einen in die Fresse verdient, finde ich.
Hat was von Auffahrunfall auf der Gegenfahrbahn.
Schatz, wieso hast du denn den Flieger verpasst?
Weil sich mein ICE zwischen Hauptbahnhof und Flughafen verfahren hat! (Danke, Norbert)
Aber heute sah ich diesen Blogeintrag hier, der schon recht "boah den Scheiß lese ich mir nicht durch" anfängt, weil der Typ herumheult, dass ihm jemand seinen optimierten Miner-Quellcode geklaut und auf Mailinglisten verteilt hätte. Da sind wir schon gleich an der Wurzel des Übels von Krypto-Currencies. Wenn ich einen enormen Fortschritt aus Minings-Software herausoptimiere, wieso würde ich das dann veröffentlichen? Das würde doch bloß meinen Profit minimieren!
Aber dann wird es schnell spannender. Er berichtet, dass ihn jemand kontaktiert habe, er solle doch mal bitte einen bestimmten Mining-Code beschleunigen, und er fing dann an und holte da relativ schnell ziemlich enorme Performancegewinne heraus. Es geht nicht um Bitcoin sondern um Monero, aber das spielt ja keine wirkliche Rolle. Mir geht es ums Prinzip, nicht um die konkrete Währung.
Da sollte man schonmal zu grübeln anfangen. Wenn ein Typ es schafft, aus einer Crypto-Währungs-Mining-Software größere Performancegewinne herauszuoptimieren, und wir reden hier von einer Größenordnung und mehr, dann riecht das schonmal direkt faulig. Und dann… das hier:
The more I looked at it, the more clear it became: The original developers deliberately crippled the miner. It wasn't just slow, and it wasn't just naive; it was deliberately obfuscated and made slow by the use of completely superfluous copies, function calls, use of 8 bit pointer types, and accompanied by the most ridiculously slow implementation of the AES encryption algorithm one could imagine.
Wir haben hier also nicht nur den Effekt, dass die einzelnen Leute da draußen keinen Anreiz mehr sehen, für das gemeinsame Wohl die Mining-Tech zu verbessern. Wir haben den Effekt, dass schon die Leute, die die Währung und das initiale Mining-Equipment designen, das absichtlich scheiße machen, damit ihre private Version einen unfairen Vorteil hat und sie schneller reich macht.Es ist also nicht nur so, dass die Mining-Software konzeptionell darauf ausgelegt ist, die Umwelt zu verpesten und Energie zu verheizen, sondern die Implementation ist auch noch absichtlich darauf ausgelegt, möglichst ineffizient zu sein. Das ist sogar noch ein Schritt weiter als ich in meiner initialen Kritik gedacht hatte.
Es ist immer wieder erschütternd, was Kapitalismus und Profitstreben aus Menschen macht. Widerlich!
Und der Artikel geht dann noch kraftvoll weiter.
Mein persönliches Highlight aus dem Artikel ist das hier:
We held our breath waiting for an onslaught of new miners, but it never came. My best guess is that the newness of the Cryptonote software, as well as some difficulty getting it running because of a lot of dependencies on Boost and other libraries, scared a lot of people off and kept the technical barriers to entry high.
Boost als Security-Technologie! Es hält andere davon ab, die Software gut genug zu verstehen, um sie auf die GPU zu portieren! BWAHAHAHAHA
Oregon also accuses Oracle of breach of contract, along with civil racketeering, for “failing to deliver on its obligations, overcharging for poorly trained Oracle personnel to provide incompetent work, hiding from the state the true extent of Oracle’s shoddy performance, continuing to promise what it could not deliver, and willfully refusing to honor its warranty to fix its errors without charge.”
Dieses Verhalten würde ich nicht als Alleinstellungsmerkmal von Oracle bezeichnen wollen. Wenn man da noch ein "und dann dem Auftraggeber sagen, wenn er nicht noch mehr gutes Geld hinterherwirft, wird das nie jemand retten können" dranhängt, kommt man bei typischen staatlichen Großprojekten in Deutschland raus. Die werfen Oracle jetzt auch noch Abrechnungsbetrug vor, das ist natürlich eine eigene Liga und würde hoffentlich auch bei uns zu Konsequenzen führen. Aber wirklich sicher bin ich mir da nicht.Oracles Antwort ist übrigens auch bemerkenswert:
Oracle’s suit places the blame for the failure of Cover Oregon on the state itself, with the company claiming that Oregon refused to hire a “systems integrator” to manage Oracle’s work on the website.
Oregon sagt jetzt, das sei Oracles tun gewesen, dass es keinen extra Integrator gab. Oracle habe mit dem Argument dagegen lobbiiert, dass das bloß das Projekt verzögern würde.Ich hab da natürlich keine Einsichten in das Projekt, aber die Vorwürfe von Oregon finde ich jetzt nicht offensichtlich unglaubwürdig. Ich bin mal gespannt, was da rauskommt. Hoffentlich kommt es zur Discovery-Phase und die einigen sich nicht schon vorher außergerichtlich.
Und noch ein Detail will ich euch nicht vorenthalten. Jemand, der sagt, er sei "bei der Flak" gewesen, schreibt: 1. wenn das gut ausgebildete Schützen waren, dann war das Absicht. Man kann zivile Flugzeuge auf dem Radar gut erkennen, an Flughöhe, Geschwindigkeit und Kurs, und würde die nicht mit einem Militärflugzeug verwechseln. Außerdem schreibt er, der Flieger sei von links getroffen worden, und links von der Flugroute war Separatistengebiet. Ich habe mal zurück gefragt, ob man das bei so einer SAM nicht einstellen kann, ob man von rechts oder links treffen will. Ich habe das auch noch nicht in der Presse gesehen, dass der Einschlag von links kam. Das wäre ja in der Tat ein wichtiges Indiz dafür, dass es doch nicht die Ukraine sondern die Rebellen waren. Es bleibt spannend!
Update: Kann man nicht einstellen.
Und einige Physiker schreiben mir gerade, dass das plausibel ist, wie die Triebwerksteile aussehen. Die sehen absichtlich extrem stabil und aus Spezialstahl. Wie krass stabil die sind, kann man in diesem Video eines Turbinentests gut sehen, wo sie eine der Finnen im laufenden Betrieb sprengen. Die Anforderung ist, dass der Rest dann nicht auseinanderfliegt. Das ist schon mal echt krass, dass sowas überhaupt möglich ist.
Update: Hier nochmal in Nahaufnahme.
Update: Auch bei anderen Abstürzen hat das Triebwerk jeweils überlebt.
Ich habe solche Trucks da auch schon gesehen, aber wäre nie auf die Idee gekommen, dass Leute das absichtlich machen. Ich dachte, da hat jemand nach was falsches getankt oder nach nem Unfall einen Motorschaden oder so.
Update: Video aus Sicht der Truckfahrer.
The United State District Court decided that the .ir domain name, along with Iran’s IP addresses — without which Iranian websites cannot be included in the World Wide Web — were assets that could be seized to satisfy judgments against the Islamic state of more than a billion dollars, owed by Iran to Israeli and US victims of terror perpetrated by the Hamas and Hezbollah organizations, among others.
Ach nee, Hamas und Hisbollah? Es geht hier also noch nicht mal um staatliche Einrichtungen des Iran, sondern um Terrorgruppen, deren Finanzierung dem Iran vorgeworfen wird! Wollen wir mal die Schäden zusammenzählen, die von den USA finanzierte und bewaffnete Terrorgruppen so verursacht haben?Grotesk.
Es wird echt allerhöchste Zeit, den Amis sämtliche Kontrolle über das Internet wegzunehmen. Und das Uno-Hauptquartier. (Danke, Mathias)
Damit war nicht OpenSSL gemeint, sondern sowas wie X, perl, gcc. Aber OpenSSL fiel auch darunter, in dem Sinne, dass ich da eh noch andere Vorbehalte für einen Audit hatte. Und diese Policy hat dann dazu geführt, dass ich da auch nicht mal oberflächlich reingucken wollte.
Da ich angesichts aktueller Entwicklungen eh nicht gut schlafen kann mit OpenSSL gerade, habe ich mich entschieden, doch mal kurz einen Blick zu werfen.
Ich bin, gelinde gesagt, entsetzt. Schon die OpenBSD-LibreSSL-CVS-Checkin-Kommentare haben ja tief blicken lassen.
Es gibt so ein paar Kriterien, an denen ich bei C-Code meinen ersten Eindruck festmache. Das erste Kriterium ist, dass Längen und Offsets immer unsigned sein müssen, und vom Typ size_t. Früher hätte ich gesagt: unsigned long ist auch OK. Aber es gibt Plattformen, auf denen long 32-bit aber size_t 64-bit ist. 64-bit Windows z.B. Daher muss es size_t sein, nicht unsigned long. Und schon gar nicht long. Hier ist, was OpenSSL macht:
static int asn1_get_length(const unsigned char **pp, int *inf, long *rl, int max)Hier fallen ja schonmal als erstes die intuitiven Variablennamen auf. Da weiß man doch sofort, was gemeint ist! Ich kläre mal auf: Diese Routine soll einen ASN.1 DER Längenwert parsen. Das Encoding davon ist: Wenn das erste Byte das höchste Bit gesetzt hat, dann sind die unteren 7 Bits die Länge in Bytes für die Länge, die dahinter in big endian folgt. Wenn das erste Byte das höchste Bit nicht gesetzt hat, dann sind die unteren 7 Bits der Wert. Weil X.509 DER benutzt, gibt es zusätzlich noch die Regel, dass alle Längen minimal encoded sein müssen. Beispiele:
05 - Wert 5Meinem aktuellen Verständnis nach kann indefinite length bei X.509 nicht vorkommen, und ich unterstütze den Fall in meinen ASN.1-Routinen im Moment auch nicht sondern liefere einen Fehlerwert zurück. OpenSSL supported das. Möglicherweise übersehe ich da was. Wo ich aber nichts übersehe: OpenSSL prüft an keiner Stelle, dass das Encoding minimal ist. Der Effekt ist, dass man das identische Zertifikat auf mehrere Arten kodieren kann, und damit möglicherweise Angriffsfläche auf Krypto-Verfahren schaffen kann. Überhaupt sind Unterschiede zwischen Parsern immer doof, Differentiale will man an solchen Stellen vermeiden. Das ist jetzt kein "OMG RUN FOR THE HILLS"-Moment, aber wenn man schon eine zentrale Library macht für sowas, dann doch um da penibel solche Sachen abzufangen, damit die Leute das nicht alle von Hand machen und vergessen.
7f - Wert 127
81 01 - Ungültig, da nicht minimal encoded; wäre sonst 1
82 00 23 - Ungültig, da nicht minimal encoded; wäre sonst 35
82 12 34 - Wert 4660 (0x1234)
89 11 11 11 11 11 11 11 11 11 - Ungültig, da der 9-Byte-Wert nicht in einen Integer passt
0x80 - Sonderfall, "indefinite length".
Aber unabhängig davon. pp ist der Quell-Zeiger (das const ist ein gutes Zeichen, das wäre Kriterium 2 für das Erkennen von schlechtem Code gewesen). inf wird auf 1 gesetzt, wenn indefinite length encoding reinkommt. Ich finde, das hätte man direkt zurückweisen sollen. Indefinite length encoding funktioniert so, dass man am Anfang sagt, man weiß nicht, wie groß die Daten werden, die jetzt kommen, und dann schickt man halt so viele Daten wie halt kommen und dann zwei Null-Bytes. Ganz schlechte Idee, und habe ich in der Praxis auch noch nie im Einsatz beobachten können. Das ist ja gerade der Grund, wieso man ASN.1 DER einsetzt, damit man vorher weiß, wieviele Daten jetzt kommen werden. Und im Übrigen siehe oben zu den Parser-Differenzen. Das will man vermeiden.
Aber der eigentliche Punkt, auf den ich die ganze Zeit hinauswill: die Länge ist ein long. Das ist ein ganz schlechtes Zeichen. Die Routine versucht, das Schlimmste zu verhindern, indem sie als unsigned parsed und dann einen Fehler meldet, wenn der Wert größer als LONG_MAX ist. Und in der Tat, wenn sie das nicht gemacht hätte, hätte es im String-Parsing direkt einen schönen Buffer Overflow gegeben.
Ich habe jetzt jedenfalls ein schlechtes Gefühl bei OpenSSL und werde glaube ich erstmal die ASN.1-Routinen von PolarSSL auditieren, damit ich einen Fallback habe, wenn ich die ganzen Atommüllablagerungen in den Fracking-Schächten bei OpenSSL finde.
Update: Oh Graus, ich erfahre gerade, dass ich X.509 die ganze Zeit falsch verstanden hatte. Ich hatte das so verstanden, dass X.509 immer DER Encoding nimmt. Denn, mit Verlaub, alles andere ergibt auch gar keinen Sinn. Man will das ja in digitalen Signaturen verwenden. DER ist eine Teilmenge von BER, die genau den Zweck und die Daseinsberechtigung hat, dass man alles nur auf genau eine wohldefinierte Art kodieren kann. Begründung: Das braucht man so für digitale Signaturen. Und jetzt erfahre ich gerade, dass X.509 gar nicht DER sondern BER benutzt! Man soll das als Implementation anscheinend als BER parsen, dann soll man das als DER neu kodieren und dann die Signaturberechnungen machen!? Das kann ja wohl nicht wahr sein! Dann hätte OpenSSL Recht mit ihrem Code. Heilige Scheiße, wer denkt sich denn solche Standards aus!? In der Praxis habe ich noch nie was anderes als DER-Encoding gesehen. In meiner SSL-Library werde ich jedenfalls gleich beim parsen alles rejecten, das nicht DER ist.
Update: Interessanterweise macht OpenSSL es auch falsch, wenn BER Absicht ist.
173 if (i > sizeof(long))
174 return 0;
Leute, es ist doch völlig wurscht, ob das jetzt eine Backdoor ist oder nicht. Wir müssen alle davon ausgehen, dass über dieses Ding alle unsere Passwörter rausgetragen wurden. Ob das jetzt ein Geheimdienst eingebaut hat, oder ob das ein Geheimdienst nur entdeckt und damit sein BULLRUN-Programm aufgebohrt hat, das ist doch völlig nebensächlich.
Der Punkt an der Sache ist, dass wir ab jetzt IMMER davon ausgehen müssen, dass irgendwelche Bugs auch eine Backdoor sein könnten. Es gibt für sowas keine Beweise, nur Indizien, und wir wissen es nie genau, bis es irgendwann ein Whistleblower zugibt. Und es spielt auch keine Rolle, wie viele Indizien es gibt, wie stark die sind, oder ob es wirklich eine Backdoor war oder nicht.
Es geht auch nicht um diesen Seggelmann. Der wird jetzt damit leben müssen, beim größten Security-Meltdown in der Geschichte von SSL der Mann an der Reaktorkühlung gewesen zu sein. Ob das jetzt Absicht war oder nicht — who cares.
Was eine Rolle spielt, ist dass wir jetzt das Bedrohungsszenario "jemand will uns eine Backdoor unterschieben, die bloß wie ein blöder Bug aussieht" nicht mehr als Verschwörungstheorie zu den Akten legen können nach Snowden. Wir müssen ab jetzt bei jedem Checkin davon ausgehen, dass uns jemand sabotieren will. Nicht bei allen Projekten. Aber bei sowas wie OpenSSL ganz bestimmt.
Open Source-Softwareentwicklung hat gerade den Sprung in die Geheimdienstwelt gemacht, wo man sich gegenseitig nicht mehr einfach so traut. Die Zeit der Blümchenwiesen-Softwareentwicklung ist vorbei, wenn die Software auf Millionen von Desktops läuft.
Ob das Open Source Modell in so einer Paranoia-Umgebung überleben kann, wird sich zeigen müssen. Aber einfach so tun, als beträfe uns das alles nicht, das können wir nicht mehr.
Ich bin mir übrigens sicher, dass man auch bei einigen von meinen Bugs über die Jahre rückblickend Indizien konstruieren könnte, wieso das wie eine Backdoor aussieht, oder einer anderen Backdoor hilft oder sie ermöglicht. Man müsste sich dafür recht weit aus dem Fenster lehnen, aber das ist ja kein Problem bei Verschwörungstheorien. Glücklicherweise habe ich nicht so viele sicherheitskritische Fehler gemacht über die Jahre.
Ich möchte die Gelegenheit nutzen, nochmal darauf hinzuweisen, dass ich selbstverständlich nicht behauptet habe, Herr Seggelmann habe hier absichtlich eine Backdoor programmiert. Ich habe behauptet, dass er den Code programmiert hat. Dazu verlieh ich meiner Einschätzung Ausdruck, dass der Code wie eine Backdoor aussieht. Nicht dass es eine ist. Denn das kann man anhand des Codes auch gar nicht entscheiden, wie ich auch in dem FAZ-Artikel ausführe. Daher gibt es auch keine Grundlage für so eine Behauptung.
Update: Spon hat den Artikel umgeschaltet, und sie haben mir versichert, dass es nicht so gemeint war, wie es da stand. OK. Schwamm drüber.
Hier ist der git commit. Das ist aber nicht der Punkt hier gerade.
Wo arbeitet der? Was meint ihr? Kommt ihr NIE drauf!
Robin Seggelmann T-Systems International GmbH Fasanenweg 5 70771 Leinfelden-Echterdingen DE
Update: Eine Sache noch. Nehmen wir mal an, jemand würde mich bezahlen, eine Backdoor in OpenSSL einzubauen. Eine, die auf den ersten Blick harmlos aussieht, die aber ohne Exploit-Schwierigkeiten auf allen Plattformen tut und von den verschiedenen Mitigations nicht betroffen ist. Genau so würde die aussehen.
Ich sehe in dem Code nicht mal den Versuch, die einkommenden Felder ordentlich zu validieren. Und auch protokolltechnisch ergibt das keinen Sinn, so eine Extension überhaupt zu definieren. TCP hat seit 30 Jahren keep-alive-Support. Es hätte also völlig gereicht, das für TLS über UDP zu definieren (und auch da würde ich die Sinnhaftigkeit bestreiten). Und wenn man ein Heartbeat baut, dann tut man da doch keinen Payload rein! Der Sinn von sowas ist doch, Timeouts in Proxy-Servern und NAT-Routern vom Zuschlagen abzuhalten. Da braucht man keinen Payload für. Und wenn man einen Payload nimmt, dann ist der doch nicht variabel lang und schon gar nicht schickt man die Daten aus dem Request zurück. Das ist auf jeder mir ersichtlichen Ebene völliger Bullshit, schon das RFC (das der Mann auch geschrieben hat), das ganze Protokoll, und die Implementation ja offensichtlich auch. Aus meiner Sicht riecht das wie eine Backdoor, es schmeckt wie eine Backdoor, es hat die Konsistenz einer Backdoor, und es sieht aus wie eine Backdoor. Und der Code kommt von jemandem, der bei einem Staatsunternehmen arbeitet, das für den BND den IP-Range betreut (jedenfalls vor ein paar Jahren, ob heute immer noch weiß ich nicht). Da muss man kein Adam Riese sein, um hier 1+1 zusammenzählen zu können.
Update: Es stellt sich raus, dass der Mann damals noch an seiner Dissertation geschrieben hat und an der Uni war und erst später bei T-Systems anfing. In der Dissertation geht es unter anderem um die Heartbeat-Extension, die mit UDP begründet wird. In dem Text steht auch drin, dass man keine Payload braucht. Aber lasst uns das mal trotzdem so machen, weil … Flexibilität und so!
Update: Echte Verschwörungstheoretiker lassen sich natürlich von sowas nicht aufhalten. Der Job bei T-Systems war dann halt die Belohnung!1!! Und echte Verschwörungstheoretiker googeln auch dem Typen hinterher, der den Code auditiert und durchgewunken hat, damit der eingecheckt werden konnte. Ein Brite, der nur 100 Meilen von Cheltenham (GCHQ-Sitz) entfernt wohnt!!1!
Update: Robin Seggelmann hat der australischen Presse erklärt, das sei ein Versehen gewesen.
Update: Hier ist eine Gegendarstellung dazu von Herrn Seggelmann:
Der Fehler ist ein simpler Programmierfehler gewesen, der im Rahmen eines Forschungsprojektes entstanden ist. T-Systems und BND oder andere Geheimdienste waren zu keiner Zeit beteiligt und zu meiner späteren Anstellung bei T-Systems bestand zu keiner Zeit ein Zusammenhang. Dass T-Systems im RFC genannt wird, liegt an der verspäteten Fertigstellung des RFCs und es ist üblich, den bei der Fertigstellung aktuellen Arbeitgeber anzugeben.
(Danke, Jürgen)
Erster Versuch: "Das ist bestimmt gefälscht". Nach dem Hinweis, dass die Regierung der Türkei selbst zum Großteil die Echtheit eingeräumt hat, kommt die Linke dann noch mit dieser schönen Frage:
Stimmen Sie mir zu, daß jemand, der die Vorbereitung für die Entfesselung eines Angriffskrieges mit Vorwänden wie die für den Tonkin-Zwischenfall 1964 oder das Racak-Massaker 1999 betreibt, vor den Strafgerichtshof gehört?Uiuiuiui, wie windet man sich aus sowas wieder raus? Wie sich rausstellt: Gar nicht. Außer hohlen Phrasen und ein paar Tautologien kommt da nicht viel. Die Türkei habe immer nur reagiert und nie angegriffen bisher. Tja, das stellt sich in dem Youtube-Ausschnitt anders dar. Muss man eigentlich auch rückwirkend in Frage stellen. So sieht das aber nicht das Außenministerium:
Die Bundesregierung ist im ständigen Gespräch mit der Türkei. Wir haben derzeit keinen Grund zu der Annahme, daß die Türkei diese Politik zu ändern beabsichtigt.Aha. Soso. Bis halt auf das Youtube-Video, um das es hier geht.
Die Linkspolitikerin spricht sogar explizit vom "Erdogan-Regime". (Danke, Jens)
Glaubt ihr das auch?
Dann habe ich schlechte Nachrichten für euch. Das Einzige, was die Türkei vom Internet-Filtern abhalten könnte, wäre wenn sie ihre EU-Beitrittsbemühungen abbrechen.
Und überhaupt, dass ausgerechnet die Bundesrepublik "bei uns ist Youtube kaputt" Deutschland anderen Ländern was über Internetfilter erzählen sollte, da lachen ja die Hühner. Immer wieder erstaunlich, mit was für Brettern vor dem Kopf einige Leute hier herumlaufen. Ihr könnt ja mal aus der Türkei heraus versuchen, Beiträge aus der ARD Mediathek zu gucken. Umgekehrt geht das.
Aber so ist das halt mit der kognitiven Dissonanz. Man merkt dabei halt selber nicht, was für einen Stuss man so von sich gibt gerade.
Update: Oh, einen habe ich noch. Das Verwaltungsgericht Ankara hat die Twitter-Sperre für ungültig erklärt. Wie, den Teil habt ihr nicht gelesen auf den Titelseiten? Na sowas! Das geht bei uns nicht mehr, weil der EUGH schon die höchste Instanz ist. Und guckt mal, wie die üblichen Verdächtigen sich freuen. "Kreativindustrie", haha. Ein Kracher!
Tatsächlich lief das ein bisschen anders. Erdogan hatte einen Vorwand. Er hätte das wahrscheinlich auch einfach so gemacht, und dann wäre die Kritik in vollem Umfang gerechtfertigt gewesen.
Bürger haben sich beschwert, weil auf Twitter Gesetze gebrochen wurden. Beleidigungen, Privatsphäreverletzungen, Datenschutzverletzungen, sowas. Erdogan hat natürlich gleich das ganz große Fass aufgemacht und was von Staatsgeheimnissen gefaselt. Aber der Punkt ist, dass Bürger sich beschwert haben, die Polizei und zuständigen Behörden haben das dann bis ins zuständige Ministerium eskaliert, und dieses Ministerium hat dann offiziell Twitter kontaktiert — und Twitter hat das ausgesessen. In der Türkei war dann auch ein Gericht mit der Sache befasst, und das hat sich die Situation angeguckt und gesagt: Um hier die Rechte der Bürger zu wahren, bleibt uns ja nur noch eine Möglichkeit. Abschalten.
Erdogan ist natürlich sofort auf den Zug aufgesprungen und hat das als Beweis für seine Manneskraft gefeiert. Aber das hat sich Twitter im Wesentlichen selber zuzuschreiben, was jetzt hier passiert ist.
Update: Quelle.
Update: Übrigens halte ich es durchaus für denkbar, dass Twitter das absichtlich gemacht hat, damit ihr überflüssiger Fail-Whale-Ranzdienst mal wieder in der Presse als Retter der Demokratie und freien Meinungsäußerung gefeiert wird, oder als Instrument zur Revolutionsherbeiführung in Diktaturen.
Ich würde ja gerne mal wissen, wieviel Schmiergeld das die Konzerne eigentlich kostet, sich so eine Hintertür zu den Steuermitteln einbauen zu lassen. Andere Erklärungsversuche für solche Gesetze glaube ich nicht mehr.
Update: Die "Zeit" dazu. (Danke, Rasmus)
Was das brisant macht, ist dass das Killerdrohnen sind. Die Amis behaupten zwar, dass die unbewaffnet sind, aber selbst wenn wir ihnen das abnehmen, kann man etwas überspitzt formulieren: Die US Army übt in Bayern mit Killerdrohnen "gezielte Tötungen" an zivilen Zielen, ohne die vorher zu fragen.
Angesichts der steigenden Zahl von Asylanträgen von Flüchtlingen aus Serbien, beabsichtige der Bund, Serbien als so genannten sicheren Herkunftsstaat einzustufen. Gleiches sei für Mazedonien, Bosnien-Herzegowina und Kosovo vorgesehen.Aber das tollste an der Meldung ist die Überschrift:
CDU warnt vor übereiltem Bau von AsylunterkünftenMwahahaha (Danke, Timon)
The White House also announced it would launch a new crowdsourcing initiative focused on identifying prior art, evidence of existing inventions that the USPTO can use to reject bad patent claims.
Das Patentamt ist nämlich ein Profit Center. Die machen die Arbeit absichtlich nicht, denn wenn sie ein Patent ungeprüft durchwinken, können sie Gebühren kassieren, und wenn dann ein Patent angefochten wird, dann können sie nochmal Gebühren kassieren. Warum sollten die also am Anfang prüfen.Wenn ihr mich fragt hat sich die Patentidee überlebt. Ich bin für die Abschaffung der Patentämter, und zwar nicht nur für Softwarepatente. Wenn eine Erfindung so wenig Schöpfungshöhe hat, dass sie innerhalb von Wochen nachgebaut werden kann, dann hatte sie auch keinen Patentschutz verdient.
New hotness: GCHQ macht einen DDOS gegen Anonymous.
The documents, from a PowerPoint presentation prepared for a 2012 NSA conference called SIGDEV, show that the unit known as the Joint Threat Research Intelligence Group, or JTRIG, boasted of using the DDOS attack – which it dubbed Rolling Thunder — and other techniques to scare away 80 percent of the users of Anonymous internet chat rooms.
Das muss man sich mal auf der Zunge zergehen lassen! Mit Steuergeldern fahren die da Angriffe gegen Internet-Infrastruktur! Denn DDOS greift ja nicht das Ziel an, sondern die Leitung zum Ziel.Oh und wer noch Zweifel hat bezüglich GCHQ:
The documents also show that JTRIG infiltrated chat rooms known as IRCs and identified individual hackers who had taken confidential information from websites. In one case JTRIG helped send a hacktivist to prison for stealing data from PayPal, and in another it helped identify hacktivists who attacked government websites.
Das Argument gegen Hacktivisten ist ja, dass sie Infrastruktur kaputt machen. GCHQ kämpft gegen Hacktivisten, indem sie auch Infrastruktur kaputtmachen. Damit ist aus meiner Sicht völlig klar, dass die in den selben Knast gehören, in den sie die Hacktivisten gesteckt haben. In die Nachbarzelle.Im Übrigen bin ich der Meinung, dass alle Geheimdienste sofort geschlossen werden müssen.
Eine gerne verwendete Methode zum Lenken der Politik ist strategische Inkompetenz. Man macht die Sache, die man machen muss, aber man macht sie absichtlich so schlecht wie es nur irgend geht. Man überzieht alle Budgets, braucht viermal so lange, und am Ende belohnt einen der Staat noch dafür, indem er ein paar Milliarden hinterherwirft. Besonders wenn es sich um kritische Infrastruktur handelt.
Aber das geht in diesem Fall nicht, denn dann wird das ja immer noch irgendwann fertig. Das geilt es ja gerade zu verhindern. Da muss sich die Energiemafia was ausdenken.
Wie sie das jetzt machen, das kann man an dieser Bilderserie sehr schön sehen. Es geht darum, dass die Windenergie hauptsächlich im Norden gewonnen wird, aber wir keine großen Trassen haben, um die dann in den Süden zu leiten. Die müssen also gebaut werden. Den Auftrag erhalten hat u.a. die Firma Amprion, das ist die Netzsparte von RWE. Die Energiekonzerne sind ja vor ein paar Jahren gezwungen worden, ihre Netzsparte abzuspalten. Die Hoffnung war damals, dass es dann weniger Mauscheleien geben würde. Das hat leider nicht funktioniert.
Aber zurück zu Amprion. Die haben ihre Trasse in der Nähe von Dörfern und Kindergärten geplant. Und haben ihre Info-Veranstaltungen genau in den Wahlkampf in Bayern getimed. Was passiert jetzt? Die Bürger sind entsetzt und gründen Bürgerbewegungen, und die Präzisions-Opportunisten aus der CSU haben sich natürlich sofort an den neuen Gegebenheiten ausgerichtet.
Ministerpräsident Horst Seehofer (CSU) bremst die Planungen für die umstrittene neue Stromautobahn quer durch Bayern.Aber natürlich, Herr Seehofer! Wir hätten lieber keinen Strom in Bayern!1!! Ach nee, warte, es gibt ja noch die Option, die Atomkraftwerke zu verlängern! Na SO ein Glück, dass die bisher so viele Pannen hatten, dass sie ihre Restlaufzeit noch nicht erreicht haben! Ein Zufall aber auch!
Ein Glück, dass wir hier keine Verschwörungstheoretiker sind. Sonst würde jemand darauf hinweisen, dass das alles wie von langer Hand geplant aussieht.
Update: "quer" (eine Sendung im BR) hat einen Beitrag dazu. Spannendes Detail: Eigentlich braucht es die Trasse gar nicht für die Energiewende. Money Quote:
Den Netzausbau brauchen nicht die Bürger, sondern die Kohlestromproduzenten.
Denn eigentlich geht es darum, den Braunkohlestrom aus Ostdeutschland nach Bayern zu bringen. Es wäre sogar nicht hilfreich für die Energiewende sondern sogar schädlich, denn wenn billiger Braunkohlestrom aus Sachsen-Anhalt aus der Leitung kommt, dann ist die Energiewende in Bayern gescheitert. (Danke, Dominik)
Ich prüfe da nicht viel, im Wesentlichen will ich, dass das Opcode-Byte sagt, dass es ein Handshake ist, und dass die TLS-Version gültig aussieht, und dass die Länge des Handshake-Paketes nicht größer als 256 ist. Warum 256? Weil das nach damaligen Verhältnissen exorbitant viel war und weil 256 in Binärdarstellung ein 1-Byte in der höherrangigen Hälfte des Längenfeldes war, was sich dann leicht testen ließ.
Was jetzt passiert ist, ist dass Chrome so viel Bloat mitschickt, dass bei denen 0x200 als Länge im Header steht, also 512. Wir erinnern uns: Chrome, das waren die Leute, die wegen des angeblichen HTTP-Header-Bloats ein eigenes Konkurrenzprotokoll namens SPDY erfunden haben, das so super toll optimiert ist, dass für die zwei e kein Platz mehr im Namen war. DIE Leute haben jetzt ihr SSL-Handshake soweit aufgebläht, dass es in meinen Sanity-Check rannte.
SPDY basiert übrigens auch auf SSL.
Einmal mit Profis arbeiten!
Update: Vier der Extensions sind so neu (oder Google-proprietär?), dass Wireshark sie noch nicht kennt.
Update: Es gibt eine Erklärung, wieso der SSL-Header so groß ist. Das ist kein Bloat, sondern die machen das absichtlich, um um eine ranzige F5-Firmware herumzuarbeiten. m(
Erschwerend hinzu kam, dass die Seite dann ziemlich sofort unter der Last zusammenbrach (warum eigentlich?).
Die Fakten liegen immer noch nicht auf dem Tisch, aber so langsam scheint halbwegs Konsens zu bestehen, dass da irgendein Ermittlungsverfahren gegen irgendjemanden läuft, weil sie diese Daten gefunden haben. Daher wollen sie nicht sagen, woher sie die haben.
Ich stelle mir das so vor. Das BSI wird von einer Firma oder Behörde angerufen, weil die ein Botnetz bei sich gefunden haben. Die kommen und finden beim Stochern diese Daten. Was tun? Nun könnte man natürlich die Email-Adressen alle anschreiben, aber wer glaubt denn seit dem Bundestrojaner noch Emails von Behörden?
Diese Webseite jetzt ist aus meiner Sicht Ass Covering. Da geht es nicht darum, Leuten zu helfen. Denn Leute, die sich um ihre Sicherheit genug Sorgen machen, dass sie von der Existenz so einer Webseite erfahren, und dann da hingehen und damit interagieren, sind vermutlich eh nicht betroffen. Ich verwende z.B. eine eigene Email-Adresse pro Webseite, die meine Email-Adresse haben will — und natürlich jeweils ein anderes Passwort. Soll ich die jetzt alle beim BSI eingeben? Ich mache das ursprünglich, um zu erkennen, woher Spammer Email-Adressen haben, aber es hilft natürlich auch prima gegen solche Account-Datenbanken. Da ist dann jeweils nur der eine Account gehackt, das Passwort funktioniert nirgendwo anders.
Dazu dann das Verfahren, das die das wählen. Man kriegt die Antwort nicht direkt sondern man kriegt einen Code und später eine Email, wenn man betroffen war. Wenn man nicht betroffen war, kriegt man keine Email. Das BSI scheint zu glauben, dass davon auch die Umkehrung gilt: Wer keine Email kriegt, war nicht betroffen. Aber das ist natürlich Blödsinn, Emails können verloren gehen, im Spamfolder landen, versehentlich gelöscht werden, etc. Oder wenn die Credentials gehackt waren und auch für den Email-Provider gelten, kann jemand mit den Daten natürlich auch die Email vom BSI löschen, bevor das Opfer sie sieht. Und die Email ist im Gegensatz zu der SSL-Verbindung, über die man die Daten einschickt, nicht verschlüsselt und signiert, d.h. wenn da eine Mail kommt, gibt es keinen Grund, der zu trauen. Den Code hätte auch jemand raten können. Kurz: Die Aktion ist voll für den Fuß. Das BSI tut das daher aus meiner Sicht nur, weil sie glauben, irgend etwas tun zu müssen.
Besonders absurd mutet die Meldung von heute an, dass das BSI seit Dezember auf den Daten saß, aber so lange brauchte, weil sie wirklich sicher gehen wollte, dass ihre Webseite den Ansturm aushalten würde. Was sie dann nicht tat.
Einmal mit Profis arbeiten!
Update: Die Webseite heißt übrigens www.sicherheitstest.bsi.de und liegt bei Strato. Ohne jetzt irgendwie Strato bashen zu wollen, aber … srsly, BSI? Das konntet ihr nicht selber hosten? So sieht das aus, wenn jemand per DNS-Hijacking Domains umlenkt. Übrigens liegt die BSI-Webseite nicht nur in einem anderen Netz (das dem BSI gehört), sondern sie benutzt auch eine andere Domain. Viel mehr Indizien für "hier riecht was schlecht, hier geb ich lieber keine Daten ein" hätte man auf die Schnelle gar nicht ankreuzen können. Oh, doch, eine noch. Das SSL-Zertifikat kommt bei der BSI-Homepage von Trustcenter, und beim Sicherheitstest von T-Systems. NA SUPER. Vertrauenswürdiger geht es ja kaum!1!!
Update: Anscheinend soll die Rück-Email PGP-signiert sein. Wozu brauchen sie dann den Code, wenn sie PGP haben? Weil niemand einen Grund hat, einem angeblichen BSI-Key zu vertrauen, der vor sechs Wochen erzeugt wurde?
Update: Wo wir gerade bei T-Systems waren… guckt mal, was da auskommentiert im HTML steht:
<div style="padding-top:20px;padding-bottom:20px;">Und hier ist das Bild. Ja, das hätte ich auch lieber auskommentiert an deren Stelle *schenkelklopf* :-)
<!--<img src="/static/images/vl_powered_by_T.png" />-->
Update: Ah, sie haben auch ihren öffentlichen PGP-Schlüssel auf ihrer HTTP-Webseite. Immerhin. Ich sehe trotzdem nicht, wieso sie da überhaupt Email machen und nicht direkt per Web antworten. Das schafft doch nur zusätzliche Metadaten.
Update: Der PGP-Schlüssel ist vom 9.12., das SSL-Zertifikat ist vom 17.12. Da kann man mit ein bisschen Fantasie die Denkprozesse verfolgen.
Hey, Cheffe, wir haben hier echt viele Email-Adressen, was machen wir jetzt?
Wir schreiben denen ne Email!
Ja, aber Cheffe, seit dem BKA-Trojaner glaubt unseren Emails doch keiner mehr!
Dann signieren wir die halt mit PGP!
OK, Cheffe, hab nen Schlüssel gemacht, aber wieso sollten die Leute dem denn vertrauen? Ich hätte Frau Merkel gebeten, uns den zu signieren, aber die hat kein PGP!
Na gut, dann machen wir dazu ne Pressemitteilung und machen einen Webserver auf und da tun wir den Schlüssel hin!
Aber Cheffe, unser Webserver hält doch nichts aus, wir benutzen doch Java!
Ja, äh, hmm, na löse das halt irgendwie!1!!
OK, Cheffe, ich hab jetzt bei Strato nen Webserver geklickt, aber wir brauchen auch SSL, sonst lachen die Leute doch wieder über uns!
Hmm, also über unseren normalen Amtsweg braucht das 4 Monate. Frag mal Strato, ob die nicht auch SSL mit verkaufen können!
OK, Cheffe, hab ich gemacht, alles in Ordnung!1!!
Update: In den Mails an Betroffene steht, dass die Daten bei einem Botnet gefunden wurden. Jemand hat mir ein Zitat aus so einer Mail geschickt.
Update: Der Code steht bei den PGP-Mails übrigens im Subject, also im nicht signierten Header-Bereich.
Audestad says that the British were not very interested in having a strong encryption. And after a few years, they protested against the high security level that was proposed.They wanted a key length of 48 bit. We were very surprised. The West Germans protested because they wanted a stronger encryption to prevent spying from East Germany. The compromise was a key length of 64 bit – where the ten last bits were set to zero. The result was an effective key length of 54 bit.
Man muss rückblickend erklären, dass 128 Bit damals ok gewesen wären, aber dass es da gar keine sooo tollen Krypto-Verfahren gab. Standard war DES mit 56 Bit Schlüssellänge. Anfang der 90er kam dann IDEA dazu, das hatte immerhin 128 Bit, aber der war patentbelastet und kam daher häufig nicht in Frage. Privatmenschen haben das ignoriert und trotzdem IDEA benutzt, Firmen haben lieber Triple-DES gemacht, damit kam man dann auf 112 bzw 168 Bit Schlüssellänge. Das galt aber als "zu langsam". Insofern war die Option bei GSM nicht, ordentlich oder schlecht Krypto zu machen, sondern welche Form von schlechter Krypto man kriegen würde. Die haben ja für ihre 54 Bit auch nicht DES mit zwei Null-Bits genommen, sondern lieber was selbstgebasteltes. Damals war erst nicht klar, ob das inkompetent oder bewusst unsicher war, aber das klärte sich schnell. In den 90ern irgendwann wurde bekannt, dass die Franzosen verhindert hätten, dass da ordentlich Krypto eingebaut wird, weil sie Deutschland weiter abhören können wollten. Jedenfalls kam die Geschichte so bei mir an.Was jetzt wahr ist, ob es die Franzosen oder die Deutschen waren — wer weiß. Ist ja auch egal. Es war jedenfalls Absicht, und es waren die Aliierten. Vermutlich waren sowohl Franzosen als auch Briten dagegen, dass da ordentliche Krypto hinkommt. :-)
The State Department spent more than $630,000 on advertising campaigns to boost the number of Facebook "likes" for the agency's pages on the website, according to a report released by the agency's inspector general.
Werbekampagne ist eine sehr harmlose Art, das auszudrücken. (Danke, Rop)
Was vielleicht nicht jeder wusste: Auf EU-Ebene ist das genau so, und die ganzen Staatssekretäre sind CDU-Maulwürfe.
Once Merkel's Europe adviser, Corsepius, 53, is secretary-general of the European Council. Some of his 3,000 staff see him as the man who cut their access to Facebook and travel websites to make them work harder. But his real power is to steer the agendas and legal advice that shape meetings of EU governments.Laitenberger, 49, is chief-of-staff to Jose Manuel Barroso, the president of the European Commission, which oversees trade and other EU polices. And Welle, also 49, secretary-general of the elected European Parliament, is known by some as the "prince of darkness" for the influence he wields over the legislature.
Nur falls jemand Hoffnungen auf die EU setzte. (Danke, Marc)
Der für mich größte Lacher an der Sache ist, dass ausgerechnet apple.com ebenfalls für Kinder verboten ist, dabei sind die doch selber als puritanische Zensoren bekannt.
The government has abandoned plans to privatise its defence procurement body after only one bidder was left in contention for the contract.
Ui! Das wäre ja auch bei uns mal cool. Auch bei uns ist das normal, dass bei "Ausschreibungen" nur ein Bieter übrig bleibt. Nicht nur ist das üblich, die Ausschreibungen werden normalerweise absichtlich so formuliert, dass nur einer übrig bleibt. Und der kriegt dann den Job. (Danke, Magnus)
It gave that money to a Silicon Valley titan, Oracle, but the result has been a disaster of missed deadlines, a nonworking website and a state forced to process thousands of insurance applications on paper.
Das ist genau der Effekt, den ich in der FAZ angeprangert habe, wenn man Aufträge an große Firmen vergibt. Das läuft immer so, da kann man seine Uhr nach stellen. Mal völlig abgesehen davon, dass Oracle natürlich eh nicht satisfaktionsfähig ist in solchen Dingen. (Danke, Ralph)
In den Schlussanträgen sagte der Generalanwalt nun, dass nach Unionsrecht die Mitgliedsstaaten sicherzustellen haben, dass die Inhaber von Urheberrechten gerichtliche Anordnungen gegen Vermittler beantragen können, deren Dienste eben dazu genutzt werden. Da der Provider als Vermittler diene, sei er auch als Adressat gerichtlicher Anordnungen in Betracht zu ziehen.Aber halt, sagt ihr sicher, das war ja gar nicht der EuGH, der das gesagt hat. Das war ja bloß der Generalanwalt! Da habe ich schlechte Nachrichten:
Die Stellungnahme des Generalanwalts ist zwar nicht bindend, allerdings folgen die Richter in ihrem Urteil in 80 Prozent der Fälle dieser Meinung.Schon super, diese EU.
On Monday, for instance, the Guardian revealed that the government's subsidy system for gas-burning power stations is being designed by an executive from the Dublin-based company ESB International, who has been seconded into the Department of Energy. What does ESB do? Oh, it builds gas-burning power stations.
Und der Hammer?Thanks to an initiative by Lord Green, large companies have ministerial "buddies", who have to meet them when the companies request it. There were 698 of these meetings during the first 18 months of the scheme, called by corporations these ministers are supposed be regulating. Lord Green, by the way, is currently a government trade minister. Before that he was chairman of HSBC, presiding over the bank while it laundered vast amounts of money stashed by Mexican drugs barons. Ministers, lobbyists – can you tell them apart?
Das stinkt alles so dermaßen, da verliert man jede Hoffnung auf Besserung. (Danke, Rop)
So und jetzt will ich kein Geheule mehr hören.
Der Punkt ist jedenfalls, dass es nicht nur eine solche Kurve gibt, sondern sehr viele. Um Kryptographie zu machen, einigt man sich daher vorher auf eine davon. Und hier kommt das Problem. Das wichtigste Standardisierungsgremium für diese Kurven ist NIST, und die sagen offen an, dass ihre Kurven von der NSA kommen. Überhaupt empfiehlt die NSA seit vielen Jahren offen elliptische Kurven. Alleine deshalb trauen viele elliptischen Kurven nicht.
Wenn man Krypto-Verfahren designed, und da tauchen Konstanten auf, wie z.B. bei den S-Boxen (einem internen Substitutionsschritt), dann kann man da entweder irgendwelche Zahlen reinschreiben, und behaupten, die seien zufällig gewählt, oder man kann absichtlich unzufällige Zahlen nehmen, wie z.B. die ersten Ziffern von Pi oder von der Wurzel von 2 oder sowas. Üblicherweise macht man letzteres. Das Konzept nennt sich Nothing up my sleeve number :-) Die NSA-Kurven machen ersteres. Daher liegt die Vermutung nahe, dass die NSA da solange Kurven ausprobiert hat, bis sie eine gefunden hat, die "leichter knackbar ist", nach einem Verfahren, das außer ihnen niemand kennt. Und genau diese Vermutung macht jetzt die Runde.
Der Vollständigkeit halber sei gesagt, dass die Kryptographen natürlich schon länger gemerkt haben, dass da möglicherweise was schlecht riecht. Man kann das z.B. in diesen Folien hier sehen, die sind von vor Snowden.
Sind elliptische Kurven jetzt vergiftet? Ich kenne mich da nicht genug aus, um das tatsächlich selbst beurteilen zu können. Daher vertraue ich da im Zweifelsfall Dan Bernstein, der hält die Verfahren selbst für gut, und traut nur den Kurven der Dienste nicht.
Update: Ein bisschen Kontext gibt es bei diesem Thread.
Eine zweite Anfrage beantwortet der Ausschuss nun so, dass man "der Übersichtlichkeit der Website nicht schaden" wolle.Ja warum machen wir nicht gleich den ganzen Inhalt weg? Das wäre doch erst richtige Übersichtlichkeit! Die haben wahrscheinlich in einem fernöstlichen Meditationsratgeber gelesen, man müsse erstmal seinen Kopf leeren, und das zu wörtlich genommen…
Schon die Selbstbeschreibung ist großartig.
Created at the direction of the President of the United States, IC ON THE RECORD provides immediate, ongoing and direct access to factual information related to the lawful foreign surveillance activities carried out by the U.S. Intelligence Community.
"factual information related to" ist ja an sich schon großartig. Und dann dieses "lawful" da! Harrharrharr
Wenn das stimmt mit dem wegfallenden Opt-Out, dann würde ich dem inhaltlich zustimmen.
Update: Mir sei noch kurz der Hinweis erlaubt, dass der CCC seit 2002 vor Trusted Computing warnt :-)
Update: Das BSI distanziert sich.
Update: Microsoft hat eine einstweilige Verfügung erwirkt, und die "Zeit" musste den Artikel runternehmen. (Danke, Stefan)
The NSA audit obtained by The Post, dated May 2012, counted 2,776 incidents in the preceding 12 months of unauthorized collection, storage, access to or distribution of legally protected communications.
Natürlich großtenteils nicht absichtlich. Denn die NSA-Mitarbeiter, müsst ihr wissen, sind ungeschickt und drücken dauernd auf die falschen Knöpfe. Das kann ja schon mal passieren, oder ein paar tausend Mal.A notable example in 2008 was the interception of a “large number” of calls placed from Washington when a programming error confused the U.S. area code 202 for 20, the international dialing code for Egypt, according to a “quality assurance” review that was not distributed to the NSA’s oversight staff.
Das BSI verfügt zudem nicht über das Programm XKeyscore und setzt dieses nicht ein. Das BSI gibt überdies keinerlei Informationen über zertifizierte IT-Produkte und -Dienstleistungen oder im Rahmen des Zertifizierungsprozesses gewonnene Erkenntnisse über diese Produkte und Dienstleistungen an andere Behörden, Nachrichtendienste oder sonstige Dritte weiter.Dazu gibt es eine Geschichte, die ich vielleicht mal nach ein paar alkoholischen Getränken bei einem Alternativlos erzählen werde. Aber ihr könnt mir schonmal glauben, dass diese Zertifizierungen völlig wertlos sind, um die Sicherheit oder Qualität eines Produktes zu beurteilen. Die Aussage, dass sie gewonnene Erkenntnisse nicht weitergeben, ist aus meiner Sicht im Wesentlichen eine Aussage ala "für alle Elemente der leeren Menge gilt…" (kleiner Mathematiker-In-Joke).
Das ist aber noch nicht so richtig bei der Bevölkerung angekommen. Big Data ist noch viel zu positiv besetzt. Es liegt an uns allen, das zu ändern.
Als ersten Schritt müssen wir mal anfangen, Big Data Projekte als solche zu benennen. Die "LKW-Maut" ist z.B. Big Data. Die Gesundheitskarte ist Big Data. Elena ist Big Data.
Hier wird die NSAisierung der Bevölkerung betrieben.
Und einen Punkt möchte ich noch machen: Lasst euch niemals so ein Projekt mit Effizienzsteigerung als Argument verkaufen. Es ist Absicht, dass unsere Regierung ineffizient ist. Das ist absichtlich tiefgehend in die DNA unseres Rechtsstaates eingearbeitet. Bei Computerprogrammen will man Effizienz, weil man die vorher testen kann, auch mit Livedaten. Eine Regierung kann man nicht testen, daher muss man dafür sorgen, dass die Dinge langsam ablaufen. So langsam, dass man im Notfall eingreifen kann, bevor jemand zu großen Schaden anrichtet.
Und wenn man eine durch und durch kriminelle Regierung hat, die sich dieser durch Ineffizienz erzwungenen Transparenz entziehen will, bleiben ihr nur offensichtlich hintertriebene Schurkenmethoden wie einfach alle relevanten Handlungen als geheim zu erklären und Journalisten zu verfolgen, die trotzdem darüber berichten. Die Designer unseres Rechtsstaates haben nicht für möglich gehalten, dass jemals jemand so tief sinken würde. Die kannten halt die Merkel noch nicht.
Sobald man einen E-Mail-Account auf dem Telefon einrichtet, kann man auf seinem Mailserver erfolgreiche Verbindungsversuche für IMAP und SMTP von der Adresse 68.171.232.33 sehen, und zwar mit dem Username und Passwort des Accounts, den man gerade eingerichtet hat.Wenn man nicht Zwangs-SSL eingeschaltet hat auf dem Mailserver, dann werden die Accountdaten im Klartext via NSA und GCHQ geroutet.Die Adresse gehört zum Netzbereich von Research In Motion, kurz RIM, der Herstellerfirma der Blackberry-Telefone in Kanada.
Ich würde das ja zum Bug des Tages küren, aber ich glaube nicht, dass das ein Bug ist. Die machen das absichtlich. Völlig unakzeptabel. Für mich ist das die Kategorie Fehler, von der sich eine Firma wie RIM nie wieder erholen kann. Es ist egal was die tun, ich werde von denen nie etwas kaufen.
Update: Nokia macht das auch, wird mir gerade versichert. zusätzlich zu dem Web-Traffic ihrer Kunden. Deren Produkte waren ja eh schon unkaufbar deswegen.
Hmm, dachte ich mir, da guck ich mir doch mal Ria Novosti an. Und was finde ich da? Diesen "guckt mal, bei uns gibt es auch Pro-Schwulen-Journalismus"-Artikel und, besonders spannend, diesen Artikel über eine in Russland anlaufende TV-Serie über lesbische Frauen. WTF?
Update: Die Co-Autorin des Gesetzentwurfes heißt Jelena Misulina (steht in dem oberen Ria Novosti-Link oben). Die ist auch mal von der Hanns-Seidel-Stiftung eingeladen worden. Das ist die "parteinahe Stiftung" der CSU. Die mit Steuermitteln finanziert wird. DIE Stiftung. Die hat diese Schwulenverfolgerin eingeladen. Und was hat die da sagen dürfen?
Zur Absicherung dieser positiven Entwicklung plädierte sie für eine Rückbesinnung auf traditionelle russische Werte, wie sie im Wertekanon der orthodoxen Kirche am besten zum Ausdruck kämen.
“America is the freest country in the world,” he told me. “America allows more freedom than any other country in the world, much more than Russia and a whole lot more than Scandinavia, where they really aren’t free. So offering all this freedom to society, there’ll be a certain number of people, more in this country than elsewhere, who take advantage of that freedom, abuse it, and end up in prison. That happens because we are so free in this country.”
Der Inbegriff der Freiheit — wenn man mal von den ganzen Inhaftierten absieht.
Es soll sogar schon eine Bank deshalb vor Gericht stehen, und zwar die Hypovereinsbank.
Besonders rührend an der Geschichte finde ich ja die Komplizenschaft der ganzen Finanzminister. Eingeführt hat dieses Schlupfloch Rot-Grün 2002, und der Bankenverband hat das Finanzamt nach ein paar Monaten darüber informiert. Das Finanzministerium hat dann — nichts getan. Als Eichel weg war, hat auch Peer Steinbrück — nichts getan. Und Schäuble war auch seit 3 Jahren im Amt, als er Loch das endlich zumachte.
Das traurige dabei ist, wie einen das jeder Illusion beraubt, das Leistungsschutzrecht sei eine Ausnahme. Oder die Hoteliersgeschichte der FDP. Das ist nicht so, dass die Herren Politiker halt von Computern und Internet keine Ahnung haben und sich daher beschubsen ließen. Oder von Hotels. Die Steuergesetzgebung ist ja nun absolutes Kernthema, da kann sich niemand rausreden. Die sind einfach auf allen Gebieten vollständig inkompetent. Es gibt nichts, was die auch nur ansatzweise können.
Oder, was ich ja fast noch die schönere Möglichkeit finde, es handelt sich um Absicht. SPD und CDU kollaborieren darin, den Banken Steuerschlupflöcher zu beschaffen, und tun jetzt entrüstet.
den Beginn und das Ende der jeweiligen Verbindung nach Datum und Uhrzeit und, soweit die Entgelte davon abhängen, die übermittelten Datenmengen,Die Entgelte hängen offensichtlich nicht davon ab, also darf die Telekom das nicht speichern. Und wenn sie es nicht speichern darf, kann sie auch nicht anhand des Volumens zu drosseln anfangen.
Das klingt für mich wie ein vielversprechender Klage-Ansatz. Dann müsste die Telekom wie im Mobilfunk zusätzlichen Traffic verkaufen und abschalten statt Drosseln. Und das Flatrate-Rumgelüge würde aufhören.
Auf der anderen Seite würde das noch ungemütlicher im Internet als T-Kunde.
Daher: Eigentlich wollen wir ja, dass der Gesetzgeber den ganzen Laden mal ordentlich reguliert. Ich weiß nicht, ob euch das allen klar ist, aber das Geschäftsmodell der Telekom sieht im Wesentlichen so aus:
Die kriegen, mit anderen Worten, AUS JEDER RICHTUNG GELD IN DEN ARSCH GESCHOBEN. Und investieren das dann lieber in Werbung als in den Netzausbau. Und machen dann das Internet für ihre Kunden absichtlich ranzig, damit Hoster sich gezwungen sehen, T-Bandbreite zu kaufen, damit ihre Webseiten für T-Kunden nicht ruckeln.
Das ist übrigens, wie mir aus gewöhnlich gut unterrichteter Quelle zugeflüstert wurde, auch der Grund, wieso Youtube in Berlin aus dem T-Netz heraus ruckelt. Google hat gesagt: Hier ist unser RZ. Da liegen die ganzen Youtube-Videos. Hier ist die Buchse, da steckt ihr euer Kabel rein, und dann ruckelt das nicht mehr für eure Kunden. Kunden kaufen ja heutzutage Breitband-Internet, damit sie schön Youtube-Videos in Full HD klicken können. Und was hat die Telekom gesagt? Nee, hat sie gesagt. Wir wollen, dass ihr dafür zahlt, dass wir ein Kabel in eure Server stecken und eure Inhalte an unsere Kunde weiterleiten. Dafür, dass unsere Kunden eure Inhalte ruckelfrei abrufen können.
Kabel Deutschland auf der anderen Seite hat gesagt: *stöpsel*. Wenn ich aus dem KDG-Netz die Youtube-Server pinge, hab ich eine Round-Trip-Latenz von unter 10 ms.
Wie eine Behörde, die sich selbst Regulierungsbehörde schimpft, so ein Geschäftsmodell überhaupt länger als 10 Minuten dulden kann, ist mir völlig schleierhaft.
Im Übrigen könnt ihr mal davon ausgehen, dass da auch in Zukunft nie wieder irgendwas ausgebaut wird an dem Netz, auch in den Innenstädten nicht. Denn das brauchen sie ja nicht mehr zu tun, wenn sie auch drosseln können. Übrigens: Die Meldung über ihren Netzausbau vom Dezember 2012 spricht von 30 Milliarden Investition über 3 Jahre, und für das Jahr 2013 prognostizieren sie ein bereinigtes EBITDA von 18,4 Milliarden. In nur einem Jahr. EBITDA ist der Jahresüberschuss vor Steuern und Abzug von Zinsen und Abschreibungen (allerdings nach Abzug von Material- und Personalaufwand und sonstigen betrieblichen Aufwendungen). Achtzehn Milliarden. In einem Jahr.
Es ist Ihr Ziel, in der Türkei im Urlaub in einem Internetcafe De-Mails abzuholen?Darauf antwortet von Notz (Grüne):
Das ist doch der Sinn der De-Mail, es geht doch um Mobilität.
Update: Übrigens ist die Post bei De-Mail ausgestiegen. Damit kann das Projekt offiziell als tot betrachtet werden, würde ich sagen.
libreoffice-4.0.1.2/svtools/source/graphic/grfmgr2.cxx:309:29: warning: \Einmal mit Profis arbeiten!
implicit conversion from 'double' to 'long' changes value from 0.5 to 0 [-Wliteral-conversion]
pMapFX[x] = 0.5;
Update: Ist inzwischen "gefixt". Ich würde aber vermuten, dass da schon mit Absicht 0.5 stand. Würde mich wundern, wenn der Fix richtig ist. (Danke, Gerd)
Und da die SPD uns jetzt schon das Leistungsschutzrecht nicht verhindert hat, wird hoffentlich auch in Zukunft niemand SPD wählen. Oder Schwarz-Geld natürlich.
Aber hey, in Hessen gibt es ja auch noch die Todesstrafe in der Landesverfassung. (Danke, Andreas)
Wer den Flash-Player per Hand über die Adobe-Website aktualisiert, sollte darauf achten, vor dem Download die Option zum Herunterladen des Zusatzprogramms McAfee Security Scan Plus abzuwählen.Ich schließe mich dieser Warnung natürlich an. Ich finde es allerdings bemerkenswert, wie Heise vor dem McAfee-Schlangenöl warnen kann, aber dann nicht vor dem Flash-Plugin selbst warnt, von dem ja in der Praxis die deutlich höhere Bedrohung ausgeht.
The problem is simply that the supply of people and robots available to do routine work is exploding. A proper response to this dynamic must either be a big change in relative skill supplies or relative productivities, or a move toward wage subsidies that are far larger and broader than have been considered in the past.
Immer mehr Erkrankungen lassen sich mit homöopathisch Mitteln behandeln - das gilt auch für Haustiere!*fazialpalmier*
Update: Hui, innerhalb von zwei Stunden depubliziert, das ging ja fix.
George Soros sagt: ja, genau so ist das. Das Interview kann man sich hier angucken.
Durch [die Krise] sei ein Zwei-Klassen-System innerhalb der Euro-Zone, zwischen den Gläubigern und Schuldnern, entstanden. Und die Gläubiger seien dafür verantwortlich: "Es ist im Grunde Deutschland". Die fortgesetzte Sparpolitik, die von der Bundesregierung betrieben und durchgesetzt werde, sei kontraproduktiv, so Soros. Das sei die "Verewigung der Finanzkrise".Wir müssen endlich dazu stehen, was wir hier tun. Wir zerstören mutwillig die Wirtschaft in den anderen EU-Ländern, zu unserem eigenen Vorteil. Das ist eine Schande und wir sollten uns schämen. (Danke, Erich)
Gas Incident across the south eastToday (Tuesday 22 January) a strong smell of gas has been reported across parts of south east England and this is believed to have come from a chemical factory in northern France.
The National Gas Emergency phone line has received an unprecedented number of calls. Today we would have expected to receive around 8,000 - 10,000 calls from across the country. At 14:00 we had already received over 100,000 calls.
[…]
Due to these call volumes, there may be an extended waiting time before a call is answered. Please keep calling this number if you cannot get through the first time.
WTF? "Die Russen kommen!1!!"?Update: Oh gucke mal, gab tatsächlich eine stinkende Chemiewolke aus Frankreich. Aber macht euch keine Sorgen, denn:
Das Innenministerium bemühte sich zu beruhigen: Das Gas sei harmlos. Es bestehe "keine Gefahr für die Gesundheit" von Menschen.
Keinerlei Gefahr, wenn man von den paar winzigen Unwichtigkeiten hier absieht:
In schwachen Konzentrationen kann das Gas Augen, Atemwege und Haut reizen. Bei Personen, die dem Gas direkt ausgesetzt sind, kann es nach Angaben des französischen Instituts für Forschung und Sicherheit (INRS) zu Lungenproblemen, Schwindel, Übelkeit und Bewusstseinsstörungen kommen. In sehr hohen Konzentrationen kann Methanthiol tödlich sein.
Völlig harmlos also. Weitergehen, gibt nichts zu sehen hier. (Danke, Lutz)
Awarenessteam? Ja, wir hatten ein Awarenessteam. Das A-Team war mit 8 Teilnehmern sehr großzügig besetzt, wenn man bedenkt, dass es aus Sicht des Clubs keine Anzeichen dafür gab, dass es hier wirklich ein Problem gibt, und dass der Club an anderer Stelle Probleme hatte, genügend viele Freiwillige zu finden, um alle nötigen Aufgaben während des Kongresses erledigen zu können. Es gab auch mehrere Gender-Vorträge im Programm, das ist unter Hackerkonferenzen ein Alleinstellungsmerkmal. In einem Programm, das sich dann auch prompt als "hat zu wenig Tech-Talks" beschimpfen lassen musste.
Ich muss ein bisschen ausholen, um das Mimimi zu rechtfertigen, was gleich kommt. In der Berichterstattung über den 29c3 gab es den schönen Satz, dass die Hamburger Behörden das Konfliktpotential beim 29c3 geringer als bei einem Kirchentag einschätzen. Das würde ich sogar noch drastischer formulieren wollen. Wenn man auf dem Congress eine kaputte Fernbedienung irgendwo liegen lässt, wird die nicht nur nicht geklaut, sondern mit einer gewissen Wahrscheinlichkeit hat sie der Finder auch gleich noch repariert. Ein Kumpel hat auf dem Camp sein Auto abzuschließen vergessen. Das stand da ein paar Tage unabgeschlossen rum. Niemand hat es geklaut, auch das Autoradio war noch da. Nach dem Camp fuhr er in die Innenstadt, parkte, schloss ab, ging kurz was essen, kam zurück, da war das Auto aufgebrochen und der Inhalt geklaut. Hacker sind zwar manchmal sozial gestört, introvertiert, werden in der Schule gemobbt, aber gerade das sorgt dafür, dass sie Respekt vor der Privat- und Intimsphäre Anderer haben und nicht übergriffig werden. Gibt es Ausnahmen? Bestimmt. Außerdem kommen zu so einer Massenveranstaltung ja nicht nur Hacker. Und wir machen ja am Eingang keine Gesinnungskontrolle mit Lügendetektor. Und dann gibt es da noch den Einfluss von Alkohol und anderen Drogen.
Der Congress ist ein Community-Event. Das ist kein "die Orga macht und ihr konsumiert". Die Vorträge kommen aus der Community, die Helfer kommen aus der Community, die Orga rekrutiert sich aus der Community, sogar die Auswahl der Vorträge ist ein Community-Ding. Wer etwas auf dem Congress haben möchte, der bringt die nötigen Teile mit und macht es einfach. "Die Orga" schafft die nötige Infrastruktur (Strom, Licht, Wasser, Internet, Platz, Blog, Wiki), den Rest machen die Teilnehmer selbst. In diesem Kontext muss man sich die Bestürzung des A-Teams vorstellen, als der erste Konfliktpunkt war, dass jemand im Wiki eine Seite mit sexistischem Dummschwall hinterlassen hatte. Und das war jetzt nicht mal Kram, der Argumente hatte, und möglicherweise Schaden anrichten kann, weil er Leute umstimmen könnte, sondern offensichtlicher Vandalismus. Das ist ein Wiki. Die korrekte Reaktion wäre gewesen: Dummschwall löschen. Der Edit-Button ist auf der Seite selbst. Klicken, Text rausnehmen, Submit klicken, fertig. Ein Dutzend Menschen haben sich auf Twitter über diese Seite empört. Niemand hat den Edit-Button gefunden. Und keiner rief bei der Hotline an.
Ein anderes Beispiel war, dass jemand aus den Creepercards einen Frauenkörper gelegt hatte. Erinnern wir uns kurz daran, was ein Hacker ist. Ein Hacker ist jemand, der kreativ mit Dingen umgeht, die andere nur wie vorgesehen benutzen würden. Hier hat jemand Creepercards gesehen und ist damit kreativ umgegangen. Genau diese Art von Menschen wollen wir haben! Die aus an sich negativen Dingen Kunst machen können! Das war aus meiner Sicht auch das Hauptproblem und Auslöser für die unentspannten Momente, dass die meisten Besucher die Karten nicht ernst nahmen, sondern für einen Spaß hielten. In einem Umfeld, in dem Pro-Guttenberg-Demonstrationen organisiert werden und in dem Leute mit Fnord-T-Shirts herumlaufen, die täuschend echt nach dem Ford-Logo aussehen, ist das ja wohl auch nicht verwunderlich, denn die Karten erfüllten alle Kriterien von Satire: kein Ansprechpartner genannt, keine Anleitung oder Einführung zum Schaffen eines Problembewusstseins dabei, keine weiterführenden Links, anhand derer man sehen kann, was einem da eigentlich gerade konkret vorgeworfen wird und wie man sein Verhalten ändern soll, und aus Sicht der meisten Besucher bestand auch kein Bedarf an einer Lösung für das Sexismus-Problem, weil das Problem so nie wahrgenommen wurde. Ich würde sogar konstatieren, dass die Karten für ihren vorgeblichen Zweck offensichtlich völlig ungeeignet waren, aber das hat auch mit dem Congress zu tun, der ja nicht grundlos Chaos Communication Congress heißt. Beim Congress geht es um das Kommunizieren. Sexismus ist ein soziales Problem, sowas löst man, indem man miteinander redet. Diese Karten sind kein Kommunikationsmittel, sondern ein Kommunikationsbeendigungsmittel. Das ist kein Kommunizieren, das ist ein Pranger. Auf den roten Karten stand sinngemäß drauf, man solle froh sein, dass man nicht direkt einen in die Fresse gekriegt habe, und stattdessen nur diese Karte hier überreicht bekommen hat. Wer körperliche Gewalt androht, hat sich in jeder auf Kommunikation aufbauenden Kultur direkt vollständig und nachhaltig selbst disqualifiziert. Ich für meinen Teil habe die Debatte im Vorfeld partiell mitgekriegt und nahm an, dass die Karten ernst gemeint waren. Der Großteil der Congressteilnehmer wusste das nicht und hielt das für einen schlechten Scherz. Dementsprechend wurden dann damit gespielt. Das Spektrum ging vom erwähnten Frauenkörper über ein Penis aus grünen Karten, über eine Krone, ein Minecraft-Creeper, ein Brustpanzer (sehr meta!) bis hin zu Space Invaders. Für Penis und Frauenkörper gibt es inzwischen ein Bekennerschreiben. Das A-Team hat sich mit denen hingesetzt und ihnen erklärt, dass das eine Provokation sei und für die Gesamtsituation nicht förderlich, und dann war das weg und alles war wieder gut. Kommunikation hilft nämlich in solchen Situationen — im Gegensatz zu Pranger-Karten.
Der andere wohlpublizierte Fall war das Hacker Jeopardy, bei dem auf Twitter die größte Empörung von Menschen kam, die überhaupt nicht auf dem Congress waren. Und nur ein verschwindend geringer Bruchteil von denen hatte die Integrität, das auch dranzuschreiben an ihre Tweets. Ich empfehle jedem, sich erstmal in Ruhe den Stream anzugucken, bevor sich da irgendwelche Meinungen auf Basis von Hysterie-Tweets anderer Leute bilden. Die rote Karte ist ihrem Text nach zu urteilen ausdrücklich für wirklich widerliche, handgriffliche, physische Übergriffe gedacht, so Kategorie "Angreifer nähert sich mit heruntergelassener Hose und ausgestreckten Händen in Grabbelhaltung". Ich kann es den Moderatoren angesichts der geradezu lächerlichen Zoten, derer sie da angeklagt werden, nicht übel nehmen, dass sie die Übergabe der roten Karten für eine Satire-Handlung hielten. Zumal hier mit unproportionaler Agressivität auf Witze über die Creepercards reagiert wurde, nicht über Frauen oder Minderheiten. Über die Karten. Es gab danach ein Gespräch zwischen den Moderatoren und dem A-Team und jetzt sind die Missverständnisse ausgeräumt. Kommunikation hilft nämlich bei sowas, Karten nicht.
Sehr spannend beim Hacker Jeopardy ist auch, dass bei all dem gerechten Zorn und der Hysterie auf Twitter (bis hin zu "Macker-Jeopardy" und Aufrufen, die Moderatoren rauszuschmeißen und Hacker-Jeopardy zu verbieten!) kaum jemand sagen konnte, was eigentlich der Auslöser war. So nichtig war der Auslöser. Eine Version, die ich hörte, war dass jemand angesichts der offenen Frauenförderung der Moderatoren gegen die positive Diskriminierung protestieren wollte. Dem kann man sich jetzt inhaltlich anschließen oder nicht, aber eine rote Karte für positive Diskriminierung ist ja wohl völlig indiskutabel.
Unter dem Strich stellte sich bei Einigen die Befürchtung ein, dass es bei diesen Karten gar nicht darum geht, irgendein tatsächlich vorhandenes oder eingebildetes Sexismus- oder Übergriffsproblem zu lösen, sondern es nur um das Kaputtmachen des Kongresses geht. Es gab da im Vorfeld einige Tweets und Blogkommentare im Umfeld der Klotür-Geschichte, die sich so deuten ließen. Auf der anderen Seite soll man niemandem bösen Willen unterstellen, nur weil das Ergebnis ihrer Bemühungen negativ ist und sie ihren Kurs nicht korrigieren. Daher gab es Gespräche zwischen A-Team und der Flauscheria und (soweit bekannt) den Mitbringern der Creepercards, die am Ende in einer "Policccy"-Gesprächsrunde mündeten. Das Ergebnis war ernüchternd. Die Creepercard-Verantwortlichen schoben das Versagen der Karten der Congress-Orga in die Schuhe. Einige der üblichen Verdächtigen kamen gar nicht erst zu dem Treffen. Das hat die Fronten eher verhärtet, auf Clubseite fallen jetzt vereinzelt Wörter wie "Agitation", und es stellt sich das Gefühl ein, dass hier jemand angereist ist, um Vorwände für Empörung zu suchen, und wenn kein Problem da ist, dann konstruiert man halt eines, indem man zu einer Gameshow spät in der Nacht geht und dort die flapsige Moderation anprangert. Das fühlt sich alles an wie ein Trollversuch, nicht wie der berechtigte Hinweis auf ein tatsächliches Problem. Und der Verlierer ist am Ende der Kampf gegen den tatsächlichen Sexismus, denn hier werden Begriffe wie "Sexismus", "Vergewaltigung", "Rape Culture" u.ä. so inflationär durcheinandergeworfen, dass am Ende jemand mit einem wirklichen Übergriffsproblem statt der nötigen Hilfe ein "Haha, hat dir jemand was an die Klotür gemalt?" kriegt, weil drumherum so viel undifferenziert hyperventiliert wurde.
Wie fließend die Übergänge zwischen Satire und Realität waren, kann man anhand dieses Tweets an sich selber prüfen. Ist das jetzt ernst gemeint oder Satire? Die können doch nicht ernsthaft eine Flauschecke aufmachen und dann Knutschende rausschmeißen? Oder doch? Schon während des Kongresses hat die Presse angefangen, explizit nach Frauen auf dem 29c3 zu suchen. Ihr werdet doch bestimmt auch krass unterdrückt hier, oder? Operation erfolgreich, Patient tot.
Oder wie ist es hiermit? Die Karten haben nicht nur die Stimmung vergiftet, sondern selbst zu mehr Belästigung geführt als es vorher ohne sie gab und sie zu bekämpfen vorgaben. Klar, man kann da jetzt Unwissenheit, Naivität und Inkompetenz unterstellen. Oder man kann davon ausgehen, dass das die Absicht war. Ich habe mir meine Meinung noch nicht zu Ende gebildet an der Stelle, tendiere aber alleine aus verschwörungstheoretischen Gründen grundsätzlich zu Absicht.
Unabhängig davon ist der Schaden natürlich jetzt angerichtet. Weil hier ein paar Menschen ihr Lebensbild dem Rest der Welt aufdrängen wollten, hat der Kongress jetzt nicht nur Gender-Trolle sondern auch Maskulinisten am Bein, und Taliban aller Couleur. Hier wird "ich fühle mich belästigt" zum Maßstab für das Handeln aller Anderen erhoben. Was wenn nächstes Jahr die katholische Kirche oder die Scientologen ankommen und sich in ihrer Religionsausübung unterdrückt fühlen? Einer der Vorträge dieses Jahr war Sprache, Ungleichheit und Unfreiheit von Anatol Stefanovitsch. Das hätte die Debatte voranbringen können, aber ging so im Gezeter über "Macker-Jeopardy" unter.
Abschließend möchte ich noch darauf hinweisen, dass der CCC seit Jahren gegen die Vorratsdatenspeicherung kämpft, weil dort weite Teile der Bevölkerung unter Pauschal-Verdacht gestellt werden. Einer der NSA-Whistleblower hat in seinem Vortrag erwähnt, dass eine der wichtigsten Freiheiten die Freiheit von Verdacht und Ermittlung sei. Und jetzt kommen hier ein paar selbsternannte Aktivisten und fordern von uns, dass wir unsere Teilnehmer unter Pauschalverdacht stellen und Warnhinweisschilder aufstellen, dass sexuelle Übergriffe und Sexismus bei uns unerwünscht sind. Das zeugt von einem so geringen Ausmaß an sich vorher mal auf die Zielgruppe eingelassen habens, dass solche Leute bei mir direkt verloren haben und das auch nur unter größtem Aufwand wieder reparieren können. Überhaupt drängt sich der Eindruck auf, dass die lautesten Kritiker noch nie auf einem Kongress waren.
(Kurzes Intermezzo) Wo kommen diese Creeper-Cards eigentlich her? Aus den USA. Dort herrscht eine völlig andere Hacker-Konferenz-Kultur. Auf der Defcon liefen vor ein paar Jahren Porno-Modelle halbbekleidet herum und machten Werbung für diese Porno-Produktion, bei der ein Model die nmap-Homepage vorliest. Da gibt es auch eine ganz andere Prüderie und ein höheres Alterslimit für Alkohol, was sich dann auf Konferenzen so niederschlägt, dass hormonell unbalancierte Jugendliche zum ersten Mal Alkohol trinken und mit weiblichen Brüsten konfrontiert werden und dann enthemmt Frauen angraben. Die Leute, die diese Karten nach Deutschland geholt haben, kennen vermutlich weder die Defcon noch den Kongress. Die Defcon findet übrigens in Las Vegas statt, d.h. das Ambiente dort sind Spielhöllen, Showgirls und Stripper.
Die Lautesten unter den Empörten waren auch diesmal nicht vor Ort sondern empörten sich aus der Ferne. Einige kamen beim Kongress direkt mit einer Haltung wie "respektiert mich endlich auch mal und hört mit dem Grapschen auf" an, und wunderten sich dann über das Unverständnis derjenigen, die seit Jahren da sind und noch nie von Grapschproblemen gehört haben und bei denen man sich Respekt erarbeitet und nicht einfach nur einfordert.
Zusammenfassung: Probleme löst man, indem man über sie redet. Nicht indem man andere Leute öffentlich an den Pranger stellt. Die Creeper-Karten haben so viel Schaden angerichtet, dass selbst wenn jemand noch einen positiven Aspekt nachweisen kann, netto nur Verlust übrig bleibt. Das war alles vorher schon absehbar. Es ist eine Schande, dass Einzelne das Kaputtmachen einer so schönen Sache wie des Kongresses billigend in Kauf nahmen, und dabei noch als Kollateralschaden ihr vorgebliches Anliegen der Sexismusbekämpfung generell beschädigen. Ich hoffe sehr, dass da jetzt alle was draus gelernt haben.
Update: Hier kommt gerade eine Mail von einem der beiden rein, die die erste rote Karte überreicht haben, mit Bitte zum als Update dranhängen. Ich zitiere mal:
Wir haben uns spontan ueberlegt ob es gelb oder rot werden soll. Du hast recht: 'rot' sollte eigentlich bei krassen Grenzueberschreitungen, insbesondere auch taetlichen Uebergriffen, verwendet werden. Insofern haben wir uns auch die Frage gestellt, ob 'rot' vllt zu krass waere. Unser Argument fuer 'rot' war letztlich: diese Buehne, die ganze mediale Aufmerksamkeit — das wirkt alles als Multiplikator fuer den 'normalen' Alltagssexismus, der von der Moderation verbreitet wurde. Aus diesem Grund wurde es 'rot'.
Update: Und jetzt kommt auch noch raus, dass die vielzitierten angeblichen Übergriffsfälle einer der zentralen Anklägerinnen in Sachen Sexismus auf dem Kongress auch nur Hörensagen Dritter sind und als sie sich selbst als Opfer eines Übergriffs fühlte, rief sie nicht die Hotline an. Wenn ich einer der Hotline-Freiwilligen wäre, würde ich mir da auch ziemlich verarscht vorkommen. Und dann anzweifeln, dass man ihr geholfen hätte. Ganz großes Tennis. Ich stelle mir da so eine Stille Post vor, aber immer im Kreis herum und in einer Echokammer.
Update: Wird immer übler:
Ich rante wann und wo ich will. Und die Sache kann mich mal kreuzweise.
Update: Mir erzählten übrigens mehrere Leute, dass jemand eine gelbe Karte erhalten haben soll, weil er einer Frau die Tür aufgehalten habe. Weil das positive Diskriminierung ist.
Update: Hier ist übrigens die Liste der Verantwortlichen. Nota Bene: das sind alles Macker, die da den armen wehrlosen Frauen ihre Probleme "lösen", ob die einverstanden sind oder nicht. Und sie wollten ursprünglich nur gelbe und rote Karten drucken.
Ich hatte ansonsten nur noch Zeit für den Hashfunktionen-Vortrag, den ich auch nur empfehlen kann. Nicht nur kurzweilig und informativ sondern man kann auch direkt mal was konkretes mitnehmen, was man in seiner Programmierpraxis ändern kann. Ich habe übrigens angesichts dieses Vortrages auch mal einen Bug gegen gcc geöffnet, damit die die Hashfunktion in der C++-Laufzeitumgebung ändern. Mal gucken, was daraus wird.
Weil da schon einige Nachfragen kamen: das CCTV-Abflex-Video gibt es hier. Wir haben am Anfang ein bisschen gekürzt.
Wir möchten uns auch ausdrücklich bei Anne Roth entschuldigen, die die undankbare Aufgabe hatte, heute morgen als ersten Vortrag im Programm über den Verfassungsschutz zu sprechen, und die im Fnord-Rückblick zusehen musste, wie wir (nicht absichtlich, versteht sich) einige ihrer Pointen verbrannt haben. Tut uns leid! Ging uns aber partiell auch so; die NSA-Whistleblower hatten unter anderem eine Folie, die dazu aufrief, dass man doch bitte mehr Spam mit spannenden Schlüsselwörtern verschicken solle, und wir hatten eine Folie, dass der BND bei seiner "strategischen Email-Aufklärung" hauptsächlich mit Spam-Auswertung beschäftigt ist. Da muss man auf so einer Veranstaltung halt durch. Doppelt hält ja auch besser :-)
Ich bin insgesamt jedenfalls ausgesprochen erfreut, wie schön der Congress war, und möchte mich bei allen Organisatoren und Helfern bedanken, dass sie uns so ein cooles Event ermöglicht haben. Und der CCC hat unser aller Dank verdient, dass er das Event überhaupt veranstaltet hat, obwohl es bis zuletzt deutlich so aussah, als ob da rote Zahlen bei rauskommen würden. Zuletzt hörte ich, dass es nach einer schwarzen Null oder sogar einem kleinen Plus aussieht. Verdient, wie ich finde! Und unter solchen Umständen noch am eigenen Ast zu sägen und die Vorträge nicht nur live kostenlos ins Internet zu streamen sondern auch noch innerhalb von 24h bei Youtube oben zu haben, das muss man würdigen. Ich möchte an der Stelle auch darauf hinweisen, dass der CCC keine technischen Anforderungen an Mitglieder stellt. Man muss kein Hacker sein, nicht mal einen Computer haben, um beitreten zu können. Wer dem CCC also helfen will, der ist herzlich eingeladen Mitglied zu werden (und sich dann natürlich auch einzubringen). Aber man kann auch einfach nur so Mitglied werden, um regelmäßig über den Mitgliedsbeitrag den Club zu sponsorn.
Eine Beobachtung sei mir noch erlaubt: auf dem Congress gab es auch eine Flauschecke, und beim Rumlaufen glaubte ich beobachten zu können, dass das die Ecke mit den am wenigsten entspannt wirkenden Besuchern war. Ich weiß nicht, was da der Hintergrund war, aber wer auf einer Veranstaltung wie dem 29c3 abends nach Einsetzen der Dunkelheit nicht tiefenentspannt aussieht, während drumherum alle ausgelassen Party feiern oder mit Tschunkslushie im Bällebad chillen, der macht irgendetwas fundamental falsch.
Update: An der Stelle sei auch noch mal ausdrücklich FEM gelobt, die wieder einmal das Video-Team gestellt haben und die Videos zum Download anbieten. Ihr rockt! Mir ist keine andere Veranstaltung dieser Größenordnung bekannt, bei der das auch nur annähernd so gut klappt!
Was ist die Lösung? Ganz einfach:
Of the 770 Cast Lead casualties listed on the Israeli Foreign Ministry website, for example, four are fatalities and 584 are victims of "shock and anxiety syndrome".
Natürlich werden die Zahlen der geschockten und verängstigten Palästinenser gar nicht erst erhoben. Ähnlich läuft das mit der Libanon-Bombardierung 2006 aus:The Lebanese might see a similar upgrade in a reassessment of the wanton Israeli bombardment of 2006, which killed approximately 1,200 in Lebanon, most of them civilians, while producing 43 Israeli civilian fatalities and 2,773 victims of "shock and anxiety", according to Israel's Health Ministry.
So ungefähr stelle ich mir das vor, wenn der Vorstandschef der Deutschen Bank bei Volker Bouffier (CDU natürlich, was sonst) anruft, um sich über die Razzia zu beschweren. Hey, Volker, ohne uns wärst du gar nicht da wo du jetzt bist! Zeig mal ein bisschen Respekt und Dankbarkeit und pfeif diese Pfeifen zurück, die noch nicht mitgekriegt haben, wer eigentlich ihr Gehalt bezahlt!1!!
Faktisch regelt das Gesetz eine anlasslose Aufzeichnung des gesamten Versammlungsgeschehens. Das Bundesverfassungsgericht hat dies jedoch in seiner Entscheidung über das erste bayerische Versammlungsgesetz als unzulässigen Eingriff in das Grundrecht auf Versammlungsfreiheit gewertet.
Und ihr habt Recht. Ars Technica hat ein Expose über "Orca", das Wahlkampfverwaltungssystem von Mitt Romney.
Instead, volunteers couldn't get the system to work from the field in many states—in some cases because they had been given the wrong login information. The system crashed repeatedly. At one point, the network connection to the Romney campaign's headquarters went down because Internet provider Comcast reportedly thought the traffic was caused by a denial of service attack.
Weil so eine Wahl ja immer wieder plötzlich und überraschend kommt, und ja bis zuletzt auch der Gegner noch nicht feststand, haben sie erst nach den Republican Primaries mit der Entwicklung angefangen, und dann halt einen Rush Job abgeliefert. Die Entwicklung wurde angeblich von Microsoft und einer ungenannten Consulting-Bude durchgeführt. Sie hatten 11 (Ars vermutet: virtualisierte) Backend-Server und einen Web-Frontend-Server und einen Application Server. Und die waren dann wohl auch Single Point of Failure und mehr down als verfügbar.Und nicht zu vergessen: wir haben es hier mit Republikanern zu tun, nicht die hellsten Leuchten. Da waren Leute damit überfordert, dass sie ihre Zugangsdaten bei einem Romney "Victory Center" hätten abholen sollen, oder haben die URL ohne das https eingegeben und dann nur eine leere Seite gekriegt. Dann funktionierten diverse Passwörter nicht und der Reset funktionierte auch nicht. Es gab ein Telefon-Backup-System, falls das Web nicht geht, aber dafür haben sie die falschen Login-IDs verteilt.
"I tried to login to the field website," Dittuobo told me, "but none of the user names and passwords worked, though the person next to me could get in. We had zero access to Iowa, Colorado, North Carolina, and Pennsylvania. Seems like the only state that was working was Florida."
Gut, hat auch in Florida nichts genützt, aber hey. (Danke, Florian)
Unlike citizen-led ballot initiatives, which require court approval and are bound to a mere 75 words, legislative amendments face no such restrictions – in either word length or quantity.
Also haben die Republikaner 11 Seiten mit Kleingedrucktem an unklar formulierten Verfassungsänderungen angehängt. Ziel ist natürlich, dass sich ärmere Bürger das zeitlich nicht leisten können, und dass in ärmeren Bezirken die Wahl gleich gar nicht geht, weil nicht alle wählen können, wenn das pro Person ne Stunde braucht. Und was das für unfassbare Vorschläge sind! Kann man sich gar nicht ausdenken! Einer will verbieten, dass Personen und Firmen zum Erwerb von Krankenversicherung gezwungen werden können, um Obamas Gesundheitsreform auszuhebeln. Ein weiterer will Steuervergünstigungen für Besitzer eines zweiten Hauses (uh, wtf?!). Und Einfluss auf die Richter im State Supreme Court wollen sich die Republikaner auch gleich geben lassen. Un-fass-bar. Alleine das Ausdrucken der Stimmzettel dauert in Miami-Dade pro Person 70 Sekunden, das sind 12 Seiten.Update: Das "Hanf Journal" dementiert (Danke, David)
Erstens hat ja keiner geglaubt, dass das BKA die technische Kompetenz hat, Trojaner zu bauen. Haben sie auch nicht. Dafür gibt es jetzt ein "Kompetenzzentrum Informationstechnische Überwachung" (CC ITÜ). Ich wäre ja lieber arbeitslos und würde vom Arbeitsamt mit Hartz IV Auflagen gegängelt als bei so einem Laden mitzuarbeiten. Die sollen sich alle mal schämen, die da arbeiten. Und dann über China meckern, so haben wir es gern!
Die zweite spannende Neuigkeit ist, dass das BSI eingeknickt ist. Das BSI, eine Ausgliederung des BND, hat es ja schon immer schwer, plötzlich als Behörde ernstgenommen zu werden, die für den Schutz der Bevölkerung vor digitaler Spionage zuständig ist. Gut, besonders beeindruckend waren ihre Leistungen auch nie. Das einzige, was man ihnen zu gute halten konnte, war dass sie sich geweigert haben, unserer Junta ihre Spionagewerkzeuge zu zertifizieren. Das war der ausdrückliche Wunsch der Möchtegerne-Unterdrücker von der CDU, aber das BSI hat immer argumentiert, dass das ihre Glaubwürdigkeit zerstören würde, wenn sie das täten. Jetzt gibt es eine Lösung:
Die Software zur Durchführung von Quellen-TKÜ wird durch ein BSI-zertifiziertes Prüflabor geprüft.Seht ihr? Ganz einfach! Das BSI zertifiziert jetzt nicht die Malware direkt, sondern sie zertifizieren ein Malware-Prüflabor! DAS ist natürlich was GANZ anderes, liebes BSI! DANN kann man ÜBERHAUPT NICHT davon sprechen, dass ihr eure Glaubwürdigkeit im Klo runtergespült habt, da ist ja noch eine Indirektion dazwischen!1!! Und Schwarz-Geld kann ruhig schlafen, weil sie wissen, dass das BSI über Bande ihre Diktatur-Technologie zertifiziert hat.
Update: Die Haupt-Lektion für mich wäre, nie wieder einer Prüfung zu trauen, wenn sie von einer BSI-zertifizierten Prüffirma kommt. Da muss man ja dann davon ausgehen, dass es einen Interessenskonflikt gibt, und die Hintertüren für staatliche Malware und Schnüffelmaßnahmen vor mir geheim halten würden. Wenn jemand eine Liste der zertifizierten Prüflabore findet, freue ich mich über eine Mail.
Update: Das hier sieht wie die Liste aus. Ich rechne also damit, dass der Trojaner dann von den Spezialexperten von T-Systems "geprüft" werden wird. Wir müssen uns also keine Sorgen machen.
Aber hey, macht nichts, es gibt ja noch einen Backup-Plan für Ohio.
"By providing the first few lines of our stories to Internet users, the service reduces the chances that they will look at the entire story in our websites," he said, in an interview with the Knight Center for Journalism in the Americas.
Niemand liest mehr die Artikel, nur noch die Überschriften. Was für eine traurige Welt.Immerhin können wir jetzt mal an Brasilien beobachten, wie das bei uns nach dem Leistungschutzrecht aussehen wird.
um „eine Weitergabe dieser Information an Dritte“ zu unterbinden, wie es in dem jetzt aufgetauchten Vermerk heißt.SO ÜBEL ist das mit den Diensten, dass die Polizei denen keine Informationen gibt, weil die die für nicht vertrauenswürdig halten! Wieso haben wir die eigentlich noch nicht abgeschafft alle?
Wie ich den Laden kenne fordert die CDU als nächstes bessere Abhörbefugnisse für die Dienste, damit sie an die Akten bei der Polizei rankommen. m(
the European commission president, José Manuel Barroso, indicated this week that any new state would have to apply to join the EU.
Und der Depp meinte das bestimmt als Drohung! Was für ein Vollpfosten! Das wäre doch gerade der Grund, wieso die sich abspalten wollen! Nicht um von Spanien wegzukommen, sondern um von Spanien und der EU wegzukommen! Diese EU-Kommission scheint ja echt nur aus Versagern zu bestehen.
Ein weiterer trauriger Höhepunkt auf EAs Vernichtungsfeldzug gegen die Computerspieleindustrie. Meine Theorie ist ja: Wenn EA keine guten Spiele macht, darf auch sonst keine Firma existieren, die gute Spiele macht. Alle plattmachen!1!!
Sehr, sehr schade. Bioware-Spiele habe ich immer gerne gespielt. Hoffentlich kauft EA nie Bethesda oder Obsidian.
Naja, gibt ja noch AMD, deren Atom-Konkurrenz ist eh besser. Und was tut AMD? AMDs nächste Atom-Killer-Generation wird auch nur Windows 8 unterstützen. Was zur Hölle?!? Immerhin klingt es bei AMD nicht so, als wollten sie absichtlich Hürden gegen Linux aufbauen. Aber trotzdem.
"Ihre Visite in einem Land, wo Antisemiten an der Macht sind, die Israel vernichten wollen, würde ungeachtet guter Absichten ein schwerer Fehler bedeuten", wurde Netanjahu zitiert.
“Specifically, there have been instances of employees and contractors accessing websites, or transmitting messages, containing pornographic or sexually explicit images,” James wrote in the July 27 memo obtained by Bloomberg News.“These actions are not only unprofessional, they reflect time taken away from designated duties, are in clear violation of federal and DoD and regulations, consume network resources and can compromise the security of the network though the introduction of malware or malicious code,” he wrote.
Lasst EFI in Frieden. PCs sind keine Geldautomaten, die sollen nicht sicher sein. Sicher heißt Zwangsjacke für den Anwender und gerade in diesem Fall reden wir ja von Apple, die zwar in Sachen Sicherheit Jahre hinterherhinken, aber dann Handschellen für den Anwender als Sicherheitsmaßnahme verkaufen und man sein Telefon nur in Betrieb nehmen kann, wenn man Itunes installiert. Apps? Nur aus dem Apple Store. Wegen der Sicherheit!1!!
NICHTS von dieser ganzen Scheiße kommt dem Benutzer zu Gute. Das ist alles nur Gängelei von dem nur einer profitiert: Apple.
Es ist schlimm genug, dass wir seit Jahren nicht in der Lage sind, sichere oder vertrauenswürdige Software zu produzieren. Aber damit jetzt Guantanamo-Technologien auf allen Endgeräten zu etablieren, dass wir DAS zulassen, das ist eine Schande sondergleichen. Und am Ende wird es wieder keiner gemerkt haben. Ach was hätten wir den tun sollen, keine Apple-Geräte kaufen? Das wäre in der Tat mal ein Anfang! Solange Hersteller wie Apple für sowas noch mit Rekordprofiten belohnt werden, wird das nie aufhören.
Dieser UEFI-Codesigning-Bullshit ist übrigens genau die Technologie, mit der auch Microsoft Windows 8 zunageln will. Aus Sicherheitsgründen, wissenschon. Microsoft kriegt dafür zu Recht auf die Fresse. Apple wird für den gleichen Mist noch gefeiert.
Oh und dass der Typ in dieser Meldung ausgerechnet Thunderbolt nimmt ist nochmal ein zusätzlicher Gähner, weil Thunderbolt auch ganz ohne Backdoor den DMA-Zugriff von außen auf dem Hauptspeicher erlaubt. Den Teil benutzt er aber gar nicht. Weil, äh, … keine Ahnung warum nicht, denn das ist inhaltlich genau so "überraschend" wie dass man EFI-Backdoors machen kann. Wie wäre es als nächstes mit der krassen Einsicht, dass wenn jemand deinen Laptop klaut, er deine Festplatte auslesen kann!1!! Oder dass man per Internet Daten übertragen kann!
Nun, nehmen wir mal an, Microsoft will euch ein Update schicken. Das hat dann eine digitale Signatur dran. Microsoft unterschreibt das Update, damit der installierende Rechner sicher sein kann, dass ihm da keiner ein Kuckucksei unterschiebt.
Wenn man jetzt eine normale Zertifikats-Validierung macht, dann prüfen die Routinen, dass das Zertifikat von jemandem vertrauenswürdigen kommt. Ich hatte das Problem mit den vertrauenswürdigen CAs hier schon mal thematisiert. In der Liste der vertrauenswürdigen CAs stehen alle möglichen Firmen drin, denen Microsoft natürlich nicht einräumen will, dass sie ihre Updates signieren. Also machen sie noch mehr als bloß das Zertifikat zu validieren — sie prüfen, dass die Root-CA am Ende der Kette Microsoft ist.
Das klingt gut und hat auch immer schön funktioniert — bis heute, wo plötzlich ein Zertifikat auf die Schwarze Liste gesetzt wird, das eine Microsoft-Signatur trägt.
Hier ist, wie es dazu kommen konnte:
What we found is that certificates issued by our Terminal Services licensing certification authority, which are intended to only be used for license server verification, could also be used to sign code as Microsoft. Specifically, when an enterprise customer requests a Terminal Services activation license, the certificate issued by Microsoft in response to the request allows code signing without accessing Microsoft’s internal PKI infrastructure.
Das heißt, dass es möglich war, dass jemand von außen eine digitale Signatur erstellen konnte, die zu der Microsoft-Root-CA hoch verkettet ist. Mit so einer Signatur hätte man womöglich automatisiert bösartige Updates verschicken können. Ich kann gar nicht genug betonen, was das für ein Totalschaden ist.Wenn man ein Stück Code lädt, und Windows zeigt einem den "willst du das ausführen"-Dialog, hat der eine beruhigendere Farbe, wenn das "von Microsoft" signiert ist.
Ich würde mal vermuten, dass man auch diverse interne Dienste von Microsoft so nachahmen könnte, vielleicht Crash Reporting oder Antimalware-Selbstaktualisierung, wer weiß wie das alles funktioniert. Und solange die kryptographisch prüfen, dass sie "mit Microsoft" reden, wer weiß wie ordentlich die die Protokolle abgesichert haben.
Die Lektion an der Stelle muss sein, dass man auch bei ordentlicher Krypto-Absicherung trotzdem alle Protokolle richtig sichert. Und natürlich dass man in Zukunft besser aufpasst beim Aushändigen von Zertifikaten :-)
Update: Mikko Hypponen kommentiert:
Microsoft CA is the most whitelisted CA in the world. Forging a Microsoft code signing certificate is the holy grail of malware writers.
und:
This is huge. Using Windows Update itself as an infection vector has always been something we've been scared about.
nachdem jemand schrieb, Flame habe ein Man-in-the-Middle-Modul für Windows Update gehabt.
Update: Mir mailt gerade jemand, dass man den Patch nur nach bestandener Genuine Advantage-Prüfung ausführen kann. Was zur Hölle haben die denn da schon wieder verkackt. War die Ansage nicht mal, dass nur nichtessentielle Updates ohne Genuine Advantage blockiert werden? Oh und er schrieb auch, dass das Datum unter der Signatur von dem Patch der letzte Donnerstag ist, d.h. da saßen sie auch schon wieder eine halbe Woche drauf. Seufz.
Update: Ich wurde gerade darauf hingewiesen, dass hier ein wichtiger Satz fehlt.
Sprecht mir also nach: Code Signing ist Snake Oil :-)
Wenn also jemand am Wahltag an der Urne auftaucht, woher weiß man dann, ob der wahlberechtigt ist? Das funktioniert so, dass man sich zur Wahl anmelden muss. Sowas wie ein Bürgeramt, wo man sich für den Personalausweis einträgt, gibt es nicht. Wenn man irgendwo wohnen will, zieht man da halt ein und zahlt Miete. Registrieren ist nicht notwendig.
Daher weiß der Staat nicht automatisch, wer wo wohnt, und es muß einen separaten Mechanismus für Wahlen geben. Das funktioniert so, dass man sich bei der Führerscheinausgabestelle in das Wahlregister für das Bundesland einträgt, also z.B. für Florida, und dann darf man da wählen. Das geht nicht nur beim DMV (Führerschein-Büro), aber da machen es die meisten Leute.
So, dann ist man eingetragen im Register, und kann in dem Bundesland an jeder Urne wählen gehen.
Ich wollte wissen, wie sie verhindern, dass jemand einfach bei mehr als einem Wahlbüro wählen geht. Antwort: indem es eine hohe Gefängnisstrafe darauf gibt, wenn sie dich dabei erwischen.
Die Rahmenbedingungen bei den Wahlen sind: es gibt dieses Wahlregister, aber die Bürger müssen sich nicht ausweisen können. Nicht nur das: gerade die ärmeren Randgruppen wie mexikanische Landarbeiter und Schwarze haben zu einem gewissen Prozentsatz schlicht keinen Führerschein und können sich daher nicht ausweisen. Wenn man wählen darf, darf man im ganzen Bundesland wählen, nicht nur bei einem bestimmten Wahllokal.
Es gibt also einige offensichtliche Angriffe auf das System. Zum Einen könnten sich Leute zur Wahl registrieren, die gar keine Bürger sind. Zum Anderen könnte jemand einfach bei mehr als einem Wahllokal eine Stimme abgeben. Außerdem könnte sich jemand in mehr als einem Bundesland registrieren. Und selbst wenn man erkennt, dass jemand gerade eine Stimme abgeben will, aber unter seinem Namen ist schon eine Stimme abgegeben, woher weiß man dann, welches der echte Wähler ist, wenn es nicht Pflicht ist, sich ausweisen zu können?
Es ist also nicht verwunderlich, dass Republikaner ein leichtes Spiel bei eh schon latent ausländerfeindlichen Amerikanern haben, Angst vor Wahlbetrug zu schüren.
Einer der Mechanismen gegen Wahlbetrug ist, dass man sich beim Wahllokal hinstellen und die Wahlberechtigung von Leuten anzweifeln kann. Die können dann nicht abstimmen, bis geklärt ist, dass sie wahlberechtigt sind. Die Stimmen werden dann nachträglich noch gezählt, so die Theorie, und das ist einer der Gründe, wieso das in den USA immer tagelang dauert, bis es ein Ergebnis gibt nach Wahlen.
Seit einigen Jahren gibt es diverse Initiativen von Republikanern, in diversen Bundesländern mit Wahlbetrug als Begründung diverse Gesetze vorzuschlagen, die z.B. erfordern, dass man sich ausweisen kann, um wählen zu dürfen. Das benachteiligt genau die Ärmsten der Armen, die statistisch zufällig mit überwältigender Mehrheit Demokraten wählen. Das Spielchen gibt es seit Jahren, da klagt dann immer jemand gegen, und dann wird das nichts. Inzwischen hat das aber so zugenommen, dass die US-Regierung die Hände voll hat, die ganzen Vorstöße aus den Ländern zurückzupfeifen. Es gibt keinerlei Beweise dafür, dass tatsächlich bei irgendwelchen Wahlen von den Menschen auf der Straße betrogen wird. Der Wahlbetrug, der tatsächlich stattfindet, wird aber mit den angeblichen Wahlbetrügern begründet, die es gar nicht gibt. Das ist ein ganz gruseliges Spiel. Und Obama ist ja Democrat. Den Democrats ist klar, dass wenn diese ganzen Vorstöße bei den letzten Wahlen am Start gewesen wären, wäre Obama nicht Präsident jetzt.
Holder said that in the past two years the justice department has challenged "two dozen state laws and executive orders from more than a dozen states that could make it significantly harder for many eligible voters to cast ballots in 2012"."Despite our nation's long history of extending voting rights to non-property owners and to women, to people of colour, to Native Americans, and to younger Americans, today a growing number of our fellow citizens are worried about the same disparities, divisions and problems that nearly five decades ago so many fought to address," Holder told a meeting of the Congressional Black Caucus and black church leaders.
Das ist an Gruseligkeit kaum zu toppen finde ich.Update: In Washington State und Oregon gibt es gar keine Wahllokale mehr, nur noch Briefwahl. Doppelte Stimmen erkennen sie daran, dass man seinen Stimmzettel in zwei Umschläge tut. Der innere Umschlag hat deinen Namen und deine Anschrift und du unterschreibst ihn. Vor dem Zählen der Stimmzettel werfen sie dann denn inneren Umschlag weg. Das muss man ihnen aber glauben, prüfen kann man es nicht. Klingt nicht schlecht, aber was passiert denn dann, wenn sie zwei Stimmzettel unter meinem Namen finden. Woher wissen sie, welcher davon der richtige ist? Werten die dann beide nicht oder was?
Wie dem auch sei, für alle diese Fälle habe ich für euch eine gute Gelegenheit: Heldenhaft hat sich Markus Kompa in die Bresche geworfen und eine Klage eines "Krebsarztes" eingefangen, der selbstverständlich vor dem LG Hamburg klagt, wo auch sonst. Es geht um einen Youtube-Link, den Kompa gesetzt hat, und das Video ist eine ZDF-Dokumentar-Produktion, deren Inhalt der "Krebsarzt" anficht. Dafür soll jetzt Kompa in Anspruch genommen werden. Es geht also mal wieder um Linkhaftung, und das LG Hamburg hat (wie zu befürchten stand) vorläufig zu Gunsten des "Krebsarztes" entschieden. Jetzt sammelt Kompa Geld für die nächsten Instanzen.
Aus meiner Sicht ist das das perfekte Gerichtsverfahren, um diesen Scheiß mal durchzukämpfen. Erstens handelt es sich nicht um "Kinderporno" oder "Raubkopien", d.h. man kann das mal halbwegs unbelastet von den üblichen Vorurteilen in der Presse besprechen. Zweitens ist Kompa Medienanwalt und kennt sich mit der Materie aus. Er wird also die ganzen dummen Fehler, die "Normalbürger" bei sowas machen, und die im Fortgang des Verfahrens Nachteile mit sich bringen, vermieden haben. Drittens würdet ihr mal was gutes mit eurem Geld tun :-) Der Verteidiger von Kompa soll übrigens der Herr Stadler werden, der ebenfalls ein beliebtes Blog betreibt. Wir können hier also mit Fug und Recht von "das Internet gegen das LG Hamburg" reden. Ich bin mir sicher, wenn es sich um eine Strafsache handeln würde, wäre auch Herr Vetter noch mit an Bord :-)
Garantieren kann das zwar niemand, aber wenn das Verfahren gewonnen wird, dann zahlt die Gegenseite alle Instanzen. Stellt sich also die Frage, was mit dem Geld in dem Fall passieren soll. Kompa bietet eine Rücküberweisung an, schlägt aber die Einrichtung eines Freiheits-Verteidigungsfonds ein. Ich halte das für eine gute Idee. Lasst uns da mal eine Debatte starten. So wie bisher geht das jedenfalls nicht weiter mit dem LG Hamburg.
Die direkt nach dem Krieg hatten nicht viel, das sie kaputt machen konnten, aber haben Nazis in der Justiz und der Polizei geduldet. Die danach haben sich ihren Wohlstand auf Pump "gekauft", alle danach haben das weitergeführt und sich über den exponentiellen Schuldenwachstum gewundert.
Die in den 70ies haben sich von den Terroristen beeindrucken lassen, und sich dann selber mit Rasterfahndung und Lauschangriff terrorisiert.
Die in den 80ies haben … mhh da fällt mir gerade nichts ein. Haben die auch was kaputtgemacht? An AIDS und der daraus folgenden Angst vor Sex kann man denen ja schwerlich die Schuld geben. Vielleicht die synthetischen Drogen? Oh ich weiß: die Hoffnung. Die 80ies haben die Hoffnung und den Optimismus kaputtgemacht.
Die 90ies ist das Jahrzehnt der Spekulationsblasen, und die 2000er Jahre sind das Jahrzehnt der Bankster. Und jetzt machen wir uns das Internet kaputt. Keiner will es wirklich, alle wissen genau, dass das gerade passiert, und keiner hält es auf.
Und so sind wir am Ende genau so eine Generation von Arschlöchern wie die Generationen vor uns.
Die stellvertretende SPD-Vorsitzende Manuela Schwesig nutzte die Gelegenheit zur Attacke: Sie warf der Piratenpartei vor, nicht genug für Frauen zu tun.Ich bin mir gerade nicht sicher, ob die besonders dämlich oder besonders schlau vorgehen. Auf der einen Seite gewinnen so natürlich die Piraten, aber die haben ja keine Erfahrung, kein brauchbares Personal, kein erwähnenswertes Programm und haben schon in der Vergangenheit eindrucksvoll ihre Inkompetenz demonstriert. Das einzige rationale Pro-Argument für die Piraten ist im Moment, dass die anderen Parteien noch übler sind und mal so richtig einen in die Fresse verdient haben. Wenn die anderen Parteien jetzt also mit tumbem Bashing die Piraten ins Parlament forcieren, dann ist das kurzfristig gut für die Piraten, mittelfristig wird es aber dazu führen, dass die Piraten zu früh mitmachen können und dann vermutlich voll aufs Maul fliegen. Das müsste schon mit einem Wunder zugehen, wenn das anders abläuft. Daher meine Frage, ob die anderen Parteien das vielleicht absichtlich machen, damit die Wähler räumütig zu ihnen zurückkommen, nachdem sie gesehen haben, wie wenig die Piraten können. Es braucht eben eine Weile, bis so eine Partei arbeitsfähig ist, bis so ein Team eingespielt ist, bis man sich geeinigt hat, wo es eigentlich hingehen soll. Bei den Piraten bietet sich nach außen gerade das Bild, dass die noch nicht mal angefangen haben, weil da nach jedem Umfragesieg ein Haufen Neupiraten aufschlägt, die dann nochmal von Anfang an mitdiskutieren wollen.
Selbst wenn wir annehmen, dass die anderen Parteien das gerade absichtlich tun, ist aber alles andere als klar, dass das aufgeht. Immerhin haben die etablierten Parteien die Schwelle für ein besseres Abschneiden als sie selber für die Piraten sehr niedrig gelegt, die verkacken ja seit Jahrzehnten nach Kräften auf allen Ebenen. Das wäre also eine sehr riskante Strategie. Man gucke sich nur mal die Verlierer bei der SPD an, wer will denn bitte jemals zu denen zurückkehren? Da ist doch seit Jahren auch nur das einzige Argument, dass die CDU noch schlimmer ist! Keiner wählt die SPD wegen ihres Track Records.
Update: Ach du Schande, das ist ja noch viel übler: Die Griechen stecken sich absichtlich mit HIV an, weil sie dann lebenslänglich 700 Euro im Monat kriegen und sie von der normalen Sozialhilfe und dem Arbeitslosengeld nicht leben können.
Bei dem Meeting ging es übrigens um LulzSec und was sie da als nächste Schritte gegen die geplant haben.
Wenn eine Staatsanwaltschaft die Aufhebung beantrage, habe man keine andere Wahl, hieß es aus der Koalition.Das muss man sich mal auf der Zunge zergehen lassen! Daher hier mein Aufruf an die Staatsanwaltschaften dieses Landes: beantragt bitte umgehend für alle CDU- und FDP-Politiker die Aufhebung der Immunität. Wenn ihr einen Grund braucht, nehmt "Rädelsführerschaft". Das ist der Vorwurf in diesem Fall an die Linken. Rädelsführerschaft!!
[…] Washington has written permission to collect and retain personal information from journalists, news anchors, reporters or anyone who uses “traditional and/or social media in real time to keep their audience situationally aware and informed.”
Mit anderen Worten: jeder Twitter-User, jeder Blogger, jeder Email-Schreiber, jeder Usenet-Poster. Jeder.Man beachte, dass das ausdrücklich persönliche Daten sind.
Und was machen sie mit den Daten? Festhalten!
[…] the website “Fast Company” reports that the NOC Monitoring Initiative has been in play since at least early-2010 and that the data is being shared with both private sector businesses and international third parties.
Lolwut?!
(ii) if your Work is provided for a fee (including as part of any subscription-based product or service), you may only distribute the Work through Apple and such distribution is subject to the following limitations and conditions: (a) you will be required to enter into a separate written agreement with Apple (or an Apple affiliate or subsidiary) before any commercial distribution of your Work may take place; and (b) Apple may determine for any reason and in its sole discretion not to select your Work for distribution.
Und wisst ihr was? Solange Deppen wie Teile meiner Leserschaft denen trotz sowas ihren Scheiß abkaufen, wird das fröhlich immer so weitergehen.
Allerdings listet die Behörde, die sich vom TÜV Rheinland beraten ließ, in einem 9-Punkte-Katalog Empfehlungen für die Verbesserung der Notfallmaßnahmen für den Reaktor auf. So solle es eine bessere Notstromversorgung geben, um im Havariefall Messgeräte und externe Pumpen schneller anschließen und betreiben zu können. Die Nutzbarkeit eines 250 Meter vom Reaktor gelegenen Bunkers, von dem aus bei einem Unfall die Anlage kontrolliert und gesteuert werden soll, soll überprüft werden. Außerdem sollen die Sicherungsmaßnahmen gegen Wassereinbrüche durch Starkregen oder Rohrbrüche verbessert, Notfallhandbücher überarbeitet und die Informationsgewinnung in unfallbedingt verstrahlten Gebäudeteilen analysiert werden.Wenn schon der TÜV mit so vielen so offensichtlichen "Vorschlägen" kommt, dann ist mir das ja vollständig unklar, wie irgendjemand sagen kann, dieser Müllmeiler haben einen wie auch immer gearteten Stresstest überstanden. Was für eine Farce.
Update: Ich kriege gerade diverse Hinweise, dass "ans Netz gehen" falsch ist, weil das ein Forschungsreaktor ist. Der wird nicht angefahren, um Strom zu generieren, sondern nur um Neutronen zu erzeugen. Stimmt natürlich. Man verzeihe mir die flapsige Formulierung. Rückblickend frage ich mich, wieso ich das überhaupt geschrieben habe, das ist ja noch schlimmer wenn wir da nicht mal als Gegenleistung für das Risiko und den Atommüll Strom rauskriegen.
Update: Jetzt gehen hier diverse Mails von Physikern ein. Ich will mal aus einer zitieren:
Der betreffende Forschungsreaktor besteht aus knapp 9.2 Kilogramm Uran, das passt in ein Bierglas (knapp 480 cm^3). Zum Vergleich: In einem stromproduzierenden Reaktor sind knapp 100 Tonnen (bei neueren Designs auch mehr) an Brennstoff drin. Dies nur, um zunächst einmal die Größenordnung zu verdeutlichen über die hier geredet wird. Nur weil da mit ionisierender Strahlung hantiert wird ist das nicht gleich alles Großgerät, das irgendwie heftig entgleisen kann.
In allen solchen Forschungsreaktoren ist zu wenig Brennstoff für einen unkontrollierten Unfall, die Anordnung wird überhaupt nur durch viel Optimierungsaufwand mit geschickt plazierten Neutronenreflektoren kritisch.
Andere schreiben, dass bei Forschungsreaktoren absichtlich kein Strom gewonnen wird, damit es keinen ökonomischen Vorwand dafür gibt, den länger als nötig zu betreiben. Diese Argumente klingen für mich stichhaltig und ich ziehe meinen Rant zurück.
Mit anderen Worten: die ATF hat einen fetten Drogenkrieg in Mexiko billigend in Kauf genommen und ihre Aufsichtspflicht absichtlich verletzt, um danach für mehr Ermächtigungen für sich argumentieren zu können.
Wenn hingegen mal wieder bei der CDU Nazis gefunden werden, dann kräht da leider kein Hahn nach.
Das Amtsgericht Offenbach attestierte den Ermittlern im Juni, sie hätten gegen die kritischen Polizeibeamten ins Blaue hinein ermittelt.Und weiter:
Der Verdacht gegen die Beamten beruhe auf reiner Spekulation. Sogar die Grundvoraussetzung für die Durchsuchung der Wohnung fehle, nämlich der Tatverdacht für eine strafbare Handlung, erklärte der Ermittlungsrichter.Die konnten sich nichtmal glaubwürdig einen Tatverdacht aus dem Arsch ziehen! Gut, das hält Richter normalerweise nicht davon ab, die Hausdurchsuchung zu genehmigen, daher: Hut ab für den Richter. Schade, dass Richter offenbar nur bei Durchsuchungen gegen Polizisten auf die Idee kommen, dass da was nicht stimmen könnte.
Oh und wieso ist das schon wieder Hessen, wo Leute dafür verfolgt werden, dass sie ihre Arbeit gut machen?
Es handele sich um Texte, die Angaben zu Zahlungen rund um die Rennstrecke in der Eifel auflisteten, darunter auch zu Honoraren für Berater.
Es wurde vielmehr gar kein Schuldenschnitt – in welcher Höhe auch immer – beschlossen, sondern lediglich angekündigt, dass man die Banken und Versicherungen zu Verhandlungen einlädt, an deren Ende ein Anleihentausch stattfinden soll, bei dem die Institute auf freiwilliger Basis ihre Griechenlandanleihen gegen andere Anleihen eintauschen können. Dabei sollen sie – so die Absichtserklärung – einen Nominalwert von 50% abschreiben.Der Punkt dabei ist, dass die Anleihen ja den Preisverfall bereits eingepreist haben. Eine als Beispiel genannte Anleihe von 2007 hat einen Nominalwert von 100 Euro, wird aktuell aber mit ca 30 Euro gehandelt, d.h. zum Marktwert bilanziert wäre das eine Abschreibung von 70%, und jetzt können sie das gegen Anleihen umtauschen, die nur 50% abschreiben. Mit anderen Worten: ein Geldgeschenk für die Banken, auf Kosten des Steuerzahlers! Kein Wunder also, dass die Banken sich bereitwillig in die Knie zwängen ließen.
Der größte Lacher an der Geschichte ist, wie sie der New York Times das als Heldenepos verkauft haben, und die das auch noch gedruckt haben.
"Wir brauchen diese Nachladefunktion, um uns den normalen Updates auf dem Zielcomputer anpassen zu können."Wun-der-bar, Herr Friedrich! Vielen Dank, wir fingen schon fast an, uns Sorgen zu machen, dass es in Arbeit ausarbeiten würde, wenn wir im Falle einer Klage Vorsatz nachweisen müssten. Das hat sich damit ja dann erledigt.
Guter Mann, dieser Friedrich. Fast so ein kompetenter Polit-Profi wie diese Piratenpartei.
Update: Hier ist der FAZ-Artikel, und da ist noch ein Highlight drin:
Der bayerische Innenminister Joachim Herrmann (CSU) sagte dazu der Sonntagszeitung: „Es scheint mir die Frage zu sein: Was versteht man unter nachladbar?“
Nee, klar, Herr Herrmann. Hey, wenn der Clinton damit durchkommt…
DigiTask bietet auf seiner Website „spezielle Kommunikationssysteme“ und bezeichnet sich selbst als „bundesweit führenden Anbieter von speziellen Sicherheits- und Kommunikationslösungen für Behörden“. Das Unternehmen ist nach Angaben von Creditreform eine hundertprozentige Tochter der Wirtschaftsberatung Deloitte.Das ist ja noch deutlich saftiger als wenn das nur so ne kleine Firma auf dem Lande ist.
Na kommt, Freunde, da geht noch was.
Falls unter meinen Lesern begabte Grafiker sind…: jetzt wäre eure Gelegenheit, eine coole Visualisierung zu basteln :-)
Update: Hessen gesteht in Form eines verkackten Dementis:
Zwar nutze auch Hessen die Quellen-Telekommunikations-Überwachung. Das bedeutet zum Beispiel das Abhören von Internettelefonaten oder Chats. Die Überwachung geschehe aber in Einklang mit den Gesetzen.
Ja, wie bei allen anderen auch!1!!
Update: Rheinland-Pfalz gesteht.
Update: Nordrhein-Westfalen gesteht
Update: Schleswig-Holstein gesteht.
Update: Auch Bremen ist geständig.
Update: Das Zollkriminalamt gesteht auch.
Update: Hamburg ist auch geständig.
Es ist mir eine besondere Freude, heute auf diese Presseerklärung des CCC zu verlinken. Denn dem CCC sind tatsächlich Trojaner zugespielt worden, von denen wir nach eingehender Analyse glauben, dass es sich um "Quellen-TKÜ" handelt. Und die Ergebnisse der Analyse sind ernüchternd.
Von den ganzen Zusagen nach dem Bundestrojaner-Urteil des Verfassungsgericht ist nichts übrig geblieben. Es hieß, der Quellen-TKÜ-Trojaner sei was gaaaaanz anderes als der Bundestrojaner für die "Online-Durchsuchung" und könne gar keine fiesen Dinge tun, nur Skype abhören und so. Tatsächlich aber hat der Trojaner eine Nachladefunktion für beliebige zusätzlich Malware. Es hieß, alle Versionen werden für den speziellen Fall manuell entwickelt, aber in der Realität sind die Trojaner nicht nur sehr ähnlich, sie verwenden auch denselben hartkodierten AES-Schlüssel für die Absicherung der C&C-Verbindung. Und wenn ich AES sage, meine ich AES im ECB-Modus, und es wird nur in eine Richtung verschlüsselt. Und der Schlüssel ist wie gesagt hartkodiert. Die Richtung mit Verschlüsselung ist der Antwortkanal des Trojaners. Der Kanal, über den man zusätzliche Malware nachladen kann, ist gänzlich ungesichert. Integritätsprüfung (digitale Signatur, HMAC o.ä.) oder gar kryptographische Authentisierung gibt es gar nicht.
Oh und Teil des Trojaners ist ein Kernelmodul, allerdings ohne Tarnfunktion (das war wohl zu kompliziert) sondern nur mit Keylogger. Das Kernelmodul stellt Operationen wie "leg mal ne Datei unter diesem Pfad an" oder "schreibe das hier in die Registry" zur Verfügung, und die Keylogger-Funktionalität ist deaktiviert — der Code ist aber noch erreichbar, und dank dilettantischer Anfängerfehler im Rest des Kernelmoduls kann man ihn trotzdem aktivieren und benutzen.
Wenn dieser Trojaner auf einem Rechner installiert ist, steht der danach für jeden offen wie ein Scheunentor, ganz ohne dass man einen Exploit bräuchte. Man muss nur anklopfen und den Trojaner freundlich bitten. Und das Kernelmodul räumt allen lokalen Benutzern Adminrechte an. "Scheunentor" ist zu kurz gegriffen, um das katastrophale Sicherheitsniveau dieser Software zu beschreiben. Die CCC-Reverser dachten erst an einen besonders gewieften Tarnungs-Trick, als sie für AES nur den Verschlüsselungscode fanden und nicht den Entschlüsselungscode.
Der CCC hat für die Scheunentor-API des Trojaners ein GUI geschrieben, das wir mal in einem kurzen Video vorstellen werden. Die Antivirenhersteller haben inzwischen Kopien des Trojaners erhalten und sollten ihn ab morgen früh erkennen und entfernen können, zumal keine Rootkit-übliche Tarnfunktionalität in dem Kernelmodul implementiert war. Aber macht euch keine Sorgen, wir haben den Behörden rechtzeitig Bescheid gegeben, dass sie noch schnell den Selbstzerstörungsknopf drücken können.
Oh, und, ganz wichtig noch, falls ihr ein Andenken haben wollt: die FAZ hat dazu eine Meldung gemacht und wird dem Thema in der FAS-Ausgabe morgen mehrere Seiten widmen. Und zwar, wie ich hörte, inklusive Auszügen aus dem Disassemblat. Wer also die erste Print-Tageszeitung haben will, in der Quellcode von Malware abgedruckt ist, sollte sich morgen eine FAS sichern. Oder halt online lesen, aber das ist ja nicht das gleiche in dem Fall :) Ein Listing-Service in der FAZ, wie damals bei der "DOS International"!
Update: Die Zeit ist auch im Boot.
Update: Erstaunlicherweise ist der C&C-Server immer noch online, und mir erzählt gerade jemand, dass da ein Plesk von 2009 drauf läuft. Die BESTEN der BESTEN der BESTEN, SIR!
Falls sich jetzt jemand wundert, wieso ich die FAZ so plugge: Schirrmacher (Herausgeber) hat einen Leitartikel zum Thema geschrieben, und da hält er das Flammenschwert der Gerechtigkeit in den Händen und kloppt auf genau die richtigen Stellen. Er schreibt nicht nur, dass so ein Trojaner ja grundsätzlich immer alles kann, sondern zeigt auch auf die Nonnenmacher-Geschichte mit den zu Diskreditierungszwecken hinterlegten Kinderpornobildern und spricht in der Kontext von "der neuen Vernichtungsstrategie in der digitalen Welt". Und dann spricht er das Offensichtliche gelassen aus:
In Zeiten einer „Piratenpartei“ kann der Fund des Chaos Computer Clubs die politische Geographie nachhaltig ändern.
So sieht das aus. Ich bin mir sicher, dass da dem politischen Establishment gerade mit Nachdruck der Arsch auf Grundeis geht. Es freut mich sehr, solche Gedankengänge in den etablierten Leitmedien zu lesen. Nicht mehr nur in Verschwörungsblogs wie dem meinen.
Update: Wenn ich schon am erzählen bin, kann ich ja auch noch ein bisschen mehr plaudern. Der eine oder andere wird sich vielleicht gedacht haben, hey, so ein Trojaner, das ist ein komplexes Stück Software, das schaffen die doch bestimmt nicht ohne Plagiieren von Open Source, da ist doch bestimmt noch ne GPL-Verletzung zu haben. Nicht GPL, aber Speex haben wir gefunden, und die Lizenz wurde verletzt. Ich hörte, ein Anwalt sei schon unterwegs.
Update: Das ehemalige Nachrichtenmagazin hat immer noch keine Meldung. Vor zwei drei Stunden ging die dpa-Meldung raus. Nichts. Wow. Da scheint mir die personelle Nähe zu den Geheimdiensten noch ausgeprägter zu sein als bisher angenommen. "Sturmgeschütz der Demokratie", dass ich nicht lache.
Update: Heise, ZDF Heute, Tagesschau, Golem, Gulli aber immer noch nichts bei Spon. Und auf Twitter musste sich ZDF Heute schon anpupen lassen, wieso sie in ihrer Nachtsendung nichts gebracht haben :-)
Update: Jetzt hat auch Spon was, und sie greifen bei den Zitaten in die Vollen, erwähnen sogar explizit den Wirtschaftsspionageaspekt bei der Durchleitung durch die USA. Inzwischen ist die Geschichte auch in Österreich angekommen und sogar sogar in den USA berichten erste Blogs. Oh und sogar die "Bild" war schneller als Spon. Oh und fürs Archiv solltet ihr euch zum Vergleich auch nochmal die BMI-FAQ zum Bundestrojaner durchlesen, mit Statements wie
Die Datenübertragung wird derart verschlüsselt erfolgen, dass der Zugriff Dritter hierauf ausgeschlossen ist und die übermittelten Daten durch hohe Datenschutzstandards geschützt sind.
Update: Jetzt hat das ehemalige Nachrichtenmagazin noch einen richtigen Artikel nachgelegt und damit sogar den Vetter von der Pole Position verdrängt.
According to a computer expert on Dutch public broadcaster NOS, the government can no longer guarantee the security of its websites. This means, for instance, that the internet identification site DigID is no longer reliable, which citizens use for various government services.
Und wenn man jetzt auf Regierungssseiten mit seiner Bürger-ID Dinge zu tun versucht, kriegt man eine fette Warnung, dass die Integrität der Seiten nicht gewährleistet werden kann. Der Hammer an der ganzen Geschichte ist:Diginotar has been reportedly aware of the problem since 19 June, but did not report it to the authorities. The Dutch authorities were informed by an Iranian source.
DAS ist natürlich der Todesstoß für eine Firma, deren Geschäftsmodell auf Vertrauen fußt. Über Eck erfahre ich gerade von ein paar Holländern, dass deren Zertifikate auch zur Absicherung der "Lawful Interception"-Schnittstellen benutzt wurden, also zum Beschnüffeln der Bürger. Ich denke mal, dass das den Ausschlag gegeben haben wird. Das ist ja seit vielen Jahren eine Warnung aus dem CCC bezüglich Lawful Intercept Schnittstellen, dass man da nicht ausschließen kann, dass sich jemand unbefugtes Zugang verschafft.Jedenfalls ist es beeindruckend, dass die da nicht "too big to fail" gesagt und sich rauszuwieseln versucht haben. Innerhalb von 5 Tagen nach Herauskommen des Problems ist die CA futsch. Keine schlechte Zeit!
Da kann sich RSA mal eine Scheibe von Abschneiden.
Hier ist mein Gedankengang dabei.
Daniel hat ja angesagt, dass er die Daten nur zurückgeben will, wenn Julian eine ordentliche Sicherheit nachweisen kann. Damit hat er öffentlich angesagt, dass er für die Sicherheit der Whistleblower verantwortlich ist. Damit hat er aber meines Erachtens auch die Möglichkeit zersägt, zu einer Einigung zu kommen. Denn nehmen wir mal an, Julian kommt jetzt und hat irgendwas gebaut. Daniel hat ja die Verantwortung übernommen für die Submitter. Er kann das also nicht übergeben, außer er ist sich sicher, dass Julians Installation sicher ist. Wie will er das prüfen? Kann er das überhaupt prüfen? Warum würde er das prüfen wollen? Das ist immerhin die Konkurrenz, und er muss ja eigentlich seine Zeit lieber für die Prüfung seiner eigenen Plattform investieren, nicht für Julians.
Letztlich hat Daniel nur zu verlieren, wenn er sich darauf einlässt. Daher glaube ich nicht, dass das passieren wird.
Für die Bevölkerung und Whistleblower an sich wäre das natürlich perfekt, wenn sich Julian und Daniel einen Bug-beim-Konkurrenten-Finden-Wettrennen liefern, denn am Ende werden dadurch beide Plattformen sicherer. :-)
Der Punkt ist jedenfalls: Daniel kann die Daten gar nicht zurückgeben. Weil er damit bestätigen würde, dass Julians Plattform sicher ist. Und was, wenn dann doch was verloren geht von den Daten? Dann ist Daniel in der Haftung, zumindest PR-technisch. Wenn Julian wirklich so böse ist, wie Daniel es zu glauben scheint, dann müsste Daniel ja sogar damit rechnen, dass Julian die Daten absichtlich "verliert", um dann Daniel schlecht aussehen zu lassen.
Kurz gesagt: Daniel hat sich mit der Äußerung in eine Ecke manövriert, aus der es kein Entkommen gibt.
Die jetzt diskutierte Variante mit dem Löschen ist der einzige Kompromiss, den es für Daniel überhaupt noch geben kann. Daher wundert mich nicht, dass das jetzt diskutiert wird. Ich hatte das auf dem Camp auch mal angesprochen in kleinem Kreis, aber Daniels Team war schneller, die haben das schon diskutiert, bevor mein Vorschlag bei ihnen ankam.
Löschen ist schon mal gut, weil Daniel damit sich und sein Projekt vor zukünftigem Schaden freistellt. Die Existenz dieser Daten ist ein Damoklesschwert. Ich kann sowieso nicht verstehen, wie er mit so einer Tretmine in seiner Nähe überhaupt so lange leben konnte. Wenn man bedenkt, wie handgreiflich die Amerikaner mit Bradley Manning umgegangen sind, und dass in diesen Leaks womöglich weitere Daten ähnlicher oder sogar höherer Brisatz sein könnten, dann wäre mein Instinkt an seiner Stelle gewesen, das sofort loszuwerden bzw. gar nicht erst mitzunehmen.
Aber das Problem löst das Löschen nicht. Denn das ist auf seine Art ja auch ein Verrat an den Whistleblowern. Die haben teilweise ihr Leben riskiert, um die brisanten Daten an Wikileaks weiterzureichen. Und bei dem Vertrauen, das Wikileaks genossen hat, und der möglichen Brisanz der Daten, da kann ich es mir gut vorstellen, dass Whistleblower die Daten bei sich entsorgt haben nach dem Abschicken an Wikileaks. Wenn ich Whistleblower wäre, würde ich das zumindest so machen. Man will ja keine Beweise hinterlassen, die einen als Whistleblower inkriminieren! Die Daten wären dann jetzt allerdings vernichtet, wenn Daniel die wirklich löscht. Damit wäre zwar das Zickenkrieg-Problem entschärft, aber die Whistleblower hätten umsonst ihr Leben riskiert.
Und das andere Problem ist natürlich, dass wir ja hier eine Vertrauenskrise haben. Wenn jemand Daniel bisher nicht geglaubt hat, dann wird er Daniel auch jetzt nicht glauben, dass er nicht vor dem Löschen noch schnell ein Backup gezogen hat.
Daher betrachte ich das Löschen eher als Geste als als Lösung. Aber immerhin ist es überhaupt mal eine Geste. Die anderen Aspekte dieses Grabenkrieges erinnern ja eher an die Schützengräben von Verdun als an eine Verhandlung, bei der man sich noch irgendwie gütlich einigen kann.
Meine Befürchtung ist, dass es keine Lösung für das Problem gibt. Außer Daniel und Julian vertragen sich wieder, aber die Chancen dafür sind wohl eher gering.
Seufz.
Eine andere Alternative, die man noch diskutieren könnte, wäre dass Daniel die Daten an eine vertrauenswürdige 3. Partei abgibt, die dann die Metadaten bereinigt und die Daten an Julian weitergibt. Das halte ich aber auch für nicht gangbar. Erstens: wer übernimmt die Verantwortung? Daniel wäre PR-technisch immer noch in der Haftung.
Zweitens: welche 3. Partei soll das denn bitte sein? Der CCC ist ja wohl eher ausgeschieden jetzt.
Und Drittens: wieso sollte Julian sich darauf einlassen? Der kann doch gerade eh nichts veröffentlichen aus seinem Hausarrest heraus, und ist spieletheoretisch in der perfekten Situation, dass er immer anklagend auf "den Saboteur Daniel" zeigen kann. Der hat nur zu verlieren, wenn er darauf eingeht. Oh und im Übrigen, wenn er die Daten kriegt, und dann wieder Leaks zu veröffentlichen anfängt, dann hat er bestätigt, dass er keinen eigenen Submission-Prozess hinkriegt, und auf Daniels Zuarbeit angewiesen ist, um überhaupt Inhalte anbieten zu können. Warum sollte er das machen?
Update: Es ist natürlich nicht hilfreich für das Narrativ, wenn Daniel sich seine Anforderungen an Quellenschutz bei Julian dann mit Äußerungen wie dieser torpediert:
Auf Nachfrage bestätigt Domscheit-Berg, die entsprechende Formulierung im Freitag-Interview sei unpräzise und ihm bei der Autorisierung „durchgerutscht“. In der Tat hätten einige der Aktivisten theoretisch Zugriff auf die Daten, allerdings werde Openleaks die Daten nicht nutzen.
Update: Vielleicht interpretiere ich das auch falsch gerade und die wollen wirklich gar nicht die Daten löschen sondern nur die Schlüssel. Das hielt ich bisher für eine Fehlberichterstattung der Medien, weil die den Unterschied nicht verstehen. Das Löschen des Schlüssels könnte man als Ausdruck der Zusage nehmen, dass Openleaks die Daten gar nicht verwerten will. Das glaubt m.E. eh niemand. Dann wäre die ganze Aktion eine völlige Nullnummer, denn der Einzige, dem man das beweisen müsste, Julian, glaubt das sicher nicht. Da könnten ja noch "Backups" von dem Schlüssel bei Daniel im Wohnzimmer rumliegen oder so.
SYMANTEC wird das jetzt ABSICHERN! HAHAHAHAHAHAHA
Mr Speaker, everyone watching these horrific actions will be stuck by how they were organised via social media.Free flow of information can be used for good. But it can also be used for ill.
And when people are using social media for violence we need to stop them.
So we are working with the Police, the intelligence services and industry to look at whether it would be right to stop people communicating via these websites and services when we know they are plotting violence, disorder and criminality.
I have also asked the police if they need any other new powers.
Was da wohl rausgekommen ist? Wenn man die Polizei fragt, ob sie mehr Ermächtigungen braucht?Ich halte Jeff Jarvis ja für einen Clown, aber er stellt die richtige Frage:
If the UK government restricts social networking in answer to the riots, what separates it from the Arab tyrannies and China?
Stellt sich raus: Firefox hat Recht. Nicht alles ist verschlüsselt.
Ratet mal, was nicht verschlüsselt war.
Kommt ihr NIE drauf!
Der OCSP-POST-Request zu cacert.org.
Update: Weil hier verzweifelte Nachfragen kommen: Wenn man SSL macht, wird die Verbindung verschlüsselt und signiert. Die Signatur ist mit einem Schlüssel gemacht, von dem man nicht weiß, ob der nicht in der Zwischenzeit zurückgerufen wurde (Reallebenäquivalent wäre der Bankautomat, der prüfen will, ob die Karte gestohlen gemeldet wurde). Für diese Prüfung gibt es ein Protokoll namens OCSP. Der Schlüssel, der die Webdaten unterschrieben hat, ist selbst unterschrieben, von einer sogenannten CA. In meinem Fall ist das cacert.org. Per OCSP geht jetzt der Browser beim Besuch meiner Webseite zu cacert.org und fragt die, ob mein Zertifikat eigentlich noch gültig ist. Und diese Verbindung ist unverschlüsselt, darüber hat sich mein Firefox geärgert.
Nun klingt das alles wie "na das muss man doch aber auch absichern!!1!", und das stimmt auch, aber OCSP überträgt über den unsicheren Kanal auch signierte Daten. Und sieht auch eine Möglichkeit vor, um Replay-Angriffe (also das Abspielen einer früher aufgezeichneten "ist OK" Antwort) zu verhindern. In der Praxis ist das alles eine furchtbare Baustelle, weil SSL halt insgesamt an diversen Stellen krankt. Sonderlich zielführend ist diese Warnung jedenfalls nicht, als erstes Mal schon weil er mir bei der Warnung nicht gesagt hat, welcher Teil da jetzt unverschlüsselt übertragen wurde.
Und jetzt? Jetzt heulen die Verleger herum, dass ihre Artikel nicht mehr bei Google zu finden sind.
The paper La Capitale said on its web site Friday that Google had begun "boycotting" it.
Google hat die nämlich nicht nur bei Google News rausgenommen sondern auch aus dem allgemeinen Suchindex. Sie sagen, das habe so im Gerichtsurteil dringestanden.Google spokesman William Echikson said the court decision applied to web search as well as Google News and the company faced fines of 25,000 euros ($35,359 per infringement if it allowed the newspapers' websites to keep appearing.
Da muss ich doch gleich mal meine strategischen Popcornreserven wieder auffüllen. (Danke, Tino)
Barnett geht davon aus, dass Websites mitsamt ihren Betreibern unter die US-Rechtsprechung fallen, weil sie "das DNS-System in den USA benutzen", also eine .com oder .org-TLD führen. Das sei die einzige Verbindung, die notwendig ist. Und man gehe auch weiterhin gegen Website vor, die nur Linklisten anbieten.Da weiß man, was man hat. Ist ja auch irgendwie klar, die Amis exportieren ja nichts mehr außer Copyright-Strafverfolgung, Kriegen und Wirtschaftskrisen. Da muss man dann auch hinterher sein.
Aber ich KONNTE sie nicht mit der RegKoalition abstimmen, weil die Einzelpositionen so von mir nicht getragen werden konnten --> schließlich bin ich für die gegenteiligen Positionen auf die Straße gegangen - und habe Proteste dagegen initiiert.Ich finde das kein tragfähiges Argument, dass er das nicht mit der Regierungskoalition abstimmen konnte, denn er ist da seinem Gewissen verpflichtet, nicht der Regierungskoalition. Die Widersprüche, die er da anspricht, mag es wohl geben, aber das ändert nichts daran, wie es jetzt aussieht.
Und so sieht es aus: padeluun (und die anderen Teilnehmer der Enquete) kriegen dafür Geld, dass sie da hingehen. Padeluun hat sich Visitenkarten drucken lassen für seine Position dort. Jetzt hatte er die Chance, den Geldfluss zu verlängern, was für einen chronisch klammen Aktivisten sicher ein verlockendes Angebot ist. Entweder für die gute Sache stimmen oder für einen sicheren Geldfluss. Und er hat für den Geldfluss in Form einer Verlängerung gestimmt. So sieht das leider aus.
Ich will gar nicht mal behaupten, dass das auch so geschehen ist, oder gar padeluuns Darstellung bestreiten. Aber es sieht einfach mal nicht gut aus, und das Ergebnis ist, dass die Enquete sich jetzt nicht für die gesetzliche Festschreibung von Netzneutralität ausgesprochen hat, obwohl die Mehrheit dagewesen wäre, wenn padeluun dafür gestimmt hätte.
Tut mir leid, wenn ich jetzt hier unsolidarisch wirke, wie mir auch vereinzelt vorgeworfen wurde, aber so leicht kommt padeluun da nicht raus.
Das Hauptproblem für mich ist, dass diese Strategie so offensichtlich aussieht. Im politischen Geschäft hat man Analysten, die die Schwächen der Gegenseite herausfinden, damit man sie gegen sie verwenden kann. Und die erste offensichtliche Schwäche bei uns Aktivisten ist, dass wir im Gegensatz zu den gutbezahlten Abgeordneten potentiell bestechlich sind :-) Jedenfalls war das immer das Argument für die hohen Diäten *hust*
Und mit der Visitenkartennummer hat padeluun denen die zweite angreifbare Schwäche offenbart, nämlich dass ihm die Position am Herzen liegt, und man mit einer Verlängerung sein Ego streicheln kann.
Wenn ich also CDU-Analyst wäre, wäre das die offensichtliche Taktik gewesen, um padeluuns Stimme zu kaufen. So haben sie es gemacht und der Rest ist Geschichte.
Also, zusammenfassend gesagt: mag alles sein, padeluun, und tut mir auch ein bisschen leid, dass du da jetzt so die Arschkarte gezogen hast, aber da musst du jetzt durch. Ich bleibe bei meiner Darstellung.
Übrigens, um das mal ganz klar zu machen: ich unterstelle ihm da keine Bösartigkeit oder Sabotageabsichten. Die haben ihm halt eine Falle gestellt und er ist reingelaufen. Da kann man jetzt über die Motivation oder Gründe spekulieren, aber am Ende des Tages bleiben die Fakten, dass die Enquete-Kommission sich mit seiner Stimme für die gesetzliche Festschreibung der Netzneutralität ausgesprochen hätte, und er andersherum abgestimmt hat.
Update: Ich werfe padeluun keine Bestechlichkeit vor. Ich sage, dass es so aussieht. Das ist in der Politik allerdings praktisch genau so schlimm. Padeluun ist mein Freund und ich will ihm nichts Böses. Das soll kein Bashing sein hier, sondern es soll uns helfen, solche Scheißsituationen in Zukunft zu verhindern. Jetzt ist das Kind eh in den Brunnen gefallen.
Und mit Mauer ist gemeint, dass die da das volle Programm installieren, von Bodenradar bis Infrarotkameras. (Danke, Frank)
Update: angbelich können die Linken nicht mal sagen, wer alles das Passwort für ihr Webseiten-CMS hatte m(
Update: Hier kann man das Flugblatt in Gänze einsehen.
Update: Das war doch nicht in Gänze, hier ist noch ein Link, der mir per Mail zuging. (Danke, Thomas)
Sony! :-)
Aktuell: Das Weiße Haus sagt an, dass sie keinerlei weitere Details zum Bin Laden-Einsatz veröffentlichen wollen. Gleichzeitig wird klar, dass ihre initialen Ansagen zum Großteil falsch waren. Sie hatten ja gesagt, er sei in einem "Firefight" (Schusswaffengefecht) umgekommen, und dass er seine Frau (bzw. eine seiner Frauen, er hatte wohl mehrere) als menschlichen Schutzschild verwendet haben soll, und auch die Ansage, dass das Haus eine Million wert sei ist falsch, eher 1/4 bis 1/2 davon. Und dann kommt noch dazu, dass es keine Videoaufnahmen von dem Einsatz gibt (Vorsicht: Link geht zum Telegraph).
Leon Panetta, director of the CIA, revealed there was a 25 minute blackout during which the live feed from cameras mounted on the helmets of the US special forces was cut off.
Das und dann diese hastige Seebestattung… das sieht alles aus, als wäre es mit dem expliziten Ziel verkackt worden, da eine unseriöse Verschwörungstheoretikerszene zu etablieren, damit die Leute dann gebunden sind, und sich nicht um die wichtigen Dinge kümmern (wie z.B. dass Guantanamo immer noch offen ist und dass wir immer noch in Afghanistan Krieg führen, obwohl doch jetzt der Grund dafür tot ist, und natürlich dass die Banker immer noch auf freiem Fuß sind).
Update: Ich habe das absichtlich neutral formuliert, denn die Lage ist komplex und jetzt kommen hier wütende Mails an, dass der Oppositionsführer ja nur eine Marionette des Westens sei, um das Land auszubluten, und die Wahlen seien ja auch manipuliert gewesen. Klickt euch da mal selber durchs Internet und bildet euch eine Meinung.
Beispiel einer Gliederung einer Präsentation:[…]
- Einleitung
- Statement der persönlichen Betroffenheit
- Statement zum Engagement und zur Absicht der informierenden Behörde
Wie das hr-Magazin "defacto" am Sonntagabend berichtet, wurden am Fachbereich Medizin der Justus-Liebig Universität Gießen zahlreiche für die Doktorarbeiten notwendigen Patientenversuche ohne Genehmigung der Ethik-Kommission durchgeführt.Naja, werdet ihr euch jetzt vielleicht sagen, dann hat er halt nicht die Ethik-Kommission gefragt, solange die Patienten einverstanden waren, who cares. Nun, die Patienten haben sie natürlich auch nicht gefragt.
Klinische Versuche an Menschen ohne Genehmigung hätten in Gießen Tradition, erklärte ein ehemaliger Narkosearzt der Uniklinik Gießen gegenüber "defacto". "Man konnte an Kassenpatienten eigentlich alles machen, um Versuchen durchzuführen und um an akademische Titel heranzukommen. Die Patienten waren alle in Narkose oder ohnmächtig."Ein Kracher jagd den nächsten. Sie zitieren da die Uni Giessen mit der Aussage, dass "seit 2000 vorbildliche Standards für Doktorarbeiten entwickelt worden seien". Lolwut? Standards entwickelt? Und hält sich da auch jemand dran? Und was ist mit den Doktorarbeiten von davor? Sind die alle wertlos? (Danke, Achim)
Update: Weiß nicht, wo ich das mit dem einen Brennstab herhatte, aber hier liest sich das doch deutlich übler. Die haben zum ersten Mal in der Geschichte des Landes nuklearen Notstand ausgerufen.
Man arbeite daran, den Druck im Reaktor wieder zu senken. Nach Angaben der japanischen Zeitung "Asahi" erwägt die Firma konkret, Dampf aus dem Reaktor abzulassen. Wenn diese Strategie umgesetzt wird, dann dürfte Radioaktivität nach draußen entweichen.
Das ist ja erstmal nicht so erfreulich, macht mir aber nicht so viel Sorgen wie das hier:
Nach Angaben eines Mitarbeiters ist die Wasserzufuhr zum Reaktor unterbrochen.
und weiter unten
Die Betreibergesellschaft Tokyo Electric Power Company gibt auf ihrer Website an, dass bei drei der sechs Reaktoren alle Notstrom-Generatoren ausgefallen seien.
Das darf natürlich gar nicht passieren. Oh weih.
Update: Wer sich wie ich fragt, wie sich so ein Erdbeben anfühlt, dem hilft Youtube. Auch sehr beeindruckend: das Erdbeben hat anscheinend Cthulhu geweckt :-)
Update: Sie lassen jetzt den radioaktiven Dampf raus. Das tun die sicher nicht freiwillig, da muss sich echt Druck angesammelt haben.
Update: beeindruckende Bilderserie von dem Tsunami
Update: Und noch ein sehr beeindruckendes Video: wie die Wolkenkratzer in der Tokioter Innenstadt das Erdbeben überstehen.
Update: Ein krasses Video hab ich noch: das japanische Fernsehen zum Tsunami und hier sieht man eine Tsunamiwelle durch ein Dorf rollen. Ich finde den Kontrast in der Berichterstattung beeindruckend. Bei uns und in den USA würden sie in Dauerrotation verzweifelte Opfer beim Nervenzusammenbruch zeigen, lauter "WIR HABEN ALLES VERLOREN!!1!"
Und hier ist jetzt der Follow-Up, wo man folgende wunderbare Zitate aus der ATF zu lesen kriegt:
ATF's Chief Public Affairs officer sent an all-call internal memo to ATF Public Information Officers in an effort to "lessen the coverage of such stories in the news cycle by replacing them with good stories about ATF."
Schritt 1 ist also die Bullshit-PR-Kanone. Guckt mal, wir haben einen illegalen Einwanderer erwischt!1!!The memo asks ATF PIO's to "Please make every effort in the next two weeks to maximize coverage of ATF operations/enforcement actions/arrests at the local and regional level" in hopes it would drown out the "negative coverage by CBS News."
Und genau so müsst ihr das auch bei uns bewerten, wenn es plötzlich lauter Berichte über Polizeiaktionen in den Medien gibt. Und hey, es funktioniert!At the time, the memo noted "Fortunately, the CBS story has not sparked any follow up coverage by mainstream media and seems to have fizzled."
help keep longtime allies who are willing to reform in power, even if that means the full democratic demands of their newly emboldened citizens might have to wait.
Bezüglich "reform" verweise ich hierbei auf die Neusprech-Alternativlossendung. Hier geht es nicht um Verbesserung, sondern würde man konkrete Ziele nennen. Wenn jemand "Reform" sagt, dann heißt das, dass es eher schlechter wird. Im Englischen genau wie bei uns. Daher sprechen die Bertelsmänner und Politiker auch grundsätzlich nur von Reformen, nicht von konkreten Schritten oder Verbesserungen.Der Lacher ist, dass ihnen bei soviel Lügen ihr Neusprech die strukturelle Integrität verliert:
the U.S. is urging protesters from Bahrain to Morocco to work with existing rulers toward what some officials and diplomats are now calling "regime alteration."
"regime" ist im Englischen ein sehr negativ belegtes Wort, mehr noch als bei uns. Das ist nicht weit von Junta entfernt im Sprachgebrauch. Wir haben eine Regierung, aber das in Ägypten war ein Regime. Der Iran hat ein Regime. Da schwingt Illegitimität mit. "regime change" heißt ja absichtlich so, weil es sagen will, dass die alte Regierungsform eine Diktatur war, oder anderweitig autoritär, negativ belegt eben. "regime alteration" sagt daher implizit, dass das nur ein bisschen geändert wird, es bleibt aber ein "regime".Lustigerweise schreibt das Wall Street Journal, diese Änderung ginge auf Lobbyarbeit der Regimes der anderen arabischen Länder zurück. Das wäre ja mehr als peinlich, wenn sich Obama seine Außenpolitik gegenüber Diktaturen offen von den besagten Diktatoren diktieren ließe. Ist natürlich so, aber doch nicht offen!1!!
Aber natürlich ist es auch Ziel, mal die Klagewelle der Verwertungsindustrie abzuwenden, indem man mal einem Richter sachverständig erklärt, wie eigentlich so ein Tracker funktioniert. (NB: als Sachverständige, nicht als Beklagte) Ich will das hier mal stellvertretend versuchen, für das Verständnis unlauter abkürzend, aber nicht sinnentstellend.
Ein Tracker verteilt keine Dateien. Nehmen wir mal an, ihr wollt euch den Fnord-Jahresrückblick 2010 per Bittorrent runterladen. Das Torrent-File beinhaltet folgendes:
Ihr habt euch also die Torrent-Datei gezogen, und mit der geht euer Torrent-Client jetzt der Reihe nach zu den Trackern, die in der Datei drinstehen, und sagt denen: hallo, ich bin ein Torrent-Client, ich habe Interesse an dem Torrent mit diesem Hashwert hier (der, der in der Torrent-Datei drinsteht), und ich habe von den Nutzdaten schon folgende Blöcke hier.
Der Tracker hat jetzt eine Liste oder auch Datenbank von allen Hashes, nach denen er schon gefragt wurde, und trägt als erstes bei dem angefragten Hash die IP-Adresse des Anfragenden ein. Dann gibt er dem Client eine Teil-Liste von IPs zu dem Hash. Nicht alle IPS, sondern nur ein paar. Und man kann auch nicht einfach mehrfach fragen und kriegt dann alle oder auch nur andere IPs. Da muss man warten, bis der Tracker andere IPs rausrückt.
Mit diesen IPs geht der Client jetzt herum und fragt jeden davon, welche Blöcke er hat. Dann fängt er an, von den Clients hinter den IPs die Blöcke zu downloaden, die noch am wenigsten verbreitet sind.
Die beachtenswerten Punkte hierbei sind: der Tracker weiß gar nicht, was er da trackt. Alles, was er hat, ist ein Hashwert. Der sieht, wenn man ihn in Form einer Magnet-URL schreibt, so aus:
magnet:?xt=urn:btih:3CJATDQBXFUEQCXVXZHUUNALQK5GXCTQNehmen wir jetzt mal an, du bist ein Tracker. Und jemand kommt zu dir und fragt nach den IPs zu obigem Hash. Nicht nur bist du kein Raubkopierer, du kannst nicht mal wissen, ob es sich bei den Nutzdaten, die diesen Hash ergeben haben, um eine Raubkopie handelt oder nicht. Du kannst nicht mal wissen, ob es überhaupt Nutzdaten gibt, die diesen Hash ergeben, denn ein Troll kann natürlich einfach nach einer beliebigen Zahlenkombination fragen, zu der es am Ende gar keinen Torrent gibt.
Wenn die Content-Industrie sich also hinstellt, und dem Trackerbetreiber Beihilfe unterstellt, dann hat das von den Fakten her keinerlei Basis in der Realität. Es gibt nichts, was ein Trackerbetreiber tun könnte, um zu einem gegebenen Torrent herauszufinden, um was für Inhalte es sich handelt. Er könnte natürlich loslaufen und Suchmaschinen nach dem Hash befragen. Aber selbst dann hat er ja nur den Dateinamen und Hashes, d.h. er muss die Nutzdaten erst einmal selber runterladen, um prüfen zu können, ob es sich um eine Raubkopie handelt. Es ist also überhaupt nicht möglich für einen Trackerbetreiber, das Tracken von Raubkopien zu verhindern. Selbst wenn der Trackerbetreiber nur Hashes seiner eigenen Dateien zulässt, dann kann es theoretisch immer noch Raubkopien geben, die denselben Hashwert ergeben. Die Wahrscheinlichkeit ist zwar sehr gering, aber ausgeschlossen ist das nicht.
Nun könnte man sich vorstellen, dass die Verwertungsgesellschaften eine Liste von "verbotenen" Hashes publiziert. Und die geben sie dem Trackerbetreiber, und der blockiert die dann. Was passiert, wenn man sowas zulässt, sieht man gerade schön auf Youtube, wo regelmäßig Creative Commons-Musik runterfliegt, weil irgendeine Verwertungsgesellschaft einen "bedauerlichen Fehler" begangen hat.
Aus Sicht des CCC ist ein Tracker eine Art schwarzes Brett im Internet, auf dem IP-Nummern und Zahlenreihen draufstehen. Wir haben den Content gar nicht, um den es da geht, und daher kann man von uns nicht verlangen, dass wir da groß prüfen.
Der CCC findet, dass der Betrieb eines offenen Trackers legal ist, auch wenn Gerichte in der Vergangenheit gerne mal (in vermuteter Unkenntnis der Technik) anders entschieden haben.
Nun ist das natürlich nicht schön gelaufen, dass die Leute vom Piratebay den Tracker so schnell gefunden haben und auch noch in ihre Torrents eintragen. Dieser Tracker ist nämlich gerade nicht, wie vom ehemaligen Nachrichtenmagazin schlampig recherchiert, der "Nachfolgetracker von denis.stalker", der im Übrigen nicht mal ein Angebot des CCC war. Wenn das eine Kampagne sein soll, um unsere Argumentation in Ermangelung von Gegenargumenten per Assoziation mit der Piratenbucht zu schädigen, dann wird das scheitern.
Übrigens braucht man Tracker gar nicht mehr notwendigerweise. Es gibt inzwischen auch Verfahren, wie sich Clients ganz ohne Tracker gegenseitig finden können. Diese ganze sinnlose Fixierung auf die Tracker kommt daher, dass die Contentindustrie keinen besseren Ansatzpunkt gefunden hat, um ihr veraltetes Denkmodell von "es gibt da einen gewerbsmäßigen Hehler und lauter Konsumenten, die wir aber nicht abmahnen wollen, weil das ja unsere Kunden sind" auf Bittorrent anzuwenden, und wenn man keine Ahnung von der Materie hat, sieht so ein Tracker wie das am ehesten passende Ziel aus.
Update: Es gibt auch ein neues Blogposting dazu im Opentracker-Blog. Oh und ja, der Tracker ist absichtlich offen, da dürft ihr gerne eure Linux-ISO-Images drauf tracken, und eure Creative Commons-Musik.
Update: Wer sich für weitere Details zu Trackern interessiert, dem sei auch noch mal der 24c3-Vortrag dazu ans Herz gelegt. Den gibt es auch bei Piratebay :-)
The domain in question is mooo.com, which belongs to the DNS provider FreeDNS. It is the most popular shared domain at afraid.org and as a result of the authorities’ actions a massive 84,000 subdomains were wrongfully seized as well.
Der Prügel-Fefe mit seiner Gewalt-Website mal wieder!1!!
However, some internet users recognised the explosion from the dogfight in the final scene of the 1986 film Top Gun, starring Tom Cruise.The Wall Street Journal posted a side-by-side video comparison of the CCTV news report and the Top Gun scene on its website, showing the two were identical.
Oh wie peinlich *gröhl*Update: Russia Today hat Screenshots. (Danke, Marcus)
Note: In the case of classified documents inadvertently accessed or downloaded from the WikiLeaks website or other websites posting WikiLeaks-related classified documents, the IAM will document each occurrence and delete the affected file(s) by holding down the SHIFT key while pressing the DELETE key for Windows-based systems. No incident report or further sanitization of government IT systems is required. This guidance pertains only to the accessing or downloading of the classified documents described above because of the extent of the compromise and the prohibitive cost of standard sanitization procedures. All other classified spillages must be handled in accordance with existing regulations.
Wer hätte gedacht, dass die Shift-Taste gleichzeitig ein Sicherheitsinstrument und eine Methode zum Geldsparen sein würde? (via) (Danke, Detlef)
Deutschland ergeht sich in Euro-Pessimismus, Untergangspropheten warnen vor dem Zusammenbruch der gesamten EU. Ist die Lage wirklich so dramatisch? Keineswegs - unser Geld steht mindestens so gut da wie der Dollar: Der Wechselkurs ist stabil, die Inflation gering.Was für eine Volksverblödung! Der Dollar wird von den Amis absichtlich zu Lasten aller anderer Länder nach unten manipuliert, um die Exportfähigkeit der USA zu stärken. Und die EU reagiert, indem sie den Euro zu Lasten aller anderer Länder nach unten manipuliert, um die Exportfähigkeit der EU, vor allem Deutschlands, zu stärken. Und dann kommen diese Knalltüten vom Spiegel und stellen erst die abwegige Frage, ob es dem Euro noch gut geht, und antworten mit "unser Geld steht mindestens so gut da wie der Dollar". Was für eine Farce!
The dispatches, obtained by website WikiLeaks, reveal that US diplomats in Delhi were briefed in 2005 by the International Committee of the Red Cross (ICRC) about the use of electrocution, beatings and sexual humiliation against hundreds of detainees.
"Visa Europe has begun suspending payments to whistle-blowing website Wikileaks ahead of carrying out an investigation into the organisation". Und deshalb will man keine Visa-Kreditkarte haben.
Wie man sieht, will man gar keine Kreditkarte haben. Was für eine Frechheit. Wi-der-lich.
Oh, der Guardian hat einen perfekten Kommentar dazu:
Charles Arthur, the Guardian's technology editor, points out that while MasterCard and Visa have cut WikiLeaks off you can still use those cards to donate to overtly racist organisations such as the Knights Party, which is supported by the Ku Klux Klan.The Ku Klux Klan website directs users to a site called Christian Concepts. It takes Visa and MasterCard donations for users willing to state that they are "white and not of racially mixed descent. I am not married to a non-white. I do not date non-whites nor do I have non-white dependents. I believe in the ideals of western Christian civilisation and profess my belief in Jesus Christ as the son of God."
Denn Wikileaks ist dort auf einer "schwarzen Listen".
Wo wir gerade bei schwarzen Listen waren: Herzlich Willkommen, Australien, auf meiner schwarzen Liste.
Update: DIE Drohung war zu viel für Australien, sie haben das rückgängig gemacht, Wikileaks ist nicht mehr verboten. :-)
Britain, not part of the eurozone, “stands ready to support Ireland” in whatever the debt-stricken country needs to do to stabilize its troubled banking system, Finance Minister George Osborne said.
Äh, srsly? Diese Bailout-Scheiße verselbständigt sich gerade. Seit die Regierungen gemerkt haben, dass sie mit Gelddrucken ihre Güter im Weltmarkt billiger machen können, suchen die alle nur noch nach Ausreden, um ihre Gelddruckereien anzuwerfen. Die Briten sind selber Schuldenkönig, aber sie sind halt nicht Teil der Eurozone. Man sollte denken, das Pfund ist schon wertlos genug, aber offensichtlich meinen die, dass da noch was geht.Aber das Ausmaß der Katastrophe in Irland ist schon auch beeindruckend:
Ireland has taken over three banks and is expected to take over more in a bailout that has already reached euro45 billion ($61 billion) and likely will push the nation's 2010 deficit to a staggering 32 percent of GDP.
Das ist auf jeden Fall eine beeindruckende Statistik. Wir reden hier immerhin von einem Jahresdefizit, nicht von den Gesamtschulden. Um da mal eine Hausnummer zu nennen: das Defizit Deutschlands liegt so bei ca 4% des Bruttoinlandsprodukts (GDP == Gross Domestic Product, das englische Wort dafür). Der EU-Stabilitätspakt sagt, man soll 3% nicht überschreiten. Nicht nur aus dem Blickwinkel sind 32% echt sportlich. Das liegt natürlich vor allem daran, dass in Irland nicht so viel erwirtschaftet wird. Unser BIP ist mehr als zehnmal so groß wie deren. Und die Iren haben ihre Steuern ja absichtlich so gedreht, dass das Land Banken und Geldtransaktionen anzieht. Da ist also ein höherer Hebel dahinter, wenn da mal eine Bank platzt.
Scotland Yard has forced the closure of an anti-police blog which was being used to disseminate advice to protesters pictured at the student fees demonstration.The website Fitwatch was suspended after the its hosting company received contact from C011, the Metropolitan's public order branch, stating that the blog was "being used to undertake criminal activities".
Rechtsstaat, my ass.
I went to check the website using my default browser (Firefox 4 Beta 6) and noticed it was at 3.5%.[…]
I tried to use their little payment calculator but the flash based widget wouldn't work properly in the Firefox Beta so I loaded up Safari to try and funny enough the rate offered was 2.7%.
I checked in Chrome and Opera to see if it was maybe just something wrong with the Firefox beta and Chrome's rate was 2.3% while Opera's was 3.1%.
Ich hätte jetzt gedacht, dass Safari-User die höchsten Raten zahlen müssen, die haben ja schon im Vorfeld ihre Unzurechnungsfähigkeit bewiesen :-)
Der Ausweis, der laut de Maizière "keinen Zugewinn für die innere Sicherheit" bietet, sei sehr sicherÖh… ach, nicht? Warum machen wir das dann?
"Er ist keineswegs bisher elektronisch erfolgreich angegriffen worden, das hat der Chaos Computer Club mir selbst gegenüber gesagt."Ich habe da gerade niemanden gefunden, der das gesagt zu haben zugibt, aber hey, die Aussage ist ja auch total sinnlos. Das ist wie wenn man für ein Auto Werbung macht, es sei elektronisch sicher, wenn das Türschloss mit einer Haarnadel geöffnet werden kann.
Aber es geht noch weiter mit den Krachern.
Vom Start weg wird der neue Ausweis von Online-Angeboten begleitet. Eine künftige Anwendung bei den VZ-Netzwerken nannte de Maiziére an erster StelleHAHAHAHA, aus-ge-rech-net vznet haben sie da als Referenzkunde? Damit wir denen mal ihre Datenbanken aufwerten, indem wir den inhalt mit dem Personalausweis bestätigen?!
Dann das hier:
Vielfältige Angebote sollen die Pionierstädte Hagen und Münster bereithalten, dazu sind mit HUK24, LVM und CosmosDirekt gleich drei Versicherungen am Start. "Ab März 2011 können Bürger ihre Steuererklärung mit ELSTER und dem neuen Ausweis online abgeben", erklärte de Maiziére, der auch darauf verwies, dass 300 Unternehmen mit 600 Dienstleistungen ihre Absicht bekundet haben, den elektronischen Personalausweis zu nutzen.300 Unternehmen mit 600 Dienstleistungen! Oh und ELSTER, als ob man da nicht auch bisher online seine Steuererklärung abgeben könnte, ohne neuen Personalausweis.
Für den Bürger bedeute der Ausweis, dass er keine besonderen Sorgfaltspflichten beachten, sondern die übliche Sorgfalt wie beim Umgang mit einer Bankkarte einhalten müsse, verdeutlichte der Bundesinnenminister.Oh, keine besonderen Sorgfaltspflichten. Na das ist ja genau die Botschaft, die man an der Stelle verschicken will. Und dann kommen noch die üblichen Beweislastumkehrmaßnahmen wie der Snakeoil-Hinweis auf Firewall und Virenschutz. Ganz toll, Herr Innenminister.
Oh und was ist gemeint mit "keine besonderen Sorgfaltspflichten"? Das steht am Ende:
Er wies darauf hin, dass der Bürger die Sorgfaltspflicht wie bei einer Bankkarte auch abseits des Online-Verkehrs beachten müsse. Dazu gehört, dass der Ausweis in deutschen Hotels oder Fitness-Studios beziehungsweise bei Besuchen in Firmen nicht deponiert werden darf und dass es wie beim alten Ausweis ein Fotokopierverbot für den Ausweis gibt, das nur in besonders genehmigten Ausnahmefällen wie bei einer Kontoeröffnung aufgehoben ist.Völlig klar, da kann man überhaupt nicht von zusätzlichen Sorgfaltspflichten sprechen, wenn man seinen Perso mit unter die Dusche und ins Schwimmbad nehmen muss, weil man ihn aus Sicherheitsgründen nicht aus der Hand geben darf. Bzw geht das ja auch nicht. davon geht der bestimmt kaputt. Tolle Wurst, Herr De Maiziere!
Update: Ah, das "deponieren" habe ich wohl falsch verstanden. Damit ist gemeint, dass man nicht gezwungen werden darf, den als Pfand zu hinterlegen. In der Umkleide einschließen ist wohl schon OK.
Das Vorgehen der Polizisten sei aber vom "grundsätzlichen Ablauf" her korrekt gewesen. Sie hätten zunächst für ihre eigene Sicherheit am Tatort sorgen müssen.Denn wenn man jemanden krankenhausreif geprügelt hat, dann kann der nicht mehr angreifen!1!! Das war sozusagen Bush-Logik! Nach dem präventiven Angriff konnte auch Saddam seine Atomwaffen nicht mehr ausspielen!
Die Polizisten haben den Mann nach Ansicht der Staatsanwaltschaft so heftig verprügelt, dass er Nieren-, Becken- und Schädel-Prellungen erlitt. Außerdem wurden ihm drei Knochenfortsätze der Lendenwirbel gebrochen.Natürlich hat der Mann während seiner Verprügelung mit den Beamten geredet und ihnen erzählt, dass er der Zeuge war, der sie gerufen hatte, aber wenn sich gerade schön warmgeprügelt hat, dann kann man doch auf sowas keine Rücksicht nehmen.
Dennoch hätten ihn die Polizisten mit dem Schlagstock attackiert und seien mit den Knien auf sein Becken gesprungen. Als er nicht mehr aufstehen konnte und um einen Krankenwagen bat, hätten die Beamten erklärt, wenn er einen brauche, solle er sich doch selbst einen rufen.Gut, dass die Feuerwehr Notrufe nicht genau so handhabt wie die Polizei. Man stelle sich das mal vor, das Haus brennt, man ruft die Feuerwehr, und die machen erstmal ein Lagerfeuerchen.
It has come to my attention that your website […] has potential to threaten my Alexa page ranking. As a consequence, this may cause our website to lose vital income which is generated from ad-space and it will not be tolerated.
BWAHAHAHAHAHAHA, kann man sich gar nicht ausdenken, sowas! Und dann droht er mit Klage und dass er pro Tag 52 Cent weniger über seine Werbung einnimmt und das erstattet haben will. Insgesamt liest sich das eher wie eine Kunstaktion als wie eine ernst gemeinte Abmahnung, aber hey, auf jeden Fall ein humoristischer Höhepunkt.
It comes despite the Coalition Agreement promised to "end the storage of internet and email records without good reason".
Man achte auf das "without good reason" Wieselwort-Bingo. Und was tun sie jetzt?Every email, phone call and website visit is to be recorded and stored after the Coalition Government revived controversial Big Brother snooping plans.
Vorratsdatenspeicherung! Kommt das jemandem bekannt vor? Man soll ja die FDP nicht ständig bashen, die sind doch eh schon so gut wie unter 5%, aber hey, deja vu?Vorsicht: Quelle ist der Telegraph.
Since then, the 86-year-old monarch has crimped the power of conservative Muslim clerics more than any of his five predecessors since the foundation of the kingdom in 1932. He prohibited unauthorized religious edicts, or fatwas, and shut some of the websites where they’re issued. In the past month, he backed supermarkets employing females for the first time.
Sollte auch dort mal langsam die Moderne ausbrechen?
"Where is that ugly thing?", fragte der Minister dabeiDaneben eine Merkel mit Gollum-Gesichtsausdruck, oder von mir aus auch irgendein anderer unser ganzen gutaussehenden Poliker ("Politik macht schön").
Ich bin da nicht so drinnen, aber der Absatz in dem Update kommt mir im Moment nicht glaubwürdig vor. Mein Stand ist, dass die "Ende-zu-Ende"-Verschlüsselung eben nicht von Ende zu Ende ist, sondern von (per Trojaner fernsteuerbarem) "Bürgerclient", äh, der "Ausweis-App", und dem Webseiten-Anbieter. Angesichts dessen erscheint mir diese Aussage gerade nicht nachvollziehbar:
Auch muss bei Verwendung des Basislesers kein zusätzliches Sicherheitsprotokoll wie U-Prove verwendet werden, um eine Absicherung der übertragenen personenbezogenen Daten zu erreichen, da der neue Personalausweis grundsätzlich eine Ende-zu-Ende Sitzungsverschlüsselung und Integritätssicherung erzwingt.Bei einem einfachen Kartenleser gibt es kurz gesagt keine Möglichkeit, wie der Ausweis irgendwas erzwingen kann. Selbst wenn man den die Daten kryptographisch signieren lässt, dann kann der Trojaner ja immer noch die zu signierenden Daten ändern, bevor sie den Ausweis erreichen. Wenig erbaulich ist auch das Name Dropping, mit dem sie da zu punkten versuchen:
Derzeit kommen 256-Bit Schlüssel für Elliptische Kurven und AES-128 zum Einsatz.Denn für Integritätssicherung verwendet man eine Hashfunktion. Elliptische Kurven sind ein Public-Key-Verfahren und AES-128 ist ein symmetrischer Blockcipher. Ich vermute daher, dass es sich hier um eine PR-Nebelkerze handelt. Wer sich selbst ein Bild über die Technik machen will, der findet bei den Aufzeichungen vom 26C3 das nötige Bildungsmaterial.
Update: In dem Video erklärt Henryk, dass es tatsächlich ein Protokoll von Dienstanbieter PC/Lesegerät bis Karte gibt, das heißt PACE, aber dafür braucht man ein PACE-fähiges Lesegerät, und die gibt es noch nicht. Bzw. gab es sie noch nicht, als Henryk den Vortrag hielt, zum Jahreswechsel. Er meint, sowas kostet dann so 200 € und er rechnet daher nicht damit, dass das irgendjemand einsetzen wird.
Update: So, Henryk erklärt mir das gerade. PACE ist zwischen Karte und Leser (wenn man einen PACE-fähigen Leser hat), ansonsten zwischen Karte und PC. Nach PACE kommt noch eine Terminal Authentication, bei der sich der Web-Dienst gegenüber der Karte authentisiert, und eine Chip Authentication, bei der sich der Personalausweis gegenüber der Gegenstelle authentisiert, und wenn das durch ist, gibt es in der Tat einen Ende-zu-Ende-Kanal vom Perso bis zum Webanbieter. Da hat das BSI also Recht und ich ziehe mein Gemecker zurück. Hätte ich mich mal vorher informieren sollen :-)
Übrigens, Hashfunktionen sind SHA-1, SHA-224 und SHA-256, je nach Protokoll-Einsatzort.
Erst in einem zweiten Schritt wird ein Vertrag geschlossen oder eine Transaktion autorisiert. Ein Vertrag kommt grundsätzlich durch zwei Willenserklärungen zustande: Angebot (durch den Dienstanbieter) und Annahme (durch den Kunden). In vielen Fällen ist die Schriftform für diese Erklärungen nicht notwendig, d.h. sobald sich beide Seiten handelseinig sind, kommt auch ohne Unterschrift ein Vertrag zustande (konkludentes Handeln).Da haben sie völlig Recht. Die digitale Signatur ist weitgehend überflüssig. Die hoheitliche Biometrie bringt auch keinen Sicherheitsgewinn. Und eID ist von Trojanern angreifbar.
Wenn wir uns da alle einig sind, können wir dann nicht einfach den ganzen Blödsinn zurückdrehen, und weiterhin Persos ohne Chip machen?
Ich erinnere ja bei solchen Gelegenheiten immer gerne daran, dass Fingerabdrücke in Ausweisen eine Erfindung der Nazis sind und wir das nach dem 2. Weltkrieg absichtlich abgeschafft haben, weil es Zeichen eines unmenschlichen Unterdrückungsstaates ist.
Through a network of 30 subsidiaries and shell corporations, Blackwater-linked entities provided "intelligence, training and security services" to a cache of major multinational firms, including: Monsanto, Chevron, the Walt Disney Company, Royal Caribbean Cruise Lines, Deutsche Bank and Barclays, according to documents Scahill obtained.
A member of Iceland's parliament and prominent organiser for whistle-blowing website WikiLeaks has turned on the site's founder, Julian Assange, demanding that he step down over rape allegations made against him in Sweden.
Sie sagt, sie sei nicht wütend auf Julian, aber das habe alles nichts mit Wikileaks zu tun und er solle sich mal in Ruhe darum kümmern und jemand anderen machen lassen.
Das war Absicht.
Damit die kinderlosen Deutschen nicht aussterben und mehr Kinder kriegen.
Nun sagen wir mal, jemand hat vier Kinder, und kriegt pro Monat 773 Euro Kindergeld. Das sind pro Tag 25 Euro. Und davon soll man Essen, Miete (die Differenz wegen größerer Wohnung), Kleidung und Schulsachen zahlen. Ich weiß nicht, wie es euch geht, aber meine Fantasie reicht nicht, um da auf einen Profit zu kommen.
Sun didn't file many patents initially. But then we got sued by IBM for violating the "RISC patent" - a patent that essentially said "if you make something simpler, it'll go faster". Seemed like a blindingly obvious notion that shouldn't have been patentable, but we got sued, and lost.
Das hätte Sun fast getötet. Also hat Sun sich hingesetzt und jeden Bullshit patentiert, der ihnen vor die Flinte kam. Denn so funktioniert das System. Jeder sammelt so viele Trivialpatente, wie er finden kann, damit er sich wehren kann, wenn IBM vorbeikommt. IBM ist der größte Patenttroll auf dem Planeten. Die haben das von einer Kunstform zu einem Geschäftsmodell entwickelt. Die ganzen modernen Patenttrolle sind bloß müde Abklatsche dessen, was IBM tut. Hier ist ein schöner Forbes-Artikel zu IBM und Sun und Patenten.Sun lief nicht nur los und patentierte Dinge, sie machten einen inoffiziellen Wettbewerb, wer mit dem beklopptesten Patentantrag durchkommt. Das ist die Quelle der Sun-Softwarepatente, die Oracle jetzt als Basis für ihre Schutzgeldforderungen gegen Google benutzt.
Und auf einen Satz will ich mal hinweisen, weil er in letzter Zeit immer häufiger auftritt, in verschiedenen Kontexten:
It's a sad comment on the morality of large modern software companies that Microsoft, while I don't think they've gotten any better since Sun sued them, probably has the high ground.
Microsoft war jahrzehntelang das Evil Empire, das es zu bekämpfen galt. Microsoft hat übrigens eine ähnliche Geschichte mit Softwarepatenten wie Sun. Ich weiß nicht, ob die auch mal von IBM ausgenommen wurden, aber Microsoft hat jahrelang keine Patente angemeldet, absichtlich, weil das eine Ingenieursfirma war, und die Ingenieure alle die Idee Scheiße fanden. Und dann sind einmal alle Patenttrolle der Weltgeschichte über sie hergefallen, weil sie auf soviel Bargeldreserven saßen. Und seit dem meldet auch Microsoft Patente an. Nur verklagt Microsoft mit ihren Trivialpatenten niemanden, im Gegensatz zu Apple. Soweit sind wir gekommen in dieser Industrie, dass ausgerechnet Microsoft mit gutem Beispiel vorangeht.Update: Stimmt so nicht, Microsoft verklagt doch auch andere mit ihren Trivialpatenten.
Ich glaube, ich muss meine Position noch mal ausführlicher erläutern. Ich wollte nicht sagen, dass die wirtschaftlichen Aspekte nicht existieren. Ich wollte sagen, dass sie in der Netzneutralitätsforderung nichts verloren haben. Das kann man, wenn man möchte, in der Talkshow bringen, als untermauerndes Argument.
Wer sich mal anguckt, wie Politik im Allgemeinen funktioniert, der wird beobachtet haben, dass es immer ein Fehler ist, wenn man mehr als ein-zwei Argumente bringt. Ich skizziere mal:
Daher muss man sich auf die Kernargumente konzentrieren. Und man muss vor allem Argumente weglassen, bei denen Statistiken beide Seiten "belegen" können. Das eröffnet der Gegenseite nur die Strategie, einige Argumente anzuzweifeln (Vorbild: Tabakkonzerne), und dann die Sache als kontrovers hinzustellen. Gerade bei einer Sache, die so wichtig ist wie Netzneutralität, ist das eine sehr reale Gefahr. Daher haben Dinge wie die Innovationen der kleinen und mittelständischen Unternehmen in so einer Argumentation nichts verloren. Überlegt euch doch nur mal, wie einfach man da Fake-Argumente bringen kann! Beispiel: "wenn das stimmt, wieso sind Facebook/Xing/VZnet dann erfolgreich". Und schon verzettelt man sich in Definitionsfragen und Zahlen und Einschätzungen und das Thema kommt nicht voran.
Ich betreibe selber eine Firma und lebe vom Internet und seinen Möglichkeiten. Der wirtschaftliche Aspekt von Netzneutralität ist in gewisser Weise existentiell wichtig für mich. Aber als Argument taugt es trotzdem nichts.
Denn worum es eigentlich geht bei Netzneutralität ist: die Telekom darf nicht nachrichten.t-online.de vor blog.fefe.de bevorzugt zustellen. Ich bin als Sender im Internet genau so privilegiert wie alle anderen. Auch wenn viele das nicht nutzen, so müssen wir doch dafür kämpfen, dass sie das Recht dazu haben.
Im Übrigen fände ich es gut, wenn wir der Ehrlichkeit halber mal darauf hinweisen, was wir jetzt schon für Netzneutralitätsprobleme haben. Wenn aus Mobilfunknetzen VoIP nicht geht, wenn Skype geblockt wird, wenn man aus irgendeinem WLAN-Hotspot nur per Zwangsproxy rauskommt, das sind alles Verletzungen der Netzneutralität. DAS meinen wir, wenn wir Netzneutralität fordern. Das ist letztlich zum großen Teil eine Frage des Verbraucherschutzes. Konzerne dürfen ihre Kunden nicht verarschen. Wenn es nach mir ginge, fielen auch "Flatrates" mit Drosselung nach n MB Traffic darunter. In der Theorie sorgt der freie Markt dafür, dass Firmen mit sowas nicht durchkommen. In der Praxis funktioniert das nicht. Genausowenig, wie uns der freie Markt vor den diversen Blasen und den Abzockbanken geschützt hat. Ohne staatliche Regulierung funktionieren Infrastruktur-Branchen nicht. Die Firmen werden immer den einfachen Weg gehen und ihre Kunden verarschen.
Update: Kris argumentiert, man sollte den Kunden gar nicht erst das Wort "Flatrate" verkaufen. Klar, das wäre realistischer. Für die Provider. Aber das kann natürlich kein Provider als erster machen. Übrigens finde ich das auch nicht wünschenswert. Wenn wir die Brücke überqueren, dann bauen die ihre Netze noch weniger aus als jetzt schon. Im Moment, wenn ein Provider 100 Millionen Euro zu investieren hat, dann baut er damit mehr Enduser-Anschlüssel und nicht mehr Backbonekapazität. Denn für die Enduser-Anschlüsse kriegt er direkt Geld, für die Backbonekapazität nicht. Denn die senkt nur für die bestehenden Kunden die Schmerzen, die zahlen dann nicht mehr. Der Anreiz zum Backbone-Ausbau kommt daher, dass Zeitungen "Geschwindigkeitstests" machen und publizieren, und dass die Kunden ihre Flatrates auch einfordern. Dieser zweite Teil liegt aber nur daran, dass den Kunden Flatrates verkauft wurden und kein Best-Effort-Ranznetz. Ich halte es daher für nicht gut, davon abzuweichen. Im Gegenteil brauchen wir eher mehr Anreize für die Provider, auch ihren Backbone und ihre Außenanbindung zu skalieren und nicht nur die Einwahlinfrastruktur. Sonst können Firmen wie die Telekom ihre marktbeherrschende Stellung im DSL-Markt benutzen, um ihre Hosting-Angebote zu fördern, indem sie absichtlich ihre Außenabindung kleinhalten.
Nein, interessant wird das, weil Israel sich jetzt von den Saudis bedroht fühlt und den Deal zu sabotieren versucht.
Doch die Amerikaner werden ihren Kunden wohl nicht die modernste Version des Flugzeugs verkaufen können. Hintergrund: Israel sorgt sich um seine Sicherheit. Unter Berufung auf Diplomaten und Regierungsmitarbeiter schreibt die Zeitung, die USA könnten den Saudis daher nur eine abgerüstete Version des Jets ausliefern. Ohne Langstreckenwaffensysteme zum Beispiel.Popcorn!
Ich finde das ja immer bemerkenswert, wie die Amis es schaffen, allen Seiten in einem Konflikt Waffen zu verkaufen, dann ihre eigenen Soldaten hinzuschicken und sich am Ende als Friedensbringer hinzustellen. Das ist schon beeindruckend. (Danke, Sebastian)
Die Schweden haben ja schon beim Umgang mit Pirate Bay gezeigt, dass sie im Zweifelsfall ihre eigenen Gesetze dem Rumzicken der Amis unterordnen. Das war also von vorneherein klar, dass das nur ein Puzzlestein in der Verteidigung sein kann.
Natürlich passt das nicht zu dem liebenden, gütigen Gott aus dem neuen Testament, daher beweist der Bischof eine beeindruckende geistige Flexibilität, indem er sich die widersprüchliche Dogmatik wie folgt zurechtlegt:
Love-Parade ist kein "harmloses Feiern" - Wenn Gott "straft", tut er dies mit der Absicht, den Menschen zurückzuholen, Gott straft aus Liebe!LOLWHUT?!
Übrigens… was ich mich ja schon länger frage… die Juden haben "PI-News", die Moslems haben die ganzen angeblichen Al-Kaida-Foren, die Katholiken haben kath.net … wo hetzen eigentlich die Evangelischen Christen?
Update: Auch die Kommentare durchlesen bei kath.net. Was den Artikeln partiell an Hetze fehlt, wird in den Kommentaren nachgereicht.
Update: Hier kommen lauter wunderbare Vorschläge für Hetzmedien der Protestanten, von idea über Fox News bis hin zu "na ARD und ZDF". Ist nicht wirklich vergleichbar, finde ich. Noch schlimmer als kath.net ist übrigens kreuz.net, aber da linke ich nicht drauf, das ist wirklich schlimm.
Und noch was: "PI-News" scheint sich seit ich da mal versehentlich gelandet bin von 1/3 Pro-Israel, 1/3 "Antisemiten, allesamt!1!!" und 1/3 Islam-Bashing auf 1/9 Pro-Israel und 8/9 Islam-Bashing umgestellt zu haben. Anscheinend haben sich die Antideutschen nicht gegen den Ansturm der Nazis halten können. (Danke, Florian)
Deutsche Soldaten sind demnach an der Erstellung von NATO-Fahndungslisten beteiligt, die auch in ISAF-Operationen mit gezielten Tötungsabsichten münden können. Deutschland schreibe die Personen aber nur zur Gefangennahme aus und sei nicht an der gezielten Tötung beteiligt.Na DANN ist ja gut. Wenn wir uns nicht selbst die Hände schmutzig machen, sondern das die Todesschwadrone der anderen Länder machen lassen. Dann ist das natürlich viel weniger anstößig!1!!
Update: Kurzer historischer Hinweis noch: genau so haben das die Nazis gemacht mit ihrer Rechtfertigung. Die haben immer zur Verhaftung ausgeschrieben und dann sind die Leute immer "auf der Flucht erschossen" worden. Und so sah es nicht auf den ersten Blick wie ein politischer Mord oder eine "gezielte Tötung" (was für ein Ausdruck!) aus.
Und bei der Gelegenheit sieht man auch mal, was von den Gerichten zu halten ist, die uns eigentlich vor sowas schützen sollen. Der EuGH hat nämlich erst eine mündliche Verhandlung abgewiesen und dann nicht geguckt, ob das überhaupt mit der Grundrechtscharta vereinbart ist, sondern nur nach formalen Kriterien entschieden. Und was mich daran am meisten ärgert:
Diese Woche hat die EU-Kommission die deutsche Fassung der Bestandsaufnahme über das Informationsmanagement im Bereich Freiheit, Sicherheit und Recht veröffentlicht und darin die Vorratsdatenspeicherung gelobt.ZUM KOTZEN. Aber es war ja auch mal wieder klar. Deutschland ist so ein Schwergewicht in der EU, wenn wir nicht hinter den Kulissen dafür wären, gäbe es gar keine Vorratsdatenspeicherung.
Update: Heise hat einen Artikel mit spannenden Details aus der Bestandsaufnahme. Insbesondere findet sich dort auch, mit welchen Fahndungserfolgen sie die VDS zu begründen versuchen.
Unter den Fahndungserfolgen, die mit der Speicherung von Fluggastdaten erzielt wurden (S. 47), finden sich Beispiele aus den bereichen Kinder- und Menschenhandel, Kreditkartenbetrug und Drogenhandel, jedoch kein Hinweis auf Kontrolle möglicher Täter mit terroristischen Absichten.
Das passt ja alles mal wieder. Die Fluggastdaten sind übrigens im Moment noch kein Teil der VDS-Datenbanken, aber sie arbeiten daran.
„So etwas darf nicht passieren“, sagte Polenz […]. Für „militärisch bedeutsam“ halte er den Vorgang, weil „die Taliban aus der Beschreibung zurückliegender Operationen auf das künftige Vorgehen der Alliierten schließen und sich darauf einstellen“ könnten.Genau die gleiche selbstwiderlegende "Argumentation" wie bei den Amis. Wikileaks hat absichtlich nur 75.000 der 92.000 Papiere veröffentlicht bisher, genau um Schaden von Personen in Afghanistan abzuwenden. Aber das ist für die CDU wahrscheinlich zu hoch.
Für mich stellt sich jetzt die Frage, ob die CDU da auch was zu verbergen hat. Wieviel Leichen haben die da wohl noch im Keller? Hat Deutschland da auch Todesschwadronen losgeschickt, auf Geheiß der CDU?
Update: Falls jemand nicht auf Anhieb weiß, was für Leichen im Keller und Todesschwadronen ich da gemeint haben könnte: KSK und BND sind in Afghanistan im Einsatz, und was die da tun ist geheim, das wissen wohl nicht mal die Obleute der Fraktionen.
Die Erklärung ist, dass irgendein Arschloch zu Torrent-Trackern gelaufen ist, und den SSL-Port meines Blogs als Torrent-Client eingetragen hat. Ich habe keine Ahnung, welcher Tracker das announced, oder gar um welches Torrent-File es sich handelt, aber da steckt Absicht dahinter, denn Bittorrent funktioniert so, dass der Tracker die IPs wegschmeißt, wenn die sich nicht periodisch wieder melden. Da sitzt also irgendwo jemand und meldet sich periodisch bei mindestens einem Torrent-Tracker, damit die IP meines Blogs dort gelistet ist, und dann Leute bei mir aufschlagen.
Warum ist das ein Problem? Weil es sich um den SSL-Port handelt. SSL ist ein notorisch schlecht designetes Protokoll, weil es die Last bei einer Verbindung nicht auf dem Client hat, sondern auf dem Server. Wenn also mehr Clients kommen, hat der Server mehr Arbeit. Nicht nur das: der Server muss am Anfang erstmal kryptographisch aufwendige Operationen machen, um das Handshake durchführen zu können. D.h. wenn man sich einfach nur zu SSL-Ports verbindet und ein bisschen Müll schickt, dann ist der Server damit beschäftigt, sinnlosen Krypto-Kram zu machen. Nun ist der Server, auf dem mein Blog läuft, eh keine besonders fette Hardware. Es handelt sich um einen nach heutigen Standards antiken Sempron 2800+ (1,6 GHz) mit 512 MB RAM. Ihr könnt euch also denken, was da passiert ist: der gatling-Prozess hat mit Krypto-Kram alle CPU gefressen.
Mir bleiben jetzt zwei Dinge zu tun. Erstens kann ich SSL wieder ausschalten. Das wäre schade, weil mir das schon wichtig ist, SSL anzubieten.
Zweitens kann ich tricksen, um diesen Angriff abzuwehren. Ich habe jetzt in gatling Code drin, der guckt, ob die einkommenden Daten wie ein SSL-Handshake aussehen. Und wenn nicht, dann legt er auf.
Das wehrt den Torrent-Traffic ab. Die CPU-Last ist von >90% auf 8% gesunken. Wenn die Angriffe schlauer werden und tatsächlich ein SSL-Handshake mit mir machen, dann muss ich SSL abschalten, um den Dienst zumindest per HTTP weiter anbieten zu können. Und den Traffic für die einkommenden Anfragen bin ich natürlich auch nicht los. Mal gucken, was mein Provider dazu sagt.
Schade, dass schlechtes Protokolldesign es einigen wenigen erlaubt, derartig viel Schaden anzurichten. Wenn das hier jemand liest, der Tracker-Software schreibt: filtert doch mal Clients, die behaupten, auf Port 443 erreichbar zu sein.
Update: Habe die Gelegenheit auch genutzt, mal einen weniger antiken Kernel zu booten. Ade, du schöne Uptime!
Übrigens, auf ca. 170 Anfragen pro Minute kommen gerade 6500 Junk-Anfragen von 3000 verschiedenen IPs. Nur damit ihr mal die Größenordnung seht. Inzwischen verteilt sich die Last gleichmäßig auf Port 443 und Port 80. Also, liebe Tracker-Autoren, auch Port 80 filtern. Überhaupt alle Ports kleiner 1024, wenn ihr mich fragt.
Update: Übrigens gibt es Hoffnung: Google arbeiten am Tieferlegen von SSL.
My sources say that not only is nobody subscribing to the website, but subscribers to the paper itself—who have free access to the site—are not going beyond the registration page. It’s an empty world.
Das ist bestimmt super für die Moral dort!
Und die Klage ist in den USA, weil sie auf den großen Payout hoffen. Al Jazeera hat in New York ein Büro. Sie fordern 1,2 Milliarden Dollar.
Update: Laut des Zeit-Artikels ist das ein anderes IHH. (Danke, Gökhan)
Meine Texte sind absichtlich wenig komplex. Kurze Sätze, knackige Ansagen, hoffentlich wenig mißverständlich, eignen sich zum kurz vorlesen, in Mails pasten oder, ja, auch für Twitter. Das ist kein Unfall oder ein Versehen, das ist Absicht. Und das ist nicht einfach und kam nicht von alleine, das will ich euch mal sagen. Das muss man trainieren. Und man muss sich zusammenreißen, um das durchzuhalten. Mir gelingt es auch nicht immer, z.B. wenn ich mich zu einem längeren Textblock hinreißen lasse. Also, zu der letzten Grafik. Das ist Absicht, dass meine Texte wenig komplex sind. Das ist ja auch die Idee beim Webjournalismus, wenn ihr mal drüber nachdenkt. Es geht mir ja darum, dass die Leute rezipieren, was ich zu sagen habe. Journalisten in großen Redaktionen geht es häufig darum, sich durch geschwollene, komplexe Formulierungen von ihren Konkurrenten abzusetzen. Und Parteiprogramme werden ja absichtlich so formuliert, dass sie keiner lesen will oder verstehen kann.
Das war zu der letzten Grafik. Die davor sind in ähnlicher Form ein Fall für Captain Obvious. Der Bag of Words Ansatz eignet sich höchstens für Suchmaschinen (aber nicht mal da ist er besonders gut) und für Text-Clustering (dafür ist er soweit ich weiß Stand der Technik). Für den Vergleich der Entropie einer Publikation eignet er sich nicht, insbesondere nicht bei Quellen wie meinem Blog, bei dem 50% des Textes Zitate sind, womöglich noch in anderen Sprachen. Desweiteren schreibt bei mir einer die Meldungen, beim Spiegel Dutzende. Dass da eine andere Entropie rauskommt, leuchtet ein. Die Messung ist also grober Unfug. Mir leuchtet auch nicht ein, was da die Aussage sein soll. Auf sowas kann nur ein Physiker kommen :-) In der Physik sind Energie- und Entropiemessungen in der Tat Standard, um ein neues Signal anzugucken.
Die Redundanzanalyse ist natürlich auch Mumpitz als Bewertungkriterium für ein Verschwörungsblog. Da geht es ja gerade darum, Zusammenhänge aufzuzeigen, also aus diversen Quellen ähnliche Schlüsse zu ziehen.
Kurz gesagt: ein Teil Mumpitz, ein Teil offensichtlich. Haut mich nicht vom Hocker. Macht euch mal keine Sorgen.
Übrigens, falls jemand interessiert ist, was diese Lesbarkeitsindizes sind: Bei Amdahl geht es um die Satzlängen in Worten und um Silben pro Wort. Bei SMOG geht es um Silben pro Wort. Bei WSTF geht es um eine Kombination daraus. Offensichtlich sind die Silbenvergleiche unfair, weil ich viele englische Texte zitiere. An meiner Satzlänge arbeite ich noch. :-)
Update: nochmal zur Redundanzanalyse. Da weist gerade jemand per Mail drauf hin, dass die die Titelseite im Abstand von 24h geholt haben. Bei der Bild sind die alten Meldungen dann weg, weil die ja wollen, dass man häufiger klickt, um mehr Werbung verkaufen zu können. Bei mir kriegt man immer die Meldungen der letzten drei Tage. Wenig überraschend also, dass da Redundanzen existieren.
Update: Hier gibt es einen Kommentar des Autoren der Studie, der einige Dinge erklärt. Bei Redundanz geht es nicht um Redundanz innerhalb eines Mediums, sondern zwischen Medien. Hohe Redundanz heißt also nahe am Zeitgeist, kleine Redundanz heißt belangloses Randgruppenblog. Außerdem sagen sie, sie hätten Zitate entfernt für ihre Untersuchung.
Bevor hier jemand anfragt: ich weiß auch nicht, ob der wirklich die Quelle war oder nicht. Und Wikileaks weiß das auch nicht. Die haben ihr System absichtlich so gebaut, dass sie das selber nicht wissen. Insofern könnte das jetzt eine PR-Lüge des US-Militärs sein, um zu demonstrieren, dass man als Wikileaks-Quelle nicht sicher ist. Nichts genaues weiß man nicht.
Aber zwei Dinge sind klar: mit diesem Adrian Lamo will man nicht reden, weil der einen womöglich ans Messer liefert. Und dieser Typ, wenn die Story wahr ist, ist ein unglaublicher Idiot, wenn er wirklich rumgeprotzt hat, er habe das Video geleakt.
Update: mhh, ich sollte noch ein bissche Kontext dranschreiben. Kevin Poulson ist ein "Ex-Hacker", den sie mit der Androhung von einer fetten Haftstrafe "reformiert" haben. Offiziell ist er jetzt "Journalist" und arbeitet für Wired, wo er eine nicht unspannende Kolumne schreibt. Inoffiziell heißt es, dass er jetzt für das FBI bzw. die Dienste arbeitet. Adrian Lamo ist ebenfalls ein Ex-Hacker, der als "obdachloser Hacker" Berühmtheit erlangte. Es heißt, er ist ein Kumpel von Kevin Poulson. Ich kenne beide nicht persönlich, und würde beiden nichts anvertrauen. So läuft das halt in Amerika. Da hast du die freie Wahl zwischen "federal pound-me-in-the-ass prison" und einem Job als FBI-Informant.
Update: Etwas deutlicher: ja, ich glaube das im Moment, dass das eine Lüge des US-Militärs ist, um Wikileaks kaltzustellen. Das ist schließlich auch genau deren Strategie laut dem geleakten Manual. In der Öffentlichkeit Zweifel an Wikileaks Quellenschutz säen. Und genau das passiert ja hier gerade.
Update: Passt übrigens prächtig, denn Poulson war auch derjenige, der kürzlich in Wired diese Agitprop-Story gebracht hatte, dass Wikileaks ihre Informationen illegitim aus Tor-Sniffing erlangt hätten, was sowohl Tor als auch Wikileaks dementieren.
Aber das Video dort funktioniert nicht. Warum? Weil Apple es absichtlich kaputtgemacht hat. Klickt mal auf die Video-Demo drauf. Spielt nicht. Rechtsklickt mal auf das Video und lasst euch die URL ausgeben. Ist bei mir diese hier. Wenn man sich diese Datei per HTTP holt, kriegt man eine MOV-Datei. MOV, das wissen vielleicht nicht alle, ist die Basis von MP4, nicht zuletzt auf Apples Drängen hin. Dass das .mov heißt, ist also nicht der Grund, wieso Chrome das nicht spielt. Auch nicht der MIME-Type.
Wenn ich mir die Datei per wget hole und mal reingucke, ist die bloß 359 Bytes groß, und beinhaltet einen Redirect auf diese Datei. Leider ist der Redirect relativ, da steht also nur der Dateiname drin, nicht die komplette URL. mplayer kann das übrigens, wenn ihr auf der Kommandozeile
mplayer http://movies.apple.com/media/us/html5/showcase/2010/demos/apple-html5-demo-tron_legacy-us-20100601_r848-2cie.moveingibt, spielt der den Trailer. Bei mir zumindest. Hängt vermutlich auch von der mplayer-Version ab. Aber Chrome unterstützt das halt nicht. Nun, erzeugen wir doch mal eine kleine Datei, die das Video-Tag mit der Ziel-URL des Redirects benutzt: hier. Das spielt Chrome dann plötzlich.
Da der Redirect relativ ist und nicht auf einen anderen Server verlinkt, hat das auch mit CDN-Optimierung o.ä. nichts zu tun. Der Redirect erfüllt genau keinen Zweck (außer Chrome auszuschließen). Für den Benutzer ergibt es einen zusätzlichen HTTP Round Trip, für Apple bedeutet es einen HTTP-Zugriff mehr, d.h. mehr Netzwerkkosten und mehr Serverlast. Nicht viel, aber doch vorhanden.
Also, liebe Apple-Apologeten. Dann erklärt mir doch mal, wieso Apple das macht. Außer natürlich, um uns alle zum Installieren von Quicktime zu zwingen? Na? Fällt euch auch nichts ein? Na sowas.
Das gilt übrigens für die gesamte Apple-Trailer-Site. Wieso benutzt das noch Quicktime und nicht HTML5-Video, wenn Apple angeblich so ein Verfechter offener Standards ist? Weil es da nie um die Trailer ging. Sondern um Quicktime-Installationsbasis.
Update: Oh übrigens, ein besonders zynischer Leser hat mir dieses hilfreiche Schaubild gemailt :-)
Update: Eine Sache will ich auch mal sagen: die Demos sind visuell ziemlich geil, die Apple da gemacht hat.
"Wir verurteilen diese unmenschlichen Praktiken Israels scharf", erklärte das türkische Außenministerium am Montag in Ankara. Der israelische Militäreinsatz gegen die Flottille mit hunderten pro-palästinensischen Aktivisten, bei dem mindestens zehn Menschen getötet wurden, stelle einen "klaren" Bruch gegen internationales Recht dar und könne zu "irreparablen" Konsequenzen in den bilateralen Beziehungen führen.Das geht echt zu wie im wilden Westen dort.
Die Israelis sagen natürlich, sie seien angegriffen worden und hätten sich verteidigen müssen.
Die Armee habe nicht die Absicht gehabt, das Feuer zu eröffnen, "aber es gab eine enorme Provokation", fügte Elieser hinzu. Die Soldaten seien mit Äxten und Messern "erwartet" worden, "und wenn dann noch jemand versucht, Ihnen Ihre Waffe wegzunehmen, dann fängt man an, die Kontrolle über die Lage zu verlieren", sagte der Minister weiter.Aha, Äxte und Messer. Klar, da gibt es keinen Warnschuss sondern 10+ Tote. Einleuchtend!
Upate: Laut New York Times sagen die betroffenen Aktivisten, das habe in internationalen Gewässern stattgefunden. Damit ist das ein Akt der Piraterie, oder? Müsste da nicht Köhlers Militärdoktrin jetzt die Bundesmarine einschreiten? (Danke, Lutz)
Update: Mhh… Schreiber?
Wir sind ja schlimm in Deutschland in unserem politischen Diskurs, aber SO schlimm sind wir noch nicht. Wir sollten alles tun, dass das auch so bleibt.
Schauen Sie doch mal, wie viele Länder die Sperren praktizieren, auch solche mit einer langen liberalen Tradition wie in Skandinavien. Die öffentlich diskutierte angebliche Alternative zwischen Löschen und Sperren von kinderpornografischen Seiten gibt es im Grunde gar nicht. Beides muss möglich sein.Und weiter:
Ganz deutlich: Eine Zensur gibt und wird es in Deutschland nicht geben. Aber Sie können doch ein Verfahren nicht schon deshalb ablehnen, weil es möglicherweise missbraucht werden kann. Denken Sie zum Beispiel an die Telefonüberwachung. Sie ist bei uns unter bestimmten, strengen Voraussetzungen erlaubt. Trotzdem findet - wie von interessierter Seite gerne behauptet wird - kein wildes Abhören der ganzen Bevölkerung statt.Nö, nur von Soziologen, die über Gentrifizierung publizieren…
Update: Herr Tauss findet, wir sollten den Dialog mit De Maiziere mit einem Paukenschlag einstellen. Ich finde, er hat Recht.
A group that calls itself the Guardians of the free Republics has a plan to "restore America" by peacefully dismantling parts of the government, according to its website.As of Wednesday, more than 30 governors had received letters demanding they leave office within three days or they will be removed
Meint der Schwede: ja, die Briten haben ja auch ihr Pfund abstürzen lassen, und hofften, dass dann die Exporte wachsen.
Ich: Exporte? Was für Exporte? Marmite? Hast du das mal probiert, das schmeckt wie toter Hund!
Meint der Chinese aus dem Hintergrund: hey, dead dog tastes pretty well! :-)
Update: Falls jemand nicht weiß, was Marmite ist: das ist ein Brotaufstrich mit Konsistenz und Geschmack von Teer aus dem Straßenbau. Ganz, ganz furchtbar. Wenn sie das im Irak gefunden hätten, wäre das ein klarer Fall von WMD gewesen.
Ich erwähne den, weil er gerade gegen den CCC pinkelt (und nein, ich linke da jetzt absichtlich nicht drauf, um dem nicht noch Aufmerksamkeit zuzuspielen), weil der CCC eine Einstweilige Verfügung gegen Springer erwirkt hat, als Springer dem CCC unterstellt hat, wir wären Auftragshacker für den BND.
Ich fasse seine Argumente mal zusammen, weil man sich inhaltlich durchaus mit denen auseinandersetzen kann und auch sollte.
Ich habe mich zwar über die Springer-Meldung geärgert, auch durchaus öffentlich, war aber weder an der Entscheidung noch an der Umsetzung der Einstweiligen Verfügung beteiligt, und kann daher wunderbar spekulieren und rationalisieren hier :-)
Also, erst einmal vorab: wie oft hat man im Leben die Gelegenheit, der Springer-Presse eine Einstweilige Verfügung reinzudrücken? Alleine dafür könnte man argumentieren, dass das eine gute Aktion war. Alte Feindbilder und so.
Zweitens bin ich auch kein Freund von Einstweiligen Verfügungen, weil die eben erlassen werden, ohne den Betroffenen zu Wort kommen zu lassen. Ich halte das Allgemein für ein dem Rechtsstaat unwürdiges Instrument, das außerdem viel zu leichtfertig benutzt wird.
Aber die Idee, dass man frei rumgerüchten könne, wenn man nur ein Dementi dranschreibt, … das funktioniert so nicht. Man könnte das z.B. mit dem folgenden, besonders bösartigen Gerücht mit Dementi illustrieren:
Hast du auch gehört, dass torstenk inzwischen bei der Bild arbeiten und jetzt Krisen-PR für die Springer-Presse machen soll? Das hat mir ein Insider erzählt, der ungenannt bleiben will. Oh, der Kleinz dementiert natürlich.Alles im Konjunktiv, das Dementi folgt direkt. Ist das jetzt weniger ehrenrührig? Ist das für den Kleinz weniger schlimm jetzt? Wenn jemand nach seinem Namen googelt, und der findet dieses bösartige Gerücht, und dann ist sein Ruf besudelt. Klar, das Gerücht ist erstunken und erlogen, genau wie das BND-CCC-Gerücht es war. So einfach ist die Lage nicht.
Im Allgemeinen finde ich, dass man im Presserecht keine Einstweiligen Verfügungen haben sollte, und dass Gegendarstellungen reichen müssen. Und mir hätte es auch gefallen, wenn die Springer-Presse eine fette Gegendarstellung hätte veröffentlichen müssen, und auf die hätte ich dann gelinkt, und die hätte dann mehr Traffic als der Originalartikel gehabt. Aber Mitleid mit der Springer-Presse kann ich zumindest an dieser Stelle nicht aufbringen, tut mir leid.
Update: Noch ein Detail am Rande: da Springer direkt das Dementi drangetan hat, haben sie dem CCC damit das Mittel der Gegendarstellung genommen. Da blieb außer EV nichts mehr.
Lustig ist ja, dass der Markt der Kommerz-Immobilien seit Jahren am platzen ist. Nicht nur in den USA, auch in Berlin. In Berlin ist das offensichtlichste Beispiel der Potsdamer Platz.
Ein Leser, der noch keinen Facebook-Account hat, berichtet etwa, dass er von einem Bekannten eine Facebook-Einladungsmail erhalten habe. Diese enthielt unter anderem eine Vorschlagsliste mit Facebook-Mitgliedern, die der Empfänger vielleicht kennen könnte. Zum Entsetzen des Lesers waren ihm fast alle der vorgeschlagenen Personen bekannt, nicht aber seinem Freund, von dem er die Einladung erhalten hatte. Zu einigen der Kontakte sei nicht einmal durch eine gezielte Web-Recherche eine Verknüpfung herzustellen gewesen.Jawoll! Achtet mal drauf, wie viele Webseiten irgendwo über diese ganzen total hirnrissigen "digg this" oder eben auch "submit to facebook" Buttons einmal ihre gesamte Userbasis an solche Datenkraken verraten. Mir wird immer ganz schlecht, wenn ich sowas sehe. Beim ehemaligen Nachrichtenmagazin kommen die ganzen Icons immerhin lokal auf deren Server, aber bei bildblog z.B. ist da ein rivva-Icon eingeblendet, das tatsächlich von rivva.de kommt. Damit kann rivva einmal die Daten abgreifen und dataminen.
Und deshalb, liebe Leser, gibt es bei mir keine "tweet this" oder "digg this story" Umweltverscmutzung im Blog. Wenn ihr nicht absichtlich ein externes CSS eintragt oder auf einen Link klickt, hinterlasst ihr durch Fefeblog-Klicken keine Spuren anderswo. Ich kann natürlich nach wie vor datamining machen mit euren Daten (MUHAHAHAHAHA).
Update: mir mailen gerade Leute, dass solche Netze nach Zugriff auf die Email-Inbox und das Kontaktbuch verlangen inzwischen. Das tut hoffentlich niemand mit mehr als einer Hirnzelle.
Update: Mir mailt gerade ein ehemaliger Programmierer einer Web-Community, dass das fast alle Neuregistrierungen in Anspruch nehmen und da ohne zu zögern die Login-Daten bei ihrer Email und anderen Diensten angeben. Au weia.
Man hatte mir vorher diskret zu Verstehen gegeben, dass durchaus erwünscht ist, wenn ich provokante Thesen äußere und damit die anderen Teilnehmer ein bisschen animiere. Außerdem hieß es, ich sei der einzige Techie und das Publikum sei aus dem Gesundheitssektor, und damit war klar, dass ich da keine technischen Details ausbreiten kann.
Ich eröffnete mein Plädoyer also mit dem Satz, ich sei ja hier als Vertreter der Patienten da, weil für die anderen Interessengruppen für ausreichend Vertretung gesorgt sei. Das gefiel den anderen Teilnehmern schon mal gar nicht, besonders Thilo Weichert vom ULD in Kiel und der direkt neben mir sitzende Vertreter des Bundesverbandes der Verbraucherzentralen schienen mir zu zürnen :-)
Normalerweise auf solchen Veranstaltungen kommt das Gespräch dann irgendwann darauf, dass man ja Datenbanken verknüpfen könnte, oder bei einer technischeren Veranstaltung fällt der Begriff Datamining. In solchen Fällen weise ich normalerweise darauf hin, dass man das ja früher Rasterfahndung nannte und total doof fand. Bei dieser Veranstaltung passierte etwas, das mir so noch nie passiert ist: die redeten von sich aus von Rasterfahndung. Der Datenschutzbeauftragte der Barmer war als Vertreter der Krankenkassen auf dem Podium und fing da plötzlich an, seinem Bedauern Ausdruck zu verleihen, dass sie die ganzen schönen Daten ja gar nicht nutzen können, weil es so viel Datenschutz gibt bei uns in Deutschland. Im Schlußwort meinte dann der Vorstandsvorsitzende der Charité auch noch, der Forschungsstandort Deutschland für klinische Forschung sei im Hintertreffen und wir brauchen die Rasterfahndung auf den ganzen Daten, wenn wir ihn retten wollen. Das hat mich ziemlich schockiert. Denen ist klar, dass sie da von Rasterfahndung reden, und sie wollen es alle haben. Und die Krankenkassen glauben wirklich, wir glaubten ihnen, dass sie auf den Daten kein Datamining machen.
Ich habe mitgenommen, dass Herr Weichert böse ist, dass die Konnektoren gerade aus dem Konzept rausfliegen (was ich für einen Gewinn halte, weil es die Komplexität senkt). Herr Etgeton (Verbraucherzentralen) versuchte, einen positiven Gesamteindruck aufzubauen, nach dem Motto "wenn wir uns anstrengen, wird doch noch alles gut", und er hatte da auch ganz hehre (man könnte fast sagen: von jugendlichem Optimismus geprägte) Annahmen wie dass der mündige Bürger rational entscheidet, wem er seine Daten gibt und wem nicht. Insgesamt war Konsens, dass man etwas tun muss, um die Akzeptanz der Gesundheitskarte zu steigern. Irgendjemand sprach dann erfreulicherweise auch den Punkt an, dass die Gesundheitskarte in der aktuellen Planung überhaupt nichts leistet, was nicht auch das bestehende System leistet, und niemand widersprach. Alle nickten. Größter Verfechter der Gesundheitskarte war Herr Bartmann, der Präsident der Ärztekammer Schleswig-Holstein. Er argumentierte vor allem mit der und für die Fallakte (die AFAIK nur optional ist in der aktuellen Planung, nur die Rezepte sind tatsächlich Pflicht) und meinte z.B., im Moment dauere es teilweise Monate, bis der überweisende Arzt mal mitgeteilt kriegt, was die im Krankenhaus mit seinem Patienten gemacht haben, und das ginge ja per Schneckenpost und sei furchtbar ineffizient. Ich kam leider nicht mehr dazu, ihn zu fragen, welche Postdienstleister sie da verwenden, der Monate für die Zustellung braucht, wo doch sogar die gute alte Bundespost inzwischen bundesweit i.A. innerhalb eines Tages zustellen kann.
Meine Thesen waren noch, dass für den normalen Bürger überhaupt kein Unterschied zwischen der eGK und Google Health erkennbar sei, weil er in beiden Fällen irgendwelchen ihm unbekannten Leuten vergleichbare Datensicherheits-Versprechen schlicht glauben muss. Google ist sogar im Vorteil, wenn ihr mich fragt, weil denen ja noch nie irgendwas verloren gegangen ist (wenn man mal von dem China-0day neulich absieht, und das ist ja auch diversen Ministerien bei uns passiert, da ist also unentschieden), während bei der eGK der zuständige Dienstleister T-Systems ist, also die Telekom, und die hat ja nun gerade 2009 kein besonders überzeugendes Bild abgegeben in der Beziehung.
Ich habe auch noch argumentiert, dass wenn ich zum Arzt gehe, und es mir richtig schlecht geht, dass ich dann lieber einen Arzt will, der 80-90% seiner Hirnkapazität dafür frei hat, mir zu helfen, und keinen Arzt, der 40% seines Hirns mit Sorgen über seine komplexe IT-Umgebung verplempert. Das stieß auch auf breiten Widerstand. Alle Beteiligten legten Wert darauf, dass sie moderne Menschen sind und mit Computern umgehen können und das ja wohl selbstverständlich sei. OK, kann man ja nicht ausschließen, dass die Anwesenden da gerade die Ausnahmen in Deutschland sind, die sich auch mit Computern auskennen :-)
Ein Höhepunkt war noch, als Herr Bartmann (Ärztekammer) Ellis (Update: ich dachte Bartmann, aber Herr Krempl sagt Ellis und der hat mitgeschrieben, dem vertraue ich mal mehr als meinem Gedächtnis) dann erzählte, er habe ja mal in Skandinavien gewohnt, und bei denen sei das ja selbstverständlich, dass die da die ganzen Daten offen verknüpfen, und da hätten sie ganz tolle Erkenntnisse draus gewonnen, z.B. Krebsrisiko für Kinder von Schwangeren, die irgendwas nehmen. Nach entsprechender Anonymisierung der Daten kann man sowas auch in Deutschland machen, soweit ich weiß.
Update: Stefan Krempl von Heise war auch da und hat noch dieses tolle Zitat, das ich bestätigen kann:
Eine "Rasterfahndung mit Krebsdaten" zuzulassen sei legitim, da durch Tumore "mehr Menschen sterben als durch Terroristen".
Ich hatte das hier auch schon als Gerücht, dass die LI-Zugriff hatten, aber bisher klang das Gerücht so, dass die Chinesen sehen konnten, wen die Amis so beschnüffeln (was ja auch ein Totalschaden wäre), nicht dass sie die bestehende Infrastruktur zum Beschnüffeln ihrer Dissidenten benutzen.
Ursprünglich war das glaube ich mal Werbung für eine Jobbörse oder so. Keine Ahnung, ob die wirklich irgendwo so aushängen oder ob das ein Photoshop ist. Ich habe auch keine echte Quelle dafür, aber mir hat jemand noch drei weitere zugemailt. 1 2 3 4 5. Sachdienliche Hinweise nehme ich gerne entgegen.
Update: Hier gibt es eine russische Version mit noch ein paar mehr Motiven.
Update: Hier die Originale. Da da die selben Leute mit den Geräten interagieren, ist das wohl ein Photoshop.
Update: Per Mail kommt gerade der Hinweis, dass es in den Herkunftsländern von Heroin noch Milzbrand als Krankheit gibt und das nicht absichtlich zum Strecken da mit reinkommt.
„Suchen sie sich ein Glas mit Schraubverschluss und sammeln die großen Stücke ein. Nehmen sie ein Stück Pappe und kehren sie die restlichen Scherben zusammen. Jetzt nehmen sie zu Hilfe ein Blatt Papier, kehren mit der Pappe die Scherben auf dieses Papier und schütten vorsichtig die Scherben ins Glas. Dann könne sie am besten einen feuchten Lappen nehmen und damit versuchen, die kleinen Scherbensplitter zu entfernen. Tun sie auch den feuchten Lappen mit in das Glas. Die Handschuhe müssen sie mit entsorgen. Und zur Sicherheit können sie einen Aufkleber anbringen: Achtung kann Quecksilberreste enthalten.“Das Zitat im Zitat kommtDen kontaminierten Teppich dann am besten ausschneiden und entsorgen - auf keinen Fall aber saugen.
Da sieht man mal, wie ernst die Länder es meinen. Und da geht es noch nicht mal um ihren eigenen Wald. Es geht da um den Regenwald. Und dafür will man jetzt ein "Programm" starten. Den eigenen Wald holzt man natürlich weiter ab, wo kämen wir da auch hin. Bloß nicht den Eindruck entstehen lassen, man müsse selber etwas tun.
Und Emissionen senken? In grüne Technologien investieren? Fehlanzeige. Es geht hier um das Wirtschaftswachstum! Wir bauen lieber noch ein paar Kohlekraftwerke. Und die Emissionssenkung verlangen wir von den Entwicklungsländern, weil wenn jemandes Wirtschaft Schaden nehmen soll, dann deren. Dann können wir uns auch viel besser auf deren Kosten bereichern.
Zum Kotzen.
Die Lage ist so schlimm, dass sie schon John Kerry für ein paar unverbindliche Worte feiern.
"Gastgeberland" Dänemark hat sich schon von der Vorstellung verabschiedet, auch nur einen Entwurf für ein Abkommen vorzulegen, stattdessen lieber eine Absichtserklärung. "Wir wollen was tun". Ja, nee, klar. Gastgeberland setze ich in Anführungszeichen, weil dieses Video von gestern alles andere als gastlich aussieht. Wer das noch nicht geguckt hat: jetzt gucken. Setzt euch vorher hin. Das schlägt auf den Magen. Und Dänemark galt ja immer als liberales Land, wo so etwas undenkbar ist.
Aber natürlich sind in der Zwischenzeit Politiker aufgesprungen und wollen das geschickt für sich verwursten. Das könnt ihr also mal direkt abhaken, das war eine Ente. Andy hat eco noch empfohlen, da selber noch mal ein Dementi zu publizieren. Das tun sie hoffentlich auch bald, damit da keine Begehrlichkeiten entstehen. Ihr wißt ja, wie das ist, wenn inkompetente Politiker plötzlich Morgenluft schnuppern.
Update: ACH NEE, das wird ja immer spannender! das BSI bestätigt jetzt plötzlich die Eco-Pressemeldung und sagt, das sei seit langem abgesprochen. Was jetzt? Einer von beiden macht gerade Krisen-PR, um ihr Gesicht zu wahren. Mal schauen, ob Eco ein Dementi publiziert. Wenn nicht, dann wäre meine Interpretation, dass sie wie Anfänger ins Messer gelaufen sind und jetzt merken, dass ihnen Zensursula 2.0 droht in Sachen Katastrophen-Presse und nicht wissen, wie sie zurückrudern sollen. Wenn doch, dann ist das BSI in Erklärungsnot. Andererseits bestätigt das BSI natürlich auch nur einen winzigen Teil der Botnetz-Sache, nämlich ein Beratungszentrum. Dagegen ist ja prinzipiell nichts einzuwenden, ausser dass es Geldverschwendung ist. Es können also theoretisch auch noch beide Darstellungen richtig sein.
Auf der anderen Seite ist das ein kraftvoller Präventivschlag in Sachen Netzneutralität. Wenn ihr Provider unser DNS manipuliert, dann nehmen wir eben das von Google. Und Google hat natürlich Recht, wenn sie davon reden, dass das die Performance des Surfens verbessern kann — weil so nur der erste in einer Trend-Herde bei ihnen tatsächlich Arbeit auslöst, die anderen kriegen es alle aus dem Cache. Verteiltes Web-Cachen wäre der nächste Schritt, und ich erinnere mich dunkel, dass sie das auch mal probiert hatten. Das kommt bestimmt wieder. Google ist in der so gut wie einmaligen Position, dass sie für ihr Internet nichts zahlen. Jeder hätte mehr Nachteil davon, nicht zu Google verbinden zu können, als Google davon Nachteil hätte. Und so ermöglicht denen "Bandbreitensau"-Geschäftsmodelle, von denen andere nur träumen können.
Insgesamt halte ich das für einen schlauen Schachzug, weil es den Providern deutlich zeigt, dass sie nur Commodity-Zulieferer sind. Die sollen sich mal gar nicht einbilden, da "Mehrwertdienste" anbieten zu können, ihre Aufgabe ist das möglichst billige Verfügbarmachen von rohem Internet. Nicht mehr und nicht weniger.
Der einzige wirklich üble Datenschutzaspekt wäre, dass die Server in Amerika stehen, und daher für die dortigen Behörden zugreifbar und abschnorchelbar sind. Allerdings, wenn ich hier von meinem Kabel Deutschland Internet zuhause aus 8.8.8.8 pinge, kriege ich eine Round-Trip-Zeit von um die 8-12 Millisekunden. Zum Vergleich: wenn ich blog.fefe.de pinge, kriege ich so um die 45 ms. Es ist also völlig offensichtlich, dass Google hier per anycast arbeitet und die in Deutschland sichtbaren Server auch in Deutschland oder zumindest Europa stehen.
Zum Vergleich: Wenn ich die DNS-Server meines Providers (!) pinge, komme ich auf 8-9 ms. Google ist hier also ähnlich gut angebunden wie die interne Infrastruktur meines Providers.
Das alleine lässt schon tief blicken, wie ernst sie das meinen. Ein Kumpel bei Alice hat sogar geringere Latenz zu Google als zu dem Alice-DNS.
Für Google ist das natürlich hilfreich, diese Daten zu haben, weil sie so Trends schnell erkennen können und potentiell Sites neu spidern können, wenn die einen unerwarteten Last-Peak haben. Oder für deren Reichweiten-Abschätzung von Websites.
Benutze ich Google DNS? Nein. Ich habe einen eigenen DNS-Resolver. Aber man weiß ja nie, wann man das mal brauchen kann. Und Google könnte da auch mal eben IPsec oder dnscurve anbieten, wenn sie wollten.
Unter dem Strich ist das im Moment ein klarer Gewinn für das Internet. Wie es eigentlich immer ein klarer Gewinn ist, wenn jemand kostenlos Infrastruktur hinstellt. Kris hat sich dazu auch Gedanken gemacht.
Wikipedia ist ein großartiges Projekt und eine der Erfolgsgeschichten des Internets. Völlig werbefrei und nur durch die freiwillige Mitarbeit und durch Spenden (überwiegend) von Privatpersonen ist das Projekt zu dem größten Nachschlagewerk und zu einer der beliebtesten Websites der Welt geworden.Tolle Antwort. Hilft genau niemandem weiter. Original aus der Pressemappe kopiert. Was für eine Farce.
Community heißt auch Spontanität, Emotionalität und Dynamik.Da kommt mir das Mittagessen hoch, wenn ich sowas lese.
Die Wikipedia Autorengemeinschaft wird sicherlich Anregungen aufgreifen und weiterentwickeln.Man achte auch darauf, wie hier jegliche Eigenverantwortung konsequent verneint wird, aber sie doch zu feige sind, das direkt zu sagen, sondern hier mit solchen Taschenspielertricks den Handlungsbedarf zu "der Autorengemeinschaft" schiebt. Euer Geld nehmen wir gerne, aber handeln tun wir nicht. "That's not my department," says Wernher von Braun.
Ich würde eher von Aufgaben statt Problemen reden, die sich sicherlich lösen lassen.*speih* Aber wartet, wird noch härter:
Wir sind uns sicher, dass der Leitsatz der Wikipedia 'sei mutig' auch gilt, wenn es um die Weiterentwicklung des Projektes geht.HAHAHAHAHAHA
Und so sind die Antworten alle! Dreimal weichgewaschen, jedweder potentielle Inhalt vorher rausoperiert, am Ende nochmal durch ein Feinsieb. Ich krieg bei sowas Würgreflex.
Tausende von Wikipedia-Autoren investieren Zeit oder Geld um Artikel für die Wikipedia zu erstellenUn-glaub-lich! Als ob sie mit einem Kind redet! "Du bist zu doof, als dass ich mit dir über das Problem reden könnte, daher hier, ist ein Stöckchen! *werf* Wollen wir nicht lieber Fangen spielen!"
Von diesem Verein fühle ich mich echt nur noch verarscht. Ich frage mich, ob das nicht einem Großteil der Wikipedia-User genau so geht. Förderverein, dass ich nicht lache. DIESE FRAU wird mit EUREN SPENDEN bezahlt!
Update: Vielleicht mal als Klarstellung: das ist nicht als Bashing dieser Frau zu verstehen. Die macht da nur ihren Job. Aber dass der Verein glaubt, sich kritischen Fragen entziehen zu können, indem sie eine PR-Beauftragte Füllwörter hinmailen lassen, DAS kritisiere ich hier. Frau Schoneville hat eher gezeigt, dass sie auch unter widrigen Umständen in der Lage ist, unverfänglichen und inhaltsarmen PR-Text zu formulieren. Für Situationen, in denen man das braucht, hat sie sich damit 1a qualifiziert. Dies war keine solche Situation. Hier hätte es ehrliche Antworten des Geschäftsführers oder des 1. Vorstandes gebraucht. Aber die haben lieber ihre PR-Frau vorgeschickt. Ölkonzerne brauchen PR-Berater, die ihre maroden Tanker und leckenden Pipelines wegdiskutieren, aber doch kein Verein wie Wikimedia?! Mit der Förderung freien Wissens hatte das gerade jedenfalls gar nichts zu tun.
Da gibt es jetzt ein Update zu: Der Psychiater muss 12.000 Euro Strafe zahlen, und gegen den Finanzminister gibt es eine Anzeige. Erschütternderweise ist das Verfahren gegen den Psychiater von der Ärztekammer gestartet worden, nicht von den Behörden. Daher glaube ich auch nicht, dass aus dieser Anzeige was wird. Wir leben halt nicht in einem Rechtsstaat hier. Die eigentlichen Delikte, absichtliche Verfolgung einer unschuldigen Person, sind nämlich schon verjährt. Die Anzeige ist nur noch wegen Veruntreuung von Steuermitteln. Seufz.
Aber der Rest des Vertrages ist eine einzige Katastrophe. Gerichtsvollzieher sollen privatisiert werden (warum nicht auch gleich das US-Konzept der Bounty Hunter importieren? Das schafft Arbeitsplätze!1!!). Unternehmensverbunde sollen wieder Verluste aus Sparte A mit den Gewinnen von Sparte B verrechnen dürfen (oder auf Deutsch: kein Unternehmen wird jemals wieder Steuern zahlen, wenn sie es nicht absichtlich darauf anlegen). Und falls das nicht reicht, soll die Zinsschranke auf 3 Millionen erhöht werden. Die Zinsschranke ist dafür da,…
In der Vergangenheit hatten global agierende Unternehmen durch Kapitalzuführung aus dem Ausland erreicht, dass in Deutschland steuerlich abzugsfähiger Zinsaufwand entsteht, die Zinserträge dagegen im Ausland erfasst werden. Die Zinsschranke dient in erster Linie der Vermeidung dieser grenzüberschreitenden Gestaltungen.Völlig klar, das muss aufgeweicht werden!1!! Dann soll die Funktionsverlagerung repariert werden; das war Teil der Steuerreform 2008. Hier geht es darum, dass Unternehmen z.B. ihre Fertigung von Sachsen nach China schieben, und dass das besteuert wird. Weil der Staat ja eine Fabrik in China nicht besteuern kann, haben sie daher das Know-How der versetzten Mitarbeiter als Kapital gewertet, wenn ich das richtig verstehe, und das besteuert. Völlig klar, hier muss "reformiert" werden; wir (also die CDU) wollen schließlich, dass Arbeitsplätze das Land verlassen!
Die Formulierungen sind auch ansonsten ganz großes Kino. So tun sie gar nicht mehr so, als habe "Biokraftstoff" was mit Umweltschutz zu tun (das Gegenteil ist der Fall). Humoristisch sehr hochwertig ist auch, wie sie die Erbschaftssteuerentkernung als Impuls verkaufen, der Deutschland aus der Krise führen soll. Dabei sind die Erbschaften genau der dynastieerhaltende Baustein, der die Ober- von der Mittelklasse trennt und eine gerechtere Gesellschaft verhindert.
Außerdem will man den Normenkontrollrat stärken, der ja der Lange Arm von Bertelsmann (und INSM) in der Politik ist. Tolle Wurst. Großartig ist auch der Beitrag zur Bankenkrise, den ich mal zitieren muss, so toll ist der:
Das Insolvenzrecht muss den neuen Herausforderungen angepasst werden. Wir werden ein Instrumentarium schaffen, dass es der Bankenaufsicht frühzeitig ermöglicht, systemrelevante Finanzinstitute im Rahmen eines geordneten Verfahrens zu restrukturieren.HAHAHAHA, wun-der-bar! Also wenn es einen durchgehende Tenor gibt in dem Papier, dann dass sie Gesetze reparieren wollen, die sie selber zu verantworten haben. Dieser Vertrag ist eine politische Bankrotterklärung. Und für Neusprech-Forscher ist das ein gefundenes Fressen. Z.B. das hier (es geht ums Stromnetz):
Die Regulierung der Netze soll nicht nur niedrige Nutzungsentgelte im Blick behalten, sondern auch qualitative Elemente berücksichtigen, um so schnelle und längerfristige Investitionen auszulösen.Aha. Soso. Das sieht man ja, wie toll das bisher funktioniert hat… Weitere Highlights:
Wir stehen für eine solide Haushalts- und Finanzpolitik.HAHAHAHA, was für ein Schenkelklopfer! Oder der hier, zum Arbeitsamt:
Um Arbeitssuchende noch erfolgreicher in sozialversicherungspflichtige Beschäftigung vermitteln zu können, […]noch erfolgreicher? Das geht doch gar nicht!1!! Oder wie sie "befristete Beschäftigungsverhältnisse" in Kette erlauben wollen, um "Kettenbefristungen" zu "verhindern". Ich glaube ja, dass die fest damit rechnen, dass niemand jemals diesen ganzen Schmuh durchliest. Stimmt wahrscheinlich auch normalerweise.
Die Energiepolitik ist wie erwartet: weiter Kohlekraftwerke bauen, Atomkraftwerke laufen lassen, Asse schließen (harhar), Gorleben weiter erkunden. Oh und damit die betroffenen Regionen sich nicht weiter wehren, sollen sie "einen gerechten Ausgleich" bekommen. Also, mit anderen Worten, sie sollen bestochen werden. Immerhin hat auch Schwarz-Geld eingesehen, dass man die Energiemafia so nicht weitermachen lassen kann, und will die Übertragungsnetze ausgliedern. Sie halten auch am Emissionshandel fest (*stöhn*), und nennen "Biokraftstoffe der zweiten Generation" explizit als Energieforschungsziel. Sie bezeichnen die Bahnreform als "erfolgreich" und wollen die Transport- und Logistiksparten doch noch an die Börse bringen, das Schienennetz und die Bahnhöfe aber behalten (immerhin!).
Und noch ein Neusprech-Klassiker bei der Ernährungspolitik:
Eine politische Steuerung des Konsums und Bevormundung der Verbraucher durch Werbeverbote und Strafsteuern für vermeintlich ungesunde Lebensmittel lehnen wir ab. Ein farblich unterlegtes Ampelsystem zur Nährwert-Kennzeichnung führt die Verbraucher in die Irre.Und im Hintergrund sieht man jemanden einen Schwarzgeldkoffer der Nahrungsmittelindustrie wegschaffen…
Und noch ein Highlight, das seines Gleichen sucht: sie begründen ernsthaft die Fortführung der Agrarsubvention für brachliegende Grünflächen damit, dass das ja CO2 aufnimmt. *schenkelklopf* Ich brauche mehr Popcorn! Für Neusprech-Forscher ist das eine Goldgrube.
Ausbildungshemmnisse im Gastgewerbe werden durch ein flexibleres Jugendarbeitsschutzgesetz abgebaut.
Soso, ein "flexibleres" Jugendarbeitsschutzgesetz also. Laßt uns wieder Kinderarbeit einführen!Für die Aktivisten, die sich gegen das BKA-Gesetz gewehrt haben, kommt die Passage dazu wie ein Schlag in die Magengegend:
Wir sind uns mit dem Bundesverfassungsgericht einig, dass ein letzter unantastbarer Bereich menschlicher Freiheit besteht, der der Einwirkung der öffentlichen Gewalt entzogen ist.Aha. Soso. Und wo wir gerade bei Einigkeit waren:[…]
Daher werden wir auf Grundlage der verfassungsgerichtlichen Rechtsprechung das BKA-Gesetz daraufhin überprüfen, ob und inwieweit der Schutz des Kernbereichs privater Lebensgestaltung zu verbessern ist.
Wir sind uns darüber einig, dass es notwendig ist, derartige kriminelle Angebote schnellstmöglich zu löschen statt diese zu sperren.Could have fooled me. Sehr schön neusprechig ist auch der Absatz über Pressefreiheit.
Darüber hinaus stärken wir den Beschlagnahmeschutz für Journalisten. Künftig wird eine Beschlagnahme nur noch bei einem dringenden Tatverdacht gegen den Journalisten möglich sein.Na das ist doch mal großzügig!
Und natürlich reagieren sie auch auf die Prügelpolizisten-Affäre, indem sie die Prügelpolizisten besser schützen wollen durch Stärkung des Paragraphen 113 StGB, dem üblichen Instrument der Polizei gegen die, die Kritik vorzubringen wagen. Ich für meinen Teil halte den Paragraphen für vollständig überflüssig, denn die Polizisten haben bereits das Gewaltmonopol und wenn jemand mit einer Waffe gegen sie vorgeht, verletzt das das Waffenrecht, und auch Körperverletzung und co sind bereits so strafbar. Das ist ein reiner Willkürparagraph. Kein Wunder also, dass die Schwarze Pest ihn stärken will. Oh und das war es noch nicht mit Stärkung des Polizeistaates. Hier ist noch eine krasse Fehlentwicklung:
Wir werden eine gesetzliche Verpflichtung schaffen, wonach Zeugen im Ermittlungsverfahren nicht nur vor dem Richter und dem Staatsanwalt, sondern auch vor der Polizei erscheinen und - unbeschadet gesetzlicher Zeugenrechte - zur Sache aussagen müssen.Endlich, mehr Willkürinstrumente der Polizei gegen die Bevölkerung. Der Zwang zur Zeugenaussage bei der Polizei ist ja letztendlich Freiheitsentzug, weil man in der Zeit nicht tun kann, was man eigentlich tun wollte.
Oh und auch nicht sonderlich überraschend sollen das Patent- und Markenrecht weiter verstärkt werden, als ob das nicht schon jetzt viel zu stark wäre. Und falls sich jemand gegen diese ganzen Knebelvorschriften wehren will… auch daran haben sie gedacht und wollen die Prozesskostenhilfe zusammenstreichen. Am Ende gibt es dann noch eine Packung transatlantisches Brownnosing, ein paar "EU stärken" und "freier Binnenmarkt" Lippenbekenntnisse (kurz vorher schreiben sie, wie sie die Gesetze nicht harmonisieren wollen, weil das ein Standortvorteil Deutschland sei) und eine Runde "Wir bekennen uns zur besonderen Verantwortung Deutschlands gegenüber Israel als jüdischem Staat", gekrönt von diesem grandiosen Satz:
Die Bundeswehr ist ein wesentliches Instrument deutscher Friedenspolitik.Krasse Kacke. Und DIE habt ihr in die Regierung gewählt!
Update: Hier kommt gerade von Juristen die Zusatzinfo rein, dass §113 mit weniger Strafe bewährt ist als die sonst einschlägigen Paragraphen und es daher gut ist, dass es den gibt. Ich ziehe daher meine Kritik oben zurück.
Die Bußgelder für die Störung der "öffentlichen Ordnung" sollen verfünffacht werden, die Polizei soll Demonstranten bei bloßem Verdacht ordnungswidriger Absichten für zwölf Stunden in Vorbeugehaft nehmen können. Und für Straßenblockaden drohen Freiheitsstrafen von 40 Tagen ohne Bewährung. Mit diesen Maßnahmen will die dänische Regierung gegen Proteste vorgehen, die im Zusammenhang mit dem UN-Klimagipfel im Dezember in Kopenhagen erwartet werden.Wo kämen wir da auch hin, wenn Bürger protestieren könnten. Am Ende vielleicht sogar noch so nahe am Geschehen, dass Politiker das mitkriegen, dass jemand mit ihrer Politik unzufrieden ist!? Das geht selbstverständlich gar nicht. Wenn das der Franz Josef wüßte!
in Bezug auf die vorgesehene Zugangserschwerung […] hat das Bundesministerium des Inneren im Lichte des derzeit vor dem Verwaltungsgericht Wiesbaden anhängigen Verfahrens und des durch eine drohende Negativentscheidung zu befürchtenden Schadens sowohl für die Provider als auch für das BKA entschieden, auf vertraglicher Ebene nicht in den Wirkbetrieb zu gehen.Wenn ihr euch erinnert: das Gesetz regelt ganz klar, dass das BKA für aus der Zensur entstehende Schäden haftet. Und das wird 100% auch in den Verträgen drin stehen. So blöd ist hoffentlich kein ISP, ohne so eine Klausel so einen Vertrag zu unterzeichnen.
Der Teil mit dem "sowohl für die Provider" ist also eine dreiste Lüge und zeigt, worum es eigentlich geht: das BKA macht sich gerade in die Hosen vor Angst, dass ein trotziger ISP schlicht zu filtern anfängt, dabei (absichtlich) großflächig verkackt, dann einen Millionenschaden entstehen lässt, und dem BKA eine dicke Rechnung schickt. Ich betreibe ja leider keinen Provider, aber wenn ich einen hätte … *hust*
Update: Ah, netzpolitik hat die Mail veröffentlicht. Müßt ihr selber wissen, ob ihr die für belastbarer haltet als mein Rumgerüchten :-)
Nun, da mailt mir gerade der Betroffene ein Word File, das ich mal nach HTML konvertiert habe. Sein Blog findet ihr übrigens hier.
Ich zitiere mal den Knackpunkt:
Auch das Gericht äußerste seine erheblichen Zweifel, auf scheinbar affirmative und für alle überraschende Weise: Wenn es diesen V-Mann 123 gibt, dann sind die streitgegenständlichen G-10 Maßnahmen nicht begründet, sondern in besonderem Maße rechtwidrig.Nun muss man wissen, dass das seit vielen Jahren so läuft in Deutschland, dass sie Abhörmaßnahmen mit angeblichen V-Männern des Verfassungsschutzes begründen, die nach Seite bezahlt werden und daher gerne mal den Großteil des Materials frei erfinden. Mit diesem Lügengebäude begründet man dann das Telefonabhören. Und das Gericht sagt jetzt: ist illegal, unabhängig davon ob der jetzt gelogen hat oder nicht. Solange es einen V-Mann gibt, gilt der als geringerer Grundrechtseingriff als einmal Telefonabhören, und damit ist der Lauschangriff nicht rechtens.Diese Argumentation leitete das Gericht aus dem Prinzip der Subsidiarität ab, ein elementarer Rechtsgrundsatz, der sich aus dem Grundsatz zur Verhältnismäßigkeit ableite. Nach geltender Rechtsprechung stellen ›Beschränkungen‹ nach Art. 10 GG die Ultima Ratio, die schwersten Eingriffe in die Grundrechte dar. Erst wenn sich nachrichtendienstliche Mittel, zu denen auch der Einsatz von V-Männern zählt, unterhalb der Schwelle von Eingriffen in das Post- und Fernmeldegeheimnis als erfolg- und aussichtslos erwiesen haben, könne man von diesem Rechtsmittel Gebrauch machen.
Das ist natürlich in zweierlei Hinsicht ein Schlag ins Gesicht des Verfassungsschutzes. Erstens haben sie sich da ein Eigentor von geradezu biblischen Dimensionen geschossen, wenn sie sich diesen V-Mann 123 tatsächlich frei erfunden haben. Es besteht ja immer noch die Möglichkeit, die ich ja fast noch schöner fände, wenn es den V-Mann gibt, und der sich nur die Geschichte komplett aus dem Arsch gezogen hat. Zweitens wird damit ihr gesamtes Vorgehen komplett illegal. Mich erfüllt das ja mit einer gewissen Häme, dass denen endlich mal jemand das Handwerk legt.
Wie nicht anders zu erwarten, hat das Bundesinnenministerium umgehend Berufung gegen das Urteil eingelegt. Der Richter sagt in dem Urteil nämlich auch, dass sie nicht einfach nur V-Mann-Hörensagen nehmen können, um einen Lauschangriff zu machen, sondern:
Folglich müsse jede Anordnung »substantiiert und nachprüfbar begründet« werden, was selbstverständlich auch die Überprüfbarkeit und Verifizierbarkeit von ›tatsächlichen Anhaltspunkten« einschließt.Da herrscht beim "Verfassungsschutz" natürlich Heulen und Zähneknirschen, wenn sie ihre Beweislosigkeit und Inkompetenz nicht mehr hinter Floskeln und Geheimnisdeklarationen verstecken können. Man darf gespannt sein, ob sie in der nächsten Instanz auch so einbrechen.
Ich komme da jetzt drauf, weil es gerade wieder so einen Fall gibt: Jetzt beanspruchen Firmen in den USA Privatsphäre nach dem Freedom of Information Act, weil der schlecht formuliert ist.
Natürlich ist die offizielle Theorie bei sowas immer, dass die Politiker halt dumm wie ein Stück Brot sind, aber ich glaube das inzwischen nicht mehr. Ich glaube, dass das Absicht ist. Nicht der Politiker, die sind ja in der Tat dumm wie ein Stück Brot, aber die Lobbyisten wissen sehr genau, wie sie ihre Gesetze formulieren, die dann von den Politikern durchgewunken werden.
Ihr sollt nicht einfach den nicht hinterfragenden Saugnapf der Leichtgläubigkeit von spiegel.de zu blog.fefe.de umschwenken.
Ich habe nicht das Ziel, alle Dinge neutral darzustellen und beiden Seiten gleichen Raum für ihr PR-Krisenmanagement einzuräumen.
Insbesondere gibt es bei mir nicht für jedes offensichtliche Dementi ein Update, schon mal gar nicht, wenn das in dem Artikel selber als Update angehängt wurde oder in den Kommentaren steht.
Überhaupt gibt es hier keine Tatsachenbehauptungen sondern lediglich Meinungsäußerungen und Zitate von anderen Quellen. Wenn ihr also was richtiggestellt haben wollt, geht zu der verlinkten Quelle.
Also, liebe Wikipedia-Blockwarte. Geht mal schön zur Wikipedia zurück. Oder in die Heise-Foren. Oder wo man heute halt so abhängt und den Blockwart markiert.
PS: Falls ich doch mal was offensichtlich falsch dargestellt habt, und das nicht wie Satire, ein Scherz oder anderweitig Absicht aussieht, seid ihr natürlich weiterhin herzlich eingeladen, mich per Email darauf hinzuweisen.
Bei "vorwärts.de" kann man ja schon fast von Absicht ausgehen. Hier sind ein paar Screenshots von Google News: MDR, Handelsblatt, Deutschlandradio. Ich könnte mich da ja endlos drüber amüsieren :-)
Die Bundeswehr unterstützt die Mission nach eigenen Angaben hauptsächlich durch Absicherungskräfte am Rande des Landstrichs. Außerdem helfen Kampfjets der Schutztruppe Isaf bei der Aufklärung. Bisher haben die Jets noch keine Bomben abgeworfen. Meist reichte es, wenn die Maschinen recht tief über den Einsatzort flogen oder Leuchtmunition abfeuerten.Na DANN ist ja alles gut. Dann ist das ja kaum als echter Krieg zu bewerten, wenn unsere Flugzeuge noch nicht bomben. Wahrscheinlich bauen die da nur Schulen mit der Sprengmunition und den Panzern. Alles humanitäre Einsätze, müsst ihr wissen.
Update: Mich erreicht gerade noch der Hinweis, dass es "Leuchtmunition", wie die Bundeswehr sie angeblich bisher verschossen haben soll, nicht gibt. Es gibt "Leuchtspurmunition" (scharfe Munition mit glimmendem Geschossende, damit man in der Dunkelheit sehen kann, wo sie landet) und es gibt Signalmunition (leuchtet nur, richtet keinen Schaden an, kauft man beim Feuerwerks- und Partybedarf). Es ist wohl eher unwahrscheinlich, dass die in Afghanistan Sylvesterraketen verschießen. Hier hat also anscheinend jemand das "spur" aus dem Wort entfernt, um kleinzureden, was da bisher geschehen ist.
Update: Mir erklärt gerade ein Tornadopilot folgendes:
Zur Erklärung für Zivilisten: einem Tornado, der mit 900 km/h im Tiefflug nähert und einen mit Bordwaffen angreift, kann man sich schlecht ergeben. Tiefflugeinsätze in Afghanistan sind reine Exekutionskommandos. Die haben keine Chance, sich zu wehren, oder sich zu ergeben. Sobald sie einmal von der unserer Gefechtsleitung - warum auch immer - als "Ziel" identifiziert worden sind, hauen wir drauf. Hinterher hängen die Eingeweide dieser "Ziele" über den Telefonleitungen. Das macht die 27-Millimeter-Bordkanone von Walther. Das ist nicht zynisch. Das ist die Realität.
Wir werfen Flares, um das zu vermeiden. Die Afghanen wissen, was das bedeutet. Das verbirgt sich hinter der "Leuchtmunition".
The Foreign Ministry unveiled a new plan this week: Paying talkbackers to post pro-Israel responses on websites worldwide. A total of NIS 600,000 (roughly $150,000) will be earmarked to the establishment of an “Internet warfare” squad.
Soso, Internet Warfare, ja? U.a. deshalb habe ich hier keine Kommentarfunktion.
Update: Die Bahn hat alle vier Geschäftsführer gefeuert :-) (Danke, Tim)
Update: Auch die SPD Südhessen versucht es jetzt mit "Für Freiheit im Internet". Wieso haben die SPD-Abgeordneten aus Südhessen dann eigentlich für das Gesetz gestimmt? Für wie blöde halten die ihre Wähler eigentlich? (Danke, Stefan)
Immerhin: die Richter machen deutlich, wie sie das Gesetz ausgelegt sehen wollen.
Nach ihren Worten gelten die Vorschriften aber nur für Programme, die mit illegaler Absicht entwickelt wurden. Allein die Eignung eines Programms zur Verwendung für einen Hackerangriff mache dessen Einsatz noch nicht strafbar, heißt es in dem am Freitag veröffentlichten Beschluss (Az: 2 BvR 2233/07, 1151/08 und 1524/08, Beschluss vom 18. Mai 2009).Das ist ja schon mal die halbe Miete.
Bundesforschungsministerin Annette Schavan (CDU), formal auch für Bildung zuständig, kritisierte die Demonstrationen der Studenten und Schüler in einem Radiointerview. Die Proteste seien "gestrig", sagte sie im Bezug auf die Kritik an der Einführung von Bachelor- und Masterstudiengängen. Der Bologna-Prozess sei "alternativlos" und biete viele Chancen.Immerhin gibt es einen Pluspunkt für das ehemalige Nachrichtenmagazin für das Wörtchen "formal" in dem Kontext :-)
Aber Spaß beiseite, die haben da gerade eine gesamte Generation gegen sich aufgebracht. Erst die Vorratsdatenspeicherung, dann die Internetzensur, und jetzt die Bildung, das geht alles gegen die selbe Generation: unseren Nachwuchs. Die alten Säcke verstehen zu wenig von den Dingen um sie herum, um zu kapieren, dass sie davon genau so betroffen sind. Und leider sieht unsere Demographie so aus, dass die Alten die Mehrheit sind. So weit ist es gekommen, dass man ernsthaft auf das Wegsterben der Politiker setzen muss, wenn man über Auswege aus dem Unglück nachdenkt, dass sie über uns gebracht haben.
Wer Kinder hat, sollte jetzt mit dem Geld für die Bildung der Kinder zurücklegen anfangen. Denn von diesem Staat kann man ja offensichtlich nichts erwarten. Ich habe fast den Eindruck, dass die absichtlich die Jugend verblöden wollen, damit die nicht merken, dass wir ihre Zukunft schon vor Jahren zerstört haben. U.a. mit dem immensen Schuldenberg, den wir auf ihren Schultern aufgeschüttet haben. Und diese Nichtsblicker erwarten auch noch, dass die Jugend ihre Renten zahlen wird!
Update: Um da mal einen schlauen Spruch eines Freundes zu zitieren, der die Situation perfekt auf den Punkt bringt:
Eltern haften für die Bildung ihrer Kinder!
Hier sind die Fragen:
1. Wie ist Ihre Einschätzung der chinesischen Pläne?Die Frage ist, ob die Chinesen diese Software lediglich zur Verfügung gestellt bekommen (und sie auch einfach deinstallieren können), oder ob ihre Verwendung vorgeschrieben wird.
Wir proklamieren schon lange, dass Filtern der Realität beim Einzelnen oder gar nicht stattzufinden hat. Wenn jemand nicht in die Zeitung gucken möchte, steht ihm das frei. Wenn jemand sein Internet mit dieser Software filtern möchte, ist das auch OK. Solange der Einzelne über die Verwendung der Software entscheidet, haben wir keine prinzipiellen Einwände.
Wenn die Regierung sich aber anmaßt, das für die Bürger entscheiden zu wollen, dann ist das ein grundsätzlicher Eingriff in die Rezipientenfreiheit und wie die anderen klassischen Merkmale von Diktaturen aufs Schärfste zu verurteilen. In Deutschland kennen wir das z.B. aus der NS-Zeit (in den 30 Jahren wurde im Rundfunk die Ausstrahlung von "Nigger-Jazz" verboten, und später gab es dann ein generelles "Feindsenderverbot") und der DDR (wo der Empfang von Westsender teilweise unter Strafe stand). Die DDR hat sogar Mittelwellen-Störsender betrieben, um den Empfang von unerwünschten Inhalten zu verhindern. Konzeptionell genau das selbe ist auch die Internetzensur-Infrastruktur, deren Betrieb durch das BKA gerade in Deutschland unter dem Vorwand der Verfolgung von kinderpornographischen Inhalten diskutiert wird.
2. Im Hinblick auf das Bestreben kinderpornographische Inhalte aus dem Internet zurück zu drängen, wäre dies auch ein möglicher Ansatz für Deutschland?Nein, und zwar gleich in mehrfacher Hinsicht. Aber lassen Sie mich vorweg darauf hinweisen, wie stark wir unseren freiheitlich-demokratischen Rechtsstaat schon ausgehöhlt haben, dass sich diese Frage für Sie überhaupt stellt! Noch vor einem Jahr waren unsere Journalisten und Medien schockiert und voll des Zornes, weil sie bei der Berichterstattung von den Olympischen Spielen nur zensiertes China-Internet hatten. Damals war für alle Beteiligten klar, dass Internetzensur eine unwürdige Sache ist, die bei uns niemals denkbar wäre, eine Schande für jede Demokratie und ein klares Zeichen, dass es sich in China eben nicht um eine Demokratie und nicht um einen Rechtsstaat handelt. Wir vom CCC haben damals eine Zensurumgehungsanleitung für Journalisten in China veröffentlicht. Heute braucht man diese Anleitung auch im Inland. Empfehlungen wie TOR galten früher für Blogger in China und dem Iran, heute werden auch Reporter in Deutschland auf die Benutzung davon geschult.
Wenn die Installation dieser chinesischen Filtersoftware Pflicht ist, haben wir das selbe Ergebnis wie die zentrale Internet-Zensur, mit der unsere Regierung ja gerade in Online-Umfragen Schiffbruch erleidet. Das ist ein Eingriff in die Rezipientenfreiheit und jedes demokratischen Rechtsstaates unwürdig. Die selben Politiker, die das jetzt fordern, haben vor einem Jahr anläßlich der olympischen Spiele in China entrüstet die Internetzensur international ächten wollen und sie haben sogar über Zensurumgehungs-Hilfsprogramme für die armen Zensuropfer in China nachgedacht. [Quelle 1, Quelle 2]
Heute müssen sich die selben Herren von China ins Gesicht sagen lassen, dass unsere Zensur ja genau das selbe sei wie deren Zensur, und das stimmt! China sperrt ja nicht willkürlich irgendwelche Seiten, sondern die haben genau wie wir Gesetze, nach denen diese Seiten illegal sind. Die Chinesen sperren illegale Seiten, und wir sperren illegale Seiten. Inhaltlich ist das in der Tat genau das selbe. Die ganze Sache ist so peinlich, dass die Chinesen so erfolgreich das Thema Internet-Zensur von der Agenda des Internet Governance Forums gekriegt haben.
Und wenn die Installation der Filtersoftware nicht Pflicht ist, dann bringt sie auch nichts. Kinderpornographische Inhalte laufen einem ja nicht zufällig beim Klicken über den Weg, da muss man explizit nach suchen, und man muss auch wissen, wo man suchen muss. Wer Kinderpornographie im Internet konsumiert, der tut das absichtlich und vorsätzlich. So jemand würde natürlich auch diese Software abschalten.
3. Falls nicht, welche Vorschläge haben Sie für diesen Bereich?Wir halten die bestehenden Gesetze für völlig ausreichend. Wenn ein Bürger Kenntnis davon erhält, wo man auf kinderpornographische Schriften zugreifen kann — ob inner- oder außerhalb des Internet! —, dann geht er zur Polizei und teilt denen das in Form einer Strafanzeige mit. Die gehen dann los, beschlagnahmen den Server und verhaften die Betreiber.
Das häufig vorgebrachte Argument, man käme im Ausland an die Server nicht heran, hält einer genaueren Betrachtung nicht stand. Denn die Hochtechnologie-Länder, die ausreichend Internet-Anbindung haben, um dort Server-Hosting (auch für legale Inhalte) überhaupt stabil und bezahlbar anbieten zu können, das sind eben keine Bananenrepubliken und korrupten Drittweltstaaten. In diesen Ländern sind solche Inhalte auch verboten, dort gibt es eine Polizei und eine Strafverfolgung, und dort kann man sich auch darauf verlassen, dass der Staat bei einer eingehenden Anzeige tätig wird. Untersuchungen zeigen, dass nur ein verschwindend geringer Anteil von solchen Inhalten auf Servern außerhalb der USA und der EU liegen, und sogar ein Land wie Russland ist inzwischen soweit, dass ein Server mit solchen Inhalten nach einem Hinweis aus Deutschland innerhalb von 1-3 Tagen vom Netz ist.
Zum Vergleich: der Verwaltungsakt innerhalb der Polizei und Strafverfolgung, bis eine Anzeige auf dem geordneten Dienstweg über Ländergrenzen transportiert wird, liegt im Bereich von einem Monat aufwärts.
Aus unserer Sicht ist es daher unredlich, hier überhaupt so zu tun, als gäbe es gesetzgeberischen Handlungsbedarf. Was wir brauchen ist mehr Druck auf die zuständigen Behörden im In- und Ausland, damit die im Zweifelsfall auch ohne Verzug tätig werden.
4. Welche Folgen hätte eine solche Maßnahme im Bereich des "freien Internets"?Die Idee, dass irgendein Teil des Internets "frei" ist, stimmt schon lange nicht mehr.
Im Detail unterscheiden sich zwar die Ansichten, welche Inhalte genau verboten sind (so ist Holocaust-Leugnen z.B. bei uns verboten, aber nicht in den USA), aber letztlich gibt es in jedem Land verbotene Inhalte. Wenn man solche Inhalte dort im Internet (oder außerhalb des Internets auf offener Straße) anbietet, dann kommt die Polizei und unterbindet das.
Die Stellen, bei denen sich die Welt nicht einig ist, erzeugen natürlich Reibung, können aber auch eine Gelegenheit für wichtige Diskussionen sein. So gibt es z.B. regional unterschiedliche Auffassungen, ob das Verbot von Zeichnungen oder textuellen Beschreibungen von Sex mit Kindern tatsächlich Kinder schützt und daher verboten werden muss. In den USA fielen solche Texte unter freie Meinungsäußerung. Bei uns sind ja sogar pornographische Darstellungen von jugendlich aussehenden Erwachsenen unter Strafe gestellt, das kann man in vielen anderen Ländern nicht nachvollziehen.
5. Welche Folgen sehen sie für andere Bereiche, wie bsp. für die freie Meinungsäußerung?Es besteht kein Zweifel, dass man den Missbrauch von Kindern verhindern muss, wo es nur geht. Und so gut wie niemand würde es als geschützte Meinungsäußerung werten, wenn ein Pädophiler Fotos von mißbrauchten Kindern verbreitet.
Letztlich ist aber die ganze Kinderpornographiedebatte nur eine Scheindebatte zu Wahlkampfzwecken, weil nur von ca einem Prozent der Missbrauchsfälle überhaupt Fotos oder Filme hergestellt werden. Selbst wenn wir das also zu 100% austrocknen und die Täter alle dingfest machen, dann haben wir immer noch 99% der mißbrauchten Kindern nicht geholfen.
Das muss man sich bei der Bewertung der Vorschläge immer vor Augen halten. Wenn es hier also tatsächlich darum geht, den Missbrauch von Kindern zu verhindern, ist das Internet nicht der Tatort, an dem wir kämpfen müssen. Die Kriminalstatistik zeigt, dass es 2007 12.772 Fälle von Kindesmißbrauch gab, aber nur 103 davon zur Herstellung und Verbreitung von pornographischen Schriften. Die Anzahl der Fälle ist seit Jahren fallend, die Aufklärungsquote ist gleichzeitig stetig gestiegen und liegt 2007 bei 89%. Die Polizei ist also auf dem richtigen Weg. Unsere Steuermittel sollten in die Polizeiarbeit fließen, in Hilfe für Pädophile, damit sie nicht zu Tätern werden, in Hilfe für Missbrauchsopfer, und in Aufklärungskampagnen, damit Familienmitglieder die Zeichen erkennen und handeln können.
Abgesehen davon: wir haben es bei den diskutierten technischen Zensurmitteln im Internet mit einer Einschränkung der Rezipientenfreiheit zu tun, und nicht mit einer Einschränkung der Meinungsäußerung. Es wird ja gerade nicht verhindert, dass die Bilder angefertigt und ins Internet gestellt werden, nur dass der Durchschnittsbürger sie dort angucken kann (und es ist nicht einmal klar, ob dieses Ziel erreicht würde). Das hilft weder dem Kind noch wird der Täter so gefasst und an weiteren Missbrauchsdelikten gehindern.
Die freie Meinungsäußerung ist ein hohes Gut, das in Deutschland viel zu gering geschätzt wird (wir haben z.B. keinen Whistleblower-Schutz), aber in diesem Fall geht es nicht um die Meinungsäußerung sondern um Rezipientenfreiheit.
3.3.1. Bedarf an der Normierung einer Ermächtigungsgrundlage zur Durchführung einer repressiven Online-DurchsuchungUnd es geht noch spannend weiter:Konkreter Bedarf für eine Online-Durchsuchung wird ausweislich der Fragebögen für die folgenden Fallkonstellationen gesehen:
- Sicherung bereits abgeschlossener, verschlüsselt gespeicherter Kommunikation (auch teilweise als "geronnene" Kommunikation bezeichnet), z.B. Daten aus zurückliegendem E-Mail-Verkehr, ICQ-Gesprächsverlauf, z.Z. mittels Steganographie und PGP;
- Sicherung von Dokumenten vor der Ver- bzw. nach der Entschlüsselung. Hierzu gehören auch:
- die Nutzung von privaten Postfächern mit geschlossenem Nutzerkreis ohne Datenaustausch und damit — mangels Kommunikation — ohne Möglichkeit einer TKÜ, sofern die Daten lokal auf einem Rechner gespeichert sind, und
- Straftaten, bei denen tatrelevante Daten nicht im Netz, sondern lokal auf der Festplatte gespeichert sind, z.B. bei Attentatsvorbereitungen, wenn ein offenes Herangehen an den Rechner ausgeschlossen ist, da die Offenheit der Maßnahme weitere Ermittlungsansätze vereigeln würde.
- Sicherung unverschlüsselter Daten, wenn der PC gewohnheitsmäßig nach Benutzung verschlüsselt wird;
- Feststellen von Passwörtern und genutzten Programmen (insbesondere wichtig bei Verwendung von Steganographie und PGP) zur Entschlüsselung von Daten
Die Erforderlichkeit von Online-Durchsuchungen ergibt sich nach den Evaluationsergebnissen unter anderem daraus, dass Tatverdächtige oftmals Passwörter für ihren Rechner nicht preisgeben und folglich — jenseits taktischer Erwägungen — eine offene Durchsuchung (§§ 102 ff. StPO) mit anschließender Beschlagnahme (§§ 94, 98 StPO) und Datenauswertung bei einem passwortgeschützten Rechner von vornherein keinen Zugang zu den gespeicherten Daten ermöglicht.Das ist natürlich eine dreiste Lüge. Selbstverständlich kommt man auch ohne Passwort an die Daten auf dem Rechner dran. Außer wir sprechen hier von einer PGP Passphrase oder sowas. Oder jemand benutzt Truecrypt oder Bitlocker. Lacher am Rande:
Außerdem besteht die Möglichkeit einen Rechner derart zu konfigurieren, dass bei Starten des Rechners durch einen fremden Nutzer bzw. in einer anderen als der üblichen Reihenfolge die Daten automatisch gelöscht werden und nach dem Löschen nicht wieder herstellbar sind. Auch in diesen Fällen wäre eine Durchsuchung nicht Erfolg versprechend.Da sprechen wohl gerade die Oberhauptkommissare Moe, Larry und Curly?
Aber abgesehen davon von den vielen Gründen, warum man sich über diese Leute lustig machen sollte: der Kernpunkt ist, dass sie plötzlich so tun, als könne man mit einem Bundestrojaner gerichtsfeste Beweise beschaffen. DAS ist der eigentliche Skandal. Das stimmt natürlich überhaupt rein gar nicht, weil nicht beweisbar ist, dass der Trojaner nicht die "Beweise" selbst dort hinterlegt hat, ob nun absichtlich oder nicht. Man könnte sich z.B. ein Szenario denken, bei dem die Chinesen einen Rechner über eine Lücke im Bundestrojaner übernehmen.
Aber tut mir leid, ich kann nicht anders, ich muss noch mehr humoristische Details posten:
Schwierigkeiten bereite das Sicherstellen von auf dem Computer bearbeiteten und anschließend auf externen Medien gespeicherten Dateien (z.B. USB-Stick), da diese Speichermedien bei einer konventionellen Durchsuchung aufgrund ihrer Größe häufig nicht gefunden werden könnten.Wie meinen?! Die BESTEN der BESTEN der BESTEN, SIR! Spezialexperten, wo man hinguckt. Und dann schreiben sie noch, dass man vor einer offenen Durchsuchung erst mal eine verdeckte braucht, damit man weiß, wo man gucken muss. Un-faß-bar. Und, mal unter uns, schon deren Sprache sagt ja eigentlich alles. "Ermächtigungsgrundlage zur Durchführung einer repressiven Online-Durchsuchung". Keine weiteren Fragen.
Update: Wikileaks ist überlastet, daher hostet auch der CCC ne Kopie.
"An den unentgeltlich von Pädophilen verbreiteten Seiten sind wir gar nicht interessiert." Mit dieser Auskunft überraschte der Kriminalbeamte Harald Gremel Mittwochabend. Der seit 2005 bei der Zentralstelle zur Bekämpfung der Kinderpornografie im österreichischen Bundeskriminalamt tätige Beamte hatte auf Einladung des Branchenverbandes Internet Service Provider Association Austria (ISPA) an einer Podiumsdiskussion zum Thema Sperren im Internet teilgenommen.What the…!?!? Nicht nur jagen die einem Phantom hinterher, sie ignorieren auch noch das tatsächlich existierende Problem! Die haben es echt geschafft, noch mal eine Runde sinnloseren Aktionismus zu fahren als wir Deutschen. Un-glaub-lich.
Mich als Verschwörungstheoretiker interessiert daran ja vor allem, ob die wirklich so unsagbar dämlich sind, oder ob die das absichtlich machen, damit sie auch einen ungewinnbaren War On Terror haben, mit dem sie auf Jahrezehnte hinaus ihre Finanzierung begründen können.
Update: Nicht nur die Uni Kiel macht das, sondern auch die TU Dortmund, die Uni Ulm, die FH Konstanz, die Uni Paderborn, die Uni Stuttgart, die Uni Duisburg-Essen, und noch einige andere.
The Scientist has reported that, yes, it's true, Merck cooked up a phony, but real sounding, peer reviewed journal and published favorably looking data for its products in them. Merck paid Elsevier to publish such a tome, which neither appears in MEDLINE or has a website, according to The Scientist.
Was mich ja an dieser Geschichte am meisten freut: das zerstört mit einem Schlag die Idee, dass das Internet in wissenschaftlichen Dingen weniger seriös oder glaubwürdig sei als althergebrachte Verlage. Da hat Elsevier sich selbst das Grab geschaufelt.
Dass diese Schutzmechanismen unseren Politikern im Wege sind, ist auf der einen Seite ein schlechtes Zeichen, weil es heißt, dass unsere Politiker amoklaufen. Es ist aber auch ein gutes Zeichen, weil es heißt, dass sie funktionieren, die Schutzmaßnahmen.
Also. Lasst euch von Nebelwerfern wie "Bürokratieabbau" nicht irritieren. Demokratie hat nicht das Ziel, effizient zu sein. Demokratie hat das Ziel, gerecht zu sein. Lasst euch das nicht wegnehmen.
Right-wing terrorist attacks were not reported in 2008.Ob das damit zusammen hängt, dass die Strafverfolger, die diese Statistik gemacht haben, alle eher rechts sind? Wenn Nazis jemanden verprügeln ist das eine Körperverletzung, wenn Linke online Schwimmbeckenreiniger kaufen, ist das ein versuchter Terroranschlag.
Aber ein paar wichtige Erkenntnisse aus dem Report will ich euch nicht vorenthalten:
The use of the Internet has become pivotal in all types of terrorism. It offers anonymity in the exchange of information, making it easy for these organisations to communicate and spread propaganda.
Und da haben wir es: wer anonym kommunizieren will, muss ein Terrorist sein.Women play an important role as associates in supporting terrorist organisations (translating texts on websites, providing their names for subscriber registration, acting as couriers, spreading propaganda, arranging marriages of convenience, etc.). Their contribution should not be underestimated.
Na endlich spricht das mal einer aus. Wenn die Frauen nur alle wieder ordentlich zurück an den Herd gehen würden, dann hätten wir diese ganzen Probleme nicht!1!!Und guckt nur, was für furchtbare Schandtaten den Frauen da vorgeworfen werden! Sie haben ihren Namen für Abos / Mobilfunkverträge hergegeben! Alle ab in den Knast, sofort!! Oh und sie haben Texte übersetzt! Für dieses Sakrileg ist man im Mittelalter noch als Ketzer verfolgt worden! Warum sollte das heute anders sein?! Und als Kuriere sollen sie gehandelt haben! Dieser Kritikpunkt kommt wahrscheinlich von jemandem, der noch nicht mitgekriegt hat, dass das Postmonopol gefallen ist. Und dann Propaganda-Verbreiten, das geht nun wirklich nicht. Für sowas haben wir doch ehemalige Nachrichtenmagazine! Und Scheinhochzeiten, also wirklich, schämt euch, ihr fiesen gesetzlosen Terrorfrauen!
Der Reihe nach: Niemand hat behauptet, das DENIC habe die Domain gesperrt. So sah das noch nie aus, denn wenn ich beim DENIC säße und eine Domain plattmachen wollen würde, würde ich versehentlich den Eintrag in der .de-Zone verlieren oder so, jedenfalls würde es nicht wie Absicht aussehen. Und dann würde sich ein Domaingrabber die Domain greifen und da Pornos oder Trojaner verbreiten, und dann wäre die Domain verbrannt.
Nein, das war von Anfang an klar, dass da der Registrar, bei dem die Domain angemeldet war, oder der ISP, über den der Deal lief, die Domain fallen gelassen hat. Und da lag und liegt immer noch die Vermutung nahe, dass da jemand von außen nachgeholfen hat. Ich stelle mir das ungefähr so vor:
*klingel*Dieses Vorgehen hätte auch den großen Vorteil, dass der Provider die Schnauze hält, denn er kann ja schlecht der Presse sagen, hey, wir haben Kinderpornos gehostet und nichts gemerkt, bis das BKA bei uns anrief.Ja hallo?
Guten Tag, hier ist das Bundeskriminalamt. Sie hosten da gerade unter wikileaks.de Kinderpornographie. Wenn Sie die Domain schnell wegmachen, sparen wir uns die Durchsuchung.
*domainlösch*
Der Provider sagt, er habe fristgemäß gekündigt. Ich weiß ja nicht, wie euch das so geht, aber wenn mein Provider mir mitteilt, dass er demnächst alle meine Domains auf den Boden fallen lässt, das würde ich dann schon mitkriegen. Hier steht also im Moment Aussage gegen Aussage. Und solange das so ist, erübrigen sich weitere Berichterstattung dazu.
Ich persönlich halte die Ansage des ISPs für nicht glaubwürdig. Denn das ist genau das, was ich sagen würde, wenn ich wikileaks.de plattgehauen hätte, und mich da plötzlich und unerwartet jemand von Heise zu befragen würde. Beweisen muss man da auch nichts, man behauptet einfach, man habe das per Email gemacht, und das muss dann wohl der Spamfilter auf der Gegenseite verschluckt haben. Dass ein ISP Mailserver-Logs manipulieren kann, das muss ich hier glaube ich niemandem erklären. Und da das auch noch im Jahr 2008 war, bestand da auch noch keine Vorratsdatenspeicherungspflicht. Was für ein erfreulicher Zufall für den ISP. Anfang Dezember haben die für Ende März gekündigt. Das finde ich schon mal ungerade, aber gut. Und dann noch zwei Wochen weiter laufen lassen. Weil Ostern war oder wie? Nee, tut mir leid.
Hat sich Wikileaks mit der Zensur-Presseerklärung zu weit aus dem Fenster gelehnt? Kann man finden. Ich finde es nicht. Um nicht zu sagen: kann ich nachvollziehen, die Reaktion. Und ein laues Dementi des Providers gegenüber Heise würde ich auch nicht zum Anlass nehmen, da irgendwas zurück zu rufen.
Aber mal unabhängig von Wikileaks: mir gehen ja gerade die Leute tierisch auf den Sack, die da jetzt groß einen auf "told you so" machen. Erstens: Nein, hast du nicht vorher gesagt. Zweitens: die Faktenlage ist nicht besser als vorher. Drittens: den anderen mangelnde Recherchen und voreiliges Schlüsseziehen vorwerfen und dann selber unrecherchiert und voreilig schlussfolgernd auf eine Heise-Meldung hin die Aussage des Providers als Fakten hinzunehmen, obwohl es eine Gegenaussage des Domainbesitzers gibt, … das würde sogar einem Spiegel-Redakteur auffallen, dass das ein Widerspruch ist.
Überhaupt, AGB-Verletzung, dass ich nicht lache. Das ist die Standardausrede von Billig-Providern, wenn sie Kunden loswerden wollen. Das war z.B. schon immer die Standardbegründung, wenn Flatrate-Anbieter "Vieluser"-Kunden rauskanten wollten. Da muss schon mehr kommen als so eine Platitüde, so eine auf-F-Taste-gelegter-Textblock Standardausrede.
Nochmal zum Mitmeisseln: ich halte Denic für gänzlich unschuldig, im Gegenteil muss man deren Transit-Verfahren loben, sonst wäre die Domain jetzt nämlich tatsächlich eine Trojanerschleuder in Spammerhänden. Ob der Provider Mist gemacht hat oder nicht, wird sich noch zeigen müssen. Bisher sieht es für mich so aus. Wenn es so abgelaufen ist, wie ich das oben skizziert habe, würde ich denen trotzdem nur eine Teilschuld geben. Dann den Schwanz einzuziehen und die Domain zu canceln ist eine sehr menschliche Reaktion. Es hat nicht jeder das Zeug zum Helden und zu zivilem Ungehorsam. Mal ganz pragmatisch gesprochen: wenn das BKA bei einem Provider eine "Hausdurchsuchung" macht und da einmal das Equipment rausträgt, am besten noch inklusive der Rechner und Daten unbeteiligter Kunden, dann ist der ISP tot. Da hat sich unsere Junta einfach mal den längeren Hebel gegeben.
Update: AHA, es kommt Licht ins Dunkel. Wikileaks hat noch eine Erklärung herausgegeben und jetzt sieht das schon ganz anders aus. Der Domaininhaber hat da über seinen Provider versucht, die Domain bnd.de zu sich zu transferieren, und deshalb hat der Provider ihm gekündigt. Das ist immerhin eine nachvollziehbare Begründung, auch wenn sich mir nicht direkt erschließt, wieso das jetzt ein Vertragsbruch sein soll. Immerhin hat der BND sofort widersprochen und damit war das ohne Schaden für irgendjemanden vom Tisch. Unter diesen Umständen frage ich mich aber schon, wieso Wikileaks in der Presseerklärung behauptet, sie hätten von nichts gewußt. Der Zeitpunkt kam überraschend, aber dass sie da gekündigt würden, war angesagt. Und dass mündliche Zusagen nicht das Papier wert sind, auf dem sie stehen, das weiß ja wohl auch jeder, der schon mal mit der Telekom-Hotline telefoniert hat. Kurz gesagt: JETZT könnte man über ein "told you so" nachdenken. :-)
Er schreibt da unter anderem, dass die Landeschefs absichtlich verhindert haben, dass der Bund die Bank rechtzeitig rettet, weil dann ihre Anteile verwässert worden wären, und sie die Dividenden fest in ihre Budgets eingeplant hatten. Außerdem hätten erst die Dividendenforderungen der Landeschefs als Hauptaktionäre dafür gesorgt, dass die Bank auf spekulative Müllpapiere gesetzt hat. Und schließlich klärt er über eine Strategie auf, die ich sehr wichtig finde: die wollten gar keine Zahlen hören, wie schlimm das ist. Damit sie im Zweifelsfall behaupten können, sie seien nicht informiert gewesen. (Danke, Mathias)
(3) Die Diensteanbieter trifft kein Verschulden, wenn im Rahmen der Durchführung der Maßnahmen zur Erschwerung des Zugangs auch Seiten gesperrt werden, die keine Kinderpornographie enthalten.Das wird schon direkt einkalkuliert und ins Gesetz geschrieben. Wenn das Volk das sieht, fängt es womöglich zu denken an, und fragt sich, ob hier überhaupt Kinderpornographie gesperrt werden soll, oder ob es nicht um ein Feindsenderverbot geht. Das kann sich ja jeder vorstellen, wie das BKA dann im Einzelfall haftet, wenn blog.fefe.de versehentlich auf der Zensurliste landet.
Übrigens ist blog.fefe.de auch per IPv6 und https erreichbar (und https über IPv6). So langsam kann man es sich ja kaum noch leisten, nicht https anzubieten.
Aber zurück zu dem Internetzensurgesetz. Ihr werdet nicht glauben, womit die das Begründen. Achtung, festhalten:
Die Dimension der Verbreitung von Kinderpornografie über das Internet in Deutschland verdeutlicht die Anzahl der Beschuldigten in einzelnen großen Ermittlungskomplexen allein in Deutschland (z.B. Operation Marcy: 530; Operation Penalty: über 1.000; Operation Mikado: 322; Operation Himmel: 12.000; Operation Smasher: 987) (vgl. hierzu die Pressemitteilung des) Bundeskriminalamtes vom 27. August 2008 zu aktuellen Entwicklungen im Bereich schwerer und organisierter Kriminalität).JA! Sie benutzen wirklich Operation Himmel, das größte Debakel der Geschichte des BKA, wo sie am Ende so gut wie niemanden anklagen konnten, als Begründung!
Aber halt, geht noch weiter:
Die technologieneutrale Ausgestaltung des Gesetzentwurfes geht mit Blick auf beabsichtigten Vereinbarungen davon aus, dass lediglich - möglichst „grundrechtsschonend" - die so genannte DNS-Sperre eingesetzt wird. Diese Sperrtechnik ist nach diesseitiger Auffassung nicht mit einem Eingriff in das durch Art. 10 GG geschützte Fernmeldegeheimnis verbunden, weshalb auch keine Ausnahmeregelungen zu § 88 TKG in dem Entwurf enthalten sind.Seht ihr? DNS-Manipulation ist kein Eingriff ins Fernmeldegeheimnis! Das ist gut zu wissen. Dann hätte der Bundestag sicher auch nichts dagegen, wenn jemand ihren DNS-Server manipulieren würde, oder? Immerhin fällt ihnen selber auf, dass sie da keine Argumente für haben, daher:
(Anmerkung: Hier muss ausführliche Begründung folgen über DNS-Sperre und Gründe, weshalb damit kein Eingriff in Art 10 GG damit auch $88 TKG irrelevant ist, s. hierzu im Wesentlichen Stellungnahme der Ressorts BMI, BMFSFJ und BMWi vom 19.02.09)Argumente gibt es nicht, daher verweisen wir auf Aussagen von uns selbst. Das werde ich auch mal mit dem Finanzamt probieren. Nein, ich muss keine Steuern zahlen dieses Jahr. Warum nicht? Meine linke Hand hat mir das gesagt!
Alongside child porn, bestiality, rape and extreme violence sites, the list includes a slew of online poker sites, YouTube links, porn sites, Wikipedia entries, sites on euthanasia, fringe religions, fetishes, Christianity, the website of a tour operator and even a dentist.
Muharharharhar, der Zahnarzt hat auch eine Theorie, wie er auf die Liste kommt. Dem ist vor ein paar Jahren der Webserver von ein paar Russen gehackt worden, und die hatten da Pornos hochgeladen. Tolle Wurst.
We have a number of interesting results, but perhaps the most striking is that although phishing websites impersonating banks are generally removed in a couple of hours, the mean lifetime for a website hosting child abuse images is almost a month and even the median (the time by which half of the sites are removed) is 12 days.
Das liegt nicht daran, dass die ISPs so lahmarschig sind, sondern dass die Kinderporno-Strafverfolger zu inkompetent sind, über Ländergrenzen hinaus einfach mal einen abuse-Report an den ISP zu schreiben. Stattdessen verwaltet man lieber seine nationalen Filterlisten, und wenn es hoch kommt gibt man eine Meldung über die internationale Polizei-Bürokratie weiter.Besides this issue, we have a number of other interesting results in the paper (so do read it!) For example we looked at “mule recruitment websites” — with job adverts for payment processors who will be conned into handling the proceeds of phishing scams in the belief that they’re handling payments for legitimate companies. These sites are only taken down by volunteer (amateur) efforts — since they don’t attack any particular bank, but the whole industry, no particular bank is prepared to put in any effort to remove them. Unsurprisingly, their average lifetime is 13 days (mean 8 days) — far longer than the phishing websites — which is not good news for gullible consumers.
(Danke, Thomas)
Der Frankfurter Flughafenbetreiber Fraport hat Journalisten bei ihrer Arbeit gefilmt – der hessische Datenschutzbeauftragte kritisierte die Videoüberwachung am Dienstag als rechtswidrig. Fraport bestreitet einen gezielten Spähangriff.Ach es war gar nicht gezielt, wie bespitzeln alle! Na dann ist das natürlich was ganz anderes.
Richter Rudolf Mellinghoff sagte, er verstehe "nicht so recht", wie der Bundestag durch die Übertragung von Kompetenzen an die EU "Handlungsmöglichkeiten zurückgewinnen" könne. Dies hatte zuvor der Prozessvertreter des Bundestags, der Staatsrechtler Franz Mayer, behauptet.Äh whut? Wir geben Kompetenzen ab, um so Handlungsmöglichkeiten zurückgewinnen? Dieses Ausmaß der Verblendung, Inkompetenz und absichtlicher Desinformation kennt man sonst nur von Schäuble!
Alter one of the parameters and you have access to EVERYTHING: users, activation codes, lists of bugs, admins, shop, etc.
Und DIE sollen die Windows-Rechner der Welt absichern?!
Das Problem: kriegt ja hier keiner mit, und der Terrorist an sich hat ja als Ziel, die Bevölkerung zu erreichen. Wenn da jetzt also niemand darüber berichten würde, gäbe es keinen Terror. Aber dafür haben wir ja den Herrn Musharbash. Der Spiegel trägt hier deutlich stärker zur Terrorisierung der deutschen Bevölkerung bei als "Al Kaida" und ihre obskuren Webforen irgendwo am Arsch der Welt. Was für ein armseliger Pseudojournalismus. Wie lange solche Experten da wohl rumgraben müssen, um so ein Video zu finden? Mir persönlich stellt sich ja auch die Frage, wieso die eigentlich Besuche im Terrorcamp unter Strafe stellen wollen, aber nicht die ganze "WIR WERDEN ALLE STÖRBEN" Journallie. Vielleicht sollte das mal jemand als kleine Anfrage im Bundestag bringen. Das wäre sicher spannend, wie sie sich da rauswinden. Denn die Wahrheit können sie ja dann schlecht bringen, dass sie ihr Volk absichtlich terrorisieren, damit sie Stinkbomben wie das BKA-Gesetz oder die Vorratsdatenspeicherung durchkriegen können.
Übrigens, mein persönliches Highlight aus der Israel-Propaganda:
"Our fight is not with the people of Gaza," Olmert said at the Tel Aviv press conference following the cabinet meeting.
Nee, Herr Olmert, das sieht man deutlich. Und falls es jemand nicht auf Anhieb glaubt, sagt er es noch mal:"We did not go to war to fight the people of Gaza," he said.
Das war alles eine Verkettung unglücklicher Umstände!1!! Müssen die auch alle ausgerechnet da wohnen, wo wir unsere Phosphorbomben ausprobieren?
Damit soll vor allem das Verbreiten oder das Anpreisen von terroristischen "Anleitungen" – beispielsweise über das Internet – erfasst und mit bis zu drei Jahren Haft bestraft werden können. Die Umstände müssen dabei laut dem Kabinettsentwurf "objektiv" geeignet sein, die Bereitschaft anderer zu fördern oder zu wecken, eine schwere staatsgefährdende Gewalttat zu begehen. Auf die Absicht des Täters werde dagegen nicht mehr abgestellt.Soso, objektiv geeignet. Das klingt für mich nach Hackertools 2.0. Burks' "Bombenbauanleitung", wäre die objektiv geeignet, die Bereitschaft anderer zu fördern oder zu wecken, eine schwere staatsgefährdende Gewalttat zu begehen? Ich könnte mir mit ein bisschen Fantasie jemanden ausmalen, dessen Bereitschaft durch sowas geweckt wird. Real gibt es solche Leute natürlich nicht, aber in der Fantasie? Und um Fantasie geht es ja in den ganzen Terrorgesetzen. Real haben wir ja gar keinen Terrorismus, den man bekämpfen müsste oder könnte.
Und glaubt doch gar nicht, dass es hier um die Rettung des Planeten geht. Es geht darum, dass Länder ihre CO2-Ziele erreichen können, ohne ihren Ausstoss zu reduzieren, indem sie dann einfach das Meer düngen. Nur leider ist alles andere als klar, ob das funktioniert und ob es keine Nebenwirkungen hat. Ich als Laie könnte mir z.B. gut vorstellen, dass hier ähnliches passiert wie wenn Düngemittel in Seen fliesst: die Algen vermeeren sich, ziehen den Sauerstoff aus dem Wasser, die Fische ersticken alle.
Update: Noch zwei Meldungen dazu beim Spiegel. (Danke, Viky)
Aber abgesehen von deren windigen Rechtsvorstellungen gibt es da folgenden grandiosen Absatz:
Entsprechende Forderungen aus der Wirtschaft lässt die Bundesregierung nicht gelten. Dabei betrachtet sie offensichtlich allein die Situation größerer Telefonnetzbetreiber und lässt Internetprovider außen vor. So schreibt der Bevollmächtigte, dass den betroffenen Unternehmen in der Regel die erforderliche Infrastruktur zur Datensammlung schon zur Verfügung stehe. Die "Investitionen" für erweiterte Speicherkapazitäten würden sich bei größeren Unternehmen auch "betriebsintern nutzen" lassen "und erzeugen daher auch einen zusätzlichen merkantilen Mehrwert".Ist das nicht toll? Die schliessen hier offenbar von den illegalen Massnahmen der Telekom auf den Rest der Industrie! Die können sich ja auch gerne durch illegale Schnüffeleien bereichern!1!! Suuuuuuuper.
Mit ihm sollen den Angaben des Justizministeriums zufolge "bestimmte Formen der Vorbereitung schwerer staatsgefährdender Gewalttaten unter Strafe gestellt werden." Zypries bezeichnete die sehr weitreichenden Änderungen mit mehreren neuen Straftatbeständen als "Feinjustierung unseres strafrechtlichen Instrumentariums".Aha. Soso. Vorbereitung, ja? Was denn so?
Konkret soll unter anderem ein neuer § 89b in das Strafgesetzbuch eingefügt werden, nach dem das "Aufnehmen oder Unterhalten von Beziehungen zu einer terroristischen Vereinigung" in Zukunft dann strafbar ist, "wenn dies in der Absicht geschieht, sich in der Begehung solcher Straftaten unterweisen zu lassen."Jaja, die tollen Terrorlager, die sie so ausgiebig rhetorisch genutzt haben die letzte Zeit. Oh und natürlich wollen sie auch den Chemieunterricht unter Strafe stellen:
Darüber hinaus sollen über eine Änderung des § 91 Tatbestände "gegen das Verbreiten von Anleitungen zur Begehung schwerer staatsgefährdender Gewalttaten" in das Strafgesetzbuch aufgenommen werden. Als Beispiel dafür nennt das Ministerium Texte über die "Herstellung von Sprengstoffen".Tja, Burks, mach es dir schon mal bequem im Knast.
Das ist ja auch viel zu viel verlangt, von den Anklägern irgendwelche Beweise für konkrete Taten oder Aufhetzung zu verlangen. Es geht hier also eigentlich um die Entbürokratisierung, ein Effizienz-Streamlining der Behörden. Wir sparen lediglich überflüssige Arbeit ein. Brazil, wie kommen!
Bei der anschließenden Überprüfung des Mannes stellten die Beamten fest, dass er dem Gesuchten zum Verwechseln ähnlich sieht, es sich bei dem 33-Jährigen aber nicht um den Gesuchten Peter John handelt. Der geringfügig Verletzte wurde nach der Personalienaufnahme nach Hause entlassen. Es ist beabsichtigt, ihm im Laufe des Tages das Bedauern der Polizeibehörde auszusprechen, wobei ihm ein Blumenstrauß überreicht werden soll.Wo gehobelt wird, da fallen Späne!
Die Grenze des rechtlich zulässigen sei möglicherweise überschritten worden, sagte Richter Ralph von Bargen am Montag im Wuppertaler Mord-Prozess. Es sei fraglich, ob die Vernehmung des 20-jährigen Verdächtigen in dem Prozess verwertet werden dürfe. Wie Video-Aufnahmen belegen, hatte der Mann sich vergeblich 38 Mal auf sein Aussageverweigerungsrecht berufen und seinen Anwalt verlangt. Schließlich legte er doch ein Geständnis ab.Soso, möglicherweise überschritten, ja? Hey, sie haben ihm keinen Arm abgehackt, alles halb so wild. Oder wie? (Danke, Dirk)
SPD-Innenexperte Dieter Wiefelspütz erklärte dagegen, er könne sich mit dem Vorschlag "inhaltlich durchaus anfreunden", kritisierte aber den Zeitpunkt der Veröffentlichung. "Wenn er aus tagesaktuellen Erwägungen gemacht wird, merkt jeder die Absicht dahinter", sagte er Spiegel Online.Soso. Abschaffen der Demokratie ist OK mit Wiefelspütz, seine einzige Beschwerde im Moment ist, dass das Timing gerade nicht gut aussieht. Zum Heulen.
Ich verstehe ja nicht, wie es zu so einem krassen Fehlurteil überhaupt kommen kann. Hat da der Heise-Anwalt dem Richter an den Haaren gezogen? Un-glaub-lich. Denn Beihilfe heißt für Heise nicht nur, dass sie den Link nicht setzen dürfen, sondern sogar dass da jetzt den Redakteuren strafrechtliche Konsequenzen bis zu drei Jahren Haft drohen. Was zur HÖLLE?!?
Ich bin ja Heise wirklich aus tiefstem Herzen dankbar, dass sie diese widerlichen Prozesse durchfechten. Wenn das irgendein mittelloser Präkariatsblogger gewesen wäre, der hätte da aufgegeben und damit wäre das rechtskräftig geworden. Jetzt kann Heise noch zum BGH gehen und hat das wohl auch vor. Ich werde mein c't Abo angesichts dieser Entwicklungen sicher verlängern. Bitte, Heise, kämpft! Kämpft!!
Wobei. Was ist denn, wenn das OLG München absichtlich das absurdest mögliche Urteil gefällt hat, damit der BGH das annimmt und dieses Knödel-Gesetz entkernt? Ich hoffe mal, dass das so gelaufen ist. Denn das kann der BGH unmöglich so stehen lassen.
Gordon Brown has made a frank admission that government cannot promise the safety of personal data entrusted by the public.The Prime Minister was speaking hours after it emerged that a memory stick containing the passwords to a government website used submit online tax returns had been lost.
Vielleicht können wir uns das auch mal zu Herzen nehmen und die ganzen sinnlosen Datenbanken zumachen? (Danke, Klaus)
This recent presentation — put together on the Army's 304th Military Intelligence Battalion and found on the Federation of the American Scientists website — focuses on some of the newer applications for mobile phones: digital maps, GPS locators, photo swappers, and Twitter mash-ups of it all.The report is roughly divided into two halves. The first is based mostly on chatter from Al-Qaeda-affiliated online forums. One Islamic extremist site discusses, for example, the benefits of "using a mobile phone camera to monitor the enemy and its mechanisms." Another focuses on the benefits of the Nokia 6210 Navigator, and how its GPS utilities could be used for "marksmanship, border crossings, and in concealment of supplies." Such software could allow jihadists to pick their way across multiple routes, identifying terrain features as they go. A third extremist forum recommends the installation of voice-modification software to conceal one's identity when making calls. Excerpts from a fourth site show cell phone wallpapers that wannabe jihadists can use to express their affinity for radicalism
Wir sind alle so gut wie tot! Gleich mal Garmin und die Telekom zumachen!1!!
Ihr habt ja sicher mitgekriegt, dass gerade der ach so unabhängig klingende "Deutsche IT-Sicherheitspreis 2008" verliehen wurde. Gewinner war: Bingovoting.
Erst mal zu dem IT-Preis. Ausgeschrieben wird der Preis von der Horst Görtz Stiftung. Die Stiftung kümmert sich neben der IT-Sicherheit auch um Rehabilitation von Komapatienten (?) und um "chinesische Lebenswissenschaften" (?!?!?). Horst Görtz ist der Gründer von Utimaco. Für mich riecht das danach, als hätten sie die Stiftung genommen, um ein unbedenkliches Vehikel für Industrie-Lobbyarbeit in Form des Preises zu haben. Und es ist auch sicher kein Zufall, dass der Preis an das Wahlcomputer-Umfeld vergeben wird, denn da steht ja der Termin beim Verfassungsgericht direkt bevor. Und — was für ein Zufall! — der Erfinder von Bingo Voting, Dr. Jörn Müller-Quade, soll vor dem Verfassungsgericht als Sachverständiger aussagen. Da sah die Industrie offenbar ihre Felle davon schwimmen und wollte dem Herrn Sachverständigen noch kurz ein 100.000 Euro Argument mitgeben, das er vor dem Verfassungsgericht als Hoffnungsschimmer präsentieren kann, damit die Karlsruher computergestützte Wahlen nicht vollständig verbieten. Und da trifft es sich auch gut, dass der Herr Sachverständige auch selber in Karlsruhe arbeitet, Lokalkolorit kommt immer gut.
Aber schauen wir uns doch mal die Jury an:
Dem gegenüber sind vier nicht neutral: Einmal der Common Criterial Mensch, denn das ist ja das Allerheilmittel, um Hardware vertrauenswürdig zu machen, das geht ja gar nicht, wenn das Verfassungsgericht da jetzt das Gegenteil sagt. Dann der Utimaco-CEO und der Utimaco-Krypto-Prof, deren Stiftung verleiht den Preis. Dann der T-Systems Online-Voting-Mensch natürlich. Man kann auch noch argumentieren, dass die Smart Card und TPM-Fraktion ein Interesse daran hat, Hardware grundsätzlich als vertrauenswürdig genug für Wahlen darzustellen, dann wären es noch mehr.
Ich kann mich da natürlich bezüglich der Qualifikationen der Leute auch irren, das basiert jetzt nur auf ein bisschen Rumgoogeln, aber es ist kein guter Anfang.
Es gibt da Leute, die das noch kritischer sehen, und die ganze IT-Uni-Szene für eine korrupte Mischpoke halten. Ich habe auch den Eindruck, kann das aber nicht genug untermauern, um das öffentlich zu sagen.
Kommen wir zu Bingo Voting selber.
Bingo Voting ist ein cooles Verfahren. Ja, ist es. Es ist aus der Tradition der Verfahren, die ich gerne als "Krypto-Hirnwichs" bezeichnen möchte, weil sie intellektuell herausfordernd, spannend und anspruchsvoll sind, und das Denken über kryptologische Verfahren voran treiben.
Andere Verfahren aus der Kategorie sind die Chaum-Protokolle für kryptologische Zahlungsverfahren, und Zero Knowledge Poker. Von diesen ganzen Verfahren sind einige implementiert worden, aber nur eines hat tatsächlich eine Anwendung: Zero Knowledge Skat. Für eine Skat-Runde ist das nämlich nicht so wichtig, ob man da was übersehen hat. Bei elektronischen Wahlverfahren hingegen geht es um ein ganzes Land, im Fall von Deutschland um Billionen von Euros, über die die zu wählende Regierung bestimmen kann, da muss man von einem Angreifer mit quasi unlimitierten Ressourcen ausgehen. Und man kann eben auch keine Einbußen gegenüber unserem bisherigen Wahlverfahren hinnehmen, wo jeder Bürger nach der Wahl das Auszählen der Stimmen begutachten darf. Einfach so. Transparenz ist das Stichwort.
Bingo Voting ist ein Krypto-Protokoll, das mit der Annahme operiert, dass derjenige, der die Wahl durchführt, integer ist. Derjenige stellt nämlich einen Zufallsgenerator, der nicht manipuliert sein darf, sonst ist das ganze Verfahren hinfällig. Das mag nicht jedem Leser klar sein, daher will ich mal beschreiben, wie man sowas prüft: gar nicht. Man kann das nicht prüfen. Man kann ein paar statistische Verfahren drauf werfen, um zu gucken, ob es Anzeichen von Bias gibt. Aber damit kann man nur versehentliche Unzufälligkeit nachweisen, nicht absichtliche. Der Fokus auf den Zufallszahlengenerator kommt von den Bingovoting-Leuten selber, nicht von mir. Deren Argumentation geht so: wenn wir den Zufallszahlengenerator rausziehen, dann müssen wir die Wahlcomputer selbst nicht so gut sichern, weil dann wissen wir ja, dass der Zufall richtig zufällig ist. Das stimmt schon mal so allgemein nicht, denn der Wahlcomputer kann ja immer nur die Zufallszahlen nehmen, die einer bestimmten Bedingung genügen, und damit haben wir eine gute Zufallsquelle aber schlechten Zufall am Ende.
Kurz gesagt: erstens ist der Zufallszahlengenerator manipulierbar, und zweitens würde es nicht helfen, wenn er es nicht wäre.
Die stellen sich da eine mechanische Lottomaschine als intuitiv vertrauenswürdigem Zufallsgenerator vor, haben aber selbst bei ihren Feldtests doch lieber einen elektronischen Generator genommen und dem dann halt vertraut.
Für die Wahlcomputer selber kommen natürlich wieder die selben Probleme dazu, die Wahlcomputer generell haben, sie könnten z.B. einfach mitloggen, wer wie gewählt hat, oder elektromagnetische Abstrahlungen haben, etc. Das ist alles kaum bis gar nicht nachzuweisen. Gegen Wahlcomputer-Manipulation ist natürlich auch ansonsten kein Kraut gewachsen. Der manipulierte Wahlcomputer kann z.B. jedem Linkspartei-Wähler den selben Ausdruck mitgeben, und im Hintergrund nur mit einer Stimme tatsächlich für die Linksparteil stimmen. Das würde nur auffallen, wenn jeder seine Ausdrucke mit allen anderen Ausdrucken im Stimmbezirk vergleicht, was rein logistisch ausgeschlossen ist.
Die Bingovoting-Leute halluzinieren sich dann noch folgendes Konstrukt herbei:
We intend therefore a trusted printer, which uses unforgeable paper to allow the voter to prove that she indeed has a valid receipt.
Da kann ich ja nur heiser lachen. In der Praxis steht und fällt die Manipulationssicherheit des Systems damit, dass alle Wähler oder zumindest die Mehrzahl von ihnen nach der Wahl ihren Ausdruck prüfen. Das wird nicht geschehen. Das Verfahren selber ist so obskur und unverständlich, dass normale Mathematiker und Informatiker es nicht auf Anhieb verstehen, da braucht man schon Kryptographie-Grundkenntnisse. Dass der Bürger das versteht, und die Signifikanz ihrer Quittungen nachvollzieht, ist völlig ausgeschlossen.
Der Aufwand für das System übersteigt den für die (hoffentlich) gescheiterten Wahlstift- und Nedap-Systeme noch einmal deutlich. Die Angriffe sind so subtil möglich, dass der Wähler sie nicht verstehen kann. Wenn einer der Wahlcomputer die Liste der Dummy-Stimmen weiterleitet, ist das Wahlgeheimnis futsch. Wenn ein Wahlcomputer die Stimmreihenfolge protokolliert oder elektromagnetisch abstrahlt, ist das Wahlgeheimnis futsch. Wenn ein Wahlcomputer manipuliert ist, ist sogar das Wahlergebnis nicht vertrauenswürdig.
Dass die Praktikabilität nicht gegeben ist, sehen auch die Erfinder selber ein, indem sie vorschlagen, 40 Bit Zufallszahlen zu nehmen, damit man nicht so viel vergleichen muss als Bürger. 40 Bit? Das ist natürlich viel zu wenig. Schon aus Gründen des Geburtstagsparadoxon.
Im Übrigen kann der Betreiber der Wahl nach der Wahl auch "Beweise" für eine Manipulation generieren, wenn ihm das Ergebnis nicht gefallen hat.
Kurz gesagt: tolles Verfahren, aber in der Praxis untauglich, ja sogar ein Rückschritt gegenüber dem, was wir jetzt haben.
Und DIESE Leute sind Gutachter vor dem Verfassungsgericht, ob Wahlcomputer abgeschafft werden sollen oder nicht. Na prost Mahlzeit.
Update: Andreas und ich sind noch am diskutieren, ob dieser Danisch-Angriff funktioniert oder nicht. Seit 24 Stunden ist der CCC jetzt damit beschäftigt, dieses Protokoll zu verstehen zu versuchen. Das alleine ist in meinen Augen Aussage genug, ob das vielleicht zu komplex ist, um realistisch nachprüfbar zu sein. Papierwahl versteht auch Oma Frieda vom Bauernhof.
Update: wir sind inzwischen überzeugt, dass der Danisch-Angriff abgewehrt wird. Aber aus dem näheren Nachdenken ergeben sich neue Einsichten. Z.B. ist uns augefallen, dass alle Daten, die man für das Brechen des Wahlgeheimnisses braucht, auch aufgehoben werden müssen, weil man sie für die Beweise der Wahlintegrität später braucht. Der Wahlcomputer muss also gar keine Daten elektromagnetisch abstrahlen und auch nicht manipuliert werden, um einem Insider das Brechen des Wahlgeheimnisses zu erlauben. Ich skizziere das mal. Der Erpresser verlangt von mir, dass ich CSU wähle. Ich gebe ihm nach der Wahl meinen Wahlschein. Damit geht er dann zum Wahlleiter, und der hat die Daten vorliegen, die er für den Beweis braucht, dass mit dieser Stimme die CSU gewählt wurde. Oder natürlich, wie bei Nedap, der Erpresser manipuliert den Wahlcomputer oder hört seine elektromagnetischen Emissionen ab.
Update: Oh wow. Der Bingovoting-Mensch hat vor dem Verfassungsgericht im Wesentlichen die CCC-Position vertreten, meinte zu seinem Verfahren, es bestünde ja schon Hoffnung, aber das sei in weiter Ferne. Das freut mich sehr, dass es doch noch Akademiker mit Rückgrat gibt. Da wird sich die Industrie ärgern, dass sie ausgerechnet den mit dem Preis noch aufgebaut haben vorher.
Update: mir mailt gerade jemand, dass das HGI-Institut nicht mehr von der Stiftung finanziert wird, die hätten nur mal anfangs drei Lehrstühle finanziert. Damit wäre meine "stiftungseigen" Kritik an dem Herrn Schwenk entkernt. Und der Herr Schabhüser, teilt mir gerade jemand anderes mit, ist tatsächlich Mathematiker und sogar Kryptologe. Damit ist der Anteil der Jury-Mitglieder, die das Verfahren auf Anhieb verstehen können, auf immerhin zwei von acht gestiegen.
Gut, dass die Polizei mitdenkt, und den Bruder von einem der Sauerländer "Terroristen" verhaftet hat. Begründung:
Burhan Y. soll auf Betreiben seines Bruders Geld an die IJU transferiert haben. Zudem habe er Ausrüstungsgegenstände, die für ein Terrorcamp bestimmt waren, an ein IJU-Mitglied übergeben. Die Polizei nahm Y. am Mittwochmorgen in seinem Elternhaus fest.Das ist ja hammerhart! Er hat eine Überweisung vorgenommen und Kisten getragen! Meine Güte, wieso haben sie einen so gefährlichen Terroristen noch nicht früher verhaftet?
Zu der Festnahme Burhan Y.s führte einem Bericht des Nachrichtenmagazins "Focus" zufolge auch ein abgehörtes Telefonat zwischen dessen Bruder und einem Kämpfer der IJU.Täusche ich mich oder sitzt der Bruder in Haft? Er wird ja wohl kaum aus dem Knast die "IJU" angerufen haben. Das steht also schon eine Weile alles fest. Wieso wird der gerade jetzt verhaftet (mal abgesehen von der verschwörungstheoretischen erklärung mit dem BKA-Gesetz)?
Und selbst wenn der Bruder aus dem Knast jemanden angerufen hat — bin ich jetzt auch mit einem Bein im Knast, wenn sich mein Bruder verwählt? Also das stinkt ja mal wieder aus allen Körperöffnungen. Mal abgesehen davon, dass es die IJU gar nicht außerhalb des Internet gibt. (Danke, Ralf)
A link between terrorism plots and hardcore child pornography is becoming clear after a string of police raids in Britain and across the Continent, an investigation by The Times has discovered. Images of child abuse have been found during Scotland Yard antiterrorism swoops and in big inquiries in Italy and Spain.
Haben sie so häufig Kinderpornographie und Terrorismus benutzt, um ihren Bullshit zu rechtfertigen, dass das nicht mehr zieht, und jetzt müssen sie das kombinieren, um noch was zu reissen?Also tut mir leid, das glauben sie ja wohl selber nicht. Was für ein Mega-Bullshit. Die LETZTE Webseite, die ich als auf Unauffälligkeit bedachter Terrorist nutzen würde, wäre Kiddie-Porn, wo man ja eh immer damit rechnen muss, dass das gerade wegen der regulären Inhalte überwacht wird. Der Punkt bei versteckter Kommunikation ist doch gerade plausible deniability — wenn man erwischt wird, kann man leugnen. Aber selbst wenn sie leugnen können, Terroristen zu sein, kommen sie dann wegen Kiddie Porn in U-Haft? Also nee, tut mir leid, das glaube ich nicht. Überhaupt nicht. Also nicht mal in Ansätzen. So etwas unplausibles habe ich lange nicht mehr gehört. Für wie blöd halten die uns eigentlich?!
Wenn sie jetzt behaupten würden, dass die da nur abhängen und ein paar unschuldig klingende Textfragmente im Forum posten, um wenigstens nicht direkt der Kinderpornographie schuldig zu sein… aber nein:
Secret coded messages are being embedded into child pornographic images, and paedophile websites are being exploited as a secure way of passing information between terrorists.
WTF?!?! Ihnen fällt auch selber auf, wie absurd diese Meldung ist, zumal das ja strenggläubige Moslems sein sollen, und im Islam ist Pornographie verboten. Und wenn man schon nichts in der Hand hat, kann man daraus vielleicht noch ein bisschen Propaganda heraus questschen:They noted the contradiction between people supposedly devoted to theocracy and Islamic fundamentalism and their use of child pornography. “It shows that these people are very confused,” a source said. “Here they are hating Western decadence but actually making use of it and finding that they enjoy this stuff.”
Aha, jetzt machen sie das nicht nur zur Tarnung, sondern sind auch noch selber alle Pädophile! Und noch härter, sie versuchen das auch noch so hinzustellen, als würden die in den Pädophilen-Foren ihren Nachwuchs rekrutieren.Boah wie ich das hasse, so offen verarscht zu werden. Die könnten sich wenigstens ein bisschen Mühe geben.
Oh, wartet, einen habe ich noch. Warum nicht auch noch eine Packung Nazis in den Mix werfen?
This June, the Nazi sympathiser Martyn Gilleard was jailed for 16 years after being found guilty of terrorism. Police found 39,000 indecent images of children at his flat in Yorkshire.
Seht ihr? Kinderpornographie ist der unifizierende Faktor hinter allem, was böse ist! Und nun erlaubt uns doch endlich, das Internet zu filtern!
Lehman hat einen großen Teil der Gehälter und Boni seit jeher in Aktien bezahlt. Über 30 Prozent des Börsenkapitals der Bank waren im Besitz der Mitarbeiter. Seit Montag ist das alles keinen Penny mehr wert. "Viele Kollegen haben ihr komplettes Erspartes und auch ihre Rente in Lehman-Aktien angelegt", sagt Green. Banker, die vor wenigen Wochen noch zehn Millionen Pfund Aktienvermögen oder mehr hatten, stehen jetzt mit leeren Händen da. Auch ihre Häuser sind in Gefahr; den meisten Hypotheken liegen als Sicherheit Aktienpakete zugrunde. Weil der britische Immobilienmarkt vor Monaten zusammengebrochen ist, werden sie bei Notverkäufen nur noch einen Bruchteil des Kaufpreises bekommen. Es geht um die Existenz.Und so läuft es, wie es immer läuft. Bei den richtig fiesen Scams wird nicht nur das Opfer verarscht, sondern auch die anderen Mit-Scammer. Denn das Management hat die Lehman-Mitarbeiter absichtlich belogen, dass alles noch ganz toll aussieht. Nicht, damit sie weiter arbeiten, sondern damit sie ihre Aktien nicht verkaufen, und damit alles noch schlimmer machen.
Heute wurden wir mal wieder von der Realität überholt: die KfW-Überweisung an Lehman geschah offenbar in voller Absicht.
Am Freitag vorvergangener Woche waren Mitarbeiter der KfW zusammengekommen und hatten über die Entwicklung von Lehman und die anstehende Zahlung beraten. In allen Medien war zu dieser Zeit die drohende Insolvenz der amerikanischen Investmentbank schon Thema. Wie es heißt, habe man festgestellt, dass „Lehman nicht so gut aussieht“, und eine Entscheidung getroffen: Die Überweisung, die ihren Ursprung in einem gewöhnlichen Devisen-Swap-Geschäft hatte, wird noch ausgeführt; Neugeschäft wird nicht mehr eingegangen. Die sich über das Wochenende zuspitzende Lage von Lehman sowie die Berichte in der Nacht von Sonntag auf Montag über deren Insolvenz haben die Verantwortlichen in der KfW offenbar nicht bewogen, die Überweisung noch zu stoppen.Ich finde das nicht vollständig schlecht. Immerhin sind sie nicht so zynisch, bei einer kurz vor der Pleite stehenden Firma die Pleite noch zu forcieren, indem sie Zahlungen verschleppen, wie das sonst im Finanzwesen durchaus üblich ist. Hier sind also Reste von Menschlichkeit vorhanden. Die haben sich nur in der Branche geirrt, die Herren. Im Banking braucht man keine Menschen mit moralischen Wertvorstellungen.
Aber ein Punkt noch. Wenn das eine ganz normale Zahlung im Rahmen eines Geschäfts war, wo Lehman ihren Teil gemacht hat, dann ist völlig klar, dass sich das der Insolvenzverwalter dann holt, wenn man das verschleppt. Da gewinnt man nichts durch (außer dass man in der Zwischenzeit mit der Kohle spekulieren gehen kann, natürlich). Insofern ist mir eh nicht so klar, was das Geheule soll. Vertrag ist Vertrag, auch wenn die Gegenseite pleite geht.
Update: Es handelt sich um ein Devisentausch, d.h. die hatten vertraglich ausgemacht, dass die KfW n Milliarden Euro überweist, und Lehman überweist m Milliarden Dollar. Da hätte man in der Tat noch warten können. Die Frage ist halt, ob Lehman noch überwiesen hat oder nicht. Und wie sie bei einer 350 Millionen Euro Überweisung auf einen Schaden von 536 Millionen kommen.
Kurnaz habe durchaus einen glaubwürdigen Eindruck gemacht. Aber in dem konkreten Fall habe es keine Beweise für seine Vorwürfe gegen zwei Soldaten des Kommandos Spezialkräfte (KSK) gegeben.Daher optimiert eine moderne Junta wie unsere ihre Foltermethoden ja auch darauf, dass sie keine Spuren hinterlassen.
Aber nicht dass jetzt von euch einer an dem Ausschuss zweifelt. Die Leute haben da vorbildlich unabhängig entschieden:
Lamers sagte, er [der Einsatz der KSK in Afghanistan] sei politisch richtig gewesen und die Soldaten hätten "gute Arbeit in einem schwierigen Umfeld" geleistet.WTF?!? Unglaublich. Und da wundern die sich über Politikverdrossenheit!
The Federal Deposit Insurance Corp., whose insurance fund has slipped below the minimum target level set by Congress, could be forced to tap tax dollars through a Treasury Department loan if Washington Mutual Inc., the nation's largest thrift, or another struggling rival fails, economists and industry analysts said Tuesday.
Und das Doomsday-Quote dazu läßt auch nicht auf sich warten:Additional failures of large banks or savings and loans companies seem likely, and that could overwhelm the FDIC's insurance fund, said Brian Bethune, U.S. economist at consulting firm Global Insight."We've got a … retail bank run forming in this country," said Christopher Whalen, senior vice president and managing director of Institutional Risk Analytics.
Die Kernpunkte, die ich mitgenommen habe:
Die Sachverständigen haben kein gutes Haar an dem Gesetz gelassen. Es war klar: wenn sie das reparieren wollen, wäre das ein Totalschaden-Aktion, wegschmeißen und neumachen. Daher bin ich mir sicher, dass die das Gesetz genau so kaputt durchwinken werden, und dann werden wir wieder nach Karlsruhe gehen müssen. Der Grünen-Typ hat die Sachverständigen auch mit den Worten begrüßt, er sei dankbar, dass sie nach den ganzen letzten Gesetzen, wo ihre Vorschläge sämtlichst verworfen worden seien, immer noch für diese Anhörungen zur Verfügung stünden. So läuft das da ab. So wird bei uns Politik gemacht.
Oh, eine wichtige Sache noch, die mir bisher nicht so klar war. Das Verfassungsgericht hat bei den Tagebuch-Regelungen entschieden, dass strafrechtlich relevante Erkenntnisse grundsätzlich nicht in den Kernbereich der privaten Lebensführung fallen. In Verbindung mit dem "Richterband"-Vorschlag heißt das: die hören weiterhin alles ab, der Richter schneidet dann das Stöhnen während des Koitus und das Schnarchen heraus, und das Geständnis dazwischen wird verwertet. Genau so wird das ablaufen. Oh und natürlich sind keine Mittel vorgesehen, um die Richter zu finanzieren, die das machen sollen, bzw die dann nötigen Dolmetscher.
Die schriftlichen Stellungnahmen gibt es hier als PDF, falls ihr da mal reingucken wollt.
Ein Highlight gab es noch mit Herrn Dr Roggan, der sich die ersten fünf Stunden eher blass, zurückhaltend und wenig kontrovers gab, der aber in den letzten Minuten noch einen echten Knaller brachte, als er meinte, die Daten dürfen man nicht nur nicht an Länder weitergeben, bei denen dem Betroffenen die Todesstrafe drohe, sondern auch nicht an Folterländer wie die USA oder die Türkei. Niemand reagierte entsetzt darauf, ich bin mal gespannt, ob sie das aus dem offiziellen Transkript raus zensieren.
Hier mal ein paar Ziercke-Stilblüten:
Hier kann gar nicht davon die Rede sein, dass das gegen Unbescholtene eingesetzt wird!Völlig klar, wenn der Ziercke jemanden observieren läßt, dann ist das ein Verbrecher! Das hat dann vermutlich die Precog-Abteilung herausgefunden oder so. Ziercke hat sogar den Sprengstofflaster zur WM noch mal zitiert, der ja angeblich aus dem Baltikum kommen und Deutschland per schmutziger Bombe verstrahlen sollte, sich dann aber schnell als komplette Fiktion herausstellte.Verschlüsselung schafft strafverfolgungsfreie Räume!
Es geht nicht um den intelligenten Internetnutzer, sondern um die Netzwerke, da kommt man immer irgendwie rein.
Wer heute VoIP mit Skype macht, kann sich sicher sein, dass das nicht abgehört werden kann. [Ja! Hat er schon wieder gesagt!!]
… welche Hindernisse vorliegen, zum Beispiel Firewall, Antiviren, … [er weiß also genau, dass er da Malware baut]
Wir brauchen verdeckte Einbrüche, damit wir sicher sind, den richtigen Rechner zu erwischen!
Dann wären ja alle Polizeien weltweit Geheimdienste! [auf die Frage nach den nachrichtendienstlichen Befugnissen, die seine Behörde da kriegen soll]
Wir arbeiten im Moment mit Methoden aus der Steinzeit! Es dauert 8 Monate, bis wir einen Server in China öffnen können, und dann finden wir, dass die Daten seit 7 Monaten gelöscht sind!
Gefahr im Verzug braucht man für den Bundestrojaner, weil man ja nur in der Minute zugreifen kann, wo derjenige online ist!
Die Onlinedurchsuchung hat ja mit dem Kernbereichsschutz nichts zu tun. [ach ja?]
[Auf die Frage, ob sie denn mit der Rasterfahndung schon Erfolge hatten] Mit der Rasterfahndung haben wir Verdächtige identifiziert, das sehen wir als großen Erfolg. Was erwarten Sie den, was wir da erreichen können? [Naja, vielleicht etwas mehr als ein Verdacht? Wie wäre es mit einem Täter?]
[Auf die Frage, wozu sie die Online-Durchsuchung brauchen] Bei den Sauerländern haben wir verschlüsselte Dateien gefunden, die haben wir bis heute nicht entschlüsseln können! [Überraschung!!1!]
Kritik [an den neuen Geheimdienstbefugnissen] verhöhnt die Polizei, die in den Ländern mit diesen Befugnissen hunderte von Menschenleben gerettet haben.
[Angesprochen auf den Blödsinn, den sein Abgesandter beim Verfassungsgericht erzählt hat] Das war ein unautorisierte Aussage eines Mitarbeiters!
Ach, ein Highlight noch, von Prof Kutscha. Der hat mir ja sehr gut gefallen, der Mann. Der hat u.a. argumentiert, dass wir die selben Argumente ("unverzichtbar!", "Untergang des Abendlandes droht, wenn wir das nicht kriegen!!1!") schon beim großen Lauschangriff gehört haben, und heute benutzen sie das nur ein paar Mal im Jahr und das ist völlig unwichtig als Maßnahme. Und er hat die mangelnde Definition von "internationalem Terrorismus" sehr anschaulich illustriert, indem er argumentierte, da seien unter anderem Wirtschaftsgüter betroffen (das habe ich ja damals als "Onlinedurchsuchung bei Sachbeschädigung" kritisiert), und daher könne man argumentieren (er zitierte da auch noch ein EU-Gerichtsurteil in die Richtung, dass Streik als Handelshemmnis darstellte), dass von Gewerkschaften ausgerufene Streiks Terrorismus seien und unter dieses Gesetz fielen. Fand ich so toll, dass ich mich bei dem in der Kaffeepause persönlich bedankt habe, dass er das gebracht hat.
Oh, einen habe ich noch. Einer der SPD-Email-Ausdrucker sprach da davon, bei den Sauerländern hätten sie drei Tetrabyte an Daten gefunden (Danke an slowtiger für den schönen Photoshop). Bwahahahaha
Update: Lacher am Rande: es kam die Frage auf, warum wir nicht einfach die Formulierungen des Bayerntrojaner-Gesetzes nehmen, woraufhin sich die Sachverständigen unisono einig waren, dass das auch ganz offensichtlich verfassungswidrig ist.
Übrigens, mein persönlicher Held der Veranstaltung ist der Prof Geiger, der am Anfang ruhig und gesetzt rüberkam, aber immer schön seriös alle Punkte zerlegt hat. Der war mal BND-Präsident, was mich ja doch schockiert hat, weil der der einzige war, der da mit moralisch-ethischen Argumenten gegen das Gesetz kam. Der sprach auch als einziger ein Verwertungsverbot an, das ich ja auch gefordert hatte, für den Fall, dass sie Gefahr im Verzug brüllen und nach drei Tagen der Richter meint, der Einsatz sei illegal. Dafür habe ich ihm auch in der Mittagspause persönlich gedankt, und daraufhin wurde er nach der Mittagspause echt zum Tiger und kam da mit geradezu missionarischen Argumenten ala "Stellen Sie sich mal vor, SIE seien von so einem Gesetz betroffen, was für einen Rechtsschutz genießen Sie denn dann noch?" Erschütternderweise stießen diese Argumente bei den Abgeordneten auf völliges Unverständnis, so meinte der eine CDU-Apparatschik dazu "Sie tun ja geradezu so, als würden wir diese Maßnahmen gegen Unschuldige einsetzen!1!!". Äh, ja, genau das ist die Gefahr, Sie Knalltüte! Also der Geiger hat mir sehr gut gefallen. Wenn ich einen Orden verleihen könnte, er würde ihn kriegen.
Heise hat auch eine Meldung dazu, aber die liest sich fast als wäre der Herr Krempl bei einer anderen Anhörung gewesen :-)
Die Tagesschau findet auch, dass der Konsens war, dass das verfassungskonform war, und zitiert dafür ausgerechnet Prof Gusy, der da länglich argumentierte, dass man Artikel 13 dafür ändern müsse. Und von all den Kritikpunkten zitieren sie einen organisatorischen ("könnte mit den Zuständigkeiten der Bundesanwaltschaft kollidieren") und einen relativ leicht widerlegbaren ("könnte den falschen Computer treffen"). Pfui, Mainstream-Medien, Pfui! Noch schlimmer ist der erste Artikel dazu, wo sie gar keine Bedenken gehört haben (die müssen sich da was in die Ohren gesteckt haben).
Und wenn tagesschau.de wenigstens halbwegs seriös rüberkommt mit ihrer Falschberichterstattung, dann hat der Stern gar keine Hemmungen, dem Volk ins Gesicht zu lügen. Kein einziger der Staatsrechtler hat den Gesetzentwurf als verfassungskonform bewertet! Nicht mal die beiden CDU-Experten (der Heckmann und der Möstl, der schon vom Dialekt her klang als lehre er in Pullach)! Der Möstl hat immerhin für einige Punkte hanebüchene Rechtsauffassungen zu konstruieren versucht, wieso man möglicherweise für diesen Punkt ohne Verfassungsänderung auskommen könnte, bis es dann das Verfassungsgericht wieder einkassiert. Aber nicht mal DER hat sich da hingestellt und den Entwurf als verfassungskonform bezeichnet. Krass.
Kai Raven war auch da und hat seine Notizen geblogt. Seine Einschätzung zu Prof Gusy teile ich übrigens, der kam mir vor wie ein Hacker im Geiste, der auf Fragen, ob $XY verfassungskonform sei, mit bizarrologischen Konstruktionen antwortete, was man kunstvoll wie auslegen müsse, um da eventuell argumentativ in Richtung Verfassungskonformität kommen zu können. Bei mir blieb der Eindruck zurück, dass das alles in seinen Augen nicht verfassungskonform ist und man da größere Verrenkungen machen müsste, um das überhaupt verargumentieren zu können, aber offenbar sahen das die Experten-Reporter vom Stern anders. Bemerkenswert an dem Geiger war, dass er dieses Mal kraftvoll gegen das Richterband argumentierte, indem er am Ende aufzählte, wer bei einem Richterband (womöglich mit Dolmetschern) die eigentlich absolut geschützten intimen Kernbereichsdetails zu Gesicht bekäme.
Update: Ich ziehe alles zurück und behaupte das Gegenteil: offenbar ist das Absicht und tatsächlich bei US-Uniformen so. Bizarr, ist mir noch nie aufgefallen. Hier gibt es sowas wie ne FAQ dazu. (Danke, Jörg, Ralf)
The deal required the Republican Party's host committee to buy insurance covering up to $10 million in damages and unlimited legal costs for law enforcement officials accused of brutality, violating civil rights and other misconduct.
DAS ist ja wohl mal die Krönung! Bwahahahaha! Nicht nur dass die Republikaner überhaupt in so einem Loch absteigen müssen, die Stadt will nicht mal den Ärger wegen der vielen zu erwartenden Demonstraten zahlen. Großartig! Und wie ist es zu diesem Deal gekommen? Nun, die Republikaner haben erst angesagt, wo der Parteitag stattfindet, bevor sie das mit der Stadt in trockenen Tüchern hatten:They had some leverage because the party had named St. Paul as the location for the convention before striking the city services agreement in January 2007.
Der Bürgermeister hat einen Orden verdient. Noch besser wäre natürlich, wenn er es gar nicht erst zu Polizeiwillkür kommen lassen würde.The deal could save taxpayers millions. Police have arrested nearly 300 people, and many protesters are threatening lawsuits. New York City still faces more than 400 lawsuits from some of the 1,800 people arrested at the 2004 GOP convention, said Laura Postiglione, a spokeswoman in the city's law department.
Oder vielleicht macht der Bürgermeister das ja auch absichtlich, macht diesen Deal und läßt dann die Prügelkolonnen der Polizei losknüppeln, ihn kostet es nichts und den Imageschaden haben die Republikaner. (Danke, Bernhard)
Da gehörte schon ganz schön Anstrengung dazu, noch schlimmer als Microsoft auszusehen mit den EULAs und dem Nach-Hause-Telefonieren. Gratulation, Google, das kann nicht einfach gewesen sein. Wieso wollen eigentlich alle großen Firmen über kurz oder lang das größe Arschloch am Markt sein? Ist das inhärent?
Umgekehrt trug die untere Hälfte der Einkommensbezieher fast gar nichts zum Steueraufkommen bei: Sie zahlten ganze 4,3 Prozent der Lohn- und Einkommensteuer. Allerdings verfügt diese Gruppe auch nur über ein Jahreseinkommen von weniger als 23.000 Euro.Soviel zur Mär, man müsse die "Besserverdienenden" mehr zur Kasse bieten. Besonders krass:
Dabei zeigt sich: 28,8 Prozent aller Steuerpflichtigen hatten 2004 nur ein Jahreseinkommen von maximal 10.000 Euro. Damit lagen sie kaum über dem Grundfreibetrag und diese geringen Einkünfte waren daher zum größten Teil steuerfrei.Die Gesellschaft verarmt halt. Und dank Hartz IV kann das auch nur so weitergehen. Denn eine Firma ist zur Profitmaximierung angehalten, und wenn der Staat Zuzahl-Schwindelprogramme wie "1 Euro Jobs" zuläßt, dann muss eine Firma das über kurz oder lang auch machen. Dadurch fallen normal bezahlte Jobs übrig und am Ende hängen alle am Hartz IV Tropf. Aus der Sicht des Zynikers ist das natürlich volle Absicht, denn vollständig abhängige Menschen meckern vielleicht mal ein bisschen, aber von denen ist keine Revolution zu erwarten. Und für Demonstrationen oder politische Weiterbildung haben die keine Zeit, wenn man sie zur Zwangsarbeit verpflichtet. (via)
Update: Die Einkommenssteuer ist nur rund ein Drittel des Gesamt-Steueraufkommens. Dinge wie Umsatz, Alkohol- und Benzinsteuer betrifft Arme natürlich genau so.
The Royal Horticultural Society (RHS) has been inundated with calls from concerned gardeners who have seen potatoes, beans, peas, carrots and salad vegetables wither or become grossly deformed. The society admitted that it had no idea of the extent of the problem, but said it appeared 'significant'. The affected gardens and allotments have been contaminated by manure originating from farms where the hormone-based herbicide aminopyralid has been sprayed on fields.
Und wer hat dieses Gift hergestellt? Na klar, die üblichen Verdächtigen:Dow AgroSciences, which manufactures aminopyralid, has posted advice to allotment holders and gardeners on its website.
Und natürlich haben die Konsumenten nichts, aber auch gar nichts zu befürchten:'All we can say is that the trace levels of aminopyralid that are likely to be in these crops are of such low levels that they are unlikely to cause a problem to human health.'
Genau. Pflanzen sterben und haben Fehlbildungen, das sind also offensichtlich völlig ungefährliche Dosen. Nur aus formaljuristischen Gründen empfehlen sie den Verzehr nicht!1!!The Dow website says: 'As a general rule, we suggest damaged produce (however this is caused) should not be consumed.' Those who have already used contaminated manure are advised not to replant on the affected soil for at least a year.
Krass. Oh und zu Dow: lest mal den Wikipedia-Artikel, Napalm, Agent Orange, und das Union Carbide Desaster.
Barclays Capital has advised clients to batten down the hatches for a worldwide financial storm, warning that the US Federal Reserve has allowed the inflation genie out of the bottle and let its credibility fall "below zero".
Was ich ja immer den Lacher finde bei sowas: die tun alle immer so, als sei das keine Absicht, was da gerade passiert. Der Fed tut genau das, was ich auch tun würde an ihrer Stelle: Die Amis sind so dermaßen hoch verschuldet, dass es ausser einer fetten Inflation keinen Ausweg mehr gibt. Die können das unmöglich zurück zahlen. Die Welt ist ja so blöde gewesen, den Amis Geld in Dollar zu leihen. Wenn die Amis jetzt also Megainflation machen, dann können sie die Schulden (in dann wertlosem Klopapier-Geld) zurückzahlen, und die Schuldner sind die Gelackmeierten. Es ist völlig sonnenklar, dass das genau so laufen muss. Insofern muss man das Geheule jetzt als das sehen, was es ist: Geheule. Den Idioten fällt jetzt gerade auf, dass sie ihr Geld nie wieder sehen werden.
UK IT students are hiring coders in India to complete their coursework for as little as £5 a go.A-level and university pupils are logging onto computer coding websites and farming out their work to foreign IT graduates.
Und genau so wird dann auch später ihr Job aussehen. Wenn sie einen Job haben werden.
Aber selbst wenn man das inhaltlich ablehnt, so ist das PDF doch schon aus humoristischen Gründen eine Lektüre wert:
Ensure Legitimacy and Credibility of Special OperationsSignificant moral and legal considerations exist in a FID effort. Legitimacy is the most crucial factor in developing and maintaining internal and international support. Without this support the United States cannot sustain assistance to a foreign power. Without legitimacy and credibility, operations will not receive the support of foreign indigenous elements, the U.S. populace, and the international community.
Gut, das könnte man jetzt auch als Beweis sehen, dass es sich hier offensichtlich um eine Fälschung handelt :-)Mal abgesehen davon geht das Field Manual damit los, dass es Aufstände klassifiziert und einige Konfliktarten am Beispiel beschreibt, und als Beispiele gibt es Kuba und Vietnam.
Im Hinblick auf die beabsichtigte Einführung des Kommunalen Kernmelderegisters und der angedachten Auskunftsmöglichkeiten für jedermann über das Internet forderte die Gewerkschaft der Polizei (GdP), Landesbezirk Sachsen e.V., vom Innenminister einen wirksamen Schutz der Beschäftigten der Polizei des Freistaates Sachsen.Leider … NUR für sich. Die anderen können ruhig weiter ihre Daten mißbraucht kriegen, u.a. von der Polizei. (Danke, Daniel)
To understand Japan's role in deflating the rice market, it helps to visit the warehouses rimming Tokyo Bay. It's here in temperature-controlled buildings that Japan keeps millions of 30-kilogram vinyl bags of rice that it imports every year. Tokyo doesn't need rice from the outside world: The country's heavily subsidized farmers produce more than enough to feed the country's 127 million people. Yet every year since 1995, Tokyo has bought hundreds of thousands of metric tons of rice from the U.S., Thailand, Vietnam, China, and Australia.Why does Japan buy rice it doesn't need or want? In order to follow World Trade Organization rules, which date to 1995 and are aimed at opening the country's rice market. The U.S. fought for years to end Japanese rice protectionism, and getting Tokyo to agree to import rice from the U.S. and elsewhere was long a goal of American trade policy. But while the Japanese have been buying rice from farms in China and California for more than a decade, almost no imports ever end up on dinner plates in Japan. Instead the imported rice is sent as food aid to North Korea, added to beer and rice cakes, or mixed with other grains to feed pigs and chickens. Or it just sits in storage for years. As of last October, Japan's warehouses were bulging with 2.6 million tons of surplus rice, including 1.5 million tons of imported rice, 900,000 tons of it American medium-grain rice.
Ist das nicht ein ungeheurer Schwachsinn? Dieser ganze Freihandels-Blödsinn ist echt nur noch eine Farce, besonders weil ja die USA auch massiv ihre Farmer subventionieren.
A masters student researching terrorist tactics who was arrested and detained for six days after his university informed police about al-Qaida-related material he downloaded has spoken of the "psychological torture" he endured in custody.
Ich weiß gar nicht, was der hat. Der wollte die Taktiken von Terroristen kennenlernen, und jetzt hat er sich am eigenen Leib kennen gelernt. Der sollte mal ein bißchen dankbar sein! Der Brüller:The student had obtained a copy of the al-Qaida training manual from a US government website for his research into terrorist tactics.
Jürgen Großmann, amtierender Vorsitzender des Energiekonzerns RWE äußerte sich auf der Pressekonferenz noch unverblümter. Großmann erklärte: "Was wir brauchen ist nicht weniger als eine Revolution!" - das heißt, eine "Revolution", die die Errichtung einer autoritären Regierung zum Ziel hat, die in der Lage ist, den wachsenden Widerstand in der Bevölkerung gegen die Politik der Agenda 2010 schonungslos zu bekämpfen.Und noch mehr Herzog:Herzog gab in seiner Antwort auf die Frage eines Journalisten einen Einblick in die durch und durch elitäre Denkweise des Konvents. Als er gefragt wurde, wie er glaubt, die Unterstützung der deutschen Bevölkerung für seine Vorschläge zu bekommen, platzte er mit folgender Antwort heraus: "Das Volk folgt… das sagt doch schon der Name." Als er merkte, dass er zu weit gegangen war, versuchte Herzog schnell, seine Äußerung zu korrigieren und seinen entlarvenden Ausrutscher herunterzuspielen.
In einem Interview mit der "Bild"-Zeitung, beklagte sich Herzog über den Einfluss von älteren Bürgern auf das politische Leben und erklärte: "Ich befürchte, wir erleben den Beginn einer Rentner-Demokratie: Die Zahl der Senioren wächst ständig und sie bekommen eine überproportional hohe Aufmerksamkeit sämtlicher Parteien. Das könnte letztendlich darauf hinauslaufen, dass die Senioren die Jungen ausbeuten."Der Eindruck drängt sich ja auch geradezu auf, dass die Rentner uns alle ausbeuten!1!! Aber er hat nicht Unrecht, er kriegt nämlich monatlich 17.000 Euro Rente für seine Amtszeit als Bundespräsident. So viel kriegen andere nicht im ganzen Jahr.
Dann zitieren sie da noch eine ordentliche Packung Altnazi von einem Herrn Pohl, Gründungsmitglied des "BürgerKonvents", wo es einem die Fußnägel hochrollt, der ernsthaft ein Buch namens "Das Ende des Weißen Mannes" geschrieben hat, nachdem er sein Mentor Josef Abs laut WSWS bei der Deutschen Bank für die Arisierung zuständig war.
Wenig verwunderlich also, wenn das alles zunehmend nach Faschismus aussieht bei uns.
Einer der Männer sagte, er sei als Erster des Kommandos in die Wohnung gekommen und habe dabei einen Schutzschild getragen. Auf dem dunklen Flur sei er unabsichtlich mit dem Schüler zusammengestoßen. Der Schild sei groß und schwer, er könne die Verletzungen verursacht haben.Nee, klar. So wird das gelaufen sein. Sehr schön auch:
„Ich hörte, wie mein Sohn geschlagen wurde.“ Er habe gerufen: „Mama, sie bringen mich um.“Und die Feuerwehr, die dich in solchen Situationen retten soll?
Sie erhob auch Vorwürfe gegen einen Feuerwehrmann. Als der damalige Schüler eigentlich ins Krankenhaus gebracht werden sollte, seien Sätze wie „Du wirst es verdient haben“ gefallen.Die neue Charme-Offensive der Repressionsbehörden. Da fühlt man sich doch gleich viel sicherer!
"Wikileaks will not comply with legally abusive requests from Scientology any more than Wikileaks has complied with similar demands from Swiss banks, Russian off-shore stem cell centers, former African Kleptocrats, or the Pentagon. Wikileaks will remain a place where people of the world may safely expose injustice and corruption," stated Wikileaks in a release on its website.Wikileaks further states that, "in response to the attempted suppression, Wikileaks will release several thousand additional pages of Scientology material next week."
Fuck, yeah!
Beginning in 1999, the government has entered into a series of single-bid contracts with Halliburton subsidiary Kellogg, Brown and Root (KBR) to build detention camps at undisclosed locations within the United States. The government has also contracted with several companies to build thousands of railcars, some reportedly equipped with shackles, ostensibly to transport detainees.According to diplomat and author Peter Dale Scott, the KBR contract is part of a Homeland Security plan titled ENDGAME, which sets as its goal the removal of "all removable aliens" and "potential terrorists."
Fraud-busters such as Rep. Henry Waxman, D-Los Angeles, have complained about these contracts, saying that more taxpayer dollars should not go to taxpayer-gouging Halliburton. But the real question is: What kind of "new programs" require the construction and refurbishment of detention facilities in nearly every state of the union with the capacity to house perhaps millions of people?
Siehe auch.
In Finnland werden die Internet Service Provider von der Regierung dazu angehalten, eine unbekannte Liste von rund 1.000 Webseiten zu blockieren. Der Schritt soll das Land und seine Bürger vor den zahlreichen Kinderpornoseiten im Netz bewahren. Das Problem ist nur, zahlreiche Websites beschäftigen sich mit völlig legalen Inhalten. Ziel der Sperre ist unter anderem eine regierungskritische Seite, die sich zum Nutzen aller Surfer für mehr Freiheit im Netz einsetzen wollte.Weia. Und das Mißverhältnis ist deutlich:
Die Electronic Frontier Finland oder EFFI hat bei 700 bislang untersuchten Websites bislang ganze zwei Seiten mit illegalen Bildern oder Videos ausmachen können.ZWEI! Von 700! Wow. (Danke, Daniel)
Eine FBI-Übersetzerin namens Sibel Edmonds hat von einem Deal mitgekriegt, mit dem die Amis ihre Atombombengeheimnisse über die Türkei an Pakistan geleakt haben. Die Story ist schon sehr bizarr, weil da zu allem Überfluß auch noch Israel involviert sein soll. Gut, es ist schon auffällig, dass Israel immer gegen den Iran aber nie gegen Pakistan wettert wegen angeblicher Atomwaffen. Pakistans Atomguru hat ja die Pläne bekanntermaßen weiter verkauft, u.a. soll auch das Iraner Atomprogramm darauf basieren. Da bietet sich die Interpretation an, dass sie die Pläne absichtlich an den Iran geleakt haben, um ihn dann wegen des Atomprogramms anpinkeln zu können, das man ihnen selbst verkauft hat.
"If you made public all the information that the FBI have on this case, you will see very high-level people going through criminal trials," she said.Her story shows just how much the West was infiltrated by foreign states seeking nuclear secrets. It illustrates how western government officials turned a blind eye to, or were even helping, countries such as Pakistan acquire bomb technology.
The wider nuclear network has been monitored for many years by a joint Anglo-American intelligence effort. But rather than shut it down, investigations by law enforcement bodies such as the FBI and Britain's Revenue & Customs have been aborted to preserve diplomatic relations.
Der Lacher ist jetzt, wie Bush aus der Sache raus kommen will. Seine Junta ist ja involviert, und das wäre Hochverrat und trägt unangenehme Strafen. Also haben sie ein Gesetz gemacht, dass den Verkauf von Atomgeheimnissen an die Türkei legalisiert, und das haben sie in den Senat eingebracht, wo aber nicht darüber abgestimmt wird, denn wenn ein Gesetz eingebracht aber nicht debattiert wird, gilt es nach ein paar Monaten automatisch als angenommen. Sozusagen ein Gesetzes-Stealth-Launch.Lustiges Detail am Rande: eine andere Übersetzerin war die Tochter eines Pakistanischen Botschaftsfunktionärs, die dafür Top Secret Clearance gekriegt hat.
Gut, der Anwalt hat es trotzdem nicht leicht, denn der mußte da mit einem neutralen Gesichtsausdruck vorbringen, die hätten die Bomben absichtlich so konstruiert, dass sie nicht kaputt gehen konnten. Nee, klar. (Danke, Simon)
Nächster Punkt: nicht nur Aktienkäufe, auch andere Dinge sichert man über ähnliche Mechanismen ab. Es gibt da z.B. einen fetten Markt für die Absicherung von (Bonds) Schuldverschreibungen und Hypotheken. Man handelt dort dann CDS oder Credit Default Swaps. Das ist das Versprechen, wenn eine der beiden Parteien Konkurs anmeldet, dass dann die andere einspringt. Solange alles flutscht am Markt ist das ein prima Investment. Aber wenn man sich das jetzt anguckt, ist das ein Hebel an einem Hebel an einem Hebel, und jemand zieht gerade am hintersten Hebel. Hier ist ein gruseliger Artikel über die drohende CDS-Implosion.
"Actually, I'm worried not so much about the junk-bond market itself as the huge market for a derivative called a credit-default swap, or CDS, built on top of that junk-bond market. Credit-default swaps are a kind of insurance against default, arranged between two parties. One party, the seller, agrees to pay the face value of the policy in case of a default by a specific company. The buyer pays a premium, a fee, to the seller for that protection.This has grown to be a huge market: The total value of all CDS contracts is something like $450 trillion….. Some studies have put the real credit risk at just 6% of the total, or about $27 trillion. That puts the CDS market at somewhere between two and six times the size of the U.S. economy.
Whoops. Oh, und noch ein Detail. Wenn ihr eine Bank in Not wäret und schnell Geld bräuchtet, und alle Leihoptionen aufgebraucht sind… was würded ihr tun? Nun, ein klares Zeichen für eine Bank in Not ist, wenn die Bank auf ihre Sparbücher plötzlich Zinsen über Marktniveau zahlt. Das passiert in den USA gerade bei diversen Banken. In Deutschland ist man da ja nach offizieller Darstellung völlig abgesichert, aber das ganze basiert auch nur auf einem Fonds und einem gegenseitigen Versprechen, dass die Banken sich in Zeiten der Not helfen, um das System zu retten. Nur wenn das ganze System am abnippeln ist…Oh und noch was: der Immobilienmarkt ist auch gerade bei Gewerbefläche am implodieren in den USA.
Wichtige und eilige Hinweise für den WahlvorstandAbsender war Fachdienst 11, Bürgeramt, Bürgerbüro, Magistrat der Stadt Langen. Das Schreiben ging an die Wahlvorstände in den Wahllokalen 1 bis 20.Die geplanten Störungen und Angriffe des CCC (Computer-Chaos-Clubs), die sich als Wahlbeobachter ausgeben und am Wahlsonntag alle acht Kommunen, die Nedap-Wahlgeräte einsetzen, aufsuchen wollen, sind ernst zu nehmen. Im Internet unter der Adresse https://berlin.ccc.de/wiki/wahl_in_Hessen_vom_25.01.2008 dokumentiert.
Alle Mitglieder des CCC stehen im Chat untereinander in Verbindung und wollen Unregelmäßigkeiten mittels Fotos dokumentieren. Auch Befragungen von Mitgliedern des Wahlvorstandes sind beabsichtigt. Diese Absicht führt zwangläufig(sic!) zu Störungen im Wahllokal und muss unterbunden werden. Der Wahlvorsteher bzw. die Wahlvorsteherin sind verantwortlich für den ordnungsgemäßen Ablauf im Wahllokal und üben das Hausrecht aus.
Daher sind folgende Regelungen zwingend zu beachten:
Sollten sich Personen als Wahlbeobachter im Wahllokal melden, bitte unverzüglich mich davon unterrichten, damit Absprachen getroffen werden können.
- Generelles Handyverbot in allen Wahllokalen für Besucher.
- Keine Foto- oder Filaufnahmen(sic!) im Wahllokal.
- Keine Interviews bzw. Befragungen mit Besuchern im Wahllokal.
- Keine Benutzung von Notebooks (Laptops) im Wahllokal.
- Beachtung der Bannmeile von 10 Metern.
Bitte darauf achten, dass das "Öffentlichkeitsprinzip" nicht verletzt wird. Nicht einfach des Raumes verweisen — nur bei Störungen im Ablauf der Wahlhandlung. Ruhe und Ordnung im Wahllokal müssen gewährleistet [Rest fehlt]
Ich bin mir nicht sicher, ob das echt ist, oder ob das eine Kunstaktion ist. Einige der Fotos auf der Profile-Sektion kommen mir bekannt vor, das spricht für eine Kunstaktion. Auch die Beschreibung ihrer Niederlassungen ist oberzynisch und spricht für Kunstaktion. Vielleicht habt ihr ja mal Lust, dem hinterher zu recherchieren. Aber die Idee an sich ist ja wohl schon mal echt magenumdrehend.
A homeowner who can't sell his house tells the L.A.Times, "Foreclose me. … I'll live in the house for free for 12 months, and I'll save my money and I'll move on."
Die Häuser sind ja nicht verkäuflich gerade. Die Banken sitzen da auf einer tickenden Zeitbombe, selbst mit den "guten" Hypotheken.Calculated Risk notes this is "one of the greatest fears for lenders … that it will become socially acceptable for upside down middle class Americans to walk away from their homes."ARM sind Adjustable Rate Mortgages. Da haben die Banken also Deals angeboten, wo man am Anfang wenig bis gar nichts abzahlt und auch die Zinsen erst später richtig zulangen, um die Leute zum Unterschreiben zu bringen. Die Leute haben unterschrieben. Dann ist das Haus plötzlich nur noch die Hälfte wert, und die Leute haben noch nicht wirklich viel Geld gezahlt. Na klar ist das an der Stelle eine sehr rationale Entscheidung, die Hypothek platzen zu lassen. Und am Ende bleibt die Bank auf einem Haus sitzen, das nur noch einen Bruchteil wert ist. Die Bank hat aber den vollen Preis ausgezahlt am Anfang. Und wenn das Schule macht, bricht da noch viel mehr weg als bisher anfällig schien.A commenter on L.A. Land this morning writes, "I am one of these people. My condo has dropped in value from $520K in 5/06 when I bought it to $350K now. My ARM payment will probably go up $900 per month in June.
Mitunter ließen sich die Wallmeister-Ingenieure auch weniger explosive Sperrtechniken einfallen. So wurden am Eingang des Hamburger Elbtunnels noch im Dezember 1989 gewaltige Betonklötze auf Querträgern über der Fahrbahn angebracht. Wären die Russen gekommen, hätten Pioniere die Träger gesprengt. Mehrere jeweils 107 Tonnen schwere Betonteile hätten sich in die sechs Meter tiefer liegende Fahrbahn gebohrt und die Verbindung unter der Elbe blockiert.Ich finde sowas ja immer immens faszinierend. Unten gibt es ein paar Links auf Websites mit vielen Bild- und Text-Dokumenten über diese Dinge. (Danke, Pierre)
Das Magazin "Focus" berichtete unterdessen, an einem geheimen Ort sei bereits eine große Menge Sprengstoff gebunkert worden. Zudem sei befürchtet worden, dass ein gestohlener Bundeswehr-Kleinbus - der mittlerweile mit abmontierten Kennzeichen wiedergefunden wurde - als rollende Bombe eingesetzt werden soll.OH MEIN GOTT! Ein Bundeswehr-Kleinbus!1!! GROSSE MENGEN SPRENGSTOFF!!!!!!! Wir sind so gut wie tot!1!!
Doch zuerst müssen wir wachsam sein, denn die Terroristen werden vorher SPIONE schicken!!!!
Berlins Polizeipräsident Dieter Glietsch hatte morgenpost.de gesagt, es müsse damit gerechnet werden, dass potenzielle Attentäter Sicherheitsvorkehrungen auszuspähen versuchten.Habt ihr gehört? SPIONE!!! Falls das jemand noch nicht verstanden hat, schreibt die Morgenpost es gleich nochmal:
Vor dem Hintergrund der zurzeit besonders angespannten Lage in Israel sei "nicht auszuschließen", so Glietsch, "dass potenzielle Attentäter die Sicherheitsvorkehrungen sowie Kontroll- und Gegenmaßnahmen auszuspähen versuchen". Darum wird die Hauptstadt nun gegen mögliche Terror-Spione abgesichert.Aha. Abgesichert. Nun, … wie denn? Wie wollen Sie das denn bitte machen, Herr Polizeipräsident?
Wißt ihr, bei Meldungen wie dieser frage ich mich manchmal, ob ich nicht den falschen Beruf habe. Wenn ich mir ganztägig dreiste und plumpe Lügen aus dem Arsch ziehen würde, wäre das am Ende immer noch glaubwürdiger als was wir dann tatsächlich in der Zeitung lesen am Ende. Ich sollte mal eine Ein-Mann-Propaganda-Abteilung aufmachen. Offensichtlich ist damit ja gutes Geld zu verdienen.
Aber wartet, geht noch weiter. Die Zielgruppe der Morgenpost sind offenbar Rentner mit Alzheimer, denn nicht nur wiederholen sie sich ständig, sie gehen auch davon aus, dass jemand bei Spionen an die Russen denkt. Das muss natürlich sofort korrigiert werden:
In diesem Zusammenhang hatten Beamte des Bundeskriminalamtes (BKA) am Samstag vier Araber in Berlin festgenommen. Sie sollen nach Behördenangaben Gebäude in Mitte ausgespäht haben. Drei der Männer wurden inzwischen wieder freigelassen, da ihnen keine hinreichende Tatabsicht nachgewiesen werden konnte. Der vierte Festgenommene blieb in Haft, allerdings wegen eines anderen Deliktes.Habt ihr gehört? ARABER!!! Die haben Gebäude ausgespäht!!! Unfaßbar. Und einer davon ist in Haft jetzt!!! Zwar wegen was anderem, aber hey, seid mal nicht so kleinlich hier!1!!
Wer nicht auf Anhieb versteht, was daran schlimm ist, kann sich ja auch mal das hier durchlesen. Da ging es um ein Bakterium, das nach der Ernte Pflanzenreste fressen sollte, damit man die Felder nicht brandroden muss. Als sie das dann ausgesetzt haben, haben sie festgestellt, dass dieses Bakterium dann auf dem Feld auch alles weitere Leben verhindert hat.
Oh übrigens, lustige Geschichte zu Abmahnungen: aus gewöhnlich gut unterrichteten Kreisen habe ich erfahren, dass die Massenabmahnungen gar nicht von der Pornoindustrie kommen, sondern die Anwälte sich für ein paar Kröten die Rechte haben abtreten lassen, und das jetzt auf eigene Rechnung betreiben. Also ich halte das ja für ein bösartiges Gerücht, das mit Sicherheit jeder Grundlage entbehrt!1!!
Update: Hier stand ursprünglich, die Musikindustrie hätte die Rechte verkauft, aber gemeint war die Pornoindustrie. Die Geschichte ist sogar noch ein bisschen lustiger. Das Gerücht kommt offenbar von einem Abmahnanwalt der Musikindustrie, der sich angesichts solcher Machenschaften bei den Pornographen Sorgen um den guten Namen des Abmahnwesens in Deutschland machte.
Heftige Kritik am Zustandekommen des Gesetzes äußerte auch die Opposition. Nachdem der Gesetzentwurf ihr abends per Fax übermittelt wurde, sei er am nächsten Morgen im Innenausschuss ohne Erläuterung abgestimmt worden, sagte die grüne Innenexpertin Silke Stokar im Deutschlandfunk. In der Überschrift des Faxes sei es dabei um ein ganz anderes Verfahren gegangen, nämlich um die Übermittlung von Fluggastdaten, dem der Änderungsantrag zum Bundespolizeigesetz angehängt war. Tags darauf wurde das Gesetz nachts um zwei Uhr ohne Aussprache im Bundestag verabschiedet.Aber keine Sorge, keine Situation ist so im Eimer, dass Wiefelspütz das nicht noch schlimmer machen kann:
Die Maßnahme diene der öffentlichen Sicherheit, sagte der innenpolitische Sprecher der SPD-Bundestagsfraktion, Dieter Wiefelspütz im Deutschlandfunk. Kritik der Opposition am Zustandekommen der Regelung wies er zurück. Keineswegs sei beabsichtigt gewesen, eine öffentliche Debatte zu verhindern.Es ging hier übrigens um die Datenspeicherung bei der Videoüberwachung auf Bahn- und Flughäfen.
Nun trug es sich zu, dass eine offenbar geistig verwirrte Frau in Köln im Jobcenter in ihrer Not (unbewaffnet) zwei Mitarbeiter als Geiseln zu nehmen versucht hat.
In besagtem Erwerbslosenforum haben nun anscheinend Leute Verständnis für die Frau geäußert, immerhin sei sie ja in einer schwierigen psychischen Verfassung (blanke Existenznot) gewesen.
Nun, was tut der Staat, mit dem Rücken zur Wand, wenn die Bürger mit dem selbständigen Denken anfangen? Ganz klar, er verlangt von dem Betreiber des Erwerbslosenforums die Herausgabe der persönlichen Daten der betreffenden Nutzer. Nun wird das Erwerbslosenforum im Gegensatz zu diversen Bundesbehörden von Leuten betrieben, die sich an die Datenschutzgesetze dieses Landes halten, und daher keine persönlichen Daten speichern, die sie herausrücken könnten. Völlig klar, das ist eine fiese Notlüge, eine vorgeschobene Ausrede, eine Schutzbehauptung. Die Staatsanwaltschaft hat dem Erwerbslosenforum daher jetzt Billigung und Belohnung einer Straftat (?!?) sowie Volksverhetzung (!?!?!?) vorgeworfen und beim Amtsgericht einen Beschluß erwirkt, um sie zur Herausgabe zu zwingen.
Aber aber, lieber Staatsanwaltschaft Aachen, ihr seid wohl noch voll aus dem letzten Jahrtausend! Heutzutage macht man das anders. Man murmelt "Terroristen", wendet den Kautschukparagraphen 129a an, und dann kann man denen alles unter dem Arsch weg beschlagnahmen, die Wohnung verwanzen, Peilsende am Auto anbringen, jahrelang das Telefon überwachen, etc. Oh, und natürlich ein paar Hausdurchsuchungen zu unbequemen Zeiten und die Ausreise verbieten. Und einen Haftbefehl erlassen, der dann erst nach ein paar Wochen Haft vom BGH kassiert wird. Aber solange hat man dem Gesochs mal gezeigt, wo in diesem Lande der Hammer hängt. Pah, Amateure. (Danke, Timo)
"Manche halten das Trennungsgebot fast schon für einen Verfassungsgrundsatz", sagte der Innen- und Verfassungsminister. Er habe es aber im Grundgesetz nicht gefunden. Die Abgrenzung von Polizeiarbeit und Spionage, von an Gesetzen gebundenen offenen und von geheimen, konspirativen Ermittlungen, eine Lehre aus der NS-Zeit, steht tatsächlich nicht im Grundgesetz. Es wurde jedoch vom Bundesverfassungsgericht schon vor vielen Jahren aus diesem abgeleitet.Wie untragbar muss der eigentlich noch werden, bevor der da mal mit einem saftigen Arschtritt aus dem Amt entfernt wird? Der kriegt ja auch noch Geld dafür! Meine Steuern werden für das Gehalt dieses Marodeurs ausgegeben! Unglaublich.
Und der demokratische Rechtsstaat dürfe sich dem Wettkampf mit den Gefährdern nicht verweigern. Bessere Vernetzung von Behörden und Informationen sei eine Notwendigkeit. Auch die Unterscheidung eines Völkerrechtes im Frieden und eines Völkerrechtes im Krieg entspräche nicht mehr der Realität.Wenn wir tatsächlich eine wehrhafte Demokratie hätten, säßt der Mann dafür im Gefängnis und nicht im Parlament. Aber wartet, wird noch härter:
"Wir sollten die Leistungsfähigkeit des Bundesnachrichtendienstes nicht durch parlamentarische Untersuchungsausschüsse gefährden."Mir fehlen die Worte. Laßt mich das noch mal wiederholen.
"Wir sollten die Leistungsfähigkeit des Bundesnachrichtendienstes nicht durch parlamentarische Untersuchungsausschüsse gefährden."Da haben wir es.
Den Nachrichtendiensten "unlautere Absichten zu unterstellen", sei deshalb geradezu "unredlich".Ich denke, es ist langsam an der Zeit, ein offizielles Rettungsersuchen an die Siegermächte des 2. Weltkrieges zu schicken. Sie haben uns schon mal gerettet, sie sollen es bitte noch einmal tun.
Das mag jetzt naiv sein, aber so dämlich können die Kurden ja wohl nicht sein. Es ist seit Tagen völlig klar, was da als nächstes passieren wird. Irgendein blöder Vorwand (und so sieht das gerade für mich aus), dann marschieren die Türken ein, und der Irak wird sich sicher nicht wehren. Das haben die Kurden sogar schriftlich:
Iraq has urged Turkey not to strike across the border.Iraqi President Jalal Talabani, himself a Kurd, called on the PKK rebels to lay down their arms.
"But if they insist on continuing to fight, they should leave Iraqi Kurdistan and not create problems here," he said.
Das hat wohl auch niemand ernsthaft erwartet, dass der Irak da jetzt irgendwas unternehmen kann.Aber aus meiner Sicht ist es immer am zielführensten, die Nachrichten unter der Annahme zu analysieren, dass niemand dämlich ist und das alles so Absicht war. Und dann sieht das gerade nach einer "Seit 5.45 Uhr wird zurückgeschossen!1!!" Aktion aus. Oder, die türkische Position, die Kurden sind einfach nur exzeptionell dämlich und eh alles die Ausrottung verdient habende Unterm…, äh, Terroristen. Ist natürlich die einfachere Erklärung.
Lediglich 19 Parlamentarier der kurdischen DTP stimmten für jeden sichtbar dagegen - weil Ministerpräsident Recep Tayyip Erdogan auf einer offenen Abstimmung bestanden hatte. "Die Welt soll sehen, wie unser Parlament denkt", war die Begründung, obwohl es tatsächlich darum ging, die Kurdenfraktion vorzuführen.Die Amis sind natürlich nur minder begeistert, dass die Türken in der einzigen einigermaßen ruhigen Gegend im Irak auch noch Aufständische lostreten wollen. Aber ausgelöst haben die Amis das alles selbst mit ihrer Völkermord-Resolution im Congress. Und ich habe ja ehrlich gesagt den Eindruck, dass das Absicht war. Die Demokraten können den Irakkrieg nicht offen verhindern, um nicht als unpatriotisch und Verlierertypen dazustehen, aber sie können so die Türkei mit dieser Völkermordresolution ärgern, die dann dem Krieg eben über den Nachschubweg den Saft entzieht. Und die Türkei spielt 1a mit.
Der CCC hat den Andreas Bogk hingeschickt, und ich habe ein bisschen an dem Schreiben mitgearbeitet. Daher bin ich zuversichtlich, dass wir die wichtigen Argumente alle genannt haben. Heute wird es wohl eigentlich nur Fragen geben, keine Grundsatzreden, aber vielleicht kann das ja der eine oder andere doch nutzen für ein emotionales Plädoyer :-)
Der Pfitzmann ist auch ein Experte und ich sehe gerade, dass er ähnlich argumentiert wie wir:
Für Pfitzmann ist eine Debatte, die die Online-Durchsuchung nur unter dem Artikel 13 des Grundgesetzes (Unverletzlichkeit der Wohnung) wertet, rückwärtsgewandt. Vielmehr müsse überlegt werden, wie sich die Zukunft der Computertechnik gestalten wird. Mensch und Computer würden in naher Zukunft immer engere symbiotische Verbindungen eingehen, wie es bei Menschen mit intelligenten Hörgeräten heute bereits ersichtlich werde: "Wir werden in diese Rechner zunehmend verloren gegangene Fähigkeiten auslagern, um sie so wiederzugewinnen. Wir werden an sie persönlichste Denk- und Merkfunktionen delegieren, um uns zu entlasten", so Pfitzmann in seiner Argumentation.Sehr schön. Ganz so toll pointiert haben wir das nicht gesagt, aber gemeint haben wir es. Der Vergleich mit den "Wahrheitsdrogen" freut mich sehr, da hätten wir auch drauf kommen sollen. Na egal. Ich bin ganz zuversichtlich, dass das in unserem Sinne entschieden werden wird. Ich habe ja argumentiert, dass man das heute schon so sagen kann. Wer schon mal einen Crackberry-Süchtigen bei der Arbeit beobachtet hat, wird das ähnlich sehen.Daher sei die Debatte um die Zukunft der Online-Durchsuchung künftig weniger mit einer klassischen Hausdurchsuchung vergleichbar als vielmehr ein direkter körperlicher Eingriff, der mit der "Verabreichung bewusstseinsverändernder Drogen zum Zwecke des Erlangens von Aussagen" vergleichbar, meint Pfitzmann. Aus diesem Grunde müsse das Verfassungsgericht ein "grundlegendes Urteil zum Schutz unseres Denkens und Merkens" fällen. Mit der computerunterstützten Persönlichkeitserweiterung gehe es bei der Entscheidung zur Online-Durchsuchung künftig zentral um den "Schutz des autonomen und unbeobachteten Denkens", so Pfitzmann in seinem Plädoyer.
Im Übrigen, völlig unabhängig davon: der Pohl hat in seiner Inkompetenz das Wort "Less-Than-Zero-Day" erfunden und in die Welt gesetzt, das auch gerade vor dem Verfassungsgericht benutzt wird. Ihr habt hiermit die Erlaubnis, jeden laut auszulachen, der das sagt. Klarer kann man seine Inkompetenz nicht zum Ausdruck bringen. Ein Exploit, der heute bekannt wurde, ist an Tag 1, sozusagen ein "1-Day". "0-Day" heißt bereits, dass er noch nicht bekannt ist. Weniger als nicht bekannt geht nicht. Nur inkompetente Idioten benutzen das Wort "Less-Than-Zero-Day".
Oh, noch ein Highlight:
Zum Erstaunen von Richtern und Experten hat der juristische Vertreter der nordrhein-westfälischen Landesregierung, Dirk Heckmann, bei der mündlichen Verhandlung über das NRW-Verfassungsschutzgesetz vor dem Bundesverfassungsgericht die damit gestattete Ausforschung etwa von Festplatten privater Rechner kleinzureden versucht. "Es geht hier nicht um das Auslesen des gesamten Festplatteninhalts", sagte Heckmann am heutigen Mittwoch in Karlsruhe. Die Befugnis erlaube es den Verfassungsschützern, allein die Kommunikation im Internet zu überwachen. "Ich gestatte mir die Frage, ob wir vom gleichen Gesetz ausgehen", zeigte sich Gerichtspräsident Hans-Jürgen Papier daraufhin verwundert.
Update: Mir erzählt gerade der nibbler von der Presseempore, dass der vorsitzende Richter folgendes gesagt hat:
Zuvor noch eine Frage an den technischen Sachverständigen — unsere Mikrofonanlage hört sich schlimm an, vorhin ist auch ein Richter im Aufzug stecken geblieben — kann man da mal… also wir bräuchten da mal jemanden…
ROTFL, das passt perfekt zu unserer Argumentation mit der Unbeherrschbarkeit der Technologie :-)
Update 2: Der Pfitzmann hat auch Humor. Der hat gerade vorgeschlagen, sie sollen doch statt Trojanern die elektromagnetische Abstrahlung nutzen. Das sei nicht massenfähig, ginge ohne Eingriff ins System, sei zielgerichtet, und, der Hammer, das funktioniere ja bei Wahlcomputern schon sehr gut. :-)
Update 3: Der BKA-Spezialexperte ist gerade dran. Der hat da voll ins Klo gegriffen. Der Kernbereich sei nicht betroffen, weil dafür der lahme DSL-Uplink eh nicht reichen würde (wie meinen?!? Mal darüber nachgedacht, wie die Inhalte auf Youtube kommen?), eine Anschaffung von Exploits sei nicht vorgesehen (damit würde sich ja der Verkäufer auch strafbar machen, so doof ist ja wohl niemand). Und dann hat er den Hammer fallen lassen: "wir haben das konzeptionell noch nicht durchdacht". Äh, whut?! Wird noch härter: dass sie den richtigen Rechner erwischt haben, würden sie ja daran sehen, dass der Trojaner Daten zurück liefert, die das dann sagen. Unglaublich. Pfitzmann hat da auch gleich drauf gekloppt. Also alleine der Spruch wird sie töten.
Update 4: Der NRW-Vertreter hat sich echt nicht entblödet, das "sind doch eh alle mit Trojanern infiziert" Argument zu bringen. Oh Mann. Der Datenschutzbeauftragte hat da eine prima Breitseite gegen gehauen; er fragte, wenn 3/4 der Rechner eh fremdgesteuert seien, wem dann die gefundenen Inhalte zuzuordnen seien.
Update 5: Die FAZ amüsiert sich über das Ausmaß des Verkackens des NRW-Menschen vor dem Verfassungsgericht. Bizarrerweise ist das der gleiche Autor, der gestern noch für die FAZ plump und platt die Gegenposition "vertreten" hat. Hoffentlich ist das SPD-Marathonumfallen nicht ansteckend…!
Heckmanns Verteidigungsversuch verfing nicht. Nach mehreren skeptischen Nachfragen von der Richterbank gelangte er schließlich zur Feststellung: „Ich gebe ja zu, dass die Norm durchaus suboptimal formuliert ist. Ich habe Sie auch nicht selbst formuliert.“
Wieder Gelächter im Gerichtssaal. Doch Heckmann blieb dabei: Ganze Festplatten zu durchsuchen, sei gar nicht beabsichtigt worden. Vielmehr wolle man nur die Kommunikation über das Internet überwachen und an E-Mails, Entwürfe und Telefondaten gelangen, bevor diese auf ihrem Weg ins Netz verschlüsselt würden. Dazu müsse man zwar auf die Festplatte zugreifen, aber lediglich auf eng umgrenzte Bereiche. Das sei möglicherweise in dem Gesetz nicht klargeworden. „Vielleicht hätte man ein Komma anders setzen sollen, darüber müssen wir dann reden.“
Haha, ein Komma anders setzen. Dass ich nicht lache. Immerhin:
Die Skepsis des Gerichts lässt erahnen, dass das Gesetz aus Nordrhein-Westfalen in Karlsruhe keinen Bestand haben wird. Der Gesetzgeber verzichtete auf einen Richtervorbehalt und schuf auch keine Regelungen, um den „Kernbereich privater Lebensführung“ von Durchsuchungen auszunehmen. Das müsste aber geschehen, um der bisherigen Rechtsprechung des Bundesverfassungsgerichts zu folgen.
Update 6: Balsam auf die Seele ist auch dieser wunderschöne Süddeutsche-Artikel dazu.
Das Spiegeln sowie das Downloaden der BKA-Website ist untersagt.
Also wenn das irgendwer anderes gesagt hätte als die römisch katholische "Kirche", die ja eh findet, Kondome seien Teufelswerk und die Leute sollen lieber an AIDS sterben…
Dabei sollen etwa Investitionen in Forschung und Entwicklung zu IT-Sicherheitsmechanismen festgezurrt werden.Manchmal hasse ich es, wenn ich Recht habe.
Erst mal muss man sich auf deren Neusprech kalibrieren. Den Bundestrojaner nennen sie jetzt RFS, "remote forensic software", dabei paßt "Schäuphilis" doch so viel besser. Auch an anderer Stelle soll PR-Neusprech die differenzierte Betrachtung des Sachverhaltes verhindern. So unterscheiden sie zwischen "Quellen-TKÜ" und "Online-Durchsuchung". Quellen-TKÜ ist, wenn sie Skype abschnorcheln. Online-Durchsuchung ist, wenn sie Dateien raustragen. Und, so der Gedanke, wenn man das so schön trennt, dann klingt das gleich gar nicht mehr so bedrohlich, und dann müssen sie auch nicht aufpassen, weil wenn sie den Online-Durchsuchung-Trojaner hochladen, dann ist ja klar, daß das keine Quellen-TKÜ war, für die sie eine andere Art der richterlichen Genehmigung brauchen. Ich hatte so ein bißchen den Eindruck, als hielten sie die Quellen-TKÜ schon nach bisherigen Gesetzen für ausreichend legitimiert.
Ich finde es ja gefährlich, wenn wir argumentieren, daß sie keine Ahnung haben und das total unsicher wird. Das ist zwar die Wahrheit, aber wir wollen ja nicht, daß der Trojaner sicher wird, wir wollen daß er gar nicht kommt. Insofern nahm ich mit Belustigung zur Kenntnis, daß das BMI denkt, sie könnten ihre Malware kryptographisch vor Reverse Engineering schützen:
Diese Analyse der RFS (Disassembling) wird jedoch durch die Verwendung kryptographischer Methoden nahezu unmöglich gemacht.An dieser Stelle hätte man nicht tiefer ins Klo greifen können. Dieser eine Satz reicht, um ihnen sämtliche auch nur in Resten von Fetzen vorhandene Sachkenntnis pauschal abzusprechen. Das ist so grotesk falsch, daß man sich ab dieser Stelle gar nicht mehr inhaltlich mit ihrem Geschreibsel beschäftigen muss, man kann sich auf den Stil beschränken. Und der bietet auch noch genug Angriffsfläche.
So paßt das ja überhaupt nicht mit meinem Bild der Sicherheitsbehörden zusammen, daß sie meine Sicherheit senken anstatt sie zu erhöhen. Daher war eine der Fragen, wie sie denn ihre Spyware gegen Missbrauch durch Dritte sichern wollen. Die Antwort ernüchtert.
Die Sicherheitsbehörden und das Bundesministerium des Innern verfügen grundsätzlich über genügenden Sachverstand.Sie halten sich schlicht für unfehlbar. Sie setzen da auf Designkriterien und die Vorgabe von Sicherheitsstandards durch das BSI. Von Prüfung, womöglich gar durch unabhängige Experten, steht da nichts. Für die Ausschreibung von Tollcollect galten höhere Sicherheitsanforderungen. Für Glückspielautomaten gelten höhere Sicherheitsanforderungen. Hey, für Wahlcomputer gelten höhere Sicherheitsanforderungen, und ihr wißt ja alle, wie katastrophal unsicher die sind.
Und wenn man unfehlbar ist, dann muss man sich auch keine fiesen Fragen gefallen lassen.
Es ist nicht zu erwarten, dass die RFS entdeckt wird.Nee, klar. Un-denk-bar.
Die RFS wird so entwickelt, dass von ihr nach dem aktuellen Stand der Technik keine Schadfunktionen ausgehen.So spricht der Papst, also ist es so. Und überhaupt, was bildet ihr euch eigentlich ein, ihre hinterhältige Spyware als solche zu bezeichnen?!
Mit der Online-Durchsuchung werden keine Personen ausgespäht, sondern relevante Erkenntnisse auf informationstechnischen Systemen erhoben.Wartet, kommt noch besser!
Bei der hier in Rede stehenden RFS handelt es sich nicht um eine "Spionagesoftware", sondern um ein technisches Mittel zur Datenerhebung.Das werde ich ab jetzt auch immer sagen. "Herr Richter, das ist doch kein Hackertool, das ist bloß ein technisches Mittel zur Datenerhebung!"
Und überhaupt halten sich die Behörden nicht nur für unfehlbar, sondern auch für grundsätzlich vollständig vertrauenswürdig. Daher stellt sich auch die Frage gar nicht, wie sie da verhindern wollen, daß auf Tagebücher, Krankheitsberichte oder Liebesbriefe zugegriffen wird:
Das Bundeskriminalamt hat beim (verdeckten) Zugriff auf das informationstechnische System kein Interesse an der Kenntnisnahme etwa von Krankheitsberichten, Tagebüchern oder Liebesbriefen.Und damit ist klar: da wird auch nie jemand gucken. Aber wartet, sie toppen das noch mit der Aussage, das Tagebuch hätte man ja auch bei einer offenen Durchsuchung finden und sichten können, insofern müsse man das ja bei unserer Spyware auch nicht weiter schützen.
Nun sollte man denken, wenn die so von sich selbst überzeugt sind, daß sie dann die Großartigkeit ihrer Software erkennen und sofort verstehen, wieso z.B. die Chinesen sich ihres Trojaners bedienen sollten. Aber neeeiiinnn, das ist völlig undenkbar. Denn:
Speziell wird sichergestellt, dass die Software nicht ohne erheblichen Aufwand dazu veranlasst werden kann, an einen anderen Server als den vom Bundeskriminalamt verwendeten zurückzumelden, und dass die Software weder von außen erkannt noch angesprochen werden kann. Das Entdeckungsrisiko kann durch technische Maßnahmen reduziert werden.Ich bin mir sicher, das wird sich Sony bei ihrem Rootkit auch gedacht haben. Aber solche Fragen stellen sich nicht, wenn man mit Zauberern zusammen arbeitet. Denn nicht nur ist die Software nicht von außen ansprechbar, das BKA kann sie trotzdem von außen ansprechen:
oder sogar die Beendigung der Maßnahme wegen eines zu hohen Entdeckungsrisikos angezeigt erscheinen lassen, erfolgt die Anweisung an das Programm sich selbst zu deinstallieren.Zauberei!!! Die können mit einer nicht von außen ansprechbaren Software kommunizieren!
Eine andere Sache ist die Beweissicherheit der aus dem Trojanereinsatz gewonnenen Erkenntnisse. Für die Gefahrenabwehr ist das egal, da kann man auch ohne Beweissicherheit Leute willkürlich in den Karzer sperren, das heißt dann "Unterbindungsgewahrsam". Aber bei Straftaten haben wir ja noch so Reste einer Justiz-Simulation stehen, und da will man von Beweisen, daß sie Beweiskraft haben. Bei Hausdurchsuchungen macht man das so, daß man die Festplatte vor Ort versiegelt, einpackt, dann beim BKA vor Zeugen eine Kopie zieht, und dann auf dieser Kopie arbeitet, damit das Original nicht verändert wird. Das ist beim Trojaner alles nicht gegeben, die Umgebung von dem ist dynamisch und unter der Kontrolle anderer. Selbst wenn wir dem Wirt des Bundesparasiten nicht die nötige Sachkenntnis zubilligen, um da Eingriffe durchzunehmen, so könnte auch ein anderer Trojaner auf dem Rechner sein. Es ist dokumentiert, daß sich Botnet-Trojaner gegenseitig vom Rechner schmeißen, um ihre Überlebenschancen zu verbessern. Ich warte ja auf den Tag, wo die Russenmafia-Trojaner den BKA-Herpes entfernen, weil er sie bei der Arbeit behindert. Und dann ist da natürlich noch die Frage des fernsteuernden BKA-Rechners. Das BKA denkt sich, wenn sie da zwei Beamte haben, die sich gegenseitig bezeugen, daß sie nur Gutes getan haben, ist das alles OK, aber auf dem Rechner könnte ja ein Chinesen-Trojaner sein. Wir haben ja gerade gesehen, daß unsere "grundsätzlich über genügenden Sachverstand" verfügenden Behörden mit ein paar lächerlichen Windows-Trojanern überfordert waren. Und jetzt nehmen wir mal an, der Trojaner-Wirt sagt vor Gericht, er habe den Trojaner bemerkt, und ihm absichtlich irreführende Daten gefüttert. Technisch ist das kein Problem, so einen Trojaner z.B. über Rechnervirtualisierung auch im laufenden Betrieb in ein Holodeck einzusperren und ihn komplett zu verarschen. Wenn der Rechner-Eigentümer zu Protokoll gibt, er habe den Trojaner bemerkt und mit ihm gespielt, ist die Beweiskraft sämtlicher Beweise völlig dahin. Das BKA redet sich ein, man könnte sowas ja dann forensisch feststellen. Dem kann ich nur mit lautem Gelächter antworten.
Ich glaube das nicht.
Dem Mehdorn kann der Papierwert der Bahn egal sein, der kriegt ja weiter sein Gehalt. Das sind eher die Politiker, die sich da über den Tisch ziehen lassen, auch wenn der Mehdorn da vermutlich nach Kräften mitmacht.
Meine Theorie, was da gerade passiert, ist folgende: die Bahn versucht gerade mit Gewalt, die Lokführer loszuwerden und durch billige "Aushilfen" und Minijobber zu ersetzen, weil die starke Gewerkschaft bindende Tarifverträge geschlossen hat. Also wenn ich der Mehdorn wäre, würde ich folgendes versuchen:
Für den Mehdorn ist der Streik also keine Bedrohung sondern im Gegenteil eine prima Gelegenheit, die Gewerkschaft in die Pleite zu treiben.
Im Moment heißt es in den Medien immer, wir hätten viel zu wenig Lokführer, und daher sei die Bahn erpressbar. Überlegt mal selber, wie wahrscheinlich das ist. Die Bahn hat ja die Hälfte ihrer Strecken zugemacht, wo sind die denn alle hin, die Lokführer? Frühpension? Meint ihr nicht, die könnte man alle reaktivieren, wenn man ihnen ein bißchen mehr Kohle verspricht, als ihre Pension auszahlt? Ich weiß ja nicht, wie viel Pension die da kriegen, aber viel wird es nicht sein.
Die hohe Zahl an Hilfsbedürftigen entwickele sich gegenläufig zur sinkenden Langzeitarbeitslosigkeit und nehme beständig zu. "Das muss nachdenklich machen."Hut ab, die Zahlen haben wir ja fein frisiert. Aufschwung, wir kommen!In der aktuellen Arbeitslosenstatistik seien von den 7,4 Millionen "Hartz-IV-Sozialfällen" lediglich rund 2,5 Millionen Menschen erfasst, betonte DLT-Sprecher Markus Mempel. Die von der Politik verkündete "positive, hoffnungsvolle Botschaft" sei ein Trugbild. "Es geht nicht bergauf, ganz im Gegenteil", betonte Mempel.
Übrigens, um das mal ganz klar zu sagen: Hartz IV ist ein großer Erfolg. Es erreicht genau das, wozu es entworfen wurde: die Lohnkosten zu senken, das Land in Armut zu stürzen. Wenn man systematisch den Wert von Arbeit senkt, und den Wert von regulären Arbeitsplätzen mit Zwangsarbeit und Minijobs untergräbt, na klar gehen dann die Jobzahlen zurück. Und weil die Leute nicht blöd sind, aus Versehen genau das Gegenteil von dem zu machen, was sie eigentlich machen wollen, muss es wohl Absicht gewesen sein. "Der Deutschen Wirtschaft" wäre halt doch das richtige Motto für den Reichstag gewesen.
[16:59] Die Organisatoren der geplanten Blockade des G-8-Gipfelorts Heiligendamm haben ihre friedliche Absicht betont. "Wir wollen keine Eskalation und betrachten die Polizei nicht als unseren Gegner", sagte ein Sprecher. Er forderte die Polizei auf, zur Beruhigung der Lage beizutragen. "Als Zeichen der Deeskalation erwarten wir, dass die Berliner Einsatzhundertschaften nicht zum Einsatz kommen." Ein Sprecher der linken Szene hatte den Berliner Polizisten besondere Härte vorgeworfen.
Update: Mein Freund Frank erklärt mir gerade, daß die Bilderberger noch ne Jungfrau gebraucht haben für dieses Jahr. :-)
Update 2: Jungfrauen für Istanbul :-)
(2) Ebenso wird bestraft, wer eine Vereinigung gründet, deren Zwecke oder deren Tätigkeit darauf gerichtet sind, […] 2. Straftaten nach den §§ 303b […].
(1) Wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, dass erund2. Daten (§ 202a Abs. 2) in der Absicht, einem anderen Nachteil zuzufügen, eingibt oder übermittelt
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft […]
Bluehat bestand aus 5 Vorträgen in einem Saal, und dann einem Haufen Lightning Talks. Die Vorträge haben mich jetzt nicht so vom Hocker gehauen, bis auf den über Hardware-Hacken von Bunnie und Felix Domke. Ich geh mal der Reihe nach durch.
"Your Underground Vulnerability Economy" war von einem hyperaktiven Typ, der da irgendwelche IRC-Kanäle zitiert hat, und da Preise genannt hat, was man angeblich wo kaufen kann, und daß die Leute da mit Datensätzen handeln. Na was für ein Schocker. Von der Seriosität kam der Typ mir ein bißchen wie eine Kreuzung aus Gebrauchtwagenverkäufer und Megachurch-Pfarrer vor.
"Breaking Into Microsoft Security Tools" war ziemlich lahm (und inzwischen habe ich noch ein paar Leute herzhaft über die Vortragenden herziehen hören, was das Bild vervollkommnete). Als Inhalt hatten sie da Windows Defender (Microsofts Antimalware-Produkt), und sie haben da als großen Hack gezeigt, daß man dem ein Signatur-Update geben kann, und der dann seine eigene Engine löscht. Also bei dem Titel hatte ich mindestens Code Execution erwartet.
Der Windows Mobile Vortrag stellte sich als Bluetooth-Vortrag heraus. Die beiden Vortragenden wirkten ein bißchen wie Zeugen Jehovas, mit Dauergrinsen im Konfirmationsanzug. Also nicht unsympathisch, aber irgendwie auch nur bedingt überzeugend. In dem Vortrag hatten sie dann eine Man-in-the-Middle Angriff auf Bluetooth. Ansonsten platzierten sie da die Botschaft, daß sie schon total voll lange mit ihrer Firma am Start sind, also mindestens anderthalb Jahre, und wie toll sie mit den ganzen Vendors zusammenarbeiten würden.
"Death by 1000 Cuts" hab ich erst für einen Scherz gehalten. Es ging da wohl um Browser-Angriffe, aber der Vortrag bestand im wesentlichen aus "künstlerischen" Videoclips, wo irgendwelche Buzzword-Scheiße über den Bildschirm rotierte, so wie man sich einen Flash-Screensaver vorstellen würde, während eine Frauenstimme zusammenhanglos Dinge wie "HTML", "Tags", "Web 2.0" und "AJAX" murmelte, und er erzählte da eine Geschichte, wie jemandem seine Daten geklaut wurden. Ich glaube, dieser Typ hat sich in der Veranstaltung geirrt. Das war eher peinlich.
Bei den Lightning Talks hat das Office Security Team (u.a. David LeBlanc, den man ja von seinen Büchern kennt) ihre Sandbox vorgestellt, mit der sie ihren Code zum Importieren von alten Office-Dokumenten absichern wollen, indem sie ihn mit Dingen wie einem restricted Token und einem separaten Desktop in einem separaten Binary starten. In der Praxis hilft das alles natürlich gar nichts, aber immerhin raucht dann nur der Import-Prozeß ab, nicht das ganze Office. Ein Angreifer kriegt immer noch Code Execution, kann Netzwerk-Kram machen (auch zu localhost) und Kernel-Bugs ausnutzen. Highlight war eine Demo, wo sie nach einigen kaputten Dokumenten auch mal ein Powerpoint-File geöffnet haben, das nicht korrupt war, um zu zeigen, daß das auch geht, und die bestand im Wesentlichen aus diesem großartigen Bild hier. Soll noch mal jemand sagen, Microsoft habe keinen Humor! :-)
Ist schon hart, wie die westliche Presse immer Saddam anklagt, weil er die Chemiewaffen, die die Amis ihm verkauft haben, eingesetzt hat. Und der Iran, der Chemiewaffen nur vom damit beschossen werden kennt, das sind die Bösen. Na klar. Wie lange erzählen die Israelis jetzt schon das Märchen von den Chemiewaffen?
Der TV-Sender NBC berichtet auf seiner Website, Steele würden "Hilfe für den Feind, das Zurückbehalten klassifizierter Dokumente, Beziehungen zu einer irakischen Dolmetscherin und einer Irakerin, Gehorsamverweigerung gegenüber einem Vorgesetzten" und der "Besitz pornografischen Materials" zur Last gelegt.Da scheint es ja für den Rest der Anklage nicht viele Beweise zu geben, wenn sie ihn wegen Pornobesitz anklagen wollen… Erinnert mich irgendwie an Al Capone, den sie am Ende wegen Steuerhinterziehung drangekriegt haben.
Vor einem Monat hatten die Innen- und Justizminister der EU beschlossen, den Behörden einen unkomplizierten Zugriff auf Daten anderer EU-Staaten zu ermöglichen. Wer den Halter eines Fahrzeugs, ein DNS-Profil oder die Fingerabdrücke eines Verdächtigten sucht, soll demnächst, sobald die unterschiedlichen nationalen Programme angepasst sind, auch die Archive der Nachbarländer abfragen dürfen.Nee, klar. Natürlich nur mit Richtervorbehalt, da weiß man ja, daß das nie jemand mißbrauchen würde in Ländern wie … England, Rumänien, Bulgarien, Griechenland, … KOTZ!
Der Brüsseler EU-Kommission reicht das nicht. Mit einem Vorschlag in ihrem Arbeitsprogramm für das Jahr 2008 will sie in einer einzigen, gigantischen europaweiten Datei die Fingerabdrücke aller Personen speichern, die Gewaltverbrechen oder terroristischer Aktivitäten verdächtig oder überführt sind.
Die Kritik des Generalinspekteurs im Justizministerium richtet sich gegen die sogenannten "National Security Letters". Mit diesem Instrument dürfen US-Behörden unter anderem von Telefongesellschaften und Banken persönliche Konto- und Kundendaten und E-Mails verlangen, ohne richterliche Erlaubnis einzuholen. Allein 2005 stellte das FBI 19.000 solcher Schreiben aus. Doch in Stichproben stellte sich dem Untersuchungsbericht zufolge jetzt heraus, dass das FBI in den vergangenen drei Jahren ein Fünftel seiner Daten-Anforderungen dem US-Kongress verschwiegen hat. In den vorgeschriebenen Berichten an das Parlament tauchten sie überhaupt nicht auf.Aber das war natürlich keine Böswilligkeit, ach wo denkt ihr hin:
War das Absicht? Hat das FBI den Kongress bewusst über den Umfang seiner Tätigkeit getäuscht? Diesen Vorwurf erhebt der Untersuchungsbericht nicht direkt. Er führt die Verstöße auf internes Missmanagement zurück: Beim Erfassen ausgestellter Anträge habe es Fehler gegeben.Klaaar, die Formulare waren einfach zu kompliziert, das kann doch keiner erwarten, daß das FBI da alles ausfüllt.
Es gibt übrigens einen funktionierenden Weg, wie der Congress Bush am Kriegführen hindern kann: ein Gesetz, daß die Finanzierung sperrt. (Danke, Klaus)
Besser noch: damit können wir endlich auch die Politiker rausschmeißen, die Killerspiele oder Pornographie verbieten wollen, denn das ist ja auch glasklar absichtliche Integrationsverweigerung gegenüber Deutschen Werten. Oh und diese Vegetarier werden wir so auch endlich los. Wer nach Berlin will, muss vor Zeugen ein dickes Eisbein futtern. Wer das nicht schafft, wird direkt deportiert. Es lebe die Integration!
In den USA haben nur 46% der Befragten gesagt, daß so etwas niemals gerechtfertigt ist, und 24% haben gesagt, man könne das unter Umständen rechtfertigen. Die Umfrage wurde von der University of Maryland durchgeführt, die Schwerpunktforschung zum Thema internationale Umfragen zur Einstellung der Bevölkerung in diversen Ländern machen.
Als Kontrast dazu sagen die bevölkerungsreichsten muslimischen Länder bei einer ähnlichen Umfrage von "Terror Free Tomorrow" in überwältigender Mehrheit, daß es nie eine Rechtfertigung geben kann: Indonesien (74%), Pakistan (86%), Bangladesh (81%). (Danke, Chico)
Oklahoma City bombing conspirator Terry Nichols says a high-ranking FBI official "apparently" was directing Timothy McVeigh in the plot to blow up a government building and might have changed the original target of the attack, according to a new affidavit filed in U.S. District Court in Utah. The official and other conspirators are being protected by the federal government "in a cover-up to escape its responsibility for the loss of life in Oklahoma," Nichols claims in a Feb. 9 affidavit.
Documents that supposedly help back up his allegations have been sealed to protect information in them, such as Social Security numbers and dates of birth.
Das ist eine Zeugenaussage unter Eid vor Gericht, von einem Mitverschwörer, der deswegen eine lebenslange Haftstrafe absitzt. Der hat also nicht mehr viel zu verlieren.McVeigh told him he was recruited for undercover missions while serving in the military, according to Nichols. He says he learned sometime in 1995 that there had been a change in the bombing target and that McVeigh was upset by that.
Na sowas. Oops. (via)
So hat eine aktuelle Untersuchung von IDC nachgewiesen, dass sich das Sicherheitsrisiko durch den Kauf und die Nutzung von gefälschten Produktschlüsseln, Raubkopien, Schlüssel-Generatoren oder Cracking-Tools deutlich erhöht. Ein Viertel aller Websites, die illegale Software-Versionen oder Produkte anbieten, enthält schädliche oder unerwünschte Software. Sogar 59 Prozent aller Schlüssel-Generatoren und Cracking-Tools in P2P-Netzwerken sowie 11 Prozent in Websites schleusen Malware auf den PC ein. IDC schätzt, dass die Kosten für ein Unternehmen bei 1.000 US-Dollar liegen, um sich von einem einzigen Störfall durch gefährliche Software auf einer Workstation zu erholen. Die Kosten für verloren gegangene oder kompromittierte Daten reichen oft bis zu mehreren 10.000 Dollar pro Vorfall.
Der künftige Ober-Bayer Günther Beckstein verriet sich selbst auf dem 10. Europäischen Polizeikongress in Berlin. Zu einer Talkshow-tauglichen Anekdote aufgelegt, erzählte er gutgelaunt, er selbst hätte beinahe auf seinem privaten PC einen per E-Mail geschickten Trojaner-Anhang geöffnet, der sich mit dem Absender BKA tarnte. Er hätte als Innenminister natürlich angenommen, darin sei eine dienstliche Information für ihn enthalten und "hundertprozentig" draufgeklickt, wenn ihn nicht seine Frau noch rechtzeitig vor einem der gefährlichsten Angriffe überhaupt gewarnt hätte.Was ich ja nicht verstehe, wenn ich sowas lese… hat die CSU denn keinerlei Anforderungen an Mitglieder?!
Aber das ist noch gar nicht das Highlight. Das Highlight ist, wie der Zierke (ihr wißt schon, der Spezialexperte vom BKA) begründet, daß sie die Online-Durchsuchungen brauchen:
"Das Zweite ist, wir können zum Beispiel in das Milieu des islamistischen Terrorismus mit verdeckten Ermittlern fast nicht eindringen. Wir sehen nicht, äh, ähnlich aus wie viele Leute im Milieu, wir sprechen nicht die arabische Sprache. Wir müssen uns daher andere Zugänge überlegen, weil der islamistische Terrorismus überwiegend über das Internet kommuniziert. Das ist das Rekrutierungsmittel, das ist das Mittel zur Radikalisierung der Szene."Fassen wir also zusammen: das BKA ist zu dämlich, die Islamisten zu unterwandern. Und weil die alle Internet benutzen, und weil inkompetente Idioten die anderen auch immer alle für mindestens genau so dämlich wie sich selbst halten, ist sich das BKA sicher, daß die dummen Islamisten alle auf Email-Attachments klicken werden. Nicht zu fassen. Und falls noch jemand Zweifel an der Inkompetenz von Herrn Zierke hat… lest, wie er auf die Frage nach absichtlich von Herstellern drin gelassenen Hintertüren antwortet:
"Nein, auch darum geht es nicht. Äh, wir werden mit unseren Programmen, die wir anwenden werden, nicht in solche Lücken hinein müssen, die allgemein zum Schaden der Bevölkerung da sind, sondern wir werden sehr kontrolliert mit hoch professioneller Software unsere Programme starten und werden dann den Weg finden, um dieses aufklären zu können. Vor allem, und das geht noch einmal um die Frage, warum keine offene Hausdurchsuchung äh, Kriminelle laden diese Daten, die man auf der Festplatte normalerweise hat, ins World Wide Web aus. Das heißt, der Speicherplatz ist das Internet irgendwo weltweit."Nicht zu fassen, was für Vorstellungen der Mann hat! Schlimmer noch, wenn der schon selber glaubt, daß die Daten irgendwo im Internet gespeichert sind und nicht auf den PCs der Islamisten, … wieso will der dann überhaupt online durchsuchen?
"Wir wollen, nein, wir können das Internet weltweit eben nicht durchsuchen. Das ist ja das Riesenmissverständnis, was hier entsteht. Wir können nur direkt am Computer des einzelnen ansetzen und nur dann, wenn es unverschlüsselt ist, das heißt, selbst die Verschlüsselungs-Software macht uns große Probleme. Deshalb müssen wir vor dem Verschlüsseln und nach dem Entschlüsseln ansetzen können. Wir brauchen die Passwörter, die man ja auch normalerweise nicht auf dem eigenen Computer abspeichert. All das können wir nur, wenn wir es online machen."Immerhin hat ihm jemand erklärt, daß "Trojaner" etwas schlechtes ist, wogegen Leute sich Antivirus-Software installieren, und daher wollen sie das lieber anders nennen.
Berichten zufolge haben die Sicherheitsdienste inzwischen auch Spionageprogramme entwickelt, die über das Trojaner-Prinzip hinausgehen. Diese würden Computer automatisch nach ungesicherten Einfallstoren durchsuchen, sobald sie sich im Internet anmelden. Nach getaner Arbeit deinstallieren sich die Spione dann selbst und verschwinden unerkannt.Aha, also Würmer statt Trojanern. Na das ist doch gleich viel klarer illegal als ein Trojaner. Ein echter Fortschritt für den deutschen Rechtsstaat.
Zumindest die inländische Antivirusindustrie ist ja voll aus dem Rennen, wenn sie ausgerechnet diesen Trojaner nicht entfernen darf. Na, liebe Politiker, dieses Knistern, das ihr da gerade hört, das sind die Arbeitsplätze, die ihr gerade verbrennt. Hoffe es wärmt schön, denn nach eurer Abwahl habt ihr euch alle mal eine Runde Hartz IV verdient.
Immerhin scheint die neue Kernel-Rootkit-Absicherung die ganze Kopierschutzscheiße bei PC-Spielen kaputt zu machen, so daß 90% davon nicht unter Vista laufen.
Ich habe ja neulich mal wieder Red Alert und Yuri's Revenge installieren wollen unter XP, und es rauchte sofort ab beim Start. Nach einem halben Tag rumgoogeln und sinnfrei Sachen probieren habe ich die Lösung gefunden: bei Macrovision ein Update für den Safedisc-Kopierschutz-Dreck ziehen. Danach lief das Spiel auch unter XP. Ich bin mir ja sicher, daß ein besonders unbequemer Teil der Hölle für die Kopierschutzmafia reserviert ist. Da müssen sie dann ganztägig an der Hotline sitzen und ihren Kunden beistehen. Mögen tausend Fliegen unter ihren Achseln wohnen!
Nun, wer könnte da etwas gegen haben? Die 300.000 Euro pro Gerät sind doch offensichtlich prima angelegt!1!! Naja, wartet mal:
Dass die Daten, die der Computer ausspuckt aber auch durchaus fehlerhaft sein können, haben die bisherigen Tests gezeigt: So hätten bis zu 40 Prozent der gemeldeten Verdachtsfälle schließlich doch nicht zu einem Treffer in den Fahndungssystemen geführt, verriet Polizeirat Bernd Ricker von der Hessischen Polizeischule. Das liege vor allem daran, dass das System sehr ähnliche Kennzeichen aus technischen Gründen nicht auseinander halten könne. So soll nun im Ernstfall zuerst ein Polizist die gelieferten Ergebnisse kontrollieren, ehe es zum Zugriff kommt. Die Daten nicht polizeilich gesuchter Fahrzeugführer würden sofort gelöscht.Your tax money at work. Aber wartet, wenn es nicht funktioniert, und man immense Geldmengen für sinnlosen Tand verbrannt hat, dann muss man das durch Technologieführerschaft rechtfertigen:
Hessen übernehme mit dieser Technik eine Vorreiterrolle, nur in Bayern gebe es Vergleichbares.Und, äh, klar, wer würde bezweifeln, daß die Daten sofort gelöscht werden, wenn es keinen Match gab. Zusagen dieser Art haben doch schon beim Mautsystem voll überzeugen können. (via)
Damit ist er jetzt offziell noch beschissener als der Linux-Treiber, der mir folgendes mitteilt und dann den Dienst einstellt:
[fglrx] Maximum main memory to use for locked dma buffers: 1884 MBytes.Das ist besonders nervig, weil es keinen open source ATI Treiber für Linux gibt (für meinen X1600 Chip zumindest). Immerhin tut der 2d-Teil des ATI-Treibers, aber durch einen architekturellen Geniestreich funktioniert die Xvideo Extension nicht ohne funktionierendes Kernelmodul. Ich habe kurz überlegt, ob ich mir mal deren Binär-Blog disassemblieren soll, habe mich dann aber aus Selbsterhaltungstrieb-Gründen dagegen entschieden.
[fglrx] module loaded - fglrx 8.33.6 [Jan 8 2007] on minor 0
ACPI: PCI Interrupt 0000:01:00.0[A] -> GSI 16 (level, low) -> IRQ 16
[fglrx:firegl_gps_init] *ERROR* Gps_GartInitialization failed.
[fglrx:firegl_init_pcie] *ERROR* Failed to initialize GPS.
Oh, warum ich Windows boote? Das mache ich immer bei den Patch-Tagen, damit ich, sollte ich mal irgendwo unfreiwillig Windows booten müssen, wenigstens den aktuellen Patchstand habe. Oh, übrigens, der normale ATI-Windows-Treiber funktioniert schon mal gar nicht auf meinem Notebook, das wird hier sicher der eine oder andere auch kennen, das Problem. Man kann ihn aber mit diesem gruseligen Tool hier zur Zusammenarbeit überreden. Stellt sich raus, daß der Treiber schon funktioniert, aber die in dem INF-File absichtlich die Mobile-Chips nicht listen, damit keiner auf die Idee kommt, das auf einem Notebook zu installieren. Ja, jetzt wo ihr mich so direkt fragt, finde ich auch, daß das eine absolute Zumutung ist, und ATI den Untergang verdient hat.
Dann nimmt das Gutachten diesen Wert, um die Anzahl der benötigten Server zu berechnen, indem sie TPC-Werte nehmen und die Verordnungen durch die TPC-Werte teilen. Sie haben als typische TPC-Werte 100-200 Transaktionen pro Sekunde bestimmt, diese Werte kommen wohl von IBM und Sun, also geben sie als Ergebnis an, daß man dann ja 70-140 Server bräuchte. Mhh. Also wenn ich ihre 28.000 Verordnungen nehme, komme ich auf 140-280 Server, und wenn ich meine 15.500 Verordnungen nehme, komme ich auf 78-155 Server.
Wieso erwähne ich das mit den TPC-Werten? Das sind Hardware-Benchmarks, die Hersteller benutzen (wie ehemals die MIPS-Angaben bei CPUs), um ihre Hardware gut aussehen zu lassen. Die TPC-Werte haben mit real erreichbaren Transaktionen so gut wie nichts zu tun. Da hat der Hersteller unter Laborbedingungen tiefergelegt mit Spezial-Builds, besonders viel Cache, handgetunetem OS usw. versucht, maximale Marketing-Zahlen zu erreichen. Das für ein reales Server-Sizing zu nehmen ist hanebüchen.
Ist geplant, über die Pflicht- und freiwilligen Anwendungen hinaus noch weitere Anwendung über die eGK zu realisieren (z.B. Bonusprogramme, usw.)?"
Update: Eine Sache ist noch auffällig: bei mehreren Punkten ignorieren sie Kosten mit dem Hinweis, daß das ja bei den Kosten für die Karten schon drin sei — diese Kosten werden aber anscheinend den Bürgern aufgedrückt, und zählen deshalb nicht als Projektkosten. Noch was: der Krypto-Punkt bezieht sich auf das MPLS. Da ist VPN-Hardware mit IPsec im Einsatz, allerdings nur von dem Arzt zum Backbone, und der läuft per MPLS und hat ~50 Endpunkte, daher denke ich nicht, daß das bloß das LAN im Rechenzentrum sein soll.
Wettbewerbsinteresse!! HAHAHAHAHA
Immerhin ist ihnen offenbar klar, daß ihr Boot abgefahren ist, und so kümmern sie sich um Sekundärverwertung bei Kirchenwahlen
Beteiligte Ermittler warnten nach der Veröffentlichung erster Details der Ermittlung am Vormittag vor Panik. "Wir haben nicht in letzter Minute vor einem Anschlag zugeschlagen, sondern ganz bewusst sehr früh", sagte ein hoher Beamter SPIEGEL ONLINE. Demnach seien die möglichen Planungen der Gruppe im Anfangsstadium gewesen.Ich weiß nicht, wie das euch geht, aber für mich liest sich das so, als sei nicht mal klar gewesen, daß die da was planen. Oder wieso sprechen die da von "möglichen Planungen"? Unglaublich.
Ich bin ja ansonsten ein großer Fan von Linux, und habe daher auch das hier erst mal für ein bedauerliches Mißverständnis gehalten, aber Linus persönlich hat das Ilja gegenüber verteidigt. Das ist da absichtlich drin. Grund? "Es gibt da draußen so viele kaputte Driver, und bevor wir die alle fixen, machen wir lieber diesen Code da rein". OMFG! Das Niveau ist ja schlimmer als bei Windows! Grusel!
Dem Bayerischen Rundfunk sagte Bosbach am Mittwoch: "Wir müssen uns die Menschen, die nach Deutschland kommen wollen, gleich aus welchen Gründen, näher ansehen, insbesondere dann, wenn sie aus Problemstaaten kommen." Wenn es dann Zweifel gebe, müsse die Sicherheit Vorrang vor der Reisefreiheit haben, sagte Bosbach.Der antiterroristische Schutzwall wird uns alle retten! (Danke, Jens)
Unfortunately the fish4 website is unavailable due to the failure of a very expensive piece of Sun hardware. A Sun engineer is at the data centre but didn't think to bring the replacement part with him.
Rear Adm Harris said he did not believe the men had killed themselves out of despair."They are smart. They are creative, they are committed," he said, quoted by Reuters.
"They have no regard for life, either ours or their own. I believe this was not an act of desperation, but an act of asymmetrical warfare waged against us."
Nee, klar. "Herr Richter, ich habe den Mann nicht erschossen, sondern er hat meine Kugel absichtlich aufgefangen, um asymmetrisch gegen mich Krieg zu führen!1!!"Update: Ein andere hoher US-Offizieller hat noch einen draufgesetzt:
A top US official has described the suicides of three detainees at the US base at Guantanamo Bay, Cuba, as a "good PR move to draw attention"
Geklagt hatte ein wegen Mordes zu neun Jahren Haft verurteilter junger Mann, weil seine Post kontrolliert wurde - und er wegen einer Schlägerei ein zweiwöchiges Fernsehverbot auferlegt bekam. Seine dagegen gerichtete Klage scheiterte allerdings, weil das Gericht solche Maßnahmen noch bis Ende 2007 erlaubte.Da fragt man sich ja schon, woher da noch der "Straf" Teil in Jugendstrafvollzug kommen sollen. Denen geht es ja besser als Hartz IV Empfängern! Ob es da auch ein Recht auf Playstation gibt? Ich sehe ja vor mir, daß Leute wie Assi Pöbel absichtlich alte Omas anfallen, um in den Knast zu kommen, weil sie da ein besseres Leben als draußen haben.
Der Unix-Ansatz ist, daß man die Sockets alle auf "non-blocking" setzt. Wenn man dann read aufruft, aber nichts da ist zum Lesen, blockt der Prozeß nicht, sondern man kriegt "probier später nochmal" als "Fehler"-Meldung. Dann benutzt man ein Event Notification API, um sich sagen zu lassen, auf welchen Sockets gerade Daten reingekommen sind.
Unter Windows ist der Ansatz umgekehrt: es gibt keinen Non-Blocking Mode für Sockets. Man startet ein read mit fixem Zielpuffer, und das Event Notification Framework von Windows sagt einem dann nicht, wenn es was zu lesen gibt, sondern wenn es was zu lesen gab, d.h. zu dem Zeitpunkt ist das schon gelesen. Das Problem dabei: Wie macht man Timeout-Handling? Man kann nicht unterwegs fragen, wie weit der Datei-Rausschieben-Job schon gekommen ist! Also kann man auch nicht wissen, ob die Verbindung seit 10 Minuten hängt, oder ob da nur ein sehr langsames Modem auf der Gegenseite ist.
Und dann schreiben die Man-Pages was von Background-Threads, … also kurz gesagt: der Windows-Ansatz ist: "gib mal her, der Kernel macht das schon". Nur leider macht der Kernel das nicht besonders gut. Kernel-Threads, das erweckt eine Vision von einem Thread pro ausstehendem I/O-Request, anstelle einer anständigen State Machine.
Ein anderes Problem ist, wie man Handles alloziert. Man macht einen Socket oder eine Datei auf, und kriegt ein Handle vom System. Unter Unix ist das traditionelle Problem, daß das ein Integer ist, und das man die kleinste unbelegte Zahl als Integer kriegt. Linux und die BSDs haben sich da unglaubliche Algorithmen überlegt, um das schnell zu erledigen (einfach ist es jedenfalls nicht). Windows liefert einfach nicht den kleinsten Integer aus, sondern irgendeinen. Man sollte denken: Problem erledigt. Aber dann stößt man auf Funktionen wie AcceptEx, wo man einen Deskriptor wiederverwenden kann, weil es offenbar unter Windows immer noch immens teuer ist, ein Handle zu allozieren. WTF?!
Schlimmer noch: der Normalfall bei TransmitFile (dem sendfile-Ersatz unter Windows) ist, daß das ganze File am Stück gesendet wird, und man kann dann per Flag sagen: "mach danach mal die Verbindung zu". Kurzum: Timeout-Handling, nein danke. Und dieses Handle-Wiederverwerten legt die Vermutung nahe, daß typische Server, selbst wenn sie dieses Ultra-Skalierbarkeits-API verwenden, trotzdem nur n Verbindungen parallel haben können, weil man die Handles unter Windows halt vorher als Pool alloziert und mehr geht dann halt nicht. Oder wie?
Man darf gespannt sein, wie sich das dann unter realen Gesichtspunkten mißt. Aber ich mache mir da keine großen Hoffnungen, wenn ich Formulierungen wie "The server optimizes the TransmitFile function for high performance. Workstations optimize the function for minimum memory and resource utilization." lese. Ich hab hier "nur" Windows XP Professional zum Testen, und da performt das ja offensichtlich absichtlich scheiße, damit die Leute lieber die Advanced Datacenter Ultra Monster HeadShot Edition kaufen. Überhaupt ist TransmitFile der Kludge des Jahres. Man sendet immer Chunks aus einer Datei, als Länge maximal 32 Bit. Dateien mit mehr als 4 Gigabyte schickt man dann, indem man halt mehrfach TransmitFile aufruft. Womit wir dazu kommen, wie man sagt, ab welchem Offset in der Daten TransmitFile schicken soll. TransmitFile sendet ab der aktuellen Byteposition im File, aber die Man Page rät einem, man möge die Overlapped-Struktur (die für alle anderen Fälle opak ist und interne Fortschrittsinformationen für asynchrones I/O für den System-Thread ablegt, der es bearbeitet) manipulieren, um das Offset zu setzen. Es ist Pfusch wie dieser, der das alles nicht schön aussehen läßt. Na mal gucken.