Fragen? Antworten! Siehe auch: Alternativlos
In einem besonders augenfälligen Fall wurden einem Bericht des Senders CNN zufolge vergangenen Donnerstag etwa 300 Mitarbeiter der Atomsicherheitsbehörde NNSA gefeuert. Am Freitag sei allerdings begonnen worden, die Entlassungen rückgängig zu machen. Unter Berufung auf anonyme Quellen hieß es weiter, die für die Freistellungen Verantwortlichen hätten anscheinend nicht gewusst, welche Aufgaben die gefeuerten Mitarbeiter genau hatten.Nee klar, wieso würde man das auch vor der Entlassung kurz recherchieren?
Having a higher approval rating than most branches of government has its perks!:-)Hey, seid ihr auch so froh, dass der Klimawandel bloß Fake News ist?
Oh nein, warte, das waren ja die Talking Points von letzter Woche. Ich meinte ... *checks notes* nicht menschengemacht ist?
Weil sonst müsste man langsam anfangen, sich Sorgen zu machen!
Der war für das Beschaffen der Trainingsdaten zuständig und seine Enthüllung war, dass die auf Copyright scheißen bei OpenAI.
The medical examiner’s office determined the manner of death to be suicide and police officials this week said there is “currently, no evidence of foul play.”Also SO einen klaren Fall von Selbstmord hatten wir schon LANGE nicht mehr!
Cisco hat mal wieder eine Bugdoor in einem ihrer versifften Management-Interfaces.
A vulnerability in the web-based management interface of Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Points could allow an unauthenticated, remote attacker to perform command injection attacks with root privileges on the underlying operating system.Jawohl, meine Damen und Herren. Ein Webserver, der als root läuft, und vor der Authentisierung keine Eingabevalidierung macht.Im Jahre 2024.
Das schafft nur ein wirklich marktführender Konzern, der jahrzehntelang gezielt nicht in kompetentes Personal investiert. Oder ein Konzern, der von der NSA eingeflüstert kriegt, wo er die Backdoors platzieren soll.
Das kann nur ein Konzern machen, dessen Schrott-Produkte trotzdem immer wieder Idioten kaufen. In einem funktionierenden Markt wäre der Laden eine Ruine, von Heuschrecken gekauft, ausgeblutet und vor die Wand gefahren. (Danke, Micha)
"Compromised data: Github projects, Gitlab Projects, SonarQube projects, Source code, hard coded credentials, Certificates, Customer SRCs, Cisco Confidential Documents, Jira tickets, API tokens, AWS Private buckets, Cisco Technology SRCs, Docker Builds, Azure Storage buckets, Private & Public keys, SSL Certificates, Cisco Premium Products & More!," reads the post to a hacking forum.Auffällig: Alles Cloud-Dienste. Ist das am Ende gar keine tolle Idee, seine kritischen Daten in die Cloud hochzuladen?! Hätte uns nur rechtzeitig jemand gewarnt!1!! (Danke, Mark)
Ihr kauft bestimmt auch immer noch alle Cisco, oder?
Natürlich tut ihr das. Ihr kauft ja auch immer noch Active Directory, am besten gleich in der Cloud. (Danke, Magnus)
Speziell Antiviren sollen ja jedes Dateiformat kennen und aufmachen können — eine Anforderung, die nicht mal der jeweilige Hersteller schafft! Und die machen nichts anderes!
Aktuelles Beispiel für meine Told-You-So-Reihe: Cisco "Secure" E-Mail Gateway. Diese Produktkategorie ist, wir erinnern uns, dafür da, die von bösen E-Mails ausgehende Gefahr zu bannen. Und tatsächlich stürzt sich Ciscos "Secure" E-Mail Gateway heldenhaft ins Messer. Aber leider leider ist das Design so schlecht, dass ein erfolgreicher Angriff auf das "Secure" E-Mail Gateway eben nicht in irgendeiner Sandbox ohne Zugriff auf irgendwas anderes verendet, sondern das komplette Gateway übernehmen kann.
Herzlichen Glückwunsch!
Da kann man beim Zustand der Industrie leider gerade von ausgehen, dass die Produkte alle so Scheiße sind. Und insgeheim wissen das ja auch alle. Das ist ja im Wesentlichen Theater, wenn mir Leute widersprechen.
Hey, wenn du als Bundesbehörde so ein Problem hast, wen rufst du dann? Klar! Das BSI!
Tausende Videokonferenzen von Ministerien waren abhörbarVielleicht doch lieber jemanden rufen, der sich mit sowas auskennt. (Danke, Markus)[…]
Als Betroffene werden beispielhaft das BSI, Europol, […] genannt.
Eine ähnliche Kategorie von "da krieg ich Gewaltfantasien"-Neusprech ist "-scale". Was die alle immer rumgefurzt haben, wie geil ihr Scheiß skalieren würde! Und dann guckst du mal vorbei und wartest 20 Sekunden auf das Laden der Homepage.
Und jetzt ist alles "internet scale" oder zumindest "cloud scale", man sagt nicht mehr "Cloud-Drückerkolonne" sondern "Hyperscaler" (das einzige, was da skaliert, sind die Rechnungen). Furchtbar.
Höchste Zeit also, dass sich ein Depp findet, der mit "AI-native" und "AI-scale" Werbung macht.
Was soll ich euch sagen? Cisco liefert! Ja, DAS Cisco, das mit den ständigen apokalyptischen Sicherheitslücken. Die mit den Dutzenden von versehentlich hart einkodierten Admin-Account-Passwörtern. DIE. Die erzählen uns jetzt nicht nur was von Security sondern machen gleich noch die volle Familienpackung "AI" dran. Vorsicht: Wenn man irgendwas von irgendwas versteht, kriegt man von der Lektüre direkt Ganzkörper-Juckreiz. Das Produkt heißt "Hypershield". Wie Hypeshield aber mit r. Damit man assoziiert, es sei für Hyperscaler (und damit BESTIMMT SICHER GUT GENUG FÜR UNS HIER).
Eine Sache glaube ich ihnen. Dass die Presseerklärung direkt aus einer "KI" fiel. Das ist alles so falsch, dass nicht mal das Gegenteil stimmt.
Auf der anderen Seite kann man Punkte für alle Schlangenöl-Tropes in der IT-Security-Werbung vergeben. Das checkt alle Boxen.
DOCH! Das geht! In der unseriösen Werbung einer anderen Firma: Nvidia. Ihr seht wahrscheinlich schon kommen, was als nächstes passiert:
Cisco [blahsülz] with NVIDIA, is committed to building and optimizing AI-native security solutions to protect and scale the data centers of tomorrow.Und schwupps, mit einer kleinen Handbewegung, ist was eben noch ein Nachteil war (nämlich dass hier ohne Domain Knowledge eine "KI" Dinge halluziniert, die darauf trainiert ist, dass das plausibel aussieht, nicht dass es funktioniert) ein Vorteil! Weil, äh, "AI-native"!!1!Ja aber Moment, Fefe, da stand ja noch gar nicht "empower"! Ohne "empower" geht sowas doch gar nicht!!
"AI has the potential to empower the world's 8 billion people to have the same impact as 80 billion.Das hingegen finde ich ein tolles Zitat. Er sagt hier also: Wenn die Leute alle "KI" machen, dann werden sie zehnmal so viel Ressourcen verbrauchen, ohne einen Vorteil daraus zu ziehen. Glaubt mir, wenn das Vorteile brächte, hätte er die hier erwähnt.Wo wir gerade bei Warnungen waren:
The power of Cisco Hypershield is that it can put security anywhere you need it – in software, in a server, or in the future even in a network switch.Du brauchst dann halt in jedem Ethernetport eine Nvidia-GPU. Das wird das Power-Budget geringfügig senken, das für tatsächliches Computing übrig bleibt in einem Data Center, aber für Nvidias Aktienkurs wird es großartig werden!When you have a distributed system that could include hundreds of thousands of enforcement points, simplified management is mission critical. And we need to be orders-of-magnitude more autonomous, at an orders-of-magnitude lower costBeachtet das "autonomous" her. Eine "KI", die keiner versteht, weil sie nicht programmiert sondern trainiert wurde, soll autonome Entscheidungen darüber treffen, welche Netzwerkpakete erlaubt sind und welche nicht. Oh und wie immer bei "KI" gibt es auch kein Debugging, nur "nach-trainieren", was dann andere Stellen kaputtmacht. Das wird ja eine tolle Zukunft!So, jetzt kommen wir zum technischen Teil. Weiter unten, damit er die Deppen nicht mit Fakten verwirrt.
AI-Native: Built and designed from the start to be autonomous and predictive, Hypershield manages itself once it earns trust, making a hyper-distributed approach at scale possible.Cisco sagt also selbst, dass man dem nicht trauen kann, bis es sich Vertrauen erarbeitet hat. Wenn wir es hier mit denkenden Kunden zu tun hätten, wäre die logische Folge, dass man das nicht einsetzen kann. "manages itself" sollte natürlich auch alle Alarmlampen angehen lassen, genau wie "hyper-distributed" und "at scale", aber vermutlich nicht bei Leuten, die Cisco kaufen. Das ist eine Vorselektion vom unteren Rand des Spektrums.Cloud-Native: Hypershield is built on open source eBPF, the default mechanism for connecting and protecting cloud-native workloads in the hyperscale cloud. Cisco acquired the leading provider of eBPF for enterprises, Isovalent, earlier this month.Langsam zeichnet sich ein Bild ab. Irgendein Sprallo bei Cisco sah die Firma mit der Überflüssigkeit konfrontiert, die aus Software Defined Networking einhergeht (ach, man kann Switches in Software machen? Man braucht gar keine Hardware mehr, von Cisco oder sonstwem?), dann haben sie schnell einen Panikkauf von einer eBPF-Klitsche gemacht und mit einem Hype-Überperformer (am Aktienmarkt, nicht bei den Produkten) geredet, also Nvidia, und sagen jetzt den Investoren: We heard you like AI! We put Nvidia in you eBPF so you can hallucinate while you kernel panic!Ich ruf gleich mal den Notarzt. Wenn DAS keinen Herzinfarkt oder Schlaganfall auslöst, dann bin ich möglicherweise schon tot und werde hier gerade bloß von einer "KI" weitersimuliert. Das kann niemand überleben, der mehr als zwei Hirnzellen übrig hat.
Hier gibt es Videoaufnahmen des brennenden Wracks.
Der Angriff erfolgte in der Nacht zum 30.Oktober 2023 über den Zugang, mit dem auch die Kommunen und Kreise in das Netzwerk von Südwestfalen-IT gelangen. Diese so genannte "softwarebasierte VPN-Lösung" war nur mit einem einfachen Passwort gesichert.Das ist so falsch, dass nicht mal das Gegenteil stimmt. Glücklicherweise ist der Incident-Response-Bericht öffentlich, so kann man sich selbst ein Bild machen."Die Südwestfalen-IT hat es den Angreifern sehr leicht gemacht", sagte IT-Experte Philipp Rothmann dem WDR. Üblich wäre hier eine "Multifaktor-Authentifizierung" gewesen, also eine Abfolge von mehreren Passwörtern. So aber mussten die Hacker nur lange genug verschiedene Varianten durchprobieren.
Punkt 1: Das war ein 0day! Da konnte man nichts machen!
Nope. Der Angriff war am 29. Oktober. für die Lücke gab es am 6. September einen Patch, an dem auch noch dranstand, dass das in der freien Wildbahn von Ransomware-Gangs genutzt worde. Das ist also das glatte Gegenteil von 0day.
2. ist das natürlich kein Problem, wenn jemand durch das VPN durchkommt, weil man ja die Security der Dienste dahinter so auslegt, als hingen sie mit nacktem Arsch im Internet. Das ist das Zero Trust, von dem ihr in den letzten Jahren so viel gehört habt. War hier offensichtlich nicht der Fall.
3. war der erste "Angriff" in dem CVE, dass man Accountnamen und Passwörter durchprobieren kann. Das sollte keine Rolle spielen, weil man ja extra aus dem Grund komplexe Passwörter vergibt. Und weil ein Accountname und ein Passwort noch nicht reicht, um sich dann damit auf irgendeinem Rechner zu authentisieren, nur beim VPN. Außer du warst so blöde und hast Single-Sign-On gemacht, aber das ist ja offensichtlich eine ganz furchtbare Idee, also macht das sicher keiner. Oder? ODER? Ich meine, so bekloppt kann man doch gar nicht sein, hoffe ich!
4. Mit einem gültigen Account konnte man sich dann im VPN als andere User anmelden. Sollte auch keine Auswirkungen haben, weil man ja Zero Trust macht und kein SSO hat. Außer man ist auffallend schlecht beraten und kann dann auf niemanden außer sich selber zeigen, wenn Ransomware vorbeikommt.
5. behauptet dieser "Experte" der Tagesschau, dass MFA geholfen hätte. Das ist natürlich Blödsinn. Wenn die Ransomware erst den Firmenlaptop eines Mitarbeiters kompromittiert, kann sie von dort die MFA-Anmeldung einfach mitbenutzen. MFA ist Compliance-Theater und dient hauptsächlich der Beweislastumkehr. Damit man sagen kann: Sehr her, wir hatten MFA, also war der User Schuld. Als ob der User sich Windows, Outlook und Active Directory ausgesucht hätte! Und in diesem Fall: Cisco-Produkte!
6. Ja, richtig gelesen. Active Directory. Völlig überraschend hatten die Angreifer noch am selben Tag Admin-Berechtigung im AD und haben sich dann ungestört im Netz ausgebreitet. Wie konnte das sein? Na weil niemand (auch nicht Microsoft selbst) Active Directory sicher konfiguriert kriegt.
6. Die hatten sogar multiple advanced next-gen endpoint security solutions im Einsatz, von Symantec und den Windows Defender. Hat ihnen beides nicht den Angriff vom Hals gehalten. Dabei macht Symantec explizit Werbung damit, dass sie vor 0days, Exploits und *papierraschel* Ransomware schützen! Und Defender macht sogar was mit "KI" in der Cloud!1!! Und trotzdem kamen die rein und konnten sich ungestört ausbreiten?! Das ist ja merkwürdig!1!! Ist ja fast so, als sei das bloß Schlangenöl?! Hätte uns doch nur jemand gewarnt!
Mich nervt ja vor allem, dass offenbar niemand verstanden hat, was 0day heißt. 0day heißt: Lücke dem Hersteller nicht bekannt, gibt keinen Patch und keine Warnung.
Das mit "gibt keine Warnung" ist bei Cisco natürlich immer Unfug. Wie oft soll ich denn noch vor deren Produkten warnen?!
Die versuchen hier mit 0day-Nebelkerzen die Schuld von sich abzulenken. Erfolglos. Genau niemand außer ihnen selbst trägt die Verantwortung. Immerhin hatten sie wohl Backups und haben kein Lösegeld gezahlt. Immerhin. Aber auch dann stellt sich die Frage, wieso das dann so große Auswirkungen haben konnte ("Die Arbeit dauert bis heute an"). Haben die das Szenario nie geübt?
Auch ansonsten haben die ziemlich großflächig verkackt. Laut Bericht stand das Domänen-Admin-Passwort im Klartext in der Group Policy, und zwar seit 2014.
Fallt also nicht auf Nebelkerzen mit Schlangenölgeschmack und 0day-Blablah rein.
Am Ende ist es immer dasselbe Muster. Ransomware kommt da rein, wo sie das System besser verstehen als der Betreiber. Wenn das Verständnisniveau der Betreiber also nicht so unglaublich schlecht wäre bei uns, hätten wir keine Ransomware-Problematik. (Danke, Max)
X-Atlassian-Token: no-checkBesser noch: Das ist nicht etwa eine Hintertür sondern ein dokumentiertes Feature. Kannste dir gar nicht ausdenken.
Das hat nicht nur mich beeindruckt. Auch Cisco sah das und dachte ich: Hold my beer! Gammelige Web-Interfaces haben wir auch!
Ja gut. Streng genommen wird die CVSS-10-Lücke bei Cisco schon seit Wochen aktiv ausgenutzt. Aber das kennen Cisco-Kunden ja schon. All your base are belong to us.
The new CVE-2023-20198 vulnerability received the highest Common Vulnerability Scoring System (CVSS) score (10/critical). Successful exploitation would grant an attacker full administrator privileges, allowing them to effectively take full control of the affected router and allowing possible subsequent unauthorized activity.Erfahrene Cisco-Admins haben das Web-UI eh gesperrt, mindestens in Richtung Internet. Aber eigentlich muss man sich ja schon die Frage stellen: Warum eigentlich? Wenn das so schlecht ist, dass es alle sperren müssen, wieso existiert das dann überhaupt?Hier ist das Advisory. Money Quote:
Workarounds: No workarounds available
Ein Kumpel meinte dazu so: Vermutlich war ihre Lizenz abgelaufen und das war billiger so.
*schenkelklopf*
Update: Oh hahaha, da gibt es sogar ein schönes Mem-Bild zu :-)
Vor ein paar Wochen: Whole Foods schließt ihren Laden in San Francisco wegen "employee safety concerns". Oh und zu vielen Raubdelikten.
Jetzt so: Nordstrom schließt beide Läden in Downtown San Francisco. Sie bleiben unkonkret, aber der Betreiber der Mall, in dem einer der Läden war, sagt folgendes:
"A growing number of retailers and businesses are leaving the area due to the unsafe conditions for customers, retailers, and employees, coupled with the fact that these significant issues are preventing an economic recovery of the area," the statement said.The mall's owner went on to say that it had expressed serious concerns to city leaders for many years and "urged the city to find solutions to the key issues and lack of enforcement against rampant criminal activity."
Was ist denn da bitte los? Whole Foods ist sowas wie eine Bioladen-Kette. Das Essen da ist vergleichsweise teuer, deren Läden sind eher nicht in heruntergekommenen Gegenden. Nordstrom ist eine Bekleidungskette, vielleicht vergleichbar mit C&A. Normalerweise würde man denken, dass sich Kriminalität erstmal bei Juwelieren und Apple Stores und sowas zeigt.Ich fühlte mich spontan an Escape from L.A. erinnert. Weia.
Update: Hierzu sind viele Leserbriefe reingekommen. Die einhellige Erklärung ist: Proposition 47 ist Schuld. In Kalifornien gibt es Volksentscheide, was wohl auch gerne mal nach hinten losgeht. In diesem Fall war der Volksentscheid, dass die Knäste ja eh völlig überfüllt sind, Leute einknasten teuer ist, und wir viele Obdachlose hier in Kalifornien haben, also sollten wir mal aufhören, Mundraub als Straftat zu verfolgen, dann haben wir auch wieder Cops für echtes Verbrechen übrig. Das ist angenommen worden, vor fast zehn Jahren sogar schon. Es gab schon vorher eine Schranke: Ab 450 Dollar Warenwert ist das eine Straftat. Das hob dieses Proposition auf 950 Dollar an.
Je nach Erzähler gibt es auch noch einen Identity Politics-Winkel, weil die meisten geschnappten Ladendiebe Schwarze oder Latinos waren, und da hätten dann die üblichen verstrahlten (ich paraphrasiere mal und übertreibe dabei ein bisschen) Antirassisten gefunden, dass die Verfolgung von Ladendiebstählen von Minderheiten ungerecht sei und daher sollte man das nicht mehr machen.
Ein dritter Winkel ist, dass offenbar einmal bei einem Raub in einem Supermarkt (?) ein Kassierer erschossen wurde, und seit dem die Lädenbetreiber ihren Mitarbeitern sagen, sie sollen die Diebe lieber gehen lassen.
Was davon stimmt und was nicht? Keine Ahnung. Aber das Narrativ mit den Schwarzen passt geradezu optimal in Wahlkampflügen der Republikaner. Die Geschichte mit dem erschossenen Kassierer passt gerade optimal in europäische Vorurteile über die bekloppten Amis und ihre Schusswaffen. Proposition 47 ist jedenfalls echt. Die Kriminalitätsstatistik zeigt insgesamt einen Rückgang von Verbrechen an, bis auf Morde, das steigt. Allerdings kann das auch daran liegen, dass Ladendiebstähle jetzt halt nicht mehr als Verbrechen zählen.
Jedenfalls passt die 950-Dollar-Grenze wunderbar zu meiner Frage, wieso die nicht Juweliere und Apple-Läden ausrauben. Damit wären sie dann darüber.
Update: Übersetzungsfehler meinerseits. Das sind keine Ordnungswidrigkeiten sondern Vergehen und damit technisch gesehen noch Straftaten. Nur halt welche, die in der Praxis anscheinend nicht verfolgt werden, und man gilt dann nicht als vorbestraft.
Fürwahr, ich sage euch: Es wird herrschen ein furchtbares Heulen und Zähneknirschen unter den Vollidioten, die das Geschäftsmodell der Cloud nicht verstanden haben.
Nochmal ganz langsam zum Mitmeißeln: Das Geschäftsmodell der Cloud ist, dich mit mit von Open-Source-Projekten geklauten Diensten und Lockpreisen dazu zu bringen, deine eigene Infrastruktur aufzugeben, und deinen Scheiß komplett in die Cloud zu schieben, und so eine nicht auflösbare Abhängigkeit zu schaffen. Dann, wenn keine Notwendigkeit für Lockpreise mehr besteht, dann auferstehen die Preise aus ihrem Lockangebots-Grab und kennen nur noch eine Richtung: Himmelwärts.
Ich kann euch gar nicht sagen, WIE WENIG Mitleid ich mit diesen ganzen Vollidioten habe.
CISPE-Generalsekretär Francisco Mingorance wertet die Initiative als Zeichen dafür, dass der US-Konzern inzwischen so viel Marktmacht besitzt, um "die Preise in dem Wissen erhöhen" zu können, "Kunden haben keine andere Wahl, als zu zahlen".Ach. Ach was. Das ist ja unglaublich, Bob! Und das erkennst du jetzt erst? Was machst du noch gleich beruflich?
Der Branchenvertreter, der früher bei der Microsoft-freundlicheren Business Software Alliance (BSA) warVerstehe. Keine weiteren Fragen, euer Ehren.
Die Republikaner stören sich noch ein winziges bisschen daran, dass es in Kalifornien weder Sklavenhalter noch Sklaven gab, aber an solchen Randdetails wollen wir uns hier mal nicht aufhalten.
Nein, nein, keine Sorge. Diesmal waren es keine hartkodierten Backdoor-Passwörter. Diesmal waren es "unintentional debugging credentials". Das ist was GANZ anderes!!1!
Diesmal war es keine Absicht!1!!
So glaubt uns doch!
Oh, warte, das war noch nicht alles!
The other critical hole is CVE-2021-40113, which can be exploited by an unauthenticated remote attacker to perform a command injection attack on the equipment's web-based management portal, thanks to insufficient validation of user-supplied input.Einmal mit Profis!"A successful exploit could allow the attacker to execute arbitrary commands on an affected device as the root user."Was macht die Security-Abteilung bei Cisco eigentlich beruflich?
26 Morde, 119 Verletzte - in San Francisco hat sich die Zahl der Schusswaffen-Opfer im ersten Halbjahr mehr als verdoppelt. Das Problem soll nun mit Hilfe eines neues Programms von Polizei und Stadt gelöst werden: Ab Oktober sollen potenzielle Kriminelle monatlich bis zu 500 Dollar erhalten, wenn sie mit ihrer Waffe niemanden erschießen.Mag sein, dass sich Verbrechen nicht lohnt. Aber potentieller Verbrecher sein lohnt sich jetzt zumindest in San Francisco!
Die Software wird automatisiert durchgeguckt, ob irgendwelche Regeln verletzt sind (oder Abhängigkeiten nicht aufgelöst werden können), dann wird sie gebaut, dann laufen die Tests durch, am Ende vielleicht noch Code Signing und Hochladen in den App Store oder was auch immer man da haben will.
Teil so einer CI-Pipeline ist heutzutage gerne mal ein "Code Scanner". Das ist der zum Scheitern verurteilte Versuch, Software-Qualitätssicherung von einer Maschine machen zu lassen. Leider versteht die Maschine nicht die Intention hinter der Software und kann daher nur ein paar allgemeine Regeln testen, und auch die häufig mehr schlecht als recht. Ein häufiges Problem von so Tools ist, dass man eine gigantische Liste an False Positives kriegt.
Warum erzähle ich das? Manche Leute machen Code Scanning in der Cloud, als Auftrag an eine Drittfira. Bei einer dieser Drittfirmen ist eingebrochen worden und Code kam weg.
Das ist jetzt nicht so krass wie Solarwinds, weil so eine Testfirma im Allgemeinen keinen Schreibzugriff hat und nicht, sagen wir mal, ein paar Backdoors einpflegen kann.
Aber wenn der Quellcode deines Produktes deine Kronjuwelen sind, und du den Quellcode geheim hältst, dann ist der jetzt halt nicht mehr so geheim wie du dachtest.
Die betroffene Firma heißt "Codecov" und die haben angeblich 29000 Kunden.
Update: Oh, stellt sich raus: Das ist doch noch deutlich schlimmer. Man bindet codecov nämlich laut deren Anleitung wie folgt ein:
bash <(curl -s https://codecov.io/bash)
Und jetzt ratet mal, was die Angreifer dort manipuliert haben.
Habt ihr schon eine Warnung gekriegt? Von auch nur einer der betroffenen Organisationen? Ich nicht.
Solarwinds ist da natürlich nicht nur Täter sondern auch Komplize bei der Beweisvernichtung, weil sie erstmal ihre Customer-Liste weggemacht und bei Google angerufen und aus dem Cache dort haben löschen lassen. Nicht mal archive.org liefert.
Ich finde das einen wichtigen Datenpunkt dazu, ob irgendeine der Meldepflichten den Betroffenen in der Praxis irgendwas bringt, oder ob das alles mal wieder bloß Verarschung ist.
Update: Wenn man einen Tag zurückgeht und viel Geduld aufbringt, kriegt man von archive.org doch noch die Kundenliste. Hier ist sie:
Acxiom, Ameritrade, AT&T;, Bellsouth Telecommunications, Best Western Intl., Blue Cross Blue Shield, Booz Allen Hamilton, Boston Consulting, Cable & Wireless, Cablecom Media AG, Cablevision, CBS, Charter Communications, Cisco, CitiFinancial, City of Nashville, City of Tampa, Clemson University, Comcast Cable, Credit Suisse, Dow Chemical, EMC Corporation, Ericsson, Ernst and Young, Faurecia, Federal Express, Federal Reserve Bank, Fibercloud, Fiserv, Ford Motor Company, Foundstone, Gartner, Gates Foundation, General Dynamics, Gillette Deutschland GmbH, GTE, H&R; Block, Harvard University, Hertz Corporation, ING Direct, IntelSat, J.D. Byrider, Johns Hopkins University, Kennedy Space Center, Kodak, Korea Telecom, Leggett and Platt, Level 3 Communications, Liz Claiborne, Lockheed Martin, Lucent, MasterCard, McDonald’s Restaurants, Microsoft, National Park Service, NCR, NEC, Nestle, New York Power Authority, New York Times, Nielsen Media Research, Nortel, Perot Systems Japan, Phillips Petroleum, Pricewaterhouse Coopers, Procter & Gamble, Sabre, Saks, San Francisco Intl. Airport, Siemens, Smart City Networks, Smith Barney, Smithsonian Institute, Sparkasse Hagen, Sprint, St. John’s University, Staples, Subaru, Supervalu, Swisscom AG, Symantec, Telecom Italia, Telenor, Texaco, The CDC, The Economist, Time Warner Cable, U.S. Air Force, University of Alaska, University of Kansas, University of Oklahoma, US Dept. Of Defense, US Postal Service, US Secret Service, Visa USA, Volvo, Williams Communications, Yahoo
Das ist aber nur eine partielle Liste. Da fehlen Kunden, die nicht genannt werden wollten.
Wie? Nein, diesmal keine Hintertür. Diesmal eine wormable remote code execution.
Fortschritt!!
Die Menschen waren schon immer dumm wie Dachziegel.
Exhibit A: Die Anti-Mask League of San Francisco.
Die Anti-Mask League of San Francisco (zu deutsch die Anti-Masken-Liga von San Francisco) war eine Organisation, die gegründet wurde, um gegen die Anordnung zu protestieren, in San Francisco, Kalifornien, während der Grippepandemie von 1918 Masken zu tragen.Die wussten halt, was auch die Covidioten heute wissen: Ist bloß ne Grippe!1!!
Benutzt ihr Webex deshalb, weil ihr gehört habt, dass bei Zoom unautorisierte Dritte reinkommen und mithören können?
Nicht authentifizierte Dritte konnten sich in Webex-Konferenzen einklinken, ohne dass sie zu einem Meeting eingeladen wurden. Dabei konnten die Eindringlinge die Konferenzen mithören und -sehen, sprechen und teils auf geteilte Medien zugreifen, ohne dabei in der Teilnehmerliste aufzutauchen - wie ein Geist. Der einzige Hinweis auf den Geist sei ein zusätzlicher Beitritts-Piepton gewesen - der bei großen Besprechungen jedoch häufig deaktiviert werde, schreibt IBM in einem Blogeintrag.Ja gut. Glücklicherweise werden in Meetings ja keine vertraulichen Dinge besprochen.
Sonst hätte man das ja von Anfang an nicht in die Cloud verlagern können, nicht wahr?
Ich meine, so blöde werden die Firmen doch nicht sein, dass sie ihre vertraulichen Besprechungen über jemand anderes Infrastruktur abwickeln? Oder? ODER?
Ein Einsender schreibt mir gerade::
Unis in Deutschland: Oh nein, völlig überraschend noch ein Online-Semester! Schnell, wir brauchen ein robustes Videokonferenz-System, shut up and take my money *schielt zu Cisco Webex*Daher fragt man für sowas ja auch Leute, die sich mit sowas auskennen.Schulen in Griechenland: Oh nein, völlig überraschend müssen wir wieder Online-Unterricht anbieten, Cisco, schafft ihr das?
Cisco: Kein Proble.. ups.
Ergebnis: WebEx in halb Europa kaputt (vermutlich wegen der plötzlichen, unerwarteten Last, oder wegen des CVEs neulich?):
Alternativen gibt's kurzfristig natürlich keine, aber "Cisco arbeitet an einer Lösung". Ach so, na denn wird ja alles jut.
Übrigens, Lacher am Rande (die Webseite lädt gerade ein bisschen langsam; warum wohl?):
Cisco Webex ist eine sichere, Cloud-basierte Collaboration-PlattformCloud, wir erinnern uns, machte man, damit man auf plötzliche Lastspitzen souverän reagieren kann, indem man einfach Server nachklickt. Und dass sie es wagen, nach dem CVE neulich da noch "sicher" hinzuschreiben, das ist auch echt geil.
Update: Für das volle Filmfeeling hat jemand aktuelle Drohnenaufnahmen von San Francisco mit der Musik aus dem Film hinterlegt. Oscarwürdig!
Update: Übrigens, wenn ihr Bladerunner 2049 noch nicht geguckt habt, solltet ihr das nachholen.
Konkret handelt es sich um eine als "kritisch" eingestufte Lücke (CVE-2020-10188) im Netzwerkprotokoll Telnet im Netzwerk-Betriebssystem IOS XE.Telnet? Soll das ein Witz sein?
Update: Leserbrief dazu:
Es ist wie immer noch schlimmer: Telnet ist kein Witz sondern Standard. Fuer SSH und alles andere was irgendwas mit "Crypto" zu tun hat braucht man eine "k9"-Firmware, und die kostet (oft) extra fuer teurere Lizenzen und Support: community.cisco.com.
Cisco Webex Meetings Desktop App for Mac Update Feature Code Execution VulnerabilityNICHT MAL DEN UPDATER kriegen die hin!
San Francisco may stop hiring cops with records of misconductWait, what? Das ist bisher noch nicht Policy?!?
New hotness: Kojote in San Francisco.
five critical vulnerabilities in [...] the Cisco Discovery ProtocolDas betrifft einmal die ganze Hardware-Produktpalette bis hin zu IP-Telefonen.
In this post, I share three (3) full exploitation chains and multiple primitives that can be used to compromise different installations and setups of the Cisco DCNM product to achieve unauthenticated remote code execution as SYSTEM/root. In the third chain, I (ab)use the java.lang.InheritableThreadLocal class to perform a shallow copy to gain access to a valid session.Es ist ja nicht so, als ob noch irgendjemand was von Cisco erwarten würde. Aber das ist selbst für deren Verhältnisse auffallend schlecht. Man muss sich fragen, wieso es bei uns keine Behörde gibt, die diese Firma aus dem Verkehr zieht. (Danke, Kristian)
Ach naja, denkt ihr euch jetzt vielleicht, generiert man halt neue.
Da habt ihr die Rechnung ohne Cisco gemacht!
Self-signed X.509 PKI certificates (SSC) that were generated on devices that run affected Cisco IOS® or Cisco IOS XE software releases expire on 2020-01-01 00:00:00 UTC. New self-signed certificates cannot be created on affected devices after 2020-01-01 00:00:00 UTC. Any service that relies on these self-signed certificates to establish or terminate a secure connection might not work after the certificate expires.LOOOOOL! Warte mal, gibt es nicht Leute, die Cisco einsetzen, weil sie deren Produkte für enterprise-fähig halten?ZWEI WOCHEN VORHER fällt Cisco das auf? Und die verbleibende Zeit ist Weihnachten und Ferienzeit?
Geil!
Das gibt bestimmt eine IT-Apokalypse zum Jahreswechsel. In großen Firmen kannst du gar nicht mal eben deine Cisco-Geräte updaten. Da musst du erstmal ein Wartungsfenster beantragen. Das alleine dauert vier Wochen und du brauchst ein paar Monate Vorlauf, damit du die Leute warnen kannst. (Danke, Markus)
Besonders ermutigend auch dieses Statement:
"Cybersecurity ist ein Teamsport", erklärte Klaus Lenssen, Chief Security Officer bei Cisco. "Sicherheit ist ein Prozess und kein Zustand."Bei euch vielleicht nicht. Anderswo ist Sicherheit auch schon ein Zustand.
Heute als Doppel-Einschlag: Cisco-Schlangenöl!
A vulnerability in the implementation of the Lua interpreter integrated in Cisco Adaptive Security Appliance (ASA) Software and Cisco Firepower Threat Defense (FTD) Software could allow an authenticated, remote attacker to execute arbitrary code with root privileges on the underlying Linux operating system of an affected device.Das setzt Maßstäbe. Der Scheiß läuft als root! Als root!!Ich sollte die Gelegenheit nutzen, mal grundsätzlich vor Appliances zu warnen. Es gibt da ein verbreitetes Missverständnis. Spezialisten sind nicht gut darin, etwas gut zu machen, sondern die sind gut darin, etwas schnell und billig anzubieten. Leute, die Appliances anbieten, sind gut darin, Appliances günstig anzubieten. Und Appliances haben den "Vorteil", dass Kunden im Allgemeinen nicht reingucken dürfen. Da kann man als Hersteller also ganz andere Pfusch-Level fahren (obwohl es da erschütternderweise auch bei Nicht-Appliances wenig Zurückhaltung gibt).
Dass da zentrale Dienste ohne Not als root laufen, das ist im Appliance-Umfeld nicht selten. (Danke, Martin)
Cisco: Hold my beer! (Danke, Hendrik)
Na? Wieviel Millionen hat eure Firma schon von Cisco gekriegt für die unsichere Software, die sie euch geliefert haben?
Völlig klar! Da braucht man Endpoint Protection! Gegen Malware. Oder man könnte auch sagen Advanced Malware Protection for Endpoints!
Ist dann natürlich doof, wenn die Advanced Malware Protection for Endpoints auch unsichere Scheiße ist, über die eine Malware ihren Zugriff ausdehnen könnte.
Aber hey, wer Cisco kauft, hat sicher Sinn für diese Art von Humor. (Danke, Jens)
Wie? Nein, nicht Huawei. Cisco schon wieder.
Na, wer setzt Geld darauf, dass die EU jetzt Cisco verbietet? Aus Sicherheitsgründen? Nicht? (Danke, Stephan)
The Justice Department today told the U.S. Supreme Court that businesses can discriminate against workers based on their gender identity without violating federal law.Solicitor General Noel Francisco told the high court that a civil rights law banning sex discrimination on the job doesn’t cover transgender bias.
Trump mag zwar den Intellekt einer Stubenfliege haben, aber der ist begabt darin, Minderheiten zum Diskriminieren zu finden. Klein genug, dass sie sich nicht effektiv wehren können, und laut genug, dass Trumps Wähler es moralisch OK finden, die mal plattzumachen. In anderen News ist ja gerade, passend zu den Midterms, eine angebliche Flüchtlingsschwemme aus Mittelamerika, die sich an der Südgrenze zu Mexiko aufstaut. Das sind Leute, denen es so dreckig geht, dass schon Mexiko mit seiner krassen Mordrate ein Schritt nach oben ist.
Hey Fefe, Cisco waren doch die, zu denen man geht, damit man keine Ausfälle hat, oder?
A vulnerability in Cisco Video Surveillance Manager (VSM) Software running on certain Cisco Connected Safety and Security Unified Computing System (UCS) platforms could allow an unauthenticated, remote attacker to log in to an affected system by using the root account, which has default, static user credentials.
New hotness: Tesla macht Wohnraum unbezahlbar, blutet Sparks, Nevada aus.
Bonus: Weil Nevada und Sparks Tesla für viele Jahre die Steuern erlassen, werden Sozialleistungen eingespart. Viele Menschen, besonders Rentner, können sich die Mieten nicht mehr leisten und werden obdachlos.
Es hat halt auch seine Vorteile, wenn man in einer strukturschwachen Region wohnt. Die Mieten sind bezahlbar.
Das Krasseste ist, dass sie Tesla so viel Steuererlass gewähren, dass die das gar nicht alleine ausnutzen können. Also verkaufen sie sie an Casinos weiter. Ja, richtig gelesen!
Tesla, meanwhile, has sold $131m in tax credits to casinos thanks to transferable tax credits – the cherry on the cake used to lure Musk.Ergebnis:Schools in Washoe county, which includes Sparks, are overcrowded and deeply in debt, so much so that voters in 2016 approved a sales tax hike to help plug the gap. Even so, fresh budget cuts could eliminate bus routes for nearly 4,000 elementary and middle school students in an effort to save $550,000.Das hat die Landesregierung ja geschickt eingefädelt!
Da gibt es jetzt ein Update. Und zwar hat Damore Klage gegen Google eingericht, und Google ist zu dem Richter gegangen und hat erzählt, ihre armen Mitarbeiter (der Hassmob, der Damore rausschmeißen ließ!) bekäme jetzt Todesdrohungen und daher müsse die Anklageschrift unter Verschluss bleiben.
Der Richter hat zugestimmt.
Vorher waren die zu Damores Anwältin gegangen und hatten um Versiegelung gebeten, mit derselben Begründung.
They said to me, “Our employees whose names are in your complaint are getting death threats. We want our employees to be safe. So would you agree to seal the complaint and condemn this?” I said, “No, we’re not going to agree, and we’re not going to condemn it – because we didn’t cause it.’”Sie wollte dann mal ein paar von diesen Todesdrohungen sehen und war nicht beeindruckt.They sent me back a couple comments from a Breitbart article. They were shit-posting comments, basically. Not death threats you could take to a policeman.Wer ist denn diese Anwältin, dass sie sich anmaßt, richtige Todesdrohungen erkennen zu können?(Dhillon – who’s also the Republican National Committee representative from California –says she knows what a real death threat looks like: “I get death threats, I’m a prominent Republican in San Francisco.”)Autsch!Ich finde, dass das sehr schön die Verlässlichkeit der Medien aufdeckt. Wenn es darum geht, einen kleinen weißen Nerd plattzumachen, und gegen die toxische Männlichkeit und die armen unterdrückten Frauen in Tech zu reden, da sind die Medien alle ganz vorne mit dabei. Aber wenn es darum geht, gegen Google vorzugehen, von deren Werbe-Brotkrumen die Onlinemedien derzeit alle abhängen, dann ist Schweigen im Walde.
Oh und noch einer von Google: Ein paar Aktionäre von Alphabet (der Mutterholding von Google) schlagen vor, die Vorstandsgehälter daran zu koppeln, wieviel "Diversity" sie herbeiführen in Google.
A group of shareholders and several Google employees are teaming up to back a proposal that would tie executive compensation to the company’s ability to meet certain diversity goals. But Google’s parent company, Alphabet, is opposing the proposal, saying that linking executive pay to diversity metrics isn’t in the best interest of the company or its shareholders.Da kann es nur Gewinner geben. Wenn Executives weniger Geld kriegen, ist das im Interesse aller. Wenn das Diversity-Geblubber von Google als Bullshit entlarvt wird, haben auch alle gewonnen. Wenn Google jetzt voll auf Diversity setzt und sich dabei selbst zerstört, kann das auch nur von Vorteil für den Rest der Welt sein. Wir müssen nur aufpassen, wer die rauchenden Trümmer mit allen unseren Daten kauft dann. Und hey, wenn Google Diversity macht und das funktioniert, dann soll mir das auch recht sein. Ich bin da ja nicht ideologisch wie die Diversity-Verfechter. Ich will bloß Zahlen sehen statt immer nur Behauptungen. (Danke, Jens)
Aber Sekunde, es gibt nicht nur nebulöses Blablah, es gibt auch handfeste Ansagen:
The companies will build on existing relationships and together establish new formal and informal partnerships with industry, civil society and security researchers to improve technical collaboration, coordinate vulnerability disclosures, share threats and minimize the potential for malicious code to be introduced into cyberspace.ACH NEE. Der EINE Ort, wo es mal was zum Wohl des Kunden gab, weil Google Project Zero sich eben nicht mit "wir sind noch nicht fertig"-Bullshit hinhalten lässt sondern die Vulns released, ausgerechnet da wird das jetzt "koordiniert"? Ja super, liebe Tech-Branche!Man muss echt alles selber machen.
Besonders geil, dass ausgerechnet RSA aufspringt:
Companies that signed the accord plan to hold their first meeting during the security-focused RSA Conference taking place in San FranciscoDas ist offensichtlich Werbung. Das ganze Ding. Wenn das nicht eh alles Fake News wäre, hätte es dieser Halbsatz vernichtet. Nein, RSA nicht nicht "security-focused". Die Firma verkauft Schlangenöl-Token mit "proprietärer Technologie" und ließ sich einmal die Seeds alle klauen. Ihr erinnert euch, die Seeds, von denen sie versprochen hatten, dass sie sie gar nicht haben. Die haben sie sich klauen lassen. Und die großen Firmen da draußen kaufen denen ihren Mist IMMER noch ab. Aber das ist ja nur die Firma, nicht die Konferenz. Die Konferenz hat soviel mit Security zu tun wie VW mit sauberer Luft. Das ist eine reine Sales-Bullshit-Veranstaltung. Da ist noch nie was security-relevantes besprochen worden.Boah ich könnt schon wieder kotzen hier. Und da wundern sich die Leute, dass so viele ITler Bluthochdruck haben!
Aber hey, wartet, die Farce ist noch nicht zu Ende. Diese Meldung hier rundet es ab. Da regt sich die Defense-Presse (also der Militär-Furunkel am Arsch der Gesellschaft) fake darüber auf, dass diese fiesen Tech-Firmen ja jetzt nicht mehr der Regierung bei der Cyberoffensive gegen die Bösen Menschen da draußen helfen wollen!1! Ja nee, klar.
Das ist echt fraktal Bullshit. Es ist egal, wie weit weg du stehst oder wie nah du ran gehst, es ist immer Bullshit.
Hmm, hey ich weiß! Das waren bestimmt die Russen!1!!
Das hier scheint der ausgenutzte Bug zu sein.
Die Ausrede der Amis ist natürlich, dass das erlebnisorientierte Jugendliche waren und nichts mit der Regierung zu tun hatten. Ihr erinnert euch vielleicht, dass Putin genau das selbe sagte, als die Amis ihm Cyber-Cyber vorwarfen, und dass die US-Presse das selbstverständlich überhaupt nicht geglaubt hat?
Warum eigentlich? Was müssen die NOCH verkacken, damit die Leute aufhören, bei denen zu kaufen? Aktuell geht es um hard-coded passwords.
The reasons are that an attacker can infect another device on the same network and use it as a proxy for his SSH connection to the vulnerable Cisco PCP instance, allowing for remote, over-the-Internet exploitation.Wurmbar!
Hey Cisco? Was, würdet ihr eigentlich sagen, ist eigentlich eure Kernkompetenz?
Das ist Größenordnungen krasser als alles, was ich in den USA gesehen habe. Und DAS war schon auf einem Level bedrückend, dass ich da immer wieder schlecht von träume.
Zivilisation misst man daran, wie eine Gesellschaft mit den Schwächsten, den Verwundbarsten umgeht.
Update: Das ist wohl in Anaheim, einem Stadtteil von Los Angeles, also nicht im Silicon Valley. In den Kommentaren erzählt jemand, dass San Francisco ihre Obdachlose per One-Way-Busticket wegkarrt, und das daher doch Silicon-Valley-Obdachlose sein könnten da.
Those devices can’t do the job alone: users need to sign up for Cisco’s StealthWatch service and let traffic from their kit flow to a cloud-based analytics service that inspects traffic and uses self-improving machine learning algorithms to spot dodgy traffic.BINGO!!
Earlier this year, I noticed something in China that really surprised me. I realized I felt more comfortable discussing controversial ideas in Beijing than in San Francisco. I didn’t feel completely comfortable—this was China, after all—just more comfortable than at home.Herzlichen Glückwunsch, liebe Linken! Mit eurer Thoughtcrime-No-Platform-Zwangskonformität habt ihr das geschafft. Das kann nicht einfach gewesen sein. Ich meine, mal ehrlich, schlimmer als China? Das muss man erst mal hinkriegen!*Slow Clap*
Auf der anderen Seite:
More recently, I’ve seen credible people working on ideas like pharmaceuticals for intelligence augmentation, genetic engineering, and radical life extension leave San Francisco because they found the reaction to their work to be so toxic.Da fällt es mir ehrlich gesagt auch schwer, einen ethisch vertretbaren Kernbereich zu erkennen. Ich nehme an, mit radical life extension meinen die sowas wie Peter Thiels Bluttransfusionen von Jugendlichen.Falls jemandem der Name nichts sagt: Das ist eine der Kernpersönlichkeiten im Startup-Startup-Startup-Hype-Hype-Hype-Karussell.
Das hat die Russen anscheinend so auf dem falschen Fuß erwischt, dass sie erstmal schnell ihre Unterlagen shreddern und verbrennen und dabei so viel Rauch aus dem Schornstein ausstießen, dass die besorgte Feuerwehr vorbeikam.
Wie kurzfristig? "Am Samstag kommen unsere Security-Kräfte und durchsuchen das Gebäude"-kurzfristig. Ja, der heutige Samstag.
For a good time, Ctrl-F virustotal!
Gut, dass man bei Cisco immer den Wartungsvertrag mitkauft, gell? *nudge* *nudge*
Nun, dann herzlichen Glückwunsch. Ihr seid voll auf die PR-Kampagne der Zuckerindustrie reingefallen.
The sugar industry paid scientists in the 1960s to downplay the link between sugar and heart disease and promote saturated fat as the culprit instead, newly released historical documents show.Die haben halt gezielt Forscher dafür bezahlt, die Verbindung von Zucker und Herzkrankheiten runterzuspielen und Fette zu dämonisieren.The internal sugar industry documents, recently discovered by a researcher at the University of California, San Francisco, and published Monday in JAMA Internal Medicine, suggest that five decades of research into the role of nutrition and heart disease — including many of today’s dietary recommendations — may have been largely shaped by the sugar industry.“They were able to derail the discussion about sugar for decades,” said Stanton Glantz, a professor of medicine at U.C.S.F. and an author of the new JAMA paper.
Die waren ja bei dem NSA-Malware-Dump prominent vertreten.
Cisco fixt jetzt doch mal die 0days der NSA, also die öffentlich gewordenen.
Cisco schmeißt übrigens demnächst mal 20% ihrer Mitarbeiter raus. Ich bin mir sicher, das hat nichts damit zu tun.
Das FBI hat sie versteckt. Und sie brauchten nicht mal einen richterlichen Beschluss!
Money quote:
Jeff Harp, a KPIX 5 security analyst and former FBI special agent said, “They put microphones under rocks, they put microphones in trees, they plant microphones in equipment. I mean, there’s microphones that are planted in places that people don’t think about, because that’s the intent!”FBI agents hid microphones inside light fixtures and at a bus stop outside the Oakland Courthouse without a warrant to record conversations, between March 2010 and January 2011.
Das klingt so, als sei die Intention gewesen, die eigentlich besonders geschützte Kommunikation zwischen Beschuldigtem und Anwalt abzuhören.Die USA haben für Abhören das juristische Konzept der "reasonable expectation of privacy". Wenn man an Orten redet, wo man keine Privatsphäre erwarten darf (also außerhalb der eigenen Wohnung), dann darf da auch wild abgehört werden. Das betrifft auch Fälle wie sagen wir einen öffentlichen Platz, auf dem man allein ist, weil nirgendwo sonst eine Menschenseele zu sehen ist. Wer da Selbstgespräche führt, hat keine reasonable expectation of privacy.
Update: Jemand, der sich mit sowas besser als ich auskennt, erklärt mir gerade, dass das durchaus legit sein kann. Mutterplatine ist ein bisschen ranzig, also lötet man da von Hand nen Patch drauf. Das Velcro fand ich jetzt ein bisschen ... nuja. Aber hey. Wer Cisco kauft, wird schon wissen, warum.
Update: Ursprünglich kommt das wohl aus diesem Reddit-Thread, und die halten das anscheinend nicht für ne Wanze sondern für ganz normale Produktfälschung.
Da hat eigentlich niemand Bock drauf, und so hat dann auch mal der Twitter-Account von BART (dem "ÖPNV" von San Francisco) mit dem PR-Bullshit aufgehört und Tacheles geredet — und die Leser sind hocherfreut, dass sie mal irgendwo nicht belogen werden!
Und die Wahrheiten sind durchaus kräftig, die da jetzt plötzlich mal auf dem Tisch liegen. Von "We need to replace 90 miles of rail" über "We have 3 hours a night to do maintenance on a system built to serve 100k per week that now serves 430k per day" bis hin zu "sugarcoating problems, especially ones obviously disrupting people's lives, isn't an effective or honest way to communicate" geht das Spektrum. Ich wäre auch hocherfreut, wenn wir in diesem Land mal ein paar Lagen Bullshit abtragen könnten und uns offen und ehrlich unterhalten könnten.
When Supreme Court Justice Antonin Scalia died 12 days ago at a West Texas ranch, he was among high-ranking members of an exclusive fraternity for hunters called the International Order of St. Hubertus, an Austrian society that dates back to the 1600s.[…]
The International Order of St. Hubertus, according to its website, is a “true knightly order in the historical tradition.” In 1695, Count Franz Anton von Sporck founded the society in Bohemia, which is in modern-day Czech Republic.
The group’s Grand Master is “His Imperial Highness Istvan von Habsburg-Lothringen, Archduke of Austria,” according to the Order’s website. The next gathering for “Ordensbrothers” and guests is an “investiture” March 10 in Charleston, S.C.
The society’s U.S. chapter launched in 1966 at the famous Bohemian Club in San Francisco, which is associated with the all-male Bohemian Grove — one of the most well-known secret societies in the country.
BINGO!
Pre-Auth Remote Code Execution per UDP, in einer Komponente, die für die Sicherheit da ist!
Herzlichen Glückwunsch, Cisco. Da muss die NSA ja gar keine Backdoors einbauen, wie bei Juniper.
Ich zitiere mal das Ergebnis, zu dem sie kommen:
This academic investigation concludes that the massacre was a false flag operation, which was rationally planned and carried out with a goal of the overthrow of the government and seizure of power. It found various evidence of the involvement of an alliance of the far right organizations, specifically the Right Sector and Svoboda, and oligarchic parties, such as Fatherland. Concealed shooters and spotters were located in at least 20 Maidan-controlled buildings or areas. The various evidence that the protesters were killed from these locations include some 70 testimonies, primarily by Maidan protesters, several
videos of “snipers” targeting protesters from these buildings, comparisons of positions of the specific protesters at the time of their killing and their entry wounds, and bullet impact signs. The study uncovered various videos and photos of armed Maidan “snipers” and spotters in many of these buildings.Wer sich jetzt denkt, Ivan Katchanovski, das ist bestimmt ein U-Boot der Russen, dessen Erkenntnisse können wir mal direkt ignorieren, für den will ich mal aus der Vita von dem Mann zitieren:Ivan Katchanovski teaches at the School of Political Studies and the Department of Communication at the University of Ottawa. He was Visiting Scholar at the Davis Center for Russian and Eurasian Studies at Harvard University, Visiting Assistant Professor at the Department of Politics at the State University of New York at Potsdam, Post-Doctoral Fellow at the Department of Political Science at the University of Toronto, and Kluge Post-Doctoral Fellow at the Kluge Center at the Library of Congress. He received his Ph.D. from the School of Public Policy at George Mason University.Vielen Dank an Dennis für den Hinweis!
Nun ist das nicht sofort schlüssig, was das soll, denn es gibt ja schon zwei Versuche, einen patentfreien, offenen Next-Gen Video-Codec zu bauen, einmal VP9 von Google und einmal Daala von der Xiph Foundation (die uns auch schon Theora, Vorbis und Opus geschenkt haben). Aber da will man bei Cisco nicht mitmachen, man will lieber einen eigenen offenen Codec haben — vermutlich um ihn dann später wieder zuschließen und Patentgebühren verlangen zu können. Einen anderen Vorteil einer neuen Codecentwicklung sehe ich gerade nicht.
Ich blogge das aber vor allem wegen dieser großartigen Formulierung hier:
The next generation codecs are just beginning to emerge. There are two of note – Google’s proprietary VP9 codec, and the industry standard H.265 (HEVC) codec, which is the successor to H.264 (AVC).Wait, what? VP9 ist proprietary und H.265 ist der Industriestandard?! BWAHAHAHAHAHA, nee, klar, Cisco. Du kannst dich wieder hinsetzen. Das war ja mal GAR nichts. Au weia.
Das ist jetzt kein Hochdruckwasser, es geht eher darum, es den Obdachlosen möglichst ungemütlich zu machen. Und sie in Lebensgefahr zu bringen. (Danke, Rop)
"When we talk about criminal actors, a person about to commit a robbery on a Muni coach is typically not paying their fare," Cmdr. Mikail Ali said. "Fare evasion is the nexus by which we make those initial contacts [with criminals]."Fare-evasion enforcement is a way to catching more serious criminals, Ali said, "who in some cases possess firearms while on Muni coaches."
Increased police presence is a deterrent to acts of terrorism, he said. "That's a good thing."
In essence, terrorists could be more likely to be fare cheats.
Also wenn das keine stringente, überzeugende Argumentation ist, dann weiß ich auch nicht.
Dabei haben sie durchaus Dinge zu berichten. Zum Beispiel diesen Bericht eines norwegischen Anesthäsisten, der in einem Krankenhaus in Gaza aushilft. Der spricht von Völkermord, sagt dass die Israelischen Waffensysteme international geächtet seien, und:
"Israeli bombs cause injuries that cannot be immediately seen via x-ray," Gilbert said, "After a period of time, the injury starts to bleed.""The material used in these bombs is uncommon, which explains why we cannot cure the injured parts, and in some cases doctors are forced to amputate them," he says.
Leider machen die sich ihre Botschaft durch ihre Sprache und Ausdrucksweise wieder kaputt in dem Artikel. Das wirkt wie ein billiges Hit-Piece, nicht wie eine Anklage aus neutraler oder wissenschaftlicher Warte. Da müssen die Palästinenser noch einiges lernen in Sachen PR. Der Westen schaltet in der Sekunde ab, wo das Wort "Märtyrer" fällt.Update: Es handelt sich möglicherweise um DIME-Munition mit Tungsten drin (Deutscher Name von Tungsten: Wolfram). Die Vorwürfe sind nicht neu, hier ist ein Artikel von 2009 darüber. Money Quote:
Italian scientists from the New Weapons Research Committee, which examines emerging military technology, said in a statement that "evidence is mounting" of DIME usage, saying the wounds may be "untreatable" due to metals like tungsten that enter the body. DIME is packed with tungsten dust that forms micro-shrapnel upon detonation.
Founding backers of the Initiative include Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace, VMware and The Linux Foundation.Yeah!Update: Ich höre gerade aus gewöhnlich gut informierten Quellen, dass sich OpenBSD bei der Linux Foundation um diese Kohle bewirbt :-)
Analysts had expected Cisco’s business in emerging markets to increase 6%, but instead it dropped 12%, sending shares of Cisco plunging 10% in after-hours trading.This completely unexpected turn, which Chambers said was the fastest swing he had ever seen in emerging markets
Tja, dumm gelaufen, liebe US-Regierung. Aber hey, ihr könnt das ja über mehr Militär-Käufe mit frisch gedrucktem Geld kompensieren, ganz wie früher!
Ciscos Hack ist, dass sie jetzt einen H.264-Codec als Plugin verschenken, ordentlich lizenziert. Das darf sich dann jeder installieren und damit H.264 abspielen, ohne dass Lizenzgebühren fällig werden.
Sieht erstmal elegant aus, aber ist in vielerlei Hinsicht ein Desaster. Erstens haben wir uns damit erpressen lassen. Damit hat das System "Lizenzgebühren für internationale Standards" gewonnen. Soweit hätte es nie kommen dürfen, aber jetzt ist klar: Der Widerstand dagegen ist gescheitert.
Zweitens heißt das, dass man jetzt für H.264 das Cisco-Modul verwenden muss, dann muss man keine Lizenzgebühren zahlen. Wer wäre unter diesen Umständen so doof, ein anderes Modul zu nehmen? Niemand. Wenn sich dieses System einbürgert, dann haben wir alle verloren, weil für die nächste Iteration von Standard nicht mehr ein Konkurrenzkampf an Implementationen die Qualität hochtreiben wird, sondern es wird genau einen Binärblob von Cisco gehen.
Damit sind wir beim dritten Problem. Was, wenn da ein Bug drin ist? Ein Sicherheitsloch? Eine Hintertür? Damit wäre dann die ganze Welt davon abhängig, dass Cisco den Kram wartet. Und um Cisco ranken sich seit mindestens 20 Jahren Gerüchte, dass sie im Gegenzug für Exporterlaubnisse Hintertüren für die US-Regierung eingebaut hätten. Dieser H.264-Blob wäre quasi das perfekte Einfallstor für die NSA. Die NSA wäre doof, da nicht sofort aufzuspringen.
Oh und nehmen wir mal an, das wird jetzt der große Erfolg, nach dem es aussieht. Wieso würde das dann beim nächsten Codec nicht genau einen Lizenznehmer geben? Wer sich unter diesen Umständen noch eine Lizenz von denen kauft, ist doch doof! Das muss sich auch die MPEG-Mafia gerade durch den Kopf gehen lassen. Und die einzige Antwort ist, diese Klausel rauszunehmen für die nächsten Codecs.
Ich persönlich halte es daher jetzt für noch wichtiger als bisher, H.264 loszuwerden, und hoffe auf Daala.
Der Typ hinter Ogg Vorbis und Daala sieht das übrigens ziemlich ähnlich.
The vigilance has never seemed more necessary than now; 25 homes in the neighborhood have been burglarized over the last two months alone.Wie im Wilden Westen gibt es auch schon die ersten WANTED-Poster. Oakland ist einmal über die Brücke von San Francisco aus. Wenn man von San Francisco aus nach Berkeley (mit der Uni) fährt, fährt man durch Oakland. Das ist keine traditionalle Reaktionärengegend, will ich damit sagen. (Danke, Rop)
San Francisco's Municipal Transit Authority, which oversees the city's MUNI trains, has signed a contract with security firm BRS Labs to deploy cameras to 12 subway stations that use algorithms and machine learning techniques to spot anomalous behavior.Weil es ja so viel besser ist, von Robotern unterdrückt zu werden, als von Menschen unterdrückt zu werden!1!!
“This is no longer arguable,” said Dr. Byron Lee, a cardiologist and director of the electrophysiology laboratory at the University of California, San Francisco. “This is a scientific fact. The national debate should now center on whether the risk of sudden death with Tasers is low enough to warrant widespread use by law enforcement.”
Aber egal, eine lustige Sache daran fiel sogar dem ehemaligen Nachrichtenmagazin auf, nämlich dass die als Einfallstor Itunes verwenden. Nein, werdet ihr jetzt vielleicht sagen, nicht Itunes! Nicht Apple!!1! Apple-Software ist doch sicher!!
Apple hat das dann auch tatsächlich mal gefixt. Und jetzt guckt mal, wie lange sie darauf schon rumsaßen:
CVE-2008-3434 : Francisco Amato of Infobyte Security ResearchJa, voll sicher, diese Apple-Software.
Am 9. November 2011 hat die 9. Kammer des Berufungsgerichts in San Francisco/ USA den Antrag der Daimler AG auf eine erneute Anhörung ("en banc") verworfen. Damit ist nun der Weg frei für ein ziviles Gerichtsverfahren gegen den deutschen Autobauer wegen seiner Beteiligung an den Menschenrechtsverletzungen in Argentinien während der Militärdiktatur (1976-83). Damals waren 14 Betriebsräte im Mercedes-Werk in González Catán "verschwunden", d.h. sie sind ermordet worden.Die ganze Geschichte klingt wie ein Horrorfilm, es geht da auch um geraubte Kleinkinder und Mercedes-Manager. Das wird sicher spannend, wenn das vor Gericht aufgearbeitet wird.
Jetzt muss Daimler sich auf eine Anklage wegen mehrfachen Mordes vorbereiten. Und wenn herauskommt, in welchem Ausmaß sich die Bundesregierungen über die Jahre involviert haben, um Verfahren gegen Daimler zu verhindern, wird das auch noch mal richtig doll peinlich. Insofern: Daumen drücken, dass da mal die Wahrheit ans Licht kommt!
Und Gaby: Herzlichen Glückwunsch! Weiterkämpfen!
Update: "Code 5"!!1!
Mein Stand der Dinge ist: Gaby hat die Akten freigeklagt, und da haben sie schnell eine neue Sperrerklärung erlassen. Die Dokumente, die sie dann gekriegt hat, waren zum Großteil geschwärzt. Und als wenn das nicht schon Beleidigung und Frechheit genug ist, wollten sie zusätzlich von ihr auch noch eine Geheimhaltungserklärung unterschrieben haben! Und sie haben die Sachen, die sie ihr gezeigt haben, als "Verschlusssache - nur für den Dienstgebrauch" gekennzeichnet. Das heißt, dass sie die nicht kopieren darf, nur einsehen.
So scheißt unser Staat auf seine eigenen Gesetze.
Immerhin, zwei Sachen geben sie jetzt zu:
Definitive Kenntniserlangung des Bundesnachrichtendienstes von dem Aufenthalt Eichmanns in Argentinien seit 1958. Hierzu gehören auch die Akten, die belegen, dass die Adenauer-Regierung dezidiert nicht an der Verhaftung und Auslieferung von Eichmann (und seiner Verurteilung in Deutschland) interessiert war.Für den ersten Teil vergleiche man mal mit Wikipedia:
Im Jahr 1960 wurde er von israelischen Agenten in Argentinien entführt und anschließend nach Israel gebracht, wo ihm der Prozess gemacht wurde.Die englische Wikipedia verweist noch auf diese Shin Bet Webseite als Quelle für die Aussage:
In 1959, the Mossad received information stating that Eichmann was living in Buenos Aires under the name Ricardo Clement.Ihr seht schon, das passt alles hinten und vorne nicht. Bei Gaby Weber gibt es einen kurzen Text dazu. Ich hoffe ja, dass sie auch mal beispielhaft ein paar der geschwärzten Seiten hochläd, damit man sehen kann, was für eine Farce das ist.Oh übrigens, falls jemand auf die Begründung scharf war, warum sie die Akten weiter schwärzen:
It [das Bundeskanzleramt] expressed concern that because the information had been received in confidence from other intelligence agencies, to make it public would discredit the BND.BWAHAHAHAHAHAHA, das ist ja grotesk!
Oh und wo wir gerade bei Cisco waren: auch Ciscos Gebäudeautomatisierungssystem befindet sich voll auf dem Qualitätsniveau, das man von Cisco-Lösungen gewohnt ist. Weia.
The ruling by Judge Walker, the chief judge of the Federal District Court in San Francisco, rejected the Justice Department’s claim — first asserted by the Bush administration and continued under President Obama — that the charity’s lawsuit should be dismissed without a ruling on the merits because allowing it to go forward could reveal state secrets.Sehr schön. Jetzt müssen sie nur noch aufhören, Ausländer zu beschnüffeln :-)
"The mayor will have to hash this out with public health officials," press secretary Nathan Ballard said. "It's the mayor's job to weed out bad legislation. And to be blunt, this sounds pretty bad."Hach, die Amis und ihre Wortspiele, … :-)
The breadth of the information obtained by the Gilmore-funded Identity Project (using a Privacy Act request) shows the government's screening program at the border is actually a "surveillance dragnet," according to the group's spokesman Bill Scannell."There is so much sensitive information in the documents that it is clear that Homeland Security is not playing straight with the American people," Scannell said.
Das finde ich ja immer besonders lustig: es geht den Amis dann in ihren Protesten natürlich auch immer nur darum, wenn sie selber drangsaliert werden. Bei Gästen, die für den Urlaub in ihr Land kommen, das interessiert keine Sau. Immerhin merken die Amis auch mal was. Einer meiner US-Freunde, die zum Camp eingeladen hatte, erzählte mir, er habe mehr Zeit mit Ausreise-Formalitäten und -Durchsuchungen verbracht als mit der Einreise nach Deutschland, das sei nur so geflutscht, er habe immer gedacht, die eigentliche Untersuchung kommt noch. :-) Aber wenn ihr mal sehen wollt, was sie da so notieren:One report about Gilmore notes: "PAX (passenger) has many small flashlights with pot leaves on them. He had a book entitled 'Drugs and Your Rights.'" Gilmore is an advocate for marijuana legalization.Another inspection entry noted that Gilmore had "attended computer conference in Berlin and then traveled around Europe and Asia to visit friends. 100% baggage exam negative. Resides 554 Clay Street , San Francisco, CA. PAX is self employed 'Entrepreneur' in computer software business."
"They are noting people's race and they are writing down what people read," Scannell said.
Das ist schon krasse Faschismus-Scheiße…
Update: War Ciscos Schuld, nicht Apples.
Update: Nicht nur Cisco ist in der Partnerschaft überfordert. Die andere Hälfte, Intelsat, hat gerade ein Piratenfernsehproblem :-)
But Raikes, speaking last week at the Morgan Stanley Technology conference in San Francisco, said a certain amount of software piracy actually helps Microsoft because it can lead to purchases by individuals who otherwise might never have been exposed to the company's products."We understand that in the long run the fundamental asset is the installed base of people who are using our products," Raikes said. "What you hope to do over time is convert them to licensing the software." […]
"You want to push towards getting legal licensing, but you don't want to push so hard that you lose the asset that's most fundamental in the business," said Raikes, who estimated that between 20% and 25% of all software used in the United States is pirated.
(Danke, Sebastian)