Fragen? Antworten! Siehe auch: Alternativlos
Der holt natürlich die komplette Kanonade an Heißluft-Nebelwerfer-Panikmache heraus. Klar. Verkaufsgelegenheit!
Inhaltlich habe ich ein paar Anmerkungen. Die erste ist: Die zentrale Lektion aus der Nummer wird hier nicht mal angesprochen. Sie ist: Code Signing ist Schlangenöl!
Ich war quasi mittendrin, als Microsoft vor 20 Jahren in einer Panikaktion auf Code Signing gesetzt hat, weil sie in einem epischen Scheißetornado aus gehackten Windows-Systemen standen. Ab jetzt, sagten sie, müssen Treiber signiert sein!1!!
Das hilft natürlich überhaupt nichts. Das war auch von Anfang an klar, dass das nichts helfen würde. Wie üblich, wenn Organisationen Dinge tun, um Zeit zu gewinnen. Niemand macht jemals was mit der gewonnenen Zeit. Stattdessen erklärt das Management Mission Accomplished und ein paar Wochen oder Monate oder Jahre später hat man dann denselben Scheiße-Tsunami wie vorher.
Als in der NSA-Angriffskiste damals unsichere Treiber mit validen Zertifikaten gefunden wurden, hätte das eigentlich schon jedem klar sein müssen.
Leider arbeiten heutige IT-Abteilungen und die Security-Industrie nach der bewährten Vogel-Strauß-Methode und sagen erst: Wird schon nicht so schlimm werden. Und wenn es dann doch so schlimm geworden ist, dann sagen sie: "Microsofts Entwickler haben erneut Pech mit Windows-Updates"
Dass sich die Leute nicht verarscht vorkommen von sowas!? Hat denn hier niemand mehr Ansprüche an sich und sein Leben?! Sind alle nur noch am "ach komm, das sitze ich aus bis zur Rente"-Modus?!
Aber zurück zu diesem Head of Cyber Operations (*wieher*). Was schreibt der denn so?
Angreifer missbrauchen im Betriebssystem mitgelieferte Programme und Bibliotheken oder andere legitime, beispielsweise von Microsoft signierte Anwendungen, oft mit unerwarteten zusätzlichen Funktionen wie dem Herunterladen von Dateien.Nee, tun sie nicht. Angreifer sind Leute, die in ein System eindringen. Das da beschreibt Leute, die schon in einem System drin sind. Dieser Fokus darauf, was jemand alles anstellen kann, nachdem er dich gehackt hat, ist ein reines Ablenkungsmanöver. Die Aufgabe von Security-Abteilungen ist, zu verhindern, dass der so weit kommt. Wenn er soweit gekommen ist, hast du per Definition schon verloren. Selbst wenn der nicht seine Privilegien erweitert, denn er hat ja jetzt schon Zugriff auf die Daten des Mitarbeiters, und der wird ja Zugriff auf Daten haben, denn wieso würde er sonst da arbeiten.
Angreifer missbrauchen verwundbare Treiber, die auf einem System vorhanden sind, oder installieren selbst Treiber mit bekannten Lücken.Ja, genau. Weil Code Signing Schlangenöl ist. Vor denen euch, wenn ich das mal ganz ohne Protzen anmerken darf, ein gewisser Blogger schon jahrzehntelang warnt. Seit fast 20 Jahren ist Malware unterwegs, die Kerneltreiber mit validen Realtek oder JMicron-Zertifikaten installiert und ausnutzt. Die Idee war damals schon alt. Microsoft hat schon 2012 ein Microsoft-Zertifikat zurückgerufen, weil es in die falschen Hände geraten war.
Kurz: Das war von Anfang an Bullshit, alle wussten es, und ich habe öffentlich gewarnt.
Was mich aber noch mehr ärgert ist, dass sie schon wieder einem "offensive security"-Fuzzy ein Mikrofon hinhalten, und der den üblichen Branchen-Bullshit erzählen kann, was die fiesen "Angreifer" alles tun können (Im Kleingedruckten: Wenn sie deinen Rechner gehackt haben). Oh und schau her, wenn der nur vorinstallierte, mitgelieferte Tools benutzt, funktionieren die Annahmen eures ranzigen Schlangenöls gar nicht, vor dem ich auch die ganze Zeit gewarnt habe?! NA SOWAS!
Hey, vielleicht solltet ihr duch mal in Erwägung ziehen, auf mich zu hören. Zumindest ab und zu mal.
Three of the four most exploited vulns were zero days, all were in cybersecurity products (Palo-Alto, Ivanti Connect Secure, Ivanti Policy Secure and Fortinet). In most of the cases documented, it was ransomware groups running rings around security vendors, ie the security vendors were the cause of the victims woes due to defective products.Ach. Ach was. Das ist ja grauenhaft! Hätte uns da nicht jemand warnen können?!Eine andere Sache, über die ich mich seit Jahren lustig mache, ist wie die Leute alle teures Monitoring-Equipment kaufen, und dann keiner die Logs davon liest. Googles Beobachtung ist, dass man über eine Woche zwischen Einbruch und dem Ransomware-Einschlag hat, in dem man die Eindringlinge finden könnte, wenn man denn die Logs lesen würde. Liest man aber nicht.
Und mit Security hat das natürlich auch nichts zu tun, wenn man Eindringlinge findet. Security wäre, sie vom Eindringen abzuhalten. Aber hey, whatever. Auf mich hört ja immer keiner.
Der nächste Mython, mit dem Google abräumt, ist "KI"-Phishing. Phishing spielt eine immer geringere Rolle, mit oder ohne "KI". Das sind alles Katzenminze-Kindermobiles für "Entscheider", damit die was attraktives haben, das ihre Aufmerksamkeit auf sich zieht.
Desweiteren stellt sich völlig überraschend raus, das wenn du Daten über die Angreifbarkeit deiner Produkte und Infrastruktur in die Cloud hochlädst, zu Jira und co, dass Angreifer das dann lesen und deine Produkte und Infrastruktur mit dem gewonnenen Wissen penetrieren.
Lasst euch nicht von dem ganzen MFA-Scheiß blenden. Das ist auch ein Katzenminze-Kindermobile. Die Frage sollte nicht sein, ob ihr MFA an dem Clouddienst aktiviert habt, sondern wieso ihr überhaupt diesen völlig überflüssigen, schädlichen, kostspieligen und Angreifern helfenden Clouddienst betreibt.
Mir ist auch völlig unklar, wieso alle Leute glauben, ein VPN zu brauchen. Das ist Perimetersicherheit, das ist als Konzept vollständig diskreditiert. Ich habe kein VPN und meine Firma auch nicht.
Update: Dieses Zero-Day-Gefasel geht mir auch zunehmend auf den Sack. Bei seriösen Anbietern gibt es keine Zero-Days, weil die keine Software einsetzen, bei der Sicherheitslücken im Umlauf sind, die der Hersteller noch nicht sofort gepatcht hat, und seriöse Firmen rollen Patches zeitnah aus. Eine "Security-Firma", die jemals in ihrer Geschichte einen Bug so lange wegignoriert hat, bis er extern ausgenutzt wird, sollte nie wieder einen Cent von irgendjemandem sehen.
Update: Ich glaube ja, dass wir hier neue Begrifflichkeiten brauchen. 0day ist ja ein Begriff aus der Hackerszene. Er bezeichnet Exploits für Sicherheitslücken, die so frisch sind, dass der Hersteller nichts von ihnen weiß. Der Hersteller der Software, die man exploiten will.
0day heißt nicht, dass Microsoft seit Jahren leugnet, dass das ein Bug ist, oder dass Ivanti keinen Patch hat, weil ihnen die Sicherheit und das Überleben ihrer Kunden voll am Arsch vorbeigeht.
Im Sprachgebrauch bei Nicht-Hackern hat sich das aber komplett gewandelt und 0day heißt "war halt schlechtes Wetter, kann keiner was für". Da ist das rein exkulpativ und wird auch für andere Situationen verwendet. Warum schlage ich neue Nomenklatur vor? Weil Hersteller 0day zur Exkulpation verwenden, und von außen kannst du das ja nicht sehen, ob der Hersteller von dem Bug wusste und ihn bloß nicht fixen wollte, oder tatsächlich nichts davon wusste. Meiner Erfahrung nach schieben alle Hersteller eine riesige Bugwelle aus bekannten Bugs in ihrem Bugtracker vor sich her, und die Wahrscheinlichkeit dafür, dass ein Bug tatsächlich unbekannt ist, ist sehr nahe Null. Schlimmer noch: Wenn es tatsächlich vorkommt, dass ein Bug dem Hersteller unbekannt war, dann kann das eigentlich nur heißen, dass der Hersteller absichtlich nicht hingeguckt hat, weil er Kundenreports nicht als Bugs versteht, sondern als Vertriebskanal für "Support"-Abofallen. Das sollte man nicht belohnen, indem man sagt, dass das dann wohl ein 0day war. Nein. Das war Herstellerversagen.
Da stehen Dinge drin wie "ein Fusionsreaktor bauen" (in Bayern, und in 20 Jahren soll es fertig sein), Quantencomputer bauen, einer davon im "Quantum Valley" in Bayern. "AI-Gigafactory" (mit 100.000 GPUs, endlich der Bailout, der Nvidia braucht!). Oh und eine "Hyperloop-Referenzstrecke".
Mehr noch als dieses sinnlose Geldverbrennen (wir nutzen jetzt schon unsere Supercomputer nicht sinnvoll aus und die Leute lassen da überflüssige Bullshit-Jobs drauf laufen, damit es nicht aussieht, als staubten die Dinger ungenutzt ein) ärgert mich persönlich ja die Übernahme der Musk-Marketingbetriffe.
Sie wollen keine Magnetschwebebahn bauen, keinen Transrapid, sondern Hyperloop. Nachdem Elon selbst Hyperloop eingestellt hat, weil es eh nie ernst gemeint war, sondern nur Zeit gewinnen sollte, damit die Leute Tesla-Autos kaufen und nicht in ÖPNV investieren.
Gigafactory hatte ich ja schon woanders gewürdigt. In den USA werden gerade links und rechts geplante "KI"-Rechenzentren abgesagt, weil niemand den Scheiß braucht und damit nicht absehbar Geld erwirtschaftet werden kann. Aber bei uns? EGAL! Ist ja nicht MEIN Geld!
Geld verbrennt sich immer am schönsten, wenn es anderer Leute Geld ist!
Auch dass die CDU, die jahrzehntelang sinnvollen Projekten im Weg stand, jetzt so tut als seien sie hier die Wissenschaftsförderer, das ärgert mich gewaltig. Wenn auch nur ein Viertel des Geldes, das hier jetzt verpulvert wird, der Vorregierung zur Verfügung gestanden hätte, wer weiß wo wir dann jetzt schon sein könnten. Aber das hat die CDU ja verhindert, aus CDU-Gründen. Two Santas und so.
Nein, nein, eine Nicht-CDU-Regierung kriegt Trümmerhaufen, Schuldenberg, Schuldenbremse, und Vorhaltungen, dass sie nicht mit Geld umgehen können.
Mindestens 32 Clouddienste der Hyperscaler Google, Amazon, Microsoft und Oracle werden von der Bundesregierung genutzt, aber nur in einem Fall mit Ende-zu-Ende-Verschlüsselung. Das teilte die Digitalexpertin der Linken, Anke Domscheit-Berg, am 2. April 2025 unter Berufung auf Antworten der Bundesregierung auf eine Kleine Anfrage der Linken mit.Wenn die wirklich fitte Digitalexperten hätten, würden sie nicht auf diesen Ende-zu-Ende-Scheiß reinfallen. Wenn das eine Ende eine unter der Kontrolle einer feindlichen Regierung steht, ist völlig egal, ob der Weg dahin Ende-zu-Ende-verschlüsselt ist.
Ende-zu-Ende-Verschlüsselung ist kein magischer Pixie Dust, den man über eine schlechte Idee rübersprenkelt, und dann ist sie nicht mehr so schlecht.
Wenn du deine Mail bei Microsoft oder Gmail hast, dann kann die US-Regierung mitlesen, egal wieviel TLS du machst. Da müsstest du schon PGP nehmen, und auch dann sieht die US-Regierung noch, wer wann mit wem geredet hat.
Und wenn du an deinem Ende Microsoft-Software einsetzt, dann kannst du dir das Verschlüsseln eh sparen. Die könnten das ausleiten und du würdest nichts davon merken.
Update: Aber Fefe, das ist unfair, was du hier schreibst, denn die Linken meinen ja mit E2E in dem Fall tatsächlich E2E, wobei beide Enden außerhalb der Cloud sind. Die meinen verschlüsselte Backups in die Cloud, wo ja wirklich die Cloud nichts entschlüsseln kann!
Auf der einen Seite: Ja.
Auf der anderen Seite: Das ist nicht die Definition von E2E im Cloud-Umfeld. Die Definition von E2E-Krypto im Cloud-Umfeld findet hier z.B. hier für AWS. Die wollen dir ein "CloudHSM" verkaufen. HSM heißt eigentlich Hardware Security Module, und die Idee ist, dass der Key nur darin ist und nicht extrahiert werden kann. Das soll dagegen schützen, dass ein Angreifer, der den Host hackt, den Schlüssel klaut. Wenn der Cloudanbieter dich aber verarschen will, UND DAS KANNST DU NICHT ERKENNEN, OB DAS SO IST, dann gibt er dir ein in Software emuliertes HSM oder gar bloß eine API, und du bist auf einen Riesenhaufen Theater reingefallen und hast nichts erreicht. Cloud-Anbieter sind Trickbetrüger.
Ja aber Fefe, das ist doch bloß AWS, wir kaufen doch bei Microsoft!1!! Na dann guckt halt in Microsofts "Dokumentation", was die mit E2E-Sicherheit meinen. Gar nichts. Reines Geschwurbel. Kaufen Sie doch auch Tickets für unsere folgenden Theateraufführungen!
Und in der Industrie, außerhalb von Cloud-Trickbetrügern, versteht man unter E2E im Allgemeinen (lacht nicht!) TLS. Daher mein Rant oben.
Wenn die Linken hier aber das echte E2E meinten, wieso reg ich mich dann so auf? Na weil das halt irreführende Kackscheiße ist. Du kannst diese Art von E2E nur für eine Anwendung fahren: Für die Ablage verschlüsselter Daten im Storage. Das heißt Backups und das heißt File Sharing. Fertig. Für alles andere geht das nicht. Nicht für deine E-Mail, nicht für deine Anwendung, die du gerne in die Cloud schieben wollen würdest, nicht für deine Datenbank. Für nichts.
Im Übrigen rege ich mich immer über sowas auf. Beispiel: Wir benutzen KI nur für Dinge, die KI gut kann! Tolle Formulierung, die alle befriedigt aber nichts heißt. Ich denke mir dann: OK also ihr setzt das gar nicht ein, denn es kann ja nichts gut. KI-Schlangenölverkäufer denken sich dann: OK also ihr setzt das für alles ein, denn "KI" ist ja für alles geil!1!! Das bedeutet nichts!
Andere Ausprägung: "Verantwortungsvoll" wo dran pappen. Responsible disclosure. Responsible encryption. Das ist reiner Trickbetrug, bar jeder inhaltlichen Bedeutung. Und so ist das im Cloud-Umfeld mit "E2E" halt auch. Sagt doch einfach gleich "responsible cloud computing", dann wissen wenigstens alle, dass sie gerade verarscht werden.
Die werden alle vom Open Technology Fund finanziert, und denen hat Doge jetzt die Gelder gestrichen.
Wiz Research discovered CVE-2025-1097, CVE-2025-1098, CVE-2025-24514 and CVE-2025-1974, a series of unauthenticated Remote Code Execution vulnerabilities in Ingress NGINX Controller for KubernetesWer meinen Vortrag über Self-Sandboxing oder meine Blog-Security-Architektur gesehen hat, wird sich erinnern, was ich zum Webserver sagte. Der sieht immer per Design alle durchgehenden Daten und ist daher immer Teil der TCB, d.h. ein Schaden darin ist per Definition ein Totalschaden.Da wir hier von dem Ingress Controller reden, der per Design an das Internet exponiert ist, und dann die Anfragen verteilen und validieren soll, ist das auch pre-auth und betrifft direkt den Rest des Clusters.
NGINX selbst ist nicht Schuld, nur der Ingress-Kram, der übrigens in Go geschrieben wurde. Insofern ist das auch eine schöne Lektion für Leute, die glauben, wenn sie ihren Scheiß in Go schreiben, ist der automatisch sicher.
Gemeldet wurden die Bugs im Januar und Kubernetes hatte am 7. Februar Patches. Seit dem lassen sie euch, ihre Kunden, am langen Arm verhungern.
Update: Go, nicht Rust.
Update: Hier eine Einordnung. Man muss den ingress controller nicht im Internet haben. Wenn das bei euch so konfiguriert ist, dann solltet ihr schnell handeln.
Also, Vucic hat sicherlich einige Kritikpunkte, aber eine Russlandmarionette ist er bestimmt nicht. Dies wird hier gerne so kommuniziert, weil er sich an den illegalen Sanktionen nicht beteiligen will. Auch will er das Kosovo nicht hergeben um die Verbrechen der NATO zu legitimieren. Also ist er natürlich böse. Russlands Überfall wurde seitens Serbien auch in der UN verurteilt.Die Proteste gegen ihn wurden eingangs von Studenten initialisiert, deren Forderungen, meines Wissens nach, zu großen Teilen erfüllt wurden.
Auslöser war ein Unglück, bei der eine Decke einstürzte und mehreren Menschen das Leben nahm. Allerdings vereinnahmte die Opposition zunehmend die Proteste. Gegen diese Vereinnahmung haben sich die Studenten gewehrt und auch abgegrenzt.
Jetzt wo die Gelder aus dem Ausland an die Opposition versiegen (USAID), gibt es ein letztes Aufbäumen, von dieser die Regierung zu stürzen, die allerdings demokratisch gewählt wurde. Da die Opposition weder bei Wahlen noch Umfragen große Akzente setzen kann, nutzt man zunehmend Gewalt. Der heutige Tag ist der Höhepunkt dieses traurigen Unterfangens.
An der Stelle vielleicht auch hier nochmal eine kurz Bitte: Leute, mein Blog ist eine gemeinsam genutzte Ressource und ihr seid Gäste.
Wenn ihr einen RSS-Reader verwendet, und ihr stellt den so ein, dass der jede Sekunde Requests lostritt, dann schicke ich eine Abuse-Mitteilung an euren ISP. Gerade heute musste ich schon wieder zwei Abuse-Reports an Hetzner schicken.
Ihr seid Gäste. Verhaltet euch bitte auch wie Gäste, nicht wie die Polizei bei einer Hausdurchsuchung.
Das ist so komplex, dass es nicht mal Google richtig hinkriegt.
Die scheinen ihre Zertifikats-Prüfung ziemlich grundlegend verkackt zu haben. Immerhin scheint das erstmal nur neue Apps zu betreffen, die per F-Droid installiert werden, nicht Updates zu Apps, die per F-Droid installiert wurden. Wenn ich das richtig verstehe.
Ich finde das immer grotesk, wenn Leute den richtigen Schritt gehen, mal ein paar Security-Leute um Hilfe zu bitten, aber dann deren Empfehlungen nicht umsetzen.
beim Spiegel scheint es zu einer Panne gekommen zu sein: Ihr Zahlungsdienstleister hatte den Bankeinzug versemmelt und automatisch alle Buchungen zurückgezogen. Daraufhin wurden automatisch alle Abos gekündigt.Na wenn das der Zahlungsdienstleister war, dann kann ja wohl bei uns hier im ehemaligen Nachrichtenmagazin niemand für nichts.
Laut Kundenservice kann man nix machen, der Leser muss sein Abo jetzt neu abschließen, wenn man es denn behalten möchte...
Schon bedauerlich, wenn jetzt der Laden pleite geht, weil die Leute jetzt merken, dass sie das Abo gar nicht genutzt haben und nicht brauchen.
In der Sicherheitsmitteilung schreiben die Programmierer der Open-Source-Software, dass die Icinga-2-Master, -Satelliten und -Agents in unterschiedlichen Setups von einer fehlerhaften Zertifikatsüberprüfung betroffen sind. In allen Icinga-Versionen ab 2.4.0 können Angreifer die Prüfung umgehen und so vertrauenswürdige Cluster-Knoten sowie jedweden API-Nutzer, der TLS-Client-Zertifikate zur Authentifizierung nutzt, imitieren (CVE-2024-49369, CVSS 9.8, Risiko "kritisch").You had ONE Job!
Bei Verschwörungstheorien beobachte ich immer begeistert, wie jahrelanges Wegleugnen eines Tages spontan umspringt, entweder zu "haben wir doch schon immer gewusst" (hat sich aber nie im Handeln niedergeschlagen und wurde die ganze Zeit nach Kräften geleugnet!), oder, noch schlimmer, zu "haben wir doch schon immer gesagt" (eine glatte Lüge).
Umso erfreulicher für mich in letzter Zeit, wie sich bei Kernthemen von mir langsam herauskristallisiert, dass wir uns diesem Kipppunkt nähern.
Heise-Kommentar: Sophos und der gebrochene Schwur. Was ist der gebrochene Schwur? Dass Sophos Malware an ihre Kunden verteilt hat, um angebliche chinesische Hacker auszuspionieren, die ihre kaputte Sophos-Software genutzt haben, um Sophos-Kunden anzugreifen. Hier mein Kommentar zu der Sophos-Nummer, als die ganz frisch war. Jürgen Schmidt, Chef von Heise Security, dazu:
Sie haben selbst Spionage-Software entwickelt und die gezielt auf Systemen von Kunden platziert, um diese auszuforschen. Das war eigentlich ein ungeschriebenes Gesetz der Branche: Wir entwickeln keine Malware und insbesondere setzen wir sie nicht ein, um unsere Kunden auszuspionieren.Ich würde noch einen Schritt weiter gehen und sagen: Das war schon immer Malware. Gut, ich habe da Einblicke, die vielleicht nicht jeder hat. Ich weiß, wie so "Antiviren" funktionieren, und was für Methoden die verwenden, um Kernel-Calls zu hooken und ihren Code in Prozesse zu injecten. Das ist genau das, was eine Verhaltens-Anomalie-Erkennung sofort als Malware flaggen würde. Daher haben die Antiviren Whitelists drin, um sich nicht gegenseitig zu flaggen, und warnen explizit davor, nur eine "Endpoint Security" zur Zeit zu installieren, und deshalb schaltet Norton erstmal den MS Defender aus. Der würde nämlich alle Alarmglocken zünden, wenn Norton tut, was Norton halt so tut. Norton hier als Stellvertreter für alle Antiviren.
Wenn man das weiß, dann wird spontan klar: Das war schon immer Malware, die sich Rechte rausnimmt, die man im System niemandem zugestehen sollte, schon gar nicht Vertriebsgetriebenen Firmen wie Antivirenherstellern.
Dieses ungeschriebene Gesetz, das Jürgen hier zitiert, das gab es noch nie. Das war schon immer ein Trust Me I Know What I'm Doing, und genau wie bei Wurstproduktion will der Konsument da gar nicht so genau hingucken, weil er weiß: Wenn er wüsste, was da passiert, könnte er das Produkt nicht mehr konsumieren.
Ich für meinen Teil finde auch nicht glaubwürdig, dass Sophos diesen Übersprung dazu, mit krimineller Energie Malware an ihre Kunden auszuliefern und deren Systeme absichtlich weiter zu gefährden, nur in diesem einen Fall gegen die fiesen Chinesen einsetzt. Kriminelle Energie mateiralisiert sich nicht über Nacht. So viel kriminelle Energie muss man über Jahre hegen und pflegen. Nur eine durch und durch unvertrauenswürdige Firma würde auch nur erwägen, solche Methoden einzusetzen.
Überlegt euch auch mal, wie verbogen deren moralischer Kompass sein muss, damit sie das auch noch für eine gute Idee, das öffentlich zuzugeben und sich damit als Helden zu feiern zu versuchen.
Sophos steht hier als Stellvertreter für alle Antiviren. Glaubt mal gar nicht, dass irgendeiner von denen vertrauenswürdig ist.
Hier ist noch ein Kipppunkt-Indikator. Ein anderer Heise-Kommentator pflichtet mir bei, dass es ungefährlicher ist, für Entdecker von Sicherheitslücken, die im Darknet zu verkloppen als sie dem Verursacher zu melden. Ich persönlich habe seit mindestens 20 Jahren keine Sicherheitslücken mehr initiativ-gemeldet oder auch nur gesucht. Ich suche Sicherheitslücken, wenn mich der Hersteller dafür bezahlt. Wenn ich über eine stolpere, melde ich die nur wenn es sich um freie Software handelt. An Bug Bounty-Programmen nehme ich nicht teil.
Die Lobbyisten der Industrie haben die Rahmenbedingungen so gesetzt, dass ich auch allen anderen nur raten kann, es mir gleich zu tun. Anderes aktuelles Beispiel in dem Kontext waren die polnischen Eisenbahnhacker auf dem letzten CCC-Kongress.
Die mussten sich inzwischen vor Gericht einer Klage dieser Firma stellen. Ich bewundere deren Heldenmut, aber hätte ich nicht gemacht. Da wäre ich Trump-Wähler und würde den ganzen Apparat herunterbrennen sehen wollen, bevor ich wieder mitzuhelfen bereit wäre. Dankt CDU und FDP.
Auch da scheint sich inzwischen die Erkenntnis breit zu machen, dass ich die ganze Zeit Recht hatte, und es gibt jetzt den Versuch eines Reförmchens. Ich glaube es, wenn ich es sehe.
Wenn man bedenkt, wie viel billiger und besser wir das alles hätten haben können, wenn die Leute gleich auf mich hören würden. Aber Plan B greift auch: Aus Schmerzen lernen. In diesem Sinne: Geht ihr mal alle in die Cloud und macht Blockchain, IoT und "KI". Wir sehen uns in 10 Jahren wieder und weinen gemeinsam dem verbrannten Geld hinterher.
Zero-Click Flaw Exposes Potentially Millions of Popular Storage Devices to Attack
Ein Vögelchen flüstert mir gerade, dass die gerade aktiv exploitet werden, aber Fortinet nur den Kunden Bescheid gibt, die ein NDA unterschrieben haben.
Trustworthy computing, wie es im Buche steht! Noch seriöseres Geschäftsgebahren geht ja kaum!1!!
Unter uns: You had me at "Fortinet".
Was passiert, wenn Microsoft Linux-Software produziert?
Eine Weile nichts, dann regnet es Remote Code Execution! :-)
Für viele Android-Geräte da draußen ist die Antwort: Ja.
The zero-day vulnerability, officially designated CVE-2024-43047, “may be under limited, targeted exploitation,” according to Qualcomm, citing unspecified “indications” from Google’s Threat Analysis Group, the company’s research unit that investigates government hacking threats.
Die Krankenkassen können Leistungen auf Rechnungen der Ärzte nicht anerkennen, und die Ärzte sind dann gekniffen und haben wenig Gegenwehr. Also setzen sie Software ein, die den Krankenkassen hilft, möglichst viel Kohle aus dem Fonds für Härtefälle abzusaugen. Und im Gegenzug nerven die Krankenkassen dann nicht rum.
Den Schaden hat die Allgemeinheit, die in diesen Fonds einzahlt.
Ein Leser beschreibt noch Effekte wie dass ein Krankenhaus einen Patienten nicht nach Hause schicken kann, weil kein soziales Umfeld mehr da ist und keine Pflegeheime verfügbar sind. Die Kosten dafür fressen dann die Krankenhäuser, denn die Krankenkassen zeigen dann auf die überlange Verweildauer und zahlen das nicht.
Die Ärzte setzen solche Software also nicht (nur) zur Abzocke ein, sondern auch, um mit den Abrechnungen in den üblichen Abzockschranken zu bleiben, weil die Kassen natürlich vor allem Ausreißer nochmal nachprüfen. Dann benutzt du als Arzt halt Software, die dafür sorgt, dass du kein Ausreißer bist.
Jedenfalls gehe ich bei solchen Vorträgen immer ähnlich vor: Ich schreibe mir meine Punkte auf, auf die ich selber komme, und dann spreche ich meine Kumpels an und frage die nach ihrer Meinung. In diesem Fall habe ich u.a. meinen Kumpel Kris gefragt, und der hat nicht nur ein Essay geantwortet sondern seine Ausführungen zu meiner Kernfrage auch direkt nochmal in sein Blog gepackt. Absolut faszinierende Einsichten, auch wenn ich an einigen Stellen zu anderen Ergebnissen komme, bzw. Schritte, die Kris logisch zwingend fand, weniger kritisch sehe.
Er argumentiert, dass Prozessoren nicht mehr schneller (im Sinne der Taktrate) werden sondern nur noch dicker (d.h. mehr Caches und vor allem mehr Cores). Das beschleunigt hie und da auch noch mal ein bisschen was, aber im Wesentlichen müsste man alle Cores ausnutzen, um so ein Monstrum zu nutzen.
Das ist auch mein Stand.
Dann findet er, man müsse als Firma das zweitteuerste Modell kaufen, weil das der Sweet Spot im Preis ist, und erzählt von einer Firma, die 50.000 Blade-Server im Einsatz hatte. Und wenn du das zweitgrößte Modell kaufst, hast du halt direkt 128 Cores oder so in der Hand. Wenn eine Anwendung nur so auf 8 Cores skaliert (mal angenommen jetzt), dann müsstest du auf dem Teil 16 VMs laufen lassen mit je einer Anwendung drin. Wenn also die Kiste umkippt, dann sind 16 Anwendungen mit gestorben, und deine ganze Firma ist vermutlich platt.
Diese Schlussfolgerungskette finde ich nicht so stringent wie er. Die Hardwarekosten sind gegenüber den Personal- und Aufräumkosten in Krisen geradezu vernachlässigbar. Ich überspitze jetzt ein bisschen, aber das ist im Wesentlichen auch eine These von Kris. Wenn das so ist, dann kauf halt dickere Hardware und nutze die nur zu 1/4 oder was auch immer. Dann hast du auch die "Skalierung", die die Cloud verspricht, direkt in house mit eingekauft, wenn ein Lastpeak reinkommt.
Kris meint, die optimale Lösung wäre dann die Cloud, denn die kann deine VMs jeweils auf anderen Rechnern mit den VMs anderer Leute unterbringen, und so die Leistung der Hardware nutzen, ohne dass bei dem Ausfall einer Kiste gleich mehr als eine VM pro Kunde kaputt ist.
Das stimmt alles, aber aus meiner Sicht muss deine Infrastruktur auch mit dem Ausfall von zwei oder 16 VMs umgehen können, insbesondere wenn du 50.000 Rechner da stehen hast. Bei kleineren Infrastukturen finde ich die Argumentation nachvollziehbarer, aber da kaufst du dann halt dickere Hardware als du brauchst. Machen wir alle ständig. Zählt mal die Cores auf euren Smartphones und erzählt mir, dass ihr die wirklich braucht.
Abgesehen davon sind das aber faszinierende Einblicke für Leute, die ein paar Verständnis-Voraussetzungen mitbringen. Viel Spaß bei der Lektüre, und nochmal vielen Dank an Kris, dass er so ausführlich geantwortet hat.
Update: Eine Bemerkung noch. Wenn du einen Rechner mit einer CPU mit 64 Cores hast, und du benutzt nur 8 davon, dann können die höher takten als wenn du alle 64 benutzt. Und wenn die rumidlen, geht auch der Stromverbrauch drastisch zurück. Es ist also nicht so, als ob man hier die ganze Zeit laufende Kosten für nicht abgerufene Leistung hat.
Vorsicht: Das beruht ausschließlich aus Selbstdarstellung der Behörden. Bei Geheimdiensten gibt es seit vielen Jahren das Konstrukt der "parallel construction", wenn du jemanden über Mittel hopsnimmst, die vor Gericht nicht zulässig wären, dann erfindest du halt eine alternative Erklärung, wie du denjenigen erwischt hast. "Wir haben eine zufällige Überprüfung auf der Autobahn gemacht" oder so. Und jetzt halt: "Wir haben eine zufällige Überprüfung auf der Datenautobahn gemacht".
Sie sagen, sie hätten Tor über einen Timing-Angriff deanonymisiert. Das Tor-Projekt weiß da m.W. nichts von, der Aufwand wäre enorm und würde ein Level an Zugriff benötigen, das die eigentlich nicht haben dürften, soweit ich weiß.
Ich wäre also erstmal vorsichtig, denen das einfach zu glauben. Wenn sie das jetzt behaupten, dann sicherlich auch um andere Darknet-Kriminelle aus dem Tor-Netzwerk zu locken.
Das galt im Übrigen noch nie als unmöglich, dass dieser Angriff eines Tages gelingen würde. Daher hat das Tor-Projekt extra Maßnahmen eingebaut, um das zu erschweren.
Dass eines Tages ein Amtsgericht einfach O2 sagen würde, sie sollen alle Daten rausrücken, das hielt allerdings tatsächlich bisher niemand für möglich. Es gab da noch (offenbar unverdiente) Rechtsstaats-Vermutungen für Deutschland.
Ich habe keine Unterlagen gesehen und bin daher eher skeptisch, dass die Polizei das tatsächlich geschafft haben soll. Aber wer Tor benutzt, riskiert das immer grundsätzlich, dass irgendwelche Unrechtsregime, Geheimdienste oder das Amtsgericht Frankfurt freidrehen und ihn deanonymisieren. Tor kann nicht zaubern, kann das nur sehr aufwendig machen.
Update: Nach Gesprächen mit Leuten, die näher an Tor dran sind als ich, muss ich glaube ich meine Einschätzung revidieren, wie schwierig der Angriff war. Tor hätte da noch deutlich mehr tun können. Auf der anderen Seite ist ein Echtzeit-Chat-Dienst wie der hier angegriffene Ricochet natürlich der absolut schlechteste Fall für die Verteidigung gegen Timingangriffe.
Man muss das glaube ich so sehen: Ein Timing-Angriff ist ein Grundrauschen-Risiko auf Tor, genau wie man bei Hotelzimmern ein Grundrauschen-Risiko hat, dass das Hotelpersonal den Laptop verwanzt, wenn man ihn unbeaufsichtigt im Zimmer lässt. Aber das ist jetzt halt kein NSA-Level-Risiko mehr sondern eher ein Dorfpolizei-Risiko, und wird auch nicht gegen die Osama bin Ladens dieser Welt eingesetzt sondern gegen irgendwelche Darkweb-Schmuddel-Leute.
Update: Link-Mispaste korrigiert.
Update: Wenn die Tagesschau sagt, dass O2 verpflichtet wurde, allen Kundentraffic an diese IP an das BKA auszuleiten, ist das übrigens ganz normale Abhör-Netzfunktionalität. Kann natürlich sein, dass das BKA da Spezialhardware hingekarrt hat und selber filtern wollte, aber wahrscheinlicher ist, dass O2 einfach eine Regel in ihrem Interface konfiguriert hat.
Fortinet confirms data breach after hacker claims to steal 440GB of filesToller Laden. Da will man doch einkaufen!!1!
ich bin beruflich dazu genötigt, mit Atlassian Tools zu arbeiten und mein Arbeitgeber hat in der jüngeren Vergangenheit fleißig in deren Cloud migriert.Aber nicht doch, mein Herr! Die wollen doch bloß dein Benutzererlebnis optimieren und haben dafür ihr Pricing vereinfacht und die AGBs klarer formuliert!1!!
In Jira-Tickets werden hier ganz gerne Checklisten (sic!) genutzt.
Praktischerweise bietet Atlassian hierfür natürlich auch direkt ein Plugin an.Nicht so praktisch: "As of October 1, 2024, we're enabling a limit of 10,000 checklist items per Jira instance for Checklist for Jira | Free. Your current item count of 87.863, which is calculated daily, exceeds this limit. To avoid being blocked from creating new checklist items, please remove some items or upgrade to Checklist for Jira | Pro or Checklist for Jira | Enterprise. Thanks for using our Checklist app!"
Klassisches Beispiel für: "Migrier zu uns. Und wenn du einmal abhängig genug bist, melken wir dich."
Update: Mir schrieben jetzt Leser, dass das ein Third-Party-Produkt einer Firma namens Herocoders ist.
Mir gelingt es nur gerade nicht, dafür eine Quelle zu recherchieren, weil Messer und Solingen … nunja. :-)
Hat jemand eine Quelle dafür?
Update: Hier ist eine Quelle. Die Tatwaffe war 15 cm lang und daher jetzt schon verboten.
So ein Ärger, dass sich Kriminelle nicht an die Gesetze halten!1!!
Anyone who knows the Bluetooth MAC address (which is somewhat public) can connect to your AirPods and listen to the microphone or play music.
Die Symptome sehen aus, als wenn es nur das Netzteil gerissen hat, und ich habe ein Ersatzgerät nachbestellt. Hoffentlich löst das das Problem.
Das Gerät ist inzwischen fast 10 Jahre alt, insofern könnte ich auch mal einen Nachfolger in Erwägung ziehen. Mir ist nicht so klar, worauf man da achten sollte. Der alte Monitor hat eine nervige Interaktion mit meiner AMD-GPU, die gerade angeschlossen ist. Irgendein Timing-Problem. Wenn der Rechner den Bildschirm in Powersave schaltet, kommt der nicht wieder hoch, wenn der Rechner wieder hochkommt, und ich muss ihn dann aus- und wieder anschalten. Wobei wer weiß, vielleicht war das ja auch ein Symptom eines zu schwachen Netzteils?
Ich überlege jetzt jedenfalls, was für Anforderungen ich an ein Nachfolgergerät haben würde. Mehr als 27" gehen hier glaube ich nicht sinnvoll auf den Schreibtisch, und mehr als 4K-Auflösung kann ich nicht sinnvoll nutzen.
Heutzutage würde man vermutlich USB-C-Anschluss mit Power Delivery haben wollen, und HDMI 2.1, und mehr als 60 Hz. Schwarzwert finde ich wichtig, Lichthöfe nerven mich auf meinem Laptopdisplays enorm, würde ich auf dem Arbeitsdisplay nicht haben wollen. Ist HDR wichtig?
Da fiel mir dann auch auf, dass ich gar nicht weiß, wo ich gute Monitor-Tests finde. Nach Tests googeln kann man ja heutzutage vergessen, und fast alle Zeitungen haben Affiliate-Links, was für mich den Wert ihrer Tests direkt negiert.
Wo holt ihr eure Monitor-Reviews her?
Braucht man Quantum Dot? Wieviel besser ist OLED? Ich würde natürlich gerne möglichst wenig Geld ausgeben, aber so einen Monitor kauft man für 10 Jahre und sitzt täglich davor, da kann man auch mal ein bisschen was investieren.
Update: Meine Leser empfehlen bislang praktisch ausschließlich rtings.com und prad.de; ich hatte von beiden noch nichts gehört, hat sich also schon gelohnt :-)
Viele Leute empfehlen Ultrawidescreen, das will ich aber nicht haben. Ich habe horizontal den Platz mit 27" schon ausgenutzt und mir wäre jetzt eher lieb, wenn ich nach oben wachsen könnte als seitlich. 16:10 mindestens.
Curved kommt auch nicht in Frage, weil ich mit dem Monitor auch mal ein Film mit der Familie gucken können will.
Ich hab kein Mitleid mehr.
Im Artikel geht es darum, dass die Innenministerin mal wieder Innenministerdinge tut, nämlich mehr Befugnisse für ihre unfähigen Behörden zu fordern. Wenn die AfD endlich die Mehrheit hat, dann soll sie bitte einen vollständigen Überwachungsstaat und Unterdrückungsapparat vorfinden!1!!
Aber das meinte ich nicht.
Die gesetzlichen Befugnisse dafür müssten erweitert werden. Konkret meint sie damit erweiterte Befugnisse für das Bundeskriminalamt (BKA): "Keine aggressiven Rückschlagsbefugnisse" sollen es werden, aber das BKA solle handlungsfähiger werden. Damit spielte Faeser auf die Debatte über "aktive Cyberabwehr" an – und insbesondere die über sogenannten Hackbacks, also offensive Operationen in der Täterinfrastruktur.Nein, das meinte ich auch nicht. Das zitiere ich nur mit, damit ihr mitgähnen könnt, und damit ich mal wieder meinen Hackback-Vortrag verlinken kann, der diese Fragestellung abschließend beantwortet.
Das hier meinte ich:
Im Verfassungsschutzbericht für das Jahr 2023 werden vor allem Russland, China und der Iran als Urheber von Cyberattacken ausgewiesen. Haldewand verwies auf den Angriff auf die SPD zum Jahreswechsel 2022/2023, bei dem Angreier eine Zero-Day-Lücke in Microsoft Exchange nutzten. Diese Attacke schrieb die Bundesregierung Anfang Mai offiziell russischen Angreifern zu. Eine Haftung für Softwarehersteller wollte Bundesinnenministerin Nancy Faeser (SPD) in dem Zusammenhang am Dienstag nicht einfordern.Das versuche ich seit Jahrzehnten ins Gespräch zu bringen. Das betrachte ich als Riesenfortschritt, wenn die Presse das aufgreift und explizit anspricht. Richtig schön wäre natürlich, wenn hier nicht nur die Presse berichtet, dass Faeser lieber Kohle beim BKA verbrennt als Softwarehersteller in die Haftung zu nehmen, sondern wenn jemand mal die Faeser darauf anspricht, oder noch besser: wenn die Faeser das von sich aus sagt, dass sie das nicht machen will. Hey, vielleicht war das hier ja sogar schon so?
Mit der Faeser wird das natürlich nichts mehr werden, und wenn die CDU übernimmt, dann erst Recht nicht. Wir hatten ein kurzes Zeitfenster, und das hat die SPD versemmelt. Wie immer.
Ich freu mich gerade besonders über diese Formulierung in dem Artikel:
Critical code-execution flaw was under exploitation 2 months before company disclosed it.So sieht das nämlich aus. Hersteller sitzen gerne monatelang auf Sicherheitslücken, bevor es einen Patch gibt. Der Kunde kriegt normalerweise gar nicht mit, wie lange der Hersteller schon von der Lücke wusste.Auch in diesem Fall weiß man das nicht genau. Aber man weiß, dass das schon monatelang aktiv ausgenutzt wurde, und der Hersteller fand es nicht nötig, ihre Kunden davon zu unterrichten.
224 Injured After Glitchy Diabetes App Drains Insulin Pump BatteriesIch bin mir sicher: Auch wenn da jemand gestorben wäre, müsste jetzt niemand in den Knast.
Softwareproblem. Kann man nichts machen.
Based on our investigation, a third party gained access to a Dropbox Sign automated system configuration tool. The actor compromised a service account that was part of Sign’s back-end, which is a type of non-human account used to execute applications and run automated services. As such, this account had privileges to take a variety of actions within Sign’s production environment. The threat actor then used this access to the production environment to access our customer database.Ja Scheiße, Bernd! Wer hätte gedacht, wenn wir unsere Dokumente in die Cloud hochladen, dass die da wegkommen könnten?!Hätten wir doch bloß auf diesen einen Blogger aus Deutschland gehört, der das seit Jahrzehnten vor warnt!
We’ve found no evidence of unauthorized access to the contents of users’ accounts (i.e. their documents or agreements).Oh super! Dann haben wir ja nochmal Glück gehabt und können alle so weitermachen, als wäre nichts passiert!!1!
Ein unter dem Pseudonym CtrlAlt auftretender Sicherheitsforscher hat einem Spiegel-Bericht zufolge eine Schwachstelle im eID-Verfahren aufgedeckt. Damit sei es ihm gelungen, im Namen einer fremden Person ein Konto bei einer großen deutschen Bank zu eröffnen.Nota bene: Das war genau das Szenario, das das Verfahren verhindern sollte.
Vielleicht sollte da doch mal jemand jemanden fragen, der sich mit sowas auskennt?
Ich könnte ja viel gelassener auf sowas reagieren, wenn es nicht meine Steuergelder wären, die da für Cyberclown-Securitytheater verbrannt würden.
Aus dem Blogpost des Forschers:
A responsible disclosure process was conducted with the BSI (Bundesamt für Sicherheit in der Informationstechnik), during which the BSI acknowledged the presence of the vulnerability. Their defense centers on the user’s responsibility for maintaining the security of their client devices.War ja klar. BSI so: Habt ihr auch alle 17 Lagen Schlangenöl gestapelt? Ja? Dann macht mal sicherheitshalber noch eine 18. Lage drüber!1!!
Lasst mich das an dieser Stelle nochmal absolut unmissverständlich sagen: Wenn du davon ausgehst, dass die Endgeräte sicher sind, DANN BRAUCHST DU KEINEN NPA ZU VERTEILEN! Vollpfosten, allesamt.
However, users typically exhibit poor security practices. In addition, this paper demonstrates that the attack remains successful even when all BSI recommendations are followed and client devices are updated.Ach. Ach was. Das war bloß Ass-Covering? Nur Security-Theater? Hätte uns nur rechtzeitig jemand gewarnt!!1!Hey, Fefe, ich habe gehört, die neue BSI-Chefin kommt aus der Informatik. Die ist gar kein Cyberclown! Mit der wird bestimmt alles besser jetzt!1!!
Kommt, liebes Publikum, rollt noch eine Ehrenrunde Schlangenöl über eurer Infrastruktur aus. Wer zuerst über sein Schlangenöl geransomwared wird, muss eine Runde ausgeben!
Update: OK, nochmal mit ein bisschen Abstand. Sicherheitsforscher mit Pseudonym, Blogpost auf Medium und PDF auf Dropbox, da gehen direkt alle Unseriositätslampen an. Bei euch hoffentlich auch. Inhaltlich haben wir es hier mit einer Eigenheit der Apple-Plattform zu tun, nicht mit einem Bug in der App, und die App kann da inhaltlich auch nicht so viel gegen tun jetzt.
Meine Einstellung dazu ist: Apple sind ein paar Tech-Bros aus Amerika, mit einem beschissenem Security-Track-Record. Die sind durch die BSI-Empfehlungen überhaupt erst zu einer satisfaktionsfähigen Plattform geworden für nPA-Scheiß, und da hat das BSI schlicht niemanden, auf den sie jetzt zeigen können. Das ist deren Verkacken, aus Gründen von Realpolitik. Aber aber aber der Minister verwendet ein Apple-Telefon!!1! Da können wir doch nicht ... ja, äh, doch. Könnt ihr nicht nur, das wäre genau eure Aufgabe gewesen, ihr Cyberclowns. Nicht dass Android fundamental besser wäre.
Wenn du findest, das das Gerät vertrauenswürdig sein sollte, dann ist Anforderung Nummer 1, dass da kein Code nachinstallierbar ist. Damit sind wir dann aber bei einer Gerätekategorie wie einem Analogtelefon oder einer Supermarktkasse.
Das ist übrigens alles gaaaaanz kalter Kaffee. Windows NT hat damals Ctrl-Alt-Del für den Login-Screen eingeführt, den sogenannten Secure Attention Key. Das war genau diese Kategorie von Problem. Wie verhindern wir, dass eine Anwendung so aussieht wie ein Login-Screen, und User ihre Passwörter dort eingeben? Du brauchst einen Weg, wie der User erkennbar einen sicheren Eingabepfad hat, und da darf sich dann auch niemand einklinken und mitlesen können. Das ist dann aber alles Software und möglicherweise hackbar. Eigentlich geht das nur, wenn da keine Software nachinstallierbar und die Hardware verplombt ist.
Hier haben wir es mit einer anderen Art von einklinken zu tun, aber die Kategorie Problem ist dieselbe.
Update: Wisst ihr, wer 2010 auf die Problematik mit den sicheren Eingabegeräten hinwies? Anlässlich des "neuen elektronischen Personalausweise" und der SuisseID? Der CCC! Schade nur, dass nie jemand auf die Experten hört. War wichtiger, auszusehen, als würde man Digitalisierung vorantreiben.
Update: Fortsetzung. (Danke, Tenshi)
Ich habe kein Mitleid. Ich habe euch alle ausreichend gewarnt.
Es handelt sich um ein zero click pre-auth remote code execution, d.h. wurmbar.
Microsoft hampelt jetzt rum, ob das bereits exploitet wird oder nicht. Kann mir keiner erzählen, dass das nicht in null komma nichts exploitet wird.
Viel Spaß beim Aufwischen!
Hey, wenn euch eure Cyberversicherungen nicht auszahlen, muss dann vielleicht doch mal irgendwann Microsoft haften für die verkackte Software, die sie euch verkauft haben? Würde mich ja wundern. Ich glaube langsam, ihr WOLLT alle ständig über Microsoft-Lücken exploitet werden. Damit endlich mal nicht ihr Schuld seid sondern der Mann im Mond, äh, in Redmond.
Hey, wieso migriert ihr nicht in die Cloud? Am besten die von Microsoft!! Danach könnt ihr mir ja was erzählen von dass das damals ja alle gemacht haben, als ob das irgendwas an eurem Versagen ändert.
Late privilege drop in REFRESH MATERIALIZED VIEW CONCURRENTLY in PostgreSQL allows an object creator to execute arbitrary SQL functions as the command issuer.In der Praxis wird das vermutlich kaum jemanden betreffen, weil außer mir niemand verschiedene Berechtigungen in Datenbanken vergibt, sondern lieber ein "technischer User" genommen wird.Und ich verwende kein Postgres, bin daher also auch nicht betroffen.
Aber lasst euch davon nicht vom Patchen abhalten. Alle Patches einspielen.
Update: Im Übrigen sei an der Stelle der Hinweis erlaubt, dass Postgres sich hier geradezu vorbildlich und professionell verhalten hat. Sie haben nicht rumgelogen oder runtergespielt, sie haben nicht von krimineller Energie der Angreifer gefaselt, die haben schnell Patches gemacht, und zwar für alle Versionen, und sie wollten kein Geld für Support abgreifen. Wenn mich mal jemand nach einer SQL-Datenbank-Empfehlung fragt, empfehle ich immer Postgres. Da hatte ich bisher auf jedem Schritt den Eindruck, dass das Erwachsene betreiben und verwalten, und da niemand bloß Selbstdarstellung oder Spendenabgreifen macht.
Oder nehmen wir an, ihr kennt euch mit Computer-Architektur aus. Ihr wisst, dass es einen Kernel gibt, und der kann Userspace-Programme laufen lassen, und stellt denen virtuellen Speicher zur Verfügung und Syscalls und so weiter. Natürlich wisst ihr, dass der Kernel grundsätzlich in den Speicher der Prozesse reingucken kann.
Wenn ihr also, sagen wir mal, curl benutzt, und der spricht SSL mit einem Gegenüber, dann kann der Kernel grundsätzlich in den Speicher gucken und die unverschlüsselten Daten sehen. Da wird jetzt niemand wirklich überrascht sein, dass das so ist, hoffe ich.
Aber die Details waren bisher nicht so attraktiv. Das war mit Aufwand verbunden. OK, du kannst gucken, welche SSL-Library der benutzt, und da stattdessen eine Version mit Backdoor einblenden als Kernel. Oder du könntest die Offsets von SSL_read und SSL_write raussuchen und dann da Breakpoints setzen, wie bei den Debugging-APIs, und dann halt reingucken. Du hättest potentiell auch mit Races zu tun. Du müsstest wissen, wie man aus einer Shared Library die Offsets von Funktionen rausholt.
Gut, aber dann denkst du da ein bisschen drüber nach, und plötzlich sieht das gar nicht mehr so schwierig aus. curl lädt openssl als dynamische Library.
$ ldd =curlDa sieht man schon, dass die Adressen irgendwie krumm aussehen. Das ist ASLR. Wenn du nochmal ldd machst, kriegst du andere Adressen. OK aber warte. Die Daten hat der Kernel ja, und exponiert sie sogar an den Userspace:
linux-vdso.so.1 (0x00007ffff7dd2000)
libcurl.so.4 => /usr/lib64/libcurl.so.4 (0x00007f1df4c66000)
libssl.so.3 => /usr/lib64/libssl.so.3 (0x00007f1df4b6f000)
[...]
$ cat /proc/self/mapsUnd innerhalb des Adressbereichs, an den so eine Library gemappt wird, bleibt das Offset von SSL_write ja konstant. Wie finden wir das? Nun, da gibt es Tooling for:
[...]
7f846a8d2000-7f846aa27000 r-xp 00028000 00:14 5818768 /lib64/libc.so.6
$ nm -D /usr/lib64/libssl.so.3 | grep SSL_writeGut, also grundsätzlich könnte man den Kernel so umbauen, dass er beim Mappen von libssl.so.3 immer bei Offset 35660 einen Breakpoint setzt, und dann könnte man da die Daten abgreifen. Das ist aber eine Menge Gefummel und Kernel-Space-Programmierung ist sehr ungemütlich. Der kleinste Ausrutscher kann gleich die ganze Maschine crashen.
0000000000035660 T SSL_write@@OPENSSL_3.0.0
Warum erzähle ich das alles? Stellt sich raus: Muss man gar nicht. Ist alles schon im Kernel drin. Nennt sich uprobes und ist per Default angeschaltet. Da kann man über ein Config-File im /sys/-Tree dem Kernel sagen, man möchte gerne hier einen Breakpoint haben. Dann kann man per eBPF ein über Kernelversionen portables Kernelmodul hacken, das sich an die uprobe ranhängt und die Daten kopiert. Dann gibt es ein standardisiertes Interface dafür, wie man von dem eBPF-Modul die Daten wieder in den Userspace kopiert, wenn man das möchte.
Was hat man dann? Ein Tool, das in alle SSL-Verbindungen via OpenSSL auf der Maschine reingucken kann. Der Aufwand ist so gering, dass man das im Handumdrehen mit nur ein paar Zeilen Code auch auf gnutls erweitern kann, und auf NSS (die Mozilla-Library). Auch den TLS-Code von Go oder von Java kann man abfangen (Java ist etwas fummelig, da würde man vermutlich einen gemütlicheren Weg nehmen).
Gut, für das Eintragen der uprobe und für das Laden von dem eBPF muss man root sein. Es ist also kein Elevation of Privilege im herkömmlichen Sinne.
Aber es immanentisiert das Problem, das bis dahin bloß theoretisch war. Aus meiner Sicht heißt das, dass man ab jetzt keinem Kernel trauen kann, den man da nicht selbst hingetan hat. Mit anderen Worten: In jemand anderes Container laufen geht nicht.
Das war schon immer klar, aber jetzt ist es immanent. Was sage ich jetzt. Die Tools gibt es sogar schon seit mehreren Jahren. Ein SSL-Abgreif-Tool war das 2. Projekt, das auf diesen Frameworks gebaut wurde. Es sind sogar mehrere Tutorials und Beispielanwendungen online, wie man das macht.
Das nimmt mich gerade mehr mit als es sollte. Wir haben die Vertrauensfrage in der IT auf jeder Ebene verkackt. Der Hardware kann man schon länger nicht mehr trauen. Anderer Leute Software kann man schon länger nicht mehr trauen. Dass man Hypervisoren und Containern nicht trauen kann, ist auch schon immer klar, daher machen die ja dieses Affentheater mit "memory encryption", damit ihr euch in die Tasche lügen könnt, das sei schon nicht so schlimm. Doch. Doch, ist es.
Das könnte mich alles im Moment noch kalt lassen. Ich hacke alle meine Software selber (bis auf den Kernel), OpenSSL ist bei mir statisch reingelinkt (d.h. der Kernel sieht nicht, dass ich da eine Library lade, von der er die Offsets kennt). Man kann mit uprobes und ebpf immer noch meine Anwendungen ausspähen, aber dafür muss man die erstmal reverse engineeren und pro Anwendung die OpenSSL-Offsets raussuchen und eintragen. Das nimmt einem im Moment das Framework noch nicht ab. Aber ihr merkt hoffentlich selber, wie gering die Knautschzone hier ist. Meine Software läuft auf einer physischen Maschine, keinem vserver. Sagt der ISP. Ihr könnt euch mal mal selber fragen, wie sicher ihr euch seid, das selber nachprüfen zu können, wenn euch euer Dienstleister das verspricht.
Ich spoiler mal: Könnt ihr nicht.
Ich glaube, da muss ich mal einen Vortrag zu machen. Das ist alles sehr deprimierend, finde ich.
We discovered a heap-based buffer overflow in the GNU C Library's __vsyslog_internal() function, which is called by both syslog() and vsyslog(). This vulnerability was introduced in glibc 2.37 (in August 2022)2024 ist das Jahr von Linux auf dem Desktop, habe ich gehört! (Danke, Fabian)
Der Angriff erfolgte in der Nacht zum 30.Oktober 2023 über den Zugang, mit dem auch die Kommunen und Kreise in das Netzwerk von Südwestfalen-IT gelangen. Diese so genannte "softwarebasierte VPN-Lösung" war nur mit einem einfachen Passwort gesichert.Das ist so falsch, dass nicht mal das Gegenteil stimmt. Glücklicherweise ist der Incident-Response-Bericht öffentlich, so kann man sich selbst ein Bild machen."Die Südwestfalen-IT hat es den Angreifern sehr leicht gemacht", sagte IT-Experte Philipp Rothmann dem WDR. Üblich wäre hier eine "Multifaktor-Authentifizierung" gewesen, also eine Abfolge von mehreren Passwörtern. So aber mussten die Hacker nur lange genug verschiedene Varianten durchprobieren.
Punkt 1: Das war ein 0day! Da konnte man nichts machen!
Nope. Der Angriff war am 29. Oktober. für die Lücke gab es am 6. September einen Patch, an dem auch noch dranstand, dass das in der freien Wildbahn von Ransomware-Gangs genutzt worde. Das ist also das glatte Gegenteil von 0day.
2. ist das natürlich kein Problem, wenn jemand durch das VPN durchkommt, weil man ja die Security der Dienste dahinter so auslegt, als hingen sie mit nacktem Arsch im Internet. Das ist das Zero Trust, von dem ihr in den letzten Jahren so viel gehört habt. War hier offensichtlich nicht der Fall.
3. war der erste "Angriff" in dem CVE, dass man Accountnamen und Passwörter durchprobieren kann. Das sollte keine Rolle spielen, weil man ja extra aus dem Grund komplexe Passwörter vergibt. Und weil ein Accountname und ein Passwort noch nicht reicht, um sich dann damit auf irgendeinem Rechner zu authentisieren, nur beim VPN. Außer du warst so blöde und hast Single-Sign-On gemacht, aber das ist ja offensichtlich eine ganz furchtbare Idee, also macht das sicher keiner. Oder? ODER? Ich meine, so bekloppt kann man doch gar nicht sein, hoffe ich!
4. Mit einem gültigen Account konnte man sich dann im VPN als andere User anmelden. Sollte auch keine Auswirkungen haben, weil man ja Zero Trust macht und kein SSO hat. Außer man ist auffallend schlecht beraten und kann dann auf niemanden außer sich selber zeigen, wenn Ransomware vorbeikommt.
5. behauptet dieser "Experte" der Tagesschau, dass MFA geholfen hätte. Das ist natürlich Blödsinn. Wenn die Ransomware erst den Firmenlaptop eines Mitarbeiters kompromittiert, kann sie von dort die MFA-Anmeldung einfach mitbenutzen. MFA ist Compliance-Theater und dient hauptsächlich der Beweislastumkehr. Damit man sagen kann: Sehr her, wir hatten MFA, also war der User Schuld. Als ob der User sich Windows, Outlook und Active Directory ausgesucht hätte! Und in diesem Fall: Cisco-Produkte!
6. Ja, richtig gelesen. Active Directory. Völlig überraschend hatten die Angreifer noch am selben Tag Admin-Berechtigung im AD und haben sich dann ungestört im Netz ausgebreitet. Wie konnte das sein? Na weil niemand (auch nicht Microsoft selbst) Active Directory sicher konfiguriert kriegt.
6. Die hatten sogar multiple advanced next-gen endpoint security solutions im Einsatz, von Symantec und den Windows Defender. Hat ihnen beides nicht den Angriff vom Hals gehalten. Dabei macht Symantec explizit Werbung damit, dass sie vor 0days, Exploits und *papierraschel* Ransomware schützen! Und Defender macht sogar was mit "KI" in der Cloud!1!! Und trotzdem kamen die rein und konnten sich ungestört ausbreiten?! Das ist ja merkwürdig!1!! Ist ja fast so, als sei das bloß Schlangenöl?! Hätte uns doch nur jemand gewarnt!
Mich nervt ja vor allem, dass offenbar niemand verstanden hat, was 0day heißt. 0day heißt: Lücke dem Hersteller nicht bekannt, gibt keinen Patch und keine Warnung.
Das mit "gibt keine Warnung" ist bei Cisco natürlich immer Unfug. Wie oft soll ich denn noch vor deren Produkten warnen?!
Die versuchen hier mit 0day-Nebelkerzen die Schuld von sich abzulenken. Erfolglos. Genau niemand außer ihnen selbst trägt die Verantwortung. Immerhin hatten sie wohl Backups und haben kein Lösegeld gezahlt. Immerhin. Aber auch dann stellt sich die Frage, wieso das dann so große Auswirkungen haben konnte ("Die Arbeit dauert bis heute an"). Haben die das Szenario nie geübt?
Auch ansonsten haben die ziemlich großflächig verkackt. Laut Bericht stand das Domänen-Admin-Passwort im Klartext in der Group Policy, und zwar seit 2014.
Fallt also nicht auf Nebelkerzen mit Schlangenölgeschmack und 0day-Blablah rein.
Am Ende ist es immer dasselbe Muster. Ransomware kommt da rein, wo sie das System besser verstehen als der Betreiber. Wenn das Verständnisniveau der Betreiber also nicht so unglaublich schlecht wäre bei uns, hätten wir keine Ransomware-Problematik. (Danke, Max)
Das Jülicher Gericht habe nun festgestellt, dass für den Zugriff auf die Datenbank eine Zugriffssoftware erforderlich war, erklärt Frank Reiermann von DN-News, der nach eigenen Angaben persönlich bei der mündlichen Verhandlung anwesend war. Mit dem Einsatz dieser Software habe der Beschuldigte nach Einschätzung des Amtsgerichts gemäß §202a StGB eine ausreichend hohe Hürde überwunden, um sich strafbar zu machen.Oho! Hört, hört! Der hat nicht per Telepathie auf die Datenbank zugegriffen sondern eine Software benutzt?! Das ist ja verrucht! Was für ein Schurke!
Konkret ging es wohl um die Verwendung des weitverbreiteten Datenbank-Administrationstools phpMyAdminDa stellt sich natürlich direkt die Frage, wie man ohne Verwendung einer Software auf eine Datenbank zugreifen soll. Aber mit solchen Randdetails wollen wir uns hier mal nicht belasten. Hat der Richter ja auch nicht getan.
Immerhin: Es war nur ein Amtsgericht. Die nächste Instanz hat hoffentlich genug Zeit, sich das erstmal von jemandem erklären zu lassen, der schonmal eine Datenbank gesehen hat.
Update: Heise hat auch detaillierte Berichterstattung zu dem Verfahren. Oh Mann ist das ein Totalschaden.
Die Staatsanwaltschaft hatte einen erheblichen Teil der Beweisaufnahme damit verbracht, dem Angeklagten nachzuweisen, er habe den Programmcode der Software von Modern Solution dekompiliert, um an das Passwort für die Datenbankverbindung zu kommen. Der Angeklagte gab zu Protokoll, die in Frage kommende Datei (MSConnect.exe) lediglich mit einem Texteditor betrachtet und so das Datenbankpasswort im Klartext ausgelesen zu haben.
Am Ende konnten sie den Nachweis nicht erbringen, aber war dem Richter auch egal, weil schon die Präsenz eines Passwortes seiner Meinung nach reicht, um einen Verstoß gegen das Hackertoolverbot zu begründen.
Vermutlich nicht, denn das ist gerade down.
Geht in die Cloud, haben sie gesagt. Das skaliert so gut, das ist gar nicht überlastbar! Und ausfallen kann das auch nicht mehr, denn das wird von Experten betrieben. *schenkelklopf* (Danke, Boris)
Besonders geil auch:
The deal would help bolster the nearly 100-year-old technology company's artificial intelligence (AI) offerings, according to a WSJ report earlier in the day.Wat? DAS ist deren Takeaway? "KI"? LMAO!
If the HTTP2 implementation receives more then 4GiB in total headers, or more than 2GiB for any given header pair, then the internal buffers may overflow.Ich habe hier gerade die 90er Jahre am Telefon. Sie wollen ihre Bugs zurück haben.
Wenn ich sage: Im Konflikt A gegen B hat A Unrecht (oder: nutzt unfaire Argumentationstaktik, oder verhält sich unethisch, etc).
Und wenn ihr mir dann schreibt: Aber B hat auch Unrecht (oder: ist böse, ist unfair, fressen kleine Kinder, etc.)
Dann ist das nicht weiterhelfend. Trägt nichts zur Klärung von irgendwas bei. Über B hatte ich mich gar nicht geäußert.
Bei den meisten Konflikten in der Welt ist es übrigens so, dass beide Seiten einen Funken von einem Punkt haben. Dass einer einfach nur durchdreht, in die Grundschule läuft und dort Kinder erschießt, das kommt vor aber ist die Ausnahme. In den allermeisten Fällen verhalten sich beide Seiten Scheiße.
Bei Harvard habe weder ich noch die Harvard-Präsidentin in Abrede gestellt, dass was die Palästinenser da geäußert haben, nicht in Ordnung ist. Die Präsidentin hat sich sogar sehr klar und unmissverständlich dagegen positioniert. Ich habe mich nicht festgelegt, weil es mir um etwas anderes ging an der Stelle.
Ich finde diese Präsidentin auch nicht sympathisch und habe überhaupt kein Problem mit ihrem Rücktritt. Harvard ist seit Jahren ganz hinten auf den Free-Speech-Rankings der US-Universitäten. Ausgerechnet jetzt einen auf Free Speech zu machen, das ist ungefähr genau so grotesk und lächerlich wie dass die Republikaner jetzt plötzlich Hate-Speech-Bekämpfung machen und gegen Free Speech sind, nachdem sie jahrelang ihre eigene Hate Speech als geschützte Free Speech zu verteiden versucht haben.
Beide Seiten kämpfen hier unehrlich und mit geradezu brechreizinduzierender Theatralik. Ihr solltet euch da nicht vor den Karren spannen lassen. Weder von der einen noch von der anderen Seite.
Und ja, ich bin immer noch der Meinung: WENN man diese Frau zum Rücktritt zwingt, dann bitte auf Basis echter Argumente, nicht parteipolitischer Partisanen-Schlammwerferei.
Ansonsten gilt die Faustregel: Außergewöhnliche Behauptungen benötigen eine außergewöhnlich solide Beweislage. Die Existenz marodierender Studenten-Horden, die den Genozid an Juden proklamieren, solltet ihr nicht einfach glauben, nur weil das irgendein Partisane behauptet.
Wenn ihr mal gucken wollt, was sonst für Genozid-Vorwürfe die Mindeststandards an Argumentation und Beweisführung sind, könnt ihr ja mal den Vortrag Südafrikas gegen Israels Verhalten im Gazastreifen vor dem Internationalen Strafgerichtshof einsehen. Ab Seite 59 (Anhang D) geht es los.
Ich saß nach der Eröffnungsveranstaltung (könnt ihr skippen) in Unlocking the Road Ahead (könnt ihr auch skippen, war im Wesentlichen Grundlagen für den danach) und dann Back in the Driver's Seat. Das war der über Tesla-Hacking und den Elon-Modus. Der war nett. Parallel lief Hacking the Climate, davon habe ich auch Gutes gehört.
Danach saß ich in dem Talk der Kaspersky-Leute, den hatte ich ja schon empfohlen hier. Der alleine war den Eintritt wert.
Trevor Paglen ist natürlich immer spannend, aber diesmal hat er hauptsächlich ein Spiel beworben, das man während des Congresses spielen kann, um sich in die Thematik spielerisch einzuarbeiten. Ihr findet es unter cyclops.sh.
Den nächsten Slot habe ich für eine Mittagspause genutzt. Den Talk über Assange fand ich nicht so prall. Das wirkte auf mich, als wollte sich der Holger Stark da als Retter der Pressefreiheit feiern, aber ohne an die unrühmliche Rolle seines damaligen Chefs Jakob Augstein erinnert zu werden.
Bifröst war nett aber handelte nur von der Softwareseite. Den ganzen Sat-Teil übernimmt ein Modem, das nicht in Scope war.
Danach gab es zwei Vorträge über Teleskope, die beide wunderbar waren. Wenn ihr Alternativlos über den Fusionsreaktor mochtet, guckt euch die Talks über Euclid und das ELT an.
Der Vortrag der Polen über das Zughacken war ganz großes Kino, aber das war ja schon vorher abzusehen, nachdem die Tagesschau über den Inhalt berichtete.
Ich hab ja nur noch Gelächter übrig. Ihr setzt bestimmt auch Windows, Outlook und Active Directory ein. Und wundert euch über die Ransomware.
Researchers at Eurecom have developed six new attacks collectively named 'BLUFFS' that can break the secrecy of Bluetooth sessions, allowing for device impersonation and man-in-the-middle (MitM) attacks.Das sind keine Implementationsfehler. Die Spec ist schon Scheiße.Unter den Fehlern befinden sich neben SQL-Injections auch Möglichkeiten für Angreifer, beliebige Kommandos auf Appliances des kalifornischen Unternehmens auszuführen.Wie, gar keine Backdoors mit hartkodierten Credentials? So wird das nicht mit der Cisco-Konkurrenz.
Anfang Oktober stellte Atlassian ein Sicherheitsupdate zur Verfügung. Nun schreibt Microsoft: Chinesische Hacker nutzten die Lücke mit CV-Score 10 bereits seit Mitte September aus.Ich finde das ja schon großartig, dass ausgerechnet Microsoft sich hier aus dem Fenster lehnt, die ja auch absolut traurige Reaktionszeiten auf Sicherheitslücken in ihren Produkten haben.
Mindestens genauso ironisch ist aber Atlassians Vulnerability Management Statement. Geht schon damit los, dass sie von Vulnerability Management reden. Techniker möchten Probleme lösen. Manager möchten Probleme managen. Hier kann man gut sehen, wer bei Atlassian das Sagen hat.
Und natürlich halten sie Sicherheitslücken für Schicksal.
Atlassian recognizes that, at some level, security vulnerabilities are an inherent part of any software development process.Das ist wie Gewitter. Kann man nichts machen!1!!Die ganze Seite ist der Brüller. Das sind alles so "oh mein Gott wie stehen mit heruntergelassenen Hosen auf der grünen Wiese, wir sollten schnellstens irgendwas machen!!!" Ansätze. Wir lassen Tools laufen. Wir machen Asset Discovery. (Ich kann ja niemanden ernst nehmen, der Assets in seinem Produkt discovern muss). Wir machen Host Scans!! Wir machen Container Image Scans!!! Wir machen Open Source Dependency Scans!!!!
Das ist alles eine Bankrotterklärung sondergleichen. Software wird nicht durch Scanning sicher. Software wird durch gezielte Konstruktion mit Security als Ziel sicher.
Oh und sie haben ein Bug Bounty-Programm, natürlich. Sie haben gemerkt, dass alle ihre Maßnahmen sinnloses Theater sind, und haben keine Ideen, wie man was besser machen könnte, also crowdsourcen wir das Problem am besten!!
Ganz traurig.
The one rated HIGH is probably the worst curl security flaw in a long time.
glibc hat in ihrem ld.so tolle neue GNU-Features eingebaut und darin einen Buffer Overflow.
Die glibc-Leute haben noch keine neue Version veröffentlicht.
This vulnerability allows remote attackers to execute arbitrary code on affected installations of Exim. Authentication is not required to exploit this vulnerability.
Das ist eine wirklich ultra-peinliche Nummer. Wenn ihr Webentwicklung macht, habt ihr von JWT gehört, das ist ein Standard für Tokens, wie man sie für Authentisierung und Sessionmanagement verwendet. Diese Tokens sind im Wesentlichen JSON mit Base64 vom Output von ein paar Krypto-Primitiven. Weil der Standard von Vollpfosten entwickelt wurde, kann man als Teil des Tokens den Algorithmus einstellen, und es gibt einen "none"-Algorithmus. Zum Testen. Der hat dann halt keine Signatur.
Seit echt vielen Jahren, im Grunde seit es JWT gibt, fallen jetzt immer wieder Idioten negativ auf, die "none" tatsächlich implementieren, und wenn man ihnen ein Token hinhält, wo der Algorithmus auf "none" steht, das dann halt einfach akzeptieren.
Sharepoint ist einer dieser Idioten. m(
Viel tiefer kann man als Web-Dev eigentlich gar nicht sinken. Wüsste jedenfalls gerade nicht wie.
War also ein klarer Fall. Sind fertig. Haben alles, was sie brauchen.
Oh nee, warte.
Die Auswertung der Beweise habe jedoch keinen hinreichenden Tatverdacht ergeben.Bei der Formulierung ist glaube ich nicht jedem auf Anhieb klar, was das für ein Hammer ist. Nicht mal einen Verdacht haben sie sich aus dem Arsch gezogen gekriegt!
Normalerweise ist der Verdacht kein Problem, aber an Beweisen mangelt es dann. Hier haben sie nicht mal einen Verdacht begründen können!
Es gebe keine Hinweise darauf, dass Lindemann gegen deren Willen sexuelle Handlungen an Frauen vorgenommen habe, so die Staatsanwaltschaft.Keine Hinweise! Wie krass ist DAS denn?
Auch für den Vorwurf, er habe ihnen willensausschaltende Substanzen gegeben oder ein Machtgefälle gegenüber minderjährigen Sexualpartnerinnen ausgenutzt, gebe es keine Beweise.Wie jetzt? Gut, da kann jetzt auch die Staatsanwaltschaft einfach inkompetent sein. Wenn die auf einem Rockkonzert keine Drogen nachweisen können, sind die vielleicht einfach nicht sehr fit. Aber wartet, geht noch weiter.
Die Ermittlungen waren im Juni durch Anzeigen Dritter im Zusammenhang mit der Berichterstattung durch die Medien eingeleitet worden. Die darin geäußerten Angaben von Zeuginnen und Zeugen hätten sich nicht bestätigt, erklärte die Staatsanwaltschaft nun.Ja, richtig gelesen! Keiner der "Zeugen" wollte mit der Staatsanwaltschaft reden. Seit der Kachelmann gegen falsche Beschuldigungen Schmerzensgeld erwirkt hat, gehen "Geschädigte" das Risiko lieber nicht mehr ein. Warum auch, du kannst ja auch prima Rufmord begehen, indem du der Presse wilde Dinge erzählst.
Das ist nicht bloß meine Interpretation:
Mutmaßliche Geschädigte hätten sich nicht an die Ermittlungsbehörden, sondern an Journalisten gewandt, die sich auf das Zeugnisverweigerungsrecht berufen hätten.Immerhin eine gute Nachricht gibt es bei der ganzen Nummer. Wie Kachelmann bei Springer hat jetzt auch die Kanzlei von Lindemann angekündigt, sich zivilrechtlich beim Spiegel gütlich zu tun.
Ja aber Fefe, gab es da nicht noch ein anderes Verfahren? In Vilnius? Ja. Das wurde auch eingestellt.
Update: Ja aber Fefe, hatten die "Zeugen" nicht eine eidesstattliche Erklärung abgegeben? Gegenüber der Presse? Ja und nein. Eine Versicherung an Eides statt muss man a) bei einer Behörde abgeben, und die muss b) dafür qualifiziert sein, die entgegenzunehmen. Der Presse irgendetwas eidesstattlich zu versichern ist also ohne Aussagekraft und ein billiger Taschenspielertrick von unseriösen Presseorganen.
Update: Medienkompetenzlektion: Tatverdacht ist nicht dasselbe wie Anfangsverdacht. Die Hürden für einen Anfangsverdacht liegen viel niedriger.
Wenn die Staatsanwaltschaft den Tatverdacht verneint, dann ist das eher in Richtung "können wir nicht beweisen" und sagt nicht notwendigerweise, dass sie überhaupt nicht glauben, dass es da etwas zu ermitteln gab. In diesem Fall war das allerdings tatsächlich so, weil sie nur Hörensagen aus 2. Hand hatten und keiner der "Zeugen" oder "Opfer" sich gemeldet hat.
Insgesamt gibt es drei Verdachtsstufen im deutschen Recht. Den Anfangsverdacht, den hinreichenden Tatverdacht und den dringenden Tatverdacht.
Für den Anfangsverdacht braucht man tatsächliche Anhaltspunkte, und er reicht dann für eine körperliche Untersuchung (z.B. eine Blutprobe), Beschlagnahme von Beweisgegenständen, oder Hausdurchsuchung.
Ein hinreichender Tatverdacht liegt vor, wenn die Staatsanwaltschaft eine Verurteilung auf Basis der Ermittlungsergebnisse für wahrscheinlicher als einen Freispruch hält. Das war hier nicht der Fall.
Ein dringender Tatverdacht liegt vor, wenn die Staatsanwaltschaft den Beschuldigten mit hoher Wahrscheinlichkeit für den Täter einer Straftat hält, und damit kann man ihn dann festnehmen oder den Führerschein entziehen.
BleepingComputer tested a malicious archive shared by Group-IB, who discovered the campaign, and simply double-clicking on a PDF caused a CMD script to be executed to install malware.Damit wurden offenbar über Monate Crypto-Wallets aufgemacht und ihr Inhalt gestohlen. Schnell updaten also, wenn ihr das einsetzt.Update: RAR wird auch von hunderten von 3rd-Party-Tools entpackt. Die verwenden dafür entweder den Open-Source-Unrar-Code oder unrar.dll oder unrar64.dll. Diese DLLs zumindest sind wohl auch betroffen. Das inkludiert dann vermutlich einmal alle Schlangenöl-Installationen auf diesem Planeten.
Dann hat euch letzte Woche jemand einen Binär-Blob ins Projekt gedrückt, der auch noch kein reproducable build ist.
Gut, für Rust-Leute wahrscheinlich kein Problem, denn die lassen sich ja auch den Compiler schon als Binary reindrücken. Einen Bootstrap-Prozess ohne Binary kennt Rust nicht, obwohl Ocaml seit gefühlt 30 Jahren zeigt, wie es geht.
Bei allen tollen Ideen in Rust ist die Umsetzung schon an einigen Stellen eher traurig.
An unidentified individual has listed the data of 760,000 Discord.io (the site is dead at the moment, so you can see an Archive.org snapshot here) users for sale on a darknet forum.
Es gibt mal wieder einen apokalyptischen CPU-Bug bei AMD, und wieder basierend auf spekulativer Ausführung.
So langsam fragt man sich ja, wie viele davon es geben muss, bevor AMD mal das Problem an der Wurzel packt. Gut sieht das jedenfalls nicht aus. Im Wesentlichen waren und sind alle CPUs seit Ryzen 1000 oder so auf irgendeine Art im Arsch aus dieser Ecke.
Update: Schöne Zusammenfassung bei Bleepingcomputer, auch mit einem Statement von AMD.
Es gibt mal wieder einen apokalyptischen CPU-Bug bei Intel, und wieder basierend auf spekulativer Ausführung.
So langsam fragt man sich ja, wie viele davon es geben muss, bevor Intel mal das Problem an der Wurzel packt. Gut sieht das jedenfalls nicht aus. Im Wesentlichen waren und sind alle CPUs seit Haswell oder so auf irgendeine Art im Arsch aus dieser Ecke.
Das ist bemerkenswert, weil natürlich JEDE Kamera für biometrische Gesichtserkennung genutzt werden kann. Außer natürlich, die Auflösung oder Bildqualität ist so schlecht, dass das nicht geht.
Ich verstehe das jetzt daher so, als warne Bosch hier vor der Bildqualität ihrer Überwachungskameras.
Wo wir gerade bei toller deutscher Technologie waren: Siemens fährt mit ihrer Windkraftsparte einen Milliardenverlust ein.
Vorangegangen war eine eingehende Analyse der Qualitätsmängel bei Windrädern von Siemens Gamesa für den Einsatz an Land und der Probleme beim Hochlauf der Produktion von Windanlagen auf hoher See.OK, Land geht nicht, Wasser geht nicht, ... bleibt noch der Weltraum. Siemens sollte ihre Windkraftanalagen einfach im Orbit aufstellen! Gut, da gibt es keinen Wind, aber da sind noch keine Siemens-Windkraftanlagen ausgefallen. Ist wahrscheinlich auch besser ohne Wind. Dann verschleißt der Klump nicht so schnell!1!!
Wisst ihr eigentlich noch früher? Als Deutschland mal technologisch führend war und hochwertige Produkte hergestellt hat? Heute ist "Made in Germany" ja eher wieder ein Warnlabel, wie es ursprünglich gemeint war.
Update: Der Bosch-Artikel hat auch noch einen der schönsten Fälle von überspezifischem Dementi der letzten Jahre:
Dem SWR liegt ein Dokument vor, in dem beschrieben wird, dass 2017 an der Khatam-Universität in Teheran eine Schulung von "Bosch Security" und einem iranischen Vertriebspartner organisiert worden sei. Thema war demnach unter anderem die "Gesichtserkennung"
[...]
Gleichzeitig schreibt das Unternehmen, dass ihre Kameras nicht für eine vollautomatische Gesichtserkennung genutzt werden könnten, da die Software zur biometrischen Gesichtserkennung nicht auf den Kameras vorinstalliert sei.
Wartet. Das war es noch nicht. Aber das ist auch sehr geil, denn natürlich kann man mit einer Kamera Gesichtserkennung machen, ohne da Software drauf installieren zu müssen. Das hätte Bosch gerne, dass man ihre Software kaufen muss, aber muss man natürlich nicht. Jetzt zum überspezifischen Dementi:
Weiter heißt es in dem Schreiben von Bosch: "Kein Mitarbeiter von Bosch hat jemals eine Schulung für "face recognition" an der Khatam University durchgeführt."
*kicher*
Für einen Lacher am Rande lest noch kurz, was für Bosch hier das eigentliche Problem ist:
Kein Verstoß gegen Sanktionen
DAS ist, was Bosch hier wichtig findet. Nicht etwa, dass religiöse Fundamentalisten mit ihrem Gerät Frauen unterdrücken. Nein. Dass sie die US-Sanktionen nicht gebrochen haben! Im Sanktionen nicht brechen waren wir Deutschen ja schon immer Spitze. Damals, als wir Giftgas-Vorläufer an den Irak geliefert haben zum Beispiel.
Update: Humoristisch hochwertig finde ich auch die Position von dem Amnesty-Typen in dem Bosch-Artikel, der meint, man müsse sicherstellen, dass seine Technik nicht zur Begehung von Menschenrechtsverletzungen verwendet werden. Was genau stellt der sich denn vor, was man mit Überwachungskameras anstellen kann, was keine Menschenrechtsverletzung wäre? Gen Himmel richten und Wolken filmen?
Wer sich jetzt denkt: Ich mache keine Hardcore Mathe und Bitcoins mine ich auch nicht, das betriff mich nicht! Für den habe ich schlechte Nachrichten. Schon simple String-Funktionen wie strlen benutzen heutzutage Vektorregister. Sogar dietlibc.
Allerdings benutzt dietlibc nicht AVX2, daher wird zumindest dieser Exploit keine Strings leaken. AMD hat einen Microcode-Patch veröffentlicht. Hoffentlicht macht der nicht alles langsamer wie damals die Spectre-Microcode-Patches von Intel.
Rückblickend muss man noch mal festhalten, dass Komplexität der Feind ist. Auch hier wurden die Algorithmen in den CPUs wegen der Spekulation so komplex, dass die Ingenieure sie nicht mehr völlig durchschaut haben. Und so haben sich Hard- und Software angenähert. Alle setzen Dinge ein, die sie nicht verstehen, und selbst die ursprünglichen Entwickler verstehen den Scheiß nicht mehr.
Update: Die Patches sind nur für EPYC verfügbar. Consumer-CPUs müssen bis Ende des Jahres warten. Ja geil, AMD. So macht man sich Freunde. (Danke, Björn)
The Qualys Threat Research Unit (TRU) has discovered a remote code execution vulnerability in OpenSSH’s forwarded ssh-agent.
The StackRot vulnerability has been present in the Linux kernel since version 6.1 when the VMA tree structure was changed from red-black trees to maple trees.Die Hybris dieser Leute immer, etablierten Code wegzuschmeißen, weil sie ja so viel schlauer sind als alle vor ihnen.Und dann erst mal Bugs einbauen, die der alte Code nicht hatte. Klar.
OpenSSL hat eine Funktion namens OPENSSL_cleanse(ptr,len). Das ruft man auf Buffer auf, die gleich out of scope gehen, damit kein Schlüsselmaterial im Speicher rumliegt. Smarte Defense-in-Depth-Maßnahme. Inhaltlich ist das bloß ein memset(ptr,0,len).
Vor ein paar Jahren fiel auf, dass Compiler unter anderem die Funktion haben, sogenannte Dead Stores wegzuoptimieren. Das hier ist z.B. ein dead store:
void foo() {
int i;
for (i=0; i<5; ++i) {
puts("huhu");
}
i=0; /* Hat keine Auswirkungen, kann weg */
}In welchem Kontext benutzt man jetzt OPENSSL_cleanse? In so einem hier:char key[128]; [...] OPENSSL_cleanse(key,sizeof(key)); return 0; }Wenn der Compiler versteht, dass OPENSSL_cleanse keine Seiteneffekte hat außer key zu überschreiben, dann ist das ein klarer Fall für die Dead Store Elimination. Ähnlich sieht es mit einem memset() vor einem free() aus.
Das ist vor ein paar Jahren aufgefallen, dass Compiler das nicht nur tun können sondern sogar in der Praxis wirklich tun. Plötzlich lagen im Speicher von Programmen Keymaterial herum. Also musste eine Strategie her, wie man den Compiler dazu bringt, das memset nicht wegzuoptimieren. Das ist leider in portablem C nicht so einfach. Hier ist, wie ich das in dietlibc gemacht habe:
1 #include <string.h>
2
3 void explicit_bzero(void* dest,size_t len) {
4 memset(dest,0,len);
5 asm volatile("": : "r"(dest) : "memory");
6 }Das magische asm-Statement sagt dem Compiler, dass der Inline-Assembler-Code (der hier leer ist) lesend auf dest zugreift, was er aber nicht tatsächlich tut. Damit ist der memset kein Dead Store mehr und bleibt drinnen. Leider ist das asm-Statement eine gcc-Erweiterung (die aber auch clang und der Intel-Compiler verstehen).Hier ist die Lösung von OpenSSL:
18 typedef void *(*memset_t)(void *, int, size_t);
19
20 static volatile memset_t memset_func = memset;
21
22 void OPENSSL_cleanse(void *ptr, size_t len)
23 {
24 memset_func(ptr, 0, len);
25 }Die Idee ist, memset nicht direkt aufzurufen sondern über einen Function Pointer. Wenn man den volatile deklariert, dann muss der Compiler annehmen, dass sich der Wert asynchon ändern kann. Kann er aber nicht, weil da nie jemand was anderes als memset reinschreibt. Das kann gcc leider erkennen, weil die Helden von OpenSSL das static volatile deklariert haben, und es damit nur innerhalb dieser Compilation Unit sichtbar ist, und da sind keine anderen Zugriffe. Niemand nimmt auch nur die Adresse davon.Wenn ich das mit einem aktuellen gcc 13.1 übersetze, kommt eine Zeiger-Dereferenzierung heraus. Aber in dem Binary kommt ein ... inline memset raus. Die haben ihr altes OpenSSL mit einem alten gcc gebaut.
Gut, der alte gcc ist nicht schlau genug, dann Calls zu OPENSSL_cleanse wegzuoptimieren, insofern ... Operation erfolgreich?
Ich blogge das hier, damit ihr mal gehört habt, dass es im Umgang mit immer schlauer werdenden Compilern Untiefen gibt, die man möglicherweise intuitiv nicht auf dem Radar hat.
Update: Wenn ihr in eurem Code das Problem habt, könnt ihr explicit_memset nehmen, das setzt sich gerade unter Unix durch, oder explicit_bzero, das kam von den BSDs, oder memset_s unter Windows. Die Situation ist immer noch insgesamtn unbefriedigend.
Update: Mit C23 kriegen wir dann endlich memset_explicit. Ist dasselbe wie explicit_memset. Habe ich gerade mal in dietlibc eingepflegt.
Das fragt ihr euch doch auch, oder?
Nun, hier ist eine kurze Durchsage des Premierministers von Australien dazu:
JOURNALIST: In your experience, do you think that Australians understand the challenges we really face when it comes to cyber security?[...]PRIME MINISTER: [...] We need to mobilise the private sector, we need to mobilise as well consumers. We all have a responsibility. Simple things, turn your phone off every night for five minutes. For people watching this, do that every 24 hours, do it while you’re brushing your teeth or whatever you’re doing.
Gut, dass wir das mal geklärt haben.Wisst ihr was? Wenn das gut für die Sicherheit ist, dann schalte ich gleich mal ab. Und zwar nicht nur 5 Minuten. 10 Minuten!!
Mal ohne Scheiß jetzt: Das ist natürlich so erstmal Blödsinn. Was der sagen wollte, ist dass mal Geräte für Betriebssystemupdates gelegentlich mal booten muss. Üblicherweise fragt einen der Updater dann, ob jetzt genehm wäre, und dann sagt man: Ja. Und zwar sofort, wenn man gefragt wird, sagt man das.
Ab und zu mal eine App neu starten schadet auch nicht, aber nutzt im Allgemeinen auch nichts. Es gibt ein Szenario, wo das nutzen kann, nämlich wenn jemand einen Exploit in die App lädt aber nicht auf Platte schreibt.
Leider wissen die meisten Leute nicht, wie man Apps beendet, weil das nicht Teil des von den Herstellern gewünschten UIs ist. Google und Apple wollen es ja gerade so aussehen lassen, als müsse man sich um derlei Details nicht kümmern. Apps werden im Hintergrund geschlossen und neu gestartet, und speichern ihren Zustand solange im System.
Insofern ist das nicht völlig blöde, sein Telefon ab und zu zu booten. Aber viel wichtiger wäre, dass man alle Updates eingespielt hat. Und DAS macht Google ja schlicht nicht. Absichtlich nicht. Damit ihre "Partner" schön immer wieder neue Android-Schrottgeräte die Pipeline runter drücken können, die Android-Kunden dann kaufen müssen; weil es für das alte Gerät keine Updates mehr gibt.
Wenn wir doch nur eine europaweite Union hätten, die derartig umweltzerstörendes Verhalten verhindern könnte mit Regulierungsbehörden oder so!1!!
You had ONE job!
Ich habe ja gerade mal herauszufinden versucht, was die eigentlich machen. Google sagt:
Fortinet bietet automatisierten Security-Betrieb in einer konsolidierten Cyber-Sicherheitsplattform.Hmm hmm. OK. Yes, but what do you DO?
Fortinet hilft Unternehmen, die digitale Fortentwicklung ihrer Anwendungswege in die Cloud, aber auch zwischen und über Clouds hinweg zu sichern.Hmm hmm. OK. Yes, but what do you DO?
Die Fortinet Security Fabric integriert branchenführende Sicherheitslösungen, die einen umfassenden Einblick in die IT-OT-Angriffsfläche ermöglichen.Hmm hmm. OK. Yes, but what do you DO?
Die Fortinet Security Fabric ist die leistungsstärkste Cyber-Security-Mesh-Plattform der Branche.OK. Yes. But. What. Do. You. DO?
Ich habe ja noch nie verstanden, wieso Firmen solches Goobledigook publizieren. Wollen die ihre Kunden einschläfern? Hypnotisieren vielleicht?
Noch unverständlicher ist mir, wieso Leute bei solchen Firmen kaufen. Wenn die Firma nicht mal selber sagen kann, was ihre Produkte eigentlich tun, wieso würde man die dann kaufen? Weil man mal eine Indiana-Jones- oder Lara-Croft-Phantasie ausleben will?
Oh, die Lücke. Die Lücke ist wohl ein pre-auth remote code execution in deren VPN-Modul. Also DIE EINE Sache, die der absolut maximale GAU für ein VPN-Produkt ist.
Update: Fortinet-Kunden kennen das schon. CVE 2023-25610, CVE 2022-42475. Insofern: Wer deren Produkte immer noch im Einsatz hat, hat kein Mitleid verdient.
You may already be aware of this, but HiCA is injecting arbitrary code/commands into the certificate obtaining process and acme.sh is running them on the client machine.HiCA ist eine chinesische CA, acme.sh ist ein Bourne-Shell-Client für das Letsencrypt-Protokoll.
Daher hier nochmal meine längeren Gedanken. Der Aufhänger für die ganze Geschichte war ja nicht, dass Amazon von Microservice auf Monolith umgestellt hat, sondern dass sie damit 90% Kosten gespart haben.
Natürlich kann man hier eine tolle Diskussion der Vor- und Nachteile von Modularisierung und Microservices führen. Aber geht halt am Punkt vorbei. Amazon hat das nicht aus strukturellen Gründen umgestellt, sondern weil das 90% billiger ist.
Warum ist das denn 90% billiger? Nun, dazu ein kleines Gedankenexperiment.
Nehmen wir an, ihr geht zu einem Hoster, und mietet bei dem zwei Rechner an. Die stehen am Ende im selben Rechenzentrum, und zwischen ihnen gibt es Ethernet. Der Traffic zwischen den Kisten kostet euch nichts. Denn der kostet auch den Hoster nichts. Das ist ein Kabel, ein Switch. Niemand käme auf die Idee, da einen Trafficzähler dran zu hängen, und euch eine Rechnung pro Kilobyte zu schicken.
Sagte ich niemand? Doch! Die Amazon Cloud macht das so. In der Cloud haben Amazon und co ein Nickel-and-Dime-Abrechnungsmodell etabliert, bei dem man für Dinge Rechnungen kriegt, die beim Hoster mit drin sind, und die dem Cloudanbieter keine Kosten verursachen.
Traffic zwischen den Diensten. Traffic zur Festplatte. Benutzter Platz auf der Festplatte. Sowas.
Was hier also die immensen Einsparungen verursacht hat, das war keinesfalls eine "bessere Architektur". Nein. Das war die gezielte Vermeidung von Amazons Freudenhaus-Preisstruktur. Wenn Amazon für Storage oder den Traffic zum Storage Geld sehen will, dann reduzieren wir am besten temporäre Zwischenspeicher. Wenn Amazon für den Traffic zwischen Microservices Geld sehen will, dann fusionieren wir die am besten zu einem Monolithen zusammen.
DAS ist hier passiert.
Auf architektonischer Ebene kauft man sich mit Verteilung (z.B. auf Microservices) höheren Durchsatz, aber zahlt mit steigender Latenz. Wenn die Latenz wichtig ist, dann versucht man die Pfade kurz zu halten. Wenn der Durchsatz wichtiger ist, dann zerlegt man den Prozess in mehr Stufen und baut ein Fließband-System, bei dem die Schritte entkoppelt sind, damit sie einzeln in die Breite skaliert werden können. Wenn man das geschickt macht, kann man sowohl hohen Durchsatz und geringe Latenz haben. Das ist dann aber mit Arbeit verbunden.
Die Story hier ist also meiner Ansicht nach nicht über Microservices oder Monolithen oder Modulithen, wie Kris sie nennt, sondern über Amazons Preisstruktur. Wieso das außerhalb von Amazon anscheinend niemandem auffällt, sondern wir dafür einen Blogpost von deren Videoabteilung brauchen.
Wo sind denn eigentlich die ganzen schonungslosen Analysen, ob die Dinge durch die Cloud-Migration tatsächlich billiger oder effizienter geworden sind?! Ich sehe keine davon. Weil keiner zugeben will, dass das dadurch langsamer, unzuverlässiger und teurer geworden ist, ohne irgendeinen Vorteil zu zeitigen.
Update: Ein Leser empfahl zu Amazons Kostenstruktur diese handliche Übersicht. Na dann ist ja jetzt alles klar. *gacker*
Darunter auch der Intel OEM Private Key für Bootguard.
Wenn jemandem der private key geklaut wird, dann heißt das, dass der pivate key aus dem Netz erreichbar war. Dafür alleine sollte man diese Firma direkt und für immer aus seiner Einkaufsliste streichen. Aber selbst wenn man nicht bei MSI kauft, sondern sagen wir bei Lenovo oder Supermicro: Der Key ist jetzt halt geleakt. Danke, MSI!
Update: Wobei an der Stelle nochmal der Hinweis erlaubt ist, dass ich seit Jahrzehnten sage, dass Code Signing Schlangenöl ist. Genau weil sowas geradezu zwangsläufig passiert.
Vor ca. 3 Tagen haben alle Videobrillen des kroatischen Herstellers Orqa zeitgleich den Betrieb komplett eingestellt und keiner wusste bisher, warum das so ist und wie man das behebt.Diese Videobrillen werden als Videoempfänger und Bildausgabegerät für (Hobby-) Drohnen und Flugmodelle genutzt, um die Flugmodelle aus der Pilotenperspektive zu steuern.
Für die Besitzer dieser (recht teuren, ca 600€) Geräte hieß das, dass diese an einem Sonntagnachmittag - zur besten Hobbyzeit - plötzlich gar nicht mehr fliegen konnten. Quasi die Apokalypse für den Hersteller der Videobrillen, da dieser ausschließlich von diesem einem Produkt lebt.Der Hersteller sprach erst von einem Softwarebug, der mit Zeit/Datum zusammenhängen sollte.
Mittlerweile hat sich aber herausgestellt, dass ein ehemaliger contractor von Orqa vor einigen Jahren schon eine Firmware-"Zeitbombe" in den Bootloader eingebaut hatte, die gezielt an diesem Sonntag die Hardware weltweit funktionsunfähig gemacht hat, um Lösegeld von Orqa zu erpressen - ganz unter dem Vorwand von "Lizenzkosten".
Offensichtlich wurde hier Entwicklung outgesourced und nicht weiter überprüft.Der Vorfall wurde mittlerweile von Orqa auf deren Webseite exakt so bestätigt.
Das Problem wurde bisher noch nicht behoben und die Hardware ist nach wie vor für alle Kunden funktionsunfähig.
Das dürfte außerdem meines Wissens nach einer der ersten dokumentierten Fälle von Ransomware auf Consumerhardware sein.(Unabhängig von dieser Story werden diese Videobrillen - wie viele änhliche Modelle anderer Hersteller - auch aktuell im Ukrainekrieg eingesetzt, um dort mit Sprengladungen bestückte Drohnen zu fliegen. Die Piloten dort werden von dem gleichen Problem betroffen sein, der Ransomwareangriff hat damit aber keinen direkten Zusammenhang)
Völlig überraschend, ach was sage ich! Völlig schockierend stellt sich heraus, dass Edge euren Browserverlauf nach Hause telefoniert.
Das war natürlich bloß ein bedauerliches Missverständnis, versteht sich ja von selbst.
“Microsoft Edge now has a creator follow feature that is enabled by default,” says Rivera in a conversation with The Verge. “It appears the intent was to notify Bing when you’re on certain pages, such as YouTube, The Verge, and Reddit. But it doesn’t appear to be working correctly, instead sending nearly every domain you visit to Bing.”Ein blödes Versehen! Kann jedem mal passieren!1!!
Die russischen Dienste, von denen man bis dahin nicht viel gehört hatte, haben seit dem Krim-Krieg ständig irgendwelche Behauptungen und Dokumente verbreitet, die sich dann alle als plump gefälscht herausstellten.
Die westlichen Dienste mussten sich diese Blöße nicht geben. Die geben ihre Dokumente einfach der Presse und die veröffentlicht sie dann nicht. "The Guardian has obtained documents" ist einer meiner Lieblingssprüche der letzten Jahre. In diesem Fall aber nicht der Guardian sondern die Washington Post.
Und was verbreiten sie so an Informationen? Dass der Kreml eine Antikriegs-Koalition zwischen AfD und den Wagenknecht-Linken zu bauen versucht habe.
Na DAS ist ja mal eine völlig überraschende Wendung!1!! Das ist ja genau das, was wir hören wollten! Na so ein Zufall! Na dann brauchen wir auch keine Beweise.
The documents — details of which were broadly corroborated by officials in Western governments — show for the first time the Kremlin’s direct attempts to interfere in German politics by seeking to forge a new coalition among Wagenknecht, the far left and the AfD, as well as to support protests by extremists on the left and right against the German government.Wisst ihr noch, früher? Als man von der Presse erwartet hat, dass sie der Darstellung der Regierung widerspricht? Dass sie Dinge unabhängig prüft und nicht bloß die Position der Regierung verbreitet?Die Zeiten sind vorbei.
Heute sind Aussagen von "officials in Western governments" kein Witz sondern Standard-Verhalten.
Immerhin hat die Washington Post wenigstens überhaupt rudimentär zu recherchieren versucht und allen Angeklagten kurz eine Gelegenheit zum Dementieren gegeben, die die natürlich auch alle genutzt haben.
Aber im Westen haben die Dienste da keine große Hürde zu überwinden, weil die Bevölkerung eh schon von der Presse weichgeschossen ist. Die Dienste sagen hier ja nur, was sie eh schon die ganze Zeit gesagt haben, und was die Presse auch schon die ganze Zeit sagt.
Was für ein Nothingburger diese Nummer ist, könnt ihr ja selbst kurz experimentell messen. Indem ihr die Umkehrung als Gedankenexperiment betrachtet. Russische Geheimdienste haben der FAZ Dokumente gezeigt, dass die USA Deutschland als Speerspitze der Pro-Ukraine-Koalition aufzubauen und einzuspannen versucht haben. Die FAZ hat dazu Dokumente gesehen, aber Regierungsvertreter der USA und Deutschlands dementieren.
Das neue kontaktlose Bezahlsystem fuer niederlaendische Zuege kann einfach dadurch ausgehebelt werden, dass eine temporaere Debitcard angelegt wird, geht am Smartphone. Die muss nur nach Ende der Reise, aber vor Abbuchung der Ticketkosten wieder geloescht werden. Das geht, weil in den Zuegen am Ende der Fahrt gezahlt wird, wenn man den Zielbahnhof verlaesst. Abgerechnet wird je nach Abfahrtsbahnhof.Ja gut. OK. Haben die halt übersehen. Fixt man halt kurz.
Translink, the company responsible for the app, [...] are aware of the loophole but have no plans to stop or limit abuse, stating that most travelers use public transport "in good faith."Dann bleibt das Loch halt offen, nachdem in der Zeitung steht, wie man es ausnutzt. Kostenloser ÖPNV für alle! (Danke, Thomas)
Ich zitiere mal einen Leserbrief dazu, der das ganz gut auf den Punkt bringt:
Ach kuck mal, nachdem sie tage- und nächtelang im Koalitionsausschuss rumgestritten haben, hat die Ampel einen "Durchbruch" erzielt (Lindner, FDP), "bewegt sich mit großen Schritten Richtung Zukunft" (Klingbeil, SPD) und "geht endlich Strukturreformen an" (Lang, Grüne).Also wenn DA keine Begeisterungsstürme ausbrechen, dann weiß ich auch nicht. Gut zu sehen, dass die Regierung verstanden hat, dass der Klimawandel wichtig und der Bevölkerung ein Anliegen ist. Da fühlt man sich doch hervorragend vertreten. Gut, nicht von der FDP, der SPD oder den Grünen. Von denen fühlt man sich eher verraten und in den Arsch getreten.Was steht drin? Nun, sie geben Klimaziele auf, z.B. für den Verkehrssektor (FDP), dafür dürfen Privatleute keine Öl- oder Gasheizungen mehr einbauen (Grüne), ohne dass über Zuschüsse irgendwas konkretes beschlossen wurde (SPD).
Sie bauen 144 Autobahnen aus (FDP), wollen aber vielleicht mal gucken ob man nebendran Solar bauen kann (Grüne). Sie wollen die LKW-Maut erhöhen (Grüne) und die Einnahmen der Bahn zuschießen (SPD). Das war's. Wow. So zukunftsweisend. So ökologisch. So sozial. Wow.
Wer das mit dem Solar-Gucken für unfair zusammengefasst hält... hier ist die Originalformulierung:
Bei Autobahn-Neubauten solle es künftig aber eine Prüfung geben, wie die Fläche daneben für Solaranlagen genutzt werden könne.Mehr Nebelkerze und weniger Zusage ging auf die Schnelle nicht, oder wie?
Lest euch mal den Tagesschau-Artikel ganz durch. Die eine Hälfte ist belangloses Blablah ohne echte Verpflichtungen oder gar Abschwächung von bereits versprochenen Dingen, die andere Hälfte ist ekelerregende Selbstgratulation. So muss sich das im alten Rom angefühlt haben, kurz vor dem Untergang. WIR MACHEN EINEN TOLLEN JOB HIER, LEUTE!!1!
FDP-Chef Lindner sagte: "Wir haben echte Durchbrüche erzielt, wirkliche Paradigmenwechsel, und deshalb spricht das Ergebnis einfach für sich." Grünen-Chefin Lang betonte: "Wir gehen jetzt endlich auch Strukturreformen an."Da kannste gar nicht so viel fressen, wie du kotzen müsstest.
Update: Nur Nixon konnte nach China gehen. Nur die Grünen konnten den Umweltschutz dermaßen nachhaltig zerstören.
Old and busted: Ping of Death. New hotness: Ping with Remote Code Execution! Auf einmal allen Windows-Versionen.
Die, die da nicht stehen, sind aus dem Support gefallen.
Das, falls das jemandem nicht auf Anhieb klar ist, ist das nächste Eternalblue. Das ist ein Wurm-Vektor. Da werden jetzt einmal alle Institutionen drüber geransomwared werden, weil das 3/4 mal wieder nicht patchen werden. Und am Ende wird jemand nach dem Staat rufen.
Unsere Spezies kriegt genau den Untergang, den sie verdient hat. Das war ein Unfall, dass wir am oberen Ende der Food Chain rauskamen.
Update: Grund zur Sorge ist auch, dass sie "Exploitation More Likely" sagen. Normalerweise sagen sie less likely. Die glauben also, dass das besonders leicht auszunutzen ist.
Update: Ah nee, doch nicht. Unten bei FAQ steht, dass jemand auf dem System einen Raw Socket offen haben muss. Damit ist das doch nicht automatisch ein Wurm, über den einmal die gesamte Infrastruktur hopsgenommen werden wird. Raw Sockets werden für Sniffer verwendet, oder für VPN-Implementationen, oder für Failover-Lösungen oder vielleicht Netzwerkmanagement-Software. Schlangenöl vermutlich auch. Oh und ping.
so basically the pixel 7 pro, when you crop and save a screenshot, overwrites the image with the new version, but leaves the rest of the original file in its placeDer Rest von dem Bild ist dann unter gewissen Umständen rekonstruierbar.Die Wahrscheinlichkeit dafür ist gar nicht so schlecht, wenn man z.B. ein detailreiches Hintergrundbild hat, das man mit dem Crop-Tool entfernt hat.
Das ist ja mal ein fetter Verkacker von Google, aber man kann es erklären. Erstens: Wenn du eine neue Datei schreibst, dann kann es sein, dass der Platz alle ist. Wenn du die alte überschreibst, und die neue kleiner ist (wie bei Crop zu erwarten), dann nicht.
Zweitens: Android hat da ein API verkackt. Da musste man immer "w" sagen, wenn man überschreiben wollte, und das hat sich dann plötzlich geändert, so dass man "wt" sagen musste, um auch abzuschneiden. Das Memo hat natürlich kaum jemand gekriegt dann. Nicht mal die eigenen Leute. Bonus: Die Änderung war nicht mal dokumentiert. Ja GANZ super, Google! Einmal mit Profis!
Note: Until security updates are available, users who wish to protect themselves from the baseband remote code execution vulnerabilities in Samsung’s Exynos chipsets can turn off Wi-Fi calling and Voice-over-LTE (VoLTE) in their device settings. Turning off these settings will remove the exploitation risk of these vulnerabilities.Das heißt, dass Project Zero Samsung vor drei Monaten Bescheid gesagt hat und Samsung hat das nicht gefixt sondern lieber ausgesessen.Mein Mitleid mit Samsung hält sich in Grenzen.
Alles, was die brauchen, ist eine "Bund ID".
Ja und wo gibt's die? Na da musst du entweder ein Elster-Zertifikat haben (wieso würden typische Stundenten das haben!?), oder du benutzt halt die Online-Funktion von dem verkackten Personalausweis.
Nein, wirklich! Ohne Scheiß jetzt!
Die wollen gerade alle Studenten in diesen nPA-Dreck reinnötigen, nach dem keiner gefragt hat und den keiner haben wollte und den jetzt aber trotzdem alle bezahlen mussten, weil die arme Bundesdruckerei Industrieförderung brauchte und die Behörden simulieren wollten, dass wir in diesem Lande ja auch sowas wie Digitalisierung haben.
Ein Riesenskandal, wenn ihr mich fragt.
Aber, weil ich ja hier auch einen Bildungsauftrag habe: Wenn ihr das Kleingedruckte lest, gibt es noch einen dritten Weg. Man kann sich von der Uni eine PIN ausstellen lassen.
Wer heute noch nicht dazu gekommen ist, muss sich keine Sorgen machen. Ich hab die Inbox voll mit "Passierschein A38"-Mems von Leuten, die da stundenlang in Warteschleifen hingen, um dann an Serverfehlern zu zerschellen.
Einer hing erst in der einen, dann in der anderen Warteschleife, und dann schmiss ihn das System raus, weil er zu lange für seinen Vorgang brauchte.
Digitalisierung Marke FDP. Man muss wahrscheinlich froh sein, dass da keine Blockchain beteiligt zu sein scheint. Was für elende Totalversager.
Oh, und, fürs nächste Mal. Der Staat sollte für solche Aktionen keine luschtigen Bullshit-Domains anmelden, sondern das sollte eine Webseite unter einer wohlbekannten Ministeriums-Domain sein, oder bund.de oder so. Was ist DAS denn schon wieder für eine unprofessionelle Elendsdreckpfuschkackscheiße alles ey!
Nee, diesmal keine Sicherheitslücke im Code, sondern im Kopf. Github hat den Maintainer rausgeschmissen und die Repositories zu Waisen gemacht.
Eine Begründung gab es keine.
Aber schaut mal, ob ihr vielleicht selbst drauf kommt, wenn ich euch sage, dass der Typ "Alexander Amelkin" heißt und in Moskau wohnt.
Die Referenzimplementation hat einen Integer Overflow.
Die Cloud ist sicher, müsst ihr wissen. Und außerdem verschlüsseln wir ja zur Sicherheit in der Cloud.
Aber keine Sorge. Die Firma hat jetzt nachgebessert.
Das Unternehmen gibt an, betroffene Kunden mit Tipps zur Absicherung ihrer Accounts kontaktiert zu haben. Zusätzlich versichern sie, die Passwörter und MFA von einigen Kunden zurückgesetzt zu haben. Zudem haben sie eigenen Angaben zufolge deren Accounts automatisch auf eine Identity Management Platform mit erweiterten Schutzregeln migriert.Mit mehr Cloud-Bullshit.
Beide Sprachen haben meteorenhafte Aufstiege hingelegt, bei denen man vielleicht vergessen kann, dass die noch relativ jung sind und noch mit Kinderkrankheiten zu rechnen ist.
Das ist bemerkenswert, denn Threema hat bereits mehrere Audits hinter sich. Die haben aber offenbar eher auf Code-Qualität als auf die Protokolle geguckt, jedenfalls haben die diese Probleme nicht gefunden.
Threema hat in der Zwischenzeit ein neues Protokoll ausgerollt, das Forward Secrecy für die E2E-Krypto schaffen soll. Das war aber noch nicht Teil dieses Audits, kann also auch noch Probleme dieses Kalibers haben.
Sehr schön finde ich, dass hier wirklich ein Audit des Protokolls durchgeführt wurde, nicht bloß jemand einen Fuzzer laufen gelassen hat, wie es heute üblich zu sein scheint, besonders in akademischen Umgebungen, wo man so schnell und leicht Papers und Aufmerksamkeit generieren kann.
Ich mag auch die Lessons Learned von dem Team, u.a. "ordentliche Crypto-Libraries wie NaCl nehmen macht noch kein sicheres Protokoll". Und dann kommt folgende Lektion, die ich sehr wichtig finde:
Proactive, not reactive security: our inability to find an attack on a protocol does not imply it is secure. New attacks could be found at any moment and known attacks only get stronger over time if left unaddressed. Often, secure systems and protocols follow a design-release-break-patch process (a reactive approach). This is inconvenient for users and often requires the maintenance of backwards compatibility. Developers should instead adopt a proactive approach, where the system or protocol is formally analyzed during the design stage.Ob nun formale Beweisführung hilft, sei mal dahingestellt. Ich bin da eher zurückhaltend in meinen Erwartungen, denn wenn der Beweis komplexer ist als das Protokoll, wieso trauen wir dann dem Beweis, wenn wir dem Protokoll nicht getraut haben?Aber dass man Dinge vielleicht mal vor dem Release ordentlich machen sollte, und nicht diesen agile "ja klar ist es Scheiße aber wir patchen dann halt die übelsten Wunden im Feld nach" hat jetzt meiner Meinung nach echt genug Schaden angerichtet und kann mal in Rente gehen.
Wenn ihr Papers lesen könnt, lest nicht nur die Webseite sondern auch das Paper. Die kryptografischen Fehler, die die gemacht haben, sollten alle in ihr Repertoire aufnehmen, damit die niemand nochmal macht. Threema hat eine Stellungnahme veröffentlicht, die so defensiv geschrieben ist, dass sie es schafft, den Laden noch schlechter aussehen zu lassen als er eh schon rüberkam. Sie hätten auch einfach sagen können: Die Findings sind valide, wir haben Fehler gemacht, und es tut uns leid. Wir geloben Besserung. Stattdessen lauter "das ist doch bloß theoretisch" und "das betrifft die aktuelle Version nicht" (die, die nach dem Melden dieser Lücken veröffentlicht wurde!).
Ich weiß nicht, wie ihr das seht, aber ich erwarte von meinem sicheren Messenger, dass der Hersteller nicht herumverhandelt und kleinredet, wenn Lücken gefunden werden, sondern die fixed und ein Post-Mortem veröffentlicht, wie das durch ihre QA kommen konnte.
Aber was folgt daraus? Es nicht mehr machen, weil es sinnlos ist? Lieber die Täter verfolgen? Nein, nicht doch! Man findet einfach einen uninformierten Richter in Frankfurt, und der sagt dann einfach: Twitter hätte auch "kerngleiche" Aussagen anderer finden und löschen müssen.
Nur dass wir hier mal eines ganz klar ansagen: Der Staat hat die Aufgabe, sowas zu ahnden. Nicht Twitter. Der Staat war 20 Jahre lang besoffen am Steuer, fuhr gegen einen Baum, und sitzt seit dem tatenlos in der Ausnüchterungszelle. Dort hat er auf den Boden gekotzt und gekackt und jetzt sagt er einfach: Twitter soll das wegmachen. In der Schule hat man dafür die Note 6 eingeführt. Nicht nachweisbare Leistung.
Wie soll Twitter das anstellen? Eine "kerngleiche Aussage" zu finden ist ein ungelöstes Problem! Das gelingt nicht mal ausgebildeten Menschen zuverlässig! Das wird hier einfach im Nebensatz von Twitter gefordert?! Beispiel: "Friedhelm hat pädophile Tendenzen" wäre eine ehrverletzende Aussage, die zu entfernen wäre. "Friedhelm mag kleine Kinder" ist je nach Kontext dieselbe Aussage. Der Interpretationsspielraum ist beliebig ausweitbar.
Oder man könnte einen Code machen, wie das ja unter Nazis angeblich üblich ist, "18" als Chiffre für "Adolf Hitler" (nach der Position der Anfangsbuchstaben im Alphabet). Was wenn sich jetzt die Gruppe einigt, "FPT" zu tweeten? Einfach die Anfangsbuchstaben nehmen. Alle wissen, was und wer gemeint ist, aber der Name taucht nicht auf.
Der Richter hat keinen Bock, such auch nur oberflächlich mit dem Thema zu beschäftigen, und sagt einfach: Nicht mein Problem. Twitters Problem.
Liebe Leute, abstrahiert das mal bitte gedanklich von Twitter. Das trifft eure tolle neue Mastodon-Instanz genau so. Nur weil Twitter scheiße ist und alle plötzlich merken, dass Twitter Scheiße ist, heißt das nicht, dass eine Regel gegen Twitter eine gute Idee ist.
Ich zitiere mal, was das Gericht zu seiner Verteidigung zu sagen hat:
Betroffen davon seien nur solche Kommentare, "die als gleichwertig anzusehen sind" trotz gewisser Abweichungen. Die Überwachungspflicht gilt dem Urteil (Az.: 2-03 O 325/22) zufolge unabhängig davon, von wem die Äußerung stammt. Entscheidend für den rechtsverletzenden Charakter seien der Inhalt und der Kontext, nicht das genutzte Konto. Sonst könnte die Auflage leicht umgangen werden.JA GENAU, IHR SPEZIALEXPERTEN! "Löschen" und "sperren" war schon immer eine völlig bekloppte Idee. Und wisst ihr, wessen Idee das war? Nicht Elon Musks. EURE! Aber auf mich hört ja keiner.
Anstatt das jetzt einzugestehen, dass man jahrelang keinen Bock hatte, sich mit dem Thema zu beschäftigen, und Mist entschieden hat, fordert man jetzt einfach unerfüllbare Dinge von Twitter, weil Twitter ist ja eh unbeliebt. Soll der Elon halt mal forschen und so.
Das ist ungefähr so sinnvoll wie ein Gesetz, das dem Fluss Hochwasser untersagt. Absolut bescheuert.
Update: Habe mich mit ein paar Kumpels dazu unterhalten, und die lesen das anders. Die meinen, dass Twitter zwei inhaltlich identische Tweets von derselben Person gemeldet bekommen hat und dann nur den einen weggemacht hat. Dass es also auch hier um Notice & Takedown geht, nicht um "Twitter soll vorauseilend Tweets löschen". Sie stützen sich dabei auf den Satz, dass der Richter gesagt haben soll, es gehen eben nicht um alle zig Millionen User auf Twitter. Den hatte ich gesehen und als Zeichen für das Unverständnis des Richters gesehen, weil der Rest eben so klang, als ging es genau darum. Na mal gucken, was noch an Details rauskommt.
Richter müssen angeordnete Maßnahmen nämlich nicht begründen. Die kommen schon mit Begründung auf dem Antrag. Der Richter muss nur noch unterschreiben.
Will der Richter allerdings ablehnen, dann muss er begründen. Die Anreize für Ablehnen sind also deutlich negativ. In der Praxis wird daher so gut wie nichts abgelehnt.
Die Begründung für Accountsperren als Maßnahme ist:
Accountsperren sind wirksam, denn sie setzen keine Klarnamen voraus, erfordern keine unnötigen Überwachungsmaßnahmen, sind rechtsstaatlich sauber und zügig umsetzbar.Finde ich nicht nachvollziehbar. Wieso sollte das wirksam sein? Macht der Troll halt einen anderen Account auf. Die einzigen, die an ihren Accounts hängen, sind die Opfer, die da soziale Netze mit aufgebaut haben. Marodierende Trolle haben keine Netze, die ihnen wertvoll wären. Jedenfalls nicht auf den Plattformen, auf den sie herumtrollen.
Es gibt natürlich auch auf den Plattformen Leute, die Freunde haben, und die das Verlieren ihres Accounts inkommodieren würde. Das sind aber nicht Hassredner sondern Leute, deren Meinung einem nicht gefällt. Die sind gefälligst auszuhalten in einer fucking Demokratie!
Und wenn sie jemanden tätlich bedrohen oder beleidigen, den Holocaust leugnen oder zu Pogromen aufrufen, dann IST DAS JETZT SCHON STRAFBAR.
Lasst mich mal kurz skizzieren, wie ein Rechtsstaat reagieren könnte. Du beleidigst mich. Ich erstatte Anzeige. Die Polizei geht zu dem Plattformbetreiber und erklärt Interesse an dem Account. Das nächste Mal, wenn den jemand benutzt, gibt der Betreiber die IP an die Polizei weiter, die holt sich damit die Identität vom Internetprovider, und dann kriegt derjenige ein ordentliches Verfahren.
Hilft natürlich nicht gegen ausländische Trollfarmen und Trolle, die immer per Tor o.ä. "arbeiten". Bei denen kann man dann von mir aus eine Accountsperrung vornehmen, aber hilft halt genau gar nichts. Machen die sich halt neue Accounts auf.
Ja aber Fefe, was wenn derjenige einfach behauptet, er sei gehackt worden, er war das gar nicht? Dann lacht man ihn aus und nimmt ihn in Störerhaftung. Wieso ist das bitte bei Raubmordkopien ein völlig legitimes Mittel aber hier soll das plötzlich nicht gehen?! Im Übrigen kann man da ja auch ein bisschen Ermessensspielraum haben. Das kannst du ja an den vorherigen Äußerungen eines Accounts sehen, ob das ein Hack war oder ob der die ganze Zeit so rumaast.
Ist mir ja ein völliges Rätsel, wieso das jemand einsetzen würde. Das ist wie das Ergebnis von einem Trinkspiel, ob jemand NOCH MEHR Angriffsoberfläche in mein Arbeitsgerät eingebaut kriegt.
A remote code execution vulnerability exists in VS Code 1.71 and earlier versions for malicious notebooks. These notebooks could use command uris to execute arbitrary commands, including potentially dangerous commandsYou had me at "command url".Mit anderen Worten: Das war kein Unfall und kein Hack. Jemand hat dieses Feature für Remote Code Execution eingebaut und jetzt wundern sich alle, dass jemand darüber Remote Code Execution macht.
Ich frage mich ja bei sowas immer, wie häufig und doll eine Organisation eigentlich auf der Weltbühne verkacken muss, bevor die Leute aufhören, denen ihren Scheiß abzukaufen.
Ach komm, Fefe, da machen wir noch schnell ein paar Lagen Schlangenöl drüber, mit cloud-basierter KI zur Anomalieerkennung. Dann berichtet Heise darüber, als sei das normal, sowas zu brauchen. Und dann sind die Leute wieder eingeschläfert und kaufen die nächste Iteration von unserem Scheiß. Und auf dem Weg holen wir noch eine Schuldumkehr raus. Wie, du hattest keinen Antivirus laufen? Na DANN ist das DEINE Schuld!!1!
Die sind im August gehackt worden. Dieser neue Incident ist jetzt auf Backend-Systemen in der Cloud, die Lastpass nutzt. Stellt sich raus: Die haben nach dem letzten Incident ihre Passwörter nicht geändert.
Da willste doch Kunde sein, bei so einer Firma! Security by Yolo!
Der Bug ist ein Stack Overflow, der über das Netz ausnutzbar ist.
Eigentlich wäre dieser Bug so der übelste Fall von Sicherheitsproblem, aber er eignet sich auch zur Illustrierung von Sicherheitsmaßnahmen über die Jahre.
ping droppt als erstes seine Privilegien, nachdem es den raw socket geholt hat. Damit kriegt der Angreifer nicht mehr Root-Rechte wie früher sondern die Rechte des aufrufenden Users, hat allerdings auch Zugriff auf den offenen raw socket.
Außerdem hat FreeBSD einen Self-Sandboxing-Mechanismus eingeführt.
The ping process runs in a capability mode sandbox on all affected versions of FreeBSD and is thus very constrainted in how it can interact with the rest of the system at the point where the bug can occur.Das heißt konkret, dass ein Angreifer z.B. keine anderen Prozesse aufrufen kann, um beispielsweise eine Reverse Shell zu installieren.Auch wenn es sich häufig nicht so anfühlt, haben wir doch eine Menge erreicht über die Jahre. Nur halt nicht beim Entfernen der Bugs. Nur beim Ausnutzen-Verhindern.
OK, da muss ich ja direkt mal fragen: Warum? Seid ihr eigentlich alle bekloppt?!
Ich spreche das an, weil die Polizei Gelsenkirchen diese Story hier verbreitet hat:
Eine 23 Jahre alte Gelsenkirchenerin hat am vergangenen Samstagmorgen, 19. November 2022, 0.17 Uhr, die Polizei gerufen und eine Strafanzeige wegen Verletzung der Vertraulichkeit des Wortes gestellt. Den Beamten gegenüber gab sie an, dass ein unbekannter Tatverdächtiger Ton- und Videoaufnahmen aus ihrer Wohnung gefertigt und sie teilweise bereits in einem sozialen Netzwerk veröffentlicht habe. Für die Aufnahmen nutzte er einen Katzenfütterungsautomaten, der in der Wohnung stand und über ein Wlan-Zugang verfügt.Wenn es nach mir ginge, würde man ja aus Firmen, die sowas in Umlauf bringen, Parkplätze oder gleich Krater machen. Solange da jetzt gegen unbekannt ermittelt und dann eingestellt wird, wird das immer nur noch schlimmer werden. (via) (Danke, Christian)
Wait, what?!
Die Sklaverei gilt in den USA eigentlich nach dem Ende des Bürgerkrieges 1865 als abgeschafft. Doch mehrere US-Bundesstaaten haben Ausnahmeregelungen, die Zwangsarbeit immer noch erlaubt. So war es in Tennessee bislang legal möglich, Kriminelle zur Arbeit zu nötigen.Ja aber … das geht doch nicht? Das können wir doch nicht abschaffen? Das gefährdet unseren Wirtschaftsstandort!1!!
Update: Hey, wisst ihr was? Das wäre doch eigentlich DIE Gelegenheit, auch in Deutschland mal Zwangsarbeit abzuschaffen!
(3) Zwangsarbeit ist nur bei einer gerichtlich angeordneten Freiheitsentziehung zulässig.
Ach komm, Fefe, die Klausel nutzt doch niemand! Wir sind doch eine aufgeklärte Gesellschaft, wir haben doch keine Zwangsarbeit!? Der Wissenschaftliche Dienst des Bundestags klärt auf:
Lediglich in den Ländern Brandenburg und Rheinland-Pfalz ist abweichend hiervon festgelegt, dass Gefangenen Arbeit nur auf Antrag oder mit ihrer Zustimmung zugewiesen werden soll.
Ja das geht ja auch nicht. Die Abschaffung von Sklaverei gefährdet unsere Wirtschaftsstandort!
Wegen, äh, *papierraschel* zu wenig Nachfrage.
Die User so: Das war hinter einem Experimental-Switch, von dessen Existenz der Normaluser nichts wusste.
Ja aber Fefe, wieso interessierst du dich denn für Chromium? Du benutzt doch Firefox! Nun ja, immer wenn Chrome etwas verkackt, verkackt Firefox es noch krasser. Bei Firefox gibt es auch JPEG XL, aber es ist auch hinter einen Experimental-Switch, von dem die meisten Leute nichts wissen, und jetzt der Teil, den Firefox noch krasser verkackt als Chrome: Den anzumachen hilft nicht. Man muss auch die Nightly-Version von Firefox einsetzen. Die Normal-Version hat den Switch aber er bewirkt nichts.
Ach naja, wer braucht denn JPEG XL, es gibt doch noch AVIF und HEIC!
Ja schon, aber HEIC kann kein Browser und AVIF wird zwar weitgehender unterstützt aber es wo man ein 1080p JPEG nach JPEG XL in einer Sekunde umwandeln kann, braucht AVIF eher so eine Minute (natürlich je nach Hardware, die man drauf wirft).
In diesem Sinne war JPEG XL tatsächlich der Hoffnungsträger. Der klare Gewinner unter den Formaten. HEIC hat auch noch ein Patentproblem übrigens.
HEIC kommt von der Patentmafia, JPEG XL kommt von den Leuten hinter JPEG, und AVIF kommt von Google.
Wir haben hier also mal wieder einen klaren Fall von Monopolmissbrauch. Wisst ihr, was wir mal bräuchten? Eine Behörde, die sowas verhindert! Ihr wisst schon, sowas wie die Inder haben.
On vulnerable systems, CVE-2022-35737 is exploitable when large string inputs are passed to the SQLite implementations of the printf functions and when the format string contains the %Q, %q, or %w format substitution types. This is enough to cause the program to crash. We also show that if the format string contains the ! special character to enable unicode character scanning, then it is possible to achieve arbitrary code execution in the worst case, or to cause the program to hang and loop (nearly) indefinitely.
Nach ein bisschen herumprobieren kommt raus, dass dasselbe clang-Binary aus dem Build-Verzeichnis aufgerufen funktioniert, aber der holt sich sein xmmintrin.h auch aus dem Build-Verzeichnis. Mein Produktions-Bleedinge-Edge-clang ist in /opt/llvm und das ist aus einem Squashfs mit zstd gemountet.
Stellt sich raus: Wenn ich das Binary aus dem Buildverzeichnis aufrufe, aber per -I xmmintrin.h aus dem squashfs hole, dann platzt das.
Diese Konstellation habe ich seit Jahren auf anderen Geräten im Einsatz. Der Unterschied ist, dass das neue Gerät AVX512 kann.
Meine Arbeitshypothese ist gerade, dass squashfs+zstd im Kernel AVX512 benutzt und damit Register im Userspace übernagelt. Ich erinnere mich dunkel an eine "ist das gültiges UTF-8"-Implementation mit AVX512 von diesem einen kanadischen Professor und seiner Arbeitsgruppe. Jetzt habe ich jedenfalls clang ohne squashfs installiert und es läuft sauber durch.
Das finde ich ja mal äußerst beunruhigend hier gerade. Wenn das stimmt, habe ich mit den Auswirkungen noch mal mehr als Glück gehabt.
Update: Stellt sich raus: Das Problem tritt auch ohne AVX512 auf. Das hat nichts damit zu tun. squashfs ist gerade (Linux 6.0) kaputt.
It would appear that there is a set of memory-related vulnerabilities in the kernel's WiFi stack that can be exploited over the air via malicious packetsJa super!
In Russland werden schon eine ganze Weile durchsichtige Wahlurnen benutzt. Auch diesmal waren diese reichlich in Videos (bspw. auf dem RT-Kanal auf Odysee) zu sehen.Die Wahlurnen sind verplompt und ganz bewußt aus tranparentem Material hergestellt.
Damit ist jederzeit ersichtlich, dass es keine doppelten Böden gibt, zwischenzeitlich Wahlzettel verschwinden oder in Massen heimlich hizugegeben werden, Wahlurnen bei der Auszählung nicht komplett entleert werden...
(Und ja, auch die anwesenden internationalen Wahlbeobachter fanden die Wahlurnen gut.)Da man auch dort üblicherweise seinen Stimmzettel faltet, bevor man diesen in die Wahlurne gibt, verstößt da auch nichts gegen irgendein Wahlgeheimnis.
Update: Ach und wisst ihr, wo noch mit einer durchsichtigen Urne gewählt wird? Kommt ihr NIE drauf!
Update: Oh und hier ist noch jemand, der mit durchsichtigen Wahlurnen wählt.
libexpat before 2.4.9 has a use-after-free in the doContent function in xmlparse.cTauschen wir aus, läuft alles wieder? Nee, expat wird gerne und häufig in andere Projekte übernommen. Die haben dann eine verwundbare Kopie in ihrem Source Tree. Einfach die Shared Library updaten ist möglicherweise nicht genug.Wisst ihr, ich beobachte ja mit einer gewissen Genugtuung die Supply Chain-Panik um mich herum gerade. Ich hab das schon immer so zu halten versucht, dass ich möglichst wenige externe Libraries reinnehme in meine Projekte. Als ich mal XML parsen musste, habe ich mir daher lieber selbst einen nicht-generischen recursive descent-Parser geschrieben.
Der kann nicht allgemein XML parsen sondern nur die konkrete Ausprägung, und kann auch ganz viele Dinge nicht, z.B. keine Element Expansion, keine Schema-Validierung (das Schema ist hart einkodiert), hat keine Rekursionstiefeprobleme, etc pp.
Was habe ich dafür geerntet, von Leuten, denen ich das erzählt habe? Augenrollen. Wieso DAS denn, Fefe? Nimm doch expat!
Wobei expat zumindest von der Größe her tatsächlich relativ attraktiv aussah. libxml alleine ist größer als der Rest meines Projektes.
Tja, und so sitze ich jetzt hier, gucke mir eure Supply-Chain-Apokalypse an, und bin mit meinen eigenen Projekten nicht betroffen. Indirekt bin ich natürlich doch betroffen, denn ich verwende Firefox, und Firefox verwendet expat.
Seufz.
Nun, da gibt es ein Update. Die verwenden ja eine sogenannte qualifizierte digitale Signatur, was ein gesetzlich geregelter Fachbegriff ist. Da hat man eine Smartcard und einen Kartenleser und lauter staatlich zertifizierte Zertifikate und so weiter, ein Riesenbrimborium. Aber dafür ist das am Ende gesetzlich einer handschriftlichen Unterschrift gleichgesetzt.
Die beA-Karten müssen gerade alle getauscht werden. Denn das Verfahren wird jetzt auf eine "Fernsignatur" umgestellt. Also ich weiß ja nicht, wie euch das geht, aber das Wort gruselt mich schon. Fern heißt ja, dass das eben nicht mehr der Anwalt manuell signiert, sondern dass irgendein Server das signiert. D.h. jeder Hack, mit dem man sich zu dem Server durchbeißen kann, kompromittiert sofort das gesamte System. Ich frage mich ja, wer DAS Risiko abgenickt hat. Derjenige ist hoffentlich eh schon dem Ruhestand nahe.
Was ist denn die offizielle Parteilinie dazu? Nun, gucken wir doch mal:
Im Gegensatz zur kartenbasierten Signatur wird bei der Fernsignatur die qualifizierte Signatur des Unterzeichnenden von einem Vertrauensdienste-Anbieter im Auftrag der unterzeichnenden Person erzeugt.Damit führen wir eine neue Angriffsoberfläche ein.
Vertrauensdienste-Anbieter haben ein anspruchsvolles Qualifikationsverfahren beim Bundesamt für Sicherheit in der Informationstechnik (BSI) durchlaufen und entsprechen den höchsten Sicherheitsanforderungen bei der Identifizierung und Authentifizierung. Das Fernsignaturverfahren bietet damit einen größeren Schutz vor unbefugten Zugriffen und missbräuchlicher Verwendung der qualifizierten elektronischen Signatur.Das ist eine Menge Handwaving und dann eine Schlussfolgerung, bei der man auch das Gegenteil vertreten könnte auf Basis derselben Faktenbasis. Hey, die sind vertrauenswürdig, denn die haben ja schon Vertrauen im Namen!1!!
Ja aber warum machen sie das denn überhaupt? Lief doch endlich halbwegs gerade?
Der Technologiewechsel ist notwendig, da das genutzte Betriebssystem für die derzeitigen beA-Karten zum Jahresende 2022 die sicherheitstechnische Zulassung verliert und darüber hinaus bei einer Vielzahl von Anwältinnen und Anwälten die sich auf der beA-Karte befindenden Zertifikate ablaufen.Dass die Zertifikate ablaufen ist eine Nebelwand. Lasst euch davon nicht verarschen. Der erste Teil ist der wichtige Teil. Die haben da Schrott-Komponenten im Einsatz, weil jemand bei der Planung verkackt hat.
Ja gut, aber das beA ist ja die ganze Zeit schon ein Desaster. Wieso erzähle ich das hier? Weil sie das Ausrollen der neuen Karten direkt voll verkackt haben.
Wie sich herausstellt, können Anwält:innen mit der neuen beA-Karte nicht mehr qualifiziert elektronisch signieren – soweit dafür eine Schnittstelle mit der Kanzleisoftware verwendet wird. Auch die Kommunikation mit Behörden ist dadurch stark eingeschränkt. Qualifizierte elektronische Signaturen sind nur noch über den Web-Client möglich.Ach komm, Fefe, welche Kanzlei verwendet denn schon Kanzlei-Software!1!! Besonders humoristisch wertvoll ist die Stellungnahme der Anwaltskammer. Die meint jetzt nämlich, naja, da müssen dann halt die Softwarehersteller ran. Wir sind nicht in der Pflicht, denen ihre Software auf unser neues Verfahren zu hieven!1!! Wir helfen gerne, bieten sie an, aber jetzt ist das zeitlich ja eher sportlich würde ich sagen.
Den "uncoolsten" Umgang mit einer beziehungsweise mehreren Schwachstelle(n) muss sich in diesem Jahr Google vorwerfen lassen. Sein Top-Security-Team "Google TAG" erhielt den "Lamest Vendor Award", einen Preis, der bei Fans der Pwnie Awards besonders beliebt ist. Durch das Schließen von elf Zero-Day-Schwachstellen torpedierte das Google-Team eine laufende Anti-Terror-Operation westlicher Geheimdienste ("unilaterally shutting down a counterterrorism operation").Wat? Alter, tickt ihr noch richtig oder was?!
Wir sind hier die Guten und daher ist es lame, von uns ausgenutzte Sicherheitslücken zu schließen?!
Fuck you!
Da merkst du halt, dass die Szene bei den Amis zum Gutteil aus FBI, NSA oder CIA besteht. Da können die hundertmal "Ex-" sagen, den Gestank wirst du halt nicht durch Erklärung der Beendigung des Arbeitsverhältnisses los.
Nein, Leute, Sicherheitslücken gehören sofort zugemacht. Alle. Für jeden.
Nun, der installiert einen Backdoor-Admin-Account mit hartkodiertem Password.
Was hat Atlassian zu ihrer Verteidigung vorzubringen?
This account is intended to aid administrators that are migrating data from the app to Confluence Cloud.Oh ach soooo ist das! Wir machen die On-Prem-Geschichten schrittweise immer kaputter, bis auch der letzte von euch renitenten Pennern endlich unser Cloud"angebot" annimmt!1!!
The CVE-2022-28219 vulnerability enables malicious actors to easily take over a network for which they already have initial access. Malicious actors could exploit this vulnerability to deploy ransomware, exfiltrate sensitive business data, or disrupt business operations.They could also then go on to exploit XML External Entities (XXE), Java deserialization, and path traversal vulnerabilities to wreak additional havoc, according to an in-depth analysis this week by Horizon3.ai.
Das ist nicht gut, wenn der Bericht nach "da kann jemand alles kopieren und verschlüsseln" noch weiter geht. (Danke, Manuel)
Update: Betrifft nur OpenSSL 3.0.4, das gerade erst rausgekommen ist. Der kaputte Code kam auch erst kurz vor Release rein. Die haben also immer noch keine Qualitätssicherung bei OpenSSL. Seufz.
Praktisch alle Firmen sind heute in der Cloud, zumindest über Office 365. Trotzdem haben die alle Ransomware.
Glaubt das mal bitte keine Sekunde, dass euch die Cloud schützt.
Hat die Cloud denn Security-Vorteile? Kommt drauf an. Wenn ihr eure Patches nicht einspielt, dann ja.
Wieviel Zeit habt ihr für das Einspielen der Patches? 24h. Nach initialer Verfügbarkeit des Patches. Nicht nachdem ihr ihn zuerst wahrnehmt. Solange dauert das für einen guten Hacker, um aus einem Patch einen Exploit zu reverse engineeren. Ransomware ist profitabel. Die können sich gute Hacker leisten.
Müssen sie aber im Allgemeinen gar nicht, denn ihre "Kunden" sind alle so freundlich, Wochen bis Monate (bis Jahre!) zu warten mit dem Einspielen von Patches für bekannte und anderswo bereits fröhlich ausgenutzte Sicherheitlücken.
Das ist eine Webseite, wo man zusammen mit anderen Leuten an kurzen Texten schreiben kann, alle können gleichzeitig daran schreiben und sehen in Echtzeit die Änderungen.
Der Clou allerdings: Der Inhalt ist verschlüsselt, und der Schlüssel wird als Teil der URL unter den Mitschreibenden verteilt, und zwar so, dass der Schlüssel-Teil nicht beim Server ankommt.
Das ist also eine Infrastruktur, bei der man ungestört an Texten arbeiten kann, ohne dass der Server sieht, was man da genau schreibt.
Warum würde man sowas bauen? Nun, in erster Linie baut man sowas, weil man Privatsphäre-Aktivist ist, und weil dann eine Server-Beschlagnahme offensichtlich sinnlos ist. Die Software loggt natürlich auch nichts, aus genau dem Grund.
Die Piratenpartei hat eine Instanz von Cryptpad bei sich laufen gehabt, für die Öffentlichkeit. Also nicht versehentlich für die Öffentlichkeit. Absichtlich offen für alle. Das wurde dann natürlich relativ breit genutzt, angeblich auch beim Leaken von G7-Dokumenten.
Tja und was macht die Polizei? Rennt mir vorgehaltener Waffe bei der Piratenpartei ins Rechenzentrum und beschlagnahmt den Server. Im Auftrag der Staatsanwaltschaft München, die sich dafür meiner Ansicht nach eine Auszeichnung für besonders herausragende, atemberaubende Inkompetenz verdient hat.
Ja aber warte mal, Fefe, haben Parteien nicht besondere Privilegien bei sowas? Die können doch nicht einfach bei einer Partei Server raustragen?! Ja, was soll ich euch sagen, die Piratenpartei ist auch, gelinde gesagt, überrascht gewesen, dass die Polizei da trotzdem vor der Tür stand.
Am Ende haben sie denen eine Kopie der Serverplatten mitgegeben. Da sind garantiert keine Daten drin, mit denen die ihren Fall aufklären oder auch nur die Aufklärung vorantreiben können. Aber auf dem Server lagen wohl noch andere Daten herum, Parteiinterna.
Hier ist die Pressemitteilung der Piraten dazu. Hier ist eine Pressemitteilung von Patrick Breyer, der für die Piraten im EU-Parlament sitzt.
Aus meiner Sicht ist das einer der ganz großen Skandale der Nachkriegsgeschichte in Deutschland. Eine reine Willkür-Maßnahme, um mal Macht zu demonstrieren, gegenüber vermeintlich Schwächeren, die sich hoffentlich nicht wehren werden. Ich hoffe mal, dass sich an der Stelle die Staatsanwaltschaft in den Piraten geirrt hat, und die jetzt das größtmögliche Fass aufmachen werden. Davon sollte sich sich die Staatsanwaltschaft München jahrelang nicht erholen, dass sie so tief ins Klo gegriffen haben.
Update: Das ist jetzt wahrscheinlich kein wirklich guter Anlass, um euch zu sagen, dass ihr Cryptpad auch einfach selber bei euch hosten könnt, wenn man sich damit dann den Besuch bewaffneter Polizisten einfängt. Aber falls ich euer Interesse geweckt habe: Hier ist deren Homepage und hier ist der Quellcode. Das ganze ist unter der AGPLv3-Lizenz, d.h. könnt ihr einfach so bei euch installieren und benutzen und interessierten Dritten geben.
Update: Heißt Cryptpad, nicht Cryptopad.
Update: In dem Brief des Vorstands an die Mitglieder steht, was für Parteiinterna da auf dem Server lagen: Da lagen ein paar (nicht alle!) Mitgliedsanträge herum, Anträge zur Beitragsminderung, Umzüge.
Update: Das war nicht das erste Mal, dass die Polizei bei den Piraten Server rausgetragen hat.
Splunk Enterprise deployment servers in versions before 9.0 let clients deploy forwarder bundles to other deployment clients through the deployment server. An attacker that compromised a Universal Forwarder endpoint could use the vulnerability to execute arbitrary code on all other Universal Forwarder endpoints subscribed to the deployment server.Ja Scheiße, Bernd! Hätte ich das gestern gewusst, hätte ich das in meine Folien eingebaut. Da ist eine Folie bei: Wenn Sie Network Monitoring machen, müssen Sie den Agenten und Sensoren und deren Cloud trauen. Die kommen in Ihrer Firma überall hin. Wenn die jemand hackt, der auch.Aber mir glaubt sowas ja immer keiner. Die glauben ja auch noch alle, dass Schlangenöl nicht die Angriffsoberfläche erhöht.
Update: Die Splunk-User sind gerade ziemlich angefressen. Hier eine repräsentative Mecker-Mail:
ist noch viel grossartiger.
Zusätzlich zu der verlinkten SVD-2022-0608 gibts auch noch die 607, die die Authentifizierung am Deploymentserver aushebelt. Hoppla. Die ist auch seit mindestens 2020 bekannt. Sprich: wenn ich den Deploymentserver kenne und da rankomme, dann kann ich dem, ohne selbst subscriber zu sein irgendwas unterjubeln.
Nun kommt noch obendrauf, dass die Veröffentlichung dieser Schwachstelle einherging mit der Splunkkonferenz der vergangenen Woche, auf der dann die taufrische Splunk Version 9.0.0 präsentiert wurde.
Splunk Cloud Platform (das SaaS angebot) ist nicht betroffen, aber bitte betatestet den neuen Release doch mal auf eurer Produktion.
Die Solution des Fixes wurde auch (möglicherweise mehrfach) editiert, was für mich darauf hindeutet, dass die selber erstmal gar nicht so genau wussten, was man denn nun alles updaten muss um die Schwachstelle zu beheben.
Nun und offenbar wurde die Remote Code Execution intern gefunden beim Rewrite der Security Architektur, war also vermutlich nicht wirklich bekannt. Die Schwachstelle dann mit der neuen (.0.0) Version zu veröffentlichen, die alle möglichen Kinderkrankheiten mitbringt und im Enterpriseumfeld sicherlich niemand auf Produktion nutzen will, halte ich dann auch für nen tierisch schlechten Marketing move. Die hätte man vielleicht wenigstens bis zum nächsten Minor Release, mit dem ich aus bisheriger Erfahrung mit .0er Releases im Herbst erwarten würde, vielleicht in der Schublade liegen lassen können.
(Danke, Andreas)
„Die Risikobeurteilung kommt zum Ergebnis, dass die prognostizierte Wahrscheinlichkeit eines erfolgreichen ausländischen Lawful Access in Bezug auf Daten in Geschäftsverwaltungssystemen in der Betrachtungsperiode von fünf Jahren bei 0,74% liegt. Bei diesem Wert braucht es 1552 Jahre, damit es – statistisch gesehen – mit einer Wahrscheinlichkeit von 90% mindestens einmal zu einem erfolgreichen Lawful Access kommt.„Also, äh, DA hätte ich ja gerne mal den Rechenweg gesehen.
Mal ganz abgesehen davon, dass das natürlich inhaltlich überhaupt keinen Sinn ergibt, da mit irgendwelchen Wahrscheinlichkeiten zu argumentieren, nicht nur weil es auf der absurden Annahme basiert, die US-Behörden würden ihre illegitimen Einblicke danach zugeben oder gar öffentlich dokumentieren.
Mit dem Argument bräuchte man auch keine Blitzableiter, weil Gewitter ja selten sind.
Krass. Und ich hier unsere Regierung schon für schlimm.
Update: Ich meinte natürlich den Rechenweg, wie sie auf 0,74% gekommen sind.
Update: Ein Leser meint:
Du läßt den Treppenwitz ungenutzt liegen, dass es eine unfall-VERSICHERUNG ist, die das Risiko als "höchst unwahrscheinlich" einstuft.
Ja, äh, Scheiße! Boah wie ärgerlich. Das war ja echt naheliegend und ich bin voll dran vorbeigelaufen. OK, tut mal alle so, als sei ich da drauf gekommen und nicht der Leser!
Und wenn man dann mal kurz genauer hinguckt, ist das alles genau so schlimm, wie man erwarten würde.
Zum einen betrifft die Sicherheitslücke die App "Novego: Depressionen bewältigen".Oh ja klaaaaaar, auch noch die Depressiven ausnehmen. Die haben nicht die Kraft, sich gegen Abzocke zu wehren.
Wenn ein Nutzer dieser App sich bisher seine eigenen Daten herunterladen wollte, hätte er die Nummer seiner Nutzer-ID so verändern können, dass er an die E-Mail-Adresse und den Nutzernamen anderer Patientinnen und Patienten gelangt wäre.Das ist so der dämlichste Anfängerfehler, die tiefhängenste Frucht bei sowas. Meine Güte, ey. Solche Leute sollten direkt aus dem Verkehr gezogen werden.
Aber wartet, geht noch weiter. Warum nicht auch Brustkrebsopfer ausnutzen?
Auch bei der App Cankado, die für Frauen mit Brustkrebs entwickelt wurde, war es möglich, Patientinnendaten abzugreifen.Oh haha, nee, warte, das ist ein häufiges Missverständnis. Das kann ich aufklären. Die App wurde nicht für Frauen mit Brustkrebs entwickelt, sondern für den Geschäftsführer der Firma, der sich so auf Kosten des Solidarsystems gesundstoßen will. Wer Brustkrebspatientinnen helfen will, baut keine Notizzettel-App zum Symptome notieren, sondern entwickelt neue Diagnose- und Behandlungsmethoden.
In einer schriftlichen Stellungnahme an das BfArM räumt Geschäftsführer Timo Schinköthe "ein konkretes, jedoch nicht ausgenutztes Sicherheitsrisiko" ein.Wieso wollten wir diesem Goldgräber glauben, dass er Ausnutzen des Problems erkennen würde, wenn er das Problem selbst nicht erkennen konnte?
Wartet, wird noch besser. Der Typ sieht sich hier auch noch als das Opfer!
Schinköthes App für Menschen mit Brustkrebs kostet 499,80 Euro im Quartal. Dennoch sagt er, es sei "ein reines Zuschussgeschäft", die Firma hätte "noch gar nicht die direkten Kosten erwirtschaftet", die die Entwicklung der App gekostet habe. Das liegt vermutlich auch an den bisher geringen Nutzerzahlen. Nur etwa 300 Patientinnen hätten sich die App bislang verordnen lassen, erklärt Schinköthe.Wenn ihr mich fragt: Das sind 300 zu viel.
Welcher Vollpfosten trägt denn bitte für die Idee die Verantwortung, die Krankenkassen für irgendwelche sinnlosen Apps Kohle rausblasen zu lassen?! Das ist ja fast so bekloppt wie Akupunktur und Homöopathie zu bezahlen!
PAC ist ein ARM-Feature und steht für Pointer Authentication Code.
Das Grundproblem ist, dass viele Exploits darauf basieren, einen Pointer zu überschreiben. Bei einem traditionellen Buffer Overflow auf dem Stack übernagelt man die Rücksprungadresse, die auch auf dem Stack liegt. Bei Heap-Overflows übernagelt man Zeiger in den Metadaten des Heapmanagers. Viele Kernel-Exploits basieren darauf, dass man dem Kernel einen Zeiger aus dem Userspace überhilft, wo der einen Kernel-Mode-Zeiger erwartet hat.
In der Intel-Welt sind die Gegenmaßnahmen ASLR (jeder Prozess landet an einer anderen virtuellen Adresse, damit der Angreifer die nicht vorhersagen kann und keinen funktionierenden Zeiger produziert kriegt) und dass man per CPU-Flag einschalten kann, dass User-Mode-Zeiger im Kernel generell beim Zugriff einen Fehler werfen.
In der ARM-Welt gibt es ein anderes Konzept, dass das Problem beheben soll, nämlich nutzt man "ungenutzte Bits" in Zeigern dafür, da eine Krypto-Checksumme unterzubringen. Nun sind Krypto-Checksummen normalerweise viel größer als man freie Bits in Zeigern hat, daher war meine erste Reaktion auf die Idee auch eher ablehnend, aber je mehr ich darüber nachgedacht habe, desto besser gefiel mir das. Bei ASLR hat man ja auch nicht mehr freie Bits in den Zeigern.
Es gibt zwei neue CPU-Instruktionen. Eine macht aus einem gültigen Zeiger einen "signierten", der dann nicht mehr dereferenziert werden kann. Dafür verwendet sie den Wert des Zeigers, ein Geheimnis, das vom Kernel in ein Spezialregister geladen wird dafür, und der pro Prozess anders ist, und einen dritten Wert, z.B. den aktuellen Stack Pointer. Dann gibt es eine Instruktion in die Gegenrichtung, die einen Zeiger in eine dereferenziere Form wandelt und eine Exception wirft, wenn die Signatur ungültig war.
Es gibt davon auch noch mehrere Formen für verschiedene Zeigerarten, damit man nicht einen gültigen Datenzeiger über eine Rücksprungadresse nageln kann.
Das ist jedenfalls eine eigentlich ziemlich schlaue Angelegenheit, die nur einen echten Nachteil hat: Man muss seinen Code dafür kompilieren, dass er das nutzt. Die Intel-Gegenmaßnahmen funktionieren auch ohne Neukompilieren der Programme.
Dieser PACMAN-Angriff hier behauptet, sie könnten das Geheimnis über spekulative execution herausfinden und "von außen" gültig signierte Zeiger erzeugen. Das wäre schon ziemlich doof, wenn das ginge.
Die Behauptung, als sei das M1-spezifisch, stimmt aber nicht. Das ist ein ARM-Feature, kein M1-Feature. Der Einschätzung, dass das "unpatchbar" ist, würde ich mich anschließen.
Kohlekraftwerk-Investoren wollen nicht hören, dass ihre Kraftwerke zur Rettung des Planeten abgeschaltet werden müssen.
Automobilbauer wollen nicht hören, dass ihr Verbrennungsmotorgeschäft bald weg ist.
Kreuzfahrtschiff-Passagiere und -Investoren wollen nicht hören, dass diese Schiffe so die übelsten Umweltschweine sind, die es gibt, weil die in internationalen Gewässern an keine Umweltauflagen irgendwelcher Länder gebunden sind und daher das dreckigste, billigste, überall sonst nicht mehr einsetzbare Bodensatz-Teerschlamm-Öl verfeuern. Und da ist es auch egal, wie doll der Dreck aus dem Schlot des Schiffes stinkt. Das willst du nicht wahrhaben, wenn du da Geld für einen schönen Urlaub ausgegeben hast und jetzt bitte gerne deinen schönen Urlaub haben willst.
Also konstruiert man sich irgendwelche Geschichten, um das schön klingen zu lassen. Ich fahre hier mit einer namhaften westlichen Kreuzfahrtgesellschaft, die werden schon nicht so schlimm sein wie andere. Außerdem durfte das Schiff ja in den Hafen einfahren! So schlimm kann es also nicht sein!1!!
Bei den Bitcoin-Heinis gibt es genau dieselben Abwehrreaktionen. Niemand wacht morgens auf und nimmt sich für den Tag vor, heute mal so richtig den Planeten zu zerstören. Es ist dann auch weitgehend egal, wieviele Beweise du denen zeigst.
Hier kamen zu meinem Vortrag die üblichen Mails von den üblichen Leuten mit den üblichen "Argumenten" rein. Eines der Argumente der Bitcoiner konntet ihr ja auch schon in dem Q-und-A-Teil am Ende von seriöser Bit-Bitcoin-Seite hören, direkt nach dem Krypto-Prof, als der Veranstalter der Konferenz meinte, viele der Argumente gegen Bitcoin könne man ja auch gegen Notenbanken und reguläres Fiat-Geld genau so sagen. Wer da den Hintergrund nicht hat, kann sich Alternativlos 16 anhören, da haben wir das mal aufgedröselt. Oder informiert euch bei irgendeiner Quelle, aber dann bitte bei einer seriösen Quelle, nicht bei irgendwelchen Bitcoin-Heinis :-)
Inhaltlich stimmt das natürlich, dass man mit unserem existierenden Geld und den Notenbanken unzufrieden sein kann. Gerade aktuell halten offenbar die meisten Wirtschaftsleute die Zinspolitik der EZB für falsch. Ich will mich hier nicht zum Verteidiger der EZB oder existierender Geldsysteme aufschwingen, aber zu sagen, dass Bitcoin nicht so schlimm ist, weil die anderen auch alle nicht gut sind, das ist ja wohl absolut inakzeptabel als Argument. Das gemeinsame Ziel ist hier ja wohl hoffentlich, ein gutes Bezahlsystem zu bauen, vielleicht eine gute Währung, je nach Anspruch, aber jedenfalls etwas gutes! Nicht etwas, das nicht viel schlechter ist als wir schon haben!
Das nächste Argument aus der Reihe der üblichen Verdächtigen ist: Aber Bitcoin ist ja gar nicht so eine Umweltsau, und dann irgendeine Relativierung. Eine schöne Relativierung, die ich gehört habe, ist: Bei der Ölförderung fackeln die entweichendes Gas häufig einfach ab! Damit könnte man doch Strom erzeugen und Bitcoins minen! Dann hat man damit einen Wert geschaffen und die Umweltvernichtung ist nicht schlimmer als vorher.
Ich will da mal als Metapher verwenden, dass du in einem brennenden Haus sitzt. Klar kannst du dann sagen: Jetzt kann ich BBQ machen, und spare mit die Kosten für das Brennmaterial für das Lagerfeuer!1!! Aber das ist ja wohl nicht der Vergleichsrahmen hier. Selbstverständlich will man lieber die anderen Menschen im Haus retten und vielleicht unersetzliche Wertsachen raustragen und das Feuer löschen, nicht BBQ machen.
Wenn du also siehst, dass irgendwo Erdgas abgefackelt wird, gibt es mehrere richtige Reaktionen, die deutlich mehr bringen. Du könntest daraus Wasserstoff machen. Für die Erzeugung von Wasserstoff mit Erdgas gibt es verschiedene Optionen.
DAS würde man machen wollen, wenn man irgendwo jemanden Gas abfackeln sieht! Der Wasserstoff trägt transportable Energie in sich, den karrt man zum Konsumenten. Der reine Kohlenstoff ist fest und kann dann wunderbar in irgendeinem alten Minenschacht oder so endgelagert werden.
Ja aber Fefe, die Bitcoiner haben doch einen besonders grünen Energiemix!1!! Leute, jedes Watt an regenerativer Energie, das Bitcoin verplempert, steht nicht für andere Dinge zur Verfügung, und zusammen ist das am Ende der Grund, wieso wir weiterhin nichtregenerative Kraftwerke betreiben. Die regenerative Energie liegt ja nicht ungenutzt auf der Straße! Und wenn sie das täte, dann könnte man damit z.B. per Elektrolyse Wasserstoff generieren (siehe oben).
Diese Argumentation ist so absurd, dass ich mich immer frage, ob die Leute das nicht mal zuhause vor dem Spiegel ausprobiert haben vorher. Das merkst du doch, wenn du so einen Scheiß erzählst!? "Herr Wachtmeister, das zählt nicht als Mord, denn Menschen sind ja eine regenerative Ressource!" Wat?
Im Übrigen kostet regenerative Energieerzeugung knappe Rohstoffe und setzt auch CO2 frei (in der Produktion und Installation der Anlagen). Bitcoin-Mining ist daher auch dann noch scheiße, wenn man extra dafür einen Windpark baut und dann ausschließlich mit dem davon erzeugten Strom die Miner betreibt. Denn der Windpark hätte auch eine Stadt oder zwei versorgen können. Das nennt man Opportunitätskosten in der Wirtschaft. Der Strom wäre dann nämlich nicht kostenlos sondern du verlierst die Gewinne (wirtschaftliche und andere) durch anderweitige Nutzung.
Ja aber Fefe, pass uff, wir machen das jetzt so, dass wir Bitcoin-Mining nur mit überschüssiger Energie machen, die regenerativ erzeugt wurde, aber die keiner abgenommen hat!1!! Damit fördern wir doch regenerative Energien!!
Kann man sich so zurechtlegen, aber damit zersägt ihr die Wasserstoffwirtschaft, die auch gerne die "unbenutzte" regenerative Energie aufgenommen und in Wasserstoff umgewandelt und so gespeichert hätte. Wenn die mit Bitcoin-Heinis konkurrieren müssen um die "unbenutzte" regenerative Energie, dann entsteht diese ganze Wertschöpfungskette gar nicht erst, und wir werden uns auch in 10 Jahren noch von irgendwelchen FDP-Luschen anhören müssen, dass regenerative Energien ja nicht reichen, weil nachts ab und zu kein Wind weht. Ich weiß nicht, wie es euch geht, aber ich hätte dann lieber Strom aus gespeichertem Wasserstoff als Bitcoins und Stromausfall.
Ich bin kein Verfechter von Wasserstoff, weil der Wirkungsgrad nicht gut ist. Der Wirkungsgrad von Verbrennermotoren ist auch eher schlecht, übrigens. Aber selbst ein Wirkungsgrad von 1% wäre immer noch besser als die Energie in Bitcoin-Mining zu blasen.
Update: Aber Fefe, das geht doch um Erdgas-Abfackelszenarien, wo keine andere Nutzung geht!!1! Sowas wie ... eine Bohrinsel! Oh, ach was, auf der Bohrinsel ist Platz für eine Miningfarm? Aber nicht für Elektrolyse? Ach weißte was? Komm, ich beiß an. Zeig mir doch mal die Liste mit den Miningfarmen auf Bohrinseln. Oh, es gibt keine? Na sowas!
Nee, warte, es geht nicht um Bohrinseln, es geht um Ölfelder, die GANZ WEIT ABGELEGEN sind!!1! Oh ach so. Also mit anderen Worten: Wo ganz viel Platz ist, um eine Pyrolyse zu machen?
Nee, Leute, erkennt mal bitte, wenn ihr euch gerade eure schlechten Taten schönzureden versucht. Ihr seid wir Firmen, die einen Deal mit einem Bauern am Amazonas machen. Das CO2, das der nicht emittiert, das emittiert ihr dann halt. Und dann redet ihr euch ein, klimaneutral zu sein. Ja nee, klar.
Hey, wisst ihr, wer früher auch immer argumentiert hat, dass es wirtschaftlich nicht zumutbar war, die giftigen Abwässer einfach in den Fluss zu leiten? ALLE ANDEREN. Da kam dann irgendwann der große böse Regulator und hat Umweltschutzauflagen umgesetzt.
Die Realität sieht so aus:
A Pennsylvania-based holding company called Stronghold Digital Mining is currently running a Bitcoin mining operation using the Scrubgrass power plant in Venango County, Pennsylvania, which it purchased over the summer, in 2021.
Aber Fefe, das ist doch bestimmt ein Erneuerbare-Energien-Kraftwerk! Aber ja, klar, natürlich! Ist es! Mit erneuerbarer Kohle! Musst du nur ein paar Milliarden Jahre warten, dann wächst die nach, die Kohle!1!!
Wie bei Cisco stellt sich auch bei Atlassian die Frage: WARUM?!
There are currently no fixed versions of Confluence Server and Data Center available. In the interim, customers should work with their security team to consider the best course of action. Options to consider include:- Restricting access to Confluence Server and Data Center instances from the internet.
- Disabling Confluence Server and Data Center instances.
If you are unable to take the above actions implementing a WAF (Web Application Firewall) rule which blocks URLs containing ${ may reduce your risk.
Oh wow. Einmal mit Profis.
Wie man so eine Giftpille richtig aufsetzt, demonstriert gerade Disney mit Florida. Und zwar regiert in Florida einer der übelsten Betonköpfe, die die Republicans gerade zu bieten haben. Ein schmieriger Höhlentroll namens DeSantis. Der fährt unter anderem eine transfeindliche Agenda und wollte für seinen Kollegen mal so richtig schön seine Transfeindlichkeit demonstrieren, indem er sich mit Disney anlegt, die eine eher progressive Agenda vertreten, nicht zuletzt weil die Disney-Erbin sich kürzlich als trans geoutet und DeSantis kritisiert hat.
Daraufhin wollte dieser kleine hässliche Mann Disney mal zeigen, was eine Harke ist, und brachte ins Gespräch, den Sonderstatus für den Reedy Creek Improvement District wegzunehmen. Das ist ein Deal aus den 1960er Jahren. Disney hat seinen Disneyworld-Rummelpark da im Wesentlichen im Sumpfland hochgezogen, wo vorher weit und breit nichts war. Allen war klar, dass das massiv Touristen bringen und Arbeitsplätze schaffen würde, also waren sie in einer guten Verhandlungsposition. Die haben sie genutzt, um sich da eine Kommune mit weitreichender Unabhängigkeit vom Bundesland Florida zu installieren. So unabhängig, dass Disney u.a. das Recht hat, dort ein Atomkraftwerk zu betreiben (Walt Disney war Futurist und Scifi-Fan und fand Atomenergie geil; zum Bau davon kam es aber nie). Disney kümmert sich selbst um Straßen, Strom, Feuerwehr und so, und muss dafür dann keine Steuern an das Bundesland dafür abführen.
DeSantis und seine Troglodyten haben jetzt ein Gesetz gemacht, um diesen Sonderstatus zu canceln.
Und Disney hat dann mal ihre Akten gewälzt und eine Klausel gefunden, dass Florida bei Aufkündigung des Sonderstatus etwaige ausstehende Schulden der Sonderwirtschaftszone an die Gläubiger auszahlen muss. Und das wären ungefähr eine Milliarde Dollar gerade.
Das, meine Damen und Herren, ist eine amtliche Giftpille.
Die Frage ist jetzt, wieviel Steuereinnahmen Florida aus Disney herauspressen könnte, d.h. wie schnell man die Milliarde wieder drin hätte. Das weiß ich natürlich auch nicht. Vielleicht reicht das nicht als Abschreckung. Mal gucken.
Dass ich hier mal Disney verteidigen würde, hätte ich auch nicht gedacht.
Stellt sich raus: Der EDCSA-Code im JDK 15 aufwärts wurde von C++ nach Java konvertiert und dabei ist ein relevanter Check hinten runtergefallen. Der Check ist humoristisch wertvoll. Wenn man Java-ECDSA eine Signatur gibt, die nur aus 0-Bytes besteht, dann kommt die durch. Das ist der eine Sonderfall, für den die eine Berechnung Müll liefert, daher ist der Wert als Signatur ungültig.
Den Fall hätte man halt abfangen müssen.
Auf einer Skala von 0 bis 10 hat Oracle das bloß als 7 eingestuft. ECDSA wird u.a. für JWT und Webauthn eingesetzt. Aus meiner Sicht ist das eine 10.0.
Wenn ihr also Java einsetzt, mit einem JDK 15 oder neuer, dann lasst JETZT alles stehen und liegen und spielt den Patch ein. Geht nicht über Los.
Update: Achtet mal auf die Timeline. Im November 2021 hat Oracle den Bug bestätigt und für kritisch befunden. Im APRIL haben sie den Patch veröffentlicht. Oracle hat also von einer apokalyptischen Sicherheitslücke gewusst und ihre Kunden monatelang am langen Arm verhungern lassen.
Update: ECDSA wird auch in Bitcoin verwendet.
Ich nehme an, sie haben nicht auf den Mail-Anhang geklickt. Gute Güte, diese Disziplin!
Auch bei dem aktuellen Angriff handele es sich um eine neue Schadsoftware, die in der Ukraine weltweit zum ersten Mal nachgewiesen worden sei.Oh. Nee. Sie haben doch drauf geklickt. Glücklicherweise hatten sie einen heldenhaften Schlangenölverkäufer in der Nähe, der die Gelegenheit für kostenlose PR genutzt hat!
"Die Gefahr für Energieversorger und Betreiber kritischer Infrastrukturen erhöht sich durch Industroyer2 massiv", warnt Hans-Wilhelm Dünn, Präsident des Cyber-Sicherheitsrat Deutschland e.V., in einer Stellungnahme gegenüber dem SWR.Warte mal, der Cyber-Sicherheitsrat e.V.? War das nicht diese furchtbare Lachnummer? Das Biotop, in dem der gemeine Cyberclown wachsen und gedeien kann!
Hey, diese Panikmache, haben wir es hier etwa mit dem nächsten BSI-Präsidenten zu tun?
Wie sich rausstellt: Nein! Selbst dem BSI ist das Geschwurbel der Cyberclowns zu unseriös:
Dem SWR teilte die Behörde auf Anfrage mit, eine einfache Übertragung oder Wiederverwendung bei deutschen Energieversorgern sei "unwahrscheinlich”. Das IT-Sicherheitsniveau im Energiesektor sei hoch, bisher hätten die Betreiber kritischer Infrastrukturen angemessen auf Angriffe reagiert.Wenn ihr mich fragt, haben wir es hier mit einer Debatte zu tun, in der Blinde über Farben streiten. Eine resiliente Infrastruktur erkennst du nicht daran, dass sie "angemessen auf Angriffe reagiert", sondern dass sie auf Angriffe vorbereitet ist und gar nicht reagieren muss. Stattdessen suhlen die sich alle im Schlangenöl und tauschen "Treat Indicators" aus wie früher Kinder auf dem Schulhof Klebebilder von Fußballern getauscht haben. Hey, jetzt wo ich drüber nachdenke: Das sind dieselben Kinder, die früher Klebebilder gesammelt haben! Die sind halt jetzt so sozialisiert.
Vielleicht sollte man denen was sinnvolles zu sammeln geben. Gehaltsauszahlungen an die Mitarbeiter. Wer am meisten auszahlt, und die Firma überlebt es, hat gewonnen!
Wer hätte das gedacht, dass das eine furchtbar schlechte Idee ist, Web-Pfuscher als Programmierer anzustellen, nur weil man nicht das Geld für kompetente Programmierer ausgeben will?
Es gab bis 2014 eine enge Zusammenarbeit zwischen der Ukraine und Russland in der Entwicklung und Produktion von technischen Systemen für Waffen. Aus der Ukraine kamen z.B. Getriebe für Kriegsschiffe, Anlassturbienen für Kampfflugzeuge, Triebwerke für Hubschrauber, optische Sensoren für Raketen etc. Manchmal wurde auch die komplette Produktion in die Ukraine verlagert. So entwickelte die russische Firma Vimpel die Luft-Luft-Rakete AA-10 (R27), die Produktion fand aber (soweit ich weis) komplett in der Ukraine statt. Bei Hubschraubertriebwerken war das ähnlich: Klimow (russische Firma in Sankt Petersburg) entwickelt Triebwerke und baute sie in Kleinserie. Der größte Teil der Serienproduktion erfolgte dann aber bei Motor-Sitsch in der Ukraine.Mit der Annektion der Krim brach die Ukraine die Zusammenarbeit ab. Damit fehlten Russland auf einen Schlag wichtige Komponenten für die Produktion nahezu aller wichtiger Waffensysteme. Das war eine sehr kritische Situation. Aus russischer Sicht hatte der Westen durch Regime-Change in Kiew die Russische Waffenindustrie paralysiert und dadurch Russlands Verteidigungsfähigkeit unterminiert.
Das ist aber mehr als 6 Jahre her, die Russland nutzte, um vollständig auf landeseigene Produkte umzustellen. So wurde z.B. die Triebwerksproduktion bei Klimow stark ausgebaut, um wieder Hubschrauber produzieren und Warten zu können. Trivial war das nicht, obwohl es sich hierbei ein russisches Design handelte. Viel komplizierter muss es sein, Systeme zu ersetzen, die vormals in der Ukraine entwickelt worden waren. Wie weit man dabei inzwischen gekommen ist, ist unklar.
In der jetzigen Situation spielt das ohnehin keine großen Rolle, da technisch aufwendige Waffen/Waffensysteme (lasergesteuerte/GPS-gesteuerte Raketen und Bomben, Flugzeuge, Hubschrauber) viel schneller verschossen/abgeschossen werden, als man sie herstellen kann. Nach ein paar Wochen Krieg sind die verfügbaren high-tech-Waffen verschossen, und man muss ja auch einen Mindestbestand davon im Lager lassen, um nicht nackt dazustehen. Dann bleiben einem nur noch normale Artilleriegeschosse und Freifallbomben, deren Vorrat sicherlich für "immer" reicht, die aber auch zu größeren Kollateralschäden führen.
Nicht?
In sozialen Netzen finden die ja nicht mehr statt, Fernsehen von denen wurde auch verboten, die Webseite geht seit Anfang des Monats nicht mehr.
Auch bei Google findet man keinen RT-Content mehr. Hier ist der zugehörige Eintrag aus der Lumen-Datenbank. Wenn ihr da mal ein bisschen das Kleingedruckte durchlest, findet ihr diesen Absatz hier:
As regards the posts made by individuals that reproduce the content of RT and Sputnik, those posts shall not be published and, if published, must be deleted.Also nicht nur RT. Auch Privatleute, die RT-Content wiedergeben.Das ist übrigens nicht nur Deutschland. Ein Kumpel aus Belgien hat gerade mal probiert und bei dem kommt eine Stoppschild-Seite. Er hat daraufhin mal Tor probiert, und auch per Tor kam er nicht dran.
Das ist nicht verwunderlich, denn die meisten Tor Exit Nodes stehen in ... Deutschland. Ja, Deutschland, weil das immer alle für den Hort der Freiheit hielten. Wo sonst würde man seine Exit Nodes aufstellen, wenn nicht in einem Land, wo verfassungsmäßig garantiert keine Zensur stattfindet?
Seid ihr eigentlich auch so froh, dass ihr bei den Guten seid?
Update: Wo ist eigentlich die Gesellschaft für Freiheitsrechte, wenn man sie braucht?
Update: Das ist übrigens technisch eine DNS-Sperre. Wer seinen eigenen DNS-Server betreibt, ist nicht betroffen. Im Moment scheinen auch die öffentlichen DNS-Server von Google, Cloudflare und IBM noch nicht zu zensieren.
Update: Mehrere Leser schreiben mir, dass sie von der Zensur noch nichts bemerkt haben, bei ihnen ginge es. Ich kann hier gerade live testen, dass Vodafone und O2 das zensieren. Ein Kumpel mit Telekom-DSL kann es noch auflösen. Das wäre ja bemerkenswert, wenn ausgerechnet die Telekom die Zensurorder nicht umgesetzt hätte.
Ansonsten kann es auch sein, dass ihr in eurem WLAN-Router 8.8.8.8, 1.1.1.1 oder 9.9.9.9 eingetragen habt. Oder, was auch mal interessant zu wissen wäre, vielleicht benutzt ihr Firefox und die haben ihr DoH-Antizensur-"Experiment" auch für Deutschland freigeschaltet und resolven dann über 1.1.1.1.
Außerdem scheint es einen Unterschied zu geben, ob man nach rt.com fragt oder nach de.rt.com. de.rt.com ist auch bei der Telekom blockiert, meint mein Kumpel.
Update: Die Gesellschaft für Freiheitsrechte äußert sich. Sie finden, der Kreml solle seine Klagen mal selber finanzieren.
Ich weiß nicht, wie ihr das seht, aber ich fand nicht, dass es hier um die Rechte von RT geht. Ich fand, dass es hier um meine Rechte geht. Das mag euch jetzt überraschen, aber ich hätte meine Rechte viel lieber von der GFF verteidigt als vom Kreml.
Update: Die rechtliche Grundlage für die Vorzensur ist anscheinend diese EU-Verordnung. Ich hätte ja gerne mal eine zweite Expertenmeinung eingeholt dazu, ob die überhaupt die Befugnis für so eine Zensuranordnung haben. Schade, dass die GFF dafür offenbar nicht zur Verfügung steht. Ich bin ehrlich gesagt ziemlich enttäuscht von Ulfs Argumentation hier. Ist ein Haftbefehl eines Landes, das extraterritoriale Folterknäste betreibt, auch nicht so schlimm, solange Fefe weiß, wo die ecuadorianische Botschaft ist?! Das kann ja wohl nicht ernsthaft das Bewertungskriterium sein.
Wenn das jetzt nicht so gut läuft mit dem Militär plattmachen... Russland hat da auch andere Strategien zur Hand. Die, die sie in Tschetschenien benutzt haben.
Im Moment sieht es aus, als ob die Ukrainer Hoffnung schöpft, weil es den Russen nicht gelang, die Abwehr der Ukraine schnell auszuschalten. Wenn es da nicht sehr schnell eine diplomatische Lösung oder massive Verteidigung durch den Westen gibt, dann kann das noch ein ganz übles Blutbad werden.
Es scheint Putin auch jetzt nicht mehr um andere Ziele zu gehen als um das Durchziehen der Ukraine-Eroberung. Ich sehe keine Indizien dafür, dass westliche Drohungen oder Sanktionen die Invasion aufhalten können.
In der Ukraine wohnen 40 Mio Menschen. Etwas über die Hälfte darf fliehen (Männer im wehrfähigen Alter nicht). Das sind immer noch deutlich über 10 Mio potentielle Flüchtlinge. Ich glaube, wenn das Ausmaß der Flüchtlingsströme klar wird, geht die initiale Aufnahmebereitschaft der EU-Länder auch ganz schnell gegen Null.
Freut euch also mal bitte nicht zu früh oder glaubt, das sei ausgestanden.
Mit einem Nuklearschlag der Russen rechnet im Moment niemand, aber das beruhigt mich gerade wenig, denn mit einer Invasion hat ja auch niemand gerechnet. Und es gibt auch kleinere Kaliber von ähnlich verheerenden Waffen, die thermobaren Brandbomben. Die Russen haben Raketenwerfer mit thermobaren Raketen, und CNN hat welche an der russischen Grenze zur Ukraine gesehen.
Update: Hier gibt es eine ganz vertrauenswürdig aussehende Lagebeschreibung.
Update: Es gab in den letzten Tagen einen Auswärts-Strom an Privatjets aus Moskau. Die Oligarchen haben abgesetzt. Hofft also eher nicht, dass die Sanktionen das für die Oligarchen unbequem genug machen, dass die Putin stoppen.
Das ist eine weitere dieser völlig überflüssigen ranzigen Schrottkomponenten aus dem Gnome/Freedesktop-Umfeld. Wenn ihr Linux verwendet, und euch eure Distro nicht wie ich selber gebaut habt, dann ist die Antwort wahrscheinlich: ja.
Der Bug betrifft euch auch, wenn ihr das nur installiert habt, aber der Daemon nicht läuft.
Opensea ist gerade down. Das ist eine der größten NFT-Scam Verkaufsplattformen.
Und glaubt ihr, irgendjemand nutzt die Blockchain, um irgendwas darzustellen oder zu validieren? Niemand benutzt die Blockchain! Die rufen alle Opensea-APIs auf!
Effekt: Doch nicht so non-fungible, die Tokens. Jemand hat sie gerade alle durch "Bild konnte nicht geladen werden Platzhalter.gif" ersetzt. LOL.
Die bisher schönste Erklärung, was NFTs sind, las ich neulich hier.
An NFT is like being the Foursquare Mayor of a JPEGDas ist nicht nur eine humoristisch wertvolle Art, das auszudrücken. Das ist sogar inhaltlich korrekt. Wenn du ein NFT kaufst, heißt das, dass dir eine belanglose Webseite ohne jede Auditorität ein Bullshit-Zertifikat ohne rechtliche Aussagekraft verkauft hat, dass du ein Grundstück auf dem Mond besitzt.Das Scam-"Geschäftsmodell" ist ultra offensichtlich und Jahrzehnte alt, aber Idioten sind halt eine nachwachsende Ressource.
Falls ihr übrigens darauf wartet, dass jemand einen Liveticker von Crypto-Bro-Scam-Fails macht: Gibt es. Sogar zwei.
Immerhin ist die Lage inzwischen so entgleist, dass Twitter jetzt ein Feature anbietet, um Crypto-Bros schon an ihrem Profilbild zu erkennen. Das reduziert die kognitive Last fürs Erkennen und Ignorieren / Wegfiltern deutlich.
Ich freue mich ja immer wieder, wenn die DSGVO funktioniert.
So ein Passwortmanager ist was feines. Nicht so fein dann, wenn der eine Cloudanbindung hat. Und in der Cloud das Masterpasswort liegt und abgegriffen werden kann. Denn früher oder später passiert das halt.
Attackers can directly construct malicious requests to trigger remote code execution vulnerabilities. Vulnerability exploitation does not require special configuration, Apache Struts2, Apache Solr, Apache Druid, Apache Flink, etc. are all affectedHach. Schön, dieser Framework-Turmbau zu Babel immer. Am Ende hat niemand mehr irgendwas davon unter Kontrolle oder hat auch nur ein Verständnis dafür, was da eigentlich passiert. Und keiner ist Schuld!Dann macht man Devops, damit auch für den Updateprozess niemand Schuld ist.
Update: Bedauerliches Missverständnis.
Update: Völlig überraschend stellt sich raus: ALLE verwenden log4j. Und keiner hat vorher mal geguckt. Oder, you know, mitgeholfen. Oder was gespendet, damit mal jemand einen Audit macht.
Wann auch, die waren beschäftigt damit, sich über npm lustig zu machen!1!!
Die Amis haben ja neulich Positive Technologies als staatliche Cyberterroristenbude bebrandmarkt und auf die Boykottliste gesetzt. Positive Technologies hat sich gedacht: Ach, na dann gucken wir doch mal, wie wir mit minimalem Aufwand eine Remote Code Execution in Windows finden können.
Der Aufwand war tatsächlich eher überschaubar. Er nutzt Microsoft-spezifische URL-Schema-Handler aus. Ihr erinnert euch, das war das, womit Microsoft neulich Firefox unfair rauskanten wollte.
Es gibt da einen, über den Edge Office-Programme starten kann.
Our research journey was straightforward: We decided to find a code execution vulnerability in a default Windows 10 URI handler, and succeeded within two weeks. Considering the amount of URI handlers Windows ships with, it seems very likely that others are vulnerable tooDer Einschätzung würde ich mich anschließen.Update: Äh, da hab ich zu schnell geschossen. Positive Security (Berlin) != Positive Technologies (Moskau). Positives ist so selten in der Branche, da kann man das schonmal verwechseln *kalauer*
Lass mich raten… weil OpenSSL so einen schlechten Ruf hat?
Tavis Ormandy hat mal geguckt, wie die ihre Signaturen ablegen. Sie haben da eine Union, in der das größte Element 16 kbit groß ist, für RSA.
Okay, but what happens if you just….make a signature that’s bigger than that?Well, it turns out the answer is memory corruption. Yes, really.
Oh. Mein. Gott.Das ist schlimmer als Heartbleed. Das ist sozusagen der Hallo Welt unter den Remote Code Execution.
Sagt mal seid ihr auch so froh, dass Mozilla ihr Geld für so Dinge wie Colorways ausgegeben hat?
Oder dafür, dass ihr endlich Werbung im New Tab kriegt?
Oder für das ungefragte Einsammeln von Telemetrie?
At Mozilla, we want to make products that keep the Internet open and secure for all. We collect terabytes of data a day from millions of users to guide our decision-making processes. We could use your help.Nein, Mozilla. Wenn ihr meine Hilfe wollt, dann löscht ihr erstmal alle Daten über eure User.Aber zurück zu diesem Bug. Tavis Ormandy ist besonders geflasht, dass Mozilla da endlos static analyzer und fuzzing gemacht hat, und die Tools haben alle grüne Lampen angezeigt. Und nicht nur doofe Fuzzer sondern aktuelle state-of-the-art Fuzzer mit Coverage-Analyse!
Mich überrascht das ja nicht so doll. Ich werde praktisch nach jedem Code Audit gefragt, wieso ihre Static Analyzer das alles nicht gefunden haben. Ihr solltet vielleicht mal weniger Geld für Tools ausgeben und mehr Geld in eure Entwickler stecken, dass die lernen, wie so ein Bug aussieht und worauf man achten sollte.
OK, liebe Leser, passt mal auf.
Computer-Antiviren richten sich gegen denkende Gegner mit Intention. Das ist eine ganz andere Klasse von Bedrohung als eine natürliche Bedrohung. Ein denkender Gegner mit Intention kann deine Abwehr beobachten und studieren und dann eine Umgehung ersinnen. Er kann dabei Umweltbedingungen herbeiführen, die nicht natürlich auftreten würden, z.B. "Platte voll", "RAM belegt", "CPU beschäftigt", kann so dafür sorgen, dass der Callback in deinem Antivirus zu spät oder gar nicht kommt oder eine Race Condition ausgenutzt wird.
In der Natur haben wir es zwar auch mit Evolution zu tun, aber die ist ohne Intention. Die Natur kann grausam wirken, aber sie spielt nichtmal in derselben Liga wie ein menschlicher Gegner. Das auch nur zu vergleichen zeigt von einem völlig disqualifizierenden Unverständnis von Risikobewertungen.
Ein menschlicher Gegner kann widrige Effekte der Natur einspannen. Das Covid-Virus kann keinen Covidioten erzeugen, um unsere Covid-Antwort zu sabotieren. Das mussten wir schon ganz von alleine selber tun.
Neue Angriffe von natürlichen Gegnern sind entweder berechenbar (und damit eigentlich trivial abwehrbar, wenn wir nicht so inkompetent agieren würden) oder haben randomisierte Mutationen (die eigentlich auch trivial abwehrbar sein sollten). Menschliche Angreifer haben das beides und zusätzlich noch gezielte Angriffe, Täuschung und Sabotage.
Einen menschlichen Angreifer kannst du im Wesentlichen nicht sicher abwehren, du kannst seinen Angriff nur so teuer machen, dass er sich nicht lohnt. Aber gegen Fanatiker und Terroristen hilft das nicht zuverlässig. Fragt nur mal israelische Busfahrer oder russische oder amerikanische Soldaten, die mal in Afghanistan stationiert waren.
Wenn du verhindern willst, dass eine Kuh ihre Weide verlässt, machst du einen Elektrozaun und ein Gitter in den Boden bei der Zufahrt. Wenn du verhindern willst, dass ein Mensch deine Weide betritt, musst du strukturell gesichert haben, ein bisschen Zaun reicht dann nicht.
Die Abwehr von intelligenten oder intelligent gesteuerten Angreifern ist nicht mal ansatzweise vergleichbar mit der Abwehr von Tieren oder natürlichen Vorgängen. Wenn wir uns gegen ein Virus wehren wollen, dann haben wir einen asymmetrischen Vorteil. Wir können forschen, das Virus verstehen, verstehen wie es funktioniert, wie es angreift, und einen Impfstoff bauen. Wenn ihr oben aufgepasst habt, fällt euch auf, dass das genau die umgekehrte Asymmetrie ist wie bei einem intelligenten Angreifer, der unsere Abwehr studieren und gezielt umgehen kann.
Ja wie, sieht doch gut aus? Blablah darüber, wie wichtig ihnen Security ist, und was sie alles investieren für Security und so? Jahaa, das, meine Damen und Herren, ist wie Verzweiflung im Krisenmanagement aussieht.
Wenn man nämlich weiß, wonach man suchen muss, findet man folgende Absätze weiter unten im Kleingedruckten:
a vulnerability that would allow an attacker to publish new versions of any npm package using an account without proper authorizationJa, richtig gelesen, liebe Leser! Mit einem Account konnte man jedes Paket überschreiben, nicht nur die eigenen.Wie lange gab es das Problem? Gut, dass ihr fragt! Die Antwort könnte allerdings die Bevölkerung verunsichern!
This vulnerability existed in the npm registry beyond the timeframe for which we have telemetry to determine whether it has ever been exploited maliciously.Das muss man sich mal auf der Zunge zergehen lassen. Das ganze NPM-Infrastrukturkartenhaus müsste man jetzt eigentlich mal kontrolliert sprengen und alles neumachen.Sehr geil auch, wie sie euch dann nochmal 2FA andrehen wollen, obwohl das nichts geholfen hätte hier. Reine PR, genau wie das mit dem CO2-Fußabdruck, den euch BP ans Ohr schwatzen wollte. Damit ihr nicht darüber nachdenkt, wieso BP eigentlich nichts tut, sondern euch fragt, was ihr tun könntet. Genauso macht Github das hier jetzt auch. Erzählt euch was von 2FA, damit ihr nicht darüber nachdenkt, wie so das so epochal verkacken konnten. Github ist sogar noch ein bisschen krasser, weil sie die ganze Zeit den Eindruck zu erwecken versuchen, ihr Telemetrie-Sammeln sei ein Security-Feature. Was für eine bodenlose Frechheit, ey.
Nehmt nur mal diesen Paywall-Artikel beim Tagesspiegel. Ihre Botschaft ist: Berlin sollte von der Impfkampagne in Bremen lernen.
Und so belegen sie es:
Fast 80 Prozent in der Hansestadt vollständig geimpftund
Jeder Fünfte in Berlin ist ungeimpft.Tipp für Leute, die schon Mathe schon in der Grundschule verkackt haben: Jeder Fünfte und was nach "Fast 80 Prozent" übrig bleibt sind gleich viel: 20%.
Update: Der Tagesspiegel hat die Überschrift geändert. Jetzt sind es mehr als 90 Prozent in Bremen. An dieser Stelle schöne Grüße an meine Leser in der Tagesspiegel-Redaktion *winke* :-)
Update: Der NDR sagt, die 80% stimmten schon. Nun gibt es noch die Möglichkeit, dass in Berlin lauter Leute nur einmal geimpft sind. Das kann schon sein, aber ich glaube es nicht. Rein psychologisch machen Menschen Dinge zuende, in die sie einmal investiert haben. Das ist eine auch häufig von Trickbetrügern und Nigeria-Scammer ausgenutzte Eigenschaft der menschlichen Psyche.
Wer also einmal die Zeit für eine 1. Impfung investiert, und die geben dem einen Zettel mit seinem 2. Termin, dann geht der da auch hin. Ich glaube daher, wir haben es hier mit Buchhaltungsfehlern und Johnson&Johnson-Impfungen zu tun. Ich z.B. habe meine erste Impfung in einer Praxis und meine 2. in einem Impfcenter erhalten. Würde mich nicht wundern, wenn die ihre Buchhaltung verkackt haben und ich da jetzt irgendwo als halb geimpft stehe.
Aber egal wie man es misst: Die Impfquote in Berlin ist niedriger als die in Bremen. Der Tagesspiegel hatte bloß seine sensationsheischende Formulierung verkackt. Auf der anderen Seite ist Impfquote ja nicht alles. Viele lassen sich auch nicht impfen, weil sie Covid hatten und genesen sind. Die tauchen in der Statistik ja auch nicht als geimpft auf. Insofern: Vorsicht mit Statistiken. (Danke, Fabian)
Nein, nein, keine Sorge. Diesmal waren es keine hartkodierten Backdoor-Passwörter. Diesmal waren es "unintentional debugging credentials". Das ist was GANZ anderes!!1!
Diesmal war es keine Absicht!1!!
So glaubt uns doch!
Oh, warte, das war noch nicht alles!
The other critical hole is CVE-2021-40113, which can be exploited by an unauthenticated remote attacker to perform a command injection attack on the equipment's web-based management portal, thanks to insufficient validation of user-supplied input.Einmal mit Profis!"A successful exploit could allow the attacker to execute arbitrary commands on an affected device as the root user."Was macht die Security-Abteilung bei Cisco eigentlich beruflich?
Ein Leser meint, das ist heute nacht allen möglichen Firmen um die Ohren geflogen und könnte auch der Hintergrund für den Bahn-IT-Ausfall sein.
Was hier vielleicht untergeht, ist wie die Erstwähler überhaupt auf die FDP aufmerksam geworden sind. Die FDP hat auf den verschiedenen Social Media Plattformen (bei mir Instagram) die letzten Tage vor der Wahl massiv und gezielt Werbung geschaltet. Ich habe innerhalb von drei Tagen zwischen 10 bis 20 Mal Werbung bekommen. Ich habe mich hierzu mit meinem persönlichen Umfeld ausgetauscht und alle haben meine Erfahrungen bestätigt oder sehr ähnliche gemacht. Anscheinend auch über das gesamte politische Interessensspektrum meines Freundeskreises. Ich würde mich auch grundsätzlich als liberal bezeichnen, würde aber nicht die FDP wählen. Die gezielte Werbung und die durchaus für die jüngere Generation wichtigen Punkte z.B. wie die Bildungsreform angegangen werden muss, hätten mich auch fast noch überzeugt.Also Medienkompetenz wäre jetzt nicht der Begriff gewesen, den ich dafür benutzt hätte, aber ... sei's drum.Von anderen Parteien habe ich auf diesem Weg auch Werbung erhalten, aber die Intensität und Medienkompetenz wie bei der FDP hat keine andere Partei erreicht.
Eigentlich muss man ja mal die Frage stellen, inwieweit die Schulen eigentlich in der Pflicht sein sollten, den Erstwählern mal erklärt zu haben, was für Leichen die ganzen Parteien im Keller haben.
Ich erinnere mich an meinen Schulunterricht, da gab es ein Fach "Politische Weltkunde", das da allerdings ein Weltbild vermittelt hat, in dem die Parteien ehrlich und gut sind und deren Versprechen im Wesentlichen vertrauenswürdig sind.
Da bräuchte man halt mal eine Veranstaltung für. Vielleicht könnte man zwei Phasen machen. In der ersten Phase machen alle Parteien eine Liste mit den Vorzügen ihrer Partei und den Vorwürfen gegen die anderen Parteien. In der zweiten Phase dürfen die Parteien sich gegen die Vorwürfe der anderen verteidigen.
Am besten hat man dann noch mal einen neutralen Faktencheck des Lehrers, soweit das möglich ist.
Stellt sich raus: Keine gute Idee.
Ich sage euch, die Leichtigkeit, mit der die Leute ihren Kram in die Cloud schieben, ist immer wieder atemberaubend.
Als ob das nicht dein Problem ist, wenn bei denen dann was kaputt geht!?
Vielleicht nicht die beste Idee.
Ein paar Forscher aus Israel haben herausgefunden, dass man "Master Faces" machen kann, wie Master Key nur halt für Gesichtserkennung. Die Gesichter sind so durchschnittlich, dass sie in üblichen Gesichtserkennungssystemen gleich mehrere anderen Gesichtern zugeordnet werden.
The work suggests that it’s possible to generate such ‘master keys’ for more than 40% of the population using only 9 faces synthesized by the StyleGAN Generative Adversarial Network (GAN), via three leading face recognition systems.Das Knistern, das ihr da im Hintergrund hört? Das ist die brennende Bude bei den Leuten, die Gesichtserkennungssysteme verkaufen.
by creating, mounting, and deleting a deep directory structure whose total path length exceeds 1GB, an unprivileged local attacker can write the 10-byte string "//deleted" to an offset of exactly -2GB-10B below the beginning of a vmalloc()ated kernel buffer.Ach komm, Atze, niemand wird jemals so einen Pfad erzeugen!!1!Stimmt! Außer den bösen Angreifern, die deine Kiste hacken wollen. Die würden das machen.
Einige meinten, mit Investitionen ist die Anschaffung von Krisenmanagementsystemen gemeint, die Zugang zu dem Netz brauchen, und dann auf den richtigen Türmen die Nachricht rausbroadcasten.
Ja, äh, sorry, da bin ich wahrscheinlich zu sehr Techie, um mich davon beeindrucken zu lassen. Das ist für mich ein zehnzeiliges Shell-Skript. Position und Radius packst du in eine Datenbankanfrage. Datenbanken können heutzutage solche geographische Anfragen. Dann kriegst du ne Liste der Tower und machst ne kleine For-Schleife. 10 Zeilen inklusive Kommentaren.
Dann schrieb mir einer:
Natürlich sind Cell Broadcasts im Standard, aber dass bedeutet nicht, dass die Basisstationen das können. Das ist ein Feature, für dass die Hersteller Lizenzgebühren haben wollen. Da die Telekom das Feature für nichts braucht, haben die Basisstationen das alle nicht aktiviert.Das klingt so absurd, dass ich es fast zu glauben gewillt bin. Schönes Auto haben Sie da! Wie, Sie wollten auch bremsen können? Tja, das kostet Lizenzgebühren!1!!
Dann schrieben mir Leute, dass Vodafone das mal für einen Dienst in Verwendung hatte, der lokale Schlagzeilen verschickt. Und ein anderer schrieb, dass Viag Interkom damals ihr Homezone-Angebot damit implementiert haben soll.
Diverse Leute haben mir noch geschrieben, die nicht verstanden haben, was das ist. Wenn du mit dem Handy die Grenze übertrittst und eine Roaming-SMS kriegst, ist das NICHT Cell Broadcast. Cell Broadcast heißt, dass das gleichzeitig an alle geht. Es hat keinen spezifischen Empfänger. Geht an alle. Das Erlebnis wäre nicht: Der Reihe nach klingeln die Gerät. Das Erlebnis wäre: Alle Geräte bimmeln exakt gleichzeitig.
Noch jemand schrieb, Cell Broadcast sei Teil der Zertifizierung, und zwar sowohl auf Handy- als auch auf Netzseite.
zu der Geschichte mit dem Cell Broadcast, die Funktion kann jedes deutsche Netz seit GSM. Habe früher im Field Test gearbeitet und bei jedem Netz und jedem Handy ist die Funktion Teil der Zertifizierung. Da muss "nur" eine Nachricht gesendet werden, es braucht keine Investitionen oder Anforderungen, nur die Frage welchen Payload an die Teilnehmer welcher Zelle(n).Ja und das ist wie gesagt ein sehr überschaubares Shell-Skript.
Jemand hat dann auch Hinweise darauf gefunden, dass die Telekom Cell Broadcast benutzt hat.
Normalerweise hat in solchen Konflikt-Situationen jeder ein Stück Recht. Das kann auch hier so sein. Die Geräte müssen das für die Zertifizierung nachweisen, aber die Netzbetreiber schalten das in der Praxis aus, weil der Hersteller sonst Lizenzgebühren haben will. Nur weil das früher (GSM, Edge) angeschaltet war, heißt das nicht, dass das auch in der aktuellen Hardware angeschaltet ist. Wir sind in der Zwischenzeit ja mehrere Generationen weiter. Ihr erinnert euch: UMTS wird gerade abgeschaltet.
Update: Hier erklärt euch das mal Harald Welte. Das ist der Mann hinter Osmocom. Der hat die Netz-Seite einmal als freie Software runterimplementiert und hat damit seit Jahren auf dem Congress und Camp jeweils ein Netz am laufen, wo man sich zum Spielen mit seinem Telefon einbuchen kann. Wenn sich jemand mit dem Scheiß auskennt, dann der.
Da gibt es jetzt eine "In-App Rating"-Funktion. Warum? Das ist ja wohl das nutzloseste des Überflüssigen?
Naja nee. Die Leute da draußen glauben, sie würden darüber das Restaurant bewerten, nicht die App.
So ist die App gerade von 2 auf 4 Sterne gestiegen, über Leute, die dachten, sie würden gute Restaurants bewerten.
Gucken wir doch mal, was die gerade berichten ... Oh, nanu?
THIS WEBSITE HAS BEEN SEIZED
Ja nee, klar. Das FBI und das US-Justizministerium haben die Domain beschlagnahmt.
Gut, fragt man sich schon, wieso der Iran eine .com-Domain holt und nicht eine .ir -- oh warte, sie haben auch eine .ir-Domain. Hey, war das vielleicht ein großartiger Troll des Iran? Mal gucken, wann die Amis sich öffentlich so zum Stück Brot machen?
Gut, da haben wir jetzt die Antwort.
Und wir wissen jetzt auch, ob Trump oder Biden der krassere Betonkopf-Hardliner und Kriegstreiber ist.
So, dann gucken wir doch mal, wie der Iran das schlau nutzt. Vielleicht Statements von befreundeten "Nachrichten"seiten. Russia Today könnte das z.B. für ein generisches Statement pro Pressefreiheit nutzen. Gucken wir doch mal. Oh hier, das böte sich an: Biden kritisiert die Chinesen wegen Verletzung der Pressefreiheit, weil sie in Hong Kong Apple Daily zugemacht haben. Money Quote von Biden: Journalism is not a crime! Da hätte man was schönes draus machen können!
It is, of course, deeply ironic that a country which claims to champion freedom of speech has taken these websites down. But it’s merely the latest act in a long list of crimes and acts of aggression committed against Iran by Washington dating back decades.Hmm, na gut, jetzt nicht das flammende Pro-Iran-Plädoyer, auf das der Iran gehofft haben wird.Irgendjemanden wird es ja wohl geben, der das für ein generisches Statement pro Pressefreiheit nutzet.
Ah ja, hier, sie haben jemanden gefunden!
Hezbollah, Iraqi anti-terror group slam US seizure of website domains tied to pro-resistance mediaNein, wirklich! Die zitieren da die Hisbollah, praktisch weltweit als Terrororganisation anerkannt.Frage mich, wieso sie das überhaupt auf Englisch veröffentlichen.
Gut, äh. Wo waren wir? Ah, bein internationalen Zum-Stück-Brot-Machen-Wettbwerb. Es steht unentschieden, würde ich sagen. m(
Der Kernel kann jetzt der IOMMU sowas sagen wie: Das Gerät XY sieht diesen physischen Speicher an diesen Adressen. Wenn da nur Speicher sichtbar ist, der für nichts anderes parallel benutzt wird, dann kann so auch ein bösartiges Gerät nicht mehr den Kernel überschreiben.
Das ist besonders wichtig für zwei Szenarien. Erstens: Wenn ein PCI-Bus aus dem Gerät rausgeführt wird, wie bei Thunderbolt. Zweitens: Für einen Hypervisor.
Der Hypervisor kann so nämlich ein Gerät an den Guest "durchreichen" und muss das nicht emulieren. Der Hypervisor könnte könnte der IOMMU sagen: Das Gerät sieht diesen Speicher, der dem Guest gehört. Den Guest kann man dann das Gerät direkt programmieren lassen, und das schlimmste was er kaputtmachen kann ist dass er seinen eigenen Speicher überschreiben lässt. Nicht den Speicher anderer virtueller Maschinen auf der gleichen Hardware, und nicht den Speicher des Hypervisors.
Inzwischen betreibt niemand mehr einen Hypervisor ohne VT-d oder das AMD-Äquivalent. Wenn da also ein Bug drin ist, heißt das praktisch zwangsläufig, dass ein Guest damit aus der VM ausbrechen kann.
Intel sagt das nicht direkt sondern spricht von "privilege escalation" und "authenticated user" und "local access". Das ist technisch korrekt aber irreführend. Es geht nicht nicht darum, dass der User Fefe sich Admin-Rechte beschafft. Es geht darum, dass Kernel-Code in einer VM den Hypervisor kompromittiert.
Die betroffenen Produkte ist einmal die Produktpalette inklusive Atoms und Core-CPUs ab 10th gen.
Das mit der IOMMU ist übrigens auch ansonsten ein Schlachtfeld und bei weitem nicht so schön einfach wie ich es hier erklärt habe. Häufig ist es so, dass wenn du write auf einen Socket machst, dass der Kernel dann halt die Page mit dem Buffer für die Hardware lesbar macht. Da steht aber neben den 5 Bytes, die du schreiben wolltest, noch irgendwelche anderen Daten drauf. Die Granularität der IOMMU ist eine Page (4 KB). Mein Kumpel Ilja hat da mal mit einem gehackten qemu immer schön die Pages gedumpt, die die Netzwerkkarte freigeschaltet hatte, und konnte Passwörter und Keymaterial sehen. Insofern ist auch mit funktionierender IOMMU nicht alles rosig.
Aber das hier ist m.E. deutlich schlimmer als die Presse bisher darüber berichtet hat.
Update: Nomenklatur-Verwirrung. Ich schrieb "Host" und meinte "Guest".
A VMware vulnerability with a severity rating of 9.8 out of 10 is under active exploitation. At least one reliable exploit has gone public, and there have been successful attempts in the wild to compromise servers that run the vulnerable software.Wie man an dem hohen Rating schon sehen kann ist das pre-auth remote code execution.
Gleich mehrere haben mir geschrieben, sie seien da mal angestellt gewesen, und die Zahlungen seien von der TU gekommen, nicht von der Landeskasse.
Die haben auch übereinstimmend berichtet, dass bei der SAP-Einführung vor Jahren (die immer noch nicht abgeschlossen ist!) ein paar Monate (!!) keine Gehälter gezahlt werden konnten. Die haben sie dann mit Zinsen irgendwann nachgezahlt, aber ich meine, äh, ... wtf?!
Ein Leser berichtete zum Verfahren der Überweisung vom Vormonat einfach nochmal abschicken:
Im Rahmen von Notfallplänen in der Industrie ist es nicht unüblich die eigene Hausbank anzuweisen die Überweisungen die mit "Gehaltszahlung" geschlüsselt wurden einfach zu wiederholen. Dieser Schlüssel ist so ziemlich der einzige der im Rahmen von SEPA Überweisungen tatsächlich genutzt wird.Ich erzähl ja gelegentlich die Story, wie ich in meinen Programmier-Anfangstagen überlegt habe, welche Art von Software ich schreiben wollen würde. Ich habe mich damals entschlossen, nie an Projekten mitzuwirken, von denen Menschenleben abhängen. Keine Medizin, keine Kraftwerke, keine Flugzeuge. Damals dachte ich noch, dass das ein klares Kriterium sei. Heute haben wir Entertainment-Systeme im Auto, über das der Rest des Autos gehackt wird.Kür ist dann noch auch die Überweisung an die Sozialversicherungsträger (Krankenkassen) wiederholen zu lassen.
Der Punkt jedenfalls: Ich hab dann viele Jahre später jemanden getroffen, der Software für Atomkraftwerke gehackt hat. Das war so ein hemdsärmeliger PHP-Typ (das meine ich jetzt als Gattungsbegriff, der hat nicht wirklich PHP gemacht). Sie das Modell "ach komm, wie schwer kann das sein, ich kopier einfach von dem alten Gartenbauprojekt den Code und pass hier und dort ein bisschen an".
Das ist schön und gut, wenn ich mir vornehme, keine ultrariskanten Dinge zu tun. Aber das heißt halt nicht, dass nur Leute solchen Code machen, die das können, sondern eher im Gegenteil, dass das Leute machen, die nicht begreifen, was für ein Risikofaktor sie sind.
Dass es da offenbar etablierte Verfahren gibt, um nach dem Projektverkacken einfach die Überweisungen des letzten Monats zu wiederholen, das finde ich absolut hanebüchen. Das ist ein "OMG DIE HÜTTE BRENNT, WAS MACHEN WIR JETZT"-Notfallding, das ist doch kein Plan!!
Ich bin immer wieder schockiert, wie laissez-faire Leute teilweise an Probleme rangehen. Ach komm, Atze, müssen wir nicht groß planen. Qualitätssicherung? Viel zu teuer!! Wir können ja einfach manuell überweisen!1!!
Die noch recht neue OpenPGP-Implementierung des Mail-Programms Thunderbird speicherte die geheimen Schlüssel im Klartext auf der Festplatte des Benutzers. Das zum Schutz vorgesehene Master-Passwort kam nicht zum Einsatz.
Warum nicht?
Mitten in einem Rechtsstreit wegen nicht eingehaltener Lieferzusagen verlängert die EU den Vertrag mit dem Impfstoffhersteller AstraZeneca nicht.Oh ach SO! Wisst ihr noch, was die EU gemeint hatte, als die Amis Covid-Impfstoff-Patente aussetzen wollten? Guckt mal hier:
Kanzlerin Merkel fordert, dass Exporte von Corona-Vakzinen zum "Regelfall" werden müssen - ein klarer Seitenhieb gegen USA und Großbritannien.Boah da krieg ich schon wieder Stresspickel. Deutschland wollte wenig zahlen, wollte Astrazeneca in der Haftung halten (im Gegensatz zu Israel), war zu blöde ordentliche Verträge zu schreiben (im Gegensatz zu Boris fucking Johnson) und dann kacken sie seit Wochen Astrazeneca auf den Teppich.
Und das obwohl die ihren Impfstoff zum Selbstkostenpreis rausgehauen haben, und damit nicht mal die Hälfte dessen kosten, was Biontech pro Dosis kostet! UND er braucht keine absurde Kühlung.
Außerdem regen mich auch so Schluder-Details wie das hier auf:
Sie setzt verstärkt auf die Vakzine von BioNtech und Pfizer.Das ist das fucking selbe Zeug, ihr Pfuscher! Pfizer verkauft das Zeug von Biontech. Hey, "Journalisten" der ARD, was macht ihr eigentlich beruflich?
Ich halte das ja für einen klaren Fall von "Wirtschaftskompetenz" der CDU. Schaut mal, wie viele Vorwände die durchprobiert haben, um Astrazeneca rauszukanten und lieber mit den Steuergeldern nach Pfizer zu werfen! Erst hieß es: Funktioniert nicht. Dann hieß es: Nicht bei Alten. Dann hieß es: Nur bei Alten! Dann hieß es: Ist weniger gut. Dann wollte plötzlich und überraschend niemand mit dem Zeug geimpft werden und sie drohten auf ihren bereits gekauften Reserven sitzen zu bleiben, also war das Zeug plötzlich gut genug, um aus der Impfpriorisierung rausgenommen zu werden.
Ich komm mir vor wie bei der Oma mit den drei Hunden in Ein Fisch namens Wanda! Wieviele Anläufe brauchen die eigentlich für ihren heimtückischen Mord an Astrazeneca?! Pfuscher, wo du hinguckst.
Ja und jetzt, wenn der Vertrag nicht verlängert wird? Dann kann die CDU hemmungslos den Steuergeld-Gartenschlauch auf Pfizer richten.
Wisst ihr, was ich bei dieser ganzen Patentsache auch gerne nochmal gefragt hätte: Wieso darf da überhaupt jemand ein Patent drauf anmelden? Biontech hat Millionen an Steuergeldern geschenkt bekommen. Das kannst du doch niemandem erklären, wieso die dann auch noch ein Patent darauf anmelden dürfen?!
Wat!?
Wenn da jemand was patentieren dürfen sollte, dann der Steuerzahler. Der hat das schließlich bezahlt.
Update: Oder hat jemand ne andere Erklärung?
Update: Oh, für "die Vakzine" kommen jetzt die ganzen Linguisten-Klugscheißer rein und erklären mir, dass es nicht nur "das Vakzin" heißt, wie die Tagesschau es auch sonst benutzt, sondern auch "die Vakzine" als weiblicher Singular (lasst uns doch einfach Impfstoff sagen!). Hab ich persönlich noch nie gehört. Aber meinen Vorwurf muss ich damit zurücknehmen und selber Kreide fressen :-)
Der hat es echt geschafft, sich an Gestalten wie Kohl und Merz vorbeizuarbeiten auf Platz 1 meiner persönlichen Hassliste.
Iht habt ja wahrscheinlich mitgekriegt, dass das Bundesverfassungsgericht die "Klimapolitik" der Bundesregierung abgesägt hat. Und da braucht es natürlich kein Verfassungsgericht, um das zu erkennen, dass die da Brandrodung auf Kosten zukünftiger Generationen betreiben.
Keine einzelne Person steht dabei wie Altmaier für Brandschatzen am Planeten. Erst hat er Solarenergie in Deutschland kaputtgemacht, dann Windenergie, und jetzt fragt ihn das ehemalige Nachrichtenmagazin hinter einer Paywall zu dem Urteil. Ich zitiere nur mal zwei Sätze daraus. Die reichen schon für Bluthochdruck.
Erstens:
Die Entscheidung gibt uns die Chance, für mehr Generationengerechtigkeit zu sorgenWAT?! Seit Jahrzehnten ist der Altmaier systematisch jeder Chance in Richtung Aufhalten der Klimakatastrophe aktiv ausgewichen, hat jede Chance zur Herbeiführung des Weltuntergangs durch die Klimakatastrophe aktiv genutzt, und der WAGT es jetzt so zu tun, als habe er bisher bloß nie die Chance gehabt, sich gegen statt für den Weltuntergang zu engagieren?!?
Ich bin ja ein Pazifist, aber da krieg ich echt Gewaltfantasien.
Zweitens:
Wir haben nur noch wenige Wochen, bis zum Ende der Wahlperiode und müssen deshalb schnell und zügig handeln. Gegenseitige Schuldzuweisungen lenken von diesem Ziel ab und schaden dem Ziel des Klimaschutzes.Wisst ihr, was mir da schlagartig klar wurde, als ich das las?
Der Altmaier fährt hier das Israel-gegen-Palästina-Programm. Erst alles plattbomben. Dann den Wiederaufbau sabotieren wo es geht. Dann ansagen, dass die mit ihrem Geheule ja den Friedensprozess behindern.
Das ist direkt dasselbe Playbook.
Erst macht Altmaier Flechenbombardement über dem Solarstrom, dann phosphorbombt er die Windenergie weg, dann tut er so, als habe er bloß noch nicht genug Chancen gehabt, mal etwas FÜR den Planeten statt gegen ihn zu tun und am Ende versucht er noch seinen Waldflächenbrand den Kids in die Schuhe zu schieben, die es wagen öffentlich anzusagten, dass sie gerne nicht von ihm umgebracht werden würden.
Kennt jemand "die Wirtschaft", für die der Altmaier das tut? Ich würde gerne mal den CEO sehen, der das gut findet, dass hier seinen Kindern das Biotop zerschossen wird.
Update: Wer noch mal gucken wollte, wieso ich so auf den Altmaier eindresche: Die Anstalt über den Altmaier-Knick.
Da ist auch was dran. Singapur z.B. hat ihre Covid-Tracing-Tech nicht nur nicht wieder abgebaut sondern gesetzlich vorgeschrieben und setzt sie jetzt für andere Dinge ein.
Das war der Grund, wieso der CCC diese Liste an Anforderungen für die Covid-Tracing-App publiziert hat, die die SAP-Telekom-App auch (größtenteils) umgesetzt haben. Die ist damit dann nämlich nicht wirklich geeignet, um "für die Terrorismusbekämpfung" benutzt zu werden.
Das ist vermutlich auch der Grund, wieso wir jetzt zusätzlich noch diesen Luca-Bullshit kriegen und wieso diverse Landesregierungen da aufspringen. Luca erfüllt diese CCC-Anforderungen nämlich nicht. (Danke, Mathias)
In the Homebrew/homebrew-cask repository, it was possible to merge the malicious pull request by confusing the library that is used in the automated pull request review script developed by the Homebrew project.By abusing it, an attacker could execute arbitrary Ruby codes on users' machine who uses brew.
Unter uns? You had me at Ruby.
BleedingTooth is a set of zero-click vulnerabilities in the Linux Bluetooth subsystem that can allow an unauthenticated remote attacker in short distance to execute arbitrary code with kernel privileges on vulnerable devices.Der (für mich) verstörenste Teil daran ist:I discovered the first vulnerability (introduced in Linux kernel 4.19) by manually reviewing the HCI event packet parsers.Erstens: 4.19 ist nicht sooo alt. Da waren die Prozesse, die diese Art von Problem verhindern sollen, eigentlich schon aktiv. Insbesondere sollten die Prozesse "manually reviewing [...] parsers" eigentlich beinhalten.Das ist also offensichtlich noch einiges im Argen bei Linux.
Google will angeblich gerade den Bluetooth-Support in Android neu schreiben, den Userspace-Teil in Rust.
We don't yet know how exactly this happened, but everything points towards a compromise of the git.php.net server (rather than a compromise of an individual git account).Da muss man allerdings dazu sagen, dass der Typ, der das schreibt, der ist, in dessen Namen da Zeug eingecheckt wurde. Der ist möglicherweise nicht der Richtige, um zu untersuchen, ob der Server oder bloß sein Account übernommen wurde.
Die Firma hinter pfsense ("World's Most Trusted Open Source Firewall") hat einen Typen bezahlt, damit er Wireguard nach FreeBSD portiert, und zwar in den Kernel rein. Die wollten das in ihren Produkten unterstützten (Wireguard ist ein VPN-Protokoll, sowas wie IPsec).
Der Typ hat dann nach ein paar Monaten einen Port nicht nur abgeliefert, sondern bei FreeBSD einfach so in den Code einchecken können. Die Wireguard-Leute erfuhren aus der Presse auf einer FreeBSD-Mailingliste davon und dachten sich: Sollten wir vielleicht mal kurz einen Blick drauf werfen. Steht ja immerhin unser Name dran.
Was fanden die? Nun, äh, es war nicht gut. Es war so doll nicht gut, dass sie sich entschieden haben, da mal die Dinger zu fixen. Sie haben also zwei Wochen lang im Wesentlichen Crunch-Mode gefahren (auf Schlaf verzichtet) und am Ende war von dem ursprünglichen Port-Code nichts mehr übrig.
Und DAS, meine Damen und Herren, ist ein GANZ eindeutiges Zeichen. Wenn du zwei Wochen hast, und du machst lieber alles neu, dann war das ungefähr die Hölle auf Erden.
Es gibt eine Liste:
The first issue is whether Macy's code actually had significant problems. Donenfeld said that it did, and he identified a number of major issues:- Sleep to mitigate race conditions
- Validation functions which simply return true
- Catastrophic cryptographic vulnerabilities
- Pieces of the wg protocol left unimplemented
- Kernel panics
- Security bypasses
- Printf statements deep in crypto code
- "Spectacular" buffer overflows
- Mazes of Linux→FreeBSD ifdefs
Da muss ich doch mal kurz den Zyniker raushängen lassen und auf Linus zeigen. Der wird seit Jahren angefeindet, weil er Leute, die schlechten Code einreichen, abweist. Wer es einfach nochmal versucht, kriegt eine Beleidigung. Wer es nochmal probiert, wird abgewatscht.Wenn du das nicht machst, passiert sowas hier.
Update: FreeBSD hat ein Statement veröffentlicht. Da war ich ja mit meinem Linus-Vergleich geradezu prophetisch.
Update: Man kann auch die Perspektive haben, dass das kein Qualitätssicherungsproblem bei FreeBSD ist, denn die Qualitätssicherung selektiert nicht, was nach HEAD reinkommt, sondern was in die Release-Branches kommt.
Seufz. Seit dem Stress neulich hatte mein gatling gerade 10 Tage Uptime zusammen.
als direkt und mehrfach (3 Mal) von Thrombosen Betroffener: Teils merkt man es schlicht nicht mal, dass man eine Thrombose hat. Von den bisher 3 nachgewiesenen Thrombosen habe ich nur die erste wirklich bemerkt, die beiden anderen verliefen bis zum Auftreten der jeweiligen Lungenembolie symptomlos.Die Ursachen für Thrombosen gehen über die üblichen Verdächtigen: Verletzungen, Adipositas, Bewegungsmangel, Dehydration, Immobilität, selbst das verharren in durchblutungsstörenden Positionen (Langstreckenflug z.B.) über einen längeren Zeitraum begünstigt Thrombosen.
Und das sind nur die von uns direkt beeinflussbaren Ursachen.
Jetzt kombiniere diese Ursachen mit den Maßnahmen gegen Covid. Kontaktverbote, Homeoffice wo es möglich ist, geschlossene Bäder, Thermen, Fitnessstudios, Hallensport ist de facto tot. Dann noch die Verunsicherung durch die Presse. Resultat: Bewegungsmangel.
Dazu die bei Astrazeneca häufig auftretenden stark grippeähnlichen Symptome: Man bleibt im Bett bis der Mist auskuriert ist = Immobilität.
Sind die Thrombosen jetzt durch den Impfstoff selbst oder durch die Immobilität aufgrund der Symptome der Nebenwirkungen verursacht?
Aber zum Kernpunkt: Die Quellensuche (Stichwort Gelbe Karte im FR-Artikel) war extrem aufschlussreich. Scheinbar hat die britische Arzneimittelbehörde MHRA seit 1964 das Yellow Card Scheme, vorwiegend genutzt von Medizinern um auffällige Nebenwirkungen von Medikamenten zu melden. Das ganze inzwischen natürlich auch online. Inklusive einer nach deutschen Maßstäben fast schon unglaublichen Daten-Offenheit. Regelmäßig aktualisierte Reports zu den Covid-Impfstoffen, eine durchsuchbare und filterbare Datenbank zu Wirkstoffen, etc. Die Links zu den Reports von Biontech und Astrazeneca finden sich in Annex 1 von [gov.uk]
Resultat: Bei halbwegs vergleichbaren Zahlen der verabreichten Impfdosen von Biontech (10,7 Mio) vs. Astrazeneca (9,7) Mio führen die wesentlichen Suchbegriffe haemo und thrombo zu annähernd vergleichbaren Ergebnissen. Teils sogar zum Nachteil von Biontech, auffallend höherer Anteil an Rektalblutungen (17 vs 8), im öffentlich diskutierten cerebralen Bereich sehen die Werte für Biontech ebenfalls schlechter aus.
Zu Deiner Frage bez. "Beinhalten die 9 Schlaganfälle die 7 Hirnblutungen oder ist das separat?":
Das ist nach Sichtung der Reports separat zu betrachten, was wir klassischerweise als Schlaganfall bezeichnen ist der ischämische Schlaganfall, eine Minderdurchblutung des Hirns durch den Sauerstoffmangel im Blut bei einer Embolie, verschlossenen Arterie oder Vene, gern verursacht durch einen Thrombus. Die andere Variante ist ein Schlaganfall durch Hirnblutung (die durch die Raumforderung im Hirn auch Arterien und Venen blockieren und einen ischämischen Anfall verursachen kann). Die Briten gehen hier bei der Differenzierung noch wesentlich weiter bis hin zur Differenzierung des betroffenen Areals. Wobei ich hier annehme, dass die Qualität der Daten stark von der zum Zeitpunkt der Meldung verfügbaren Diagnose abhängt. Der Vergleich der Zahlen als Biontech vs Astrazeneca:Direkte Hirnblutungen (Cerebral haemorrhage): 10 vs 7
Ischämischer Schlaganfall (Ischaemic stroke): 11 vs 9
Schlaganfall durch Hirnblutungen (Haemorrhagic stroke): 1 vs 4
Interessant wirds bei den CVAs (Cerebrovascular accident): 55 vs 41CVA ist ein anderer Begriff für Schlaganfälle und beinhaltet beide oben genannten Kategorien.
Die Fatalität in der Oberkategorie ist mit 10 vs 10 identisch. Wieso erwähnt die FR nicht die 10 Hirnblutungen, 11 Schlaganfälle und 55 CVAs von Biontech aber die von Astrazeneca? So langsam frage ich mich welche Sau hier durchs Dorf getrieben wird.
Python 3.x through 3.9.1 has a buffer overflow in PyCArg_repr in _ctypes/callproc.c, which may lead to remote code execution in certain Python applications that accept floating-point numbers as untrusted input
Wow. Gibt es da niemanden, der den Hebel zieht?!
5,6 Milliarden, das ist fast so viel wie dieser Hedgefunds durch die Reddit-Foristen verloren hat! Wat!?!? Das blutet Google mal eben über ein Jahr raus?
Na kein Wunder, dass Google alle Nase lang vielgenutzte und geliebte Dienste zumacht. Ich habe hier gerade die Warnung gekriegt, dass mein Chromebook keine Updates mehr kriegen wird. Damit ist Google der einzige (!) Marktteilnehmer, der es schafft, einen Webbrowser alszuliefern, der keine Security-Patches mehr kriegt. Microsoft macht es besser, Apple macht es besser, Chromium macht es besser, fucking Mozilla macht es besser! Nur Google hält das für ein akzeptables Geschäftsgebahren, Kunden einfach ins Gesicht zu sagen, sie können die Geräte ja gerne weiter nutzen, wenn ihnen ihre Daten darauf nicht so viel wert sind.
Ja toll, Google, dann wandelt mal euer Geld weiter in Wolken um. Per Verbrennung.
Kurzfassung: GnuPG benutzt als Kryptolibrary aus religiösen, äh, Lizenzgründen nicht OpenSSL oder etwas anderes existierendes, sondern "libgcrypt", eine eigene Krypto-Library, die im Allgemeinen langsamer als andere ist und deren API noch übler ist als die von OpenSSL. Ich kenne kein Argument dafür, die gegenüber einer Alternative zu bevorzugen.
Da ist kürzlich eine neue Version released worden, 1.9, in der Assembler-Optimierungen für einige Funktionen neu dazu kamen. Unter anderem für Hashing-Verfahren. Hashing ist eine der wichtigsten Funktionen in einer Krypto-Library und spielt z.B. eine Rolle beim Validieren von Signaturen in GnuPG.
Wenn man Daten hasht, gibt es normalerweise drei Schritte. Man hat einen "Kontext", d.h. eine Datenstruktur mit dem internen Status, die initialisiert man (Funktion 1), dann ruft man so oft man es braucht "hash mal auch diese Daten hier" auf (Funktion 2), und am Ende holt man sich den Hashwert über alle bisherigen Daten (Funktion 3). Je nach Hashfunktion, für die man das macht, beinhaltet das Finalisieren noch ein mehr oder weniger abstoßendes Padding-Verfahren, denn die Hashes arbeiten normalerweise auf Blöcken von Bytes, nicht auf einzelnen Bytes.
Bei libgcrypt heißt der letzte Schritt "finalize". Der Assembler-Code nahm an, dass niemand so blöd sein würde, nach einem finalize nochmal weitere Daten hashen zu wollen, weil das nie gültige Ergebnisse liefern kann, denn da ist ja schon Padding reingeflossen.
Stellt sich raus: GnuPG macht genau das. Das sollte wohl ein halbherziger Versuch sein, einen Timing-Seitenkanal zu schließen.
Da hätte wohl der Autor von GnuPG mal mit dem Autor von libgcrypt reden sollen, denkt ihr euch jetzt vielleicht? Das ist dieselbe Person. Werner Koch.
Was heißt das? Anscheinend reicht das Öffnen einer verschlüsselten Mail mit GnuPG, um Speicherkorruption herbeizuführen und damit eventuell Remote Code Execution.
Ich habe den Bug nicht analysiert, aber wenn das stimmt, ist das auf der Krassheitsskala ungefähr so weit oben wie Heartbleed bei OpenSSL war, denn GnuPG hat keine Privilege Separation und kein Sandboxing. Die gute Nachricht ist: Das betrifft euch nur, wenn euer GnuPG so neu ist, dass er schon gegen die neue libgcrypt linkt, die vor ner Woche oder so erst rauskam.
Kann man diese Art von Bug verhindern?
Ja, kann man.
Diese Art von Bug wäre aufgefallen, wenn GnuPG eine Testsuite hätte, die z.B. mit valgrind oder dem Address Sanitizer automatisch durchläuft, bevor er eine Version released. Noch beunruhigender als dass das offensichtlich nicht stattfindet, finde ich Werner Kochs Reaktion, als Hanno Böck genau das vorschlägt. Er schließt den Bug als "invalid". Das ist selbst für Werners Verhältnisse ausgesprochen unprofessionell, aber leider nicht überraschend.
Hey, Werner, wenn du keinen Bock auf die Verantwortung hast, die der Maintainer von GnuPG tragen muss, dann übergib das Projekt doch am besten der Apache Software Foundation oder so. Jetzt wäre jedenfalls der richtige Zeitpunkt für zerknirscht Besserung geloben gewesen, nicht für close as invalid.
Ich muss dann wohl doch mal meinen OpenPGP-Code fertig machen. So geht das jedenfalls nicht weiter.
Update: Ich hatte meinen OpenPGP-Code prokrastiniert, weil ich dachte, fürs reine Signatur-Prüfen ist mein Ansatz mit der Prozessisolation vielleicht nicht nötig. Wer verkackt denn schon eine Hashfunktion, dachte ich mir.
Update: Leserbrief von Hanno Böck:
libgcrypt hat eine testsuite, und die hat den bug nicht gefunden. Müsste man jetzt genauer analysieren warum und ob das ein mangel bei der testabdeckung ist und sie den bug hätte finden sollen.
Der Punkt den ich aber kritisiert hab: Es gibt einen anderen bug in libgcrypt 1.9.0 in der testsuite, der durch asan gefunden wird. Es ist "nur" eine selbsttestfunktion, insofern ist der bug nicht so relevant, aber daraus kann man halt schließen: libgcrypt wird offenbar nicht regelmäßig vor einem release (oder via CI)mit asan getestet, sonst hätte das ja merken müssen.
Und achso, noch was: Valgrind hätte diesen Bug (also den in der testsuite) nicht gefunden. Das ist ein buffer overread in einem predefinierten array, sowas kann valgrind nicht. Siehe beispiel im Anhang.
Ich predige seit jahren dass die leute asan nutzen sollen und nicht glauben valgrind sei ein vergleichbar mächtiges tool. Ist es nicht.
SonicWall Hacked Using 0-Day Bugs In Its Own VPN Product
Wenn ihr es nicht wisst, aber einen Plasterouter einsetzt, dann ist die Antwort wahrscheinlich: Ja.
Sie haben ein Remote Code Execution-Bug gefunden, im DNSSEC-Codepfad.
Vielleicht erinnert sich der eine oder andere Leser noch an früher, als beim Booten nach unsauberem Runterfahren erstmal ein CHKDSK anlief und Dinge reparierte. Für Konsumenten-Rechner war das nicht so schlimm, aber auf Servern mit mehreren Terabyte großen Dateisystemen dauerte so ein CHKDSK schon mal Stunden bis Tage.
Daher hat Microsoft eines Tages entschieden, das Checking wegzumachen und stattdessen NTFS "self healing" zu machen. Ich hab ihnen damals davon abgeraten, weil so self-healing Kram Heuristiken fährt und nicht den Überblick hat, den CHKDSK haben kann. Möglicherweise macht der die Dinge sogar schlimmer.
Daher dachte ich, als ich das hier las, als erstes an das self-healing NTFS. Der Bug klingt ein bisschen danach, als würde da ein Sonderfall nicht bedacht und der self-healing Repariercode springt an und macht das Filesystem erst korrupt.
Das ist aber alles Spekulation. Einblick habe ich da keinen.
Tracked as CVE-2021-1647, the vulnerability was described as a remote code execution (RCE) bug that allowed threat actors to execute code on vulnerable devices by tricking a user into opening a malicious document on a system where Defender is installed.War das nicht die Software, die man einsetzt, damit man geschützt ist und auf Dokumente draufklicken kann, weil das Schlangenöl die Malware rausfiltert?Frage für einen Freund.
Wenn ihr jetzt "nein" sagen wollt, irrt ihr wahrscheinlich. Wenn ihr mit irgendeiner Java-Software interagiert, die irgendwas mit Krypto macht, dann ist da wahrscheinlich Bouncycastle drin.
Bouncycastle ist jetzt nicht komplett kaputt, nur ihre Implementation der bcrypt-Passwort-Crypt-Funktion von OpenBSD ist kaputt. Das betrifft glaube ich so gut wie niemanden.
Ihr solltet aber grundsätzlich immer alle Updates einspielen, auch wenn ihr glaubt, sie beträfen euch nicht.
Wie? Nein, diesmal keine Hintertür. Diesmal eine wormable remote code execution.
Fortschritt!!
Es handelt sich um eine Null Pointer Dereference, das man auslösen kann, wenn man einem OpenSSL ein böses Zertifikat gibt, das auf eine Revocation Liste zeigt, die auch böse ist, und das OpenSSL mit revocation checking läuft.
Man könnte also instinktiv sagen: Betrifft mich nicht, ich mach hier Serverseite ohne Client Certs. Und wenn ein Client segfaultet, da scheiß ich doch drauf.
Mein Rat ist: Immer alles patchen. Sofort.
Es gibt da einige beachtenswerte Details.
Erstens: Die Codequalität und das Design sind auffallend schlecht.
Zweitens: Wenn man einen Bug meldet, mit dem zero-click remote code execution geht, dann stuft das Teams-Team das nicht etwa als critical ein (dafür ist critical gedacht, um genau diesen Fall abzudecken), sondern als … "important, spoofing". Warum "important, spoofing"? Weil das noch in scope ist, um an dem Bug-Bounty-Programm teilzunehmen. Wenn es nicht in scope wäre, wären die Melder juristisch auch nicht an die Teilnahmebedingungen gebunden und könnten direkt 0days an Ransomware-Gangs verkaufen. Das ist also sowas wie der Mittelfinger von Microsoft an die Melder des Bugs.
Drittens:
angular expression filtering can be bypassed by injecting a nullbyte char in unicode \u0000, e.g.{{3*333}\u0000}
Mit dem Nullbyte-Trick haben wir in den 90er Jahren Perl-Webapps aufgemacht. Das ist immer noch ein Problem bei Web-Entwicklern?!Tja und die Remote Code Execution geht dann, weil dieser ranzige Gammelclient in Electron implementiert wurde, das ist im Wesentlichen ein Webbrowser mit Javascript, aber das Javascript hat Zugriff auf Filesystem und Systemresourcen und kann Prozesse starten. WAS FÜR EINE GROSSARTIGE IDEE!! Lasst uns mehr "Anwendungen" mit Electron machen! Wenn es eine Programmierumgebung gibt, in der wir Injection voll im Griff haben, dann ist es ja wohl Javascript!!1! (Danke, Bernd)
Im Gegensatz zu den Vorabmeldungen westlicher Impfstoffhersteller gibt es bei den chinesischen Impfstoffen keine so konkreten Vorabmeldungen, aber der Chef von SinoPharm hat sich auf WeChat geäußert.Weil ich das namentlich noch nicht im Blog hatte: Sputnik V ist der Covid-Impfstoff der Russen. Der bei dem der Westen eine beleidigte-Leberwurst-Kontroverse fabriziert hat, dass die Russen den angeblich zugelassen hätten, bevor er getestet war.Der Impfstoff-Test in China selbst ist ja nutzlos, weil es dort kein nennenswertes Infektionsgeschehen mehr gibt, aber dafür hat der Impfstoff eine Notfallzulassung für Chinesen, die ins Ausland reisen, etwa als Teil der Belt&Road-Initiative. Und das hat schon etwa eine Million genutzt, bisher ohne Erkrankungen (nur gelegentlich milde Symptome):
Das sind übrigens klassische Totimpfstoffe, die jahrelang in einem normalen Kühlschrank gelagert werden können.
Die globaltimes behauptet daher, die Effizienz sei bei 99-100%:
https://www.globaltimes.cn/content/1206389.shtml
Vorabinformationen sollte man aber immer kritisch betrachten, denn hier handelt es sich auch um ein PR-Rennen. Weshalb bisher jede Effizienz-Zahl von der nächsten PR-Meldung überboten wurde, vom Oxford-Impfstoff mal abgesehen. Der hat nämlich eine krasse Design-Schwäche: Weil man nur einen Vektor-Virus nutzt, scheitert die Impfung mit zwei Shots im Monats-Abstand daran, dass der Körper Antikörper gegen den Vektor hat. Das wird dann durch die 1/2-Dosis beim ersten Mal offenbar teilweise kompensiert. Sputnik V nutzt zur Lösung dieses Problems zwei verschiedene Vektor-Viren (Ad5 und Ad26). Den Oxford-Impfstoff würde ich jetzt als abgeschlagen ansehen.
Die zwei-Shot-Impfung ist aber wichtig. Und vielleicht auch der Grund, warum Influenza-Impfungen so schlecht wirken: Da bekommt man nur einen. Nur bei abgeschwächten Lebend-Impfungen (MMR z.B.) reicht ein Shot.
Benutzt ihr Webex deshalb, weil ihr gehört habt, dass bei Zoom unautorisierte Dritte reinkommen und mithören können?
Nicht authentifizierte Dritte konnten sich in Webex-Konferenzen einklinken, ohne dass sie zu einem Meeting eingeladen wurden. Dabei konnten die Eindringlinge die Konferenzen mithören und -sehen, sprechen und teils auf geteilte Medien zugreifen, ohne dabei in der Teilnehmerliste aufzutauchen - wie ein Geist. Der einzige Hinweis auf den Geist sei ein zusätzlicher Beitritts-Piepton gewesen - der bei großen Besprechungen jedoch häufig deaktiviert werde, schreibt IBM in einem Blogeintrag.Ja gut. Glücklicherweise werden in Meetings ja keine vertraulichen Dinge besprochen.
Sonst hätte man das ja von Anfang an nicht in die Cloud verlagern können, nicht wahr?
Ich meine, so blöde werden die Firmen doch nicht sein, dass sie ihre vertraulichen Besprechungen über jemand anderes Infrastruktur abwickeln? Oder? ODER?
All payload are processed in the context of NT AUTHORITY\SYSTEM.Hey, Produkte dieser Firma will man doch einsetzen?! Die Qualität springt einen förmlich an!1!!Ach was reg ich mich auf. Die Deppen da draußen patchen das und vergessen sofort, dass Cisco "vergessen" hat, sie auf diese Lücken aufmerksam zu machen. Dass eine der Lücken ausgerechnet in einem nach Backdoor klingenden Dienst namens SecretServiceServlet ist, das merkt ihr wahrscheinlich gar nicht.
Not my department, says Wernher von Braun.
Weil das eine sichere Sprache ist? Endlich sind wir die Probleme von C los?
Dann guckt mal die Liste an Problemen in deren Crypto-Code hier an. Nicht nur auf den Titel gucken, ihr müsst den Fließtext lesen.
Und kann heute keine Apps starten, die nicht von Apple kommen?
Deren OCSP-Server ist offenbar down und jeder App-Launch führt zu einem Nach-Hause-Telefonieren zu Apple zu diesem Server, der nicht antwortet.
Ein Einsender schreibt mir gerade::
Unis in Deutschland: Oh nein, völlig überraschend noch ein Online-Semester! Schnell, wir brauchen ein robustes Videokonferenz-System, shut up and take my money *schielt zu Cisco Webex*Daher fragt man für sowas ja auch Leute, die sich mit sowas auskennen.Schulen in Griechenland: Oh nein, völlig überraschend müssen wir wieder Online-Unterricht anbieten, Cisco, schafft ihr das?
Cisco: Kein Proble.. ups.
Ergebnis: WebEx in halb Europa kaputt (vermutlich wegen der plötzlichen, unerwarteten Last, oder wegen des CVEs neulich?):
Alternativen gibt's kurzfristig natürlich keine, aber "Cisco arbeitet an einer Lösung". Ach so, na denn wird ja alles jut.
Übrigens, Lacher am Rande (die Webseite lädt gerade ein bisschen langsam; warum wohl?):
Cisco Webex ist eine sichere, Cloud-basierte Collaboration-PlattformCloud, wir erinnern uns, machte man, damit man auf plötzliche Lastspitzen souverän reagieren kann, indem man einfach Server nachklickt. Und dass sie es wagen, nach dem CVE neulich da noch "sicher" hinzuschreiben, das ist auch echt geil.
Eigentlich müsste man den Satz gar nicht weiterführen nach "jemand".
Cisco hat mal wieder ein paar 0days in der Wildnis beobachtet, und war schockiert — SCHOCKIERT!!1!, dass die gegen Cisco-Anyconnect gerichtet waren! Ansonsten haben auch Kunden von Webex die Arschkarte, und SD-WAN scheint selbst für Cisco-Verhältnisse richtig doll schlecht zu sein.
Wieso kauft denen eigentlich immer noch jemand ihren Ranz ab? Was müssen die noch machen!?
Man würde ja denken, wenn du ein Admin-Interface baust, dass du dann im wesentlichen einen Job hast: Dafür sorgen, dass nur der Admin das benutzen kann.
Das ist jetzt das 2. Mal, dass die das dermaßen verkacken.
Der 1. Bug ist, dass die einen völlig überflüssigen API-Endpunkt eingeführt haben, vermutlich weil die Devops-Sprallos auf APIs stehen. Und dann haben sie in dem API-Endpunkt eine command injection vulnerability eingebaut. Weil, äh, YOLO! Wir entwickeln hier agil! Wir machen uns die Gedanken nachher, nicht vorher! Klar ist unser Code scheiße aber dafür reagieren wir schnell!1!!
Hey Fefe, wieso entwickelst du deine Software eigentlich selber und nimmst nicht anderer Leute agil entwickelten fertigen Lösungen? Tja, das werden wir wohl nie erfahren. Ein Mysterium!!1!
The big problem with this feature is that it is highly vulnerable to injection attacks. As the runner process parses every line printed to STDOUT looking for workflow commands, every Github action that prints untrusted content as part of its execution is vulnerable. In most cases, the ability to set arbitrary environment variables results in remote code execution as soon as another workflow is executed.Ach kommt, da muss man Verständnis haben. Das ist Microsoft. Die hatten noch nie Injection als Bugklasse!1!! Daher ist auch das Repo von Visual Studio Code betroffen.Niemand kann erwarten, dass die sich vorher existierende Bugklassen angucken. Wir sind hier in der Devops-Ära. Da wird erst implementiert, und danach guckt man, ob Fehler drin sind. Planen macht man nicht mehr. Das erinnert zu sehr an Wasserfall.
Und komm schon, wann hat Wasserfall jemals funktioniert? Gut, es hat uns als Spezies auf den Mond gebracht. Es hat die Entwicklung von Datenbanken und von Programmiersprachen und Finanzsoftware ermöglicht. Aber sonst? NICHTS hat es uns gebracht!!1! Heute pfuschen wir lieber und gehen dann pleite, wenn die Fehler offenbar werden. Oder wir fangen an, von "responsible disclosure" zu faseln.
Ich find das ja immer geil, dass die gleichen Leute, die uns eben noch erzählt haben, Wasserfall sei zu teuer, jetzt ein Abomodell für ihre Pfusch-Schrottware aufschwatzen wollen.
Der größte Fehler an dieser „Single-Target-PCR-Test“-Behauptung ist der, dass die humanen Coronaviren ein ziemlich *anderes* Spike haben als Covid19! Das eine sind Alpha-Coronaviren, das andere Beta-Coronaviren. Zwischen Alpha-Test und Beta-Test hat Bill Gates diese Viren praktisch komplett umgeschrieben (*scnr*). Am nächsten dürfte noch HCoV-NL63 sein, dessen Spike auch an ACE2 bindet; die anderen HCoVs binden sogar an andere Rezeptoren, und unterscheiden sich wohl noch mehr.Tut mir bitte einen Gefallen und arbeitet euch nicht an diesem Typen ab. Das bringt niemandem was.Und die Proteine kann man ja einfach angucken, es gibt da eine Online-Datenbank dafür, und die haben sogar ein Tool, um Alignments zu machen, also zu gucken, welche Sequenzen so ähnlich sind. Das ist sogar gut bedienbar, man wirft einfach seine Proteine in den Einkaufswagen und macht dann „Align“. Ich hab das mal gemacht, ich hoffe, der Link ist nutzbar:
https://www.uniprot.org/align/A202011015C475328CEF75220C360D524E9D456CE001DE2X
Das wird dann mit * markiert, was gleich ist. Jetzt hast du sicher in Bio aufgepasst, und weißt, dass eine Aminosäure (das wird hier verglichen) 3 Basen sind. Das längste gleiche Stück, das ich sehe, sind 6 Aminosäuren, also 18 Basen. Das könnte man, wenn man wirklich wollte, als PCR-Primer verwenden, um sowohl HCoV-NL63 als auch SARS-CoV-2 nachzuweisen. Davon gibt es drei, zwei davon recht nah beieinander, also ja, damit könnten man einen PCR-Test machen, der tatsächlich das leistet, was die VTler behaupten: HCoV-NL64 *und* SARS-CoV-2 single-target gleichzeitig nachweisen.
Die Targets für die PCR-Tests sind öffentlich, und natürlich nutzt man diese Sequenzen gerade nicht. Man nutzt eindeutige, stabile Regionen, die es allenfalls noch in SARS-CoV-1 gibt, denn da stört eine Kreuzreaktivität nicht. Ein Alignment damit habe ich auch mal gemacht, da sieht man, wie innerhalb der gleichen Familie dann doch massiv mehr Ähnlichkeiten sind:
https://www.uniprot.org/align/A20201101E5A08BB0B2D1C45B0C7BC3B55FD26556001E0E5
Das ist voller *************.
Leute, das Tool ist zugänglich. Wer das Tool nicht nutzt, wenn er über PCRs und Kreuzreaktivität faselt, ist ein verdammter Idiot.
Das ist einfach Scheiße, wenn man dann seinen Professor-Titel für so eine inkompetente Analyse hergibt, in einem Fachbereich, von dem man einfach absolut null Ahnung hat, und nicht mal die Internet-Tools bedienen kann, die da angeboten werden.
Der Mann ist kein Idiot, der ist Professor. Wir sollten den auf unsere Seite zu ziehen versuchen anstatt ihn zu beschimpfen.
hast du Lust auf eine kleine wissenschaftliche Medienkompetenzübung im Zusammenhang mit der Covid-19-Pandemie? Dann habe ich hier ein wunderschönes Beispiel für dich:Ich finde den Artikel ehrlich gesagt so überzeugend nicht. Es geht los mit:Der Autor des Artikels - seines Zeichens Psychologieprofessor - stellt die steile These auf, dass die zweite Infektionswelle in Deutschland ja gar nicht real sei, sondern eigentlich nur ein Artefakt der Testmethodik. Seine Argumentation geht grob wie folgt: Single-Target-PCR-Tests - also Tests, die nur genau auf das Hüllprotein-Gen prüfen - würden auch bei anderen, harmlosen Stämmen von Coronaviren positiv anschlagen. Genau diese Stämme seien aber saisonbedingt wieder im Kommen; man teste also in Wirklichkeit gar nicht auf SARS-CoV-2, sondern auf Coronaviren im Allgemeinen. Zudem gebe es ja gar keinen erkennbaren Anstieg in den bundesweit berichteten Atemwegserkrankungen, und die Intensivstationen seien auch nicht stärker ausgelastet als noch im Sommer.
Der Artikel ist sprachlich gut geschrieben, liest sich plausibel und ist unterfüttert mit diversen Quellenangaben, Grafiken und Tabellen aus reputabler Quelle, die die These des Autors zu stützen scheinen. Im Heise-Forum hat er jedenfalls viele überzeugt.
Wer genau aufgepasst hat, wird direkt feststellen: Daraus folgt erstmal nichts weiter, selbst wenn es stimmen sollte. Ob jetzt ein Autounfall dem schweren Covid-Verlauf vorgreift - Intensivpatienten sind häufig immungeschwächt, manchmal sogar künstlich herbeigeführt (bei Krebs oder Organtransplantationen etwa). Dann so Geraune wie:
Letzteres wird auch in einer offiziellen Antwort des RKI auf eine entsprechende Anfrage bestätigt.Ach? Ist das so? Wieso ist dann hier kein Link auf die Anfrage oder die Bestätigung?
Womöglich werden manche Intensivpatienten als "COVID-19-Intensivpatienten" geführt, obwohl sie keinerlei COVID-19-spezifische Krankheitssymptome aufweisen und in Wirklichkeit aufgrund von anderen Ursachen auf der Intensivstation liegen."Womöglich"?
Aber ich will dem Einsender nicht vorgreifen, seine Ausführungen gehen noch weiter:
Jetzt kommt der springende Punkt: Wenn man die Zitate, Grafiken und Tabellen einzeln genauer unter die Lupe nimmt, stellt man Schritt für Schritt fest, dass nahezu jede Aussage, die der Autor daraus ableitet, so aus der Quelle nicht hervorgeht.Das liest sich alles nicht schön, aber eine Sache will ich anmerken: "Die Datenbasis ist unvollständig" ist ein generelles Problem für beide Seiten. Da muss man bei neuen Krankheiten mit leben, dass man nur Fragmente der Fakten hat. Da kann man trotzdem Dinge draus schließen, aber die sind dann halt fehlerbehaftet und man sollte ich dann in die Richtung zu irren versuchen, die weniger Menschenleben kostet.Mal ist die Datenbasis unvollständig und nicht repräsentativ.
Mal gehen die aktiven Covid-19-Fälle im allgemeinen Grundrauschen der Millionen von berichteten Atemwegsinfekten unter.
Mal ist die Stichprobengröße winzig. (Da schreiben sich die Psychologenwitze wie von selbst!)
Mal missversteht der Autor, welche Gene in welchen Virenstämmen vorkommen und in welchen nicht.
Mal unterschlägt der Autor willkürlich, dass die hohe Falschpositivrate in einer zitierten Studie durch Vertauschung von Proben zustande kam - was in der Studie selbst bereits analysiert und korrigiert wird.
Lacher zum Schluss ist die folgende Passage zur Frage 'aber warum sind dann in unseren Nachbarländern die Intensivstationen bereits überlastet?':Ach naja, das finde ich immer schwierig, Unbekannten Bösartigkeit vorzuwerfen.
"Hier wäre allerdings zunächst zu überprüfen, inwiefern es sich hier um einen Effekt handelt, welcher im Vergleich zu den Vorjahren einen Ausnahmefall darstellt, oder ob es sich stattdessen um einen typischen saisonalen Effekt handelt. Nur im ersteren Fall ist davon auszugehen, dass es sich tatsächlich um einen Effekt des neuen Virus SARS-CoV-2 [handelt]. Eine solche Analyse liegt allerdings außerhalb des Rahmens dieses Artikels."
Keine weiteren Fragen dazu. :-DUnterm Strich lässt sich festhalten: Die angeführten Quellen geben viele Informationen her, aber die These des Artikels stützen sie definitiv nicht! Der Autor ist übrigens kein Unbekannter, sondern hat schon während der ersten Infektionswelle geleugnet, dass es überhaupt eine erste Welle gebe. Insofern würde ich ihm hier auch nicht nur Schlampigkeit unterstellen, sondern bewusste Irreführung
Übrigens: Das Phänomen, das diesem Artikel zugrundeliegt, hat der Drosten in seinem von mir heute morgen verlinkten Auftritt ja erklärt. Die Kliniken sagen gerade alle Operationen ab, bei denen am Ende zusätzliche Intensivpatienten rauskommen würden. Weil sie eben die Covid-Entwicklung sehen und so viele Betten wie möglich für Covid-Patienten freihalten wollen. Es kann also sein, dass der Telepolis-Autor das korrekt beobachtet hat und da nur nicht die richtigen Hintergründe kannte.
Übrigens an der Stelle auch gut passend: Die Antibiotika-Verschreibungen sind auf 20-Jahre-Tiefstand. Weil dank Abstand und Masken weniger Leute Infektionen abkriegen. Das wird vermutlich auch dazu führen, dass mehr Intensivbetten frei sind, die dann von Covid-Patienten aufgesogen werden.
Eine andere Sache muss man auch noch im Auge behalten. Krankenhäuser werden ja inzwischen auch als Profit Center gefahren, wenn es nicht gerade Unikliniken sind. Das heißt, wenn die die Wahl haben, ob sie einen Patienten nach Hause schicken oder noch ne Woche liegen lassen, dann haben sie einen finanziellen Anreiz, die länger liegen zu lassen. Ich will jetzt niemandem Korruption unterstellen, aber die finanziellen Anreize sind ganz klar da. Ob das bei Intensivstationen ein Faktor ist weiß ich nicht, aber von regulären Stationen weiß ich es.
Überhaupt muss man bei Statistiken immer vorsichtig sein. Sobald die für sowas wie Leistungskontrolle verwendet werden, gibt es verzerrende Sekundäreffekte. Nach Einführung der (freiwilligen!) Qualitätskontrolle in Krankenhäusern ging z.B. die Mortalität auf den Intensivstationen hoch. Auflösung: Die Stationsärzte haben ihre todgeweihten Patienten kurz vor dem Ableben auf die Intensivstation verlegt. Weil das in der Statistik besser für unsere Station aussieht, wenn der Patient dort stirbt als bei uns. Wissenschon.
Die Datenbasis, die wir für unsere Entscheidungen heranziehen, wird daher immer unvollständig und gelegentlich auch manipuliert oder irreführend sein. Damit muss man umzugehen lernen.
Ich persönlich maße mir nicht an, hier die Details bis zum Ende zu verstehen. Daher ziehe ich mich auf eine Risikoabwägung zurück. Und die sieht halt so aus: Drosten sagt, es gibt ein Problem, wir müssen jetzt was tun. Bhakdi sagt ist alles im grünen Bereich, kein Problem. Wenn wir Drosten glauben und er hat Unrecht, dann verplempern wir möglicherweise unnötig ein paar Milliarden und beschädigen die Wirtschaft (die eh mehr Ressourcen verbraucht als der Planet regenerieren kann und mehr CO2 ausstößt als wir dürften). Dafür müssen weniger Menschen vermeidbar sterben.
Wenn wir Bhakdi glauben und er hatte Unrecht, dann haben wir Blut auf den Straßen, verlieren auch Milliarden und die Wirtschaft fährt auch runter.
Auf der Plus-Seite, wenn Drosten Recht hat, dann waren die Maßnahmen ein guter Deal. Wenn Bhakdi Recht hat, haben wir ein paar Milliarden gespart.
Wenn ich da die möglichen Gewinne bei Drosten und Bhakdi mit den möglichen Schäden vergleiche, dann ist die Sache völlig klar. Wir machen, was Drosten sagt.
Ich finde das übrigens auch politisch wichtig, dass unsere Wirtschaft mal merkt, dass das mit dem ewigen Wachstum vorbei ist, und dass wir da Dinge umstellen müssen werden.
Oh und einen noch: Dass in unseren Nachbarländern die Intensivbetten schon voll sind, das hat tatsächlich auch den Hintergrund, dass die noch stärker als wir auf eine Ökonomisierung des Gesundheitssystem gesetzt haben. Die haben unter massivem Kostendruck ihre Intensivkapazitäten runtergefahren, weil unbenutzte Intensivbetten ja Geld kosten und nichts bringen. Wir in Deutschland haben unseren Kostendruck auf das Personal umgelenkt und die leiden jetzt unter menschenunwürdiger Bezahlung und Ausbeutung. Wir haben zwar mehr Intensivbetten pro Bevölkerung aber unser Personal hat Burnout. Ob das jetzt besser ist sei mal dahingestellt.
Update: Einige Leser wenden jetzt ein, dass die finanziellen Anreize für Liegezeiten weg sind, weil die gesetzlichen Kassen auf Fallpauschalen umgestellt haben. Der Anreiz wäre dann eher, so jedenfalls die Idee, die Patienten möglichst sofort wieder zu entlassen. Bei den gesetzlichen Kassenpatienten funktioniert das wohl auch ganz gut.
Update: OK da war ich anscheinend wirklich auf einem veralteten Stand. Der finanzielle Anreiz, Patienten länger liegen zu lassen, ist offenbar wirklich beseitigt. Auch für Privatpatienten.
Die RIAA hat deren Github-Präsenz weg-DMCA't. Ja, die RIAA gibt es noch. Ich war auch erstaunt.
Begründung: Das sei ein Umgehungswerkzeug für Kopierschutzmaßnahmen. Konkret weil man damit Songs von Youtube runterladen kann, wenn Youtube bloß eine Streaming-Lizenz gekauft hat und keine Download-Lizenz.
Die Homepage des Projekts gibt es noch aber die Links gehen alle ins Leere.
Das zuständige Landesamt habe offenbar nicht erkannt, dass es sich bei der beanstandeten Hitler-Datei um eine Parodie handele, mit der Hitler verspottet werde.Au weia. Ob die da KI-Software benutzt haben, vielleicht die, die von Youtube für den Uploadfilter verwendet wird?
Aber wartet, kommt noch härter.
zumal nicht einmal klar sei, ob sie die Datei überhaupt wahrgenommen habe (Az.: 2 L 1910/20). Die Polizistin sei lediglich Mitglied einer WhatsApp-Gruppe gewesen, in der die Datei gepostet wurde.Es gibt eine Whatsapp-Gruppe, darin geht eine Parodie herum, und wen ziehen sie raus? Die (eine?) Polizistin. Wo ist Alice Schwarzer, wenn man sie braucht?
Aber wartet, wird noch krasser.
Das Gericht bemängelte weiter, die Suspendierung der Frau sei nicht nur inhaltlich, sondern auch formal mangelhaft gewesen.Hey, lieber Herr Reul, wenn das mit der Karriere als Innenminister nichts wird - für Personal ihrer Kompetenzklasse haben wir jetzt den Flughafen Berlin-Brandenburg.
Auch der in dem Bescheid des Landesamtes geäußerte Verdacht, dass Straftaten begangen worden seien, etwa das Verwenden verfassungswidriger Kennzeichen oder Volksverhetzung, sei "nicht nachvollziehbar".Da steht jetzt leider nicht, welches Landesamt das war. Ich vermute mal: Das Landesamt für Verfassungsschutz?
Jedenfalls drängt sich bei dermaßen vollständigem Totalversagen noch eine weitere Erklärung auf: Dass die absichtlich verkackt haben, weil sie kein Interesse daran hatten, die ganzen Nazis ernsthaft zu bekämpfen. Welchen besseren Weg dafür kann es geben als die schwächste Anklage aufzubauen, die man sich ausdenken kann, damit das vor Gericht krachend scheitert (beachtet auch, wie außer dem Innenminister niemand namentlich genannt wird).
Falls sich jemand wundert, wieso die Staatsanwaltschaft bei so einer Farce mitspielt: Die Staatsanwaltschaft ist in Deutschland weisungsgebunden.
Update: Ein Leser hat mehr Details:
Hier gab es keine Anklage, da es eine verwaltungsgerichtliche Streitigkeit war. Es gab auch kein Urteil, sondern einen Beschluss in einem verwaltungsgerichtlichen Eilverfahren. Dort wurde auch nur eine vorläufige Regelung getroffen, bis die Angelegenheit in einem - länger dauernden - Hauptsacheverfahren geklärt wird. Beim Landesamt handelt es sich nicht um den Verfassungsschutz, sondern um das Landesamt für für Besoldung, welches quasi für die dienst- und bezügerechtlichen Angelegenheiten der Landesbeamten zuständig ist (die Frau wurde suspendiert, hiergegen hat sie sich gewehrt).
Entsprechend gab es hier auch keine Staatsanwaltschaft, die irgendwie beteiligt war.
Im Übrigen ist die Kritik natürlich gerechtfertigt. Die Tatsache dass allein die Mitgliedschaft in der Gruppe das Problem gewesen sein soll, ist natürlich verheerend. In WhatsApp Gruppen ist man unmittelbar nach der Einladung Mitglied ohne weiteres zutun. Man muss aktiv austreten, war dann aber dennoch für einen Moment Mitglied.
Aber das reicht ihnen nicht. Das sind auch die mit dem öffentlichen DNS-Server, der sieht, auf welche anderen Seiten ihr so geht.
Aber das reicht ihnen nicht. Das sind auch die mit dem Pilotprojekt für "verschlüsseltes DNS" mit Mozilla, damit sonst keiner sieht, was sie sehen können.
Und jetzt stellt sich raus: Auch das reicht ihnen noch nicht. Jetzt wollen sie auch noch, dass ihr ihren Cloud-Webbrowser benutzt. Damit sie auch noch sehen können, wo ihr die Maus hinbewegt aber nicht draufklickt, und wie lange ihr auf welcher Seite bleibt.
Gut, man könnte sagen, so häufig wie die ihre eigene Infrastruktur abschießen, da muss man keine großen Sorgen haben, dass nicht auch ihre Datenbanken mit den Datenkrankendaten periodisch gelöscht werden. Aber darauf würde ich mich ja eher nicht verlassen wollen. Browser in der Cloud ist jedenfalls die denkbar dämlichste Idee, die ich in den letzten Jahren gehört habe. Ja, NOCH dämlicher als "wir leiten alle Mozilla-DNS-Anfragen über Cloudflare".
Es ist natürlich auch ein massives Sicherheitsproblem, weil dann alle eure Logindaten für Webseiten bei denen in der Cloud landen und dort abgreifbar sind, für Cloudflare und sonstige Angreifer.
Wo wir gerade bei Datenkraken waren: Stellt sich raus, dass Google Chrome Google-Webseiten gerne mal von Privatsphäreneinstellungen ausnimmt. Uns hat der Benutzer bestimmt nicht gemeint, als er gesagt hat, er will alle Cookies löschen!1!!
Update: Hier kommt gerade noch ein Leserbrief dazu rein, der einen anderen wichtigen Aspekt beleuchtet:
dieser Satz hier (Zitat)
As a result, the only thing every sent to a user's device is a package of draw commands to render the webpage and this also means that the company's new service will be compatible with any HTML5 compliant browser including Chrome, Safari, Edge and Firefox.hat für mich noch eine ganz andere Implikation. Wenn ich den Ansatz richtig verstehe, bekommt der *echte* Browser auf dem so kastrierten Gerät nur noch einen Satz svg.Draw-Kommandos statt der eigentlichen Webseite. Das bedeutet, dass auch alle Meta-Informationen über die Objekte der Seite wegfallen und alles nur noch über Koordinaten, wo der User klickt, laufen muss. Wie sie mit Tastatureingaben umgehen sagt der Artikel nicht. Auf jeden Fall zerschießt ein derartiger Ansatz einmal komplett und rückstandsfrei den Access-Tree einer Seite - nein *aller* Seiten. Das ist der Ort, wo assistive Software heutzutage 95% ihrer Informationen hernehmen um beispielsweise Webseiten vorlesen zu können, Vergrößerung anzubieten oder Navigation in Seitenstrukturen möglich zu machen.
Das ist ein Arbeitsplatz-Zerstörungsprojekt für jegliche Menschen mit einer Behinderung, die ihren PC anders als mit Point and click bedienen wollen oder müssen!
Stell dir nur mal den ersten Arbeitstag für so einen Menschen in seinem neuen Unternehmen vor.
Im Bewerbungsgespräch noch so: "Mit assistiver Technik kann ich, ggf. mit Anpassung, heute ziemlich jede Software schnell und produktiv bedienen."
Vor Ort so: "Dann richten Sie sich mal ein. Gern geben wir Ihnen etwas mehr Zeit dafür. Wir nutzen übrigens Cloudflare for Teams mit Browser Isolation."
Neue Angestellte: "Oh ..." *panischer Blick* "Kriegen wir das irgendwie anders hin?" (Erklärungsversuch)
Vorgesetzte und Personalerin: "..." *tauschen Blicke*
Bis zu dem Zeitpunkt, wo du den Patch in der Hand hast, können Angreifer ja schon von der unterliegenden Lücke gehört und sie bei dir ausgenutzt haben. Eigentlich müsste man bei jedem Patch-Ausrollen auch gleich alle Server neu aufsetzen. Macht natürlich niemand.
Aber das ist ja auch eine kulturelle Frage.
Iteration 1 war der Mainframe. Der wurde so gut wie nie gepatcht. Das war die Generation "never touch a running system".
Iteration 2 war der Server, wie wir ihn heute kennen. "Habt ihr schon alle Patches ausgerollt?" Das ist eigentlich die falsche Frage und führt auch für alle offensichtlich in der Praxis immer wieder zu Problemen wie "keine zwei Server in unserem Hause sind auf genau demselben Patchstand" und "wir können gar nicht sagen, ob wir Untermieter auf unseren Servern haben".
Das ist doch eigentlich eine zentrale Frage, wenn man vertrauenswürdige Infrastruktur haben will. "Haben wir eine Hintertür?" Kannst du auf einem typischen System gar nicht einfach beantworten. Klar, es gibt Ansätze. Früher unter Unix gab es die Idee, dass man Prüfsummen von Systemdateien in einer Datenbank hat, und dann läuft man periodisch herum und guckt, ob die Prüfsummen noch stimmen. Das war eine Revolution damals, das erste mir bekannte Tool hieß Tripwire.
Dann gibt es natürlich einen Haufen reaktiver "Lösungen", die eine Liste von bekannten Hintertüren haben und nach denen gucken. Es ist hoffentlich offensichtlich, dass das alles Theater ist.
So und jetzt zu dem Teil, um den es mir eigentlich geht. Die nächste Iteration. Was könnte man denn machen, um das Problem auf einem fundamentalen Niveau zu lösen?
Naja, eine Backdoor ist ja eine Modifikation einer bestehenden Installation. Wenn man alle Modifikationen verbietet und verhindert, dann gibt es auch keine Backdoors mehr. Stimmt inhaltlich nicht, es gibt auch Backdoors, die auf der Platte nichts verändern und sich nur im RAM aufhalten, aber bleibt mal kurz bei mir.
OK, können wir unsere Server so umstellen, dass die read-only sind? Keine Modifikation am Systemimage? Grundsätzlich ginge das, aber man müsste dann jedesmal ein neues Image bauen, wenn es Patches gibt.
Stellt sich raus: Das kann man nicht nur machen, das kann man vollautomatisch machen! Und es ergeben sich dadurch auch andere Vorteile, nämlich dass man weiß, dass keine Benutzerdaten auf der Systemplatte liegen, die man möglicherweise ins Backup packen muss.
Iteration 3 ist also, dass auf allen Servern (kann man auch mit Client-Systemen machen!) ein unveränderliches System-Image gebootet wird, das automatisiert aus einem anderen System herausfällt. Hat auch den Vorteil, dass man kein Patchrisiko mehr hat. Wenn ein Patch nicht geht, bootet man halt wieder das Image von davor.
Kommt das jemandem bekannt vor? Das ist die zentrale Innovation von Cloud Computing. Dass das "in der Cloud" läuft ist irrelevanter Tand. Amazon hat AWS nicht für andere gebaut, sondern für sich selbst. Dass man das auch verkaufen kann ist ihnen erst danach aufgefallen.
Und das ist, was mich gerade wundert. Dass wir nicht mehr über Iteration 3 reden. Stattdessen halten wir uns mit der Frage auf, ob die den Patch schnell eingespielt haben oder nicht. Und wenn die den Patch schnell eingespielt haben, dann ... *schulterzuck* dann konnte man wohl nichts machen. Ja, äh, doch! Konnte man!
Es gibt da jetzt natürlich eine Menge Detailfragen, die das komplizierter machen als ich es jetzt hier ausgeführt habe. Konfigurations-Management und Datenhaltung sind die beiden großen Dinge. Bei Konfigurations-Management haben viele Organisationen heute schon Automatisierung, aber das ist häufig noch Iteration-2-Automatisierung, die an bestehenden Systemen herumfummelt, sowas wie Ansible oder Chef oder Puppet oder Saltstack oder wie sie alle heißen. Dass jemand tatsächlich automatisiert ein Image mit der Konfiguration eingebacken baut und verteilt, das ist immer noch eine Rarität. Warum eigentlich?
Und was ist mit der Datenhaltung? Die einfache Antwort ist: Die Daten liegen in der Datenbank und/oder dem Netzwerkspeicher (der natürlich so angebunden sein muss, dass man keine Programme von dort ausführen kann). Aber auch hier kann man gucken, ob man nicht das Prinzip der Zurückrollbarkeit anwendet, und seine Daten so ablegt, dass man nichts ändern sondern nur Änderungen am Ende anfügen kann. Wenn es dann einen Angriff gibt, kann der nicht die Daten alle verschlüsseln und mich erpressen sondern er kann nur irgendwas am Ende anfügen. Wenn ich das abschneide, hab ich den Zustand von vorher.
Das ist alles so offensichtlich und so attraktiv, dass ich mich echt frage, wieso da niemand drüber redet.
Das löst das Problem der Sicherheitslücken nicht, versteht mich da nicht falsch. Du kannst immer noch aufgehackt werden und der Angreifer kann immer noch deine Daten raustragen und auf dem Schwarzmarkt verhökern. Das ist ein separates Problem. Auch dafür gibt es übrigens gute Lösungsansätze!
Aber dass auf dieser fundamentalen Ebene die Business Continuity so wenig eine Rolle spielt, das wundert mich echt.
Auf der anderen Seite sind Menschen ja schon immer notorisch schlecht mit der Vorbereitung auf Katastrophen. Das hat ja zuletzt der Warntag gut demonstriert. Niemand nimmt an, dass der Blitz bei einem Gewitter ausgerechnet ihn treffen könnte. Vielleicht ist das auch hier die Erklärung.
Und kommen wir noch mal kurz zu der Sache mit der Backdoor rein im RAM. Nun, die ist beim nächsten Boot weg. Weil das Image immutable ist, kann sich da auch keine Backdoor eingenistet haben. Wenn also ein Citrix-Patch reinkommt und du das Bootimage für die Citrix-Server neu baust und auf die Server verteilst und reinbootest, dann sind auch automatisch alle Backdoors weg.
Laut Bericht des NRW-Justizministers starb eine Patientin, die wegen des Angriffs auf die Server der Klinik in ein weiter entferntes Krankenhaus nach Wuppertal gebracht werden musste.Das ist zu 100% Verantwortung der Uniklinik. Ransomware müsst ihr euch wie Schimmel an der Wand vorstellen. Wenn im Operationssaal Schimmel an der Wand ist, dann ist nicht der Schimmel der Täter, sondern der Zuständige, der das soweit runterkommen ließ, dass sich da Schimmel bilden konnte.
Grotesk, wie sie das jetzt auf die Ransomware zu schieben versuchen! Und nicht nur auf die Ransomware, auf jeden der nicht bei drei auf den Bäumen ist!
Die Sicherheitslücke, die die Hacker ausnutzten, habe sich in einer marktüblichen und weltweit verbreiteten kommerziellen Zusatzsoftware befunden, teilt die Uniklinik mit.Wenn ihr da den Bullshit zur Seite baggert, bleibt als Aussage übrig, dass WIR NICHT SCHULD SIND, denn die Software war MARKTÜBLICH, d.h. die anderen sind alle genau so scheiße aufgestellt wie wir.
Ich weiß ja nicht, wie es euch geht, aber in meiner Welt entschuldigt das gar nichts.
Aber wartet, geht noch weiter.
In dem Zeitfenster, das die Softwarefirma zum Schließen der Lücke benötigte, seien sie Täter in die Systeme eingedrungen.Wenn ihr hier den Bullshit beiseite baggert, bleibt die Lüge übrig, dass der Zulieferer für das Updaten von Software halt Zeit brauchte. Nein, brauchte er nicht. Das kann man alles komplett wegautomatisieren. Seit Jahren. Hätte die Uniklinik machen können, HAT SIE ABER NICHT. Daher: Was sie uns hier eigentlich sagen wollen, ist dass es nicht ihre Schuld ist, sondern der Zulieferer war zu langsam.
Die würden gerade ihre eigene Mutter beschuldigen, wenn es irgendwie ginge, um sich selbst aus der Schusslinie zu bringen. Ich fände es gut, wenn da mal ein paar Leute ihren Job verlieren. Wie wäre es, wenn ihr mal ein paar überflüssige Verwaltungsjobs wegmacht und mit dem Geld euren Keller entschimmelt?
Aber der größte Hammer an der Story ist in meinen Augen das hier:
die Täter hätten nach Kontakt zur Polizei die Erpressung zurückgezogenOh ach so?
Die IT-Experten haben mittlerweile den Zugang zu den Daten wiederherstellen können.Ja, äh, was für eine Ausrede bleibt euch denn dann noch, liebe Uniklinik?!
Könnt ihr mir nochmal erklären, wieso jetzt irgendjemand anderes als ihr für den Tod dieser Patientin die Verantwortung tragt?
Sagt mal, … gibt es da nicht persönliche Haftung für die Vorstände bei solchen Sachen? Mir war irgendwie so.
Update: Ein Vögelchen zwitschert mir gerade, dass das die Citrix-Lücke vom letzten Jahr war, über die die Ransomware reinkam. Ja, Shitrix. Das sollte strafrechtliche Konsequenzen haben, wenn jemandes Krankenhaus über ein halbes Jahr nach Bekanntwerden der Lücke und Verfügbarkeit von Patches über die Lücke angegriffen wird. Ab in den Knast mit den Zuständigen.
Update: Das BSI sagt auch, dass es Shitrix war.
Ein Sprecher der ZAC bestätigte, dass die Hacker eine Sicherheitslücke in einer Software genutzt hätten, die bei vielen Unternehmen genutzt werde. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) handelte es sich um ein Programm der Firma "Citrix". Eine seit Januar bekannte Schwachstelle in VPN-Produkten der Firma werde für Cyber-Angriffe ausgenutzt.
Dann erzählen sie was von Fällen, bei denen Leute gehackt wurden, bevor Citrix Patches fertig hatte. Ich bin ja auch ein Freund davon, Citrix öffentlich mit Scheiße zu bewerfen für ihr Verhalten bei der Lücke, aber in diesem Fall kam die Ransomware offensichtlich deutlich viel später als es Patches gab. MONATE später. Ein fucking halbes Jahr später.
Ja aber Fefe, was wenn die Ransomware-Leute über eine Backdoor reinkamen, die sie sich installiert haben, bevor es einen Patch gab? Mal abgesehen davon, dass da mehr Konjunktiv als in einer CDU-Rede über ihre Visionen für die Zukunft ist: NA DANN HÄTTE MAN VIELLEICHT MAL NACH BACKDOORS GUCKEN MÜSSEN? Wenn man sich nicht sicher ist, vielleicht ein paar zentrale Infrastrukturkomponenten neu aufsetzen? Das ist alles kein Hexenwerk. Aber bei der Methode "Kopf in den Sand" hat man halt unbefriedigende Ergebnisse.
Update: ACH NEE, die Uniklinik hat ein Statement veröffentlicht. Ich fasse mal zusammen: Sie sagen, sie haben alle Patches noch am selben Tag installiert, und das danach von zwei externen Firmen prüfen lassen, ob die Lücke jetzt auch wirklich zu ist.
Dann wundere ich mich über die vorherige Aussage derselben Leute, dass die mit der Wartung beauftragte Firma noch nicht dazu gekommen war, das zu patchen. Was stimmt denn jetzt? War das jetzt gepatcht oder nicht? Und wenn es gepatcht war, wie sind die dann reingekommen?
Lasst mich mal kurz wild spekulieren. Sie haben irgendwelche Workarounds ausgerollt, die nicht gereicht haben (sich später als unzureichend herausstellende Workarounds gab es wirklich und dafür trifft die Schuld zu 100% Citrix). Dann haben sie turnusmäßig einen Pentest machen lassen. Da geht es häufig nicht um Security sondern um Compliance. Der Kunde will im Wesentlichen eine Checkbox vom Pentester angekreuzt haben, dass alles OK ist. Entsprechend gibt es da einige Marktteilnehmer, die dann auch nicht so genau hingucken, denn wenn man was findet, macht das ja dem Kunden bloß Ärger, den keiner gebrauchen kann. Ich spekuliere weiter: Dem Pentester haben sie dann auch nicht gesagt, wonach er gucken soll, und vielleicht sogar noch, dass sie ja bei Citrix den Workaround eingespielt haben. Das hätte bei einigen Pentest-Anbietern gereicht, und schon fällt das hinten runter. Oder so.
Könnte so gewesen sein. Würde die Faktenlage erklären. Und dann könnte den Pentester eine Teilschuld treffen. Insiderinformationen habe ich in dieser Angelegenheit keine, insofern werden wir das wohl nie ausfinden. Wenn es tatsächlich stimmt, dass die noch am selben Tag alle Patches eingespielt haben, dann stellt sich zwar immer noch die Frage, wieso sie keine Backdoors gesucht und gefunden haben, aber dann wäre meinem Gerechtigkeitsgefühl nach Citrix in der Haftung. Wird natürlich alles nie passieren. Weil wir uns alle in einem großen Müllhaufen aus überkomplexen Frickelsystemen bewegen, deren Kontrolle uns längst entglitten ist. Mehr als Best Practices geht da in der Praxis nicht, und wenn die tatsächlich Patches noch am selben Tag einspielen, dann sind sie (so schmerzhaft das ist!) dem Rest der Industrie an der Stelle sogar weit voraus. Übliche Einspiellatenzen sind eher so im Monatsbereich.
Das Problem: Der Sicherheitsforscher Tom Tervoort hat entdeckt, dass der Parameter Clientcredential - Teil der Funktion ComputeNetlogonCredential - in einem aus 256 Fällen ebenfalls aus acht Nullen besteht, wenn Angreifende die Challenge, die zwischen Domänencontroller und -clients für eine Authentifizierung ausgetauscht wird, auf ausschließlich null setzen. Nach maximal 256 Brute-Force-Versuchen mit dem Call NetrServerAuthenticate3 kann sich das System in einer Domäne als Client authentifizieren, was laut dem Forscher etwa 3 Sekunden Rechenzeit entspricht.Top Notch Engineering, Microsoft!
Bonus: Der Bug gammelt da seit dem 1. April herum.
Das bietet eine schöne Gegenüberstellmöglichkeit, die Craig Murray für einen Vergleich mit dem Schauprozess gegen Julian Assange nutzt. Wo sind denn da die, die bei Murdoch eben noch Pressefreiheit-Proponenten waren?
Aber eigentlich wollte ich diesen Absatz hier hervorheben. Vorgeschichte: Craig Murray begleitet den Assange-Schauprozess von Anfang an, und kam dann völlig überraschend aus Platzgründen nicht mehr rein eines Tages. Dann passiert das hier:
Given these restrictions, I was very conscious I may need to queue from 5am tomorrow, to get one of the 4 public places, if I drop off the family list. So I went this morning at 6am to the Old Bailey to check out the queue and work out the system. The first six people in the queue were all people who, entirely off their own bat, without my knowledge and with no coordination between them, had arrived while London slept just to reserve a place for me.Wie geil ist DAS denn?Oh apropos, wo wir gerade bei Julian Assange waren. Da ist jetzt völlig überraschend herausgekommen, dass der in der Botschaft umfassender abgehört wurde als bisher bekannt war! Ich weiß! Völlig überraschend kam das! Die finden ja alles raus! Alles! Immerhin hat die ARD auch eine einstündige Doku produzieren lassen, die jetzt in der Mediathek anguckbar ist.
Naja, werdet ihr euch jetzt denken, das ist bestimmt alter Gammelcode. Heute würde sowas in neuem Code nicht mehr passieren.
Doch, würde es. Das ist brandneuer Code.
m(
Und natürlich mit der üblichen Lügentaktik.
Neben Mord und Totschlag, schwerem Raub oder gefährlicher Körperverletzung finden sich in der Liste durchaus weniger gravierende Straftaten: wie Beleidigung, unerlaubtes Entfernen vom Unfallort und Diebstahl. Drei Fälle betrafen Vermisstensuchen. Strafverfahren wurde bis Ende Juli keine eingeleitet.Naja gut, aber sie werden ja wenigstens die Leute benachrichtigt haben, deren Daten sie hier vergewaltigt haben?
Das Ministerium betont die "Berücksichtigung des Grundsatzes der Verhältnismäßigkeit", eine Benachrichtigungspflicht jener Gäste, deren Daten man einsah, bestehe nicht.Natürlich nicht! Wo kämen wir da hin! Denn die Strategie sieht ja vor, dass man sich tot stellt, und hofft, dass es erst auffliegt, wenn die Leute keinen Puls mehr deshalb kriegen.
Wer wählt eigentlich immer und immer wieder diese CSU-Typen ins Amt in Bayern? Seid ihr alle ein bisschen doof, dass ihr das nicht merkt, was das für Verbrecher sind?
Ich meine, wenn die wenigstens ihre Strategie ab und zu ein bisschen ändern würden, damit man sagen könnte, ihr habt es nicht gemerkt, weil sie euch diesmal anders verarscht haben als sonst. Aber nein! Machen sie ja nicht! Immer dieselbe Masche!
Kompromissvorschlag: Wählt lieber die Bayernpartei. Spaltet euch ab. Der Rest des Landes kann dann endlich ein Tempolimit auf der Autobahn einführen. Ihr könnt da in Bayern euren Faschismus ausrollen. Und wir müssen nicht mehr eure Seehofers und Scheuers ertragen.
Warum nicht Teams? Die nehmen das wenigstens ernst mit dem Datenschutz!
Unter uns: Beides finde ich völlig abwegig. Das ist geradezu für Deppen-Manager gemacht, die sich an der Illusion von Kontrolle über ihre Leute aufgeilen, aber eigentlich nur die ganze Zeit im Weg rumstehen.
Ist ja komisch, Cheffe! Ich frage alle 10 Minuten nach einem Statusupdate und packe denen ständig Meetings in den Kalender, wieso kriegen die denn nichts fertig?! Das liegt bestimmt an denen.
Dann, wenn ein Sicherheitsproblem auftritt, nutzt der Hersteller die Geheimhaltung, um das Ausmaß des Problems zu verschleiern.
Und Drittens ist diese Technologie so komplex und so schwierig von außen zu verstehen, dass es Jahre dauert, bis die Forschung diese Details herausgefunden hat.
Wir reden hier von einer menschengeschaffenen Sache, nicht von einem Aspekt der Natur! Stellt euch mal vor, Brücken würden so gebaut! Ja gut, die ist jetzt eingestürzt, aber vielleicht stürzen die anderen ja nicht von alleine ein! Wir reduzieren mal den Verkehr, vielleicht hilft das ja!1!! Wir reduzieren uns hier selbst auf vorsintflutliche phänomenologische Aberglauben-Level Reaktionen auf Verhalten, das wir verstehen könnten, aber wo wir absichtlich im Dunkeln gehalten werden. Ich finde das einen Riesenskandal.
Attacken sollen vergleichsweise trivial sein. So könnten Angreifer aus der Ferne und ohne Authentifizierung die volle Kontrolle über Systeme erlangen.Ja super!
Wie? Nein, kein Schlangenöl! Wobei ... nee doch, ist eigentlich doch Schlangenöl. Jemand hat bei Balancer die Kohle rausgetragen. Das ist alles "Crypto"-Jargon, der mit dem einen Ziel geschaffen wurde, eine Nebelwand zu errichten, um zu verschleiern, was hier wirklich passiert ist. Ich versuche mal eine Erklärung.
Es geht hier um Smart Contracts, d.h. Codestücke in der Blockchain, die "automatisch ausgeführt werden", vom System sozusagen. Die doppelte Steigerung von "keiner ist Schuld". Erstens: Software. Zweitens: "Das System" führt sie aus. Da kann nun wirklich niemand was für.
Was war geschehen? Jemand hat die Dokumentation gelesen.
Nein, wirklich. Das ist alles. Ich zitiere mal:
Decentralized finance (DeFi) liquidity provider Balancer Pool admitted early Monday morning that it had fallen victim to a sophisticated hack that exploited a loophole, tricking the protocol into releasing $500,000-worth of tokens.Hier muss man mal mit der heißen Machete durch den Bullshit-Jargon durchschneiden, damit man versteht, was passiert ist. "DeFi" ist z.B. ein Nebelwand-Bullshit-Codewort für Crypto-Bullshitwährungen. Das De steht für Decentralized, das stimmt ja sogar, und das Fi ist halt Marketing-Wunschtraum. Wir sind ein Finance Player!!1!Zurück zum Inhalt. Es gab keinen Hack. Es war auch kein Mensch, der hier Entscheidungen gefällt hat, sondern ein "protocol". Gemeint ist: Code. Sie haben Code geschrieben, der Geld verschenkt. Das ist die Bedeutung des Begriffes "liquidity provider". Liquidität ist in einem Markt, wenn Geld für Transaktionen verfügbar ist. Die Idee ist, dass es Angebot und Nachfrage gibt. Wenn es mehr Angebot als Nachfrage gibt, geht der Preis runter. Wenn es mehr Nachfrage als Angebot gibt, geht der Preis hoch. Solange der Markt liquide ist, gibt es aber immer jemanden, der die Waren abnimmt, oder der Waren verkauft. Nur halt möglicherweise zu einem sehr ungünstigen Preis.
Liquidität am Markt zu haben ist schon bei großen Aktenbörsen teilweise ein Problem, und es gibt dafür Mechanismen (die sogenannten Market Maker). Bei diesen ganzen unseriösen Bullshit-Crypto-Abzockgeschichten gibt es sowas aber natürlich nicht, es gibt ja auch keine Regulierung, das ist alles Wilder Westen. Damit man zumindest eine Bullshit-Geschichte zum Erzählen an Opf... äh zukünftige Kunden hat, wurde dieser Mechanismus geschaffen.
Der verschenkt natürlich nicht einfach an beliebige Passanten Geld, sondern nach Regeln.
Jemand hat jetzt die Dokumentation gelesen, was für Regeln das sind, und die dann künstlich herbeigeführt. Und zwar, wie sich das bei Zockern gehört, auf Pump. Damit der Hebel größer wird.
the attacker had borrowed $23 million-worth of WETH tokens, an ether-backed token suitable for DeFi trading, in a flash loan from dYdX. They then traded, against themselves, with Statera (STA), an investment token that uses a transfer fee model, and burns 1% of its value every time it’s traded.Was fällt als erstes auf? Kein Hack. Es gab keinen Hack. Jemand hat valide Transaktionen am Markt durchgeführt. Mit eigenem Einsatz. Gut, geliehen, aber er haftet ja für geliehenes Geld.The attacker went between WETH and STA 24 times, draining the STA liquidity pool until the balance was next to nothing. Because Balancer thought it had the same amount of STA, it released WETH that equated to the original balance, giving the attacker a larger margin for every trade they completed.Der Code, der das Geld ausschüttet, hat gemäß seinen Regeln Geld ausgeschüttet.“The person behind this attack was very sophisticated smart contract engineer with extensive knowledge and understanding of the leading DeFi protocols,” 1inch said in its blog post on the breach.OH NEIN! CHEF WIR HABEN EIN PROBLEM! DER ANGREIFER KANN LESEN!!1!Ja gut, damit konnte niemand rechnen. Wo kommen wir da hin, wenn Angreifer sich vorher die Dokumentation durchlesen?
the team behind Statera batted away accusations that the protocol had either failed or been designed intentionally for this sort of attack to take place.Was für ein Angriff? Jemand hat das System regelkonform benutzt, und zwar genau dafür, wofür es gedacht war.Ergebnis:
The project added that it was not in a position to be able to refund the attacker’s victims.Ach Gottchen. Lange habe ich nicht mehr so viel Elend gesehen! Mein Mitleid kennt keine Grenzen!Dies ist glaube ich die richtige Gelegenheit, nochmal den "Smart Contracts"-Teil meines Hypetech-Vortrags zu verlinken. Es ist mir aber an der Stelle wichtig, dass das kein Hackerangriff war. Der Angreifer hat den Code genau dafür angewendet, wofür er gedacht war. Nur haben die Deppen, die den Code geschrieben haben, sich halt vorher nicht ordentlich Gedanken gemacht. Das macht es nicht zu einem Hackerangriff. Eher zu einem Fall von "hättet ihr mal jemanden gefragt, der sich mit sowas auskennt".
Was ich ja immer wieder faszinierend finde: Dass jemand Startups in dem Umfeld noch Geld gibt.
Update: Wird noch besser!
If this sounds familiar, it's because we saw similar attacks happening earlier this year. Back in February, tokenized margin trading and lending platform bZx suffered two attacks, which were defined as not an oracle attack, but "a clever arbitrage execution."
Der Angriff war bekannt, aber sie haben ihn nicht verhindert, weil es nicht ihr Geld war, das sie da verteilt haben.
Das eigentliche Problem von Ioannidis' Bullshit ist anscheinend ein Elefant im Raum, den niemand erwähnt:Diese verfickten und angeblich „kaputten“ Modelle mit den vielen Toten operieren unter der Annahme, dass man nichts tut! Die „Widerlegungen“ operieren unter den realen Bedingungen, in denen man sehr viel getan hat. Und wenn hier Ende Februar schon die Regale leer waren waren, dann sind die Leute halt nicht erst Ende März, als es dann endlich verordnet wurde, in Quarantäne gegangen!
Die einzige Frage ist dann, wie viel mehr erzwungen bringt als freiwillig, und dazu haben wir die Schweden (Freiwillig ist marginal zu wenig). Die wirtschaftlichen Folgen von zu wenig sind schlimmer als die von zu viel.
Wenn man also den Menschen als Virusträger nicht als Punkt in einer Wolke modelliert, sondern mit Hirn, ergibt sich bereits aus der Prognose ein Denkvorgang, der Hygienemaßnahmen zur Folge hat. Ja, so eine Überraschung auch, ich glaube, wir haben intelligentes Leben gefunden! Wider aller Erwartung! Staun! Trotz Hildmann und Co.!
Die IFR haben wir inzwischen dank der spanischen Untersuchung mit einem sehr breit ausgerollten Antikörpertest (60000 Leute) relativ sauber: ~5% Infektionsrate laut Antikörpertest (5,5% total, mit Rate+Rauschen) führte zu etwa 45000 Toten (offiziell+Übersterblichkeit, und da man von Murcia bis Madrid alles durchgetestet hat, hat man mit den 1,5% Infektionsrate in Murcia einen plausiblen Datenpunkt für das Hintergrundrauschen: Murcia hatte tatsächlich 1/10-1/20 von Madrids Infektionsgeschehen, und hätte dann ~1% Infektionsrate — die ~0,5% Hintergrundrauschen sind für einen sehr guten Test plausibel, und ändern am Gesamtergebnis nicht mehr viel).
Das ist 0,1% der spanischen Bevölkerung, die da innerhalb eines Monats mit heftigem Abbremsen in einem sehr starken Lockdown gestorben sind. D.h. wir haben ungefähr 2% IFR, oder ca. 1,3% der Bevölkerung, wenn die Herdenimmunität tatsächlich bei 66% erreicht wird. Das ist ein Test, bei dem die Messung selbst plausibel ist. Das sind jetzt nicht die 10% oder 30% von SARS und MERS, und auch nicht die über 50% von Ebola, aber es ist halt doch relativ viel.
Viele früheren Antikörper-Tests waren fehlerhaft kreuzreaktiv, und aus fehlerhaften Daten kann auch der beste Statistiker nur Müll extrahieren (wobei gute Statistiker aus fehlerhaften Daten die methodischen Fehler extrahieren, also den Müll offensichtlich machen). Dass dann auch noch Studien mit kleinen Zahlen wie die von Streeck (7 oder 8 Tote sind auf jeden Fall eine kleine Zahl, und eigenen sich nicht für eine Hochrechnung) benutzt werden…
Die 2% sind vergleichbar mit der Spanischen Grippe in Industrienationen wie das damalige Deutschland, das etwa 1% der Bevölkerung verloren hat (Infektionsrate ist da unbekannt, aber wir können raten: Das lief wenig gebremst durch). Die Spanische Grippe hat in Nicht-Industrienationen zwei interessante Eckpunkte, nämlich Indien mit 5% der Bevölkerung, und China mit „welche Spanische Grippe?“, trotz praktisch gleicher Armut, und praktisch nur TCM-Tees als Medizin, und zeigt, dass Armut nicht das ausschlaggebende Kriterium ist. Auch Covid-19 hat derzeit vor allem reiche westliche Industrienationen befallen.
BTW: Das schlimmste Preprint-Paper, das ich bisher gesehen habe, behauptet, die meisten Leute würden keine Antikörper produzieren. Sie haben eine bescheuerte Annahme über die Ansteckungsrate gemacht, Antikörper gemessen, keine gefunden, und statt ihre bescheuerten Annahme in die Tonne zu kloppen, daraus geschlossen, dass die meisten asymptomatischen Patienten keine Antikörper entwickeln.
Wenn das Wissenschaft ist, dann können wir auch gleich eine Hexe verbrennen, und dann ist Corona beendet (ich vermute, dass die 25% Infektionsrate unter Krankenhausmitarbeitern die aus Texas ist, und in Wuhan halt dank Verfügbarkeit guter Schutzausrüstung halt weit weniger).
Tatsächlich haben wir dank lokaler Ausbrüche, z.B. Chorgesang mit >90% registrierten PCR-Infizierten (das ist so knapp mehr als false negatives zu erwarten sind), eine gute Vorstellung, wie viele ansteckbar sind, und die Fälle, die in der Regel wohl systematisch „verloren“ gehen, sind Kinder, die ihre Eltern oder Lehrer anstecken, selbst asymptomatisch sind, und zu spät getestet werden. Solche systematischen Fehler führen dann natürlich zu falschen Schlüssen, etwa, dass man Schulen bedenkenlos öffnen kann, obwohl Kinder Seuchenschleudern sind.
Das Phänomen, zuerst gehörte Informationen zu glauben und auf Teufel komm raus zu verteidigen, macht halt auch vor Leuten wie Ioannidis nicht Halt. Der ist wahrscheinlich auch mehr vom Typ Rebell, d.h. er hat erst mal eine Oppositionshaltung. Kann er die dann korrekt begründen, hat er das große Los gezogen. An den Grundsatzkritik, dass Mediziner selten Statistik über das Bilden eines Mittelwerts hinaus können, würde ich mich sogar beteiligen, das ist sicher völlig korrekt.
Und in der ganzen Betrachtung mit der Letalität fehlen die Langzeitfolgen für die Überlebenden völlig. Bei SARS sind 10% gestorben, und 40% sind so chronisch müde geworden, dass sie keiner Arbeit mehr nachgehen konnten. Gesellschaftlich sind diese 40% sogar teurer als die Toten. Und da man für ME/CFS 6 Monate lang Symptome braucht, bevor das diagnostiziert werden darf, wissen wir davon noch überhaupt nichts.
Weil es Netgear offenbar nicht geschafft hatte, innerhalb der bereits verlängerten Frist von fünf Monaten Updates bereit zu stellen, hat die Zero Day Initiative den Sachverhalt jetzt veröffentlicht; Adam Nichols von der Sicherheitsfirma Grimm zog kurz darauf nach.Die will man doch einsetzen, deren Produkte!
Die TÜVit hat mal geguckt und fand dabei eine Schwachstelle in der TAN-Generierung. Damit hätte man das Backend angreifen und möglicherweise überlasten können. Ist ein valider Fund. Allerdings kein sonderlich beunruhigender. Schlimm wäre gewesen, wenn man über die App das Smartphone kompromittieren könnte, oder wenn man Daten deanonymisieren könnte, oder Benutzerprofile erstellen könnte. Dass die diese Lücke melden und keine der anderen, das ist ein gutes Zeichen für die App.
Die zweite gerade kursierende Meldung über die App in der FAZ, die sich damit ihr Loch noch ein bisschen tiefer gräbt. Überschrift: "Forscher entdecken Sicherheitslücke bei Corona-App". Klingt komisch. "bei" der App. Die meinen bestimmt "in" der App. Nein, meinen sie nicht. Das ist bloß die übliche Schlagzeilen-Irreführung, damit ihr denkt, sie hätten über eine Lücke in der App berichtet, wenn ihr nur Schlagzeile und Anreißer lest. Hier ist der Anreißer:
Durch die Lücke lassen sich sensible persönliche Daten einsehen und verändern.Das wäre ein Totalschaden.
Was steht denn im Fließtext?
Das Problem liege im sogenannten Google-Apple-Protokoll (GAP), einer Schnittstelle zum Betriebssystem.Ja, äh, das ist dann ja wohl keine Sicherheitslücke in der App.
Dazu nutzten die Wissenschaftler einen Code, der jenem, der in den Betriebssystemen von Apple und Google verwendet wird, sehr ähnlich ist.Und sie haben das Problem nicht mal am tatsächlichen Code nachweisen können sondern in einer Simulation eines Nachbaus.
Angreifer könnten die sogenannten Bluetooth-Benutzer-IDs, die von einer Kontaktnachverfolgungs-App erzeugt werden, sammeln und zu Orten umleiten, obwohl sich die Person, die hinter den Daten steckt, dort nie aufgehalten hat.*gähn*
Aber wartet, geht noch weiter!
Außerdem war es ihnen möglich, in einem bestimmten Gebiet die Bewegungen einzelner Personen detailliert zu rekonstruieren. Zwar brauche es dazu technische Hilfsmittel, sagte Freisleben. Aber man müsse auch sagen, dass es Telekommunikationsunternehmen oder anderen Konzernen, die über entsprechende Daten verfügten, jetzt schon möglich sei, Bewegungsprofile zu erstellen.Mit anderen Worten: Sie haben gar nichts.
Halt, halt, noch nicht weggehen, es gibt noch ein Sahnehäubchen:
Die Gefahr, dass die Unternehmen dadurch Zugriff auf medizinische relevante Daten der hiesigen Nutzer erhalten könnten, sei nicht auszuschließen.Bingo! Mehr Bestätigung der Vorwürfe von Rezo geht gar nicht. Irreführendes Verschwörungs-Geraune statt recherchierten Fakten.
Update: Das heißt nicht, dass die App gut ist. Ich habe die nicht angeguckt. Die öffentlich kommunizierten Designziele der App waren gut.
Update: Hier ist die Pressemitteilung der TU Darmstadt zu der FAZ-Meldung, und da steht:
Forschungskonsortium belegt Risiken in Google- und Apple-Spezifikation für Corona-Apps
Eine ganz andere Aussage! Das Paper dazu findet ihr auf arxiv.org.
GnuTLS servers are able to use tickets issued by each other without access to the secret key as generated by gnutls_session_ticket_key_generate().
If Thunderbird is configured to use STARTTLS for an IMAP server, and the server sends a PREAUTH response, then Thunderbird will continue with an unencrypted connection, causing email data to be sent without protection.Au weia. Wenn Outlook so einen Bug bringen würde, würden alle von NSA-Backdoors herumschwadronieren.
Cisco Talos recently discovered two vulnerabilities in the popular Zoom video chatting application that could allow a malicious user to execute arbitrary code on victims’ machines.Da bieten sich jetzt natürlich Witze an, wie schlimm das sein muss, wenn sogar Cisco Lücken findet, aber Talos ist zugekauft. Die Frage muss also eher sein, wieso Cisco nicht mal die Talos-Leute auf ihre eigenen Produkte gucken lässt. Vielleicht wollen sie denen einen Schlaganfall ersparen oder so.
Auf einer Investoren-Konferenz sagte der Zoom-CEO, die E2E-Krypto gäbe es nur für zahlende User. Warum? Äh, *papierraschel* *mikrofonfeedbackpfeif* wir arbeiten ja mit dem FBI zusammen, und wenn wir den Traffic von Kriminellen verschlüsseln, dann geht das ja nicht, und *aufdieuhrguck* OH SCHON SO SPÄT?! *weglauf*
IP Encapsulation within IP (RFC2003 IP-in-IP) can be abused by an unauthenticated attacker to unexpectedly route arbitrary network traffic through a vulnerable device.Betroffen ist deren Nexus-Reihe. (Danke, Christian)
Digicert, Digicert, wer war das noch gleich … ach ja! Die mit dem CA-Business von Symantec!
Da hat wohl jemand die Due Diligence verkackt? (Danke, Christian)
Wenn ihr mich fragt, ist das ganze Konzept von Rootkit-Erkennung eine Totgeburt. Wenn du vermutest, dass du ein Rootkit haben könntest, ist es zu spät. (Danke, Guido)
hier meldet sich der ehemalige Rechtsmediziner aus Deiner Leserschaft zu der Aussage „die COVID-19 Patienten wären ja sowieso bald gestorben“.Davon sollte man immer erstmal ausgehen, dass Dinge nicht böswillig gemeint sind.Das erste was ein angehender Arzt lernt ist, dass man nie abschätzen kann, wie lange jemand noch lebt. Natürlich, pre-final geht das einigermaßen, da handelt es sich aber um Stunden. Für einen ‚normalen‘ Patienten, egal mit wie vielen Vorerkrankungen geht das im Einzelfall gar nicht.
Was man in der Rechtsmedizin lernt, ist die Schwierigkeit von exakten Todesursachen bei natürlichen Todesfällen. Da ist der 80zig Jährige, der bei der Obduktion keine morphologisches Todesursache bietet, aber auch der, den man an 5 verschiedenen Krankheitsbildern ‚sterben lassen kann‘. Im Allgemeinen gilt, das sich auch nach Obduktion und anschließender mikroskopischer und toxikologischer Untersuchung in 5% der Fälle keine Todesursache findet. Das ist immer ein guter ‚Qualitätsmarker‘.
Die restliche Lebenszeit ist somit nur ein statistischer Wert, der über den Einzelfall so gar nichts aussagt. Damit sind natürlich auch Aussagen wie „wäre sowieso bald gestorben“ einfach unzulässig. Das verbietet meines Erachtens auch den ‚Life Years Lost‘ Ansatz für die Schadensersatzberechnung zu nutzen, aber mit der Meinung bin ich so ziemlich alleine.
Anbei ein Paper, das den ‚Life Years Lost‘ Ansatz auf COVID-19 Patienten anwendet. Dabei wird das eher krude Vorgehen deutlich, das aufgrund fehlender Daten heute noch benutzt wird: Alle betrachteten Vorerkrankungen sind gleich wertig, eine Kreuzkorrelation der Vorerkrankungen in Bezug auf die COVID-19 Mortalität wird nicht untersucht, eine Suche nach ‚fehlenden‘ Risikofaktoren nicht diskutiert, eine Gruppierung der Daten wird nach Fallzahl und nicht sachlogisch durchgeführt… Und dann ist die betrachtete Lebenszeitverkürzung in Jahren quantisiert. In der Krebsforschung werden Medikamente zugelassen, die das Leben um Tage/Wochen verlängern und hier spielen Lebensjahre keine Rolle mehr?
Ich hoffe die gesamte Debatte ist mehr durch Ignoranz als durch bösen Willen entstanden.
When he looked around the Web on the device’s default Xiaomi browser, it recorded all the websites he visited, including search engine queries whether with Google or the privacy-focused DuckDuckGo, and every item viewed on a news feed feature of the Xiaomi software. That tracking appeared to be happening even if he used the supposedly private “incognito” mode.The device was also recording what folders he opened and to which screens he swiped, including the status bar and the settings page. All of the data was being packaged up and sent to remote servers in Singapore and Russia, though the Web domains they hosted were registered in Beijing.
The vulnerability allows remote code execution capabilities and enables an attacker to remotely infect a device by sending emails that consume significant amount of memory (Danke, Frank)
TLDR: Es hat gereicht das Enduser-Self-Service-Portal oder die Admin-GUI public erreichbar zu haben um geowned worden zu sein.Ich sage euch, diese Antivirenbranche! Hätte uns doch nur jemand rechtzeitig gewarnt, dass das bloß Schlangenöl ist! (Danke, Sebastian)Und Ersteres zumindest haben vieeele. Der gemeine Enduser muß ja sein VPN selber klicken können. Erst Recht zu Homeoffice-Zeiten...
(Durfte gestern/heute >25 Systeme durchgehen. Nicht eines hats nicht erwischt.)
Es gibt ja die Variante: 'Hotfix automagisch eingespielt + Dir ist nix passiert' oder 'Hotfix automagisch eingespielt + you were 0wned'.
Pre-Auth-SQL-Injection, sportlich. Finde leider keine technischen Details zum Angriff selber, man könnte ja meinen im Testing wird mit allem möglichen drauf eingehauen.
PS: Aber, auch das (noch gepflegte, ältere) Schwesterprodukt "Sophos UTM" hatte so seine Themen die Tage:
https://www.heise.de/security/meldung/Sophos-zieht-problematisches-Firmware-Sicherheitsupdate-9-703-fuer-UTM-zurueck-4704634 .html
BigBlueButton versions lower than 2.2.4 have a LFI vulnerability allowing access to sensitive files.LFI = Local File Inclusion. Der Klassiker ist sowas wie /display.php?filename=index.html und der Angreifer übergibt dann halt filename=../../../../etc/passwd oder so. Der Vorteil von dieser Art Bug ist, dass man sie eigentlich recht effizient halbautomatisch finden kann. Da gibt es also eigentlich nicht so viel Ausreden für, so einen Bug in seinem Produkt zu haben.
CVE-2020-0022 an Android 8.0-9.0 Bluetooth Zero-Click RCE – BlueFragRCE = Remote Code Execution. Die Art von Bug, die man nicht haben will.
Bei allem Geheule über die unfassbare Komplexität und die ständigen Lücken in Browsern: Das hier ist noch viel schlimmer.
Ich finde es ja auffällig, dass die ganzen git-Probleme anfingen, nachdem Linus die Weiterentwicklung an Andere übergeben hat. Ist echt immer dasselbe Muster. Ach komm, wir bauen noch ein paar Features ein!1!!
Hoffentlich hat das niemanden von euch in eine existenzielle Krise gestürzt :-)
Hier mal ein Leserbrief in die Gegenrichtung. Er bezieht sich auf den Peira-Artikel von Ellis Huber, den Maha empfohlen hatte.
Treten wir einfach einen Schritt zurück und betrachten die Situation im Januar. Da haben alle Experten gesagt: Naja Corona wird völlig überschätzt Grippe bringt viel mehr Leute um.Mir ist noch aufgefallen, dass hier ein ähnliches Denkmuster wie bei der Klimakatastrophe auftritt. In beiden Fällen war vorher weitgehend klar, wie sich das entwickeln würde, aber die Menschen wollten die Katastrophe nicht glauben und lieber warten, bis die Zahlen "belastbarer" werden. Die Zahlen haben sich dann bestätigt oder waren in Teilen sogar noch schlimmer als vorhergesagt. Und dann gucken sich alle wie die Llamas gegenseitig an und wundern sich, wie es die Leute vor ihnen so weit kommen lassen konnten.Das hat die Presse gesagt, das haben Experten gesagt das haben Ärzte gesagt.
Hier ist ein Tweet von Nassim Nicholas Taleb:
https://twitter.com/nntaleb/status/1220064979795181573Hier macht er sich über diese Sichtweise lustig.
Warum hatte Taleb eine andere Meinung?
Der Grund war nicht eine bessere Prognose. Taleb hat nicht richtig vorhergesagt, dass C-19 eskalieren wird. Die Überlegung war bei diesem Wachstumsverhalten ist C-19 ein Risiko. Dieses Wachstum kann dazu führen, dass viele Systeme völlig überlastet sind was mit noch viel größeren Probleme einhergeht.Warum hinkt der Vergleich mit den Grippetoten?
Wir wissen wie die Grippe sich verhält und deswegen wissen wir, dass die Grippe nur ein kleines systemisches Risiko hat. Bei C-19 wussten wir nicht wie es sich verhält und konnten deswegen nicht ein systemisches Risiko ausschließen. Die Millionen die wir im Januar nicht für Kontrollen und abgesagt Flüge ausgeben wollten bezahlen wir im Februar mit Milliarden und im März mit Billionen und im April mit Trillionen. Aufgrund dieses explosiven Verhaltens, hätte man im Januar die richtige Risikoabschätzung treffen müssen.Hubers verweis auf Übersterblichkeit:
"Die aktuellen Daten aus Italien zeigen nicht, wie hoch die Infektionsraten mit SARS-CoV-2 tatsächlich sind und ob die täglichen Sterbefälle im ganzen Land jetzt bei 2.500 liegen, das Coronavirus also im Vergleich zu den sonstigen tödlichen Krankheiten tatsächlich viele zusätzliche Fälle produziert. Wissenschaftler sprechen von Übersterblichkeit, wenn in einem Jahr überdurchschnittliche Todeszahlen durch eine neue Krankheit zu verzeichnen sind. Nach den Zuständen in einigen Krankenhäusern in Norditalien ist davon auszugehen, dass es regional eine hohe Übersterblichkeit und dort sogar eine Verdoppelung und Verdreifachung der täglichen Todesfälle gibt. Jetzt tritt langsam ein Rückgang der bisher täglichen Infektions- und Sterbezahlen ein. Der Europäische Sterblichkeitsbericht des EuroMOMO Projektes, an dem 24 europäische Länder beteiligt sind, verzeichnete Ende März 2020 einen Anstieg der Sterbefälle in Italien und in Spanien, der aber unter den Anstiegen früherer Grippewellen liegt. In den anderen Ländern ist noch keine erhöhte Sterblichkeit zu erkennen."Euromomo sammelt Daten auf Nuts2 Ebene. Das ist ungefähr Städteniveau. Die Daten für fast den kompletten März sind Vorhersagen des Algorithmus. Zu erkennen an der blauen Linie. Der Algorithmus von Euromomo ist dafür ausgelegt, Daten zu extrapolieren. Wenn Italien typischerweise Daten nachkorrigieren muss, dann versucht die blaue Linie das zu korrigieren. Der Algorithmus extrapoliert bei nicht vorhandensein von Daten als auch wenn Daten unvollständig sind und typischerweise nachgebessert werden.
Das heißt wir wissen die Übersterblichkeit in Italien aufgrund der Euromomo Daten noch nicht.
Das nächste Problem ist, dass uns eigentlich die Übersterblichkeit in der Lombardei interessieren sollte und nicht in Italien. Es gibt jetzt schon Hinweise, dass in der Lombardei die Übersterblichkeit viel größer ist als von den Covid zahlen ausgedrückt.
Das heißt hier wird schon wieder der gleiche Fehler gemacht, der im Januar auch gemacht wurde: "Ach naja, die Daten könnten auch die Sterblichkeit verzerren, deswegen wirds nicht so schlimm sein." und es ist genau das Gegenteil passiert. In der Lombardei sieht es so aus, als sei die Sterblichkeit noch wesentlich größer als angenommen.
Die Mechanismen sind nun mal so, dass wir nicht warten können, bis die ECHTE Übersterblichkeit gemessen wurde. Leichen auf der Straße sollten Indikator genug sein.
Der Huber benutzt eine Extrapolation und verkauft Sie uns als Daten und macht noch zusätzlich den gleichen Fehler den viele Experten gemacht haben. Bei der Grippe, wissen wir die Risikoverteilungen, bei C19 wissen wir sie nicht.
Ich glaube, dass die gefühlte Gewissheit der Prognose im Kopf eine Art kontraproduktives Gefühl auslöst. Entweder "ok es kümmert sich jemand" oder vielleicht "da kann man eh nichts mehr machen, wenn die schon die Zahlen kennen".
Vielleicht brauchen wir da eine neue Herangehensweise.
Übrigens: Besonders geil finde ich ja die Bill-Gates-Hasser gerade. Die schreiben mir, der Bill Gates habe sich mal geäußert, dass er das Überbevölkerungsproblem dadurch lösen will, dass er sanitäre Verhältnisse stärkt, Krankheiten bekämpft und Verhütungsmittel verteilt. Damit ist Bill Gates ganz offensichtlich sowas wie ein neuer Mengele, der Milliarden von Menschen umbringen will. Das scheint auch so ein Reflex zu sein im Menschen, in Krisenzeiten einen Sündenbock zu suchen, auf den man zeigen kann.
Weiß eigentlich schon jemand, wie George Soros uns diese Pandemie eingebrockt hat?
Oh und Bill Gates' Stiftung ist böse, weil sie Profit erwirtschaftet, den sie dann verteilt. Und nicht ihr Stiftungsvermögen verteilt. Ich spoiler mal: Das ist genau der Unterschied zwischen Stiftung und Spende. Eine Spende verteilst du und dann ist sie weg. Eine Stiftung richtest du ein, damit sie auch zukünftig noch Spenden verteilen kann. Sogar wenn du schon tot bist.
Update: Vielleicht ist dem einen oder anderen das ja nicht klar: Wenn man in Ländern den Lebensstandard erhöht, sinkt die Geburtenrate. Bis hin zum Extrem in Japan und Europa, wo die Bevölkerungszahl sogar sinkt. Was Bill Gates da vorschlägt ist also nicht nur humanitär sondern auch intelligent und der offensichtlichste Weg zur nachhaltigen Bewirtschaftung des Planeten. Den Wohlstand besser verteilen, damit wir nicht immer mehr Menschen kriegen, die immer mehr Ressourcen verbrauchen. Und man müsste natürlich dann auch den Reichen ihre Verschwendungssucht einschränken und sie in ihrer Mobilität einschränken. Der Teil wird gerne übersehen. Immer nach Mallorca fliegen und jede Familie 1-2 Autos geht nicht.
Update: Ein Leser hat den passenden xkcd gefunden (zu meinem Klimawandel-Vergleich).
Update: "Orbán: Ausländer und George Soros brachten Corona nach Ungarn". m(
Aufgrund einer mangelnden Prüfung des SHA256-Hashes von Paketen ist die Integrität von Dateien nicht mehr gewährt.
For the record: Das ist kein DOS, das ist ein Remote Code Execution.
wie du sicher weisst sind die Massnahmen hier um einiges schneller und logischer als in Deutschland. Die Stadt (und das ganze Land) sind jetzt frei von Touristen und alle Buerger sind aufgerufen zu Hause zu bleiben bzw. nur noch zur Arbeit und Einkaufen nach draussen zu gehen. Oeffentliche Verkehrsmittel laufen im gewohntem Umfang, allerdings ab morgen nur noch mit Maske! Einen aeusserst interessanten Nebeneffekt kann man hier gerade Beobachten:Das muss diese unsichtbare Hand des Marktes sein, von der man immer so viel hört! :-)Prag hatte seit Jahren stark steigende Immobilienpreise (mieten und kaufen) und es wurde schwer, erschwinglichen Wohnraum zu finden. Seit ein paar Tagen werden die Immobilienportale und Facebook mit Inseraten fuer freie Mietwohnung fuer 1-3 Monate ueberschwemmt. Offensichtlich handelt es sich hierbei um vorhher als Ferienwohnung/AirBnB genutzten Wohnraum. Noch sind die Preise recht hoch (ueber 500eur fuer 30qm), allerdings wird schon mit flexiblen Preisen und Rabatten geworben.
Eine Regulierung solcher Wohnung gab es nicht und wurde bisher immer halbherzig angegangen. Mit den Notstandsgesetzen ist eine Vermietung durch Platformen wie AirBnB jetzt untersagt, gleiches gilt fuer alternative Taxidienste wie Uber. (ein Uber-Fahrer in Prag hatte sich angesteckt und wahrscheinlich viele weitere Leute infiziert)
Für die Online-Durchsuchung räumen die Abgeordneten den Ordnungshütern nun auch das Recht ein, Wohnungen mit richterlicher Erlaubnis heimlich betreten und durchsuchen zu können. Es seien Fälle von nicht mit dem Internet verbundenen Rechnern oder Systemen denkbar, "die einen unüberwindbaren Zugriffsschutz gegen Angriffe von außerhalb aufwarten", begründen sie diese sehr weitgehende Bestimmung. Es gelte, hier "eine Regelungslücke bei solch abgekapselten" Anlagen zu schließen."Regelungslücke", my ass.
Außerdem jetzt erlaubt: Drohneneinsatz. Logs von Telemedienbetreibern anfordern.
Der Paragraf zur parallelen Bestandsdatenauskunft bezieht sich prinzipiell auch auf Daten wie Passwörter oder PINs, mit denen der Zugriff auf Endgeräte oder davon räumlich getrennten Speichereinrichtungen geschützt wird.In Mecklenburg-Vorpommern wohnen ja eh nicht mehr viele. Wenn ich da wohnen würde, würde ich jetzt schnell wegziehen.
Das wäre überhaupt mal ein guter Ansatz. Dann schicken wir alle anderen Fascho-Ordnungshüter einfach nach Mecklenburg-Vorpommern in die Quarantäne. Da können die sich dann alle gegenseitig abhören und Trojaner aufspielen.
By exploiting the Ghostcat vulnerability, an attacker can read the contents of configuration files and source code files of all webapps deployed on Tomcat.In addition, if the website application allows users upload file, an attacker can first upload a file containing malicious JSP script code to the server (the uploaded file itself can be any type of file, such as pictures, plain text files etc.), and then include the uploaded file by exploiting the Ghostcat vulnerability, which finally can result in remote code execution.
Der Bug ist in dem AJP-Handler.
Ist ja komisch. Dabei sah das doch so seriös aus! "Redefining trust, value and ownership"! Indeed!
Hätte uns doch nur jemand vor Kryptowährungen gewarnt!
Zur Abwechslung ist es mal kein Intel-Hardware-Bug sondern schlicht nicht fertig implementierter Code.
Ach komm, Fefe! Es kompiliert! Das shippen wir!!1!
Seehofer nutzt das für politische Ausschlachtung und fordert, was er immer fordert: Mehr Polizei.
Die ekeln mich alle so dermaßen an.
Und dann: große Ratlosigkeit. Weil keiner weiß, wie man radikalisierte Spinner rechtzeitig erkennt.
Wie denn auch? Wir haben die auf Twitter und Facebook geblockt und sie aus dem öffentlichen Diskurs rausgefiltert. Und jetzt wundern wir uns, wieso wir sie nicht sehen?!
Ist ja komisch! Wenn ich die Augen zumache, sehe ich nichts mehr! Wenn uns doch nur jemand hätte warnen können!!1!
Im Übrigen finde ich die Frage ja schon absurd. Wir leben in einer Gesellschaft, die mehr Daten über jede Person hat als jede Gesellschaft vor ihr. Wir haben Überwachungskameras, Telemetrie, die Leute laufen freiwillig mit Peilsendern rum, die sie auch noch bezahlt haben, wir haben Big Data, endlose Datenbanken, wir haben Zusammenschlüsse von Behörden zur Steigerung der Datenbankgrößen. Wir haben Biometrie mit staatlichen Biometriedatenbanken. Wir haben künstliche Intelligenz und Blockchain. Und was nützt es uns? Nichts!
Vielleicht sollten wir den ganzen Scheiß dann mal wieder zurückrollen, wenn er nichts bringt? Nur so ne Idee.
Oh und die ganzen inkompetenten Versager rausschmeißen, die uns diesen ganzen Scheiß angedreht haben.
Update: Dieser Angriff betrifft die Server-Seite im pppd, d.h. eher die Access-Konzentratoren bei den ISPs. Außer euer Router hat einen VPN-Modus, bei dem er mehr als Client ist.
Update: Ilja schreibt mir gerade:
So it affects the server and client. Both eap_request() and eap_response() are vulnerable (and have the exact same bug). Further more, there is no check to see if you’ve actually configured eap and are using eap prior to hitting the parser. So even if it’s not configured, you’re still vulnerable. Oh, and it’s pre-auth.
Es trifft also doch alle eure Plasterouter. UND die Access-Konzentratoren. Und man kann es ausnutzen, ohne einen gültigen Account zu haben, und ohne dass EAP konfiguriert sein muss. Das ist der perfekte Sturm.
Oh und wenn euer Unix pppd setuid root installiert hat, ist das auch eine local privilege escalation.
five critical vulnerabilities in [...] the Cisco Discovery ProtocolDas betrifft einmal die ganze Hardware-Produktpalette bis hin zu IP-Telefonen.
Das Argument würde natürlich viel ernster genommen, wenn es Malware gäbe, die über einen 0-day im Antivirus reingekommen ist.
Nun, … *drumroll* … die gibt es jetzt.
Hackers exploited a Trend Micro OfficeScan zero-day to plant malicious files on Mitsubishi Electric serversIch finde ja bei sowas immer, dass man nicht warten muss, bis die 0-days ausgenutzt werden. Remote Desktop und Antiviren sind beides Dinge mit viel zu viel Komplexität. Das kann praktisch gar nicht sicher sein.Benutzt ihr Wordperfect? Wem das nichts sagt: Googelt das mal. Das ist eine Textverarbeitung von früher, bevor alle nur noch bei Microsoft gekauft haben.
Habt ihr wahrscheinlich nicht. Aber der Antivirus muss einen Parser dafür haben. Könnte ja Malware drin sein. Schwupps habt ihr mehr Angriffsoberfläche. Die Schlangenöler sagen immer, wie viele Viren sie angeblich erkennen. Fragt mal euren Vertriebsbeauftragten, wieviele Dateiformate sie können. Stellt die Frage am besten so, dass es klingt, als hieltet ihr das für vorteilhaft, wenn das Ding viele Dateiformate versteht.
Der Verzicht auf unnötige Angriffsoberfläche ist die älteste Maßnahme in der IT Security. Dienste zumachen, die man nicht braucht. Ports zumachen, die man nicht braucht. IPs filtern, die nicht erreichbar sein müssen. Software deinstallieren, die nicht gebraucht wird. Schlangenöl ist die Antithese davon, und irgendwie scheint es niemand wahrzunehmen. Schlangenöl ist das Gegenteil von Security.
Update: Oh ach gucke mal, ich war ja gar nicht der einzige Rufer in der Wüste: Thierry und Sergio haben auf der Cansecwest 2008 auch was dazu vorgetragen. *winke*
Habt ihr die gekauft, weil Apple mit ihrem Trackingschutz Werbung gemacht hat?
Dann habe ich schlechte Nachrichten für euch. Der funktioniert nicht nur nicht, der ist kontraproduktiv.
Apple erinnert langsam so ein bisschen an Intel. Da sind ja auch alle Innovationen der letzten Jahre nach hinten losgegangen.
Und hat sich Sorgen gemacht, dass Microsoft in letzter Zeit so wenig versucht hat, ihren Usern unter illegaler Ausnutzung ihres Monopols ihre unterperformenden Ranztechnologien überzuhelfen, ob sie wollen oder nicht?
Gut, in Sachen erzwungene Windows-Updates und endlosem Rumgenerve, man möge Windows 10 installieren, war Microsoft eher nicht zurückhaltend. Aber es gab schon länger kein DU WIRST JETZT INTERNET EXPLORER BENUTZEN!!1! mehr.
Keine Sorge. Das Warten ist vorbei. Microsoft installiert jetzt allen Office 365-Usern ungefragt und ungebeten eine Chrome-Extension, die die Suchmaschine zu Bing umstellt.
Ach komm, Fefe, ich verwende Firefox, das betrifft mich nicht!
Support for the Firefox web browser is planned for a later date.Ach komm, Fefe, das ist doch nur die englische Seite, sowas würden die sich in der EU nie trauen!At this time, the extension will only be installed on devices in the following locations, based on the IP address of the device:- Australia
- Canada
- France
- Germany
- India
- United Kingdom
- United States
Doch, würden sie!Es ist allerhöchste Zeit, dass die EU diese Firma mal in ganz kleine Teile zertrümmert. Alternativ müsste einfach ein Gericht urteilen, dass man denen die Arbeitszeit für das Rückgängigmachen in Rechnung stellen kann. Dann könnte ich damit auch gut leben.
Dein Einsender hat mit seinem Einwurf Unrecht. SAP zertifiziert schon immer AMD Systeme:Ich glaube das bezieht sich auf SAP insgesamt, nicht auf HANA. Der andere Leserbrief sprach explizit von HANA. Mir mailte jemand, ein SAP-Typ habe ihm mitgeteilt, HANA werde nicht für AMD zertifiziert, weil es Intel-Extensions für Transactional Memory nutzt.
http://www.saponwin.com/vendor.asp?fi=&saps=&vi=9&fu=&pf=w&la=
Da sind sogar noch welche aus der Opteron Zeit dabei.
Davon höre ich zum ersten Mal und kann es kaum glauben, denn TSX ist gerade wegen Zombieload im Kernel ausgeschaltet :-D
Gut, Hana-Kunden waren Enterprise-Kernel von vor 20 Jahren mit nachgepatchtem TSX-Support, da wird wahrscheinlich das Ausschalten noch nicht nachgepatcht worden sein.
Bei uns ist der AMD-Haupt-Hinderungsgrund ein anderer: Die Preisgestaltung (in unserem Fall von Dell).Damit sind wir dann aber raus aus dem Terrain der tatsächlichen Hinterungsgründe und im üblichen Sumpf der selbstverschuldeten Unmündigkeit :-)Dell hat Mond-Listenpreise. Die zahlt keiner, der da wiederholt einkauft, egal, ob es um Notebooks, Desktops oder Server oder auch nur eine einzelne Dockingstation geht. Die Rabatte auf den Listenpreis bewegen sich zwischen 15% und 50% und damit ist der Listenpreis nicht mal ein Ansatzpunkt.
Die Rabattstaffeln sind von vielem abhängig, wie groß ist die Bestellung, welches Produkt, welche Ausstattungsvariante etc. Wenn Du Dich aber auf ein Produkt(!) eingeschossen hast, ist es recht verlässlich - dann kannst Du beispielsweise von 25% +-3% ausgehen.
Jetzt kommt einer aus der Fachabteilung und sagt "Ich brauch nen Server mit 24 Kernen". Dann muss die IT das Budget dafür klären. Das machen die nicht auf Basis von Listenpreisen.
Weckst Du unseren Einkäufer um 3 Uhr Nachts und fragst nach dem Preis von 24 Kernen auf der Dell 730 bei 32gb Speicher, sagt er Dir eine Summe (weil er immer die bestellt) und legt auf. Willst Du den Preis für das AMD Produkt, dann muss er erstmal bei Dell anfragen. Die Schwierigkeit ist, das Dell schon mal kein nominal vergleichbares Produkt (735) anbietet.
Weil zwischen der Anfrage des internen Kunden und der Bestellung dann meist einiges an Zeit vergeht, ist unklar, ob das Angebot bis zur Beauftragung stabil bleibt.
Ist also sehr schwierig, für ein unbekanntes Produkt die Anforderung (24 Kerne) in ein solides Budget für das Management zu übersetzen. Deswegen haben wir auch *nur* 730er, keine 740er, erst recht keine 940er in unseren Serverräumen.
Ich habe mal selbst ein AMD Angebot angefragt, hab mir selbst das Budget bei meinem Vorstand gesichert und bin dann zur IT und hab gesagt "das bestellen, Budgetgenehmigung hier" - das war null Problem. Nur, ich hatte halt den ganzen Aufwand damit und den will die IT sich gerne sparen.
Update: Nachtrag:
Soweit ich das nachvollzihen kann, stimmt die Aussage zu den Oracle Datenbanken auch nicht.
Die "kleinen günstigen Editionen" (Standard Edition Two) kannst Du sowieso nur bis 16 Threads (das meint auch SMT) einsetzen.
Das Thema ist auch nicht Epyc spezifisch. Die Umstellung der Lizenz war 2009. Damals waren es übrigens die 4-Kern Xeons die als 2+2 MCM Konfigurationen für Unruhe gesorgt haben.
Sobald Du auf Ebene der Enterprise Edition bist, wird pro Core lizensiert und AMD/Intel gleich behandelt.
Ich kenne fast keinen Kunden von uns, der auf Standard Edition setzt. Entweder Du brauchst Bumms + Analysetools, dann bist Du sowieso bei EE oder eben nicht, dann kannst Du aber in der Regel mit MariaDB/SQLServer/... deutlich günstiger fahren.
Ein paar kurze Anmerkungen zu Peter Zeihans Hypothesen und auch Folien. Von jemandem, der sich seit zwei Jahrzehnten mit Öl, Gas und Energiewirtschaft beschäftigt.Zeihan geht davon aus, daß die USA auf absehbare Zeit Weltmacht bleiben werden und nennt dafür im wesentlichen vier Gründe.
1. die USA verfügen über fruchtbare Böden
Das ist korrekt. Andererseits ist es totaler Blödsinn.
Denn diese Böden sind seit den 50er Jahren um die Hälfte in ihrer Mächtigkeit geschrumpft, moderner Landwirtschaft sei Dank. Erosion ist ein übler Faktor.Der beste Boden ist unnütz, wenn es an Wasser fehlt. Die USA driften einer massiven Wasserkrise entgegen, die sich vom Mittelwesten bis tief in den Südwesten zieht bzw. ziehen wird. Stichwort: fossiles Grundwasser. Der beste Boden ist auch unnütz, wenn er womöglich im Frühjahr ewig lang überflutet wird und man die Saat nicht ausbringen kann. Stichwort: Klimakatastrophe. Siehe 2019.
2. Die USA verfügen über Energieressourcen
Das ist korrekt. Andererseits ist es totaler Blödsinn.
Denn diese Ressourcen sind nicht ausreichend, um die USA zu versorgen. Die EIA - deren eigenes Ministerium - sagt auf ihrer Webseite klar und deutlich, daß Zeihans Behauptungen von 'energy independence' exakt das sind, was sie immer waren. Ein feuchter Traum. Die Wahrheit ist, daß die USA noch immer Öl importieren. Wesentlich weniger als z. B. 2011, aber immer noch was.Ähnliches gilt für den Preis des Fracking. Wenn das US-Superöl nur 40$/barrel kostet, warum macht dann kein einziges Fracker-Unternehmen Gewinne?
Warum steigt die Schuldenaufnahme der Branche seit 2015 immer weiter an? Warum haben alleine im letzten Jahre mindesten 50 Fracker die Flügel gestreckt? All das kann man simpel ergooglen.
Und warum trocknet die Kreditline, die doch gar nicht notwendig sein sollte, langsam aus, wenn dieses Geschäft soviel Zukkunft verspricht?
Sagt die FT, nicht etwa Greenpeace.
https://www.ft.com/content/187f8176-f4f4-11e9-b018-3ef8794b17c6Diese Aussage über LNG ist extrem lächerlich, wobei ich nicht weiß, ob das einem Mißverständnis seitens des Vorposters entspricht. Flüssiggas (LNG) ist kein Erdgas. Es handelt sich um zwei unterschiedliche Dinge. Um Gas zu verflüssigen, sind teure Terminals notwendig und ein Prozeß, der sehr viel Energie verbraucht. Das macht LNG relativ teuer, energetisch sinnloser und bei weitem unattraktiver als normales Pipelinegas, wie es über Nordstream reinkommt. Die Wirtschaftlichkeitsgrenze für den Transport von LNG liegt irgendwo zwischen 2.000 und 3.000 km. Ebenso braucht der Empfänger ein Terminal für LNG. Die Dinger kosten Stück mal lässig 10 Milliarden € aufwärts, alles andere als eine kleine Investition.
Außerdem: wenn Gas so fantastisch gut ist, warum wird es auf Ölfeldern noch immer abgefackelt?
Warum wird es bei shale fracking - also Ölgewinnung per Fracking - als massiver Schadstoff in die Umwelt geblasen, statt aufgefangen zu werden? Fakt ist: US-Fracking-Gas (oder das jeder anderen Nation) ist ökologisch eine Vollkatastophe und preislich zu konventionellem Gas keinesfalls konkurrenzfähig. Die USA werden ebenso wenig Europa in großem Stil mit Fracking-LNG versorgen wie sie heute 'energieunabhängig' sind.Fracking ist eine Finanzblase und wird wie alle Blasen implodieren. Ich verweise darauf, daß die Landwirtschaft auf den fruchtbaren Böden auf massiven fossilen Input angewiesen ist.
Stichworte: Bewässerung, Düngung, Pestizide, Herbizide.3. Die USA verfügen über Transportmöglichkeiten im Inneren
Das ist direkt Blödsinn. Denn diese Möglichkeiten sind direkt proportional zur Verfügungsgewalt über große Mengen fossiler Rohstoffe zum notwendig niedrigen(!) Preis.
Das Eisenbahnnetz der USA ist de facto nicht mher existent. Konnte man in den 30er Jahren von New York nach Florida fahren und dabei Schienen benutzen, war das nach dem WK II nicht mehr möglich. Die Autobetreiber haben die Strecken aufgekauft und die Schienen verschrottet. Heute benutzt alles den Highway.
Die USA hatten auch einmal ein ordentliches Binnenhandelsnetz über Kanalsysteme. Das ist heute auch mehr oder weniger weg.Fazit: der Inlandstransport - wie auch der globalisierte - ist vollkommen abhängig von billigem fossilem Input. In jedem unserer industrialisierten Länder.
Nicht nur die Menge einer Resssource ist wichtig. Ihr finanzieller Preis ist es auch. Dazu kommt der Aspekt von Energie rein < Energie raus, ohne den wir ohnehin im Eimer sind und den Standardökonomen immer ignorieren. (Versuch einer Erläuterung)4. die USA verfügen über leicht zu sichernde Grenzen nach außen
Das ist korrekt. Andererseits auch völliger Blödsinn. Der Zerfall eines Imperiums - und das American Empire ist nun einmal eines - hat nicht so viel mit den Barbaren vor den Toren zu tun. Es ist normal immer ein Zerfallsprozeß auch von innen. Denn die Barbaren kommen immer erst dann über den Grenzwall, wenn den ohnehin keiner mehr bewacht ;-)
Ein Blick auf die aktuelle Innenpolitik der USA sollte da klare Hinweise liefern.Es war (mir) schon 2016 klar, daß sowohl Demokraten als auch Republikaner das Ende der 20er Jahre nicht mehr erleben werden. Es war nur die Frage, welche Partei sich zuerst in völlige Auflösung begibt. Aktuell haben die Demokraten die Nase vorn, nach meiner Meinung. Sie werden weiter davonziehen, wenn Trump aufgrund ihrer Blödheit wiedergewählt wird.
Ich würde daher vorschlagen, Zeihan ziemlich wenig Glauben zu schenken und denke, daß sich die USA bis 2030 ganz klar in eine ehemalige Weltmacht verwandelt haben werden. Ob sie das einsehen, ist eine völlig andere Frage.
Der Hinweis sei erlaubt, daß man auch zur Projektion der eigenen Militärmacht um den Globus auf massiven fossilen Input angewiesen ist.
Update: Ein anderer Leserbrief zu Punkt 3 davon:
Das ist direkt Blödsinn. Es gibt immer noch ein funktionierendes Eisenbahnnetz in den Vereinigten Staaten. Man kann immer noch von New York nach Florida mit dem Zug fahren. Klar gibt es nicht mehr soviele Personenzüge, da über die größeren Entfernungen die Flugzeuge und über die kürzeren Entfernungen die Autos praktischer waren.
Aber der Güterverkehr funktioniert wie eh und je. Nicht umsonst besitzt Warren Buffet eine eigene Bahngesellschaft. 2017 wurden z. B. 1,8 Mrd. Tonnen Güter befördert.
Update: Ein anderer Leser hat mal die Zahlen für Deutschland recherchiert:
Wenn die 1,8 Milliarden Tonnen Güter der Gesamtverkehr sind, IST der Güterverkehr in den USA tot.
In 2017 wurden in Deutschland laut Statistischem Bundesamt 348 Milliarden Tonnen auf dem Schienennetz transportiert, davon 226 Milliarden als Innerdeutscher Verkehr.Kann natürlich auch sein, dass die 1,8 Milliarden Tonnen nur die Zahlen Warren Buffets Bahngesellschaft sind.
Quelle: Statistisches Bundesamt. Ich lese das aber eher als 348 Millionen Tonnen in Deutschland. Jemand anderes hat mal bei der EU geguckt:
da die Zahl über den Gütertransport per Eisenbahn ohne Vergleichswert eher sinnlos ist, habe ich mal kurz gegoogelt.
Ansich sind Tonnen keine besonders gute Metrik, da es die Transportentfernung außen vorlässt. Deshalb wird von Eurostat vor allem in Tonnen-Kilometer publiziert.Gemessen in Tonnen dürfte Europa-weit etwa gleich viel per Schiene transportiert werden (2008: 1,77Gt, 2018: 1,70Gt).
Werte für die USA in Tonnen-Kilometer hab ich jetzt nicht rausgesucht, aber meine Laien-Vermutung: wird sich wohl zu Gunsten der USA verschieben.
Was man bei der ganzen Betrachtung auch nicht vergessen darf: in den USA sind im Gütertransport quasi ausschließlich Dieselelektrische Loks auf nicht elektrifizierten Strecken unterwegs. Das ist zwar wesentlich effizienter als LKWs, aber trotzdem komplett Öl-abhängig.
Ich habe mir das in den USA mal erklären lassen, wieso der Personenverkehr da so brachliegt. Die Erklärung war: Das Netz gehört lauter regionalen Railway Barons und ihren Nachkommen, nicht dem Staat oder einer einheitlichen Holding. Und die regionalen Raubritter priorisieren Güterzüge höher als Personenzüge, weil die mehr zu zahlen bereit sind. Daher kann Amtrack, die Personen-Bahn-Gesellschaft, für überregionale Verbindungen auch gar keine richtigen Zeitpläne angeben, weil sie unterwegs von irgendeiner Regionalgesellschaft aufs Wartegleis geschickt werden können, um einen Güterzug vorbeizulassen. Und Güterzüge gibt es in den USA in beachtlicher Länge und Stapelhöhe. Ich hab das konkret in Washington State beobachtet, wo die am Hafen von Seattle terminieren, und da konntest du minutenlang einem vorbeifahrenden Güterzug zugucken, weil die so endlos lang waren. Dann auch gleich mit drei Loks dran. Besonders für Familien mit kleinen Kindern sehr beeindruckend :-)
In this post, I share three (3) full exploitation chains and multiple primitives that can be used to compromise different installations and setups of the Cisco DCNM product to achieve unauthenticated remote code execution as SYSTEM/root. In the third chain, I (ab)use the java.lang.InheritableThreadLocal class to perform a shallow copy to gain access to a valid session.Es ist ja nicht so, als ob noch irgendjemand was von Cisco erwarten würde. Aber das ist selbst für deren Verhältnisse auffallend schlecht. Man muss sich fragen, wieso es bei uns keine Behörde gibt, die diese Firma aus dem Verkehr zieht. (Danke, Kristian)
Das ist jetzt offiziell durch.
We chose the PGP/GnuPG Web of Trust as demonstration of our chosen-prefix collision attack against SHA-1.Oh shoot!
Die sind jetzt eine US-Firma. Nachdem ein US-Investor fett Risikokapital reingepumpt hat.
Wire finally confirmed they had changed holding companies and would now be a US based company in a move they called “simple and pragmatic,” as they worked to expand their foothold in the enterprise market.Der Enterprise-Markt! HAHAHA! Ja nee, klar.Die Meldung ist schon von Anfang Dezember, aber ich hatte die bisher nicht wahrgenommen, (Danke, Peter)
We discovered an authentication-bypass vulnerability in OpenBSD's authentication system: this vulnerability is remotely exploitable in smtpd, ldapd, and radiusd, but its real-world impact should be studied on a case-by-case basis. For example, sshd is not exploitable thanks to its defense-in-depth mechanisms.Gute Lektion an der Stelle: Defense in Depth ist gut! Macht mehr Defense in Depth!
So, here's some further info on the US DoJ's investigation of me presumably for supporting Julian Assange and WikiLeaks.Oh it's "SEALED v. SEALED; Case is not available to the public."
Gut, dass wir das mal geklärt haben!Der beste Rechtsstaat, den man für Geld kaufen kann!
There is an integer overflow that leads to heap memory corruption in the handling of CONNECTION_STATE_HEADER.
Fortinet products, including FortiGate and Forticlient regularly send information to Fortinet servers (DNS: guard.fortinet.com) on - UDP ports 53, 8888 and - TCP port 80 (HTTP POST /fgdsvc) This cloud communication is used for the FortiGuard Web Filter feature (https://fortiguard.com/webfilter), FortiGuard AntiSpam feature (https://fortiguard.com/updates/antispam) and FortiGuard AntiVirus feature (https://fortiguard.com/updates/antivirus). The messages are encrypted using XOR "encryption" with a static key.
In our paper we demonstrate this effect, successfully using light to inject malicious commands into several voice controlled devices such as smart speakers, tablets, and phones across large distances and through glass windows.
Fiese Hacker haben über Whatsapp fremde Nationen bespitzelt.
Wisst ihr, woran ich direkt denken musste? An diese Meldung von vor ein paar Wochen. Da wollten nämlich ein paar EU-Abgeordnete Signal benutzen, aber das EU-Parlament hat gesagt: Nein. Aus Sicherheitsgründen müsst ihr Whatsapp benutzen.
Nein, wirklich! Das haben die gesagt!
Gut, beim EU-Parlament ging es um die Desktop-App und hier geht es um die Mobil-App.
Whatsapp hat dann zur Schadensbegrenzung eine PR-Klage gegen die israelische Klitsche eingereicht, die die Malware verkauft hat. Ich hoffe, ihr fallt auf diesen Schmuh nicht rein. Zum gehackt werden gehören immer zwei. Ein unmoralischer Krimineller, der die Malware schreibt, und ein unmoralischer Entwickler, der unsichere Software an seine Kunden verteilt.
Update: Ich hoffe, ihr habt euch den Artikel ganz durchgelesen. Das Money Quote ist wie üblich gegen Ende im Kleingedruckten:
Prior to notifying victims, WhatsApp checked the target list against existing law enforcement requests for information relating to criminal investigations, such as terrorism or child exploitation cases. But the company found no overlap, said a person familiar with the matter. Governments can submit such requests for information to WhatsApp through an online portal the company maintains.
Die israelischen Ultra-Haxors haben nicht etwa Whatsapp gehackt. Die haben die existierende Backdoor für "lawful interception" benutzt.
Wisst ihr noch, wie ich seit Jahren davor warne, dass staatliche Hintertüren auch von Dritten genutzt werden könnten? Hier haben wir den ersten Fall, indem das passiert und dokumentiert ist.
Zum Thema "Schlangenöl nimmt Webseite als Geisel und verhindert, dass Leute mit gängigen Browsern sie überhaupt zu Gesicht bekommen" möchte ich dir über meine Erlebnisse erzählen. Betrachte dich also bitte als Kummerkasten ;) Vielleicht findest du aber auch den ein oder anderen (Ab-)Satz für deine Leser interessant; in diesem Falle: bedien dich. (Und spring' von mir aus gleich zum TL;DR am Ende :)Lacher am Rande: Die Schlangenöl-Community macht das auch so. Die müssen sich ja auch ihre Samples gegenseitig zuschicken. Die tun das auch in ZIP-Files mit Standardpasswort.Im Vorfeld: Ich bin, was amoklaufende Virenscanner angeht, schon einiges gewohnt. Ich bin in der Demoszene aktiv (also jetzt nicht der mit den brennenden Autos, sondern der mit den Grafikdemos), insbesondere im Bereich 4k- und 64k-Intros, also Demos mit einer Größenbeschränkung auf wenige Kilobyte. Da kommen praktisch immer sehr spezielle Laufzeitpacker wie "Crinkler" (http://www.crinkler.net/) und "kkrunchy" (http://www.farbrausch.de/~fg/kkrunchy/) zum Einsatz, um noch das letzte Byte herauszukitzeln. Dummerweise haben wohl auch mal Malware-Autoren diese Packer zur Obfuscation benutzt, und da Schlangenöl-Hersteller das Brett an der dünnsten Stelle bohren, haben sie, anstatt die Malware ordentlich zu analysieren, einfach die Packer auf die schwarze Liste gesetzt. Da ich selbst ein paar mit besagten Packern komprimierte, aber an sich völlig harmlose 4k- und 64k-Intros auf meiner Webseite hoste, habe ich schon mehrfach von meinem Hosting-Provider böse Mails bekommen, ich möge doch binnen X Stunden meine Site saubermachen, sonst wird sie vom Netz genommen. Bisher ist das immer mit einer erklärenden Mail aufzulösen gewesen, zum Glück.
Andere Demoszener haben übrigens angefangen, ihre Intros in einer Form zum Download anzubieten, die automatisches Scanning unmöglich macht. Standard sind inzwischen ZIP-Archive, in denen die EXE-Dateien verschlüsselt abgelegt sind, und der Key steht in einer readme.txt oder so. Oder, ein besonders schräger Hack: Da liegt das Executable im Download-Archiv einfach ohne die "MZ"-Signatur (also die ersten zwei Bytes jedes Windows-Executables) vor. Erst eine mitgelieferte .bat-Datei klebt Header und Rest wieder zusammen und erzeugt eine gültige Windows-EXE.
Aber ich schweife ab.Irgendwann wurde es jedenfalls mit den Fehldetektionen noch schlimmer und Nutzer wurden daran gehindert, auch meine "normalen" Utilities, die nichts mit der Demoszene zu tun haben, herunterzuladen. Beliebte Ziele sind ein Tool, das in Python geschrieben ist und das ich für faule Windows-Nutzer mit einem Standard-Programm(!) in eine einzelne EXE verpackt habe. Oder ganz normale, mit Microsoft Visual C++ compilierte Executables.
Auch Google hatte mich schon immer auf dem Kieker. Der Aufruf des Verzeichnisses auf dem Server, in dem die Downloads lagen, führte schon länger bei Chrome-Nutzern zum gefürchteten "roten Bildschirm". Das war mir noch egal, aber vor zwei Wochen begann Google damit, meine gesamte .de-Domain als gefährlich einzustufen — einschließlich *aller* Subdomains, nicht nur der, wo das (angeblich) gefährliche Zeug lagert! Selbstverständlich wurde ich darüber nicht informiert (Mail an webmaster@meinedomain.de oder so? I wo!), ich habe es von Nutzern meiner anderen Webdienste erfahren, die auf anderen Subdomains liegen sind als der persönliche und Demoszenen-Kram.
Nun gibt es bei Google keine öffentliche, funktionierende Möglichkeit, "false positives" zu melden. Es gibt Dokumentation für Webmaster, was man tun soll, wenn Google Malware auf der eigenen Domain erkannt hat, aber die geht stets davon aus, dass man wirklich mit irgend einem Wurm infiziert ist. Die Option auf eigenen Irrtum scheint Google gar nicht zu kennen. Vor allem kriegt man nicht einmal heraus, *welche* konkreten Inhalte denn als schädlich erkannt wurden.
Es gibt aber eine Möglichkeit, nämlich die "Search Console". Um die zu nutzen, muss man sich gegenüber Google mit einem permanentem DNS-TXT-Record als Besitzer der Domain ausweisen (wohl dem, der die DNS-Records seiner Webseite unter Kontrolle hat!). Die Console selbst ist eher für SEO-Kram gedacht, aber da gibt es auch einen Menüpunkt "security issues" und tatsächlich stehen dort mal ein paar konkrete URLs von angeblich bösen Inhalten. Überraschenderweise waren das bei mir nicht die erwartete Handvoll Demoszenen-Intros, sondern nur eine zehn Jahre alte .tar-Datei mit einer Library, die als Beispielprogramm ein kkrunchy-gepacktes Windows-Executable enthielt. (Das Programm selbst war völlig harmlos: Es handelte sich um einen schlichten MP3-Player.) Nun ja, da gibt es einen "I have fixed the issues, request review"-Button, also hab' ich den mal gedrückt und im Freitextfeld eingegeben, dass es ein "false positive" ist (mitsamt ein paar Erläuterungen, wie was wo warum). Zwei Tage später die Antwort: Meinem Review Request konnte nicht stattgegeben werden, die Malware sei immer noch da. Die haben meine Erklärung gar nicht gelesen! Also habe ich die inkriminierende EXE-Datei aus dem Archiv entfernt und das Archiv zudem umbenannt (die ganze Library ist eh' obsolet). Nochmal "request review" gemacht, mit Freitext "ich hab's jetzt entfernt, aber ehrlich jetzt, Jungs, das wäre gar nicht nötig gewesen, weil …". Daraufhin: Nichts. Eine Woche lang keine Reaktion. Nach einer anderthalben Woche schaue ich nochmal in die Search Console, und siehe da: Jetzt ist ein anderes Programm der Stein des Anstoßes. Eins, das vorher schon da war. Eins, das nichtmal Crinkler oder kkrunchy benutzt, sondern schlicht UPX, den bekanntesten Executable-Packer überhaupt. Ein Bildbetrachter, in C++ geschrieben, mit Visual Studio compiliert und statisch gegen libjpeg-turbo und die Microsoft Visual C++ Runtime gelinkt. Das reicht also heutzutage aus, um mit einer ganzen Domain auf dem Malware-Index zu landen!
Zum Glück war das nur eine Testversion, also konnte ich die gefahrlos löschen und wieder den "request review"-Affentanz aufführen. Jetzt ist meine Domain erstmal wieder als unbedenklich markiert, aber für wie lange?TL;DR: Alles Scheiße.
Takeaway #1: Wenn Google deine Domain wegen angeblicher Malware-Infektion hops nimmt, erfährst du es nur indirekt von deinen Nutzern (außer du nutzt selbst Chrome mit aktiviertem "ich schicke erstmal jede aufgerufene URL an Google"-Phishing-Schutz, aber hey, das tust du natürlich nicht). Wenn du wissen willst, wo Google denn nun genau Malware auf deiner Domain gefunden hat, musst du an deinem DNS herummanipulieren und einen Google-Account haben, um die "Search Console" benutzen zu können. "False Positives" reporten geht nicht: Derlei Anfragen werden ignoriert, also lösch den Kram oder fuck you.
Takeaway #2: Es braucht nicht viel, um Schlangenöl zu triggern, deine (Windows-)Software als Malware zu erkennen.
- Laufzeit-Packer verwendet? Verdächtig!
- C-Library statisch gelinkt? Verdächtig! (siehe https://twitter.com/KeyJ_trbl/status/1138885991517839360 — selbst ein verdammtes "Hello World"-Programm wird schon von diversen Schlangenöl-Anbietern als Malware erkannt!)
- Python-Software mit PyInstaller (einem Standard-Paket in der Python-Welt) in eine einzelne Windows-EXE verpackt? Verdächtig! Wenn man (wie ich) möglichst kompakte Software für Windows (nur eine EXE-Datei, keine weiteren Dependencies) schreiben und veröffentlichen möchte, ist man quasi am Arsch.
Ich hab mich da immer aus der Ferne drüber totgelacht.
Mal ganz neutral analysiert ist das natürlich ein weiterer Fall von Externalisierung von Kosten. Wenn ich mir einen wirtschaftlichen Vorteil verschaffe, indem ich die durch meine Aktivitäten entstehenden Kosten Anderen aufdrücke. Wie bei Umweltverschmutzung und Atommüll. Die Tech-Riesen bieten einen Mail-Service an, und externalisieren die Spam-Kosten auf den Rest der Welt.
Ach ICH soll mir jetzt irgendwelche DNS-Records anlegen, und meine Mails vom Mailserver mit einem Domainkey digital signieren lassen, um EUER Spamproblem für euch einfacher lösbar zu machen? Go fuck yourself!
Oh aber selbst habt ihr nicht mal eine funktionierende abuse@-Adresse, wo man sich über von euch ausgehenden Spam beklagen könnte? Go fuck yourself!
Ihr verkauft Schlangenöl, das prinzipiell seine Funktion nicht erfüllen kann, und die Kosten für False Positives externalisiert ihr an … mich? Go fuck yourself!
Ich glaube, wir brauche mal eine Behörde für Digitalumweltschutz, die solche Geschäftsmodelle systematisch aus dem Verkehr zieht. Alle solche Firmen systematisch zumachen. Eine nach der anderen. Wer Kosten externalisiert, wird zugemacht. Und der Aufsichtsrat / der CEO / die Gründer / die Investoren sind persönlich haftbar für die Verfahrenskosten.
Ja aber Fefe wenn wir die ganzen Kosten selber tragen müssten, dann würde sich unser Geschäftsmodell nicht tragen!!1!
Wenn sich euer Geschäftsmodell nur durch Externalisierung von Kosten trägt, DANN TRÄGT ES SICH GAR NICHT. Man stelle sich mal vor, ein Wurstproduzent würde so argumentieren! Ja klar könnte ich hier Hygienestandards erfüllen, aber dann wäre das nicht profitabel!!1! Da würde doch niemand auch nur eine halbe Sekunde zögern, den aus dem Verkehr zu ziehen!
Ja klar könnten wir auch Bremsen in die Autos einbauen, aber dann wären wir preislich nicht mehr konkurrenzfähig!1!!
Unfassbar.
The security expert and bug-hunter John “hyp3rlinx” Page discovered an arbitrary code execution vulnerability, tracked as CVE-2019-9491, in the Trend Micro Anti-Threat Toolkit.Hey, ich habe eine Idee. Wir installieren einfach noch eine zweite Packung Schlangenöl! Die schützt uns dann vielleicht vor den Lücken, die das erste Schlangenöl aufgerissen hat!Wie wäre es mit Avast! Oder Norton! Gut, Norton hat den Nachteil, dass dann mein Blog nicht mehr geht. Aber für die Sicherheit muss man manchmal halt Kompromisse eingehen!1!!
Und zur Abrundung was von Cisco!
Und wenn ihr ganz sicher gehen wollt, dann nehmt Kaspersky. Die laden das in ihre Cloud und prüfen dort noch manuell!
Die EU hat festgelegt, dass der Grenzwert für Nitrat im Trinkwasser bei 50 mg/l liegt und nicht überschritten werden darf. Dies führt auch in Deutschland zu Problemen, da in einigen Regionen aufgrund der Bodenbeschaffenheit Dünger schnell aus dem Boden ausgewaschen wird und dann im Grundwasser oder in Flüssen und Seen landet. Weiterhin ist auch in Deutschland ist der Nitratgehalt weniger schnell Rückläufig als dies von der EU gefordert wird beziehungsweise dieser zugesagt wurde.Aus diesem Grund herrscht in Deutschland im Bereich Landwirtschaftspolitik grade Aktionismus und es werden Düngebeschränkungen auch in Bereichen mit ohne zu hohem Nitratgehalt im Wasser erlassen. In diesen Gebieten führt das dann auch zu Missverständnissen zwischen Politik und Landwirten. Erklär mal einem Bauern, dass der Brunnen neben seinem Feld genutzt wird um Trinkwasser in einer 30km entfernten Stadt auf unkritisches Niveau zu mischen UND schränke die Menge des einzubringenden Düngers ein. Da kann man den Unmut verstehen.
Wir sind einfach an einem Punkt in unserer Umweltpolitik angelangt, an dem natürliche Rohstoffe nicht mehr gratis sein dürfen. Sauberes Wasser, saubere Luft und gute Lebensmittel müssen einen Wert haben und das muss auch den Leuten bezahlt werden, die diese zur Verfügung stellen. Es kann nicht sein, dass ich unter dem Feld eines Landwirts Grundwasser abpumpe, die üngemengen festlege, und das nicht oder kaum kompensiere. Wir leben und verleben alle diese Rohstoffe und damit muss man sich auch als jemand aus der Stadt auseinandersetzen.
Was ich als Chemiker dann aber nie verstehe ist das erlassen von irgendwelchen Gesetzen zum Schutz von Umwelt oder Menschen, die die Produktion hier in Deutschland verteuern. Dies führt dann zwangsläufig nur dazu, dass geprüfte und überwachte Lebensmittel aufgrund des höheren Preises nicht gekauft werden und man lieber den neuseeländischen Bioapfel kauft. Wie der bio sein kann und wer das überprüft habe ich bis heute nicht verstanden. Das Problem haben wir doch hier schon bei ordentlich hergestellten konventionellen Produkten. Wenn der Anwender sich an die Wartezeiten hält sind Spritzmittel, Antibiotika und was man alles einsetzen kann abgebaut und im Produkt nicht mehr nachweisbar - und damit chemisch Bio...
Die hatten offenbar einen Datenreichtum.
Mehrere kryptographische Schlüssel und Informationen über Konfigurationsdateien von NordVPN sind in einem Leak aufgetaucht. Einer der Schlüssel passt zu einem älteren Webseiten-Zertifikat von NordVPN.Das ist nicht gut.
Der Anbieter hat sich bisher noch nicht zu dem Vorfall geäußert.Das macht es noch viel schlimmer.
Ist euch aufgefallen, wie lahm das ist? Nicht? Dann habt ihr fettes Internet.
Denn leichtgewichtig ist die Site nicht :-)
Update: Siehe auch dieses Video oder in Textform.
Das hab ich jetzt davon, dass ich neulich rumscherzte, ping of death gelte als ausgestorben.
Sind schon voll vorteilhaft, diese Abo-Lizenzmodelle, wo einem die Werkzeuge gar nicht mehr gehören, die man so benutzt.
There is a logic error in Signal that can cause an incoming call to be answered even if the callee does not pick it up.
Bei der Signatur sieht es nicht viel besser aus. Da reicht es, wenn man das Signatur-Objekt im PDF kaputtmacht, und schon kann der Reader die Signatur nicht prüfen — aber viele Reader zeigen das offenbar nicht an. Schlimmer noch: PDF definiert einen Weg, hinter dem Content weiteren Content anzuhängen, bei Office nannte man das früher Fast Save. Adobe hat das gemacht, damit man Kommentare anfügen kann. Den konnten sie auch ausnutzen, und dann gibt es noch einen fummeligen Weg, in der Struktur des Dokumentes Dinge hin- und herzuschieben, damit die signierten Pointer noch auf etwas zeigen, aber das ist dann was anderes als zum Zeitpunkt der Signatur.
Nun fallen nicht alle Reader auf alle dieser Angriffe herein, aber echt viele Reader haben mindestens eines dieser Probleme.
Ich für meinen Teil habe die PDF-Krypto noch nie benutzt. Ich sehe keinen Anlass dafür. Wenn man das braucht, macht man GnuPG drum herum. Da hat man dann keines dieser Probleme.
Ein Schelm, wer Böses dabei denkt!
Gut, die sonstigen Sponsoren sind bei solchen Veranstaltungen gerne Schlangenölbuden, insofern ist mir da Huawei sogar noch lieber. einer der Gold-Sponsoren hier ist Palo Alto Networks (ihr erinnert euch vielleicht).
Update: Eine der Keynotes ist von einer Abteilungsleiterin Cyberabwehr aus dem Verfassungsschutz, die da erzählen will, dass sie Cyber-Attribuierung machen (und implizit: dass man Cyber-Angriffe attribuieren kann). Das bestreite ich nachdrücklich.
Sehr unterhaltsam auch: Es gibt einen Vortrag von eyeo (die, die Adblock Plus gekauft haben und das an Schutzgeld erinnernde Geschäftsmodell darauf aufgebaut haben), dass "infizierte Online-Werbung" die kritische Infrastruktur bedroht. Da ist ja was dran, aber ... muss man das ausgerechnet die vortragen lassen?
Update: In der Keynote hat Prof. Pohlmann eine Folie mit den drei Lösungen für die Security-Zukunft: Blockchain, KI, Quantencomputer. Das ist genau die Inhaltsangabe meines "ist alles Unfug"-Vortrags. Hoffentlich nimmt das niemand persönlich, was ich da vorzutragen haben werde...
Update: Nebelwerfer-Euphemismus-Update: "cyber-aggressiven Fremdstaaten wehrhaft entgegen treten können".
Update: Oh wow, die Expertin vom Verfassungsschutz hat gerade öffentlich angesagt, dass Angreifer aus dem Ausland dafür ja auch übernommene Rechner in Deutschland benutzen. Wenn sie DAS verstanden haben im Verfassungsschutz, wie können sie dann noch "Zurückhacken" propagieren!? Ein beeindruckendes Ausmaß an kognitiver Dissonanz.
Update: Der nahtlose Übergang von "die Amis hacken im Iran" über "wir beobachten APT28" hin zu Guccifer ist ja schon irgendwie atemberaubend. Jetzt sind wir gerade bei "der Verfassungsschutz bekämpft Fake News", wenn ich das mal geringfügig umformulieren darf. Da braucht man nicht viel Fantasie, um sich auszumalen, gegen wen sich "Zurückhacken" in der Praxis richten wird.
Update: Krass jetzt kam ernsthaft noch der Spruch, defensive Security reiche ja nicht, weil die Leute ja immer nur gegen das verteidigen, was sie für die Fähigkeiten der Angreifer halten, und die Angreifer würden schon darauf achten, dass sie immer mehr können als die andere Seite glaubt. Lasst mich der erste sein, der euch sagt: Das ist Bullshit. Selbstverständlich verteidigt man auch und gerade gegen hypothetische Angriffsvektoren, bevor man weiß, dass sie konkret ausgenutzt werden können. Wer sich selbst informieren will, kann sich z.B. mal die Threat Models von TLS angucken, oder die BSI-Krypto-Empfehlungen.
Nicht nur Du bist von dem Urteil überrascht. Ich unterrichte an der Uni u.a. im Sommersemester ein, zwei Einheiten meiner Lehrveranstaltung zur Meinungsfreiheit. Und ich war überrascht. Bisher war jeder, mit dem ich darüber gesprochen habe, ziemlich überrascht. Dieses Urteil verstehen wohl nur die, die es geschrieben haben (wenn überhaupt).Aber von vorne:
In den 80ern hatten die Grünen z.T. sehr problematische Einstellungen zum Thema Pädophilie. So hat der Landesverband NRW wohl einen Beschluss gefasst, die Strafbarkeit von sexuellen Handlungen an Kindern aufheben zu wollen "wenn keine Gewalt im Spiel ist". Der damaligen Abgeordneten im Berliner Abgeordnetenhaus wurde das wohl in einer Rede eines CDU-Abgeordneten zum Vorwurf gemacht – natürlich pauschal, ohne die Einschränkung hinsichtlich der vermeintlichen(!) Gewaltfreiheit. Das hat die Berliner Abgeordnete durch den Einwurf "Komma, wenn keine Gewalt im Spiel ist" korrigiert.Zwischenbemerkung: Das ist eine ziemlich dumme Aussage, da man sie dahingehend verstehen kann, dass man mit Kindern tatsächlich gewaltlosen Sex haben kann. Ich bin der Auffassung, dass die Vornahme sexueller Handlungen an Kindern immer ein Akt der Gewalt ist, wenn nicht physisch, dann auf jeden Fall psychisch. Darum geht es aber im Urteil gar nicht.
Der obige Vorfall ist, wie gesagt, aus den 80ern. Im Jahr 2015 kochte er nochmal hoch, weil die Grünen da ihre zweifelhafte Vergangenheit mit dieser Thematik aufgearbeitet haben. In dem Zusammenhang kommentierte u.a. die Welt in einem Artikel, dieser Einwurf höre sich so an, als sei Sex mit Kindern okay, wenn keine Gewalt im Spiel ist.
Das wiederum hat die Facebook-Seite / der Blog "Halle Leaks" (dem Vernehmen nach wohl von einem Ex-Blood and Honor Nazi betrieben) aufgegriffen und der Politikerin die Aussage "Komma, wenn keine Gewalt im Spiel ist, ist Sex mit Kindern doch ganz okay. Ist mal gut jetzt" in den Mund gelegt.
Darauf hin hat der Mob auf Facebook das gemacht, was der Mob auf Facebook halt so macht. Unter anderem die Politikerin als "Stück Scheisse", "Krank im Kopf", "altes grünes Drecksschwein", "Geisteskrank", "kranke Frau", "Schlampe", "Gehirn Amputiert", "Drecks Fotze", "Sondermüll", "Alte perverse Dreckssau" oder "Paädophilen-Trulla" bezeichnet. Jemand schrieb "Knatter sie doch mal einer so richtig durch, bis sie wieder normal wird!". Eine andere Äußerung war: "Wurde diese 'Dame' vielleicht als Kind ein wenig viel gef… und hat dabei etwas von ihrem Verstand eingebüßt…". Wieder eine andere Äußerung war: "Die will auch nochmal Kind sein weil sonst keiner an die Eule ran geht!".
Das Landgericht Berlin fand das alles "zwar teilweise sehr polemisch und überspitzt und zudem sexistisch", aber letztlich um zulässige Meinungsäußerungen und insbesondere nicht für Beleidigungen.
Wie kommt es dazu?
Nun, zunächst hat die Politikerin Facebook verklagt. Die Politikerin wollte nämlich juristisch gegen die Urheber der Posts vorgehen und von Facebook wollte sie deren Identitäten. Dass sie die bekommen kann, steht in § 14 Abs. 3 Telemediengesetz (TMG). Der nimmt Bezug auf "rechtswidrige Inhalte nach § 1 Abs. 3 Netzwerkdurchsetzungsgesetzes (NetzDG). Hier also: Beleidigung.
Mit anderen Worten: Wenn die fraglichen Äußerungen Beleidigungen darstellen, dann muss Facebook die Bestandsdaten der Urheber herausgeben.
Daher hat sich die 27. Kammer des LG Berlin Gedanken darüber gemacht, ob die Äußerungen Beleidigungen sind.
Interessanterweise hat das LG Berlin Beleidigung gar nicht definiert. Das ist auch schwierig, weil die Beleidigung (§ 185 StGB) der meiner Kenntnis nach einzige Straftatbestand ist, der im Gesetz nicht weiter beschrieben wird. Das Gesetz benennt "Die Beleidigung" als Tatbestand, beschreibt aber nicht weiter, wie die Handlung "jemanden beleidigen" aussieht. Mit "meinen" Studierenden im ersten und zweiten Semester bespreche ich das dann u.a. in Bezug auf das verfassungsmäßige Bestimmtheitsgebot…
Das LG Berlin hat anders angefangen und gesagt, dass zulässige Meinungsäußerungen jedenfalls keine Beleidigungen sind. Das ist grundsätzlich richtig, denn wenn eine Meinungsäußerung eine (strafbare) Beleidigung ist, dann ist sie ja folgerichtig auch nicht mehr zulässig.
Jedenfalls grenzt man hinsichtlich Meinungsfreiheit und Beleidigung (verkürzt) etwa wie folgt ab: Zunächst wird zwischen Tatsachenbehauptungen und Meinungen getrennt. Tatsachenbehauptungen sind grundsätzlich beweisbar (Bsp. "Es regnet." Wir können jetzt einen sachverständigen Metereologen fragen, was Regen ist und dann z.B. die Niederschlagsmenge messen oder feststellen, dass keine Wolke am Himmel ist und kein Niederschlag fällt) während Meinungen von "subjektiven Elementen des wertenden Dafürhaltens" (BVerfG, iirc) geprägt sind und grundsätzlich nicht beweisbar sind (Bsp. "Das Wetter ist schön." Schönes Wetter ist subjektiv und nicht beweisbar; der eine mag Regen, der andere Sonne, der nächste Schnee, und der Vierte braucht Trockenheit aber starken Wind usw. usf.). Wenn es eine Tatsachenbehauptung ist, dann kommt eher die üble Nachrede in Frage. Bei einer Meinung eher die Beleidigung. Bei Vermischung von Tatsachenbehauptung und Meinung ist das Gesamte im Zweifel als Meinung zu betrachten, die ist besser geschützt.
Das Gericht hat alles als Meinung betrachtet. Würde ich sogar noch mitgehen.
Die Grenze zwischen scharfer Kritik und Beleidigung wird (da gibt es einige Urteile vom BVerfG dazu, daher auch hier wieder verkürzt) dort gesehen, wo nicht mehr die Sache (dann zulässig) sondern die Person im Vordergrund steht. Mit anderen Worten: je ad hominem desto Beleidigung. Auch scharfe Werturteile zur Person sind zulässig, da gibt es also einen Graubereich, aber als Fausformel darf gelten, dass wenn die Person im Vordergrund steht und die Sache völlig in den Hintergrund tritt, dann liegt eine Beleidigung vor.
Daneben gibt es noch die sogenannten "Formalbeleidigungen". Das sind Ausdrücke und Wendungen, die immer auf die Diffamierung der Person abzielen; regelmäßig Ausdrücke aus der Fäkalsprache. "Arschloch" ist so ein Standardbeispiel der (heutzutage) eher gemäßigten Tonlage.
Das Gericht ist der Auffassung, dass sämtliche Äußerungen, die Gegenstand der Klage waren, noch ausreichend mit der Sachebene verbunden sind, dass sie nicht die Person der Politikerin, sondern die inhaltliche Frage in den Vordergrund stellen. Udo Vetter titelt im Lawblog passend: "Auf der Suche nach dem Sachkern" (Lawblog).
Dann ordnet es insgesamt 22 Äußerungen (die oben habe ich alle aus diesen 22 Punkten zitiert) mit ein paar Sätzen ein. Und schafft damit effektiv den Beleidigungsparagraphen mal eben en passant ab. Jedenfalls, wenn es um Politiker und emotionale Themen geht.
Bonmots aus dem Urteil sind dann so Absätze wie:
"Soweit die Antragstellerin geltend macht, es liege mit "Stück Scheisse" und "Geisteskranke" eine Formalbeleidigung vor, steht dem entgegen, dass wie sich aus dem zweiten Satz ergibt eine Auseinandersetzung in der Sache erfolgte, so dass eine Formalbeleidigung ausscheidet".
"Auch in dem Kommentar 'Schlampe' kann eine von der Äußerung im kommentierten Post losgelöste primär auf eine Diffamierung der Person der Antragstellerin und nicht auf eine Auseinandersetzung in der Sache abzielende Äußerung nicht gesehen werden. Vielmehr ist auch dieser Kommentar ein Beitrag in einer Sachauseinandersetzung."Wenn das stimmt, dann darf ich die Richter auf Grund dieses Urteils als "miese Ärsche" bezeichnen, weil sie ja über diesen Fall so schlecht zu Gericht _gesessen_ haben (*tusch*). Ich glaube da aber eher nicht dran.
Wirklich eklig wird es dann beim Filetstück des Urteils:
"Der Kommentar 'Drecks Fotze' bewegt sich haarscharf an der Grenze des von der Antragstellerin noch hinnehmbaren. Weil das Thema, mit dem sie vor vielen Jahren durch ihren Zwischenruf an die Öffentlichkeit gegangen ist sich ebenfalls im sexuellen Bereich befindet und die damals von ihr durch den Zwischenruf aus der Sicht der Öffentlichkeit zumindest nicht kritisierte Forderung der Entpönalisierung des gewaltfreien Geschlechtsverkehrs mit Kindern erhebliches Empörungspotential in der Gesellschaft hat, ist die Kammer jedoch der Ansicht, dass die Antragstellerin als Politikerin sich auch sehr weit überzogene Kritik gefallen lassen muss. Dass mit der Aussage alleine eine Diffamierung der Antragstellerin beabsichtigt ist, ohne Sachbezug zu der im kommentierten Post wiedergegebenen Äußerung ist nicht feststellbar."Mit anderen Worten: "Drecks Fotze" ist schon okay, wenn es um ein emotional aufgeladenes Thema im Bereich Sexualität dreht. Nein. Einfach nein.
Das Gericht macht es sich mit dem Argument "Die ist Politikerin und muss viel aushalten, außerdem haben die sich ja über etwas aufgeregt und daher hat das einen sachlichen Anknüpfungspunkt" sehr viel zu einfach. Vieles davon ist eindeutig eine
FormalbeleidigungSchmähkritik und meines Erachtens deutlich über die Grenze dessen, was Politiker(innen) sich bieten lassen müssen.Auch eklig sind so Passagen wie:
"Die (…) Äußerung 'Knatter sie doch mal einer so richtig durch, bis sie wieder normal wird!' ist eine sicherlich geschmacklose Kritik, die mit dem Stilmittel der Polemik sachliche Kritik übt. Es geht dem Äußernden erkennbar nicht darum, die Antragstellerin als Person zu diffamieren, sondern an der von ihr getätigten Äußerung Kritik zu üben. Es liegt daher keine Beleidigung nach § 185 StGB vor. Die Antragstellerin wird nicht, wie sie dies meint, zum Gegenstand sexueller Fantasien gemacht."Ja nee, ist klar. Das Gericht erklärt die These, an einem Menschen sollten bis zu dessen Meinungsänderung sexuelle Handlungen vorgenommen werden zu einem sachlichen Debattenbeitrag, der keine sexuellen Vorstellungen in Bezug auf diesen Menschen beinhaltet. Schönen Dank auch. Tolles Menschenbild hat das LG Berlin da.
Noch so eine Passage in die Richtung:
"Die Äußerung 'Die will auch nochmal Kind sein weil sonst keiner an die Eule ran geht!" ist eine mit dem Stilmittel der Ironie ausgedrückte Kritik an der im kommentierten Post wiedergegebenen Äußerung der Antragstellerin. Die Antragstellerin wird entgegen ihrer Meinung in dem Kommentar nicht wirklich zum Objekt sexueller Vorstellungen gemacht. Sicherlich macht sich der Kommentar ein wenig über die Antragstellerin lustig, eine Beleidigung liegt aber nicht vor."Heißt übersetzt: Wenn jemand sich vorstellt, dass a) an die Politikerin keiner "ran geht" und b) die Politikerin aber will, dass jemand an sie "ran geht" und sie daher "auch nochmal Kind sein will", da es ja inhaltlich um Sex mit Kindern geht – dann ist das keine sexuelle Vorstellung mit der Politikerin als Gegenstand. Sondern inhaltliche Kritik mit dem Stilmittel der Ironie. So das LG Berlin.
Du hast irgendwann mal in einem Alternativlos Podcast den Begriff der 'fractal wrongness' benutzt. Dieses Urteil ist das juristische Paradebeispiel dafür. Das ist fraktal falsch. Egal welche Ebene man sich anguckt, man findet immer irgendwas, was völlig daneben ist.
(Einschub: Es gibt da tatsächlich einige Äußerungen, die ich noch für zulässig halte. Beispiel: Die Äußerung "Ich könnte bei solchen Aussagen diese Personen die Fresse polieren" ist (abgesehen vom Akkusativ/Dativ-Fehler) "okay", d.h. nicht nett aber rechtlich zulässig.)
Das Sahnehäubchen ist aber:
Das Gericht ist der Auffassung, dass die Politikerin sich das falsche Zitat (der Halle Leaks Blog, wir erinnern uns dunkel) voll als das eigene zurechnen lassen muss. Denn: Man könnte das Zitat ja in dieser Weise verstehen und sie hat dieser Interpretation nicht widersprochen.Mit anderen Worten: Nicht die Meute ist schuld, nicht der Hetzer, der der Meute den vergifteten Brocken hingeworfen hat – sondern die Politikerin ist selbst schuld.
Das ist Victim Blaming vom Feinsten. Und natürlich ein Freibrief für all diejenigen, die "den gerechten Volkszorn" entfachen wollen.
Insofern: Dieses Urteil kann man mit Recht sehr ausführlich kritisieren. Ich hoffe sehr, dass es nicht hält. Denn sonst weiß ich echt nicht, wo bei Beleidigungen noch die Grenzen gezogen werden sollen, wenn das noch innerhalb des Erträglichen ist.
Nachlesen kann man das Urteil im Volltext übrigens bei den Anwälten der Politikerin.
Update: Der Einsender korrigierte nochmal ein formales Randdetail :-)
A local or remote attacker can execute programs with root privileges.Das kommt von "wir passen schon auf" als Software-Architektur. Prinzip Hoffnung.
Maintainers of the RubyGems package repository have yanked 18 malicious versions of 11 Ruby libraries that contained a backdoor mechanism and were caught inserting code that launched hidden cryptocurrency mining operations inside other people's Ruby projects.Das ist natürlich nicht die Schuld von Ruby, sondern davon, dass Entwickler heutzutage Libraries aus dem Internet automatisiert runterladen, einbinden und ausliefern. Das ist einfach mal generell eine schlechte Idee, aber gepaart mit der monströsen Komplexitätsexplosion in Code heutzutage ist es ein selbstverstärkendes Problem.Die Leute meckern immer rum, dass C und C++ keine Paketmanager haben. Ich halte das für einen Vorteil. Nicht nur einen Vorteil. Den Hauptvorteil von C und C++ im Moment. Von der Funktionalität her können C und C++ nichts, was nicht auch Rust oder Go könnten, bei einer grob vergleichbaren Performance am Ende. Oder wenn man auf Performance scheißt, dann wie Ruby, Python oder Javascript.
Der Vorteil von C++ im Moment ist, dass es eine Schwelle für das Einbinden von Libraries gibt. Das ist mit Kosten verbunden. Daher gucken Leute eher hin.
Ist nicht alles toll mit dem Modell. Eines der Hauptprobleme von C++-Code in Produktivsystemen ist, dass der Code veraltet ist und veraltete 3rd-Party-Komponenten einsetzt. Da muss mal was geschehen, keine Frage.
Aber habt ihr schonmal von einem C oder C++-Programm mit einem Kryptominer oder einer Backdoorkomponente gehört, wo der Autor auch nur versucht hätte, sich mit Paketen aus dem Internet rauszureden? Oder ein kompromittiertes Github-Paket, das es dann auch tatsächlich in irgendwelche ausgelieferte C++-Software geschafft hat?
Ich beobachte die aktuellen Bemühungen bei C++20 mit größter Sorge, sich da in Richtung NPM zu bewegen, um mehr Hipster anzuziehen. Leute, die auf sowas stehen, sind genau die, die man nicht in seinem Projekt haben will, weil das am Ende Kryptominer drin haben wird und der Verantwortliche wird nicht mal verstehen, wieso das seine Verantwortung gewesen wäre.
Sicherheitsforscher des Fraunhofer-Instituts für Sichere Informationstechnologie in Darmstadt haben in diesen VoIP-Telefonen insgesamt 40 teils gravierende Schwachstellen gefunden.Spoiler: Die Komplexität dieser Protokolle ist viel zu hoch.
Update: Einige Leser beklagen sich, dass die Lücken alle total triviale Anfängerfehler in deren Web-Komponenten sind. Niemand fand das ein schlechtes Zeichen, dass ein Telefon einen Webserver braucht.
Microsoft and Symantec have identified an issue that occurs when a device is running any Symantec or Norton antivirus program and installs updates for Windows that are signed with SHA-2 certificates only. The Windows updates are blocked or deleted by the antivirus program during installation, which may then cause Windows to stop working or fail to start.Mit anderen Worten: Norton kann SHA-2 nicht und lässt nur Updates mit alten und bekannt kaputten Hash-Verfahren durch. Wegen der Sicherheit, nehme ich an.Noch krasser als dass Leute sowas einsetzen finde ich ja immer, dass Leute für Leistung dieses Kalibers auch noch Geld ausgegeben haben.
CVE-2019-9511 “Data Dribble”: The attacker requests a large amount of data from a specified resource over multiple streams. They manipulate window size and stream priority to force the server to queue the data in 1-byte chunks. Depending on how efficiently this data is queued, this can consume excess CPU, memory, or both, potentially leading to a denial of service.CVE-2019-9513 “Resource Loop”: The attacker creates multiple request streams and continually shuffles the priority of the streams in a way that causes substantial churn to the priority tree. This can consume excess CPU, potentially leading to a denial of service.
Und noch ein Haufen dieser Art mehr. Welcher Vollpfosten hat sich denn bitte gedacht, dass es eine gute Idee ist, in einem Protokoll der anderen Seite diese Art von Freiheiten einzuräumen?! Das Protokoll ist schlicht ein Clusterfuck, und die einzige Implementation, die ich überhaupt erwägen würde, ist eine großflächig lobotomierte.Dass HTTP/2 jetzt Header-Kompression kann, löst ein Problem, dass wir uns völlig ohne Not selbst zugefügt haben. Niemand hat uns gezwungen, dass eine typische Webseite Hunderte von Requests lostreten muss. Mein Blog löst üblicherweise drei Requests aus. Und niemand hat uns gezwungen, so viele Cookies zu setzen, dass das ein Problem wird.
Das mit dem Multiplexing ist, wie ich hier schon ausführte, aus meiner Sicht eher ein Nachteil als ein Vorteil. Wenn die Leitung Paketverlust hat und stockt, dann bleibt bei HTTP/2 alles stehen, während bei HTTP/1 nur irgendein Inline-Bild stockt.
Und Pipelining geht auch in HTTP/1. Es trauen sich nur die meisten nicht zu benutzen, weil es da draußen angeblich irgendwelche kaputten Server gibt, die das nicht können. Ja, äh, na und? Die benutzt man dann halt nicht.
Aber das ist nicht alles:
The attackers also inserted code that allowed them to capture plaintext passwords as they were entered by users at the time.Und weil Slack so eine 1a Firma ist, die niemals ihre Kunden hinters Licht führen würde … erfahren wir da jetzt erst von. Und gleich noch mit einer Familienpackung Kleinreden der Größenordnung des Problems. Ach komm, Kunde, das war 2015, seit dem hast du doch sicher das Passwort mal gewechselt? Oder 2-Faktor aktiviert?!Wie damals die Autoindustrie, die die Schuld an den Toten im Straßenverkehr den Toten in die Schuhe geschoben hat. Wer immer schön sein Passwort geändert hat, ist von diesem Hack nicht betroffen. Und von den neuren Hacks erzählen wir euch dann auch 4 Jahre später, oder wie?
Boah diese Tech-Startups immer, die hab ich ja alle sowas von gefressen. Die großen Firmen sind auch widerlich und ekelhaft, aber die haben immerhin eine Compliance-Abteilung und Anwälte, die der Geschäftsführung rät, sich an Recht und Gesetz zu halten. Zumindest an den Buchstaben des Gesetzes.
Another source close to the program told us, “As far as I know, it is a problem of the PTF [Precise Timing Facility] in Italy – time has an impact on the whole constellation!”Ich hoffe das ist nicht wirklich so schlecht designed, wie es gerade aussieht.Da muss man ja fast froh sein, dass die Russen und Chinesen auch ein Satellitennavigationssystem bauen.
Das ist so eine Personal Firewall für OS X, falls das jemandem nichts sagt. Immerhin ist das wohl nur eine locale privilege escalation, nicht über Netz. (Danke, Maximilian)
Ich auch. :-( (Danke, Jan)
Das geht bald nur noch mit der Enterprise-Version.
In a response to the overwhelming negative feedback, Google is standing firm on Chrome’s ad blocking changes, sharing that current ad blocking capabilities will be restricted to enterprise users.Google ist halt wie die CDU. Zu sehr an ihren Erfolg gewöhnt. Kritik hören die gar nicht mehr. Wenn dann ist das bloß ein Missverständ nis. Die Kritiker haben bloß noch nicht klar genug erklärt bekommen, wie großartig wir sind, dsas wir die Guten sind. Wir sind so gut, wir können gar nichts böses tun!
Das ist irgendeine belanglose Messaging-Geschichte. Was diesen Fall auszeichnet, ist dass wir mal erfahren, wie lange die Angreifer Zugriff auf die Datenbank hatten, bevor es jemand gemerkt hat.
Einem offiziellen Statement von Flipboard zufolge hatte ein unbefugter Dritter im Zeitraum von Juni 2018 bis April 2019 Zugriff auf die Datenbank.Die Firma sagt jetzt: Naja, wir haben ja die Passwörter gehasht abgespeichert. Ist also nicht so schlimm.
Ich würde dem nicht zustimmen. Wenn es jemand bis zu eurer Datenbank geschafft hat, dann hing die entweder am Internet, in welchem Fall man nie wieder irgendwas aus eurem Hand vertrauen sollte, oder der Angreifer musste sich durch den Rest eurer Infrastruktur durchhacken. Es gibt wenig Grund für die Annahme, dass der dann nicht auch die Klartext-Passwörter abgeschnorchelt hat bei dne Logins in der Zeit. Das macht man zwar trotzdem und es ist gut so, aber sorry, wer Angreifer die Datenbank abschnorcheln lässt, und das ein Jahr lang nicht merkt, dem sollte man an der Stelle keinen Vertrauensspielraum mehr einräumen.
Und zukünftig auch nicht mehr.
Man muss sich auch fragen, wieso man denen überhaupt jemals getraut hat.
Ist ja nicht so als wäre da der Quellcode offen und man könnte selbst Server betreiben.
Salesforce is going through one of its biggest outages ever after the company was forced to shut down large chunks of its infrastructure earlier today.At the heart of the outage was a change the company made to its production environment that broke access permission settings across organizations and gave employees access to all of their company's files.
Mit "employees" sind hier nicht Salesforce-Mitarbeiter gemeint, sondern Mitarbeiter der Kunden von Salesforce. Die konnten dann innerhalb der Daten des Kunden alles zugreifen.Immerhin scheint es kein Multi-Tenant-Breach zu sein. Das ist ja so der Super-GAU der ganzen Cloud-Anbieter, dass Pepsi auf die Daten von Coca Cola zugreifen kann, weil sie was verkackt haben. Denn damit sich Cloud-Scheiß finanzierll lohnt, muss man alle Kundendaten auf möglichst wenig gemeinsam genutzter Infrastruktur verarbeiten. Die Security verlässt sich dann darauf, dass "wir schon aufpassen beim Programmieren". Ja nee, klar.
Jetzt gab es mal wieder Notfall-Patches für RDP, und zwar Notfall-Patches auch für eigentlich aus dem Support rausgefallene Plattformen wie XP. Der Bug ist wohl Pre-Auth, d.h. daraus könnte man einen schönen Wurm bauen.
Ich lehne mich mal ein bisschen aus dem Fenster und sage eine Ransomware-Welle an, die diese Lücke nutzt, weil die Firmen alle zu blöde sind, existierende Patches auszurollen. Irgendein inkompetenter, selbsternannter Pseudo-Security-Fuzzy steht da immer im Weg. Und wird noch bezahlt für seine Sabotage! Von der geschädigten Firma selbst!
Ich stell mir das ja immer vor wie Steve Jobs mit seinem Krebsleiden auf dem Weg zum Quacksalber.
Insofern ärgere ich mich auch nicht mehr über solche Ransomware-Wellen. Das ist schlicht Darwin bei der Arbeit. Firmen, die solche Leute in den Weg gestellt haben, die haben die Konsequenzen nicht nur verdient, sie brauchen sie. Ohne negatives Feedback lernt der Mensch nicht.
Update: Könnte sich um diesen Fall aus dem letzten Jahr handeln. Das wäre ja eher peinlich, wenn Whatsapp da nen Jahr drauf sitzt.
Zur Einordnung vielleicht: Wer Fremde SQL-Statements gegen seine Datenbank werfen lässt, hat eh verloren. Bei vielen Datenbanken gibt es sogar direkt SQL-Statements für "führe diese Kommandozeile aus".
Ist aber natürlich trotzdem schlecht, weil man damit das Permission-Schema der Datenbank umgehen kann. Die Funktion für Shell-Ausführen kann dem DB-User ja verboten worden sein. (Das war allgemein gesprochen, sqlite hat kein Rechtesystem) (Danke, Peter)
Remote Code Execution on most Dell computers
An unauthorized person gained access to a Docker Hub database that exposed sensitive information for approximately 190,000 users. This information included some usernames and hashed passwords, as well as tokens for GitHub and Bitbucket repositories.According to a security notice sent late Friday night, Docker became aware of unauthorized access to a Docker Hub database on April 25th, 2019.
After performing an investigation it was determined that the database contained information for approximately 190,000 users. This information included access tokens for GitHub and Bitbucket repositories used for Docker autobuilds as well usernames and passwords for a small percentage of users.
Na sowas! Also DAMIT konnte ja wohl NIEMAND rechnen!! Hätte uns doch nur jemand gewarnt!!1!
Ich bin mir nicht sicher, was der Typ als Kabarettist so erzählt, wenn er nicht in Rolle auftritt, aber berühmt ist er ja durch eine satirische Commedy-Serie. Ich habe mal vor Jahren zufällig ein paar Folgen davon erwünscht und mich noch gefragt, ob das in Russland produziert wäre, denn wer hätte das in Zeiten des (damals frischen) Ostukraine-Konflikts denn zulassen sollen.Aha, wir reden hier also von einer Art "Yes, Prime Minister" nur in real! Oh Mann.Die Serie war kein rein episodischer Klamauk, sondern eine zusammenhängende Geschichte, wie so ein unerfahrener Niemand durch einen dummen Zufall Präsident (die Hauptrolle, die Selenski spielt), seine Bekannten und seine Frau als Minister einsetzt, und sich vorstellt, jetzt endlich alles richtig zu machen. Dabei findet er heraus, dass es alles nicht so einfach ist. Das so als Kurzfassung.
Ich behielt davon in Erinnerung, dass die Serie einen guten Riecher für den Politikbetrieb zeigt. Ob das bei der Serie sein Verdienst war, oder er nur der Schauspieler, kann ich nicht sagen. Kannst dir aber vorstellen, wie ich mich wunderte, als ich vor Kurzem erst erfuhr, was da drüben los ist und woher dieser neue Kandidat berühmt ist.
Die Ironie besteht nun darin, dass Selenski quasi die Geschichte seiner Serie in der Realität jetzt nachstellt. Das, was an ihm so kritisiert wird (er sei unerfahren etc.) prallt auch deswegen ab, weil er das alles – unter Laborbedingungen, dafür aber öffentlich nachverfolgbar – schon einmal durchexerziert hat.
Was Sonneborn angeht, muss ich dich allerdings enttäuschen: In er Ukraine sagt man ja auch, wer einmal Innenminister war, könne kein anständiger Mensch sein.
Dort müssen wir mit unserem Konformismus erst noch hin, bevor wir das Kunststück nachzuahmen versuchen können!
Update: Und noch ein Nachtrag:
Um es nicht dabei zu belassen, habe ich mir jetzt tatsächlich eine Folge seiner Comedy-Sendung angetan.
Das hemmt die Euphorie über die Wahl dann doch ein wenig. Es ist, so fair muss man sein, aber auch einfach das Format: Fast völlig unpolitisch, bis auf einen kleinen und wenig spezifischen Seitenhieb hier und da, und bestehend aus so ewigen Themen wie verheiratete Ehepaare, die liebe Mutti, 90er-Jahre-Fernsehen, bei einer Party ein Einziger nüchtern bleiben… und die übrigen habe ich während ich das hier schrieb schon wieder vergessen. Waren aber einige.
Es gibt sicherlich Unlustigere (also die gar nicht lustig sind statt bloß ein wenig), aber es überrascht mich jetzt nicht mehr, wie Selenski es trotz üppiger Medienpräsenz geschafft hat, so wenig über seine politischen Pläne und Ansichten zu verraten.
Ich muss gerade unweigerlich an Mexiko denken, wo die Präsidentengattin vorher landesweit bekannte und verehrte Soap-Opera-Darstellerin war und immer noch riesige Fan-Aufäufe produziert, wenn sie irgendwo hinkommt. Der Präsident nutzt das natürlich, um wichtigen Presseauftritten mehr Aufmerksamkeit zu verleihen. Hier wäre das ohne den Umweg über die Gattin.
Ein anderer Leser ergänzt, weil ich Juristen angesprochen hatte:
1. Selenskyj hat ein abgeschlossenes Jurastudium:
"Nach dem Abitur 1995 an der Mittelschule absolvierte er das Diplomstudium der Rechtswissenschaft am Institut der Nationale Wadym-Hetman-Wirtschaftsuniversität Kiew."
https://de.wikipedia.org/wiki/Wolodymyr_Selenskyj
2. Da die meisten Medien bisher keine weiteren Informationen über den Präsidentschaftskandidat Selenskyj schreiben, außer dass er ein "Komiker" sei, habe ich ich mal auf die Video Suche begeben und die ukrainische TV-Serie "Diener des Volkes" mit einschaltbaren englischen Untertiteln gefunden:
https://www.youtube.com/watch?v=GZ-3YwVQV0M
Die Serie, in der er plötzlich und unerwartet Präsident der Ukraine wird, ist wirklich sehenswert und das nicht nur in Anbetracht der Tatsache, dass es am gestern fast genauso passierte wie in der Serie.
Die schlechte Nachricht: Leider können sie sie uns nicht zeigen.
Beweise scheint die CIA nicht vorgelegt zu haben. Der Verdacht sei stark, allerdings nicht felsenfest ("strong but not cast-iron classification of certainty").Im krassen Gegensatz zu den Beweisen dafür, dass US-Geheimdienste Cisco-Produkte zum Installieren von Hintertüren bei ihren Opfern benutzt haben.
Eines der Verdachtsmomente:
Zu den Verdachtsmomenten zählt, dass Huawei-Gründer Ren Zhengfei Mitglied der Volksbefreiungsarmee war.OK also damit ist die Sache ja wohl völlig klar. Dann kaufen wir lieber Produkte von Checkpoint. Wenn Siemens noch eine erwähnenswerte Produktpalette hätte, würde ich hier ein paar EU-Projekte verlinken, bei denen Siemens vom Staat finanziert wird. Und gerade bei Ex-Militärs im Telco- und Security-Markt sollten die USA mal ganz leise sein. Das ist das Land, das uns Blackwater gebracht hat, wir erinnern uns. In den USA sind gefühlt ein Drittel bis die Hälfte der IT-Security-Leute Ex-FBI, Ex-Polizei, Ex-Militär oder Ex-Geheimdienst. Was für ein absurdes Schmierentheater.
Wie wäre es, wenn wir einfach niemandem glauben, und den Quellcode selber verifizieren?
Oder (Achtung: Jetzt wird es völlig abwegig!) wir könnten ja auch selber strategisch investieren, damit wir Marktteilnehmer in wichtigen Zukunftsmärkten haben, und nicht im Ausland kaufen müssen!
Mozilla has told BleepingComputer that they will be enabling the tracking feature called hyperlink auditing, or Pings, by default in Firefox. There is no timeline for when this feature will be enabled, but it will be done when their implementation is complete.Dass die Leute aber auch alle nie den Hals voll kriegen können! Wieso müsst ihr eigentlich wissen, auf welche Links ich klicke? Go fuck yourself!
Browsers such as Chrome, Edge, Safari, and Opera enable hyperlink auditing by default and most allow you to disable it. As we reported last weekend, future versions of these browsers will no longer allow users to disable hyperlink auditing at all.Das ist ja super, dieses Chrome!Oh, und falls ihr euch fragt, wieso Chrome das nicht abschaltbar machen will:
While not as common as JS and redirect tracking, this feature is used in the Google search results in order for Google to track clicks on their links.
Several devices manufactured by WAGO contain an undocumented account with administrative privileges. The password for this account is device dependet, but easily brute-forcable.Cisco leistet so viel, um für das Thema Hintertür-Admin-Accounts Awareness zu schaffen, und es finden sich IMMER noch welche! Unglaublich.
An attacker gained access to the servers hosting Matrix.org. The intruder had access to the production databases, potentially giving them access to unencrypted message data, password hashes and access tokens. As a precaution, if you're a matrix.org user you should change your password now.Das war wohl ein netter Hacker, der parallel schön Tickets aufgemacht hat.Der Bug war nicht in deren Matrix-Code, sondern in deren Drumherum-Scheiß, wo sie einen Jenkins hatten, der per SSH erreichbar war, und da lagen zu allem Überfluss dann auch noch die GPG-Keys herum, mit denen sie ihre Debian-Pakete signieren. Das lässt keine direkten Rückschlüsse auf die Codequalität zu, aber das ist ein weiterer Fall von "Projekt von seiner eigenen Devops-Komplexität erschlagen". Und wenn die da schon so schlampen, dann fragt man sich schon, ob man dem Rest trauen kann. Auf der Kiste, auf der er sich einloggen konnte, war gerade jemand anderes mit SSH Agent Forwarding eingelogt, der Root-Zugriff anderswo hatte. Ganz großes Kino.
We identify a security vulnerability in this TLS 1.3 path, by showing a new reflection attack that we call ``Selfie'. The Selfie attack breaks the mutual authentication. It leverages the fact that TLS does not mandate explicit authentication of the server and the client in every message.
A buffer overflow vulnerability was found in GNU Wget 1.20.1 and earlier. An attacker may be able to cause a denial-of-service (DoS) or may execute an arbitrary code.wget ist so eines der Tools, bei denen sowas eher unangenehm ist. (Danke, Alexander)
Im Netz kann jeder unter falscher Identität unterwegs sein. Künftig soll das auch die Polizei öfter tun. Sie soll die Online-Konten von Verdächtigen einsehen und übernehmen können. Wer sein Passwort verweigert, kann dafür sogar in Beugehaft kommen.Wo bleibt eigentlich die Revolution?
Hackers Hijacked ASUS Software Updates to Install Backdoors on Thousands of ComputersGroßartige Firma, dieses Asus. Da will man doch seine Hardware kaufen!
Selbst die Mainstream-Presse spricht darüber, dass sich hier ein Generationenkonflikt zwischen alten analogen Säcken und dem Nachwuchs im Internet offenbart, und sprechen die Piratenpartei sogar namentlich an. Steht da bei den Piraten ein Quarterback und wehrt die ganzen Journalisten ab oder wie läuft das?
Update: Ein Football-Kenner erklärt mir gerade, dass ein Quarterback nichts abwehrt sondern im Gegenteil Teil der Offensive ist und beschützt wird. :-)
Security fixes found by an EU-funded bug bounty programme:- a remotely triggerable memory overwrite in RSA key exchange, which can occur before host key verification
- potential recycling of random numbers used in cryptography
- on Windows, hijacking by a malicious help file in the same directory as the executable
- on Unix, remotely triggerable buffer overflow in any kind of server-to-client forwarding
- multiple denial-of-service attacks that can be triggered by writing to the terminal
Other security enhancements: major rewrite of the crypto code to remove cache and timing side channels. Das ist mal so ziemlich ein Totalschaden.
ImpactNa dann ist ja alles in Butter. Boah du, ein Glück dass wir von Debian und diesem stinkenden APT weg sind!1!! Und diesem entsetzlichen RPM erst!!1!
======
A remote attacker in the position of man-in-the-middle or a malicious
server is able to execute arbitrary code as root when a user installs a
remote package via a specified URL.
Ja. SCHON WIEDER.
Ob das eine Strategie ist? Die Kunden so lange mit Sicherheitslücken bombardieren, bis sie das für normal halten? Scheint zu funktionieren!
Aber keine Sorge. Ist bloß Superuser-Zugriffe für Angreifer.
Keine der Lücken gilt als kritisch.Na dann ist ja nicht so schlimm, nicht wahr?
PS: Heise hat aus irgendwelchen Gründen diese Meldung nicht in ihrem Newsticker verlinkt. Ob sie sich für den oben zitierten Satz geschämt haben?
technologisch ist Huawei vllt nicht weiter, aber das Produkt-Portfolio ist größer.
LTE-A ist bis auf ein paar Kniffe quasi identisch mit 5G, dennoch hat man ein paar Verbesserungen bezüglich des Airtime-Managments usw. gemacht um die Nutzung der Kanäle zu verbessern.Vorallem aber hat man im Standard nicht vorgesehen, dass ein Gerät 4G und 5G gleichzeitig nutzt, Huawei fand das von Beginn an doof.
LTE und 5G können beide Carrier-Aggregation, wo das Endgerät de-facto mit mehreren Zellen gleichzeitig spricht, inzwischen sind das in der Praxis bis zu vier. Aber 5G sieht nicht vor, dass ich ggf. auch asymmetrisch Aggregiere. Also z.B. im Downstream eine 5G Zelle nutze (sagen wir auf 24 GHz) und im Upstream eine "alte" 4G Zelle mit 800 MHz. (Das ist deshalb von Vorteil, weil das Handy die Zelle in der Praxis immer viel besser sieht, als die Zelle das Handy, klar, die Zellen kompensieren die Asymmetrie mit riesen Antennen, aber auf 24 und 30 GHz bringt das aktuell nicht viel, der Up-Stream muss daher häufig auf neuen oder aktuellen Niederfrequenten 800-5000 MHz Frequenzen erfolgen.
Der default hier wäre, dass ich da auch auf 800 MHz meine Zelle upgraden muss, das spült Geld in die Kassen.
Huawei supported aber auch Cross-Tech-CA, also 4G mit 5G zusammen und scheinbar werden das auch die Modems der Fremdhersteller unterstützen.
Außerdem kann man viel es schon in Betrieb befindlichen 4G Equipments einfach recyceln, sofern der Hersteller das vorsieht, und auch das ist bei Huawei der Fall. Deshalb war auch schon für LTE-A die Technik von Huawei so viel interessanter als die von Nokia und Ericsson.
Inzwischen werden die zwei nachgezogen haben, aber ggf. sind die aktuell Politisch gespielten Interessen auch nur die Interessen eines einzelnen US-Anbieters, der einfach kein Huawei-Equipment nutzt und enorme Nachteile hat wenn seine Konkurrenten einfach "upgraden".
Die häufigere Anwendung in der Politik ist allerdings das positive Framing. Wenn z.B. die offizielle Regierungskommunikation von "Arbeitslosenstatistik" auf "Beschäftigungsstatistik" oder gar "Arbeitsmarktstatistik" umschwenkt, dann wird damit der Aspekt wegretuschiert, dass wir hier über Menschen reden, die keinen Job gefunden haben, und von unserem Hartz-IV-System zu Menschen zweiter Klasse degradiert und gegängelt werden. Oder wenn die Politik davon redet, "ein Gesetz auf den Weg gebracht" zu haben, dann wird damit transportiert, das ein Gesetz sowas wie ein Boot ist, das man vom Stapel lässt, und danach ist halt "in Gottes Hand", was weiter passiert.
Kurz gesagt: Framing ist keine neutrale oder positive Technik. Das ist das Handwerkszeug von Spindoktoren, und die ARD sollte sich was schämen, dass sie ihre Mitarbeiter nach solchen Methoden schult.
Ich finde sehr schön, wie Meedia auch Framing benutzt, um den Ton zu setzen, wenn sie ein Foto der ARD-Generalsekretärin nehmen, wo sie besonders unehrlich zu lächeln scheint, und dann als Bildunterschrift das hier nehmen:
"Jeder darf so reden, wie er oder sie möchte."Damit wird deutlich kommuniziert, dass das das in Abrede stand oder zumindest nicht klar war.
Es wird in der Mitte auch konkreter, was für Framing-Vorschläge dieses Manual so gemacht hat:
Q: Es werden aber nicht nur Vorschläge gemacht, wie man die ARD und den öffentlichen Rundfunk besser darstellt, sondern es wird auch erklärt, wie man den Privatmediensektor fast schon herabwürdigen kann. Da ist die Rede von “profitwirtschaftlichen Sendern”, von “medienkapitalistischen Heuschrecken”, vom “Kommerzsender”. Diese Begriffe fallen im Manual. Wie beurteilen Sie das?Das finde ich ausgesprochen harten Tobak. Besonders weil die angeblichen Gemeinwohlsender ja auch Werbung ausstrahlen (was ich übrigens skandalös finde).A: Wir sind gewohnt, immer zu sagen “öffentlich-rechtlich” und “privat”. “Öffentlich-rechtlich” beschreibt aber nur eine juristische Organisationsform, das Pendant wäre “privatrechtlich”. Das wird aber nicht gesagt. Mit “privat” wird eher etwas Privates, Eigenes, Heimeliges verbunden. “Öffentlich-rechtlich” hat eine Konnotation, die für viele nach schwerfälliger Behörde klingt. Für mich war die Erkenntnis ganz wichtig, dass wir hier nicht ehrlich sprechen. Der Begriff “Gemeinwohlmedien” drückt viel besser aus, wofür wir stehen als “öffentlich-rechtlich”. Dass die kommerziell arbeitenden Medienhäuser nun mal kommerziell sind, ist meiner Meinung nach eine ehrliche Bezeichnung und keine herabwürdigende.
Nehmt Go, sagten sie. Ist dann sicher, sagten sie.
Dell Networking OS10 versions prior to 10.4.3.0 contain a vulnerability in the Phone Home feature which does not properly validate the server’s certificate authority during TLS handshake. Use of an invalid or malicious certificate could potentially allow an attacker to spoof a trusted entity by using a man-in-the-middle (MITM) attack.Certificate Checking is hard! Let's go shopping! (Danke, Benedikt)
you can call somebody via FaceTime and listen to their phone’s microphone regardless of whether the person you’re calling picks up.Das passiert wohl, wenn man während des Verbindungsaufbau auf Konferenz-Modus umschaltet.Klingt wie ein feuchter Traum der NSA, nicht wahr?
Dort sind im Zeitraum vom 6. Dezember 2018 bis zum 21. Januar 2019 sämtliche Eingaben über das zentrale Online-Beschwerdeformular nicht eingegangen.Grund dafür ist ein nicht näher spezifiziertes "technisches Problem", wie das Datenschutzamt mitteilt. Das Problem bestehe auch dann, wenn der Nutzer eine Versandbestätigung erhalten haben sollte.
Merke: Nur weil jemand AES macht, heißt das nicht, dass es sicher ist.
Ich bin ja vor allem irritiert, dass der Autor die auf den Plattformen zur Verfügung stehenden APIs für Zufallszahlen nicht kannte. Die gibt es extra für genau diese Anwendung: CryptGenRandom unter Windows oder /dev/urandom unter Unix. Da gibt es echt nicht viel als Entschuldigung vorzubringen.
Update: Siehe auch.
Remote Code Execution in apt/apt-get
To the best of our knowledge, all systemd-based Linux distributions are vulnerable, but SUSE Linux Enterprise 15, openSUSE Leap 15.0, and Fedora 28 and 29 are not exploitable because their user space is compiled with GCC's -fstack-clash-protection.
Ein Bug in SQLite ist ziemlich apokalyptisch, das hat ähnliche Ausmaße wie zlib und libpng. Da sind einmal alle Browser von betroffen, und noch ein Haufen mehr. Ich wollte da nicht drauf linken, bis es mehr als Geraune gibt, und das gibt es jetzt.
Das interessante daran ist, dass SQLite eigentlich eine der Produktionen mit der größten Test-Suiten ist. Und trotzdem rutscht da sowas durch.
For approximately 100 million Quora users, the following information may have been compromised:- Account information, e.g. name, email address, encrypted (hashed) password, data imported from linked networks when authorized by users
- Public content and actions, e.g. questions, answers, comments, upvotes
- Non-public content and actions, e.g. answer requests, downvotes, direct messages (note that a low percentage of Quora users have sent or received such messages)
Questions and answers that were written anonymously are not affected by this breach as we do not store the identities of people who post anonymous content.
Und dann wundern sich die Leute, wieso ich keine Accounts bei ihnen aufmachen will.
a malicious user could use the Kubernetes API server to connect to a backend server to send arbitrary requests, authenticated by the API server's TLS credentials.The API server is the main management entity in Kubernetes. It talks to the distributed storage controller etcd and to kublets, the agents overseeing each node in a cluster of software containers.
Das ist ein Container-Ausbruch-Szenario. Kubernetes ist ja seit Tag 1 Opfer seiner eigenen unnötigen Komplexität. Die Prämisse ist ja eigentlich relativ einfach. Man beschreibt ein System aus mehreren Containern deklarativ und ein Tool baut das dann auf. Ein Tool, um einen Container zu starten, geht in deutlich unter 100k statisches Binary. Ein Tool, um aus einer Beschreibung ein Image zu bauen, und sich die Bestandteile aus dem Internet zu ziehen, ist sagen wir mal 2 MB, da ist dann auch ein fettes OpenSSL mit drin.Aber Kubernetes hat da noch eine monströse Management-Infrastruktur draufgepackt, und alles riesige Go-Binaries natürlich. Ich habe hier gerade mal das aktuelle Kubernetes mit dem aktuellen Go gebaut -- da fallen 1.8 GB Binaries raus. Ja, Gigabytes! Kein Typo! Das ist völlig absurd. Und natürlich geht ohne die Management-Infrastruktur der Rest nicht. Aus meiner Sicht ein Architektur-Fuckup sondergleichen. Auf der anderen Seite tickt Docker ja genau so. Da muss man auch die ganze Zeit einen Docker-Daemon laufen haben. Was die sich dabei wohl gedacht haben? Ich glaube: Der läuft da hauptsächlich aus Branding-Gründen. Damit die Leute den Eindruck haben, Container sei eine hochkomplexe Docker-Tech, keine vergleichsweise einfache Linux-Kernel-Tech.
Es ist ja schon viel und zu Recht gelacht worden über node und npm, aber das heißt ja nicht, dass jetzt genug ist.
Aktueller Fall: ein NPM-"Modul" mit 2 Millionen Downloads pro Woche. Der Maintainer hatte irgendwie keinen Bock mehr, sich um seinen Scheiß zu kümmern. Da kam dieser andere Typ gerade recht, der so meinte, hey, ich kann das ja übernehmen und so! Und daraufhin hat der dem Schreibrechte gegeben und der gute Samariter hat erstmal Malware injected.
Da weiß man, was man hat! Das ist doch DIE Plattform für eine web-basierte Enterprise-Software!!1!
Update: Money Quote:
he emailed me and said he wanted to maintain the module, so I gave it to him. I don't get any thing from maintaining this module, and I don't even use it anymore, and havn't for years.
Das ist ein Paper, nicht die bizarre angebliche Schutzgelderpressung neulich.
Aus dem Abstract:
We find that for the majority of ProtonMail users, no end-to-end encryption guarantees have ever been provided by the ProtonMail service and that the "Zero-Knowledge Password Proofs" are negated by the service itself.Oops. (Danke, Robert)
Spannend an dem finde ich vor allem den Teil hier:
[Feel free to send this to the FreeBSD lists or whatever to get it fixed. I honestly can't be bothered making a throwaway email and going through the subscription process, nor do I want "TheGrandSchlonging" to appear in FreeBSD commit logs.]TheGrandSchlonging is sein Reddit-Username.Und inhaltlich geht mir das ja ähnlich. Ich ärgere mich jedes Mal, wenn ich irgendwo einen Bug melden will, und die mich erstmal durch irgendeine Account-Prozedur durchtrichtern wollen. Das ist ja nicht so, als bin ich hier der Bittsteller, der was von euch will. Im Gegenteil. Ihr wollt was von mir. Nämlich dass ich euch von dem Bug erzähle, den ich gefunden habe. Also hört mal bitte auf, mir künstliche Barrieren in den Weg zu legen.
Ich hab eh schon vor Jahren völlig aufgehört, nach Bugs in kommerziellen Produkten zu suchen, außer ich werde dafür bezahlt. Und dieser Account-Bullshit und wie die Leute in den Bugtrackern dann teilweise mit ihren Usern umgehen, das ist echt abschreckend und führt nicht zu mehr gemeldeten Bugs.
Aktuelles Beispiel, auch wenn das kein Security-Bug ist, war für mich mpv. mpv ist das Nachfolge-Projekt von mplayer. Mit mplayer oder mpv spiele ich seit gefühlt 20 Jahren meine Video-Dateien ab und hören mir meine mp3-Sammlung unter Linux an. Das Programm ist für mich also eher wichtig. Ich hatte mir ja kürzlich einen Acer Swift 1 gekauft, weil der besonders gute Akkulaufzeit hat und sich besonders gut zum Video-Abspielen eignet dank Hardware-Decoding von H.264, H.265 inklusive 10-Bit Farbtiefe, und VP9. Linux unterstützt das. mpv unterstützt das. Ich spiele also mit mpv ein Video ab und kriege massives Stottern und Frame Dropping. Das habe ich sehr vielen Jahren nicht mehr erlebt, dass ein Player Frames droppt, weil die Performance nicht reicht. Da kommt dann noch so eine von-oben-herab-Fehlermeldung, dass dann wohl das System kacke sei, auf dem man gerade arbeitet, oder zumindest die Treiber, die man verwendet.
Ich habe also vlc probiert, und das flutscht. Da stottert nichts. Stellt sich raus: mpv hat zwar -vo vaapi und -vo xv (dekodiert mit CPU aber macht Farbraumkonvertierung und Skalierung in Hardware) und kann damit stotterfrei dekodieren, aber besteht per Default auf -vo gpu, und der macht irgendwelchen Shader-Kram, der auf Gamer-Hardware prima tut und womöglich auch bessere Qualität liefert (nicht dass ich das hätte beobachten können), und zusätzliche Filter erlaubt, die ich noch nie benutzt habe. Aber auf dem Gemini Lake Atom-Derivat in dem Swift 1 flutscht das halt nicht. Ich habe also einen Bug gefiled, dass sie in der Fehlermeldung möglicherweise auf -vo vaapi hinweisen könnten statt dem Benutzer die am wenigsten hilfreiche Meldung aller Zeiten zu geben ("du hast wohl Scheiß Hardware").
Es gibt auch ein mpv-Wiki, wo drinsteht, dass niemand jemals etwas anderes also -vo gpu nehmen soll, weil das so geil ist, und andere Alternativen werden dort auch gar nicht erwähnt.
Nun kann mir das ja eigentlich alles egal sein. Ich hab ja die Lösung gefunden, nämlich -vo vaapi (damit spielt das Gerät auf Akku über 10h am Stück Video ab und hat dabei eine CPU-Auslastung von unter 5%). Aber das Projekt liegt mir halt am Herzen. Schreiben die zurück: Deine Hardware ist kacke, nein wir ändern das nicht, und wenn wir da ranschreiben, dass vaapi weniger Strom verbraucht als gpu, dann benutzt ja niemand jemals gpu.
Ich kommentierte dann noch, dass wenn sie das nicht fixen, dass die Kunden dann halt zu vlc abwandern, wenn mpv "zu lahm" ist, was es ja nicht wirklich ist, aber es sieht halt so aus. Und sie sollen mal lieber ehrlich sein mit ihren Kunden. Daraufhin meinte dann jemand, ich könne ja gehen, wenn mir mpv nicht gefällt, und machte den Bug zu.
Liebe Leser, wenn ihr jemals in der Situation seit, einen Bugtracker zu pflegen, dann macht lieber gar nichts als euch so zu verhalten. User verprellen ist so das schlechteste, was man tun kann. Fragt euch mal selbst, ob ihr einem Projekt helfen wollen würdet, das euch beim ersten Versuch so den Stinkefinger ins Gesicht hält.
Ich erwähne das, weil FreeBSD so das Gegenteil davon ist. FreeBSD, PostgreSQL und LLVM sind Projekte, die mit Bugreports professionell, zeitnah und sauber umgehen, und wenig überraschend sind die auch echt erfolgreich am Ende. Projekte wie gcc, bei denen auf dem Bugtracker häufig eher User-Abwehr statt Bug-Beseitigung betrieben wird, geraten halt ins Hintertreffen. Und mpv, wenn es sich so verhält, wird als Privatprojekt von irgendeinem Frickel-Nerd in seinem Keller enden, das niemand kennt und niemand benutzt. Schade eigentlich, denn die verspielen da über Jahre aufgebautes Karma.
Update: Ein Einsender kommentiert:
es wird deutlich darauf lhingewiesen (https://www.freebsd.org/security/), dass security-related Krams per Mail an secteam@ berichtet werden soll/kann. Der Link steht auch im Default-motd, sollte also jeder FreeBSD-User mal gesehen haben :)
Oh das wusste ich nicht. Dann gibt es in der Tat nicht so viele Ausreden, den Bug auf reddit zu posten statt den FreeBSDlern zu mailen.
Update: mpv hat den Bug nicht nur geschlossen sondern als "too heated" gelockt, womit weitere Kommentare von Externen nicht mehr erlaubt sind. Gute Arbeit, Jungs. So strahlt man Souveränität aus.
Update: Haha, geil, jetzt werde ich da auch noch als Lügner bezeichnet. Natürlich schön nachdem man mir die Kommentiermöglichkeit weggenommen hat. Tolles Projekt, dieses mpv. Da will man doch mithelfen!1!!
Aber ein Detail noch: In der Zwischenzeit hat sich gezeigt, dass auch -vo gpu flutschen kann, wenn man bloß auch noch --hwdec=auto macht. Ja, ich bin genau so belustigt wie ihr. Die haben eine auto-Option für den Hardware-Decoder und machen die dann nicht an. Der Lacher ist ja, dass -vo xv auch Software-Decoding macht und bei weitem schnell genug ist. Wir wissen also zwei Dinge jetzt: Die CPU ist schnell genug für Software-Decoding, und das OpenGL ist schnell genug fürs Rendering. Aber in Kombination verkackt mpv es. Ich hätte ihnen ja beim Debuggen geholfen. Aber ich helfe nur Projekten, die ihren Usern Menschenwürde zugestehen.
Ich sag ja schon die ganze Zeit, dass VMs viel zu komplex sind und viel zu viel Code haben, als dass man sie einfach so als Security-Boundary einziehen kann. Aber auf mich hört ja keiner.
Ich bin ja fasziniert, dass wenn jemand von Project Zero Apple-Ingenieure fragt, ob sie mal kurz was ausprobieren mögen, dass die dann nicht alle NEIN!!!1! brüllen und wegrennen. Die haben echt immer noch Reste von Steve Jobs Reality Distortion Field am Laufen und halten sich für kompetente Programmierer. Unglaublich.
Update: Mir sei noch der Hinweis erlaubt, dass sie das mit RTP-Fuzzing gefunden haben. Erstmal ist es ausgesprochen peinlich, wenn überhaupt ein Bug mit Fuzzing gefunden wird. Peinlich, aber leider nicht unüblich in der Industrie, so beschissen ist ihr Zustand. Aber dass Apple einen mit Fuzzing findbaren Bug nicht selber gefunden hat, das ist echt unakzeptabel und unverzeihlich. Wenn Apple-Kunden mehr als eine Hirnzelle hätten, wäre Apple echt in Schwierigkeiten.
Meine Vermutung ist, dass die Hersteller noch nicht mitgekriegt haben, dass man ihre Firmware extrahieren und reverse engineeren kann.
Ich sage gleich mal voraus, dass die Firmware ab jetzt verschlüsselt kommt, damit sie kein Geld ausgeben müssen, um die Software in der Firmware ordentlich zu machen.
Update: Christian, der von Crypto mehr versteht als ich, erklärt:
Bitlocker macht OPAL, zumindest die Samsungs die ich seit eh und jeh empfehle, unterstützen DEK-Ranges. Das tun Sie auch hier. Damit ist die Sache safe. Im ATA-Security Modus das Master Passwort mit read-Recht so umzusetzen ist sehr ungünstig aber fixbar, wer OPAL nutzt ist davon aber auch nicht betroffen. [...]
Die DEKs liegen mit dem „Passwort“ (genauer in dem Fall TPM Key) verschlüsselt vor. Völlig normales Vorgehen, keine Hintertür, kein Incident. Fig. 8 hilft Dir weiter.
Das Paper ist in seiner Argumentation und Darstellung undurchsichtig und Verzeihung – unsauber.
Da jetzt pauschale Ableitungen wie am Beginn des Papers draus zu postulieren ist Blödsinn.
Zur Erläuterung: OPAL ist der Standard für SSD-Verschlüsselung. DEK ist der Schlüssel, mit dem die Daten verschlüsselt sind. Da nimmt man einen separaten Schlüssel und nicht einfach den Hash des Passworts, damit man das Passwort ändern kann, ohne alle Daten zu verlieren. Die Grundlagen erklärt das Arch-Linux Wiki, das m.E. zum Weltkulturerbe zählen sollte, soviel hilfreiche Dinge, wie da immer wieder drin stehen.
Update: Ich habe mich nochmal mit Kollegen unterhalten und die finden, dass doch das Paper Recht hatte und nicht Christian. Das Paper geht darum, dass jemand deine Platte klaut und du nicht kooperierst. Die Anforderung ist, dass das Laufwerk die Daten mit einem zufälligen Key verschlüsselt, der nicht auslesbar ist, und den sonst keiner kennt. Das lässt sich natürlich auch nicht prüfen, ob nicht alle Laufwerke von Baureihe XY statisch immer denselben Key verwenden oder so. Aber an sich haben die Laufwerke alle einen Zufallszahlengenerator (der auch häufig Müll ist, aber das ist ein anderes Thema). Man schließt die Platte jetzt mit einem Passwort auf. Die Platte kann aber nicht einfach den Schlüssel aus dem Passwort ableiten, weil man sonst das Passwort nicht ändern könnte, ohne alle Daten zu verlieren. Idealerweise will man daher aus dem Passwort einen Zwischenschlüssel ableiten, und mit dem den eigentlichen Schlüssel verschlüsselt haben. Das Paper hat jetzt rausgefunden, dass das bei den meisten Laufwerken nicht so ist, sondern dass die halt Code haben, der guckt, ob das Passwort stimmt, und dann den Key nehmen, der eh rumliegt. Dann kann ein Angreifer kommen und die Firmware manipulieren, dass der jedes Passwort reinlässt.
Ernsthaft? IMMER noch?!
Hi Fefe, mir geht es genauso, kein Zugriff mehr seit 29.10., die Info "Routineüberprüfung" wurde mir nicht mal mitgeteilt, nur dass ich auf eine E-Mail warten solle, und dass die Entscheidung "final" sei. Sonst nicht ein Wort, es gibt keine Hotline und der Chat blockt ab. Vielen Dank fürs publik machen. Daran, dass die Bude gehackt worden sein könnte habe ich gar nicht gedacht, nach ihrer öffentlichen Zerstörung beim CCC 2016 dachte ich, wer so auf die Fresse bekommen hat muß dazugelernt haben. Habe bereits Beschwerde bei der BaFin eingelegt, da eine Bank zwei Monate Kündigungsfrist hat. Es wäre super wenn du diese Möglichkeit verlinken könntest, sie haben ihre Lizenz erst seit zwei Jahren, diese Sprache verstehen sie (hoffentlich). Außerdem haben sie eine vollständige DSGVO Anfrage per Einschreiben mit Rückschein bekommen, vielleicht bringt sie das dazu, dass sie sich äußern. Mich hat diese Aktion in die ultra Misere gebracht (Gehalt/Miete). Vielen Dank!!!Oh ja stimmt, wir haben ja gerade einen Monatswechsel! Das ist ja richtig kacke für die Leute, die da ihr Gehaltskonto haben und nicht nur ein Zweitkonto zum Spielen.
Auf Twitter behauptet der N26-Support übrigens, sie würden schlicht zufällig ausgewählte Konten einfrieren. Wait, what?!
Übrigens, ich weiß nicht, ob ihr es wusstet: Peter Thiel (ja, DER Peter Thiel) ist Investor bei N26.
Update: Eine andere Theorie ist die aktuell laufende Bafin-Routineprüfung von N26.
"Wir haben Erkenntnisse, dass das Foto-Ident-Verfahren angewandt wird, dem gehen wir nach. Dieses Verfahren entspricht nicht den hiesigen Ansprüchen an die Identifizierung von Neukunden", sagte ein BaFin-Sprecher.
Update: Einer der Betroffenen schreibt mir gerade, sein Konto gehe wieder, und er wisse jetzt, was das Problem war: Er hatte den Account via VPN benutzt.
Update: Ein anderer Leser wendet ein:
ich möchte hier anmerken, dass die Kündigungsfrist von 2 Monaten nur für normale Girokonto-lohnt-sich-für-uns-nicht-mehr- und du-gleichst-deinen-Dispo-nie-aus-Kündigungen gilgt. Bei Verstößen gegen die diversen Geldwäschegesetzte oder das Gesetz zur Förderung der Steuerehrlichkeit, kann das Konto zu Sofort gekündigt werden. Der Kontoinhaber muß in diesem Falle jedoch per Brief informiert und um Meldung eines Auszahlungskonto gebeten werden. Kommt diese Info nicht, dann gibt es auch keine Kontokündigung.
Im Falle einer Kündigung durch eine Bank dürfen die 1. lvl-Support Leute (2/3 werden in einem Callcenter bei einer anderen Firma arbeiten) keinerlei Auskunft geben und müssen auf den Schriftweg verweisen. Da dies hier scheinbar nicht der Fall ist, könnte es sich auch um einen Fall von Software-ist-Scheisse handeln.
Nicht dass die wieder eine Sicherheitsschwankung hatten?!
Update: Die nachfolgenden Tweets scheinen zu bestätigen, dass es da einen Security-Vorfall gab. Und mehrere Leute berichten, beim Login einen HTTP-500-Fehler zu kriegen.
While the check at (A) tries to ensure that the buffer has enough space left to store the IA option, it does not take the additional 4 bytes from the DHCP6Option header into account (B). Due to this the memcpy at (C) can go out-of-bound and *buflen can underflow in (D) giving an attacker a very powerful and largely controlled OOB heap write starting at (E). (Danke, Ilja)
Wie, fragt ihr, der Client hat doch gar keinen Port offen? Nein, aber er installiert einen Service, und der hat einen Port offen.
The summary is: when the WebEx client is installed, it also installs a Windows service called WebExService that can execute arbitrary commands at SYSTEM-level privilege. Due to poor ACLs, any local or domain user can start the process over Window's remote service interface (except on Windows 10, which requires an administrator login).Ja super! (Danke, Bernhard)
Geht in die Cloud, sagten sie! Klar ist das langsamer und unter jemand anderes Kontrolle, aber dafür ist es super verfügbar!1!!
Mit Klassikern wie "Root-Passwort im Plaintext im Filesystem abgelegt", "der Webserver kann dir die Datei mit dem Plaintext-Passwort geben" und "Shell Command Injection via Webserver".
Hey, D-Link? Was macht ihr eigentlich beruflich?
Update: Die wollten halt nicht das Feld Cisco überlassen.
Important information regarding your Data Science Virtual Machine
instance(s)
Microsoft is writing to inform you of an incident which has
impacted one or more of your Data Science Virtual Machine (VM)
instances. Engineers detected crypto mining software in the
software package for your Data Science VM instance that may have
caused an increase in system resource utilization and subsequent
increase in your Azure usage. We have determined that this
affected a limited subset of Data Science VM instances installed
since September 24th, 2018.
Our investigation has determined that no customer data was
compromised due to this crypto mining software. A list of your
affected VM(s) is included at the bottom of this email.
Azure recommends that customers delete their affected Data
Science VM instances and redeploy a new instance from Azure
Marketplace to mitigate this issue. If you experience any
unexpected issues during the deletion and reinstallation of your
VM instances, please contact [4]Azure Support.
Microsoft sincerely apologizes for this incident and any
inconvenience that this has caused for our customers. We will be
proactively issuing credits for any increased usage on your
affected VM(s) that is attributed to this incident. Credits will
be applied to a future billing invoice.
Ich saß heute in einer Keynote von Mikko Hypponen drin, der da diese Geschichte erzählte, dass die Leute total glücklich sind, wenn man ihnen erzählt, dass sie sich einen Krypto-Miner eingefangen haben. Wenn du mit "Wir haben Malware gefunden" eröffnest, dann rechnen die eher mit Kreditkarte geklaut, Dokumente verschlüsselt, etc. Dann ist es direkt eine Erleichterung, wenn das "nur" ein Kryptominer war.Gut, in der Cloud zahlt man für Nutzung, und da kann so ein Kryptominer echt teuer werden.
libssh versions 0.6 and above have an authentication bypass vulnerability in the server code. By presenting the server an SSH2_MSG_USERAUTH_SUCCESS message in place of the SSH2_MSG_USERAUTH_REQUEST message which the server would expect to initiate authentication, the attacker could successfully authenticate without any credentials.
Das die immer noch ein "nach dem Update ist alles sicher" pullen und die Presse und ihre Kunden sie immer noch damit durchkommen lassen, ist mir echt unbegreiflich.
Nein, kein Scherz. Einige von euch benutzen Google+. Tut nicht so, als sei es nicht so!1!!
Nun, die hatten da einen Datenreichtum.
It said a bug in its software meant information that people believed was private had been accessible by third parties.Google said up to 500,000 users had been affected.
Also … alle? Jeder zweimal? :-)Google wusste das im März und hat nichts gesagt. Weil, äh,
The WSJ quoted an internal Google memo that said doing so would draw “immediate regulatory interest”.Und wo kämen wir da hin!Immerhin ziehen sie jetzt Konsequenzen und machen Google+ zu.
Hey Fefe, Cisco waren doch die, zu denen man geht, damit man keine Ausfälle hat, oder?
A vulnerability in Cisco Video Surveillance Manager (VSM) Software running on certain Cisco Connected Safety and Security Unified Computing System (UCS) platforms could allow an unauthenticated, remote attacker to log in to an affected system by using the root account, which has default, static user credentials.
Damals war ja für mich schon alles gesagt zu dem Spahn.
Aber der hat sich zu einer neue Höchstleistung hochgearbeitet. Die Heute-Show zitiert es hier:
Wenn von einer Million Pflegekräften 100.000 nur drei, vier Stunden mehr pro Woche arbeiten würden, wäre schon viel gewonnen.Nein, wirklich! Das ist ein Zitat. Keine Satire. Quelle: Augsburger Allgemeine. Der dritte Absatz mit seinen Antworten. Ctrl-F gewonnen. Ich wollte es auch nicht glauben.
So, wartet. Wird noch geiler. Was passiert als nächstes? Das Bundesgesundheitsministerium wirft der Heute-Show "absichtliche politische Fehlinformation" vor. Nein, wirklich!
What. The. Fuck!?!?
Von Putin lernen heißt siegen lernen, oder wie?
Gut, liegt ja irgendwie nahe. Wer könnte glaubwürdiger Confusion Politics umsetzen als die CDU.
Update: Hier kommt gerade eine Menge Unzufriedenheit rein, weil der Spahn, der wollte das ja besser machen. Und der Satz davor in dem Interview lässt das ja viel weniger schlimm aussehen. Tut es? Finde ich nicht. Hier ist er:
Außerdem haben viele Beschäftigte in Heimen und ambulanten Diensten ihre Stundenzahl reduziert, sodass wir auch ein Auge auf die Arbeitsbedingungen werfen müssen.
Das macht es in meinen Augen noch schlimmer. Die Pflegekräfte in Deutschland gehen seit Jahren immer wieder auf die Straße, weil sie ... na? Habt ihr das nicht mitverfolgt? Weil sie so viele unbezahlte Überstunden schieben. Der Trick war nämlich, dass die Krankenhäuser sagen: Hey, arbeite du doch „halbtags“, dann können wir mit dem gesparten Geld noch eine Pflegekraft einstellen. Gesagt getan, und dann wird aber von beiden erwartet, dass sie mit ihrer Halbtagsbezahlung aber Ganztags-Überstunden schieben. Eine ganz miese Nummer, die ausnutzt, dass Pflegekräfte das häufig aus Idealismus machen, weil sie sich für das Patientenwohl verantwortlich fühlen. Und wenn sie nach Ende der Bezahlung einfach gehen, dann sterben da halt Patienten. Also lassen sie sich unter Druck setzen und bleiben länger. Mir wurde von 60-80-Stunden-Wochen in der Pflege berichtet. Und der Spahn tut jetzt so, als seien das „Zustände“, also quasi vom Himmel gefallen, da kann niemand was für. Und da müsste doch mal jemand... JA, HERR SPAHN. SIE HÄTTEN MAL MÜSSEN. Es liegt nämlich in Ihrer Verantwortung. Und jetzt die Stirn zu haben, öffentlich zu fordern, dass die einfach mehr Überstunden machen sollen! Unglaublich.
Wenn ihr mal genau hinguckt, werdet ihr auch feststellen, dass er da keinesfalls verspricht, dass der Bund mal Geld in Hand nimmt und mehr Stellen bezahlt. Oder die Kassen zwingt (die übrigens auf einem Milliardenkissen aus Rücklagen sitzen), mehr Stellen zu bezahlen. Nein.
Update: Ein anderer Einsender findet, dass ich in der Abtreibungssache mit Spahn unfair umgehe. Er verweist auf die Thomas-Fischer-Kolumne zum §219a.
Na egal. Mache ich sie halt jetzt auf. :-)
Erster Eintrag: Dieser wohlerzogene Golem-Forist:
Fefe hat keine Ahnung, und ist ohnehin seit langem der Ober-Bully der deutschen Bloggerszene, und wenn du dich mit Androzentrismus und der neuen Rechten ungerechtfertigt in Verbindunggebracht fühlst, dann ist es etwas ungeschickt, einen der lautesten und asozialsten Wortgeber der deutschen Maskulistenszene, einem besonders widerlichen Teil der neuen rechten Bewegungen, als Quelle anzuführen.Wie und meinen offensichtlichen Antisemitismus findet er nicht erwähneswert!? Ich bin enttäuscht!
Geht weiter unten noch weiter. Gefragt, ob Antikapitalismus, Antirassismus, Eintreten für gerechtere Verteilung der Vermögen und Kampf gegen Massenüberwachung mich nicht eher zu einem Linken machen, kommt diese bedenkenswerte Beobachtung:
Rechter Antikapitalismus ist halt gerade en vogue. Und wenn er dabei noch so viele richtige Ideefragmente hätte, macht das die asozial-reaktionäre Tendenz seiner unsäglichen Tiraden gegen wesentliche zivilisatorische Errungenschaften im Umgang miteinander, und Ansätze, diese weiter zu verbessern, keinen Millimeter besser.Dem ist halt der zwischenmenschliche Umgang besonders wichtig! Das erkennt man auch an Worten wie *hochscroll* "Ober-Bully" und "asozialster Wortgeber der deutschen Maskulistenszene". Wenn ich von solchen Leuten ernst genommen werden möchte, muss ich einfach auch auf dem Niveau agieren! Ganz einfach!
Update: Seid ihr eigentich auch so froh, dass Hate Speech-Bekämpfung bei uns in Deutschland jetzt Chefsache ist? Endlich nimmt das mal jemand ernst!
Update: Hah, ein anderer Einsender schreibt:
Nunja, wieso ich mich eingentlich nochmal melde, ist dass einige meiner Golem Posts (mit nahezu dem gleichen Inhalt der Mail an dich) verschwunden sind, und heute lese in in der Inbox:
Re: RIP Linux
Von [zensiert] (Golem.de) 20.09.18 09:45
An: [zensiert]Hallo [zensiert],
da der Begriff SWJ derzeit vor allem als Provokation benutzt wird,
möchten wir den auch in unserem Forum nicht zulassen, wenn er
entsprechend benutzt wird. Wir wollen damit keine Meinungen
unterdrücken, es geht lediglich darum, dass niemand diskriminiert wird
und sachlich-faire Diskussionen möglich sind. Um Missverständnisse zu
vermeiden, bitte ich auch in diesem Fall um Verständnis.Mit freundlichen Grüßen,
[zensiert] (Golem.de)
Oh ach soooo! Es geht hier um sachlich-faire Diskussionen! Daher muss Hate-Speech wie "SJW" entfernt werden! Pro-Tipp: Beschimpf die Gegenseite lieber als "Ober-Bully" oder "asozialster Wortgeber der deutschen Maskulistenszene". Das drückt Respekt und Hochachtung aus und dient dem positiven Gesprächsverlauf.
Update: Ein Leser hat die Kategorie wiedergefunden. Sie hieß "Subject: Du Nazifreund"! (Danke, Julian)
wegen total fehlender Sachkenntnis werde ich zu Chemnitz nichts schreiben.Ich hatte vor vielen Jahren mal ein Erlebnis, an das ich auch häufiger zurückdenken muss bei Debatten wie dieser. Ich war mit einem Freund in New York, und er fühlte sich plötzlich schlecht, also stiegen wir in die U-Bahn und wollten zu einem Krankenhaus fahren. Auf dem Weg bekam er einen Übelkeitsanfall und brauchte frische Luft, also stiegen wir bei der nächsten Station aus und gingen hoch. Und das war mitten in Chinatown. Kein einziger Nicht-Asiate weit und breit. Die Geschäfte alle auf chinesisch beschriftet, sogar Starbucks und Mcdonalds. Und weil wir keine Ahnung hatten, wussten wir das vor dem Hochgehen nicht. Ich erinnere mich noch gut an dieses erdrückende Gefühl der Fremde, des "du solltest hier nicht sein". Wir guckten uns an, mussten im Wesentlichen kein Wort sagen. Er nickte und meinte, es ginge ihm schon viel besser, schnell zurück in die U-Bahn. Und so haben wir es gemacht. Wie es uns im Krankenhaus ergang ist eine andere Geschichte. Aber ich erinnere mich an diesen Moment gut, weil da nichts von rational war. Das war Instinkt.
Aber ich hatte vorgestern abend ein Aha-Erlebnis in Duisburg.Ich lebe in einer sehr "deutschen" Gegend mit einem Ausländeranteil nahe 0% (das ist ein paar hundert Meter weiter, auf der anderen Seite der Hauptstraße, bereits ganz anders).
Ein Haus steht seit ein paar Jahren leer, und soll jetzt verkauft werden. Der Makler brachte nun mehrfach Interessenten her, die wirken, als hätten sie türkische Wurzeln.Gestern spät abends habe ich mich mit jemandem unterhalten, der ein gutes Dutzend Häuser weiter wohnt, und eindeutig besorgt ist. Neben den üblichen Platitüden kamen auch ein paar interessante Widersprüche ("wenn Türken hier wohnen, verfallen die Hauspreise" versus "die Türken können ja alles zahlen, die kriegen ja umsonst Geld", und "die bringen dann ihre ganzen Familien mit" und "ich wäre ja froh, wenn mein Sohn wieder nach Duisburg käme, aber im Duisburger Süden kann man die Mieten ja nicht mehr zahlen").
Dann glitt das Gespräch ins Politische ab - er war vor langer Zeit bei den Jusos, und mal richtig links, damals als links noch bedeutete, für die Arbeiter zu sein, und ein Genosse der Bosse nicht vorstellbar war (seine Aussage).
Und jetzt denkt er darüber nach, AfD zu wählen. Nicht etwa weil die so toll wären, das sind sie seiner Meinung nach nicht, sondern weil der Rest auch nicht besser ist. Ich zitiere aus dem Gedächtnis so gut es geht: "Dann werden nicht wir niederstochen sondern die Anderen, und dann räumt endlich mal jemand die Duisburger No-Go-Zonen auf."Yeah. Die Duisburger No-Go-Zonen. Mein absolutes Lieblingsthema, wenn ich mit Rechten aneinandergerate (die beiden letzten Wörter benutzte ich jetzt in weitem Sinn). Ich war diesen No-Go-Zonen in den letzten Jahren auch mal spät abends oder nachts, und wenn man mal davon absieht, dass ich den Sprachmix nicht verstehe, war alles in Ordnung. Ich sah auch nicht, dass die Leute vom Ordnungsamt, die da am Tag jemanden besucht haben, besonders muskulös und geschützt gewesen sind.
Aber für meinen Gesprächspartner ist Marxloh eine No-Go-Zone. Hm. Ja, der Stadtteil mit der vermutlich weltweit größten Dichte an Hochzeitsmodenläden. Zugegeben, 100 Meter von der Hauptstraße entfernt sieht's nach 70 Jahren Vernachlässigung aus, schön ist es dort ganz sicher nicht. Aber für mich ist es keine No-Go-Zone.
Warum also für ihn? Weil der Mann dort Angst hat.
Im Laufe der Diskussion hat mir der Mann dann eine Frage gestellt - nämlich wovor und wo ich in Duisburg Angst habe.
Da gibt es tatsächlich eine Sache… nämlich die Gegend um das Stadion, vor und nach Spielen des MSVs. Ich bin zwei mal in meinem Leben in Auseinandersetzungen zwischen Pro-MSV-Schlägern und ihren jeweiligen Feinden geraten, beide Male als ich mit der S-Bahn nach Hause wollte und an der Haltestelle "Schlenk" aussteigen wollte - was unglücklicherweise auch die Station ist, an die bereits vor dem Spiel aufgeputschten gewalttätigen Irren aussteigen müssen.
Seitdem ist die Gegend um das Stadion an Spieltagen des MSV für mich eine No-Go-Zone, und ich verstehe nicht, dass die Polizei nichts unternimmt, um diese Gegend für normale Menschen sicher zu machen, die nicht bis zur der Grenze eine akuten Alk-Vergiftung voll sind. Und ich verstehe nicht, wie Eltern mit ihren Kindern dahin gehen können.Vorgestern habe ich endlich verstanden, dass eine No-Go-Zone etwas sehr Subjektives ist.
Ich frage mich jetzt, warum ich da Angst habe. Habe ich Angst, wegen der schlechten Erfahrungen (im Endeffekt ist nicht mehr passiert als ein oberflächliche, nicht stark blutende Schramme, an der der Zustand der Haltestelle genauso so schuld war wie die "Fans"), oder weil ich die Subkultur der Fußballfans nicht verstehe und nicht verstehen will?
Die Frage, warum ich in den "überfremdeten" Stadtteilen weitaus weniger Angst habe als Andere kann ich dagegen beantworten - ich bin in einem Stadtteil mit hohem Anteil an Türken zur Schule gegangen (was nichts daran änderte, dass auf dem Gymnasium ganz extrem wenig Türken waren), habe auch später immer wieder mal Kontakt mit Türken gehabt, und dann hat meine Freundin einige Jahre in einem türkisch dominiertem Stadtteil gelebt.
Türken sind mir nicht so fremd wie sie das Anderen sind - das dürfte die Erklärung sein.Aber wenn das die Erklärung ist - was ist die Abhilfe?
Die Menschen zwingen, andere Kulturen kennen zu lernen? Das würde weder funktionieren (Menschen hassen Zwang), noch wäre es richtig (dazu haben wir nicht das Recht).
Mehr Bildungsfernsehen / -Radio / -Youtube-Kanäle? Wer guckt sich an, was nicht in sein Weltbild passt? Wir sind doch längst soweit, dass wir überall Falschnachrichten und bewusste Irreführung sehen.Ich weiß die Abhilfe nicht, aber die Verängstigten, egal wie unbegründet ihre Angst aus irgendeiner Sicht sein mag, als Nazis, Feigling, besorgte Bürger, whatever, zu bezeichnen, hilft nicht weiter. Irgendjemanden zu beleidigen hilft sehr selten.
Vielleicht ist die Antwort, dass viele Menschen mit "typisch deutschem" kulturellen Hintergrund nur eine gewisse, sehr schwer zu bestimmende, Menge "Fremder" aushalten, dass "wir" als Gesellschaft darauf zu lange keine Rücksicht genommen haben, und dass wir durch die sich daraus ergebenden Konsquenzen nun durch müssen und nur hoffen können, dass dieser Prozess zivilisiert verläuft.
Gegen Instinkte kann man ankämpfen, man kann sie überwinden. Ich ärgere mich im Nachhinein, dass ich mich da so habe übertölpeln lassen von einem diffusen Angstgefühl. Aber es gibt mir halt auch eine Perspektive auf andere Menschen und ihre Angstinstinkte. Dafür darf man die nicht abkanzeln sondern die brauchen Hilfe, das zu überwinden. Der Schlüssel für das Überwinden ist glaube ich, dass man a) das Einzelperson zu Einzelperson macht, nicht wenn eine Gruppe zuschaut, und b) dass man als Betroffener Zeit hat, sich nicht überraschen zu lassen. Das vorher einmal durchdenken.
Durch Abkanzeln erreicht man das Gegenteil des Gewünschten, nämlich dass den Menschen ihre Angst peinlich ist. Dass sie sie als Schwäche empfinden, und dann ein Gefühl der Stärke aufbauen müssen, um das loszuwerden. Und so entsteht dann aus Angst vor dem Unbekannten Hass gegen Fremde. Glaube ich.
Wie, echt jetzt? Immer noch?!?
Wie häufig muss Cisco euch eigentlich kaputte Produkte verkaufen, bis sie als Vendor durchgefallen sind?
Der 66-Jährige hat bei der Vergabe von naturnahen Ufergrundstücken in seiner Gemeinde zwei ranghohen Parteifreunden aus dem fernen Schwerin offenbar eine Vorzugsbehandlung gewährt: Innenminister Lorenz Caffier und der Staatssekretär im Wirtschaftsministerium, Stefan Rudolph, konnten auf Schröders Drängen zwei Bauplätze aus Gemeindehand kaufen, idyllisch gelegen am Achterwasser im ruhigen Usedomer Hinterland, wo die Seeadler kreisen. Der Naturschutz blieb dabei offenbar auf der Strecke, der Kaufpreis fiel vergleichsweise günstig aus.Ach komm, was ist denn ein Naturschutzgebiet, wenn man da auch eine Dadscha für einen CDU-Politiker hinbauen kann!
Schon fünf Tage nach Eingang setzte der Bürgermeister das Kaufangebot überraschend auf die Tagesordnung der Gemeindevertretersitzung, im nicht-öffentlichen Teil beschlossen die Gemeindevertreter im Hauruckverfahren den Verkauf an Caffier, ein Nachbargrundstück ging an Schröders Ehefrau. Offenbar alles kein Problem.Da weiß man doch, was man hat! Korruption und Kleptokratie auf allen Ebenen! Und natürlich im nicht-öffentlichen Teil. Klar. Wo auch sonst. Die wissen ja, dass sie kriminell sind. Nicht wie die FDP, der man da bisweilen Unzurechnungsfähigkeit anrechnen muss.
Aber keine Sorgen, das wird jetzt, in schöner CDU-Manier, brutalstmöglich aufgeklärt!1!!
Eine Prüfung, ob bei dem Bau der Ferienhäuser im Schilfgürtel jeweils gegen den Naturschutz verstoßen wurde, will der Kreis nicht einleiten - er verweist auf den gültigen Bebauungsplan.Ja DA kann man jetzt nichts mehr machen!!1! Was sind die Anwohner auch so blöde und wählen CDU?
Update: Ein Leser weist darauf hin, dass der Immobilien-Karl-Heinz (hier sein Profil bei der CDU Mecklenburg-Vorpommern) seine (dort verlinkte) Homepage als Illustrationsobject für die CDU-Digitalisierungsstrategie nutzt :-) (Danke, Jens)
Update: Ich hoffe, ihr habt da alle draufgeklickt und das gelesen. Wenn nicht:
Die Verbreitung mutmaßlich strafbarer Inhalte auf Internetseiten wie https://de.indymedia.org und anderen durch sogenanntes „Verlinken“ oder einfaches Kopieren und neues „Posten“ von Beiträgen mit inkriminiertem Inhalt ist gängige Vorgehensweise bei Nutzern aus dem linksextremistischen Spektrum.
Die zu diesem Zweck genutzten Plattformen wie z. B. https://web.archive.org oder https://chronik.blackblogs.org sind den Sicherheitsbehörden bekannt und unterliegen dem täglichen Monitoring. Bei Feststellung strafrechtlich relevanter Inhalte werden auch hier die notwendigen strafprozessualen Schritte eingeleitet.
Und das ist nicht von der AfD, das ist Teil der Antwort!
Das ist mal eine spannende Geschichte. Auf der einen Seite kann man natürlich argumentieren, dass junge Mütter mit Kind ihren Job weiter ausüben können sollten. Es soll ihnen kein Nachteil daraus entstehen, dass sie ein Kind haben. Und man kann argumentieren, was sie auch tat, dass sie als Abgeordnete verpflichtet ist, zu bestimmten Terminen zu erscheinen, und das hat sie halt getan.
Auf der anderen Seite kann man aber auch finden, dass Abgeordneter kein Job ist, den man ausübt, weil man die Kohle braucht. Abgeordneter sein ist ein Privileg, für das man auch entschädigt wird, aber das ist nicht der Punkt an dem Job. Da gehst du hin, weil du deine Lebenszeit für dein Land hergeben willst, damit es für alle besser wird. Aus der Perspektive kann man das auch so sehen, dass sie, wenn sie den Job annimmt, dann halt in der Zeit kein Kind kriegen sollte. Wer gerade ein Kind gekriegt hat, der ist a) nicht mehr voll zurechnungsfähig und b) soll seine Zeit gefälligst dem Kind widmen, das braucht sie gerade dringender und ist wichtiger als jede andere Sache im Leben. Das gilt natürlich genau so für Väter wie für Mütter. Wenn du dich für einen Job als Abgeordneter meldest und zur Verfügung stellst und wählen lässt, dann erwarte ich auch von dir, dass du dem deine volle Aufmerksamkeit widmest. Das heißt: keine Nebenjobs, keine Zeit für Wahlkampf-Bullshit verplempern, nicht in irgendwelchen Aufsichtsräten, und so weiter.
Das ist natürlich unrealistisch, zumindest im Moment. Wir tun immer so, als seien wir eine aufgeklärte, humanistische Gesellschaft. Aber dann machen die Männer vor, wie Abgeordnete das als geschenktes Geld sehen und keinerlei Arbeit oder Aufwand in die Arbeit stecken, und wenn eine Frau dann tatsächlich mal ihre Verpflichtungen wahrnehmen will, dann kriegt sie den Ärger ab.
Aus meiner Sicht sollten wir als Gesellschaft keine Situationen schaffen, in denen eine Mutter mit einem 6 Wochen alten Baby irgendwohin gehen muss außer zum Spielen mit dem Kind. Einkaufen liefern lassen haben wir ja schon, aber das scheint sich ja eher an faule Hipster zu richten als an junge Mütter. Warum eigentlich?
Update: Oh und: Es geht hier nicht nur um das Kindeswohl. So eine Geburt ist eine traumatische Angelegenheit. Gebt den Müttern doch mal die Zeit, sich in Ruhe wieder zu erholen, und auf ihre neue Lebenssituation einzustellen!
Update: Ein Leser wendet ein, dass die ersten 8 Wochen reserviert sind und man nicht nur nicht arbeiten muss, sondern nicht arbeiten darf. Und er wundert sich, ob das für Abgeordnete nicht gilt. Gute Frage. Weiß jemand genaueres?
Update: Leserkommentar:
Gib in der Bildersuche von Google mal "Licia Ronzulli" ein. Andernorts scheinen Kinder im Plenarsaal nicht so das Problem zu sein ;)
Update: Ein Leserbrief dazu:
zu dem Thema schrieb der Freitag Anfang des Jahres, dass Abgeordnete sowie Ministerinnen und Minister KEINEN Anspruch auf Elternzeit haben, der Mutterschutz gilt für 8 Wochen (ein großes Problem sind schmerzende Brüste, wenn nicht gestillt werden kann). Im Bundestag gab es ebenfalls schon Ausschlüsse, wenn ein Kind mitgebracht wurde (2010, Abgeordnete der Linkspartei). Inzwischen gibt es dort eine Art „Kinderzimmer“, das auch genutzt wird von Frauke Petry und männlichen CSU-Abgeordneten.
Independent security researcher Bob Diachenko discovered the database on August 19 hosted on the Amazon Web Services (AWS) cloud platform. It was 142GB in size and it allowed access without the need to log in.The sizeable database included scanned documents of the sensitive kind: contracts, non-disclosure agreements, internal letters, and memos. Included were more than 200,000 files from Abbyy customers who scanned the data and kept it at the ready in the cloud.
Voll gute Idee, dieses Cloud Computing! Information wants to be free!!1!
if you entrust Travis with any secrets, this is bad news for you.
Update: Ich sollte vielleicht inhaltlich noch was dazu sagen. Die IP ist der Beschreibung nach Anycast. Wem das Netz gehört ist für die Datenschutzfragen zweitrangig. Wo der Server steht, ist die relevante Frage. Die einfachste Klärungsmethode ist ping oder traceroute. Wenn die Latenz größer 1ms ist, dann ist das nicht lokal.
Wohin die Telemetrie fließt, ist aus meiner Sicht zweitrangig. Da sollte gar keine Telemetrie erhoben werden, außer der Kunde hat sie manuell angeschaltet. Dass das Web-Zeug irgendwelche externe Scheiße einbindet, das ist heute leider üblich. Ich finde ja, Suchmaschinen sollten Sites runterraten, die das tun. Aber weil Google selbst einer der Haupttäter ist an der Stelle, wird das nicht passieren. Die iX hat aber Recht, wenn sie das anprangern. Insbesondere bei einem internen Admin-Panel. WTF, T-Systems!? (Danke, Ulrich)
Ein paar Gedanken zur Verschwörungstheorie um Sprengladungen in der Brücke von Genua. Ich bin selbst ausgebildeter Sprengberechtigter (das, was man im Volksmund "Sprengmeister" nennt).
In den Zeiten des kalten Krieges gab es in Deutschland und anderen Ländern tatsächlich Vorbereitungen an Brücken und anderen strategisch wichtigen Infrastrukturpunkten wie Straßen, Tunneln und Bahngleisen. Konzept war, durch gezielte Schädigung einen Vormarsch des Warschauer Pakts aufzuhalten. In Deutschland war dazu in unmittelbaren Nähe zu vorbereiteten Sperren ein so genanntes Sperrmittelhaus, in dem hinter 3 Panzertüren gerne mal mehr als eine tonne Sprengstoff lagerte. Ausser zu Übungszwecken waren die Sperren aber nicht scharf.Highlight in derartiger Paranoia waren die Schweizer, die in Tunnel und Brücken dauerhaft (!) Sprengladungen eingebracht hatten. Bspw. Im Gotthardtunnel oder einer Holzbrücke bei Säckingen, wo jahrelang mehrere hundert Kilo TNT verbaut waren. Hat dafür gesorgt, dass den Schweizern beim Brand in dem Tunnel der Arsch gehörig auf Grundeis lief und man 2001 angefangen hat, das Material zu entfernen.
In Deutschland sind die Sperren schon kurz nach dem Fall der Mauer abgebaut worden, die Sperrmittelhäuser werden heutzutage oft als Lager von Förstern benutzt. Nur vereinzelt lassen sich noch Spuren der teils absurden Konzepte finden.
Sehr ausführlicher und spannender Artikel dazu, gibt auch ne Datenbank wo man nach Sperren in seiner Umgebung suchen kann.
So und jetzt zum eigentlichen Thema. Militärischer oder ziviler Sprengstoff wie TNT, RDX, Dynamite etc. können nur durch eine richtige Zündladung zur Detonation gebracht werden (TNT bspw. brennt nur langsam und gemächlich ab wenn man es anzündet). Diese Zünder können elektrisch oder "nicht elektrisch" sein. Letztere haben als Zuleitung eine Art Schlauch, gefüllt mit einer kleinen Menge pyrotechnischer Ladung die den Zündimpuls schnell weiterleitet, aber gegen elektrische Einflüsse völlig immun ist. Das nutzt man z.B. im zivilen auch bei Sprengungen in der Nähe von Hochspannungsmasten oder Bahnleitungen.
Die elektrischen Zündkapseln gibt es in verschiedenen Ausführungen, je nachdem wie empfindlich sie gegenüber Streuströmen etc. sind. Theoretisch ist man da auch mit der unempfindlichsten Sorte relativ siche aber nicht 100%ig vor direktem Blitzeinschlag geschützt.
Man muss aber im militärischen Fall von 2 Dingen ausgehen:
- dass das Militär im Fall des Falles kein Risiko eingeht - hier also ausfallsichere, zuverlässige Zündsysteme verwendet die nicht-elektrisch sind.
- Selbst wenn Ladungen vorbereitet sind, diese erst kurz vor dem eigentlichen Einsatz mit Zündern versehen werden.
Die Theorie ist also Unsinn.
Bei der Bauweise der Brücke würde ich als Fachmann auch statt einem großen Klumpen Sprengstoff eher gezielt mit Schneidladungen arbeiten, die Tragseile und elementare Bestandteile der Stahlbezonkonstruktion durchtrennen. Schneidladungen lässt man aber nicht dauerhaft Wind und Wetterung ausgesetzt, ausserdem hätte man die vorher erkennen können. Auch bei einigen vorbereiteten Brückensperren in Deutschland waren an Stahlbetonpfeilern Schienen angebracht, in die man dann die Schneidladungen nur noch reinstecken musste.
Wie sowas bei Übungen der Wallmeister aussah, kann man sich z.B. hier angucken
Unauffällig geht anders ;-)
Schon sehr früh machte die einzige Abgeordnete der Piraten-Partei, Julia Reda, Front gegen die Vorschläge. Sie nutzte für ihre Kampagne sehr starke Verzerrungen und Vereinfachungen. Die Wortkombination „Linksteuer“, mit der Reda den Artikel 11 der Richtlinie bekämpfen wollte, ist zwar wunderbar kurz, aber allen Ernstes zu glauben, es gäbe eine Steuer (die ja bekanntermaßen die Finanzämter einholen) auf das Verlinken von Texten, hat etwas unfreiwillig Komisches.Wow, mit so billiger Sophisterei kämpfen die? Da krieg ich ja fast ein bisschen Mitleid. Wenn das das beste "Argument" ist, was die haben, dann gute Nacht.
Nicht viel besser war der Kampfbegriff „Upload-Filter“ gegen Artikel 13 der Richtlinie. Upload-Filter stehen nach wie vor nicht in der Vorlage, der Begriff eignet sich aber gut, um Angst zu schüren. Es ist Julia Reda tatsächlich gelungen, einigen ihrer Anhänger vorzumachen, dass künftig alles im Internet gefiltert wird, wenn die Richtlinie zum Urheberrecht so durchkommt und Memes – ja, die geliebten Memes – würden sämtlich verboten.Ihr seht schon, WAS GANZ ANDERES!!1! Nicht das GANZE Internet wäre zensiert! Nur der Teil, bei dem man was hochladen kann!1!!Dass in der Richtlinie etwas völlig anderes steht, interessiert nur am Rande. Ihr zufolge wären Plattformen (und nur diese) angehalten worden, für „User Uploaded Content“, also von Nutzern hochgeladene Inhalte, Lizenzvereinbarungen mit den jeweiligen Rechteinhabern beziehungsweise Verwertungsgesellschaften zu schließen.
Diese Art von Artikel ist ja leider in der FAZ keine Seltenheit. Stellte sich nur noch die Frage, ob das im Politik- oder im Wirtschaftsteil lief, wo diese Art von Industrieabfall sonst verklappt wird. Und es stellt sich raus: Das kam im Feuilleton!
Wow. OK, das hat den Vorteil, dass es sich um einen Gastartikel handelt, und wir sehen können, wer sich so dermaßen krass entblödet hat.
Na? Seid ihr bereit?
Voala:
Volker Rieck ist Geschäftsführer der Firma FDS File Defense Service, die für den Schutz von Werken und Urheberrechten im Internet eintritt, und bloggt regelmäßig auf „Webschauder.de“.HAHAHAHAHAHA OMG OMG OMG HAHAHAHAHAHAHAHA
Der Rest des Artikels kommt übrigens zum Schluss, dass der Protest gegen diesen Gesetzentwurf alles gekaufte Roboter waren, weil selbstredend kein Bürger mit gesundem Menschenverstand wirklich dagegen sein könnte. Keine weiteren Fragen, euer Ehren. (Danke, Bianca)
Mein Gefühl dazu ist, dass IKE sich zu TLS verhält, wie S/MIME sich zu PGP verhält.
Insofern war ich ganz froh, dass jemand an was neuem arbeitet. Das ist im Moment ein Linux-Alleingang, dafür ist es AFAIK im Standardkernel angekommen. Ich habe damit noch nicht herumgespielt, aber beim oberflächlichen gucken her gingen da erstmal keine Alarmlampen an.
154 verschiedene All-in-One-Drucker von HP lassen sich per bösartigem Fax hijacken. Das Problem betrifft aber wahrscheinlich fast alle modernen Fax-Geräte.
Jetzt kann ich endlich mit dem Kernel-TLS herumexperimentieren, den sie frisch eingebaut haben. Das ist m.E. ein zentraler Baustein, um ordentlich TLS-Privilege-Separation zu implementieren, ohne dabei krass Performance zu verlieren. Könnte sogar besser werden, die Performance.
So, bleibt nur noch ein Problem. Wieso das olle Chromebook einen Suspend wie ein Ausschalten behandelt. Das nervt schon ziemlich. Das ist die einzige PC-Hardware hier im Haus, auf der ich Suspend wirklich mal benutzt habe.
Hey, Krypto-Währungen sind voll geil!!1! Da will man doch sein Geld investieren!
curl -H "Connection: AAAAAAAAAAAAAAAAAAAAAAAAAAAAA"Die machen sscanf in einen Puffer fester Länge. Und hinter dem Puffer liegt das "der User hat sich erfolgreich angemeldet"-Flag.
Ja, ist auch remote code execution. Aber das wäre ja mit Aufwand verbunden.
Diesmal war wirklich GnuPG Schuld.
Ich habe ja vor inzwischen vielen Jahren eine Abstraktionsschicht über diverse Netzwerk-Event-APIs der verschiedenen Plattformen geschrieben, und darauf meinen Webserver gatling aufgebaut. Seit dem hat sich im Internet einiges verschoben. Web ohne TLS spricht niemand mehr, also habe ich TLS nachgerüstet. Für Web mit TLS ist aber das Skalierungsproblem ein ganz anderes. Da geht es nicht mehr darum, dass jemand viele Verbindungen aufbaut und dein Server damit nicht klarkommt, sondern es geht darum, dass jemand viele TLS-Handshakes lostritt und dein Server die ganze Zeit mit 100% CPU läuft.
Seit dem hat sich auch eine andere Sache verändert: CPUs mit nur einem Core gibt es nicht mehr. Es liegt also auf der Hand, dass ich mal das Modell von gatling und der Abstraktionsschicht ändern sollte, damit es sich auf mehrere Cores verteilen lässt. Das ist leider kein Selbstläufer, weil die unterliegenden APIs teilweise nervige Probleme haben. So gibt es einmal die fundamentale Frage, ob man edge triggered oder level triggered arbeiten soll. Level Triggering ist, was poll macht. Wenn du nach Deskriptor 3 fragst, und 3 ist lesbar, und du tust nichts mit ihm sondern rufst wieder poll auf und fragst nach Deskriptor 3, dann sagt dir poll wieder, dass er lesbar ist. epoll und kqueue arbeiten genau so, lassen sich aber umschalten. Edge Triggering heißt, dass das API dir nur einmal Bescheid sagt, dass ein Deskriptor lesbar ist. So funktioniert der Vorläufer von epoll, SIGIO, den meine Abstraktion unterstützt. Das verkompliziert aber das Programmiermodell massiv, weil ich jetzt darüber Buch führen muss, welche Deskriptoren lesbar sind und welche nicht. Dafür hat es aber den großen Vorteil, dass multithreading sozusagen von alleine geht.
Nehmen wir mal an, du hast vier Threads, und alle rufen epoll auf. Deskriptor 3 wird lesbar. Dann kommen alle Threads zurück und melden das. Das ist natürlich Unsinn, weil nur einer zum Zuge kommt und die anderen sinnlos Strom verbraucht haben.
Daher macht man das entweder so, dass nur ein Thread epoll aufruft und eine Datenstruktur befüllt, die dann von Worker Threads abgearbeitet wird. Oder man macht es so, dass jeder Thread einen eigenen Pool aus disjunkten Verbindungen verwaltet und die jeweils mit einem eigenen epoll bearbeitet. Die bessere Skalierbarkeit hat auf jeden Fall Variante 2, aber dann sollte man keine Threads sondern Prozesse nehmen.
gatling hat Fälle, z.B. CGI oder Proxy-Modus, bei denen mehr als ein Deskriptor zu einer Verbindung gehört. Das naive aufteilen der Deskriptoren auf Pools funktioniert also nicht, denn zusammengehörende Verbindungen müssen auch im selben Pool sein. Oder man baut ein API, um nachträglich Deskriptoren hin- und herzuschieben. Das wäre auch die bessere Lastverteilung gut, aber zieht einen Rattenschwanz an Komplexität nach sich. Ist daher aus meiner Sicht gerade erstmal unattraktiv.
Ich habe mich daher entschieden, lieber jeweils nur einen Thread zu haben, der epoll macht (oder halt kqueue, whatever), und der befüllt eine Datenstruktur, und aus der bedienen sich dann die Worker-Threads. Die Threads handeln das on the fly untereinander aus, wer gerade für Event-Abholen zuständig ist, und wer auf die Datenstruktur wartet. Damit das API nach außen einfach bleibt.
Das sieht ganz gut aus und scheint auch schön zu flutschen und vor allem ist das API viel einfacher als was ich vorher hatte. Aber ich kam ins Grübeln. Wenn ich hier schon einen neuen Webserver mache, dann soll der aber auch nicht nur TLS machen, sondern TLS mit Privilege Separation. Wenn jemandem ein Angriff auf den Webserver gelingt, möchte ich gerne möglichst minimieren, was er damit anstellen kann. In erster Näherung stelle ich mir vor, dass der Private Key von dem Server in einem separaten Prozess liegt (und ich per seccomp-filter o.ä. verhindere, dass man da ptrace o.ä. machen kann). Aber je mehr ich darüber nachdenke, desto weniger gangbar sieht das aus. Das erste Problem ist, und dafür kann TLS jetzt nichts, wenn ich den Handshake-Teil in einen Prozess tue und nur die Session Keys in den anderen Teil rüberreiche, dann hat ein Angreifer immer noch alle Session Keys im Zugriff. Das ist immer noch ziemlich schlimm. Gut, dank Forward Secrecy ist es kein Super-GAU, aber gut wäre es nicht.
Ein möglicher Ausweg wäre, dass man das gesamte TLS auslagert, und sozusagen durch einen TLS-Proxy-Prozess kommuniziert. Das riecht erstmal nach einem prohibitiv teuren Performance-Nachteil. Und gewonnen hätte man damit auch nicht viel, denn ein Angreifer könnte trotzdem allen Verkehr aller anderen Leute sehen und ihnen Müll senden, um sie anzugreifen, er könnte bloß nicht den schon gelaufenen Teil der Verbindung entschlüsseln. Ich glaube, das wäre die Kosten nicht wert.
Aber was, wenn man das TLS in den Kernel schieben kann. Linux hat seit kurzem ein API für Kernel-TLS. Da gibt man dem Kernel per setsockopt den Schlüssel und dann kann man auf dem Socket ganz normal Daten rausschreiben. Das klingt sehr attraktiv, denn den setsockopt könnte der TLS-Handshake-Prozess machen und dann den Socket rüberreichen zu dem Web-Prozess. Nachteil: Der Kernel-Support ist rudimentär und kann nur Daten rausschreiben. Kann nicht lesen, und kann keine Kontrollnachrichten schicken. Das muss man über ein krudes Spezial-API machen. Das müsste man dann zurück an den TLS-Handshake-Prozess delegieren. Gut, wäre denkbar. Schlimmer noch: Lesen kann der Kernel-TLS auch nicht. Das ist schon eher hinderlich.
OK, nehmen wir an, ich habe meinen Webserver aufgeteilt. Ein Prozess macht HTTP, einer macht TLS-Handshake. TLS hat aus Performance-Gründen ein Feature namens Session Resumption. Der Server behält die Krypto-Parameter für Verbindungen eine Weile vorrätig, und gibt dem Client ein Cookie. Wenn derselbe Client wieder kommt, kann er einfach den Cookie vorzeigen, und der Server findet dann die Krypto-Parameter und benutzt die weiter. Spart eine Menge teure Public-Key-Krypto und ist super für die Performance. Aber auf der anderen Seite heißt das eben, dass ein Angriff auf den Server auch diese ganzen gespeicherten Krypto-Kontexte im Speicher finden kann, und mit ihnen mitgesniffte Daten anderer Leute entschlüsseln kann. Das ist mal richtig doll Scheiße. Die Frage ist, ob sich Privilege Separation überhaupt lohnt, wenn man dieses Problem mit sich rumschleppt?
Und da denke ich mir gerade: Hey, was, wenn man die Tickets (so heißen die Cookies bei TLS) und die Krypto-Kontexte in einen dritten separaten Prozess packt. Grundsätzlich könnte das sogar sowas wie ein Redis auf einem anderen Server sein, dann könnten alle Frontends in einem Loadbalancer untereinander Session Resumption machen. Cloudflare hat vor ner Weile mal einen Hack in die Richtung angekündigt. Die Sicherheit von den Tokens basiert darauf, dass sie lang und zufällig und damit nicht vorhersagbar oder ratbar sind. Da müsste man gucken, wie man verhindert, dass ein Angreifer den Redis-Traffic mitsnifft, sonst hat man nichts gewonnen.
Naja und fundamental gibt es natürlich auch noch das Problem, dass die ganzen TLS-Libraries da draußen gar nicht vorsehen, dass man in ihren Interna herumpfuscht, und sowas macht wie nach einem Handshake die Krypto-Keys extrahieren und in einen anderen Prozess schieben, oder auf der anderen Seite einen bestehenden Krypto-Kontext entgegennehmen, aber ohne Public-Key-Teil des Kontexts, und dann damit symmetrisch Krypto zu machen.
Die nächste Frage ist natürlich auch, was eigentlich mehr CPU frisst, die Handshakes oder der symmetrische Teil. Das wird vermutlich von der Traffic-Load auf dem Server abhängen, ob der Videostreaming macht oder sowas wie mein Blog, was aus lauter kleinen kurzen Verbindungs-Bursts besteht.
Was ich sagen will: Ist alles nicht so einfach, und es ist auch nicht klar, ob sich der ganze Aufwand am Ende lohnen würde. Sollte aber glaube ich trotzdem mal jemand machen.
Update: Und es stellt sich natürlich die Frage, wen man hier eigentlich vor wem beschützen möchte. Muss man nicht eher befürchten, dass jemand den TLS-Stack hackt, als dass jemand den Webserver hackt?
Update: Vielleicht muss man sich aus Sicherheitsgesichtspunkten einfach generell von der Idee verabschieden, in einem Serverprozess mehrere Verbindungen zu multiplexen. Vielleicht sollte ich mal ein Extremkonzept implementieren, um zu gucken, wie schlimm das performt. Einfach damit man mal einen Datenpunkt hat. So pro Verbindung einen httpd-Prozess und einen TLS-Privilege-Separation-Prozess. Aber nicht abforken sondern schön fork+exec, damit die alle eigenes ASLR kriegen. Rein intuitiv kann das nicht gut performen, aber auf der anderen Seite gehen Rechnerarchitekturen ja gerade hin zu 256-Core-ARM-Servern. So würde man die ganzen Cores immerhin sinnvoll nutzen.
Auf der einen Seite ist das natürlich schockierend, dass ext4 so einen Bug hat. Nach all den Jahren sollte man denken, dass die Filesystem-Leute verstanden haben, dass man Längen in Strukturen nicht einfach trauen kann. Besonders ext4, denn das ist im Wesentlichen der Grund, wieso die Leute (auch ich) ext4 verwenden: Dass die einen fsck haben, der auch verlässlich funktioniert und die Lage nicht schlimmer macht.
Auf der anderen Seite war die Reaktion der Linux-Kernel-Leute innerhalb 24h, den Bug öffentlich zu machen in ihrem Bugtracker. Die machen also kein Security-Geheimhaltungs-Brimborium. Das ist schonmal gut. Und wenn man nach dem Problem googelt, findet man heraus, dass dieses Codestück als stinkend bekannt ist und da schon drei-vier Patches durchiteriert wurden, um das zu fixen. Ich frage mich, wieso man das Feature dann nicht wieder rausgeschmissen hat, wenn klar war, dass der Code stinkt.
For the second time in less than a week, users of the popular end-to-end encrypted Signal messaging app have to update their desktop applications once again to patch another severe code injection vulnerability.Primärquelle hier.ACH KOMM! Das patchen wir, dann ist wieder gut! PGP hingegen ist voll tot und so!1!!
Update: Oder noch geiler: Bruce Schneier meint neulich so:
If you need to communicate securely, use Signal. If having Signal on your phone will arouse suspicion, use WhatsApp.
JA KLAR! Whatsapp!!1! Das will man internationalen Dissidenten doch empfehlen! Pumpt eure Daten bei Facebook vorbei! Vertraut Facebook, die würden nie eure Daten missbrauchen!1!!
Facebook verliert Milliarden an Datensätzen, TLS benutzt bis heute niemand mit Client Certs, CAs failen links und rechts, … ach weißte, das kriegen die schon wieder hin. Machen die ein Update, ist wieder gut.
PGP macht nicht mal einen Fehler sondern wird nur schlecht integriert, und alle so: PGP IST TOT!!1!
Ich krieg echt Bluthochdruck. Seit Jahren schreiben Heise und Co PGP tot, weil das ja angeblich zu schwierig zu benutzen sei. Stattdessen empfehlen sie Signal, wo man selbst als Experte nicht viel Chancen hat, einen Man-in-the-Middle-Angriff zu erkennen. Irgendwo steht kleingedruckt, dass sich ein Key automatisch geändert hat. Nachdem sich Experten beschwert hatten. JA SUPER. Oh und Signal hat zentralisierte Infrastruktur. JA SUPER!!1! Genau die Plattform für internationales Dissidententum!
Heise, ich schlage vor, dass ihr mal ein paar Jahre den Ball flach haltet in Sachen Krypto. Das geht echt gar nicht.
Hier mal meine Ansage zum Thema Krypto-Usability: Traut keiner Software, die Krypto so wegabstrahiert, dass die Komplexität nicht mehr den User erreicht, oder die euch den Quellcode nicht zeigen wollen. Da werden immer irgendwelche faulen Kompromisse gemacht.
PGP ist nicht schwierig zu benutzen. Wenn Heise nicht seit Jahren den Leuten einreden würde, dass PGP zu schwierig ist, hätten wir vielleicht die doppelte Abdeckung. Auto oder Wohnungstür aufschließen ist auch ein extra Schritt, und wenn man den Schlüssel verliert, hat man Mehraufwand. Das hält auch niemanden davon ab, Schlösser zu verbauen.
Update: Ich finde das besonders tragisch, weil Heise jahrelang auf Veranstaltungen PGP-Keysigning-Parties gemacht hat. Die waren mal die Guten.
Unter www.zywall.de waren mehrere Tausend aufgezeichnete Telefongespräche von Zyxel Deutschland öffentlich zugänglich.Wie, watt, Moment, die haben Telefonate aufgezeichnet!?
Also ich weiß ja nicht, wie euch das geht, aber ich bin bisher ein Fan der DSGVO. Der Guardian spammt mich gerade auf allen Kanälen voll, ich soll doch bitte zustimmen, dass sie mich weiter vollspammen dürfen (dem ich selbstredend nie zugestimmt habe). Die New York Times hat jetzt plötzlich einen Knopf, mit dem man für "non-essential cookies" einen Opt-Out machen kann. Und für Firmen wie Zyxel können solche Verkacker jetzt richtig teuer werden. Dabei ist die Lösung so einfach. Hört einfach auf, über andere Leute Daten zu erheben.
Ich bin ja übrigens auch noch auf der Suche nach einem Datenschutzbeauftragten, der genug Arsch in der Hose hat, mal gezielt und systematisch die ganzen Hotel-Datensammlungen abzuschalten. Häufig sind das Vorschriften der Kommunen, dass die Hotels die Daten sammeln müssen. Das ist offensichtlich nicht nötig und die Kommunen geht meine Anschrift und mein Geburtsdatum mal überhaupt rein gar nichts an. Da bräuchte es mal einen geschickten Anwalt, der da mal diese Regelungen per orbitaler Bombardierung zu einem Parkplatz macht.
Update: Oh ach gucke mal, das scheint ja sogar Bundesrecht zu sein! Na, liebe Anwälte? Viel Feind, viel Ehr?
Ich finde es gut, dass Firmen sowas jetzt ihren Kunden mitteilen. Aber es zeigt eben auch, dass Passwort-Hashing nur das halbe Problem löst. Das Passwort geht immer noch im Klartext über die Leitung und kann dann dort in irgendwelche Logs geschrieben werden. Eigentlich gibt es seit vielen Jahren Ansätze, das anders zu machen — TLS Client Certs zum Beispiel. Aber niemand traut sich, das auch nur optional zusätzlich zu Passwörtern anzubieten. Warum eigentlich nicht?
Weil er gut 7.000 öffentlich zugängliche Dokumente der Reihe nach heruntergeladen hat, drohen einem 19-jährigen Kanadier zehn Jahre Haft. Der Treppenwitz: Die Dokumente stammen allesamt vom Informationsfreiheitsportal der Provinz Neuschottland und standen jedermann frei zur Verfügung. Der Teenager hatte einfach zu der URL jeweils 1 hinzugezählt, um das nächste Dokument zu erhalten. Schema: http://foo.bar/document0001.pdf, http://foo.bar/document0002.pdf, etc.
Update: Verfahren eingestellt.
A Dutch cyber-security firm has discovered that in-vehicle infotainment (IVI) systems deployed with some car models from the Volkswagen Group are vulnerable to remote hacking.Dazu sollte man sagen, dass das das offensichtlichste Einfallstor ist. Das ist das, wo man als Security-Forscher losforschen würde. Es ist mir unbegreiflich, dass Autobauer diesen Scheiß nicht ordentlich wegisolieren vom Rest des Systems. Das ist als würde man den Benzintank oben offen lassen, weil, äh, was kann da schon passieren!1!!
Stellt sich raus: patch kann ed-style diffs. Indem er sie nach ed piped. Oh und ed hat einen Shell-Escape-Mechanismus.
Update: FreeBSD hat das in ihrem patch(1) schon 2015 gefixt. (Danke, Kris)
Due to a lack of strict checking, an attacker from a trusted host can
send a specially constructed IP packet that may lead to a system crash.
Ja, alles, was ich hier schreibe, ist eine Medienkompetenzübung. Ja, da ist viel russische Propaganda bei. Das folgt zwangsläufig aus meinem Modell, immer denen mehr Luft zu geben, deren Positionen bei spon und sz und co weniger Luft kriegen, und zwar unabhängig davon, ob das wahr ist oder nicht, was die sagen (das kann ich ja selber im Normalfall gar nicht beurteilen).
Zu Skripal kam ein schöner langer Leserbrief rein:
Diese Argumentation ist ja im Moment Teil der russischen Propaganda, obwohl die sehr genau wissen, dass die Aufgabe der Chemiker auch gar nicht war, einen Herkunftsnachweis zu erbringen:Einer der Gründe, wieso ich es gut und richtig finde, der russischen Position hier Platz zu lassen, ist damit man Gelegenheit hat, Muster zu erkennen. Die sind hier in dem Leserbrief sehr schön beschrieben. Dazu kommt natürlich, dass ich vorher auch nicht weiß, ob das Propaganda ist oder ob diesmal was dahinter steckt. Aber mir geht es ja hier mit dem Blog auch nicht um das Veröffentlichen der Wahrheit sondern um Medienkompetenz und um das Liefern von Bausteinen, anhand derer jeder seine eigene Meinungsbildung betreiben kann."It is our job to provide the scientific evidence of what this particular nerve agent is, we identified that it is from this particular family and that it is a military grade, but it is not our job to say where it was manufactured."
— Aitkenhead (Chef des zuständigen Porton Down Labors)Der (britische) Argumentationspfad besagt, dass die das aus Quellen haben, die die uns einfach nicht öffentlich sagen wollen. Mehr nicht. Kann ich auch nachvollziehen. Da haben irgendwo in den russischen Reihen einen sitzen, den die natürlich nicht offen legen wollen. Die Russen müssen das natürlich in ein anderes Licht stellen. Johnson und May behaupten schließlich auch, die Entscheidung kommt von Putin persönlich. Mal ganz davon ab, hat das britische Außenministerium auch noch mal klar gemacht im UN-Sicherheitsrat, dass die mit "highly likely" nicht etwa die Möglichkeit eines Zweifels offen lassen möchten, sondern dass sie das als Teil eines Ermittlungsprozesses sehen, an dessen Ende nur ein Richter ein Urteil spricht und deswegen aus deren Sicht keine Interpretationen dort hineinfließen sollen. Liest man so was aus einem Bericht eines Chemielabors?
Den ganzen Zusammenhang zwischen Herkunftsnachweis und diesem Labor, den habe ich auch ehrlich gesagt, zum ersten mal bei Sputnik-News gelesen… NICHT etwa von Boris Johnson (der das, soweit ich gerade googlen kann, in diesen Zusammenhang überhaupt auch nicht ein einziges Mal hergestellt hat).
Meiner Meinung nach verraten die russischen Akteure ihre eigene Position in der Geschichte allein schon dadurch, dass sie eben zu derartigen Mitteln greifen und beispielsweise Aussagen wie die aus dem Labor *wissentlich* so verdrehen oder in einen Kontext stellen, als hätten die Chemiker eben die Herkunft nicht ermitteln *können* (und implizieren, dass sie *sollten*) … und benutzen das dann als Indiz für ihre Unschuld. Der ganze Druck der russischen Marketingabteilung *hust* zielt ja eigentlich auch gar nicht auf die Aufklärung, sondern vor allem auf die Offenlegung von britischem Geheimdienstwissen und Veränderung von Wahrnehmung britischer Aussagen. Sie tragen ja selbst nicht zur Aufklärung bei (obwohl ihnen Gelegenheit dazu gegeben wurde bzw. wurden sie per Ultimatum dazu aufgefordert -> was die als "Quatsch" abgelehnt haben). Die Russen wiederum dringen nur dazu, in die Akten schauen zu dürfen und behaupten sogar, sie würden gar nicht einbezogen (srsly?). Und dadurch, dass sie wissen, dass die Briten nie zulassen werden, die Infrastruktur-Details der eigenen Dienste preiszugeben, können sie halt lauthals die Offenlegung fordern - auch wenn sie wissen, dass das ihre Schuld beweisen kann.
Ja, es gibt keine *öffentlichen Beweise. Da haben wir jetzt alle begriffen. Das heißt aber nicht, dass sie keine haben und auch nicht, dass das öffentlich wird. Und srsly… wenn die Lügen wollten, würden sie es nicht in irgendwelchen verschlüsselten Nachrichten in der Presse durchblicken lassen (Keyword: "überspezifisches Dementi").
Aus Russland wird nicht zur Aufklärung beigetragen und öffentliche Aussagen der Briten werden durch die höchsten russischen Beamten derart falsch wiedergegeben, dass sich ihr Sinn verändert. Das wiederum ist für mich durchaus ein Indiz, das ich für mich persönlich erkenne und aus dem ich schlussfolgern kann.
Und wo ich mich schon mal dazu hab hinreißen lassen, Dir mal zu schreiben -> ich sehe das bei Deinen Bellingcat-Rants ganz ähnlich. Ich habe deren Paper zum Absturz damals gelesen und auch gesehen, wie die russischen Ministerien damit umgegangen sind. Da haben die über Tools schwadroniert und lauter so Gedöns und ob man derartige Recherche überhaupt betreiben kann. Angeblich konnte die Software sowas ja auch gar nicht nachweisen, die die damals benutzt haben. Aber das war genau so eine Geschichte wie jetzt mit Skripal - ja, die Software hatte so ein Feature nicht, aber trotzdem konnte man es zur Analyse verwenden und Schlussfolgerungen aus der JPEG-Fehlerdichte ziehen, die auf den Bildern so nicht zu erwarten war. Das hat man dann - oops - vergessen zu erwähnen, auch das die ja eine ganze Reihe anderer Indizien zu einer Kette verflochten haben. Auch, dass das zuständige Ministerium die betreffenden Originalbilder der Analyse hat aus der eigenen Webpräsenz verschwinden lassen - Hoppla? - wollte man lieber nicht weiter kommentieren. Es reichte, dass man der Welt verkündet, die Software, die Bellingcat nutzte, war ja für diesen Zweck gar nicht geeignet.
Sowas reicht mir schon. Wenn du ernsthaft aufklären willst, dann nicht indem du die Argumentation derer, die auch aufklären wollen, in dieser Weise verwässerst, dass sie sich in der öffentlichen Wahrnehmung verändern.
Aus welchen Gründen sollte man sich eigentlich solcher Strategien bedienen, wenn man nicht in der Täterrolle so einer Geschichte steckt?
Wer fragt eigentlich nach der Beweislast, wenn mal der Lawrow seine Behauptungen vom Stapel lässt? Richtig, niemand. Wir haben uns irgendwie dran gewöhnt, dass der **** erzählt. Der hat ja ganz öffentlich in einer Pressekonferenz behauptet, das wären britische Dienste. Und warum? Wegen dem mies laufendem Brexit natürlich. Ja ne, schon klar. 20 Staaten weisen russische Diplomaten aus? Alles von den USA eingefädelt! Eine "kollossale Erpressung" (nicht dass nachher noch einer meint, die handeln wirklich eigenständig, weil was dran ist). Fragt da eigentlich noch einer nach Plausibilitäten? Wars denn jetzt der Trump? Oder das russische Außeniministerium war so frei mal eben Tschechien, Schweden und die USA "hochwahrscheinlich" als Herkunftsländer des Gifts, quasi als potentielle Täter zu präsentieren. Wieso zuerst Russland, man könne ja erstmal gegen die anderen ermitteln … das wäre ja sonst anti-russisch (so muss man also Prioritäten in der Beweisführung setzen?). Und wie immer - auch in der Ukraine oder Syrien - kommt da rein gar nichts an Beweisen außer dem "cui bono", das gleich mal jeden mit etwas Fantasie und Bedarf an Verschwörungsdrama dazu triggert, dem auch nachzulaufen.
Und sogar die Tatsache, dass sich aus Russland mit jeder Meldung irgendwelche neuen Szenarien speisen, dass ist doch auch so ein Indiz. Vielleicht liegt die von allen britischen Parteien konsequent kompatible Linie ja gar nicht an einem perfekten Briefing aller Teilnehmer, sondern daran, dass es keins gab…
Update: Oh und abgesehen davon ist es natürlich absolut nicht satisfaktionsfähig, aufgrund von Geheimdienst-Beweisen, die man niemandem zeigen will, irgendwelche Anklagen zu erheben. Vielen Dank an der Stelle an Colin Powell, der das ein für alle Mal beerdigt hat.
Update: Jetzt schicken mir hier lauter Leser Links für Boris Johnsons Aussage. Das ist nicht der Punkt. Der Punkt war: Genau so klar, wie ihr seht, dass die Briten lügen, sieht dieser Einsender, dass die Russen lügen. Und es ist wichtig, beide Perspektiven zu sehen und am besten auch selbst einnehmen zu können, und sei es nur, um Widersprüche zu finden. Nennt es Medienkompetenz!
Hmm, hey ich weiß! Das waren bestimmt die Russen!1!!
Das hier scheint der ausgenutzte Bug zu sein.
Die Ausrede der Amis ist natürlich, dass das erlebnisorientierte Jugendliche waren und nichts mit der Regierung zu tun hatten. Ihr erinnert euch vielleicht, dass Putin genau das selbe sagte, als die Amis ihm Cyber-Cyber vorwarfen, und dass die US-Presse das selbstverständlich überhaupt nicht geglaubt hat?
Stellt sich raus, dass die im Kernel das fsync-Verhalten verkackt haben, und Postgres daher Daten verlieren kann, wenn fsync fehlschlägt. Wenn man fsync aufruft, und das failed, und dann ruft man es später nochmal auf, dann erwartet der Kernel anscheinend von einem, dass man die writes dazwischen auch nochmal gemacht hat. Das ist völlig unerwartet und Postgres tut es nicht.
A remote code execution vulnerability exists within multiple subsystems of Drupal 7.x and 8.x. This potentially allows attackers to exploit multiple attack vectors on a Drupal site, which could result in the site being completely compromised.
Under the new rules, Slack customers who pay for certain premium services will be able to download all the data from their workspace–both public and private–apparently without informing members of the community. Which is to say: Information from both private messages and room chats are fair game if the owner of the Slack wants it.
One engineer told The Register that when he tried to run identical simulations of an interaction between a protein and enzyme on Nvidia’s Titan V cards, the results varied. After repeated tests on four of the top-of-the-line GPUs, he found two gave numerical errors about 10 per cent of the time.Ich finde ja, die sehen das viel zu negativ. Die Karte hat auch einen Hardware-Zufallszahlengenerator!Update: Ein Einsender hat eine Alternativerklärung:
Erstmal klingt es nur nach jemanden dessen Code auf der neuesten GPU nicht mehr richtig funktioniert.
Das kann bei GPUs sehr leicht passieren, weil sie massiv parallel auf den gleichen Problemen arbeiten, das Programmiermodell sehr wenige Garantien darüber gibt, in welcher Reihenfolge der Code abgearbeitet wird und oftmals schlampig synchronisiert wird. Man findet sehr häufig Sachen im Code, die laut Programmiermodell eigentlich unsafe sind, aber auf bestehender Hardware eben funktionieren, weil dort noch zusätzliche Randbedingungen bezüglich Ausführungsreihenfolge eingehalten werden. Da wird dann gerne Code geschrieben, der etwas schneller ist, weil er sich Synchronisierungen spart. Bei der Titan V hat NVidia wohl die Verarbeitung von Sprüngen verbessert, was aber gleichzeitig dafür sorgen dürfte, das jetzt plötzlich Sachen gleichzeitig passieren können, die früher immer in definierter Reihenfolge ausgeführt wurden. Zusätzlich hat die Titan V mehr Kerne als ältere GPUs, was ebenfalls dazu führt, das mehr Sachen gleichzeitig ausgeführt werden, die es früher nie wurden. Ich sehe da eine hohe Wahrscheinlichkeit, das es sich einfach um kaputten Code handelt, dessen Bugs vorher nicht aufgefallen sind, weil die Eigenschaften der alten Hardware dazu geführt haben, das die Bugs nie getriggert wurden.
(Danke, Lothar)
Angemeldete Nutzer können die Passwörter anderer Nutzer einschließlich des Admins ändern.
libsodium nimmt man, weil das API so brutal einfach ist. Da kann man nicht viel falsch machen.
Du willst einen Buffer signieren?
crypto_sign(signed_message, &signed_message_len, MESSAGE, MESSAGE_LEN, secret_key);Der tut unter der Haube, was man erwarten würde: SHA512 über den Buffer, dann Ed25519 über den Hash. Dann gibt er einem im Zielbuffer die Signatur und dahinter die signierten Daten.
Du willst einen Buffer signieren, aber nur die Signatur haben?
crypto_sign_detached(sig, &sig_len, MESSAGE, MESSAGE_LEN, secret_key);Die Nachricht passt nicht in den Speicher, du willst die stückweise signieren? Kein Problem!
crypto_sign_init(&state);Das ideale API, um es Leuten in die Hand zu drücken, und "mach mal" zu sagen.
crypto_sign_update(&state, MESSAGE_PART1, MESSAGE_PART1_LEN);
crypto_sign_update(&state, MESSAGE_PART2, MESSAGE_PART2_LEN);
crypto_sign_final_create(&state, sig, &sig_len, secret_key);
Bis … ja bis die Leute dann eine Signatur mit crypto_sign_detached erzeugen und dann auf der Gegenseite mit der Multi-Chunk-Validierungsfunktion prüfen wollen. Denn dann failed die Validierung.
Ich hab also mal ein bisschen in den Quelle von libsodium herumgepopelt. Alle drei Funktionen machen SHA512 über den Buffer und dann Ed25519 über das Ergebnis davon. Aber das Multi-Chunk-API hasht vor dem Buffer noch einen konstanten String:
static const unsigned char DOM2PREFIX[32 + 2] = {
'S', 'i', 'g', 'E', 'd', '2', '5', '5', '1', '9', ' ',
'n', 'o', ' ',
'E', 'd', '2', '5', '5', '1', '9', ' ',
'c', 'o', 'l', 'l', 'i', 's', 'i', 'o', 'n', 's', 1, 0
};Nun bin ich kein Kryptologe, aber aus meiner Sicht ergibt das überhaupt gar keinen Sinn. Hash-APIs gibt es seit vielen Jahren, und da hat es noch nie eine Rolle gespielt, ob man die Daten in einer oder in 15 Raten einzahlt.Tja, libsodium. Damit habt ihr den Hauptgrund weggeschossen, wieso ich euch immer empfohlen habe. Weil eure APIs einfach und unüberraschend aussahen. Das ist übrigens absichtlich so. Die libsodium-Doku sagt dazu:
Note: Ed25519ph(m) is intentionally not equivalent to Ed25519(SHA512(m)).Oh ach so. Na DANN ist ja alles gut.m(
Update: Der Autor von libsodium erklärt:
The prefix is mandated by the specification: https://tools.ietf.org/html/rfc8032#section-5.1.
Ja, schon, aber dann nenne das API halt anders, wenn das eine andere Sache tut als was der Name impliziert.
Update: Ich habe den DOM2PREFIX da explizit gepasted, weil man das viel besser machen kann. Ein Leser weist mich jetzt darauf hin, dass das vielleicht nicht alle wissen. Hier:
static const unsigned char DOM2PREFIX[] = {
"SigEd25519 "
"no "
"Ed25519 "
"collisions\x01"
};Oder halt in einer Zeile.
Update: Der technische Hintergrund ist übrigens, dass crypto_sign_detached die Nachricht zweimal hashen will. Beim ersten Mal fällt eine Nonce raus, mit der macht man eine Berechnung und die hasht man dann und dahinter nochmal die Nachricht. Da lässt sich Chunking nicht mal eben einbauen. Daher macht das Chunking-API was anderes: Einmal die Nachricht hashen und dann crypto_sign_detached auf den Hash der Nachricht. Und so haben wir eine Situation, in der eine syntaktische Änderung (ich möchte das mal mit "Leerzeile in Code einfügen" oder "Kommentar editieren") überraschend die Semantik ändert. Und das kann man nur fixen, indem man die Semantik von crypto_hash ändert, dass es auch diese Indirektion macht. Der Autor von libsodium schrieb mir, dass er das in seiner anderen Crypto-Lib, libhydrogen, auch so macht. Schön, aber zu spät für libsodium.
Deren CSV-Kontoauszug stimmt anscheinend nicht mit deren PDF-Kontoauszug überein.
Liebe Kontoauszugsabteilung bei N26? You had ONE Job!
Leute, die HTML-basierte Editoren verwenden, können sich ruhig mit angesprochen fühlen. Atom? Visual Studio Code, srsly?!
Warum eigentlich? Was müssen die NOCH verkacken, damit die Leute aufhören, bei denen zu kaufen? Aktuell geht es um hard-coded passwords.
The reasons are that an attacker can infect another device on the same network and use it as a proxy for his SSH connection to the vulnerable Cisco PCP instance, allowing for remote, over-the-Internet exploitation.Wurmbar!
Wenn ihr Linux benutzt, dann ist die Antwort wahrscheinlich: Ja. Firefox und Chrome basieren darauf.
Cairo ist anscheinend in keinem guten Zustand. Money Quote:
My immediate problem with Cairo is that it explodes when called with floating-point coordinates that fall outside the range that its internal fixed-point numbers can represent. There is no validation of incoming data, so the polygon intersector ends up with data that makes no sense, and it crashes.Das ist immer voll super, wenn man mit ungültigen Eingaben crasht. Das ist gute Alzheimer-Vorbeugung. Man muss die Leute in Bewegung halten.Money Quote 2:
Cairo has a very thorough test suite… that doesn't pass.Ja prima!
To estimate the severity of this bug, we developed an exploit targeting SMTP daemon of exim. The exploitation mechanism used to achieve pre-auth remote code execution is described in the following paragraphs.Exim hat anscheinend von Anfang an einen off-by-one in ihrem Base64-Dekoder.
Aber nun wollen wir mal die Kirche im Dorf lassen. Nur weil unsere Profitmaximierung zu euren Lasten geht, heißt das ja nicht, dass unser Geschäftsmodel verwerflich ist! Nein, nein! Ihr könnt euch doch Schlangenöl installieren!11!
Für einen solchen Angriff müssen die Kriminellen allerdings erst die Schutzmaßnahmen des Seitenbetreibers umgehen und auf dem Rechner des Opfers muss es eine noch nicht behobene Sicherheitslücke geben, über die sich die Schadsoftware unbemerkt einnisten kann. Bekannte Varianten solcher Angriffe werden von Antivirensoftware allerdings entdeckt und blockiert.Wow. Fast jedes Wort in diesem Statement ist eine dreiste Lüge.
Schutzmaßnahmen?! Des Seitenbetreibers!? Die meisten Werbenetzwerke sind eigenständige, externe Firmen, mit denen der Browser dann direkt interagiert. Der Seitenbetreiber kann gar keine wirksamen Schutzmaßnahmen haben in so einer Konstellation.
Gelegentlich kann man Sicherheitslücken gar nicht beheben, weil der Hersteller der Software sich schlicht weigert, den Bug als Sicherheitsproblem anzuerkennen, oder weil die Lücke noch gar nicht bekannt ist, oder weil das Update sich wegen eines Konflikts mit dem Schlangenöl nicht installieren ließ. Oder weil der User in einer Firma arbeitet, die seine Updates für ihn managed, und damit im Verzug ist. Wieso ist jetzt plötzlich das Opfer Schuld, wenn ich mal fragen darf? Der Angriff geht von euch aus! Wieso heißt ihr eigentlich Spiegel? Weil sich das als Oberfläche so gut zum Koksen eignet?
Schadsoftware ist auch nicht nur gefährlich, wenn sie unbemerkt ist. Ransomware ist sehr gut zu bemerken. Nachdem sie die Daten verschlüsselt hat.
Und dass Antivirensoftware alle bekannten Varianten erkennt, ist auch eine offensichtliche Lüge.
Für eine Publikation, die vorgeblich der Wahrheitsfindung dient, und für die Aufklärung der mündigen Bürger arbeitet, ist das eine ganz schöne Häufung an alternativen Fakten.
Das waren bestimmt die Russen!1!!
Update: Ich lass das hier mal so stehen.
Update: Oh das wird ja noch besser! Stellt sich raus, dass Die Spiegel-Online-Anleitung zum Adblocker-Ausschalten diesen Passus enthält:
Haben Sie ein Anti-Virusprogramm installiert? Auch diese Programme können wie ein Adblocker funktionieren. Bitte prüfen Sie in den Einstellungen, ob Ihr Programm Werbeanzeigen blockiert, und erstellen Sie eine Ausnahmeregel für SPIEGEL ONLINE.
Geil! Also das Schlangenöl, das euch vor unserer Malware schützen soll, das schaltet bitte auch ab. (Danke, Jens)
Ihr seid eine CA. Keine sonderlich seriöse CA; eine, die Kunden anbietet, auch den Private Key bei euch aufm Server zu generieren. Niemand, der klar bei Verstand ist, würde diese Option wählen. Wer sowas anbietet, nutzt damit also offensichtlich die Unkenntnis seiner Kunden aus.
Aber ihr seid eine CA, und ihr seid Reseller für Symantec. Symantec verkackt so dermaßen vollständig, dass sie bei Google rausfliegen. Ihr wollt also von der CA mit dem schlechtesten Ruf zur nächsten wechseln, zu Comodo. Comodo waren die, die Let's Encrypt über Markenrechtstricks vom Markt zu schummeln versucht haben. Die hier. Die hier. Die wurden mal nach einem Zertifikat für www.sb gefragt und haben ein Zertifikat für sb ausgestellt (ja, die TLD!). Die hier. Die Liste ist noch länger, ich breche mal aus Platzgründen ab. Um Comodo geht es ja hier auch gar nicht.
Ihr hängt jetzt also in einem Vertrag mit Symantec, und Symantec fliegt bei Google raus, verkauft ihr totes CA-"Business" an einen Laden namens DigiCert.
Ihr würdet jetzt gerne die Zertifikate alle zurückrufen, damit ihr den Kunden richtige Zertifikate verkaufen könnt. Ihr schickt also eine Mail an DigiCert. DigiCert antwortet: Nein, das könnt ihr nicht, das können nur eure Kunden.
Und ab hier wird es richtig geil. Die CA, die ihr euch vorstellt, heißt Trustico. DigiCert hat Trustico gesagt, sie würden die Zertifikate nur mass-revoken, wenn es Beweise für einen Security Incident gäbe. Und Trustico sagt daraufhin: Hold my beer! Und schickt (sagt DigiCert) eine Mail mit 23k Private Keys ihrer "generiert ihr mal den Key für mich"-Kunden an DigiCert. DigiCert muss daraufhin die ganzen Zertifikate zurückrufen.
Der Hammer ist, dass Trustico die Private Keys überhaupt hatte. Wie krass ist DAS denn!? Damit hat sich Trustico auch die restlichen Krusten ihres Rufes als CA gänzlich ruiniert. WTF?! Die haben die Keys aufgehoben!?!? OMFG!
Stellt euch mal vor, die hätten eine Command Injection irgendwo? Vielleicht gar noch als root?! Da wären ja alle Zertifikate weg!1!!
Das ist ein wunderschönes Social Engineering-Szenario, in dem man ein Unicode-Sonderzeichen im Dateinamen von einem Attachment schickt. Danach schickt man "gnp.js". Das Unicode-Sonderzeichen schaltet um von links-nach-rechts auf rechts-nach-links Rendering von Zeichen (ist gedacht für Hebräisch oder so). Der angezeigte Dateiname sieht dann aus, als ende er auf .png, wenn er tatsächlich auf .js endet.
Und DAS ist mal ECHT ein peinlicher Bug. Das ist so der Anfänger-Fehler unter Windows. Microsoft selbst hat Tutorials online, wie man das besser macht. Aber sie selbst kriegen es nicht hin. Weia.
arbitrary code execution during “go get”
Wenn ja, dann: Respekt! :-)
Money Quote:
Sensitive data stored by Lenovo Fingerprint Manager Pro, including users’ Windows logon credentials and fingerprint data, is encrypted using a weak algorithm, contains a hard-coded password, and is accessible to all users with local non-administrative access to the system it is installed in.Hattrick! Mu-mu-mu-mu-multikill! Bingo! (Danke, Matthias)
Aber nicht doch, Fefe! Antiviren erhöhen nicht die Angriffsoberfläche!1!!
This bug has existed since before curl 6.0. It existed in the first commit we have recorded in the project. (Danke, Rene)
Die Dienstleistung kann nicht nur im Krankheitsfall der Kinder genutzt werden, sondern auch, wenn die Eltern selbst die Grippe haben, wenn eine weitere Geburt bevorsteht oder wenn sie psychisch überlastet sind, etwa bei einem Todesfall. «Es gibt auch Anfragen von Eltern, die sehr viel Zeit für eines ihrer Kinder aufwenden und für die weiteren nicht genügend Betreuungszeit zur Verfügung steht», sagt Bisang.Das ist natürlich dann nicht kostenlos. Die Gebühren richten sich nach dem Einkommen der Eltern.
Update: In Deutschland gibt es sowas, zumindest auf kommunaler Ebene, auch (hier: Hannover). (Danke, Lex)
Can (a ==1 && a== 2 && a==3) ever evaluate to true? (Danke, Andreas)
An older version of PHP in the vulnerable varieties had a use-after-free bug that opens a remote code execution vector. (Danke, Richard)
Update: Der Artikel ist von letztem Jahr. Und der wichtige Teil war der hier:
Betroffen von der BKA-Maßnahme sind allerdings nur unverschlüsselte Chats – gegen die Ende-zu-Ende-Verschlüsselung haben die Beamten um Michael K. keine Chance, wie sie selbst in einem Schreiben eingestehen.
Die Malware Protection Engine von Microsoft weist eine Schwachstelle auf, über die Angreifer Schadcode auf Computer schieben könnten.Aber nein, Fefe, das kann man so nicht sagen, dass Schlangenöl eine Angriffsoberfläche darstellt!1!! Ist alles voll harmlos! Das sind Profis, die wissen, was sie tun!
Und das krasse ist ja: Das sind echt die Profis bei Microsoft. Von den Schlangenölherstellern da draußen sind das die mit Abstand am wenigsten schlimmen.
Ein Angreifer könnte in Verbindungen eingreifen und Sessions übernehmen. Davor warnt ein Sicherheitsforscher, der bereits Proof-of-Concept-Code auf Github veröffentlicht hat.Yo dawg! We put a Fernwartung in your Fernwartung so you can be fernwarted while you fernwart!
Money Quote:
Bug in early-loaded module, so ME "disabling" by HAP is not a cureDie NSA ist auch betroffen! MWAHAHAHAHA (Danke, Mathias)
Nein, wirklich! SCHON WIEDER ein Fall von einer Tastatur-Software für Touchscreens, die die Daten in die Cloud hochlädt. Und natürlich gibt es dann einen Datenreichtum. Völlig überraschend. Ich weiß, ich weiß.
Der Dirty-Cow-Patch hat einen Nachfolger-Bug ausgeliefert.
On November 23, Imgur was notified of a potential security breach that occurred in 2014 that affected the email addresses and passwords of 1.7 million user accounts.
With a little bit of work, I was able to chain multiple vulnerabilities in Atom into an actual Remote Code Execution.Dank Electron haben wir jetzt endlich auch Cross Site Scripting in Desktop-Anwendungen!Den Fortschritt in seinem Lauf hält halt weder Ochs noch Esel auf. (Danke, Maik)
Ich habe ja noch nie was positives von deren Produkten gehört. Ist mir ein Rätsel, wieso Leute sowas kaufen. Man googelt doch vorher ein bisschen, bevor man soviel Geld in die Hand nimmt?
Oder vielleicht liegt das ja auch an mir und F5 ist total super. Außer dass man gerade ihren SSL-Traffic entschlüsseln kann. Aber sonst voll super!
This includes scenarios where a successful attacker could:Impersonate the ME/SPS/TXE, thereby impacting local security feature attestation validity.
Load and execute arbitrary code outside the visibility of the user and operating system.
TXE ist die Trusted Execution Engine. Intel hatte einen Job. Einen. Und den haben sie so massiv verkackt, dass ich insgeheim ein bisschen hoffe, dass dieser ganze unvertrauenswürdige Rotz in Zukunft optional sein wird. Ich sehe jedenfalls nicht ein, die Komponente zu bezahlen, über die mich die NSA ownt.
In short, I found out that when using autocompletion on a directory with files that have escape sequences in their name, the escape sequences would not be sanitized by the shell.Der meint nicht das Globbing oder die Übergabe auf der Kommandozeile, sondern wenn man f[Tab] drückt und eine der Dateien ANSI-Sequenzen im Dateinamen hat, und die Shell von busybox einem die Liste der matchenden Dateien ausgibt.
Ein Einsender meint, ihm habe das das Filesystem zersägt (er hatte ein Backup von direkt vor dem Kernelupdate). Also Vorsicht!
Remote Code Execution in CouchDB (and Privilege Escalation in the npm Registry)Voll überzeugend, diese Hipster-Infrastruktur immer!
Das USB-Subsystem scheint in beklagenswertem Zustand zu sein. Hier sind die Bugs, die das Tool gefunden hat. Ja, das ist ein Fuzzer. Ja, der Code ist so beschissen, dass man mit einem Fuzzer Bugs findet.
Please Stop Naming Vulnerabilities: Exploring 6 Previously Unknown Remote Kernel Bugs Affecting Android Phones
Mir ist gerade nicht klar, wieso sie einen Buffer Overflow im Protokollhandling als Important und nicht als Critical bewerten. Wenn du einen Webdienst hast, wo man eine URL angibt, und du machst dann wget darauf, dann ist das ein Critical.
Und ich dachte, ich hätte schon alles gehört über MySQL…
Der Bug ist so blöde, das kannste dir gar nicht ausdenken. Setzt euch mal stabil hin:
“The problem is, the RSA private key that belongs to the public pair that was used for the signature checking, could be found on the internet as part of an example application of a software library,” according to his research.Das ist ja NOCH geiler als seinen Private Key bei Github hochladen! Jemand anderes Private Key von Github nehmen! Hey, bei so einem Hersteller will man doch seine Infrastruktur einkaufen!1!!Übrigens, mal am Rande:
Rad said the vulnerabilities were discovered on May 10 and initial disclosure of the bugs to Lenovo was May 14. Ten days later Lenovo confirmed the vulnerabilities with coordinated public disclosure occurring on Oct. 5.Die haben ernsthaft seit Mai auf dem Problem gesessen. Wenn die Lösung war, einen neuen Key zu erzeugen und auszurollen. SEIT MAI.Oh und die Auswirkung? Remote Code Execution natürlich!
Und DAS ist eine deutlich schlechtere Botschaft für den typischen Nicht-Esten als irgendwelche Pässe aus dem Baltikum. Und Infineon hat einen Haufen von PC-Bauern mit ihren TPMs beliefert, hier ist eine Liste. Einmal alles, was einen Namen hat.
Nun gut, aber wer benutzt schon die RSA-Funktion ihres TPMs? Na z.B. Firmen, die Bitlocker auf ihren Geräten einsetzen. Inwieweit das jetzt ein Problem ist, kann ich gerade auch nicht sagen. Aber es klingt auf jeden Fall so, als sollten im Moment viele Leute schlecht schlafen.
Das halte ich im Moment für das schlimmere Problem als das WLAN-Bohei, denn bei WLAN kann man ein Update ausrollen, bei dem RSA-Krypto-Problem muss man auch alle Keys zurückrufen und neu machen. Das ist erfahrungsgemäß ein Riesenproblem.
Der Intel Compiler kommt mit neueren glibc Versionen nicht zurecht, da diese einen Bug im Intel Compiler exponieren, der zu "unpredictable system behaviour" führt. Bei uns auf dem HPC Cluster hat sich das so manifestiert, dass unsere Benutzer nach dem Update von CentOS 7.3 auf CentOS 7.4 (dieses Update der glibc exponiert den Intel Bug) bei Simulationen (z.B. mit Kommerziellen "Finite Element" Applikationen wie ANSYS CFX, 3DS Abaqus etc.) falsche Resultate bekamen:Und weil das so grandios ist, kommt hier die technische Erklärung, was da vor sich geht:
- Simulationen die vor dem Update konvergierten tun dies nicht mehr
- Simulationen brechen ab, weil an verschiedenen Stellen NaN's raus kommen wo das nicht sein sollte.
- Bei Simulationen kommen andere Zahlen raus als vor dem Update
Der Bug betrifft potenziell alle mit Intel (Versionen älter als 17.0 Update 5) kompilierten Binaries und Bibliotheken auf Systemen mit Intel CPUs, welche AVX unterstützen.
According to x86-64 psABI, xmm0-xmm7 can be used to pass functionKeine weiteren Fragen, Euer Ehren!
parameters. But ICC also uses xmm8-xmm15 to pass function parameters
which violates x86-64 psABI. As a workaround, you can set environment
variable LD_BIND_NOW=1 by# export LD_BIND_NOW=1
Update: Ich sollte vielleicht mal erklären, was hier vor sich geht. Das ABI ist die Spezifikation dafür, wie man auf einer gegebenen Plattform auf Maschinencode-Ebene Argumente an Funktionen übergibt, und welche Registerinhalte Funktionen überschreiben dürfen, welche sie sichern müssen. Intel hat die Spec gesehen und gesagt "Hold my beer! Die Register dahinten benutzt keiner! Die nehm ich mal!" Das ABI hat aber ganz klar gesagt, dass die eben nicht frei sind.
Das Szenario hier ist: Der Compiler generiert Code für einen Funktionsaufruf. Nun könnte man sagen, hey, wenn der Intel-Compiler beide Seiten erzeugt hat, dann kann ja nichts schiefgehen. Aber es kann halt doch was schiefgehen. Wenn man ein dynamisch gelinktes Binary hat, dann geht der Funktionsaufruf eben nicht zur Funktion, sondern zum Wert in einer Tabelle. Die Einträge in der Tabelle zeigen initial auf ein Stück Code in der glibc, der dann die Adresse für das Symbol herausfindet und in die Tabelle einträgt und dann dahin springt. Die Idee ist, dass so eine Tabelle mehrere Zehntausend Einträge enthalten kann bei großen Binaries, und wenn man die alle beim Start von dem Binary auflöst, dann ergibt das eine spürbare Verzögerung. Denkt hier mal an sowas wie Firefox oder clang von LLVM. Daher löst man erst beim ersten Aufruf auf. Mit LD_BIND_NOW=1 kann man der glibc sagen, dass er bitte alles am Anfang auflösen soll, nicht erst später.
Was hier also passiert ist, ist dass der glibc-Code, der die Symbolauflösung macht, sich an das ABI gehalten hat und die u.a. für ihn reservierte Register benutzt hat. Und da hatte der Intel-Compiler aber Argumente reingetan. Die hat der Code zum Symbolauflösen dann mit Müll überschrieben. Die glibc wäscht hier ihre Hände in Unschuld (und ich hätte nicht gedacht, dass ich DAS nochmal sagen würde). (Danke, Samuel)
The impact of exploiting these vulnerabilities includes decryption, packet replay, TCP connection hijacking, HTTP content injection, and others. Note that as protocol-level issues, most or all correct implementations of the standard will be affected.Und die Leute wundern sich immer, wenn ich lieber ein Ethernet-Kabel anschließe.Update: Das hier scheint das Paper dazu zu sein. Money Quote:
against AES-CCMP an adversary can replay and decrypt (but not forge) packets. This makes it possible to hijack TCP streams and inject malicious data into them. Against WPA- TKIP and GCMP the impact is catastrophic: packets can be replayed, decrypted, and forged. Because GCMP uses the same authentication key in both communication directions, it is especially affected.
Finally, we confirmed our findings in practice, and found that every Wi-Fi device is vulnerable to some variant of our attacks. Notably, our attack is exceptionally devastating against Android 6.0: it forces the client into using a predictable all-zero encryption key.
Update: Ich bin ja mal sehr auf die Erklärung von Google gespannt, wieso sie ein sichereres wpa_supplicant forken und ihre Version dann 00000000 als Key vergibt, wenn der Upstream das nicht tut. Wenn Microsoft früher bei sowas erwischt worden wäre, hätten alle laut NSA-Backdoor gebrüllt. Sorry, das war Blödsinn. Der Upstream-Code hat denselben Bug.
Update: Die Webseite dazu ist online. Und ja, sie haben ein Logo!
Fehlerhafte Update-Pakete für Windows 10 und Windows Server 2016, die Microsoft am jüngsten Patchday veröffentlicht hat, legten in den vergangenen Tagen Rechner in Unternehmensnetzwerken lahm. Betroffen waren nur Umgebungen mit WSUS und SCCM.You had ONE Job!
Court documents reveal that logs, obtained by the FBI from privacy service PureVPN, helped the prosecution. Until now, PureVPN had always maintained it carried no logs - almost.Es geht hier um einen Cyber-Stalker, also niemanden, mit dem man jetzt groß Mitleid haben müsste. Aber wenn die für den Logfiles haben, dann ja vermutlich auch für alle anderen.
Das Video demonstriert Apple-Qualitätsstandards. Also ich weiß ja nicht, wie es euch geht, aber mich überzeugt das auf Anhieb!1!!
Wenn ihr jetzt "nein" antworten wolltet, dann irrt ihr wahrscheinlich. Das ist in einer Menge Plasterouter verbaut. Drei davon sind Remote Code Execution.
Update: Und in WLAN-APs, UMTS-Sticks und Android.
OK, aber was ich eigentlich erzählen wollte: Kennt ihr das, wenn ihr euch wo aufhaltet und mit der Umgebung interagiert, und plötzlich habt ihr einen Perspektivwechsel? Ihr fühlt euch plötzlich an was erinnert? Das ist ja manchmal mehr wert als analytisches Grübeln, so ein Flash. Ich hatte zwei davon auf den ISD. Die wollte ich euch mal erzählen.
Der erste war, als ich in einem Vortrag über IEC62443 saß, und da vor mir die Folien mit den Details vorbei scrollten. Paragraph 15 Absatz 2 von Substandard 62443-5-23 heißt, dass beim Login ein eindeutige Identifizierung möglich sei. Ich will mich da nicht drüber lustig machen, aber ich hatte plötzlich das Gefühl, ich sitze bei einem D&D-Abend in einer Rollendebatte. Wer das nicht kennt: D&D ist ein Rollenspiel, da sitzen lauter Nerds um einen Tisch und nehmen gemeinsam an einer komplett herbeihalluzinierten Geschichte teil. Einer ist der Spielleiter, der hat eine Story und eine Karte vorbereitet und weiß grob, was passieren soll. Die anderen spielen Figuren in der Story. Das läuft dann so ab: Spieler 1: Ich will Paladin sein. Spieler 2: Du hast aber nur Weisheit 5! Spieler 1: Paladin braucht Charisma, nicht Weisheit!
Je nach Dialekt, den man spielt, gibt es dann endlose Regelbücher mit endlosen Tabellen für irgendwelche halluzinierten Eventualitäten. Sagen wir mal: Die Heldengruppe geht eine Treppe hinunter, und der Spielleiter sagt, dass die glitschig ist. Dann gibt es Regeln dafür, wie man (mit würfeln) entscheidet, ob die jetzt ausrutschen oder nicht. Dann kann Spieler A sagen: Gonzo hält sich an Bert fest! Und dann kann der Spielleiter sagen: Gonzo muss eine Gewandtheitsprobe machen, und Bert muss eine Probe +2 bestehen. Je nach Charakter von Spielern und Spielleiter kann man da schon mal einen Abend damit verbringen, eine Treppe hinunterzufallen. Es geht in dem Spiel darum, gemeinsam Spaß zu haben. Daher auch die Würfel. Die sollen verhindern, dass die Spieler sagen: Gonzo geht in die Höhle und haut alle Monster platt. Und dann ist das Abenteuer zuende. Die ganzen Regeln sind also eher Props für Improvisieren, an denen man sich entlang hangeln kann. Wenn man das mit guten Freunden spielt, kann das ein Mordsspaß sein.
Ich sitze also in diesem Talk über IEC 62443 und haben diesen mächtigen Flash, dass das wie D&D-Regeln ist. Das haben sich irgendwelche Leute aus dem Arsch gezogen, und es geht gar nicht um die Regeln sondern um was ganz anderes.
Und wie das so ist mit Eingebungen können die voll im Schwarzen landen, oder voll daneben. Oder irgendwo in der Mitte. Die These, dass es bei solchen Zertifikaten überhaupt nicht um die Regeln oder ihre Einhaltung geht (die schönsten D&D-Runden waren die, in denen wir die Regeln "kreativ ausgelegt" oder ganz ignoriert haben), sondern das soll den Mitspielern nur helfen, das eigentliche Ziel zu erreichen. Jetzt müsste man nur noch herausfinden, was das eigentliche Ziel ist. :-)
Wie wäre es mit: Soll mal über den Scheiß reflektiert haben? Und weil sich Leute Zeit nicht nehmen, außer man zwingt sie, zwingen wir sie jetzt halt mit endlosen Bullshit-Regularien dazu, sich mit dem Scheiß auseinanderzusetzen. Oder so.
Der zweite Flash war, als eine der AV-Buden da endlos herumschwadronierte, was sie alles über fiese Malware-Stränge und ihre Macher und Hintermänner herausrecherchiert haben.
Ich muss an der Stelle dazu sagen, dass mir das SOWAS VON EGAL ist, wer eine Lücke gegen mich ausnutzt. Ob der dafür 300 oder 40000 Dollar gezahlt hat. Ob der C&C-Kanal über IRC oder XMLRPC über Tor geht. Ist mir sowas von Latte, das glaubt ihr gar nicht. Mich interessiert, welche Lücke das ist. Wieso die da ist. Wieso die noch keiner gefunden und gefixt hat.
Ich sitze also in dem Talk über Malwareautoren-Recherchen (und ich benutze das Wort Recherche jetzt mal in einem sehr entspannten Wortsinn, weil das im Allgemeinen Kaffeesatzleserei ist), und habe plötzlich den Flash: Das ist Reality TV! Das ist wie die Kardashians hier! Leute erzählen mir irgendwelche "Fakten" über irgendwelche Promis, die ich nicht kenne, als ob das etwas ist, was mich interessieren sollte. Und ich kann mich des Eindrucks nicht erwehren, dass hier meine Zeit verplempert wird. Aber es übt auf einem sehr instinktiven Level eine gewisse Faszination aus, und Leute stehen drauf.
Das werde ich ab jetzt immer im Hinterkopf haben, wenn jemand über ISO 9000 und ähnliche Knebelregelwerke spricht. D&D. Hey, da könnte man mal eine humoristische Gegenüberstellung machen, die verschiedene dieser Standards und Zertifizierungs-Placebos mit Regelwerken aus der Rollenspielwelt vergleicht. Common Criteria EAL7 wäre dann sowas wie Rolemaster. Und wenn ich den Vortrag richtig verstanden habe, wäre IEC62443 dann Das Schwarze Auge. :-)
It allows an attacker of the machine to run unsigned code in PCH on any motherboard via Skylake+. The main system can remain functional, so the user may not even suspect that his or her computer now has malware resistant to reinstalling of the OS and updating BIOS.Und sie sagen, dass auf der IME ein angepasstes MINIX läuft. Das finde ich ja nun echt ultra-gruselig. Die haben meiner Erfahrung nach Security noch nicht wirklich auf dem Radar.
Das kann wohl sein, dass der den Inhalt eures Terminals per DNS ins Internet rausgeleakt hat. (Danke, Sven)
Die Liste der Probleme ist einmal alles:
Bei den Lücken handelt es sich unter anderem um Hintertürzugänge mit fest eingestellten Passwörtern, zu laxen Datei-Rechten, auf dem Gerät unsicher gespeicherten Passwörtern und einem DHCP-Client, über den Angreifer eigene Befehle mit Admin-Rechten ausführen können. Außerdem überprüfen die Geräte Firmware-Updates nicht oder nur ungenügendJa super! Von so einer Qualitätsfirma will man doch Qualitätsprodukte kaufen!1!!
Der BND hat ein System zur Überwachung des Tor-Netzwerks entwickelt und Bundesbehörden gewarnt, dass dessen Anonymisierung „unwirksam“ ist. Das geht aus einer Reihe geheimer Dokumente hervor, die wir veröffentlichen. Der Geheimdienst gab einen Prototyp dieser Technik an die NSA, in Erwartung einer Gegenleistung.Es sieht so aus, als sei der Ansatz eine Traffic-Korrelation. Das ist schon von Anfang an bekannt, dass man damit Tor angreifen kann, und steht auch im Tor-Design-Dokument.
Money Quote:
The attack does not require the targeted device to be paired to the attacker’s device, or even to be set on discoverable mode.Wir reden hier von Remote Code Execution.
Der Typ, der mruby anbietet, hat gerade eine Bug-Lavine von biblischen Ausmaßen abgekriegt, nachdem eine Firma eine Bug Bounty für eine auf mruby basierende Webplattform gemacht hat. Die Firma dachte sich, sie legt man $20k zurück. Am Ende waren es eher so $500k, die sie auszahlen mussten.
Und der Maintainer sagt dazu was? Na klar!
Ruby is a complicated language which makes every Ruby implementation complex and likely to contain bugs. As a matter of fact I notice at least one of the bugs which was found in mruby to be also applicable to standard C Ruby (MRI). […] C sucks as a language to write stable code in a simple manner.Ist halt schwierig! Und im Übrigen ist C Schuld! Nicht etwa ich, nein mein Herr! Ich bin hier das Opfer!1!! (Danke, Daniel)
Weshalb ich schreibe: was mir vor dieser Bundestagswahl fehlt, ist ein Fazit der Großen Koalition, bzw. eine Zusammenfassung der Arbeit von CDU/CSU/SPD. Ich suche ab und zu im Internet danach, werde aber nicht fündig. Es irritiert mich zutiefst, dass es anscheinend keine solche Zusammenfassung gibt. Die Bürger scheinen viel vergessen zu haben, und die Medien machen anscheinend sich nicht die Mühe, daran zu erinnern. Dabei wäre das jetzt sehr wichtig. Angeblich sind viele Wähler noch unentschlossen, und der Wahlkampf strotzt bisher nicht gerade vor Inhalten (bzw. wenn Inhalte auftreten, dann sind es oft vage Versprechungen, die der bisherige Arbeit der Parteien entgegenstehen). Was mich vor allem nervt, ist so ein Schrott wie das Kanzlerduell, wo nicht wenige Fragen auch noch so gestellt waren, als kämen sie von der AfD: man sollte die Partei wählen, die einen inhaltlich am besten vertritt, da interessiert es mich herzlich wenig, wie gut oder schlecht der Kanzler "performt"…Zur Autobahnprivatisierung würde ich ja noch das hier anmerken wollen.Zur Sache: Ich habe keinen Blog / keine Webseite. Könntest du (mit anderen zusammen) eine Zusammenstellung der GroKo-Arbeit sammeln und bereitstellen? Ich liste mal alleine die Sachen auf, die mir aus dem Stegreif einfallen:
- Panamapapers. Deutschland ist (oder war) Steueroase Nummer 8 weltweit. Soweit ich das weiß, ist nichts passiert. Wohl auch dank Schäuble
- Dieselskandel. Politiker (schon vor der GroKo) wussten Bescheid und tragen daher eine Mitschuld. Dobrindt verhindert Sammelklagen in Deutschland. Die Gesundheit der Bürger wird nicht vor Abgasen geschützt, sondern die Autoindustrie vor Verlusten. Nachträgliche Legitimation durch Anhebung der Grenzwerte. Keine Strafverfolgung bei Übertretung der Grenzwerte
- NSU-Morde. Keine Aufklärung. Vertuschungen. Verstrickungen bleiben bestehen
- NSA-Skandal. Kein Schutz der Bürger. Abhören wird nachträglich legitimiert. Befugnisse des BND erweitert
- Überwachung. Bürgerrechte eingeschränkt. Überwachung massiv ausgeweitet
- Polizei. Sinnlose Verschärfung des Strafrechts statt personeller Aufstockung oder Investition in Förderung von Deeskalationsstrategien
- Maut. Absolutes Schwachsinnsprojekt. Kostet nur Geld. Kein Kommentar
- Autobahnprivatisierung. Durch die Hintertür (Grundgesetzänderung). Scheingesetz gegen Autobahnprivatisierung, das jede Regierung ohne 2/3-Mehrheit wieder ändern kann
- Datenschutz. De Maizière höhlt in der EU den Datenschutz aus, um dadurch den deutschen Datenschutz zu senken und die CDU als unschuldig darstellen zu können ("Brüssel zwängt uns das auf")
- Waffenlieferungen. Mehr Waffenlieferungen. Vor allem auch an nicht-demokratische Staaten, die Krieg führen (wie Saudi-Arabien)
- Antikorruptionsgesetze blockiert. Lobbykontrolle verhindert
- Bankenregulierung? Findet nicht statt
- Energiewende. 7 Mrd. den Energiekonzernen geschenkt (rechtswidrige Brennelementesteuer. Eigentlich vorsätzlicher Betrug)
- Jede Menge Großprojekte vergeigt (eigentlich in den Ländern)
- Bundeswehr. Jede Menge Bundeswehreinkäufe total überteuert. Bundeswehr lässt sich regelmäßig über den Tisch ziehen
- Sozialer Wohnungsbau?
- Sozialgesetze? Irgendwelche Verbesserungen? Ich kann mich nur noch daran erinnern, dass alleinerziehenden Müttern der Beitrag für die Zeit gestrichen werden sollte, in der die Kinder beim Vater sind
- Keine Verbraucherschutzverbesserungen. Im Zweifel immer auf Seiten der Industrie
- Schere Arm/Reich. Keine Gegenumverteilung. Im Gegenteil (Erbschaftssteuerreform)
- Rente. Immer noch keine Rentenreform (z.B. alle zahlen in eine Kasse). Deutsches Rentenniveau weit unter dem anderer Länder
- Berichte geschönt (immer wieder)
- Flüchtlingspolitik. Deals mit Diktatoren um Flüchtlinge bereits im Ausland umzubringen (kann man anders nicht sagen). Debatte über Obergrenze widerspricht Grundgesetzt. Immer wieder bescheuerte Debatte über Leitkultur (Leitkultur widerspricht dem Grundgesetz). Hohe Ansprüche an Integrationswillen der Flüchtlinge, ohne entsprechende Angebote zu machen. Mit EU: Kündigung der Seenotrettung, stattdessen Alibiprogramm
- Freihandelsabkommen. Bevölkerung ausgeschlossen
- Umweltschutz. Halbwegs konkretes Programm von Barbara Hendricks bis zur Unkenntlichkeit zusammengestrichen
Allgemein: Mehrhreit im Bundestag nur für Schrott benutzt (was hätte man mit dieser Mehrheit alles machen können?…)
Ich habe bestimmt noch jede Menge vergessen. Auch großartig waren die Gesetze, die ein Politiker verteidigen/durchbringen musste, der vor der GroKo vehement dagegen war (denke da an Heiko M.).
Update: Ein anderer Einsender fügt hinzu: Unterwanderung des Gesundheitsamts durch die Parma- und Apotheker-Lobbyisten und Besetzung des Verteidigungsministeriums durch Lobbyisten der Rüstungskonzerne.
Update: Oh ja, dann waren da noch die ganzen Cum-Ex-Geschäfte.
Update:
zum Fazit Gro-Ko gehören mM nach die hohe Inflation von 2% und der Negativzins mit den daraus folgenden steigenden Lebenshaltungskosten und schmelzender Altersvorsorge.
Sanktionen gegen Russland, bzw. allgemein massive Verschlechterungen der Beziehungen zu diesem wichtigen Nachbarn, bis hin zur Kriegsgefahr, zusätzlich daraus folgende verstärkte Abhängigkeit von den USA und deren Energierohstoffen
habe vorgestern einen Kunden-Newsletter von Vodafone Kabel bekommen - "beantworten Sie eine Frage und gewinnen Sie eine Playstation 4"! Na klar. Aber das schöne daran waren die Checkboxen die man abnicken soll. Eine enthält einen wirklichen Knaller:In der Tat, das setzt Maßstäbe.Vodafone möchte *alle* Nutzungs- und Verkehrsdaten (!) des Anschlusses für 6 Monate speichern und zu Werbezwecken nutzen dürfen.
Das ist doch wirklich eine riesige Frechheit.
Update: Ein Leser hat den Link gefunden. Sie wollen "nur" alle Metadaten. Allerdings macht es das nicht viel besser.
Irgendeinen Grund muss es doch geben, egal auf welcher Seite der Barrikaden man jetzt persönlich steht, dass die Projekte anscheinend alle von fiesen weißen Misogynisten und Schwulenhassern geleitet werden.
Meine Projekte sind bisher zu klein, als dass ich da eine Welle aus Troglodyten hätte, gegen die ich Schutzwälle aufbauen müsste, aber zu meinen Usenet-Zeiten erinnere ich mich noch gut an die Wagenburg-Mentalität, die sich von ganz alleine aufbaute, weil gefühlt immer und immer wieder immer neue Idioten reinkamen und ganz selbstverständlich die selbe Scheiße von sich gaben, die vorher schon hundert und tausend Mal widerlegt wurde. Kommt natürlich auf die Gruppe an. Ich rede jetzt von technischen Gruppen.
Auf Mailinglisten war das ähnlich. Ich erinnere mich da an bugtraq und linux-kernel, die ich mal eine Weile abonniert hatte. Das war nicht auszuhalten. Die eine Hälfte der Regulars haben dann halt die Idioten alle ins Killfile getan, aber das hilft nur gegen Idioten, die länger da bleiben, nicht gegen eine Flut von unfähigen Newbies und "bringt mir mal kurz Hacken bei"-Klappspaten. Aus dieser Erfahrung kann ich mir gut vorstellen, dass sich bei größeren Projekten entweder ein Gleichgewicht einstellt, weil die Umgebung eben so lange unfreundlicher und abstoßender wird, bis das Flutproblem weg geht. Oder das Projekt stirbt halt. Oder vielleicht stirbt auch nur die Mailingliste und der einsame Wolf popelt noch insgeheim an seinem Projekt weiter. Oder der einsame Wolf hat unendlich Kraft und Geduld und reibt sich sein Leben lang an seiner Umwelt auf. Ein Schicksal, dass man seinem übelsten Feind nicht wünschen würde.
Für mich als steinalter Regular fühlt sich jedenfalls diese neue Welle aus Inklusivitäts-Schneeflocken genau wie die alte Welle der AOL-Idioten an. Gut, die fordern inhaltlich was anderes, aber praktisch ist da kein Unterschied. Die halten sich 100% im Recht, die Frage stellt sich überhaupt nicht für die, ob sie sich möglicherweise gerade wie Arschlöcher verhalten. Sie kommen rein, stellen Forderungen, und wenn die nicht sofort beantwortet werden — für freie Software, wohlgemerkt, an der niemand was verdient! —, dann kommen sie mit Geld-Zurück-Mentalität und drohen damit, schlechte Bewertungen zu hinterlassen. DIE Art von Person. So "ihr habt euch jetzt gefälligst alle nach mir zu richten"-Leute, die in ihrem Leben noch keine Leistung erbracht haben, außer andere zu drangsalieren. So fühlte sich das damals bei AOL an. Und ich kann da gerade aus der Ferne keinen großen Unterschied erkennen, muss ich sagen. Wenn ihr Schneeflocken euch so sicher seid, dass ihr besser wisst, wie man das macht, dann macht doch mal ein eigenes Projekt. Nein, nicht jemand anderes Arbeit forken. Kommt erst mal dahin, dass ihr Code habt, den jemand forken könnte. Ich kenne kein einziges erwähnenswertes Projekt von solchen Leuten. Nicht eines. Ich kenne die immer nur als marodierende Barbaren, die in anderer Leute Projekten einfallen und alles kaputtmachen und am Ende noch den Code annektieren und abforken wollen, der aus freien Stücken und nobler Grundhaltung der Welt kostenlos zur Verfügung gestellt wurde. Ich habe jetzt eine Weile versucht, Mitgefühl zu entwickeln. Es will mir nicht gelingen.
Dabei ist es so einfach, sich in einem Projekt Respekt zu erarbeiten. Leiste einfach was. Erwarte nichts als Gegenleistung. Problem: Jede Minute über dich oder deine Leistungen reden macht 10 Minuten tatsächliche Leistung kaputt.
Das sind die Regeln.
Niemand schuldet euch die freie Software, und niemand schuldet euch Support für die freie Software, und euch mitmachen zu lassen schuldet euch auch niemand. Wer herkommt und Forderungen stellt, der hat sich sofort 100 Minuspunkte erarbeitet. Daraufhin kriegt der erst Recht keine Hilfe mehr und wird im Gefühl bestärkt, in einer feindlichen Umgebung zu sein.
Ist alles so einfach, und so berechenbar. Niemand verhält sich hier irrational. Idioten wird es immer geben. Sei einfach keiner von ihnen. Ganz einfach!
Der Rant hier kommt daher, dass ich die Tage einen Bug in umatrix filen wollte. Der Autor hat das Bugtracking-System zugemacht. Oben stand klar und deutlich drüber: Keine Bugs für Seiten melden, die man sich kaputtkonfiguriert hat. Und die Leute haben das gesehen und trotzdem lauter solche Bugs aufgemacht. Also hat der Autor das Bugtracking-System zugemacht und jetzt ist es für alle Scheiße. Und ich bin mir fast sicher, dass keiner von denen sich im Unrecht wähnt, oder auch nur verstanden hat, dass er das gerade für alle kaputt gemacht hat. Die legen sich selbst gegenüber das bestimmt genau so zurecht, wie die SJWs sich die Welt zurechtlegen.
Völlig unvermittelt und ohne Provokation hat der fiese weiße Projektmaintainer seine Privilegien über den Github-Account genutzt, um mich zu unterdrücken, indem er meine Bugs nicht mehr annimmt! Da sieht man mal wieder, dass das nichts wird mit alten weißen Männer, die ihre Privilegien nicht gecheckt haben!1!!
Update: Kris hat einen "Gegenrant" dazu gemacht. Über den hab ich mich inhaltlich so geärgert, dass ich ihm eine lange böse Mail geschickt habe :-)
Es geht direkt mit einem Strohmann los, "programmers are able to do anything just because they are able to do one thing". Ich hatte tatsächlich das genaue Gegenteil davon behauptet. Dann fand ich seine Übersetzung an einer Stelle doof, aber Schwamm drüber. Auffällig fand ich, dass die Situation, die er beschreibt, genau die ist, die ich auch beschrieben habe. Nur dass er sie sich schönredet. Ich habe auch auf Mailinglisten und in Newsgroups rumgehangen und sogar die FAQ erstellt und geupdated. Ich habe wie Kris pro Tag 60 Minuten oder so damit verbracht, die Postings durchzugehen und jeweils den Link auf den FAQ-Eintrag zu mailen. Natürlich haben wir den Leuten auch erklärt, dass hier alle unentgeltlich arbeiten, und dass das ein Community-Projekt ist, und sie herzlich zum Mitmachen eingeladen sind, und zwar nicht nur Patches sondern auch Dokumentation und Community Management. Jeder nach seiner Fasson.
Aber aus meiner Perspektive ist das ein Todesmarsch durch die Wüste der Verdammnis. Eine Stunde pro Tag, die dir niemand zurück gibt. Klar hatte ich damals auch ein paar "Jünger", die das gut fanden und mitgeholfen haben. Aber im Wesentlichen habe ich da wie Sisyphos einen großen Stein einen Berg hochgerollt, und kam nicht voran.
Kris schildet genau das selbe, aber fokussiert sich auf die positiven Aspekte. Aus meiner Sicht ist das eine enorme Leistung, sich so zu bullshitten, dass man dieses nie endende Jammertal jahrelang erdulden kann, und am Ende noch der Meinung ist, man habe etwas zum Besseren gewandelt. Ich bin Kris übrigens ewig dankbar für seine Arbeit in de.comp.lang.php, denn die ganzen PHP-"Entwickler", die er da nicht rausgeekelt hat, sondern mit seiner Inklusivität ins Boot geholt hat, die haben die Altlasten hinterlassen, mit deren Aufräumen ich heute mein Brot verdiene :-)
Aber mit meiner ursprünglichen Fragestellung hat sein PHP-Community-Zeug nichts zu tun, denn er hat da eine User Community gepflegt. Bei vim (dem Editor) haben wir relativ früh die Mailingliste gespalten, in "für Developer" und "für User". Das hat gut funktioniert, weil die User-Fragen nicht mehr die Developer vom Arbeiten abgehalten haben. Aber ob da jetzt ein Kris bei der User-Mailingliste mithilft oder nicht, das spielt für meine Fragestellung keine Rolle, weil meine Frage ist, was man von den Autoren einer freien Software erwarten kann.
Ich bleibe bei meiner Linie, dass man von Fragestellern ein Mindestmaß an Respekt erwarten kann. Und dazu gehört: Filed keine Bugs, die schon jemand anderes gefiled hat. Stellt keine Fragen, die in der FAQ beantwortet werden, oder die im Archiv der letzten Woche schon mal beantwortet wurden. Nervt nicht rum, wenn euch niemand hilft, sondern versteht, dass das alles Freiwillige sind und bietet daher lieber von euch aus Hilfe an, als von anderen Hilfe einzufordern.
Sonos has confirmed that existing customers will not be given an option to opt out of its new privacy policy, leaving customers with sound systems that may eventually "cease to function".Ja bei denen will man doch seine Lautsprecher kaufen!1!!
Unter bestimmten Umständen können sich Angreifer an den Servern ohne Eingabe eines Passwortes anmelden, warnen die Entwickler.o_O
YOU HAD ONE JOB!
Nehmt Virtualisierung, sagten sie! Für die Sicherheit!
Xen ist das neue Flash, wenn ihr mich fragt.
A malicious third-party can give a crafted "ssh://…" URL to an unsuspecting victim, and an attempt to visit the URL can result in any program that exists on the victim's machine being executed. Such a URL could be placed in the .gitmodules file of a malicious project, and an unsuspecting victim could be tricked into running "git clone --recurse-submodules" to trigger the vulnerability.Und ähnliche Probleme hatten dann auch Subversion und Mercurial, als sie mal dort nachguckten.Herzlichen Dank an der Stelle an die Kollegen von Recurity Labs, die das gefunden haben. Das ist mal echt ein Kahlschlag durch die Versionsverwaltungssoftwareszene.
a group of researchers from the University of Washington has shown for the first time that it’s possible to encode malicious software into physical strands of DNA, so that when a gene sequencer analyzes it the resulting data becomes a program that corrupts gene-sequencing software and takes control of the underlying computer.Und früher lachten wir noch, wenn Leute Computerviren und biologische Viren verwechselt haben.
Allerdings gibt es halt beim Selberbauen immer mal wieder Stress.
Eine Weile gab es Konflikte, weil Firefox auf einer über 10 Jahre alten Version von GNU autoconf bestand, die ich nicht hatte.
Dann gab es Ärger, weil Firefox H.264-Playback (Youtube und co) nur abspielen wollte, wenn man gstreamer installierte — aber es bestand auf einer 10 Jahre alten Gammelversion, die schon längst nicht mehr gewartet wurde.
Inzwischen hat Firefox auf ffmpeg umgestellt, und das tat auch eine Weile ganz gut, aber vor ein paar Tagen stellte es die Arbeit ein. Ich bin dann auf die Vorversion und zurück und habe mir das für das Wochenende vorgenommen. Jetzt ist Wochenende, und ich habe erstmal die neue glibc 2.26 installiert (die endlich reallocarray von OpenBSD übernommen hat, und einen per-Thread malloc-Cache hat, was die Performance massiv verbessern sollte in Programmen mit mehreren Threads).
Das brach mir dann erstmal alles.
Die Shell konnte plötzlich nicht mehr meinen Usernamen herausfinden, screen wurde konkreter und sagte, getpwuid könne meinen User nicht auflösen. Sowas gibt es bei glibc häufiger, weil die gerne mal Dinge als "deprecated" markieren, für die es keinen Ersatz gibt. Zum Beispiel pt_chown vor einer Weile. Das war halt unsicher, also haben sie es weggemacht. pt_chown ist das Vehikel, über das die einschlägigen libc-Routinen (grantpt) ein PTY allozieren, und es liegt in /usr/libexec, wenn es denn überhaupt liegt. Und plötzlich kam mein X nicht mehr hoch, weil mein X solange läuft, wie mein Terminal in X läuft, und das konnte kein PTY mehr allozieren.
Später hat glibc dann Sun RPC rausgeschmissen, und dann ließ sich mount(8) nicht mehr bauen. Ja super. Und jetzt haben sie nsl für obsolet erklärt und in nss ausgemistet (NIS rausgekantet und so). Gut, NIS verwende ich nicht. Als das nicht ging, habe ich halt neu gebaut, diesmal mit --enable-obsolete-nsl, aber das brauchte auch nichts. Stellt sich raus: in meine /etc/nsswitch.conf stand drin:
passwd: compatUnd das sorgte dafür, dass die glibc libnss_compat.so oder so zu laden versuchte, und das gibt es nicht mehr. Die glückbringende Änderung war dann:
shadow: compat
group: compat
passwd: filesSeufz. Bei solchen Gelegenheiten bin ich ja immer froh, dass mein getty und mein login gegen dietlibc gelinkt sind, und für Notfälle noch eine diet-shell rumliegt. So komm ich auch nach solchen glibc-Sabotageakten immer noch irgendwie ans System ran und kann Dinge fixen.
shadow: files
group: files
Aber eigentlich wollte ich ja von Firefox erzählen. Nach dem glibc-Update baut auch Firefox nicht mehr, weil glibc in sys/ucontext.h eine struct von struct ucontext zu struct ucontext_t umbenannt hat. Ich bin mir sicher, dass es da Gründe für gab, aber meine Phantasie reicht nicht, um mir welche auszudenken. Was für ein Scheiß ist DAS denn bitte?! Firefox hat einen Crash Reporter, und der will halt in diesen Strukturen herumfuhrwerken, weil man das tun muss, wenn man sehen will, in welchem Zustand das Programm beim Crashen war.
Gut, nur ein Dutzend Dateien musste ich anfassen, dann baute Firefox wieder. Aber H.264 war immer noch kaputt.
Und die Story ist richtig interessant, daher will ich sie hier mal bloggen. Wenn man so ein Problem hat, dann ist unter Linux eine der ersten und besten Debugmöglichkeiten, dass man strace benutzt. Programme unter Linux laufen im User Space, und die interagieren mit dem Kernel über Syscalls. strace fängt die Syscalls ab und gibt ihre Argumente und Ergebnisse aus. Hier ist ein Beispiel:
$ strace /opt/diet/bin/cat true.cHier sieht man ganz gut, was cat tut. execve gehört noch nicht zu dem cat selber, das ist der Aufruf von dem cat. arch_prctl ist ein Implementationsdetail, das man auf x86_64 macht, um thread local storage einzurichten (die libc weiß an der Stelle nicht, dass cat das nicht benutzt). strace auf Firefox ist natürlich viel umfangreicher, aber mit ein bisschen Geduld kann man da trotzdem sehen, was passiert, bzw. was nicht passiert. Und zwar sah ich das hier:
execve("/opt/diet/bin/cat", ["/opt/diet/bin/cat", "true.c"], [/* 60 vars */]) = 0
arch_prctl(ARCH_SET_FS, 0x7fff5e690f70) = 0
open("true.c", O_RDONLY) = 3
read(3, "int main() {\n return 0;\n}\n", 65536) = 27
write(1, "int main() {\n return 0;\n}\n", 27int main() {
return 0;
}
) = 27
read(3, "", 65536) = 0
close(3) = 0
exit(0) = ?
+++ exited with 0 +++
7194 openat(AT_FDCWD, "/usr/lib64/libavcodec-ffmpeg.so.57", O_RDONLY|O_CLOEXEC) = 257
7194 --- SIGSYS {si_signo=SIGSYS, si_code=SYS_SECCOMP, si_errno=EEXIST, si_call_addr=0x7fc218252840, si_syscall=__NR_openat, si_arch=AUDIT_ARCH_X86_64} ---
7194 socketpair(AF_UNIX, SOCK_SEQPACKET, 0, [39, 40]) = 0
7194 sendmsg(36, {msg_name=NULL, msg_namelen=0, msg_iov=[{iov_base="\0\0\0\0\0\0\10\0\0\0\0\0\0\0\0\0", iov_len=16}, {iov_base="/usr/lib64/libavcodec-ffmpeg.so."…, iov_len=35}, {iov_base=NULL, iov_len=0}], msg_iovlen=3, msg_control=[{cmsg_len=20, cmsg_level=SOL_SOCKET, cmsg_type=SCM_RIGHTS, cmsg_data=[40]}], msg_controllen=24, msg_flags=0}, MSG_NOSIGNAL <unfinished …>
7196 <… recvmsg resumed> {msg_name=NULL, msg_namelen=0, msg_iov=[{iov_base="\0\0\0\0\0\0\10\0\0\0\0\0\0\0\0\0", iov_len=16}, {iov_base="/usr/lib64/libavcodec-ffmpeg.so."…, iov_len=8194}], msg_iovlen=2, msg_control=[{cmsg_len=20, cmsg_level=SOL_SOCKET,cmsg_type=SCM_RIGHTS, cmsg_data=[66]}], msg_controllen=24, msg_flags=MSG_CMSG_CLOEXEC}, MSG_CMSG_CLOEXEC) = 51
7194 <… sendmsg resumed> ) = 51
7196 openat(AT_FDCWD, "/usr/lib64/libavcodec-ffmpeg.so.57", O_RDONLY|O_NOCTTY|O_CLOEXEC <unfinished …>
7194 close(40 <unfinished …>
7196 <… openat resumed> ) = 95
7194 <… close resumed> ) = 0
7196 sendmsg(66, {msg_name=NULL, msg_namelen=0, msg_iov=[{iov_base="\0\0\0\0", iov_len=4}], msg_iovlen=1, msg_control=[{cmsg_len=20, cmsg_level=SOL_SOCKET, cmsg_type=SCM_RIGHTS, cmsg_data=[95]}], msg_controllen=24, msg_flags=0}, MSG_NOSIGNAL <unfinished …>
7194 recvmsg(39, <unfinished …>
7196 <… sendmsg resumed> ) = 4
7194 <… recvmsg resumed> {msg_name=NULL, msg_namelen=0, msg_iov=[{iov_base="\0\0\0\0", iov_len=4}], msg_iovlen=1, msg_control=[{cmsg_len=20, cmsg_level=SOL_SOCKET, cmsg_type=SCM_RIGHTS, cmsg_data=[40]}], msg_controllen=24, msg_flags=MSG_CMSG_CLOEXEC}, MSG_CMSG_CLOEXEC) = 4
Die Ausgabe ist ein bisschen verwirrend mit dem unfinished und resumed; das kommt daher, dass Firefox mehr als einen Prozess/Thread aufmacht, und die miteinander reden, und ich alle von denen auf einmal beobachte. Aber mal grob: Prozess A ruft openat(AT_FDCWD,…) auf, das ist äquivalent zu open(…). Kriegt als Ergebnis 257 und direkt ein Signal SIGSYS mit si_code SYS_SECCOMP.Das ist ziemlich coole Scheiße, weil das genau das ist, was ich auf dem 32c3 in meinem Vortrag "Check your privileges" als Broker-Architektur vorgestellt hatte. Die haben das aber nicht über Überladen von openat gemacht, sondern die haben das so gemacht, dass SECCOMP nicht den Prozess abbricht sondern dieses Signal schickt. Das Signal fangen sie dann ab, und der Handler von dem Signal kann dann nachvollziehen, was der Code zu tun versucht hatte, in diesem Fall openat, und das anders lösen — nämlich über sendmsg an den Broker, wie wir in dem strace schön sehen können. Der Broker macht recvmsg, kriegt die Anfrage (und wir sehen in den Daten von dem sendmsg auch schön den Dateinamen), und öffnet die dann. Die Zahl am Anfang ist übrigens die PID bzw. Thread-ID.
Der Broker macht dann selber nochmal openat, hat keinen SECCOMP-Filter installiert, das openat läuft durch, und dann schickt der Broker mit dem zweiten sendmsg oben den Deskriptor 95 zurück an den anfragenden Prozess in der Sandbox. Der kriegt das dann in dem recvmsg als Deskriptor 40 reingereicht (Deskriptoren sind immer relativ zum Prozess, daher findet hier im Kernel eine Übersetzung statt). Das ist mal echt coole Scheiße, und ich bin einigermaßen schockiert, dass Firefox so Bleeding-Edge-Kram überhaupt implementiert hat. Sehr cool!
Warum ich das hier alles erwähne: weil das bei mir auf die Nase fiel, denn zum Abspielen von H.264 lädt Firefox libavcodec von ffmpeg, und ffmpeg ist gegen einen Haufen Codecs und Libraries gelinkt, und die liegen bei mir eben nicht alle in /usr/lib64, sondern beispielsweise liegt libva in /usr/X11R7/lib64 (libva macht hardware-assistierte Dekodierung und Anzeige von u.a. H.264-Videos). Und es stellt sich raus, dass Firefox in dem Broker eine Liste von erlaubten Verzeichnissen hat, aus denen Dateien geöffnet werden können, und die wird nicht aus /etc/ld.so.conf oder so generiert, sondern die ist hardkodiert im Quellcode. Falls jemand mal selbst gucken will: Das ist in security/sandbox/linux/broker/SandboxBrokerPolicyFactory.cpp (nach policy->AddDir gucken).
Nachdem ich da meine Pfade eingetragen habe, kann der Firefox ffmpeg laden — aber das Video immer noch nicht spielen. Das sei jetzt korrupt, sagt er. Ist es natürlich nicht. Mist. Na mal schauen. Fortschritt ist immer nur ein Schritt zur Zeit.
Update: Ein Einsender zur glibc-Situation:
Das Update habe ich für unsere cross-gebauten Umgebungen diese Woche auch gemacht. Mal so ein paar Sachen, die aufgefallen sind:
- gcc 5.4 baut dann nicht mehr (ucontext_t, auch ein paar Stack-Sachen), betrifft auch neuere Versionen von gcc
- iproute2 4.11 baut auch nicht mehr (4.12 schon, also mir egal). IIRC haben sie irgendwo vergessen stdint.h für UINT16_MAX einzubinden, und das muss vorher zufällig über irgendeinen anderen Header mit reingekommen sein (also ganz klar nicht die Schuld von glibc)
- gdb 8.0 baut nicht mehr auf x64 (ARM geht), irgendwas mit putc(), das nur ein Argument bekommt oder so.
Ganz großes Kino.
In der Tat. o_O
On Ryzen there is some sort of interaction between code running at the top of user memory address space and interrupts that can cause FreeBSD to either hang or silently reset.Update: Und unter Linux hat Ryzen wohl unter Last zufällige Segfaults.
I stupidly fell for a phishing attack on my Google accountDie Witze über die Kompetenz von Web-Entwicklern könnt ihr euch ja selber dazudenken. (Danke, Patrick)
Akt 2: Die Amis stören sich an den ganzen Raubkopien, suchen nach Kompromat. Hey, haben wir für sowas nicht die NSA? Na klar! Die NSA spioniert Kimble aus. Den WENN hier etwas die nationale Sicherheit gefährdet, dann ja wohl der Betreiber einer Filesharing-Site!
Und jetzt kommt der echt überraschende Teil. Der, den so sicher keiner von euch kommen gesehen hat.
THE GCSB lost control of its surveillance technology and wasn't aware its systems continued spying on Kim Dotcom, according to new documents from the spy bureau.Die NSA benutzt für das Schnüffeln die Hardware des Geheimdienstes von Neuseeland. Immerhin ist Neuseeland Mitglied der Five Eyes. Neuseeland stellt die Überwachung dann 2012 ein, weil, äh, der Mann ist Bürger Neuseelands, kein Terrorist, und hat niemandem den heiligen Krieg erklärt.Akt 3: Aber die NSA spioniert einfach weiter. Und zwar weiterhin mit der Infrastruktur der Neuseeländer. Und die merken nichts davon.
Nun kann man natürlich sagen: Hey, so blöde kannst du doch gar nicht sein, das nicht zu merken, wenn die NSA Friendly Fire mit deiner Infrastruktur macht. Aber auf der anderen Seite hat man ja beim BND gesehen, dass die "befreundeten Dienste" alle technologisch völlig abhängig sind von der NSA, außer vielleicht GCHQ. Ich kann mir das gut vorstellen, dass die Neuseeländer ihr Equipment da als Dauerleihgabe oder so vom großen Bruder in den USA gekriegt hat, und dann, geschenkter Gaul und so, da lieber nicht so genau hingeschaut hat, ob der großzügig dimensionierte Wartungszugang für mehr als Wartung verwendet wird.
Diese Fake-News-Geschichte. Es stimmt ja wirklich. Wenn man mal ein bisschen guckt, findet man schnell Fälle wie diesen hier. Da ging es um einen angeblichen Mitarbeiter der Demokraten-Partei in den USA namens Seth Rich, der … naja, Wikipedia hat die Hintergründe. Der ist in Washington DC erschossen worden, wie das ja in den USA leider keine Seltenheit ist. Und weil man keine Krise ungenutzt verstreichen lassen soll, und der Trump gerade Stress mit diesem Russland-Kram hatte, und sich "DNC-Mitarbeiter war die Quelle für die DNC-Emails bei Wikileaks" geeignet hätte, um die Russland-Vorwürfe zu schwächen, hat ein Trump-Kumpel mit Fox News zusammen diese Story verbreitet. Das jedenfalls behauptet ein Gerichtsverfahren eines langjährigen bezahlten Fox-News-Mitarbeiters, der das beobachtet haben will. Und besonders unangenehm an der Sache ist folgender Aspekt:
On April 20, a month before the story ran, Butowsky and Wheeler — the investor and the investigator — met at the White House with then-press secretary Sean Spicer to brief him on what they were uncovering.The first page of the lawsuit quotes a voicemail and text from Butowsky boasting that President Trump himself had reviewed drafts of the Fox News story just before it went to air and was published.
Wir müssen also festhalten: Fake News existiert und Donald Trump ist qualifiziert, darüber zu reden. Weil er selbst Täter ist.
Die haben ernsthaft die about:addons-Seite extern gehostet, ohne den Usern das zu sagen, und dann ist da auch noch ein Google Analytics drauf. Und weil es nicht wie http: oder https: aussieht, verhindert PrivacyBadger das nicht.
Wie, sagt euch gar nichts?
Online Services Computer Interface (OSCI) ist eine Sammlung von Netzwerkprotokollen für die deutsche öffentliche Verwaltung, deren gemeinsames Merkmal die besondere Eignung für das E-Government ist:Da sieht man mal wieder, was passiert, wenn man Security dem Staat überlässt.
- OSCI-Transport für die sichere, vertrauliche und rechtsverbindliche Übertragung digitaler Daten über das Internet sowie
- eine Reihe verschiedener Protokolle (OSCI-XÖV-Standards) für den Austausch fachlicher Inhaltsdaten auf XML-Basis zwischen Kunden und Behörden bzw. Behörden untereinander.
Ich finde gerade auf die Schnelle keine Quelle für die Behauptung, Usernamen unter Unix dürften nicht mit Ziffern beginnen. Ich halte das für eine Schutzbehauptung. Möglicherweise weil die shadow-utils den Bug auch haben.
When I previously tried to
report bugs in exiv2 found via fuzzing the upstream author made it
clear to me that he has little interest in fixing those issues and
doesn't consider his software suitable to parse defect files (which
basically means it's unsuitable for untrusted input).Weil Das Bugtracking-System so schnarchlahm ist, hier ein paar Money Quotes:Returning to Hanno's request that we say that Exiv2 is "not suitable for untrusted input". I will not do that. The default (for all open source software) is that the user must determine suitability for his/her purposes. We do not claim that Exiv2 is safe for all files. I doubt if we could ever make such a claim even if we pepper our code with checks for malicious images. I don't believe in 2016 that it is possible to guarantee the safety and reliability of any software.UndI know nothing about hacking and exploiting buffer overflows. Perhaps we need more caution about them. This is a mind-boggling issue. The code to defend our image read/write code could be larger than the current library.Wie schlimm ist es? So schlimm:Are you aware of the term "fuzzing"? I believe this is the art of creating illegal files to put software under stress. I am aware that libexiv2 can be exploited in this way, however I have never had time to work on this topic.
An out-of-bounds write was discovered in systemd-resolved when handling
specially crafted DNS responses. A remote attacker could potentially
exploit this to cause a denial of service (daemon crash) or execute
arbitrary code. (CVE-2017-9445)Ach komm, was ist schon ein bisschen remote code execution unter Freunden!War systemd-resolved nicht auch das Tool, das, wenn kein DNS konfiguriert ist, einfach den öffentlichen DNS-Server von Google nimmt? Datenschutz, Schmatenschutz! Weil "der User ist doof" schonfür Windows so toll funktioniert hat!
Daher weiter mit der Reihe „Deutsch lernen mit Fefe“.
Zeitgleich und gleichzeitig.
Zeitgleich heißt, dass jemand die gleiche Zeit hatte (in einem Rennen beispielsweise). Gleichzeitig heißt, dass zwei Dinge zum selben Zeitpunkt geschehen. Wenn zwei Läufer gleichzeitig loslaufen und ankommen, kamen sie auch zeitgleich ins Ziel. Sie wären auch zeitgleich im Ziel, wenn erst der eine und dann der andere laufen.
Kostenlos, umsonst und gratis.
Kostenlos heißt, dass mir keine Kosten entstehen. Ein Facebook-Account ist kostenlos. Jemand anderem können dabei natürlich doch Kosten entstehen, aber der holt sich sein Geld auf andere Art rein oder setzt es als Werbemaßnahme von der Steuer ab.
Gratis und kostenlos sind Synonyme.
Umsonst wird auch häufig in dem Wortsinn benutzt, heißt aber eigentlich "vergebens" oder "hat nichts gebracht". Eselsbrücke: "Meine Schulbildung war kostenlos, deine umsonst" :-)
"vor Ort" und "an Ort und Stelle".
Grob gesagt: "vor Ort" bedeutet "dort", "an Ort und Stelle" bedeutet "hier". Wenn mein DSL kaputt ist, und ich bei der Telekom ein Ticket aufmache, und der Techniker repariert das "vor Ort", dann kommt er zu mir und repariert es bei mir. Wenn der Techniker das "an Ort und Stelle" repariert, dann ist er bereits da, wo der Fehler ist, und repariert es, wo er gerade ist.
"Sensibel" und "sensitiv".
Der ist einfach. "Sensitiv" gibt es nicht. Das ist eine kaputte Übersetzung aus dem Englischen von einer inkompetenten Gammel-Werbeagentur. Das englische Wort "sensitive" heißt übersetzt "sensibel".
"Effektiv" und "Effizient".
"Effektiv heißt, dass es wirksam ist. "Effizient" heißt, dass es seine Wirkung mit verhältnismäßig geringem Aufwand entfaltet. Effektivität ist, was der Techniker haben will. Effizienz ist, was der Wirtschaftler haben will.
"Kausalität" und "Korrelation".
"Kausalität" heißt, dass eine Sache von etwas verursacht wurde. Aus A folgt B.
"Korrelation" heißt, dass A und B häufig zusammen beobachtet werden. Man kann jetzt die Hypothese aufstellen, dass das eine dann das andere bewirkt hat, aber das folgt nicht aus der Beobachtung. Dies ist ein häufiger Fehler, besonders in der Politik. Wir haben die Strafe erhöht, und die Straftaten sind zurückgegangen. Die können auch aus anderen Gründen zurückgegangen sein!
Update: "Dediziert", "dezimiert" und "dezidiert".
"Dediziert" heißt "gewidmet". Ein dedizierter Server ist einer, der nur mir zugeteilt wurde.
"Dezimiert" kommt von einer Bestrafungspraktik im alten Rom, wo jeder Zehnte hingerichtet wurde (decimus ist das lateinische Wort für zehn). Heißt heute "mengenmäßig verringern".
"Dezidiert" kommt vom lateinischen Wort "decidere" (auch verwandt mit engl. to decide) und heißt ursprünglich "abschneiden", im übertragenen Sinn "entscheiden". Dezidiert wird auf Personen angewendet, "er hatte ein dezidiertes Auftreten" heißt, dass er entschieden auftrat, nicht mit dem Ziel, sich umstimmen zu lassen.
Update: Der Duden sagt, sensitiv gibt es doch als Wort, und zwar nicht umgangs- sondern bildungssprachlich.
Update: Oh, noch ein echter Klassiker:
"Autorisiert" und "authentifiziert".
"Autorisiert" heißt, dass bestätigt wird, dass jemand diese Aktion durchführen darf. "Bevollmächtigt", könnte man sagen.
"Authentifiziert" heißt, dass bestätigt wird, dass jemand der ist, der er zu sein behauptet. Beispiel: Personalausweis vorzeigen. Username + Login.
"Authentisierung" ist das, was der User tut, der behauptet, Fred zu sein, um zu beweisen, dass er Fred ist.
Authentisierung ist, wenn ich meinen Personalausweis zeige. Authentifizierung ist, wenn der Grenzer meinen Perso prüft.
Update: "mutmaßlich" und "vermeintlich".
Nehmen wir mal an, die Polizei hat jemanden festgenommen, weil sie glauben, er habe eine Straftat begangen. Dann ist der Mann noch nicht Täter, weil er noch nicht verurteilt wurde. Die Polizei mutmaßt aber, er sei der Täter, daher schreibt die Zeitung korrekt, er sei der "mutmaßliche Täter". Gern fälschlich synonym verwendet wird "vermeintlich". Vermeintlich heißt, dass er eben nicht der Täter ist. Jemand dachte, er sei der Täter, aber er war es gar nicht.
Die Progression ist "unbescholtener Bürger" — (Polizei hat Anfangsverdacht) "Verdächtiger" — (Polizei leitet Ermittlungsverfahren ein) "Beschuldigter" — (Staatsanwaltschaft erhebt Anklage) "Angeklagter" — (Gericht fällt Urteil) "Täter".
"Garantie" und "Gewährleistung".
Gewährleistung ist die gesetzliche Mängelhaftung eines Händlers gegenüber den Kunden.
Garantie ist eine zusätzliche, freiwillige Zusicherung eines Herstellers gegenüber Kunden.
Update: Und dann gibt es natürlich noch die Progression "Zeuge", wenn die Polizei einen Anfangsverdacht gegen dich hat, aber es dir nicht sagen will.
Asymmetrisch ist, wenn links und rechts (oder oben und unten oder entlang einer beliebigen Spiegelachse) unterschiedliche Muster sind. Dem Einsender ging es um DSL, daher sollte ich vielleicht erstmal erklären, was DSL ist. DSL steht für Digital Subscriber Line, und meint die digitale Übertragung von Daten über eine gammelige alte schlecht isolierte abgeschirmte Kupferleitung (hier als "Subscriber Line" bezeichnet). Über die hat man früher Signale analog übertragen (grob: man legt links eine Kurve an und rechts kommt eine mehr oder weniger ähnliche Kurve raus). Das Problem mit analogen Signalen ist, dass die Übertragungsqualität von Signalen von Faktoren wie der Reinheit des Materials und der Kabellänge abhängt, und von der Isolierung, bei Lichtwellenleitern sogar von der Krümmung des Kabels. Daher die Idee, das Signal sehr regelmäßig zu machen (es gibt nur "hoch" und "tief", und auch wenn das Signal stark verzerrt wird, kann man die immer noch gut unterscheiden).
Das ergibt aber das nächste Problem, nämlich das der Taktung. Man muss sich auf eine gemeinsame Taktung einigen, sowas wie 300 Hertz. 300 Mal pro Sekunde guckt man, was gerade für ein Signal ankommt, und ob das gerade "hoch" oder "tief" ist. Dann hat man eine Übertragungsrate von 300 Baud, und das war eine übliche Übertragungsrate bei Akustikkopplern und frühen Modems. Mein erstes Modem konnte 2400 Baud.
Seit dem hat sich natürlich viel getan. Statt nur zwei Zuständen machte man mehr, man drehte den Takt hoch, und man benutzte Datenkompression und Prüfsummen. Wer sich fragt, wie man den Takt synchronisiert zwischen zwei Geräten: Da gibt es faszinierende Tricks.
Der Punkt war aber: DSL ist Digital. Nun hat man einen bestimmten Frequenzbereich auf so einem Kupfelkabel, bei dem man sich darauf verlassen kann, dass grob das gleiche ankommt, das abgeschickt wurde. Den kann man jetzt brüderlich aufteilen in "für Senden" und "für Empfangen". Das nennt sich dann SDSL (für symmetrisches DSL). Es stellt sich aber raus, dass typische Web-Klick-Endanwender viel mehr empfangen als sie senden. Alles, was die so senden, sind ein paar Bytes für HTTP-Anfragen und ein paar Bytes für TCP-Bestätigungen (das kann ich ja ein anderes Mal erklären). Wenn man das 50-50 aufteilt, dann verschwendet man den Großteil der Bandbreite. Also hat man sich bei DSL für Konsumenten überlegt, dass man einfach 90% der Bandbreite für Empfangen und 10% für Senden nimmt. Das ist nicht symmetrisch, daher heißt es asymmetrisch — ADSL.
Synchron kommt aus dem griechischen und heißt "gemeinsame Zeit". Das hat viele Bedeutungen, je nach Fachbereich. Bei Servern und Protokollen kann es heißen, dass die Uhrzeit der Teilnehmer gleich ist. In der Physik kann es heißen, dass beide Seiten mit der gleichen Frequenz schwingen. In der Softwareentwicklung kann es heißen, dass ein API wartet, bis das Ergebnis da ist. Jemanden auf dem Telefon anrufen ist synchron. Es klingelt, und man wartet, bis jemand dran geht oder man abbricht. Eine SMS ist asynchron. Man schickt sie ab, und irgendwann später erhält man eine Versandbestätigung und/oder Antwort oder auch nicht. Im Umgang mit Hardware ist asynchrone Programmierung immer viel effizienter als synchrone. Einer Festplatte zum Beispiel sagt man: Hier sind die Daten, da will ich die hingeschrieben haben, und dann tut man andere Dinge, die gerade anliegen. Später kriegt man dann mitgeteilt, dass die Platte das geschrieben hat (oder ein Fehler auftrat). Netzwerkkarten funktionieren genau so. Das ist sogar so wichtig für die Effizienz, dass auch das Übertragen des Kommandos schon asynchron gemacht wird. Das Betriebssystem sagt der Festplatte nicht die Daten, sondern wo die Daten im RAM liegen, und die Festplatte (ich vereinfache jetzt unzulässig) holt sich die Daten dann von dort, während das System andere Dinge tut. Der Mechanismus dafür heißt DMA (Direct Memory Access).
Asymptotisch ist ein Begriff aus der Mathematik, der heißt, dass sich eine Funktion langfristig ("im Unendlichen") einer anderen Funktion annähert. In der Informatik spielt das eine Rolle, wenn man über die Performance von Verfahren redet. Dann versucht man, Algorithmen in Klassen einzuteilen, aus denen man grob erkennen kann, ob sie sich nur für kleine Datenmengen eignen oder auch für große. Dafür guckt man sich an, wie sich die Laufzeit des Verfahrens verändert, je größer die Eingabe ist. Die Kategorien gehen dann von "konstante Laufzeit, egal wie viel Input kommt" über "doppelt so viel Input — doppelt so lange Laufzeit" bis hin zu exponentiell wachsenden Laufzeiten (oder gar Verfahren, die möglicherweise nie fertig werden). Die Laufzeit, die man hier betrachtet, ist die asymptotische Laufzeit. Ein Beispiel für ein Verfahren konstanter Laufzeit wäre "in die Tüte greifen und ein Stück rausholen". Ein Beispiel für ein Verfahren linearer Laufzeit wäre "das kleinste Element aus einer Liste raussuchen". Wenn die Liste sortiert ist, kann man es in konstanter Zeit machen (einfach das erste greifen).
Update: Übrigens gab es früher bei Modems einen Trick, denn man auch mal bei DSL einführen sollte: Die konnten umschalten. Wenn man gerade mehr senden als empfangen wollte, hat das Modem umgeschaltet und 90% der Bandbreite für das Senden genommen. Wenn man gerade mehr empfangen als senden wollte, hat das Modem umgeschaltet und 90% der Bandbreite für das Empfangen genommen. Das hieß damals HST Modus und war der Grund, wieso jahrelang fast alle in der Mailboxszene Modems von US Robotics gekauft haben.
Update: DSL hat natürlich noch mehr Tricks als Modems, um so hohe Übertragungsraten zu erreichen. Beispielsweise haben ADSL2+ und VDSL mehr als einen Träger.
Update: Ob mein Modem wirklich 2400 Baud hatte, oder nur (viel wahrscheinlicher) 1200 oder gar 300 Baud aber 2400 bps, das lässt sich leider nicht mehr prüfen, denn ich habe es nicht mehr. bps ist die Anzahl der Bits pro Sekunde, Baud ist die Anzahl der Symbole pro Sekunde; Man kann pro Symbol auch mehr als ein Bit übertragen, und das taten so ab der Zeit an sich alle.
Update: Ein Einsender korinthenkackt:
Die mathematische Erklärung zur Symmetrie ist ein wenig unvollständig denn sie lässt Rotationssymmetrien aus, für die Übertragungstechnik meines Wissens nicht relevant aber trotzdem erwähnenswert wenn es um den Begriff geht.
Zu asymptotisch noch den Hinweis das es darum geht das sich die Funktion beliebig nah einseitig annähert diese aber nicht (oder nur in abzählbar vielen Punkten) berührt.
Das Hyperthreading ist wohl subtil braun und kann zu spontanem Fehlverhalten führen.
Given the wide prevalence of the unrar source code in third-party software, quite a few
downstream parties will be affected. The source code with the fixes can be found
under http://www.rarlab.com/rar/unrarsrc-5.5.5.tar.gz - downstream parties are
encouraged to quickly update and ship fixes.Oh gut, das betrifft bestimmt so gut wie niemanden!1!! Ja gut, ausgenommen 7-zip und so, und natürlich die ganzen Antiviren. Dort war der Bug übrigens zum ersten Mal aufgefallen.It appears that the VMSF_DELTA memory corruption that was reported to Sophos AV in 2012 (and fixed there) was actually inherited from upstream unrar. For unknown reasons the information did not reach upstream rar or was otherwise lost, and the bug seems to have persisted there to this day.
Ja warum würde man auch upstream Bescheid sagen! Da hat man ja einen wettbewerblichen Nachteil von als Schlangenöl, wenn die anderen Schlangenöler informiert werden, und wenn die Software insgesamt sicherer wird!1!!
Jaja. Ich weiß. Ich auch.
Stellt sich raus: Slashes in URLs are hard. Let's go shopping!
Finally, this attack provides yet another example of why the stockpiling of vulnerabilities by governments is such a problem. This is an emerging pattern in 2017. We have seen vulnerabilities stored by the CIA show up on WikiLeaks, and now this vulnerability stolen from the NSA has affected customers around the world. Repeatedly, exploits in the hands of governments have leaked into the public domain and caused widespread damage. An equivalent scenario with conventional weapons would be the U.S. military having some of its Tomahawk missiles stolen.Ganz langsam, Microsoft.Wer ist Schuld, dass es diese Lücke gibt? Ihr. Microsoft.
Wer ist Schuld, dass die Lücke jahrelang in der Codebasis verblieb? Ihr. Microsoft.
Die NSA hat die Lücke gefunden und nicht gemeldet. Ja. Sie haben sie absichtlich offen gelassen. Aber da könnt ihr nicht drauf zeigen, um die Schuld loszuwerden. Der Gaffer ist nicht am Auffahrunfall auf der Autobahn Schuld.
Ich sehe hier einen Hauptschuldigen und einen Nebenschuldigen. Der Hauptschuldige ist Microsoft, weil ihr die Lücke in den Code getan und jahrelang nicht gefunden habt. Ihr habt ein schlechtes Produkt ausgeliefert. Wenn hier jemand ganz klein mit Hut sein sollte, dann ihr.
Der Nebenschuldige ist der Endanwender, der seine Software nicht gepatcht hat. Und kommt mir nicht mit "aber aber in großen Unternehmen". Bullshit. Ein großes Unternehmen, das Patches nicht sofort einspielt, ist an den Folgen Schuld. Jeder hat immer irgendwelche Ausreden. "Aber wir mussten erst gucken, ob der Patch tut". Nein, musstet ihr nicht. Kein abzuwendendes etwaiges Problem durch einen Patch ist so schlimm wie Remote Code Execution mit Kernel-Privilegien. Nichts. Schaut mir in die Augen. Nichts. Nichts ist so schlimm. Wenn so ein Patch rauskommt, dann spielt ihr ihn ein. Fertig. Keine Diskussion. Kein Zurückhalten. Ihr spielt ihn ein. Sofort. SOFORT.
Und im Übrigen, wenn ihr da ausgelaufene Windows-Versionen ohne Support fahrt, dann gibt es genau niemanden, auf den ihr zeigen könnt. Das ist ein Risiko, das ihr sehenden Auges eingegangen seid. Das jetzt ist die Quittung. Ich habe NULL Mitleid.
Oh und wenn ihr das antike Windows einsetzt, weil es auf einem antiken 3rd-Party-Produkt ist, für das ihr keine Patches mehr kriegt, dann könnt ihr dafür auch sonst niemandem die Schuld zuschieben. Das Risiko hättet ihr halt nicht eingehen dürfen. Ich schlage vor, dass ihr jetzt zu dem Hersteller des 3rd-Party-Produktes geht und euch zivilrechtlich gütlich haltet. Das wird alles immer nur noch schlimmer werden, solange ihr diesen Teufelskreis nicht durchbrecht.
Man hörte in letzter Zeit häufiger von irgendwelchen Spektroskopen an Unis, von Steuersoftware für Großmaschinen. Na dann hängt die halt nicht ans Netz. Wenn die Funktionalität ohne Netzzugang nicht nutzbar ist, dann hättet ihr die halt nicht kaufen dürfen, ohne euch zu versichern, dass da für Sicherheit gesorgt ist.
WER SOLL DENN BITTE DEN DRUCK AUF DIE HERSTELLER AUSÜBEN, WENN NICHT IHR?! Das BSI?! Harr harr harr.
Sorry, aber mir platzt echt der Kragen bei sowas. „Alle sind Schuld, nur ich nicht.“ Das ist das Gegen-Muster zu „Alle sind doof, nur ich nicht.“ bei Schlangenöl.
Stellt sich raus, dass die anscheinend ihren Datenreichtum mit der Welt teilen, indem sie einen öffentlichen API-Call haben, der einem Metadaten zu einer Telefonnummer meldet, ob man mit der schon Kontakt hatte oder nicht. (Danke, Roman)
Ich persönlich rante ja seit gefühlt 10 Jahren über dbus, aber auf mich hört ja nie jemand, wenn noch Zeit ist, was nicht zu machen. Tja. Told you so.
Das ist eine lokale Privilege Escalation von root zu Kernel, d.h. in den meisten Fällen eher akademisch. Allerdings ist das möglicherweise durch Namespaces mancherorts trotzdem auch für Nicht-root zugreifbar? Bin ich mir gerade nicht sicher.
Mir ist bei dem Bug jedenfalls wichtig, dass er in vergleichsweise neuem Code ist. Häufig heißt es, der alte Code ist grausam und gruselig und höllisch, aber dem neuen Code vertrauen wird. Vertraut dem neuen Code nicht!
Gut, "neu" ist relativ. Der Bug ist ursprünglich von 2011, auch nicht sooo neu. Aber ihr wisst schon, was ich meine.
Update: Ein Einsender bestätigt, dass das per Namespaces auch für Nicht-Root zugänglich ist.
Der Einsender berichtet, ihm sei ein Fall bekannt, wo eine Firma Firmengeheimnisse über den Filesharing-Dienst von Hipchat geteilt habe.
Hätte uns doch nur jemand gewarnt, dass es ein Sicherheitsrisiko sein könnte, wenn wir unsere Geheimnisse in eine ausländische Cloud laden!1!!
Update: Die Malware wurde übrigens von keinem Schlangenöl gefunden.
Wenn Tavis Ormandy sich Freitag abend äußert, dann hat jemand in der Industrie ein schlechtes Wochenende vor sich :-)
Echt? Da gibt es doch seit Jahren schon keine Entschuldigung mehr für…!?
LibreSSL 2.5.1 to 2.5.3 lacks TLS certificate verification if
SSL_get_verify_result is relied upon for a later check of a
verification result, in a use case where a user-provided verification
callback returns 1, as demonstrated by acceptance of invalid
certificates by nginx.OMFG
G-Data stimmt mir grundsätzlich zu, dass Zahlen zur Wirksamkeit von Antiviren schwierig zu beschaffen sind, weil die im Allgemeinen von den Herstellern kommen und daher nicht als neutral gelten können. Die Zahlen, die eine große Bibliothek an Malware gegen Antiviren werfen, finden häufig hunderte von Viren, die nicht gefunden wurden, und die Antivirenhersteller reden sich dann mit angeblicher Praxisferne der Tests heraus. Ich las neulich von einer Studie, bei der eine Uni alle ihre einkommenden die Malware-Mail-Attachments bei Virustotal hochgeladen hat und auf unter 25% Erkennungsrate kam. Leider finde ich die URL nicht mehr. Vielleicht kann da ja ein Leser helfen. Mein Punkt ist aber unabhängig davon, ob das jetzt 5%, 25% oder 90% Erkennungsrate sind. Es reicht, wenn ein Virus durchkommt. Eine Malware ist nicht wie die Windpocken. Wenn man sie kriegt hat man halt rote Pünktchen im Gesicht und nach ner Woche ist wieder alles OK. Nein. Eine Infektion reicht, um die gesamten Daten zu klauen, die Platte zu verschlüsseln, und an einem DDoS-Botnet teilzunehmen. Die Erkennungsrate ist, solange sie nicht 100% ist, irrelevant. Ich bin immer wieder schockiert, mit welcher Selbstverständlichkeit Leute nach einer Malware-Infektion halt "desinfizieren" klicken in irgendeinem Tool und dann weitermachen, als sei nichts gewesen. Das ist wie wenn jemand in eine Schwimmbecken scheißt, und man fischt den größten Klumpen raus, und dann schwimmen alle weiter. WTF!?
Der nächste Talking Point der AV-Industrie ist (angesichts der miserablen Erkennungsraten in der Praxis), dass man ja nicht mehr rein reaktiv arbeite sondern auch magischen Einhorn-Glitter aus der Cloud habe. Erinnert ihr euch noch an den Aufschrei nach Windows 10, als Microsoft sich das erstmals explizit von euch absegnen ließ, dass sie eure Daten in die Cloud hochladen? Wie jetzt?! Die wollen gerne als Debugginggründen sehen, welche crashenden Programme ich ausführe!? DAS GEHT JA MAL GAR NICHT!!1! Ja was denkt ihr denn, was das ist, was die AV-Industrie mit der Cloud macht? Die werden im Allgemeinen nur die Hashes der Software hochladen, aber das heißt trotzdem, dass die sehen können, wer alles Winzip benutzt, oder dieses eine hochpeinliche aus Japan importierte Hentai-"Dating-Simulator"-Anwendung. Aber DENEN traut ihr?!
Ich sage euch jetzt mal aus meiner Erfahrung, dass die Analyse von einem Stück Software Wochen dauert, besonders wenn die Software gerne nicht analysiert werden möchte. Wenn die AV-Industrie also so tut, als könnte ihre magische Cloud "innerhalb von Sekunden" helfen, dann gibt es nur zwei Möglichkeiten: Entweder sie haben ein paar Wochen gebraucht und tun jetzt nur so, als sei die paar Wochen lang schon niemand infiziert worden. Oder sie haben da irgendwelche Abkürzungen genommen. Überlegt euch mal selbst, wieviel Verzögerung eurer Meinung nach akzeptabel wäre. Dann, wieviel Arbeit das wohl ist, anhand einer Binärdatei Aussagen zu machen. Zumal man solche Aussagen im Allgemeinen in einer VM macht, und Malware im Allgemeinen guckt, ob sie in einer VM läuft und dann die bösen Funktionen weglässt. Eine denkbare Abkürzung wäre also, schon so einen Check als Zeichen für Malware zu deuten. Da sind wir aber nicht mehr in der Branche der seriösen Bedrohungsabwehr, sondern in der Branche der Bachblüten-Auraleser-Homöopathen, das ist hoffentlich jedem klar.
Das ganze Gefasel mit proaktiven Komponenten halte ich auch für eine Nebelkerze. Wenn das funktionieren würde, gäbe es Weihnachten keine wegzuräumende Malware auf dem Familien-PC, und in der Presse wäre nie von Ransomware die Rede gewesen, weil das schlicht niemanden betroffen hätte.
Ja und wie ist es mit dem Exploit-Schutz? Das ist Bullshit. Das erkennt man schon daran, dass Microsoft diese angeblichen Wunderverfahren der AV-Industrie nicht standardmäßig ins System einbaut. Googelt das mal. Microsoft hat hunderttausende von Dollars für gute Exploit-Verhinder-Ideen ausgeschrieben und ausgezahlt. Und wieviele Prämien für gute Ideen findet ihr von der AV-Branche? Na seht ihr.
Überhaupt. Kommen wir mal zu den Standards. Microsoft hat den Prozess etabliert, den gerade alle großen Player kopieren, die SDL. Ich weiß das, weil ich dabei war, als sie das bei sich ausgerollt haben. Microsoft hat, was ich so gehört habe, sechsstellig viele CPU-Kerne, die 24/7 Fuzzing gegen ihre Software-Komponenten fahren, um Lücken zu finden. Microsoft hat ganze Gebäude voller Security-Leute. Ich würde schätzen, dass Microsoft mehr Security-Leute hat, als die typische AV-Bude Mitarbeiter. Microsoft hat geforscht, ob man mit dem Umstieg auf .NET Speicherfehler loswerden kann, ob man vielleicht einen ganzen Kernel in .NET schreiben kann. Sie hatten zu Hochzeiten über 1/4 der Belegschaft Tester. Es gibt periodische Code Audits von internen und externen Experten. Sie betreiben eine eigene Security-Konferenz, um ihre Leute zu schulen, die Bluehat. Aus meiner Sicht stellt sich also die Frage: Wenn DAS die Baseline ist, trotz derer wir immer noch ein Sicherheitsproblem haben, dann müssten ja die AV-Hersteller nicht nur genau so gut sondern deutlich besser sein. Sonst wären sie ja Teil des Problems und nicht Teil der Lösung. Das hätte ich gerne mal von den AV-Leuten dargelegt, wieso sie glauben, sie könnten das besser als Microsoft.
Oh und einen noch, am Rande:
Wenn Daten signiert sind ist klar, von wem die Informationen stammen. Oft ist es schon ein beträchtlicher Sicherheitsgewinn, wenn man weiß, dass die Information von einem bekannten und ergo vertrauenswürdigen Quelle stammen.Das ist natürlich Bullshit. Es sind schon diverse Malware-Teile mit validen Signaturen gefunden worden, und alle alten Versionen mit bekannten Sicherheitslücken sind ja auch noch gültig signiert. Code Signing dient nicht dem Schutz des Kunden sondern dem Schutz von Geschäftsmodellen.
Mir ist außerdem wichtig, dass ihr merkt, wenn ihr hier mit einer bestimmten Haltung an das Thema rangeht, weil ihr selbst schon entschieden habt, und jetzt nur noch die Argumente rauspickt und höher bewertet, die eure getätigte Entscheidung bestätigen. Das ist ein sehr menschliches und normales Verhalten, aber dem Erkenntnisgewinn dient das nicht. Wo kommen denn die Zahlen her, dass angeblich noch niemand über Lücken in Antiviren gehackt wurde? Wenn ihr zu Weihnachten 10 Viren findet — macht ihr dann erstmal eine wochenlange forensische Analyse, wo die herkamen? Nein, macht ihr nicht! Ihr seid froh, wenn die weg sind. Aussagen wie "noch keiner ist über seinen Antivirus gehackt worden" sind unseriös, und Aussagen wie "es sind keine Fälle bekannt" sind irreführend und Nebelkerzen.
Update: Wer übrigens die Früchte von Microsofts Exploits-Schwieriger-Machen haben will, der muss a) immer schön Windows updaten; weg mit Windows 7 und her mit Windows 10, und/oder b) EMET installieren.
Update: Hups, EMET-Link war kaputt.
Update: Ein Einsender weist darauf hin, dass es doch mal einen Fall von einer massenhaftung Malware-Verbreitung via Antivirus-Sicherheitslücke gab.
Update: Ein fieser Wadenbeißer hat sich mal durch die Archive gegraben:
es gibt noch weiteres Argument gegen die Schlangenöl-Branche, das ich glaube ich bei dir noch nicht gelesen habe, wenngleich das eher nicht gegen die Microsoft-Lösung zielt:
Kollateral-Schaden.
Wie oft hatten wir es bitte schon, dass ein Amok laufender Scanner von einem marodierenden Wozu-Testen-AV-Riesen schlicht Windows & co als Virus/Trojaner/Whatever eingestuft hat?
Gucken wir doch mal:
Das passt auch sehr schön dazu, welchen Testaufwand Microsoft im Vergleich betreibt.
Oh und was ist eigentlich mit Virenscannern, die Inhalte aus dem Netz nachladen, die nicht unbedingt... naja, gab es schließlich auch schon:
Soll man daraus schließen, dass die ihr eigenes Gift vmtl selbst gar nicht einsetzen?
Ach ja, ich vergaß, alles bedauerliche Einzelfälle vom Werksstudentenpraktikanten, die natürlich nie, nie, nie wieder passieren. Ungeachtet dessen, dass sie nie hätten passieren dürfen, das wäre eigentlich der Anspruch an diese Software.
So wie auch schon Schlangenöl auch nur in den besten Fällen keine Wirkung hatte.
Ich habe bisher auf diese Art von Linksammlung verzichtet, weil es mir gerade nicht darum geht, mit dem Finger auf einzelne Hersteller zu zeigen. Es gibt da sicher auch Pfusch bei einzelnen Anbietern, das sehe ich auch so, aber mir ist die fundamentale Kritik am Konzept des Antivirus wichtiger. Pfusch in Software gibt es ja leider häufiger.
Update: Ein anderer Einsender kommentiert:
Zum Thema Proaktive Komponente kann ich dir aus unserer Infrastruktur klar sagen: DAS ist das was am Meisten Fehlmeldungen produziert. Ich habe z.B. einen lang vergessenen Texteditor auf einer Netzwerkfreigabe rumliegen. Seit 2007. Und 2016 auf einmal meldet der Antivirus, dass das Ding verseucht ist und sofort desinfiziert werden muss. Ich warte zwei Tage (=zwei Signaturupdates) ab und lass den Ordner wieder scannen. Diesmal: Nix. Oder letzte Woche hat er uns 6 Userworkstations als virenverseucht gemeldet, weil die User Proxy PAC-Scripte im Browser konfiguriert haben. Ja, haben sie weil so unser Internetzugang funkioniert, aber ich frag mich ernsthaft warum der AV nur diese 6 Workstations gemeldet hat und nicht noch die anderen 400 die das AUCH haben. Tags drauf war wieder alles gut. Für mich als Admin ist das keine zusätzliche Sicherheitskomponente sondern nur zusätzliche Arbeit.
Und ich möchte auch zu der Cloud-AV-Sache noch mal klarstellen, wie sehr das Bullshit ist. Der CCC hat vor ein paar Jahren den Staatstrojaner veröffentlicht, ihr erinnert euch wahrscheinlich. Natürlich in einer entschärften Version, die keinen Schaden angerichtet hätte. Diese Version tauchte dann relativ zeitnah in den Cloud-Antivirus-Datenbanken auf. Die nicht entschärfte Version tauchte nicht auf. Nur falls sich da jemand Illusionen gemacht hat.
Update: Ein Biologe kommentiert:
Es gibt ja ein paar hübsche Analogien zwischen Computerviren und deren Verbreitung und der realen Welt. Beim Lesen des G-Data Pamphletes musste ich an einer Stelle herzlich lachen, als sie ihre "über 90% Erkennungsrate" beweihräucherten. Auf die Mikrobiologie übertragen ist das eine log1-Reduktion, also so knapp über Homöopathie und Gesundbeten. Ich arbeite mit Lebensmitteln, da darf man etwas "Debakterisierung" nennen, wenn man im log3-Bereich unterwegs ist. Also wenn 99.9% aller Keime gekillt werden. Pasteurisierung ist bei log5, also 99.999%. Und auch da wird die Milch nach 21 Tagen sauer.
90% ist da auf jeden Fall der Bereich "lohnt den Aufwand nicht". Da ist eine sinvolle Backup-Strategie und eine gewisse Routine im Rechner-wiederaufsetzen sinnvoller eingesetzt.
Update: Viele meiner Leser scheinen eine Statistik-Schwäche zu haben, und kommen mir hier mit Analogien wie "Kondome schützen ja auch nicht 100%" oder "im Flugzeugbau hat man auch nicht 100% als Anforderung". Vergegenwärtigt euch mal, wie viele Viren es gibt, und wie viele Malware-Angriffe pro Tag es auf typische Systeme gibt. Und dann rechnet euch mal aus, bei einer Erkennungsrate von 90%, oder sagen wir 99%, oder sogar 99.9%, wie viele Stunden es dauert, bis der Rechner infiziert ist. Ich habe in Köln und Hamburg das Publikum gefragt, wer schonmal Weihnachten einen Familien-PC säubern musste. Fast alle. Dann, bei wie vielen ein Antivirus drauf war. Jeweils einer weniger. EINER weniger. ALLE ANDEREN haben trotz Antiviren Malware eingefahren. Wir reden hier nicht von "ich habe dreimal pro Tag mit Kondom Sex und habe nie HIV gekriegt", sondern von über einer HIV-Infektion pro Tag. Und da, behaupte ich mal, wären auch die Nicht-Statistiker unter euch plötzlich mit der Kondom-Performance unzufrieden. Was ihr gerade am eigenen Leibe erlebt, das nennt man Rationalisierung. Ihr habt eine Entscheidung getroffen, nämlich einen Antivirus einzusetzen, und greift jetzt unterbewusst nach Strohhalmen, um das irgendwie zu rechtfertigen. Ich meine das gar nicht böse. So funktionieren Menschen. Euch kommt zugute, dass die meisten Viren bisher wenig kaputtgemacht haben. Vielleicht ein paar erotische Selfies exfiltriert, wenn es hochkommt an einem Botnet teilgenommen. Erst jetzt mit Ransomware werden Viren auch gefühlt richtig gefährlich. Ihr solltet nicht warten, bis euch das am eigenen Leib passiert.
Nein. Das steht hinter dem Link. Daher ist da ein Link. Damit man da draufklickt.
Im Übrigen finde ich diese Reflexe faszinierend. Immer wenn die Palästinenser in irgendeinem Punkt Entgegenkommen zeigen, dann graben sich die Pro-Netanjahus tiefer ein und verweisen auf ihre Extremforderungen. Anstatt dass sie im Gegenzug von ihren Extremforderungen abweichen könnten!
Ich verstehe nicht, wieso Israel nicht an einer Lösung des Konfliktes interessiert zu sein scheint. Hamas steht hier offensichtlich unter Druck, sonst hätten sie dieses Papier ja nicht gemacht. Und man sieht, dass sie sich Sorgen machen, dass ihre Hardliner-Fraktion sich abspalten könnte, und bewaffneten Untergrundkrieg führen könnte, und damit Hamas bisschen internationles Standing als halbwegs legitim gewählte Regierung im Gazastreifen zerstören könnte. Das ist ein 1a Moment der Schwäche. Wieso nutzt Israel das nicht, um ein paar Fakten zu schaffen? Die könnten sich jetzt wunderbar als "wir nehmen jetzt mal eure Bullshit-Rhetorik nach außen für bare Münze" positionieren. Hamas bliebe gar nichts übrig, als zu ihren Worten zu stehen, ob die jetzt hohle Phrasen oder ernst gemeint waren.
Hamas ist offenbar gerade ehrlich daran interessiert, von Ägypten, der Uno und anderen Staaten als legitime Player wahrgenommen zu werden. Wieso nutzt das niemand?! Worauf warten die alle? Eine schriftliche Einladung?!
Ob man Hamas jetzt glaubt oder nicht, das ist eine Gelegenheit. Gelegenheiten muss man nutzen. Merkt Israel nicht, wie sich die öffentliche Wahrnehmung des Konfliktes in den letzten Jahrzehnten geändert hat?
Das ergibt für mich alles nicht viel Sinn gerade. Offensichtlich fehlen mir da ein paar der Fakten.
There is an escalation of privilege vulnerability in Intel® Active Management Technology (AMT), Intel® Standard Manageability (ISM), and Intel® Small Business Technology versions firmware versions 6.x, 7.x, 8.x 9.x, 10.x, 11.0, 11.5, and 11.6 that can allow an unprivileged attacker to gain control of the manageability features provided by these products. This vulnerability does not exist on Intel-based consumer PCs.Oh gut, dann haben wir ja nochmal Glück gehabt. Betrifft so gut wie niemanden!1!!
Der Fix ist hier.
Und DAS erwischt mich ja jetzt schon hart, denn das ist seit 2006 bekannt. Ich hielt es damals für einen Compiler-Bug, aber es stellte sich dann als pure, bösartige Absicht heraus. gcc fand damals, dass wenn der Standard sagt, dass es bei Pointer-Arithmetik in wohlgeformtem Code keinen Überlauf geben darf, dass man dann auch Code, der gucken will, ob ein Überlauf stattgefunden hat — um das Programm wohlgeformt zu halten! —, wegoptimiert werden kann. Weil nicht sein kann, was nicht sein darf. Wissenschon.
Das hat ihnen damals eine Tonne Probleme beschafft und inzwischen hat gcc diese Optimierung zumindest für Zeiger zurückgenommen. Unter anderem hatten sich auch Teile von gcc selbst darauf verlassen, dass das nicht wegoptimiert wird. Das war echt ein Brüller.
Aber leider ist es formaljuristisch korrekt, was gcc macht, daher darf man diese Art von Check nicht mehr machen, sondern muss die Pointer vorher zu uintptr_t casten. Vorsicht: nicht intptr_t! Integer mit Vorzeichen haben das selbe Problem.
Was mich jetzt irritiert, ist dass diese Art von Fehler in einer Library wie Cap'n Proto passieren kann. Das ist immerhin das Nachfolgeprojekt (von dem selben Typen) von Protocol Buffers, das Google und die halbe Welt benutzt. Der Typ macht das seit vielen Jahren. Ich hätte getippt, dass der das weiß.
Aber da seht ihr mal: Der Teufel liegt im Detail. Nicht auf Libraries von irgendwelchen Quellen vertrauen, alles nochmal selber auditieren.
Oh und: Mir fiel dieser Fehler damals auf, weil ich eine Testsuite hatte, die auch Fehlerfälle geprüft hat, ob die korrekt abgefangen wurden. Wer das für Code mit Sicherheits-Implikationen (wie Parser, Bounds-Checking-Code) nicht tut, handelt fahrlässig.
Ich habe 1979 angefangen für Geld zu arbeiten. In den ersten 15 Jahren war Eigeninitiative noch sehr gefragt. In den 1990ern wurde dann das ganze System mit Hilfe von McKinsey gestrafft.Ansonsten kommen die üblichen Rechtfertigungen:
Seit dem ist jeder Arbeitsgang bis ins Detail fest getaktet. Selbst wenn du weißt wie man "Copy & Paste" benutzt, wirst du das niemals einem Externen gegenüber offenbaren, weil du doch nie sicher sein kannst, ob der angebliche IT Experte nicht ein U-Boot der Geschäftsführung ist.
Wer im Jahr 2017 in einer Firma noch eigene Wege geht, Eigeninitiative zeigt oder auch nur offen Selbstbewusstsein zeigt ist entweder tatsächlich unersetzlich oder hat die Altersteilzeit im Sack.
Ansonsten hat sich da anscheinend ein Teufelskreis gebildet. Das Management sieht, dass die Mitarbeiter das Tool nicht benutzen, und nimmt das dann nicht als valide Kritik auf, dass das Tool vielleicht Mist ist oder nicht hilft oder keine Zeit spart sondern eher noch Zusatzaufwand aufbürdet, sondern als "ich muss denen nur nochmal ordentlich erklären, wieso das Tool total geil ist", gepaart natürlich mit einer gesunden Familienpackung Inkompetenz, weil das Management sich den Scheiß beim Golfen hat aufschwatzen lassen.
Und wie so oft ist an allen diesen Punkten bestimmt jeweils ein Fünkchen Wahrheit dran.
Aber wie kommen wir da jetzt wieder raus?
Einige Einsender meinen auch, dass das schlicht eine Form von Prokrastination ist. Solange es nicht weh tut, weigere ich mich einfach. Und wenn es dann nie weh tut, war die Strategie erfolgreich.
Insgesamt habe ich den Eindruck, dass die Leute da draußen in einem unfassbar deprimierenden Umfeld vor sich hin vegetieren.
Ich bin ja so froh, dass ich nicht in einer Behörde oder großen Firma arbeiten muss, sage ich euch.
Oh ach ja, und die fieseste Erklärung ist natürlich, dass die Leute sich verweigern, weil sie Angst haben, selbst überflüssig zu werden, wenn die Vorgänge effizienter würden.
Und es scheint auch tatsächlich Firmen zu geben, die 100k für ein Produkt ausgeben, aber dann nicht 10k für die Schulung in die Hand nehmen wollen.
Dann gab es auch ein paar Mal die Theorie, dass da den Leuten von oben ein Tool aufgezwungen wird, zu dessen Notwendigkeit man sie nicht befragt hat. Das klingt wie eine gute Hypothese, aber ich habe das auch in Szenarien erlebt, wo die selben Leute vorher für die Anschaffung gekämpft hatten. Gut, es gibt da sicherlich auch Szenarien wie eine Firmenfusion, wo dann die IT "harmonisiert" wird. Ich habe mal von einem Fall gehört, bei dem dann sogar anderes Klopapier angeschafft wurde nach einem Firmenkauf, weil diese Marke bei uns der Firmenstandard ist. Das meinte ich jetzt aber nicht. In so Situationen der gefühlten Machtlosigkeit und des Überrumpeltwerdens kann ich Widerstand nachvollziehen. Fachlich ist es immer noch ein Schuss ins eigene Knie, aber menschlich kann ich es nachvollziehen.
Ein Einsender wurde in seiner Antwort ziemlich persönlich :-)
Hast du dir mal die Bedienungsanleitung deiner Spülmaschine durchgelesen? Die eingebaute Enthärtungsanlage geht kaputt, wenn man kein Salz nachfüllt (weil man All-In-One-Tabs nutzt) und die nicht auskonfiguriert. (Mal abgesehen davon, dass man bei hartem Wasser zusätzlich Salz nehmen muss).Und dann will ich noch exemplarisch einen typischen Winsel-Rant veröffentlichen:Hast du dir die Bedienungsanleitung von deinem Auto durchgelesen?
Oder noch besser: Die deiner Heizung?
Ich wohne in einem Neubaugebiet, ich bin gefühlt der Einzige, der sich die durchgelesen hat und weiß, was eine Heizkurve ist und wie man die optimiert (da gehen bis zu 10-20% Ersparnis). Und - macht das jemand sonst? Vergiss es.
Der Monteur stellt die auf "gut warm" ein und die gibt dann Vollgas - bis die Thermostate in den Zimmern dann die Zimmer abregeln. Die Heizung wird dann zu warm, weil sie bei Vollgas die Hitze nicht mehr los wird, schaltet ab. Bis die Thermostate dann wieder auf Durchzug schalten.
Dass man das verhindern kann, wenn man die Vorlauftemperatur auf das minimal nötige einstellt steht in der Bedienungsanleitung: Dann läuft die Heizung auch tatsächlich auf minimaler Stufe den Winter durch - täglich nur einmal unterbrochen. Optimal auch für die Lebensdauer.
Im Ernst - ich arbeite für einen Großkonzern und zwar in der Ebene ganz unten - ich treffe Entscheidungen nur für mich, muss aber mit allen Entscheidungen von weiter oben leben.Und hier noch einen als Realitätsabgleich:
Und die haben es in sich: Neues Tool Z für Task X, neuer Name für Abteilung Y, Zusammenlegung der Abteilungen A und B, Auflösung von B in C und D - such es Dir aus; das ist, was von "oberhalb meines Teamchefs" bei mir ankommt.Und ich habe keine Zeit für den Scheiß.
Vor ein paar Wochen habe ich erfahren, dass ich das extrem anstrengend zu benutzende Tool Z gar nicht mehr anzusehen brauche - angeschafft, eingeführt, angeschaut, vergessen.
Es _hätte_ ein paar Sachen verbessern können, aber es wurde offensichtlich von den Verantwortlichen nie "benutzt", nur in Verkaufsveranstaltungen gesehen. Und die Wünsche zur Verbesserung der Nutzbarkeit gingen unter, weil das Funktionalität betraf, auf die wir als Kunde keinen Einfluss haben - aber irgendwelche statistischen Auswertefunktionen gingen immer sofort.[…]
Natürlich wäre es gut, das marktführende Tool in meinem Aufgabengebiet zu kennen - mit meiner Erfahrung frage ich mich aber:
- Warum ist das der Marktführer? Sind die wirklich besser als alle anderen oder ist nur das Marketing besser und in Wirklichkeit werden die verkauften Lizenzen nicht voll ausgenutzt?
- Wurden die betroffenen Mitarbeiter in die Entscheidung einbezogen? Durften die ihre Wünsche äußern oder wurde nur von oben entschieden, dass ab heute mal wieder alles anders-gleich ist?
Nein, ich bin kein Urgestein, ich bin jung, nur wenige Jahre im Unternehmen - und ich bin bereits jetzt gegenüber allen Management-Entscheidungen oberhalb Teamlead abgestumpft, weil es nur wieder undurchdachter Mist oder eine Reorganisation mit einer Halbwertszeit unterhalb eines Finanzjahres handelt.
hatte viele Jahre in grossem Unternehmen im Telko Umfeld verbracht.Nur falls mir jemand mangels eigener Erfahrung nicht glauben wollte, dass das Phänomen existiert.
Meine Erfahrungen:Die Technik wird von Externen am Laufen gehalten. Diese verdienen halbwegs anständig und kennen sich tatsächlich aus. Intern ist die Sache anders:
- all-in Verträge, dh Überstunden werden nicht bezahlt
- Lernen und neue Ideen werden in weiten Bereichen (monetär) nicht honoriert: Dh kein Anreiz
- Beginnt man etwas in die positive Richtung umzustellen, hängt einem das lange nach --> man schafft sich selbst (unbezahlte) Arbeit, da man ja nun der einzige ist, der sich auskennt. Und man verringert intern seine Karrierechancen: Nichts hindert einem so sehr am Weiterkommen wie Spezialwissen.
- Mitarbeiter werden tlw bewusst nicht weitergebildet: Steigert ja Wert am Arbeitsmarkt und sie werdem vielleicht noch abgeworben
Was bewirkt nun dieses Umfeld:
Junge Mitarbeitern sind in den ersten Monaten mit voller Energie dabei. Mit der Zeit merken sie dann zweierlei: a) Einsatz wird gebremst b) Einsatz wird nicht wirklich honoriertZwei Wege tun sich dann auf:
a) man nimmt die Kultur an, dh Konzentration auf Arbeitsvermeidung, Hobby suchen (oft hat dann auch Famlie höhere Prio). Man ist froh, dass jemand regelmässig die Miete zahlt. Der klassische goldene Käfig.
b) man verlässt schleunigst das UnternehmenDas heisst, grosse Firmen haben die unglaubliche Fähigkeit, immer wieder Mitarbeiter mit "passender" Mentalität auszufiltern :-)
Mich ärgert an diesem Defätismus, dass das eine selbsterfüllende Prophezeiung ist. Die Manager schaffen irgendeinen Scheiß an, die User trauen ihnen nicht, ignorieren den Scheiß, und garantieren damit, dass es unnützer Scheiß ist und nicht helfen kann.
Was mich daran so fasziniert, ist dass das nirgendwo sonst so gut funktioniert. Die Gewerkschaft ruft zum Streik auf? Es gibt immer ein paar Leute, die trotzdem arbeiten gehen. Das Gesetz verbietet etwas? Es gibt immer ein paar Leute, die es trotzdem machen. Aber bei "Chef schafft neues Tool an" ist es eine absolute Ausnahme, dass mal jemand dann das Tool ernsthaft zu lernen versucht.
Ich komme ja beruflich rum und habe mit verschiedenen Firmen und Konzernen zu tun. Es gibt da eine Sache, die ich häufiger beobachten kann (nicht immer!).
Stellt euch mal jemanden vor, der in einer Firma Post austrägt. Doofes Beispiel, doofe Analogie, aber macht mal kurz mit.
So, der kommt morgens immer zur Poststelle, greift sich mit beiden Händen Briefe, und trägt die dann in der Firma rum zu den einzelnen Gebäuden oder Mitarbeitern.
So, jetzt stellt euch mal vor, dass die Firma dem einen Sack kauft. Hier, Postausträger, du musst die Briefe jetzt nicht mehr mit deinen Händen tragen, tu sie in diesen Sack. Dann werden die auch nicht nass, wenn es regnet und du ins andere Gebäude musst.
Und jetzt stellt euch mal vor, dass der Austräger ablehnt. Nee, Sack braucht er nicht. Er kann das auch so, vielen Dank.
Ja, aber du könntest damit deine Produktivität steigern! Mehr Post in weniger Zeit austragen! Schau mal hier, wir können dir die Post auch vorsortieren, dann hast du einen Sack für Gebäude A und einen für Gebäude B!
Ja, nee, will ich nicht, ich mach das so wie ich es gelernt habe.
Das ist jetzt ein plakatives Beispiel, aber diese Art von … ja was? Starrsinnigkeit? … erlebe ich häufiger in Firmen, besonders in großen Firmen. Die Firma schafft irgendwelche Produkte an, die irgendwas besser machen sollen, und dann nimmt sich niemand in der Firma die Zeit, sich in den Scheiß mal einzuarbeiten! Das Produkt steht dann da rum, oder manchmal nimmt man auch einen externen Dienstleister, der das irgendwo einbaut. Dann hat das Ding Strom und Netz und es gibt einen Mitarbeiter, der guckt, ob das noch an ist.
Aber das Gerät hilft dann nicht, sondern es wird nur verwaltet. Mit den anderen Geräten, die auch nicht helfen. Und am Ende gibt es eine Landschaft voller Ruinen, die alle verwaltet werden, und die Firma kauft vielleicht noch eine weitere zukünftige Ruine für die Verwaltung der anderen Ruinen. Vielleicht gleich alles doppelt angeschafft, wegen der Ausfallsicherheit.
Aber am Ende des Tages laufen die Leute da mit Bleigewichten an ihren Füßen herum, weil sie so viel unnützen Mist verwalten müssen, der eigentlich überhaupt nicht gebraucht wird.
Aber das ist gar nicht der Punkt, der mich bedrückt, dass sich da so viel Mist akkumuliert. Was mich bedrückt, ist: Wenn du in der Abteilung für $FOO arbeitest, und die Firma schafft das Marktführer-Tool für $FOO an, und du kannst es nicht bedienen … hättest du dann nicht das Bedürfnis, das zu lernen? Ich meine, das wäre für die Firma besser, wenn das jemand bedienen kann. Du bist in der Abteilung, in der man wissen sollte, wie man das Marktführer-Tool für den Bereich bedient. Es würde deinen Wert auf dem Arbeitsmarkt und für die Firma steigern, wenn du wüsstest, wie man das bedient.
Und dennoch … das höchste der Gefühle ist, dass so Basisfunktionalität in Betrieb genommen wird. Bei einer Firewall werden ein paar Regel gesetzt, vielleicht. Ein Logging-Server wird mit Logs beschickt. Mit einem Backup-Server werden vielleicht ein paar Backups gemacht. Aber das ist auch alles. Benachrichtigung im Problemfall? Beim Backup auch gucken, ob Restore geht? Bei der Firewall gucken, dass kein Kollege unegal am Regelset herumspielt? Das ist sowas von die Ausnahme, dass man regelmäßig bei Enterprise-Tools Produkt-brechende Bugs in der fundamentalsten Basisfunktionalität hat. Und wenn man den Support fragt, wie so ein Bug es bis zum Kunden schaffen kann, sagen sie: Die Option hat wohl vor Ihnen noch keiner genutzt. Oh tatsächlich? Noch niemand vor mir hat das Suchfeld benutzt?!
Mit Nichtwissen kann ich leben. Da bin ich auch niemandem böse. Solange man das erkennt, das man keine Ahnung hat, ist das OK. Aber dann bitte auch Gelegenheiten zur Wissensmehrung wahrnehmen! WTF?! Wie kommt das, hat jemand eine Erklärung? Das sind übrigens nicht bloß ältere Mitarbeiter, die dieses Muster zeigen. Im Gegenteil, auch viele Jüngere!
Update: Oh und das betrifft ja auch nicht nur so Enterprise-Apps. Nehmt nur mal Windows und MS Office. Muss man nicht mögen, aber wenn man damit tagtäglich Briefe schreiben muss, dann setzt man sich dochmal damit auseinander, dass man Text auch mit Shift-Ctrl-Pfeiltasten wortweise markieren und mit Ctrl-B fett setzen kann, und da nicht mit der Maus herumkrautern muss. Aber was man da teilweise bei Fachkräften sieht, das irritiert mich jedes Mal. Gut, ich hab auch keine Lust auf MS Office, und mache lieber XeLaTeX oder Webseiten, wenn ich eine Wahl habe. Aber wenn man sich schon mit so einer Software herumschlagen muss, dann guckt man doch, wie man sich die Schmerzen reduzieren kann!?
udp.c in the Linux kernel before 4.5 allows remote attackers to execute arbitrary code via UDP traffic that triggers an unsafe second checksum calculation during execution of a recv system call with the MSG_PEEK flag.Das klingt jetzt schlimmer als es ist, denn MSG_PEEK wird selten benutzt, UDP wird selten benutzt, und MSG_PEEK bei UDP wird noch seltener benutzt. Mir ist persönlich kein Fall bekannt.Ich habe dieses Flag in meiner Laufbahn 1-2 Mal benutzt. Man nimmt es, wenn man von einem Socket ein paar Bytes lesen will, ohne die zu lesen (d.h. wenn man danach nochmal read aufruft, kriegt man die Bytes wieder). Ich benutze das in gatling, um zu sehen, ob Daten auf einer SSL-Verbindung wirklich wie ein SSL-Handshake aussehen — allerdings auf einem TCP-Socket.
Kurz gesagt: Ich mache mir da jetzt keine großen Sorgen. Die DNS-Implementationen von glibc, dietlibc und djb benutzen jedenfalls nicht MSG_PEEK, und wenn es um UDP geht, ist DNS der übliche Verdächtige.
Ich will das nicht kleinreden, das ist ein ganz übler Bug und die sollten sich was schämen. Aber es ist kein "OMG die NSA hat mich gehackt, ich reinstalliere und mache alle Keys neu"-Bug. Außer ihr fahrt auf eurem Server irgendwelche UDP-basierten Protokolle.
Update: Im OpenVPN-Code findet grep auch kein MSG_PEEK. VPN und VoIP wären die anderen in Frage kommenden Codebasen.
Update: Ein paar Leser haben bei Debian und Gentoo mal ein bisschen rumgesucht und fanden als potentiell verwundbare Pakete dnsmasq und VNC-Implementationen. dnsmasq läuft praktische allen Plasteroutern. Das wäre in der Tat potentiell katastrophal.
Update: Einsender weisen darauf hin, dass systemd angeblich MSG_PEEK benutzt, und dass möglicherweise noch Chrome in Frage kommt als Angriffspunkt, wegen QUIC.
If you are using go-jose, node-jose, jose2go, Nimbus JOSE+JWT or jose4 with ECDH-ES please update to the latest version. RFC 7516 aka JSON Web Encryption (JWE) Invalid Curve Attack. This can allow an attacker to recover the secret key of a party using JWE with Key Agreement with Elliptic Curve Diffie-Hellman Ephemeral Static (ECDH-ES), where the sender could extract receiver’s private key.Bonus: Der Angriff wurde auf dem 31c3 im Vortrag von Dan Bernstein und Tanja Lange erklärt :-) (Danke, Gregor)
Tolle Zeiten, in denen wir leben, wo es einen Directory Traversal Bug im Geschirrspüler gibt.
Es ist wohl MOV. Nach allen Benchmarks ist es ganz offensichtlich nicht der Rechenleistung sondern die Kommunikation, die am Limit läuft.Und der zweite Einsender:
Die bleiben da auch wunderbar kühl. Die IDELn und sind halt trotzdem langsamer als die Intels.Zuerstmal ist die Frage warum das auf den Intels so viel besser läuft. Nachdem AMD den Scheduler ausschließt, heißt das IMHO wohl dass Caching bei den Intels im Moment deutlich besser läuft.
Das ist auch der einzige Teil, der so anders bei Spielen ist. Die greifen ziemlich Wild auf unterschiedlichste Stellen zu, während andere Programme halt entweder dauernd sequenziell lesen oder lange lokal bleiben, sodass auch primitive Caches das schaffen.
Oder eben doch die Kommunikation zwischen den CCX. Aber dann würde man das je mit dem Scheduler in den Griff bekommen können.Die wirklich Interessante Frage ist allerdings, wie sie das per SW-Update in den Griff bekommen wollen.
Ich meine man kann auch per SW den Memory Controler übertakten. Aber das ist wohl eher nicht im Sinn von AMD.
Schnelleren RAM habe ich auch noch selten durch die Internetleitung flutschen gesehen.
Kann mir nicht vorstellen, dass man bei spielen da wirklich so viel auf Caching hin optimieren kann.Idee wäre Socket Pinning in die Spiele zu schmeißen oder das Threadmanagement abzuändern.
In Zukunft wird sich das Problem vermutlich von alleine erledigen. Der Anteil Memory Zugriffe zu Rechenoperationen nimmt seit langem ab.
Das ist auch das was passiert wenn du die Detailgenauigkeit hoch schraubst. Dann sehen die AMDs wieder richtig gut aus.
(Ein Detail, dass gerne weggelassen wird. Es ist sind gar nicht so arg die Auflösung sondern vor allem auch anderen Grafikeinstellungen die da eine große Rolle spielen.)
bei den Desktop Ryzen CPUs habe ich einen ganz starken Verdacht, warum der sich so verhält wie er sich eben verhält. Dazu muss ich mal etwas ausholen. Die Zen Architektur sind ja eigentlich Quadcore NUMA-Nodes, ich meine damit so ein einzelnes Zen CCX Modul. So ein CCX hat 2x DDR4-2666 Ramkanäle und 32 PCIe gen3 Lanes. Dann hat AMD da noch die geniale Idee gehabt HyperTransport soweit aufzubohren, dass es nur noch ein Protokoll ist, dass relativ unabhängig von der Hardware ist. Das neue heißt Infinity Fabric und AMD benutzt es gerne über PCIe Lanes.Kleine Korrektur: Ein Load ist eine Cache-Line, nicht 1 Byte. Das ist also noch viel schlimmer. Aber auf der anderen Seite ist das ja auch seit "schon immer" so, dass Prozessoren im Wesentlichen auf ihren RAM warten.Jetzt schauen wir uns mal den Desktop Ryzen 7 an. Das sind 2 CCX Module, aber trotzdem hat die Desktop (ich betone das hier sehr, wail es bei den Server CPUs offenbar richtig gemacht wurde) nur 2x DDR4-2666 Ramkanäle und nur 24 PCIe gen3 Lanes. 16 bzw 8/8 davon sind für die Grakas vorgesehen, 4 für NVMe und 4 weitere für die Southbridge (oder wie auch immer man das nun nennen will). Mein Verdacht hier ist, dass ein CCX mit seinen beiden Ramkanälen und seinen 24 PCIe Lanes üben den AM4 Sockel rausgeführt ist und das zweite CCX über Infinity Fabric (hier 8 PCIe Lanes) an den ersten CCX gekoppelt ist. Das bedeutet dann aber auch, dass die ganze Speicheranforderung vom zweiten CCX durch den ersten CCX muss (es muss ja durch seinen Ramcontroller). Der Ryzen hat 2 Load/Store Units, die entweder 2 Loads oder 1 Load und 1 Store können. Ein Load ist immer ein Byte (außer da hat sich was in den letzten 20 Jahren was fundamental geändert). Rechne einfach mal aus: 2 Loads mal 8 Kerne mal 3,6 GHz macht so ca 53 GiB/s. Diese Bandbreite kann ein Ryzen unter Benutzung aller 8 Kerne erreichen (mit den Turbos wird es noch etwas mehr). 2x DDR4-2666 sind theoretisch 42 GiB/s, real sieht man hier mit etwas Glück vielleicht 35 GiB/s. Der Ryzen 7 hat also offenbar Rambandbreiten Problem. Und wenn das Setup wirklich so ist, wie da oben beschrieben, dann ist das Bandbreitenproblem beim zweiten CCX wirklich übel. 8x PCIe gen3 (die Infinity Fabric Verbindung) macht nicht mal 8 GiB/s. Da kommt dann noch die ganze Cache-Coherenz für die 3 Cache-Stufen dazu.
Nimm jetzt mal ein aktuelles Spiel her, dass vermutlich sogar seine Texturen herein streamt. Stell dir mal vor das benutzt mehr als 4 Threads, sodass dann welche auf dem zweiten CCX laufen. Da ist nicht nur die Bandbreite ein Problem, sondern auch noch die Latenz. Oder kurz gesagt, der Ryzen 7 ist in allem gut was 4 (oder weniger) Threads benutzt oder hauptsächlich in den ersten beiden Cache Stufen stattfindet (vermutlich sehen deswegen auch die Raytracing Benchmarks so gut aus). Das Problem ist weniger die Architektur, ich finde sie sogar ziemlich gut. Das Problem ist wohl eher der AM4 Sockel, der einfach zu wenig Pins hat um 4x DDR4 und 32+ PCIe Lanes rauszuführen. Wie oben schon gesagt, bei der Server Variante ist alles korrekt gemacht. Diese CPU sind 4 CCX Module mit 8x DDR4 und 96 PCIe Lanes, die über den neuen Sockel rausgeführt werden.
Update: Ein dritter Einsender hat dieses Ryzen-Architektur-Diagramm ausgegraben, auf dem es nicht so aussieht, als müsste der zweite CCX seine Anfragen durch den ersten durchrouten.
Hier sind die Details. "Cloudbleed" :-)
Update: Das Security-Blog von Google dazu. Und hier ist ihre Demo-Seite.
Update: Die bekanntesten Benutzer von SHA1 (neben Gammel-X.509-CAs) sind Bitcoin und git, und Bitcoin ist schon vor Jahren wegmigriert. Das wird sicher kompatibilitätstechnisch sehr schmerzhaft, aus git SHA1 rauszuoperieren.
Update: Bittorrent basiert auch auf SHA1. Und die Abmahnungen der Abmahnindustrie basieren auch auf SHA1. Das könnte jetzt also vor Gericht spannend werden.
Gut gemacht! Schön weiter nach vorne beugen, Apple ist noch nicht fertig.
Google hat eine Windows-Lücke offengelegt, für die Microsoft keinen Patch hat.Laut Google-Police hatte Microsoft 90 Tage Zeit. Drei Monate. DREI MONATE!
Betrifft nur OpenSSL 1.1, d.h. wurde nach Verkünden des neuen Security-Fokus von OpenSSL eingebaut.
Einmal mit Profis arbeiten!1!!
Ich habe das in den letzten Jahren nicht mehr verfolgt, aber früher konnte man das zum Beispiel von einer Webseite aus auslösen. Ich vermute fast, dass das immer noch so ist.
Das ist ein echt peinlicher Bug. Ich vermute mal, dass da Köpfe für rollen werden. Vor allem ist das an einer Stelle, an der Microsoft enorm Ressourcen draufgekippt hat, inklusive externer Consultants (ich habe zwar bei Microsoft Code auditiert, aber glücklicherweise nicht SMB2 — das wäre jetzt echt peinlich). Das wird sicher ein spannendes Post-Mortem.
Gut, dass man bei Cisco immer den Wartungsvertrag mitkauft, gell? *nudge* *nudge*
Aber wie sich rausstellt: Stimmt nicht. Ich frage mich langsam, was passieren muss, damit Jürgen Schmidt aufhört, Antiviren als notwendig zu verkaufen. Das ist ja eine Sache, wenn er mir nicht glaubt, der ich in meiner beruflichen Laufbahn den Quellcode von einigen Schlangenöl-Implementationen gesehen habe, aber da aus NDA-Gründen keine Details veröffentlichen kann. Aber wenn dieser Firefox-Mitarbeiter aus dem Nähkästchen erzählt, da kann man ja wohl kaum "ach das denkt der sich doch bloß aus" zurechtrationalisieren?!
Also, lieber Jürgen. Sag mir doch mal. Was müsste passieren, damit du deine Position revidierst?
Müsste deine Mutter Ransomware über eine Schwachstelle in einem Antivirus installiert kriegen?
Ich meine das völlig ernst. Was müsste passieren?
Denn mir geht langsam die Fantasie aus, was für Szenarien da noch möglich wären, um die seit Jahren naheliegende Schlussfolgerung zu widerlegen, dass dieses Antivirus-Fanboy-Schreibertum bei Heise letztendlich Dogma ist. Religiöse Verblendung.
Wieso verkauft Heise eigentlich keine Antiviren? Bisschen Kickback der Hersteller einfangen? Tolles Geschäftsmodell! Von der Berichterstattung her könnte Heise ja kaum noch tiefer mit den AV-Herstellern unter eine gemeinsame Bettdecke rutschen.
Egal, wie viele Bugs es gibt. Bugs passieren halt. Installieren Sie den neuen Patch, dann sind Sie wieder sicher!1!!
Update: Ein Einsender meint, dass Heise einmal im Jahre der c't eine "desinfec't"-DVD beilegt, das sei ja auch sowas wie ein Verkauf von Antiviren. Kann man bestimmt so sehen, ja. Zumindest ist es ein Anfixen :-)
Update: Ohne da ins Detail gehen zu können, schließe ich mich übrigens der Einschätzung an, dass das Schlangenöl von Microsoft noch am wenigsten neue Angriffsoberfläche aufreißt. Ich hatte die Details schonmal grob dargelegt.
Update: Ich habe eine Mail von Jürgen Schmidt gekriegt. Er weist meine Kritik von sich und findet, dass seine Berichterstattung sogar aktiv für das Hinterfragen der Position steht, dass AV-Software wichtig und nötig ist. Das würde ich auch gerne so sehen, und es stimmt auch, dass er häufiger negative Meldung zu Schlangenöl bringt, aber tut mir leid, das hat ihm auch niemand vorgeworfen, dass er negative Meldungen zu AV-Software unterdrückt. Was mich an dem vorliegenden Artikel am meisten geärgert hat, war dieser Satz:
Nun lässt sich das nur allzu leicht als Unsinn abtun – etwa indem man auf die fatalen Konsequenzen ungeschützter Systeme verweist.
Hier wird per Nebensatz unhinterfragbar als Prämisse etabliert, dass a) AV Schutz bietet, b) Systeme ohne AV ungeschützt sind, und c) es fatale Konsequenzen hat, kein AV einzusetzen. Ich bestreite alle drei Prämissen. Wenn dieser Satz nicht in dem Artikel gewesen wäre, hätte ich nichts gesagt. Der Rest des Artikels ist aus meiner Sicht Berichterstattung und neutral gehalten. Da hätte ich mir zwar immer noch gewünscht, dass Heise Security ihre editoriale Reichweite nutzt, um den Leuten deutlich zu machen, dass da nicht nur irgendein Spinner Dinge behauptet, und dass Heise das auch so sieht. Aber das hätte mich nicht genug ärgert, um dazu einen Blogpost zu machen.
Update: Jürgen Schmidt schrieb mir jetzt, dass er diesen Satz anders gemeint hat, als ich ihn verstanden habe. Er wollte damit den Leser da abholen, wo er ist. Er verwehrt sich auch gegen den Eindruck, die Redaktion sei gekauft, von wem auch immer. Ich möchte hier nochmal explizit darauf hinweisen, dass ich das auch nicht vorgeworfen habe. Das Schreibertum von Heise liest sich meiner Meinung nach so. Das heißt nicht, dass irgendjemand tatsächlich gekauft ist — nichtmal, dass das Dogma Absicht ist oder bewusst stattfindet.
Ich habe Jürgen gebeten, einfach mal ein Statement zu veröffentlichen, was das klarstellt. "Wir bei Heise sind keine Antivirus-Proponenten und unsere positive Berichterstattung sollte nicht als Werbung missverstanden werden". Wenn ich Jürgen richtig verstanden habe, ist das bei Heise eh so. Also würde so ein Statement ja auch niemandem wehtun. An anderer Stelle ist Heise ja schon vorbildlich, z.B. wenn sie dranschreiben, dass ein Hersteller dem Journalisten die Reise bezahlt hat. Wenn es sich hier wirklich um ein Missverständnis handelt, können wir das ja mal eben kurz und schmerzlos auflösen. Your move, Heise.
Update: Angesichts dieses Artikels muss ich meine Kritik an Jürgen Schmidt in der Tat zumindest partiell widerrufen. Da schreibt er
vieles von Böcks Kritik trifft voll ins Schwarze
Ich sehe aber immmer noch einen Unterschied zwischen dem Anerkennen von Fakten und dem Aussprechen der sich daraus ergebenden Bewertung, dass Antiviren grundsätzlich nicht vertrauenswürdig sind. Das blieb Heise bisher schuldig.
Lasst euch das eine Lehre sein und testet bei allen Backups immer, ob sie auch wieder einspielbar sind.
Es klaffen mehrere Schwachstellen in unterschiedlichen Parsern – insgesamt sind den Lücken 42 CVE-Nummern zugeteilt.
Update: Das Git-Repository von tcpdump hat noch keine Fixes. m(
Update: Das ist ein encfs-Wrapper, nicht Full Disk Crypto. Und wer encfs ohne dieses Cryptokeeper benutzt, ist nicht betroffen.
*fluch* *schimpf* *mecker*
Gute Nachrichten: Ihr braucht keine Fernwartungssoftware mehr!
Das Problem in Mediaserver, das sie da herausheben, der Einzeiler-Patch (das ist übrigens nicht ungewöhnlich) ist im libopus-Repository seit einem halben Jahr gefixt. Wieso hat Google so lange gebraucht?
Der Einsender meint, er habe mal bei Firefox geguckt, und da ist das auch noch ungefixt im aktuellen 51er-Prerelease. Wieso braucht Firefox eigentlich so lange?
Wieso liefern diese ganzen Idioten eigentlich überhaupt eigene Kopien von Upstream-Repositories aus?! Das ist ein völlig sinnloser Angriffsvektor.
Zu ihrer Verteidigung muss man allerdings auch vorbringen, dass Opus das nicht als Security-Fix gekennzeichnet hatte, und mit dem nächsten Release bis vor ein paar Tagen gewartet haben.
And this is why we cannot have nice things.
Update: Man muss auch dazusagen, dass dieser Patch jetzt nicht so dramatisch aussieht. Das eigentliche Problem ist also vermutlich ein Folgefehler von dieser Zeile. (Danke, Michael)
Ich wollte das ja erst nicht glauben, aber scheint zu stimmen.
In Soviet Russia, Ansible automates YOU! :-)
Aber das ist ja auch eine Art Sippenhaft. Ich will das mal umdrehen, um mich da besser reinzuversetzen. Was ist, wenn ich auf eine Site linke, beispielsweise die Metronauten. Und dann schlägt da aus meiner Leserschaft ein hässlicher Mob auf. In den Kommentaren schimmert das ein bisschen durch, aber die moderieren ihre Kommentare mit harter Hand dort. Den ganzen Klärschlamm sieht man gar nicht. Der schlägt da aber auf. Und belastet natürlich die Leute dort.
Nach meiner Einschätzung der Linken oben bin ich natürlich auch verantwortlich für die Leute, die meinem Link folgend die Metronauten vandalisieren.
Klar, ich kann mir da jetzt Ausreden ausdenken, wie wir sie auch von den Linken gehört haben, wenn ich radikale Elemente unter ihnen kritisiere. Was kann ich denn bitte schon dagegen machen, dass ich auch von Arschlöchern gelesen werde? Soll ich nicht mehr auf die Metronauten linken? Soll ich mir quasi selbst den Mund verbieten, aus Angst, ich könnte ungewollt marodierende Arschlochhorden dirigieren? Nein. Das sehe ich nicht ein. Sah ich noch nie und sehe ich auch jetzt nicht ein. Ich blogge hier nicht für irgendwelche Leute, sondern für mich. Ich blogge meine Gedanken, wenn ich über Dinge nachdenke. Die Vorstellung, mich in meiner geäußerten Gedankenwelt zu beschneiden, um andere Leute nicht in Versuchung zu bringen, sich wie ein Arschloch zu verhalten, scheidet für mich aus. Da würde ich lieber das Blog ganz zumachen. Und auch das wäre nicht freiwillig und ich empfände es ähnlich krass als würde mich ein totalitaristischer Staat dazu zwingen.
Ich bin die Tage gefragt worden, warum es mich denn nicht stört, dass ich Leser aus dem rechten Spektrum habe. Also erstens: Ich habe keine Erkenntnisse zu meinen Lesern. Ich befrage die nicht, ich logge die nicht mal. Dass da auch Rechte dabei sind, das kann man anhand von Reaktionen im öffentlichen Raum schlussfolgern, aber Daten aus erster Hand liegen nicht vor.
Ich empfand die Frage als Frechheit, denn a) wer bist denn du bitte, mir vorzuschreiben, mit wem ich reden darf, b) wer bist denn du bitte, dass du denen vorschreiben willst, was sie lesen dürfen, c) empfinde ich als Gewinn, wenn mich Rechte lesen, denn dann kriegen die wenigstens überhaupt aus irgendeiner Quelle gelegentlich noch humanistische Werte vermittelt.
Aber ich kann mich dem nicht verschließen, dass Links von mir anderen Menschen indirekt schaden.
Eine Lösung habe ich nicht.
Was ich aber habe ist eine klare Ansage: Wer meinem Blog folgend anderswo Schaden anrichtet, wer mein Blog statt zum Erkenntnisgewinn und Nachdenk-Anregen als Zielleitsystem für Gewalt nutzt, der ist hier nicht willkommen. Wo derjenige sich im politischen Spektrum verortet, spielt für mich an der Stelle keine Rolle. Bitte lasst das sein.
Wenn du, lieber Leser, dir gerade nicht sicher bist, ob du gemeint bist, dann bist du wahrscheinlich gemeint.
Man kann auch Erkenntnisse gewinnen, ohne anderen Menschen Gewalt anzutun. Man kann nicht nur, man muss!
Wer es anders handhabt, soll sich etwas schämen und sich hier als rausgeschmissen betrachten.
Rund 70 Prozent der muslimischen Lehramtsstudenten in Deutschland lehnen die Evolutionstheorie ab, fast 60 Prozent bestreiten, dass der heutige Mensch aus affenartigen Vorfahren hervorgegangen ist.So und jetzt gehen wir mal zur Primärquelle. Scrollt da mal runter bis zur Abbildung 1.
Also, mit Verlaub, dass in der Kontrollgruppe nur gut 80% Evolution für eine wissenschaftlich anerkannte Theorie halten, halte ich für eine mittlere Katastrophe. Aber bei Fundichristen und Moslems sind es nur die Hälfte.
Komisch, wie es bei der Giordano-Bruno-Stiftung nur die Moslems in die Berichterstattung geschafft haben!
Aus meiner Sicht haben Leute, die die Evolution nicht für eine wissenschaftlich anerkannte Theorie halten, an einer Hochschule nichts verloren.
Update: Einsender 1:
die Medienkompetenzübung geht noch weiter. Was du da verlinkst ist nicht die ursprüngliche Quelle der Daten, sondern auch nur eine Aufbereitung der eigentlichen Primärdaten. Die eigentliche Primärquelle ist von schon 2010 und auf sie wird unten verwiesen. Wenn man da reinschaut, findet aber durchaus problematische Items mit besonders geringer Zustimmung wie bspw. "Über Milliarden von Jahren haben sich alle Tiere und Pflanzen aus einem gemeinsamen Vorfahren entwickelt;" (Hier kann man durchaus vernünftig der Meinung sein, das es möglicherweise ein kleines Grüppchen von gemeinsamen Vorfahren gab, und keinen einzelnen.)
"Die Methoden, die zur Altersbestimmung von Fossilien und Gestein verwendet werden, sind nicht genau;" (Was genau heißen soll ist nicht weiter definiert und die Altersbestimmungen haben durchaus erhebliche Meßfehler.)
Zusätzlich kommt noch dazu, dass fowid von GBS gegründet wurde.
Die GBS bezieht sich im Grunde also auf sich selbst und das Fowid ist eben auch eher Lobbygruppe als Forschungsinstitut.
Und Einsender 2:
Muslime und Freikirchler waren gerade mal mit 39 bzw. 27 Leuten an der Umfrage beteiligt. Da ist die Samplegröße einfach mal sehr klein und die Fehler sind entsprechend gross. Zum anderen stimmt die Aussage, dass fast 60% die Theorie ablehnen würden, nicht, da die 41% die Stimmen enthalten, die "stimme voll zu" bzw. "stimme zu" gestimmt haben. D.h. bei den knapp 60% sind auch die enthalten, die "bin unentschieden" gestimmt haben, was zwar auch nicht für denjenigen spricht, aber erst mal keine Ablehnung als solche darstellt.
Das wäre in etwa so, zu behaupten, dass Agnostiker die Existenz Gottes ablehnen.
Wenn dann die fraglichen "wissenschaftlich Herausgeforderten" dann auch noch zu denjenigen gehören, die Lehramt Religion studieren (das wird in dem Text ja nicht weiter aufgeschlüsselt), wäre auch noch ein guter Grund gefunden, wieso es zu solchen Ansichten kommt. Dann könnte man deinen Punkt gleich auf "was haben solche Studiengänge an einer Hochschule zu suchen" ausdehen, die Diskussion gibt es aber schon (und schon länger ;-)
Update: Jetzt korinthenkackt hier noch jemand, dass ich das Wort „Kontrollgruppe“ falsch benutzt habe. Ja, habe ich. *stöhn*
Update: Leserkommentar:
Dein Einsender schreibt "Über Milliarden von Jahren haben sich alle Tiere und Pflanzen aus einem gemeinsamen Vorfahren entwickelt;" (Hier kann man durchaus vernünftig der Meinung sein, das es möglicherweise ein kleines Grüppchen von gemeinsamen Vorfahren gab, und keinen einzelnen.)
Das kann man vernünftigerweise nicht (wikipedia hat einen guten Artikel zur Evidenz eines gemeinsamen Vorfahren). Seit letztem Jahr weiss man vielleicht sogar recht gut wie der aussah!
http://www.nature.com/articles/nmicrobiol2016116
Leider Paywall noch, aber Erkenntnisse aus Düsseldorf(!)
Clapper told lawmakers that Putin-backed actors were already carrying out similar activities in Europe in the runup to elections later this year.Ich bin mir sicher, dafür liegen genau so krass unterzeugende Beweise vor wir für das Russen-Hacking gegen die US-Wahlen!Oh, aber warte, Clapper hört die Kritik und antwortet:
The debate over Russian influence operations in the U.S. presidential election will enter a dramatic new phase next week when the intelligence community releases a public version of its report on the matter.Öhm, ob sie den hier meinen? "Nächste Woche" kam schneller als geplant? Der ohne konkrete Inhalte, dafür mit "they hate us for our freedom"?OK also damit ist eine Sache klar: Wenn Clapper das so öffentlich im Senat ansagt, dann haben die Amis das auch schon seit Wochen immer wieder unseren Diensten reinzudrücken versucht. Nicht Beweis durch Zirkelschluss, sondern Beweis durch im Zirkel sich gegenseitig glauben. Beweisfrei behaupten die Amis gegenüber den Europäern, "Der Russe" wolle die Wahlen fälschen, mit Verweis darauf, wie Putin persönlich die Wahlcomputer gehackt hat (oh nee warte, doch nicht, das mussten sie als Fußnote in dem oben verlinkten 2. Report zurückziehen, den Claim). Die Europäer machen sich öffentlich Sorgen, "Der Russe" könnte unsere Wahlen hacken. Und das nehmen dann die Amis innenpolitisch als Beweis dafür, dass "Der Russe" ja tatsächlich weltwelt Wahlen manipuliert. Damit kann dann jeder gut leben!
Update: Ich komme darauf, weil der Irakkrieg ja auch so lief. Die Amis haben den Briten reingedrückt, dass der Irak gefährlich ist, woraufhin sich Tony Blair Bullshit-Angstszenarien aus dem Arsch gezogen hat, und die haben dann wiederum die Amis benutzt, um innenpolitisch ihren Krieg gegen Saddam Hussein zu legitimieren.
Es war also höchste Zeit, da mal was zu machen, und der Ansatz, über den ich mich auf dem 33c3 ein bisschen mit Ulf Buermeyer unterhalten habe, der da Gründer und Vorsitzender ist, ist die Gesellschaft für Freiheitsrechte mit der nicht zufällig EFF-nahen Abkürzung GFF.
Deren aktuelle Aktion ist eine Klage gegen das neue BND-Gesetz. Das klingt jetzt ein bisschen nach Feuerwehreinsatz, um ein in den Brunnen gefallenes Kind rauszuziehen, und das stimmt ja auch irgendwie, aber das muss halt auch jemand machen. Die GFF hat aber auch langfristig das Ziel, die Community mal aus der Defensive zu holen und ein paar strategische Klagen zu führen.
Das Hauptproblem an der Sache ist, dass die EFF und die ACLU zehn- bis hunderttausende von Fördermitgliedern haben, und daher natürlich viel mehr Aktionsspielraum haben als so eine Neugründung. Damit das etwas werden kann, brauchen wir hier in Deutschland auch eine Kultur des Spenden-Abos, ein Akzeptieren der eigenen Verantwortung, Dinge besser zu machen, und nicht bloß darauf zu warten, dass da mal jemand was tut.
Ich würde euch also alle mal bitten, mit euren Bekannten das Gespräch zu suchen in dieser Angelegenheit. Welche Organisation das am Ende macht ist ja erstmal zweitrangig, aber dieses "ich bin unzufrieden, also spenden ich mal jemandem was, der das dann besser macht" ist in den USA viel üblicher als bei uns, und ich fürchte, dass wir da auch hinkommen müssen. Das muss man letztlich sehen wie eine Spende für Amnesty oder Greenpeace oder das Rote Kreuz oder so. Nur dass es halt dem Erhalt des Rechtsstaates und der Freiheitsrechte hier bei uns zugute kommt. Die Leute reden immer von "unseren Werten", aber kaum jemand ist im Zweifelsfall auch bereit, dafür auch persönliche Verantwortung zu übernehmen. Wir zahlen Steuern, die benutzt werden, um es schlimmer zu machen. Ich fürchte, wir müssen auch sowas wie eine Gegensteuer zahlen, um es wieder besser zu machen.
Nachdem ich euch gesagt habe, dass die GFF eigentlich Langzeit-Spender-Abos braucht, sei auch noch mal explizit darauf hingewiesen, dass die auch kurzfristige Einmalspenden brauchen. Wer sich also das langfristige Commitment nicht leisten kann, sollte sich zumindest eine Einmalspende aus den Rippen leiern :-)
Die GFF wird übrigens auch bei Gaby Weber mithelfen. Und von Gaby Weber kann ich stolz verkünden, dass da jetzt "die ersten Runden finanziert sind" und sie sich jetzt mit der juristischen Streitaxt ins Scharmützel stürzt. Vielen Dank an alle edlen Spender, und vielleicht brauchen wir ja bald keine Direktspendenaufrufe von Klägern wie Gaby nicht mehr, weil wir die GFF haben, die dann einspringt.
Ja? Echt? Warum denn bitte!? Wie krass müssen die denn noch verkacken? Hat das OpenSSL-Desaster nicht gereicht? Oder das xscreensaver-Debakel? Der letzte APT-Totalschaden?
Übrigens ist damals wie heute die korrekte Reaktion nicht "mal die Pakete updaten" sondern "mal das System komplett frisch aufsetzen".
A HPE storage network that crashed on Monday caused the loss of 1 petabyte of data and the downing of the Australian Tax Office’s online services.Immer schön Backups machen!
Ja, aber, fragten die Unternehmer, ich betreibe hier eine große Zementfirma, unsere Emissionen sind so unfassbar viel, das tötet unser Geschäftsmodell und macht all diese Wähler arbeitslos!
Na gut, sagte die Politik, dann verteilen wir Gratis-Zertifikate. Eine gewisse Grundemission ist ja auch OK. Und die Firmen, die ordentlich ihre Emissionen gesenkt haben, die können ja ihre ungenutzten Zertifikate weiterverkaufen, so belohnen wir umweltbewusste Unternehmer!
Win-win-win!!1!
Die europäische Großindustrie hat durch Sonderrechte im EU-Emissionshandelssystem in den vergangenen Jahren 25 Milliarden Euro Extraeinnahmen abgeschöpft. […] Das liegt an den kostenlosen Emissionszertifikaten, die Staaten an Unternehmen aus energieintensiven Branchen wie Stahl oder Zement verteilen durften. Da die Konzerne mehr bekamen, als sie brauchten, fluten sie das System mit Verschmutzungsrechten.Ergebnis: Für ne Tonne CO2-Emission muss man 4 Euro 50 zahlen.
Hätten wir doch nur auf Jeff Goldblum gehört!
Das Bundesinnenministerium hat im Jahr 2011 Router für 27 Millionen Euro angeschafft und nie genutzt.Gut, müsste man ein bisschen abstauben.
Es kursiert in Korea seit einiger Zeit das Gerücht, dass eine Geheimgesellschaft namens "8 Göttinen" die Präsidentin aus dem Schatten kontrollieren.Der Einsender schickt diesen Link mit, der ein paar Details hat.Das klingt natürlich alles nach 100% Echsenmenschen-Aluhutverschwörung, jedoch tauch vor einer Woche ein Whistleblower auf und bestätigt das alles.
Danach tritt plötzlich die Präsidentin auf den Plan, bestätigt den Leak und entschuldigt sich auch noch im nationalen Fernsehen.
Ein anderer Einsender weist darauf hin, dass auch Schamanen und Pferdetänze involviert sind.
Noch ein anderer Einsender empfiehlt diesen Blogpost und fasst zusammen:
Danach war die Präsidentin eine Anhängerin einer Sekte bzw. vor allem der charismatischen Führerin Choi Soon-sil und ihre Regierungsgeschäfte wurden von dieser kontrolliert, während die Sektenführerin im großen Stil Geld veruntreut hat. Das Ganze nimmt sehr surreale Züge an, so hat sich die Präsidentin angeblich z.B. von Choi Soon-sil in billigsten Klamotten einkleiden lassen, die sie selbst auf Staatsempfängen getragen hat, während Soon-sil das Geld für die Klamotten veruntreut hat. Außerdem hat sie angeblich wichtige Positionen in der Regierung wahllos an Freunde der Sektenführerin vergeben (bis hin zur Fitnesstrainerin dieser), Staatsgebäude für rituelle Feste benutzt und die krassesten Verschwörungstheorien gehen sogar so weit, dass die Präsidentin Schuld am nationalen Unglück eines Untergangs einer Fähre mit Schulkindern vor ca einem Jahr ist, weil sie die Kinder im Rahmen eines religiösen Rituals opfern wollte (was auf eine alte koreanische Sage zurückgeht).Was für ein Halloween-Fnord!Eine etwas andere Sicht auf die Dinge kann man hier nachlesen. Danach gibt es wenig Beweise für die Theorien und die Präsidentin ist eine politische Außenseiterin mit wenig Support in ihrer eigenen Partei.
In dem Film schießt ein patriotischer Bundeswehrsoldatenheld das Flugzeug ab, rettet damit MILLIONEN, und dann kommt der fiese, feige, liberale Verräterstaat und dolcht ihm in den Rücken, stellt ihn vor Gericht. Der Richter in der Verhandlung ist das Fernsehpublikum, das kann dann im Internet abstimmen, ob er nicht doch freigesprochen werden soll. Wie in Hunger Games!
Auf dem Weg sind denen im öffentlich-rechtlichen Rundfunk wohl ein bisschen die Details durcheinandergeraten, wofür wir das System des öffentlich-rechtlichen Rundfunks eigentlich haben.
Update: Ein Einsender kommentiert:
gab es in ähnlicher Weise schon mal vor 46 Jahren (uh, bin ich alt geworden).
Da war (für mich damals) Realität und Fiktion kaum zu unterscheiden.
Update: Das basiert auf einem Theaterstück, ja. Gegen das Theaterstück habe ich nichts gesagt, nicht weil ich das nicht wusste, sondern weil die nicht öffentlich-rechtlicher Rundfunk sind, und weil eine Mobabstimmung im Theater ein anderes Umfeld ist. Da muss man sich persönlich mit den anderen Menschen auseinandersetzen, das ist was anderes. Und es ist auch klar, dass der Ausgang nur das Theater betrifft. Das kann man meiner Ansicht nach verteidigen, ja sogar gutheißen. (Danke, Martin)
Money Quote:
The default in Guile has been to expose a port over localhost to which code may be passed. The assumption for this is that only a local user may write to localhost, so it should be safe.Ja was kann DA schon groß passieren!1!!
Das Gesetz regelt, dass amtliche Informationen im Bundesarchiv erst dann eingesehen werden können, wenn eine Schutzfrist von dreißig Jahren abgelaufen ist. Das galt jedoch bisher nicht für Unterlagen, die bereits nach dem Informationsfreiheitsgesetz (IFG) prinzipiell offenstanden.
Wie jetzt? Aber das ist ja noch kein Grund, das Gesetz nach Gaby Weber zu benennen. Das hier ist der Grund:
Nach dem neuen Entwurf sollen Akten von Verfassungsschutz, Bundesnachrichtendienst (BND) und Co. nur noch dann dem Archiv angeboten werden, wenn die Dienste selbst keine „überwiegende[n] Gründe des Nachrichtenzugangs“ sehen. Danach könnte etwa der BND selbst entscheiden, ob er eigene Dokumente auch nach Jahrzehnten noch schutzwürdig findet – eine Regelung, die er zur extensiven Geheimhaltung ausnutzen könnte.
Öh, … und wieso machen sie das jetzt? Na wegen Gaby Weber!
In den letzten Jahren musste der BND unter anderem Unterlagen zu Adolf Eichmann herausgeben, die zeigen, dass die Vorgängerorganisation des BND fünf Jahre vor dem Mossad bereits Kenntnis vom Aufenthaltsort von Adolf Eichmann hatte. Nach der Gesetzesnovelle könnten solche Akten weiter im Giftschrank lagern.
Ja super!!
Update: Ein Leser dementiert:
die erste Behauptung, dass Akten die nach IFG schon benutzbar waren nun nicht mehr benutzbar sind, ist falsch. Im neuen BArchG werden in §11 Absatz 5 die Schutzfristen außer Kraft gesetzt, wenn die Akten schon nach IFG benutzt wurden.
Die Schutzfristen der Absätze 1 bis 3 sind nicht auf Archivgut des Bundes anzuwenden,
- das aus Unterlagen besteht, die bereits bei ihrer Entstehung zur Veröffentlichung bestimmt waren, oder
- soweit es aus Unterlagen besteht, die vor der Übergabe an das Bundesarchiv nach einem Informationszugangsgesetz zugänglich gemacht worden sind.
Das Gegenteil ist eigentlich der Fall, früher gab es das Paradoxon das offene Akten wieder eine Schutzfrist bekamen wenn sie Archivgut des Bundes wurden. Dies wurde aber auch schon im derzeit gültigen Archivgesetz geändert.
Tsjaha, die Springer-Presse, die letzte Bastion des investigativen Journalismus in Deutschland. Bekannt durch Reportagen wie, … äh … *blätter* … uhm … *raschel* Oh schaut nur, schon so spät *wegrenn*
Ich denke mal, die wollten sich in Sachen Rektal-Feng-Shui bei den Diensten vom "Focus" nicht die Butter vom Brot nehmen lassen.
Auf der anderen Seite schreiben sie da Behauptungen, die für mich als Laien schon so klingen, als müsste man sie inhaltlich prüfen, beispielsweise:
Die betroffene Terrorgruppe Fatah al-Scham, wie sich die Nusra-Front längst nennt, bezeichnete das Interview als eine „Lüge“. Man kenne den Kommandeur nicht, mit dem der deutsche Journalist gesprochen haben will, und auch keinen anderen, der das getan hätte.Da stellt sich ja für mich die Frage: Wenn die Springer-Presse Kontakte zu Terrorgruppen in Syrien hat, wieso publizieren die dann nicht mal ein Interview mit denen?
Auffallend ist zudem, dass Abu al-Ezz weder den religiös verbrämten Sprachduktus der Islamisten hat noch die sonst unter den Rebellen üblichen Sprachfloskeln benutzt. Er hat auch Probleme, die islamistischen Fraktionen auseinanderzuhalten. „Das ist nie ein Mann von Fatah al-Scham“, meinen syrische Revolutionsaktivisten. Das Video sei eine Fälschung. Daran gebe es für sie keinen Zweifel.Syrische … was? Syrische Revolutionsaktivisten? DAS nimmt die Springerpresse in den Mund und tut nicht mal Gänsefüßchen drum?! Au weia.
Todenhöfer hat auf die Vorwürfe reagiert:
Todenhöfer bestreitet die Fälschungsvorwürfe. Er habe die Identität von Abu al-Ezz recherchiert und wisse „praktisch alles über diesen Mann.“ Er sei „einfacher, nicht hochrangiger Kommandeur“ und auch „kein Salafist“, sondern ein „Kriegsknecht“, der bei der Nusra-Front nur wegen der besseren Bezahlung diene.Bisher 1:0 für Todenhöfer, würde ich sagen?
Update: Allerdings: Nur weil Springer keine Glaubwürdigkeit genießt, heißt das nicht ja nicht, dass sie nicht trotzdem zufällig recht haben könnten. Hier ist zum Beispiel ein Blogger, der ähnliche Vorwürfe erhebt. (Danke, Alexander)
Einmal mit Profis arbeiten!
Ich kann hier übrigens seit Wochen kein Rust kompilieren, weil deren Packaging-Tool cargo openssl benutzt und das Modul dafür nicht mit Version 1.1 kompiliert.
Update: Chrome hat ähnliche Probleme (24GB/Tag).
Der Krieg der Tech-Giganten wird echt mit harten Bandagen geführt.
Ich denke das diese Leute es ernst meinen, dass die Strafverfolgungsbehördern hier gegen "Hatespeech" etc. vorgehen sollen. Das Verhaltensmuster kommt mir bekannt vor: Rede mit Gegenrede beantworten ist out, lieber wendet man sich an eine Obrigkeit, die das Problem für einen erledigt. Das ist natürlich sehr bequem, denn man erspart sich den unangenehmen Kampf.An den amerikanischen Unis ist das total In, dort hat man es auch mit einer Autorität zu tun, auf die man viel unmittelbarer Zugriff hat als auf eine Staatsanwaltschaft.
Der Druck auf die institutionalisierte Autorität wird via moralischer Erpressung ausgeübt.
"X is voll rassistisch" etc. Der Trick dabei ist es, vorher ein Klima zu schaffen, in dem eine Autorität es sich nicht gefallen lassen kann, dass man ihr vorwirft, nicht entschlossen gegen Sexismus/Rassismus/X vorzugehen. (Deswegen muss man auch immer neue Dinge als Rassismus definieren. Wäre ja blöd wenn so ein griffiges Schlagwort ungenutzt bliebe. Vgl: Vor 50 Jahren war Rassismus, wenn der Prof was von "Drecksnegern" geredet hat, heute ist es Rassismus, wenn die Verwaltung nicht die gleiche Demographie wie die Studentenschaft hat.)Das ganze Vorgehen hat was von Virtue Signaling, weil man nicht mit dem spricht, mit dem man eigentlich grade spricht. Das Messaging ist hier aber nicht an die Masse der Zuschauer gerichtet, sondern an eine höher gelagerte Autorität. (Das students council, die Unileitung, hier die Strafverfolgungsbehörden)
Das hat auch was von Plattformbesetzung.Ich denke, dass diese ganze "Hatespeech"-Kampagne ein Vorspiel für genau sowas ist. Die Rechten machen sowas die ganze Zeit vor: Wird das Klima auf die richtige Weise vergiftet, kommt die gewünschte Reaktion von alleine. Die gesamte "Sicherheitspolitik" der Union funktioniert genau auf dieser Schiene.
Aber das Klima vergiften ist halt richtig Arbeit und wir haben es hier mit Dilettanten zu tun, die wenig Erfahrung haben, "Hatespeech" ist nicht so leicht medial transportierbar wie "Rapefugees" etc. (Du kennst sicher noch Hunderte Beispiele.)
Deswegen lassen die sich auch absichtlich so gern beschimpfen: Neben dummer Kritik und inhaltlicher Kritik gibts natürlich immer auch ein paar echte Nazis die irgendwas unvorstellbar Ekliges ablassen. So ist das nunmal auf Social Media. (Und es gibt noch Zusatzpunkte in der jeweiligen In-Group.)Ich bezweifle übrigens, dass das in diesem Fall in Deutschland funktionieren wird. Lethargische Strukturen in Verwaltungen und Behörden sind ein guter Schutzmechanismus vor staatlicher Übergriffigkeit, und die zu besetzende Plattform, damit das wirklich wirksam wird, ist einfach zu groß. Das macht es aber auch zu einem interessanten Ziel.
Das Ganze ist auch ein delikates Thema, denn eine Polizei, die auf sowas erstmal gar nicht mehr reargiert, ist antürlich auch scheiße.
Die waren ja bei dem NSA-Malware-Dump prominent vertreten.
Cisco fixt jetzt doch mal die 0days der NSA, also die öffentlich gewordenen.
Cisco schmeißt übrigens demnächst mal 20% ihrer Mitarbeiter raus. Ich bin mir sicher, das hat nichts damit zu tun.
Update: Im Pastebin-Original steht sogar noch das hier:
Q: Why not do coordinated disclosure?
A: The Teamspeak developers censor their forums and sweep vulnerabilities
under the rug as "crashes". I am not comfortable with that. Furthermore I
fear legal action from them.
Das ist wohl keine gute Idee. Lieber auf Blockdevice-Ebene RAID machen und dann normal btrfs drüber. Oder lieber gar kein btrfs und lieber ext4; da weiß man wenigstens, dass das gut abgehangen ist :-)
ISSUE DESCRIPTIONAber macht euch keine Sorgen, denn das betrifft bloß Paravirtualisierung auf x86!1!!
=================The PV pagetable code has fast-paths for making updates to pre-existing pagetable entries, to skip expensive re-validation in safe cases (e.g. clearing only Access/Dirty bits). The bits considered safe were too broad, and not actually safe. IMPACT ====== A malicous PV guest administrator can escalate their privilege to that of the host.
Benutzt Passwort-Manager, sagten sie! Dann ist das sicher, sagten sie! :-)
Hier ist, was der CEO neulich sagte:
BLACKBERRY CEO John Chen has said he is "disturbed" by Apple's tough approach to encryption and user privacy, warning that the firm's attitude is harmful to society.[…]
Chen remarked: "We are indeed in a dark place when companies put their reputations above the greater good."
Heilige Angriffsoberfläche, Batman! Fehlt ja nur noch eingebettetes Flash!
There is yet another hack for users of popular social media sites to worry about. Hackers may have used malware to collect more than 32 million Twitter login credentials that are now being sold on the dark web. Twitter says that its systems have not been breached.
Zu den Vergewaltigungsvorwürfen kann ich nichts sagenaufgemacht, damit auch wirklich dem letzten Lesekompetenz-Durchfaller klar ist, dass sich das Folgende auf die anderen Vorwürfe bezieht.
Dass die anderen Vorwürfe in dem verlinkten Tor-Artikel nicht vorkommen, liegt daran, dass ich diesen Pranger nicht verlinken will. Pranger sind Scheiße und ich spiele so etwas keine Aufmerksamkeit zu. Selbst wenn die inhaltlich Recht haben, und zwar auch mit den Vergewaltigungsvorwürfen, was ich nicht ausschließen kann.
Die Frage der Stunde sollte nicht sein, wer jetzt an was Schuld hat, sondern was wir an den Prozessen in der Community verbessern können. Wie können wir in Zukunft dafür sorgen, dass niemand glaubt, er müsse einen anonymen Internet-Pranger aufmachen, weil die anderen Optionen alle nicht wirken?
Zu den anonymen Anschuldigungen sind jetzt auch noch welche mit Namen dran gekommen, von Nick Farr. Nick hat jahrelang auf dem Congress und dem Camp mitgeholfen und ist in der Szene wohlbekannt und geschätzt. Nick wirft Jake jetzt Bullying vor und sagt, dass er deswegen nicht mehr zu den Congressen gekommen ist. Das hat mich relativ stark mitgenommen, weil ich nicht verstehen kann, wieso ich das jetzt Jahre später in so einem Kontext hören muss und nicht schon vorher. Nick sagt, er habe mit den Leuten gesprochen, denen er vertraut hat, und die hätten ihm nicht geholfen. Nicht nur das, die haben das auch unter Verschluss gehalten, den Buschfunk hat es nicht erreicht und bei mir kam es nie an.
Ob das jetzt inhaltlich stimmt oder nicht, ist nicht so einfach zu beantworten. Ich kenne Nick ungefähr so gut wie ich Jake kenne, ein paar Mal getroffen und unterhalten, eher aus der Ferne. Nick schien mir immer ein netter Kerl zu sein. Und dass er sich mit seinem Namen hinter seine Vorwürfe stellt, macht sie natürlich gleich viel glaubwürdiger. Aber es bleiben erstmal Vorwürfe, und solange ich da keinen Einblick habe, was wirklich passiert ist (und leider sind beispielsweise die Drohzettel aus seinem Hotel verloren gegangen und liegen nicht mehr als Beweismittel vor), kann ich das auch nicht intrinsisch höher bewerten als Jakes Unschuldsvermutung.
Ich ärgere mich gerade über zwei Dinge. Erstens über mich selbst, dass meine erste Reaktion ist: Der Jake ist doch schon immer ein Arschloch, habt ihr das nicht gemerkt? Das stimmt zwar und ist in diesem Fall auch richtig, aber was wenn der nächste ein freundlicher, wohlgekleideter, beredter Mensch ist? So jemand wie Nick Farr? Das kann man nicht immer vorher erkennen.
IN DIESEM FALL hätte man es vorher erkennen können, und meine Äußerungen stehen daher. Aber das Problem ist ja ein tiefer sitzenderes.
Die andere Sache, über die ich mich ärgere: Dass ich Jake das gönne, dass er bei Tor rausfliegt. Und ich weiß genau so wenig wie ihr, was an diesen Vorwürfen dran ist. Ich rede hier von der Unschuldsvermutung, aber emotional kann ich mich da selber nicht dran halten.
Ich bitte daher alle darum, diese konkreten Vorwürfe von "ich fand Jake schon immer doof" zu trennen, denn das scheint mir in der Community gerade Tenor zu sein. Einige Leute fangen jetzt an, Schmutz gegen Jake zu sammeln, der mit diesen Vorwürfen nichts zu tun hat.
Ich persönlich kann mit "der hat mich emotional ausgenutzt" als Vorwurf nichts anfangen. Zum Ausnutzen gehören immer mindestens zwei. Einer, der ausnutzt. Einer, der sich ausnutzen lässt. Und dann noch n Zuschauer, die nicht eingreifen. Jeder davon hat eine Verantwortung bei sowas. Man kann das nicht jahrelang geschehen lassen und dann mit dem Finger zeigen.
In einigen Mails kam das Argument, was denn sei, wenn man nicht weggehen kann, beispielsweise weil das der Arbeitsplatz ist. Mein Rat: GERADE DANN muss man weggehen. Das ist deine Lebenszeit! Die gibt dir keiner wieder, wenn du die so einem emotionalen Vampir opferst! Und da kannst du auch danach niemandem die Schuld zuschieben als dir selbst. Wenn du schon dir selbst gegenüber nicht genug Wertschätzung und Respekt aufbringen kannst, um dich aus solchen Situationen zurückzuziehen, wie kannst du es dann von Außenstehenden erwarten?
Das liegt vielleicht an meiner Sozialisierung und meinen Erfahrungen bisher, aber ich habe Schuldzuweisungen immer als Abwehrhandlung erlebt, mit denen jemand von seiner eigenen Verantwortung in der Sache ablenken wollte.
Zusammenfassung: Die Lage ist komplex und schwierig zu beurteilen. Lasst uns bitte von den Schuldzuweisungen wegkommen und gemeinsam überlegen, was man in Zukunft machen kann. Lasst uns überlegen, wie wir in Zukunft dafür sorgen können, dass sowas ohne Internetpranger geklärt werden kann.
Update: Eine Sache noch. Ich schreibe häufig, man soll halt zur Polizei gehen, und da kommt dann jedesmal der Hinweis, ich wisse nicht, wovon ich spreche, weil die Polizei in solchen Fällen total versagt und niemandem weiterhilft. Weiß ich. Trotzdem. Gerade dann ist es wichtig, dass die Statistik entsprechend aussieht. Wenn wir nicht hingehen, dann steht in deren Statistik, dass sowas nicht vorkommt, und dann kommt der Innenminister und streicht das bisschen Geld für den Bereich auch noch weg.
Dann gibt es da noch das Argument, dass es Überwindung kostet, zur Polizei zu gehen, wenn einem die Story peinlich ist. Klar. Aber das ist kein Argument. Du gehst ja nicht FÜR DICH zur Polizei, um Rache zu üben. Du gehst zur Polizei, damit jemand diesen Typen aus dem Verkehr zieht, damit nicht noch andere zu Schaden kommen. Wenn es nur um dich selbst ginge, dann wäre das ein Argument. Tut es aber nicht. Wenn ein Täter das nächste Opfer vergewaltigt, und du bist zur Polizei gegangen und die haben nichts gemacht, dann ist das deren Verkacken. Wenn du gar nicht erst hingegangen bist, ist es dein Verkacken. Aus meiner Sicht gibt es die Option "nicht hingehen" nicht, egal wie peinlich oder schwierig das ist und egal wie unwahrscheinlich es ist, dass die helfen. Als Opfer weißt du aus erster Hand, wie Scheiße das ist, Opfer zu sein. Es ist deine verdammte Pflicht, dafür zu sorgen, dass das anderen erspart bleibt.
Stellt euch mal vor, eure Tochter/Nichte wird vergewaltigt, und ihr erfahrt danach, dass es seit Jahren entsprechende Geschichten über den gibt, aber die anderen Opfer sind nicht zur Polizei gegangen. Hättet ihr dann nicht vergleichbar viel Hass auf den Täter wie auf die, die ihn nicht angezeigt haben?
Die ziehen BIOS- und andere Updates unsigniert per unverschlüsseltem HTTP.
Warum?
Die Umbenennung war 1935, und Iran heißt übersetzt "Land der Arier". Wikipedia schreibt:
Reza Schah begann auch die Politik der Hinwendung zum vorislamischen Iran, benutzte Krone, Mantel und Banner nach altiranischem Vorbild, führte den iranischen Kalender ein und verlangte ab 1935 – nicht ganz unbeeinflusst durch das nationalsozialistische Deutschland, zu dem der Schah gute Beziehungen unterhielt – vom Ausland, das Land Iran („Land der Arier“) und nicht mehr Persien zu nennen.Aber wie das häufig so ist, ist die Wahrheit ein wenig komplizierter. Gaby Weber hat dazu vor ein paar Jahren mal ein paar Akten aus dem Auswärtigen Amt befreit.
Zwischenzeitlich gab es nämlich die Propaganda-Story, dass der Iran sich umbenannt habe, um sich an die Nazis heranzumachen, oder auf "Einflüsterung" der Nazis, mit denen sie sympathisierten.
Stattdessen geht aus den Akten hervor, dass die Perser mit den Nazis alles andere als befreundet waren, besonders als die sich plötzlich ein Monopol auf das "Ariertum" anzueignen versuchten. Dieser Artikel ist so voller großartiger Details, dass ich ihn hier am liebsten in Gänze zitieren würde!
Das Fass zum Überlaufen brachte die Entscheidung der Nazis, ein Monopol für das Ariersein zu verkünden - das Markenzeichen der Perser seit dreitausend Jahren. Da musste der Leibarzt von Reza Khan, vor seinem Besuch in Berlin 1935 eine "besondere Genehmigung" einholen, weil er Jude war und für seinen geliebten Schah Medikamente einkaufen wollte. Eine Zumutung für den Pfauenthron!HARR HARR HARRAn deutschen Universitäten wurden persische Studenten, schahtreue junge Männer der Militärakademie, allein wegen ihres Äußeren, Opfer rassistischer Angriffe. Die Akten des AA und der deutschen Gesandtschaft in Teheran berichten, wie sie von Schlägertrupps der SA, den selbsternannten "Ariern", gedemütigt, öffentlich als "Polakken" beschimpft und von der Gestapo inhaftiert werden. Regelmäßig mussten sich die deutschen Diplomaten im persischen Außenministerium entschuldigen.
Die Namensänderung von Persien in Iran war wohl eher ein unfreundlicher Hinweis des Schah an Hitlers Adresse, wer hier Arier ist und wer nicht. "Eingeflüstert" wurde da nichts.
Macht Cloud Computing, haben sie gesagt! Ist voll sicher, haben sie gesagt! :-)
Schnell updaten!
Die Original-Meldung sieht allerdings deutlich weniger schlimm aus, sie betrifft exotische Imageformate wie UDF und HFS+ mit zlib-komprimierten Dateien drin. Reguläre .7z-Dateien scheinen nicht betroffen zu sein. Trotzdem natürlich sofort updaten.
echo "rootmydevice" > /proc/sunxi_debug/sunxi_debugDer github-Link zeigt allerdings inzwischen ins Leere.
Das war schon immer eine schlechte Idee, das ist einfach viel zu viel Code aus viel zu vielen Quellen. Diesen ganzen gammeligen Codecs zu trauen ist schon schwierig genug, aber typische ImageMagick-Installationen haben Dutzende von Codecs drinnen. Nur weil die Datei .jpg heißt und libjpeg aktuell OK aussieht, heißt das nochnicht, dass ImageMagick nicht beim Öffnen feststellt, dass das ein anderes Format ist und freundlicherweise den anderen Codec verwendet.
Leute, die in ihrem Web-Setup irgendwo ImageMagick (oder einen anderen Koloss vergleichbaren Umfangs) im Backend verwenden, sollten das unabhängig von diesem akuten Problem mal kritisch überdenken.
Bisschen Kontext. Money Quote:
Special thanks to Mr. D. J. Bernstein for refinements to the algorithm that allowed us to reduce the required workload considerablyDas sind übrigens die selben Leute, die auch hinter der Meldung hier standen. Damals war die Aufklärung, dass das Bitflipper waren, die dann auch keine gültige Signatur hatten, die man also auch gar nicht versehentlich verwenden könnte.
Das ist nicht der Punkt. Der Punkt ist das hier:
Vor allem Windows-Nutzern rät Adobe zu einem zügigen Update. Denn die Lücke mit der Kennung CVE-2016-1019 werde derzeit aktiv ausgenutzt. Das geschehe in Windows bis inklusive Version 10 und dem Flash Player 20.0.0.306. Kaspersky zufolge machen sich zwei Exploit-Kits die Lücke zunutze, um die Erpressungs-Trojaner Cerber und Locky auszuliefern.Jetzt vergesst mal bitte kurz den Flash-Teil.
Ihr solltet gerade alle den Arsch auf Grundeis haben.
Was wir hier gerade beobachten können, ist dass nicht mehr nur 0days einen Marktwert haben, sondern jede Sicherheitslücke.
0days sind rar und teuer. Gut, in diesem Fall war es auch ein 0day. Aber denkt euch das mal weg.
Das hier ist die Industrialisierung der Computer-Einbrüche.
Gut, einen Markt für gehackte Rechner gab es schon immer. Botnetz-Betreiber haben damit organisiertes DDoS gegen Online-Casinos und so gemacht.
Aber bei diesen Erpressungs-Trojanern vermute ich den möglichen Payout deutlich höher.
Und die Zeiten von "wieso würde mich denn jemand hacken wollen, ich habe doch keine wichtigen Daten" sind auch endgültig vorbei. Das redet sich hoffentlich niemand mehr ein.
Erstens: Fast immer heißt es "keine Zeit". Auch in Abwandlung als "andere Sachen sind wichtiger". Wir reden hier also von einer BWL-Betrachtung der Situation. Da kommen dann so Argumente wie "der Kunde hat ja schon gezahlt". Wieso sollte ich mich um Bugs kümmern, nachdem der Kunde gezahlt hat? Wichtiger ist es, neue Kunden zu gewinnen.
Daraus folgt dann spannenderweise direkt ein Argument für Abo-Modelle, SaaS und Cloud Computing. In den Fällen, würde man ja denken, hat der Betreiber einen direkten Anreiz, seinen Scheiß stabil zu kriegen. Denn er schadet sich nur selber, wenn es nicht stabil ist.
Aber dem gegenüber stehen dann Einsendungen aus der Spielebranche. So F2P- und Browserspiele meine ich jetzt. Die haben ja nun "wir schaden uns nur selbst" als Extrem, sozusagen in Reinform. Dem Argument folgend müssten die ja alle Bugs immer sofort fixen. Tun sie aber nicht. Im Gegenteil, da bleibt auch alles liegen. Deren Metriken sind die Rate der neu angelegten Accounts und die reinkommende Kohle pro Tag. Das heißt, dass die Bugs ganz schnell schließen, mit denen man beispielsweise bescheißen kann, oder den Server abstürzen lassen kann. Die zweite Reihe sind Bugs, mit denen man andere Leute ärgern kann. Die werden auch gefixt, aber nur, wenn sie außen bekannt werden und weiträumig ausgenutzt werden.
Wir haben hier also keinesfalls die Situation, dass "der Markt das dann schon richten wird", wenn man das rein ökonomisch bewertet alles.
Andere strukturelle Probleme, die immer wieder angeführt werden, sind Ausschreibungen. Das Konzept der Ausschreibung führt dazu, dass der Billigste gewinnt, und der ist nur deshalb so billig, weil er kein Budget für Fehlerbereinigung zurücklegt. Mehrere Einsender schreiben sogar, dass Fehler absichtlich eingebaut wurden, damit man auch noch einen Support-Vertrag verkaufen kann, und über den dann die Differenz zwischen der Ausschreibung und den realen Kosten wieder reinholen kann.
Ein weiteres wiederkehrendes Element sind unnötige Grabenkämpfe. Die Tester fühlen sich von den Entwicklern vorgeführt und ignoriert. Die Entwickler fühlen sich von Testern und Management gegängelt. Das Management spart die Tester am liebsten ganz ein und macht den Entwicklern uninformierte Vorgaben. Gerne wird auch über Vertriebler geschimpft, die Dinge verkauft haben, die gar nicht einlösbar sind.
Ich glaube, dass man hier auf allen Seiten das Verhalten ändern muss. Das Management hat die Aufgabe, Geld zu sparen, und "Prozesse zu optimieren". Bis es schmerzt. Ob es schmerzt oder nicht, das brauchen sie als negatives Feedback. Und es muss für sie klar erkennbar sein, dass das jetzt zuviel "optimiert" war. Die Entwickler verhalten sich aber häufig dumm in der Situation und versuchen, die unmöglichen Vorgaben einzuhalten. Dabei wird der Code schlechter und schlechter, ein Legacy-Schuldenberg baut sich auf, und die Bugs kommen beim Management aber nicht als "das liegt an deiner Sparpolitik" an sondern als "die Entwickler sind inkompetent und undiszipliniert" an — und die machen dann weiter mit der "Kostenoptimierung".
Und was das Management falsch macht ist, dass sie keine Risiken eingehen. Man muss die Management-Hierarchie als Risiko-Puffer betrachten. Das Management unten und die Entwickler, die sollen Risiken eingehen. Die sollen keine unsauberen Abkürzungen nehmen. Aber wenn sich eine Gelegenheit bietet, mit einer anderen Technik besser zu sein, dann sollen sie das machen. Das untere Management hat genau die Aufgabe, das zu begleiten, und die Reißleine zu ziehen, wenn das schief läuft. Und das Management darüber ist dafür da, solche Fehlversuche dann zu kompensieren. In der Realität gibt das untere Management Kritik direkt an die Entwickler weiter, die sind dann verunsichert und machen lieber gar nichts, bevor sie was falsch machen, und das Ergebnis ist für alle Scheiße.
Entwickler müssen verstehen, dass sie gemanaged werden, nicht befehligt. Essentieller Teil von Management ist, dass man beobachten kann, wenn etwas falsch läuft, und dann gegensteuert. Entwickler, die schlechte Nachrichten nicht an das Management weiterleiten, und technische Schuld auftürmen, um dem Management zu gefallen, sabotieren damit das System und ruinieren die Firma.
Oh, eine strukturelle Sache habe ich noch: "Das ist doch nur ein Prototyp / end of life / wir rollen demnächst Version 2 aus, da muss man doch jetzt keine Arbeit mehr investieren". Und dann scheitert das Ausrollen der Nachfolgeversion und man hat sich selbst in den Fuß geschossen.
Auch "the guy left"-Szenarien scheinen erschütternd häufig vorzukommen. Und Teil von dem oben erwähnten Konkurrenzdenken ist auch, dass man dann Kosten externalisiert. "Ich muss das nicht fixen, wenn es einen Workaround gibt. Mit dem schlägt sich dann das Support-Team herum, nicht wir."
Die Heilsversprechen von Scrum und co haben sich in der Realität nur partiell manifestieren können. Bei einigen scheint das gut zu klappen, bei anderen führt es zu Burnout durch den hohen Druck und der totalen Transparenz, bei wieder anderen gibt es für Bugfixes keine Punkte im Sprint, daher macht es niemand, und bei noch anderen fallen Bugs unter den Tisch, weil man ihren Aufwand schlechter abschätzen kann als für Neuentwicklungen.
Update: Oh und: So 5% der Einsender widersprechen meiner Prämisse, dass das Management grundlegend versteht, dass Bugs nicht fixen die Sache schlimmer macht.
Update: Es waren dann doch auch mehr als nur einer dabei, die sagten, dass sie alle Bugs fixen, und zwar so schnell wie sie können.
Die gute Nachricht ist, dass euch euer schlechtes Internet in der Praxis schützen wird:
In order to successfully trigger the vulnerability, an attacker must be able to send a data message of more than 5.5 gigabytes to a victimUpdate: Die Entdecker von dem Problem weisen auf folgendes Detail hin:
nur kurz: Da OTR netterweise fragmentierte Pakete unterstützt, und libotr diese Fragmente niemals wegwirft (solange der Prozess läuft zumindest), kann man jemandem theoretisch über ein paar Tage lang langsamer ein paar Pakete schicken. Erst wenn das letzte kommt, werden die assembled und die Schwachstelle getriggert. In der GUI siehst Du beim Pidgin nix.
Wie überaus zuvorkommend!
Wobei ich auch sagen muss, dass es sich hier um eine GNU-Extension in einer selten verwendeten Funktion handelt, und die ist obskur genug, dass ich noch nie von ihr gehört habe. Wenn ich schätzen müsste, wer sowas anwendet, würde ich vielleicht auf Bash tippen.
Update: Github findet fünfstellig Hits, und ein Leser schreibt, systemd benutzt das.
Update: Dieser Kommentar kam dazu per E-Mail rein:
Ganz oben wird da im verlinkten Artikel von Kryo geredet. Wenn man will, deserialisiert Kryo nur registrierte Typen, ganz anders als der böse Standard-Java-ObjectInputStream.
Ich bin mir ziemlich sicher, dass der Artikelschreiber das auch weiß und nur einen auf großen Zampano machen will:
Er erklärt wie toll man generische Container-Klassen dazu benutzen kann unerwartete Objekte in den Deserialisierungsvorgang reinzuschmuggeln.
Dafür schreibt er einen Unittest, der das mit basalen Datentypen macht, die bei Kryo per Default registriert werden. So zeigt der Test zwar, dass man generische Container-Objekte kompromittieren kann, aber eben nur mit registrierten Datentypen, was natürlich verschwiegen wird.
In folgenden Tests registriert er dann bei Kryo problematische Klassen zum Serialisieren/Deserialisieren und stellt es dann als überraschend hin, was man damit alles böses anstellen kann. Dass man diese Klassen gar nicht Deserialisieren kann (sofern sie nicht registriert sind), auch nicht mir generischen Container-Klassen, wird geflissentlich verschwiegen und auch nicht in den Tests abgeprüft.
Der Autor scheint mir daher ein ziemlicher Schaumschläger zu sein! Ich würde die Artikel dieses Blogs mit äußerster Skepsis betrachten.
Kanzleramtsminister Peter Altmaier (CDU) hat sich dafür ausgesprochen, neu über die Nutzung von Bürgerdaten durch Nachrichtendienste und Sicherheitsbehörden zu diskutieren. Wo Metadaten und persönliche Daten massenhaft anfallen, stoße der Ansatz der "Datensparsamkeit" an seine Grenzen, sagte er auf dem europäischen Polizeikongress in Berlin. Das Konzept der informationellen Selbstbestimmung müsse angesichts der ohnehin produzierten Datenflut und der Terror-Bedrohung neu gedacht werden.Ich erinnere mich ja noch daran, als das Internet begeistert von dem Altmaier war, weil er einen Twitter-Account hatte. Und jetzt? Sowas hier:
Altmaier forderte außerdem, dass die Mautdaten genutzt werden können, um Straftaten aufzuklären, und lobte die internationale Zusammenrbeit der Nachrichtendienste im Kampf gegen den Terrorismus. Diesen müssten alle Daten zur Verfügung gestellt werden, damit sie frühzeitig terroristische Netzwerke erkennen können.Aha. Soso.
Ja wie jetzt. Duh?! Hat das ernsthaft irgendjemand noch nicht mitgekriegt? Die alten Männer mit ihren Filzstiften wollen Zugriff auf alles und jeden, immer und überall. Wenn es existiert, wollen sie Zugriff. Wollen nicht nur. Haben.
Wir reden hier von einer Junta, die mal eben für ein ganzes fremdes Land einen Ausschalter installieren, damit sie willkürlich das andere Land runterfahren können. Seit Jahren scrollen die Meldungen an uns vorbei, was GCHQ und NSA alles abschnorcheln. Und wo sie keinen offiziellen Zugriff kriegen, da beschaffen sie sich halt inoffiziellen Zugriff.
Und jetzt sollen wir denen ernsthaft glauben, dass sie ein gammeliges Iphone nicht entsperrt kriegen?!
Für wie blöde halten die uns eigentlich!?
Nein, liebe Leser, lasst euch da mal nicht verarschen.
Das ist Theater, dieser offene Brief von Apple. Selbstverständlich kann alles entsperrt werden.
Wir reden hier von der Regierung der USA auf der anderen Seite. Die Emails und SMSsen sind eh an der Schnorcheln der NSA vorbei gekommen, die Telefonat-Metadaten stehen in der Datenbank der Telcos, die mit der Polizei kooperieren.
Ich kenn mich jetzt nicht damit aus, wie Apple ihren Cloud-Scheiß technisch macht, aber ich würde mal vermuten, dass man da an die Daten wieder rankommt, wenn man genug Zeit zum PINs durchprobieren hat und an den Computer mit dem Itunes drankommt.
Wenn nicht eh die PIN als Textdatei auf besagtem Computer liegt.
Oder die NSA benutzt einen ihrer Baseband- oder Jailbreak-0days. Oder man wartet halt ein bisschen, bis die 0days von heute die bekannten Lücken von morgen sind, und dann benutzt man eine bekannte Lücke.
We've encountered an issue on the Mac where Adobe Creative Cloud appears to be removing the contents of the first hidden folder at the root of the drive, in alphabetic order.Wait, what?! (Danke, Frank)
Die Tipps, die ich umzusetzen versucht habe, waren: Zeilenlänge begrenzen, größerer Zeilenabstand, schöne Schriftart.
Nun ist eine gute Schriftgröße von mehreren Fakten abhängig, unter anderem der Breite des Browserfensters und der Bildschirmauflösung. Und ich habe mir ja letztes Jahr einen 4k-Monitor gekauft, also nahm ich mir vor, das gleich mal zu unterstützen.
Aktuelle Browser können im CSS Angaben relativ zur Viewport-Größe machen, und das habe ich benutzt. Man will links und rechts einen Rahmen haben (auf dem Desktop zumindest, auf Mobiltelefonen ist das natürlich Scheiße; eine gute Lösung dafür habe ich noch nicht).
Bleibt noch die Frage, welche Schriftart man nimmt. Hier gibt es so viele, dass ich gerade überlege, die Schriftart per Cookie separat einstellbar zu machen. Beim Durchprobieren fiel mir auf, dass mich die Serifen-Schriften alle viel weniger überzeugten als Serifenlose. Vom Schriftbild her finde ich FF Dax recht ansprechend, aber die ist kommerziell, sehr teuer, und kommerzielle Webfonts haben im allgemeinen völlig inakzeptable Lizenzbedingungen. Man muss dann die Schriftarten von einem fremden Server einbinden, und dessen Betreiber können dann meine Leser überwachen. Das finde ich völlig inakzeptabel. Außerdem zahlt man pro Seitenaufruf, das geht natürlich auch nicht. Aber das Abhörargument tötet die Option für mich schon, bevor ich über Preise nachdenke.
Die nächste Schriftart, die ich in Erwägung zog, ist Orgon Sans, die zumindest auf den Beispielen perfekt aussieht, und für die es eine Webfont-Option zum Runterladen und selber hosten gibt, die auch kein Limit auf die Zugriffe hat. Aber als ich mir die Testversion installiert und probiert habe, gab es einige Rendering-Probleme, insbesondere war sah kleine "z" nicht gut aus. Ich habe dem Hersteller mal eine Mail geschrieben, mal gucken was er sagt.
Am Ende fiel mir dann aber auf, dass Ubuntu auch eine Schriftart entwickeln lassen hat, und die sieht zwar nicht genau so aber doch ähnlich aus. Die kann man sich bei Ubuntu runterladen, und die verwende ich im Moment. Ich hoste sie aber noch nicht selber, die müsstet ihr euch also selber installieren, wenn ihr typo.css mal testen wollt :-)
Auch noch im Rennen ist Clear Sans Light, die sieht auch sehr schön aus und ist frei. Kann man mit typo2.css ausprobieren.
Update: Und wer mal mit Serifen probieren will: typo3.css hat Source Serif Pro (u.a. von hier downloadbar).
Ist ja nicht so, als könnte da irgendjemand was inhaltlich substanzielles beitragen.
Der Höhepunkt war für mich, als der GdP-Chef in der "Welt" wie folgt zitiert wird:
Den Kollegen zufolge wurden von mehreren der kontrollierten Männer Meldebescheinigungen des Bundesamts für Migration vorgelegt. Da waren ganz sicher Flüchtlinge unter den Tätern.Oh, ach? Niemand verurteilt oder auch nur angeklagt, aber der GdP-Chef spricht bereits von Tätern? Da sieht man gut, wo der Zug hingeht, wenn man an der Gewaltenteilung (oder der Bildung) spart.
Selbst wenn man annimmt, dass die hier zitierten "Kollegen" auch ein paar der tatsächlichen Täter kontrolliert haben, woher wissen wir denn, dass das die paar Asylbewerber waren?
Und um das "da waren Asylbewerber drunter" bewerten zu können, würde ich ja auch gerne mal eine Statistik haben, ob die Polizei nicht vielleicht gezielt ausländisch aussehende Menschen rauszieht und kontrolliert. Denn dann wäre das ja keine große Überraschung, dass da Asylbewerber drunter sind.
Aus meiner Sicht hat niemand gerade genug Informationen, um irgendwas beurteilen oder kommentieren zu können an der Nummer. Also bitte einfach mal alle die Füße stillhalten, bis da ein paar mehr Details bekannt werden.
Sogar bis nach Österreich hat es die Geschichte geschafft und dort interviewt die "Kronenzeitung" (deren "Bild") dann ausgerechnet den Polizeichef von Wien dazu. Und der sagt dann, ihm sei von keinen solchen Vorfällen in Wien bekannt. Und:
In unserer Stadt gibt es allerdings keine nennenswerten Vorfälle oder Tendenzen, die mit dem Flüchtlingsstrom in Zusammenhang stehen. Daher besteht kein Grund, Unruhe oder gar Panik zu verbreiten.Rechts, unter "Meistgelesen", auf Platz 1: "Jetzt auch in Salzburg sieben Sexmob-Anzeigen".
Aber der Pürstl wäre nicht der Pürstl, wenn er die Gelegenheit zum ins Klo greifen ungenutzt verstreichen ließe!
Frauen sollten nachts generell in Begleitung unterwegs sein, Angst-Räume meiden und in Lokalen keine Getränke von Fremden annehmen. Das war früher so und wird auch in Zukunft weiter so sein.Und keine knappen Röcke, hört ihr?! Diese doofen Frauen immer! Kein Wunder, wenn die dann vergewaltigt werden!1!! m(
Jedenfalls gibt es jetzt in Deutschland anscheinend landesweit Hunderte von Anzeigen von Frauen, die Neujahr belästigt wurden. Ich hätte da für den Kontext gerne mal einen Vergleich mit anderen Jahren. Neujahr sind ja besonders viele Leute nachts unterwegs. Ist das jetzt das erste Jahr, wo es eine hohe Anzahl an Anzeigen gibt? Wie viele Männer haben denn Anzeige wegen irgendwelcher Delikte gestellt in der Nacht? Ist das mehr oder weniger als sonst?
Jede Vergewaltigung ist eine zu viel. Aber das gilt auch für alle anderen Straftaten. Nach allem was wir im Moment wissen, könnte dies sogar eine besonders friedliche und unkriminelle Neujahrsnacht gewesen sein. Die Medien nennen nur absolute Zahlen. Das ist immer verdächtig bei Kriminal-Meldungen.
Update: Eines der Probleme ist, dass wir in Köln von einem mehr oder weniger konkreten Mob sprechen, während gleichzeitig auch in Hamburg 50 Anzeigen eingingen, bei denen es dann aber wohl nicht um einen konkreten Mob ging sondern das waren halt Fälle über die Stadt verteilt?
Update: Ich frage mich gerade, ob es wirklich nur so eine Geschichte braucht, um unsere ganze sorgsam versteckte Ausländerfeindlichkeit unter den Nicht-Nazis in der Bevölkerung hervorbrechen zu lassen. Es reicht, wenn ein Vorwurf im Raum steht, und schon sieht das ganze Land die Ausländer nicht mehr als Individuen sondern als kriminellen Mob, den man am besten in Gänze schnell ausweisen muss. Ich erinnere mich nach jeder Silvesternacht an dramatische Geschichten mit Besoffenen und Sprengstoff in Form von Böllern, von ausgebrannten Wohnungen und Autos, von Übergriffen und Schlägereien. Aber jetzt, wo man das "den Syrern" in die Schuhe schieben kann, da sind sich plötzlich alle einig, dass man die mal schnell ausweisen muss alle. Ekelhaft.
Update: Ich sehe gerade, dass es ein Video gibt. Da sieht man, wie verschiedene Leute Feuerwerkskörper in Menschengruppen schießen. Furchtbare Zustände, aber das hört man ja jedes Silvester. Ich saß mal Silvester kurz nach Mitternacht in einem BVG-Bus in der Berliner Innenstadt, und da schossen mehrfach irgendwelche Idioten Böller unter vorbeifahrende Autos und Busse. Die Vergewaltigungsvorwürfe wundern mich ein bisschen, weil ich mir eher vorgestellt hätte, dass sowas wegen Überfüllung geschlossenen Plätzen stattfindet, wo die Polizei gar keine Chance hat, an irgendwelche Leute ranzukommen. Ich hörte dieses Silvester, dass die Neujahrsparty am Brandenburger Tor mal wieder wegen Überfüllung geschlossen war. Dieses Video aus Köln sieht vergleichsweise leer aus. Da war genug Platz, dass Opfer fliehen könnten. Und angeblich war der Platz komplett von Polizei umstellt, weil die an dem Abend diesen Platz auch geräumt hatten. Das sind doch denkbar gute Voraussetzungen für polizeiliches Eingreifen und Verhaftungen? Und jetzt heißt es, dass aus dieser Menge frisch belästigte Frauen zu Polizisten rausgehumpelt seien, und trotzdem konnte niemand verhaftet werden? WTF?
Update: Ich will hier nicht andeuten, dass sich irgendwelche Frauen irgendwelche Vorwürfe ausgedacht haben. Ich würde gerne wissen, ob wir jedes Silvester solche Zustände haben, aber da sonst nie drüber geredet haben, weil wir da kein "Flüchtlingsproblem" hatten.
Money Quote:
Danach gelang es den Jobcentern "in den meisten Fällen nicht, mit der Förderung von Arbeitsverhältnissen Langzeitarbeitslose mit mehreren Vermittlungshemmnissen dauerhaft in den allgemeinen Arbeitsmarkt einzugliedern". Knapp drei Viertel der früheren Hartz-IV-Empfänger hätten nur einen Job bei gemeinnützig tätigen Arbeitgebern oder Einrichtungen bekommen, die Förderprogramme der Bundesagentur für Arbeit umsetzten, kritisieren die Rechnungsprüfer. Bei mehr als 90 Prozent der geprüften Fälle habe es sich um befristete Arbeitsverträge gehandelt, "die in der Regel mit der Förderung endeten, sodass die Arbeitnehmer wieder arbeitslos wurden". Und nur in vier Prozent der Fälle sei es überhaupt gelungen, die Arbeitnehmer nach der Förderzeit "in eine unbefristete sozialversicherungspflichtige Beschäftigung auf dem allgemeinen Arbeitsmarkt einzugliedern".Na so eine Überraschung! Hätte uns doch nur vorher jemand warnen können!1!!
Aber wartet, wird noch übler! Wir sind ja hier schließlich im Kapitalismus, wo Handeln aus Eigennutz dem Gemeinwohl nützt!
So gab es in einigen Jobcentern die Möglichkeit, für die Einstellung von Langzeitarbeitslosen ebenfalls Landes- oder kommunale Mittel anzuzapfen. In knapp zwei Drittel dieser Fälle nutzten die Arbeitgeber diese zusätzliche staatliche Geldquelle. Doch nur ein Jobcenter rechnete dies, so wie es eigentlich sein müsste, auf die eigene Förderung an - die Unternehmen kassierten also doppelt. Dazu heißt es in dem Bericht: "Zwei Jobcenter erstatteten den Arbeitgebern aus Bundes- und Landesmitteln im Ergebnis sogar mehr als das Arbeitsentgelt für die Beschäftigten."Ob die Unternehmen mit den freundlichen Mitarbeitern vom Jobcenter wenigstens schön Essen gegangen sind? Mal den Chef vom Jobcenter ordentlich in den Puff einladen oder was man da heute so macht?
Meine Güte. Und es braucht einen Audit des Rechnungshofes, damit das bekannt wird. War ja klar. (Danke, Bettina)
Die alte Privacy Policy, die neue Privacy Policy. In der alten steht "Your Private Information Is Never for Sale". In der neuen nicht. Dafür steht da was von Werbenetzwerken.
Die Dienste benutzen euer Iphone jetzt auch.
Das sind so die Gründe, wieso ich bisher nicht in Erwägung gezogen habe, auf Youtube einen Kanal aufzumachen. Mir sind schlicht kaum Videos auf Youtube aufgefallen, bei denen sich die investierte Zeit tatsächlich gelohnt hätte. Gelegentlich gibt es Videos mit echtem Erkenntnisgewinn, aber das ist dann selten was, das ich nicht lieber als Text gehabt hätte. Wenn ich mal eine Ausnahme nennen müsste, wäre es eine Filmkritik wie diese hier (oder andere Filmkritiken von diesem Kanal). Die Frage, wieso ich diese Filmkritiken als Ausnahme sehe, ist für sich genommen auch schon interessant. Kann ich nämlich gar nicht so einfach beschreiben. Der Typ wirkt ja erstmal wie ein unglaublicher Schnösel, und er verzichtet auch komplett auf irgendwelche Filmausschnitte. Damit wirkt es fast anachronistisch, denn wieso würde man denn zu Youtube gehen, wenn man dann nicht die visuellen Möglichkeiten nutzt und Filmclips zur Illustration einbindet? Aber es stellt sich raus, dass manchmal der Verzicht auf Gimmicks eine Sache stärker macht, nicht schwächer.
Aber zurück zu Youtube und worauf ich eigentlich hinaus wollte. Es stellt sich nämlich raus, dass Youtube ihre Richtlinien für Monetarisierung geändert hat. Die findet man hier. Und da steht:
Content that YouTube considers to be inappropriate for advertising includes but is not limited to:
- Sexually suggestive content, including partial nudity and sexual humor
- Violence, including display of serious injury and events related to violent extremism
- Inappropriate language, including harassment, profanity and vulgar language
- Promotion of drugs and regulated substances, including selling, use and abuse of such items
- Controversial or sensitive subjects and events, including subjects related to war, political conflicts, natural disasters and tragedies, even if graphic imagery is not shown
Na gut, sagt ihr jetzt vielleicht, das sind ja nur die Werbegeschichten. Die Videos bleiben ja oben, nicht? Ja, tun sie. Insofern würde das ein "Alternativlos TV" nicht betreffen, denn wir scheißen ja auf Werbung, würden die eh ausgeschaltet lassen.
Aber was heißt das denn in der Praxis? Frank und ich sind da eher die Ausnahme, wie sich rausstellt. Die meisten Leute auf Youtube wollen gerne mit ihren Videos Geld verdienen. Am Anfang vielleicht nicht, aber sobald die Möglichkeit im Raum steht, schalten das die meisten an. Besonders in den USA, mit dieser völlig verstrahlten Startup-Kultur und dem amerikanischen Traum, kommen dann viele so Spinner-Kanäle und stellen ihr wirtschaftliches Einkommen komplett auf Youtube um, kündigen ihren Job und ziehen irgendwo in den Urwald oder bauen sich einen Vault gegen den Atomkrieg oder die Zombieapokalypse irgendwo in der Wüste Kaliforniens. Und wenn Youtube dann da Vorgaben macht, welchen Content man bringen darf und welchen nicht, damit es Werbeeinnahmen gibt, dann hat das Einfluss.
Gut, also wie gesagt, ich betrachte die meisten dieser Kanäle mit Argwohn, und insbesondere die, die Monetize geklickt haben. Mir geht da jetzt nichts verloren in meinem Leben, wenn die alle zumachen. Aber man muss sich ja trotzdem mal überlegen, was das heißt, wenn so eine Plattform wie Youtube dann ein bisschen an den Zügeln zieht und plötzlich bricht der Dissens weg.
Auf der anderen Seite ist das natürlich mal wieder ein großartiges Argument für das bedingungslose Grundeinkommen. Seufz.
Update: Äh, habe ich natürlich doch schon bei Feministen gesehen. Diese Sarkeesian-Videos sind auch sowas.
Update: Die Youtube-Kritik bezog sich auf Politik-Inhalte, für Wissenschaft und Lehre gibt es natürlich echt viele Inhalte auf Youtube, von denen ich auch schon welche verlinkt habe. (Danke, Tonio)
Eine andere Art von Mail, über die ich mich sehr freue, ist wenn mich jemand an seinem Synapsenfeuer teilhaben lässt. Ich möchte mal ein Exemplar hier zitieren, das heute einging.
Hi Fefe,Es bringt einen Haufen Dinge in Verbindung, die ihr vielleicht noch nicht in Verbindung gebracht hat, und vielleicht ist das ja auch völlig falsch, die in Verbindung zu bringen. Denkt mal drüber nach! Viel Spaß dabei!
als du deine Betrachtungen über den Artikel "The toxoplasma of rage" veröffentlicht hast, ging mir die Debatte "Bill Nye vs Ken Ham" durch den Kopf. Es ging mir dabei um die Motivation und Argumentationsstrategie von Ken Ham. Keine seiner Ausführungen war geeignet einen Unbeteiligten von seiner Meinung zu überzeugen sondern zielte einzig darauf FUD zu streuen. Er wurde nicht müde zu betonen das seine Homies ja auch glauben was er glaubt und die seien ja nicht blöd. "Mein Freund Dr Molekularbiologe…", "Mein Freund Raumfahrtingenieur…", "Mein Freund Dr Astronomie…", du erkennst das Muster… .Seine Buddies wurden dann auch in nem kurzen Filmchen vorgestellt und mussten kurz bestätigen das sie Kreationisten sind. Ihre Aussagen waren sehr vorsichtig formuliert, etwa "während meiner Arbeit als Molekularbiologe habe ich keinen Anhaltspunkt gefunden der dem Kreationismus widerspricht." Der Rest war "Evolution ist ja nur ne Theorie, zeig mir Beweise…" ohne den Beweis dann als solchen anzuerkennen. Dazu definiert er erstmal Wissenschaft in "historische Wissenschaft" und "beobachtende Wissenschaft" um und erklärt Extrapolationen für unzulässig. "Radiokarbondatierungen sind Nonsens weil du nicht sicher sein kannst das vor 4.000 Jahren die Zerfallsrate die gleiche wie heute war". Weiter zum nächsten Punkt, noch mehr FUD streuen.
Obwohl Bill Nye Ken Ham in dieser Debatte regelrecht zerstört, wird sie trotzdem von Anhängern Hams verbreitet und als Großer Sieg verkauft. Ich halte Ken Ham nicht für einen Dummkopf, irgendwann muss ihm klar geworden sein wie falsch er liegt, trotzdem verbreitet er weiter seinen Sermon.Was würde passieren wenn er seine Ansichten korrigiert? Er würde innerhalb seiner peergroup vom Helden zum Ausgestoßenen, zu dem Opfer müsste er erstmal bereit sein. Gleiches gilt für seine Buddies, möchtest du von deinen Kollegen belächelt, oder in deiner Heimat zum Pariah werden? Dazu passen auch die vorsichtigen Formulierungen um möglichst wenig Angriffsfläche zu bieten. Schlaue Köpfe werden auch bei der religiösen Rechten geboren, in deren Leben spielte ihr Glaube womöglich nicht mal eine besonders große Rolle, jeder weiß ja was er zu glauben hat und das stellt im Umfeld niemand in Frage. Nun kommt Ken Ham und nötigt dich Partei zu ergreifen. Du hast dann keine andere Wahl als das Spiel mit zu spielen.
An wen richtet sich Ken Ham? Seine Argumentation eignet sich kaum einen "Darwinisten" zu bekehren. "Du Depp hast nicht mal im Ansatz die wissenschaftliche Methodik verstanden, geh mir weg". Auch nicht einen Unbeteiligten zu überzeugen. "Deine Argumentation endet in einem Zirkelschluss, die Bibel soll wahr sein weil in der Bibel steht das sie wahr ist". Sie nützt einzig dem Gläubigen "Deine Argumente liefern mir die Rechtfertigung diese arroganten Darwinisten zu ignorieren". Für mich ist das ein Anzeichen das diese Subkultur dem Untergang geweiht ist, es geht nicht mehr darum neue Anhänger zu gewinnen sondern die Gemeinschaft am Auseinanderbrechen zu hindern. Vielleicht beziehen Ham und seine Buddies auch daraus die Gewissheit "das Richtige" zu tun weil es ihnen auch darum geht Schaden von der Gemeinde abzuwenden. Mir ist nur nicht klar ob das ganze bewusst oder unbewusst abläuft.Die Debatte wurde nicht nur von den Kreationisten sondern auch von der englischsprachigen "Atheistischen Community" gefeiert. Als diese ihre Wachsamkeit vernachlässigten, wurden sie von SJWs und Feministen unterwandert. "Wir sind nicht nur Atheisten, wir vertreten auch Werte" http://atheismplus.com/. Als prominente Vertreter anmerkten das das mit Atheismus nichts zu tun hat, wurden diese gedoxxt, denunziert, bedroht, etc. Das Arsenal der SJWs ist dir bekannt. In Folge wurde die Gemeinschaft gespalten und bekriegt sich bis aufs Blut. Es ist längst offensichtlich das "Ihre Sache" dem eigentlichen Thema schadet. In diesem Grabenkrieg werden Ressourcen gebunden und "die Atheisten" sind längst nicht mehr so schlagkräftig als noch vor ein paar Jahren. Youtuber wie Thunderf00t oder TheAmazingAtheist verwenden ihre ganze Energie darauf diesen Angriff aus dem Inneren abzuwehren und vernachlässigen ihr eigentliches Thema, der Welt zu zeigen wie spannend Wissenschaft ist und man nicht weniger befriedigt ist wenn man sich seine Antworten selbst erarbeitet statt sie sich von einem bronzezeitenen Kult vorschreiben zu lassen. Stattdessen sollen die Antworten nun von einem Kult kommen der Realität für ein soziales Konstrukt hält. Als Atheist kann ich da nur sagen, bevor ich davon etwas akzeptiere, bringe mir falsifizierbare Belege. In Form von Daten, ohne Geschwafel. So sachlich wird die Debatte aber nicht geführt, beide Parteien senken stetig das Niveau und Angriffe unter die Gürtellinie sind längst die Regel. Wenn das wirklich dieser Sozialkonstruktivismus ist, so ist das Krebs für eine aufgeklärte Gesellschaft und befördert uns ratzfatz wieder ins Mittelalter.
Im Moment beobachte ich die Diskussion der KenFM-Zuschauer gegen die Wikipedianer nach Veröffentlichung von "Die dunkle Seite der Wikipedia" im Kommentarbereich des Videos und der Diskussionsseite zum Daniele Ganser Artikel der WP. Die Mechanismen sind die gleichen, beide Parteien bezeichnen den anderen als "Gegner" und statt auf die Argumente des "Gegners" einzugehen, klopft man sich gegenseitig auf die Schulter und vergewissert sich wie doof doch die anderen sind. Persönliche Angriffe inbegriffen, inklusive Aufruf zur Denunziation und Gewalt. Obwohl ich dem Wikipedia Artikel keine sachlichen Fehler nachweisen kann, würde ich als Unbefangener anhand des Subtexts des Artikels zum Schluss kommen das Herr Ganser ein Spinner ist, auch wenn die Belege das nicht hergeben. Wenn man die Diskussion auch im Archiv verfolgt, kommt man zu dem Schluss das der Artikel von jmd geschrieben wurde der Herrn Ganser für einen Spinner hält. Ich halte das für diskussionswürdig. Die Wikipedianer nicht, alle Regeln wurden eingehalten, nichts zu beanstanden. Zugleich ist es für die KenFM-Zuschauer wieder mal der schlagende Beweis für die Weltverschwörung (ich weiß, ich pauschalisiere). Der Film ist handwerklich so lala und speist sich meines Erachtens aus Mißverständnissen darüber wie die Wikipedia funktioniert oder funktionieren sollte. Das absolute NoGo des Films ist am Ende das doxxing zweier Autoren um den Raum für persönliche Angriffe zu schaffen, dabei argumentiert der Filmemacher damit das er ja "mit offenem Visier" "kämpfe", also seinen Klarnamen benutzt und die Wikipedianer sich hinter Pseudonymen verbergen. Valide Argumente verlieren nicht ihre Gültigkeit weil sie von jmd ausgesprochen werden den man nicht kennt, und Gründe seine Identität zu verbergen gibt es zu Hauf. Wie auch immer, beide Parteien sind Argumenten gegenüber verschlossen, ergehen sich in Beleidigungen und versichern sich intern ihre Überlegenheit. Helfen tut das niemandem, der Wikipedia werden weiter die Autoren weglaufen, der KenFM Zuschauer findet weiterhin genug "Beweise" für was auch immer ohne dabei irgendwelche Erkenntnisse zu gewinnen.
Ich wette jeder findet dafür ein Beispiel in seiner peergroup. Der gemeinsame Nenner ist dabei Chauvinismus, der Glaube an die Überlegenheit der eigenen Gruppe, damit kann man jede Argumentation im Keim ersticken. Weil das Gegenüber eh zu doof ist den eigenen Argumenten folgen zu können, braucht man Ihren Argumenten gar nicht erst zuzuhören weil "Ihnen" deine Einsichten fehlen. Ganz gefährliches Zeug. Wir sollten alle ganz schnell bescheidener werden.
Zum Schluß noch ne VT, gestern hab ich mir nochmal "Politik hacken" vom 28c3 angeschaut und bin dann kurz beim "Virus" hängengeblieben. Das sich selbst reproduzierende Schadprogramm das vom Immunsystem nicht sofort als solches erkannt wird, als soziales Konstrukt würde das wohl einem freidrehenden SJW entsprechen. Ist SJW im Labor entstanden oder eine natürliche Mutation? Wurden gewisse Communities bewusst mit SJW infiziert? Ist das Virus mutiert und wir stehen einer Pandemie gegenüber?
Schöne Grüße
Ich habe die Ken Ham-Debatte als Beispiel für den hier neulich ausgebreiteten Mechanismus gesehen, dass sich die Ausführungen der Debattenteilnehmer in so einem Fall überhaupt nicht an den Gegenüber richten, sondern an die eigene Ingroup. Schaut her, ich bin so gefestigt in meinem Kreationsmus, dass ich sogar Bill Nye debattiere, obwohl ich nichts in der Hand habe an Argumenten, und ich genau weiß, dass der mich da zersägen wird! Und die Ingroup ist entsprechen beeindruckt und feiert ihn dann als Helden, weil er die gemeinsame Ideologie gegen fiese Herätiker verteidigt hat.
Zu einem gewissen Grad kann man das glaube ich auch über Bill Nye sagen. Wenn das ein gemeinsames Kaminfeuer gewesen wäre, ohne Liveübertragung ins Internet, und ohne großes Publikum, dann kann man vielleicht was erreichen. So ist völlig klar, dass sich keine Seite die Blöße geben kann, vor der kompletten Anhängerschaft den Idioten von der Gegenseite auch nur ein Fußbreit zu geben. Das hätte man sich sparen sollen, so hat Bill Nye nicht nur nichts positives erreicht, sondern diesen Ken Ham auch nur zu einem satisfaktionsfähigen Gesprächspartner aufgewertet. Und das völlig ohne Not.
Sony hat wohl bei etlichen Modellreihen bei der Umsetzung von Spezifikationen gepennt. Jedenfalls hat diese Woche Kabel Deutschland etwas an seiner Frequenz- und Senderbelegung rumgespielt und seitdem können viele Leute (kabel Deutschland Kunden) ihren Sony-Fernseher nicht mehr benutzen (die Geräte frieren praktisch auf einem digitalen Sender ein). Insgesamt sind immerhin 180 (!) Sony Modelle betroffenhttp://www.sony.de/support/de/content/cnt-hn/prd-tvhc/Kabeldeutschland-DVB-C-Tuning
Das von Sony beschriebene Zurücksetzen auf die Werkseinstellungen ist übrigens auch reine Augenwischerei (beschäftigt aber den Kunden zumindest eine zeitlang) - beim dann fälligen nächsten Sendersuchlauf frieren dann nämlich, wie in diversen Foren nachzulesen ist, alle Geräte bei 8% bzw. 44 gefundenen Sendern ein.
Update:
Ich arbeite in einem Elektro-Fachhandel und wir haben seit einigen Tagen mit jeder Menge Sony-Fernsehern zu tun. Das mit dem Sendersuchlauf funktioniert in der Tat nur, wenn man die Netzwerk-ID von Automatisch auf 00000 stellt. Dann friert der Fernseher nicht ein, und es werden alle Sender gefunden.
Öhm. Ist das so? Das ist mir bisher noch nicht so aufgefallen.
There simply aren't enough college-educated men to go around. For every four college-educated women in my generation, there are three college-educated men. The result? What Birger calls a "musical chairs" of the heart: As the men pair off with partners, unpartnered straight women are left with fewer and fewer options—and millions of them are eventually left with no options at all.Ach? Ich dachte, die Frauen werden vom Patriarchat kleingehalten und in die Küche gedrängt und müssen an den Unis bevorzugt behandelt werden, damit es endlich Gleichberechtigung gibt? Die Statistik scheint deutlich anders auszusehen:So, where are all the men?
I mean they exist, they're just not going to college. This isn't China or India where they have a man-made gender imbalance because of all sorts of horrendous things. [Men are] out there, they're just not going to college. Last year about 35 percent more women than men graduated from college.Wenn ich nicht so schockiert von dieser Statistik wäre, würde ich vielleicht laut darüber nachdenken, ob das "Problem" nicht daran liegen könnte, dass Frauen es für unter ihrer Würde halten, einen Mann aus einer sozialen Schicht unterhalb ihrer eigenen zu heiraten, während sie umgekehrt von Prinzen träumen, die sich eine Magd zur Prinzessin nehmen. Die These las ich vor ein paar Jahren unter leicht anderem Kontext. Damals ging es um die Kernaussage, dass es früher noch viel üblicher als heute war, dass Männer Frauen "aus einfachen Verhältnissen" geheiratet haben, und dass das andere positive Seiteneffekte hatte in Bezug auf die Aufstiegschancen von Frauen in der Gesellschaft, und das es daher heute viel schwieriger bis faktisch unmöglich ist, als Mädchen aus einer armen Familie am Ende des Lebens Teil der Oberschicht zu sein. Der Begriff war glaube ich Durchlässigkeit zwischen den Schichten oder so.Aber wartet, wird noch krasser:
The Department of Education projects that by the class of 2023, there will be 47 percent more women than men [graduating from college].o_OVielleicht wäre das dann jetzt mal der Zeitpunkt, bei dem man die Förderung von Mädchen abbricht und gezielt die Jungen fördert?
Wie sehen denn die Statistiken in Europa aus?
Aber wartet, wird noch krasser:
The other interesting thing—and you see this in China too—if you look at census data on fully-employed, non-college-educated men age 25 to 30, the ones who are married earn 20 percent more than the ones who are not married. Which tells me that in order to get married and attract a wife, you have to earn more and be more entrepreneurial and work harder.Hey, vielleicht sind uns die Japaner ja an der Stelle gesellschaftlich deutlich voraus. Aus Japan hört man ja immer die Geschichten, dass die Jugendlichen völlig sexabstinent aufwachsen, bis ins höhere Alter im Elternhaus wohnen, teilweise den ganzen Tag in einem Internetcafe oder daheim im Keller verbringen. Vielleicht folgt solches Verhalten schlicht daraus, dass es sich für Männer nicht lohnt, eine akademische Karriere oder eine Familie zu haben, und beides schon mal gar nicht.Interessanterweise sagt dieser Artikel aber auch, dass Männer heutzutage genau so wenig wie Frauen bereit sind, weniger gebildete Frauen zu daten. Allerdings gibt es in der Uni-Schicht in den USA so viel mehr Frauen als Männer, dass das nur für die Frauen ein Problem ist.
Und der Lacher am Ende ist dann der Vorschlag, doch ins Silicon Valley zu ziehen. Dort sei der beste Ort für Frauen, weil es dort einen überschuss an gebildeten Männern gibt.
Update: Mir sind ein paar Statistiken zugegangen: Statistisches Bundesamt, Jahresübersicht 1999-2014 (die Absolventenzahlen haben sich in dem Zeitraum mehr als verdoppelt. Ist das das Bolognese-System mit seinen Antipasta-"Abschlüssen" in Aktion?). Man sieht in den Zahlen, dass seit 2006 mehr Frauen als Männer einen Abschluss machen. Der Einsender fügt noch folgende Erklärungen an:
Dazu sei angemerkt, dass sich die Frauenquote anschließend mit höherer Hierarchiestufe anschließend ausdünnt (leitende Angestellte, Professoren, etc.), was hauptsächlich mit Mutterschaft zusammenhängt. In der Regel, aber mit abnehmender Tendenz, arbeiten westdeutsche Frauen nach der Geburt Teilzeit mit entsprechenden Einkommensbußen. Im Osten sieht das traditionell anders aus, West und Ost nähern sich hier aber seit der Wende aneinander an.
Aufstieg durch Ehe ist in den letzen Jahrzehnten tatsächlich seltener geworden. In der Soziologie wird das unter dem Stichwort Homogamie diskutiert: Menschen neigen in der Regel dazu, sich statusähnliche Partner zu suchen. Früher gab der Heiratsmarkt das kaum her aufgrund des Verhältnisses von Männern und Frauen mit Hochschulstudium. Heirat war hier für Frauen in der Tat ein häufiges Mittel zum sozialen Aufstieg und trug zur sozialen Mobilität bei. Homogamie ist in der Tat ein wesentlicher Faktor für abnehmende intergenerationale soziale Mobilität seit Anfang der 90er Jahre.
Dass Männer nach unten heiraten, war auch lange gesellschaft tradiert und akzeptiert. Die Geschlechterrollenvorstellungen haben sich seitdem zwar gewandelt, allerdings nicht so drastisch, wie man aufgrund mancher Twitterhysterie vermuten würde. Traditionelle Arbeitsteilung im Haushalt ist immer noch üblich und (West-)Deutschland wird vorwiegend unter dem Stichwort Male-Breadwinner Model diskutiert, im Gegensatz zu Ländern mit überwiegend partnerschaftlicher häuslicher Arbeitsteilung wie Schweden. Polen ist hier übrigens ein ganz interessanter Fall, weil die Geschlechterrollenvorstellungen relativ traditional sind, die häusliche Arbeitsteilung und Erwerbsarbeit ist aber aufgrund der geringen Einkommen eher gleich zwischen Partnern verteilt.
Ein anderer Einsender merkt noch an:
Die, die die Studie erstellt haben, hätten sich schon vor Jahren im Iran(!) umschauen sollen. Die kennen dieses Problem viel länger und intensiver. Dort waren vor 10 Jahren (als ich mal dort war) ungefähr 2/3 der Studierenden Frauen. Dasselbe beim Lehrpersonal! Welcher Europäer jetzt denkt, naja, die Frauen studieren Lehramt, was Medizinisches oder Diskussionswissenschaften, weit gefehlt. Im Iran sind auch die Ingenieursstudiengänge (etec, mach, inf, u.ä.) bestens mit Frauen versorgt. Die Aachener und Karlsruher würden sich die Augen reiben ;-)
Dort habe ich allerdings einen Verdacht: die Männer ruhten sich auf ihrem Patriarchat aus, glaubten kräftig an ihren Gott und dessen Institutionen, während die Frauen die Gelegenheit nutzten, um was Sinnvolles zu lernen.
Aktuelle Entwicklung im Iran: es gibt Zugangsbeschränkungen für Frauen.
Von gläubigen Männern gemacht.
Und ein dritter Einsender hat diesen Link zur Schweiz geschickt, laut dem das Wintersemester 2000/2001 bei der Uni Zürich der Turning Point war.
Update: Noch ein Kommentar:
Die Soziologin Eva Illouz hat dazu ein sehr interessantes Buch mit dem (furchtbaren!) Titel "Warum Liebe weh tut" geschrieben, in welchem sie u.a. die These aufstellt, dass es für Männer heutzutage auch kaum noch einen Grund gibt, sich zu binden. Mal kurz zusammengefasst begründet sie dies damit, dass Frauen ja früher weniger aus Liebe geheiratet wurden, sondern eine bzw. mehrere Funktionen hatten, wie z.B. den Haushalt organisieren, Kinder großziehen, es war gesellschaftlich gefordert verheiratet zu sein, bessere Steuerkonditionen & Aufstiegschancen des Mannes mit Frau, Zugang zu Sex etc. Viele dieser Gründe bestehen heute nicht mehr, sodass Männer schlichtweg nicht mehr so stark den Drang und Willen haben, eine Bindung einzugehen. Zumal auch gerade die damit einhergehenden Pflichten/Einschränkungen abschreckend wirken können (Willkommen in der ewigjungen Spaßgesellschaft ;-) ). Ebenso stehen Männer zeitlich nicht so unter Druck, wenn es um die Familiengründung geht.
Das stimmt so nicht ganz. Der Katastrophenschutz ist, soweit ich das jetzt im Kopf habe, in allen Bundeslängern an die Landkreis-Ebene delegiert. Der Bund und die Länder machen zwar z.T. die Vorgaben und Finanzieren einen Anteil. Die Aufstellung und der Einsatz obliegt aber, wenn wir wirklich von einer Katastrophe sprechen, (zumindest in Hessen) dem sogenannten "Hauptverwaltungsbeamten", also dem Landrat bzw. Oberbürgermeister, die offiziell die Katastrophe feststellen müssen um die Einheiten in den Einsatz zu bringen.Hervorhebung von mir.
Das hat bisher, soweit ich das mitbekommen habe, noch keiner gemacht.
Der Grund dürfte die Kosten sein: Wenn der Landkreis "bestellt", bezahlt er auch. Arbeitsausfallentschädigungen und ähnliches inklusive.
Und aktuell ist das Problem (wieder auf Hessen bezogen) ein Problem der Regierungspräsidien, die für die Aufnahmeeinrichtungen zuständig sind.
Wieso sollte also aktuell ein Landkreis selbstständig die Entscheidung treffen, dass eine höhere Behörde eine Katastrophe verursacht, um diese auf eigene Kosten zu beheben? Also aus Landkreis-Sicht gesehen…Deshalb setzt man aktuell Einheiten der Hilfsorganisationen nur im Rahmen unterhalb der Katastrophe, also im Bereich der Hilfeleistung, ein. Zum Teil werden die HiOrgs auch dafür bezahlt, als Dienstleister quasi. Oder man nutzt die Einheiten zur kurzfristigen Unterstützung z.B. bei der Essensversorgung.
Im Katastrophenschutz gibt es noch einen Anteil vom Bund, den man aktuell komplett neu aufstellt: Die Medical Taskforce (https://de.wikipedia.org/wiki/Medizinische_Task_Force). Die dürften aber noch nicht so weit sein, dass man da irgendwelche fertigen Einheiten alarmieren könnte. Aber man baut da eher neu auf als weiter abzureißen. Diese Einheit untersteht in Zukunft dann direkt der Kontrolle des Bundes (wie jetzt schon das THW).
Zusammengefasst: Es gibt massig ungenutzte Kapazitäten im Bereich des KatS, die z.B. bei einem hochgehenden AKW zum Einsatz kommen, aber eben nicht jetzt. Vermutlich weil niemand die Kosten für so etwas übernehmen will und die Einheiten zu einer anderen Verwaltungsebene gehören.
Blick in die Kristallkugel von mir: Wenn es Winter wird, werden wir in den Zelt- und Containerunterkünften die ersten Lagen bekommen, in denen die Landräte nicht mehr wegschauen können und den Schritt machen werden.
Das is sowas ähnliches wie die Leute die Tilo Jung vorwerfen Antisemit zu sein: er hat es gewagt mit der Hamas und Hizbollah (oder entsprechend assoziierten) zu sprechen.Und
Corbyn hat in den letzten paar Jahren wohl auf Podien und Veranstaltungen gesprochen, wo die zugegen waren.
Mindestens einmal soll er das Wort "Freund" für eine größere Gruppe von Anwesenden benutzt haben wo auch 2 von den Islamisten dabei waren. Da kenn ich die Umstände aber nicht.Ich hab heute morgen ein Video gesehen wo er sich wegen genau diesem Vorwurf verteidigt hat.
Ich bin aber seit 20 min nicht in der Lage das Video zu finden das ich heute morgen angesehen habe. Wenns mir wieder begegnet reiche ichs nach. Es war bemerkenswert wie viel Probleme der Moderator dabei hatte ihn ausreden zu lassen. Das kennt man ja auch schon z-B. vom Umgang mit Lafontaine, aber von der BBC war mir sowas bisher unbekannt.Ich paraphrasiere Corbyns Standpunkt aus dem Video mal: Lösungen ohne Krieg geht nur mit Reden, also muss man mittelfristig mit denen Reden, ob uns das passt oder nicht.
Nach Online-Artikeln hat er "die Dinge" bereits erklärt. Wenn das einem nicht gefällt/reicht, liegt das an einem selber.Und drittens:"bis heute nur halbherzig distanziert hat. Er hält es nach wie vor für unumgänglich, die beiden Organisationen in den Friedensprozess im Nahen Osten einzubinden, und zieht Vergleiche zwischen diesen und der israelischen Rechten."
http://jungle-world.com/artikel/2015/34/52532.html"Bei einer Veranstaltung bezeichnete er Mitglieder der militanten Bewegungen Hamas und Hisbollah als »Freunde«, behauptet nun aber, das sei nur »die Sprache der Diplomatie« gewesen."
http://www.juedische-allgemeine.de/article/view/id/23290"Michael Dickson, der Geschäftsführer der israelischen Organisation »Stand with Us«, die in den sozialen Medien für Israel wirbt, verbreitete sogar ein provokatives Bild, das einen islamischen Militanten mit Telefonhörer zeigt, mit der Unterschrift »Erste Gratulationsanrufe für den neuen Labour-Führer«. Eine böse Anspielung auf die Tatsache, dass Corbyn mit Hisbollah- und Hamasfunktionären verkehre, obwohl der Labour-Politiker nach Beschwerden aus der jüdischen Gemeinschaft klarstellte, dass er nicht mit der Meinung der Militanten übereinstimme."
http://www.juedische-allgemeine.de/article/view/id/23330
Corbyn hat sich bereits zu Antisemitismusvorwürfen geäußert. Und zwar in diesem Interview hier:Und noch ein Video:
https://www.youtube.com/watch?v=QZAn7ZEvwek
die persönliche Stellungnahme zum Thema Hamas von Corbyn.
https://www.youtube.com/watch?v=hOZZF5XCDBMDer Corbyn wirkt ja schon so ein bisschen dünnhäutig. Wer weiß, wie häufig der mit so lenkenden Fragen konfrontiert wird.Danke an alle Einsender!
QEMU heap overflow flaw while processing certain ATAPI commands.
Und und übrigens Hat der Shodan-Typ mal nach MongoDB gescannt und ein paar Terabyte Daten gefunden.
The vast majority of public MongoDB instances are operating in a cloud: Digital Ocean, Amazon, Linode and OVH round out the most popular destinations for hosting MongoDB without authorization enabled.Ist ja auch irgendwie klar. Der perfekte Sturm an inkompetentem Hipster-Computing. NoSQL in der Cloud.There's a total of 595.2 TB of data exposed on the Internet via publicly accessible MongoDB instances that don't have any form of authentication.Herzlichen Glückwunsch, liebe "Apple-Programmierer". (Danke, Andreas)
Gut, ist ja auch irgendwie einleuchtend. Wenn jemand so weit oben auf der sozialen Rangliste steht, dass er nicht zu befürchten hat, wieso sollte der dann seine Zeit damit verplempern, anderen Leuten das Leben schwer zu machen? Ergibt keinen Sinn. Die Superreichen sind ja auch viel zu beschäftigt damit, ihr Geld auszugeben und anzulegen, als sich um andere Dinge zu kümmern. Dafür bezahlen die dann die Politik, sich darum zu kümmern, dass die Armen arm bleiben. Das hat auch den Vorteil, dass die Mittelschicht Angst vor dem Abstieg behält und dann keine Zeit hat, den Reichen ihren Platz streitig zu machen.
Update: Mail-Antwort:
Die Antwort auf …
"Es wäre mal interessant, ob auch hinter Antisemitismus dieses Muster steckt."
… ist simpel: Ja. "Simpel", weil es ein grundsätzliches pschologisches Muster ist, nach dem alle Menschen ticken. Das Aufbauen und Aufrechterhalten von Selbstwert geschieht ganz selbstverständlich über die Identität zu einer Gruppe, der ein gewisser Wert beigemessen wird. Dieser Wert wird natürlich durch soziale Vergleiche gesetzt. (Zu tun hat es auch mit dem grundsätzlichen Funktionieren des menschlichen Hirns, das in Kategorien denkt bzw. denken muss, will es vor lauter Informationsflut nicht handlungsunfähig werden.) Ich kann mich natürlich bemühen, meinen Selbstwert ohne Vergleiche hoch zu halten oder zu erhöhen, so im Sinne von Affirmationen. Aber viel leichter und im Alltag auch ganz unbewusst geschieht das durch soziale Vergleiche. Es reicht durch die Stadt zu gehen und im Augenwinkel viele Obdachlose mitzubekommen, ohne am Ende des Tages wirklich zu wissen, warum man sich, abends in der Wohnung angekommen, tendenziell ziemlich zufrieden fühlt. Wenn du aber dennoch unzufrieden bist, dir deine Eigengruppe nicht genügend Selbstwert liefert, weil du beispielsweise als Hartz IV-Bezieherin Anfeindungen in der Gesellschaft ausgesetzt bist, dann beginnst du viel leichter, Obdachlose ganz bewusst abzuwerten ("Faul? Von wegen, ich organisiere mir hier meine eigene Wohnung, halte die in Schuss und liege nicht faul unter der Brücke"), um dich selbst aufzuwerten.Simpel erklärt mit wesentlicher Quellenangabe für die Theorie zu diesem Mechanismus:
http://www.simplypsychology.org/social-identity-theory.htmlNatürlich ist das nur ein Mechanismus von vielen, die zu gruppenbezogenen Abwertungen beitragen. Zustimmung zu natürlichen Hierarchien spielt z. B. eine Rolle. Das wird besonders beim Item "Die Weißen sind zu Recht führend in der Welt" deutlich, das gerne beim Abfragen von Rassismus benutzt wird. Aber das ist ja auch wieder eng mit dem Eigengruppe-aufwerten-Fremdgruppe-abwerten-Mechanismus verwandt: Weiße vs. Nicht-Weiße.
Das Institut für Konflikt und Gewaltforschung in Bielefeld spricht von Gruppenbezogener Menschenfeindlichkeit:
https://www.uni-bielefeld.de/ikg/projekte/GMF/WasIstGMF.html
An den Korrelationen zwischen den verschiedenen Abwertungsarten sieht man gut, dass *alle* diese Abwertungen ein gemeinsames Muster haben, zu dem gewiss auch das rechnen kann, was du in einem Blogpost ansprichst. Und es findet sich dann nicht nur bei Antisemitismus, sondern auch bei Islamfeindlichkeit und anderen Abwertungen: Wer eine Gruppe abwertet, der tendiert eher dazu, auch andere Gruppen abzuwerten, einige eher als andere, aber grundsätzlich steckt da was in dem Menschen, eine Ideologie, ein Denken, ein psychologischer Mechanismus, etwas, das unabhängig von konkreten Gruppen ist. Bei passender Gelegenheit würden wohl auch Marsmännchen abgewertet werden, nur um sich selbst einen Selbstwertsboost zu verschaffen.
Das ist dann wohl eine Copyright-Verletzung.
Nein, wirklich! Die Linux Distros könnten da rumzicken. Hat wohl bisher noch keine gemacht, aber nunja. Wer dachte, hey, freie Software ist freie Software, und gerade die GPL sollte doch dafür sorgen, dass von der Front kein Stress kommt, … Die Free Software Foundation hat da zwei Jahre rumverhandelt. Unglaublich.
Bei Logdaten ist das für den Fuß, denn der Index würde einem sagen: Dieses Wort kommt in allen Logs des Webservers vor. Ja super. Da bin ich dann so weit wie vorher und muss die alle der Reihe nach durchsuchen.
Oder man könnte "Dokument" umdeuten, und zum Beispiel sagen: Alle 15 Minuten Weblog sind ein Dokument.
Aber man will ja auch andere Arten von Anfragen stellen können bei Logdaten. Man will ja sowas fragen können wie: Welche IPs haben in den letzten Stunden mehr als doppelt so häufig wie der Median zugegriffen?
Oder, bei Maillogs: Welche IP, die wir sonst selten sehen, versucht das Absetzen von mehr als 2 Mails in einer Minute.
Für diese Anfragen von Logs reicht ein Volltextindex nicht.
Und eigentlich wil man diese Art von Anfragen auch nicht ad hoc auf den Corpus anwenden, sondern man will sie auf einen vorbeifließenden Stream ansetzen, und dann einen Trigger auslösen können.
Nun kann man da auf mehrere Arten rangehen. Ich überlege gerade, ob man das nicht weniger schlimm machen kann, wenn man die Daten später durchsuchen will. Also man läuft immer noch komplett durch (ich vermute, dass das für einige ad-hoc-Anfragen gar nicht anders gehen wird), aber man reduziert den Aufwand, den man treiben muss. Ich dachte mir das so, dass man aus den rohen Logdaten die Felder extrahiert, d.h. die Logdaten in einen pro Logzeilentyp konstanten Format-String (wie bei printf/strftime) und die Datenfelder zerlegt. Und dann speichert man den Stream binär ab, die Format-Strings jeweils nur als Referenz auf ein Dictionary, und die Inhalte der Felder aus den Daten herausgeparsed. Dann muss man statt 127.0.0.1 nur vier Bytes abspeichern. Pro Logzeile legt man dann eine Referenz auf den Format-String ab (ich nenne das mal Template), dann das Offset zur nächsten Zeile, und dann binär kodiert die ganzen Werte. Die Idee wäre, dass man dann beim Suchen weiß, an welchem Template man interessiert ist, und die anderen schnell überspringen kann.
Konzeptionell versuche ich also ein Komprimierungsverfahren zu basteln, das ein Matching ohne vollständige Rekonstruktion der Quelldaten erlaubt. Oder zumindest ein fail fast beim Matching.
Was ich an der Stelle unbedingt vermeiden möchte sind irgendwelche Sammlungen von regulären Ausdrücken. Das Parsing muss automatisiert funktionieren.
Der erste Schritt dabei wäre, dass man erstmal typische Felder erkennt. Ich habe da mal eine Heuristik gehackt, die erkennt schonmal IP-Adressen, Timestamps in einigen üblichen Formaten, Hostnamen, Dateinamen, Pfadnamen, URLs, Email-Adressen. Das Problem ist halt, dass man Hostnamen und Dateinamen nicht wirklich erkennen und auseinanderhalten kann. Möglicherweise braucht es diese Aufteilung ja auch gar nicht und ich könnte auch einfach sagen: Das ist ein String-Feld.
Nehmen wir mal diese Logzeile hier:
Jul 17 12:34:56 ptrace sshd[2342]: Accepted publickey for usereins from 1.2.3.4 port 59932 ssh2: ED25519 00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ffDaraus macht mein Tool sowas wie
%t %h %P[%i]: Accepted publickey for usereins from %4 port %i ssh2: ED25519 00:11:22:33:44:55:66:77:88:99:aa:bb:cc:dd:ee:ffDen Hex-String könnte mein Tool auch erkennen, tut es aber im Moment noch nicht. Aber das größere Problem ist, wenn ich zwei solcher Zeilen habe, eine mit usereins und eine mit userzwei, wie führe ich die Templates zusammen und mache aus usereins/userzwei ein %s?
Klassische Verfahren für sowas sind Edit-Distance/Levenshtein oder sowas, aber das muss doch auch irgendwie geschickter gehen. Und ich bräuchte das auf Wörtern, nicht auf Zeichen. Bonusproblem: Mit Feldern klarkommen, die Leerzeichen beinhalten dürfen.
Daran knabbere ich gerade herum.
Spannenderweise findet man für dieses Problem auf Anhieb wenig Kram, weil alles mit Template im Namen in die andere Richtung geht, aus Rohdaten und einem Template den String zu rekonstruieren. Was ich ja trivial genug finde, dass mir nicht klar ist, wieso sich so viele Leute damit beschäftigen. Aber gut.
Vielleicht fehlt mir auch einfach der richtige Suchbegriff?
Update: A-Ha! Der erste sachdienliche Hinweis geht ein. Ein verwandtes Problem ist das Longest common subsequence problem.
Update: Von Microsoft Research gibt es ein Paper, das genau die Fragestellung zu behandeln scheint. Die arbeiten da mit endlichen Automaten.
Update: Und hier ist noch ein Paper von einem Haufen MIT-Leuten. Das scheint mir aber inhaltlich nicht weiterzuhelfen.
Update: Ein verwandtes Problem aus der Bioinformatik ist das Sequenzalignment.
Ich habe mir die ganze Nummer eigentlich sparen wollen, weil das so nach Hetzjagd aussah, und man von außen immer schlecht beurteilen kann, wer da jetzt mit Scheiße wirft und wer eine legitime Position vertritt.
Aber dann dachte ich mir: Hey, das ist unfair, zu Brandan Eich hab ich ja auch was gesagt, und da waren die Umstände ja auch irgendwie ähnlich.
Daher schreibe ich mal, wie das bei mir angekommen ist.
Erstmal: Ich wusste gar nicht, dass Ellen Pao überhaupt Chefin von Reddit ist. Alles, was ich mit ihr assoziierte, war dieses Gerichtsverfahren gegen Kleiner Perkins.
Also erstmal: Frau Pao hat hat einen Elektrotechnik-Bachelor von Princeton, einen Jura-Doktor von Harvard und einen MBA von Harvard Business School. Das ist geradezu unfassbar, denn mit so einem Feuerwerk an Ivy League-Abschlüssen sind sicher höhere sechsstellige Kosten verbunden. Das ist ein kleines Wunder, dass sich eine chinesische Frau das leisten konnte. Vielleicht kommt sie aus einer reichen Familie? Das ist jedenfalls ein außerordentlicher Privilegierten-Status, den sie da genießt.
Kleiner Perkins ist eine relativ bekannte VC-Bude. Ich habe eine eher geringe Meinung von VC-Buden, seit ich mal bei einem frühen Arbeitgeber von mir gesehen habe, wie die so operieren. Aber egal, mit Kleiner Perkins hatte ich noch nichts zu tun, ich habe die aber recht negativ eingestuft, weil mir dieses ganze Startup-Gehabe in den USA eh gewaltig auf den Sack geht. Die haben da geradezu eine Religion geschaffen, die diesen amerikanischen Self Improvement und Self Help und American Dream Kult mit der Kapitalismus-Religion zu einer neuen Sekte, dem Startup-Wahn verbindet. Kleiner Perkins ist m.W. eine der größeren VC-Buden in den USA, die haben u.a. ihre Finger bei Amazon, Citrix, Compaq, Electronic Arts, Google, Juniper, Netscape, Symantec, Verisign und Sun drin gehabt. Das ist keine kleine Klitsche, das ist ein großer Player im VC-Markt.
So, und da hat Frau Pao eines Tages angefangen, und wie in allen Sekten haben sie ihr den gleichen Bullshit erzählt, den sie auch Startups erzählen: Die Chancen betont, die Risiken nicht erwähnt. Sie dachte daher, in ein paar Jahren ist sie da Senior Partner und macht die fette Kohle. Das geschah nicht. Nun ist natürlich Diskriminierung in den USA auf dem Papier genau so verboten wie hier, daher kommen solche Entscheidungen in keiner Firma ohne einen fetten Paper Trail zustande. Bei Kleiner Perkins gab es jährliche Evaluierungen der Arbeit der Mitarbeiter durch ihre Kollegen. Und da schnitt Frau Pao halt nie gut genug ab, um befördert zu werden.
Sie hat dann irgendwann geklagt, weil sie fand, Inkompetenz sei bei ihren männlichen Mitarbeitern noch nie ein Ausschlusskriterium für eine Beförderung gewesen, und das könne nur durch sexuelle Diskriminierung zustande gekommen sein, dass sie nicht voran kommt.
Das klang für mich legitim, denn mir sind VCs bisher auch nur als Good Old Boys Clubs begegnet, und bei einer so alten und legendären Firma wie Kleiner Perkins liegt der Verdacht nahe, dass das da auch so ist. In dem Verfahren wurde dann von allen Seiten eine Menge Dreckwäsche öffentlich gewaschen, und es endete am Ende so, dass sie verloren hat. In der Statistik, stellt sich raus, ist Kleiner Perkins sogar eher vorne mit dabei in Sachen Frauenquote. Nur ob das jetzt heißt, dass die besonders gut sind, oder dass die anderen besonders steinzeitlich sind, weiß ich nicht.
Nachdem sie dann bei Kleiner Perkins rausflog, wurde sie CEO von Reddit, die zu Conde Nast gehören. Das ist eine Verlagsgruppe, die eigentlich so Sachen wie Vogue und GQ rausbringt. Aber denen gehört halt auch Reddit.
Bei Reddit war sie nur ein paar Monate, wenn ich das richtig sehe, und dann gab es eine Revolte. Eine Mitarbeiterin von Reddit, von der, so mein Eindruck, von den Usern vorher noch keiner was gehört hatte, wurde auf der Site plötzlich als in den Rücken gedolchte Heldin positioniert, ohne die da gar nichts geht. Ihre Aufgabe war, für AMAs die Gäste zu managen — Einladung, Flug buchen, Besprechen, evtl für sie tippen, sowas. Der Großteil von Reddit wird nicht von Angestellten gemanaged, sondern von Freiwilligen, und denen hatte nicht nur niemand Bescheid gesagt, es gab da auch keinen kurzfristigen Ersatz, d.h. die konnten plötzlich ihre AMA-Planung über den Haufen werfen. Ein unschöner Management-Fuckup, und wir wissen bis heute nicht, wieso diese Frau da jetzt gefeuert wurde.
Aber die Moderatoren von diversen wichtigen Subreddits haben dann plötzlich die Foren in ihrem Einflussbereich auf Privat geschaltet, woraufhin Reddit praktisch zum Erliegen kam. Es gab einen riesigen Shitstorm, und — wenn man den Berichten auf Reddit selber glauben darf — das Management reagierte beschissenstmöglich. Der eine Gründer von Reddit postete einen dämlichen Kommentar über Popcorn, und als dann irgendein Schwachmat eine Online-Petition gemacht hat, die den Rücktritt von Ellen Pao forderte, die nach einer Nacht schon über 70000 Unterschriften hatte, hat Ellen Pao angeblich zu Protokoll gegeben, das sei ihr wurscht ("not fazed").
Und DAS war der Punkt, als ich mir dachte, OK, die muss da weg. Das ist eine völlig unakzeptable Reaktion in so einer Situation, ein PR-Anfängerfehler. Da muss man dem Gegenüber direkt in die Augen gucken, Mitgefühl heucheln und auf Zeit spielen. Ihr wisst schon, "Ihr Anruf ist uns sehr wichtig, bitte bleiben Sie in der Leitung". Hat sie nicht gemacht. Und damit hat sie in meinen Augen ihren Job verwirkt.
Aber.
Was DA für ein fieser, ekelhafter Ansturm an furchtbaren Anwürfen die Runde machte, das was echt unter aller Sau. So auf dem Niveau von: Die Frau war ja schon immer unfähig, beißt immer andere Frauen um sich herum weg, und kann nur durch Drohung mit Gerichtsverfahren vorankommen. Das war eine Hexenjagd wie damals bei Brandan Eich, nur dass der sich objektiv weniger hat zu Schulden kommen lassen. Ich finde auch die Existenz dieser Petition beschissen, und dass Leute da geklickt haben ist auch beschissen. Leute, die Ellen Pao noch nie getroffen haben, und überhaupt nicht genug über die Situation wissen, um da eine Entscheidung fällen zu können. Wir wissen auch gar nicht, ob Ellen Pao überhaupt involviert war bei dem Feuern von dieser Mitarbeiterin.
Alles in allem: Das war eine echt beschissene Situation, und dass die sozialen Medien sich immer wieder zu solchen unwürdigen Spektakeln hinreißen lassen, das ist eine Schande und die Teilnehmer sollten sich alle schämen. Und Ellen Pao sollte sich für diesen "not fazed"-Kommentar auch schämen. Das war ein Griff ins Klo.
Update: Ich habe da einen Aspekt zu erwähnen vergessen, weil ich dachte, der habe damit nichts zu tun. Ich zitiere mal aus einer Mail:
Und zwar hat Ellen Pao dafür gesorgt, dass Reddit eine neue anti-harrassment policy bekommt. Früher war ja bis auf CP so ziemlich alles bei Reddit erlaubt. Leider auch Subreddits wie /r/fatpeoplehate, wo User sich nicht nur über übergewichtige Menschen lustig machten, sondern auch andere Subreddits stürmten und die Leute dort übelst beschimpften, darunter /r/fitness, /r/loseit und /r/progresspics wo Leute sich echt bemühen was an ihrem Gewicht zu ändern. Ganz ekelhafte Geschichte. Jedenfalls hat Reddit angefangen solche Subs dicht zu machen und dann gab es einen riesen Shitstorm von wegen "muh free speech" und /r/all wurde vollgespamt mit Beiträgen, dass Ellen Pao ein Nazi wäre usw. In diesem Kontext musst du dann wohl auch Ellen Paos Aussage sehen, dass es sie nicht juckt. Es waren einfach kleine Kinder, denen Mama gesagt hat, sie dürfen andere Leute nicht beleidigen.
Dass Ellen Pao für die neue Harrassment Policy gesorgt hat, hatte ich nicht mitgeschnitten. OK, das rückt das natürlich in ein noch unappetitlicheres Licht alles. Seufz.
Update: Hrm, jetzt kommen hier lauter Mails rein, ich soll darauf hinweisen, dass ihr Mann, ein Fondsmanager, ein Schneeballsystem betrieben hat und dafür verurteilt wurde und ihre Forderung in dem Verfahren gegen Kleiner Perkins zeitlich passte und von der Höhe her ziemlich genau der Strafe ihres Mannes entsprach. Nuja. Hörensagen, finde ich. Aber jemand schreibt mir jetzt:
Pao hat aus mehreren Gründen den Hass der Userbase auf sich gezogen. Das ist nicht nur die Sache mit Victoria, das geht schon eine Weile so. Einer der Hauptkritikpunkte ist Zensur und Inkompentenz. Wurden etwa Links zu ihrem Prozess mit ihrem alten Arbeitgeber gepostet, so wurden diese gelöscht. Leute die sich negativ über Pao äußerten? Banned. Geschichten über ihren Mann (Buddy Fletcher), der als Fundsmanager ein Schneeballsystem genutzt und andere ruiniert hat? Banned. Gepostet, wie Pao versucht hat, Reddit selbst zu nutzen, und dabei völlig versagte? Banned. Viel davon wird auch pauschal als Frauenfeindlichkeit abgetan, aber Pao hat reichlich dazu beigesteuert, dass man sie als neue Zensursula zeichnet.
Naja, und es stimmt auch, dass reddit hat sich selbst jahrelang als Free Speech-Aktivisten gefeiert hat. Ist alles komplex und unschön.
Update:
Hi Felix,
ich habe hier Feedback zu deinem MS Office-Link auf FD.
Das wird in der Tat bereits aktiv ausgenutzt um Malware zu versenden.Eines unsrer beiden Gatways hat just während ich das Posting las mehrere *.rtf mit eingebundener Malware gefunden:
- The SFX Header* 0.2.1.0* extracted from the attachment *Rechnung.rtf*
- The item *UnRAR.exe* extracted from the attachment *Rechnung.rtf*
Klingt ja auch wie eine gute Idee, bis man sich mal die juristischen Implikationen in einem vom Landgericht Hamburg ins Störerhaftungs-Pleistozän zurückgebombte Deutschland überlegt.
Microsoft enables Windows 10's Wi-Fi Sense by default, and access to password-protected networks are shared with contacts unless the user remembers to uncheck a box when they first connect.
Mir fiel hier beim Rumklicken gerade ein besonders schönes Exemplar auf. Das ist ein Whitepaper von RSA über, … ja so richtig klar ist das nicht. Ihr Team? Ihre Produkte? Es geht jedenfalls um Incident Response (auch bekannt als "Feuerwehr" oder "Ghostbusters"-Einsätze) in APT-Fällen (auch bekannt als "Windows-Trojaner"). Normale Malware gibt es ja gar nicht mehr, ist ja heutzutage alles APT. Mit APT können alle leben. Die gehackte Organisation, denn bei APT kann man halt nichts machen, alles 0day und military grade ultra-Geheimdienst-Qualität und so. Die untersuchenden Spezialisten, denn hey, wer kann schon von sich sagen, einen echten APT gefunden zu haben! Gut, inzwischen fast alle, aber wollen wir mal nicht so sein.
Aber gucken wir uns das Whitepaper mal an. Es geht damit los, dass sie eindrucksvoll schildern, wie raketentechnologisch roswellig ihre UFO-Technologie da ist! Während Villariba erst 10% untersucht hat, ist Villabajo dank RSA-Gehirnchirurgenequipment schon 90% fertig (Seite 5).
Da wird man doch neugierig, wie sie das anstellen! Und blättert weiter bis zum Kapitel 3, Analysis Methodology. Und was steht dort?
RSA IR employs a methodology that is founded on industry standards.Wie jetzt, nanu? Ich dachte ihr seid der Industrie 90% voraus! Wie könnt ihr dann die selben Standards nehmen wie der Rest der Industrie? Das liegt bestimmt an dem ganzheitlichen Ansatz!The holistic approach includes the following four core components:- Intelligence gathering and research;
- Host-based forensic analysis;
- Network-based forensic analysis; and,
- Malware analysis.
Oder mit anderen Worten: Was auch alle anderen machen, wie das jeder tut, weil das offensichtlich ist.Plötzlich ist dann von iterativen Ansätzen und wiederholbaren Prozessen die Rede, das klingt dann schon gar nicht mehr so 90% schneller als anderswo, und dann gibt es dieses Highlight:
To complete this work, RSA IR uses several commercial and open source forensic toolsWie, Moment, ihr benutzt anderer Leute von-der-Stange-Tools? Ich dachte, EURE Tools seien der heiße Scheiß!In addition, the Team will leverage available tools and technologies in place within the enterpriseJa, äh, na was soll man auch sonst benutzen an der Stelle?Aber gut, das ist ja immer noch recht abstrakt. Vielleicht werden die Dinge in der Case Study-Sektion klarer?
The RSA IR team used Volatility to analyze the submitted memory dump. Very quickly, while parsing the Application Compatibility cache from the memory image, RSA IR confirmed this server likely had unauthorized activity based on locations and filenames that were executed on the system.Das ist ja mein persönliches Highlight. Erstens: Volatility ist ein Open-Source-Tool. Aber über Formulierungen wie "confirmed this server likely" könnte ich mich stundenlang amüsieren. Likely ist, was man vorher hat. Confirm macht aus likely ein definitely. Bestätigen, dass etwas wahrscheinlich passiert ist, geht nicht. Etwas ist wahrscheinlich passiert, dann bestätigt man das, dann weiß man, dass es passiert ist und braucht kein wahrscheinlich mehr.Ihr seht schon: Whitepapers sind ein Quell der Unterhaltung für Leute, die sich für den sprachlichen Dreizack aus Bullshit, Schlangenöl und Herumwieseln interessieren.
Hey, vielleicht sollte ich auch mal ein Whitepaper schreiben. "Wir machen das selbe wie unsere Mitbewerber. Wir können es nur besser." :-)
Aber hey, ich bin mir sicher, die Fachpresse macht bald wieder einen Schlangenöl-Vergleichstest. Damit ihr nur das kauft, das am schönsten schlängelt!
Ich benutze ja für PDF dieser Tage hauptsächlich mupdf (unter Windows in Form von SumatraPDF). Habe ich nicht auditiert, insofern kann das auch ganz übel sein. Aber die Engine ist klein und schnell rendert ordentlich und ist GPL. Und nicht von Adobe. Gibt es auch für Android. Oh ich sehe gerade, dass die auch einen nativen Windows-Viewer haben inzwischen, muss man nicht mehr SumatraPDF nehmen.
Das scheint ein Tool zu sein, das genau das tut, was der Name andeutet, und mit "SW Update" von Samsung kommt.
SW Update is your typical OEM updating software that will update your Samsung drivers, the bloatware that came on your Samsung machine, etc. The only difference between other OEM updating software is, Samsung's disables WU.Ja super! Windows-Updates zeitnah einspielen ist eh total überbewertet!1!! Wir haben hier Schlangenöl ausgerollt, wir brauchen keine Updates. (Danke, Torsten)
Ich fand das ja schon die ganze Zeit auffallend, dass der Snowden per Cloud-Dienst mit der Welt sprach. Nicht dass Skype besser wäre, aber Cloud ist Cloud. Man kann genau niemandem vertrauen von diesen Cloud-Fuzzies. Jeder Anbieter unterliegt irgendwo irgendeiner Fascho-Regierung mit Orwellschen WIR MÜSSEN ALLES ENTSCHLÜSSELN KÖNNEN!!1! Ideen.
Der einzige Weg, wie man ordentliche Krypto hinkriegt, ist wenn man die Infrastruktur selber betreibt.
Ist die Krypto in WebRTC eigentlich Ende-zu-Ende? Ich glaube ja.
Warum sollte das bei Video auch anders sein als bei Email und Instant Messaging. Wenn man da irgendein Walled-Garden-System und intransparente kommerzielle Client-Software hat, dann hängt man von dem ab, was die einem vorsetzen. Vertrauenswürdigkeit ist was anderes.
Update: Hups, Link vergessen.
Update: WebRTC ist zwar Ende-zu-Ende-verschlüsselt, aber mit einem self signed Cert, d.h. hilft nur gegen Angreifer, die den Inhalt des Überseekabels komplett abgreifen, nicht gegen aktive Angreifer, die sich in die Mitte setzen und beiden Seiten gegenüber so tun, als seien sie die Gegenseite.
Während große Teil der SPD Bundeskanzlerin Merkel der Unterwürfigkeit bezichtigen, werfen CDU-Poliker der SPD "überzogene antiamerikanische Töne" vor.Ja, gut, die Amerikaner haben bei uns Industriespionage betrieben, und dafür unseren eigenen Geheimdienst benutzt. Aber das ist doch kein Grund für Kritik an unseren Amerikanischen Freunden!? Wo soll das enden, wenn wir schon bei solchen Kleinigkeiten Kritik üben?! Am Ende stellt hier noch jemand die Drohnenmorde in Frage! Oder dass immer noch US-Militärbasen auf unserem Hoheitsgebiet existieren! Das geht nun wirklich nicht!
Frage: Eine Frage an das Bundesjustizministerium zur Vorratsdatenspeicherung. Da ist seit Montag Kurioses passiert. Am Montag hat mir Frau Zimmermann gesagt, dass es diese Nebenabrede nicht gibt, dass es keinen Richtvorbehalt bei der Verwendung von Daten aus der Vorratsdatenspeicherung geben soll. Nun ist ein Dokument herausgekommen, wo diese Nebenabrede existiert. Der Autor oder die Autorin dieses Dokuments ist ein Herr oder eine Frau Zimmermann, der/die das am Montag bestritten hat. Ist das dieselbe Person?Na dann ist ja alles klar!Malachwoski: Tut mir leid, dazu kann ich Ihnen nichts sagen. Sie meinen, ob der Autor des Dokuments meine Kollegin ist, die am Montag hier war?
Zusatzfrage: Da steht: zimmermann-an. Das könnte Anne Zimmermann sein. Dann müsste Frau Zimmermann doch am Montag gewusst haben, dass sie diese Nebenabrede, diesen Bonustrack, in die Leitlinien reingepackt hat, die aber nicht veröffentlicht wurden.
Malachwoski: Ich kann Ihnen dazu jetzt nichts sagen; außer, dass ich Ihnen bestätigen kann, was meine Kollegin Frau Zimmermann am Montag schon gesagt hat, dass es keine geheimen Nebenabsprachen oder so etwas zu den Leitlinien gibt.
Zusatzfrage: Über genau diese Nebenabsprache hat sie doch anscheinend geschrieben.
Malachwoski: Das kann ich Ihnen nicht bestätigen.
Zusatzfrage: Könnten Sie nachforschen und uns das nachreichen?
Vorsitzender Wefers: Herr Dimroth kann ergänzen.
Dimroth: Ich darf ergänzen: Sie hatten in den vergangenen Sitzung sowie heute nach geheimen Nebenabreden gefragt. Es gibt keine geheimen Nebenabreden. Das ist damals genauso richtig gewesen wie heute. Der wesentliche Teil Ihrer Frage, der die Antwort damals genauso richtig macht wie heute, ist der Teil geheim. Es gibt keine geheime Nebenabrede. Es geht hier auch nicht um das Thema Vorratsdaten und den Zugriff auf Vorratsdaten, sondern es geht um die sogenannte Bestandsdatenauskunft, nämlich den mittelbaren Zugriff auf Vorratsdaten durch die Unternehmen. Die Verkehrsdaten werden bei diesem Vorgang nicht verbeauskunftet, sondern die Verkehrsdaten werden dafür genutzt, dass der jeweilige Telekommunikationsunternehmer aufgrund der Zuordnung der dynamischen IP-Adresse in die Vergangenheit in der Lage ist, den hinter dieser dynamischen IP-Adresse zu einem bestimmten Zeitpunkt stehenden Nutzer zu identifizieren und zu beauskunften. Das ist der Sachverhalt, über den wir sprechen.
Dabei hatte die Kollegin aus dem BMJV zutreffenderweise auf die geltende Rechtslage verwiesen, die nach dem, was zwischen BMI und BMJV vereinbart wurde, nicht angefasst werden soll. Diese Vereinbarung lässt sich eins zu eins auf das stützen, was das Bundesverfassungsgericht dazu erklärt hat - ich würde tatsächlich empfehlen, das einmal nachzulesen -, wo nämlich sehr ausdrücklich herausgearbeitet wird, dass eben gerade diese Auskunft - die nicht die von Artikel 10 geschützten Verkehrsdaten, sondern lediglich die Auskunft der Bestandsdaten umfasst, die aber, um diese Auskunft überhaupt möglich zu machen, im internen Prozess bei den Providern auf die Verkehrsdaten zurückgreift - ein deutlich geringeres Schutzerfordernis als der Zugriff auf die Verkehrsdaten mit sich bringt.
Das ist wirklich lesenswert und ich empfehle es sehr. - Um Ihre Frage noch einmal aufzugreifen: Es gibt keine geheime Nebenabrede. Das ist heute ebenso richtig.
Zusatzfrage: Es gibt eine offensichtlich nicht öffentliche. Es gibt die öffentlichen Leitlinien, und dann gibt es diesen Zusatz dieser Nebenabrede, die anscheinend immer noch von Ihnen geleugnet wird, die aber - -
Dimroth: Ich habe gerade sehr klar ausgeführt, dass das so ist. Es ist nur eben keine geheime Nebenabrede.
Zuruf : Dann ist sie nicht öffentlich!
Dimroth: Entschuldigung, nicht öffentlich ist nicht gleich geheim. Ich würde jetzt doch gerne ins Klein-Klein gehen. Nicht öffentlich ist ja nicht gleich geheim. Es gibt natürlich eine Reihe von Abreden zwischen jedermann, die deswegen noch lange nicht geheim sind. Das ist offensichtlich.
Zusatzfrage: Das ist interessant. Also gibt es diese nicht öffentliche Nebenabrede.
Dimroth: Es gibt die Verabredung, dass für die Bestandsdatenauskunft das gilt, was schon immer gilt, und zwar auf Grundlage dessen, was das Bundesverfassungsgericht dazu ausgeurteilt hat. Genauso ist das.
Ich fühle mich ein wenig an die Bill-Clinton-Befragung erinnert, als er erst mal Wörter wie "is" definiert haben wollte.
Update: Oh wie schön, es gibt auch ein Video.
- Es gab vor Kurzem einen englischsprachigen Artikel darüber, dass die Russen ihre Zuversicht in diesen Angelegenheiten geäußert haben. Die Aussage war, dass die Chinesen Jahre zum Nachbauen brauchen, und bis dahin haben die Russen die nächste Generation am Start. Wer reverse engineered hinkt hinterher.
- Wenn die Chinesen Systeme verwenden, die denen der Russen entsprechen, dann kennen die Russen zumindest die chinesischen Fähigkeiten gut. Es hat sich in mehreren Konflikten gezeigt, dass die genaue Kenntnis der Flugabwehrsysteme diese bereits großteils entwertet (z.B. Roland auf Falklands, die Briten wussten alles Wesentliche darüber von den Franzosen / Russische Systeme im Bekaa Tal, die von Israelis mit gründlicher Vorbereitung total besiegt wurden).
- Die Russen haben's einfach nötig, finanziell.
- Es gibt seit langer Zeit schon keine neuen Anzeichen für "monkey model" Exportversionen russischer Rüstungsgüter mehr. Die gehen wohl korrekt davon aus, dass der Westen inzwischen an technische Geheimnisse auch durch Spionage in Russland selbst herankommen kann. "Exportversionen" sind teils sogar aufwändisger als von Russland selbst angeschaffte Versionen, oder (Fall Indien) nach Kundenwunsch maßgeschneidert.
Die S-400 Version mit der größten Reichweite ist übrigens gegen Radarflugzeuge relevant. E-3 AWACS kann moderne Kampfflugzeuge kaum auf 200-300 km aufspüren und verfolgen, bei Präsenz von S-400 wird AWACS also soweit nach hinten gedrückt, dass es zum rein defensiven System würde. Angreifende Kampfflugzeuge müssten sich dann gegenseitig mit ihren vorausgerichteten Radars sichern (was sehr viele Maschinen erfordert). Eine Antwort hierauf wäre der berühmte "Stealth" Ansatz, doch der funktioniert bei sehr langwelligen Radarfrequenzen nicht gut, und S-400 nutzt das aus.
Der Westen hat (soweit öffentlich bekannt) nicht einmal eine wirklich gute Antwort auf das S-400 Vorgängersystem S-300 in seinen neueren Versionen. Sobald irgendwo S-300 / S-400 rumsteht ist das typisch amerkanische rumrempeln mit "cruise missile diplomacy" offenbar nicht mehr möglich.
any user who is part of the docker group should also be considered rootBonus: Das Docker-Team antwortet:This is by designJa spitze! (Danke, Fabian)
Hals Alter Ego nutzte mich lange Jahre als Erklärbär für IT-Fragen. Wie ist diese Aussage dieses Politikers hier einzuschätzen? Hat Bitkom Recht, wenn sie sagen …? Wie angreifbar ist diese vorgeschlagene Infrastruktur für dieses Großprojekt hier? Sowas.
Ich habe ja auch einen Bildungsauftrag, sage ich mir immer, und helfe daher bei sowas gerne mal.
Allerdings hat Hal sich zeitlich parallel immer und immer wieder an meinem Freund Frank (der, mit dem ich Alternativlos mache) abgearbeitet und mit zunehmend fadenscheinigen Unterstellungen und als Frage formulierten Anfeindungen öffentlich vorzuführen versucht.
Ich musste mich dann immer von Frank fragen lassen, wieso ich diesem Bratwurst-Journalisten noch bei seinen Recherchen helfe. Ich war dann ein paar Mal in der unschönen Situation, Hal erklären zu müssen, wieso er jetzt schon wieder ins Klo gegriffen hat mit seinen Anfeindungen. Und als Antwort kam dann sowas wie "ich bin Journalist, es ist mein Job, fiese Fragen zu stellen". Ja, schon, aber es gibt da eine Linie. Vor der Linie ist es Recherche, nach der Linie ist es eine Kampagne. Ich entschied daher irgendwann, dass ich keine Lust mehr auf diese Dynamik habe, und wenn Hal sich weiter an Frank und seiner Firma abarbeiten will, dann kann er sich mal einen anderen Erklärbär suchen.
Das Zitat, das Hal da bringt, ist a) aus einer privaten Mail, das geht schon mal gar nicht, und b) suggeriert der Kontext, als hätte er da hinter mir her recherchiert und ich hätte die Aussage verweigert oder so. Tatsächlich habe ich nach einem weiteren Weitpinkelrekordversuch in Franks Richtung die Reißleine gezogen und Hal gesagt, dass ich nicht freiwillig Leute unterstützen möchte, die meine Freunde öffentlich bloßzustellen versuchen. Zumal da nie irgendwas mit Substanz kam.
Rückblickend bin ich froh, die Entscheidung getroffen zu haben. Ich hätte sie wahrscheinlich früher treffen sollen.
Nach dem geltenden Paragrafen 177 Strafgesetzbuch setzt eine Vergewaltigung voraus, dass der Täter Gewalt anwendet, dem Opfer droht oder es ausnutzt, dass dieses sich in einer schutzlosen Lage befindet. Der Tatbestand der Vergewaltigung ist damit so eng beschrieben, dass sich laut Maas Fälle ergeben, die bisher nicht erfasst würden.Ja. Die Fälle, die keine Vergewaltigung sind. Der Name deutet es ja schon an. Der "gewalt"-Part. Aber offensichtlich ist das nicht genug.
Hier sind die Fälle, die die Proponenten nennen:
Das klingt für mich alles nach Fällen, in denen nach der neuen Regelung die Aussage des Opfers reichen soll, um einen Täter nicht nur einzulochen sondern ihm das Leben zu zerstören.
- Opfer, die aus Angst vor dem Täter keinen Widerstand gegen sexuelle Übergriffe leisten,
- Frauen, die Vergewaltigungen in Schockstarre über sich ergehen lassen, weil der Täter sie überrumpelt hat,
- Fälle, in denen der Vergewaltiger zwar gewalttätig war, aber diesen Zwang nicht gezielt einsetzte, um den Sex zu ermöglichen.
- Geregelt werden sollen schließlich zudem Fälle, in denen das Opfer nur dachte, es sei in einer schutzlosen Lage, tatsächlich aber Hilfe erreichbar war.
Ich betrachte sowas aus Sicht des Hackers: Wie würde man das missbrauchen, und was wären die Konsequenzen.
Ich bin da als Mann voreingenommen. Wenn ich einer Frau Vergewaltigung vorwerfe, werde ich ausgelacht. Wenn mir nach diesen neuen Regeln eine Frau Vergewaltigung vorwirft, habe ich keine rechtsstaatliche Verteidigungsstrategie mehr. Da muss nichts mehr nachgewiesen werden.
Und wie könnte ich mich verteidigen? Gar nicht!
Wie soll ich denn nachweisen, dass die Frau keine Angst vor mir hatte, oder ich niemanden "überrumpelt" habe?
Haben die Männer wirklich noch nicht genug die Arschkarte gezogen in unserer Gesellschaft? Reicht es nicht, dass Männer früher sterben, sich vorher totarbeiten, und bei Scheidungen die Kinder weggenommen kriegen? Müssen wir jetzt ernsthaft innerhalb unserer Gesellschaft die Ermächtigung vergeben, auf Zuruf Menschen das Leben zu vernichten und sie ins Gefängnis zu werfen? Man stelle sich das mal in einer andere Konstellation vor statt Männer und Frauen. Bäcker und Bademeister. Stellt euch mal vor, Bäcker könnten einfach behaupten, der Bademeister hätte sie zu ertränken versucht, und es gibt leider keine Zeugen, und dann würden wir einfach den Bademeister einlochen? Da würde doch niemand mehr Bademeister werden!
Aus meiner Sicht sollte niemand so viel Macht haben in einer Gesellschaft. Bei Polizei und Richtern haben wir Sicherungen gegen Missbrauch (auch wenn die in der Praxis eher unter- als überzeugen). Bei dieser Neuregelung sehe ich keine.
Update: Hier ist die passende Kolumne von BGH-Richter Thomas Fischer.
Update: Vielleicht wurde der Maas ja auch nur falsch zitiert. Ist ja schon mehrfach vorgekommen.
Update: Oder man hat halt nur noch Sex mit mindestens gleichstarken Männern oder UFC-Kämpferinnen oder so.
Update: Von dem Dutzend oder so Widersprüchen hatte keiner irgendwelche Argumente zu bieten. Nur „Fefe ist halt ein misogynes Arschloch“. Funktioniert so der Diskurs in euren Kreisen? Dann kann ich euch nur mein ehrliches Beileid ausdrücken. Wie arm muss so ein Leben sein.
Update: Übrigens gelten die Bedenken gegen das Gesetz natürlich auch aus der anderen Richtung. Vergewaltigungsopfern wird hier auch nicht geholfen, die Tat einfacher zu beweisen. Mehr als was sie vorher machen konnten können die jetzt auch nicht machen. Sie können Hörensagen vorbringen. Das können sie auch jetzt schon, und dann ist das Leben des Angeklagten vermutlich ruiniert, auch wenn die Klage vor Gericht möglicherweise scheitert, weil die Richterin mit der Beweisführung nicht zufrieden ist.
Wie kam Fefe eigentlich zu seinem Blog?Ein Gastbeitrag von Frank Rieger, meinem Co-Netzbeschaller bei Alternativlos).
Eine Erinnerung, die vielleicht die Wahrheit(TM) ist, oder aber doch nur eine schöne Geschichte.In einem sehr privaten, äußerst mysteriösen Chatsystem weit draußen in den abgelegenen Spiralarmen jener Galaxis, die irgendwann später von sensationsheischenden Journalisten "The Darknet" getauft wurde, begab sich eines Abends eine folgenschwere Konversation. Wieder einmal hatte Fefe den Tag über extensiv eine Funktion genutzt, die es erlaubte, URLs mit einem kurzen Kommentar in eine Art Notizbuch des Chatsystems zu posten, den anderen Insassen zur Kenntnis und Freude. Es gab keinen echten Konsens darüber, wofür und wie oft man dort Links hinterlassen sollte, bevor es als lästig empfunden wurde. Fefe war mit Abstand der fleissigste Nutzer, sein fortgeschrittenes News-Junkietum (siehe auch die causa Paperboy) hatte einen ersten Höhepunkt erreicht.
Eine kleine Handvoll Regulars fühlte sich aus unerfindlichen Gründen davon gestört. Vermutilch war es das lästige Gefühl, bei der Lektüre der schieren Menge an Informationen nicht mehr hinterherzukommen. "Hey Fefe, kannst Du Dir nicht mal ein Blog zulegen? Das wird echt ganz schön viel hier…" war der Tenor der zufällig zusammengewürfelten Runde. Ähnliche Rufe von anderen Teilnehmern waren immer wieder erschallt, nun war aber eine gefühlte kritische Maße erreicht.
Fefe tat, was er in solchen Situationen häufig tut. Erst polterte und paulte er ein wenig. Dann schmollte er ein bißchen. Dann setzte er sich hin und codete sich ein erstes Blogsystem, aus dem was gerade so an brauchbaren Fragmenten herumlag. Einen Webserver hatte er schon geschrieben, dann gab es da gerade noch einen LDAP-Server, der als Backend für die Posts bastardisiert wurde. Dann rumpelte, blitzte und krachte es noch geheimnisvoll hinter dem Vorhang und am Ende war blog.fefe.de geboren. Absichtlich schlicht, absichtlich kurz und knapp – mehr als ein Kommentar zur URL war ja auch nicht das Ziel. Und in seiner sparsamen Schlichtheit auch unter den widrigsten Bandbreiten-Umständen noch zu lesen – egal ob über GPRS, Rauchzeichen, Trommelsignale oder Brieftauben-IP.
Zehn Jahre später ist aus der täglichen News-Linkliste eine Institution geworden, eine beliebte Quelle des Abschreibens, ein Ort des Kopfschüttelns, Aufregens, Hassens, Angwidertseins, enthusiastischer Zustimmung, krassen Fanboitums und schnöden Neids. Wenn Fefe auf einen schwachbrüstigen Server linkt reichen die Klicks der Leser oft aus, das System zu überlasten. Wenn er eine Ente postet, ist sie nur schwer wieder aus der Welt zu bekommen. Und alles nur, weil ein paar Leute unbedacht meinten, Fefe solle sich doch mal gefälligst ein Blog zulegen, für seinen Linkposting-Durchfall…
(Anm. d. Redaktion: Ein Blog wollte ich damals eigentlich nicht haben, weil Tim Pritlove überall herumevangelisierte, heutzutage müsse jeder mindestens ein Blog haben, wenn nicht direkt auch gleich noch einen Podcast. Das roch mir alles zu sehr nach Apple-Technologien.)
GET / HTTP/1.1Das ist ein HTTP-Request. Die Antwort sieht dann so aus:
Host: www.server.com:80
HTTP/1.1 OKDas Problem ist jetzt, dass das idealisierte Beispiele waren. Tatsächlich sehen Requests nämlich so aus:huhu
GET / HTTP/1.1Und Antworten sehen so aus:
Host: www.cnn.com:80
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:36.0) Gecko/20100101 Firefox/36.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate DNT: 1 Cookie: token=kiMLX8/1ni34+wrDrAfx7XDDNjSLJhzIXFL27VY2SwM= Connection: keep-alive
HTTP/1.1 200 OK x-servedByHost: prd-10-60-165-21.nodes.56m.dmtio.net Cache-Control: max-age=2592000 Content-Type: text/html Via: 1.1 varnish Content-Length: 11502 Accept-Ranges: bytes Date: Mon, 09 Mar 2015 16:37:46 GMT Via: 1.1 varnish Age: 702161 Connection: keep-alive X-Served-By: cache-iad2130-IAD, cache-lax1421-LAX X-Cache: HIT, HIT X-Cache-Hits: 1414, 5 X-Timer: S1425919066.634699,VS0,VE0 Vary: Accept-Encoding [… der HTML-Inhalt …]Praktisch alles davon ist überflüssig. Sowohl auf Client-, als auch auf Serverseite. Ein Teil davon ist dem Standard geschuldet (wieso muss der Server bitte das Datum mitschicken?!), aber der Großteil ist einfach Bloat von Clients und Servern. Alleine schon der User-Agent ist eine Größenordnung zu groß. Der Accept-Header ist ein typischer Fall von Feature Creep, war mal gut gemeint, hat aber so dermaßen auf ganzer Linie verkackt, dass da jetzt "*/*" als "akzeptierter MIME-Type" drin steht. Damit wird natürlich die Intention des Headers völlig unterwandert und man könnte ihn auch eigentlich komplett weglassen. Ähnlich sieht es mit Accept-Languages aus. Das war mal dafür gedacht, dass der Browser sagt "mein Benutzer spricht Deutsch, kann aber auch Englisch", und die Webseite gibt dann ihre deutschsprachige Version heraus. Das benutzen tatsächlich einige Webseiten. So gefühlt 3 oder 4. Hätte man sich also auch sparen können. Accept-Encoding sagt, dass der Browser auch gzip und deflate kann. Das hätte man schlicht als Default in den Standard schreiben können, dann würde man sich das sparen, dass alle Browser das mitschicken. DNT ist der Do-Not-Track-Header. "Liebe Werbetreibenden, bitte missbraucht meine Daten nicht!1!!" Ja nee, klar. Die Cookies sind im Verantwortungsbereich des Webseitenbetreibers, da kann der Browser nichts für. Der Connection-Header hier ist auch für den Fuß, weil keep-alive bei HTTP/1.1 Standard ist. Aber sicherheitshalber, falls der Server nur 1.0 kann, schicken wir es nochmal mit. Ihr seht schon, das ist ein verkrusteter Haufen fossiler Brennelemente.
Schlimmer noch sieht es auf der Serverseite aus. Da sind die Hälfte der Header direkt für die Tonne und kommen auch offenbar gar nicht vom Webserver sondern von dem Varnish-Cache davor. So nützlich wie ein Hirntumor!
So und jetzt schauen wur uns das mal zusammen an und überlegen uns eine Strategie. KLAR! Die Cookies sind das Problem!1!! Also war die Lösung der Webseiten-Optimierer-Spezialexperten, dass sie die 100 Milliarden Inline-Bilder auf eine separate Domain ausgliedern. Dann werden bei den Requests an die keine Cookies der Hauptdomain übertragen. WAS MAN DA FÜR EINEN TRAFFIC SPART!!1! Leider handelt man sich auch einen zusätzlichen DNS Round Trip ein. Aber hey, das sieht man in Benchmarks nicht so, weil das eh schon im Cache ist!1!!
Kurzum: HTTP/1.0 hat Probleme in der Praxis. Beachtet aber das "Connection: keep-alive". Das heißt, dass der Server die Verbindung nach diesem Request offen hält. Der Client kann dann den nächsten Request absetzen. Das entsorgt direkt das wichtigste Argument für HTTP/2, das mit dem "wir wollen aber nur ein Handshake am Anfang der Verbindung haben, weil das so teuer ist".
Also haben die HTTP/2-Apologeten argumentiert, naja gut, das Handshake ist nicht das Problem, sondern die Latenz pro Antwort ist das Problem. Um das zu illustrieren, muss man ein bisschen malen. Ich mache das mal in ASCII Art, mit ??? für den Request und === für die Antwort.
??? ???So stellt man sich eine typische HTTP-Verbindung vor. So ist das auch — im LAN. Über das Internet gibt es Latenzen zwischen ??? und ===. Die male ich jetzt mal als |||.
=== ===
??? ???Ihr seht, diese Latenzen dominieren schnell. Daher gibt es in HTTP/1.1 ein Verfahren namens Pipelining. Das sieht dann so aus:
||| ||| ||| |||
=== ===
?????????Die Latenz ist nicht weg, aber sie ist viel weniger schlimm. Leider implementieren das einige wenige Webserver nicht. Und um diese Webserver im Geschäft zu halten, schalten die Browser Pipelining aus. Nein, wirklich! Geht mal in Firefox auf about:config und sucht nach network.http.pipelining.
|||||||||||||||
=========
Weil das der zentrale argumentative Dreh- und Angelpunkt der HTTP/2-Apologeten ist, will ich jetzt mal einen Trick mit euch teilen.
Der Grund, wieso einige Webserver Pipelining nicht können, ist, dass deren Haupt-Schleife so aussieht:
Solange TCP-Verbindung besteht:Bei Pipelinig kommen jetzt mehrere Requests in einem Stück Daten rein. Der Server hat die Logik nicht, um hinter dem 1. Request nach weiteren zu gucken. Aber man kann auch mit so einem Server Pipelining machen. Ich habe das vor vielen Jahren mal für einen Usenet-Downloader implementiert, und später für SMB, bei HTTP geht das genau so. Man schickt den nächsten HTTP-Requests nicht, nachdem das letzte Byte der Antwort des vorigen angekommen ist, sondern nachdem das erste Byte der Antwort des vorigen angekommen ist.
Lese Daten
Wenn die Daten ein HTTP-Request sind, beantworte ihn
Das lohnt sich leider erst, wenn die Downloadgrößen deutlich größer als die Request-Größen sind. Daher ändere ich mal die Symbolik ein bisschen in der ASCII-Art. Vorher:
??? ???Was die Grafik euch sagen will: Der zweite Request kommt beim Server an, während der noch den ersten beantwortet. So kann man das machen. Warum das bei HTTP keine Option war? Weil inzwischen bei einigen Sites für einige Requests die Header größer als die Inhalte sind.
vvv ^^^ vvv
===============
Meine Einstellung dazu ist: Einfach immer Pipelining vorschreiben und anschalten, und wer das nicht implementiert, der kann halt nicht mitspielen. Ich hab das am Anfang in gatling auch nicht implementiert gehabt, weil es eh keiner benutzt hat. Diese Art von Verhalten geht überhaupt nur, weil die Browser einen damit durchkommen lassen. Das sollten sie nicht.
Hat HTTP/2 denn jetzt überhaupt keine Vorteile? Doch. Zwei. Erstens haben sie sich ein Verfahren überlegt, um Header zu komprimieren. Ich habe mir davon die Details noch nicht angeguckt. Ich sah bisher nur Negatives darüber, aber das will ja nichts heißen. Zweitens schreiben sie für den TLS-Teil TLS 1.2 vor.
Merkt ihr was?
Wir könnten auch einfach HTTP/1.1 nehmen, Pipelining und TLS 1.2 vorschreiben, und wir hätten so gut wie alle Vorteile von HTTP/2 ohne die Nachteile.
Welche Nachteile? Nun, HTTP/2 macht Multiplexing. Multiplexing heißt, dass sie mehr als eine virtuelle Verbindung über eine TCP-Verbindung fahren. Das ist eine ganz beschissene Idee.
Stellt euch mal Youtube vor. Sobald er das Video überträgt, ist die Multiplex-Verbindung ausgelastet und die Kommentare kommen nie. Außer der Server hat Logik, um faires Scheduling zu implementieren. Ja ganz groß!
Geht noch weiter. Stellt euch mal vor, der Server hat fair scheduling implementiert. Ist immer noch Scheiße. Denn einige Elemente einer Webseite können andere Elemente referenzieren, Inline-Bilder, Skripte, was auch immer. HTML und CSS sollten daher zuerst übertragen werden, auch damit der Browser schonmal das Layout machen kann, und dann später die Bilder reinlädt. Jetzt muss der Server also schon intelligentes Scheduling implementieren. Am besten mit Content Sniffing. Denn das wird die nächste Anforderung sein, dass der Server das HTML/CSS parsed und die Dateien schonmal öffnet und reinlädt, die der Browser gleich haben wollen wird.
Aber nein, da haben die HTTP/2-Leute eine noch bessere Idee gehabt. Sie sehen vor, dass der Browser dem Server sagt, was mit welcher Priorität kommen soll.
Ihr sehr schon: Alleine um Probleme zu lösen, die wir vorher nicht hatten, treiben wir hier ungefähr so viel Aufwand, wie wir vorher für den ganzen Webserver getrieben haben.
Daher glaube ich, dass HTTP/2 ein Schuss in den Ofen ist.
Aber wartet. Einen habe ich noch. Nehmen wir mal an, wir haben Paketverlust auf der Leitung. Bei HTTP/1 bleibt dann eine Verbindung stehen. Eine von sechs oder wieviel auch immer der Browser aufgemacht hat. Bei HTTP/2 bleibt dann alles stehen, weil alles über die eine Verbindung ging. JA SUPER!
Erwähnte ich, dass HTTP/2 mit dem Header-Wildwuchs nicht aufgeräumt hat? Dafür gibt es ja jetzt Kompression. Hier ist die Spec dazu.
Leider haben die auch ansonsten im Protokolldesign und der Spec einmal großflächig alles verkackt, was man so verkacken kann. Klickt euch mal in diesem Mailinglistenarchiv nur durch die Postings von Bob Briscoe der letzten Tage. Übrigens ist auch der Autor von varnish nicht begeistert von HTTP/2.
Auf einer gewissen Ebene hat er natürlich Recht. Auf der anderen Seite hat Snowden seinen Scheiß halt nicht mit Moxies Scheiß vor der NSA gerettet sondern mit GPG. Und am Ende kommt er dann mit:
GPG isn’t the thing that’s going to take us to ubiquitous end to end encryption, and if it were, it’d be kind of a shame to finally get there with 1990’s cryptography.Damit wären wir wieder bei den Ansprüchen. GPG hat nicht den Anspruch, universelle Ende-zu-Ende-Verschlüsselung zu machen. GPG ist für Email. Nicht für Webseiten, nicht für Chat (obwohl man es in XMPP verwenden kann), nicht für Telefonieverschlüsselung. Die Kritik ist unwürdig.Ich will da jetzt nicht groß ins Detail gehen, aber so richtig vollständig überzeugend ist auch Moxies Software bisher nicht. Die andere Sache, die sich durchgesetzt hat, ist OTR. Auch das ist nicht von Moxie. Ich finde das nicht angemessen, wenn er sich da so aus dem Fenster lehnt. GPG ist nicht schlecht, weil es alt ist. OTR nicht gut, weil es neue Krypto benutzt. Moxie macht sich das hier viel zu einfach.
Ich will dem mal entgegen halten, dass praktisch alle Linux-Distributionen, die überhaupt Krypto zum Validieren der Paketintegrität einsetzen, dafür GPG benutzen. Das muss man erst mal schaffen, so eine Marktdurchdringung.
It's encouraging to see the GnuPG project benefitting from similar largess. But it also raises the question: how is the money best spent? Matt Green, a professor specializing in cryptography at Johns Hopkins University, said he has looked at the GnuPG source code and found it in such rough shape that he regularly assigns chunks of it to his students for review."At the end I ask how they felt about it and they all basically say: 'God, please I never want to do something like this again,'" Green told Ars.
Soweit würde ich jetzt nicht gehen. Immerhin benutzt Werner Koch seit Jahren size_t für Längen und Offsets. Ich habe schon viel schlimmeren Code gelesen. Ich glaube ja, die Jugend von heute ist verweichlicht. Was sollen die denn erst sagen, wenn sie mal OpenSSL erben und warten sollen eines Tages?Übrigens, einen noch:
Given the ramshackle state of massive GnuPG code base, it's not clear what's the best path forward. A code audit is one possibility, but such reviews typically cost a minimum of $100,000 for complex crypto programs, and it's not unheard of for the price to be double that.Stimmt. Oder man hat halt Glück und der Fefe macht das kostenlos in seiner Freizeit. Und dann schmeißt Werner Koch Das liegt daran, dass Werner Koch das Problem ist, nicht die Lösung. Werner Koch macht mit dem Code keine Wartung, eher eine Geiselnahme. Denn wer will schon gnupg forken. Wir kriegen ja schon ohne Fork die Leute nicht in signifikanter Größenordnung dazu, das zu benutzen. Das wäre noch übler, wenn es da auch noch Marktfragmentierung gäbe. Deshalb hat noch niemand gnupg geforkt. Nötig gewesen wäre es seit Jahren. Ich persönlich hoffe seit Jahren, dass Werner endlich hinwirft, und dann jemand die Wartung übernehmen kann, der auch ein Interesse daran hat, daraus ein ordentliches Projekt zu machen. Aber das wird ja jetzt nicht mehr stattfinden. Jetzt wo nicht mehr nur sein Ego sondern auch sein Lebensunterhalt direkt davon abhängt, dass er weiterhin Diktator von gnupg bleibt.
Übrigens hat Werner seine BSI-Kohle über die Jahre nicht gekriegt, weil er dafür gearbeitet hätte, sondern weil Leute mit Beziehungen beim BSI Klinken geputzt haben. Diese Leute haben zwar gesehen, dass Werner Koch das Problem ist, aber sie haben sich gedacht, wenn man dem Geld gibt, vielleicht wird das dann besser. Wurde es leider nicht. Ein bisschen Mitleid war glaube ich auch dabei. Und ein bisschen "das ist das eine erwähnenswerte Kryptoprojekt aus Deutschland, das sollte gefördert werden, um ein Signal zu setzen".
Weil mir schon die ersten Twitter-Experten Neid vorwerfen: Ich habe den Aufwand für den Patch geleistet, weil ich vorher eine Finanzierung für meine Zeit klargemacht hatte. Ich brauche keine Spenden, schon gar nicht von Facebook. Das werde ich zu vermeiden wissen, dass Facebook sich mit einer Spende für eines meiner Projekte, die ich dann aus einer Notlage heraus annehmen muss, gutes Karma kauft. Das Geld, das ich bei Kunden für ehrliche Arbeit nehme, ist Bezahlung, keine Spende. Damit finanziere ich zwar meine Open Source Arbeit, aber keiner meiner Kunden kann damit Werbung machen, über mich Open Source finanziert zu haben. Außer der Kunde hat mich explizit für die Entwicklung von Open-Source-Software bezahlt, versteht sich. Das hat es auch mal gegeben.
Ich finde übrigens nach wie vor, am besten wäre es, wenn wir einfach ein bedingungsloses Grundeinkommen hätten. Dann hätten wir das Finanzierungsproblem für Kunst und Open-Source-Softwareentwicklung gelöst und niemand müsste so entwürdigende Winselnummern bringen. Wir hätten aber immer noch das Code-Geiselnahme-Problem. Dafür kenne ich auch keine gute Lösung.
Update: Ich sollte der Sicherheit halber dazu sagen, dass das nicht bloß meine Eintschätzung ist, dass Werner Koch das Problem ist, sondern ziemlich breiter Konsens. Ich habe diverse Mails von anderen Leuten gekriegt, die mit Werner vergeblich zu kooperieren versucht haben. Ich werde die hier aber nicht zitieren. Das sind die Geschichten der jeweiligen Leute, nicht meine. Sollen die sie erzählen. Mir persönlich war das 8 Jahre lang egal. Ich hatte meinen Patch. Mein persönlicher Moment, ab dem ich der Meinung war, dass da jetzt mal was geschehen muss, war als ich auf dem 31C3 Citizen Four sah.
Aber Erdgas, wer braucht schon Erdgas, heizen wir halt mit Kohle! Kohle hat die Ukraine immer genug für den Eigenbedarf produziert. Leider liegen einige strategische Kohleminen im Donetsk-Gebiet mit den russischen Separatisten und die liefern jetzt nicht mehr. Was tun? Klar! Kohle aus Russland importieren!
Aber, hey, wenn Russland das Erdgas abdreht, wieso sollte Russland dann nicht auch die Kohle abdrehen? Und siehe da, genau das ist jetzt geschehen.
Secure Connection Failed.An error occurred during a connection to blog.fefe.de. SSL received a record that exceeded the maximum permissible length. (Error code: ssl_error_rx_record_too_long)
Mein Blog hat ja schon seit einer Weile SSLv3 deaktiviert, aber jetzt hatte ich auch openssl ohne SSLv3-Support gebaut. Vielleicht ist es das. Mann ist das immer eine Freude mit diesen ganzen Hochtechnologien!Update: Ich habe die Gelegenheit genutzt, mal den PolarSSL-Support in gatling zu updaten. Mal gucken, ob das jetzt stabil läuft hier.
A U.S. government watchdog agency is asking the Air Force to explain why it decided to destroy 16 aircraft initially bought for the Afgan air force and turn them into $32,000 of scrap metal instead of finding other ways to salvage nearly $500 million in U.S. funds spent on the program.Wer dachte, dass die die Ausrüstung der Afghanen für eine Runde "hier ist unser Altmetall" nutzen, sieht sich getäuscht. Die haben das lieber für eine Runde "Milliarden-Geldregen für unsere Rüstungsindustrie" genutzt. Hier ist ein Foto einer C-27J. (Danke, Magnus)
Das nur am Rande, denn mein Punkt war ja nicht, ob irgendein ISIS-Kämpfer das glaubt oder nicht, sondern dass die westliche Propaganda hier einen latenten Rassismus ausnutzt, indem sie "schaut mal, was für bekloppten Scheiß diese Moslems glauben" in ihr Narrativ über den bösen Erzfeind einbringt.
Inhaltlich nehmen sich aus meiner Sicht die Religionen nicht viel, die glauben alle bizarren Bullshit. Ich meine, wenn die Katholiken in der Messe psychoaktive Drogen in die Atemluft tun und dann Wein trinken und der Pfaffe das zum Blut Gottes deklariert, der im Übrigen sein eigener Sohn und ein Geist ist, das kann man doch nicht weniger auslachen wie was irgendwelche ISIS-Kämpfer glauben. Letztlich sind aus meiner Sicht alle Ausführungen dazu, welcher religiöse Text was über fiktionale Himmel- und Höllenräume und ihre Einwohner sagt, gleich lächerlich. Auch die Frage, ob die Bibel oder der Koran von irgendjemandem falsch wiedergegeben wurde, ist offensichtlich sinnlos, denn diese Texte behaupten ja, das Wort Gottes zu sein, aber Gott ist allmächtig und unfehlbar und keiner von uns kann sich zu wissen anmaßen, was Gott will oder gesagt hat. Wer da den Widerspruch nicht sieht, dem kann ich auch nicht helfen.
Für das Ausnutzen einer marktbeherrschenden Stellung ist doch ans ich das Kartellamt zuständig.
Was sagt denn das Kartellamt zum Leistungsschutzrecht?
Das Bundeskartellamt hat eine Beschwerde deutscher Verlage gegen Google in Sachen Leistungsschutzrecht scharf zurückgewiesen. „Die Anknüpfungspunkte für ein eventuell kartellrechtsrelevantes Verhalten von Google beruhen teilweise nur auf Mutmaßungen“, heißt es in einem Brief des Kartellamts, der FAZ.NET vorliegt. „Das eigentliche Beschwerdeziel bleibt unklar.“Au weia, das ist ja mal eine Ohrfeige.
Ich kann das hier aus der Ferne nicht beurteilen, aber wundere mich, wieso die Presse das so falsch darstellen würde.
Aber das Fass zum überlaufen gebracht hat das hier (es geht um das No-Spy-Abkommen, und dass die Regierung Informationen zu den Verhandlungen dazu dem NSA-Ausschuss nicht offenlegen will):
Diese seien tabu, weil es sich um ein "laufendes Verfahren" handele, sagte nach Informationen des SPIEGEL ein hochrangiger Regierungsbeamter. Außerdem gehe es dabei um den "Kernbereich der exekutiven Eigenverantwortung", der verfassungsrechtlich geschützt sei.Diese Formulierung löst in mir eine enorme Wut aus, besonders um Zusammenhang damit, dass sie hier mit Verfassungsrecht argumentieren, weil mir das so dermaßen wie ein Taschenspielertrick vorkommt, um den vom Verfassungsgericht immer wieder zitierten Kernbereich privater Lebensgestaltung zu missbrauchen, um für ihre, na sagen wir mal, "Arbeit" einen ähnlich starken Schutz zu konstruieren. Aber es stellt sich raus, dass ich da bloß ignorant war. Den Begriff gibt es wirklich, den haben sie schon 2007 benutzt, um die Geheimdienste vor der parlamentarischen Kontrolle zu schützen. Und schon damals haben sie dafür vom Verfassungsgericht auf die Fresse bekommen. Das ganze geht zurück auf ein Urteil des Verfassungsgerichtes aus dem Jahre 1984. Da ging es pikanterweise um den Flick-Untersuchungsausschuss. Historisch gesehen passt das also mal wieder ganz großartig. Eine korrupte Mischpoke, unsere Politik. Damals wie heute.
Damit war nicht OpenSSL gemeint, sondern sowas wie X, perl, gcc. Aber OpenSSL fiel auch darunter, in dem Sinne, dass ich da eh noch andere Vorbehalte für einen Audit hatte. Und diese Policy hat dann dazu geführt, dass ich da auch nicht mal oberflächlich reingucken wollte.
Da ich angesichts aktueller Entwicklungen eh nicht gut schlafen kann mit OpenSSL gerade, habe ich mich entschieden, doch mal kurz einen Blick zu werfen.
Ich bin, gelinde gesagt, entsetzt. Schon die OpenBSD-LibreSSL-CVS-Checkin-Kommentare haben ja tief blicken lassen.
Es gibt so ein paar Kriterien, an denen ich bei C-Code meinen ersten Eindruck festmache. Das erste Kriterium ist, dass Längen und Offsets immer unsigned sein müssen, und vom Typ size_t. Früher hätte ich gesagt: unsigned long ist auch OK. Aber es gibt Plattformen, auf denen long 32-bit aber size_t 64-bit ist. 64-bit Windows z.B. Daher muss es size_t sein, nicht unsigned long. Und schon gar nicht long. Hier ist, was OpenSSL macht:
static int asn1_get_length(const unsigned char **pp, int *inf, long *rl, int max)Hier fallen ja schonmal als erstes die intuitiven Variablennamen auf. Da weiß man doch sofort, was gemeint ist! Ich kläre mal auf: Diese Routine soll einen ASN.1 DER Längenwert parsen. Das Encoding davon ist: Wenn das erste Byte das höchste Bit gesetzt hat, dann sind die unteren 7 Bits die Länge in Bytes für die Länge, die dahinter in big endian folgt. Wenn das erste Byte das höchste Bit nicht gesetzt hat, dann sind die unteren 7 Bits der Wert. Weil X.509 DER benutzt, gibt es zusätzlich noch die Regel, dass alle Längen minimal encoded sein müssen. Beispiele:
05 - Wert 5Meinem aktuellen Verständnis nach kann indefinite length bei X.509 nicht vorkommen, und ich unterstütze den Fall in meinen ASN.1-Routinen im Moment auch nicht sondern liefere einen Fehlerwert zurück. OpenSSL supported das. Möglicherweise übersehe ich da was. Wo ich aber nichts übersehe: OpenSSL prüft an keiner Stelle, dass das Encoding minimal ist. Der Effekt ist, dass man das identische Zertifikat auf mehrere Arten kodieren kann, und damit möglicherweise Angriffsfläche auf Krypto-Verfahren schaffen kann. Überhaupt sind Unterschiede zwischen Parsern immer doof, Differentiale will man an solchen Stellen vermeiden. Das ist jetzt kein "OMG RUN FOR THE HILLS"-Moment, aber wenn man schon eine zentrale Library macht für sowas, dann doch um da penibel solche Sachen abzufangen, damit die Leute das nicht alle von Hand machen und vergessen.
7f - Wert 127
81 01 - Ungültig, da nicht minimal encoded; wäre sonst 1
82 00 23 - Ungültig, da nicht minimal encoded; wäre sonst 35
82 12 34 - Wert 4660 (0x1234)
89 11 11 11 11 11 11 11 11 11 - Ungültig, da der 9-Byte-Wert nicht in einen Integer passt
0x80 - Sonderfall, "indefinite length".
Aber unabhängig davon. pp ist der Quell-Zeiger (das const ist ein gutes Zeichen, das wäre Kriterium 2 für das Erkennen von schlechtem Code gewesen). inf wird auf 1 gesetzt, wenn indefinite length encoding reinkommt. Ich finde, das hätte man direkt zurückweisen sollen. Indefinite length encoding funktioniert so, dass man am Anfang sagt, man weiß nicht, wie groß die Daten werden, die jetzt kommen, und dann schickt man halt so viele Daten wie halt kommen und dann zwei Null-Bytes. Ganz schlechte Idee, und habe ich in der Praxis auch noch nie im Einsatz beobachten können. Das ist ja gerade der Grund, wieso man ASN.1 DER einsetzt, damit man vorher weiß, wieviele Daten jetzt kommen werden. Und im Übrigen siehe oben zu den Parser-Differenzen. Das will man vermeiden.
Aber der eigentliche Punkt, auf den ich die ganze Zeit hinauswill: die Länge ist ein long. Das ist ein ganz schlechtes Zeichen. Die Routine versucht, das Schlimmste zu verhindern, indem sie als unsigned parsed und dann einen Fehler meldet, wenn der Wert größer als LONG_MAX ist. Und in der Tat, wenn sie das nicht gemacht hätte, hätte es im String-Parsing direkt einen schönen Buffer Overflow gegeben.
Ich habe jetzt jedenfalls ein schlechtes Gefühl bei OpenSSL und werde glaube ich erstmal die ASN.1-Routinen von PolarSSL auditieren, damit ich einen Fallback habe, wenn ich die ganzen Atommüllablagerungen in den Fracking-Schächten bei OpenSSL finde.
Update: Oh Graus, ich erfahre gerade, dass ich X.509 die ganze Zeit falsch verstanden hatte. Ich hatte das so verstanden, dass X.509 immer DER Encoding nimmt. Denn, mit Verlaub, alles andere ergibt auch gar keinen Sinn. Man will das ja in digitalen Signaturen verwenden. DER ist eine Teilmenge von BER, die genau den Zweck und die Daseinsberechtigung hat, dass man alles nur auf genau eine wohldefinierte Art kodieren kann. Begründung: Das braucht man so für digitale Signaturen. Und jetzt erfahre ich gerade, dass X.509 gar nicht DER sondern BER benutzt! Man soll das als Implementation anscheinend als BER parsen, dann soll man das als DER neu kodieren und dann die Signaturberechnungen machen!? Das kann ja wohl nicht wahr sein! Dann hätte OpenSSL Recht mit ihrem Code. Heilige Scheiße, wer denkt sich denn solche Standards aus!? In der Praxis habe ich noch nie was anderes als DER-Encoding gesehen. In meiner SSL-Library werde ich jedenfalls gleich beim parsen alles rejecten, das nicht DER ist.
Update: Interessanterweise macht OpenSSL es auch falsch, wenn BER Absicht ist.
173 if (i > sizeof(long))
174 return 0;
Ich persönlich halte DSA in allen Ausprägungen inzwischen für eine NSA-Hintertür und rate von der Verwendung ab. Der Grund ist, dass DSA so ausgelegt ist, dass man einen Zufallswert nimmt pro Operation mit dem geheimen Schlüssel, und wenn man zweimal den gleichen verwendet, dann fällt auf der anderen Seite der geheime Schlüssel aus einer vergleichsweise einfachen arithmetischen Umformung heraus. Das ist offensichtlich völlig unakzeptabel. Wie DSA überhaupt jemals soweit kommen konnte, dass es ein internationaler Standard wurde, erläutert djb in seinem Blog.
Kommen wir zu GCM. GCM ist der Galois Counter Mode. TLS hat einen Geburtsfehler, der seit vielen Jahren bekannt ist, und uns in letzter Zeit vermehrt auf den Fuß fällt. Nehmen wir mal an, Alice schickt Bob eine verschlüsselte Nachricht. Dann will man nicht nur, dass die Nachricht nicht von jemandem auf dem Weg gelesen werden kann, sondern auch, dass sie nicht verändert werden kann. Deshalb machen Protokolle wie TLS immer zwei Schritte: Verschlüsseln und eine Integritätssicherstellung. Dafür verwendet man sogenannte Message Authentication Codes, oder MAC. Dafür verwendet man häufig eine kryptographische Hash-Funktion mit einem beiden Seiten bekannten Geheimnis, aber man kann sowas auch anders konstruieren.
So, wenn man verschlüsseln will, verschlüsselt man dann erst und macht dann den MAC? Oder macht man erst den MAC und dann verschlüsselt man? Das war lange Jahre nicht so klar, ob das eine oder das andere besser ist. TLS macht erst MAC und verschlüsselt dann. Das hat über die Jahre zu einem Haufen an Bugs und Problemen geführt, so dass heute klar ist, dass man das besser anders herum machen sollte. Die IETF-Arbeitsgruppe zu TLS weiß das seit vielen Jahren, aber (u.a. durch Sandsack- und Betoniertätigkeiten der NSA) konnte sie sich noch nicht durchringen, da was zu tun. Das ist eine Schande für alle Beteiligten und sollte zu einem fetten Arschtritt für die NSA-Abgesandten führen — tat es aber bisher nicht.
Warum erzähle ich das alles? Weil jemand auf die Idee kam, "aus Performance-Gründen" Verschlüsselung und Authentication in einem zu machen, und zwar mit einem Verfahren namens Galois Counter Mode. Ein Mode ist eine Art, wie man einen Block Cipher wie AES aufruft. Das heißt Block Cipher, weil es nicht auf einem Bytestrom arbeitet, sondern auf Blöcken von Daten. Wenn die Daten keinen ganzen Block füllen, muss man am Ende mit sogenanntem "Padding" auffüllen. Da gab es schon Stress in TLS. Man kann jeden Block mit dem selben Schlüssel verschlüsseln ("ECB"), aber das ist eine ganz schlechte Idee. Wikipedia hat eine schöne Visualisierung anhand eines Pinguin-Bildes. Welchen Modus man benutzt ist also wichtig. ECB ist offensichtlich doof, daher haben wir halt alle immer CBC genommen. Das flog uns dann mit BEAST um die Ohren.
Übrig blieben Cipher-Suites auf Basis von RC4 (von dem wir inzwischen wissen, dass die NSA es in Echtzeit entschlüsseln kann) und GCM.
Warum ich das jetzt hier alles ausführe: GCM ist auch Scheiße. Das Paper dazu kommt von Niels Ferguson. Es sei noch angemerkt, dass man GCM in Software schon mal gleich so gut wie gar nicht ohne Timing-Probleme implementieren kann. Intel hat in ihren neueren CPUs Hardware-Support für GCM eingebaut, damit geht das dann. Aber fühlt sich damit jemand wohl?
Was können wir denn jetzt überhaupt noch tun? Wir können entweder warten, bis die TLS Working Group mal ihren Arsch hochkriegt und den offensichtlich notwendigen Schritt geht. Es gibt da Bemühungen, aber das kann sich noch um Jahre handeln. Die Situation ist gänzlich unakzeptabel.
Bleibt die Einsicht, dass uns gerade nur djb-Krypto überhaupt noch realistisch retten kann. djb hat als Konkurrenz zu ECDSA ein Verfahren namens ed25519 gemacht, das könnte den public key Teil abdecken. ed25519 wird u.a. in der neuesten Version von openssh unterstützt. Und als Ersatz für AES mit irgendwelchen grottigen Modi könnte man ChaCha20 einbauen. Das ist in Chrome schon eingebaut, aber hat es m.W. in noch keine einzige öffentlich verfügbare TLS-Library geschafft. Es ist alles zum Heulen.
Ich habe ja jahrelang nicht verstanden, wieso djb nie versucht hat, TLS zu fixen. Ich glaube, so langsam kann ich es nachvollziehen.
Update: CBC ist nicht an sich unsicher, sondern wie TLS 1.0 es angewendet hat. Ein Upgrade auf TLS 1.2 galt damals noch als unrealistisch, inzwischen ist es weitgehend vollzogen.
Nein, muss es nicht. Im Gegenteil. Das wäre das Ende von Open Source.
Außerdem lässt es der Artikel so klingen, als habe sich jetzt herausgestellt, dass Open Source Software weniger gut als kommerzielle sei. Das ist ganz großer Unsinn (auch wenn es natürlich auf beiden Seiten Ausreißer gibt, die deutlich besser als der Durchschnitt der anderen Seite sind).
Open Source als Bewegung ist das Konzept, dass man Leute Code schreiben lässt, deren Herzensblut dranhängt. Die es eben nicht kurz herunterpfuschen, weil sie dafür bezahlt werden. Open Source ist die Beobachtung, dass manche Menschen es lieben, Code zu schreiben. Und wenn man sie nicht mit Deadlines und Deliverables und dem monatlichen Paycheck unter Druck setzt, dann nehmen sie sich die Zeit und machen ihr Projekt ordentlich. Viel ordentlicher jedenfalls als die durchschnittliche kommerzielle Software.
Inzwischen wird kommerzielle Software wie Open Source entwickelt. Weil das Modell funktioniert. Kaum eine Firma entwickelt heute noch Software ohne Unit Tests, ohne Source Code-Versionskontrolle, überall gibt es ein Wiki für die Dokumentation und alle wollen gerne agil sein.
Der Erfolg von Open Source war so durchschlagend, dass es das Gegenmodell gar nicht mehr in freier Wildbahn gibt!
Wenn es etwas gibt, das sich bei Open Source zu ändern lohnt, dann ist es der mangelnde Respekt. Nur weil du gerne Programmieren lernen willst, heißt das nicht, dass du am Linux-Kernel herumfummeln solltest. Deine eigene SSL-Library schreiben? Kein Ding. Tu es! Da kann es nur Gewinner geben, selbst wenn es niemals fertig wird und niemand deinen Code benutzt. Du hast dabei was gelernt und als Programmierer an Größe gewonnen. Ein wenig bekanntes Detail aus der OpenSSL-Genesis ist, dass das mal SSLeay hieß — eay sind die Initialen des initialen Autoren, Eric Young —, und der hat das Projekt gestartet, weil er lernen wollte, wie die Division von 1024-Bit-Zahlen funktioniert.
Der Kern des Problems ist aus meiner Sicht, dass wir als Gesellschaft uns darauf geeinigt haben, dass Software halt ein schwieriges Problem ist, und daher Fehler halt passieren und niemand für seine Fehler geradestehen muss. Man kann sich heute bei so gut wie allen Problemen mit "das war ein Softwarefehler" herausreden. Für mich als Programmierer ist das natürlich auf der einen Seite toll, weil ich mich so Dinge trauen kann, die ich sonst nicht in Angriff nehmen würde. Aber es hat in der Szene so ein wirklich widerliches Gefühl erzeugt, als hätten wir Programmierer es verdient, als sei das unser Recht, niemals für unseren Scheiß den Kopf hinhalten zu müssen. Ich will das mal anhand dieser Tweets veranschaulich. So tief sitzt da die Panik! So ein Affront für das Weltbild ist es, dass möglicherweise jemand kommen könnte, und der sieht, dass ich gepfuscht habe! Sowas finde ich zutiefst unwürdig. Als ob der Auditor Schuld hat, wenn dein Code Scheiße ist! Wenn bei einer Frittenbude Küchenschaben gefunden werden, ist dann das Gesundheitsamt der Bösewicht? Wenn GM kaputte Autos baut, und da sterben Leute, glaubt ihr auch, die Zuständigen machen sich in erster Linie Sorgen wegen der Hater aus dem Internet? Anders gefragt: Würde irgendjemand von euch von einer Firma kaufen, die nur Qualitätskontrolle macht, weil sie Angst vor Internet-Hatern hat, wenn herauskommt, wir ranzig ihr Produkt ist?!
Dass überhaupt das Wort "Hater" gefallen ist, sagt aus meiner Sicht schon alles. Wenn du etwas baust, dann sollte das der güldene Sonnenschein sein, nach frisch gebackenem Brot durften und die filigrane Eleganz eines mathematischen Beweises haben. Und zwar nicht weil es da draußen "Hater" gibt, sondern weil das dein verdammer Anspruch an dich selbst ist! Wenn jemand kommt und dich auf Fehler in deinem Code hinweist, dann solltest du auf die Knie fallen und dem Fremden überschwänglich danken, denn er hilft dir, deinen Code näher an die Zielvorstellung der Perfektion zu bringen!
Ich glaube nicht, dass bei Software so viel mehr gepfuscht wird als anderswo. Aber physische Dinge sind vergänglich. Fehler bei physischen Dingen gehen von alleine weg, mit den Dingen selbst. Software lebt theoretisch für immer. Softwarefehler akkumulieren immer nur. Aus meiner Sicht müssen wir Software wie radioaktiven Müll behandeln — vorsichtig und mit Bedacht.
Nachdem ich all das gesagt habe, möchte ich noch sagen: Schreibt mehr Software! Aber macht es ordentlich!
Update: Jetzt bin ich ganz von meinem eigentlichen Gedankengang abgekommen. Open Source funktioniert, weil es eben nicht geldgetrieben ist. Der Programmierer zieht seinen Anreiz, die Software zu schaffen, aus der kreativen Freude des Programmierens, und aus dem Zen-ähnlichen Zustand, wenn ein komplexer Algorithmus, den man hingeschrieben hat, dann tatsächlich funktioniert. Guter Code ist seiner selbst Belohnung. Wenn man dort Geld als Anreiz einbringt, dann wird das dieses Modell kaputtmachen. Programmierer werden dann anfangen, die Arbeit pro eingenommenem Euro zu minimieren. Genau wie das überall eintritt, wo man Geld für Arbeit zahlt. Am Ende wird man feststellen, dass die Stundenlöhne anderswo niedriger sind als bei uns, und dann wird niemand mehr in Deutschland Open Source programmieren wollen. Nur weil man das mentale Modell so umgebaut hat, dass wir das "für Geld" tun, nicht um etwas zu lernen, oder den anderen Gründen. Macht das bloß nicht!
Geld für Dinge ausgeben, bei denen niemand kreative Genugtuung erfährt, das kann man diskutieren. Ich glaube, das wird man auch machen müssen, damit auch bei den SSL-Libraries wieder Open Source qualitativ führend ist. Aber fangt nicht an, das Belohnungsmodell von Open Source Programmieren auf "da gibt es Geld für" umzustellen. Das wäre der Untergang.
Update: Ich will mal eine Kommentarmail hier zitieren:
In der Psychologie unterscheidet man zwischen extrinsischer und intrinsischer Motivation. Intrinsische Motivation bedeutet, dass man etwas tut, weil es einem Spass macht, weil man es für richtig hält etc. Extrinsische Motivation bedeutet, dass man etwas tut, weil man eine Belohnung dafür erhält. Sozialpsychologische Experimente haben gezeigt, dass man intrinsische Motivation unwiederbringlich zerstören kann, indem man einen extrinsischen Anreiz schafft, etwas zu tun.
Update: Noch eine Einsendung:
Die moderne Motivationsforschung sagt an dieser Stelle „Nein“, weil die Programmierer bereits in dem Moment wo sie Geld bekommen den Spaß verlieren würden, aus Spiel wird dann Arbeit. Das Ganze geht auf die Selbstbestimmungstheorie der Motivation von Deci & Ryan, 1985a zurück (s. Wikipedia). Lese grade Drive von Daniel Pink (ISBN 978-1847677686), was die gedankliche Grundlage für die agile Softwareentwicklung z.B. Scrum beschreibt. Bei modernen Softwareschmieden gehört diese Kenntnis mittlerweile auch zum Einstellungskriterium.
Ich wollte dann wissen, ob eine Thermoskanne nicht auch das GSM-Signal blockieren müsste, ist ja metallisch beschichtet innen. Das werden wir mal ausprobieren müssen. Die Nerds glauben: Nein, reicht nicht, weil zu dünn und der Deckel ist im Allgemeinen auch nur aus Plastik und ohne Metall. Aber akustisch müsste eine Thermosflasche gut isolieren.
Update: Um das mal deutlich zu sagen: Wenn man die Wahl hat, das Mobiltelefon akustisch zu isolieren oder es vom GSM-Spektrum zu trennen, dann will man akustisch isolieren. Ein Mobiltelefon ist ein Computer, der kann auch jetzt aufnehmen und das dann später nach Hause telefonieren. Der wichtige Teil ist also, dass kein verwertbares akustisches Signal beim Gerät ankommt. Aber wenn man schon am isolieren ist, kann man ja auch gleich beides ordentlich isolieren.
Update: Nein, Akku rausnehmen reicht nicht. Physische Wanzen werden gerne in den Akku eingebaut, weil dort ihre Stromversorgung gewährleistet ist. Akku rausnehmen hilft nur gegen Software-Wanzen auf dem Smartphone.
Update: Hier kommt als Vorschlag gehäuft Mikrowelle rein. Das verhindert weder Audioaufnahme noch Angerufen werden. Probiert es aus. Handy in Mikrowelle, anrufen -> klingelt.
Update: Ich zitiere mal eine Mail, die gerade reinkam:
Gerade getestet: Mit der IKEA-Thermoskanne aus Edelstahl ist jedes Signal sofort weg. Der Edelstahl-Deckel hat zwar innen eine Plastikkappe - man braucht den Deckel aber noch nicht einmal ganz auf die Kanne setzen und schon ist das Telefonat unterbrochen und das Handy hat kein Netz mehr.
Getestet mit der 1 Liter IKEA Volym und einem Nokia C2 mit 2 SIM-Karten (Vodafone und O2). Beide Netze sind eigentlich sehr stark bei mir. Beide sind aber auch sofort tot, wenn das Handy in der Kanne ist.
Nachteil: Smartphones passen nicht rein, da muss man ein Feature-Phone haben. :-)
Update: Häufige Tipps sind: Handtuch drum, dann in Kochtopf mit Metalldeckel. Klingt gut, aber der akustischen Isolierung würde ich dann noch nicht trauen. Vakuum in der Thermoskanne wäre sicher besser. Ansonsten meinte noch jemand: Den Kochtopf dann in den Ofen stellen, mit Metallkontakt, damit das geerdet ist. Klingt sinnvoll. Zu guter Letzt schreibt noch jemand, der Guardian habe Cocktailshaker benutzt, und dann in den Kühlschrank. Solange man eine vollständige Metallumhüllung hat, also dann zwei Shaker benutzen, sicher nicht doof. Man braucht dann nur noch akustische Isolierung.
Weil das offenbar eine Menge Leute gerade beschäftigt, veröffentliche ich hier meine Antwort:
Technisch gesehen war das schon immer so, dass digitale Daten beliebig veränderbar sind, und daher als Teil einer Beweisführung grundsätzlich zu hinterfragen sind. Nur weil in irgendeiner Logdatei steht, dass Sie einen Film im Internet heruntergeladen haben, heißt das noch lange nicht, dass das auch tatsächlich stattgefunden hat. Die Daten könnten da auch von einer Ihnen übelmeinenden Person mit entsprechenden Zugriffsrechten hingeschrieben worden sein, nicht nur von einer unparteiischen Software.Update: Ich möchte nochmal betonen, dass ich es für eine sehr positive Entwicklung halte, dass die Presse diese Frage überhaupt stellt.Der Chaos Computer Club hat zuletzt anlässlich der Bundestrojaner-Pläne darauf hingewiesen, dass ein derartiger Zugriff auf einen Rechner auch dafür genutzt werden kann, gefälsche "Beweise" zu hinterlegen. Inzwischen wissen wir dank Edward Snowdens Unterlagen, dass das auch tatsächlich so von Geheimdiensten praktiziert wird. In dem Kontext ist es besonders bedenklich, dass der Hinweis auf Edathy ausgerechnet aus dem Five-Eyes-Mitgliedsland Kanada kommt.
Herr Edathy ist allerdings in der Vergangenheit nie als Gegner der Geheimdienste aufgefallen. Bei seiner Arbeit im Innenausschuss zeigte er sich stets eher als Vorantreiber des Geheimdienst-Sicherheitsstaats. Er befürwortete bis zuletzt die Vorratsdatenspeicherung, sprach sich für ein Hackertoolverbot aus. Nicht einmal als die Staatstrojaneraffäre am platzen war, konnte er sich dazu durchringen, mehr als nur eine "vorübergehende Aussetzung" des Einsatzes aller Staastrojaner zu fordern.
Zur Einordnung: Die Vorratsdatenspeicherung und Trojaner wären genau die Werkzeuge, mit denen eine staatliche Stelle in die Lage versetzt würde, einen Bürger zu identifzieren und ihm gefälsche Beweise unterzujubeln. Und das Hackertoolverbot sollte verhindern, dass die Hacker-Community Gegenwehr-Möglichkeiten entwickelt.
Es ist also nicht offensichtlich, wieso ein Geheimdienst ausgerechnet Herrn Edathy mit untergeschobenen Beweisen belasten sollte. Es erscheint daher wahrscheinlicher, dass die Geheimdienste Herrn Edathy einen Präsentkorb mit Dankesnote zustellen würden, als dass sie ihm verbotenes Material unterschieben.
Dennoch ist es sehr begrüßenswert, dass dieser traurige Anlass jetzt dazu führt, die Frage nach der Beweiskraft von digital vorliegenden Daten mal offen zu stellen.
Wie erbärmlich, dass es da draußen immer noch Leute mit so unerfülltem Leben gibt, dass sie sowas machen müssen, um sich selbst nicht als die Totalverlierer zu fühlen, die sie sind.
Update: Falls sich jemand fragt, ob das keine Syn-Flood-Warnungen im Syslog verursacht hat: Doch, hat es, aber die habe ich eh immer wegen der großen Last auf dem Blog.
Erschwerend hinzu kam, dass die Seite dann ziemlich sofort unter der Last zusammenbrach (warum eigentlich?).
Die Fakten liegen immer noch nicht auf dem Tisch, aber so langsam scheint halbwegs Konsens zu bestehen, dass da irgendein Ermittlungsverfahren gegen irgendjemanden läuft, weil sie diese Daten gefunden haben. Daher wollen sie nicht sagen, woher sie die haben.
Ich stelle mir das so vor. Das BSI wird von einer Firma oder Behörde angerufen, weil die ein Botnetz bei sich gefunden haben. Die kommen und finden beim Stochern diese Daten. Was tun? Nun könnte man natürlich die Email-Adressen alle anschreiben, aber wer glaubt denn seit dem Bundestrojaner noch Emails von Behörden?
Diese Webseite jetzt ist aus meiner Sicht Ass Covering. Da geht es nicht darum, Leuten zu helfen. Denn Leute, die sich um ihre Sicherheit genug Sorgen machen, dass sie von der Existenz so einer Webseite erfahren, und dann da hingehen und damit interagieren, sind vermutlich eh nicht betroffen. Ich verwende z.B. eine eigene Email-Adresse pro Webseite, die meine Email-Adresse haben will — und natürlich jeweils ein anderes Passwort. Soll ich die jetzt alle beim BSI eingeben? Ich mache das ursprünglich, um zu erkennen, woher Spammer Email-Adressen haben, aber es hilft natürlich auch prima gegen solche Account-Datenbanken. Da ist dann jeweils nur der eine Account gehackt, das Passwort funktioniert nirgendwo anders.
Dazu dann das Verfahren, das die das wählen. Man kriegt die Antwort nicht direkt sondern man kriegt einen Code und später eine Email, wenn man betroffen war. Wenn man nicht betroffen war, kriegt man keine Email. Das BSI scheint zu glauben, dass davon auch die Umkehrung gilt: Wer keine Email kriegt, war nicht betroffen. Aber das ist natürlich Blödsinn, Emails können verloren gehen, im Spamfolder landen, versehentlich gelöscht werden, etc. Oder wenn die Credentials gehackt waren und auch für den Email-Provider gelten, kann jemand mit den Daten natürlich auch die Email vom BSI löschen, bevor das Opfer sie sieht. Und die Email ist im Gegensatz zu der SSL-Verbindung, über die man die Daten einschickt, nicht verschlüsselt und signiert, d.h. wenn da eine Mail kommt, gibt es keinen Grund, der zu trauen. Den Code hätte auch jemand raten können. Kurz: Die Aktion ist voll für den Fuß. Das BSI tut das daher aus meiner Sicht nur, weil sie glauben, irgend etwas tun zu müssen.
Besonders absurd mutet die Meldung von heute an, dass das BSI seit Dezember auf den Daten saß, aber so lange brauchte, weil sie wirklich sicher gehen wollte, dass ihre Webseite den Ansturm aushalten würde. Was sie dann nicht tat.
Einmal mit Profis arbeiten!
Update: Die Webseite heißt übrigens www.sicherheitstest.bsi.de und liegt bei Strato. Ohne jetzt irgendwie Strato bashen zu wollen, aber … srsly, BSI? Das konntet ihr nicht selber hosten? So sieht das aus, wenn jemand per DNS-Hijacking Domains umlenkt. Übrigens liegt die BSI-Webseite nicht nur in einem anderen Netz (das dem BSI gehört), sondern sie benutzt auch eine andere Domain. Viel mehr Indizien für "hier riecht was schlecht, hier geb ich lieber keine Daten ein" hätte man auf die Schnelle gar nicht ankreuzen können. Oh, doch, eine noch. Das SSL-Zertifikat kommt bei der BSI-Homepage von Trustcenter, und beim Sicherheitstest von T-Systems. NA SUPER. Vertrauenswürdiger geht es ja kaum!1!!
Update: Anscheinend soll die Rück-Email PGP-signiert sein. Wozu brauchen sie dann den Code, wenn sie PGP haben? Weil niemand einen Grund hat, einem angeblichen BSI-Key zu vertrauen, der vor sechs Wochen erzeugt wurde?
Update: Wo wir gerade bei T-Systems waren… guckt mal, was da auskommentiert im HTML steht:
<div style="padding-top:20px;padding-bottom:20px;">Und hier ist das Bild. Ja, das hätte ich auch lieber auskommentiert an deren Stelle *schenkelklopf* :-)
<!--<img src="/static/images/vl_powered_by_T.png" />-->
Update: Ah, sie haben auch ihren öffentlichen PGP-Schlüssel auf ihrer HTTP-Webseite. Immerhin. Ich sehe trotzdem nicht, wieso sie da überhaupt Email machen und nicht direkt per Web antworten. Das schafft doch nur zusätzliche Metadaten.
Update: Der PGP-Schlüssel ist vom 9.12., das SSL-Zertifikat ist vom 17.12. Da kann man mit ein bisschen Fantasie die Denkprozesse verfolgen.
Hey, Cheffe, wir haben hier echt viele Email-Adressen, was machen wir jetzt?
Wir schreiben denen ne Email!
Ja, aber Cheffe, seit dem BKA-Trojaner glaubt unseren Emails doch keiner mehr!
Dann signieren wir die halt mit PGP!
OK, Cheffe, hab nen Schlüssel gemacht, aber wieso sollten die Leute dem denn vertrauen? Ich hätte Frau Merkel gebeten, uns den zu signieren, aber die hat kein PGP!
Na gut, dann machen wir dazu ne Pressemitteilung und machen einen Webserver auf und da tun wir den Schlüssel hin!
Aber Cheffe, unser Webserver hält doch nichts aus, wir benutzen doch Java!
Ja, äh, hmm, na löse das halt irgendwie!1!!
OK, Cheffe, ich hab jetzt bei Strato nen Webserver geklickt, aber wir brauchen auch SSL, sonst lachen die Leute doch wieder über uns!
Hmm, also über unseren normalen Amtsweg braucht das 4 Monate. Frag mal Strato, ob die nicht auch SSL mit verkaufen können!
OK, Cheffe, hab ich gemacht, alles in Ordnung!1!!
Update: In den Mails an Betroffene steht, dass die Daten bei einem Botnet gefunden wurden. Jemand hat mir ein Zitat aus so einer Mail geschickt.
Update: Der Code steht bei den PGP-Mails übrigens im Subject, also im nicht signierten Header-Bereich.
Nun, der Hintergrund ist dieser hier:
Critics fear it could be used to bar doctors and medical workers from treating protesters wounded in anti-government demonstrations as reportedly happened during mass street protests in June last year.Zu so einem krassen Polizeistaat ist die Türkei schon degeneriert! Au weia.
Der Assange-Talk fiel weitgehend aus, weil fiese Saboteure ständig strategisch über Kabel stolperten und den Feed unterbrachen. Nicht nur den Feed zu Assange, sondern auch die Streams aus dem Saal, man konnte also nicht mal einen Stream sehen, wie Assange wegbrach. Die paar Sekunden, die die Verbindung stand, musste er sich dann vergleichsweise fiese Fragen stellen lassen. Aus meiner Sicht war dieser Ausgang eine Win-Win-Win-Situation. Sehr schön war auch, dass Sarah Harrison als Rednerin gewonnen werden konnte, was die zu sagen hatte fand ich eh interessanter als Julians Phrasen. Das war nämlich auffällig, dass er da genauso gebügelte PR-Phrasen raushaute wie man sonst von Politikern kriegt, ala "robust and meaningful action" und so. Furchtbar.
Den FX-Talk werde ich mir auf Video angucken, da haben wir nochmal Tippfehler in den Folien korrigiert und nochmal das Präsentationsnotebook durchgebootet (Apple, wissenschon).
Den Fnord-Jahresrückblick haben wir auch direkt für einen kleinen Fnord genutzt, indem wir das Publikum zu einem Simultan-Facepalm animierten, um das mal als Foto für sich zukünftig bietende Gelegenheiten da zu haben. Ich hörte, auch Saal 2 soll voll gewesen sein. Ob die da auch fazialpalmiert haben, weiß ich nicht. Wenn das so war und jemand ein Foto gemacht hat, bitte ich um Zusendung per Email.
Weil das das 10jährige Jubiläum war, hatten sich diverse Gruppierungen einige Fnords am Rande ausgedacht, u.a. trugen da zwei starke Männer ein blaues Fass auf die Bühne, mit dem Schild "Strategische Popcorn-Reserven". Dann gab es da noch ein trojanisches Pony mit bizarren Verschwörungsunterlagen (wenn ich das richtig verstanden habe, dann war das eine Sammlung aus Crackpot-Post, die bei Erfakreisen so im Briefkasten aufschlugen, hauptsächlich über 9/11). Außerdem gab es da noch eine Industrie-Tröte, deren Losgehen Frank durch beherztes Ziehen der Akkus verhindern konnte. Nachdem wir eh schon eine Stunde später als sonst lagen, und dann eine viertel Stunde verzögert wurden, weil FX überzogen hat, haben diese Einlagen leider noch eine halbe Stunde Verzögerung verursacht und Frank und mich aus dem Flow abgebracht. Das ist für das Publikum vielleicht nicht so offensichtlich, aber wir verbringen jedes Jahr Monate mit Sammeln, Aussieben, dem Finden von Geschichten und guten Illustrationen zu selbigen, und dem Aufbau eines Spannungsbogens. Da ist das dann schon schade, wenn der dann so zersägt wird. Gegen Ende merkte man ein bisschen, dass dem Publikum die Luft ausging, und das war halt vermeidbar. Ich denke mal, nächstes Jahr ist kein Jubiläum, da machen wir dann keine Unterbrechungen mehr während der Show, dann flutscht das noch besser. So war das nicht nur der späteste sondern auch der längste Fnord-Jahresrückblick.
Am nächsten Morgen gab es noch einen sehr empfehlenswerten Vortrag, der erste in Saal 1, Hacking the Czech Parliament via SMS. Die haben sich die Telefonnummern der Parlamentarier besorgt und dann auf eine Gelegenheit gewartet. Die kam, als ein Minister wegen Korruption verhaftet wurde und im Parlament bei einer Spezialanhörung Rede und Antwort stehen musste. Das wurde live übertragen und viele Menschen guckten zu. Die Vortragenden haben dann ein Drama aus Fake-SMSsen verschickt, die so aussahen, als schickten die die sich untereinander. Während also vorne ein Politiker steht und sich wegen Korruption verteidigen will, gehen hinten Botschaften per SMS herum wie "Das geht so nicht weiter, wir müssen hier mal wirklich was ändern, diese Korruption muss weg". Das Highlight war, dass der Premierminister dann der Presse sagte, ihm sei ja sofort klar gewesen, dass das Fake-SMSsen waren, weil die eine von seinem Finanzminister kam, und das sei ja offensichtlich, dass der niemals Reform vorschlagen würde :-)
Erstens: "Known Plaintext" heißt die Angriffsart, bei der der Angreifer sowohl den Klartext als auch die verschlüsselten Daten hat und daraus den Schlüssel errechnen will. Intuitiv würde man denken, dass das total einfach sein muss, dann den Schlüssel zu errechnen. Bei antiken Verfahren ist das auch so, bei modernen nicht. Die von Truecrypt verwendeten Verfahren haben allesamt die Eigenschaft, dass bei ihrem Design darauf geachtet wurde, dass das nicht signifikant leichter geht, als mögliche Schlüssel durchzuprobieren.
Dann: Durchprobieren. Die Kryptographie geht schon immer davon aus, dass der Gegenüber über unbegrenzte Geld- und Material-Möglichkeiten verfügt und über das beste Know-How, das es auf der Welt gibt. Überspitzt gesagt, ist das Modell des Gegenübers, vor dem wir uns mit Kryptographie schützen wollen, die NSA. Schon immer. Unter der Annahme, dass sie Roswell-Technologie reverse engineered und im Einsatz haben. Verfahren werden grundsätzlich mit so großen Sicherheits-Margen versehen, dass selbst unter pessimistischsten Annahmen (und Kryptographien sind ausgesprochen pessimistisch, wenn es um die NSA geht) noch genug Raum für ein paar Jahrzehnte stetig schneller werdende Hardware drin ist. Die NSA hat über die Jahre mehrere Anläufe genommen, um Krypto-Standards mitzudefinieren. Weil allen anderen Beteiligten völlig klar ist, was die Kernaufgabe der NSA ist, traut denen grundsätzlich genau niemand über den Weg. Man lässt die dann ihren Standard machen, aber niemand benutzt ihn. Die Angriffe, über die man beim Diskutieren von Verfahren redet, sind daher nicht in der Liga "das wäre aber sehr teuer" sondern in der Liga "das würde so lange dauern, dass die Erde vorher in die Sonne stürzen wird". Hier rechnet das mal jemand für 256-Bit-Schlüssel aus.
Es hat sich daher aus meiner Sicht nichts geändert bei der Kryptographie. Wo sich etwas geändert hat, ist bei der Frage, wo man seine Krypto-Software eigentlich her hat, und ob man dem trauen kann. Aus meiner Sicht ist es jetzt an der Zeit, dass sich mal die Hacker der Welt zusammen tun, und in aller Ruhe und mit größter Sorgfalt die ganze Krypto-Software da draußen auditieren. Eine wirklich gute Hintertür sieht man bei einem Audit auch nicht notwendigerweise, aber wann soll man sowas denn bitte in Angriff nehmen wenn nicht jetzt? Ich für meinen Teil habe mir ja seit einigen Jahren vorgenommen, mal eine SSL-Library zu schreiben. Einen X.509-Parser habe ich schon, aber die ganzen Cipher und so noch nicht. So viel Arbeit ist das nicht, aber ich bin halt Hacker und kein professioneller Kryptograph und mache mir da natürlich Sorgen, einen subtilen Fehler zu machen, der dann meine Benutzer kompromittieren würde. Das (und die Komplexität der Sache) hat mich bisher davon abgehalten, das mal "einfach zu machen".
Übrigens, falls jemand mal sehen will, wie so NSA-Einflussnahme in der Praxis ausschaut: Dieser Thread hier scheint in der Hinsicht zu liefern. Die Sache mit IPsec ist seit Jahren bekannt, das Paper von Bruce Schneier ist von 2003.
Übrigens, der von der NSA unterwanderte Krypto-Standard, der in der New York Times erwähnt wird, ist wohl Dual EC DRBG.
Update: Übrigens forschen auch seit Jahren schon Leute daran, wie man weiter Daten verschlüsseln kann, wenn Quantencomputing eine Realität wird.
In her witness statement submitted to the British court on Friday, Detective Superintendent Caroline Goode, who said she was in charge of Scotland Yard's Snowden-related investigation, said that among materials officials had seized from Miranda while detaining him was an "external hard drive" containing data encrypted by a system called "True Crypt," which Goode said "renders the material extremely difficult to access."Goode said the hard drive contained around 60 gigabytes of data, "of which only 20 have been accessed to date." She said that she had been advised that the hard drive contains "approximately 58,000 UK documents which are highly classified in nature, to the highest level."
Goode said the process to decode the material was complex and that "so far only 75 documents have been reconstructed since the property was initially received."
Dazu gibt es ein paar Dinge zu sagen. Erstens: Der Weg, wie man Truecrypt angreift, ist dass man Passphrases durchprobiert. Die Komplexität eines Schlüssels ist viel höher als die typische Komplexität einer Passphrase, selbst wenn sich jemand Mühe gibt. Wir reden hier von mehreren Größenordnungen Unterschied. Das ist also schonmal ein Widerspruch zwischen deren Aussage und der Realität. Man greift da nicht einzelne Dateien an.Zweitens: In einem Truecrypt-Volume ist ein Abbild eines Dateisystems. Das ist eine komplexe Datenstruktur. Verschlüsselt wird pro Sektor innerhalb des Images. Der Schlüssel pro Sektor wird aus einem Masterschlüssel errechnet, der sich aus der Passphrase ergibt. Das Verfahren, wie man zu dem Schlüssel für einen Sektor kommt, wenn man den Masterschlüssel hat, ist bekannt, weil der Quellcode von Truecrypt ja offen ist. Die behaupten jetzt also, dass sie die Dateien zählen können. Das ist völlig unglaubwürdig. Wenn sie das könnten, hätten sie den Masterschlüssel, und mit dem könnten sie auch alle Dateien entschlüsseln. Die Frau hat da mit hoher Wahrscheinlichkeit keine Ahnung, wovon sie redet, und hat ein paar Dinge durcheinandergeworfen.
Die NSA hat Supercomputer, die genau mit dem Ziel gebaut wurden, möglichst effizient Passphrases für Truecrypt durchzuprobieren. Das dauert ewig und drei Tage, selbst mit Spezialhardware. Kurz: ich glaube nicht, dass die da überhaupt etwas entschlüsselt haben können in der Zwischenzeit. Wenn, dann nur weil sie die Passphrase raten konnten. Und wenn das der Fall wäre, hätten sie damit alles entschlüsseln können.
Ich bin jetzt kein Experte darin, wie Truecrypt intern funktioniert. Vielleicht ist es ja besonders schwierig, von einem Sektor-Schlüssel zum Masterschlüssel zurückzurechnen. Müsste mal jemand nachgucken, wie die das intern machen. Aber das ist normalerweise nicht der Angriffsweg bei sowas, wieso würde man da also besondere Schritte unternehmen, um das schwierig zu machen. Der Punkt ist, dass schon der Schlüssel für den Sektor so groß ist, dass man den nicht realistisch durch Durchprobieren erraten kann.
Ich habe mir in den letzten Tagen angefangen, Sorgen zu machen, dass die NSA dieses ganze Bruhaha für PSYOP nutzt. Wenn sie nur genügend häufig Truecrypt erwähnen und dass sie da Spezialhardware haben, dann kriegen die Leute vielleicht Angst und wechseln zu einem anderen, weniger sicheren System. Solange da nicht noch weitere, krasse Details rauskommen, würde ich Truecrypt weiterhin für so sicher halten, wie eure Passphrase halt ist. Wenn die kurz oder ratbar ist, dann bringt natürlich die tollste Verschlüsselung nichts.
Das Bundesverwaltungsgerichts (BVerwG) begründet das Vorliegen fachgesetzlicher Versagungsgründe damit, dass nach dem Ergebnis des Zwischenverfahrens vor dem Fachsenat die Vorlage der Unterlagen bereits rechtmäßig verweigert wurde. Daraus könne im Hauptsacheverfahren in der Regel auf berechtigte Geheimhaltungsgründe geschlossen werden (Urt. v. 27.06.2013, Az. 7 A 15.10).Wie watt?
Oh, und wo wir gerade bei Eichmann waren: Gaby Weber (mit der wir Alternativlos 26 aufgenommen hatten) hat auch gerade ein Eichmann-Verfahren verloren. Vor dem Bundesverwaltungsgericht gegen das Bundesarchiv. Sie dokumentiert ihre Gerichtsverfahren in der Causa Eichmann hier. In ihrem Verfahren ging es darum, dass dem Bundesarchiv Akten vorenthalten wurden, die jetzt bei einer privatwirtschaftlichen Stiftung liegen, die sie niemandem zeigen will außer einem von ihnen handverlesenen Historiker, der die eben auch nicht veröffentlicht sondern nur für seine Studien benutzt. Sie fand, dass das Bundesarchiv sich diese Akten beschaffen müsse, damit sie sich mit dem Informationsfreiheitsgesetz Zugang verschaffen kann; das BVerwG hat entschieden, dass das nicht der Fall ist. Das Gericht hat damit das Schlupfloch bestätigt, mit dem diese Akten von der Öffentlichkeit ferngehalten werden. Gaby bleibt jetzt auf den Kosten für die Anwälte und das Verfahren sitzen. Ich werde hier in den nächsten Tagen ihr Spendenkonto veröffentlichen, sobald ich die Daten habe.
Wer sich mal ein Bild davon machen will, wie das da vor Ort aussieht, für den gibt es hier noch ein paar Impressionen, und hier. Mein Lieblingsbild ist das hier, zweiter Platz hier.
Auffallend finde ich, dass die Leute da einfach so mit "Schutzbewaffnung" demonstrieren dürfen, wie man das bei uns nennen würde, wenn man es als Vorwand nutzt, um die ganzen Leute rauszuziehen und illegal einzuknasten. Die Türken sind halt bei all dem Bürgerkrieg noch eine zivilisiertere und freiere Region als Deutschland, wenn es um Demonstrationen geht.
Update: Hups, hab ich wohl abgeschossen. Dann nutze ich die Gelegenheit mal für einen Verweis auf diese Geschichte :-)
Update: Ist wieder online, und Netzpolitik.org hat einen Mirror.
Eine Demonstration.
Im Piraten-Mumble.
Mit anderen Worten: eine Demonstration, die garantiert niemand sieht. Außer den Teilnehmern. Möglicherweise nicht mal die, wir reden hier immerhin von Piraten-Infrastruktur.
Bei allen anderen Parteien würde ich annehmen, dass die gerade jemand verarscht. Zumal der Name des Vorschlagenden in dem Eintrag auch noch Bernd ist. Aber seht selbst.
Und wem Mumble zu anstrengend ist, der kann auch auf Twitter "demonstrieren". Mit einem Hashtag. m(
Update: Falls jemand nicht weiß, was Mumble ist: das ist eine VoIP-Anwendung, die hauptsächlich von Gamern benutzt wird.
Und dann kommt Per Bothner von Oracle und postet diese Mail hier. Per Bothner, Per Bothner, hat vielleicht schonmal jemand gehört, den Namen. Weil der Name beim Lesen der Header oder des Codes für die libg++ von GNU über den Schirm scrollt. Ein Urgestein von GNU, hat u.a. auch für Cygnus gcj gebaut. Das war damals der Versuch, gcc Java kompilieren zu lassen. Konnte leider nie aufschließen. Der arbeitet jetzt bei Oracle.
Aber der Brüller ist, dass der jetzt im Namen von Oracle dagegen argumentiert, V8 aus Webkit rauszuschmeißen, weil Oracle ja die Abstraktionen auch benutzt, um ihre eigene Javascript-Implementation (Oracle hat eine Javascript-Implementation!) namens Nashorn (benannt nach einer bedrohten Tierart) in Webkit reinzubrechstangen. Mehr Popcorn!
Frage: Wie schätzen Sie das Vorhaben ein, eine Hacker-Truppe im BND aufzubauen?
Antwort: Das ist sinnlose Geldverschwendung und Hype-Hinterherlaufen. Die Amerikaner haben Hacker, also will der BND jetzt auch welche haben.
Hacken als Methode der Kriegsführung oder für Geheimdienste ist generell abzulehnen. Man kann dabei schlicht nicht ausschließen, dass man ein Krankenhaus trifft, oder ein Atomkraftwerk. Die Risiken sind völlig unüberschaubar. Und wegen der generellen Rückverfolgungsproblematik bei Hacker-Angriffen ist die einzige Methode, im Falle eines explodierenden Atomkraftwerkes nicht beschuldigt zu werden, solche Abteilungen gar nicht erst aufzubauen.
Frage: Wie realistisch ist denn das, dass der BND jetzt fähige Leute findet?
Antwort: Völlig unrealistisch. Die wollen das Knowhow im Haus haben, daher müssten die Hacker sich da fest anstellen lassen. Die Gehälter im öffentlichen Dienst sind miserabel, und wenn man an so wichtiger Stelle aktiv ist, können die einen nicht mehr frei rumreisen lassen. Auch der freie Austausch mit anderen Hackern fällt dann flach. Das ist schon an sich sehr unattraktiv.
Aber vom BND weiß man ja, dass sie auch sonst an keiner Stelle besonders fähiges Personal haben. Ich verweise da nur mal auf das Buch "Bedingt dienstbereit". Wieso sollten die jetzt plötzlich bei den Hackern fähige Leute anziehen können? Aus meiner Sicht sollte der BND geschlossen werden. Stattdessen wirft man jetzt dem schlechten Geld noch gutes hinterher.
Frage: Hat die Bundesregierung hier jahrelang die Entwicklung verschlafen?
Antwort: Nein, die bemühen sich seit Jahren um Hacker-Knowhow. Das scheitert von Anfang an an den genannten Gründen. Als freischaffender Hacker arbeitet man noch in einer moralischen Grauzone. Bei bezahlter Arbeit für Regierungen gibt es keine Spielräume mehr, um das vor sich selbst oder anderen schönzureden. Es gibt da keine positiven Aspekte mehr. Außerdem hat die Regierung mit ihrem Hackertoolverbot die Hacker alle gegen sich aufgebracht.
Die müssten jetzt mit exorbitanten Geldbergen winken, damit sich überhaupt jemand meldet. Und das scheitert in der Praxis auf ganzer Linie, wie man beim Staatstrojaner schön beobachten kann. Am Ende wird es darauf hinauslaufen, dass unsere "Hackerabteilungen" sich die Angriffstools aus dem Ausland einkaufen müssen — und sie dann natürlich nicht exklusiv haben. Die Fähigkeiten der Mitarbeiter werden sich darin erschöpfen, bei zugekauften Tools auf Knöpfe zu klicken. Im internationalen Vergleich wird das nie zu mehr als einer Lachnummer reichen. Wenn Sie mich fragen, ist das auch gut so.
Es wäre natürlich noch viel besser, wenn man sich diese Ausgaben ganz sparen würde. Mit dem Geld könnte an deutlich sinnvollere Projekte fördern, wie z.B. den DSL-Ausbau auf dem Land.
Frage: Ist so eine Hackerabteilung nicht auch für die Verteidigung gut?
Antwort: Nein. Für die Verteidigung haben wir schon eine Behörde, das BSI. Denen mehr Geld für ihre Arbeit zu geben ist nicht Teil der aktuellen Diskussion.
Wenn Deutschland sich in dem Bereich engagiert, dann würde ich mir wünschen, dass sich die Bundesregierung für ein internationales Abkommen starkmacht, das Cyberwar generell ächtet. Und wenn tatsächlich Geld für den Einkauf von Angriffstools übrig ist, dann könnte man die Tools kaufen und dann die ausgenutzten Lücken zuzumachen helfen.
#include <string.h>
void foo(int x) {
char buf[10];
int i;
for (i=0; i<sizeof(buf); ++i)
buf[i]=x++;
memset(buf,0,sizeof(buf));
}
Die Funktion hat einen lokalen Puffer, buf, tut damit irgendwas (die sinnlose for-Schleife) und ruft dann memset auf. Das ist ein lokaler Puffer, der ist auf dem Stack und eh "weg", wenn die Funktion beendet wird. Insofern ist das gut, was gcc da macht. Und warum würde man überhaupt memset am Funktionsende machen, wenn der Buffer gleich weg ist!Nun, das kommt häufiger vor als ihr vielleicht denkt. Das macht man nämlich in Verschlüsselungs-Code, damit nicht Teile des Schlüssels irgendwo im Speicher rumgammeln, wo sie später gefunden werden können. Auch abgeleitete Daten will man so wegräumen. Das ist natürlich dann doof, wenn der Compiler das wegschmeißt.
Das Problem ist schon älter, der Microsoft-Compiler macht das schon länger so. Und weil das für Krypto-Code ein Problem ist, gibt es im Windows-API eine spezielle Funktion namens SecureZeroMemory, die am Ende auch nur memset macht, aber der Compiler weiß das nicht und optimiert es daher nicht weg.
Ich kompilier obige Funktion mal mit gcc 4.7.2:
$ gcc -O3 -c t.c $ objdump -dr t.o t.o: file format elf64-x86-64 Disassembly of section .text: 0000000000000000 <foo>: 0:f3 c3 repz retq $
Wie ihr seht ist von dem Körper der Funktion nichts übrig geblieben, weil natürlich auch die Schleife nur in einen Buffer schreibt, der dann nicht rausgereicht wird. Diese Optimierung nennt man Dead Store Elimination. clang/LLVM macht das schon länger. Der Intel-Compiler auch. Wenn ihr also Krypto-Code geschrieben habt, der memset benutzt, um Schlüssel wegzuräumen, und das war bisher kein Problem, weil ihr gcc benutzt habt: Jetzt ist das auch für euch ein Problem.
Diese Optimierung greift übrigens auch, wenn der Puffer nicht lokal auf dem Stack ist sondern per malloc vom Heap geholt und am Ende das memset vor dem free ist.
Typischer Anfängerfehler in Krypto-Code.
Vielleicht sollte ich noch sagen, was die Lösung ist: Eigenes memset haben, in eine Library tun (NICHT inline über ein Header-File!). Und nicht Link Time Optimization anschalten, sonst wird das doch wieder geinlined und fliegt möglicherweise insgesamt raus. Oooooder, wer ein bisschen das Abenteuer sucht, kann auch den gcc-Optimizer manuell davon überzeugen, das nicht wegzumachen. Dafür tut man hinter das memset folgende Zeile:
asm volatile("" : : : "memory");Langfristig vermutlich die solidere Lösung, tut aber nicht in clang (Bug, wenn ihr mich fragt; benutze aber auch den Subversion-Snapshot, nicht die Release-Version).Update: Lieber "asm volatile" als "asm". Sollte egal sein, ist es im Moment auch, aber ist vermutlich ein bisschen vorausschauender.
Update: Weil so viele Leute fragen, wieso man nicht den Puffer volatile deklariert: Das ist doof, weil es auch fast alle anderen Optimierungen ausschaltet. Wir reden hier von Krypto-Code, wo (allgemein gesprochen jetzt) jemand Monate investiert hat, um noch den letzten Taktzyklus rauszuoptimieren. Da will man den Optimierer schon grundsätzlich behalten.
Update: Hier empfiehlt gerade noch jemand das hier:
volatile size_t foo = (size_t)memset(buf,0,sizeof(buf));Das sieht gut aus, aber ich halte das eher für Glück. Der Compiler kann ja sehen, da das eine lokale Variable ist, und dass daher niemand von extern die Adresse haben kann (wenn man die nicht nimmt und irgendwas externes damit aufruft). Hab das aber jetzt nicht im Standard nachgeschlagen, ist nur Bauchgefühl.
Update: Habe einen Bug bei LLVM gefiled, und da hat jemand rausgefunden, dass dieses asm-Statement mit gcc und llvm funktioniert:
asm volatile("" : : "r"(&buf)" : "memory")Die Begründung ist, dass LLVM erkennt, dass das ganze Array nie benutzt wird, und es damit komplett entfernt, weil es "in Register gepasst hätte" (unabhängig davon, ob es tatsächlich in Register passt). Und tatsächlich, wenn man dafür sorgt, dass das tatsächlich im Speicher landet, dann wird auch ohne den Zusatz mit dem anderen asm-Statement ein memset ausgegeben. Insofern ist das kein Bug in LLVM sondern sogar ein Feature :-)
Facebook tut da Dinge, da kriegt man schlechte Träume von. Ich fasse mal kurz zusammen: Ihre App ist nach modernen Software-Engineering-Grundlagen entwickelt und enthält Tonnen von sinnlosen Wrapper-Methoden. Dalvik macht da irgendein Processing beim Laden der Apps, und benutzt dafür einen statischen Puffer, den die Facebook-App platzen lässt, weil sie zu viele Methoden hat. Also tun sie, was jeder an ihrer Stelle getan hätte!1!!
Instead, we needed to inject our secondary dex files directly into the system class loader. This isn't normally possible, but we examined the Android source code and used Java reflection to directly modify some of its internal structures. We were certainly glad and grateful that Android is open source — otherwise, this change wouldn't have been possible.*göbel*That's when we had the idea of using a JNI extension to replace the existing buffer with a larger one.Oh und wer glaubt, sowas sei ein Einzelfall… hier ist eine heitere Microsoft-Anekdote zu Adobe und Wordperfect. (Danke, Tobias)
Der Brüller an der Meldung ist das hier:
Für die Nutzung des Facebook-Messengers ist dabei kein Account im sozialen Netzwerk nötig – im Dezember 2012 hatte das Unternehmen bekanntgegeben, dass eine Anmeldung mit Name und Telefonnummer beim Messenger genügt.Ja super, das ist natürlich was GANZ anderes!1!! Nur mit Namen und Telefonnummer (und dem Netz aus sozialen Kontakten) wird es Facebook sicher völlig unmöglich sein, Daten zusammenzutragen!!1!
Mir erzählte vorhin ein Kumpel aus Holland, dass er alle Cookies von Facebook gelöscht hat und dann immer die Kumpels seines Bruder vorgeschlagen bekam von denen, der über den selben Anschluss ins Internet geht.
Update: Ein Physiker schreibt mir gerade, dass man bei der Theorie vorsichtig sein muss. Und in der Tat gibt es zu der erwähnten Widom-Larsen-Theorie eine Psiram-Seite. Seufz.
Update: Kein Hash, UUIDs. Die 4 am Anfang des 3. Elements deutet daraufhin.
Die wahrscheinlichste Theorie bisher ist, dass Bing damit testen will, wie stark ihr Twitter-Feed gerade gethrottled wird.
Das ist der fehlende Puzzlestein.
Google bietet seit einer Weile DNS für alle an, und in den USA auch in manchen Gegenden Glasfaser-Internet. Mit dem DNS und dem Glasfaser-Internet können sie ihre Benutzer umlenken, und mit der eigenen CA können sie per Man-in-the-Middle das SSL mitlesen oder manipulieren.
Bisher gibt es natürlich keine Hinweise darauf, dass sie das auch tun. Aber aus meiner Sicht ist da eine Linie überschritten. Wer deren DNS-Service benutzt, sollte sich das nochmal genau überlegen. Da bieten sich sehr gruselige Möglichkeiten jetzt.
Das selbe gilt natürlich auch für alle anderen ISPs und DNS-Server-Betreiber, die eine eigene CA haben. Die Telekom z.B. Vor deren CA hab ich ja auch schon mal gewarnt hier.
Viele von diesen paranoiden Szenarien haben wir uns immer damit wegdiskutiert, dass man da SOO viel Einfluss haben müsste, man müsste sowohl DNS manipulieren können als auch eine CA in alle Browser kriegen, oder vielleicht gar gleich dem User einen neuen Browser unterschieben. Google macht das alles heute einfach.
VR-Protect sieht aus und funktioniert wie ein normaler Browser. Der besondere Unterschied: Er lässt nur wenige vertrauenswürdige Seiten zu, nämlich die Seiten der Bank des Nutzers.Welche Plattformen unterstützen sie? Steht da nicht. Klingt nach "Windows only".
Nun könnte man mit so einem Spezialbrowser tatsächlich was reißen, wenn man die IPs und die SSL-Zertifikate der Bank fest einbrennt. Davon steht da aber nichts. Und das hätte natürlich auch Nachteile. Dafür soll der Browser sich selbst updaten können. Na DANN ist ja alles gut, da kann ja so gut wie NICHTS schiefgehen!1!! Erwähnte ich, dass man den von CD starten soll? Das Autoupdate brennt dann ne neue CD heraus oder wie? Und woher weiß der Benutzer, dass das Update echt ist und kein Trojaner? Wie hilft dieser Spezialbrowser dagegen, dass ein Trojaner die Tastatur mitsnifft? Gar nicht vermutlich.
Kurzum: aus meiner Sicht sieht das aus wie eine windige PR-Maßnahme. Von Leuten, die es besser wissen sollten. Aber das nicht tun, wie man z.B. an diesem Abschnitt hier gut sehen kann:
Jede Bank erhält ihren eigenen Browser. Selbst wenn also eine Browserversion gecrackt würde, sind doch alle anderen Bank-Versionen davon nicht betroffen und der Angriff wird ökonomisch unsinnig."Gecrackt"? m(
Update: Habe ein paar Details in Erfahrung bringen können. Das Ziel von diesem Browser ist anscheinend, die momentan verbreiteten Banking-Trojaner auszuschalten. Dafür haben sie da Arbeit investiert, um den Browser für die verbreiteten Manipulationsmethoden weniger anfällig zu machen. Mit meiner "Windows Only"-Vermutung lag ich wohl richtig. Aus meiner Sicht hat man verloren, wenn man von Schadcode-Befall ausgeht. Das kann man mit solchen Browser-Tricks ein bisschen schwieriger machen, und hoffen, dass die Trojaner dann lieber die anderen Banken angreifen, aber letztendlich halte ich es für nicht seriös, da große Versprechungen zu machen. Ich versuche weiterhin die oben genannten Details rauszufinden, mal gucken was da noch so reinkommt.
Update: Hier kommen noch ein paar Details. Plugins, Toolbars und co sind per CLSID-Whitelist verboten, es wird nicht Wininet benutzt, die URLs und IP und SSL-Zertifikate der Bank sind per Whitelist festgenagelt. Wenn das stimmt dann haben sie da soweit alles rausgeholt. Man kann sich immer noch streiten, wie viel man davon erwarten kann, und der Teufel steckt wie immer in den Details. Aber es sieht nicht mehr ganz so vollständig sinnlos aus wie es die Presseerklärung vermuten ließ.
Die Situation der Abgeordnetenbestechung in Deutschland ist so armselig, dass ich das hier auch schon häufiger thematisiert habe. Netzpolitik.org fasst das nochmal sehr schön zusammen :-)
Die FCC ist die zuständige Regulierungsbehörde in den USA.
Die hätte jetzt mit den Daten loslaufen und die Telcos an die Kandare nehmen können, aber war gar nicht notwendig. Es reichte schon, die peinlichen Zahlen zu veröffentlichen.
Und so ein Programm machen sie jetzt auch für Mobilnetze.
Gut, bei uns müsste man erstmal Tricksereien wie die hier verbieten. Aber immerhin tut überhaupt mal jemand was.
Lasst EFI in Frieden. PCs sind keine Geldautomaten, die sollen nicht sicher sein. Sicher heißt Zwangsjacke für den Anwender und gerade in diesem Fall reden wir ja von Apple, die zwar in Sachen Sicherheit Jahre hinterherhinken, aber dann Handschellen für den Anwender als Sicherheitsmaßnahme verkaufen und man sein Telefon nur in Betrieb nehmen kann, wenn man Itunes installiert. Apps? Nur aus dem Apple Store. Wegen der Sicherheit!1!!
NICHTS von dieser ganzen Scheiße kommt dem Benutzer zu Gute. Das ist alles nur Gängelei von dem nur einer profitiert: Apple.
Es ist schlimm genug, dass wir seit Jahren nicht in der Lage sind, sichere oder vertrauenswürdige Software zu produzieren. Aber damit jetzt Guantanamo-Technologien auf allen Endgeräten zu etablieren, dass wir DAS zulassen, das ist eine Schande sondergleichen. Und am Ende wird es wieder keiner gemerkt haben. Ach was hätten wir den tun sollen, keine Apple-Geräte kaufen? Das wäre in der Tat mal ein Anfang! Solange Hersteller wie Apple für sowas noch mit Rekordprofiten belohnt werden, wird das nie aufhören.
Dieser UEFI-Codesigning-Bullshit ist übrigens genau die Technologie, mit der auch Microsoft Windows 8 zunageln will. Aus Sicherheitsgründen, wissenschon. Microsoft kriegt dafür zu Recht auf die Fresse. Apple wird für den gleichen Mist noch gefeiert.
Oh und dass der Typ in dieser Meldung ausgerechnet Thunderbolt nimmt ist nochmal ein zusätzlicher Gähner, weil Thunderbolt auch ganz ohne Backdoor den DMA-Zugriff von außen auf dem Hauptspeicher erlaubt. Den Teil benutzt er aber gar nicht. Weil, äh, … keine Ahnung warum nicht, denn das ist inhaltlich genau so "überraschend" wie dass man EFI-Backdoors machen kann. Wie wäre es als nächstes mit der krassen Einsicht, dass wenn jemand deinen Laptop klaut, er deine Festplatte auslesen kann!1!! Oder dass man per Internet Daten übertragen kann!
Die erste spannende Einsicht für mich war, dass Verlage wie Axel Springer nur zu 50% ihre Einnahmen aus dem Werbegeschäft beziehen. Ich hätte den Anteil für deutlich höher gehalten. Damit kann ich den Druck in Richtung Paywall deutlich besser nachvollziehen. Allerdings habe ich versucht, hier Gegenargumente zu platzieren, und auch eine Kulturflatrate ins Gespräch gebracht, die Döpfner nicht rundheraus ablehnte (nach einem initialen Missverständnis, dass auch bei der Verteilung jeder Verlag nur eine feste Summe kriegt).
Als wir dann zum Leistungsschutzrecht kamen, und Google News (von der Presse gerne als "der Grund für das Leistungsschutzrecht" positioniert) mit einem nichtkommerziellen Blog verglichen, weil die ja keine Werbung einblenden bei Google News, da haben wir dann die relativ spannende Aussage gekriegt, dass Google News auch unter das normale Zitierrecht fällt und nicht betroffen wäre vom Leistungsschutzrecht, solange sie auch weiterhin keine Werbung einblenden.
Ich habe dann noch ins Gesicht die Zusage bekommen, dass ich mein Blog weiterhin so machen kann wie bisher und nicht unter das Leistungsschutzrecht fiele :-)
Eine wichtige Frage beim Leistungsschutzrecht ist ja auch, was eigentlich ein Blog zu einem kommerziellen Angebot macht. Wenn ich ein Banner schalte, bin ich dann kommerziell? An der Antwort merkt man, dass die Sache auch aus Springer-Sicht nicht so gänzlich klar ist, denn ich bekam zwei Antworten. Erst hieß es, dass das mit Werbung kommerziell sei, dann aber, dass es ja beim Leistungsschutzrecht gar nicht um die Blogger ginge, die da ein-zwei Bannerchen hätten. Hier lese ich zwischen den Zeilen Zustimmung dafür, dass der Referentenentwurf in der jetzigen Form nicht akzeptabel ist.
Viel Spaß beim Hören!
PS: Das läuft diesmal nicht über unser altes CDN, es sollte also genug Bandbreite für alle da sein.
PPS: Frank hat auch was gebloggt.
Update: Einen lustigen Verplapperer möchte ich noch aufzeigen, der mir beim Schneiden erst auffiel:
Weil, wenn ein Anzeigenkunde lernt, daß er mit einer kleinen Incentive-Reise wohlmeinende Berichterstattung billiger erkaufen kann, als mit einer Anzeige, dann wird er lieber Redakteure bestechen, als Anzeigen zu schalten.
Ein bisschen böswillig kann man das so lesen, als ob man doch mit Anzeigen wohlmeinende Berichterstattung kaufen kann :-)
Update: Weil Einzelne sich ungehalten darüber zeigen, dass wir Springer-PR nicht rausgeschnitten oder unterbrochen haben: Leute, mehr Medienkompetenz bitte! Unsere Aufgabe ist nicht, eine Agenda für oder gegen den Gast zu fahren, sondern ihm genug Zeit zu geben, seine Position zu vertreten. Gelegentlich noch ein paar Stichwörter reinreichen und möglicherweise Fallen stellen, damit er Dinge sagt, die er so nicht gemeint hat, that's it. Im Übrigen: was habt ihr denn erwartet, dass der Springer-Chef da die "Bild" basht?! Wenn unser Gast sein Interview nicht nutzt, um das zu sagen, was ihr gerne gehört hättet, dann ist das auch ein wertvoller Beitrag zu eurer Meinungsbildung.
Präsident Sarkozy hat jetzt den Anti-Terrorismus-Plan für die Region aktiviert. Alle jüdischen und muslimischen Einrichtungen werden besonders gesichert.Sorry, liebe Juden, aber die Moslems sind einfach die wichtigere Gruppe im Wahlkampf.
Franks Voraussagen sind: nach der Wahl kommt raus, dass das ein verwirrter Einzeltäter war. In zwei Jahren kommt raus, dass der Geheimdienstkontakte hatte. Ich schließe mich dem an.
Update: Oh übrigens: die verwendete Munition ist im Wesentlichen bei Spezialeinheiten im Einsatz, weil sie sich gut für Schalldämpfer eignet. Außerdem ist die in den USA in Shooting Ranges beliebt, weil das so das Dirty Harry-Kaliber ist, und im Wilden Westen hatten die Colts so ein Kaliber. Das ist alles andere als leise, das nehmen so die "Waffen-Enthusiasten" zum Rumballern. Ohne Training kann man damit aber nicht mal eben so ein paar Leute abschießen, Schusswaffen mit dem Kaliber haben einen deutlichen Rückschlag. Wenn man da kein Training hat, kann man sich was verrenken.
Update: Jetzt fahren sie die Nazi-Terroristen-Schiene, das ist richtig schlau. So kann Sarkozy da einen Law&Order machen, ohne als ein Law&Order-Arsch rüberzukommen. Also doof ist der ja nicht, oder zumindest seine Berater sind es nicht :-)
Update: Ach gucke mal jetzt kommen hier wieder die ganzen Klugscheißer an und mäkeln herum, .45 ACP sei kein Western-Kaliber, weil es neuer als Western sei (niemand behauptete je was anderes), .45 ACP habe auch gar nicht so viel Wumms drin (ich habe auf .45 ACP verlinkt, weil es für .45 ohne ACP keine Webseite gab, die Quellen sprechen alle nur von Kaliber .45, das kann ACP sein oder auch nicht), und ein besonders schlauer Schlaukopf schreibt mir sogar, .45 sei gar kein Western-Kaliber, die hätten .44 benutzt (das war ja wohl ein GANZ tiefer Griff ins Klo). Wenn ihr nichts zu sagen habt, sagt doch bitte auch einfach nichts. Bis rauskommt, was für Munition die da wirklich verwendet haben, ist das eh alles nur Spekulation. Die Konfusion kommt daher, dass .45 eben nur den Durchmesser angibt, das gibt es eben einmal als Magnum und einmal als ACP und bestimmt auch noch in anderen Varianten. ACP ist eher die Sportschützen-Variante, dass ich die jetzt verlinkt habe bei meinen Erklärungen zur Magnum-Variante hat offenbar diverse Leute überfordert.
Update: In der Wikipedia haben sie ein paar Details, u.a. dass der auch eine 9mm dabei hatte und mit der zuerst schoss. Damit würde ich die Theorie mit dem Colt verwerfen wollen, dann war das wahrscheinlich eher eine normale Schwarzmarkt-Handfeuerwaffe und tatsächlich .45 ACP und die Geschichte mit dem Rückschlag und dem man muss Training haben, um sich nicht zu verletzten, die trifft auf die Pistolen nicht zu.
Die kurze Zeit der Unklarheit war eure Chance. Ab jetzt ist keiner mehr an eurem Kandidaten interessiert.
Ihr habt glaube ich immer noch nicht kapiert, welche Rolle ihr spielt. Welche Hebel ihr habt. Wie (und vor allem: wie schnell) ihr sie nutzen müsst. Im Gegensatz zu den Legacy-Parteien habt ihr verstanden, wie schnell man im Netz zu Konsens kommen kann, wie schnell man Aktionen lostreten kann. Ihr habt gesehen, wie andere Leute so Dinge bewegen können.
Aber ihr tut nichts davon, verhaltet euch träger als die CDU.
Ich hoffe, das ist euch jetzt wenigstens ordentlich unangenehm.
Ihr Verlierer.
PS: Spart euch bitte eure Ausflüchte und euer "der Fefe hat die Realitäten in einer Partei nicht verstanden"-Gefasel. Nicht um meinetwillen, ich kann das prima ignorieren. Aber in 20 Jahren, wenn eure Kinder euch fragen, wieso ihr damals eigentlich so großflächig verkackt habt, und sie euch eure peinlichen Tweets von damals zeigen. Dann werdet ihr mir dankbar sein, wenn ihr euch das jetzt verkneift.
[Ein besonders peinlicher Knaller war der eine Typ, der mir erklären wollte, ich soll mal nicht so rumnörgeln, die Piraten hätten ja 30 Tage für die Ernennung eines Kandidaten. Ich hatte nicht genug Hände für eine angemessene Fazialpalmierung]
Update: Si tacuisses, philosophus mansisses.
Liebe Piraten, es geht hier nicht um Schramm oder das Amt oder wer es tatsächlich kriegt. Es spielt keine Rolle, ob Schramm schon ja gesagt hat oder sich Bedenkzeit erbeten hat. Es gab da eine kurze Chance, die Diskussion zu lenken. Die CDU hat eine Latenz von zwei Tagen. So lange hattet ihr Zeit, die allgemeine Verwirrung zu nutzen, um die Debatte zu lenken und euch wichtige Punkte anzubringen. Ob Schramm will oder nicht spielt keine Rolle, der wird eh nicht gewählt, wenn ihr den vorschlagt. Und es hätte sogar nicht mal ein richtiger Vorschlag sein müssen. Es hätte völlig gereicht, wenn jemand wichtiges bei den Piraten der Presse gesagt hätte: "Also ich würde mir ja den Georg Schramm auf dem Posten wünschen; ein entsprechender Antrag im Liquid Feedback läuft, und wir haben bei ihm angefragt." Oder besser noch: "Wir im Vorstand" statt "ich".
Update: Ach Quack, ich nehme das zurück. Sie hätten es nicht der Presse sagen müssen. Ein Tweet hätte gereicht. Aber all das Gefasel von "aufgewachsen mit sozialen Netzen", "im Twitter sozialisiert", das ist ja alles Blödsinn. Tatsächlich benutzt ihr Twitter nur zum sinnlosen Rumfurzen, nicht zum Kommunizieren. Könnte man auch morgen zumachen und keine Facette eurer politischen Arbeit wäre eingeschränkt.
Seit dem gibt es in Linux einige mehr oder weniger geniale Änderungen, die wir nie unterstützt haben, weil Multithreading nie so richtig wichtig war für die dietlibc. Mir schonmal eh nicht so, aber auch die Zielplattformen haben normalerweise nie mehr als einen Core gehabt. Das hat sich inzwischen geändert.
Die erste wichtige Neuerung ist Thread Local Storage. Das funktioniert so, dass man in den Threads auf x86 ein Segment-Register so belegt, dass man über das Segment ab Offset 0 auf den Thread-Parameter-Block zugreifen kann. Es ist auch vorgesehen, dass man selbst in seinem Code Variablen thread local deklarieren kann, aber den Sinn davon habe ich nie gesehen, die kann man ja auch gleich auf den Stack tun oder vom Heap allozieren, wenn sie größer sind. Der Punkt ist jedenfalls, dass alle möglichen Thread-Funktionen wissen müssen, welcher Thread sie gerade aufruft, z.B. können Mutexe rekursives Locking erlauben und müssen daher wissen, ob dieser Lockversuch vom selben Thread kam wie der ursprüngliche. Kurz gesagt: bei Threading-Code war es immer ein Flaschenhals, wenn der Code gucken musste, welcher Thread das eigentlich gerade ist. Die Alternativen sind alle doof; man könnte einen Syscall aufrufen, um die PID oder TID zu kriegen, oder man könnte den Stack Pointer nehmen und in einer globalen Datenstruktur nachgucken (allerdings muss die dafür gelockt werden und wie gesagt müssen Mutexe auch die Thread-ID wissen). Mit Thread Local Storage ist das nur noch ein einziger Speicherzugriff über das Spezial-Segment. Das war also schonmal gut, aber ich hab immer das Gefühl gehabt, ich müsste jetzt auch Futex-Support implementieren, um überhaupt in einer Liga wie NPTL spielen zu können. Das habe ich heute mal gemacht, und die Ergebnisse sind ernüchternd.
Der alte Code in dietlibc benutzt im Wesentlichen Spinlocks, d.h. eine Schleife, die immer wieder versucht, den Lock zu kriegen, bis es halt klappt. Damit dabei nicht die CPU so doll belastet wird, sagt er zwischen den Iterationen dem OS, dass mal ein anderer Thread laufen soll jetzt. Sieht sehr krude und amateurhaft aus, fand ich immer.
Futex, zum Vergleich, ist ein geradezu geniales Verfahren. Man nimmt sich dafür den Lock, also eine Speicherstelle, und zählt den mit einer atomaren Operation von 0 auf 1 hoch. Wenn nach dem Hochzählen 1 drin steht, dann weiß man, dass man den Lock hat und sonst niemand. Wenn dann da 2 oder so drinsteht, dann hat man den Lock nicht, und benutzt den futex-Syscall, um dem Kernel zu sagen, dass man auf diesen Lock hier warten will. Der Kernel suspendiert dann den Thread.
Beim Unlock geht man analog vor; man zieht atomar einen ab, und wenn man bei 0 rauskommt, ist alles gut und man ist fertig, ansonsten ruft man den Futex-Syscall auf und sagt an, dass man mal einen der wartenden Threads aufgeweckt haben will. Es gibt da noch zwei-drei Komplikationen aber im Wesentlichen ist es das. Den Syscall benutzt man nur, wenn man nicht im Userspace über die atomaren Operationen schon alles geklärt hat.
glibc hat über NPTL seit vielen Jahren Futex-Support.
Mein Test-Programm ist untypisch, denn es macht vier Threads auf, die alle dauernd um den selben Lock konkurrieren. An sich sind Locks ja genau auf den anderen Fall optimiert, nämlich dass es keinen Wettbewerb gibt im Normalfall, insofern ist das kein sonderlich guter Test, aber es ging ja ursprünglich auch gar nicht um den Durchsatz, sondern die Threads prüfen auch, ob sie tatsächlich als einzige Zugriff hatten.
Hier ist der Durchsatz (am Anfang insgesamt und die vier Zahlen am Ende sind für die einzelnen Threads):
glibc:Die Ergebnisse haben mich ja nun doch massiv überrascht. Falls sich jemand den Code mal angucken will: hier ist er. Ich habe den neuen Futex-basierten Locking-Code dann lieber doch nicht eingecheckt angesichts dieser Zahlen :-)
5840543 iterations: 1450529 1436218 1478655 1475141.dietlibc alt:
80426491 iterations: 18957811 16267831 19589958 25610891.dietlibc neu mit futex:
11477382 iterations: 2868532 2830930 2876189 2901731.
Oh, einen noch. Es gibt da noch eine Optimierung, die man gerne macht beim Locking. Man ruft nicht sofort den Kernel an, sondern probiert es erst ein paar Mal. Der Gedanke dahinter ist, dass normalerweise so ein Lock ja nur sehr kurz gehalten wird, und man sich den Syscall-Overhead auch sparen kann, wenn der, der den Lock gerade hält, nur mal kurz ein-zwei Variablen schreibt und ihn dann wieder freigibt. Das hat mein Futex-Code natürlich auch getan. Und zwar erst 100 Mal, dann nur noch 10 Mal. Hat den Durchsatz signifikant erhöht, das auf 10 zu senken. Das hat mich auch überrascht.
Update: Falls ihr mal eure libc testen wollt: das lief auf einem 64-bit Linux auf einem Phenom 1090T (3.2 GHz, 6 cores).
Schröder schrieb, von den bereits bewilligten Geldern seien Mitte November 8,5 Millionen Euro noch gar nicht abgerufen worden. „Viele, die jetzt reflexhaft nach mehr Geld für Programme gegen Extremisten rufen, sind leider allzu frei von Sachkenntnis“, schrieb sie. Bei der Projektförderung gegen Extremisten fehle im nächsten Jahr kein einziger Euro.Wer sich wie die gute Frau Schröder gerade mangels Sachkenntnis nicht erinnern kann, warum das so ist, der sei sei hierauf verwiesen.
Die andere interessante Einsicht dieses Artikels ist, dass die Länder auf ihren "Verfassungsschutz"ämtern beharren. Das finde ich spannend, ja sogar unerwartet, denn eigentlich haben die Länder ja überhaupt gar kein Geld für gar nichts über, sind völlig pleite, können sich dringende Infrastruktur nicht leisten, in den Schulen blättert der Putz von den Wänden. Was wäre da eine einfachere Geldquelle als die Schließung der ganzen überflüssigen, ja kontraproduktiven und destruktiven "Verfassungsschutz"ämter?
Mir fallen da ja spontan nur Verschwörungstheorien ein. Vielleicht haben die Landesregierungen über die Jahre die Schnüffler benutzt, um die jeweilige Opposition abzuhören, und die sitzen jetzt auf einem Riesenhaufen Kompromat? Oder vielleicht haben die "Verfassungsschützer" in ihrer Geheimhaltung noch ganz andere Leichen im Keller, also wörtlich, Leichen, vielleicht haben die Exekutionen durchgeführt? Man weiß das ja nicht! Wenn jemand ohne Sorge vor Rechenschaft vor dem Gesetz agieren kann, wieso sollte so jemand dann nicht auch gleich den Liebhaber seiner Frau verschwinden lassen. Ich vertrete ja seit Jahren die These, dass so ein Arbeitsumfeld vor allem Leute anzieht, die eine Affinität für illegale "Arbeit" haben. Man wird ja auch nicht Gerichtsvollzieher, wenn man nicht darauf steht, andere Leute zu erniedrigen.
Also was schreibt er denn da so.
Das BKA hat keinen Verfassungsbruch begangen!Das wird sich zeigen.
In unsere OLD- und Quellen-TKÜ-Software war zu keinem Zeitpunkt eine rechtswidrige Hintertür zum Aufspielen von Ausspähprogrammen eingebaut.Das klingt gut, leider wird es noch im selben Dokument auf Seite 7 der Lüge überführt:
Update selbst wird mit der Updatefunktionalität der Digitask-Aufzeichnungseinheit durchgeführt (Updates werden protokolliert)Das mit dem Protokoll klingt gut, aber leider ist ein Protokoll auf Seiten des Trojaners wertlos, weil es von Dritten manipuliert werden kann, und ein Protokoll auf Seiten des BKA ist auch wertlos, weil über die Schnittstelle auch von Dritten weitere Malware hochgeladen worden sein kann, ohne dass das überhaupt beim BKA vorbeikommt.
Es gibt keinen Zugriff von Dritten auf die Software des BKA.Da bin gespannt auf Ihre Beweisführung, Herr Ziercke!
Die Planung, Durchführung und Nachbereitung von Quellen-TKÜ und Online-Durchsuchung folgen einem detaillierten Phasenkonzept, einschließlich ausdifferenzierter Prüf- und Kontrollmechanismen.Bei dem Satz muss jemand den Inhalt mitzuübertragen vergessen haben. Hier ist jedenfalls keiner angekommen. Auch die ganze Seite 4 ist reiner "Beweis durch Behauptung"-Kinderkram. Damit können sie vielleicht jemanden wie den Uhl überzeugen, aber sonst niemanden. Kein Wunder, dass sie das hinter verschlossenen Türen vor ausgesuchtem Publikum gehalten haben. Sonst wären sie ja aus dem Saal gelacht worden damit.
Dann machen sie noch die Ansage, dass sie in Amtshilfe für Rheinland-Pfalz und Hessen Trojaner verteilt haben. Sehr schön!
Desweiteren verweisen sie auf ihre ISO 9000ff-Zertifizierung (HAHAHAHA, Snake Oil zum Quadrat, das lässt ja tief blicken, dass sie DAS als Beleg für ihre Integrität nehmen!) und ein Phasenkonzept. Wer schonmal in einer WG gewohnt hat, mit Konzept zum gemeinschaftlichen Geschirrspülen und Müllrunterbringen, der wird das ähnlich erheiternd finden wie ich jetzt. Sie zitieren da ab Seite 6 das Phasenmodell. Ich kann das nicht mal pasten hier, ich hab vom Fremdschämen Rheuma gekriegt und kann die Maus nicht mehr schieben. AU DIE SCHMERZEN! Das einzige, was man da mitnehmen kann, ist dass es einen Amtsleitungsvorbehalt gibt. D.h. die Amtsleitung steht jetzt persönlich mit einem Bein im Knast und kann das nicht mehr auf inkompetente Angestellte abwälzen.
Schließlich kommen dann auch noch die Ausflüchte zu dem Proxy, bzw. kommen sie gerade nicht. Da steht nur:
zur Verschleierung der Q-TKÜ gegenüber dem Tatverdächtigen wird die gesamte Kommunikation der Software über mindestens zwei Proxy Server geleitetEin Schelm, wer böses dabei denkt.
auf diesen Proxy Servern werden keinerlei Daten abgelegt, sondern lediglich eine Durchleitung - über nicht-deutsche Server – vorgenommenAch sooo! Das ist nur eine Durchleitung! Na dann kann da ja nichts passieren. Immerhin: Sie geben zu, dass sie durch das Ausland routen. Das macht aber nichts (Seite 11), weil:
Richtig ist vielmehr, das die Daten über einen ausländischen Server lediglich verschlüsselt weitergeleitet und nicht auf dem ausländischen System gespeichert werden.Ich bewundere deren Chuzpe, ihre Pfusch-Verschleierung als "Verschlüsselung" zu bezeichnen. Oh und die scheinen noch nicht verstanden zu haben, dass man mit einem Proxy auch durchfließende Daten manipulieren kann.
Ein schöner Lacher ist noch die "Beendigungsphase":
No shit, Sherlock! Mit forensischen Methoden durch Dritte analysiert, ja? *schenkelklopf*
- Überwachungssoftware wird möglichst im Rahmen operativer Maßnahmen physikalisch gelöscht
- sofern mangels Zugriff auf das überwachte System physikalisches Löschen nicht realisierbar, wird auf die eingebaute Löschfunktion zurückgegriffen
- bei letztgenannter Alternative (sogen. Fernlöschung) besteht ein Restrisiko, dass die Software oder Teile davon zu einem späteren Zeitpunkt mit forensischen Methoden durch Dritte analysiert werden
Die nächste Frage, die sich stellt, ist was es mit der "revisionssicheren Dokumentation" zu tun hat, die gestern alle CDU-Tontauben nachgebetet haben.
Das ist nicht gut, weil "alle gewonnenen Daten" auch den Kernbereich der privaten Lebensgestaltung betrifft und nach Vorgabe des Bundesverfassungsgerichts solche Daten sofort gelöscht werden müssen. Und überhaupt stellt sich natürlich die Frage, was auf ein Protokoll zu geben ist, dass im Fall eines Manipulationsvorwurfes vom Angeklagten selber geführt wurde. Ich sage: gar nichts. Da müsste man schon besondere Maßnahmen ergreifen, um eine Manipulation besonders schwer zu machen, z.B. per Read-Only-Ausleitung der Logdaten in einen physisch separaten Logging-Bereich, bei dem nur hinten angefügt und nichts gelöscht oder überschrieben werden kann nachträglich. Was das BKA aber darunter versteht:
- Sämtliche durchgeführten Aktionen (Updates, Modulaktivierungen und -deaktivierungen) werden protokolliert.
- Des Weiteren sind dort alle gewonnenen Daten (Gespräche, Chatnachrichten, übertragene Dateien) auswertbar vorhanden.
Die operativen Worte hier sind "aus der Bedienoberfläche heraus". Wenn jemand weiß, wie man es außerhalb der Bedienoberfläche manipuliert, ist das Scheunentor offensichtlich offen. Daher dementiert das BKA auch gleich so doll sie können (ein lauer Windhauch würde diese Argumentation wegwehen):
- Das systemtechnische Protokoll ist aus der Bedienoberfläche heraus nicht manipulierbar.
ACH, für das BKA soll die Unschuldsvermutung gelten, wenn sie mit thermonuklearen Trojanern herumhantieren? Aber umgekehrt dürfen unsere Behörden uns trojanisieren, selbst wenn wir nachweislich überhaupt nichts angestellt haben, unter der Maßgabe der Gefahrenabwehr? Im Übrigen ist das mit dem administrativen Zugang nicht glaubwürdig. Wenn das GUI ohne Admin-Zugang in die Datenbank schreiben kann, dann kann das auch der Benutzer des GUIs. Er muss sich nur die Zugangsdaten für die Datenbank aus dem GUI rauspopeln.
- Löschen von Protokolldaten wäre nur mit administrativem Zugang (nicht der Ermittlungsbeamte, nur der Techniker hat Zugang) auf die zugrundeliegende Datenbank und entsprechendem technischen Aufwand bei gleichzeitiger krimineller Energie möglich. Dafür gibt es keinem Fall auch nur die Spur eines Verdachts!
Und ob das BKA kriminelle Energie hat, das ist ja wohl eine Frage des Blickwinkels. Die wollen Trojaner bei den Bürgern installieren! Wenn die Russen das tun, nennt man das "Mafia" und "organisierte Kriminalität" und die Politik nimmt es als Anlass, um noch mehr Trojanereinsätze zu begründen!
Aber hey, ist ja noch nicht fertig. Hier ist noch ein echtes Highlight:
Falsch ist, dass das BKA eine Überwachungssoftware verwendet, die mit einer unsicheren symmetrischen Verschlüsselung arbeitet und nur in eine Kommunikationsrichtung verschlüsselt. Wir verschlüsseln in beide Richtungen!HAHAHAHAHAHAHA, das alleine ist ja schon so ein Brüller, ich lach mich kaputt. Wir verschlüsseln in beide Richtungen mit einem unsicheren symmetrischen Cipher!1!!
Richtig ist, dass ein gemeinsamer Schlüssel zwischen Software und Einsatzservern vergeben wird. Dies dient der Verschlüsselung und der Authentifizierung.OH DIE SCHMERZEN! Sie bestätigen also direkt, was sie im Absatz davor noch dementiert haben. Gut, mit einem symmetrischen Schlüssel kann man sich nicht authentisieren, das weiß schon jeder Informatik-Studienabbrecher, das meinen die bestimmt nicht ernst? Doch, meinen sie!
Der Kommunikationspartner kann sich ohne diesen Schlüssel nicht als gültiger Partner ausgeben.Liebes BKA. IHR LIEFERT DEN SCHLÜSSEL AUS. Der ist im Trojaner drin. Der ist nicht geheim. Und man kann mit ihm nichts authentisieren. Fragt doch mal eure Krypto-Kollegen vom BSI, die haben dem Vernehmen nach Reste von Krypto-Knowhow am Start. Wenn die nicht alle schon dem Herzinfarkt erlegen sind angesichts eurer haarsträubenden Äußerungen hier, dann werden sie euch zumindest bestätigen, wie tief euer Unwissen hier reicht. "Wir haben da auch Experten", dass ich nicht lache. Gut, helfen werden euch die BSIler nicht, das haben sie ja schon angesagt. Aber euch ist ja eh nicht zu helfen.
Weiter im Text. Es fehlt ja noch der Teil, wo sie den CCC als die Bösen hinstellen. Hier ist er:
Seit der Veröffentlichung der Signatur der Verschlüsselung durch den CCC könnten noch laufende Maßnahmen entdeckt werden. Das BKA hat daher in einem aktuellen Verfahren der organisierten Rauschgiftkriminalität die Maßnahme sofort abgebrochen und dies der Staatsanwaltschaft und dem anordnenden Gericht mitgeteilt. Dies ist auch den Bundesländern mitgeteilt worden.ORGANISIERTE RAUSCHGIFTKRIMINALITÄT!!1! Mit anderen Worten: noch eine Online-Apotheke.
Oh, eine Sache möchte ich schon noch ansprechen:
Die Quellen-TKÜ-Software ist auf das Zielsystem und die dort installierte Skypeversion ausgerichtet. Bei einem Skypeupdate muss daher auch die Quellen-TKÜ-Software angepasst werden, da ansonsten die Kommunikation nicht mehr aufgezeichnet wird.Das klingt für mich nach Unsinn. Ich behaupte, dass das auch ohne Updates geht.
Das BKA behauptet weiterhin, das Verfassungsgericht habe nicht gesagt, ein Mehr an Funktionalität sei generell verboten, sondern nur dann,
wenn – und darauf kommt es dem BVerfG an - die durch eine Nachladefunktion eingesetzte Software zum Ausspähen von weiteren Daten genutzt würde.Hier ist, was das Verfassungsgericht tatsächlich urteilte:
Art. 10 Abs. 1 GG ist hingegen der alleinige grundrechtliche Maßstab für die Beurteilung einer Ermächtigung zu einer „Quellen-Telekommunikationsüberwachung“, wenn sich die Überwachung ausschließlich auf Daten aus einem laufenden Telekommunikationsvorgang beschränkt. Dies muss durch technische Vorkehrungen und rechtliche Vorgaben sichergestellt sein.Es geht also nicht darum, ob die nachgeladene Software tatsächlich benutzt wird, um mehr abzuhören, sondern es müssen technische und rechtliche Vorkehrungen da sein, um zu verhindern, dass das geschehen kann. Das ist hier nicht der Fall, daher handelt es sich um eine klare Verletzung des Urteils.
Gegen eine bloße Aktualisierungsfunktion kann das BVerfG keine Einwände haben, weil sonst die Maßnahme an sich gefährdet wäre.Den Typen, der diese Argumentation gemacht hat, würde ich gerne hinter Gittern sehen. "Ich MUSSTE den Laden ausrauben, Euer Ehren, denn mir ist ja Fahrradfahren erlaubt, und wenn ich denen nicht ein Fahrrad gestohlen hätte, dann wäre ja die Fahrradfahr-Maßnahme an sich gefährdet gewesen!1!!" Dass solche Leute überhaupt frei rum laufen können, irritiert mich maßlos, aber dass sie auch noch für Bundesbehörden der Exekutive Statements formulieren, das schlägt dem Fass den Boden aus. Wenn ihr es unter den Vorgaben nicht hinkriegt, DANN KÖNNT IHR ES HALT NICHT MACHEN. Ganz einfach!
Immerhin sehen sie auch selber ein, dass ihre Beweise da wertlos sind, und weil sie keine tatsächliche Überprüfung machen können, …
Das BKA hat am 11./12.10.2011 alle Protokolle bisheriger Quellen-TKÜ-Maßnahmen mit der DigiTask-Aufzeichnungseinheit unter Beteiligung der Beauftragten für den Datenschutz sowie für die IT-Sicherheit im BKA auf Plausibilität kontrolliert hat.Äh, auf … Plausibilität?! So Pi mal Daumen oder wie? Geschaut, dass keine Logeinträge von Freitag nachmittag kommen, weil da die Beamten auf dem Heimweg sind? Oder wie habe ich mir das vorzustellen? Wenig überraschend haben sie nichts gefunden:
Im Ergebnis konnten keine Hinweise festgestellt werden, dass im BKA eine Software eingesetzt wird, die über die rechtlich zulässigen Grenzen der Quellen-TKÜ hinausgeht und dass im Rahmen der bisher erfolgreich durchgeführten Quellen-TKÜ-Maßnahmen unzulässige Daten ausgeleitet werden.Natürlich nicht. Anhand einer "Plausibilitätsprüfung" der Logdateien kann man sowas ja auch nicht beurteilen.
Auf Seite 11 gibt es dann noch die Ausrede, wieso der Proxy in den USA steht. Achtung: fest sitzen bei der Lektüre:
Der Grund für diese Verschleierung ist kriminalistischer Natur. Skype selbst nimmt beim Start automatisch Kontakt mit einem Server in den USA auf. Für den versierten User sollte durch die Quellen-TKÜ- Software kein anderer Eindruck entstehen.m(
Halt, einen hab ich noch. Wie das BKA prüft. Ihr sitzt hoffentlich weiterhin fest:
Das BKA testet die bestellte Software mit Hilfe eines sogen. Positivtests, der der Funktionalitäten der Software und die Reaktion der vom Zielsystem eingesetzten Sicherheitssoftware (Virenscanner, Firewall) prüft. Die Maßnahme wird als einsatzfähig betrachtet, wenn die bestellten Funktionalitäten vorhanden sind, und die Sicherheitssoftware keine Warnungen produziert.Selbstverständlich sind so keinerlei Aussagen über eventuell zusätzlich vorhandene Funktionalität treffbar.
Update: Oh und natürlich ist der Paragraph mit den abgebrochenen Einsätzen auch gleichzeitig das Eingeständnis, dass ihre angeblich ganz andere Version des Trojaners das selbe schlechte Protokoll einsetzt und damit so verschieden nicht sein kann.
Update: Weil ich jetzt mehrfach darum gebeten wurde, hier nochmal explizit die letzte Zeile aus dem PDF:
Glauben Sie mir, meine Mitarbeiter verstehen das nicht!
Daran zweifelten wir auch keine Sekunde, Herr Ziercke!
Und legt gleich mit dreisten Lügen los, wie dass es nur um Terrorismus und organisierte Kriminalität ginge, nicht um Allerweltskriminalität (wie eine Online-Apotheke oder gestohlene Kinderkleidung, ja?). Wi-derlich.
"Wo Quellen-TKÜ dransteht, darf keine Online-Durchsuchung drinstehen, meine Damen und Herren!"
Immerhin gibt es ordentlich schlechtgelaunte Zwischenrufe.
"… ist es auch nicht möglich, Schadmodule nachzuladen, weil das bemerkt werden würde."
"Der Trojaner, den der CCC betrachtet hat, ist ja drei Jahre alt. Und drei Jahre sind in der IT ja eine lange Zeit." Schade nur, dass das ehemalige Nachrichtenmagazin gerade einen Trojaner von 2010 covert. Hups.
Und jetzt fordert er auch noch die Unschuldsvermutung für das BKA. "Das sind Unterstellungen, die durch nichts belegt sind. Das sind Vermutungen, die durch nichts belegt sind." Ja, so gut wie keine Belege, außer vielleicht die CCC-Analyse. Aber ansonsten nichts, also so gut wie. Fast gar nichts. Gut, die Antivirenhersteller haben die CCC-Analyse bestätigt, aber das zählt ja nicht weiter.
Jetzt argumentiert er mit dem Verhältnismäßigkeitsprinzip und vergleicht den Trojaner mit Dienstwaffen der Polizei. Was für eine Farce. Die Einrufe werden immer lauter. Der Brüller!
Jetzt ist der Oppermann für die SPD am Start und beginnt erstmal mit einem Lob für den CCC. "Aber der CCC hat auch chaotische Zustände in der Bundesregierung aufgedeckt" *Applaus* Dann zählt er die Widersprüche in den Aussagen der Minister auf. *Popcorn!* Vor allem natürlich bei dem Friedrich. Kein Wunder, dass sie den nicht hingeschickt haben da.
Und dann geht es los mit dem alten SPD-Programm: "Wir sagen: Wenn schon Staatstrojaner, dann vom Staat"
Burkhard Hirsch ist da, die Justizministerin offenbar auch (wurde gerade persönlich angesprochen, ich sah sie noch nicht).
Jetzt fordert die SPD, die Trojaner zu optimieren, die müssen doch nicht einmal pro Behörde angeschafft werden, reicht doch einmal!1!! Na super, genau was wir jetzt brauchen, die ökonomischen Aspekte waren ja auch völlig unterberichtet bislang, dabei stehen die doch so im Zentrum!
Oh Mann, zwischendurch kommt rein, dass die politische Geschäftsführerin der Piraten die Debatte "ermüdend" findet und weggezappt hat. Oh und Autogrammkarten haben auch eine höhere Priorität. OMFG.
Die FDP ist dran und nutzt die Gelegenheit, um die gesamte Trojaneraufdeckung vollständig als ihre Leistung darzustellen. Wi-der-lich. Immerhin sagen sie an, dass die SPD mal die Schnauze halten soll, weil sie den Trojaner ja eingeführt haben. "Es bringt uns nicht voran, den CCC zu chaotisieren oder zu heroisieren". Denn eigentlich war das ja alles Leistung der FDP!1!! Hat den Liberalen noch keiner mitgeteilt, dass sie a) unter 5% sind und b) Eigenlob stinkt? Mann ist das abstoßend. Bisher einziger inhaltlicher Punkt ist, dass sie erschüttert ist, dass das BKA den Quellcode nicht hatte. (Über "grundrechtsschonendere" Methoden des Abhörens) "Wenn das in Asien geht, und ich meine jetzt ausdrücklich nicht China, …" *stöhn*
Jetzt ist Jan Korte von den Linken und lobt den CCC und die FAZ, das gab es bestimmt auch noch nie :-) Deutlicher Kontrast zum Gefasel der FDP. Er weist darauf hin, dass das BKA im Innenausschuss nicht garantieren wollte, dass ihr Trojaner nicht auch mehr kann. "Und das behindert den aufrechten Gang, wenn man nicht weiß, was Sie mitlesen wollen". Schön formuliert. "Die FDP hat nächste Woche die Möglichkeit, einem Antrag der Linken zuzustimmen, die BKA-Befugnisse zurückzudrehen" *schenkelklopf*
Ah jetzt war die Leutheusser-Schnarrenberger kurz im Bild. Ob die auch noch was sagen will? Der Korte gefällt mir jedenfalls, der hat da schön empört auf den Tisch gekloppt.
Ah, jetzt der von Notz von den Grünen. Beklagt sich über die Relativierung der Grundrechte und dass Vertrauen der Bevölkerung in die Bundesregierung verloren geht.
(Nochmal zu den Piraten: vielleicht solltet ihr das mit der Transparenz nochmal überdenken?)
Hmm, der Notz ist mir irgendwie nicht konkret und nicht empört genug. Das wirkt wie eine dieser "Business as Usual" Bashing-Reden im Bundestag, weil man halt in der Opposition ist. Ist ja schön und gut, dass die sich alle widersprochen haben, aber die Zeit hätte man besser nutzen können. Hahaha, ein lustiger Satz war doch (über den CCC) "sonst würdigen Sie ja das Ehrenamt immer, der CCC arbeitet doch ehrenamtlich!" Ah, jetzt kommt das Fleisch. Die Mehrheit der Bürger lehnt den Trojaner ab. Die Mehrheit lehnt auch die Vorratsdatenspeicherung ab. Gut! "Auch Sie müssen einsehen, dass im Netz die Grundrechte voll gelten" (mit anderen Worten: das Internet darf kein rechtsfreier Raum sein!)
Oh Graus, jetzt der Uhl. Und der greift erstmal bis zur Schulter ins Klo und wirft dem Korte von den Linken vor, dass er gegen den Überwachungsstaat wettert (weil ja die Linken, und die SED, ihr wisst schon, gut, der Korte ist ein bisserl jung dafür, aber hey!).
Jetzt versucht er die Kleidungs-Terroristen aus Bayern als große Gefahr darzustellen und bringt "Wer sich ins Internet begibt, der kommt halt um? Ist das Ihre Position?" Und in Ermangelung inhaltlicher Argumente zitiert er den Ziercke indirekt und weist darauf hin, dass der Ziercke ja SPD-Mitglied sei. Der hat noch nicht mitgekriegt, dass die SPD politisch auch keine Rolle mehr spielt.
Wird immer besser. Das ist ja alles kalter Kaffee, weil der Computer Club, der hat ja NICHTS aufgedeckt, der Fall ist ja schon vom April, und da ist ja schon alles aufgeklärt, und im Übrigen klären wir jetzt ALLES auf, der Schaar hat mir das gesagt, und das reichen wir rum, wir wissen ja noch nicht, was da rauskommt. Nicht gänzlich widerspruchsfrei, seine Argumentation :-)
"Das wäre ja sehr schade, wenn unser Land am Ende regiert würde von Piraten und Chaoten aus dem Computerclub." Stattdessen lieber Leute, die sich an Recht und Gesetz halten, wie … die CSU!1!! *schenkelklopf*
Als nächstes der Klingbeil von der SPD, der direkt ins Klo greift und vom Bundestrojaner spricht, den der CCC untersucht hat (Hint: Staatstrojaner!). Man könnte fast denken, die haben sich alle abgesprochen, damit da gleich mal wieder einer widersprechen kann, und dann glaubt die Öffentlichkeit weiter, dass da Details kontrovers seien.
Kloppt auch auf die Widersprüche von dem Friedrich ein, und dass der die Nachladefunktion verteidigt hat. Sagt, die einzigen Chaoten hier gerade sei die Bundesregierung, dankt dem CCC. Spricht von der Offenbarung eines Kontrollverlusts der Bundesregierung. Der hat wohl auch den Schirrmacher gelesen heute. Wünscht sich, dass in der CDU mehr Leute Altmaier als Uhl lesen. Naja, hat mich nicht vom Hocker gehauen. Der braucht einen dynamischeren Redenstil.
Oh jetzt die Schnarrenberger! "Es darf keine Online-Durchsuchung in eine Quellen-TKÜ übergehen!" Klingt schön empört, aber bringt dann so Allgemeinplätze. Die Frau ist halt ein Polit-Profi. Hoffentlich bringt sie auch noch echte Klopper. "Wir müssen jetzt aufklären!" Ja, äh, na dann machen Sie doch mal! Worauf warten Sie denn? "Da müssen harte Grenzen gezogen werden! Und da müssen auch Manipulationsmöglichkeiten ausgeschlossen sein!" Hört, hört! Was Sie nicht sagen! "Und wir können das doch alles gar nicht sagen!" (Kontext: wir Politiker verstehen die Technik eh nicht richtig)
Haut auch in die Kerbe, dass der Trojaner vom Staat programmiert werden sollte. Nur die Linken trauen sich, Trojaner ganz abzulehnen. Beschämend. Die Schnarrenberger hat jetzt 10 Minuten flammend gepredigt und die einzige inhaltliche Aussage war, dass der Trojaner doch bitte vom Staat selber programmiert werden sollte. Als ob das was helfen würde! Was für eine Nebelkerze.
Jetzt die Frau Jelpke von den Linken, dankt auch dem CCC, und spricht dann von "kleinkriminellen Anabolika-Händlern" als Trojaner-Opfern. Die macht das nicht schlecht, könnte aber auch noch ein bisschen dynamischer reden. Und sie spricht auch endlich mal ein paar konkrete Dinge an, haut auf die Nachladefunktion drauf, die "Aktualisierung" als Ausrede, beklagt das Rumgewiesel und Rumgemauschel und Ausweichen bei konkreten Nachfragen. Weist darauf hin, dass das ein langjähriger Trend ist mit den Sicherheitsgesetzen.
Jetzt der Beck, der eröffnet gleich mit einem großartigen Hieb auf den Uhl und sein "im Internet kommt man halt um" Gefasel, meint er soll sich doch nochmal ein aktuelleres Internet ausdrucken lassen in seinem Büro :-) Wun-der-bar. "Das Tragische an dieser Debatte ist doch: nicht eine Kontrollbehörde hat herausgefunden, dass da was falsch läuft! Der Chaos Computer Club hat das gemacht!" *strike*
"Wir haben hier ein Problem! Das Problem heißt: wer überwacht die Überwacher und die Überwachungssoftware?" Fordert auch, dass der Staat das selbst macht, und zusätzlich eine Kontrolle durch unabhängige Stellen.
Schade, dass die Grünen sich nicht trauen, da Trojaner komplett abzulehnen. Ich sehe schon einen Trojaner-TÜV vor uns. Na super.
Weist darauf hin, dass die Regierung die selben lahmen Ausreden bringt wie die Bayern. "Das ist doch eine glatte Lüge!" Jawoll! So macht man politische Reden, sehr schön. Der Mann rockt. "Wenn der Staat sowas sagt, dann glaube ich als Bürger doch erstmal gar nichts mehr, was nicht unabhängig überprüft worden ist!" *strike*
Oh und jetzt zweifelt er an, dass man überhaupt eine Quellen-TKÜ durchführen darf. Sehr schön! Sagt, dass das gar nicht rechtens ist, zitiert das Urteil, verweist auf die Strafprozessordnung. Sehr gut! Weist die Schnarrenberger darauf hin, dass sie mehr Applaus von der Opposition gekriegt hat als von den Regierungsparteien, "ich hoffe Sie haben verstanden, wo in dieser Angelegenheit Ihre Bündnispartner sind".
Jetzt kommt der Binninger von der CDU, da spar ich mir mal die Zusammenfassung. Ih ist der unsympathisch. Beschwert sich, dass der CCC nicht "Bayern" drangeschrieben hat, dann wäre ja die Diskussion ja vielleicht sachlicher gewesen, und im Übrigen war das ja schwere Kriminalität, weil es ja Haftstrafen gab. Ich glaube die CDU hat überhaupt nur die drei Talking Points, durch die die da immer durchrotieren. Jetzt kommt wieder ein "wir brauchen aber die Quellen-TKÜ!1!!" *göbel* Oh die Schmerzen, ich halt's nicht aus! Oh und ihre Inkompetenz in Technikfragen ist gottgegeben, das ist halt so, Technik versteht ja eh keiner mehr, das muss so. Restunsicherheit und so. Wie bei Atomkraft!1!! Lasst uns ein neues Service- und Kompetenzzentrum schaffen! *schenkelklopf*
So, jetzt Hofmann von der SPD. "Die Exekutive hat immer gemauert! Wir hätten [immer noch] keine Erkenntnisse, wenn wir den CCC nicht hätten". Zu den Vorschlägen der CDU: "Ich denke, das sind Sachen, die wir auch vor zwei Jahren schon hätten machen können"
"Die Union ist mit ihren Sicherheitsgesetzen zur Gefahr für Sicherheit und Freiheit geworden". Sehr schön!
"Wenn der Uhl immer von Grauzone redet, dann weiß ich, der mein Rechtsbruch, also sag ich auch Rechtsbruch" :-)
"… nichts anderes gemacht als eine Online-Durchsuchung durch die rechtliche Hintertür." *strike*
[zu Friedrich] "Ich habe den Eindruck, der weiß nicht, wovon er spricht"
"Es ist doch klar, wenn man so eine Quellen-TKÜ nicht umsetzen kann ohne solche Grundrechtsverletzungen, dann kann man sie halt gar nicht machen!"
Der Mann ist mir noch nie aufgefallen, aber die Rede da gerade, die rockt.
"Diese Regierung ist ein Sicherheitsrisiko"
Zur Schnarrenberger: "Wenn Sie diese Rede vor zwei Jahren gehalten hätten und dann auch so gehandelt hätten, dann hätte ich auch geklatscht".
Jetzt kommt Jimmy Schulz von der FDP und grüßt die Zuschauer an den Empfangsgeräten, erwähnt den Begriff "Hashtag". Betont, dass er schon immer davor gewarnt hat, dass der Trojaner mehr können würde, nennt die Nachladefunktion "perfide", erklärt dass man darüber auch andere Dinge als Updates machen kann. Weist darauf hin, dass Trojaner-Erkenntnisse keine Beweiskraft haben. Whoa, spricht von Generalschlüssel und "Man in the Middle Attack". Der ist ja gut gebrieft! :-)
Oh und er weist darauf hin, dass man auch bei Skype direkt abschnorcheln kann. "Wenn so ein Trojanereinsatz nicht grundgesetzkonform gemacht werden kann, wieso tun wir es dann?" Wow! Und jetzt hat er gefordert, generell auf Trojaner zu verzichten! Ich bin beeindruckt! Das ist ja mal eine Überraschung.
Jetzt Edathy von der SPD. Schlägt vor, dass die Bundesregierung miteinander redet, um sich nach außen hin nicht so häufig zu widersprechen. Finde ich gar nicht, das war doch tolles Popcornkino!
Meint, die Interviewerin im Radio sei besser informiert gewesen als der Friedrich. "Ich finde, so einen Verlegenheitsinnenminister hat die Republik nicht verdient." YES!!! Fordert, dass Sicherheit nicht nur gelegentlich mal der Freiheit untergeordnet wird, sondern immer. "Sicherheit kann ich auch in Nordkorea haben". DER ist ja gut drauf heute!
Gelegentlich ist der Ole Schröder noch im Bild, wie er auf der Bank sitzt und twittert. m(
Schade, dass die SPD in der Regierung für die Einführung des Trojaners verantwortlich war. Sonst wäre das jetzt ein echt großartiger Beitrag gewesen.
Huch, jetzt kommt da ein Hinterbänkler (beachtet auch die Sektion "Plagiatsverdacht") von der CDU. Die haben wohl niemanden gefunden, der sich dahinterstellt. Ob das jetzt die CDU-"Netzpolitiker"-Simulation ist? Spricht von "ich habe auf Facebook eine Anfrage gekriegt". Oh Gott ist der gruselig. Da müssen sie aber echt weit nach hinten gegangen sein, bevor jemand den Vorteil durch Selbstdarstellung höher bewertet hat als die Nachteile durch um-Kopf-und-Kragen-reden. "Wir reden von Einzelfällen!" Au weia, wenn das die neue Netzpolitikabteilung der CDU ist, dann stehen die schlechter da als vorher. Der hat gerade ernsthaft dem CCC Strafvereitelung vorgeworfen. Hoffentlich ist der kein Jurist, sonst hat er gerade auch unter Kollegen seinen Ruf ruiniert (hier nochmal von einem Juristen bestätigt).
Jetzt ein Herr Höferlin von der FDP, der mir ja nichts sagt, und der greift erstmal so richtig tief ins Klo mit einem saftigen "also WIR haben ja ZUERST mit dem CCC ein Treffen gemacht". Ooooh wie peinlich. Ansonsten erwähnt er, dass Skype auch ohne Trojaner abgehört werden kann, und schließt mit "Wir werden das gemeinsam mit den Freunden von der Union lösen".
Jetzt noch ein Herr Schuster von der CDU. Verteidigt sich ausdrücklich gegen "Parteien, die sich schon im Bundestag wähnen" (und er meint glaube ich die Piraten, nicht die FDP damit :-] ). Ein sehr undynamischer Redner, klingt wie ein Jurist. *gähn*
Sagt ausdrücklich, dass keiner irgendwelche illegale Software einsetzt, dass das BKA alles dokumentiert, und dass es auch noch keine unabhängigen Prüfungen gibt, die die CCC-Ergebnisse bestätigen. Versucht wieder den Talking Point, dass es ja nur darauf ankommt, auf welche Knöpfe die Polizisten tatsächlich klicken, und nicht was die Software für Funktionen hat. Alles andere sei ein "Misstrauensverdacht" gegen die Polizistinnen und Polizisten!1!! Ich halt's nicht aus. Wo haben sie DEN denn ausgegraben? "Der CCC ist keine institutionelle Referenz in diesem Lande". Will auch ein zentrales Kompetenzzentrum einrichten. Ich begrüße das ja, dass die CDU Kompetenz einführen will. Das hätten sie schon vor 40 Jahren machen sollen. Sein Schlussplädoyer klang für mich nach "Wir haben euch doch alle lieb!"
Update: Uhl hat noch ein Money Quote rausgehauen, das ich aber nicht klar genug verstanden hatte, um es zu zitieren. Aber es gibt ein Video davon:
Das Land wird von Sicherheitsbehörden geleitet, die sehr behutsam mit dem sensiblen Instrument der Quellen-TKÜ umgeht, und so soll es auch sein.
Es wäre schlimm, wenn unser Land am Schluss regiert werden würde von Piraten und Chaoten aus dem Computerclub.
Es wird regiert von Sicherheitsbeamten, die dem Recht und dem Gesetz verpflichtet sind.
Na wenn das so ist, Herr Uhl.
Eine Frage war, wenn sie den Quellcode nicht haben, woher sie dann wissen können, dass sie keine Gesetze verletzt haben. Antwort: Naja, der CCC hat ja den Quellcode auch nicht und kann das trotzdem. *Konfetti*
Und Ströbele zitiert den Geheimdienstkoordinator, der von Nachrichtenagenturen zitiert wurde, dass die Dienste Trojaner mit zu viel Funktionen an die Behörden weitergegeben hätten. Das, so die Antwort, sei nicht der Fall.
Eine Frage nach den Screenshots wird so beantwortet, dass die Polizei sich da nach dem Richter richtet. Mit anderen Worten: nicht wir sind Schuld, die Richter sind Schuld. Vielleicht hilft das ja doch mal, um in den Richtern die Erkenntnis reifen zu lassen, dass sie vielleicht mehr tun sollten als bloß alle Anträge zu unterschreiben.
Noch eine großartige Frage: die Richter unterschreiben ja bloß die Anträge der Staatsanwaltschaften, und das hieße ja, dass die Staatsanwaltschaften die illegalen Funktionen angefragt hätten, nicht die Richter sie aus blauem Himmel heraus das verfügen. Die Antwort war irgendein belangloser Ausweich-Blah.
Nächste Ansage: sie haben die Software selbst überprüft, um den Anforderungen zu genügen.
Oh yes, jetzt sagen sie gerade an, dass die Behörden selbstverständlich volle Kontrolle hatten über die Software und das auch revisionssicher protokolliert haben. Ich glaube für uns alle zu sprechen, wenn ich sage, dass wir sehen wollen :-)
Jetzt kommt eine Frage zu Rechtshilfeersuchen anderer Länder unter Erwähnung der Schweiz. "Kann ich Ihnen nicht sagen".
"Wie bewerten Sie denn die Aussage eines Kollegen von Ihnen im Rechtsausschuss, dass man das ohne Quellcode gar nicht sagen kann?" "Im Gegensatz zu Ihnen war ich beim Innenausschuss dabei und da ist das nicht gefragt worden." *schenkelklopf* "Ich muss darauf beharren, dass genau das ein Kollege Ihres Hauses im Rechtsausschuss gesagt hat" (sagt ein anderer) POPCORN!!! Und der legt gleich nochmal nach, dass der CCC ja selber gesagt hat, dass er die Analyse überhaupt nur machen konnte, weil der so miserabel programmiert worden war. Die Stammel-Antwort hat wieder was mit revisionssicherer Dokumentation zu tun. Was für ein Blutbad. Ganz großes Tennis!
"Ich muss nochmal nachfragen: Die Bundesregierung hält es nicht für nötig, den Quellcode für diese Software zu haben?" Antwort wieder Blah mit Revisionsfester Dokumentation. Im Grunde kann man sich die Antworten auch sparen und muss nur die Fragen anhören. :-)
Jetzt weist der Schröder darauf hin, dass sie ja geguckt hätten, ob ihre Version auch die vom CCC angeprangerten Lücken habe, und das sei nicht so. Ich glaub kein Wort. Oh und jetzt zählt er auf, was sie geguckt haben, und zwar haben sie nach Code für die Kamera-Funktion gesucht. Der Punkt des CCC war, dass man diese Funktion über die Nachlade-Funktion nachladen kann. Sie hätten wenigstens mal vorher lesen können.
Auf die Frage nach der Rechtsauffassung der Bundesbehörden zum Thema Screenshots kommt, dass sie das nie beantragt hätten.
Jetzt fragt ein Informatiker der SPD (nein, wirklich!), wie die denn ohne Quellcodeeinsicht ausschließen können, dass da weitere Funktionen drin sind. Antwort: "Das hat das BKA im Versuchslabor geguckt.
Ich frage mich ja, was dieser Dr Ole Schröder getan hat, damit sie ihn da jetzt alleine mit der Arschkarte in der Hand hingestellt haben. Fremdschämen++
Auf die Frage, warum sie denn nicht nur selbstgeschrieben Software einsetzen, kommt die Antwort, dass sie das ja bei der Online-Durchsuchung so halten, aber da gäbe es ja immer noch "haltlose Anschuldigungen".
Oh hier noch ein Highlight: Angesprochen auf Exporte von Überwachungstechnologie an Drittstaaten sagt der Schröder, diese Firmen würden ja alle vom Wirtschaftsministerium sicherheitsgeprüft, damit das keine Gefahr darstellt. Au weia, der ist ja nicht mal rudimentär gebrieft worden!
Auf nochmalige Nachfrage kommt dann die Ansage, dass sie ja auch nicht ausschließen können, dass nicht mehr geliefert wird als bestellt wurde. Und im Übrigen war die Anschaffung von Digitask-Software ja vor seiner Amtszeit.
Oh jetzt geben sie zu, den Brandenburgern in Amtshilfe "technische Unterstützung" der Zollbehörden gegeben zu haben, konkret haben sie nichts angeschafft sondern denen einen Trojaner ausgeliehen / gegeben.
Es ist auffällig, wie leer das da ist, trotz so eines Hammerthemas. Die fragen zwar alle fleißig nach und wadenbeißen schön, aber irgendwie hätte ich doch gedacht, dass sich da ein paar mehr Abgeordnete Zeit für nehmen.
Jetzt erzählt der Typ gerade, man könne den Trojaner nicht einfach so um weitere Module "aufladen", denn da brauche man ja Authentifizierung für (eine dreiste Lüge). Aber für Updates müssen Updates eingespielt werden, wenn z.B. Skype geupdated wird (das ist auch eine dreiste Lüge), und im Übrigen sei das ja auch deshalb um dem Bundesverfassungsgericht zu genügen, denn die hätten ja gesagt, so eine Maßnahme müsse am Stück stattfinden (das ist m.W. auch eine dreiste Lüge).
Jetzt fragt Ströbele, ob der BND mal fiese Trojaner im Ausland eingesetzt hat. Ja, das schließt er aus. Ich glaube kein Wort. Mal sehen, was im Protokoll steht.
HAHAHAHA der Informatik nochmal: wenn Sie das ohne Quellcode ausschließen konnten, haben Sie Zugriff auf bisher der Computerwissenschaft nicht bekannte Verfahren. Teilen Sie die bitte auch mit den Unis? *gacker*
Oh und jetzt fragt endlich jemand, warum sie eigentlich Skype nicht ohne Trojaner abhören wie andere Länder. Antwort: "Selbstverständlich haben wir das geprüft. Die Aussage, dass das auch ohne Quellen-TKÜ geht, ist schlicht falsch". Der redet sich um Kopf und Kragen.
Jetzt fragt einer, ob sie in Zukunft auch noch bei Digitask kaufen wollen. Und was das für die Arbeit der Behörden heißt, wenn sie nicht auf eine brauchbare Software verfügen. Antwort: wir prüfen das.
NEIN! Jetzt sagt er gerade an, dass sie keine Aussage treffen können über den vom CCC geprüften Trojaner, weil sie keine Erkenntnisse über die Software haben. Komisch, eben konnten sie noch ohne Quellcode Aussagen treffen. Das ist ja zum Brüllen komisch! Da zahlt man doch gerne Steuern, wenn man da so viel Unterhaltung für geboten kriegt.
"Die Bundesregierung ist der Meinung, dass wir eine klare rechtliche Grundlage [für die Quellen-TKÜ] haben, die vom Verfassungsgericht noch konkretisiert wurde."
"Mit dem Bundesjustizministerium sind wir ständig in guten Gesprächen." *harrharrharr*
Jetzt kommt der Edathy und wadenbeißt herum, ob die Bundesregierung das wie Bayern sieht, dass das ja eine Meinung des LG gäbe und eine Meinung der Regierung, oder ob man die Ansage des Verfassungsgerichtes als verbindlich ansieht. Antwort: "wir machen keine Screenshots, also erübrigt sich die Frage."
Die Grünen haben heute Boden gutgemacht mit ihren Fragen, finde ich.
Schönes Jerzy Montag-Zitat: "Das war ja eine sehr interessante Antwort, aber leider nicht die auf meine Frage" :-)
Schönes Oppermann-Zitat: "Es ist ja schonmal ein Fortschritt, dass die Bundesregierung die Entscheidungen der Gerichte respektiert."
Es kommt wiederholt die Ansage, dass das Justizministerium den Einsatz von Trojanern verbietet, und daher das Behörden die Ergebnisse ihrer Trojaner-Erkenntnisse immer erst so spät wie möglich an die Bundesanwälte weiterleiten, weil sie dann immer den Trojanereinsatz abbrechen müssen. Das muss intern alles großartiges Popcornkino sein bei denen.
Oh sehr schön, jetzt argumentiert der Beck gerade, dass Internet-Telefonie ja eigentlich einen höheren Schutzwert haben sollte als normale Telefonie, weil man da ja auch Kameras benutzt und Videos überträgt.
Der PSts von Schäuble sagt gerade an, dass das Zollkriminalamt die Funktion des Trojaners nicht ändern kann. Die Antwort war vorgelesen, insofern nahm ich erstmal nicht an, dass der sich verplappert hat, aber danach hat er repressiv als repräsentativ vorgelesen, insofern war das vielleicht doch verplappert. "Digitask ist aus unserer Sicht ein marktführendes […] Unternehmen", sie setzen noch heute deren Software ein sagte er gerade. Woher sie wissen, dass die Software nur genau das kann, was sie bestellt haben, konnte er auch nicht wirklich beantworten. Und laut Jerzy Montag haben die auch schon angegeben, dass sie keinen Quellcode gekriegt haben. Oh und auf die Frage, wieso sie bei Digitask einkaufen, nach dem Korruptionsdingens da damals, meint er, das sei ja ein völlig anderes Unternehmen, Digitask sei ja eine Neugründung. Ich hatte das so in Erinnerung, dass das damals der CEO war. Der Zoll sagt jetzt an, dass der ausgeschieden sei und rechtlich nichts mehr zu tun hatte. Komisch, ich dachte der ist da auch jetzt wieder CEO. Jedenfalls findet der Zoll die Firma Digitask vertrauenswürdig genug, um ihnen den Funktionsumfang der Software schlicht zu glauben. Die seien ja auch sicherheitsgeprüft und so.
Oh und jetzt geht es um den Trojaner in Bayern, der wieland fragt. Der Zoll dementiert, dass das ihr Trojaner war. Den hat das LKA Bayern installiert, der Zoll war kaum, also im Grunde so gut wie gar nicht (!!1!) beteiligt. Auf die Frage, ob man jetzt nach Flughafen-Zollkontrollen immer sein Laptop nach Trojanern scannen muss, meint er dann, er sei ja nicht persönlich dabei gewesen m(
Der Zoll hat keine Erkenntnisse, dass bei Zollkontrollen am Flughafen Trojaner von LKAs installiert worden seien (außer dem einen offensichtlich?). Das Zollkriminalamt hat aber in 16 eigenen Ermittlungen Trojaner beantragt und es gab 19 Einsätze.
Ströbele will noch wissen, wo er als Bundestagsabgeordneter nachgucken muss nach Flughafen-Kontrollen, damit er weiß, dass da kein Trojaner installiert wurde. Der Zoll weicht aus und verweist darauf, dass das jeweilige LKA das ja nur nach richterlichem Beschluss machen darf.
Oh übrigens, dieser Ole Schröder ist der Ehemann von Kristina "Andere schwärmten für Pferde, ich für Kohl" Köhler (jetzt Schröder).
Einer meint, die Piraten leben das ja seit Jahren, was der Altmaier jetzt schreibt.
KEINE SAU INTERESSIERT WAS IHR LEBT. Es geht um die Zukunft, nicht eure Vergangenheit! Eure Vergangenheit interessiert nur Leute, die euch eh schon gewählt haben.
Ein anderer meint, die Piraten hättem dem Altmaier erst Twitter gezeigt. ES GEHT DOCH NICHT UM TWITTER! Es geht darum, ein Thema zu besetzen, klare Ansagen zu machen, und dabei die Leute mitzunehmen. Mit ein paar Sätzen zu zeigen, dass man verstanden hat. Genau niemand interessiert sich für "haben wir ja schon immer gesagt". Jaja, ihr habt schon Bluescreens gehabt, als Altmaier noch Fax benutzte. Ist noch nicht bei euch angekommen, dass Hipster-Gehabe unsympathisch und unbeliebt ist? Keiner will das hören!
Ich als Wähler will Entwicklung sehen, nicht Rechthaberei. Keine Sau will hören, was ihr alles schon immer gesagt habt. Die Leute wollen sehen, dass ihr euch Gedanken gemacht habt. Habt ihr aber nicht.
Dass ihr reflektiert habt. Habt ihr aber nicht.
Die Leute wollen sehen, dass ihr euch überlegt habt, wie es jetzt weitergehen soll. Habt ihr aber nicht.
Der Altmaier hat euch gerade mit einer geradezu bestürzenden Leichtigkeit ausmanövriert. Wir reden hier schließlich von den Konservativen, die sonst nichtmal eine Autobahnbrücke ausmanövrieren können.
Aber hey, ist ja eh zuende mit den Piraten: Die ach so transparenten Piraten haben einen bekannten Troll wegen zu großer Transparenz von ihrer Pressemailingliste geworfen. Großartige Zersetzungsmaßnahme. Da kann es nur Gewinner geben. Dieser Troll hat eins aufs Maul gekriegt, das ist aus meiner Sicht ein klarer Sieg, und die Piraten haben gezeigt, wie ernst man ihr Transparenzgefasel nehmen kann, das ist auch ein klarer Sieg. Das hätte die Zersetzungsabteilung eines Geheimdienstes nicht besser orchestrieren können.
Update: "Dem Fefe kann man es halt nicht recht machen". OHHHH DIE SCHMERZEN.
Update: Das "DU DEPP" zieh ich zurück und bitte um Entschuldigung. Das hilft der Diskussion nicht weiter.
Eine saftigere Einladung, die Strafprozessordnung und die Praxis der leichtfertigen Anordnung von Hausdurchsuchungen und Beschlagnahmen mal grundsätzlich zu thematisieren kann man doch gar nicht geschenkt bekommen. Elfmeter versaut, während der Torwart sich beidhändig in der Nase popelte.
Und nun habt ihr gerade so eine fette Steilvorlage wie den zerlegten und enttarnten Staatstrojaner, und dann vermasselt ihr die auch noch? Da gibt euch die FAZ auch noch die Gelegenheit, mal richtig auf die Kacke zu hauen. Die nutzt man dann doch nicht für so Nullaussagen wie:
Es ist natürlich ein starkes Stück. Aber mit markigen Statements wäre der Sache nicht gedient. Man muss erst einmal die sachlichen Hintergründe aufklären: Von wem wurde der Trojaner wie und wofür eingesetzt? Hier müssen die parlamentarischen Kontrollen greifen.Jemand zu Hause, McFly? Ich dachte, ihr wolltet die anderen Parteien bei den digitalen Themen vor euch hertreiben? Was glaubt ihr denn, wofür ihr in Berlin gewählt wurdet? Zack, Zack, Kleine Anfrage in den Länderparlamenten organisieren! Wenn das BKA leugnet, wollen wir das für alle LKAs und das Zollkriminalamt auch einmal hören. Bei Larifari-Dementis festbeissen und nachhaken. Der CCC kann fundierte technische Grundlagen bieten, fürs Institutionenwadenbeißen sind doch gerade die Piraten angetreten. Los jetzt, Zwangstranzparenz durchsetzen. Für Geschwurbel wie
Wir werden versuchen, für den nächsten Bundesparteitag Methoden vorzuschlagen, wie man Kontrollinstanzen für das BKA aufbauen könnte. Ob wir das bis dahin schaffen, wird sich zeigen.brauchen wir keine Piraten, solche Politdarsteller-Wortblasen kriegen wir auch bei den anderen Parteien. Eure Führungsriege wirkt im Moment so weichgespült, dass man sie auch für Junge Union oder Jungliberale halten könnte, wenn man gerade nur den Ton an hat.
Wenn ich sowas lese wie
Ich glaube auch nicht, dass sich das in Wahlergebnissen für die Partei niederschlagen wird.dann komme ich aus dem Fazialpalmieren gar nicht heraus. WTF? Schlaft ihr da am Steuer? Die Piraten sind die erste Assoziation, die das Volk da draußen hat, wenn sie von Bundestrojaner und Mißbrauch hören! Zack, zack, Vorlagen, Gesetzentwürfe zum Umsetzen der Vorgaben des BVerfG zur digitalen Intimsphäre in Gesetzescode. Und dann in alle Parlamente einbringen, in denen ihr hockt. Worauf wartet ihr? Dass die NPD das tut?
Boah und dann Formulierungen wie diese hier:
Man muss sehen, inwieweit die Leute durch den Vorfall sensibilisiert werden und nicht einfach einen untragbaren Zustand hinnehmen, weil sie ihn nicht richtig einschätzen können. Die Frage ist, ob man die Sache zum Anlass einer politischen Entscheidung macht.Man muss sehen, ob die Leute sensibilisiert werden?! Habt ihr mal bei Twitter geguckt? Weia. Im CCC in Berlin standen sich die Kamerateams gegenseitig auf den Füssen, im Twitter sind Trojaner-Stichworte pausenlos oben, alle Zeitungen berichten, Platz 2 in der 20-Uhr-Tageschau, Innenminister Friedrich flüchtet nach Afghanistan und ihr fragt euch, ob "die Leute durch den Vorfall sensibilisiert werden"?? Soviel Weltfremde kennt man sonst nur von FDP-Wirtschaftsexperten!
Das ist gerade die Gelegenheit, mal so richtig auf die Kacke zu hauen, radikale Dinge zu fordern, und die etablierten Parteien mit heruntergelassenen Hosen vor euch herzutreiben. Außer faden Parolen und Allgemeinplätzen haben die gerade alle nichts zu bieten, die sind noch im Empörungsheuchelmodus. Es wäre an euch gewesen, da jetzt den Rahmen der Diskussion abzustecken. Tja, verkackt. Wenn ihr so weitermacht, überholt euch noch die Tierschutzpartei mit politischer Professionalität.
Ach ja, und wenn ich das hier lese:
LAUER: Wir sind nicht für den Wilden Westen im Internet.dann höre ich Hinterkopf "das Internet darf kein rechtsfreier Raum sein". Was soll das werden, die Blümchenweichspülervariante? Leute, Leute, Leute.
Mein Eindruck ist, dass euer Vorstand gerade gemerkt hat, dass die Transparenzforderungen ja auch für sie gelten, und dann machen sie aus Angst, bei einem Fehler beobachtet zu werden, lieber gar nichts. Wenn wir Stagnation wollten, würden wir FDP wählen.
In diesem Sinne. Kriegt mal euren Arsch hoch. Jetzt.
An erster Stelle Julian, der hat dem Guardian die Cables mit gnupg verschlüsselt gegeben, indem er sie auf den öffentlichen wikileaks.org-Server hochlud, unter einem "geheimen" (nicht verlinkten) Pfad. Und dann hat er vergessen, diese Datei wieder zu löschen, als der Guardian sich die gezogen hatte.
Der Schutz dieser Daten bestand a) aus dem Passwort und b) daraus, dass der Pfad "geheim" und nicht verlinkt war.
Später haben dann die Daten die Runde gemacht, weil es auch einen Torrent mit den Daten vom Webserver gab. Und da gehörten eben auch diese verschlüsselten Dateien dazu. Die hießen sowas wie "/xyz/z.gpg".
Wikileaks hatte Regeln für den Umgang mit der Presse. U.a. stand da drin, dass es nicht ein Master-Passwort gibt, sondern eines pro Medienpartner. Dagegen hat Julian in diesem Fall verstoßen.
Die nächste Figur ist David Leigh, ein Guardian-Reporter. Der hat damals von Julian die Daten und die Passphrase gekriegt. David Leigh schreibt daraufhin ein "Enthüllungsbuch" und wählt die Passphrase als Überschrift für das Kapitel 11. Der Kontext in dem Buch zeigt, dass er nicht annahm, dass die Passphrase noch gültig ist bzw noch irgendwas öffnen würde.
Die dritte Figur ist Daniel, der die Passphrase wiedererkannt und dann offenbar Medienpartnern erzählt hat, dass man damit die unredigierten Cables öffnen kann. Auf ihm lastete die Beweislast für seine Ansage, dass Wikileaks ja keinen ordentlichen Quellenschutz garantieren könne. Und die Medien machten ihm Druck deswegen. Wann er da wem was gesagt hat, das kann ich von außen auch nur spekulieren, aber dass der Freitag (Daniels Openleaks-Medienpartner) plötzlich aus blauem Himmel in der Lage ist, da die Puzzlestücke zusammenzusetzen, und diesen katastrophalen Dammbruch-Artikel zu veröffentlichen, das halte ich für keinen Zufall. Dort beschreiben sie, dass es eine Datei im Internet gibt, dass es ein Assange-Passwort im Internet gibt, und dass man mit dem Passwort die Datei entschlüsseln kann. Damit war dann auch dem letzten Idioten klar, dass er nach "wikileaks torrent" und nach "assange password" googeln muss und dann die Passphrase auf alle Dateien im Torrent ausprobieren muss und dann fallen da die Cables raus.
Das Problem ist, dass man da beim Schuldzuweisen Interpretationsspielraum hat, und Stellen, an denen Aussage gegen Aussage steht.
Julian wirft dem Leigh vor, dass er die Passphrase veröffentlicht hat. Der sagt nun, Julian habe ihm damals angesagt, dass die Passphrase nur temporär und danach wertlos sei. In seinem Buch ergibt sich tatsächlich nicht der Eindruck, dass ihm bewusst war, dass die Passphrase noch irgendwas öffnen kann. Aber dass die nur temporär war, schreibt er halt auch nicht explizit. Insofern könnte das eine Schutzbehauptung sein. Ich kenne den Leigh nicht, aber würde da im Zweifelsfall auf Verpeilen tippen, nicht Bösartigkeit. Bei mir hat der jetzt verkackt, weil er eine Passphrase veröffentlicht hat. Sowas tut man niemals nie nicht unter gar keinen Umständen, schon gar nicht wenn die von jemand anderem ist.
Auf der anderen Seite muss Julian im Umgang mit Journalisten soweit Erfahrung haben, dass er davon ausgeht, dass Journalisten im Umgang mit Technik inkompetent sind und für eine gute Schlagzeile auch gerne mal Zusagen ignorieren. Dass er da keine Temp-Passphrase genommen hat, und die Datei auf dem Webserver gelassen hat, das hat er verkackt und kann das auch niemandem sonst anlasten.
Oh übrigens, falls ihr euch gefragt habt, wieso Julian eigentlich überhaupt von Daniel ein Backup der Daten brauchte und nicht selber eines hatte: die Antwort steht in dem Spiegel-Wikileaks-Buch ab Seite 267. Julian flog mit der SAS von Schweden nach Berlin und hatte einen Koffer aufgegeben. In dem Koffer waren seine drei Laptops. Mit den verschlüsselten Daten. Überraschenderweise kam der Koffer nicht an. Also DAMIT konnte ja wohl NIEMAND rechnen!1!!
Wer hat jetzt also Schuld? Daniel? Dem kann man bisher wenig anlasten in der Richtung, zumindest in den Teilen, mit denen er sich tatsächlich zitieren ließ. Meine Vermutung ist ja, dass der von seinen Kumpels beim Freitag gesäckelt wurde, wie denn das jetzt ist mit Wikileaks und dem Quellenschutz, weil Julian ja immer wieder darauf hinwies, dass da ja nie jemand zu Schaden gekommen sei. Und da hat Daniel dann, vermute ich mal, sich mit denen hingesetzt und denen gezeigt, wie man mit dem Passwort aus dem Guardian-Buch und den Dateien aus dem Torrent und gnupg die unredigierten Cables aus dem Hut zaubert.
Ich schätze Daniel übrigens nicht als Marodeur ein. Der wird denen das gesagt haben, damit sie eine Antwort haben, nicht damit sie es publizieren. Aber so ist das halt bei der Presse. Auf "off-the-record" kann man sich da nicht verlassen. Manchen Medien ist da die schnelle Schlagzeile wichtiger als Absprachen oder Menschenleben. Immerhin ist es mir eine Genugtuung, dass der Freitag sich damit auch alle zukünftigen Chancen zerschossen hat, dass ihnen jemals jemand was leaken will. Der Vollständigkeit halber sei erwähnt, dass ich von mehreren Seiten die gegenteilige Einschätzung gehört habe, dass die Fragen so klingen, als habe Daniel sie dem Freitag diktiert und überhaupt sei das eine Agenda von Daniel gewesen, um Wikileaks anzupinkeln. Kann ich nicht beurteilen, ist Hörensagen, im Zweifelsfall für den Angeklagten.
Objektiv liegt die Hauptschuld hier bei der Presse, in Form von Leigh vom Guardian und Krafft vom Freitag, die die wichtigen Details veröffentlicht haben. Das Veröffentlichen einer verschlüsselten Datei ist kein Grund für Kritik, denn dafür ist sie ja verschlüsselt, damit man sie veröffentlichen kann.
Ebenso objektiv liegt die Hauptschuld aber dann doch bei Julian und Daniel. Julian, weil er hätte wissen müssen, wie man Presse handled, weil seine OpSec Scheiße ist, weil er die Datei da hat liegen lassen, und weil er die Passphrase wiederbenutzt hat. Hätte Julian sich an die OpSec-Regeln von Wikileaks gehalten, hätte die Datei für den Guardian eine eigene Passphrase gekriegt, Leigh hätte sie abdrucken können, Daniel hätte sie nicht wiedererkannt, und all die Scheiße jetzt wäre uns erspart geblieben. Daniel, weil er das nicht hätte rausplappern müssen. Dadurch hat er das große Fass erst aufgemacht. Ja, das Fass hatte vorher schon ein Leck. Aber das erteilt ihm keine Absolution.
Man sieht aber ganz gut, wie sich da aus lauter kleineren Fehlern eine Scheiße-Lawine ergab, in denen die Leute die Lage mit Folgefehlern nur schlimmer gemacht haben, aus dem Bedürfnis heraus, ihren Hintern bezüglich der früheren Fehler abzudecken.
Soweit zu meiner Bewertung der Lage. Dementis von Leigh, Krafft, Julian oder Daniel nehme ich unter der bekannten Adresse gerne entgegen :-)
Update: Ich muss mich korrigieren. Ich schrieb, wenn das ein Einmal-Passwort gewesen wäre, dann hätte Leigh das veröffentlichen können. Hätte er natürlich trotzdem nicht, weil ein Geheimdienst, der das mitgeschnitten hat, dann auch die Cables entschlüsseln könnte. Das war so gemeint, dass Daniel dann die Passphrase nicht wiedererkannt hätte. Das wäre immer noch lausige OpSec gewesen, aber der Shitstorm wäre uns erspart geblieben.
Bitcoin hat ja von Anfang an den schlechten Geruch gehabt, ein Verfahren zur Umwandlung von Umweltverschmutzung und Energieverschwendung zu wertlosen Zahlenkolonnen zu sein, aber wenigstens haben die Leute die Energieverschwendung selber bezahlt. Das jetzt wildfremden Internetbenutzern aufzudrücken, das ist ja wohl an Frechheit kaum zu überbieten.
Der Code ist über das Web einbindbar, die Domain ist bitp.it. Websperren bringen hier natürlich nichts, die Skripte kann man sich ja auch kopieren als Webseitenbetreiber. Wenn jedenfalls bei eurem Mobiltelefon oder Laptop vorzeitig der Akku alle ist, nur weil ihr z.B. diesen Symbol-nach-LaTeX benutzt habt, dann wisst ihr ab jetzt, dass es Bitcoin war.
Schlimm genug, wie wir Menschen uns gegenseitig Werbung antun. Jetzt auch noch parasitäre Umweltverschmutzung und Batterieentleerung?! Und die Armleuchter in den Foren debattieren schon, wie sie vermeiden können, von Antivirus-Snakeoil als Malware klassifiziert zu werden. Man kann gar nicht so viel fressen, wie man kotzen möchte. (Danke, Giuliano)
Ich bin ja fast zu vermuten geneigt, dass die Reedereien das für umfangreiche Ausmusterungsaktionen und Versicherungsbetrug genutzt haben mit den Piraten. Ich hatte das Thema ja bereits angesprochen hier. Wenn ich ein (skrupelloser, krimineller) Reeder wäre, würde ich da meine ganzen beschissenen Ranzschiffe an den Piraten vorbeischippern lassen, mit Leiharbeiter-Mietbesatzung, bis die gekapert werden. Dann die Piraten auf den Rostkähnen sitzen lassen, hier bei der Versicherung abkassieren, und sich davon ein neues Schiff kaufen. (Danke, Mathias)
Der Mann hat die Herausforderung ausgesprochen professionell angenommen und auch tatsächlich überraschend gut gemeistert. Ich hatte mich ja schon auf eine Art Trinkspiel gefreut, für die ganzen abgedroschenen Argumente ala "das gefährdet Menschenleben" und so weiter, wir haben die Talking Points ja schon alle gehört. Aber Frank hat das Argument mit den Menschenleben schon zerhauen, bevor der arme Kerl das überhaupt aussprechen konnte, und so musste er sich darauf beschränken, die Karriere dieses FDP-Maulwurfes als Beispiel dafür heranzuziehen, dass Namennennen in solchen Leaks ja negative Auswirkungen haben kann.
Im Übrigen vertrat er dann so Positionen wie dass die Cables ja gezeigt hätten, dass die Amis tatsächlich hauptsächlich ihren Idealen entsprechend überall Menschenrechte und Demokratie hinbringen wollten. Das wollte das Publikum nicht gänzlich ohne murren schlucken und es wurden dann der Urheberrechts-Druck auf Spanien und die Waffenlieferungen an den Südsudan erwähnt. Oops.
Das Gespräch kam dann noch auf Bradley Manning (erstaunlicherweise die ganze Zeit, ohne den Namen zu nennen), und er meinte dann, das müsse man schon verfolgen, weil die USA seien ja ein Rechtsstaat und da gibt es Gesetze und das war ganz klar gegen die Gesetze, also müsse man das auch verfolgen. Und er persönlich fände das ja auch falsch, weil bei den Pentagon-Papers, da sei es ja um das Aufdecken von Missetaten der Regierung gegangen, das fände er ja in Ordnung, aber bei den Depeschen jetzt, das seien ja bloß interne Papiere ohne echten Aufklärungswert gewesen, das hätte niemandem genutzt, nur Schaden angerichtet. Und daraufhin brachte er eine absolut großartige Strategie, deren ganze Brillanz mir erst später klar wurde. Er fragte das Publikum, ob denn irgendjemand hier von dem Inhalt einer Depesche wirklich schockiert worden sei.
Wow. Brillianter Schachzug. Das kann ja keiner zugeben, ohne gleichzeitig einzuräumen, vorher nicht gut informiert gewesen zu sein. Also: entweder vorher nicht Teil der Elite gewesen zu sein, die sich ordentlich informiert, oder die solche Dinge eben weiß, oder zu doof, selbständig die richtigen Nachrichten zu konsumieren.
Die Strategie ging aber nicht auf, denn es fanden sich tatsächlich zwei-drei Kandidaten aus dem Publikum, die da Dinge zu kritisieren fanden. U.a. die Urheberrechte in Spanien, dann die Waffen in den Südsudan, das sei ja immerhin eine Krisenregion, und das dritte Beispiel hab ich vergessen. Da war aber glaube ich noch eines. Ist ja auch egal.
Jedenfalls blieb am Ende von der offiziellen US-Argumentationslinie nur noch die Fundamental-Variante übrig. Man müsse diesen Leaker verfolgen, weil es dagegen halt Gesetze gäbe. Den fundamentalen Unterschied zwischen Wikileaks und der New York Times konnte er dann auch nicht in Worte fassen und versuchte es erst damit, dass Wikileaks ja nicht einzelne Dokumente veröffentlichen würde, sondern so stapelweise, wie ein "Großhändler" (wholesale ist ein idiom an der Stelle in der englischen Sprache). Der Versuch, Wikileaks zu unterstellen, dass sie ja nicht ordentlich bereinigt haben, hat Frank ihm mit dem Hinweis zerlegt, dass ja bei den Depeschen die Medienpartner (!) und nicht Wikileaks die Namen rausgenommen hätten. Daraufhin ging das Argument natürlich nicht mehr.
Ich war zwar nur Zuschauer, aber habe am Ende noch die Gelegenheit zu einer Frage gehabt, und habe mir überlegt, die fieseste Frage wäre, wenn ich sie frage, wieso sie Wikileaks nicht sportlich nehmen, weil das doch eigentlich genau ihren Idealen von Free Speech, Pressefreiheit und Transparenz entspräche, und wir uns doch alle über ein paar saftige Leaks aus China und dem Iran freuen würden. Daraufhin kam er um die explizite Ansage nicht herum, dass sie ja aus fundamentalen Gründen gegen Wikileaks seien, nicht nur weil sie jetzt betroffen sind. Und das ist natürlich eine recht steile These, wenn man bedenkt, wie viele Jahre Wikileaks jetzt schon Dinge leakt, ohne dass die USA dagegen vorgegangen sind.
Unter dem Strich muß ich aber wirklich sagen: wow, das war ein Profi. Der wusste, was er da tat, und hat es beeindruckend gut gemacht. Ich habe es mir auch nicht nehmen lassen, ihm am Ende noch die Hand zu schütteln und zu gratulieren, wie gut er diese schwierige Position vertreten hat. Woraufhin er natürlich antworten musste, so schwierig sei die Position ja gar nicht. Hat Spaß gemacht, muß ich wirklich sagen. Wenn ich mal in die Verlegenheit komme, einen geplatzten Atomreaktor oder sowas der Presse zu erklären, das wäre ohne Frage der Mann, den ich dafür einstellen würde. Ich hab da übrigens gerade mal seinen Lebenslauf gegoogelt:
Mr. Moss has a Bachelors of Arts in English literature from Loyola University, New Orleans; a Master of Fine Arts in Fiction Writing from the Iowa Writers' Workshop and a J.D. from Tulane University.Das ist ja auch mal ausgesprochen cool als Hintergrund für einen Diplomaten. Hut ab!Zwei Dinge will ich noch explizit erwähnen. Frank meinte an der einen Stelle, die USA seien ja nach 9/11 von ihrem Weg der Freiheit abgekommen und brauchten vielleicht etwas wie Wikileaks als Korrektiv. Da sind ihm kurzzeitig ein wenig die Gesichtszüge entgleist :-)
Und die andere Sache war, dass Frank explizit das Problem mit der Beschlagnahme von Elektronik an der Grenze ansprach, und dass da ja wild Wikileaks-Sympathisanten von ihren Geräten getrennt würden, und das sei ja besorgniserregend. Da war die beste Strategie dann, gar nicht darauf einzugehen. Nicht mal ein Medienprofi wie der Moss hat Argumente, um das Gebaren der TSA zu entschuldigen. Wow.
Oh und ein Money Quote hab ich noch. "Die größten Verbrechen der Bush-Regierung, also Untaten, wenn Sie das so nennen wollen, kamen durch den Freedom of Information Act heraus, nicht durch Leaks". Das fand ich ausgesprochen krass, dass ein offizieller US-Botschafts-Presseattaché von den "größten Verbrechen der Bush-Regierung" spricht.
Im Übrigen will ich den nicht in Schwierigkeiten bringen, dessen Job ist schon hart genug. Insofern betrachtet mal alle Aussagen hier als nicht belastbare Anekdoten und Hörensagen.
An der Geschichte stinken einige Details. Erstens: Quelle ist der Telegraph. Die linken zwar auf die Depesche, aber der Link funktioniert gerade nicht. Zweitens waren es ja die Russen, die START unterzeichnet haben wollten, und die Amis haben ewig gebraucht, weil die Republikaner die Nichtunterzeichnung als Druckmittel gegen Obama benutzt haben. Wieso würden die Amis jetzt den Russen Zugeständnisse machen? Und dann auch noch über die Geheimdaten der Briten?
Ich glaube das erstmal nicht. Aber hey, ist eine lustige Geschichte, und das hier ist ein Verschwörungsblog. In dem Sinne: Popcorn!
Hier wird mit rechtswidrig, kriminell erworbenen Daten Kasse gemacht. Darum geht es.Aha. Soso. Kasse? Wer macht denn da Kasse? Oh, der Spiegel? Ja, das stimmt natürlich. Gleich zumachen, den Laden. Frechheit! Auf Kosten unseres Außenministers!
Ich bin mir sicher, die Unzufriedenheit hat nichts, aber auch GAR nichts damit zu tun, dass Westerwelle in den Memos als inkompetente Pfeife entlarvt wird. Das hätte er genau so gesehen, wenn sie ihn gelobt hätten!1!!
Oh und wo wir gerade bei unzufriedenen Journalisten waren: auch die Süddeutsche in Form von Leyendecker ist unzufrieden [mp3] und natürlich die Zeit auch. Aber eines ist ja wohl klar: mit Neid und Missgunst hat das NICHTS, aber auch GAR NICHTS zu tun!1!! Die wären genauso aufgebracht, wenn man statt des ehemaligen Nachrichtenmagazins sie hätte mitleaken lassen!!1!
Es gerüchtet übrigens, dass Washington Post und New York Times sich um den Leak bemüht hätten, aber keine Daten gekriegt haben, weil sie über Julian Assange nicht als Helden sondern kritisch berichtet haben. Ich fürchte fast, dass ich das Gerücht soweit als glaubwürdig einschätzen muss.
Update: Boah dieser Leyendecker… ich hoffe mal, dass die da einem Stimmenimitator aufgesessen sind. Der redet sich da im Kopf und Kragen. Er vergleicht Wikileaks mit Massenvernichtungswaffen und bringt dann so Höhepunkte wie
Die stellen unkommentiert Material rein und jeder kann sich ein Bild machen
Äh, ja, … genau! Das ist die Idee! Wieso ist das jetzt furchtbar? Weil die Leute nicht mehr die Süddeutsche kaufen müssen, um eine Meinung vorgesetzt zu kriegen? Mann Mann Mann.
wie eine Regierung dann zu Einschätzungen kommt und danach ihre Politik richtet, das muss ich nicht immer im Detail wissen.
Wie meinen?!? Wer denn bitte sonst?! ER muss das nicht wissen? Wenn er jetzt gesagt hätte, ich muss das nicht wissen, dann hätte man noch Machterhalt und Profitgier als Motiv unterstellen können, aber wenn er sagt, er muss das nicht wissen, und er sieht sich als investigativer Journalist… das ist ja wohl eine Bankrotterklärung sondergleichen. Krass. Tja, Süddeutsche, das war's dann wohl.
Oh und dieser Greiner kloppt da auch einen Rohrkrepierer nach dem nächsten raus. Der hat überhaupt nicht verstanden, was Wikileaks ist. Der kritisiert da in einem fort, dass Wikileaks nicht zu jedem Botschaftsmemo die Gegenposition der Botschaft und der befragten Quellen mitliefert. Wikileaks ist keine Zeitung, Herr Greiner! Das ist ja gerade der Vorteil! Dort hat niemand über das Material geguckt und die Sachen rausgeschmissen, die er für unglaubwürdig hielt, aus welchen Gründen auch immer.
Und hier noch ein Leyendecker:
… als ob das, was in der Depesche ist, irgendeinen Wahrheitsgehalt hat, davon geht man ja offenbar aus
Äh … ja. Davon geht man aus. Nachdem die Amerikaner den Schritt gegangen haben, die betroffenen Regierungen davor zu warnen, dass da demnächst peinliche Daten über sie rauskommen. Und dass sie jetzt nicht hingehen und behaupten, dass das alles gefälscht sei. Das wäre doch die erste offensichtliche Gegenstrategie bei sowas! Jemand zuhause, Herr Leyendecker?
Ich bin ja schockiert, dass Greiner und Leyendecker Wikileaks ernsthaft vorwerfen, sie hätten ihnen nicht auch noch ihre journalistische Arbeit der Quellenprüfung und -bewertung abgenommen. Das sagt mir ja mehr über den Journalismus in Deutschland als ich an der Stelle wissen wollte. Die sind offenbar gar nicht mehr gewohnt, Rohdaten reinzukriegen und selber bewerten zu müssen. Alles, was die publizieren, ist offensichtlich schon vorgedacht und -bewertet. Krass. Und dann wundert man sich auch nicht mehr, wenn der Leyendecker fragt, wie gefährlich das Internet eigentlich sei. Weia.
Ein Höhepunkt ist auch, als Leyendecker da plötzlich in das Territorium von Verschwörungstheorien absackt und meint, das sei alles purer Antiamerikanismus, was Wikileaks da betreibe. Tja, Herr Leyendecker, da hatten sie aber mit Herrn Kompa den falschen Gesprächspartner, der hat auf dem Gebiet mehr Erfahrung :-)
Hier ist noch ein Greiner-Highlight auf den Einwurf, dass investigativer Journalismus ja brotlos und aussterbend sei:
Wenn etwas wenig nutzt [investigativer Journalismus], muss ich es nicht durch etwas absolut Nutzloses [Wikileaks] ersetzen!
Ab 31:00 wird es auch nochmal lustig, als dieser Greiner dem staunenden Publikum erklärt: neinnein, das ist keine Spionage, wenn jemand Informationen aus vertraulichen Gesprächen an eine fremde Macht verrät. Äh, … sondern?
Daher erkläre ich mal. Wenn man eine https-Webseite einrichtet, braucht man ein Zertifikat. Wenn sich der Webbrowser zum https-Server verbindet, zeigt ihm der Server dieses Zertifikat. Der Browser guckt dann, ob das aktuelle Systemdatum innerhalb des im Zertifikat stehenden Gültigkeitsdatumsbereichs ist (aktuell ist das bei mir 28.8.2010 bis 24.2.2011), und ob das Zertifikat von jemandem unterschrieben ist, der im Browser als vertrauenswürdig eingetragen ist. Browser kommen mit einer mehr oder weniger langen Liste von vertrauenswürdigen Zertifikaten. Ich hatte das auch kurz bei Alternativlos Folge 5 erklärt. Da sind lauter suuuper vertrauenswürdige Zertifikats-Aussteller drin wie z.B. Verisign (und deren Tochterunternehmen Comodo, Thawte, GeoTrust, …), der bekannteste. Verisign ist so nahe an der US-Regierung dran, dass sie u.a. auch die DNS Top Level Domains .com und .net betreiben dürfen. Wie bei Alternativlos empfohlen, sollte sich jeder mal die Zeit nehmen, in seinem Browser die Liste der Zertifikate anzugucken. Bei Firefox guckt man in die Preferences, das Advanced Tab, dann das Encryption Unter-Tab, dann den View Certificates Knopf drücken, und in dem neuen Fenster das Tab "Authorities" öffnen. Da mal durchscrollen. JEDER von denen ist für den Browser vertrauenswürdig. Da ist z.B. auch die Deutsche Telekom dabei. Wenn jetzt z.B. die Bundesregierung gerne eure verschlüsselte Kommunikation abhören wollte, würden sie der Telekom einfach sagen, hey, macht uns mal ein Zertifikat für den Banking-Webserver der Sparkasse oder wo auch immer ihr euch so hinverbindet, auch Email und Jabber benutzen SSL. Und euer Browser würde sehen, dass deren Zertifikat von der Deutschen Telekom unterschrieben ist, und würde es kommentarlos akzeptieren.
Neben der US-Regierung und der Bundesregierung sind da auch noch die Chinesen am Start ("CNNIC"), die Contentmafia ("AOL Time Warner Inc."), America Online (nein, wirklich!), TÜRKTRUST, die Bankenmafia (VISA, Wells Fargo, …), die Schweizer ("Swisscom"), Geert Wilders ("Staat der Nederlanden"), die Schweden und Finnen ("Sonera"), die Japaner, Intel und Microsoft. Das hängt auch von der Browserversion ab. Aber es ist wichtig, dass ihr versteht, dass jeder von denen, wenn er wollte, eure Email mitlesen könnte, indem er euch ein ungültiges (also ein von ihnen generiertes, von ihnen unterschriebenes, und daher vom Browser akzeptiertes) Zertifikat vor die Nase hält.
So, wenn ich jetzt einen SSL-Dienst einrichte, und ich möchte, dass das in eurem Browser ohne Terrorpanikmeldung funktioniert, dann kann ich einem der Kommerzanbieter ein paar Euro in die Hand drücken, und der gibt mir dann ein Zertifikat, das ein Jahr gültig ist. Marktführer ist Godaddy, da zahlt man pro Jahr pro Domain sowas wie $30.
Wer das noch nie gemacht hat: das geht so. Man geht dahin, gibt Daten in ein Webformular ein, gibt denen die Kreditkartennummer, und bei denen wirft sich dann ein Perl-Skript an, das das Zertifikat generiert. Die haben genau Null Arbeit. Zum Validieren schicken sie eine Mail an eine Mailadresse bei der Domain, üblicherweise sowas wie postmaster@ oder root@ oder webmaster@, in der Mail ist ein Link drin, den klickt man dann, und dann glaubt einem der Anbieter, dass man berechtigt ist, für die Domain ein SSL-Zertifikat zu haben. Mehr ist da nicht dabei. Ein Perl-Skript.
Nun habe ich aus grundsätzlichen Erwägungen heraus ein Problem damit, Leuten Geld für so eine Schutzgeldnummer zu geben, bei der die Gegenseite nichts tut, das ich nicht auch mal schnell selber hätte machen können. Die einzige Sache, die die von mir trennt, ist dass die eine Mail an Mozilla und Microsoft und Opera geschickt haben, um in die Liste der vertrauenswürdigen Aussteller aufgenommen zu werden. Ich habe mal herauszufinden versucht, was für Anforderungen die Browserhersteller an einen stellen, wenn man auf die Liste will. Die Details hängen vom Browser ab, aber ich will das mal so zusammenfassen: keine erwähnenswerten.
Wenn ich nun nicht einsehe, so einer Firma für das Aufrufen eines Perl-Skripts Geld zu geben, dann bleiben zwei Optionen, um eine SSL-Site zu kriegen. Ich kann mir selber ein Zertifikat machen und selbst unterschreiben. Oder ich kann zu cacert.org gehen, die bieten kostenlose Zertifikate an. In beiden Fällen gibt es von den Browsern einen großen roten Terrorpanikdialog. Der bei Firefox involviert inzwischen ein halbes Dutzend Interaktionen, bevor Firefox ein ihm unbekanntes Zertifikat erlaubt.
Aus meiner Sicht ist es egal, wie ich es mache. So rein fundamentalistisch betrachtet sind selbst-signierte Zertifikate die ehrlichste Variante. Je nach dem, wie man es betrachtet, gebe ich dann niemandem zusätzlich die Möglichkeit, sich eurem Browser gegenüber als meine Webseite auszugeben. CAcert ist der Kompromiss. Auf der einen Seite kostet das nichts, und ein User muss nur einmal CAcert trauen mit ihrem Browser und kommt dann auf alle https-Seiten mit deren Unterschrift drauf. Auf der anderen Seite prüfen die auch nicht weniger als kommerzielle CAs. Ich habe keine Ahnung, wieso die nicht bei den Browsern drin sind als vertrauenswürdig, ich finde CAcert persönlich vertrauenswürdiger als sagen wie Equifax, die Telekom oder CNNIC. Denn bei CAcert kann man den GPL-Quellcode runterladen. Und die Mailinglistenarchive sind öffentlich einsehbar. Wenn ihr keinen Bock habt, bei meinem Blog jedesmal rote Terrorpanikdialoge wegzuklicken, dann könnt ihr euch hier deren Root-Schlüssel holen und in eure Browser importieren. Wie das genau geht, hängt vom Browser ab. Deren Wiki beschreibt, wie man das macht. Achtung: wenn ihr das tut, kann zusätzlich zu den anderen unvertrauenswürdigen CAs auch CAcert euch gefälschte Webseiten vorspielen.
Aber, was ich an der Stelle nochmal ganz deutlich sagen will: nur weil ihr SSL benutzt, heißt das noch lange nicht, dass die Kommunikation sicher ist und nicht abgehört oder manipuliert werden kann. Im Zweifelsfall sollte man immer zusätzlich zu SSL noch eine Ende-zu-Ende-Verschlüsselung fahren. Bei Email und Jabber kann man z.B. openpgp haben, bei diversen Chatprotokollen gibt es OTR. Wenn ihr eine Wahl habt: immer das zusätzlich einschalten. Und wenn ihr mal jemanden im realen Leben trefft, nutzt die Chance, deren Schlüssel zu vergleichen, damit ihr sicher sein könnt, dass euch da keiner verarscht. Sowas nennt sich dann PGP Keysigning Party.
Update: Vielleicht sollte ich noch klarer sagen: ich habe die CAcert root key in meinen Trusted Root im Browser eingetragen. Fundamentalistisch gesehen müsst man einmal durch seinen Cert Store laufen und alles als unvertrauenswürdig markieren, und dann alle Zertifikate im Web manuell prüfen. Aber in den meisten Fällen geht das ja gar nicht. Wenn ich jetzt hier z.B. hinschreibe, dass der SHA1-Fingerprint für mein aktuelles Zertifikat
12:2F:49:D9:86:8D:29:40:38:FF:7D:85:48:FD:0A:89:CA:70:67:E8ist, dann seid ihr auch nicht weiter als vorher. Wenn jemand die SSL-Verbindung zwischen euch und meinem Server manipulieren kann, um euch ein anderes Zertifikat unterzujubeln, dann kann der natürlich auch diese Fingerprintangabe fälschen. Objektiv gesehen müsste man an der Situation mit den SSL-Zertifikaten verzweifeln. Daher plädiere ich dafür, lieber die Leute zu informieren, wie viel Sicherheit ihnen das wirklich bietet, damit sie mit einer angemessenen Erwartungshaltung an SSL herangehen. Oh und: SSL hilft auch nicht gegen Trafficanalyse. Wenn jemand wissen will, welche Seiten ihr hier aufruft, dann kann er das anhand der Größe der Antworten rekonstruieren. Die Daten sind ja immerhin öffentlich. Trotzdem halte ich es für gut und wichtig, Verschlüsselung auch ohne Not einzusetzen, denn je höher der Anteil an verschlüsselten Daten im Netz ist, desto weniger macht man sich verdächtig, wenn man seine Daten verschlüsselt.
Es sind Hundertschaften, die aus der ganzen Republik zusammengezogen wurden.Da werden die üblichen Prügelbrigaden aus Berlin und Hamburg am Start sein. Und es passiert das selbe wie sonst auch bei Demos, nur interesssiert es hier anscheinend zum ersten Mal jemanden:
Eine völlig durchnässte alte Frau hat sich in die hinteren Reihen retten können, mit dem Rest ihres Schirms, dem Griff und einem gekrümmten Stab. Alles andere hat der Wasserwerfer weggefegt. Die 71-jährige Rentnerin demonstriert zum ersten Mal in ihrem Leben und ist, gelinde formuliert, fassungslos und verzweifelt.Eine 71-jährige Rentnerin mit dem Wasserwerfer beschießen, das muss die neue Charmeoffensive der Bundespolizei sein!
Sie schreit Werner Wölfle, den Chef der Stuttgarter Grünen, an, er solle sich vor die Wasserwerfer legen, er sei doch ein Politiker. Aber Wölfle ist schon durchnässt und die falsche Adresse.Krasse Scheiße. Und dann die Geschichte von dem Krimi-Autor Wolfgang Schorlau, der beobachtet, wie die Polizei einem 15-Jährigen voll ins Gesicht geschlagen hat, und ihm gegen den Hinterkopf, der dazu nur meint, er habe sowas nicht für möglich gehalten, immerhin sei man ja hier in Stuttgart, nicht in Berlin. Tja, dazu fällt mir nur der Niemöller ein. Da merken die Schwaben mal, was passiert, wenn man Polizeigewalt woanders toleriert. Irgendwann hat man die dann auch bei sich vor der Haustür.
Und dann zitieren sie den katholischen Pfarrer, der in den letzten Tagen Verhandlungen organisiert hat, und der stellt immerhin mal die richtige Frage:
"Was sollen da die Kinder denken", sagt der 49-jährige Geistliche, "was sollen sie von unserem Rechtsstaat halten, der sie von der Straße spritzt?"Das kann ich euch sagen, was die Kinder denken werden. Die werden denken: das passiert, wenn man CDU wählt. Und Recht haben sie.
Und wo wir bei Niemöller waren. "Als sie die Gewerkschafter holten, habe ich nicht protestiert; ich war ja kein Gewerkschafter."
Zu ihnen wird Mappus wohl auch die frühere Ver.di-Landesvorsitzende Sybille Stamm zählen. Die 65-jährige kommt mit blauen Flecken aus einem Pulk, nachdem sie von Polizisten die Böschung hinuntergeworfen und getreten worden ist. Sie ist eine der Verletzten, die in einem Sanitätszelt behandelt werden - sie haben Blessuren aufgrund von Tränengas, Wasserwerfern, Tritten. "Das ist hier Bürgerkrieg", sagt sie.An der Stelle haben die vom ehemaligen Nachrichtenmagazin dann offensichtlich Dinge aus ihren vielen Dokumentationen über das 3. Reich wiedererkannt und sahen sich doch mal zur Kritik genötigt.
Ach übrigens, wenn ihr mal sehen wollt, wie sich das in der Darstellung der Polizei anhört:
Polizeikräfte mussten vereinzelt Pfefferspray gegen Demonstranten einsetzen […]Da seht ihr es! Die Gewaltanwendung war voll ausgeglichen!1!! Nicht nur das, in der Presseerklärung lügen sie uns auch dreist ins Gesicht, es seien Pflastersteine geflogen. Woher ich weiß, dass das eine Lüge war? Von hier:Im Laufe der Demonstration benutzten einzelne Teilnehmer Reizgas gegen Polizisten
Das Innenministerium in Stuttgart musste zudem die Darstellung zurückziehen, es seien Pflastersteine auf Polizisten geworfen worden. "Da waren wir falsch informiert", sagte eine Sprecherin.Soso, "falsch informiert", ja? Gemerkt haben sie, dass sie falsch informiert waren, nachdem die Lüge per 20-Uhr-Tagesschau rausgegangen ist. Na SO ein Zufall.
Die Gewalt der Sturmtruppen war so ausufernd, dass sogar abgehärtete Fußballfans entsetzt waren.
Es gibt überhaupt nur eine Gruppe, die die Gewalt gut findet. Nein, nicht der Schwarze Block, der sich freut, dass die Gewaltexzesse der Polizei mal ordentlich dokumentiert würden und jemanden treffen, bei dem nicht die Mehrheit sofort glaubt, dass der schon schuldig sein wird. Die CDU-CSU. Die haben den mit Abstand widerlichsten Tweet rausgehauen, den man sich nur denken kann:
Wer x Aufforderungen der Staatsgewalt keine Folge leistet & sich nicht v. Steinewerfern distanziert, kriegt auch mal auf die Fresse #s21Wer JETZT noch die Schwarze Pest wählt, den lasse ich nicht mehr mit Unwissen als Ausrede gehen.
Update: Beim Atari-Frosch gibt es dazu noch ein schönes Zitat:
Es kamen Vergleiche mit Zuständen im Iran auf, und einer bekam von einem Opa zu hören, daß das wie im 3. Reich sei, nur daß die SA nicht maskiert gewesen sei.
Zumindest für den Iranvergleich gibt es ein Video.
Update: Und noch eine krasse Nummer am Rande: bei dem Video sieht man, wie ein Polizist jemandem ins Gesicht schlägt, und was tut n-tv? Das Gesicht pixeln. Nein, nicht das des Opfers. Das des Täters!
Update: Das Pixelvideo ist von Anfang September, von der ersten Baumräumung und dieses Version ist unverpixelt.
I IS In Ad- hoc. Aktion zur Beweitigung Malware( Stuxnet) - SIMATIC PCS 7 / WIN CC Security check UpMeine Quelle versichert, die Grammatikfehler aus dem Original korrekt wiedergegeben zu haben :-)Sehr geehrter Herr (Geschäftsführer),
derzeit ist eine Malware, ein sogennanter Trojaner im Unlauf, der Microsoft Windows Rechner mit WinCC und PCS 7 betrifft.
Es handelt sich dabei um eine Software, die über einen USB-Stick, oder das Netzwerk verbreitet wird und eine Sicherheitslücke in Microsoft Windows nutzt. Betroffen sind Betriebssysteme von XP an aufwärts.
Systeme, bei denen der Zugang über eine USB-Schnittstelle nicht blockiert ist oder die Schutzvorrichtungen wie Firewall und Virenscanner nicht den aktuellen Anforderungen an die IT Security genügen sind potenzielle Ziele des Trojaners.
Sollten Sie sich über den Stand ihrer Anlage in Bezug auf Microsoft Sicherheitupdates und Virenpattern nicht sicher sein, ist es wichtig auf Grund der aktuellen Bedrohung Maßnahmen zu ergreifen.Zur Überprüfung der Systemintegrität Ihrer WinCC Installation bieten wir einen Check Up mit den folgenden Leistungsinhalten hat an:
- Überprüfung von Malware (insbesondere "Stuxnet") auf einem WIN CC System
- Installation von SIMATIC Security Update (Beseitigung der Sicherheitslücken durch Anpassung der Registry und SQL-Sicherheitseinstellungen)
- Update der aktuell erforderlichen Virenpattern (bedarf Kundenzustimmung)
- Installation der aktuellen erforderlichen von Siemens freigegeben Windows Patches(bedarf Kundenzustimmung)
- Dokumentation der Ergebnisse
Für bis zu 4 WinCC PCs in einer Anlage bieten wir diesen Service für eine Pauschale von Eur 1.450,- inklusive Reise- und Nebenkosten an. Bei mehr als 4 PC ist der Aufwand entsprechend zu erweitern.
Im Falle eines Virenbefalls kann die Bereinigung von vernetzten WinCC / PCS 7 Systeme sehr variieren, und wird daher nach Zeit und Aufwand erfolgen.
Optional bieten wir folgende Leistungen nach Aufwand zu den publizierten Servicepreisen oder mit einem separaten Angebot an:
- Installation Virenscanner
- IT-Security Check Up aller Anlagenkomponenten
- Implementierung von präventiven und kontinuierlichen Remote Monitoring & Alarm Services
Weiter Informationen erhalten Sie von unserem international Servicecenter (ISI) Tel.: +49 (180) 1-737373
Mit freundlichen Gruß
Ich bin ja immer wieder schockiert, wie Zulieferer die Stirn haben, für das Aufräumen ihrer Fehler auch noch vom Kunden bezahlt werden zu wollen.
Ich fühle mich in meiner Ansicht bestätigt, dass Urheberrechte in einem Atemzug wie die Steuergesetzgebung und Kryptoverbote dazu dienen, gegen jeden Bürger bei Bedarf etwas in der Hand zu haben, wenn man einen Vorwand braucht, um ihn plattzumachen. Und gegen Firmen setzt man Patente ein. Al Capone haben sie ja auch wegen Steuerhinterziehung drangekriegt. Keine ernstzunehmende "Demokratie" kann es sich leisten, nicht gegen jeden Bürger was in der Hand zu haben. Das Betäubungsmittelgesetz leistet hier auch wertvolle Dienste. Und wo nichts ist, da macht man eine illegale Durchsuchung, pflanzt ein paar Wanzen und Kameras, klaut den Computer auf der Suche nach "Hackertools" oder Randgruppenpornographie, und locht denjenigen dann wegen Zufallsfunden ein. Und auch wenn man gar nichts findet, kann man die Leute heutzutage immer noch präventiv wegsperren. Oder man packt sie in Sicherheitsverwahrung.
Das ist auch mein Hauptproblem mit der Initiative: das riecht für mich so, als sei das der Rehabilitierungsversuch der SPD. Die tun einfach so, als sei nichts gewesen, als hätte es die Internetsperren-Sache nie gegeben. Laut Impressum ist Björn Böhning von der SPD Betreiber der Webseite. Tut mir leid, Björn, aber die SPD hat bei mir verschissen bis in die Steinzeit. Ihr könnt jetzt nicht einfach kommen und Netzneutralität fordern und alles ist wieder gut. Euch glaube ich kein Wort mehr, nie wieder.
Auch ansonsten riecht das alles nach Komiteekonsens, z.B. das hier:
Netzneutralität fördert die Entfaltung kreativer und ökonomischer Potentiale und sichert damit das Innovationspotential des Internets.Da sieht man deutlich, dass die Alten Herren immer noch nicht verstanden haben, worum es beim Internet geht. Das Internet ist kein Shopping-Kanal. Scheiß auf die ökonomischen Potentiale. Es geht bei Netzneutralität auch nicht um Innovationspotential. Netzneutralität ist die Grundlage für Demokratie, Pluralismus und Meinungsbildung im Internet. Das ist eine viel fundamentalere Sache als irgendwelche wirtschaftlichen Blubberblasen.
In dem Text geht es auch gleich so weiter:
Die Innovationsfähigkeit der Wirtschaft wird gestärkt wenn Entwicklungen frei online verfügbar sindDa kommt mir das Mittagessen hoch. Das klingt wie eine Bittschrift an die Wirtschaft, sie möge uns doch bitte erlauben, in ihrem Internet noch ein bisschen weiter zu spielen. Nein, nein, nein, so läuft das nicht. Das ist unser Internet, das ihr da für euer Online-Shopping benutzt. Nicht euer Shopping-Internet, das wir auch für unsere Meinungsbildung benutzen. Kriegt das mal in eure Schädel rein. Dann können wir reden.
Und das Gefasel über die digitale Spaltung, tut mir leid, das kann ich alles nicht ernstnehmen. Die SPD und die Grünen sind in diversen Landesregierungen am Start, und was haben die dort dafür getan, dass jeder Breitband-Internet kriegt? Nichts! Da wird immer abgewiegelt und auf die Telekom gezeigt. Und jetzt stellt ihr euch hin und fordert das im Nebensatz bei der Netzneutralität mit, um zu simulieren, als sei das schon immer euer Thema gewesen. Das ist unehrlich und ich kann mich da unmöglich in die Jubelperser einreihen.
Netzneutralität sichert somit den Zugang zu Wissen und Informationen unabhängig von Herkunft, Aufenthaltsort, Einkommen, sozialer Schicht und ökonomischer Leistungsfähigkeit.Schon wieder nicht verstanden! Netzneutralität sichert nicht nur den Zugang zu Wissen, Netzneutralität sichert, dass ICH mich im Internet frei äußern kann und die Leute das auch lesen können. Das Internet ist eben kein Rundfunk, wo eine Hand voll Sender senden und der Rest soll bitte schön empfangen dürfen. Das Internet erlaubt mir, dass ich meine Meinung sagen kann, auch wenn ich nur ein kleines unwichtiges Würstchen bin, und das ehemalige Nachrichtenmagazin kann nicht durch Mauscheleien mit der Telekom dafür sorgen, dass die Telekom meine Inhalte nicht oder nur tröpfenweise durchlässt. Ich habe langsam den Eindruck, die Alten Herren in den Parlamenten werden diesen Punkt nie begreifen. Das Internet ist nicht bloß ein Empfangsmedium. Das Internet ist ein Sendemedium. Jeder kann senden. Netzneutralität soll garantieren, dass niemand anderes meine Sendung unterdrücken kann, nur weil er mehr Geld hat.
Dieses ganze Gefasel von Innovationen, Wirtschaft, Barrierefreiheit und digitaler Spaltung geht voll am Thema vorbei.
Denn die sogenannten Resonanzstudien enthielten auch Tipps für die CSU, wie sie den politischen Gegner klein halten kann. Sogar Angriffe auf den Koalitionspartner FDP werden darin empfohlen.Seehofer hat also Steuermittel für Dinge benutzt, die die Partei hätte zahlen müssen.
<img src="logo.svg">und alles wird gut, aber weit gefehlt! Stellt sich raus, dass Chrome das kann, Firefox aber nicht. Firefox erwartet ein object-Tag. Was für ein Hirnriss!
Aber das ist noch nicht alles. Stellt sich raus, dass Safari SVG kann (ist ja auch Webkit wie Chrome, damit war zu rechnen), aber NICHT auf dem Iphone oder Ipad. WTF?! Gerade das Ipad haben sie doch als Browser-Device verkauft!
An der Safari-Version kann man es nicht festmachen. Die Plattformstrings werden schnell unübersichtlich, es gibt da auch noch irgendein webtv-Zeugs, kenn ich alles nicht. Also ist da jetzt eine Javascript-Browsererkennung drin. Wie furchtbar ist DAS denn alles?! Ich dachte, die Zeiten seien vorbei im Web?
Also aus meiner Sicht: Schande über Apple und Firefox.
Und zur Krönung des Tages kommt hier auch noch einer an, der benutzt Epiphany mit Webkit, und das gibt sich als Safari unter Linux aus. Das bau ich da jetzt nicht ein. Was für ein Müll dieses Web doch ist.
Oh und bei Firefox ist offenbar das UI für das audio-Tag kaputt und man kann da nicht die Lautstärke regeln. Na suuuuuper. Bin ich wirklich der erste, der das Audio-Tag benutzt?! Ist das echt noch keinem aufgefallen?!?
Viel mehr DDR-Bürger als bisher bekannt sind offenbar ohne ihr Wissen für Medikamententests westlicher Pharmafirmen benutzt worden.Der Kapitalismus ist halt völlig offensichtlich das bessere System hier. Vor allem ethisch, moralisch und menschlich klar überlegen.
Die Erklärung ist, dass irgendein Arschloch zu Torrent-Trackern gelaufen ist, und den SSL-Port meines Blogs als Torrent-Client eingetragen hat. Ich habe keine Ahnung, welcher Tracker das announced, oder gar um welches Torrent-File es sich handelt, aber da steckt Absicht dahinter, denn Bittorrent funktioniert so, dass der Tracker die IPs wegschmeißt, wenn die sich nicht periodisch wieder melden. Da sitzt also irgendwo jemand und meldet sich periodisch bei mindestens einem Torrent-Tracker, damit die IP meines Blogs dort gelistet ist, und dann Leute bei mir aufschlagen.
Warum ist das ein Problem? Weil es sich um den SSL-Port handelt. SSL ist ein notorisch schlecht designetes Protokoll, weil es die Last bei einer Verbindung nicht auf dem Client hat, sondern auf dem Server. Wenn also mehr Clients kommen, hat der Server mehr Arbeit. Nicht nur das: der Server muss am Anfang erstmal kryptographisch aufwendige Operationen machen, um das Handshake durchführen zu können. D.h. wenn man sich einfach nur zu SSL-Ports verbindet und ein bisschen Müll schickt, dann ist der Server damit beschäftigt, sinnlosen Krypto-Kram zu machen. Nun ist der Server, auf dem mein Blog läuft, eh keine besonders fette Hardware. Es handelt sich um einen nach heutigen Standards antiken Sempron 2800+ (1,6 GHz) mit 512 MB RAM. Ihr könnt euch also denken, was da passiert ist: der gatling-Prozess hat mit Krypto-Kram alle CPU gefressen.
Mir bleiben jetzt zwei Dinge zu tun. Erstens kann ich SSL wieder ausschalten. Das wäre schade, weil mir das schon wichtig ist, SSL anzubieten.
Zweitens kann ich tricksen, um diesen Angriff abzuwehren. Ich habe jetzt in gatling Code drin, der guckt, ob die einkommenden Daten wie ein SSL-Handshake aussehen. Und wenn nicht, dann legt er auf.
Das wehrt den Torrent-Traffic ab. Die CPU-Last ist von >90% auf 8% gesunken. Wenn die Angriffe schlauer werden und tatsächlich ein SSL-Handshake mit mir machen, dann muss ich SSL abschalten, um den Dienst zumindest per HTTP weiter anbieten zu können. Und den Traffic für die einkommenden Anfragen bin ich natürlich auch nicht los. Mal gucken, was mein Provider dazu sagt.
Schade, dass schlechtes Protokolldesign es einigen wenigen erlaubt, derartig viel Schaden anzurichten. Wenn das hier jemand liest, der Tracker-Software schreibt: filtert doch mal Clients, die behaupten, auf Port 443 erreichbar zu sein.
Update: Habe die Gelegenheit auch genutzt, mal einen weniger antiken Kernel zu booten. Ade, du schöne Uptime!
Übrigens, auf ca. 170 Anfragen pro Minute kommen gerade 6500 Junk-Anfragen von 3000 verschiedenen IPs. Nur damit ihr mal die Größenordnung seht. Inzwischen verteilt sich die Last gleichmäßig auf Port 443 und Port 80. Also, liebe Tracker-Autoren, auch Port 80 filtern. Überhaupt alle Ports kleiner 1024, wenn ihr mich fragt.
Update: Übrigens gibt es Hoffnung: Google arbeiten am Tieferlegen von SSL.
Must have strong problem solving skillsRelated: noch ein bisschen Internethumor dazu.
Update: Weil jetzt hier die Mails aufschlagen, dass die jemanden suchen, der Excel benutzt: das ist doch sinnvoll. Die wollen jemanden, der keine Schmerzen mehr fühlt und der sich auch sinnlosesten politischen Regulatorien unterwirft. (Danke, Scusi)
Bisher haben die sich ihre Importe halt durch Schmuggeltunnel an der ägyptischen Grenze beschafft. Und jetzt zieht euch mal diesen Absatz hier rein:
In the past, underground traffickers would have organised one of Gaza’s fighting groups to attack an Israeli position in order to provoke a closure and keep trade from Egypt flowing. But as part of its informal non-aggression deal with Israel, Hamas is policing the border and pounces on anyone operating without its consent.WHOA! Ein spannendes Detail an der ganzen Sache ist auch, dass Hamas sich zum Gutteil über Steuern auf die geschmuggelten Güter finanziert.Und ein Money Quote will ich noch bringen:
“We don’t need mayonnaise,” says a Gazan, who recently heard him speak. “We need freedom.” (Danke, Khaled)
Aber das Video dort funktioniert nicht. Warum? Weil Apple es absichtlich kaputtgemacht hat. Klickt mal auf die Video-Demo drauf. Spielt nicht. Rechtsklickt mal auf das Video und lasst euch die URL ausgeben. Ist bei mir diese hier. Wenn man sich diese Datei per HTTP holt, kriegt man eine MOV-Datei. MOV, das wissen vielleicht nicht alle, ist die Basis von MP4, nicht zuletzt auf Apples Drängen hin. Dass das .mov heißt, ist also nicht der Grund, wieso Chrome das nicht spielt. Auch nicht der MIME-Type.
Wenn ich mir die Datei per wget hole und mal reingucke, ist die bloß 359 Bytes groß, und beinhaltet einen Redirect auf diese Datei. Leider ist der Redirect relativ, da steht also nur der Dateiname drin, nicht die komplette URL. mplayer kann das übrigens, wenn ihr auf der Kommandozeile
mplayer http://movies.apple.com/media/us/html5/showcase/2010/demos/apple-html5-demo-tron_legacy-us-20100601_r848-2cie.moveingibt, spielt der den Trailer. Bei mir zumindest. Hängt vermutlich auch von der mplayer-Version ab. Aber Chrome unterstützt das halt nicht. Nun, erzeugen wir doch mal eine kleine Datei, die das Video-Tag mit der Ziel-URL des Redirects benutzt: hier. Das spielt Chrome dann plötzlich.
Da der Redirect relativ ist und nicht auf einen anderen Server verlinkt, hat das auch mit CDN-Optimierung o.ä. nichts zu tun. Der Redirect erfüllt genau keinen Zweck (außer Chrome auszuschließen). Für den Benutzer ergibt es einen zusätzlichen HTTP Round Trip, für Apple bedeutet es einen HTTP-Zugriff mehr, d.h. mehr Netzwerkkosten und mehr Serverlast. Nicht viel, aber doch vorhanden.
Also, liebe Apple-Apologeten. Dann erklärt mir doch mal, wieso Apple das macht. Außer natürlich, um uns alle zum Installieren von Quicktime zu zwingen? Na? Fällt euch auch nichts ein? Na sowas.
Das gilt übrigens für die gesamte Apple-Trailer-Site. Wieso benutzt das noch Quicktime und nicht HTML5-Video, wenn Apple angeblich so ein Verfechter offener Standards ist? Weil es da nie um die Trailer ging. Sondern um Quicktime-Installationsbasis.
Update: Oh übrigens, ein besonders zynischer Leser hat mir dieses hilfreiche Schaubild gemailt :-)
Update: Eine Sache will ich auch mal sagen: die Demos sind visuell ziemlich geil, die Apple da gemacht hat.
Das Problem, wenn man seinen ganzen Scheiß selber schreibt, ist, dass gelegentlich was nicht funktioniert, und dann muss man rumdebuggen. Heute habe ich mal wieder eine längliche Session hinter mir. Das Symptom war, dass libjava in gcc nicht baut. Das erste Problem war, dass gcc ein GNU cmp feature benutzt, nämlich --ignore-initial, welches mein cmp nicht implementiert. Meine Versionen der Utilities implementieren im Allgemeinen nur die Features, die von der Single Unix Specification verlangt werden.
gcc möchte dieses cmp-Feature haben, weil der Buildprozess Dateien vergleichen will, ohne die ersten 16 Bytes mitzuvergleichen. Daher guckt configure, ob cmp die Option kennt, und wenn nicht, dann gibt es einen Fallback auf tail +16c in Tempdateien. Ich habe zwar auch ein tail, aber das war nicht in meinem $PATH, da war das tail von coreutils. Und das kennt seit ein paar Versionen +16c nicht mehr. Tolle Wurst.
Stellt sich raus, dass mein eigenes tail das doch gekannt hätte. Das habe ich mal aus genau dem Grund implementiert. Gut, weiter im Text. Kompiliert immer noch nicht. Symptom sind irgendwelche Linkfehler im Java-Toolkit. Stellt sich raus, dass da in einem .zip-File irgendwelche Klassen fehlten. Hat auch nur einige Stunden gedauert, das rauszufinden. Stellt sich raus, dass die folgendes tun: cp -pR dir1 dir2. Problem 1: mein cp kannte nur -r, nicht -R. Mein Fehler, schnell gefixt. Problem 2: mein cp hat sich geweigert, die Kopie durchzuführen, wenn das Zielverzeichnis schon existierte. Problem 3: mein cp hat dann zwar eine Fehlermeldung rausgehauen, aber keinen nonzero-Exitcode gehabt, daher hat der gcc-Build nicht abgebrochen. Nachdem ich das gefixt hatte, läuft der gcc-Compile anscheinend durch. Ich sage anscheinend, weil ich das in meinem 3 GB Ramdisk zu kompilieren versucht habe, und die war voll. 3 GB ist zu wenig, um gcc zu kompilieren. O tempora, o mores. Ich habe hier noch eine 40 MB Platte rumliegen irgendwo. Ja, MB. Nicht GB.
Oh und warum wollte ich gcc kompilieren? Um Dragonegg auszuprobieren. Und: Es funktioniert! Coole Scheiße!
In der Debatte innerhalb der USA gerade ist der Tenor, dass das Gesetz eine Schande ist, dass das das letzte Aufbäumen des widerlichen Rassismus der Republikaner-KKK-Nazifraktion ist, und dass das beim ersten Anhusten vor Gericht platzen wird, das Gesetz. Fragt sich nur, warum die das dann machen.
Dafür hat Greg Palast eine tolle Verschwörungstheorie. Er glaubt, der Hintergrund ist, dass sie Angst haben, von der wachsenden Latino-Bevölkerung bei den Wahlen hochkantig rausgeschmissen zu werden, denn von den unterdrückten Einwanderern wählt keine Sau Republikaner, und die stellen in Arizona im Moment die Gouverneurin. Die müssten erstmal nur lange genug aushalten mit dem Gesetz, bis die Wahlen um sind. Die Details sind, wie immer bei Greg Palast, zum kotzen. Die haben schon bei der letzten Wahl beschissen, dass sich die Balken nur so biegen, und lauter angeblich illegale Wähler vom Wählen abgehalten. Nun ist es strafbar (mit Gefängnis!), wenn man als nicht Wahlberechtigter zu wählen versucht. Aber sie haben keinen einzigen der angeblichen Täter damals angezeigt nach der Wahl. Denn darum ging es ja nicht. Sie wollten nur die Wahl fälschen. Nicht mal das ist gelungen damals. Die ist jetzt nur die Gouverneurin, weil Obama die demokratische Gouverneurin in sein Kabinett berufen hat, und jetzt ist die Republikanierin nachgerutscht. Bizarres System, was die da haben.
Die mußten unterwegs ihre Arbeitsgruppe umbenennen, weil die Leute ihnen auf die Schliche gekommen sind, und keinen Bock auf diesen Bullshit hatten! Wenn jemand einen Satz wie diesen hier von sich gibt:
JSR 299 bietet ein neues Set an Funktionen für Java EE. Grundlage ist eine Menge von definierten Lebenszykluskontexten.Da hilft doch nur noch Einschläfern! Wenn die so einen Satz sagen, fällt denen dann nicht selber auf, dass sie auf dem Holzweg sind? Beim Formulieren im Kopf meine ich jetzt?
Darauf aufbauend bietet der JSR Modularisierung, übergreifende Aspekte (Decorators und Interceptors) sowie typsicheres Injizieren von Objekten, alles Dinge, die Java-EE-Komponenten zu einer geschmeidigen Kooperation bewegen sollen.Wenn jemand soweit ist, dass er Decorators und Interceptors braucht und Objekte injizieren will, dann sollte man das Projekt in einem Glassarg im Ozean versenken, alle Kopien und Dokumente darüber vernichten, und neu anfangen. Sicherheitshalber würde ich außerdem für eine Sicherheitsverwahrung aller Beteiligten plädieren.
Schon der erste Satz räumt schon alle Zweifel aus, dass man solche Leute nicht Software entwickeln lassen darf:
Dependency Injection ist eine Anwendung des Inversion-of-Control-Prinzips (IoC) und als solches ein Entwurfsmuster für die objektorientierte Softwareentwicklung.Inversion of Control, ja? Lest euch mal bei Wikipedia durch, in was für einer Traumwelt die Leute leben:
Replacing systems will have no side effect on other systems.Nee, klar, so läuft das ja immer bei komplexen Systemen!1!! Und damit das so bleibt, packen wir noch ein bisschen mehr Komplexität oben drauf!
Guckt euch auch mal an, was sie da für Probleme zu lösen versuchen:
Dank dieser Konstruktion ist es erstmals möglich, EJBs als JSF Managed Beans einzusetzen.Mit anderen Worten lösen Sie da selbsterzeugte Probleme. Probleme, die sie dank verkackten Designs in vorigen Pseudotechnologien haben. Meine Fresse ist das alles eine Bankrotterklärung für Java. Unglaublich. Und wieder machen sie da XML-Metadaten, die man mitpflegen muss. Die lernen halt nicht aus ihren Fehlern. Na dann, guten Absturz, liebe Java-Leute.
Oooooder vielleicht verstehe ich ja auch einfach nicht genug von modernen OO-Dingen, um die Genialität hinter diesem ganzen Framework-Gedudel würdigen zu können. Will mir das vielleicht mal jemand erklären? Das müsste aber jemand sein, der ein größeres Projekt vorzuweisen hat, dass dank dieser Technik funktioniert und sonst nichts geworden wäre.
Update: Mir erklärt gerade jemand, dass sich hierunter im Wesentlichen eine Indirektionsschicht zwischen einer Klasse und dem Class Loader verbirgt. Die Klasse gibt die Instanziierung eines benutzten Interfaces komplett an das Framework ab. Für mich liest sich das genau wie ich oben meinte: eigentlich wollten sie Lisp-Closures haben, aber das kann die Sprache halt nicht, daher pfuschen sie sich jetzt eine Callback-Struktur zurecht. Und dadurch, dass man die Implementation nicht kennt, und die jemand anderes instanziiert, kann man auch nicht am Interface vorbeiarbeiten (was ja eigentlich schon durch das Interface selber verhindert werden sollte, aber offenbar nicht genug…?). Insgesamt scheint es bei Java ein Riesenproblem zu sein, anderer Leute Code benutzen zu müssen, ohne ihn anfassen zu können. Und die existierenden Komponenten müssen so furchtbare Modularitätsverletzungen haben, dass man das architekturell erzwingen muss in Java. Was bin ich froh, dass ich nicht in so einem Umfeld programmieren gelernt habe. Die Leute sind sicher für ihr Leben gezeichnet und werden nie ordentlichen Code schreiben können.
Update: Mir mailt gerade jemand völlig zu Recht diesen Link, der schön illustriert, was hier gerade passiert (Spalte 1, Zeile 2).
Ich erwähne den, weil er gerade gegen den CCC pinkelt (und nein, ich linke da jetzt absichtlich nicht drauf, um dem nicht noch Aufmerksamkeit zuzuspielen), weil der CCC eine Einstweilige Verfügung gegen Springer erwirkt hat, als Springer dem CCC unterstellt hat, wir wären Auftragshacker für den BND.
Ich fasse seine Argumente mal zusammen, weil man sich inhaltlich durchaus mit denen auseinandersetzen kann und auch sollte.
Ich habe mich zwar über die Springer-Meldung geärgert, auch durchaus öffentlich, war aber weder an der Entscheidung noch an der Umsetzung der Einstweiligen Verfügung beteiligt, und kann daher wunderbar spekulieren und rationalisieren hier :-)
Also, erst einmal vorab: wie oft hat man im Leben die Gelegenheit, der Springer-Presse eine Einstweilige Verfügung reinzudrücken? Alleine dafür könnte man argumentieren, dass das eine gute Aktion war. Alte Feindbilder und so.
Zweitens bin ich auch kein Freund von Einstweiligen Verfügungen, weil die eben erlassen werden, ohne den Betroffenen zu Wort kommen zu lassen. Ich halte das Allgemein für ein dem Rechtsstaat unwürdiges Instrument, das außerdem viel zu leichtfertig benutzt wird.
Aber die Idee, dass man frei rumgerüchten könne, wenn man nur ein Dementi dranschreibt, … das funktioniert so nicht. Man könnte das z.B. mit dem folgenden, besonders bösartigen Gerücht mit Dementi illustrieren:
Hast du auch gehört, dass torstenk inzwischen bei der Bild arbeiten und jetzt Krisen-PR für die Springer-Presse machen soll? Das hat mir ein Insider erzählt, der ungenannt bleiben will. Oh, der Kleinz dementiert natürlich.Alles im Konjunktiv, das Dementi folgt direkt. Ist das jetzt weniger ehrenrührig? Ist das für den Kleinz weniger schlimm jetzt? Wenn jemand nach seinem Namen googelt, und der findet dieses bösartige Gerücht, und dann ist sein Ruf besudelt. Klar, das Gerücht ist erstunken und erlogen, genau wie das BND-CCC-Gerücht es war. So einfach ist die Lage nicht.
Im Allgemeinen finde ich, dass man im Presserecht keine Einstweiligen Verfügungen haben sollte, und dass Gegendarstellungen reichen müssen. Und mir hätte es auch gefallen, wenn die Springer-Presse eine fette Gegendarstellung hätte veröffentlichen müssen, und auf die hätte ich dann gelinkt, und die hätte dann mehr Traffic als der Originalartikel gehabt. Aber Mitleid mit der Springer-Presse kann ich zumindest an dieser Stelle nicht aufbringen, tut mir leid.
Update: Noch ein Detail am Rande: da Springer direkt das Dementi drangetan hat, haben sie dem CCC damit das Mittel der Gegendarstellung genommen. Da blieb außer EV nichts mehr.
A spokesman for the Foreign Ministry said today that the Israeli Army did not use false or forged passports.It said Israel later apologized and promised not to do it again."Israel is very sorry about the decision that was taken by the [New Zealand] government," Mr Shalom said.Neuseeland hatte nämlich einen Besuch des israelischen Präsidenten abgesagt. Die eigentliche Tat tut ihnen anscheinend nicht leid.“When I visited the factory as a trainee, I saw a large batch of blank Canadian passports. They must have been stolen. It looked like an entire shipment. There were over 1,000 of them. I don’t think the shipment was ever reported missing — not in the media, anyway.”He continued: These passports “end up in a huge library-like room, containing many thousands of passports, divided by countries, cities and even districts … many immigrants to Israel are also asked if they will give up their passports to save Jews.”
Nun kann man auf sowas souverän reagieren und es ignorieren. Wenn das eh offensichtlich falsch ist, wie die Richter ja anscheinend finden, dann lasst die doch kläffen.
Oder man kann etwas weniger souverän aber noch zivilisiert reagieren und da einen Leserbrief hinschreiben, der das Mißverständnis aufklärt.
Oder man kann noch unsouveräner reagieren und eine Gegendarstellung einfordern. Das überschreitet aber schon die Schwelle, bei der das eigene Anliegen Schaden nimmt, weil man so unsouverän aussieht, und am Ende die Gegenseite besser dastehen könnte.
Oder man kann die ganz große juristische Keule rausholen und ohne Versuch einer Klärung direkt eine Verleumdungsklage lostreten und der Gegenseite 12000 Euro reinwürgen. Laut Indymedia soll letzteres in diesem Fall passiert sein. Wenn das so ist, hat sich das OLG Düsseldorf m.E. keinen Gefallen getan. Ein Oberlandesgericht ist kein Stammtisch, keine private Grillparty, sondern ein hohes Organ der Rechtspflege. Es darf keinesfalls den Eindruck erwecken, nicht kritikfähig zu sein, und auf Kritik, selbst auf überzogene und ungerechte Kritik, nicht mit dem Holzhammer reagieren. Hoffentlich überlegen es sich die Herren Richter noch einmal und nehmen den Strafbefehl zurück. Wir sind hier in Deutschland, nicht in Russland.
So hatte ich vor einer Weile das Problem, dass auf meinem Notebook mein WLAN nicht mehr funktionierte. Das lag daran, dass der Intel-WLAN-Treiber anfing, eine Firmware hochzuladen, und dafür das Hotplug-Interface zu benutzen. Hotplug, das ist eine archaische Shellskript-Sammlung von Greg Kroah-Hartmann, in einem Shellskript /sbin/hotplug gipfelnd, das dann andere Shellskripte aus /etc/hotplug/* aufruft, und dort die eigentlichen Daten über magische Environment-Variablen übergibt. Nach einer Weile rumdebuggen habe ich damals rausgefunden, dass das Hotplug sich aus den magischen Environment-Variablen (der ganze Prozess ist m.W. nicht brauchbar dokumentiert) einen Pfad zusammenpopelt, und dann am Ende cp aufruft, um /lib/firmware/radeon/RV770_me.bin nach /sys/devices/platform/r600_cp.0/data zu kopieren. Welches cp das am Ende wird, das hängt von $PATH ab. Ich habe ein /usr/bin/cp, ein /bin/cp und ein /opt/diet/bin/cp, alle unterschiedlich. Mein /usr/bin/cp ist von GNU coreutils, und das meinte der Autor von hotplug wohl. /bin/cp ist ein Notfall-cp aus einer alten Version von embutils, falls ich /usr nicht mounten kann oder mir die glibc zerschossen habe. /usr/bin ist vor /bin im Pfad, daher betrifft das nie jemanden. /opt/diet/bin/cp ist das aktuelle cp aus embutils, das ist für meinen User noch vor /usr/bin im Pfad. Hotplug wird aber direkt vom Kernel aufgerufen und erbt daher das Environment von init. Und das hat das Default-Environment, das der Kernel setzt beim Aufruf von init, nämlich
PATH=/sbin:/bin:/usr/sbin:/usr/binAm Ende hat hotplug also das alte Notfall-cp aufgerufen, das in Blöcken zu 1024 Bytes kopiert. Versteht mich nicht falsch: alle dieser cp Binaries sind willens und in der Lage, eine Datei zu kopieren, und hotplug benutzt auch keine komischen GNU-only Flags. Aber das Firmware-Interface des Kernels hat damals Dinge angenommen, die nur GNU cp so gemacht hat. Ich habe die genauen Details vergessen, aber das Notfall-cp hat 1024-Bytes geschrieben, und der Kernel nahm an, dass die Firmware in nur einem Chunk geschrieben wird, und daher schlug das fehl.
Nachdem ich meine Fassungslosigkeit überwunden habe, habe ich damals /etc/hotplug/firmware.agent angefasst, damit er händisch /usr/bin/cp aufruft und nicht bloß cp über $PATH, und damit war das Problem gelöst.
Gestern habe ich jetzt anlässlich dieser Meldung hier den Kernel 2.6.32-rc6 auf meinem Desktop probiert. Mein Desktop hat kein WLAN und lädt an sich keine Firmware. Auf meinem Desktop ist auch seit irgendwann mal vorbeugend /bin/cp ein Symlink auf /usr/bin/cp. Um so größer war meine Überraschung, als mit dem neuen Kernel plötzlich X nur noch ohne Grafik-Beschleunigung hochkam. Nach einer Packung debuggen stellte sich raus, dass er die Firmware nicht laden konnte. Nachtigall, ick hör dir trapsen, dachte ich mir, und prüfte, ob /bin/cp das richtige ist. War es. Mhh, nanu. Ich habe also geprüft, ob hotplug das richtige cp aufruft. Tat er, /usr/bin/cp. Komisch. Weiter debugged. Mal ein strace auf /usr/bin/cp gemacht. Und, was soll ich sagen, /usr/bin/cp kopiert bei mir in 32k-Blöcken. Mein embutils-cp benutzt hingegen mmap und kopiert in 4 MB Blöcken. Also habe ich /etc/hotplug/firmware.agent angefasst, damit er /opt/diet/bin/cp aufruft, und was soll ich euch sagen, jetzt ist mein X wieder beschleunigt.
Nur damit ihr mal seht, auf was für einem Treibsand-Fundament dieses Linux gebaut ist.
Wobei wahrscheinlich ich über drei Ecken Schuld bin. Mein coreutils ist Version 7.6, das ist AFAIK aktuell, aber meine hotplug-Shellskripte sind von 2006. Vielleicht gibt es da ein Update inzwischen.
Aber die Ironie, dass dieses Firmware-Interface so verstrahlt ist, dass es erst mit dem Fefe-cp nicht tat, und jetzt mit dem GNU-cp nicht tut, und ich es fixen kann, indem ich das Fefe-cp benutze, das ist schon grotesk. Freut euch alle, dass ihr solche Details nicht sehen könnt bei euren Distributionen. Und, falls das hier jemand liest, der für das Firmware-Laden-Interface im Kernel verantwortlich ist: SCHANDE! SCHANDE! SCHANDE!!
Update: hotplug ist seit Jahren obsolet und sollte ja eh nicht mehr installiert sein, weil es durch udev abgelöst wurde, was ich ja auch installiert habe. Nur leider hat das Vorhandensein von udev bei mir nie dazu geführt, dass der Kernel nicht trotzdem hotplug aufruft. Jetzt habe ich einige Zuschriften gekriegt, die mir erklärt haben, dass man beim Booten
echo > /sys/kernel/uevent_helpermachen muss. Nun starte ich ja beim Booten den udevd, und hätte mir gedacht, hey, wenn ich den da schon starte, dann ist der bestimmt auch so smart, obiges zu tun. Ist er aber nicht.
Wir haben es ja hier im Kern mit einem Kontrollproblem zu tun. Wir haben Wikipedianer, die Kontrolle über ihren Inhalt ausüben wollen. Während das per se wie eine noble Idee klingt, ist es das Gegenteil der Idee, mit der Wikipedia das geworden ist, was sie jetzt ist. Das Grundprinzip von Wikipedia ist ja gerade, dass alles gut wird, wenn man alle Menschen ran lässt, weil das Gute im Menschen überwiegt und sich der Schwarm am Ende in die richtige Richtung zur Verbesserung der Lage für alle bewegen wird. Und das ist schlauer als es auf den ersten Blick aussieht, denn ein Gutteil des Vandalismus erklärt sich eben über die Kontrollfunktion. Wenn der User sich als Mitarbeiter sieht, wird er nicht vandalieren. Wenn er sich aber als überwachter, kontrollierter Verdächtiger fühlt, wird er Reifen anstechen. Wenn man User wie vernunftbegabte Erwachsene behandelt, werden sie sich eher wie vernunftbegabte Erwachsene verhalten, als wenn man sie wie Kinder behandelt. Das ist eine Frage des Mindsets, mit dem man auf die Leute zugeht. Natürlich wird das Vandalismusproblem nie ganz weggehen, es gibt immer ein paar Soziopathen in der Bevölkerung. Aber dieser Mindset will eben kommuniziert werden. Wenn man da mit "Hallo lieber potentieller Wikipedia-Mitautor, willst du nicht diesen Artikel zu verbessern mithelfen?" begrüßt wird, ist das was ganz anderes, als wenn da — fast wie versehentlich wirkend — jemand den Edit-Knopf auszublenden vergessen hat. Im Moment wirkt das wie ein Getränkeautomat, das menschliche Element fehlt. Wenn das wie ein Automat wirkt, werden die Leute eher Dinge probieren. Aus einem Getränkeautomat werden Leute eher eine Dose zu klauen versuchen als aus einem Oma-und-Opa-Laden. Und je mehr die Blockwarte dann Kontrolle auszuüben versuchen, desto mehr reizen sie Vandalen zum Weitermachen. Wobei mein Wortsinn von Vandale hier ein anderer ist. Ein Vandale ist jemand, der den Inhalt eines Artikels wegmacht und durch "Die Merkel ist doof" ersetzt.
Um die Analogie mal fortzuspinnen: wenn potentielle Autoren wie Bittsteller abgekanzelt werden, gehen die Freiwilligenzahlen zurück. Das kann man alles live und in Farbe beobachten gerade bei der Wikipedia.
Die Eltern unter meinen Lesern werden das Problem sofort wiedererkennen. Das ist nämlich der klassische Erziehungskonflikt bei Eltern. Eltern erziehen das erste Kind noch mit eiserner Knute und beim zweiten Kind sind sie dann weiser und greifen nur noch ein, wenn es nötig ist. Eltern müssen irgendwann ihr Kind ziehen lassen, so schmerzhaft das auch ist. Und an dieser Stelle beißt uns die Statistik in den Hintern, die Johnny so schön formuliert hat:
80% der Wikipedianer in den USA seien männlich, mehr als 65% alleinstehend, mehr als 85% kinderlos und rund 70% jünger als 30 JahreBei der deutschen Wikipedia sieht das vermutlich sehr ähnlich aus.
Ich möchte an der Stelle mal ausdrücklich sagen, dass meine Kritik nicht den einzelnen Menschen gilt, die in der Wikipedia herum-blockwarten. Ich gehe bei solchen Problemen gerne den wirtschaftlichen Weg der Analyse und halte das Problem für ein System-Problem. Die Menschen gehen ja nicht zum blockwarten in die Wikipedia, im Gegenteil sind die meisten damit unzufrieden. Das kam bei allen meinen Gesprächen mit Wikipedianern in letzter Zeit klar heraus. Jeder einzelne von denen fing nach einer Weile zu berichten an, wie viele schöne Artikel ihm denn schon gelöscht worden seien. Diese Menschen sind genau so Opfer wie wir alle. Opfer des Systems Wikipedia, das die falschen Anreize setzt. So habe ich gestern gelernt, dass man seinen Admin-Status wegen Inaktivität verlieren kann. Was ist hier also der Anreiz? Admin-Aktionismus. Und was eignet sich da besser als Löschen? Gelöschte Artikel können nur andere Admins einsehen, da kann einem also keiner (der nicht im selben Boot wäre) nachweisen, dass man gerade Mist gemacht hat. Löschen ist weniger Aufwand als Typos suchen und fixen. Und wenn man sich genötigt sieht, möglichst viele Löschungen vorzunehmen, um aktiver auszusehen, dann wird man auch die Löschdiskussion eher überfliegen als durchlesen und überdenken. Die Situation erinnert mich sehr an den Richtervorbehalt. Beim Richtervorbehalt ist es für den Richter ein Aufwand von einer Unterschrift, eine beantragte Durchsuchung zu beschließen, aber im Ablehnfall muss er eine Begründung schreiben. Also wird fast nie was abgelehnt. Und so ist das bei der Wikipedia im Moment auch. Der Admin hat einen Vorteil davon (er wirkt aktiver), wenn er dem Löschgesuch entspricht. Das ist genau falsch herum.
Man könnte das z.B. lösen, indem man Achievements wie in Onlinespielen einführt. Wer einen Artikel rettet, der zum Löschen vorgeschlagen wurde, kriegt ein Achievement. Wer rettet, indem er an dem Artikel Daten hinzufügt, kriegt ein Achievement. Wer 100 Achievements hat, kriegt ein GIF-Banner "Wikipedia-Held" zum Einblenden auf seiner Homepage. Sowas. Wir müssen Anreize schaffen, um das System in die Richtung zu bewegen, in die wir es bewegen wollen. Von alleine oder durch gut zureden bei den Admins und Trollen werden wir da nichts bewegen.
So schade das ist, aber ich fühle mich von der Diskussion gestern in meinem Weltbild bestärkt. Die Blockwarte machen das nicht aus Spaß an der Freude, sondern wollen etwas Gutes tun bzw folgen Anreizen, die das System ihnen bietet. Denen "sei mal kein Blockwart" zu sagen ist zum Scheitern verurteilt.
Im Übrigen muss ich noch eine bittere Lektion ziehen. Wir hatten ja gedacht, wenn wir da einen Fork ansprechen, sei das eine Drohung, mit der wir womöglich die Wikipedianer zum Einlenken bringen können. Das Gegenteil ist der Fall. Die würden sich sogar freuen, wenn wir forken. Weil sie dann das Problem loswerden. Aus deren Sicht ist das Problem nämlich nicht, dass die Wikipedia den Bach runter geht, sondern in deren Denkmodell geht die Wikipedia den Bach runter, weil so viele Vandalen rumvandalieren und sie nicht mit dem Löschen hinterherkommen. Wenn wir forken, dann gehen die Vandalen zu uns, wo weniger gelöscht wird. Aus deren Sicht löst das ihr Problem. Wenn jemand unzufrieden ist, können sie den zu unserem Fork schicken. Wenn ihnen dann die Userzahlen wegsterben, dann macht das nichts, denn in deren Mission Statement geht es um das Weltwissen, nicht um das Bereitstellen an die User. Hier greift der alte Witz aus der Arbeitswelt, wie schön dieser Job doch wäre, wenn man es nicht ständig mit Kunden zu tun hätte. Forken ist also keine Option.
Im Übrigen möchte ich noch ein wichtiges Wort fallen lassen: Monopol. Wikipedia hat ein Monopol auf Online-Wissen-Nachschlagen, und zwar mehr noch als Google eines auf Suchmaschinen hat. Für Monopole gelten andere Regeln als für normale Marktteilnehmer. Genau wie Telekom und Post als Monopol gezwungen waren, in jedem noch so kleinen Kaff Telefon und Briefpost anzubieten, und wie Microsoft Ärger kriegt, wenn sie Konkurrenten behindern, genau so hat die Wikipedia eine Sonderrolle als Monopolist und darf aus meiner Sicht nicht damit durchkommen, bei Community-Debatten Leute auszuladen, auch nicht wenn sie Markus Kompa heißen. Das kann man als kleines Randgruppenwiki bringen, aber nicht als Monopolist auf dem Online-Enzyklopädie-Markt, und schon gar nicht wenn man Worte wie "Weltwissen sammeln und erhalten" benutzt. Das muss für Wikimedia echte Konsequenzen haben.
Zurück zum Mindset der Wikipedia: wenn man das Problem als ein Kontrollproblem sieht, dann macht man so ein Treffen mit der Community auch als Kontrollfreaks, mit Namenskontrolle am Eingang. Und wenn man eigentlich weiß und einsieht, dass es da ein Problem gibt, aber das nicht zugeben will, dann limitiert man die Sitze auf 42, damit es nach außen nicht aussieht, als würde das mehr als eine handvoll Leute betreffen. Ich fand dieses Event augenöffnend. Laßt uns jetzt debattieren, wie wir das System ändern können.
BTW: lest euch die Links zu Johnny und Telepolis ganz durch. Und auch diesen Freitag-Artikel und diesen Blogeintrag hier.
Unter dem Strich ist mir noch nicht klar, ob ich das gut oder schlecht finde. Aber der Präzedenzfall ist klar: hier wird einer der wenigen Leute, die auf ihrem Gebiet meßbare Kompetenz vorzuweisen haben, rausgeschmissen. Nicht nur installiert diese Regierung auf allen Posten in der Regierung Funktionäre zweifelhafter Fähigkeiten, sie schmeißen auch aktiv die raus, die was können. (Danke, Thomas)
Nun macht sich der eine oder andere sicher Sorgen, ob man denn Truecrypt jetzt noch einsetzen kann.
Ich würde mir da ehrlich gesagt nicht so viel Sorgen machen, denn auf der Liste der NSA-affiliated IP ranges sind auch Institutionen wie das MIT (da kommen Kerberos und X11 her), MCI/Verizon/UUnet, die Mercedes Benz AG, Microsoft, Myspace, Nacamar (?!?), Cogent, Princeton University, Qwest, das RIPE NCC (harhar), Savvis, Schlund und Partner AG, Sprint, Tiscali, Telecom Italia, Telefonica (denen gehört u.a. Hansenet), Telekom Austria, Telia, Telstra, T-Mobile Ungarn, T-Online Frankreich und Ungarn, Versatel, Wanadoo, den Weather Channel (hahaha), XS4ALL, Yahoo, Youtube, oh und Level 3. Wenn ihr jetzt mal ein Traceroute zu einem beliebigen Open Source Projekt im Internet macht, kommt ihr mit großer Wahrscheinlichkeit bei Cogent, Telia, Sprint, Savvis oder Level 3 vorbei. Ein Traceroute von mir zuhause zu Sourceforge geht z.B. durch Telia und Savvis. Ein Traceroute zu ftp.gnu.org geht durch Cogent. Oh und auch die Route zu cryptome.org geht für mich über telia und savvis. :-)
Jeder Linux-User benutzt X11, jeder Windows-User benutzt Kerberos, und Microsoft ist ja eh auf der Liste.
Wer sich also Sorgen macht, der kann sich ja die Truecrypt-Sourcen mal in Ruhe angucken. Deshalb kommt Truecrypt ja mit Sourcen.
Update: Im Übrigen möchte ich mal aus einem Chat zitieren:
<Fefe> truecrypt ist jetzt nsa-unterwandert!1!!
<Andreas> Fefe: "jetzt"?
<Fefe> Andreas: wie, war schon immer NSA-unterwandert?
<Andreas> Fefe: Natürlich!!1!
* Andreas hat keine Beweise, aber das zeigt ja schon, wie gut die bei der NSA sind!!
Das war auch offensichtlich genug, dass mich so ca 20 Leute ansprachen "hey, du bist doch Fefe, oder" und drei Mal hatte ich ein "guck mal, der Typ da, das ist Fefe". Fühle mich wie ein Popstar!1!!
Ich hatte dann auch endlich mal Gelegenheit, Franziska und Andrej die Hand zu schütteln. War sehr nett. Die kraftvollste Rede kam wie üblich von Monty von der Hedonistischen Internationale, der seine drei Minuten für eine ausgiebige Publikumsbeschimpfung genutzt hat, dass die ganzen Datenschutzkämpfer dann ihre Fotos mit Namen und GPS-Koordinaten getagt bei Google oder Yahoo hochladen. Monty rockt!!
Die Piratenpartei hat ziemlich den Eindruck dominiert, die hatten da einen fetten 15-Tonnen-Laster am Start, den sie zweistöckig ausgebaut haben und wo dann raubkopierte Prodigy-mp3s aus den frühen 90er Jahren gespielt haben, was beim Publikum gut eingeschlagen hat. Ich wollte hier schon spekulieren, dass die Musik von 1994 eine Konkretisierung der Vorstellungen der Piratenpartei ist, nach wie vielen Jahren Musik-Urheberrecht in Zukunft auslaufen soll, aber habe dann von der Demo-Projektleitung das folgende, noch viel peinlichere Detail erfahren: die Demo hat ein paar tausend Euro an die GEMA abgedrückt, damit sie Musik spielen dürfen, und da hat die Piratenpartei sich auch beteiligt. D.h. die Piraten haben das angeblich abzuschaffende Establishment finanziell unterstützt!1!! Das muss ein witziger Moment gewesen sein für die Projektleitung, als sie die Piratenpartei nach ihrem GEMA-Beitrag gefragt haben…
Update: Also eine Sache muss ich ja noch dazu sagen: es ist auffällig, dass es weniger Leute mit eigenen Ideen und mehr Mitläufer werden. Statt eigener Transparente und Sprüche gab es bei vielen Piraten einfach nur Parteifahnen-Gewedel und bei den Grünen hauptsächlich Luftballons mit einer Schäublone drauf. Die Grünen haben da virtuellen Boden gutgemacht, indem sie offenbar kostenlos leere Grünen-Transparente mit dickem Filzstift dabei hatten und an die Leute verteilt haben, die dann da ihre Kreativität niedergeschrieben haben und damit rumliefen und wie Grüne aussahen. Viele von denen liefen aber weit ab des Grünensegmentes herum, daher vermute ich mal, dass die meisten von denen gar keine Grünen waren. Besonders bizarr fand ich ja, dass die Verräterpartei ein paar Jusos vorbei geschickt hatte.
Es gab da noch einen lustigen Fnord am Anfang, als die DPA versehentlich die "Ich will aber auch!1!!"-Trotzdemo von Herrn Remmert-Fontes für unsere Demo hielt und was von "immerhin schon 50 Demonstranten" geschrieben haben sollen. Habe ich aus zweiter Hand, kann also auch eine Ente sein. Man sagte mir, die Meldung sei inzwischen zurückgerufen.
Der Punkt bei dieser Rainbow Table ist, dass die Tabelle selbst bittorrent-style verteilt ist, d.h. es gibt keine zentrale Infrastruktur, niemand hostet die komplette Tabelle (die ist auch recht groß, 16 TB im Vollausbau).
Das ist es, was diese Aktion so spannend macht. Das ist der Versuch, verteilte Infrastruktur in einem unvertrauenswürdigen Netz unter widrigen Umständen gegen staatliche Verfolgung seitens Agenturen zu machen, die über dem Gesetz stehen. Die Arbeitshypothese ist halt, dass die zwar 2-3 Leute verfolgen, aber nicht 1000. Wir werden sehen :-)
Die Software kann übrigens auf Nvidia-Grafikkarten GPGPU-Beschleunigung.
Oh und hier gibt es den GSM-Sniffer dazu.
Selbstverständlich ist das alles lediglich für Forschung und Lehre, nicht für die Anwendung auf reale Netze *disclaim*
Update: A5/1 wird nur von GSM-Handys benutzt, nicht im UMTS. Ob das bei UMTS sicherer ist, ist noch nicht abschließend geklärt, aber dieser spezielle Angriff funktioniert gegen über UMTS eingebuchte Telefone nicht. Es sei aber darauf hingewiesen, dass es für 50 Euro UMTS-Jammer gibt. Dann kriegt das Telefon kein Signal und fällt auf GSM zurück. So machen das wohl auch die Dienste, wenn sie ein Telefon überwachen wollen.
Spannend wird es z.B. auf Seite 17, wo man die Formeln für das Sizing findet. Mal 5000 Kunden angenommen, soll ein Anbieter folgende Abhörkapazitäten anbieten: Festnetz: 3%. GSM: 27%. Für diese Werte nimmt man die Formeln von Seite 17, und rechnet die erwartete Ausnutzung des Netzes aus, indem man den sogenannten Verkehrswert in Erlang (ich habe meine Zahlen von hier) mit der Anzahl der Anschlüsse multipliziert (bei Festnetz geht die Rechnung in B-Kanälen, von denen jeder ISDN-Kunde zwei hat).
Spannenderweise ist die Formel nicht linear sondern ungefähr wie die Quadratwurzel, so dass kleine Anbieter stark benachteiligt werden. Hier ist mal ein Plot für GSM nach Kundenanzahl (Achtung: bei mir beginnt die Y-Achse da nicht bei 0 sondern bei 2, das wird nicht wirklich negativ). Der Wert an der Y-Achse ist der Prozentsatz des Traffics, für den sie Ausleit-Kapazitäten halten sollen. Man sieht sehr gut, wie unfair das verteilt ist.
Auch lustig ist Seite 26 mit der Liste der zulässigen Anbieter für das IPsec-Gateway. Die Liste ist eher übersichtlich.
Aber zu dem Protokolldesign. Für die Übertragung der Daten supporten die FTP (hahaha) und FTAM (HAHAHAHAHA). Da ist ja schon mal aus Obskuritätsgründen so gut wie ausgeschlossen, dass da die Fehler gefunden wurden, und dann stehen da noch so Dinge dran wie
Der Initiator soll die QoS-Klasse 0 verwenden, da der Responder die Recovery-Prozeduren nicht unterstütztAlles sehr vertrauenswürdig. Die haben da ASN.1 als Basis für den Bulk ihres Protokolls, übertragen aber die Nutzdaten alle als ASCII-Strings. Z.B. gibt es da eine Notification, in der optional (!!) auch das Ziel der Überwachungsmaßnahme benannt wird, zu der gerade die Notification reinkommt, und das ist ein ASCII-String der Maximallänge 256. Das ist nicht schlau, da Email-Adressen schon 320 Zeichen lang werden können. Warum ist der optional (Seite 29)?
-- Aus Gründen der Rückwärtskompatibilität als optionalAber auch Datum, Uhrzeit und optionale zusätzliche Nachrichtenteile werden per in-band-signaling als ASCII übertragen (das Datum humoristischerweise nicht Y2K compliant als TT/MM/JJ). Besonders grob wird das dann auf Seite 44, "Anlage B.2.5 Zuordnungsnummer". Pro Vorgang innerhalb einer Schnüffelanordnung gibt es eine Zuordnungsnummer, wenn sie z.B. den Wiefelspütz überwachen würden wäre das dann eine Nummer pro Telefongespräch. Die Nummer wird auch als ASCII übertragen (OH DIE SCHMERZEN!!), und hat einen Wertebereich von 1 bis 65535. Wenn ich also glaube, dass ich überwacht werde, rufe ich einfach 65535 Mal von meinem Telefon aus eine 0800 Nummer an, z.B. die Störungsstelle oder die Korruptionshotline des LKA Westfalen, und schon ist dieses Feld übergelaufen und weitere Telefonate können nicht mehr abgebildet werden. Bei Protokolldesignern, die sowas verbrechen, ist die Grenze erreicht, bei der man noch einen Freitod anbietet. Aber wartet, wird noch besser! Gut, dass sie das als ASCII schicken, denn so konnten sie es wie folgt erweitern:
Zusätzlich (optional) kann von der TKA-V eine weitere Nummer hinzugefügt werden (z. B. in Mobilfunknetzen die Kennung der MSC), die zusammen mit der Zuordnungsnummer die Eindeutigkeit garantiert. Diese zweite Nummer hat Werte von 0 bis 65535. Wird von der TKA-V diese Variante genutzt, ist die zweite Nummer getrennt durch das Zeichen ‘#’ hinter die Zuordnungsnummer zu setzen.Da fällt die Unterdrückung des Brechreizes nicht leicht. Und wo wir gerade bei Freitod waren (Seite 30):
common [4] CommonMode OPTIONAL,und so geht das munter weiter. So, liebe Leser, macht man es NICHT. Pfusch am Bau. Das läßt die ganze Branche schlecht aussehen, wenn Einzelne sowas verbrechen.
-- moduls of the manufactures
alcatel [5] OCTET STRING (SIZE (1..256)) OPTIONAL,
-- the manufacturer has to provide an ASN.1 Specification
ericsson [6] OCTET STRING (SIZE (1..256)) OPTIONAL,
-- the manufacturer has to provide an ASN.1 Specification
Ganz großes Kino auch folgender Abschnitt von Seite 41:
Authentifizierung bei der berechtigten StelleEin echter Schenkelklopfer! Und das waren nur die bis Seite 60. Das Dokument hat 180 Seiten. Viel Spaß beim Schmökern! Für Unterhaltung ist gesorgt. Und so gilt mal wieder, was auch sonst schon immer gegolten hat: die Inkompetenz der Unterdrücker ist der beste Schutz vor dem Unterdrückungsstaat. Prost!Die technische Einrichtung der bS überprüft, ob die Rufnummer der TKA-V (Anschlussnummer an das Transitnetz), die im Informationselement ‘Calling Party Number’ übertragen wird, gültig ist. Daher darf die TKA-V zum Aufbau der Verbindungen zur bS nicht das Dienstmerkmal ‘Calling Line Identification Restriction’ nach ETS 300 090 [4] benutzen.
3.3.1. Bedarf an der Normierung einer Ermächtigungsgrundlage zur Durchführung einer repressiven Online-DurchsuchungUnd es geht noch spannend weiter:Konkreter Bedarf für eine Online-Durchsuchung wird ausweislich der Fragebögen für die folgenden Fallkonstellationen gesehen:
- Sicherung bereits abgeschlossener, verschlüsselt gespeicherter Kommunikation (auch teilweise als "geronnene" Kommunikation bezeichnet), z.B. Daten aus zurückliegendem E-Mail-Verkehr, ICQ-Gesprächsverlauf, z.Z. mittels Steganographie und PGP;
- Sicherung von Dokumenten vor der Ver- bzw. nach der Entschlüsselung. Hierzu gehören auch:
- die Nutzung von privaten Postfächern mit geschlossenem Nutzerkreis ohne Datenaustausch und damit — mangels Kommunikation — ohne Möglichkeit einer TKÜ, sofern die Daten lokal auf einem Rechner gespeichert sind, und
- Straftaten, bei denen tatrelevante Daten nicht im Netz, sondern lokal auf der Festplatte gespeichert sind, z.B. bei Attentatsvorbereitungen, wenn ein offenes Herangehen an den Rechner ausgeschlossen ist, da die Offenheit der Maßnahme weitere Ermittlungsansätze vereigeln würde.
- Sicherung unverschlüsselter Daten, wenn der PC gewohnheitsmäßig nach Benutzung verschlüsselt wird;
- Feststellen von Passwörtern und genutzten Programmen (insbesondere wichtig bei Verwendung von Steganographie und PGP) zur Entschlüsselung von Daten
Die Erforderlichkeit von Online-Durchsuchungen ergibt sich nach den Evaluationsergebnissen unter anderem daraus, dass Tatverdächtige oftmals Passwörter für ihren Rechner nicht preisgeben und folglich — jenseits taktischer Erwägungen — eine offene Durchsuchung (§§ 102 ff. StPO) mit anschließender Beschlagnahme (§§ 94, 98 StPO) und Datenauswertung bei einem passwortgeschützten Rechner von vornherein keinen Zugang zu den gespeicherten Daten ermöglicht.Das ist natürlich eine dreiste Lüge. Selbstverständlich kommt man auch ohne Passwort an die Daten auf dem Rechner dran. Außer wir sprechen hier von einer PGP Passphrase oder sowas. Oder jemand benutzt Truecrypt oder Bitlocker. Lacher am Rande:
Außerdem besteht die Möglichkeit einen Rechner derart zu konfigurieren, dass bei Starten des Rechners durch einen fremden Nutzer bzw. in einer anderen als der üblichen Reihenfolge die Daten automatisch gelöscht werden und nach dem Löschen nicht wieder herstellbar sind. Auch in diesen Fällen wäre eine Durchsuchung nicht Erfolg versprechend.Da sprechen wohl gerade die Oberhauptkommissare Moe, Larry und Curly?
Aber abgesehen davon von den vielen Gründen, warum man sich über diese Leute lustig machen sollte: der Kernpunkt ist, dass sie plötzlich so tun, als könne man mit einem Bundestrojaner gerichtsfeste Beweise beschaffen. DAS ist der eigentliche Skandal. Das stimmt natürlich überhaupt rein gar nicht, weil nicht beweisbar ist, dass der Trojaner nicht die "Beweise" selbst dort hinterlegt hat, ob nun absichtlich oder nicht. Man könnte sich z.B. ein Szenario denken, bei dem die Chinesen einen Rechner über eine Lücke im Bundestrojaner übernehmen.
Aber tut mir leid, ich kann nicht anders, ich muss noch mehr humoristische Details posten:
Schwierigkeiten bereite das Sicherstellen von auf dem Computer bearbeiteten und anschließend auf externen Medien gespeicherten Dateien (z.B. USB-Stick), da diese Speichermedien bei einer konventionellen Durchsuchung aufgrund ihrer Größe häufig nicht gefunden werden könnten.Wie meinen?! Die BESTEN der BESTEN der BESTEN, SIR! Spezialexperten, wo man hinguckt. Und dann schreiben sie noch, dass man vor einer offenen Durchsuchung erst mal eine verdeckte braucht, damit man weiß, wo man gucken muss. Un-faß-bar. Und, mal unter uns, schon deren Sprache sagt ja eigentlich alles. "Ermächtigungsgrundlage zur Durchführung einer repressiven Online-Durchsuchung". Keine weiteren Fragen.
Update: Wikileaks ist überlastet, daher hostet auch der CCC ne Kopie.
Wenn ihr mir also Kommentare schicken wollt: nicht per Twitter, ganz altmodisch eine Mail schreiben.
Oh und offenbar haben da einige von mir kommende Leser das Datenschutzblog vandalisiert. Ich bitte darum, das in Zukunft zu unterlassen. Nur weil ich mit Jens nicht einer Meinung bin (und das übrigens nur in diesem einen Fall und dort auch nur in einem winzigen Randdetail), heisst das noch lange nicht, dass wir nicht zivilisiert miteinander reden können. Schlußendlich sind wir alle auf der selben Seite hier.
Das selbe gilt für andere Blogs, auf die ich linke. Das sind auch alles Menschen, die machen das auch alle unbezahlt in ihrer Freizeit (Ausnahmen bestätigen die Regel). Wenn ihr euren Frust ablassen wollt, meldet eine Demonstration an und/oder erscheint zu den hier verlinkten. Und wenn ihr Zeit über habt, dann nutzt sie, um mit euren Abgeordneten zu reden. Die meisten dieser Menschen tun das alles nämlich nicht aus Bösartigkeit. Im Gegenteil, die glauben, die tun da was Gutes. Und die Hauptschranke, die unsere Argumente davon abhält, von denen gehört zu werden, ist dass wir nur eingeschränkt verstehen, was die voran treibt. Politiker ziehen im Normalfall überhaupt nur bei Themen eine aktive Teilnahme an der Abstimmung oder Debatte in Erwägung, die sie persönlich für wichtig halten, z.B. weil sie von Wählern darauf angesprochen wurden. Bei den anderen Fragen stimmen die automatisch mit der Fraktion. Wir müssen daher daran arbeiten, a) deren Blickwinkel zu verstehen, b) die für die uns wichtigen Themen zu sensibilisieren, und c) ihr Abstimmverhalten durch gezielte, sachliche Argumente zu ändern.
Oh und nur weil ich Herrn Stadler als Kritiker meiner Argumentation bezeichnet habe, heisst das nicht, dass ich damit mehr als diesen einen Einzelfall meine und ihn nicht ansonsten für einen tollen Kerl halte :-)
Und Jens: tut mir leid, dass dein Server meinetwegen abgeraucht ist. *bg*
Die Vorstellung scheint absurd. Doch im Deutschen Herbst der 70er-Jahre wollten die deutschen Sicherheitsbehörden im Kampf gegen den Terror der Roten Armee Fraktion (RAF) schlicht keine Möglichkeit ungenutzt lassen. Am Ende gingen sie offenbar sogar soweit, dass sie Terror-Anschläge planten. Diese Pläne wollten sie dann der RAF unterschieben.Konkret geht es um das baden-würtembergische Landeskriminalamt und das BKA. Das BKA? Ja, das BKA! Die, deren Integrität und Willkürfreiheit so vollständig unbestreitbar ist, dass unsere Junta sie gerade unser Internet zensieren lassen will! Und wer war damals zuständig?
So habe der damalige Präsident des Bundeskriminalamts (BKA), Horst Herold, im Oktober 1975 die „Grundsätze der Desinformation zur Terrorismusbekämpfung“ ausarbeiten lassen. Die Ideen des Konzepts reichten von gefälschten Nachrichten über das „Eindringen in gegnerische Gruppierungen“ bis zur „Förderung bandeninterner Konflikte“.Und von was für Anschlägen reden wir hier?
Dabei waren der Fantasie offenbar kaum Grenzen gesetzt. Angeblich reichte die Liste von der „Fälschung von Flugblättern“ über das systematische Belügen der Medien bis hin zur Planung von Anschlägen, die der RAF zugeordnet werden sollten. Als Ziele hätten die Staatsschützer die „Trinkwasserversorgung Berlin“ und die Hamburger Elektrizitätswerke vorgeschlagen.Aber macht euch keine Sorgen, das haben sie nie wirklich gemacht. Unsere Polizei würde sowas NIE tun. Daher ist am Ende des Artikels auch ein wunderbarer Disclaimer:
„Das Desinformationskonzept wurde fallen gelassen“, sagte der damalige LKA-Chef Kuno Bux, „weil es weder rechtlich noch politisch durchsetzbar war.“ Ex-BKA-Präsident Herold würde heute solche Methoden als „untauglich“ verwerfen: „Man sollte die Öffentlichkeit nicht vergrämen.“
Gut, die Union, da müssen wir nicht drüber reden, die können nicht anders. Aber leider ist da auch mal wieder die Polizeigewerkschaft GdP dagegen, die Gesetze zu verschärfen, obwohl die letzte Verschärfung prächtige Erfolge gebracht hat:
Immer wieder kommen legale Waffen abhanden und entsprechend nicht in dieser Statistik vor - wie im Fall Tim K. Stimmt, sagt Dicke, im Jahr würden rund tausend Waffen gestohlen. Vor Verschärfung der Sicherheitsbestimmungen für Waffenschränke waren es noch 6000.Die gleichen Leute, die bei der Verschärfung der Terrorgesetze immer sofort an vorderster Front dabei sind, sind jetzt bei Waffengesetzen plötzlich ganz klein mit Hut. Das ist alles so transparent, diese Inkompetenz und Korruption, da kommt mir echt die Galle hoch. Und hier kurz das versprochene Killerspiele-Zitat:
Fernab dessen müsse zudem geklärt werden, ob Tim K. Killer- und Gewaltspiele auf dem Computer gespielt habe: "Nicht jeder Nutzer macht einen Amoklauf, aber ein hoher Anteil unter den Amokläufern hat Killerspiele genutzt", so Beckstein zu SPIEGEL ONLINE: "Da sollten wir nachbohren."Beckstein! War ja klar. Wer auch sonst. Immer wenn man denkt, man hat den Boden der Inkompetenz der CDU erreicht, geht es noch ein bisschen tiefer.
Hier beschreiben sie den Zugang des Täters zu Waffen:
Insgesamt mehr als 50 Kugeln soll Tim K. abgefeuert haben, mit einer der 16 Waffen seines Vaters, die dieser laut Michelfelder im Schlafzimmer und nicht im Tresor aufbewahrt hatte. Der Vater ist im Schützenverein, der Waffenbesitz ist legal. Die Munition war den Ermittlern zufolge im Haus nicht weggeschlossen.16 Schusswaffen im Haus?! Klar, die Killerspiele waren schuld!1!!
Ich bin schockiert, SCHOCKIERT!!, dass diese vertrauliche Information an die Presse geraten konnte! Haben die nur Pfuscher beim BKA? Können die nicht mal eine für unsere Regierung derart peinliche Akte unter Verschluß halten?! Mann Mann Mann. EIN-mal mit Profis arbeiten!
Und wisst ihr, was mir gerade ein Vögelchen flüstert, wer diese Story nicht bringen wollte? Na? Kommt ihr nie drauf! Das ehemalige Nachrichtenmagazin aus Hamburg! Dabei hat selbst deren Oberpanikmacher nach nur wenigen Jahren der Hofberichterstattung gemerkt, dass er da als Depp vom Dienst benutzt wird, um die Terroragenda unserer Junta zu verbreiten.
Und das ist deren Vorzeige-Terrorfall, mit dem sie die ganzen Gesetze begründen!! Immerhin, eines muss man denen lassen. Ich fühle mich hier erstklassig unterhalten. Wenn die nicht eh schon aus dem Staatssäckel bezahlt würden alle könnte man über eine Art GEZ-Gebühr für die nachdenken.
Mit ihm sollen den Angaben des Justizministeriums zufolge "bestimmte Formen der Vorbereitung schwerer staatsgefährdender Gewalttaten unter Strafe gestellt werden." Zypries bezeichnete die sehr weitreichenden Änderungen mit mehreren neuen Straftatbeständen als "Feinjustierung unseres strafrechtlichen Instrumentariums".Aha. Soso. Vorbereitung, ja? Was denn so?
Konkret soll unter anderem ein neuer § 89b in das Strafgesetzbuch eingefügt werden, nach dem das "Aufnehmen oder Unterhalten von Beziehungen zu einer terroristischen Vereinigung" in Zukunft dann strafbar ist, "wenn dies in der Absicht geschieht, sich in der Begehung solcher Straftaten unterweisen zu lassen."Jaja, die tollen Terrorlager, die sie so ausgiebig rhetorisch genutzt haben die letzte Zeit. Oh und natürlich wollen sie auch den Chemieunterricht unter Strafe stellen:
Darüber hinaus sollen über eine Änderung des § 91 Tatbestände "gegen das Verbreiten von Anleitungen zur Begehung schwerer staatsgefährdender Gewalttaten" in das Strafgesetzbuch aufgenommen werden. Als Beispiel dafür nennt das Ministerium Texte über die "Herstellung von Sprengstoffen".Tja, Burks, mach es dir schon mal bequem im Knast.
Das ist ja auch viel zu viel verlangt, von den Anklägern irgendwelche Beweise für konkrete Taten oder Aufhetzung zu verlangen. Es geht hier also eigentlich um die Entbürokratisierung, ein Effizienz-Streamlining der Behörden. Wir sparen lediglich überflüssige Arbeit ein. Brazil, wie kommen!
Das Problem bei Windows war, dass man da einen AcceptEx-Call mit overlapped I/O losgetreten hat, und der eine Call nahm dann halt eine Verbindung an, und signalisierte erst, wenn der was schickte. Wenn jetzt aber jemand eine Verbindung aufbaute und nichts schickte, dann nahm der Server gar keine Sockets mehr an. Kurz gesagt: ein dummes Denial of Service.
Nun, Linux hat auch sowas:
int one=1;Das habe ich irgendwann gesehen, in libowfat abstrahiert, und dann in gatling eingebaut. Und jetzt stelle ich gerade fest, dass die Linux-Implementation ein sehr ähnliches Problem hat. Nur halt dass nicht ein Socket für das DoS ausreicht.
setsockopt(sockfd,IPPROTO_TCP,TCP_DEFER_ACCEPT,&one,sizeof(one));
Ich habe da gerade eine Stunde rum debuggt (weil ich auch in meinem libowfat-Code gerade herum experimentiere und erst dachte, ich hab dabei was kaputt gemacht), bis ich beim Blick auf netstat gesehen habe, dass da 16 Verbindungen im SYN_SENT bzw SYN_RECV Stadium waren (SYN_SENT beim Client und SYN_RECV beim Server, liefen auf der selben Kiste hier), und ein Socket im SYN_SENT ohne dazu gehöriges SYN_RECV. 16 ist genau das Limit, das ich bei listen() als Backlog übergeben hatte. Die Verbindungen zählen also als "halbe Verbindungen", die man aber nicht annehmen kann; vom Problem her mit einer Syn Flood verwandt.
Und da fiel es mir wie Schuppen von den Augen. Das Linux-API ist gut gemeint aber ist in Wirklichkeit ein DoS gegen sich selbst, zumindest in der aktuellen Implementation in 2.6.27. Zu allem Überfluss wird das DoS auch noch von meinem eigenen bei gatling beiliegenden Benchmark-Tool getriggert. Ich hatte gedacht, dass mal bei früheren Versionen getestet zu haben, aber habe keine Aufzeichnungen und bin mir auch gerade nicht mehr sicher. Im Moment ist jedenfalls klar: vor dieser Funktionalität kann ich nur warnen. Benutzt das nicht in eurer Software!
Danke an Johannes, der mich überhaupt erst auf das Problem hingewiesen hat.
Vor allem beharrt der immer noch auf seinem Recht, obwohl er da den falschen abgeklemmt hat. Manche Menschen sind echt beratungsresistent. Und RAUS aus dem Bundestag mit dem, das geht ja gar nicht.
Update: das ehemalige Nachrichtenmagazin aus Hamburg basht fröhlich mit und nutzt die Gelegenheit für ordentliche Agitprop. Warum müssen die nur immer gleich so hysterisch werden beim Spiegel? Naja, jedenfalls: sie behaupten, er habe die Landesmitgliederversammlung nicht informiert über seine Stasi-Karriere, hätte es aber tun müssen laut PDS-Beschlüssen von 1991 und 1993. Der Bruch in der Linkspartei ist offenbar ziemlich genau zwischen WASG und PDS. Es gab sogar einen Misstrauensantrag, 47 dagegen, 42 dafür, eine Enthaltung. Und der Spiegel zitiert aus seiner Kaderakte:
Das Motiv des Kandidaten zur Bereitschaft eines Dienstes im MfS liegt in seiner bisherigen positiven politischen Entwicklung zugrunde, indem er selbst einen aktiven Beitrag zum Schutz unseres Staates leisten möchte. Der Kandidat ist sich der persönlichen und familiären Konsequenzen eines solchen Berufes bewußt.
Dem ist wohl nichts hinzuzufügen.
Oh und die Morgenpost schreibt, dass der Personenschutz des MfS eben nicht nur Personenschutz gemacht haben soll sondern auch gegen Oppositionelle im Einsatz gewesen sein soll.
Angeblich war diese "Stalin-Party" Geschichte hier der Auslöser für innerparteiliche Streitereien, und ich vermute mal, wenn Heise schreibt, er habe drei Leute angezeigt, darunter einen Wikipedia-Autoren, dass da tatsächlich was anderes hinter steckt als Wikipedia. Diese Sex-Shop-Geschichte war dann wohl die Retourkutsche einer schmierigen Provinzposse. Wie im Affenkäfig im Zoo, alle bewerfen sich gegenseitig mit Scheisse. Ganz toll, liebe Linkspartei. Warum schafft ihr euch nicht gleich ab? Oder glaubt jetzt ernsthaft jemand von euch, er habe "gewonnen"?
Im Rahmen der mehrstündigen Durchsuchung seiner Geschäfts- und Privaträume sei nicht nur eine Kopie der passwortgeschützten Datenbank auf seinem beruflich genutzten PC gezogen worden. Vielmehr hätten die Fahnder auch seinen privaten Heimcomputer, seinen Laptop sowie seinen E-Mail-Verkehr beschlagnahmt. Gefolgt sei der Durchsuchung eine dreieinhalbstündige Vernehmung auf dem Polizeipräsidium MainzWTF? Und der wird als "unverdächtiger Zeuge" geführt in dem Verfahren! Wie behandeln die denn bitte verdächtige Zeuge, wenn sie so mit den unverdächtigen umgehen? Gleich ab in den Knast? Kopfschuss?! Da wollte wohl jemand ein Exempel statuieren, und hatte noch Kontakte aus den Zeiten, als T-Mobile offiziell ein Staatsunternehmen war, und nicht nur mehrheitlich in staatlicher Hand wie heute. Und da kann man schon mal Fünfe gerade sein lassen, wenn es um so einen krassen Staatsfeind wie hier geht!
Wird die korrupte Unfähigkeit der degenerierten indischen Administration den wirtschaftlichen Fortschritt des Landes abwürgen? Wird Russland auf Putins autoritärem Kurs weiterfahren, oder wird es als einzigartiges Beispiel einer zentral verwalteten Räuberkultur weiterexistieren? Wird die zunehmende Dezentralisierung Europas in Regionen und Quasistaaten wie Katalonien und Schottland die alten Nationalstaaten ausreichend schwächen, um die Entwicklung einer starken paneuropäischen Regierung zu ermöglichen? Das würde die USA schwächen, die derzeit als Europas einzig funktionierender Koordinator in militärischen und diplomatischen Angelegenheiten dienen.
Ein Bataillon der 58. Armee des Nordkaukasischen Militärbezirks hat sich zum Lager der russischen Friedenstruppen am Rande des südossetischen Verwaltungszentrums Zchinwali durchgekämpft.Ist das nicht großartig? *träneverdrück*Wie RIA Novosti im Stab der Gemeinsamen Friedenstruppen erfuhr, brachten die Soldaten Lebensmittel, Medikamente und Munition mit und sind jetzt dabei, Verletzte zu evakuieren.
Update: Krass, geht weiter: Abchasien nutzt die Gelegenheit und greift Georgien auch an. Und Russland drückt ganz doll auf die Propaganda-Tube und bezeichnet die Georgier als Terroristen.
Nun sagen ja die Dokumente da draußen, dass die neuen ATI-Karten supported werden, weil ATI eine BIOS-Abstraktion namens Atom-Bios hat. Da stellte sich mir die Frage, wieso dann nicht auch das ganze 3d-Zeug über Atombios abstrahiert wird, denn die 2d-Performance von X ist echt amtlich, das fühlt sich an, als hätten die 2d Hardware-Acceleration. Stellt sich raus: haben sie nicht. Die ganze Performance kommt daher, dass sie im Hauptspeicher eine Kopie des Framebuffers haben, dort rum manipulieren, und dann die Kopie in den Videospeicher kopieren. Das ist für Dinge wie "großes Fenster verschieben" VIEL schneller als die Daten aus dem VRAM zu lesen und an anderer Stelle zurück zu schreiben. Die haben gar keine 2d-Beschleunigung auf meiner Grafikkarte. Das hat mich schon echt erstaunt, denn wer mal vesafb oder so benutzt hat, was ja auch keine 2d-Beschleunigung hat, der wird sehen, dass das furchtbar langsam ist. Und so habe ich mal die radeonhd-Leute befragt heute, und die haben mir erklärt, der VESA-Treiber habt keinen shadowfb und sei deshalb so langsam.
Tja, jedenfalls heißt das für mich, dass ich auf xvideo noch eine Weile warten muss, denn da haben sie die 3d-Specs noch nicht, und auf aktuellen ATI-Karten läuft Video eben über die 3d-Engine. Da muss ich dann wohl durch jetzt. Seufz.
Ich habe hier gerade nur ein 64-bit Vista, um das mal zu prüfen, und da tauchen die beiden Konstanten aus dem Disassemblat in dem Blog nicht in lsasrv.dll auf, aber dafür in psbase.dll.
Es geht hier um die Funktion CryptProtectData, nicht generell um den Zufallszahlengenerator, wenn ich das richtig verstehe. CryptProtectData ist dafür da, dass eine Anwendung private Daten des Nutzers "verschlüsseln" kann, so dass sie auf der Platte abgelegt nur für diesen User zugänglich sind. Ich weiß jetzt nicht, wer das konkret benutzt, aber ich würde mal vermuten: sowas wie Internet Explorer für die gespeicherten Webseiten-Passwörter.
Nun wird Microsoft das ja nicht eingebaut haben, weil sie Franzosen nicht mögen, sondern auf Druck der Regierung. Da muss man sich ja schon mal fragen: wie kommt es eigentlich, dass diese üble Junta in der EU ist? In der Verfassung faseln sie was von Menschenrechten und dann sowas? Krasse Scheiße. La Grande Nation, my ass.
Oh übrigens, wer kein Assembler lesen kann: da steht was von DESKey, und er schreibt die beiden Konstanten 0x6d8a886a und in die zweite Hälfte 0x4eaa37a8. Ich lese das mal ohne weitergehende Analyse ungefähr so:
if (country == FRANCE || language == FRENCH)
deskey=0x4eaa37a86d8a886a;
Update: wichtiges Detail: offenbar ist es || statt &&, d.h. auch der französischsprachige Teil von Kanada wäre betroffen. Das sagt mir gerade Ramon, der besser Französisch kann als ich. (Danke, Jason)
Nachschlag zur Debian-Sache: ich hatte ja erzählt, dass whitehouse.gov betroffen war. Nun, stellt sich raus, auch Akamai ist betroffen. Akamai, das sagt vielleicht dem einen oder anderen nichts, das ist ein Content Distribution System. Das wird von allen möglichen Sites benutzt, u.a. von ATI für den Treiber-Download, und, besonders pikant, ELSTER zum Formular-Download für die Steuern:
DownloadWas heißt das jetzt konkret? Deren X.509-Zertifikat ist ja public, wurde von deren Webserver ausgeliefert. Inzwischen haben sie den natürlich ersetzt. Aber wer schnell genug war (und jemand war schnell genug und hat mir das gemailt), der hat jetzt ein Zertifikat mit dazugehörigem Private Key von "a248.e.akamai.net".Der Download erfolgt von einem externen Server des Anbieters Akamai "a248.e.akamai.net" der von der Finanzverwaltung für die Bereitstellung der ElsterFormular-Dateien genutzt wird.
Was heißt das? Nun, dieses Zertifikat ist ja signiert. Von einer CA, der die Browser der Welt vertrauen. Ich kann mich jetzt also mit diesem Zertifikat hinstellen und Browsern gegenüber erfolgreich behaupten, ich sei Akamai. Konkret: wenn jemand neben mir auf einer LAN-Party einen ATI-Treiber runterläd, oder sein Steuer-Formular zieht, kann ich mich in die TCP-Verbindung einklinken, und dann ist der SSL-Schutz ausgehebelt.
Um den Schaden von sowas zu minimieren haben SSL-Zertifikate eine Verfallsdauer von einem Jahr (naja, einstellbar, aber üblicherweise ist es ein Jahr). Dieses Akamai-Zertifikat läuft im Oktober aus. Ich habe das Zertifikat lokal geprüft und es funktioniert. Also, mal unter uns: das ist eine echt große Katastrophe. Nicht nur für Akamai. Es gibt auch nichts, was Akamai tun kann. SSL hat für solche Fälle die Idee einer Revocation List, aber das skaliert nicht und daher haben die Browser das alle abgeschaltet oder gar nicht erst implementiert. PKI funktioniert schlicht nicht in der Breite. SSL ist überhaupt ein Kapitel für sich. Habt ihr mal in eurem Browser die Liste der CAs angeschaut, denen euer Browser vertraut? Kennt ihr auch nur bei einer davon nähere Informationen, die Vertrauen rechtfertigen würden? Seht ihr? Ich auch nicht.
Ich möchte noch eine Sache bestonen: Akamai hat sich hier nichts vorzuwerfen. Die haben alles richtig gemacht. Wir bauen unser Kryptographie-Fundament auf Sand, da kann man noch so tolle Best Practices haben und einhalten. Im Übrigen gelten diese Überlegungen auch für alle anderen Varianten, wie jemand an einen Private Key kommen kann, z.B. Einbruchsdiebstahl. Und es gilt analog für alle anderen Public Key Systeme und PKIs im Moment, z.B. bei e-Government und der Gesundheitskarte. Skalierender Schlüsselrückruf ist ein ungelöstes Problem.
Update: Noch ein Nachschlag zu ELSTER. Stellt sich raus, dass die Elster-Leute auch noch ein Cross Site Scripting Problem haben, und man gar nicht SSL spoofen muss, um denen den Bundestrojaner unterzujubeln. Danke an Thomas für den Hinweis.
Update: Alexander Klink hat offenbar auch eine große deutsche Bank mit dem Problem gefunden, und, besonders hart: deren Zertifikat läuft erst in drei Jahren ab.
In the wake of the Debian weak key issue it was revealed that whitehouse.gov had a weak key. It turns out that the Akamai SSL key is also weak. Akamai, in case you never heard of them, is a major content distribution network. They have tens of thousands of servers distributed over the world. If you have a high traffic web site, you can contract with them, and they will host it and redirect visitors to the site closest to them. Their customer list includes Microsoft, the New York Times, and — particularly interesting for this — ATI's driver downloads.
Akamai obviously replaced their keys immediately. BUT. If you were quick enough, you could get their old public key (it is sent as part of the SSL handshake), and since the private key is weak (there are only 32k possible keys), you can generate the private key to it. Someone did (who wishes to remain anonymous) and sent the key to the CCC. I verified it. The key works. The part that has not sunk in yet for most people is: the public key is signed by a CA that browsers trust. I have a public key and a private key. I can now impersonate Akamai. If I can manipulate your TCP connection (which is easy, for example, if you are using Wifi or are on the same LAN with me), I can send you malware instead of the ATI driver.
SSL has two defenses for this. First: keys expire. This particular key expires October 2008. Second: Certificate Revocation Lists. SSL originally had the idea that CAs would publish a list of compromised keys, and as part of the SSL handshake, the browser would check if the key is on the list. The problem is: that does not scale. At all. There are billions of SSL connections being established per second, Verisign can not possibly pay for the traffic to send their list to everyone. So — noone checks the CRLs. This is the main reason why PKI does not work in practice.
One more thing: I'd like to stress that Akamai did nothing wrong here. They did everything right and still have a problem. The same problem occurs if someone gets the private key by some other means, for example breaking and entering. The foundation upon which we build our infrastructure is less stable than most people realize.
Die Gruppe der Freizeit-Blogger nutzt ihr Weblog als Online-Tagebuch. Semiprofessionelle Blogger investieren zwar einen signifikanten Teil ihrer Zeit in die Pflege des Weblogs, nutzen es jedoch nicht als Haupterwerbsquelle wie die professionellen Blogger. Der Anteil professioneller Blogger ist im Vergleich mit den USA noch sehr gering.Aha. Blogs sind also erst politisch und reif, wenn sie als Haupterwerbsquelle dienen. Toller Plan. Nur Leute, die Partisanen-Blogs betreiben und von dem Goodwill ihrer Werbekunden abhängig sind, sind richtige Blogger. Komisch, sehe ich genau anders herum. Solche Leute kann man in den USA nicht ernst nehmen, und hier erst Recht nicht.
Aber die Sache hat auch positive Aspekte. Man sieht, dass sie Angst vor uns haben. So viel Angst, dass sie uns überreden wollen, uns auch in ein Abhängigkeitsverhältnis zu begeben und nur noch gequirlte Kacke zu publizieren. Ich nehme das mal als Kompliment. (Danke, Klaus)
Diesmal geht es um Abschneiden von Integer-Werten. Das ist ein seltener Bug, aber es wäre trivial für gcc, in dem Fall eine Warnung rauszuschmeißen. Ich habe schon Produktionscode auditiert, der den Bug hatte, das ist also nicht theoretisch. Die Idee ist folgende:
int needed=0;Wenn die Liste nicht aus tatsächlich allozierten Dingen besteht (oder auf einer 64-bit Plattform läuft), sondern sagen wir aus Regionen in einer in den Speicher gemappten Datei, oder einer virtuellen Sache wie bei einem Webserver in einer HTTP-Anfrage die Ranges, dann ist das ein Integer Overflow. Bug 1 ist, dass hier int benutzt wird, das ist vorzeichenbehaftet, das gibt nur Ärger. Bei einem Overflow kommt am Ende ein negativer Wert raus, und dann hat man Code wie diesen:
struct node* l;
for (l=listhead; l; l=l->next) {
needed+=l->chunksize;
}
if (needed < MAX_ALLOC) {
buf=malloc(needed);Wenn needed negativ ist, läuft der Check durch, aber malloc nimmt size_t, der Compiler konvertiert das implizit, und dabei wird das dann ein sehr großer Wert und je nach System klappt womöglich sogar die Allokation.Bug 2 ist, dass der Overflow nicht abgefangen wird. Wenn ihr euch an das hier erinnert, ist das der 2. Grund, keine vorzeichenbehafteten Werte für Längen oder Größen zu nehmen. Gut, nun nehmen wir mal an, jemand konvertiert das nach unsigned long long, um den Overflow loszuwerden. Haben wir alles schon gehabt. Er checkt auch ordentlich, dass es bei der Addition keinen Überlauf gibt. Aber auf einem 32-bit System ist size_t normalerweise 32-bit breit, und unsigned long long ist 64-bit breit. Bei der Übergabe des Arguments schneidet gcc daher den oberen Teil ab. Ein schlauer Angreifer kann dann den Wert so zurecht fummeln, dass die Summe nach Abschneiden 1 ergibt, aber in der Reinkopier-Schleife dann mehr reinkopiert wird. Ein klassischer Heap-Overflow.
Daher mein Vorschlag, dass man bei Allokations-Längen dem Compiler mitteilen kann, dass hier ein Abschneiden ein echtes Problem wäre.
Wenn die gcc-Leute sich weigern, werde ich bei der dietlibc wahrscheinlich so etwas wie das hier machen:
#define malloc(x) ({typeof(x) y=x; (y<0 || (size_t)(y)!=y ? 0 : malloc(y));})Kommentare? Übrigens möchte ich bei der Gelegenheit auch noch mal meine Integer Overflow Seite pluggen.
55.11% done; got 382.9MiB of 694.7MiB in 7 sec (54.7MiB/sec), 5 sec to go.Und zwischen gatling und Notebook (dl):
40.64% done; got 282.4MiB of 694.7MiB in 5 sec (56.5MiB/sec), 7 sec to go.OK, das sieht ja schon mal verdächtig ähnlich aus. War im Grunde auch zu erwarten, schließlich benutzt auch samba heutzutage sendfile.
Das ist einfach so lahm, weil SMB die Dateien immer blockweise verschickt. D.h. man schickt einen Request, dass man 60k Datei ab Offset 0 haben will, dann liest man eine Antwort mit den Daten, dann schickt man den nächsten Request. Die Pipeline zwischen Server und Client bleibt immer stehen, wenn der gerade einen Request rausgeschickt hat, bis der nächste Request kommt. Da kommt dann mehrfach die Round Trip Zeit dazu, die Ethernet hat (das ist im Millisekundenbereich, aber das läppert sich).
Gut, aus dieser Erkentnis müsste man ja Kapital schlagen können. Also habe ich mal dl aufgehackt, damit er den nächsten Read Request immer schon rausschickt, wenn er gerade anfängt, die Antwort auf den letzten zu lesen. Hier gegen Samba:
85.81% done; got 596.1MiB of 694.7MiB in 10 sec (59.6MiB/sec), 1 sec to go.Und hier gegen gatling:
93.36% done; got 648.6MiB of 694.7MiB in 7 sec (92.7MiB/sec), 0 sec to go.Man sieht also: das lohnt sich. Allerdings auch nur dann, wenn die Server-Software nicht eh schon am Anschlag arbeitet :-)
Die 92 MB/sec sind schon recht nah an HTTP dran. Mit HTTP kriege ich im selben Szenario 97 MB/sec. Das ist, falls sich jemand fragt, deshalb nicht wire speed, weil das über TCP geht, und TCP am Anfang eine Weile braucht, bis die Window Size groß genug ist. Bei einem Transfer, der insgesamt nur 10 Sekunden braucht, schlägt sich das dann so nieder. meine Zeitmessungen nur mit Sekundenauflösung stattfinden, da gibt es dann Rundungsartefakte.
Interessanterweise verbrät samba gar nicht mal auffallend mehr CPU-Zeit als gatling. Das ist wohl einfach schlechtes Software-Design, was hier den Ausschlag gibt.
Doch in Wirklichkeit hat die Polizei die Gefahr durch die Terrorzelle vom Sauerland nur mit Ach und Krach gebannt. In einer vertraulichen Manöverkritik offenbaren die beteiligten Polizisten von Bund und Ländern geradezu unfassbare Mängel: Einmal dauerte es ganze sechs Wochen, bis der Mitschnitt eines vierstündigen Telefongesprächs der Terrorverdächtigen technisch so weit bearbeitet war, dass die Fahnder damit arbeiten konnten.Oh, ja, kenn ich. Mit solchen Leuten mußte ich auch schon zusammenarbeiten.
Der Grund: Im Bundeskriminalamt gibt es nur vier Phonetiker, die für diese diffizile Arbeit ausgebildet sind. Einmal schafften es die Fahnder nicht, schnell geheime Informationen auszutauschen, weil es auf ihren Dienststellen keine Telefone mit Verschlüsselungsmöglichkeiten gibt. Einmal konnten sie zwar die hochgeschützten Telefone in einer anderen Dienststelle nutzen, aber nur innerhalb der Dienstzeiten. Terroralarm nach fünf Uhr nachmittags ist in Deutschland nicht vorgesehen.Komisch, genau so habe ich mir das vorgestellt. Also fast. Ich hätte nicht gedacht, dass die da ihre Telefonate zu verschlüsseln versuchen. Ist bestimmt irgendeine rottige "geheime" Siemens-Scheiße. Der Pluto-Chip oder so. Muhahahahaha
Über den Polizeifunk trauten sich die Polizisten nicht zu kommunizieren - sie fürchteten, dass die Verdächtigen oder andere Interessierte ihre Gespräche abhörten und so gewarnt sein könnten. Also nutzten sie ihre eigenen Handys. Die Terrorverdächtigen hielten sich aber meist in abgelegenen Gegenden auf: Mal im Schwarzwald, wo sie ihren Sprengstoff in einer Garage versteckten, mal im kleinen Dorf Oberschledorn im Sauerland, wo sie die Bomben vorbereiten wollten. Dort brach den Fahndern dann regelmäßig ihre mühselig aufgebaute Handy-Schaltkonferenz zusammen.Äh, soso, Funk könnte abgehört werden, aber die öffentlichen Handynetze halten sie für sicher? Gut, dass die nicht zum CCC-Congress kommen, sonst wüßten sie es besser.
Aber hey, wenn sie schon solche Daten rausgeben, dann zu PR-Zwecken. Die Botschaft muss am Ende sein, dass wir unbedingt mehr Geld für den Unterdrückungsapparat, äh, die Staatssicherheit, ich meine, unsere staatlichen Freunde und Helfer ausgeben müssen. Und so erzählt uns der Märchenonkel auch noch brühwarm, dass vier Monate lang alle mobilen Einsatzkommandos und einige Beamte, die sich sonst um organisierte Kriminalität kümmern, an diese Nullnummer gebunden waren. Wenn da irgendwas passiert wäre, hätten sie das nicht bearbeiten können. Oh und natürlich müssen sie auch erzählen, dass die Kernbereichs-Regelung die Terroristen beschützt:
Während die Bombenbauer in ihrer Wohnung darüber sprachen, wie sie ihre Bombe anfertigen wollten, begann einer der drei Verdächtigen plötzlich zu beten. Gebete gehören zum Kernbereich des Privaten, die Fahnder mussten ihre Abhörgeräte ausstellen.Na klaaaaaaar, lieber Märchenonkel. So wird das gelaufen sein. *einschlaf*
Der CCC hat den Andreas Bogk hingeschickt, und ich habe ein bisschen an dem Schreiben mitgearbeitet. Daher bin ich zuversichtlich, dass wir die wichtigen Argumente alle genannt haben. Heute wird es wohl eigentlich nur Fragen geben, keine Grundsatzreden, aber vielleicht kann das ja der eine oder andere doch nutzen für ein emotionales Plädoyer :-)
Der Pfitzmann ist auch ein Experte und ich sehe gerade, dass er ähnlich argumentiert wie wir:
Für Pfitzmann ist eine Debatte, die die Online-Durchsuchung nur unter dem Artikel 13 des Grundgesetzes (Unverletzlichkeit der Wohnung) wertet, rückwärtsgewandt. Vielmehr müsse überlegt werden, wie sich die Zukunft der Computertechnik gestalten wird. Mensch und Computer würden in naher Zukunft immer engere symbiotische Verbindungen eingehen, wie es bei Menschen mit intelligenten Hörgeräten heute bereits ersichtlich werde: "Wir werden in diese Rechner zunehmend verloren gegangene Fähigkeiten auslagern, um sie so wiederzugewinnen. Wir werden an sie persönlichste Denk- und Merkfunktionen delegieren, um uns zu entlasten", so Pfitzmann in seiner Argumentation.Sehr schön. Ganz so toll pointiert haben wir das nicht gesagt, aber gemeint haben wir es. Der Vergleich mit den "Wahrheitsdrogen" freut mich sehr, da hätten wir auch drauf kommen sollen. Na egal. Ich bin ganz zuversichtlich, dass das in unserem Sinne entschieden werden wird. Ich habe ja argumentiert, dass man das heute schon so sagen kann. Wer schon mal einen Crackberry-Süchtigen bei der Arbeit beobachtet hat, wird das ähnlich sehen.Daher sei die Debatte um die Zukunft der Online-Durchsuchung künftig weniger mit einer klassischen Hausdurchsuchung vergleichbar als vielmehr ein direkter körperlicher Eingriff, der mit der "Verabreichung bewusstseinsverändernder Drogen zum Zwecke des Erlangens von Aussagen" vergleichbar, meint Pfitzmann. Aus diesem Grunde müsse das Verfassungsgericht ein "grundlegendes Urteil zum Schutz unseres Denkens und Merkens" fällen. Mit der computerunterstützten Persönlichkeitserweiterung gehe es bei der Entscheidung zur Online-Durchsuchung künftig zentral um den "Schutz des autonomen und unbeobachteten Denkens", so Pfitzmann in seinem Plädoyer.
Im Übrigen, völlig unabhängig davon: der Pohl hat in seiner Inkompetenz das Wort "Less-Than-Zero-Day" erfunden und in die Welt gesetzt, das auch gerade vor dem Verfassungsgericht benutzt wird. Ihr habt hiermit die Erlaubnis, jeden laut auszulachen, der das sagt. Klarer kann man seine Inkompetenz nicht zum Ausdruck bringen. Ein Exploit, der heute bekannt wurde, ist an Tag 1, sozusagen ein "1-Day". "0-Day" heißt bereits, dass er noch nicht bekannt ist. Weniger als nicht bekannt geht nicht. Nur inkompetente Idioten benutzen das Wort "Less-Than-Zero-Day".
Oh, noch ein Highlight:
Zum Erstaunen von Richtern und Experten hat der juristische Vertreter der nordrhein-westfälischen Landesregierung, Dirk Heckmann, bei der mündlichen Verhandlung über das NRW-Verfassungsschutzgesetz vor dem Bundesverfassungsgericht die damit gestattete Ausforschung etwa von Festplatten privater Rechner kleinzureden versucht. "Es geht hier nicht um das Auslesen des gesamten Festplatteninhalts", sagte Heckmann am heutigen Mittwoch in Karlsruhe. Die Befugnis erlaube es den Verfassungsschützern, allein die Kommunikation im Internet zu überwachen. "Ich gestatte mir die Frage, ob wir vom gleichen Gesetz ausgehen", zeigte sich Gerichtspräsident Hans-Jürgen Papier daraufhin verwundert.
Update: Mir erzählt gerade der nibbler von der Presseempore, dass der vorsitzende Richter folgendes gesagt hat:
Zuvor noch eine Frage an den technischen Sachverständigen — unsere Mikrofonanlage hört sich schlimm an, vorhin ist auch ein Richter im Aufzug stecken geblieben — kann man da mal… also wir bräuchten da mal jemanden…
ROTFL, das passt perfekt zu unserer Argumentation mit der Unbeherrschbarkeit der Technologie :-)
Update 2: Der Pfitzmann hat auch Humor. Der hat gerade vorgeschlagen, sie sollen doch statt Trojanern die elektromagnetische Abstrahlung nutzen. Das sei nicht massenfähig, ginge ohne Eingriff ins System, sei zielgerichtet, und, der Hammer, das funktioniere ja bei Wahlcomputern schon sehr gut. :-)
Update 3: Der BKA-Spezialexperte ist gerade dran. Der hat da voll ins Klo gegriffen. Der Kernbereich sei nicht betroffen, weil dafür der lahme DSL-Uplink eh nicht reichen würde (wie meinen?!? Mal darüber nachgedacht, wie die Inhalte auf Youtube kommen?), eine Anschaffung von Exploits sei nicht vorgesehen (damit würde sich ja der Verkäufer auch strafbar machen, so doof ist ja wohl niemand). Und dann hat er den Hammer fallen lassen: "wir haben das konzeptionell noch nicht durchdacht". Äh, whut?! Wird noch härter: dass sie den richtigen Rechner erwischt haben, würden sie ja daran sehen, dass der Trojaner Daten zurück liefert, die das dann sagen. Unglaublich. Pfitzmann hat da auch gleich drauf gekloppt. Also alleine der Spruch wird sie töten.
Update 4: Der NRW-Vertreter hat sich echt nicht entblödet, das "sind doch eh alle mit Trojanern infiziert" Argument zu bringen. Oh Mann. Der Datenschutzbeauftragte hat da eine prima Breitseite gegen gehauen; er fragte, wenn 3/4 der Rechner eh fremdgesteuert seien, wem dann die gefundenen Inhalte zuzuordnen seien.
Update 5: Die FAZ amüsiert sich über das Ausmaß des Verkackens des NRW-Menschen vor dem Verfassungsgericht. Bizarrerweise ist das der gleiche Autor, der gestern noch für die FAZ plump und platt die Gegenposition "vertreten" hat. Hoffentlich ist das SPD-Marathonumfallen nicht ansteckend…!
Heckmanns Verteidigungsversuch verfing nicht. Nach mehreren skeptischen Nachfragen von der Richterbank gelangte er schließlich zur Feststellung: „Ich gebe ja zu, dass die Norm durchaus suboptimal formuliert ist. Ich habe Sie auch nicht selbst formuliert.“
Wieder Gelächter im Gerichtssaal. Doch Heckmann blieb dabei: Ganze Festplatten zu durchsuchen, sei gar nicht beabsichtigt worden. Vielmehr wolle man nur die Kommunikation über das Internet überwachen und an E-Mails, Entwürfe und Telefondaten gelangen, bevor diese auf ihrem Weg ins Netz verschlüsselt würden. Dazu müsse man zwar auf die Festplatte zugreifen, aber lediglich auf eng umgrenzte Bereiche. Das sei möglicherweise in dem Gesetz nicht klargeworden. „Vielleicht hätte man ein Komma anders setzen sollen, darüber müssen wir dann reden.“
Haha, ein Komma anders setzen. Dass ich nicht lache. Immerhin:
Die Skepsis des Gerichts lässt erahnen, dass das Gesetz aus Nordrhein-Westfalen in Karlsruhe keinen Bestand haben wird. Der Gesetzgeber verzichtete auf einen Richtervorbehalt und schuf auch keine Regelungen, um den „Kernbereich privater Lebensführung“ von Durchsuchungen auszunehmen. Das müsste aber geschehen, um der bisherigen Rechtsprechung des Bundesverfassungsgerichts zu folgen.
Update 6: Balsam auf die Seele ist auch dieser wunderschöne Süddeutsche-Artikel dazu.
Ich hatte ja ein bißchen Angst, daß da der Schwarze Block auftauchen und randalieren könnte, und damit die Sache in Verruf bringen könnte, und tatsächlich tauchten sie auf, und wurden prompt von der Polizei in Randale-Schutzanzügen eingekesselt und die ganze Demo lang begleitet. Später gab es dann da auch noch Gerangel oder härteres; einer sprach von 15 Verletzten Demonstranten, die völlig friedlich und ohne Provokation von den fiesen Polizisten drangsaliert und mit chemischen Kampfstoffen (Pfefferspray) mißhandelt worden seien, aber, äh, … naja. Ich warte mal auf neutrale Berichterstattung. Ich habe nur gesehen, wie da plötzlich ein Pulk Polizisten am Rande des Blocks rumtänzelten, als müssten sie etwas auf dem Boden liegenden ausweichen. Vielleicht will da noch mal jemand berichten, der das auch wirklich gesehen hat, was da genau passiert ist.
Ansonsten ist die Demo am Ende von allen möglichen Gruppierungen vereinnahmt worden, u.a. auch Ver.di (deren Journalisten-Union zumindest), der evangelischen Telefonseelsorge, die Hedonistische Internationale ist mitmarschiert (und, so kritisch ich denen bisher gegenüberstand, deren Streitkultur hat mich überzeugt; deren Anführer hat da einen flammende Kampfrede geschwungen, die richtig gut war), lauter Altlinke, diverse Parteien (Linkspartei, Grüne und FDP zumindest)… ich habe ein tolles Foto, wo man die Spartakisten und die FDP nebeneinander marschieren sieht. Das hätte ich auch nicht gedacht, daß ich das mal sehen würde. Dann waren da noch Leute von der Freien Ärzteschaft, die das auch gleich genutzt haben, um gegen die Gesundheitskarte und was sie sonst noch so zwickt (gedeckelte Finanzierung von Gesundheitsleistungen) zu meckern. Kurz: grandiose Veranstaltung. Das Wetter hat auch toll mitgemacht. War prima.
Update: Ich bin in der Berlin Abendschau, und sie halten lange genug drauf, daß man das Schild in Ruhe lesen kann. Juchuu! :-)
Im Übrigen ist das selbe System wohl auch im Iran installiert, und das ist ja schon interessant für die Amis, ob sie da einfach so einmarschieren können oder ob ihnen da ihre Luftwaffe komplett vom Himmel geholt wird.
Also für mich klingt diese Geschichte plausibel. Ich denke mal, die Russen werden das auch genutzt haben, um mal die Jamming-Technologie der Amis genau zu untersuchen. Denn die Geräte werden mit Russischen Ingenieuren geliefert, die da vermutlich noch da waren bei dem Angriff.
Die Männer der Terrorgruppe Islamic Jihad Union, die in Deutschland vermutlich mindestens fünf Autobomben hochgehen lassen wollten, haben mit allen Tricks versucht, Polizei und Geheimdienste abzuschütteln.Soso, "vermutlich mindestens fünf Autobomben". Drei Hartz IV Empfänger. Wo haben die 5 Autos her? Und was für Geheimdienste?
So unternahmen die Verdächtigen oft Rundgänge um ihre Wohnungen, um mögliche Fahndungsfahrzeuge zu entdecken. Einer der mutmaßlichen Terroristen ging voraus, ein anderer folgte in einigem Abstand, um Bewegungen von Polizisten mitzukriegen.Mann Mann Mann, das sind ja gewiefte Kriminelle. Also auf sowas muss man erst mal kommen. Ums Haus sind die gelaufen! Oh Mann! Also dagegen können 300 Beamte natürlich nicht anstinken.
Wenn die Verdächtigen im Auto saßen und sicherstellen wollten, dass sie nicht verfolgt werden, beschleunigten sie auf Ausfallstraßen plötzlich auf Tempo 200 oder überfuhren rote Ampeln. Und einmal sprang der inzwischen festgenommene Daniel S. aus dem Saarländischen im letzten Augenblick aus einem abfahrenden Zug, lief über die Gleise und stieg dort in einen anderen Zug. Die Polizisten konnten nicht folgen, ohne selbst entdeckt zu werden.Mir fehlen die Worte. Völlig unmöglich, solche Leute zu verfolgen. Bei Rot über die Ampel gefahren! Nein, solche Barbaren kann man nicht verfolgen, das sieht ja wohl jeder sofort ein. Und so ein Auto ist dann natürlich weg, außer die haben einen GPS-Peilsender installiert, was heute schon bei G8-Protestierern gemacht wird, von denen offensichtlich keinerlei Gefahr ausgeht. Aber hey, wenn jemand aus dem Terrorcamp in Pakistan in Deutschland Autobomben baut, für solche Fälle haben sie keine GPS-Wanzen übrig, denn die waren alle bei den G8-Gegnern verbaut. Oder so. Und die Bahn-Nummer, tja, die Bahn ist nicht verfolgbar. Klar hätte man einen anderen Polizisten zum nächsten Bahnhof schicken können, aber hey, das hilft auch nicht, wenn der Terrorist zwischendurch die Notbremse zieht, aus dem Zug hüpft oder sich von Scotty rausbeamen läßt!1!!
Auch technisch versuchten die Täter sich zu tarnen. Nach Informationen der SZ kommunizierten die Verdächtigen unter den IP-Adressen unbescholtener Bürger miteinander. Sie drangen dafür in offene, ungeschützte Wireless-Lan-Netze ein und benutzten dann zur Tarnung die IP-Adressen (individuelle Nummern für jeden Internet-Zugang), um ihre Führungsleute in Pakistan zu erreichen.Habt ihr gehört, ihr unbescholtenen Bürger? Macht sofort eure WLANs zu!1!! Sonst kann man hier im Lande noch anonym kommunizieren, und wo kämen wir da hin. Ohne Totalüberwachung können wir hier keine Sicherheit herbeiführen.
Der Brüller: das haben natürlich nicht unsere großartigen Ermittler herausgefunden, sondern die Amis haben ihnen ein paar Echelon-Mitschnitte gegeben.
Amerikanischen Ermittlern, die vor allem die Kommunikation von und nach Pakistan im Blick haben, fielen diese E-Mails im Herbst 2006 erstmals auf. […] Wie die Amerikaner an ihre Informationen gekommen waren, teilten sie den Deutschen nicht mit — das ist nicht üblich im internationalen Geheimdienstgeschäft.Nein, wirklich? Bwahahahaha. Also, mal zusammengefaßt. Die Amis lesen offensichtlich unsere Email komplett mit. Und die tollen Terroristen haben ihre Emails unverschlüsselt verschickt, die Deppen.
Das fandet ihr schon alle schlimm? Wartet mal, der eigentlich Kracher kommt noch.
Zu dem Zeitpunkt, als die mutmaßlichen Täter ihre zwölf gehorteten Fässer mit Wasserstoffperoxid aus dem Versteck holen und mit der Herstellung von Sprengstoff beginnen wollten, spielten sie ein Verschlüsselungsprogramm auf einen ihrer Computer. "Da wurden wir blind", sagt ein Fahnder der SZ. "Da hätte uns ein Trojaner geholfen, um da einzudringen."Tataaaaaaa! *Tusch*
Da möchte ich doch mit dem Kopf gegen die Wand schlagen, wenn ich das lese. Aber wartet, das könnte noch jemand nicht verstanden haben, diese subtile Botschaft.
Denn dass die Täter durch ihre Verschlüsselungsaktion der Polizei die Augen vernebelten, wird, wenn es zum Prozess kommt, vor Gericht eine Rolle spielen — und die Angeklagten, ihre Hintermänner und mögliche Nachahmer werden daraus lernen, wie sie sich am besten schützen können. "Wir werden blind und taub, wenn wir hier nicht mithalten", sagt ein hoher Sicherheitsverantwortlicher.Na, schon mal so viel Desinformation auf einem Haufen gelesen in Deutschen Medien? Und die Süddeutsche fing gerade an, Anzeichen von seriösem Journalismus zu zeigen. Mann Mann Mann.
Sicherheitsexperten bemängeln, dass sie noch nicht einmal die Telefonate abhören dürfen, die aus den Terrorcamps in Pakistan nach Deutschland gehen.Was für eine DREISTE Lüge. Echt, so eine Schweinerei. Ich könnt echt nur noch kübelweise kotzen. Es ist nicht Aufgabe des BKA, Terrorcamps in Pakistan zu überwachen. Das macht der BND. Der hört dann auch den Anruf ab und sagt dem BKA Bescheid, und die gehen dann zum Richter und beantragen eine TKÜ für die angerufene Nummer. Umgekehrt kann das BKA dem BND sagen, welche Zielnummern im Ausland sie abgehört haben wollen. Das eigentliche Problem ist, daß das Terrorcamp in Pakistan nicht über Festnetz mit Caller-ID anruft, sondern über Skype Call-Out, d.h. der Telefonanruf geht dann hier bei Skype in Deutschland los. Aber hey, Skype arbeitet selbstverständlich auch mit den Behörden zusammen, es ist keinesfalls so, daß man da einen Trojaner bräuchte, um Skype abzuhören. Das sagen sie nur, damit die dumme Bevölkerung ihnen abnimmt, daß man Trojaner braucht.
Gut, was macht man in solchen Fällen? Man googelt mal. Und findet z.B. das hier, wo Craig Murray (der immerhin von 2002 bis 2004 für die Briten Botschafter in Usbekistan war) die ganze Gruppierung für frei erfunden oder eine False Flag Operation hält. Er hat damals ein paar dieser Gruppe zugerechnete Anschläge untersuchen wollen, ist da hin gefahren, und hat (nur wenige Stunden nach der jeweiligen Explosion) keinerlei Anzeichen für eine Explosion gefunden.
Ich denke mal, unter diesem Gesichtspunkt muss man auch die sofortige Erwähnung von "Al Kaida" sehen. Der Schäuble hat ja geradezu rührend heute den Bürgern erklärt, daß "Terrornetzwerke" heutzutage sowohl getrennt sind als auch zusammen arbeiten. Das muss wohl sogar ihm selbst aufgefallen sein, daß das nicht viel Sinn ergibt, so wie er da gestammelt hat.
Oh, der Spiegelfechter hat da auch noch einen Focus-Link gefunden, wo sie schon im Mai über diese Gruppe geplappert haben. So ein Mist, das Popcorn ist alle :-)
Auch ansonsten finde ich es ja belustigend, wie sie bemüht sind, diesen Angriff auf US-Amerikaner in Deutschland als Angriff auf Deutschland auszulegen. Gut, bei der Disco und dem Frankfurter Flughafen wären auch Nicht-Amis zu Schaden gekommen, aber es klingt für mich ja doch irgendwie so, als sei da eine Autobombe gegen die US-Basis in Ramstein geplant gewesen, und dann haben sie noch den Frankfurter Flughafen dazu getan, damit sich die Bürger auch schön fürchten.
Oh und zu der Bombe: da ist immer von Wasserstoffperoxid die Rede. Der Sprengstoff dazu ist TATP (Wikipedia dazu) und der ist sehr instabil, d.h. reagiert empfindlich (durch Explosion) auf Hitze, Reibung und Schock. Nun stellen wir uns mal in der Praxis ein Auto vor, das damit voll geladen ist, und das jemand dann zum Ziel fährt. Fährt einer rein? Boom. Zu stark gebremst? Kawumm. Warmer Tag? *fump*. Man nutzt das normalerweise als Zünder für einen anderen Sprengstoff, z.B. einen Plastiksprengstoff. Kurz gesagt: das stimmt doch mal wieder alles hinten und vorne nicht. Vielleicht will da noch mal ein Chemiker was zu sagen, falls ich die Empfindlichkeit des Zeugs überschätzt habe.
Bin ich eigentlich der Einzige, der sich fragt, wie viele Millionen ein Polizeieinsatz über 9 Monate mit 300 Mann kostet? Und wie viele Lehrer man davon hätte einstellen können?
Das Bruttosozialprodukt pro Einwohner liegt im Kosovo niedriger als in Ruanda. Der Binnenmarkt ist durch Einfuhr subventionierter Güter aus Europa vollständig zum erliegen gekommen, Tomaten, Salat, Textilien, Mineralwasser werden importiert — in einem Agrarland.
Hasan Bajrami von der Handelskammer erklärt, es lohne sich für die Bevölkerung eher, den UN-Mitarbeitern Kaugummi zu verscherbeln als auf den Feldern zu schuften. Auch deshalb, weil es die UN-Gerichte in den vergangenen acht Jahren nicht geschafft haben zu entscheiden, wem die Felder eigentlich gehören. Am meisten ärgert Bajrami, dass die UNO den Europäern gestattet, Lebensmittel zu Dumpingpreisen einzuführen und die hiesigen Preise zu verderben. So absurd es klingen mag: Die Milch aus der Slowakei verbilligt sich mit dem Transport in den Kosovo, eine Flasche Coca-Cola kostet hier 29 Cent.Kurz: wie in Afrika, nur daß der Kosovo seine Rohstoffe nicht nutzt. Hauptexportprodukt ist Altmetall.
Die Probleme, die auf dem Land und seiner Bevölkerung lasten, sind gewaltig: Eine EU-Kuh in Frankreich wird mit drei Euro pro Tag subventioniert, jeder zweite Bürger des Kosovo muss mit einem Euro auskommen. Wird ein Kosovare ausgeraubt, kann er nicht erwarten, dass die Täter je gefasst werden, obwohl das Land — im Verhältnis zur Einwohnerzahl — über mehr Polizisten als jedes andere in Europa verfügt. Sollte er seinen Anspruch auf ein Stück Land anmelden, zucken die Richter mit den Achseln. Und wenn er ins Krankenhaus kommt, muss er eigene Spritzen und Bandagen mitbringen. Wie konnte es passieren, dass der Kosovo nach acht Jahren UN-Herrschaft in Armut, Chaos und Rechtlosigkeit versinkt?Das von der Uno eingerichtete Management ist ein Vorbild and Korruption und Mißmanagement. Jobs werden nicht nach Qualifikation sondern nach Zahlung von 3000 Euro oder bei Frauen von "intimen Dienstleistungen" vergeben. Wenn was passiert, dürfen die Soldaten nicht einschreiten. Und selbstverständlich haben die UN-Beauftragten alle vollständige Immunität. Un-glaub-liche Zustände. (Danke, Tobias)
Weitere Frage: Sicherheitsbehörden zeigten grosse kreativität, beispielsweise mit der verdeckten SMS, um die geltenen Regelungen auszuweiten. Ob sichergestellt oder offengelassen sei, dass dieses Feature weitergenutzt wird zur Profilerstellung?Bisschen konfus, aber ich lese das so, daß das nicht ausdrücklich verboten ist, und damit davon ausgegangen werden muss, daß die darauf Zugriff haben. Insofern vielleicht eher schon Stasi 3.0, was wir da gerade betreiben.Zypries: "Diese spezielle Frage ist nicht ausdrücklich geregelt". Das sei mittelbar zulässig. Hier sprang ihr mItarbeiter Herr Engers zur Hilfe: Standortdaten könnten erhoben werden, "wir verpflichten aber nicht". "Technisch müssen Daten erhoben werden, wenn Daten gespeichert werden, können diese erhoben werden". Verdeckte SMS seien weiterhin möglich. "Aber ausdrücklich nicht im Gesetzentwurf".
glibc installiert seine Header in /usr/include, und hat verschiedene Header für x86 und x86_64. Man kann aber gcc mit -m32 aufrufen, und dann kompiliert er für x86. Leider benutzt er dann immer noch /usr/include. In den meisten Fällen ist das OK, aber manchmal eben nicht, wie z.B. beim Java-Runtime von gcc. Nun hat gcc einen Override-Mechanismus für sowas. Z.B. included er vor /usr/include noch seinen Override-Pfad /usr/lib64/gcc/x86_64-unknown-linux-gnu/4.1.1/include (bei mir). Nun, leider ist auch dieser Pfad der selbe bei -m32.
gcc hat einen Mechanismus, um sowas zu fixen. Man kann ein specs-File erzeugen. Früher hat gcc das mitgeliefert, heute ist das built-in. Man kann das trotzdem noch extrahieren (ruft mal "gcc -dumpspecs" auf, um euch den Horror mal zu geben) und irgendwo geschickt platzieren, aber … wir haben 2007. Liebe gcc-Leute, das ist unter aller Sau. Fixt das mal. Und wenn die glibc-Deppen nicht pro Plattform andere Includes hätten, wäre das auch alles kein Problem. Das liegt im Übrigen u.a. daran, daß glibc die Kernel-Header included. Ich habe das am Anfang auch gemacht bei der dietlibc. Linus himself hat mir dann eine Mail geschrieben, daß ich das nicht machen soll, weil das nur Probleme macht, und hey, rückblickend hatte der Mann sowas von Recht… tja, nur bis zur glibc hat sich das noch nicht rumgesprochen.
Wenn ihr eine 64-bit Distribution fahrt, dann guckt euch mal an, wie die das regelt. Gentoo hat da echt einmal den Hazmat-Anzug angezogen und ein Konstrukt namens "multilib" gebaut. Auf meinem Gentoo-Testsystem sieht z.B. /usr/include/wchar.h so aus:
/* Autogenerated by create_ml_includes() in multilib.eclass */Na, ist das nicht wi-der-lich? Danke, liebe glibc, daß ihr Linux so effektiv kaputt gemacht habt. Nicht einmal offene Eiterwunden wie X oder Samba sind je so tief gesunken.#ifdef __i386__
# include
#endif /* __i386__ */#ifdef __x86_64__
# include
#endif /* __x86_64__ */
Oh, noch nen Nachschlag für die Variante mit dem "specs"-File: wenn ich das anfasse, und da z.B. folgendes bei cpp_options reineditiere:
{m32:-isystem /usr/include32}dann hängt mir das natürlich auch beim dietlibc-für-x86-Kompilieren /usr/include32 in den Pfad und macht alles kaputt. Ihr seht schon, wieso Gentoo diese Würg-Lösung gewählt hat.
Ich nutze die Gelegenheit mal für eine kleine Geschichte. Vor Jahren hatte ich mal ein Livekonzert von ihm in einem kleinen Berliner Club auf Radio Fritz gehört, und am Ende fiel mir auf, daß ich das hätte aufnehmen sollen. Als ich dann mal im Rahmen von Chaosradio zu Radio Fritz kam, nutzte ich die Gelegenheit, und frage die Fritz-Leute mal, ob sie mir das mal aus dem Archiv holen könnten. Und sie sagten mir: es gibt da kein Archiv. Keine große Jukebox, wo der Moderator seine Musik einprogrammiert, und der Roboter aus dem Keller spielt das dann ab. Nein, der Moderator bringt sein Bootleg mit, oder sie übertragen das halt tatsächlich live, aber mitgeschnitten und archiviert wird da gar nichts. Das war für mich einer dieser "Erwachsen-Werden" Momente, wo grobe Fehleinschätzungen der Welt korrigiert werden. Oh und was ich ja fast noch faszinierender fand: die haben da nicht mal ne Playlist, anhand derer man später GEMA-Abgaben oder so nachvollziehen könnte. Man erzählte mir, die GEMA hätte da Software, die alle Radiostationen anhört, und dann die Lieder erkenne. Da hab ich nicht schlecht gestaunt damals.
Falls zufällig jemand hier eine Aufnahme von diesem Konzert hat (oder eines anderen Konzetes von Randy in "kleiner Club" Atmosphäre), bin ich für eine Privatkopie dankbar.
Update: Hier ist ein schönes Konzert (wenn man das Gefasel rausschneidet)
Bitte beachtet:
Update: Und schon hat jemand (Fabian Keil, danke!) einen Fuckup gefunden. Neues Diff (Jan 15 17:20) geuploaded.
if ( !initialized ) {
volatile ulong aa, bb; /* we really want the uninitialized value */
ulong a, b; initialized = 1;
/* also this marker is guessable it is not easy to use this
* for a faked control packet because an attacker does not
* have enough control about the time the verification does
* take place. Of course, we can add just more random but
* than we need the random generator even for verification
* tasks - which does not make sense. */
a = aa ^ (ulong)getpid();
b = bb ^ (ulong)time(NULL);
memcpy( marker, &a, SIZEOF_UNSIGNED_LONG );
memcpy( marker+SIZEOF_UNSIGNED_LONG, &b, SIZEOF_UNSIGNED_LONG );
}
Ich habe da genau so viel Kontext wie ihr, aber ich würde das so interpretieren, daß Herr Koch hier ein Protokoll mit in-band signalling gebaut hat, und ein Angreifer hier Pakete einfügen kann, und er will das jetzt "reparieren", indem er "Zufallswerte" einfügt, die der Angreifer nicht raten können soll.Also ich könnte euch jetzt erzählen, daß Werte auf dem Stack alles andere als zufällig sind, daß PID und Uhrzeit auch eher gut ratbar sind, aber die eigentliche Nachricht ist: gnupg hat einen "control channel", der in-band signalling benutzt, und auf dem Angreifer Daten einschleusen können. Mehr muss man nicht sagen. Und diesen Müll-Code habe ich seit Jahren eingesetzt! OMFG! Ich glaube nicht, daß das mit einem Patch fixbar ist. Wegschmeißen, neu machen. Im Übrigen schreibt man das "although", nicht "also".
./indra/newview/llinventorymodel.cpp: system(buffer);Und dann dieser Instant-Klassiker-Kommentar:
./indra/newview/llstartup.cpp: system(update_exe_path.c_str());
./indra/newview/viewer.cpp: system(command_str.c_str());
./indra/newview/viewer.cpp: command_str += " &"; // This backgrounds the command so system() doesn't block until the crashreporter exitsUnd noch ein Haufen system-Aufrufe im OS X Update Teil, aber hey, weiß ja jeder, daß OS X sicher ist, da muss man also nicht weiter gucken. BWAHAHAHAHA.
Also ich finde ja, Second Life hacken ist wie die Special Olympics hacken. Da könnte ich danach nicht mehr ruhigen Gewissens schlafen. Aber falls das jemand der Anwesenden hier benutzt: ihr werdet demnächst voraussichtlich am Grid Computing teilnehmen, wenn auch unfreiwillig.
Oh, popen ist auch beteiligt:
./indra/mac_updater/mac_updater.cpp: FILE *mounter = popen("hdiutil attach SecondLife.dmg -mountpoint mnt", "r");Also ich habe ja keine Ahnung von Apple, aber das sieht vage gefährlich aus. Dann noch dieses Extrembeispiel von programmiererischer Eleganz:./indra/SConstruct:pipe = os.popen('grep LL_VERSION_MAJOR llcommon/llversion.h | sed \'s/.*=//; s/[^0-9]*//g\'')
Er soll auch dem CCC und Nedap in einem Top geworfen vorgeworfen haben, nicht kooperiert zu haben. WTF? Und er sagt, er kenne die Unterschied zwischen dem deutschen und dem niederländischen Modell nicht, die sie in ihrer Erklärung damals als Ausrede benutzt hatten. Der Kaiser hat hier offenbar keine Kleider an. Ich denke, man wird dazu bald auf den CCC-Webseiten einen Konter lesen können, sobald wir das Interview vorliegen haben.
Innenminister Wolfgang Schäuble (CDU) erklärte gegenüber der "Frankfurter Allgemeinen Sonntagszeitung", die Bundesregierung habe in dieser Situation abwägen müssen. "Natürlich muss man den Staatsbürgern helfen aus dem Krieg herauszukommen. Da kommt der eine oder andere mit, dem wir bei der Einreise Passersatzpapiere ausgestellt haben", sagte Schäuble. Man habe nicht kleinlich sein wollen.Hach wir sind ja so humanitär und grundgut und werden immer nur von den fiesen Terroristen ausgenutzt. Nun fragt sich vielleicht der eine oder andere, was die Hisbollah gegen uns haben könnte. Wie wäre es mit der Tatsache, daß wir den Israelis ständig Waffen verkaufen (oder verschenken, wenn sie gerade keine Lust auf bezahlen haben)?
Oh, und aus den Kommentaren: Eine großartige Sammlung zu den ganzen Algorithmen aus dem Feld! Wow, ich mußte mir da noch ein echt obskures Buch von einem Prof aus Chile bestellen, um so eine schöne Zusammenfassung zu kriegen!
Aber wie ich meine Freunde von freedesktop.org kenne, machen die keine halben Sachen. Wenn kaputt, dann auch verbrannte Erde. Und tatsächlich, es gibt da jetzt knapp 300 Pakete. Sah erst nicht so schlimm aus, weil ich nur gezogen hatte, was im X11R7.1 Verzeichnis lag. Stellt sich raus, daß das nur die Hälfte ist! Die Pakete, die sich seit X11R7.0 nicht geändert haben, die haben sie nicht rüber gesymlinkt, sonst könnte ja noch jemand darauf kommen, daß man die auch ziehen muss!
Und nun muss man sich mal in die Lage von freedesktop.org versetzen. Man gibt den Leuten 300 Pakete, die in unklarer Weise voneinander abhängen. Wieso überhaupt 300 Pakete? Weil die da echt mit dem Fleischwolf kompartmentalisiert haben; ein Dutzend der Pakete beinhalten überhaupt nur Header! Kommen natürlich trotzdem mit configure-Skript und allem Tamtam:
Seht ihr die sagenhafte Effizienz dieses Systems? Für nicht mal 10k Nutzdaten haben sie mir fast 200k Müll geschickt.-rw-r--r-- 1 leitner users 1315 May 17 2005 COPYING
-rw-r--r-- 1 leitner users 415 Mar 31 10:39 ChangeLog
-rw-r--r-- 1 leitner users 223 May 9 2005 Makefile.am
-rw-r--r-- 1 leitner users 15837 May 20 16:58 Makefile.in
-rw-r--r-- 1 leitner users 21739 May 20 16:58 aclocal.m4
-rwxr-xr-x 1 leitner users 195 May 5 2005 autogen.sh
-rwxr-xr-x 1 leitner users 81157 May 20 16:58 configure
-rw-r--r-- 1 leitner users 225 Mar 31 10:39 configure.ac
-rwxr-xr-x 1 leitner users 9233 May 20 16:58 install-sh
-rwxr-xr-x 1 leitner users 11014 May 20 16:58 missing
-rw-r--r-- 1 leitner users 1962 Mar 31 10:39 saver.h
-rw-r--r-- 1 leitner users 5349 Mar 31 10:39 saverproto.h
-rw-r--r-- 1 leitner users 4298 Mar 31 10:39 scrnsaver.h
-rw-r--r-- 1 leitner users 197 May 9 2005 scrnsaverproto.pc.in
Das ist ja schon ziemlich grobe WMD-Qualität, freedesktop.org blieb überhaupt nur eine Möglichkeit, das noch schlimmer zu machen: sie dokumentieren nicht die Abhängigkeiten. Ja, I kid you not, die Abhängigkeiten sind nicht dokumentiert. Und als ob sie genau wüßten, daß ich Python-Software aus religiösen Gründen nicht auf meine Platte lasse, bieten sie ein Build-Tool an, das in Python geschrieben ist. Und wo ist das dokumentiert? In ihrem… Wiki. Kann man sich noch lächerlicher machen? Oh ja, man kann! Indem man die pkg-config (JA! Das erwähnte ich noch nicht, sie verwenden tatsächlich das Schweinetool aus der Hölle, _pkg-config_!) Pakete anders benennt als die Verzeichnisse und Tarballs (Beispiel: evieproto -> evieext-X11R7.0-1.0.2). Kurz gesagt: in der Zeit, mit der ich mich jetzt schon darüber aufgeregt habe, habe ich das früher dreimal gebaut, und ich habe hier noch nicht mal den X-Server fertig gebaut, geschweige denn irgendwelche Grafiktreiber.
But wait, there is more! Es gibt Patches für Sicherheitslücken. In X11R7.1 liegen die Patches, aber die gepatchten Pakete sind von X11R7.0, und der Patch heißt nicht mal komplett so wie der zu patchende Tarball, und, ja liebe Gemeinde, es geht noch übler, die Patches haben nicht mal die selbe -p Konvention! Manche brauchen -p0 bei patch, andere -p1. Offensichtlich wollte da jemand verhindern, daß man das automatisiert oder im Halbschlaf bauen kann.
Was für Sicherheitslücken sind denn das, werdet ihr jetzt wissen wollen? Das Projekt ist 25 Jahre alt, das müssen ja immens subtile Dinge sein, die sie da jetzt erst gefunden haben, richtig? Sie haben vergessen, bei seteuid den Rückgabewert zu prüfen. OMFG!!
Ihr werdet euch jetzt fragen, wie ich das überhaupt gebaut kriege mit den Abhängigkeiten und so. Ich rufe configure bei dem Paket auf, das ich wirklich haben will, warte eine Minute, dann laufe ich den Abhängigkeiten hinterher. Rekursiv.
Liebe Freedesktop-Leute, wenn ich euch mal im Dunkeln begegne, und zufällig einen Clue-by-Four dabei habe, dann gnade euch Gott!1!!
Update: Beeindruckend. Vier Stunden später, X startet, lädt den richtigen Treiber, aber weigert sich dann, etwas anderes als 640x480 zu fahren. Alle an die Wand stellen nach der Revolution, das sage ich euch.
Zumindest unter Techies ist das Wahlmaschinen-Problem weitgehend bekannt.
Die Debatte mit den mexikanischen Einwanderern läuft mit sehr ähnlichen Argumenten ab wie bei uns, aber es fühlt sich für mich viel klarer an, weil ich da als Außenstehender nicht emotional betroffen bin. Ich finde es sehr interessant, sich damit zu beschäftigen, weil man die Erkenntnisse am Ende vielleicht übertragen kann. Die vorgebrachten Argumente sind:
Auch sehr interessant an Mexiko ist Vicente Fox, der Präsident, denn der hat bei Amtsantritt erst mal angefangen, seine Befugnisse und die der Regierung auf das in der Verfassung definierte Maß zurück zu fahren. Sowas würde ich mir ja auch bei uns mal wünschen. Der Mann scheint der einzige Demokrat zu sein, den die USA in fremden Ländern an der Macht halten. Normalerweise sind das ja eher krasse Diktatoren und fiese Tyrannen.
Im Übrigen, liebe Susanne, beantrage ich hiermit ein Howto, oder eine FAQ von mir aus, wo solche tumben Parolen mal aufgelistet und in einfachen Worten widerlegt werden. Ich halte es für an der Zeit, daß wir allen Leuten Argumente in die Hand geben, um aus solchen Stammtischparolen souverän die Luft rauslassen zu können. Ich gebe mal ein Beispiel, wie ich das meine:
"Die Mexikaner zahlen keine Steuern"So oder so ähnlich wünsche ich mir eine Art Wikipedia der dummen Stammtischargumente und ihrer Widerlegung. Wer macht mit? Ich will jetzt nicht, daß wir alle über Mexikaner bloggen, sondern schon über unsere eigenen Probleme, aber der Blick auf vergleichbare Probleme anderer Leute hat noch keinem geschadet.Erstens betrifft das nur die Einkommenssteuer; andere Steuern wie Mehrwertsteuer, Tabaksteuer, Benzinsteuer und so weiter zahlen die natürlich auch. Zweitens gibt es auch in den USA ein progressives Steuersystem, bei dem man erst ab einem Mindesteinkommen steuerpflichtig wird. Und das Einkommen der durchschnittlichen illegalen Einwandererfamilie ist deutlich unter dem Mindeseinkommen. Im Übrigen nutzen die Mexikaner ja auch die ganzen Dienstleistungen nicht, die US-Bürgern zur Verfügung stehen. diese Studie von 2004 sagt, daß bei einer Einbürgerung die Kosten pro Mexikaner für den Staat um knapp 200% oder $5000 steigen (die Seite will mit den Zahlen das Gegenteil ausdrücken, aber wenn die Mexikaner weg wären, müsste der Job ja von anderen gemacht werden, die dafür auch nicht mehr Geld bekämen, aber Bürger wären).
Na egal, habe ich halt ein anderes zlib-Interface ("inflate") benutzt, um damit die hereinkommenden Daten, die ich per recv lese, zu unzippen, und was soll ich euch sagen — Z_DATA_ERROR. Weil zlib ein anderes Format als gzip benutzt, und man muss inflate sagen, daß man einen gzip-Header erwartet, indem man inflateInit2 benutzt statt inflateInit, und dann bei dem Parameter, der die Anzahl der Bits im Compression Window, 32 dazu addiert. Das teilt dann inflate mit, daß auch ein gzip-Header OK ist.
Aber hey, ich habe da jetzt schon so viel Zeit rein versenkt, diesen Benchmark unter Windows zum Laufen zu bringen, ich lasse mich jetzt nicht von zlib abhalten!! Also habe ich das gemacht, und immerhin den 1. Teil durchgeführt, das Auspacken des Tarballs. Vorher den Durchsatz mal verdreifacht, indem ich den Antivirus, Windows Defender und den Search Service abgeschossen habe; soll die Nachwelt entscheiden, ob ich das tun mußte, weil das sonst unfair gewesen wäre, oder ob ich das hätte drinlassen sollen. Man könnte ja auch argumentieren, daß Microsoft einem diesen Scheiß per Default ausliefert, also ist das nicht meine Schuld, wenn ich das nicht ausmache. Ich habe ja auch unter Unix den sshd nicht abgeschossen. Anyway, ich habe also endlich die Dateien auf die Platte gehauen, und meinen gehackten Webserver gestartet, und … ich kriege bizarrste Fehlermeldungen. Ich benutze da u.a. overlapped I/O, d.h. ich haue Requests raus, und queue die mit einem Zeiger auf eine State-Struktur an einem Completion Port, so funktioniert deren API. Dann kriege ich mitgeteilt, da ist ein Vorgang fertig, und hier ist der State dazu. Und an der Stelle wird einem dann auch gesagt, wie viele Bytes man denn nun tatsächlich gelesen hat. Und was soll ich euch sagen, ich queue da Reads für 8k (mehr Header erwarte ich nicht, die tatsächlichen Header sind eher so 150 Bytes), und der Completion Port sagt mir dann, "ich habe die 83k gelesen, die du haben wolltest". WTF?! Nicht nur das, ich kriege auch den Effekt, daß ein Read, den ich rausschicke, nicht mit "OK, ich melde mich dann später" antwortet, sondern sofort fertig wird. Laut API-Beschreibung kann das nicht passieren. Tja, und dann segfaultet der Serverprozeß plötzlich. Reproduzierbar. Oh, nicht in meinem Code, in NTDLL. Grunz!! Ich vermute ja, daß da deren State Machine durcheinander kommt und mir einen Block zweimal zurück gibt, und daher ein Double Free passiert oder so. Aber im Moment ist das völlig unklar alles.
gatlings Logformat verteilt seine Zugriffe auf mehrere Zeilen, damit man Statistiken über Sachen machen kann, die man sonst nicht sehen kann. Hier ist ein Beispiel:
Hier kann man an den Zeitstempeln sehen, wie viel Zeit zwischen dem Connect und der eigentlichen Anfrage vergangen ist (und so z.B. sehen, wenn jemand nur connected, dann keine Anfrage stellt, aber die Verbindung offen hält). Für eine Referrer-Analyse. Der Nachteil ist: wenn man nach GET grept, sieht man nicht die verbindende IP-Adresse. Daher habe ich ein kleines Skript namens "acc.pl" gehackt, das das zurück zuordnet. Kein Ding, 24 Zeilen, der formatiert auch noch etwas um.@400000004482340c3386c9cc accept 33 217.20.118.153 38748 1
@400000004482340c33933d4c GET/CGI 33 /rss.xml 0 Mozilla/5.0_(Windows;_U;_Windows_NT_5.1;_en-US;_rv:1.7.10)_Gecko/20050716_Firefox/1.0.6 [no_referrer] blog.fefe.de
@400000004482340c3395d174 cgi_fork 33 62 25805
@400000004482340d27f174cc cgiproxy_read0 62 159 10101
Die zweite Aufgabe ist etwas involvierter, nämlich soll da geguckt werden, welche Links extern referenziert werden. Ich möchte sehen, wer auf meine Meldungen linkt, welche Meldungen besonders häufig verlinkt werden, und von wo sie am meisten Hits zu mir tragen. Das ist gut, weil ich so auch Missbrauch sehen kann, wie z.B. als ich neulich über 1000 Hits pro Tag von irgendwelchen Foren-Sites auf ein Bild bei mir hatte. Dieses Skript nannte ich "deep-links", und es ist ähnlich komplex, 34 Zeilen perl. So, und jetzt schaut euch mal das typische Zeitverhalten an:
Gut, die Kiste ist nicht die schnellste, und das waren die Logdaten von mehreren Tagen, ein paar MB kommen da zusammen. In C ist das deutlich komplexer, weil es da keinen System-Hashing-Code gibt, und weil man da mehr Error Checking machen muss und mehr explizit hinschreiben muss, und so ist acc.c 136 Zeilen lang, und referrer.c 190 Zeilen. Ein deutlicher Sprung in Komplexität, keine Frage, aber schaut euch das Zeitverhalten für die selben Daten auf dem selben Rechner an:perl ~/acc.pl 5.99s user 0.07s system 81% cpu 7.449 total
deep-links 1.23s user 0.06s system 17% cpu 7.560 total
Und das ist der Grund, wieso perl und co ja ganz nett sind, aber man am Ende eben doch C nehmen will.acc 0.40s user 0.05s system 78% cpu 0.574 total
referrer 0.06s user 0.02s system 13% cpu 0.573 total
Python und Ruby sind übrigens noch viel langsamer als perl, von PHP mal ganz zu schweigen.
Eine andere häufig gehörte Ausrede ist, daß das ja keine Rolle spielt, ob eine kurze Aufgabe 0.2 oder 2 Sekunden braucht, das sei ja weniger Unterschied, als man bräuchte, um sich darüber aufzuregen. Das halte ich für groben Unfug. Es gab da Studien, aber mal von mir ganz persönlich aus gesprochen: auf den Computer warten zu müssen macht schlechte Laune. Das macht sogar so viel schlechte Laune, daß die Leute sich alle paar Jahre neue kaufen, obwohl ihr alter noch prima funktioniert. Schon eine halbe Sekunde ist spürbar zu langsam. Ich habe mal mit einem Aktientrader zu tun gehabt, und der hatte für seine Software das Ziel, daß die Software schneller den Bildschirm updaten (und auf Tastendrücke reagieren) muss, als der Bildschirm für seinen Refresh braucht. Das ist jetzt viele Jahre her, daß ich mit dem Mann zu tun hatte, aber denkt mal drüber nach. Im Grunde hat er Recht. Wenn ich auf meinem Rechner 5 Megabyte Logs durchgefummelt haben will, dann ist es bei 1,8 GHz nicht vertretbar, daß ich da länger als ne Sekunde drauf waren muss.
Der Unix-Ansatz ist, daß man die Sockets alle auf "non-blocking" setzt. Wenn man dann read aufruft, aber nichts da ist zum Lesen, blockt der Prozeß nicht, sondern man kriegt "probier später nochmal" als "Fehler"-Meldung. Dann benutzt man ein Event Notification API, um sich sagen zu lassen, auf welchen Sockets gerade Daten reingekommen sind.
Unter Windows ist der Ansatz umgekehrt: es gibt keinen Non-Blocking Mode für Sockets. Man startet ein read mit fixem Zielpuffer, und das Event Notification Framework von Windows sagt einem dann nicht, wenn es was zu lesen gibt, sondern wenn es was zu lesen gab, d.h. zu dem Zeitpunkt ist das schon gelesen. Das Problem dabei: Wie macht man Timeout-Handling? Man kann nicht unterwegs fragen, wie weit der Datei-Rausschieben-Job schon gekommen ist! Also kann man auch nicht wissen, ob die Verbindung seit 10 Minuten hängt, oder ob da nur ein sehr langsames Modem auf der Gegenseite ist.
Und dann schreiben die Man-Pages was von Background-Threads, … also kurz gesagt: der Windows-Ansatz ist: "gib mal her, der Kernel macht das schon". Nur leider macht der Kernel das nicht besonders gut. Kernel-Threads, das erweckt eine Vision von einem Thread pro ausstehendem I/O-Request, anstelle einer anständigen State Machine.
Ein anderes Problem ist, wie man Handles alloziert. Man macht einen Socket oder eine Datei auf, und kriegt ein Handle vom System. Unter Unix ist das traditionelle Problem, daß das ein Integer ist, und das man die kleinste unbelegte Zahl als Integer kriegt. Linux und die BSDs haben sich da unglaubliche Algorithmen überlegt, um das schnell zu erledigen (einfach ist es jedenfalls nicht). Windows liefert einfach nicht den kleinsten Integer aus, sondern irgendeinen. Man sollte denken: Problem erledigt. Aber dann stößt man auf Funktionen wie AcceptEx, wo man einen Deskriptor wiederverwenden kann, weil es offenbar unter Windows immer noch immens teuer ist, ein Handle zu allozieren. WTF?!
Schlimmer noch: der Normalfall bei TransmitFile (dem sendfile-Ersatz unter Windows) ist, daß das ganze File am Stück gesendet wird, und man kann dann per Flag sagen: "mach danach mal die Verbindung zu". Kurzum: Timeout-Handling, nein danke. Und dieses Handle-Wiederverwerten legt die Vermutung nahe, daß typische Server, selbst wenn sie dieses Ultra-Skalierbarkeits-API verwenden, trotzdem nur n Verbindungen parallel haben können, weil man die Handles unter Windows halt vorher als Pool alloziert und mehr geht dann halt nicht. Oder wie?
Man darf gespannt sein, wie sich das dann unter realen Gesichtspunkten mißt. Aber ich mache mir da keine großen Hoffnungen, wenn ich Formulierungen wie "The server optimizes the TransmitFile function for high performance. Workstations optimize the function for minimum memory and resource utilization." lese. Ich hab hier "nur" Windows XP Professional zum Testen, und da performt das ja offensichtlich absichtlich scheiße, damit die Leute lieber die Advanced Datacenter Ultra Monster HeadShot Edition kaufen. Überhaupt ist TransmitFile der Kludge des Jahres. Man sendet immer Chunks aus einer Datei, als Länge maximal 32 Bit. Dateien mit mehr als 4 Gigabyte schickt man dann, indem man halt mehrfach TransmitFile aufruft. Womit wir dazu kommen, wie man sagt, ab welchem Offset in der Daten TransmitFile schicken soll. TransmitFile sendet ab der aktuellen Byteposition im File, aber die Man Page rät einem, man möge die Overlapped-Struktur (die für alle anderen Fälle opak ist und interne Fortschrittsinformationen für asynchrones I/O für den System-Thread ablegt, der es bearbeitet) manipulieren, um das Offset zu setzen. Es ist Pfusch wie dieser, der das alles nicht schön aussehen läßt. Na mal gucken.