Was sich über die letzten Tage abzeichnete, ist jetzt offiziell: Der niederländische E-Bike-Hersteller Vanmoof ist pleite … Wer ein Fahrrad des niederländischen Herstellers besitzt, muss um die Funktionalität seines Vanmoof-Rades bangen. Viele Funktionen sind an die Server des Herstellers gebunden.
Es gibt inzwischen immer mehr Produkte, die dauerhaft an die Server des Herstellers gebunden sind, und nicht mehr funktionieren, wenn die ausfallen. Was bei einer Insolvenz unvermeidlich ist. Muss man künftig die Bilanzen des Herstellers studieren, bevor man etwas kauft?
Viele Diskussionen malen gerne den eigenen Mitarbeiter als IT-Sicherheitsrisiko an die Wand. Die tatsächliche Gefahr, die von ihm ausgeht, ist aber oft unklar. Verschiedene Täterprofile interner Angreifer können größeren Schaden anrichten. Eine Erkennung und Abwehr dieser Aktionen sind nur durch einen permanenten Blick auf den Netzwerk-datenverkehr und die Endpunkte möglich.
Interessante Übersicht für die Möglichkeiten, Einbrecher im Netzwerk zu erkennen und zu identifizieren.
Fedora 38 ist nun schon eine ganze Weile draußen, aber vielleicht bietet Ihr System es Ihnen noch immer nicht an? Upgrade-Voraussetzung bei Fedora ist, dass das System ALLE Updates eingespielt hat. Erst wenn diese Bedingung erfüllt ist, wird der Upgrade auf die nächste Major-Version angeboten. Häufig übersieht man dabei aber ausgeschlossene Updates, z.B. weil mal ein Kernel mit einer Regression dazwischen war, oder eine Software nur in einer älteren Version ordnungsgemäß funktoniert. Und um solche Updates nicht dauernd wieder und wieder angeboten zu bekommen, nimmt man i.Allg. in /etc/dnf/dnf.conf einen Eintrag excludepkgs= oder exclude=auf. Und vergisst es dann.
Aber damit gilt das System nicht mehr als „voll gepatcht“ und Fedora wird den Upgrade auf die nächste Version nicht anbieten. Man muss in diesem Fall also erst diese Einträge auskommentieren, alle Updates einspielen, danach den (endlich angebotenen) Upgrade ausführen, und dann sehen, ob man die Exclude-Einträge noch immer braucht. Und wenn man da nicht von alleine draufkommt, wartet man bis zum Sankt-Nimmerleins-Tag auf den Upgrade, Fedora ignoriert kommentarlos alle verfügbaren Major-Upgrades, solange nicht absolut alle verfügbaren Updates eingespielt sind.
Übrigens, falls Sie nach dem Upgrade noch immer Ärger mit irgendwelchen Packages hätten, und eine ältere oder neuere Version davon suchen müssen, https://rpmfind.net/ ist ein sehr guter Anlaufpunkt. Sie können Packages dort direkt herunterladen und dann mit sudo dnf install <package> installieren – doch Sie sollten dabei sehr genau prüfen, ob das eine legitime Software ist. Rpmfind benutzt aber nur Packages aus offiziellen Distributionen und gibt an, aus welcher ein Package ist – falls Sie unsicher sind, also mit der Original-Distribution abgleichen.
Wenn der Compiler versteht, dass OPENSSL_cleanse keine Seiteneffekte hat außer key zu überschreiben, dann ist das ein klarer Fall für die Dead Store Elimination. Ähnlich sieht es mit einem memset() vor einem free() aus. Das ist vor ein paar Jahren aufgefallen, dass Compiler das nicht nur tun können sondern sogar in der Praxis wirklich tun. Plötzlich lagen im Speicher von Programmen Keymaterial herum. Also musste eine Strategie her, wie man den Compiler dazu bringt, das memset nicht wegzuoptimieren.
Sehr spannende Analyse von Fefe, wie Optimierungen des Compilers die Sicherheit von Software untergraben können. Da gibt man sich als Programmierer alle Mühe, sensible Daten aufzuräumen, und dann schmeißt der Compiler den Code wieder raus, weil er ihn für unnötig hält. Und Abhilfe ist gar nicht so einfach.
Kein Wunder, dass immer neue Lücken gefunden werden in Betriebssystemen und Software. Die Komplexität der SW-Entwicklungs-Prozesse hat ein derartiges Ausmaß angenommen, dass sie nur noch mit sehr hohem Testaufwand beherrschbar sind. Fefes Artikel beleuchtet dabei den interessanten Aspekt, dass sogar eine neue Compiler-Version Sicherheitslücken in Code reißen könnte, der ursprünglich sicher geschrieben war. Wer würde bei Recompilation mit einer neuen Compiler-Version den erzeugten Assembler-Code neu überprüfen? Es benötigt also umfangreiche und ständige Kontrollen des Outputs, um die Stabilität der Ergebnisse des Codes auch bei der Weiterentwicklung zu gewährleisten.
After being deprecated for several years, Security Enhanced Linux „SELinux“ beginning with the Linux 6.4 kernel can no longer be run-time disabled.
Falls Sie künftig SELinux abschalten möchten, müssen Sie das mit dem Kernel-Parameter „selinux=0“ tun, die Laufzeitunterstützung dafür wird entfernt. Oder Sie verwenden den Eintrag „SELINUX=permissive“ in /etc/selinux/config – das hat den Vorteil, dass für mögliche Sicherheitsverstöße zumindest ein Log-Eintrag erstellt wird, obwohl SELinux auch damit defacto abgeschaltet ist.
Das französische Spielestudio Drama sorgt mit einem Trailer für Gesprächsstoff in der Community. Es geht um ein Actionspiel namens Unrecord, dessen Bewegtbilder sehr an echte Aufnahmen von Bodycams erinnern, wie sie Polizisten oder Soldaten im Einsatz tragen. Tatsächlich soll das Material aber auf Basis der Unreal Engine 5 vollständig in auf einem PC berechnet worden sein.
Was mittlerweile im Bereich Computergrafik möglich ist, ist wahlweise faszinierend oder erschreckend. Sicher, im Beispielvideo (siehe Beitrag auf golem.de) für Unrecord gibt es genügend Dinge, anhand derer man den künstlichen Ursprung immer noch erkennen kann. Aber dass die Entwicklung rasant voranschreitet, wird man nicht bestreiten können, und das Missbrauchspotential dürfte enorm sein.
Sam Altman is the CEO of OpenAI, the company behind GPT-4, ChatGPT, DALL-E, Codex, and many other state-of-the-art AI technologies.
Lex Fridman im Gespräch mit Sam Altman (CEO OpenAI). Sehr interessante und aufschlussreiche Einblicke in die Technik und Philosophie hinter ChatGPT. Altman hat große und gute Ziele für Künstliche Intelligenz, aber er spricht auch sehr offen über seine Sorgen und Ängste dazu.
Sungrow, ein chinesischer Hersteller von Speicherbatterien für Solaranlagen, rollt einen automatischen Update aus und „brickt“ damit Anlagen in ganz Europa. Siehe zum Beispiel hier oder hier. War das eigentlich ein Software-Fehler oder ein Cyberterror-Anschlag? Und wie könnte man es unterscheiden? (via Fefe)
Was ist bloß los mit Euch? Ich möchte Euch ein Zitat meines hochverehrten Freundes Henryk M. Broder zurufen: „Wenn ihr euch fragt, wie das damals passieren konnte: weil sie damals so waren, wie ihr heute seid.“
Der Blick von außen mag zwar schmerzhaft sein, sehr lehrreich ist er aber unbedingt.
Offensichtlich glaubte Putin vor einem Jahr, einen Krieg, der diesen Namen auch in der internationalen Wahrnehmung verdient, vermeiden zu können, indem er eine kurze „Spezialoperation“ anordnete mit dem Ziel, die Selenskyj-Herrschaftsclique zu entmachten, die auf Biegen und Brechen in die NATO und die EU strebte. Deshalb überquerten die „Z-Einheiten“ schließlich die Grenze und rollten Kolonnen von Militärfahrzeugen auf den Autobahnen gen Kiew – wo sich Putins Soldaten allerdings eine sehr blutige Nase holen sollten.
Albrecht Künstle mit einer sehr ausgewogenen und völkerrechtlich orientierten Analyse der Vorgeschichte des Ukraine-Konflikts.
Police discovered a network of cameras set up and being used by gangs suspected of being involved in a high-profile bomb attack on the home of a regional police chief.
Auf die alte Frage „Quis custodiet ipsos custodes?“ (Wer bewacht die Wächter?) wurde in Albanien eine überraschende Antwort gefunden: Die Überwachten.
Customers at a Giant Food store in the Lehigh Valley area of Pennsylvania witnessed the moment when a robot to improve in-store efficiencies strolled off the job and into the parking lot.
Brauchte der Roboter nur frische Luft oder suchte er John Connor?
Der renommierte US-Reporter Seymour Hersh hat recherchiert und bestätigt, dass die USA hinter dem Terroranschlag auf die Nord-Stream-Gasleitungen stecken. Das ist für alle, die bis drei zählen können, keine Überraschung. Schließlich hat US-Präsident Biden höchstpersönlich in Anwesenheit des deutschen Bundeskanzlers Olaf Scholz die Zerstörung der Gasleitung angekündigt. Bemerkenswert ist nur die jämmerliche Reaktion in der deutschen Öffentlichkeit. Die Zerstörung der Infrastruktur in der Ukraine durch die russische Armee führte zu Recht zu großer Empörung in Politik und Medien. Diese Kriegsverbrecher müssen vor den Internationalen Strafgerichtshof oder vor ein Sondertribunal, hieß es. Peinlich nur, dass Deutschland im Jugoslawien-Krieg zusammen mit seinen Verbündeten dasselbe gemacht hat. Warum hat keiner damals gefordert, diese Verbrecher vor ein Gericht zu stellen?
Der mittlerweile 85 Jahre alte Pulitzer-Preisträger Seymour Hersh hat das Massaker von My Lai aufgedeckt, mit dieser Reportage kippte 1969 die Stimmung in der US-Öffentlichkeit endgültig gegen den Vietnam-Krieg. Hersh hat außerdem den Folterskandal von Abu Ghraib im Irak-Krieg öffentlich gemacht, und sich auch mit noch vielen anderen Berichten seiner langen Karriere einen untadeligen Ruf als unabhängiger und sorgfältiger Journalist erworben.
Hersh schreibt, gestützt auf eine interne Quelle in der Regierung, dass die USA zusammen mit Norwegen die Nord Stream-Pipelines gesprengt haben. Dänemark und Schweden waren zwar nicht involviert, wussten aber Bescheid und sahen weg. Hersh liefert dazu präzise Detail-Informationen über Planung, Ablauf und verwendete Technik. Interessant, und bisher wenig bekannt, ist, dass es einen weiteren Whistleblower gibt, der in militärischer Funktion an dem BALTOPS22-Manöver, bei welchem die Sprengsätze platziert wurden, teilgenommen hat, und schon vor längerer Zeit gleichlautend versucht hat die Öffentlichkeit zu informieren, aber dessen Darstellung wurde niemals publiziert, weil der Blog, an den er sich wandte, seine Angaben nicht verifizieren konnte. Es gibt also mindestens zwei Insider, die gleichlautend berichten, obwohl die Informationen des ersten Insiders erst jetzt an die Öffentlichkeit gelangt sind.
Die Nord Stream-Explosionen waren die größte jemals durch Menschen verursachte Umweltkatastrophe. Unzählige Meeresbewohner starben, und die Atmosphäre wurde sehr schwer mit Methan vergiftet. Sollte es sich bewahrheiten, dass dieser Anschlag tatsächlich ein kriegerischer Akt der USA gegen den eigenen Verbündeten BRD war, würde man wünschen, der Herrgott hätte ein paar Blitze parat.
Den Report von Seymour Hersh im englischen Original finden Sie hier. Mit einem Klick auf „weiterlesen“ erhalten Sie eine deutsche Übersetzung des Berichts von Hersh.
At the WEF Annual Meeting 2023, The Atlantic’s CEO Nicholas Thompson chaired a session called “Ready for Brain Transparency?” The session opened with an Orwellian-inspired video showing a scenario in which employees’ brainwaves were monitored and decoded. Besides using the information gathered to evaluate employee performance, brainwaves were decoded to assess whether or not any individuals had participated in criminal activity.
Man muss sich wundern, dass in einer Welt, in der Leute sich vornehmen Ihre Gedanken zu kontrollieren; dass in dieser Welt diese Leute reich und mächtig sind, und äußerst einflussreiche Berater der politischen Führer – statt in der Psychiatrie zu sitzen, wo sie nach jeder bisherigen Definition hingehören.
