Da wird es wohl manchen doch zu arg. Weiterlesen »

Wo wir es gerade von schwierigen Abrissarbeiten haben: Wie man sich mit dem Schneidbrenner selbst den Ast absägt (und es nicht überlebt). Da hätte man nicht nur drauf kommen können. Der, der es überlebt hat, ist wohl auch drauf gekommen.

Ich hatte ja schon geschrieben, dass ich mich frage, wie sie die Brücke von Baltimore zerlegen wollen. Weiterlesen »

Vom Akademischen. Weiterlesen »

ist offenbar sehr aktiv: Weiterlesen »

Leute, ist Euch eigentlich aufgefallen, Weiterlesen »

Hatten sich Linke, Feministinnen, Genders nicht auf die Fahnen geschrieben, Frauen „sichtbar“ zu machen? [Update] Weiterlesen »

Wo wir es doch gerade von fliegenden Klos hatten: Eine Boeing 777 von Frankfurt nach San Francisco musste über der Nordsee umdrehen, weil das Klo über und dessen Tankinhalt in die Kabine lief.

Leserzuschrift zu der Frage, wie es eigentlich dazu kam wie es ist. Weiterlesen »

Es sprach die heilige Hohepriesterin der Queers und Lesben: Weiterlesen »

In Ludwigsburg müssen Asylbewerber keinen Müll mehr trennen.

Während herkömmliche Bevölkerung für den kleinsten Fehleinwurf Ärger bekommt oder der Müll nicht mehr abgeholt wird, kapituliert man vor der Mülltrennungsverweigerung der progressiven Bevölkerung. So geht „grün“. Und es ist nicht nur im grünen Baden-Württemberg, der betroffene Stadtteil heißt auch noch „Grünbühl“.

Fragt sich, wie lange man dort überhaupt noch Mülltonnen verwendet und den Müll nicht einfach aus dem Fenster wirft. Was machen dann eigentlich die Mülltrennungsfanatiker, wenn Europa keine Herzmedikamente mehr aus China und Indien bekommt?

Die Medienanstalt Berlin-Brandenburg (MABB) teilt mit, dass man sich jetzt auch die „In-Car-Entertainment-Systeme“ (vulgo: Autoradios) der Autohersteller vorknöpft, um diskriminierungsfreie Vielfalt zu erzwingen.

Die Tücke steht im Kleingedruckten: Weiterlesen »

Geliefert wie bestellt. Oder wie man im Englischen sagen würde: „’told you so…“. Weiterlesen »

Die Inflation sinkt … Weiterlesen »

Pfff. Weiterlesen »

Wie die „Staatswissenschaftler“ der Uni Erfurt mit einer umgehen, die nicht gendern will. Jede eine Nazi-Schlampe, die irgendwo von der vorgegebenen Einheitsmeinung abweicht. Und aus solchen Leuten rekrutieren sich Politik und Parteien.

Und dann beschweren sich Geisteswissenschaften bei mir darüber, dass ich sie für gesellschaftlichen Bodensatz und intellektuell nutzlos halte, viele ihrer Fakultäten für akademischen Restmüll und geistig unfähige Zivilversager halte. Das wird in diesem Land nichts mehr mit den Universitäten – die sind längst so eine Art Honeypot für Gesindel.

In den USA wurde zum ersten Mal ein Robotor-Polizei-Hund erschossen. Ein Roboter namens „Roscoe“ (ein Spot von Boston Dynamics) wurde vom Einbrecher mit drei Schüssen erledigt.

Dafür kämpft die Polizei nun gegen eine Piratenplage in der Bucht von San Francisco.

Die Abflusspumpe ersetzt den Notarzt? Weiterlesen »

Angeblich kein Aprilscherz: Laut BILD will Botswana 20.000 Elefanten nach Deutschland abschieben und verlangen, dass sie hier „frei laufen“ können.

Grund: Zoff mit den Grünen, besonders Steffi Lemke. Botswana leide unter einer Elefantenplage und deren Vandalismus, aber Lemke mache denen Vorschriften zum Wildtierschutz. Deshalb meint Botswana, dass die Deutschen doch selbst genau so mit Elefanten zusammenleben sollen, wie sie es Botswana vorschreiben wollen. 20.000 freilaufende Elefanten in Deutschland – das wäre was.

Update: In der WELT steht mehr dazu.

Mein Vorschlag: Wir nehmen die 20.000 Elefanten und schicken ihnen stattdessen 20.000 freilaufende Feministinnen.

Gabor Steingart meint, das Jahrzehnt des Schreckens für die deutsche Exportindustrie habe begonnen.

Ich sehe das anders. Ich bin der Auffassung, dass wir uns im letzten Jahrzehnt als Staat Deutschland befinden. In spätestens zehn Jahren wird von diesem Staat nichts mehr übrig und daran auch nichts mehr „deutsch“ sein. Es wird die Messgröße „deutsche Exportindustrie“ nicht mehr geben.

Irgendwas „gegen Rechts“ hätt ich machen sollen.

Oder: Warum ist Lisa Paus eigentlich Ministerin und nicht im Gefängnis? Weiterlesen »

Die meisten haben es gemerkt, aber für die, die darauf reingefallen sind: Weiterlesen »

Die Digitale Burka. Weiterlesen »

Die beste mir bisher bekannte deutschsprachige Darstellung und Zusammenfassung der umfangreichen social-engineering-Begleitung der xz-Attacke Weiterlesen »

Zur Abwechslung mal gute Nachrichten. Weiterlesen »

Polizei und Staatsanwaltschaft dienen zunehmend nicht mehr der Verbrechensverfolgung und -bekämpfung, sondern der Oppositionsbekämpfung und dem Machterhalt der Regierung. Weiterlesen »

Sind wir gerade nur knapp am totalen IT-Fuckup vorbei?

Und wissen wir vielleicht noch nicht einmal, was da noch droht?

Das Problem ist, dass am aktuellen Fall vieles noch unklar ist, und dass das, was klar ist, schwer laienverständlich zu erklären ist.

Ich fange mal so an:

Zu den wichtigsten und sicherheitsrelevantesten Programmen überhaupt im Unix/Linux-Bereich gehört der sogenannte ssh-Dämon. ssh (secure shell) ist das Programm, mit dem man sich auf anderen Rechnern einloggt und dort dann auch Administrator (root) wird, womit man also den gesamten Rechner kontrolliert. Wer in diesem ssh-Dämon (sshd) eine Lücke ausnutzen kann, der kann dann jeden Rechner übernehmen, bei dem er an den ssh-Dämon kommt, je nach Art der Lücke. Und das ist übel, weil große Teile der Server und der ganzen Internetdienste auf Linux laufen und damit den ssh-Dämon verwenden, um den Zugang sicher zu steuern.

Und genau das ist nun passiert, ein Angreifer hat es geschafft, da irgendwie eine Sicherheitslücke reinzuschmuggeln. Angeblich eine ganz böse, mit der man noch vor der Authentifikation Schadcode ausführen kann, man also überhaupt keine Zugangsdaten braucht (etwas anderes wäre es beispielsweise, wenn man Zugangsdaten für einen Benutzer bräuchte, und sich damit als jemand anderes einzuloggen, aber hier war es die Möglichkeit, direkt Schadcode mit Root-Rechten auszuführen, also der Jackpot).

Nur dem Zufall und einem aufmerksamen Programmierer namens Andres Freund (ironischerweise bei Microsoft), dem auffiel, dass da was nicht stimmt, ist es zu verdanken, dass der Angriff zu einem Zeitpunkt entdeckt wurde, als die Lücke noch – nach derzeitigem Wissen – nur in den Entwicklungsversionen und noch nicht in den Produktivversionen der Systeme war.

Es geht dabei um einen sehr trickreichen Angriff, der nicht direkt am sshd stattfand, sondern über ein Kompressionsprogramm xz, genauer gesagt, dessen Programmbibliothek, in das eine Hintertür eingebaut war, die aber nur aktiviert wurde, wenn es als Teil des sshd lief und dann erlaubte, schon beim Schlüsseltausch, also lange vor der Authentifikation, Schadcode einzuschleusen.

Was mir daran schon Stirnrunzeln bereitet: Warum eigentlich verwendet die ssh bzw. deren Dämon eine Schrottbibliothek wie xz? (Wer mal gucken will: Auf einem Linux-System ldd /usr/sbin/sshd aufrufen, da taucht liblzma.so auf) Es ist bekannt, dass xz ein ziemlicher Schrott und miserabel entworfen ist.

Anscheinend war es nun so, dass hinter liblzma die Firma oder sonst unklare Organisation Tukaani steht. Und bei der nun wieder habe ein Entwickler mit dem Account JiaT75 und dem Namen Jia Tan , den sie nicht einmal kennen, Code-Änderungen eingeschmuggelt. Was man über Jia Tan weiß.

Das nun wieder war möglich, weil der Code sehr gut getarnt war. Soweit ich das bisher gelesen habe, war die Backdoor nicht im Quelltext lesbar, sondern in Testdaten, die man heute eben für automatische Tests beim Compilieren der Software (CI/CD-typisch) verwendet, war wohl eine vorcompilierte Bibliothek versteckt, die man dann eingebunden hat, weshalb die Backdoor nirgends im Quelltext auftauchte.

Dazu kamen wohl noch eine Reihe orchestrierter Fake-Accounts für social engineering, die die neue Version lobten oder die Maintainer von Red Hat und Debian beknieten, SuSE wohl auch, Alpine wohl ebenso, nur indirekt Homebrew, dass sie die neue Version doch in ihre Distributionen aufnehmen sollten, weil so toll und gut – und das sogar erfolgreich, die fanden Eingang in die Entwickler- und Testversionen, aber noch nicht in die Produktivversionen (wo sie aber dann gelandet wären).

Es gibt inzwischen ganz viele Webseiten dazu (meine jetzt auch), nicht ganz einfach, da noch greifbare Informationen zu finden. Hier und hier etwa, oder hier. Oder auch in deutsch. Oder Heise hier und hier. Und natürlich den CVE.

Alle regen sich auf, aber Ursachenforschung habe ich bisher nicht entdeckt, bis auf einen Spott mit Verweis, dass xkcd das schon betrachtet habe:

Dazu – mit Verweis auf dieselbe XKCD-Zeichnung – hatte ich aber auch schon viel geschrieben. Nämlich dass wir immer mehr Software schreiben, deren Zusammensetzung wir nicht mehr kennen, weil einfach irgendwelche Bibliotheken eingebunden werden, deren Herkunft und Qualität unbekannt ist, und die ihrerseits immer mehr hinter sich herziehen. Ich habe vor Jahren mal – ich mag Java nicht – für einen Test eine Java-Umgebung aufgesetzt um ein Programm zu übersetzen – und erste einmal eine halbe Stunde gewartet, bis das Ding alle Dependencies aus dem Internet zusammengesammelt hatte, und mir damit dann die Platte vollgerotzt hat. In der Frühzeit von Rust wollte ich mal deren Web-Framework Iron ausprobieren, aber das Example lief nicht. Weil irgendwo auf der Welt irgendeine Bibliothek verändert worden sei, man aber selbst nicht wisse, wo in dem Haufen Zeugs, von dem man abhänge, das sei.

Und hier haben wir nun den Vorfall, dass einfach irgendjemand, jemand, den keine Sau kennt und überprüft hat, ob es den überhaupt gibt, ohne Historie, mit Phantasienamen einfach auftauchen und eine Backdoor in eine Programmbibliothek drücken kann, mit der er – wenn das nicht rein zufällig jemand entdeckt hätte – alle Linux-Server dieser Welt (Windows ausnahmsweise mal nicht, aber besser ist das da auch nicht) kompromittiert hätte.

Und das auf eine Weise, gegen die auch ein sorgfältiger Administrator, Firewall, Intrusion Detection nichts geholfen hätten.

(Was aber wieder meine Meinung bestätigt, dass man jederzeit in der Lage sein muss, seinen Server zu löschen und automatisiert neu aufsetzen.)

Was aber auch belegt, was ich schon vor Jahren prophezeit habe: Dass Linke, Queere, Woke, deren „Code of Conduct“, die IT zerstören. Denn deren zentrales und mit dreckigsten Methoden durchgesetzes Weltbild ist ja, dass man – Quality is a myth – wirklich jeden an jedem Code mitschreiben lassen muss und niemanden ausgrenzen darf. Und jetzt hat man das Ergebnis.

Man ist sich noch nicht sicher, wen man dahinter vermuten soll. Der Angriff sei so ausgefuchst und mit social engineering unterlegt, dass das kein Anfänger, Skript-Kiddie oder Einzeltäter sein kann.

Man hat etwa die Russen, die Chinesen, Nordkorea in Verdacht. Auf Deutsch: Man weiß nicht, wer dahinter steckt.

In einem Punkt liegt man aber wohl richtig: Nämlich, dass es eine Kriegshandlung war, ein Angriff auf die gesamte Infrastruktur. Und schaut man sich an, seit wann es den Account gibt, seit wann das vorbereitet wurde, kann man sich überlegen, mit wem das zu tun haben kann.

Weiß jemand was dazu? Weiterlesen »

Fällt mir gerade so auf: Es war mal ein Riesen-Skandal und mehrwöchige Republik-Zentral-Diskussion, weil Götz George im Tatort als Horst Schimanski „Scheiße!“ gesagt hat. Überall diskutierte man, ob das im Fernsehen möglich sein soll oder nicht. Gerade läuft – nein, vorhin lief – im ZDF „Die Bergretter“, und um die Situation dramatischer erscheinen zu lassen, sagen sie bei jeder Gelegenheit „Scheiße!“.

O tempora, o mores.

Geht auch mit der Woke-Teildisziplin „vegan“: Rügenwalder Mühle