fefes_blog | Новости и СМИ

Telegram-канал fefes_blog - Fefes Blog (inoffiziell)

31

Mirrors blog posts from Fefe to Telegram

Подписаться на канал

Fefes Blog (inoffiziell)

Datenreichtum im Wiener Covid-Testzentrum. Klingt wie so ein typisches Dauerprovisorium. Jemand pfuscht schnell was hin, "weil es eilig ist" (habe noch nie verstanden, wieso das eine gültige Ausrede für Pfusch sein sollte), und dann läuft es ewig weiter, weil "geht doch" und "never touch a running system".
Post: 9ee781c8

Читать полностью…

Fefes Blog (inoffiziell)

Infrastrukturapokalypse: Dorf in Rheinland-Pfalz abgeschnitten, einzige Zufahrtsstraße nach Erdrutsch weggebrochen.

Die Sanierung könnte mehrere Monate dauern, so Hans-Michael Bartnick vom Landesbetrieb Mobilität zur Zeitung "Trierischer Volksfreund".

Äh ... und jetzt?
Die Versorgung der Bewohner:innen werde nun von der Feuerwehr organisiert. Man sei derzeit dabei, mögliche Waldwege fahrtüchtig zu machen, die dann als Ausweichstrecken genutzt werden könnten, sagte der Sprecher.

o_O

Update: Ich schrieb Saarland, aber das Dorf liegt bloß an der Saar, nicht im Saarland.
Post: 9ee7f92f

Читать полностью…

Fefes Blog (inoffiziell)

Bei manchen Dingen merkt man erst, dass man sie braucht, wenn man sie erstmals erhält. Zum Beispiel Musik- und Tanz-Untermalung beim Putsch. Ich finde, das ist ab jetzt Mindeststandard bei Umsturzversuchen.
Post: 9ee7f7c8

Читать полностью…

Fefes Blog (inoffiziell)

Das Thüringer Schulportal wurde Opfer eines Cyberangriffs!1!!

Wie? Nein, nicht Ransomware. Ein "DDoS"!!1! Am ersten Schultag nach den Winterferien brach das Ding unter der Last zusammen!

Also mit SO vielen Schülern konnte niemand rechnen. Nach Ferienende? Äh, ich meine, mit so vielen Angreifern konnte niemand rechnen!1!!
Post: 9ee7ee2d

Читать полностью…

Fefes Blog (inoffiziell)

Angesichts Israels Impffortschritts und der Impfstoffknappheit in der EU kam vereinzelt die Frage auf, wieso Israel eigentlich keine Probleme beim Beschaffen des Impfstoffes hat. Israel hat sich den Pharmafirmen gegenüber als Teststellung angeboten. Das heißt konkret:

Vor allem aber hat das Land dem Impfstoffhersteller im Gegenzug die Übermittlung von Impfdaten vertraglich garantiert. Die EU legte hingegen großen Wert darauf, dass Pfizer die Produkthaftung übernimmt - was in Israel der Staat macht.

Ja gut, dann würde ich als Pharmafirma auch zuerst die beliefern, klar.

Oh und: Israel zahlt pro Impfdosis 23 Euro, die EU bloß 12.
Post: 9ee93b9a

Читать полностью…

Fefes Blog (inoffiziell)

Melvin Capital hat gegen die Reddit Army offenbar über 50% seines Vermögens verzockt, und das ist nicht wenig:

Demnach habe sich das von Melvin Capital investierte Vermögen, das sich zu Jahresbeginn auf 12,5 Milliarden Dollar belaufen habe, bis Monatsende um 53 Prozent reduziert.

Tja, wie das so ist im Leben. Eine Milliarde hier, eine Milliarde da, nach einer Weile kommt da richtig Geld zusammen!
Post: 9ee99fff

Читать полностью…

Fefes Blog (inoffiziell)

Wie schlimm ist die Lage? So schlimm: Batman verhaftet.
Post: 9ee9cae8

Читать полностью…

Fefes Blog (inoffiziell)

Ich las die Tage einen schönen Kommentar über Ursula von der Leyen irgendwo, ich glaube im ehemaligen Nachrichtenmagazin. Deren Punkt war jedenfalls, dass die Flinten-Uschi seit ihrer Zeit im Familienministerium immer gleich agiert: Sie verspricht das Blaue vom Himmel, inszeniert sich als große Reformerin, verkackt dann alles nach Strich und Faden (am besten noch mit teuren Beratern im Boot), aber bevor die Scheiße den Deckenventilator erreicht, hat sie sich befördern lassen und ihre Nachfolger müssen dann ihr Dauerverkacken ausbaden.

Stimmt auffallend, finde ich. War jetzt keine bahnbrechend neue Erkenntnis, daher hab ich es nicht gebloggt.

Aber jetzt erwähne ich es, weil ich gerade diese Meldung über die Impfstoff-Lieferverträge mit AstraZeneca sah.

Die Verträge sind nämlich (zwar geschwärzt) öffentlich, und die ARD hat die mal einem Fachanwalt gezeigt.

Ihr müsst jetzt sehr tapfer sein.

Ratet mal, was nicht in den Verträgen steht!

Kommt ihr NIE drauf!!1!

enthält der Vertrag keine verbindliche Verpflichtung, eine bestimmte Menge zu einem bestimmten Zeitpunkt zu liefern

Da steht natürlich schon drin, dass die EU bis zu Termin X soundsoviele Impfdosen haben will, aber für die Lieferung steht da immer lediglich, AstraZeneca werde sich nach Kräften bemühen, soviel zu liefern wie sie halt hinkriegen. Das heißt auf Deutsch: Keine Verpflichtung. Alles best effort. Das gibt der EU jetzt noch weniger Handhabe als ein Internetkunde gegen seinen Provider hat, der "bis zu 100 MBit" versprochen hat, denn dafür gibt es ja inzwischen tatsächlich Regeln, weil die das zu schlimm missbraucht haben.

Frau von der Leyen ist jedenfalls bei der EU genau das, was sie vorher in Deutschland war: Eine kompetenzfreie Blenderin, die außer in im Ausgeben anderer Leute Geldes in wenig anderem messbare Befähigung besitzt.

Ich bin dafür, wir regeln das, wie wir das auch sonst regeln. Wir schicken sie diskret in den Vorruhestand.
Post: 9eea45ac

Читать полностью…

Fefes Blog (inoffiziell)

Sagt mal, wenn das Gamestop-Short-Selling so einfach umdrehbar ist, um die Short Seller nackig zu machen, und sie uns jetzt keine Gamestop-Aktien mehr verkaufen wollen, … was gibt es denn sonst so für heftig lehrverkaufte Aktien? Oh, ach was? Von denen gibt es einen handlichen Index? Und die gehen gerade alle kräftig nach oben?

Das sieht aber nicht gut aus für die Hedgefunds gerade. Die Verluste vom Short Selling schwappen jetzt auf andere Aktien über, weil die Hedgefunds ihre Investments verkaufen müssen, um ihre Lehrverkaufsverluste aufzufangen. Damit sinken dann auch die anderen Kurse.

Währenddessen geht eine schöne Verschwörungstheorie rum: Dass die Hedgefonds einfach Aktien verkauft haben, die es gar nicht gibt, und dass die Reddit-Foristen jetzt über 100% der Gamestop-Aktien besitzen. Dass deshalb Robinhood nur noch den Verkauf zulässt. Denn das könnte einmal den Markt implodieren lassen, wenn das öffentlich wird, in welchem Ausmaß an der Börse mit virtuellen Aktien Leute abgezockt werden. Angeblich, wenn man die Unterlagen der Hedgefonds zusammenzählt, was die alle angeben, wieviel GME-Aktien sie besitzen, dann kommt da schon mehr als 100% der jemals von Gamestop emittierten Aktien raus.
Post: 9ee87fad

Читать полностью…

Fefes Blog (inoffiziell)

Kennt ihr das? Ihr seid in einem Gespräch und jemand sagt etwas so großartiges, dass das Gespräch sofort beendet ist? Keinem fällt mehr etwas ein, das man noch hinzufügen könnte?

Nun, meine sehr verehrten Damen und Herren, ich präsentiere: Gamestop, the Sea Shanty!

Wer das Lied nicht kennt: Das ging gerade auf Tiktok unter den woken Veganerhipstern als virtueller Chor hoch und runter.

Ich finde ja alte Liedtexte auch wegen des Textes hochinteressant, weil da lauter Wörter vorkommen, die man heute nicht mehr kennt oder die eine andere Bedeutung haben. "Bully" zum Beispiel bedeutet "betrunken" (Erklärung), und "billy of tea" ist ein selbstgebastelter Teepot. "Tonguing" ist das Ausweiden eines toten Wals.
Post: 9ee8700f

Читать полностью…

Fefes Blog (inoffiziell)

Benutzt hier jemand GnuPG? Den Thread lesen, nicht nur den letzten Tweet.

Kurzfassung: GnuPG benutzt als Kryptolibrary aus religiösen, äh, Lizenzgründen nicht OpenSSL oder etwas anderes existierendes, sondern "libgcrypt", eine eigene Krypto-Library, die im Allgemeinen langsamer als andere ist und deren API noch übler ist als die von OpenSSL. Ich kenne kein Argument dafür, die gegenüber einer Alternative zu bevorzugen.

Da ist kürzlich eine neue Version released worden, 1.9, in der Assembler-Optimierungen für einige Funktionen neu dazu kamen. Unter anderem für Hashing-Verfahren. Hashing ist eine der wichtigsten Funktionen in einer Krypto-Library und spielt z.B. eine Rolle beim Validieren von Signaturen in GnuPG.

Wenn man Daten hasht, gibt es normalerweise drei Schritte. Man hat einen "Kontext", d.h. eine Datenstruktur mit dem internen Status, die initialisiert man (Funktion 1), dann ruft man so oft man es braucht "hash mal auch diese Daten hier" auf (Funktion 2), und am Ende holt man sich den Hashwert über alle bisherigen Daten (Funktion 3). Je nach Hashfunktion, für die man das macht, beinhaltet das Finalisieren noch ein mehr oder weniger abstoßendes Padding-Verfahren, denn die Hashes arbeiten normalerweise auf Blöcken von Bytes, nicht auf einzelnen Bytes.

Bei libgcrypt heißt der letzte Schritt "finalize". Der Assembler-Code nahm an, dass niemand so blöd sein würde, nach einem finalize nochmal weitere Daten hashen zu wollen, weil das nie gültige Ergebnisse liefern kann, denn da ist ja schon Padding reingeflossen.

Stellt sich raus: GnuPG macht genau das. Das sollte wohl ein halbherziger Versuch sein, einen Timing-Seitenkanal zu schließen.

Da hätte wohl der Autor von GnuPG mal mit dem Autor von libgcrypt reden sollen, denkt ihr euch jetzt vielleicht? Das ist dieselbe Person. Werner Koch.

Was heißt das? Anscheinend reicht das Öffnen einer verschlüsselten Mail mit GnuPG, um Speicherkorruption herbeizuführen und damit eventuell Remote Code Execution.

Ich habe den Bug nicht analysiert, aber wenn das stimmt, ist das auf der Krassheitsskala ungefähr so weit oben wie Heartbleed bei OpenSSL war, denn GnuPG hat keine Privilege Separation und kein Sandboxing. Die gute Nachricht ist: Das betrifft euch nur, wenn euer GnuPG so neu ist, dass er schon gegen die neue libgcrypt linkt, die vor ner Woche oder so erst rauskam.

Kann man diese Art von Bug verhindern?

Ja, kann man.

Diese Art von Bug wäre aufgefallen, wenn GnuPG eine Testsuite hätte, die z.B. mit valgrind oder dem Address Sanitizer automatisch durchläuft, bevor er eine Version released. Noch beunruhigender als dass das offensichtlich nicht stattfindet, finde ich Werner Kochs Reaktion, als Hanno Böck genau das vorschlägt. Er schließt den Bug als "invalid". Das ist selbst für Werners Verhältnisse ausgesprochen unprofessionell, aber leider nicht überraschend.

Hey, Werner, wenn du keinen Bock auf die Verantwortung hast, die der Maintainer von GnuPG tragen muss, dann übergib das Projekt doch am besten der Apache Software Foundation oder so. Jetzt wäre jedenfalls der richtige Zeitpunkt für zerknirscht Besserung geloben gewesen, nicht für close as invalid.

Ich muss dann wohl doch mal meinen OpenPGP-Code fertig machen. So geht das jedenfalls nicht weiter.

Update: Ich hatte meinen OpenPGP-Code prokrastiniert, weil ich dachte, fürs reine Signatur-Prüfen ist mein Ansatz mit der Prozessisolation vielleicht nicht nötig. Wer verkackt denn schon eine Hashfunktion, dachte ich mir.
Post: 9eea4f6f

Читать полностью…

Fefes Blog (inoffiziell)

Wikipedia-Autor zu 8000 Euro Schadensersatz verurteilt, weil er einen isländischen Autor in dessen Wikipedia-Artikel als antizionistischen Verschwörungstheoretiker abzukanzeln versucht hat.

Ihr werdet sicher genauso schockiert sein wie ich, dass es sich dabei um "Feliks" handelt. Ihr erinnert euch? Der aus den "Geschichten aus Wikihausen"?
Post: 9eeb37b3

Читать полностью…

Fefes Blog (inoffiziell)

Benutzt hier jemand GnuPG? Den Thread lesen, nicht nur den letzten Tweet.

Kurzfassung: GnuPG benutzt als Kryptolibrary aus religiösen, äh, Lizenzgründen nicht OpenSSL oder etwas anderes existierendes, sondern "libgcrypt", eine eigene Krypto-Library, die im Allgemeinen langsamer als andere ist und deren API noch übler ist als die von OpenSSL. Ich kenne kein Argument dafür, die gegenüber einer Alternative zu bevorzugen.

Da ist kürzlich eine neue Version released worden, 1.9, in der Assembler-Optimierungen für einige Funktionen neu dazu kamen. Unter anderem für Hashing-Verfahren. Hashing ist eine der wichtigsten Funktionen in einer Krypto-Library und spielt z.B. eine Rolle beim Validieren von Signaturen in GunPG.

Wenn man Daten hasht, gibt es normalerweise drei Schritte. Man hat einen "Kontext", d.h. eine Datenstruktur mit dem internen Status, die initialisiert man (Funktion 1), dann ruft man so oft man es braucht "hash mal auch diese Daten hier" auf (Funktion 2), und am Ende holt man sich den Hashwert über alle bisherigen Daten (Funktion 3). Je nach Hashfunktion, für die man das macht, beinhaltet das Finalisieren noch ein mehr oder weniger abstoßendes Padding-Verfahren, denn die Hashes arbeiten normalerweise auf Blöcken von Bytes, nicht auf einzelnen Bytes.

Bei libgcrypt heißt der letzte Schritt "finalize". Der Assembler-Code nahm an, dass niemand so blöd sein würde, nach einem finalize nochmal weitere Daten hashen zu wollen, weil das nie gültige Ergebnisse liefern kann, denn da ist ja schon Padding reingeflossen.

Stellt sich raus: GnuPG macht genau das. Das sollte wohl ein halbherziger Versuch sein, einen Timing-Seitenkanal zu schließen.

Da hätte wohl der Autor von GnuPG mal mit dem Autor von libgcrypt reden sollen, denkt ihr euch jetzt vielleicht? Das ist dieselbe Person. Werner Koch.

Was heißt das? Anscheinend reicht das Öffnen einer verschlüsselten Mail mit GnuPG, um Speicherkorruption herbeizuführen und damit eventuell Remote Code Execution.

Ich habe den Bug nicht analysiert, aber wenn das stimmt, ist das auf der Krassheitsskala ungefähr so weit oben wie Heartbleed bei OpenSSL war, denn GnuPG hat keine Privilege Separation und kein Sandboxing. Die gute Nachricht ist: Das betrifft euch nur, wenn euer GnuPG so neu ist, dass er schon gegen die neue libgcrypt linkt, die vor ner Woche oder so erst rauskam.

Kann man diese Art von Bug verhindern?

Ja, kann man.

Diese Art von Bug wäre aufgefallen, wenn GnuPG eine Testsuite hätte, die z.B. mit valgrind oder dem Address Sanitizer automatisch durchläuft, bevor er eine Version released. Noch beunruhigender als dass das offensichtlich nicht stattfindet, finde ich Werner Kochs Reaktion, als Hanno Böck genau das vorschlägt. Er schließt den Bug als "invalid". Das ist selbst für Werners Verhältnisse ausgesprochen unprofessionell, aber leider nicht überraschend.

Hey, Werner, wenn du keinen Bock auf die Verantwortung hast, die der Maintainer von GnuPG tragen muss, dann übergib das Projekt doch am besten der Apache Software Foundation oder so. Jetzt wäre jedenfalls der richtige Zeitpunkt für zerknirscht Besserung geloben gewesen, nicht für close as invalid.

Ich muss dann wohl doch mal meinen OpenPGP-Code fertig machen. So geht das jedenfalls nicht weiter.

Update: Ich hatte meinen OpenPGP-Code prokrastiniert, weil ich dachte, fürs reine Signatur-Prüfen ist mein Ansatz mit der Prozessisolation vielleicht nicht nötig. Wer verkackt denn schon eine Hashfunktion, dachte ich mir.
Post: 9eea4f6f

Читать полностью…

Fefes Blog (inoffiziell)

Ich las die Tage einen schönen Kommentar über Ursula von der Leyen irgendwo, ich glaube im ehemaligen Nachrichtenmagazin. Deren Punkt war jedenfalls, dass die Flinten-Uschi seit ihrer Zeit im Familienministerium immer gleich agiert: Sie verspricht das Blaue vom Himmel, inszeniert sich als große Reformerin, verkackt dann alles nach Strich und Faden (am besten noch mit teuren Beratern im Boot), aber bevor die Scheiße den Deckenventilator erreicht, hat sie sich befördern lassen und ihre Nachfolger müssen dann ihr Dauerverkacken ausbaden.

Stimmt auffallend, finde ich. War jetzt keine bahnbrechend neue Erkenntnis, daher hab ich es nicht gebloggt.

Aber jetzt erwähne ich es, weil ich gerade diese Meldung über die Impfstoff-Lieferverträge mit AstraZeneca sah.

Die Verträge sind nämlich (zwar geschwärzt) öffentlich, und die ARD hat die mal einem Fachanwalt gezeigt.

Ihr müsst jetzt sehr tapfer sein.

Ratet mal, was nicht in den Verträgen steht!

Kommt ihr NIE drauf!!1!

enthält der Vertrag keine verbindliche Verpflichtung, eine bestimmte Menge zu einem bestimmten Zeitpunkt zu liefern

Da steht natürlich schon drin, dass die EU bis zu Termin X soundsoviele Impfdosen haben will, aber für die Lieferung steht da immer lediglich, AstraZeneca werde sich nach Kräften bemühen, soviel zu liefern wie sie halt hinkriegen. Das heißt auf Deutsch: Keine Verpflichtung. Alles best effort. Das gibt der EU jetzt noch weniger Handhabe als ein Internetkunde gegen seinen Provider hat, der "bis zu 100 MBit" versprochen hat, denn dafür gibt es ja inzwischen tatsächlich Regeln, weil die das zu schlimm missbraucht haben.

Frau von der Leyen ist jedenfalls bei der EU genau das, was sie vorher in Deutschland war: Eine kompetenzfreie Blenderin, die außer in im Ausgeben anderer Leute Geldes in wenig anderem messbare Kompetenz besitzt.

Ich bin dafür, wir regeln das, wie wir das auch sonst regeln. Wir schicken sie diskret in den Vorruhestand.
Post: 9eea45ac

Читать полностью…

Fefes Blog (inoffiziell)

Diese Wirecard-Eiterblase blubbert immer noch weiter.

Aktuell: BaFin hat Wirecard einfach geglaubt, dass sie von Bloomberg und Financial Times erpresst werden und auf Basis dieser Behauptung ein Leerverkaufsverbot erlassen.

Die BaFin kann glaube ich einfach mal abgerissen werden. Oder fällt jemandem ein einziges Beispiel ein, wo die mal was richtig gemacht haben?
Post: 9eead840

Читать полностью…

Fefes Blog (inoffiziell)

Das Thüringer Schulportal wurde Opfer eines Cyberangriffs!1!!

Wie? Nein, nicht Ransomware. Ein "DDoS"!!1! Am ersten Schultag nach den Winterferien brach das Ding unter der Last zusammen!

Also mit SO vielen Schülern konnte niemand rechnen. Nach Ferienende? Äh, ich meine, mit so vielen Angreifern konnte niemand rechnen!1!!

Update: Die Pressemeldung von denen liest sich allerdings tatsächlich nach einem DDoS:



Der Angriff erfolgte ab ca. 8:00 Uhr von mehreren Bot-Netzen, die laut Protokoll auf Serverstandorte in Singapur zurückzuführen sind. Diese automatisiert in sehr kurzer Zeit erzeugten Anfragen wirkten auf das System, als würde ein Vielfaches der normalen Nutzerzahl gleichzeitig zugreifen. Die Analyse ergab auch, dass im Zeitraum zwischen 7:30 Uhr und 11:00 ca. 200.000 „normale“ Nutzeranfragen an die Server erfolgten, gleichzeitig jedoch weitere Anfragen in Millionenhöhe über die genannten Botnetze kamen.

Post: 9ee7ee2d

Читать полностью…

Fefes Blog (inoffiziell)

Infrastrukturapokalypse: Dorf im Saarland abgeschnitten, einzige Zufahrtsstraße nach Erdrutsch weggebrochen.

Die Sanierung könnte mehrere Monate dauern, so Hans-Michael Bartnick vom Landesbetrieb Mobilität zur Zeitung "Trierischer Volksfreund".

Äh ... und jetzt?
Die Versorgung der Bewohner:innen werde nun von der Feuerwehr organisiert. Man sei derzeit dabei, mögliche Waldwege fahrtüchtig zu machen, die dann als Ausweichstrecken genutzt werden könnten, sagte der Sprecher.

o_O
Post: 9ee7f92f

Читать полностью…

Fefes Blog (inoffiziell)

Hamburger DRK-Chef mit sofortiger Wirkung von allen Aufgaben entbunden. Warum? Offiziell: Gesundheitliche Gründe. Inoffiziell:

Aus unerklärlichen Gründen gab es am 29. Dezember für 60 Dosen keine Verwendung – und deshalb wurden Mitarbeiter des DRK damit beglückt, allerdings nicht nur Einsatzpersonal. Etliche Impfdosen wurden ausgerechnet der sogenannten „Teppich-Etage“ verabreicht  – gemeint sind Personen aus der Führungsetage des Harburger Kreisverbandes – inklusive Ehefrauen!

Da ergießt sich der gerechte Zorn der Hamburger Morgenpost über dem Roten Kreuz! Das geht ja mal GAR nicht!

Wenn ich das lese, dann denke ich mir: Wieviele investigative Journalisten und Außenmitarbeiter hat eigentlich die Hamburger Morgenpost noch? Ist das nicht vielleicht auch komplett eine "Teppich-Etage", die im Wesentlichen Werbung produziert und da ein bisschen dpa und Geifer drübersprenkelt?

Und lass mich raten: Die halten sich selbst für systemrelevant? Präziser: Fordern für sich selbst bevorzugten Zugang zum Impfstoff?

Ich kann ja die Kritik nachvollziehen, aber gucken wir dochmal genau hin. Der hatte Dosen über und hat ein paar dafür (nicht alle!) an Leute aus der DRK-Verwaltung verteilt. Das DRK betreibt Impfzentren (zumindest in Berlin). Ich fände das schon gut, wenn die Verwaltung nicht wegen Covid ausfällt und die Bezahlung der Mitarbeiter an der Front und die materielle Versorgung der Impfzentren gewährleistet wäre. Ich finde das in Ordnung, die Verwaltung der Betreiber der Impfzentren zu impfen. Hätte ich auch gemacht.

Mich ekelt ja solche Geifer-Demagogie an. Hey, Mopo, versucht es doch mal mit ehrlicher Arbeit! Wie wäre es mit ... Journalismus?

Übrigens, am Rande: Der Biontech-Impfstoff kommt nach Verdünnung häufig auf 6 statt 5 Dosen. Offiziell sind aber nur 5 Dosen drin. Anfangs wurde daher die 6. Dosis weggeworfen. Der 29. Dezember war die Zeit, als die 6. Dosis Verwendungs-Erlaubnis bekam. Ich vermute mal, dass das der Hintergrund hinter den "unerklärlichen Gründen" (toller Journalismus übrigens, Mopo! Beeindruckende Arbeit!!1!) ist. Die hatten da angebrochene verimpfte Ampullen und hörten, dass das verwendet werden darf, also haben sie es verwendet.

Ich muss bei dieser ganzen Debatte immer an Desasterfilme denken. Die erste Impfdosis geht an den Präsidenten, die Frage stellt sich da gar nicht. Dann wird einmal die Führungsriege des Militärs durchgeimpft. Ich finde das ja gut, dass wir hier als Zivilgesellschaft nach Bedürftigkeit gehen und nicht nach Hierarchie, aber wir sollte da mal nicht päpstlicher als der Papst sein.
Post: 9ee7f57a

Читать полностью…

Fefes Blog (inoffiziell)

Benutzt hier jemand Instagram? Die haben da offenbar gerade Tag der offenen Tür.
Post: 9ee93b1b

Читать полностью…

Fefes Blog (inoffiziell)

Wie schlimm ist die Lage? So schlimm: Der NASDAQ-Chef fordert auf CNBC mehr staatliche Regulierung. Wait, what?!
Post: 9ee90e27

Читать полностью…

Fefes Blog (inoffiziell)

Sagt mal, wenn das Gamestop-Short-Selling so einfach umdrehbar ist, um die Short Seller nackig zu machen, und sie uns jetzt keine Gamestop-Aktien mehr verkaufen wollen, … was gibt es denn sonst so für heftig leerverkaufte Aktien? Oh, ach was? Von denen gibt es einen handlichen Index? Und die gehen gerade alle kräftig nach oben?

Das sieht aber nicht gut aus für die Hedgefunds gerade. Die Verluste vom Short Selling schwappen jetzt auf andere Aktien über, weil die Hedgefunds ihre Investments verkaufen müssen, um ihre Leerverkaufsverluste aufzufangen. Damit sinken dann auch die anderen Kurse.

Währenddessen geht eine schöne Verschwörungstheorie rum: Dass die Hedgefonds einfach Aktien verkauft haben, die es gar nicht gibt, und dass die Reddit-Foristen jetzt über 100% der Gamestop-Aktien besitzen. Dass deshalb Robinhood nur noch den Verkauf zulässt. Denn das könnte einmal den Markt implodieren lassen, wenn das öffentlich wird, in welchem Ausmaß an der Börse mit virtuellen Aktien Leute abgezockt werden. Angeblich, wenn man die Unterlagen der Hedgefonds zusammenzählt, was die alle angeben, wieviel GME-Aktien sie besitzen, dann kommt da schon mehr als 100% der jemals von Gamestop emittierten Aktien raus.
Post: 9ee87fad

Читать полностью…

Fefes Blog (inoffiziell)

Sagt mal, wenn das Gamestop-Short-Selling so einfach umdrehbar ist, um die Short Seller nackig zu machen, und sie uns jetzt keine Gamestop-Aktien mehr verkaufen wollen, … was gibt es denn sonst so für heftig lehrverkaufte Aktien? Oh, ach was? Von denen gibt es einen handlichen Index? Und die gehen gerade alle kräftig nach oben?

Das sieht aber nicht gut aus für die Hedgefunds gerade. Die Verluste vom Short Selling schwappen jetzt auf andere Aktien über, weil die Hedgefunds ihre Investments verkaufen müssen, um ihre Leerverkaufsverluste aufzufangen. Damit sinken dann auch die anderen Kurse.

Währenddessen geht eine schöne Verschwörungstheorie rum: Dass die Hedgefonds einfach Aktien verkauft haben, die es gar nicht gibt, und dass die Reddit-Foristen jetzt über 100% der Gamestop-Aktien besitzen. Dass deshalb Robinhood nur noch den Verkauf zulässt. Denn das könnte einmal den Markt implodieren lassen, wenn das öffentlich wird, in welchem Ausmaß an der Börse mit virtuellen Aktien Leute abgezockt werden. Angeblich, wenn man die Unterlagen der Hedgefonds zusammenzählt, was die alle angeben, wieviel GME-Aktien sie besitzen, dann kommt da schon mehr als 100% der jemals von Gamestop emittierten Aktien raus.
Post: 9ee87fad

Читать полностью…

Fefes Blog (inoffiziell)

Es gibt jetzt ein Bekennerschreiben zum Putin-Palast.

Ein Oligarch sagt, der Palast gehöre ihm. Der Oligarch war jahrelang Judo-Partner von Putin.

Seht ihr? Da kann von Korruption gar keine Rede sein!

In einer weiteren völlig bizarren Wendung vergleicht Putin die Proteste mit dem Arabischen Frühling. Um sie schlecht aussehen zu lassen.

Russian President Vladimir Putin has compared anti-corruption protests that erupted throughout Russia over the weekend to Tunisia's 2011 Arab Spring and Ukraine’s 2014 Euromaidan revolution.

Er hofft natürlich, dass er die Assoziation hinkriegt, dass das von den bösen Amerikanern gesteuert, korrupt und letztlich das Land ins Chaos stürzend ist.
Post: 9ee807b8

Читать полностью…

Fefes Blog (inoffiziell)

In Los Angeles musste ein Impfzentrum wegen Anti-Vaxxer-Demonstranten geschlossen werden.
Post: 9ee87730

Читать полностью…

Fefes Blog (inoffiziell)

Kennt ihr das? Ihr seid in einem Gespräch und jemand sagt etwas so großartiges, dass das Gespräch sofort beendet ist? Keinem fällt mehr etwas ein, das man noch hinzufügen könnte?

Nun, meine sehr verehrten Damen und Herren, ich präsentiere: Gamestop, the Sea Shanty!

Wer das Lied nicht kennt: Das ging gerade auf Tiktok unter den woken Veganerhipstern als virtueller Chor hoch und runter.

Ich finde ja alte Liedtexte auch wegen des Textes hochinteressant, weil da lauter Wörter vorkommen, die man heute nicht mehr kennt oder die eine andere Bedeutung haben. "Bully" zum Beispiel bedeutet "betrunken" (Erklärung), und "billy of tea" ist ein selbstgebastelter Teepot. "Tonguing" ist das Ausweiden eines toten Wals.
Post: 9ee8700f

Читать полностью…

Fefes Blog (inoffiziell)

Heise hat jetzt ein Popup mit folgendem Text:

USA-Einwilligung: Indem Sie auf „Akzeptieren“ klicken, willigen Sie gem. Art. 49 Abs. 1 DSGVO ein, dass Ihre Daten von Anbietern in den USA verarbeitet werden. Die USA werden als ein Land mit einem nach EU-Standards unzureichendem Datenschutzniveau eingeschätzt. Es besteht das Risiko, dass Ihre Daten auch an US-Behörden weitergegeben werden.

Wie ist denn das bitte an deren Justiziar vorbeigekommen? Wieso macht Heise sich ihren jahrelang mühsam aufgebauten Ruf in Sachen Datenschutz mit so einer Aktion völlig ohne Not kaputt?
Post: 9eeb3739

Читать полностью…

Fefes Blog (inoffiziell)

Gibt im Februar Nachschub von Adam Curtis. Klingt auch richtig doll interessant, finde ich. Freu mich schon.
Post: 9eeb3007

Читать полностью…

Fefes Blog (inoffiziell)

Benutzt hier jemand GnuPG? Den Thread lesen, nicht nur den letzten Tweet.

Kurzfassung: GnuPG benutzt als Kryptolibrary aus religiösen, äh, Lizenzgründen nicht OpenSSL oder etwas anderes existierendes, sondern "libgcrypt", eine eigene Krypto-Library, die im Allgemeinen langsamer als andere ist und deren API noch übler ist als die von OpenSSL. Ich kenne kein Argument dafür, die gegenüber einer Alternative zu bevorzugen.

Da ist kürzlich eine neue Version released worden, 1.9, in der Assembler-Optimierungen für einige Funktionen neu dazu kamen. Unter anderem für Hashing-Verfahren. Hashing ist eine der wichtigsten Funktionen in einer Krypto-Library und spielt z.B. eine Rolle beim Validieren von Signaturen in GunPG.

Wenn man Daten hasht, gibt es normalerweise drei Schritte. Man hat einen "Kontext", d.h. eine Datenstruktur mit dem internen Status, die initialisiert man (Funktion 1), dann ruft man so oft man es braucht "hash mal auch diese Daten hier" auf (Funktion 2), und am Ende holt man sich den Hashwert über alle bisherigen Daten (Funktion 3). Je nach Hashfunktion, für die man das macht, beinhaltet das Finalisieren noch ein mehr oder weniger abstoßendes Padding-Verfahren, denn die Hashes arbeiten normalerweise auf Blöcken von Bytes, nicht auf einzelnen Bytes.

Bei libgcrypt heißt der letzte Schritt "finalize". Der Assembler-Code nahm an, dass niemand so blöd sein würde, nach einem finalize nochmal weitere Daten hashen zu wollen, weil das nie gültige Ergebnisse liefern kann, denn da ist ja schon Padding reingeflossen.

Stellt sich raus: GnuPG macht genau das. Das sollte wohl ein halbherziger Versuch sein, einen Timing-Seitenkanal zu schließen.

Da hätte wohl der Autor von GnuPG mal mit dem Autor von libgcrypt reden sollen, denkt ihr euch jetzt vielleicht? Das ist dieselbe Person. Werner Koch.

Was heißt das? Anscheinend reicht das Öffnen einer verschlüsselten Mail mit GnuPG, um Speicherkorruption herbeizuführen und damit eventuell Remote Code Execution.

Ich habe den Bug nicht analysiert, aber wenn das stimmt, ist das auf der Krassheitsskala ungefähr so weit oben wie Heartbleed bei OpenSSL war, denn GnuPG hat keine Privilege Separation und kein Sandboxing. Die gute Nachricht ist: Das betrifft euch nur, wenn euer GnuPG so neu ist, dass er schon gegen die neue libgcrypt linkt, die vor ner Woche oder so erst rauskam.

Kann man diese Art von Bug verhindern?

Ja, kann man.

Diese Art von Bug wäre aufgefallen, wenn GnuPG eine Testsuite hätte, die z.B. mit valgrind oder dem Address Sanitizer automatisch durchläuft, bevor er eine Version released. Noch beunruhigender als dass das offensichtlich nicht stattfindet finde ich Werner Kochs Reaktion, als Hanno Böck genau das vorschlägt. Er schließt den Bug als "invalid". Das ist selbst für Werners Verhältnisse ausgesprochen unprofessionell, aber leider nicht überraschend.

Hey, Werner, wenn du keinen Bock auf die Verantwortung hast, die der Maintainer von GnuPG tragen muss, dann übergib das Projekt doch am besten der Apache Software Foundation oder so. Jetzt wäre jedenfalls der richtige Zeitpunkt für zerknirscht Besserung geloben gewesen, nicht für close as invalid.

Ich muss dann wohl doch mal meinen OpenPGP-Code fertig machen. So geht das jedenfalls nicht weiter.
Post: 9eea4f6f

Читать полностью…

Fefes Blog (inoffiziell)

Der Wirecard-Skandal hat jetzt den Bafin-Chef seinen Job gekostet. Ich bin mir sicher, es findet sich eine Bank oder ein Fintech-Startup, das verhindert, dass der gute Mann hungern muss. Nach allem, was der für die eigentlich zu beaufsichtigenden Firmen getan hat!
Post: 9eea4138

Читать полностью…

Fefes Blog (inoffiziell)

Hier gibt es eine schöne Zusammenfassung der Geschichte.
Post: 9eeac1b3

Читать полностью…
Подписаться на канал