/fefe/ – Fefes Kommentarfunktion

Die EU ist unzufrieden mit "Facebook PUR" [0]. So hatten die sich das mit dem Datenschutz nicht vorgestellt, dass du entweder zahlst oder einen Datenschutz-Blankoscheck unterschreiben musst.

Wie das halt manchmal so ist. Die Geister, die ich rief, werde ich nun nicht wieder los.

Leider hat der EuGH schon entschieden, dass das OK ist. Jetzt müsste man also die Gesetze ändern, um das wieder gerade zu biegen.

[0] https://www.theregister.com/2024/04/18/eu_meta_subscription_privacy/

https://blog.fefe.de/?ts=98dfe343

Wisst ihr, was die gerade rausgefunden haben? Wenn du Fahrradwege baust, fahren die Leute mit dem Fahrrad zur Arbeit [0] statt mit dem Auto.

Haben sie in Paris herausgefunden.

Und bei uns so? Mit der FDP im Verkehrsministerium? 200 Mio weniger Fahrradförderung, dafür 150 Mio für Flugtaxis [1]. Ja vielen Dank, Herr Wissing!

Wer wählt die eigentlich immer wieder?

Gut, ist immer noch besser als sein Vorgänger. Hier ist dessen Hinterlassenschaft [2]:

>Die Sanierung maroder Brücken im deutschen Straßennetz dürfte viel teurer werden als bisher gedacht. Die zuständige Autobahn GmbH hat einen milliardenschweren Mehrbedarf angemeldet.

Lest euch mal die Kritik-Sektion in der Wikipedia zur Autobahn-GmbH durch. Spaß für die ganze Familie!

Aber ich glaube ja: Die brauchen bloß einen fähigen Berater. Ich hätte da auch schon jemanden im Auge. Die Tancredis GmbH [3]!

[0] https://www.forbes.com/sites/carltonreid/2024/04/06/french-revolution-cyclists-now-outnumber-motorists-in-paris/
[1] https://www.manager-magazin.de/unternehmen/industrie/lastenfahrraeder-foerderstopp-bremst-verkehrswende-a-2796c1b7-1c5c-4275-906a-56364506e46e
[2] https://www.tagesschau.de/wirtschaft/bruecken-modernisierung-kosten-100.html
[3] https://www.zeit.de/wirtschaft/2024-04/andreas-scheuer-csu-verkehrminister-firmengruendungen

https://blog.fefe.de/?ts=98eabf83

Wie schlimm ist die Lage? So schlimm [0]:

>Um die Klimaziele zu erreichen, soll der Bahnverkehr in Deutschland eigentlich ausgebaut werden. Doch nun droht sogar, dass künftig weniger Regionalbahnen fahren. Denn den Ländern geht offenbar das Geld aus.

Ich habe eine brillante Idee. Sie involviert die Benzinsteuer.

Man könnte ja eine zusätzliche Klimasteuer auf Dienstwagen erheben und das damit finanzieren.

[0] https://www.tagesschau.de/inland/nahverkehr-bundeslaender-finanzierung-100.html

https://blog.fefe.de/?ts=98e012de

Zum Wasserfall-Modell kam noch der Hinweis rein, dass selbst der Benington-Ansatz aus den 1950er Jahren [0] die Entwicklung eines Prototypen vorsieht, damit man für die "richtige" Implementation dann das Problem wirklich verstanden hat.

[0] https://changelog.com/posts/waterfall-doesnt-mean-what-you-think-it-means

https://blog.fefe.de/?ts=98e15de5

In den letzten Jahren ist es ja üblich geworden, dass man einfach immer behauptet, eine Regierung stecke hinter irgendwas. Das war für alle super.

Der Gehackte konnte dann einfach behaupten, "alles getan zu haben", denn gegen EiNe RegIErUnG kann man nichts machen.

Der tatsächliche Angreifer kann ungestört weiterhacken, denn gegen EiNe RegIErUnG kann unsere Polizei ja nichts machen.

Unsere Polizei kann ein paar Monate die Akten Moos ansetzen lassen und dann ungetaner Dinge die "Arbeit" einstellen, denn gegen EiNe RegIErUnG kann unsere Polizei ja nichts machen.

Die unseriösen Security-Klitschen, deren Schlangenöl die Gehackten eingesetzt hatten, sind auch nicht ein Erklärungsnot, denn gegen EiNe RegIErUnG kann man sich ja eh nicht verteidigen.

Auch bei der Nordstream-Explosion haben alle sofort gesagt, das wird eine Regierung gewesen sein, aber da scheint das gerade nach hinten loszugehen, denn die Versicherungen wollen jetzt nicht zahlen [0]. Begründung: Wenn das eine Regierung war, dann war das eine kriegerische Handlung, und gegen sowas versichern wir nicht.

Ja, äh, Scheiße, Bernd! Auf der anderen Seite auch abzusehen. Das Geschäftsmodell von Versicherungen beschränkt sich auf das Kassieren. Auszahlen war noch nie so deren Ding.

[0] https://thegrayzone.com/2024/04/17/uk-insurers-refuse-pay-nord-stream/

https://blog.fefe.de/?ts=98dfd156

Tech-Prankster outperformen IBMs Quantencomputer mit einem C64 ("Qommodore 64") [0].

>the C64-based experiment uses the sparse Pauli dynamics technique developed by Beguŝić, Hejazi, and Chan to approximate the behavior of ferromagnetic materials. Famously, IBM claimed such calculations were “too difficult to perform on a classical computer to an acceptable accuracy, using the leading approximation techniques,” recalls the paper.

Da hat sich IBM ein bisschen weit aus dem Fenster gelehnt, das war auch schon vor den C64-Leuten klar. Aber ist natürlich schön, wenn die das mal so richtig reinreiben, klar. Und das tun sie.

>Their aggressively truncated and shallow depth-first search model used just 15kB of the spacious 64kB available on the iconic Commodore machine. Meanwhile, the final code consisted of about 2,500 lines of 6502 assembly, stored on a cartridge that fitted in the C64’s expansion port. This code was handled by the mighty 1 MHz 8-bit MOS 6510 CPU. The C64 took approx 4 minutes per data point. (Testing the same code on a modern laptop achieved roughly 800μs per data point.)

Das Ding läuft natürlich auch bei Raumtemperatur und braucht keine Kühlung bis nahe an den absoluten Nullpunkt.

Ja gut, denkt ihr euch jetzt wahrscheinlich, das ist halt ein Spezialfall. Dazu die C64-Autoren:

>On the topic of how applicable this research is to other quantum problems, it is snarkily suggested that “it probably won’t work on almost any other problem (but then again, neither do quantum computers right now).”

*Schenkelklopf*

[0] https://www.tomshardware.com/tech-industry/quantum-computing/commodore-64-outperforms-ibms-quantum-systems-1-mhz-computer-said-to-be-faster-more-efficient-and-decently-accurate

https://blog.fefe.de/?ts=98dffe0e

Kumpel von mir bekommt gerade eine Mail von einer Hotelgruppe:

>Dear customer, In a climate of heightened cyber-risk, companies are exposed to a growing number of increasingly sophisticated cyber-attacks capable of bypassing even the most robust security protocols. Unfortunately, our Group has not been spared and has been targeted by a cyber-attack.

Ich sage euch, die kriminelle Energie, mit der diese Cyber-Angreifer arbeiten, die ist enorm!!

>Please be assured that our teams are constantly working to strengthen our security protocols and to ensure that such incidents do not happen again, and we hope that this episode has not had any significant consequences for your personal data.

Hoffen sie.

Ja, äh, hoffen kann mein Kumpel auch alleine.

Immer dieses "ab und zu gibt es halt Gewitter und dann schlägt schon mal ein Blitz ein"-Mentalität!

Ja, äh, dann bau halt Blitzableiter ans Gebäude?

Immerhin haben die nicht nach dem Staat gerufen, der soll sich mal um Cyber-Cyber kümmern, wie der Chef von Motel One. So tief hat echt noch keiner ins Klo gegriffen.

https://blog.fefe.de/?ts=98dffa05

In der IT-Security gibt es mehrere Fraktionen, die gelegentlich eher gegeneinander als miteinander arbeiten. Der Großteil der Branche befasst sich heutzutage mit Extrem-Checkboxing. Man rollt "Best Practices" wie "SIE BRAUCHEN MEHR SCHLANGENÖL!!!1!" aus, und der Umgang mit Sicherheitslücken geht nicht in die Richtung "wir suchen jetzt welche und dann fixen wir die Bugs" sondern in die Richtung "wir bauen jetzt ein paar tolle Datenbanken für Sicherheitslücken auf, dann können wir alle unsere Zeit mit dem Verwalten von Datenbankeinträgen verbringen, das ist viel weniger stressig als sich mit Security zu beschäftigen".

Das bringt natürlich niemandem was, wenn es um Security geht, aber es zahlt einer Menge Menschen die Gehälter, die so nie irgendwas substanzielles für das Gemeinwohl beitragen müssen.

Viele CERTs sind auch nichts anderes mehr als Mailinglisten-Verteiler für Datenbankeinträge.

Eines Tages wird jemand merken, dass man das auch vollständig automatisiert machen kann, und man braucht nicht mal "KI"! Das kann ein Perlskript aus den 1990ern erledigen! WE HAVE THE TECHNOLOGY!

Aber egal. Das war nicht der Punkt.

Der Punkt war, dass es endlose Datenbanken mit Sicherheitslücken gibt, und einen veritablen Riesenmarkt aus unseriösen Resellern, die Datenbankeinträge weiterverkaufen, die sie selbst kostenlos aus dem Internet gescraped haben. Wenn es nach mir ginge, würde man die alle in die Wüste schicken. Aber es geht nicht nach mir.

Einige Projekte haben jetzt klar die Meinung entwickelt, dass sie da nicht mitmachen wollen. Der Linux-Kernel ist z.B. so ein Projekt. Jahrelang haben die keine CVE-Datenbankeinträge eingetragen. Deren Standpunkt war, dass so gut wie alle Security-Bugs Bugs sind, und Bugs fixen wir hier. Jedes Kernel-Release hat Hunderte von Bugs. Einige von denen sind Security-Bugs. Was du brauchst ist keine Datenbank mit Vulns, was du brauchst ist den jeweils aktuellen Kernel. Alle Patches einspielen, sofort. Immer.

Da haben sie völlig Recht mit, inhaltlich. Aber es hat halt dazu geführt, dass sie ständig von so Datenbank-Administratoren angeheult wurden. Ist ja auch klar, denn diese Datenbank-Einträge-Dealer leben ja davon, dass ihre "Leistung" wertvoll aussieht. Je mehr Einträge sie haben, desto wichtiger sieht das aus.

Der Linux-Kernel hat dann irgendwann die Opposition aufgegeben und ist seit Februar diesen Jahres eine CNA, hat einen eigenen ID-Bereich und kann aus dem Bereich selbständig CVEs vergeben. Sie haben gewarnt: Wenn wir das tun, dann kriegt ihr echt viele CVEs von uns, weil im Kernel-Kontext so gut wie jeder Bug auch ein Security-Problem ist, wenn man nur aus dem richtigen Winkel drauf guckt.

Die Datenbank-Heinis haben Dollarzeichen in den Augen gekriegt und "yes please" gesagt. Und jetzt haut der Linux-Kernel pro Woche (!) ca 100 CVEs raus.

Ich habe nicht genug Popcorn für diese Gesamtsituation gerade.

Ihr könnt euch vorstellen, dass die kommerziellen Datenbankheinis alle feuchte Höschen haben jetzt. Die können für noch mehr kostenlos bezogenen Content anderen Leuten Rechnungen stellen! Kaching!!

Aber es gibt halt auch nichtkommerzielle CVE-Verteiler, u.a. das DFN-Cert, und die sind jetzt ein bisschen ungehalten (jemand hat mir eine Mail von deren Verteiler weitergeleitet) und haben angekündigt, dass sie die nicht alle übernehmen und verbreiten wollen, sondern sie wollen vorfiltern, welche wichtig sind und welche nicht.

Das ist natürlich nicht gut. Das kostet Arbeitszeit, die denen irgendjemand bezahlen muss.

Aber für mich als Außenstehenden ist das tolles Popcorn-Kino.

https://blog.fefe.de/?ts=98dfc7ca

Falls irgendein Zweifel bestand, wofür der Überwachungsstaat die Chatkontrolle braucht: Whatsapp, Signal und Threema [0].

>Der aktuelle Vorsitz der EU-Staaten will demnach die als sicher und datenschutzfreundlich geltenden Dienste als hochriskant einstufen. Gegen sie sollen dann Aufdeckungsanordnungen mit einer Dauer von bis zu 24 Monaten verhängt werden können. Während dieser Zeit müssten die Betreiber die Kommunikationsdaten Strafverfolgern zugänglich machen.

Wie, da kann jemand über uns reden, ohne dass wir das sehen können? HOCHRISKANT!!1!

[0] https://www.heise.de/news/Chatkontrolle-Verschluesselte-Messenger-Dienste-sollen-prioritaer-gescannt-werden-9688673.html

https://blog.fefe.de/?ts=98de1b1a

Ich reg mich ja seit Jahren still über "-native" auf. "Digital native" war Bullshit in Tüten (als ob jemand, der damit aufwächst, automatisch ein tieferes Verständnis entwickelt!), dann kam "Cloud Native", das war Bullshit in Jutetaschen (reiner Marketingscheiß, der rausquillt und schlecht rauswaschbar ist).

Eine ähnliche Kategorie von "da krieg ich Gewaltfantasien"-Neusprech ist "-scale". Was die alle immer rumgefurzt haben, wie geil ihr Scheiß skalieren würde! Und dann guckst du mal vorbei und wartest 20 Sekunden auf das Laden der Homepage.

Und jetzt ist alles "internet scale" oder zumindest "cloud scale", man sagt nicht mehr "Cloud-Drückerkolonne" sondern "Hyperscaler" (das einzige, was da skaliert, sind die Rechnungen). Furchtbar.

Höchste Zeit also, dass sich ein Depp findet, der mit "AI-native" und "AI-scale" Werbung macht.

Was soll ich euch sagen? Cisco liefert [0]! Ja, DAS Cisco, das mit den ständigen apokalyptischen Sicherheitslücken. Die mit den Dutzenden von versehentlich hart einkodierten Admin-Account-Passwörtern. DIE. Die erzählen uns jetzt nicht nur was von Security sondern machen gleich noch die volle Familienpackung "AI" dran. Vorsicht: Wenn man irgendwas von irgendwas versteht, kriegt man von der Lektüre direkt Ganzkörper-Juckreiz. Das Produkt heißt "Hypershield". Wie Hypeshield aber mit r. Damit man assoziiert, es sei für Hyperscaler (und damit BESTIMMT SICHER GUT GENUG FÜR UNS HIER).

Eine Sache glaube ich ihnen. Dass die Presseerklärung direkt aus einer "KI" fiel. Das ist alles so falsch, dass nicht mal das Gegenteil stimmt.

Auf der anderen Seite kann man Punkte für alle Betrüger-Tropes in der IT-Security-Werbung vergeben. Das checkt alle Boxen.

* "Developed for hyperscale". Check.
* Schützt ALLES for ALLEN Angriffen. Check.
* Revolutionär! check.
* "enables security enforcement to be placed everywhere". Check.
* "can even turn every network port into a high-performance security enforcement point". Check.

Aber Fefe, wie machen die denn das? So tolle Skalierbarkeit? Und "KI"? Beides zusammen! Das geht nun wirklich nicht!

DOCH! Das geht! In der unseriösen Werbung einer anderen Firma: Nvidia. Ihr seht wahrscheinlich schon kommen, was als nächstes passiert:

>Cisco [blahsülz] with NVIDIA, is committed to building and optimizing AI-native security solutions to protect and scale the data centers of tomorrow.

Und schwupps, mit einer kleinen Handbewegung, ist was eben noch ein Nachteil war (nämlich dass hier ohne Domain Knowledge eine "KI" Dinge halluziniert, die darauf trainiert ist, dass das plausibel aussieht, nicht dass es funktioniert) ein Vorteil! Weil, äh, "AI-native"!!1!

Ja aber Moment, Fefe, da stand ja noch gar nicht "empower"! Ohne "empower" geht sowas doch gar nicht!!

>"AI has the potential to empower the world's 8 billion people to have the same impact as 80 billion.

Das hingegen finde ich ein tolles Zitat. Er sagt hier also: Wenn die Leute alle "KI" machen, dann werden sie zehnmal so viel Ressourcen verbrauchen, ohne einen Vorteil daraus zu ziehen. Glaubt mir, wenn das Vorteile brächte, hätte er die hier erwähnt.