Gute Nachrichten! Der Ukraine-Krieg ist so gut wie beigelegt!

Endlich löst der Dealmaker, der Master Persuader, der größte Influencer aller Zeiten sein Versprechen ein und stoppt den Krieg. Sogar fast innerhalb von 24h nach seiner Amtseinführung!1!!

Gute Nachrichten! Die russische Drohnenwaffe ist so gut wie besiegt!

UK blocks video game controller exports to Russia, seeking to thwart drone pilots

Scheiße, Bernd! Hoffentlich klicken sich die Russen jetzt nicht ihre Joysticks bei Aliexpress!

Nach dem Terroranschlag in Indien stehen die Zeichen alle nicht gut dort.

Indien hat Pakistanis in Indien das Visum gecancelt und Inder in Pakistan zur sofortigen Heimreise aufgefordert.

Das klingt erstmal nach Posturing, was zwischen Indien und Pakistan nichts neues wäre. Allerdings ist Indien hier noch einen Schritt weiter gegangen und hat den Indus-Wasser-Vertrag ausgesetzt. Dieser Vertrag ist von 1960 und regelt Frischwasserlieferungen nach Pakistan, von denen deren Ernte abhängig ist. Um den gibt es eh Gezanke wegen Wasserkraftwerken in der Gegend, eines gerade noch im Bau, bei denen umstritten ist, ob die das Wasser dafür entnehmen dürfen oder nicht. Die Gelegenheit war günstig für Indien mit dem Terroranschlag, also haben sie mal Nägel mit Köpfen gemacht.

Bei "Ernteausfall" ist schon klar, dass das eine handfeste Bedrohung für Pakistan ist, und entsprechend gereizt reagieren die und haben Handel mit Indien ausgesetzt und ihren Luftraum für indische Flugzeuge geschlossen.

Hier noch ein Hintergrund zu dem Kraftwerk im Bau. Für so ein Wasserkraftwerk braucht man einen Stausee, und der würde wohl Pakistans Ernte austrocknen.

Die EU-Kommission möchte gerne die Umwelt retten etwas für die Absatz von Neuwagen machen und führt daher jährliche vorgeschriebene Inspektionen für Altwagen (10+ Jahre) ein.

Und bist du nicht willig, dann brauch ich Gew mehr Bürokratie!

Der Hannoveraner Pressemitteilungsservice kriecht mal wieder seinen Werbekunden in den Arsch:

Microsofts Entwickler haben erneut Pech mit Windows-Updates.

Das ist nicht Pech, sondern Herstellerversagen, und der Nachteil daraus entsteht auch nicht den Entwicklern, sondern den Kunden.

Da brauch ich echt ein Beißholz, wenn ich sowas lese. Könnt ihr mal bitte endlich Verantwortung bei den Herstellern dieser Schrott-Produkte suchen und nicht so tun, als sei das halt schlechtes Wetter?!

Max Schrems klagt gegen Ubisoft, weil die Onlinezwang bei Single-Player-Spielen ohne Onlinefunktion haben.

Endlich mal eine praxisrelevante Problemstellung! Immer feste druff!

Gute Nachrichten! Der in Flammen aufgehende Batteriespeicher? Das waren nicht die Batterien. Das war das schlechte Internet. Da kann keiner was für. Sagt der Hersteller.

Der Hersteller fasst die Gründe für den Brand wie folgt zusammen:

1. Die instabile Netzverbindung des Mikrowechselrichters beeinträchtigte die Systemstabilität.
2. Ein möglicher Kontaktfehler am 400-Watt-MPPT-Anschluss führte lokal zu einem Temperaturanstieg und beschleunigte die Fehlerentwicklung.
3. Die Systemstörung bestand über einen längeren Zeitraum, ohne dass zeitnah eingegriffen wurde.
4. Das Zusammenwirken mehrerer technischer und äußerer Einflüsse führte letztlich zum Vorfall.

Das kann ja wohl niemand erwarten, dass ein Batteriesystem ohne stabiles Internet nicht in Flammen aufgeht!

Lacher des Tages: Die Schriftart in der "You wouldn't steal a car"-Werbekampagne war raubmordkopiert.

America Underestimates the Difficulty of Bringing Manufacturing Back. Von einem Spielzeugfabrikanten in den USA, first generation immigrant. Money Quote:

Chinese manufacturing labor isn’t just cheaper. It’s better.

In China, there are no people who are too fat to work. The workers don’t storm off midshift, never to return to their job. You don’t have people who insist on being paid in cash so that they can keep their disability payments, while they do acrobatics on the factory floor that the non-disabled workers cannot do.

Chinese workers are much less likely to physically attack each other and their manager. They don’t take 30 minute bathroom breaks on company time. They don’t often quit because their out-of-state mother of their children discovered their new job and now receives 60% of their wages as child support. They don’t disappear because they’ve gone on meth benders. And they don’t fall asleep on a box midshift because their pay from yesterday got converted into pills.

And they can do their times tables. To manufacture, you need to be able to consistently and accurately multiply 7 times 9 and read in English, and a disturbingly large portion of the American workforce cannot do that.

Da bleibt kein Auge trocken.

Sadly, what I describe above are not theoretical situations. These are things that I have experienced or seen with my own eyes.

Und das ist nur einer von 14 Aspekten, die er da beleuchtet.

Das ist alles so fraktal dumm und kaputt. Hier sehr schön auf den Punkt gebracht.

Many are saying that this tariff policy is the “end of globalization”. I don’t think so.

Unless this policy is quickly changed, this is the end of America’s participation in globalization.

*mike drop* (via)

Mir macht ja wenig so viel Freude, wie wenn sich Schlangenöl-Vertriebler gegenseitig Inkompetenz vorwerfen. Aktuell: Googles M-Trends 2025 Report (M wie in Mandiant, die Google vor einer Weile geschluckt hat). Hier eine Kurzzusammenfassung.

Three of the four most exploited vulns were zero days, all were in cybersecurity products (Palo-Alto, Ivanti Connect Secure, Ivanti Policy Secure and Fortinet). In most of the cases documented, it was ransomware groups running rings around security vendors, ie the security vendors were the cause of the victims woes due to defective products.

Ach. Ach was. Das ist ja grauenhaft! Hätte uns da nicht jemand warnen können?!

Eine andere Sache, über die ich mich seit Jahren lustig mache, ist wie die Leute alle teures Monitoring-Equipment kaufen, und dann keiner die Logs davon liest. Googles Beobachtung ist, dass man über eine Woche zwischen Einbruch und dem Ransomware-Einschlag hat, in dem man die Eindringlinge finden könnte, wenn man denn die Logs lesen würde. Liest man aber nicht.

Und mit Security hat das natürlich auch nichts zu tun, wenn man Eindringlinge findet. Security wäre, sie vom Eindringen abzuhalten. Aber hey, whatever. Auf mich hört ja immer keiner.

Der nächste Mython, mit dem Google abräumt, ist "KI"-Phishing. Phishing spielt eine immer geringere Rolle, mit oder ohne "KI". Das sind alles Katzenminze-Kindermobiles für "Entscheider", damit die was attraktives haben, das ihre Aufmerksamkeit auf sich zieht.

Desweiteren stellt sich völlig überraschend raus, das wenn du Daten über die Angreifbarkeit deiner Produkte und Infrastruktur in die Cloud hochlädst, zu Jira und co, dass Angreifer das dann lesen und deine Produkte und Infrastruktur mit dem gewonnenen Wissen penetrieren.

Lasst euch nicht von dem ganzen MFA-Scheiß blenden. Das ist auch ein Katzenminze-Kindermobile. Die Frage sollte nicht sein, ob ihr MFA an dem Clouddienst aktiviert habt, sondern wieso ihr überhaupt diesen völlig überflüssigen, schädlichen, kostspieligen und Angreifern helfenden Clouddienst betreibt.

Mir ist auch völlig unklar, wieso alle Leute glauben, ein VPN zu brauchen. Das ist Perimetersicherheit, das ist als Konzept vollständig diskreditiert. Ich habe kein VPN und meine Firma auch nicht.

Update: Dieses Zero-Day-Gefasel geht mir auch zunehmend auf den Sack. Bei seriösen Anbietern gibt es keine Zero-Days, weil die keine Software einsetzen, bei der Sicherheitslücken im Umlauf sind, die der Hersteller noch nicht sofort gepatcht hat, und seriöse Firmen rollen Patches zeitnah aus. Eine "Security-Firma", die jemals in ihrer Geschichte einen Bug so lange wegignoriert hat, bis er extern ausgenutzt wird, sollte nie wieder einen Cent von irgendjemandem sehen.

Update: Ich glaube ja, dass wir hier neue Begrifflichkeiten brauchen. 0day ist ja ein Begriff aus der Hackerszene. Er bezeichnet Exploits für Sicherheitslücken, die so frisch sind, dass der Hersteller nichts von ihnen weiß. Der Hersteller der Software, die man exploiten will.

0day heißt nicht, dass Microsoft seit Jahren leugnet, dass das ein Bug ist, oder dass Ivanti keinen Patch hat, weil ihnen die Sicherheit und das Überleben ihrer Kunden voll am Arsch vorbeigeht.

Im Sprachgebrauch bei Nicht-Hackern hat sich das aber komplett gewandelt und 0day heißt "war halt schlechtes Wetter, kann keiner was für". Da ist das rein exkulpativ und wird auch für andere Situationen verwendet. Warum schlage ich neue Nomenklatur vor? Weil Hersteller 0day zur Exkulpation verwenden, und von außen kannst du das ja nicht sehen, ob der Hersteller von dem Bug wusste und ihn bloß nicht fixen wollte, oder tatsächlich nichts davon wusste. Meiner Erfahrung nach schieben alle Hersteller eine riesige Bugwelle aus bekannten Bugs in ihrem Bugtracker vor sich her, und die Wahrscheinlichkeit dafür, dass ein Bug tatsächlich unbekannt ist, ist sehr nahe Null. Schlimmer noch: Wenn es tatsächlich vorkommt, dass ein Bug dem Hersteller unbekannt war, dann kann das eigentlich nur heißen, dass der Hersteller absichtlich nicht hingeguckt hat, weil er Kundenreports nicht als Bugs versteht, sondern als Vertriebskanal für "Support"-Abofallen. Das sollte man nicht belohnen, indem man sagt, dass das dann wohl ein 0day war. Nein. Das war Herstellerversagen.

Hier hat mal jemand geguckt, ob das Ausnutzen von Undefined Behavior in C und C++ für Optimierungen wirklich was bringt.

Das war ja immer die Begründung, weil solche Optimierungen ja in der Regel Dinge wegoptimieren, die da aus gutem Grund standen. Zum Beispiel hat der Linux-Kernel mal einen Null-Pointer-Check so verloren, und ansonsten sind es gerne mal Bounds-Checks, die einen Buffer Overflow verhindern sollten, oder Integer-Overflow-Checks, die auch Memory Corruption verhindern sollen.

Da war immer die Erzählung der Compiler-Leute: Jaja, das ist nicht optimal, aber die Performance, die wir da rausholen können!1!!

So und was findet dieses Paper jetzt heraus? Ich zitiere mal:

Using LLVM, a compiler known for its extensive use of UB for optimizations, we demonstrate that, for the benchmarks and UB categories that we evaluated, the end-to-end performance gains are minimal. Moreover, when performance regresses, it can often be recovered through small improvements to optimization algorithms or by using link-time optimizations.

Das ist ja schon ein ziemlich großer Krater hier gerade.

Für die Studie haben sie einen Haufen realer Software genommen, sowas wie Video- und Audiocodecs und andere Kompressionssoftware, aber auch LLVM selbst und ein paar Crypto-Libraries. Eine ziemlich breite Sammlung. Dann haben sie die dokumentierten Compilerflags angeschaltet, um solche Optimierungen abzuschalten, und mal geguckt, wie sich das Laufzeitverhalten verändert hat. Das ganze auf x86-Prozessoren von Intel und AMD und auf einem ARM64.

Die Performanceunterschiede bewegen sich im einstelligen Prozentbereich, sind aber erstaunlicherweise bei ARM deutlich höher als bei Intel und AMD.

Ich vermute mal, dass die Auswahl der Software hier einige Weichen gestellt hat, denn gerade Crypto-Code und Videocodecs haben gerne mal Assembleroptimierungen in ihren heißen Pfaden, und die sind dann von Compilerflags nicht betroffen. Das macht einen Großteil der Benchmarks aus. Statt simdjson hätte man vielleicht eine Nicht-SIMD-Variante nehmen müssen, um Auswirkungen zu sehen.

Aber hey, insgesamt sieht das methodisch erstmal gut aus und die Ergebnisse räumen die angeblichen Performancegewinne ziemlich nachhaltig weg.

Kennt ihr den schon?

Der Gründer des Weltwirtschaftsforums in Davos, Schwab, soll Gelder veruntreut haben.

NEIN! DOCH!! OOOOH!!!

China invites European countries to form united front against Trump tariffs.

Ihr habt ja vermutlich schon gehört, dass eine hochrangige Facebook-Managerin ihre Memoiren geschrieben hat, und Facebook die dann gerichtlich zu zensieren versucht hat — erfolglos.

Cory Doctorow hat das mal gelesen und beschreibt den Inhalt.

Heilige Scheiße. Das ist ja noch übler als ich angenommen hatte bei Facebook, und glaubt mir: Ich habe da keine positiven Dinge angenommen.

Mit "KI" und Cloud wird alles sicherer? Das demonstriert gerade Asus sehr anschaulich.

Eine kritische Schwachstelle in Asus' AiCloud ermöglicht Angreifern, auf einigen Asus-Routern unbefugt Funktionen auszuführen.

Hätte uns nur jemand gewarnt!

Aber hey, perfekter Produktname. "AiCloud". Fehlt nur noch Blockchain.

Intel will nochmal weitere 20% der Belegschaft rausschmeißen.

Ich weiß, was ihr jetzt befürchtet. Dass die Ingenieure rausschmeißen und den Management-Wasserkopf behalten.

Sorgt euch nicht. So viele Ingenieure arbeiten da gar nicht mehr!1!!

in a move to streamline operations and reduce bureaucratic inefficiencies

*wieher*

The layoffs are part of a broader strategy to refocus on an engineering-driven culture

Oh nee klar, engineering-driven culture! BWAHAHAHAHA

Gute Nachrichten! Google hyperloopt Privacy Sandbox!

Aus den Apokalypse-Nachrichten, heute:

1. Der Antichrist zog vom Vatikan nach Indien weiter und dort gab es dann direkt einen fetten Terroranschlag.

   Vielleicht lieber nicht ins Land lassen, den Typen?

2. Auch "verbündete" Red States kriegen unter Trump keine Bundeshilfen.

   Ach komm, die 15 Tornados in Arkansas an einem Tag… Walk it off!

3. RFK Jr baut eine nationale Autismus-Datenbank auf.

   Wenn es gut läuft, wird sich direkt rausstellen, dass Autismus DOCH von Impfungen kommt!1!!

Update: Letzte Woche verkündete RFK, Autisten würden nie arbeiten, Steuern zahlen oder Baseball spielen. Heute macht er Listen von ihnen. Hoffentlich geht das nicht in die Richtung, nach der es sich gerade anfühlt.

Update: US FDA suspends milk quality tests amid workforce cuts.

Gute Nachrichten! Betrugsfälle beim Deutschlandticket gehören dank "KI" bald der Vergangenheit an!1!!

Bemerkenswerte Tech-News: Forscher haben einen Flash-Speicher gebaut, der in 0,4 Nanosekunden geschrieben werden kann.

Damit wäre der schneller als SRAM, aber zusätzlich behält er auch noch den Inhalt bei Stromausfall bei, wie Flash.