Lacher des Tages: Kauft Web Application Firewalls, haben sie gesagt. Dann ist alles sicherer, haben sie gesagt.

Bonus: Cloudflare!

Wegweisendes Gerichtsurteil aus den Niederlanden!

Den Haag hat Außenwerbung für Kreuzfahrtschiffe und Flugreisen verboten. Begründung: Klimawandel. Außerdem verboten war Werbung für Stromverträge aus nicht erneuerbaren Energien, Werbung für Erdgas-Verträge und Verbrenner-Autos (auch Hybrids).

Dagegen klagten TUI und ANVR (Verband der Reisebüros). Das Verbot ist seit dem 1. Januar 2025 in Kraft. Das Gericht fand jetzt: War in Ordnung, das Verbot. Klage abgewiesen.

Die Kläger hatten u.a. vorgetragen, Den Haag hätte nicht nachweisen können, dass das Werbeverbot konkret die öffentliche Gesundheit der Bürger und Besucher verbessern werde. Außerdem gäbe es ja keine Verbindung zwischen der Werbung und den negativen Auswirkungen des Klimawandels.

Eine Folge der Kleinparteien aktuell ist, dass immer weniger Bürger im Parlament repräsentiert werden, und in der Grafik da sind die Unter-18-Jährigen noch gar nicht drin.

Das ist für eine Demokratie durchaus bedenklich und vielleicht sollte man da mal ein bisschen eingehender drüber nachdenken.

Update: War nicht gut ausgedrückt. Das ist natürlich eine Folge der 5%-Hürde, nicht der Kleinparteien. Die sind bloß der Auslöser.

Leserbrief zu meinem LOTL-Rant:

Ich sehe regelmäßig (=mehrmals/Woche), wie User mittels falschen Captchas (=ClickFix) dazu gebracht werden mittels mshtma (warum gibts das eigentlich noch?) und/oder PowerShell entsprechended Code auf ihren Maschinen auszuführen. Es gibt mittlerweile schon so viele verschiedene Captcha-Arten, und die Leute sind seit Jahren daran gewohnt es einfach nur aus dem Weg zu bekommen, dass sie "Press Windows+R and paste the clipboard to fulfill the Captcha" nicht direkt hinterfragen.

Anmerkung der Redaktion: Er meint mshta ohne m, und ein LOLBIN ist ein bei Windows beiliegendes Binary, das "Dinge tun kann" und sich für "Living off the Land" eignet.

Auch AnyDesk-Sessions und Co. nach einem entsprechendem Browser-Popup oder einer Teams-Nachricht von jemandem mit dem Display-Namen "IT-Support" von einem externen Account sind keine Unikate.

Beides Beispiele, wo man nicht schon im System sein muss und LOLBIN involviert ist. Allerdings sollte ein halbwegs brauchbares EDR-Tool das trotzdem erkennen bzw. wäre es mit anderen Maßnahmen verhinderbar.

Und um der Frage vorwegzugreifen: Ich bin bei einem MSSP, dementsprechend können wir unseren Kunden nur Empfehlungen aussprechen, die solche Dinge verhindern. Die Umsetzung (oder besser gesagt der Mangel selbiger) hängt ultimativ vom Kunden ab.

Ich muss ehrlich sagen, dass ich noch nie von so einem Captcha auch nur gehört habe. Hat jemand einen Screenshot von sowas? Sehr lustig!

Die Leute haben sich alle gegenseitig verdient, wenn ihr mich fragt. Ist wie dieser Sumpf im Herrn der Ringe. Überall Leichen und du stakst so rüber und denkst dir: Hey, damit interagiere ich jetzt mal! Was kann da schon passieren?

Außerdem: Na ein Glück, dass ihr Teams eingeführt habt! Das war ja ein echter Gewinn dann!

Komm erzähl mir mehr über den durchschlagenden Erfolg eurer Cloudstrategie!

Wieso haben die Leute Anydesk auf dem Rechner?! Wieso können sie Shell-Kommandos ausführen?

Noch ne Frage drängt sich auf: Empfehlt ihr den Leuten den Windows-Ausstieg? Oder habt ihr tolle Tipps für Schmerzmitteln, damit sie noch ein bisschen länger leiden können?

Update: Hier gibt es Screenshots von solchen Fake-Captchas.

Update: Hahaha das gibt es auch für Unix!

To protect the wiki against automated account creation, we kindly ask you to answer the question that appears below (more info):
What is the output of: LC_ALL=C pacman -V|sed -r "s#[0-9]+#$(date -u +%m)#g"|base32|head -1

In den letzten 6 Wochen haben die Huthi-Rebellen im Jemen angeblich 7 Reaper-Drohnen der Amerikaner abgeschossen, im Gesamtwert von 200 Millionen Dollar.

Schade, dass der Goldberg nicht mehr in der Signal-Gruppe ist. Das ist bestimmt eine lustige Debatte, wenn sie merken, dass sie mehr Geld durch verbrauchte Munition und abgeschossene Drohnen verlieren als durch Huthi-Anschläge auf Handelsschiffe.

Ich erwähne das aber aus einem anderen Grund. Um den Spielstand zu melden. Huthis : Bundeswehr steht 7 : 0 :-)

Hey, vielleicht sollten wir uns mal mit dem Iran anfreunden. Die scheinen ja wehrtechnisch zu wissen, was sie tun!

Old and busted: Frauen die Abtreibung verbieten.

New hotness: Frauen die Geburt verbieten!

In der Türkei sind Kaiserschnittgeburten in privaten medizinischen Zentren künftig verboten.

… wie meinen?!

Die AKP-Regierung von Präsident Recep Tayyip Erdogan will die Geburtenrate steigern. Und Kaiserschnitte, so die Überzeugung, führten zu weniger Geburten.

Man soll ja bei religiösen Ideologen nie fragen, wie die darauf gekommen sind, aber das würde mich hier schon interessieren. What the fuck!?

Update: Mehrere Leser wussten die Erklärung: Nach dem Kaiserschnitt muss man warten, bis die Wunde verheilt ist, bevor man das nächste Kind haben kann. Wenn man Frauen als Gebärmaschinen sieht und den Durchsatz optimieren will, gehen ohne Kaiserschnitt mehr Kinder als mit.

Der Hannoveraner Pressemitteilungsabdruckservice greift schon wieder ins Klo. Fragt einen "Principal Consultant Cybersecurity & Head of Cyber Operations and Research" (LMAO!) nach "dateilosen Angriffen".

Der holt natürlich die komplette Kanonade an Heißluft-Nebelwerfer-Panikmache heraus. Klar. Verkaufsgelegenheit!

Inhaltlich habe ich ein paar Anmerkungen. Die erste ist: Die zentrale Lektion aus der Nummer wird hier nicht mal angesprochen. Sie ist: Code Signing ist Schlangenöl!

Ich war quasi mittendrin, als Microsoft vor 20 Jahren in einer Panikaktion auf Code Signing gesetzt hat, weil sie in einem epischen Scheißetornado aus gehackten Windows-Systemen standen. Ab jetzt, sagten sie, müssen Treiber signiert sein!1!!

Das hilft natürlich überhaupt nichts. Das war auch von Anfang an klar, dass das nichts helfen würde. Wie üblich, wenn Organisationen Dinge tun, um Zeit zu gewinnen. Niemand macht jemals was mit der gewonnenen Zeit. Stattdessen erklärt das Management Mission Accomplished und ein paar Wochen oder Monate oder Jahre später hat man dann denselben Scheiße-Tsunami wie vorher.

Als in der NSA-Angriffskiste damals unsichere Treiber mit validen Zertifikaten gefunden wurden, hätte das eigentlich schon jedem klar sein müssen.

Leider arbeiten heutige IT-Abteilungen und die Security-Industrie nach der bewährten Vogel-Strauß-Methode und sagen erst: Wird schon nicht so schlimm werden. Und wenn es dann doch so schlimm geworden ist, dann sagen sie: "Microsofts Entwickler haben erneut Pech mit Windows-Updates"

Dass sich die Leute nicht verarscht vorkommen von sowas!? Hat denn hier niemand mehr Ansprüche an sich und sein Leben?! Sind alle nur noch am "ach komm, das sitze ich aus bis zur Rente"-Modus?!

Aber zurück zu diesem Head of Cyber Operations (*wieher*). Was schreibt der denn so?

Angreifer missbrauchen im Betriebssystem mitgelieferte Programme und Bibliotheken oder andere legitime, beispielsweise von Microsoft signierte Anwendungen, oft mit unerwarteten zusätzlichen Funktionen wie dem Herunterladen von Dateien.

Nee, tun sie nicht. Angreifer sind Leute, die in ein System eindringen. Das da beschreibt Leute, die schon in einem System drin sind. Dieser Fokus darauf, was jemand alles anstellen kann, nachdem er dich gehackt hat, ist ein reines Ablenkungsmanöver. Die Aufgabe von Security-Abteilungen ist, zu verhindern, dass der so weit kommt. Wenn er soweit gekommen ist, hast du per Definition schon verloren. Selbst wenn der nicht seine Privilegien erweitert, denn er hat ja jetzt schon Zugriff auf die Daten des Mitarbeiters, und der wird ja Zugriff auf Daten haben, denn wieso würde er sonst da arbeiten.

Angreifer missbrauchen verwundbare Treiber, die auf einem System vorhanden sind, oder installieren selbst Treiber mit bekannten Lücken.

Ja, genau. Weil Code Signing Schlangenöl ist. Vor denen euch, wenn ich das mal ganz ohne Protzen anmerken darf, ein gewisser Blogger schon jahrzehntelang warnt. Seit fast 20 Jahren ist Malware unterwegs, die Kerneltreiber mit validen Realtek oder JMicron-Zertifikaten installiert und ausnutzt. Die Idee war damals schon alt. Microsoft hat schon 2012 ein Microsoft-Zertifikat zurückgerufen, weil es in die falschen Hände geraten war.

Kurz: Das war von Anfang an Bullshit, alle wussten es, und ich habe öffentlich gewarnt.

Was mich aber noch mehr ärgert ist, dass sie schon wieder einem "offensive security"-Fuzzy ein Mikrofon hinhalten, und der den üblichen Branchen-Bullshit erzählen kann, was die fiesen "Angreifer" alles tun können (Im Kleingedruckten: Wenn sie deinen Rechner gehackt haben). Oh und schau her, wenn der nur vorinstallierte, mitgelieferte Tools benutzt, funktionieren die Annahmen eures ranzigen Schlangenöls gar nicht, vor dem ich auch die ganze Zeit gewarnt habe?! NA SOWAS!

Hey, vielleicht solltet ihr duch mal in Erwägung ziehen, auf mich zu hören. Zumindest ab und zu mal.

Österreich baut alle Wasserstofftankestellen zurück.

Ein großer Rückschlag für alle 59 (!!) Wasserstoffautos in Österreich!1!!

Gute Nachrichten! Der Ukraine-Krieg ist so gut wie beigelegt!

Endlich löst der Dealmaker, der Master Persuader, der größte Influencer aller Zeiten sein Versprechen ein und stoppt den Krieg. Sogar fast innerhalb von 24h nach seiner Amtseinführung!1!!

Gute Nachrichten! Die russische Drohnenwaffe ist so gut wie besiegt!

UK blocks video game controller exports to Russia, seeking to thwart drone pilots

Scheiße, Bernd! Hoffentlich klicken sich die Russen jetzt nicht ihre Joysticks bei Aliexpress!

Nach dem Terroranschlag in Indien stehen die Zeichen alle nicht gut dort.

Indien hat Pakistanis in Indien das Visum gecancelt und Inder in Pakistan zur sofortigen Heimreise aufgefordert.

Das klingt erstmal nach Posturing, was zwischen Indien und Pakistan nichts neues wäre. Allerdings ist Indien hier noch einen Schritt weiter gegangen und hat den Indus-Wasser-Vertrag ausgesetzt. Dieser Vertrag ist von 1960 und regelt Frischwasserlieferungen nach Pakistan, von denen deren Ernte abhängig ist. Um den gibt es eh Gezanke wegen Wasserkraftwerken in der Gegend, eines gerade noch im Bau, bei denen umstritten ist, ob die das Wasser dafür entnehmen dürfen oder nicht. Die Gelegenheit war günstig für Indien mit dem Terroranschlag, also haben sie mal Nägel mit Köpfen gemacht.

Bei "Ernteausfall" ist schon klar, dass das eine handfeste Bedrohung für Pakistan ist, und entsprechend gereizt reagieren die und haben Handel mit Indien ausgesetzt und ihren Luftraum für indische Flugzeuge geschlossen.

Hier noch ein Hintergrund zu dem Kraftwerk im Bau. Für so ein Wasserkraftwerk braucht man einen Stausee, und der würde wohl Pakistans Ernte austrocknen.

Update: Gunfight between Indian and Pakistani forces erupts on Kashmir border .

Die EU-Kommission möchte gerne die Umwelt retten etwas für die Absatz von Neuwagen machen und führt daher jährliche vorgeschriebene Inspektionen für Altwagen (10+ Jahre) ein.

Und bist du nicht willig, dann brauch ich Gew mehr Bürokratie!

Der Hannoveraner Pressemitteilungsservice kriecht mal wieder seinen Werbekunden in den Arsch:

Microsofts Entwickler haben erneut Pech mit Windows-Updates.

Das ist nicht Pech, sondern Herstellerversagen, und der Nachteil daraus entsteht auch nicht den Entwicklern, sondern den Kunden.

Da brauch ich echt ein Beißholz, wenn ich sowas lese. Könnt ihr mal bitte endlich Verantwortung bei den Herstellern dieser Schrott-Produkte suchen und nicht so tun, als sei das halt schlechtes Wetter?!

Max Schrems klagt gegen Ubisoft, weil die Onlinezwang bei Single-Player-Spielen ohne Onlinefunktion haben.

Endlich mal eine praxisrelevante Problemstellung! Immer feste druff!

Gute Nachrichten! Der in Flammen aufgehende Batteriespeicher? Das waren nicht die Batterien. Das war das schlechte Internet. Da kann keiner was für. Sagt der Hersteller.

Der Hersteller fasst die Gründe für den Brand wie folgt zusammen:

1. Die instabile Netzverbindung des Mikrowechselrichters beeinträchtigte die Systemstabilität.
2. Ein möglicher Kontaktfehler am 400-Watt-MPPT-Anschluss führte lokal zu einem Temperaturanstieg und beschleunigte die Fehlerentwicklung.
3. Die Systemstörung bestand über einen längeren Zeitraum, ohne dass zeitnah eingegriffen wurde.
4. Das Zusammenwirken mehrerer technischer und äußerer Einflüsse führte letztlich zum Vorfall.

Das kann ja wohl niemand erwarten, dass ein Batteriesystem ohne stabiles Internet nicht in Flammen aufgeht!

Lacher des Tages: Die Schriftart in der "You wouldn't steal a car"-Werbekampagne war raubmordkopiert.

America Underestimates the Difficulty of Bringing Manufacturing Back. Von einem Spielzeugfabrikanten in den USA, first generation immigrant. Money Quote:

Chinese manufacturing labor isn’t just cheaper. It’s better.

In China, there are no people who are too fat to work. The workers don’t storm off midshift, never to return to their job. You don’t have people who insist on being paid in cash so that they can keep their disability payments, while they do acrobatics on the factory floor that the non-disabled workers cannot do.

Chinese workers are much less likely to physically attack each other and their manager. They don’t take 30 minute bathroom breaks on company time. They don’t often quit because their out-of-state mother of their children discovered their new job and now receives 60% of their wages as child support. They don’t disappear because they’ve gone on meth benders. And they don’t fall asleep on a box midshift because their pay from yesterday got converted into pills.

And they can do their times tables. To manufacture, you need to be able to consistently and accurately multiply 7 times 9 and read in English, and a disturbingly large portion of the American workforce cannot do that.

Da bleibt kein Auge trocken.

Sadly, what I describe above are not theoretical situations. These are things that I have experienced or seen with my own eyes.

Und das ist nur einer von 14 Aspekten, die er da beleuchtet.

Das ist alles so fraktal dumm und kaputt. Hier sehr schön auf den Punkt gebracht.

Many are saying that this tariff policy is the “end of globalization”. I don’t think so.

Unless this policy is quickly changed, this is the end of America’s participation in globalization.

*mike drop* (via)

Mir macht ja wenig so viel Freude, wie wenn sich Schlangenöl-Vertriebler gegenseitig Inkompetenz vorwerfen. Aktuell: Googles M-Trends 2025 Report (M wie in Mandiant, die Google vor einer Weile geschluckt hat). Hier eine Kurzzusammenfassung.

Three of the four most exploited vulns were zero days, all were in cybersecurity products (Palo-Alto, Ivanti Connect Secure, Ivanti Policy Secure and Fortinet). In most of the cases documented, it was ransomware groups running rings around security vendors, ie the security vendors were the cause of the victims woes due to defective products.

Ach. Ach was. Das ist ja grauenhaft! Hätte uns da nicht jemand warnen können?!

Eine andere Sache, über die ich mich seit Jahren lustig mache, ist wie die Leute alle teures Monitoring-Equipment kaufen, und dann keiner die Logs davon liest. Googles Beobachtung ist, dass man über eine Woche zwischen Einbruch und dem Ransomware-Einschlag hat, in dem man die Eindringlinge finden könnte, wenn man denn die Logs lesen würde. Liest man aber nicht.

Und mit Security hat das natürlich auch nichts zu tun, wenn man Eindringlinge findet. Security wäre, sie vom Eindringen abzuhalten. Aber hey, whatever. Auf mich hört ja immer keiner.

Der nächste Mython, mit dem Google abräumt, ist "KI"-Phishing. Phishing spielt eine immer geringere Rolle, mit oder ohne "KI". Das sind alles Katzenminze-Kindermobiles für "Entscheider", damit die was attraktives haben, das ihre Aufmerksamkeit auf sich zieht.

Desweiteren stellt sich völlig überraschend raus, das wenn du Daten über die Angreifbarkeit deiner Produkte und Infrastruktur in die Cloud hochlädst, zu Jira und co, dass Angreifer das dann lesen und deine Produkte und Infrastruktur mit dem gewonnenen Wissen penetrieren.

Lasst euch nicht von dem ganzen MFA-Scheiß blenden. Das ist auch ein Katzenminze-Kindermobile. Die Frage sollte nicht sein, ob ihr MFA an dem Clouddienst aktiviert habt, sondern wieso ihr überhaupt diesen völlig überflüssigen, schädlichen, kostspieligen und Angreifern helfenden Clouddienst betreibt.

Mir ist auch völlig unklar, wieso alle Leute glauben, ein VPN zu brauchen. Das ist Perimetersicherheit, das ist als Konzept vollständig diskreditiert. Ich habe kein VPN und meine Firma auch nicht.

Update: Dieses Zero-Day-Gefasel geht mir auch zunehmend auf den Sack. Bei seriösen Anbietern gibt es keine Zero-Days, weil die keine Software einsetzen, bei der Sicherheitslücken im Umlauf sind, die der Hersteller noch nicht sofort gepatcht hat, und seriöse Firmen rollen Patches zeitnah aus. Eine "Security-Firma", die jemals in ihrer Geschichte einen Bug so lange wegignoriert hat, bis er extern ausgenutzt wird, sollte nie wieder einen Cent von irgendjemandem sehen.

Update: Ich glaube ja, dass wir hier neue Begrifflichkeiten brauchen. 0day ist ja ein Begriff aus der Hackerszene. Er bezeichnet Exploits für Sicherheitslücken, die so frisch sind, dass der Hersteller nichts von ihnen weiß. Der Hersteller der Software, die man exploiten will.

0day heißt nicht, dass Microsoft seit Jahren leugnet, dass das ein Bug ist, oder dass Ivanti keinen Patch hat, weil ihnen die Sicherheit und das Überleben ihrer Kunden voll am Arsch vorbeigeht.

Im Sprachgebrauch bei Nicht-Hackern hat sich das aber komplett gewandelt und 0day heißt "war halt schlechtes Wetter, kann keiner was für". Da ist das rein exkulpativ und wird auch für andere Situationen verwendet. Warum schlage ich neue Nomenklatur vor? Weil Hersteller 0day zur Exkulpation verwenden, und von außen kannst du das ja nicht sehen, ob der Hersteller von dem Bug wusste und ihn bloß nicht fixen wollte, oder tatsächlich nichts davon wusste. Meiner Erfahrung nach schieben alle Hersteller eine riesige Bugwelle aus bekannten Bugs in ihrem Bugtracker vor sich her, und die Wahrscheinlichkeit dafür, dass ein Bug tatsächlich unbekannt ist, ist sehr nahe Null. Schlimmer noch: Wenn es tatsächlich vorkommt, dass ein Bug dem Hersteller unbekannt war, dann kann das eigentlich nur heißen, dass der Hersteller absichtlich nicht hingeguckt hat, weil er Kundenreports nicht als Bugs versteht, sondern als Vertriebskanal für "Support"-Abofallen. Das sollte man nicht belohnen, indem man sagt, dass das dann wohl ein 0day war. Nein. Das war Herstellerversagen.

Hier hat mal jemand geguckt, ob das Ausnutzen von Undefined Behavior in C und C++ für Optimierungen wirklich was bringt.

Das war ja immer die Begründung, weil solche Optimierungen ja in der Regel Dinge wegoptimieren, die da aus gutem Grund standen. Zum Beispiel hat der Linux-Kernel mal einen Null-Pointer-Check so verloren, und ansonsten sind es gerne mal Bounds-Checks, die einen Buffer Overflow verhindern sollten, oder Integer-Overflow-Checks, die auch Memory Corruption verhindern sollen.

Da war immer die Erzählung der Compiler-Leute: Jaja, das ist nicht optimal, aber die Performance, die wir da rausholen können!1!!

So und was findet dieses Paper jetzt heraus? Ich zitiere mal:

Using LLVM, a compiler known for its extensive use of UB for optimizations, we demonstrate that, for the benchmarks and UB categories that we evaluated, the end-to-end performance gains are minimal. Moreover, when performance regresses, it can often be recovered through small improvements to optimization algorithms or by using link-time optimizations.

Das ist ja schon ein ziemlich großer Krater hier gerade.

Für die Studie haben sie einen Haufen realer Software genommen, sowas wie Video- und Audiocodecs und andere Kompressionssoftware, aber auch LLVM selbst und ein paar Crypto-Libraries. Eine ziemlich breite Sammlung. Dann haben sie die dokumentierten Compilerflags angeschaltet, um solche Optimierungen abzuschalten, und mal geguckt, wie sich das Laufzeitverhalten verändert hat. Das ganze auf x86-Prozessoren von Intel und AMD und auf einem ARM64.

Die Performanceunterschiede bewegen sich im einstelligen Prozentbereich, sind aber erstaunlicherweise bei ARM deutlich höher als bei Intel und AMD.

Ich vermute mal, dass die Auswahl der Software hier einige Weichen gestellt hat, denn gerade Crypto-Code und Videocodecs haben gerne mal Assembleroptimierungen in ihren heißen Pfaden, und die sind dann von Compilerflags nicht betroffen. Das macht einen Großteil der Benchmarks aus. Statt simdjson hätte man vielleicht eine Nicht-SIMD-Variante nehmen müssen, um Auswirkungen zu sehen.

Aber hey, insgesamt sieht das methodisch erstmal gut aus und die Ergebnisse räumen die angeblichen Performancegewinne ziemlich nachhaltig weg.

Kennt ihr den schon?

Der Gründer des Weltwirtschaftsforums in Davos, Schwab, soll Gelder veruntreut haben.

NEIN! DOCH!! OOOOH!!!