Meine Damen und Herren, ... Tonibler! *Applaus*

Der Lacher ist, wie es dazu kam. Sie haben beobachtet, dass die Leute häufig erst "foo" googeln und dann "foo reddit". Also haben sie sich gedacht, hey, wenn die Leute eh zu Reddit wollen, dann geben wir ihnen halt, was sie wollen.

Aber warum haben die Leute das gemacht? Weil die Suchfunktion von Reddit so legendär beschissen ist, dass sie niemand mehr als einmal benutzt und alle lieber zu Google rennen.

Für Reddit ist dieses strukturelle Versagen natürlich super jetzt. Die sahnen jetzt den ganzen Google-Traffic ab, da freuen sich die Aktionäre.

Was lernen wir aus der Geschichte? Baut eine beschissene Suchfunktion!1!!

Für den Rest von uns ist das natürlich Scheiße, denn die SEO-Arschlöcher sehen das ja und werden jetzt alle noch krasser auf Reddit rumspammen.

Der Klügere gibt nach.

Der Klügere ist: Der Iran.

Nestle hat sich gedacht, hey, der Milchpulverskandal ist lange her. Da fand der Vorstand vielleicht, es ist mal wieder an der Zeit für ein paar monströse Ethikverletzungen!

Kein Problem! Packen wir einfach Zucker ins Milchpulver! Wie? Haha, nein, nicht hier, wo uns von relativ starken Regulatoren Strafe droht. In … den Philippinen!

Fast alle der untersuchten Cerelac-Cerealien enthalten Zuckerzusatz – durchschnittlich fast 4 Gramm pro Portion. Das entspricht etwa einem Zuckerwürfel, obwohl sie für Babys ab sechs Monaten bestimmt sind. Die höchste Menge (7,3 Gramm) wurde in einem philippinischen Cerelac nachgewiesen. Die meisten Nido-Milchpulver für Kleinkinder zwischen einem und drei Jahren enthielten ebenfalls Zucker, im Schnitt fast zwei Gramm pro Portion. Den Spitzenwert (5,3 Gramm) wies hier ein in Panama verkauftes Produkt auf. In der Schweiz und den wichtigsten europäischen Märkten verkauft Nestlé seine Babynahrung ohne Zuckerzusatz.

Klar. Die sind ja nicht doof. Nur unethische Monster.

Wie üblich bei Nestle lassen die ihre PR-Abteilung gute Worte aussprechen und tun dann das Gegenteil. So läuft das ja auch beim Verkauf von Wasser in Flaschen.

"Damage caused by car washes is not covered by the warranty."

Bonus: Es gibt einen "Car Wash Mode", den man anschalten kann. Der Kunde hatte den angeschaltet.

Immerhin. Es gibt im Manual eine Reset-Prozedur. Die hat der Kunde gestartet. Sie half nicht.

Am nächsten Morgen ging es dann wieder. Tesla meinte dann, die Reset-Prozedur kann schon mal ein paar Stunden brauchen. 5 in diesem Fall.

Tja, liebe VW-Kunden. Da wisst ihr ja schon, was demnächst auf euch zukommt.

Was wir schon seit Jahren vermuten ist jetzt amtlich: Die Polizei (in den USA) darf dich zwingen, dein Telefon mit deinem Fingerabdruck aufzuschließen. Das sei wie wenn die Cops bei einem Besoffenen eine Blutprobe nehmen, fand der Richter.

Update: Hey, das ist ja wie bei uns!1!!

Hups! Microsoft installiert per Browserupdate ungefragt eine "Copilot-App"!

Bedauerlicher Fehlgriff. Softwarefehler! Keine Sorge, die tut ja gar nichts, die App, sagt Microsoft.

Ich finde, wir sollten hier mal die übliche Rhetorik anwenden.

Die Behörden sind informiert. Die Angreifer haben eine enorme kriminelle Energie demonstriert! Bislang sind unseres Wissens keine Daten weggekommen. Die Bundeswehr wurde in Alarmbereitschaft versetzt. Sowas, wissenschon.

Offensichtlich kriegt Microsoft noch viel zu wenig auf die Fresse. Wäre das nicht schön, wenn wir einen Weg hätten, Firmen für Cyberangriffe wie diesen zu bestrafen? Ihr wisst schon, eine Behörde vielleicht. Ein Regulator? Polizei? Vielleicht ein Bundesamt für Sicherheit. In der Informationstechnik oder so.

the C64-based experiment uses the sparse Pauli dynamics technique developed by Beguŝić, Hejazi, and Chan to approximate the behavior of ferromagnetic materials. Famously, IBM claimed such calculations were “too difficult to perform on a classical computer to an acceptable accuracy, using the leading approximation techniques,” recalls the paper.

Da hat sich IBM ein bisschen weit aus dem Fenster gelehnt, das war auch schon vor den C64-Leuten klar. Aber ist natürlich schön, wenn die das mal so richtig reinreiben, klar. Und das tun sie.

Their aggressively truncated and shallow depth-first search model used just 15kB of the spacious 64kB available on the iconic Commodore machine. Meanwhile, the final code consisted of about 2,500 lines of 6502 assembly, stored on a cartridge that fitted in the C64’s expansion port. This code was handled by the mighty 1 MHz 8-bit MOS 6510 CPU. The C64 took approx 4 minutes per data point. (Testing the same code on a modern laptop achieved roughly 800μs per data point.)

Das Ding läuft natürlich auch bei Raumtemperatur und braucht keine Kühlung bis nahe an den absoluten Nullpunkt.

Ja gut, denkt ihr euch jetzt wahrscheinlich, das ist halt ein Spezialfall. Dazu die C64-Autoren:

On the topic of how applicable this research is to other quantum problems, it is snarkily suggested that “it probably won’t work on almost any other problem (but then again, neither do quantum computers right now).”

*Schenkelklopf*

Kumpel von mir bekommt gerade eine Mail von einer Hotelgruppe:

Dear customer, In a climate of heightened cyber-risk, companies are exposed to a growing number of increasingly sophisticated cyber-attacks capable of bypassing even the most robust security protocols. Unfortunately, our Group has not been spared and has been targeted by a cyber-attack.

Ich sage euch, die kriminelle Energie, mit der diese Cyber-Angreifer arbeiten, die ist enorm!!

Please be assured that our teams are constantly working to strengthen our security protocols and to ensure that such incidents do not happen again, and we hope that this episode has not had any significant consequences for your personal data.

Hoffen sie.

Ja, äh, hoffen kann mein Kumpel auch alleine.

Immer dieses "ab und zu gibt es halt Gewitter und dann schlägt schon mal ein Blitz ein"-Mentalität!

Ja, äh, dann bau halt Blitzableiter ans Gebäude?

Immerhin haben die nicht nach dem Staat gerufen, der soll sich mal um Cyber-Cyber kümmern, wie der Chef von Motel One. So tief hat echt noch keiner ins Klo gegriffen.

Wie das halt manchmal so ist. Die Geister, die ich rief, werde ich nun nicht wieder los.

Leider hat der EuGH schon entschieden, dass das OK ist. Jetzt müsste man also die Gesetze ändern, um das wieder gerade zu biegen.

Die haben Maschinen zum Auszahlen von Spielgewinnen eingeführt. Der einarmige Bandit druckt einen Barcode aus, mit dem geht man zur Auszahlmaschine und die gibt einem dann Bargeld.

Damit da keiner auf Ideen kommt, haben die Maschinen ein Limit von 2000 Australdollar.

Aber man konnte zwei Bons auf einmal einreichen, mit der Summe über 2000 A$, und dann hat der die Summe ausgezahlt. Und einen der Bons wieder ausgespuckt. Den konnte man dann nochmal abbuchen.

Der Hammer: Das blieb 13 Tage unentdeckt durch das Casino. Und der Schaden war nur um die 3 Mio Dollar. Die Zocker in Australien scheinen nicht so helle zu sein :-)

In den letzten Jahren ist es ja üblich geworden, dass man einfach immer behauptet, eine Regierung stecke hinter irgendwas. Das war für alle super.

Der Gehackte konnte dann einfach behaupten, "alles getan zu haben", denn gegen EiNe RegIErUnG kann man nichts machen.

Der tatsächliche Angreifer kann ungestört weiterhacken, denn gegen EiNe RegIErUnG kann unsere Polizei ja nichts machen.

Unsere Polizei kann ein paar Monate die Akten Moos ansetzen lassen und dann ungetaner Dinge die "Arbeit" einstellen, denn gegen EiNe RegIErUnG kann unsere Polizei ja nichts machen.

Die unseriösen Security-Klitschen, deren Schlangenöl die Gehackten eingesetzt hatten, sind auch nicht ein Erklärungsnot, denn gegen EiNe RegIErUnG kann man sich ja eh nicht verteidigen.

Auch bei der Nordstream-Explosion haben alle sofort gesagt, das wird eine Regierung gewesen sein, aber da scheint das gerade nach hinten loszugehen, denn die Versicherungen wollen jetzt nicht zahlen. Begründung: Wenn das eine Regierung war, dann war das eine kriegerische Handlung, und gegen sowas versichern wir nicht.

Ja, äh, Scheiße, Bernd! Auf der anderen Seite auch abzusehen. Das Geschäftsmodell von Versicherungen beschränkt sich auf das Kassieren. Auszahlen war noch nie so deren Ding.

In der IT-Security gibt es mehrere Fraktionen, die gelegentlich eher gegeneinander als miteinander arbeiten. Der Großteil der Branche befasst sich heutzutage mit Extrem-Checkboxing. Man rollt "Best Practices" wie "SIE BRAUCHEN MEHR SCHLANGENÖL!!!1!" aus, und der Umgang mit Sicherheitslücken geht nicht in die Richtung "wir suchen jetzt welche und dann fixen wir die Bugs" sondern in die Richtung "wir bauen jetzt ein paar tolle Datenbanken für Sicherheitslücken auf, dann können wir alle unsere Zeit mit dem Verwalten von Datenbankeinträgen verbringen, das ist viel weniger stressig als sich mit Security zu beschäftigen".

Das bringt natürlich niemandem was, wenn es um Security geht, aber es zahlt einer Menge Menschen die Gehälter, die so nie irgendwas substanzielles für das Gemeinwohl beitragen müssen.

Viele CERTs sind auch nichts anderes mehr als Mailinglisten-Verteiler für Datenbankeinträge.

Eines Tages wird jemand merken, dass man das auch vollständig automatisiert machen kann, und man braucht nicht mal "KI"! Das kann ein Perlskript aus den 1990ern erledigen! WE HAVE THE TECHNOLOGY!

Aber egal. Das war nicht der Punkt.

Der Punkt war, dass es endlose Datenbanken mit Sicherheitslücken gibt, und einen veritablen Riesenmarkt aus unseriösen Resellern, die Datenbankeinträge weiterverkaufen, die sie selbst kostenlos aus dem Internet gescraped haben. Wenn es nach mir ginge, würde man die alle in die Wüste schicken. Aber es geht nicht nach mir.

Einige Projekte haben jetzt klar die Meinung entwickelt, dass sie da nicht mitmachen wollen. Der Linux-Kernel ist z.B. so ein Projekt. Jahrelang haben die keine CVE-Datenbankeinträge eingetragen. Deren Standpunkt war, dass so gut wie alle Security-Bugs Bugs sind, und Bugs fixen wir hier. Jedes Kernel-Release hat Hunderte von Bugs. Einige von denen sind Security-Bugs. Was du brauchst ist keine Datenbank mit Vulns, was du brauchst ist den jeweils aktuellen Kernel. Alle Patches einspielen, sofort. Immer.

Da haben sie völlig Recht mit, inhaltlich. Aber es hat halt dazu geführt, dass sie ständig von so Datenbank-Administratoren angeheult wurden. Ist ja auch klar, denn diese Datenbank-Einträge-Dealer leben ja davon, dass ihre "Leistung" wertvoll aussieht. Je mehr Einträge sie haben, desto wichtiger sieht das aus.

Der Linux-Kernel hat dann irgendwann die Opposition aufgegeben und ist seit Februar diesen Jahres eine CNA, hat einen eigenen ID-Bereich und kann aus dem Bereich selbständig CVEs vergeben. Sie haben gewarnt: Wenn wir das tun, dann kriegt ihr echt viele CVEs von uns, weil im Kernel-Kontext so gut wie jeder Bug auch ein Security-Problem ist, wenn man nur aus dem richtigen Winkel drauf guckt.

Die Datenbank-Heinis haben Dollarzeichen in den Augen gekriegt und "yes please" gesagt. Und jetzt haut der Linux-Kernel pro Woche (!) ca 100 CVEs raus.

Ich habe nicht genug Popcorn für diese Gesamtsituation gerade.

Ihr könnt euch vorstellen, dass die kommerziellen Datenbankheinis alle feuchte Höschen haben jetzt. Die können für noch mehr kostenlos bezogenen Content anderen Leuten Rechnungen stellen! Kaching!!

Aber es gibt halt auch nichtkommerzielle CVE-Verteiler, u.a. das DFN-Cert, und die sind jetzt ein bisschen ungehalten (jemand hat mir eine Mail von deren Verteiler weitergeleitet) und haben angekündigt, dass sie die nicht alle übernehmen und verbreiten wollen, sondern sie wollen vorfiltern, welche wichtig sind und welche nicht.

Das ist natürlich nicht gut. Das kostet Arbeitszeit, die denen irgendjemand bezahlen muss.

Aber für mich als Außenstehenden ist das tolles Popcorn-Kino.

Ich reg mich ja seit Jahren still über "-native" auf. "Digital native" war Bullshit in Tüten (als ob jemand, der damit aufwächst, automatisch ein tieferes Verständnis entwickelt!), dann kam "Cloud Native", das war Bullshit in Jutetaschen (reiner Marketingscheiß, der rausquillt und schlecht rauswaschbar ist).

Eine ähnliche Kategorie von "da krieg ich Gewaltfantasien"-Neusprech ist "-scale". Was die alle immer rumgefurzt haben, wie geil ihr Scheiß skalieren würde! Und dann guckst du mal vorbei und wartest 20 Sekunden auf das Laden der Homepage.

Und jetzt ist alles "internet scale" oder zumindest "cloud scale", man sagt nicht mehr "Cloud-Drückerkolonne" sondern "Hyperscaler" (das einzige, was da skaliert, sind die Rechnungen). Furchtbar.

Höchste Zeit also, dass sich ein Depp findet, der mit "AI-native" und "AI-scale" Werbung macht.

Was soll ich euch sagen? Cisco liefert! Ja, DAS Cisco, das mit den ständigen apokalyptischen Sicherheitslücken. Die mit den Dutzenden von versehentlich hart einkodierten Admin-Account-Passwörtern. DIE. Die erzählen uns jetzt nicht nur was von Security sondern machen gleich noch die volle Familienpackung "AI" dran. Vorsicht: Wenn man irgendwas von irgendwas versteht, kriegt man von der Lektüre direkt Ganzkörper-Juckreiz. Das Produkt heißt "Hypershield". Wie Hypeshield aber mit r. Damit man assoziiert, es sei für Hyperscaler (und damit BESTIMMT SICHER GUT GENUG FÜR UNS HIER).

Eine Sache glaube ich ihnen. Dass die Presseerklärung direkt aus einer "KI" fiel. Das ist alles so falsch, dass nicht mal das Gegenteil stimmt.

Auf der anderen Seite kann man Punkte für alle Schlangenöl-Tropes in der IT-Security-Werbung vergeben. Das checkt alle Boxen.

1. "Developed for hyperscale". Check.
2. Schützt ALLES for ALLEN Angriffen. Check.
3. Revolutionär! check.
4. "enables security enforcement to be placed everywhere". Check.
5. "can even turn every network port into a high-performance security enforcement point". Check.

DOCH! Das geht! In der unseriösen Werbung einer anderen Firma: Nvidia. Ihr seht wahrscheinlich schon kommen, was als nächstes passiert:

Cisco [blahsülz] with NVIDIA, is committed to building and optimizing AI-native security solutions to protect and scale the data centers of tomorrow.

Und schwupps, mit einer kleinen Handbewegung, ist was eben noch ein Nachteil war (nämlich dass hier ohne Domain Knowledge eine "KI" Dinge halluziniert, die darauf trainiert ist, dass das plausibel aussieht, nicht dass es funktioniert) ein Vorteil! Weil, äh, "AI-native"!!1!

Ja aber Moment, Fefe, da stand ja noch gar nicht "empower"! Ohne "empower" geht sowas doch gar nicht!!

"AI has the potential to empower the world's 8 billion people to have the same impact as 80 billion.

Das hingegen finde ich ein tolles Zitat. Er sagt hier also: Wenn die Leute alle "KI" machen, dann werden sie zehnmal so viel Ressourcen verbrauchen, ohne einen Vorteil daraus zu ziehen. Glaubt mir, wenn das Vorteile brächte, hätte er die hier erwähnt.

Wo wir gerade bei Warnungen waren:

The power of Cisco Hypershield is that it can put security anywhere you need it – in software, in a server, or in the future even in a network switch.

Du brauchst dann halt in jedem Ethernetport eine Nvidia-GPU. Das wird das Power-Budget geringfügig senken, das für tatsächliches Computing übrig bleibt in einem Data Center, aber für Nvidias Aktienkurs wird es großartig werden!

When you have a distributed system that could include hundreds of thousands of enforcement points, simplified management is mission critical. And we need to be orders-of-magnitude more autonomous, at an orders-of-magnitude lower cost

Beachtet das "autonomous" her. Eine "KI", die keiner versteht, weil sie nicht programmiert sondern trainiert wurde, soll autonome Entscheidungen darüber treffen, welche Netzwerkpakete erlaubt sind und welche nicht. Oh und wie immer bei "KI" gibt es auch kein Debugging, nur "nach-trainieren", was dann andere Stellen kaputtmacht. Das wird ja eine tolle Zukunft!

So, jetzt kommen wir zum technischen Teil. Weiter unten, damit er die Deppen nicht mit Fakten verwirrt.

AI-Native: Built and designed from the start to be autonomous and predictive, Hypershield manages itself once it earns trust, making a hyper-distributed approach at scale possible.

Cisco sagt also selbst, dass man dem nicht trauen kann, bis es sich Vertrauen erarbeitet hat. Wenn wir es hier mit denkenden Kunden zu tun hätten, wäre die logische Folge, dass man das nicht einsetzen kann. "manages itself" sollte natürlich auch alle Alarmlampen angehen lassen, genau wie "hyper-distributed" und "at scale", aber vermutlich nicht bei Leuten, die Cisco kaufen. Das ist eine Vorselektion vom unteren Rand des Spektrums.

Cloud-Native: Hypershield is built on open source eBPF, the default mechanism for connecting and protecting cloud-native workloads in the hyperscale cloud. Cisco acquired the leading provider of eBPF for enterprises, Isovalent, earlier this month.

Langsam zeichnet sich ein Bild ab. Irgendein Sprallo bei Cisco sah die Firma mit der Überflüssigkeit konfrontiert, die aus Software Defined Networking einhergeht (ach, man kann Switches in Software machen? Man braucht gar keine Hardware mehr, von Cisco oder sonstwem?), dann haben sie schnell einen Panikkauf von einer eBPF-Klitsche gemacht und mit einem Hype-Überperformer (am Aktienmarkt, nicht bei den Produkten) geredet, also Nvidia, und sagen jetzt den Investoren: We heard you like AI! We put Nvidia in you eBPF so you can hallucinate while you kernel panic!

Ich ruf gleich mal den Notarzt. Wenn DAS keinen Herzinfarkt oder Schlaganfall auslöst, dann bin ich möglicherweise schon tot und werde hier gerade bloß von einer "KI" weitersimuliert. Das kann niemand überleben, der mehr als zwei Hirnzellen übrig hat.

Berlin. Die Schulen haben kein Klopapier, das Bürgeramt ist wegen Personalmangel geschlossen, und die Busse wollen von Fahrplan zu "kommt alle n Minuten, nagelt uns nicht fest" umstellen.

Aber für eine Sache ist immer Geld da!

Die Berliner Polizei kriegt Drohnenabwehrfahrzeuge.

Falls irgendein Zweifel bestand, wofür der Überwachungsstaat die Chatkontrolle braucht: Whatsapp, Signal und Threema.

Der aktuelle Vorsitz der EU-Staaten will demnach die als sicher und datenschutzfreundlich geltenden Dienste als hochriskant einstufen. Gegen sie sollen dann Aufdeckungsanordnungen mit einer Dauer von bis zu 24 Monaten verhängt werden können. Während dieser Zeit müssten die Betreiber die Kommunikationsdaten Strafverfolgern zugänglich machen.

Wie, da kann jemand über uns reden, ohne dass wir das sehen können? HOCHRISKANT!!1!

In Sachen Nachhaltigkeit und ein grüneres Gesundheitssystem können wir von den Briten noch viel lernen.

GP patients are being told to bring their own batteries to appointments for blood pressure and heart checks, as part of cost-cutting measures.

Cost-Cutting? Aber nicht doch, mein Herr!

“This policy is in line with our drive to support sustainability and a greener NHS, as patients can continue to use the batteries they provide at home afterwards.”

Sustainability! Greener NHS! (NHS ist das britische Gesundheitssystem, National Health Service)

Hier ist einer für Nostradamus-Enthusiasten!

Was passierte mit den Geschäftsergebnissen von ASML, als die nicht mehr nach China exportieren durften?

Kommt ihr NIE drauf!1!!

Berlin, fuck yeah! Pflegerin im Altenheim ruft Polizei. Diebstahl? Raub? Mordversuch? Nein. Zum Schichtwechsel war keine qualifizierte Pflegekraft erschienen, die die Zulassung zu Verabreichung der nötigen Medikamente hatte.

Die Heimleitung ist jetzt natürlich super peinlich berührt und so. Als ob sie nicht dafür verantwortlich sei, die Zustände herbeigeführt zu haben. Sehr geil auch:

Die Altenpflegerin soll zunächst versucht haben, den Bereitschaftsdienst und die Heimleitung zu erreichen, allerdings ohne Erfolg

Was kümmern mich die Alten in unseren Heimen! Ich schlafe um diese Uhrzeit!1!!

Update: Bonus gegen Ende im Artikel:

Ein EDV-Problem habe dazu geführt, dass die Buchung einer qualifizierten Zeitarbeitskraft nicht wie üblich per Mail verschickt worden sei.

Softwareproblem. Kann man nichts machen.