Feedback — xz-Backdoor — TikTok-Verbot — Bezahlkarte — Pöse Hacker aus Österreich — ChatGPT vs. DSGVO — Termine
Linus ist wieder da und wir greifen das Feedback der letzten Zeit ein wenig auf der Metaebene auf. Dann schauen wir noch mal genau auf die jüngst im letzten Moment verhinderte Backdoor, die durch die Open Source Bibliothek xz den Weg in das Internet suchte und wir grübeln über das Wohl und Wehe der Einschränkungen von Social Media Diensten wie TikTok. Dann decken wir die kriminellen Machenschaften von LNP-Kontributoren auf und kratzen uns ein wenig am Kopf, wie AI-Tools und DSGVO zusammenpassen. Am Schluß noch ein Überblick über allerlei Veranstaltungen in den nächsten Monaten.
Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.
Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.
Transkript
Shownotes
Prolog
- mygruni.de: myGruni – SEK Grunewald
- finanzwende.de: Anne Brorhilker wird Geschäftsführerin von Finanzwende
- de.wikipedia.org: Anne Brorhilker – Wikipedia
Save the date: 31. August 2024, ziemlich wahrscheinlich in Berlin
Feedback
Arschverletztheit und Humor im Angesicht des Todes
- logbuch-netzpolitik.de: Kommentar von Alessa
- logbuch-netzpolitik.de: Kommentar von Uwe
- spiegel.de: Unwetter in Dubai und Oman: Mindestens 20 Tote und schwere Schäden durch Starkregen – DER SPIEGEL
- de.wikipedia.org: Godwin’s law – Wikipedia
- youtube.com: Two dogs can't figure out if they love each other or hate each other – YouTube
- de.wikipedia.org: Ricky Gervais – Wikipedia
- standard.co.uk: The Standard
- de.wikipedia.org: Terroranschläge am 11. September 2001 – Wikipedia
xz-Backdoor
- openwall.com: oss-security – backdoor in upstream xz/liblzma leading to ssh server compromise
- redhat.com: Urgent security alert for Fedora 41 and Fedora Rawhide users
- fulda.social: Joerg Jaspert :debian:: "And if you are curious about the #xz #compromise,…" – Fulda.social
- git.tukaani.org: git.tukaani.org – xz.git/commitdiff
- gist.github.com: xz-utils backdoor situation (CVE–2024–3094) · GitHub
- lcamtuf.substack.com: Techies vs spies: the xz backdoor debate
- linkedin.com: Andreas Bogk on LinkedIn: Timeline of the xz open source attack | 18 comments
- github.com: re-review commits · Issue #2103 · libarchive/libarchive · GitHub
- arstechnica.com: Backdoor found in widely used Linux utility targets encrypted SSH connections | Ars Technica
- research.swtch.com: research!rsc: Timeline of the xz open source attack
TikTok-Verbot
- heise.de: USA: ByteDance präferiert wohl Schließung von TikTok – Algorithmus zu wichtig
- de.linkedin.com: Markus Beckedahl auf LinkedIn: In den USA haben beide Kammern einem Verbot von TikTok zugestimmt, wenn… | 15 Kommentare
- spiegel.de: TikTok: Joe Biden unterschreibt US-Gesetz – so geht es jetzt weiter – DER SPIEGEL
- spiegel.de: EU-Kommission leitet wegen TikTok Lite Verfahren gegen Online-Plattform ein – DER SPIEGEL
- spiegel.de: TikTok-Gesetz im US-Kongress: Das steckt hinter dem Ultimatum der USA – DER SPIEGEL
- spiegel.de: TikTok: US-Gesetz gegen die Video-App nimmt Fahrt auf – Verkauf oder Verbot – DER SPIEGEL
- de.wikipedia.org: Tian’anmen-Massaker – Wikipedia
- 9to5mac.com: Apple pulls WhatsApp and Threads from App Store in China [U: Signal and Telegram] – 9to5Mac
Bezahlkarte
- anwaltverein.de: 403 Forbidden
Ermittlungen gegen epicenter.works wegen angeblichen Hackings
- netzpolitik.org: Österreich: Ermittlungen gegen Bürgerrechtsorganisation wegen angeblichen Hackings
- epicenter.works: Kritische Sicherheitslücken aufgedeckt: Ministerium zeigt NGO an – epicenter.works
- logbuch-netzpolitik.de: Kommentar von Michael fillg1 Seb fillg1 Seb Paul Tim Pritlove Ralf Möller Mathias Panzenböck joschi Florian Bauzaun Max Sandra wans hurst Max Trolli Schmittlauch Kalle Klarname René Joachim Johannes Bauermann joschi mro.name O. Martino Nico Martino Ben joschi Nico ewu Linus Neumann Seb Schmolli Popolli Trolli Schmittlauch Sandra kalle Jörn Moritz Marc Toralf Niebuhr drombo joschi Paul K AJ Martino Tim Pritlove Martino hrnz BK M Martino nikö Aissa Ngu Michael Guido BerndFfm Martino Name * Mike Pumuckel Maximilian
- epicenter.works: Rechtlicher und technischer Hintergrund des „EMS-Skandals“
- de.wikipedia.org: COVID–19-Pandemie – Wikipedia
noyb: ChatGPT vs. DSGVO
- noyb.eu: ChatGPT provides false information about people, and OpenAI can’t correct it
- golem.de: ChatGPT kann einen falschen Geburtstag nicht korrigieren
- noyb.eu: Beschwerde über die Verarbeitung personenbezogener Daten durch Künstliche Intelligenz: Eine Untersuchung der Rechtskonformität und Genauigkeit gemäß der DSGVO
Termine
2024–05–30 GPN
- events.ccc.de:
- Gulaschprogrammiernacht – CCC Event Blog
2024–06–28 Hack an der Ruhr
- hadr.un-hack-bar.de: Hack an der Ruhr 2024
- un-hack-bar.de: Vorverkauf Hack an der Ruhr 2024 gestartet – UN-Hack-Bar
- un-hack-bar.de: Hack an der Ruhr ’24 – Call for Participation – UN-Hack-Bar
2024–07–09 Hacken Open Air
- hackenopenair.de: Hacken Open Air 2::24
- events.ccc.de: Hacken Open Air 2::24 – CCC Event Blog
2024–08–31 Save the date!
2024–09–13 Das ist Netzpolitik!
- netzpolitik.org: Konferenz von netzpolitik.org: Call for Participation – Bildet Netze!
- pretalx.com: netzpolitik.org – die Konferenz: Bildet Netze! :: pretalx
2024–09–20 Datenspuren
- talks.datenspuren.de: Datenspuren 2024 :: pretalx
- events.ccc.de: Datenspuren 2024: Was nun? Was tun! – CCC Event Blog
hallo linus, welcome back!
sehr schön, nicht dass die höre*innen alleine mit tim den sommer in der metaebene verbringen müssen.
gute sendung, deine apple-bemerkung hat mich schmunzeln lassen…
grüßend und sich auf DAS event freudend
und außerdem
Was erzählt ihr da für einen Quatsch. Laut ChatGPT wurde Tim Pritlove am 25. Februar 1971 geboren.
Und Linus Neumann wurde am 22. Oktober 1986 geboren.
Ein spannendes Interview mit dem Menschen (sig), der uns die xz-Backdoor erspart hat
https://youtu.be/jg5F9UupL6I?si=9RkylExGMGsSX2WV
Was Aufmerksamkeit, TicToc und den Kauf von Küchen betrifft – ich bekomme immer Werbung für Dinge die ich gerade online gekauft habe. Linus kann mit der neuen Küche also noch warten. Konsum hilft auch hier nicht.
Bei der Bezahlkarte finde ich die Infrastruktur spannend, die dafür aufgebaut wird. Neben Geflüchteten kann man die Technologie dann auch auf andere Empfänger von Transferleistungen wie Bürgergeld ausweiten. Vermutlich kann man auch weitere „innovative“ Finanzprodukte mit einem beschränkbaren Bezahlsystem bauen.
Emotional und inhaltlich bin ich bei Linus bei der Bewertung der Bezahlkarte. Nur unterstelle ich den Handelnden längerfristige persönliche monetäre Ziele mit der Einführung der Bezahlkarte.
ich bin kurz nach der Wende geboren, dass hat man noch irgendwie nebenbei mitbekommen, weil wir da Verwandtschaft hatten.
Ich kann mich aber noch sehr gut an den Tag erinnern, an dem ich völlig fassungslos mit 11 oder 12 Jahren nach Hause bin, nachdem wir in der Schule über die NS-Verbrechen gesprochen hatten. Ich war einfach schockiert darüber, wieso mir das vorher nie jemand erzählt hatte.
Kann ich am 31.08. mein 9-jähriges Kind mitbringen oder lieber ohne?
Eine Podcast Empfehlung zur xz-Backdoor:
Segfault.fm hat sich eine ganze Sendung mit der Backdoor, den technischen Details und dem sozialen Drumrum beschäftigt. Sehr ausführlich und verständlich. Und das ganze auf deutsch, evt für manche Leute zugänglicher zu anhören.
https://segfault.fm/episode/0x28-xz/
Wenn ich das richtig verstanden habe (ich bin mir sicher ich werde korrigiert werden wenn nicht), dann ist xz normalerweise gar keine offizielle dependency von sshd, aber es gibt da Patches die speziellen systemd log support in sshd einbauen und die haben dann wieder xz als dependency. Und viele Linux Distributionen verwenden diesen Patch. (Warum eigentlich? Systemd kann auch einfach stdout eines Serverprozesses loggen.) Also könnte man sagen, ist mal wieder systemd’s Schuld. (jk)
Die aktuelle SystemD-Version hat xz schon rausgeschmissen. Es wird auch vermutet, dass die Angreifer deshalb in den letzten Wochen so ungeduldig wurden.
Lediglich libsystemd hatte die dependency, systemd selbst nicht.
Moin
Ich versuche es mal in Reihenfolge hinzubekommen.
Also erstmal jaaaa man sollte irgendwann über fast alles irgendwie lachen können und dürfen. Und wenn’s nur Galgenhumor ist. Ohne Humor und lachen würden wir einfach alle bekloppt auf Dauer. Und zu 9/11 ja viele vergessen das das halt auch schon so lange her ist das Leute die das noch nicht bewusst mitbekommen haben halt heute erwachsen sind und theoretisch selbst schon Kinder haben könnten. Das führt dazu das manche da anscheinend überreagieren. Mein Sohn (12) hat in seiner Schule durch Zufall eine Zeitung gefunden, vom 12.09.2001, da durfte ich dann mittags erstmal Geschichtsstunde einlegen. Und das fühlte sich unwirklich an.
Zu der Sache mit den Bezahlkarten, es wurde ja auch schon gefordert das man sowas für Bezieher innen von heute Bürgergeld einführt. Und natürlich will man den Leuten das Leben möglichst so schwer machen wie es geht das ist ja leider der Haupt Grund dafür sowas zu machen. Siehe Man schiebe einen grade ausgebildeten Pfleger oder pflegehelfer ab, weiß nicht mehr genau welches von beidem. Und natürlich ist deren Idee hinter dem allen zu zeigen hier ist es scheiße kommt nicht. Das die aus Regionen kommen wo es noch schlimmer ist, die ihr ganzes Geld für Schleuser ausgegeben haben und eigentlich keine andere Wahl haben als es hier zu versuchen wird neben allen Humanitären und irgendwie auch wirtschaftlichen Dingen da vor lauter populismus mal komplett vergessen. Abgesehen davon das wenn die genug Geld hätten oder auch haben um davon was in die Heimat zu schicken sorgt das am Ende doch dafür das weniger sich auf den Weg machen müssen. Aber das ist wohl einmal zu viel um die Ecke gedacht.
Und zu guter letzt. Was ist da beim Abspann passiert? Die Musik war so laut das man euch nicht mehr verstanden hat.
Bis zur nächsten Folge bei der ich meinen Senf dazu geben will.
Bina Stoxy
Ja, die Musik wurde unangemessen durch Gespräch untermalt :D
Jap die Terminmusik ist viel zu laut.
Mir war vor paar Wochen die xzlib auch noch weitgehend unbekannt. Bei den Images, die man mit systemd-respawn als vm starten kann, da ist es mir in den Beispielen begegnet, aber welche Vorzüge oder Nachteile es gegenüber bzip2 hat – keine Ahnung.
In einer leicht erhitzten Debatte auf askubuntu.com die sich daran entzündete, dass ich empfohlen hatte `xz –version` zu benutzen, um zu sehen, ob man eine sabotierte Version hat, bei der mein Beitrag dann von einem Moderator als „gelöscht“ markiert wurde, war der Vorwurf, man prüfe keine potentielle Malware, in dem man sie ausführt, weil man so den Schaden womöglich erst provoziert, und Malware, die für eine Bösartigkeit schon bekannt ist, womöglich eine zweite, dritte im Petto hat, obwohl ein anderer Post längst die Runde gemacht hat, in dem jmd. den Start von xz schon probiert hatte, und als Ergebnis die richtigen, heiklen Versionsnummern erhalten hat.
Darauf habe ich mit einem Miniscript geschaut, wie viele Programme in /bin und /sbin gegen die xzlib dynamisch gelinkt sind:
for f in /bin/* /sbin/*
do
ldd $f 2>/dev/null | grep -q liblzma.so && echo $f
done | wc -l
614 waren es auf meinem Desktop-Xubuntu-22.04.
So selten scheint die Verwendung nicht zu sein.
Von ldd ist allerdings bei nicht vertrauenswürdigen ebenso abzuraten:
https://jmmv.dev/2023/07/ldd-untrusted-binaries.html
Sehr schön, allerdings war `ldd` ja nicht als Alternative gedacht zu `xz –version`, sondern um sich einen groben Einblick zu verschaffen, wie viele Programme xz benutzen. Meine Schlussfolgerung ist, dass man die Bibliothek wahrscheinlich eh längst und zigmal aufgerufen hat, so dass es auf einmal mehr auch nicht mehr ankommt, zumal die Backdoor ja sehr sorgfältig versteckt war, so dass ein zweiter Angriffsvektor eher unwahrscheinlich war, weil das auch das Entdeckungsrisiko erhöht hätte.
xz ist schon alt. Viele Projekte liefern seit Jahren ihre Releases als tar.xz statt tar.gz aus, unter anderem auch kernel.org. Der Kernel benutzt das ansonsten auch intern für initramfs, Kernelmodule usw.
Der Grund ist immer derselbe: stärkere Kompression mit weniger Rechenaufwand. Wobei man beim Rechenaufwand auf das Entpacken schaut, denn in der Regel wird eine Datei nur einmal komprimiert aber dann immer wieder ausgepackt.
Aber wie gesagt: Es ist alt. Aktuell führen alle zstd ein (neuer Algorithmus entwickelt von Facebook).
Technisches Feedback: Die Lautstärke der Musik bei den Terminen ist deutlich zu hoch. Das ist mir jetzt schon öfter aufgefallen.
Welcome back Linus!
Die Bezahlkarte ist ein sehr sensibles Thema…
1. Zum Thema Schleuser-Kredit hier mal eine Anekdote aus meinen Gesprächen mit Geflüchteten aus sub-saharischen Ländern: Teilweise werden erst- und zweitgeborene Jungs diesen „Travelagents“ anvertraut mit dem erklärten Ziel, Teile der in Europa ausbezahlten Gelder zurück an die Familie zu schicken. Die „Vermittler“ vor Ort nehmen die Jungs tatsächlich „auf Kredit“ mit und pressen das zurück geschickte Geld dann aus der Familie heraus. Das jetzt einzuschränken folgt natürlich rassistischen Motiven, macht aber zusätzlich das Leben der zurück gebliebenen doppelt hart.
2. Wenn ich mir vorstelle, wer da vom Innen- und Justizministerium beim Referentenentwurf am Tisch saß wird mir schlecht. Am Ende sind das die gleichen Typen, die Wirecard und Cum-Ex verpennt haben (wohlwollend ausgedrückt) und jetzt wahrscheinlich glauben, wenn man die „Zahlungsströme der Migranten“ in irgend eine Wunderplattform von Palantir reinsteckt, dann decken sie damit den ganzen Schwarzgeldmarkt in Europa auf…
Das perfide ist: wenn man einfach mal die ganzen Leaks (Panama, Paradise, Pandora, Cum-Ex oder die diversen Meldeplattformen der Finanzämter) konsequent aufarbeiten und der Strafverfolgung zuführen würde könnten wir über Jahrzehnte weiter munter Bargeld ausgeben. Und damit sind wir zurück beim Thema: Fr. Brohrhilker geht freiwillig aus dem Staatsdienst raus…
In diesem Sinne: The Revolution Will Not Be (Televised) a Tik-Tok-Dance.
Ich sehe die Bezahlkarte und die Argumentation dafür auch sehr kritisch, aber gleichzeitig denke ich auch, dass Linus sich beim Thema Kredite etwas vertan hat. Zum einen können kriminelle Organisationen diese ja durchaus rabiat von der zurückgebliebenen Familie „eintreiben“, zum anderen müssen sie auch nicht zwangsläufig von den Schleppern selbst kommen. Trotzdem ist das Argument, dass man diese Geldflüsse so dringend kontrollieren muss, ziemlich fadenscheinig. Zumal die Bundesregierung auf wiederholte Nachfrage in der Bundespressekonferenz nicht mal Zahlen nennen kann, um welches Volumen es da jährlich geht.
Hier noch ein Artikel zum Thema Kredite:
https://www.vice.com/en/article/pke5nb/migrants-take-out-huge-loans-to-pay-coyotes-coronavirus-could-cause-them-to-default
Bezahlkarte is super dumm, kaufste halt einfach Klamotten und gibst sie instant zurück weil sie nicht passen. Bäm! Bargeld. Und jetzt? Die glauben echt, dass Menschen, die durch die Hölle gegangen sind, sowas juckt.
Ein LLM ist laut Karpathy eine (verlustbehaftete) Komprimierung seiner Trainingsdaten, und die bestehen bei ChatGPT zu einem großen Teil aus dem common crawl. Tims Argument, dass für eine solche Komprimierung die DSGVO nicht gelte, wäre auf den Bereich der Photographie übertragen, dass ich jede:n mit meinem Handy fotografieren darf. Das Recht am eigenen Bild wird nicht verletzt, da JPEG und damit kein genaues Abbild.
Die Argumentation, dass es sich bei den Trainingsdaten für ChatGPT (zumindest überwiegend) um öffentliche Daten handelt, finde ich überzeugender.
Zu FLOSS und viele Augen:
Doch, es gehen da recht viele Augen drüber. Das ist ja gerade der Witz daran. Man bezieht seine Basissoftare ja nicht, indem man irgendwelche Tarballs oder Binaries von Github zieht. Man bezieht sie über eine Distribution wie Debian.
Das ist der ganze Sinn von Debian. Im Prinzip ist Debian ein Verein für gemeinschaftlichen Code-Review. Und die Lizenzen der Software, die in Debian aufgenommen werden können, müssen ja gerade zulassen, dass blöder Code rausgepatcht werden kann und wird. Und das wird auch fleißig gemacht.
Ubuntu ist dann nochmal einen Schritt weiter, es nimmt das Ergebnis vom Debian-Prozess und macht nochmal eine Edition unter kommerziellen Gesichtspunkten.
Jetzt war natürlich hier die Backdoor gut versteckt. Zum einen war der Schadcode in der binären Testdatei, und zum anderen war das aktivierende Build-Script nicht im Git zu sehen.
Auch das sind beides rote Flaggen, die bei Debian Probleme ausgelöst hätten. Die Autoren wussten das auch genau. Sie haben sich große Mühe gegeben, im README Ausreden zu schreiben, warum es diese binären Testdateien gibt. Normalerweise verlangen nämlich Debian und Co. auch hier die Programme, die die Testdaten generieren, und akzeptieren nicht einfach solche fetten Binärdateien. Angeblich wurden diese manuell mit dem Hexeditor erstellt. Diese Darstellung ergibt aber auch keinen Sinn, weil sich die Testdateien über die Zeit umfangreich änderten, weil ja komplett neue Versionen des Schadcodes hereinkamen.
Das aktivierende Build-Script ist auch so ein Punkt, den man eigentlich mit reproduzierbaren Builds und dem Abschaffen der archaischen Autotools verbessern will. Da ist man noch nicht so weit, viele alte Projekte haben noch solche schwer durchschaubaren Skripte. Das ist aber auch kein unbekanntes Problem.
In beiden Bereichen kann also durch genaueres Hinschauen auf die bereits länger bekannten Punkte noch viel verbessert werden.
Zu xz als Projekt:
xz war leider für viele Jahre ein recht inaktives Soloprojekt. Dadurch war es anfällig für diese Unterwanderung. Hier sollte man sich fragen, wie so ein Projekt so tief in die ganzen Systeme bis hin zum Kernel gelangen konnte, ohne dass die Entwickler und Firmen, die das vorantrieben, das xz-Projekt angemessen unterstützten. Die hätten nämlich nicht nur Maintainer sondern auch fachlich Unterstützung gut gebrauchen können. «LZMA2» ist nämlich vorne und hinten kein gescheiter Algorithmus, der Entwickler scheint ein Laie im Gebiet der Kompression zu sein.
Ich will das nicht dem Entwickler vorwerfen. Der hat halt was programmiert und anderen unter einer freien Lizenz zur Verfügung gestellt. Ich werfe aber Google, Intel usw. vor, das nicht genauer angeschaut zu haben, bevor sie es überall einbauen.
Zur Betroffenheit:
Bei Microsofts zusammengeklauten Github- und Cloud-Produkten wie Teams, VS Code und Edge ist natürlich überall auch xz bzw. liblzma drin.
Die Analyse der Lücke ergab zwar, dass sie es auf SystemD, Debian und Fedora bzw. Red Hat abgesehen hatten. Das hätte aber auch genauso Microsoftprodukte angreifen können.
Ich bin ein Laie in Bezug auf Kompressionsalgorithmen. Wenn der Algorithmus so schlecht ist, wieso verwendet man keinen besseren? Lt. meinem Script (s.o.) ist das in jedem 4. Programm der Fall, auch im Linuxkernel (/linux/lib/xz/*). Bislang dachte ich, dass bz2 der Quasistandard sei, aber das Wissen ist ca. 20 Jahre alt und stammt von tarballs.
Da muss man etwas ausholen. Der Kompressionsalgorihtmus heißt LZMA. Den benutzt zum Beispiel auch 7zip. LZMA ist ein guter Algorithmus, insbesondere für die Zeit.
Der Autor von XZ hat dann LZMA2 erfunden. LZMA2 ist streng genommen gar kein neuer Algorithmus, sondern nur ein neues Dateiformat. Der Autor von XZ nennt es aber konsequent einen neuen Algorithmus.
Bei LZMA2 werden die Daten auf naive Weise in Häppchen geteilt, die dann parallel (de)komprimiert werden können. Das macht das ganze dann (in primitiven Anwendungsszenarien) schneller. Diese Modifikationen des Algorithmus und das Dateisystem haben jedoch einige Schwächen, die ein Experte auf dem Gebiet wohl vermieden hätte.
Es funktioniert an sich, wenn alles nach Plan lauft. Aber es gibt zum Beispiel unnötige Probleme, wenn die Datei unvollständig oder beschädigt ist. Mit einem Dateiformat nach Stand der Technik könnte man möglichst viel Inhalt auch dann entpacken, wenn ein Teil beschädigt ist. Oder zumindest herausfinden, wo der Schaden ist. Bei XZ führt allerdings der kleinste Schaden schon dazu, dass praktisch die ganze Datei unbrauchbar wird. Das ist zum Beispiel beim Komprimieren von terabytegroßen Backups alles andere als unrealistisch.
@Tim: Wenn du dem selben TIL-Account folgst wie ich (https://noc.social/@todayilearned), das ist ein Bot, der die Posts des Subreddits r/todayilearned re-postet, keine einzelne Person.
Ja, ist mir nach der Sendung auch aufgefallen. So oder so steht da am Ende ja eine Person dahinter, die irgendwas gelernt hat.
Danke, dass ihr das Hochwasserthema nochmal angesprochen habt. Meines Erachtens habt ihr da aber etwas zu viel philosophiert. Aus Sicht des Hörenden ist es einfach so: 1. ich lese und höre von Hochwasser in der Region, Menschen kommen ums leben, das Land hat sowas noch nicht gesehen, Katastrophe. 2. Tim berichtet, er war in der Region und findet es super lustig, wie unvorbereitet die Region auf Regen ist. Das ist alles. Kommt unsensibel rüber, hinterlässt bei mir einen bitteren Geschmack im Mund.
Die ganze, worüber darf man lachen Diskussion hätte man sich sparen können und kommte gefühlt irgendwie in die Nähe von „das wird man ja wohl noch sagen dürfen“ und Thomas Gottschalks „ich darf im Fernsehen nicht mehr so reden wie zu Hause“. Separat ein gutes Thema zu besprechen, finde ich, nur im Kontext zu dem Hochwasser nicht wirklich zielführend, eher Whatabautism.
Trifft es auf den Punkt, genauso habe ich es auch wahrgenommen. Euer Vergleich mit Witzen auf der Beerdigung der eigenen Mutter verfehlt halt die Kritik: lachen über Sachen, die einem selbst zustoßen bzw. den Tod der eigenen Mutter kann man natürlich immer, dafür kritisiert dich auch niemand, aber Witze machen auf der Beerdigung von der Mutter von deinem Kumpel ist vielleicht nicht so cool. Und darauf können dich auch Leute hinweisen, ohne, dass sie direkt „keinen Humor haben“ oder „Betroffenheitsbingo“ spielen wollen. Es schreibt doch niemand in eure Kommentare aus Bosheit oder um irgendwen zu canceln, sondern gerade weil sich jemand denkt „hey, ich mag euren Podcast aber hier könntet ihr vielleicht was lernen“.
Danke Gabert und danke Luca, ihr bringt sehr gut auf den Punkt, worum es mir ging!
/sign
Sehe ich auch so. Der Teil war mal wieder cringe. Leider gab es solche Monologe mehrfach in den letzten Folgen. Irgendwie scheint sich das aber auch bei Podcasts zu häufen, dass auf Kritik der Hörerschaft eingeschnappt und mit Grundsatzdiskussionen bzw. -monologen reagiert wird. Jedenfalls hat es mir schon mehrere Podcasts verleidert.
Wenn man sich die Darstellung von Linus zum Thema xz anhört, frage ich mich, ob der wirklich Beratung zum Thema Security macht. SSH kommt erstmal nicht mit Unterstützung von xz, sondern das wurde via systemd da rein gepatched. Dazu kommt, dass xz mitnichten primär bei FreeBSD verwendet wird, sondern auch bei Linux schon lange der Standard ist. Nautilus bietet gar kein tar.gz mehr an, sondern nur noch tar.xz.
Sich dann aber noch über die Open Source Community lustig zu machen, hat dem Fass den Boden ausgehauen. Ja, wird dann vermutlich wieder wie beim Thema Flut in Dubai (Ich mein, ernsthaft? Ihr diskutiert fast 40 Minuten darüber, statt einfach mal „sorry“ zu sagen?) wegdiskutiert, wenn ihr denn überhaupt noch drauf eingeht.
Mich habt ihr als langjährigen Zuhörer jetzt verloren.
Ich habe mich schon diebisch auf einen solchen Kommentar gefreut, als Linus zu Beginn erstmal lang und breit erklärt hat, dass er technische Details weglassen wird und das Ganze so vereinfacht, dass es für alle verständlich ist.
„SSH kommt erstmal nicht mit Unterstützung von xz, sondern das wurde via systemd da rein gepatched.“
Wow, this changes everything!
„Dazu kommt, dass xz mitnichten primär bei FreeBSD verwendet wird, sondern auch bei Linux schon lange der Standard ist.“
Plot Twist!
„Nautilus bietet gar kein tar.gz mehr an, sondern nur noch tar.xz.“
Wow!
> und das Ganze so vereinfacht
Es wurde nicht vereinfacht, es wurde verfälscht.
> Wow, this changes everything!
Tut es in der Tat, denn OpenSSH selbst war von dem Problem nicht betroffen. Es wurde nur angreifbar, weil Distributionen einen inoffiziellen Patch eingebaut haben.
Aber du willst nicht diskutieren, wie man an deinen nächsten beiden Kommentaren sieht, du bist einfach nur ein trollender Fanboy.
Ich würde nun nicht so weit gehen, den beiden nicht mehr zuzuhören, aber das Geschwafel a la „wird man wohl noch lachen dürfen“ hat mich auch einigermaßen überrascht. Irgendwie befremdlich. Schade.
„das Geschwafel a la „wird man wohl noch lachen dürfen“ hat mich auch einigermaßen überrascht. Irgendwie befremdlich. Schade.“
Schönes Beispiel genau dafür, was Tim und Linus gemeint haben.
Zu Open AI und der DSGVO – soweit ich das in den verlinkten Dokumenten zur Beschwerde von NYOB gesehen habe, geht es um die Verpflichtung zur Angabe, was über eine Person gespeichert wurde und ob und wie falsche Informationen korrigiert werden können. Die von Euch gestellte Frage, ob ein Betreiber eines Large Language Models überhaupt mit personenbezogenen Daten oder Daten, über die ein Personenbezug, hergestellt werden kann, sein Modell trainieren darf und diese damit auch speichert, taucht da zunächst nicht auf. Das wäre auch ein Fundamentalangriff auf jegliche Modelle gewesen, selbst wenn die nur auf dem eigenen Computer mittels Crawlern gesammelt werden. Obwohl Ihr beiden der DSGVO, die m.E. weit über das Ziel hinausschießt, eher positiv gegenübersteht, sind Euch grundlegende Prinzipien (leider) nicht bekannt. Was schade ist, weil gerade Tim damit seine Argumentation hätte gut unterfüttern können. „I am not a lawyers“ lasse ich da nicht gelten. Man muss kein Jurist sein, um die Struktur der DSGVO zu verstehen. Also: Die DSGVO ist anwendbar, wenn jemand (Person oder Institution inklusive Staat) personenbezogene Daten speichert und dies nicht bei natürlichen Personen zu rein privaten Zwecken (wird eng ausgelegt) macht. Damit eigentlich immer. Dann gilt „Daten sind böse“ … also statuiert die DSGVO ein Verbot mit Ausnahmevorbehalt. Die Ausnahmen stehen in Art. 6 I DSGVO. a) bis e) scheidet aus bleibt f) das berechtigte Interesse. Es reicht nicht, dass es irgendwie besteht, sondern es muss legitim sein und die Interessen der betroffenen dürfen nicht überwiegen. Also muss eine Abwägung erfolgen. Eine KI zu betreiben, die Aussagen über die wirkliche Welt treffen kann, die aus nicht-anonymen Menschen besteht, dürfte ein berechtigtes Interesse sein. Selbst wenn dieses erst nach Schaffung der DSGVO entstanden ist. Dafür hat man mit dem berechtigten Interesse in der DSGVO einen unbestimmten Rechtsbegriff gewählt. Unser Recht wählt Abstraktion, um für Veränderungen gewappnet zu sein. Was bleibt, ist nun die nötige Abwägung. Rechtswissenschaft ist nun aber eine Wertungswissenschaft – heißt: es gibt kein richtig oder falsch! Hier wird man abwägen können, wie man eben will. Letztlich wie vielleicht die Richter/nnen des EuGH es einmal wollen, wenn diese Frage da mal landen sollte. Wenn allerdings die Abwägung eher in Linus Sinne verläuft, weil der EuGH die Grundrechte auf informationelle Selbstbestimmung für schützwürdiger oder sakrosankt hält, wäre das vielleicht das Aus für jedes Training von solchen Modellen in der EU. Es spricht viel für ein Überwiegen des berechtigten Interesses, aber nicht unbedingt bei den prinzipiengläubigen Deutschen. Vorallem jetzt, wo Kants 300er Geburtstag den kategorischen Imperativ wieder noch mehr in den Fokus bringt. Ich sage nur: wäre das Internet nicht in den USA erfunden worden wäre sondern in Deutschland, wäre es sofort verboten worden. Ich erinnere an Teletext, wo man die Geräte nicht mal aufschrauben durfte. Wenn der Utilitarismus, der in der EU sowieso nicht viel vertreten wird, nicht mehr Bedeutung bekommt, sieht es nicht gut aus mit technischer Innovation. Gegen irgendein Prinzip verstößt neue desruptive Technologie nämlich eigentlich immer, oder? Oder es wird sein wie in den Romanen von William – „schreibt nur auf der Schreibmaschine“ – Gibson: alles im illegalen Untergrund. Verbotene KI neben ICE und Datenbrillen! Nun denn!
> Ich sage nur: wäre das Internet nicht in den USA erfunden worden wäre sondern in Deutschland, wäre es sofort verboten worden. Ich erinnere an Teletext, wo man die Geräte nicht mal aufschrauben durfte.
Bist du sicher, dass du wirklich den „Teletext“ meinst und nicht den „Bildschirmtext“?
BTX natürlich nicht Teletext. Danke für den Hinweis!
Zwei Anmerkungen zu diesem Thema:
1. es ist m. E. irreführend ChatGPT mit Google zu vergleichen, das sind unterschiedliche Systeme und Herangehensweisen. ChatGPT speichert nicht Tims Geburtsdatum sondern gibt auf Basis seines rechnerischen Modells Antworten. Das bringt mich zu
2. wenn das Modell ausspuckt, dass Hans Meiser am 20.2.2002 Geburtstag habe, ist das ein personenbezogenes Datum, auch wenn es zufällig einen Hans Meiser gibt, der da Geburtstag hat? Das Modell weiß ja nichts und hat auch kein Datum gespeichert sondern nur Vektoren um die wahrscheinliche beste Antwort auf eine Frage zu geben? Gilt dann die DSGVO überhaupt?
Was ein personenbezogenes Datum ist, darum wird von je her gestritten. Es begann bereits mit der Frage, ob eine IP-Adresse ein solches Datum ist. Die einen sagten nein, weil es eine technische Zuweisung zu einem Anschluss sei, aber nicht unmittelbar und dauerhaft zugeordnet werden kann. Andere sagten, wenn es mit etwas Recherche auch automatisierter zugeordnet werden könnte, dann ist es erfasst. Auch hier liegt ein unbestimmter Rechtsbegriff vor, der einem Wertungswandel unterliegen kann. Im Recht gilt lediglich zunächst einmal nur die Wortlautgrenze. Nun zur Speicherung von Vektoren. Wenn diese so erfasst werden, dass sie Rückschlüsse auf identifizierbare Personen zulassen, dann liegt der Schluss tatsächlich nahe, dass es personenbezogene Daten sind. Ersteinmal ist der Anwendungsbereich der DSGVO weit gefasst. Das war gewünscht, weil schon seit dem Volkszählungsurteil des BVerfG von 1983 in unter Datenschutzrechtlern bekannt war, dass Technologie Informationen über konkrete Personen aus großen Datenmengen immer besser würde extrahieren können. Erfasst sollten auch Rückschlüsse von gespeicherten Umständen auf nicht bereits gespeicherte sein. Stichwort Rasterfahndung – auch nichts anderes als ein Algorithmus, der irgendwen ausspuckt. Naja, nun viele Jahre später haben wir KI. Der Hinweis, da werde in definierten Feldern nichts gespeichert, dürfte aus Datenschützersicht zumindest leerlaufen. Nun hatten sich die Datenschützer einen gewissen Vorsprung erarbeitet und nun erodiert dieser. Besonders weil letztlich die Macht des Faktischen wirkt. Sind die Vorteile der KI zu groß, tritt der Datenschutz zurück. Werden die Sicherheitsinteressen größer, gilt dies auch für den Bereich der Vorratsdatenspeicherung. Der EuGH hat gerade vorgeführt, wie als unverrückbar eingeordnete Wertungsmuster auch plötzlich wieder verschoben werden können. Ist eben eine Wertungswissenschaft. Live with it!
Die Einflussnahme durch Social Media ist aber asymmetrisch, die meisten westlichen Medien sind in China schon seit langem verboten. Deshalb finde ich es nur konsequent von den USA, TikTok zu verbieten, unabhängig davon ob Facebook instrumentalisiert wird oder nicht.
Eurem Fazit, die Algorithmen beider Parteien einschränken zu müssen, stimme ich zu. Aber ist ja auch klar, wir Europäer haben ja selber keine Social Media Giganten.
„Aber ist ja auch klar, wir Europäer haben ja selber keine Social Media Giganten.“
Im Gegenzug haben „wir Europäer“ auch nach den Snowden-Enthüllungen darauf verzichtet, Facebook zu verbieten. Aber am Ende des Tages ist unsere Politik noch immer devot gegenüber Uncle Sam und will den Kopf einfach nicht aus dessen Verdauungstrakt herausziehen.
Tja, da braucht der „Prit-Löwe“ (König der Podcasts) wohl einen neuen Perso (Geb.-Datum).
Schöne Folge. Gut das Linus wieder am Start ist!!
Gruß aus K.
Ich muss sagen, Tims Argumentation zu ChatGPT konnte ich so gar nicht nachvollziehen.
Bei quasi allen Ausprägungen vom Überwachungskapitalismus könnte man entweder die gleiche Argumentation anwenden (auch die Werbefirmen speichern ja nur statistische Korrelationen und behaupten, dass das gar nicht die Wahrheit ist) oder es wäre nahezu trivial, sie so umzubauen, dass es zutrifft (nutzt man halt ein neuronales Netz als Lookup-Table). Wenn man dem folgt, kann man sich Datenschutz auch ganz sparen, da bleiben dann wirklich nur noch unnötige Formulare übrig.
Ich bin absolut nicht der Meinung, dass Unternehmen sich von Regulierungen befreien können sollten, indem sie LLMs benutzen. Wenn die Technologie nicht in der Lage ist, Grundrechte von Menschen zu wahren, muss das zum Problem für die Technologie gemacht werden, nicht zum Problem für die Menschen.
Laut „Wer weiss denn sowas“: 82% der deutschen Unternehmen faxen noch. Für das lütte Wissen zwischendurch. ;)
Bei der Bezahlkarte sprecht ihr mir aus der Seele! Danke, dass ihr das noch mal aufgreift. Die ganze Debatte hat vor Fremdenfeindlichkeit und Rassismus nur so getrieft. Aber die Höhe dabei ist ja, dass das ganze in der Bundesregierung maßgeblich von der FDP vorangebracht wurde. Wie man „Kontrolle von Flüchtlingen und Asylsuchenden“ mit „Freiheitlich/Liberal“ zusammenbringen kann, erschließt sich mir nicht im geringsten. Ich könnte Kotzen.
Quelle: https://www.fdp.de/einheitliche-regeln-fuer-bezahlkarte
Zum Thema „Lauscht mein Smartphone heimlich mit“ und womitdie Überwachungskapitalisten ihr Geld verdienen, gibt’s in der CCC Mediathek einen Beitrag. Den könnt ihr gern skeptischen Verwandten und Bekannten empfehlen: https://media.ccc.de/v/ccchh-extras-56164-lauscht-mein-smartpho
Vielen Dank für den Hinweis/Tipp. :)
Zu eurer Diskussion über Datenschutz und LLMs:
Ich meine (wie fast immer, wenn ihr euch nicht einig seid) mal wieder beobachtet zu haben, dass ihr auf zwei verschiedenen Ebenen argumentiert habt.
Linus‘ Argumente bewegten sich im Wesentlichen auf der 1. Ebene: Wenn Technologie Bedingungen verändert, hören Gesetze selbstverständlich nicht auf zu gelten.
Tim argumentierte eher auf der 2. Ebene, auf welche Weise Gesetz- und Verordnungsgeber rechtliche Regeln den neuen Gegebenheiten anpassen sollten.
Auf dieser zweiten Ebene ist natürlich mehr los. Sinnvoll ist es hierbei, sich Gedanken darüber zu machen, welche Interessen der Allgemeinheit das ursprüngliche Gesetz schützen sollte, um es dann entsprechend zu reformieren.
Das geht gerne mal schief. Das Urheberinnenrecht wurde ursprünglich eingeführt, um Autorinnen vor der Ausbeutung durch jene zu schützen, die eine Druckerpresse besaßen. Das Interesse der Allgemeinheit war: wenn Autorinnen vor Ausbeutung geschützt sind, bekommen wir mehr Werke. Als das Internet um die Ecke kam, wurden die rechtlichen Regeln leider nicht so reformiert, dass Autorinnen und Allgemeinheit weiter vor der Ausbeutung durch Verlagshäuser und andere „Rechteverwerter“ geschützt wurden, sondern die Geschäftsmodelle der Rechteverwerter wurden vor den neuen Möglichkeiten geschützt, die Autorinnen und der Allgemeinheit nun zur Verfügung standen.
Regelungen zum Datenschutz sowie einzelne Regelungen wie das Recht am eigenen Bild sind dazu ersonnen worden, die allgemeinen Persönlichkeitsrechte der Bürgerinnen vor unangemessener staatlichen Maßnahmen sowie ökonomischer Ausbeutung zu schützen. Anpassungen der rechtlichen Regelungen sollten daran gemessen werden, inwieweit sie diesen Zielen dienen.
Ihr kamt ja aber auf das Thema über die Frage, wie die Klage von NOYB zu bewerten ist. Hier kann man m.E. festhalten, dass sie auf der ersten Ebene klagen, um auf der zweiten Ebene sinnvolle Änderungen zu erzwingen, bevor Gesetz- und Verordnungsgeber das geltende Recht so verschlimmbessern, wie es Anfang der 2000er mit dem Urheberrecht geschehen ist.
Ja, die DSGVO ist so geschrieben, als ob elektronische Datenverwaltung funktioniert wie SELECT geburtstag FROM podcasters WHERE nachname = „Pritlove“; . Und das passt jetzt schon an vielen Stellen nicht (zB für meinen Emailverkehr mit Studis, der auch noch im Backup landet, da ist auch ganz schwer, sämtliche Daten zu Person x zu finden und dann womöglich noch Falschinformationen zu korrigieren. Da braucht es keine naturidentische Intelligenz dazu.
Es gilt aber nun mal die Gesetzeslage, die gilt. Nach der haben sich Richter zu richten. Wie Du richtig schreibst, ist es eine separate Frage, ob man die politisch anpassen sollte. Und da geht es eben genau darum, was man man dem Gesetz denn eigentlich erreichen wollte. Und das scheinen mir hier genau die Tuttle/Buttle -Situationen zu sein, wo Datenfehler dann weitreichende RL-Konsequenzen haben. Und das scheint mir schon relevant, wenn auch grade Firmen und Behörden immer mehr LLM-basierte Systeme an den Start bringen, um mit Kunden/Betroffenen zu interagieren. Da wird es dann auch bald reale Probleme geben, mit „Computer says no“, weil sich die tolle Maschine irgendwelche „Fakten“ herbeihalluziniert hat.
In meiner Erfahrung ist das auch immer noch eher die Regel als die Ausnahme, wann immer es um auch nur halbwegs nichtalltägliche Zusammenhänge geht. In meinen Versuchen kam da aus ChatGPT praktisch immer gut klingender Quatsch heraus. Man kann das gut zum Schreiben von Boilerplate-Texten verwenden, aber zur Faktenrecherche (jenseits offensichtlicher Dinge) ist es einfach ungeeignet (selbst beim Coden hat es mir mal die Goldbachvermuting bewiesen und nebenher das Halting-Problem gelöst). Aber ich schweife ab.
DSGVO-Recht zu Auskunft, Korrektur und Löschung ist genau für diesen Fall gemacht, dass Computer Datenbasierte Entscheidungen fällen, egal ob da drin eine relationale Datenbank steckt oder die hunderte Millionen Netzwerkgewichte so optimiert wurden, dass Buchstabenfolgen gut fortgesetzt werden können.
Hi,
das XKCD zur Folge sei hiermit kundgetan: Ten Thousand – https://xkcd.com/1053/
Finde an der xz Schwachstelle bemerkenswert was für eine große Reichweite sie gehabt hätte.
Cool dass Linus wieder da ist.
Der Unterschied ist, dass Facebook, Twitter und Instagram in Demokratien produziert und reguliert werden. Bei TikTok ist das nur bedingt der Fall.
Wenn es tatsächlich war ist, dass man auf TikTok selektiv nicht über das Tiananmen-Massaker reden darf, ist das skandalös. Sowas ist auf westlich regulierten Netzwerken undenkbar.
Zudem wird von TikTok selbst immer wieder kolportiert, dass
Gleichzeitig wurde zuletzt berichtet, dass der „Algorithmus“ (wohl verteilte Mechanismus der zur Selektion der nächsten gezeigten Inhalte dient), in der Verkaufsmasse nicht enthalten wäre. Das widerum suggeriert, das dieser gar nicht Bestandteil kontrollierter Regulation ist. Das bedeutet, dass China da schalten und walten kann, wie es will. Das pushen von AfD-Inhalten könnte nicht „natürlich“ sein, sondern geziehlte Einflussnahme von China. Ohne für erkennbaren Grund wird zeitgleich von dem Phänomen berichtet, dass zunehmend junge Menschen (vor allem Männer) sich der AfD zuwenden. Das mag natürlich an vermeintlich schlechter Regierungsführung liegen, oder auch an schlechten Zukunftsaussichten von Männern in ländlichen Regionen (man sehe sich allein mal den Männerüberschuss in Thüringen an), aber ich halte einen Zusammenhang einer gewollten Manipulation für durchaus möglich. Da trifft dieser Content ohne Gegenstimmen auf nährbaren Boden. Und wer soll es den Leuten verübeln, du bist Anfang zwanzig, steckst in deinem Dorf fest und da ist jemand auf Instagram und nimmt sich deinem Problem vermeintlich an und bietet einfache Lösungen oder zumindest Härte und die Aussicht auf „Rückkehr“ zu seinem Familienbild an, das du dir wünschst.
Diese stärke dieses permanenten Lock-Ins nehme ich persönlich übrigens von Instagram nicht so wahr. Dort bekomme ich auch regelmäßig mal politisch anders (als ich) orientierte Inhalte eingespült.
Naja, die amerikanischen Netzwerke mögen in einem demokratischen Land sitzen, aber sie selbst sind ja nicht demokratisch organisiert. Am deutlichsten sieht man es bei Twitter, aber auch bei Meta und Co. haben ja einige wenige das Sagen.
Selbstverständlich ist in westlichen sozialen Netzwerken politische Zensur denkbar. Beispiel: wenn man auf Twitter über cis Menschen schreibt, wird der Tweet automatisch als Hassrede eingeschränkt oder gelöscht.
Ob das mit Tiananmen stimmt, weiß ich nicht, ich nutze die App nicht. Der CEO hat vor dem Kongress unter Eid ausgesagt, dass man Videos darüber auf TikTok finden könne. Da eine Lüge strafbar und leicht überprüfbar wäre, wäre das nicht sehr schlau gewesen und ich würde mich fragen, warum er deswegen nicht verklagt wird.
Die App braucht man dafür nicht installieren, denn wie auch Facebook, Instagram, Twitter etc. ist TikTok im Grunde web-basiert. In typischen Suchmaschinen liefert eine Suche nach
tiananmen square site:tiktok.com Ergebnisse und ein Teil davon hat auch mit 1989 zutun und zeigt Panzer. Die Filterung solcher Inhalte funktioniert vermutlich auf Basis der Great Firewall und da unterscheiden sich Facebook und Google nicht oder sie werden in China eben komplett verboten und gesperrt.
Bei TikTok ist aber noch mehr im Argen, Netzpolitik.org berichtete. Ob es nun die Überwachung von Mitarbeitenden oder Journalistinnen ist, komische Funktionen im Code, oder eben die Kommunistische Partei direkt in der Firma.
Danke für die Beiträge zum Humor und zum Thema Humor, die emanzipatorische Komponente hatte in den letzten Folgen etwas gefehlt.
Und das Rätsel mit dem ominösen Termin ist einfach. Neun …
Und den Fehler nicht vergessen :)
Thema Geldkarte:
Ich denke schon das die „Kinder“ eines Ortes nach Europa geschickt werden um vielleicht erfolgreich zu sein und sich bei Verwanten und Freunden zu revangieren. Dazu wird auch zählen Geld zurück zu schicken. grundsätzlich kann man diese Praxis nicht gut finden. Die Art und Weise dies zu unterbinden, überhaupt es unterbinden zu wollen ist äußerst Problematisch.
Zu social media: die Lösung ist eig. ganz einfach: personalisiertes Anzeigen von Onlinewerbung muss verboten werden. Punkt. Damit entmachtet man automatisch den „Algorithmus“ und lässt den dategetriebenen Kapitalismus zusammenbrechen. Raum für echte soziale Netzwerke entsteht, für Freiheit der Meiningsbildung (Eigene Favoriten oder Filter kann man sich trotzdem gern anlegen, das ist ja nicht der Punkt). Es gibt übrigens genau 1 Partei, die das im EU-Wahlprogramm auch fordert (Transparenzhinweis: bin Linke-member). In den DSA-Verhandlungen wurde das obige sogar debattiert, heraus kam aber ein Verbot solcher Personalisierung nur bezogen auf Minderjährige. Bei Verstößen muss sanktioniert aber vor allem in Schulen etc darüber aktiv aufgeklärt werden. Sperren gehen zu weit. Sie greifen aus anderer Richtung die freie Meinungsbildung an, das gilt auch für die weltweiten Verbotsdebatten um telegram. Erwähnenswert ist noch, dass es auch in den USA menschrechtlich fragwürdige Gesetze wie den CLOUD Act und die in der EU geduldete Praxis der extraterritorialen Ausübung von US-Recht gibt, und anders als bei uns sind die Menschenrechte in den USA u f US-Unternehmen nur bezogen auf US-Staatsangehörige verankert, was mit Blick auf das globale Agieren hart indiskutabel ist. Solche Risiken gibt es also nicht nur mit Blick auf autokratische Staaten u Diktaturen. Die Lösung darf aber nicht sein, per Zugriffsverbote gegen xyz denselben moralischen Fehler wie China oder Ru zu machen. Das sind nicht die richtigen Vorbilder.
Hey,
Schöne Folge :)
2 Dinge, die mir aufgefallen sind:
– Bei den Terminen war mir die Musik zu laut, war sehr schwer zu verstehen. Für schwerhörige Menschen sicher noch schwerer…
Also auch im Sinne der Barrierefreiheit lieber die Musik runter pegeln :)
– in den Shownotes müsstet ihr bei einem link einen sprechenden Titel einfügen. Der Link selbst funktioniert :)
Bezahlkarte
anwaltverein.de: 403 Forbidden
Liebe Grüße, basti
Bezüglich der xz-Backdoor und der allgemeinen Folgen für Open Source Software.
Als Maintainer von CryptoJS habe ich es in den letzten Jahren erlebt, dass mehrere GitHub User mich immer wieder angeschrieben haben, Mit-Maintainer zu werden bzw. die Maintenance zu übernehmen, ich fand das auch immer etwas aufdringlich. Klar CryptoJS ist schon länger nicht mehr wirklich „under development“, aber wichtige Patches habe ich eben schon noch eingespielt.
Ich habe insbesondere die Maintenance-Übernahme immer abgelehnt, vor genau dem möglichen Szenario welches sich nun bei xz gezeigt hat.
Ich kann mir aber sehr gut vorstellen, dass ein solches Angriffsszenario wie bei xz keine Ausnahme ist, sondern es auch Versuche der Übernahme bei anderen kritischen Libraries gibt …
PS.: Ich habe CryptoJS deprecated, weil Browser und NodeJS nun nativ guten Kryptographie Support bieten, auch wenn es noch Stimmen gibt dass man CryptoJS weiter für den Internet Explorer benötigen würde
Spannend an der liblzma/xz-Backdoor ist auch, dass die ja gar nicht im Source stand, sondern beim Buildprozess aus den Testdateien geholt, entschlüsselt und dann eingebunden wurde. Buildskripte nachvollziehen dürfte nicht etwas sein, was man als erstes angeht, wenn man die Sicherheit von Bibliotheken untersuchen will. Und die nächste Frage, über die wir mal nachdenken sollten: Wie sicher sind wir, dass solche Angriffe nicht woanders auch schon stattgefunden haben? Ich habe so dumpf im Hinterkopf, dass vor Jahren in Windows mal etwas von einem NSAKEY gefunden wurde. Aber bekanntlich ist es ja eine Böse Verschwörungstheorie, dass es eine Nationale Sicherheitsagentur gäbe, die jegliche Kommunikation überwachen würde. Und es gab auch nie einen Ed Snowden, der dazu Unterlagen an Journalisten gegeben hätte.
Zu NSAKEY gibt es einen Wikipedia-Artikel. In den 1990er gab es von der US-Regierung strikte Kryptovorgaben und man musste die Exportvarianten (Schlüssel mit deutlich weniger Bits) manuell deaktivieren. Viel Aufwand braucht die NSA sicher nicht betreiben, da fast überall sehenden Auges völlig veraltete Sicherheitsverfahren genutzt bzw. akzeptiert werden (z.B. MD5, 3DES, RC4, TLS 1.0). Dass eine Umstellung in der Praxis nicht so einfach ist, obwohl es auf den meisten Ebenen Drop-In-Replacements sein könnten, ist mir klar. Die teilweise extrem tranige Umsetzung bishin zur Verwendung in brandneuen Projekten lässt sich zweifeln, dass es die Verantwortlichen aber auch die Betroffenen ernsthaft interessiert. Besonders absurd wird es, wenn ausgerechnet Software die unflexible und verkrustete Komponente ist. Da ändern sich im analogen Leben innerhalb eines Jahrzehnts viele Dinge bei weitem dramatischer und schneller.
Zur Bezahlkarte: Es gibt mit der Spendit-Card ein System, was schon wie beschrieben funktioniert. Damit ist kein Bargeldbezug möglich, der Einsatz ist auf einen Postleitzahl-Bereich und bestimmte Läden beschränkt. Das ist eine Prepaid-Visa, die monatlich vom AG aufgeladen wird und von der Solaris-Bank verwaltet wird.
Linus hat im Grunde genommen recht, dass die DSGVO auch für LLMs gelten sollte, obwohl sie dafür nicht konzipiert ist. Und zugleich gebe ich Tim recht, denn sicherlich wäre es sinnvoll, die DSGVO anzupassen, damit mehr Klarheit zu LLMs herrscht. Auf der anderen Seite besteht die Gefahr einer Verschlimmbesserung der Verordnung, wenn das in Angriff genommen wird.
LLMs speichern allerdings keine vollständigen Datensätze mit personenbezogenen Daten. Da steht also nicht „Tim Pritlove ist am … geboren“. Stattdessen werden einzelne Tokens gespeichert, die nicht zwangsläufig ganze Wörter sein müssen. Wie LLMs Sätze in Tokens runterbrechen, wissen mines Wissens selbst die Programmierer nicht. Zudem wird gewichtet, wie wahrscheinlich bestimmte Tokens in der Nähe voneinander auftreten. Diese Kombinationen aus Tokens und Wahrscheinlichkeiten sind an sich keine personenbezogenen Daten. Aus ihnen lassen sich aber personenbezogene Daten mit einer gewissen Genauigkeit oder Fehlerhaftigkeit rekonstruieren. Das wird eine Herausforderung für die Richter:innen, denn nun ist doch die Frage, ob die DSGVO anwendbar ist.
Eine weitere Herausforderung wird, dass bei der Verarbeitung von personenbezogenen Daten ihre Korrektheit sichergestellt werden muss. Auch das steht in der DSGVO. Ein „halluzinierendes“ LLM ist da nicht vorgesehen.
Hinsichtlich der DSGVO spielt es übrigens keine Rolle, ob die genutzten Daten auf Webseiten öffentlich verfügbar sind oder nicht. Sobald sie gesammelt und verarbeitet werden, handelt es sich um eine Verarbeitung, für die ein Rechtfertigungsgrund benötigt wird. Bei LLMs ist das das berechtigte Interesse der Anbieter, also OpenAI und Co.. Wie bereites von anderen angemerkt, muss dafür eine Abwägung zwischen den Interessen der Betroffenen und der Verarbeitenden stattfinden.
Ob die Daten im LLM in Binärcode oder menschenlesbarem Format gespeichert sind, ist ebenfalls unerheblich. Es ist möglich, menschenlesbare Daten hineinzugeben und auch wieder herauszuholen. Das Speicherformat wird bei den TOM (technischen und organisatorischen Maßnahmen) relevant. Es hat aber keinen Einfluss darauf, ob die Verarbeitung erlaubt ist.
Das die Informationen in Form von Aufeinanderfolgewahrscheilichkeiten von Tokens gespeichert ist, spielt keine wirkliche Rolle. Sonst könnte man auch argumentieren, dass in einer klassischen Datenbank keine personenbezogenen Daten gespeichert sind, sondern nur Folgen von Nullen und Einsen. Sind beides am Ende nur verschiedene Kodierungen.
Zum Thema Humor und dass nur damit die ganzen schlechten Nachrichten auszuhalten sind, fällt mir die Postkarte ein, die meine ehemalige Chefin an der Tür hängen hatte, und die IMHO auch ganz gut als Motto für LNP taugen würde:
Die Lage ist
HOFFNUNGSLOS,
aber
NICHT ERNST
Lieber Linus, vielen Dank für Dein Plädoyer zu mehr Humor. Als junger Erwachsener hat mir Douglas Adams das Leben gerettet, lange bevor ein Therapeut mir meine Depression diagnostiziert hat. Humor ist eine Superkraft. Und hier in LNP tanke ich auf. Vielen Dank dafür!
Hallo Linus und Tim,
ich finde Euren Podcast immer sehr erbauend, auch wenn ihr jedes Mal Hiobsbotschaften überbringt.
Zum Thema Bezahlkarte kann ich nur sagen: Leider gibt es schon ein System, das das Bargeldabheben verhindert, den Anwendungsradius auf Postleitzahlen einschränken kann und ohne Konto funktioniert: Sodexo/Pluxee ist eine Lösung für Arbeitgeber, ihren Arbeitnehmern einen steuerfreien „Bonus“ zu geben. Das was ihr da beschrieben habt, klingt genau wie Sodexo und so, als ob da ein Lobbyist von Sodexo/Pluxee dem Gesetzgeber ein Konzept übermittelt hat, was schon so im Einsatz ist.
Zum Thema Schleuser empfehle ich den italienischen Film „Tolo Tolo“ (Für Bürokratieirrsin auchnoch den Film „Der Vollposten“ – beide mit Checco Zalone) – Beide sind humorvoll und makaber, aber durchaus sehenswert.
Zum Thema ChatGPT und Tims Geburtstag:
Me: Wann wurde Tim Pritlove geboren?
ChatGPT: Tim Pritlove wurde am 15. Oktober 1971 geboren.
Me: Das ist falsch!
ChatGPT: Es tut mir leid für die Verwirrung. Tim Pritlove wurde am 5. November 1972 geboren.
Me: Das ist auch falsch!
ChatGPT: Es tut mir leid für die vorherigen Fehler. Tim Pritlove wurde am 22. Mai 1972 geboren.
Jedenfalls: Danke für die tolle Arbeit und den Humor
Danke für den Filmtipp.
Zum Thema Bürokratie-(und Justiz-)Irrsinn kann ich allerwärmstens empfehlen das so gute Kabarett-Programm von Werner Koczwara: „Einer flog übers Ordnungsamt“. Z.B. hier zu sehen:
https://youtu.be/CBrtnmjMCYs?feature=shared
Danke für die humoristische Sendung. Getreu dem Motto: Humor ist, wenn man trotzdem hasst.
Welcome back Linus.
Das war ne wirklich inspirierende Folge!
Das Kapitel zu Humor habe ich gleich mal in ein Netz geparst und einen Song passend zur Folge generieren lassen. An sowas hättet Ihr sicherlich auch Spaß. Also so ein AI gereierter Song als kurzes Recap oder Kommentar nach dem Outro? Was haltet Ihr davon?
https://www.youtube.com/watch?v=1H4LdTkY7MY&list=PLmjQCifhcQFOq1W1l-vy3E3hzCxbyqMiN
Weil sich Tim und Linus über Bargeld lustig machen:
„Missing Link: Karten-Pionier Schweden entdeckt die Bedeutung von Bargeld neu — Die schwedische Riksbank betont plötzlich die unverzichtbare Rolle von Bargeld für sichere, allgemein verfügbare Zahlungssysteme. Das ist ein Strategiewechsel.“ (5.5.2024, heise.de)
https://www.heise.de/hintergrund/Missing-Link-Karten-Pionier-Schweden-entdeckt-die-Bedeutung-von-Bargeld-neu-9708325.html
Ich möchte auch nicht Dauerüberwacht werden von den (meist us-amerikanischen) Großkonzernen, Banken, Finanztechbros, Datenbroker, Cambridge Analyticas etc.. Wer Bargeld vehöhnt ist ein Idiot und hat die Konsequenzen aus dem Begriff Überwachungskapitalismus nicht kapiert. https://de.wikipedia.org/wiki/%C3%9Cberwachungskapitalismus
Kann es sein, dass einige den Chatbot mit der dahinterliegenden Firma verwechseln? Oder habe ich das falsch verstanden, dass die Leute ihre Datenauskunft vom Produkt einer Firma statt der Firma selbst einholen wollen? Dann sind sie nämlich selber schuld.
Und es ist ja löblich, das Melden von Sicherheitslücken zu lobpreisen, aber woher willst du, Linus, denn wissen, dass du nicht auch schon jahrelangen Ermittlungsverfahren unterliegst, gerade vor dem Hintergrund, dass genau das bei epicenter gerade passiert ist? Es ist schändlich, dass dann die rechtschaffenden Melder, die damit gutes im Sinn haben und sich an den Meldeweg halten, auch noch mit juristischen und finanizellen Nachwirkungen zu leben haben. Eine durch Spenden finanzierte NGO mag mit 15000 EUR Aufwand vielleicht noch klar kommen, Privatpersonen kann sowas aber durchaus ruinieren und davon abhalten, künftig Dinge zu melden. Kein Wunder, dass der CCC dann so gern darum gebeten wird. Man kann nur hoffen, dass sich gesetzlich dahingehend etwas ändert. Könnte man sowas nicht unter whistleblowing fassen? :)
Was mir in der Diskussion um Unwetter in Dubai eindeutig zu kurz kommt ist die offensichtliche Ursache:
Tim ist in Wirklichkeit Rob McKenna und die eigentliche Frage ist, wo Tim demnächst Urlaub machen wird.
Leider ist es mir bisher noch nicht gelungen, Städte dazu zu bekommen, mir Geld dafür zu bezahlen, um sie nicht zu bereisen. Da muss ich noch dran arbeiten.
Gut, dass ihr mal klargestellt habt, wie man mit möglicherweise leicht überzogener Kritik umgeht. Wenn man beschuldigt wird, einen unsensiblen Spruch gemacht zu haben, und als Reaktion darauf auch nur einen Millimeter nachgibt, wenn man sagt „Ich fand es amüsant, dass etwas für uns so alltägliches wie Regen zu Problemen führen kann wenn man es nicht gewohnt ist, mir war in dem Moment nicht klar, dass das so dramatische Folgen hatte, natürlich wollte ich die Opfer nicht verhöhnen“, dann gewinnen die Terroristen! Einen unverkrampften und emotional gesunden Umgang demonstriert man, in dem man sich eine halbe Stunde lang auf einen einzigen Kommentar einschießt. Ich bin froh, dass ihr den Mut habt, euch in diesem Kulturkampf klar zu positionieren, für die Seite, die auf Kritik antwortet „Muss ich mein Verhalten reflektieren und eventuell anpassen? Nein, die andern müssen in sich gehen, weil sie so humorlos sind.“
Vielleicht könntet ihr in einer der nächsten Sendungen mal Dieter Nuhr als Gast einladen und über die grenzen von Humor diskutieren?
PS: Wer diesen Kommentar nicht lustig findet ist humorlos und Arschverletzt.
Der Kommentar selbst war nur ein Auslöser und damit der Einstieg, um mal auf eine generelle Stimmung einzugehen, die wir schon seit längerem beobachten. Wären wir so dünnhäutig, wie Du hier andeutest, hätten wir schon mehr Material gehabt, um laut zu schreien.
Es geht uns also weniger um die Kommentare hier, die in der Regel hilfreich und oft on point sind.
Mir ist klar, dass wir hier natürlich aus einer privilegierten Position heraus argumentieren und damit muss man immer vorsichtig umgehen. Reichweite verpflichtet.
Hallo Tim, danke für die Antwort! „Reichweite verpflichtet“ war genau das Stichwort, was mir bei eurer Abhandlung zu dem Thema etwas zu kurz gekommen ist, in sofern freut es mich total, das hier noch mal von Dir zu hören. Dem anderen bei Meinungsverschiedenheit Humorlosigkeit und „Arschverletztheit“ vorzuwerfen fand ich irgendwie seltsamen Argumentationsstil, ganz ehrlich war ich davon ziemlich genervt und habe in meinem Kommentar dann selbst nicht den konstruktivsten Ton angeschlagen, womit ja auch keinem geholfen ist, also sorry dafür!
Ich bringe-höre gerade den Podcast rückwärts und bin inzwischen beim Start des Ukraine Krieges angekommen, bis jetzt ist mein Highlight die Hackback Rakete.
Bei ca. 01:10:00 wird zur Frage gestellt, ob tiktok die Kinder kaputt macht. Ich rufe da das neue Recht auf Reparatur von April 2024 auf EU-Ebene ins Gedächtnis.
Ich erlaube mir mal eine freie/subjektive Zusammenfassung der relevanten Punkte zum Thema Open Source Software und xz-Backdoor die im Podcast genannt wurden:
0:47:43-1:08:10
(Insbes. bei 0:53:04)
Hinweis von Linus Neumann/Tim Pritlove zu Open Source-Software/-Projekten/-Entwicklung:
=>Nutzende und andere gehen (in naiver Gutgläubigkeit) davon aus, dass Open Source Software (OSS) (Free Software / FLOSS) von mehreren fachkundigen Personen regelmäßig geprüft/gepflegt wird und daher regelmäßig auf aktuellem Stand und sicher und die Qualität gewährleistet ist. Das ist aber nicht unbedingt der Fall. Zudem besteht durch die Offenheit der Entwicklung die Möglichkeit des Mißbrauchs, siehe am Beispiel xz-Backdoor/Schadcode.
Nichts desto trotz überwiegen abolut die Vorteile von OSS.
1:04:03 ff. wie man Open Source Software schützen kann gegen potenzielle Gefährdung z.B. durch Backdoor/Schadcode: künftig wird es größere Aufmerksamkeit dafür geben. Künftig wird es vorauss. weitere ähnliche Fälle geben.
1:07:40 Open Source zu entwickeln und zu pflegen hat zu viele Gewinne und Vorteile für alle Beteiligten als dass jetzt die Open Source Entwicklung druch xz-Backdoor zum erliegen kommt.