LNP497 Real men use it after free()

Veröffentlicht am 29. Juli 2024 von Tim Pritlove

El Hotzo — LNP500 — SUBSCRIBE 11 — US-Wahlen — Crowdstrike — Identify Mobile — AI Act Timeline — Bargeld-Limits bei Geldkarten — Huawei-Verbot — Datarade

In dieser Sendung ist uns nichts heilig und wir klappern die derzeitigen Datenskandale ab und erklären auch noch mal genauer, was dazu geführt hat, dass ein Fehler in der Software von Crowdstrike mal eben 8,5 Millionen Windows-PCs außer Gefecht gesetzt hat. Dann diskutieren wir die Ereignisse des US-Wahlkampfs die durch die Berufung eines shady Kandidaten für das Vizepräsidenten-Amt durch Trump und den Verzicht auf die Kandidatur durch Joe Biden gleich mehrere Wendungen in einer Woche erhalten hat. Besonders schauen wir auf das Wirken von Big-Tech-Milliardären hinter den Kulissen, die mit ihren zweifelhaften Vorstellungen über unsere Gesellschaft eine ganz neue Bedrohung darstellen.

Linus Neumann

Tim Pritlove

Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.

Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.

Transkript

Tim Pritlove

Guten Morgen Linus.

Linus Neumann

Guten Morgen Tim.

Tim Pritlove

Bevor hier irgendjemand denkt, wir machen hier Witze, wir sind bestürzt über das Trump-Attentat.

Linus Neumann

Das missglückte Trump-Attentat.

Tim Pritlove

Untertitelung des ZDF, 2020 Logbuch Netzpolitik Nummer 497 vom 28. Juli 2024.Das ist ein Sonntag. Hier wird auch sonntags gearbeitet.

Linus Neumann

Ja.

Tim Pritlove

Uns ist nichts heilig.

Linus Neumann

Uns ist nichts heilig. Überhaupt nichts.

Tim Pritlove

Gar nichts.

Linus Neumann

Es ist auch völlig falsch, dass einem Dinge heilig sind. Das sollte man nichtmachen. Guck dir an, wohin das führt.

Tim Pritlove

Du musst jetzt noch mal ein bisschen drüber nachdenken, ob mir nicht doch noch irgendwas heilig ist.

Linus Neumann

Ja, Fußballklub Union Berlin. Gut, da gibt es natürlich ein paar Dinge.

Tim Pritlove

Man muss das ein bisschen einschränken.

Linus Neumann

Da gibt es ein paar Grashalme, auf die man nicht spucken darf. Aber ansonsten.

Tim Pritlove

So sieht es aus.

Linus Neumann

Also, Thema Trump. Missglücktes Trump-Antat.Das finde ich sehr wichtig, das zu sagen. Also überall steht Trump-Attentat.Also es ist doch offensichtlich missglückt, oder nicht?

Tim Pritlove

Ja, kann man so sagen.

Linus Neumann

So. Finde ich eine wichtige Feststellung. Darf man keine Witze drüber machen?

Tim Pritlove

Nee, wir sind bestürzt.

Linus Neumann

Wir sind bestürzt. Nächstes Thema.Aber eigentlich könnten wir ja schon Witze machen, weil wir sind ja nicht beimZDF und fliegen dann raus.

Tim Pritlove

Ja, wie zum Beispiel ein gewisser El Hotzo. Vielen Dank.Der hatte, weiß ich nicht, den hat das Thema irgendwie, der hat da eine Regung zu gehabt.

Linus Neumann

Der hat da eine Regung zu gehabt.

Tim Pritlove

Eine Reaktion sozusagen.

Linus Neumann

Der hat eine Reaktion dazu gehabt. Auf Twitter.

Tim Pritlove

Das ist ja auch sehr ungewöhnlich, dass Leute auf Twitter spontan irgendwieihre Regung freien Lauf lassen.Das war ja schon an sich eine Meldung wert.

Linus Neumann

Ja, also dass da jemand, jemand hat auf Twitter einen geschmacklosen Scherz gemacht.Das ist auch lange nicht hervorgekommen die muss unbedingt sofort Einhalt gebotenwerden die hat sich auch Elon Musk ganz persönlich drum gekümmert,der ja wirklich für Anstand und Sitzamkeit auf seiner Plattform einsteht wiekein anderer sofort bei der deutschen Regierung beklagt.

Tim Pritlove

Genau was passiert also El Hozo so ist er bekannt im Netz so nennt er sich selberselber, Sebastian Hotz, der macht Witze.Und ich muss sagen, er macht ziemlich gute Witze, viel auch.Also er ist sehr rege, haut das raus und ich finde das immer bemerkenswert,wenn Leute wirklich so zu allem irgendwie was produziert bekommen,insbesondere wenn es nur eine einzige Person ist, wovon ich jetzt mal ausgehe,dass das bei ihm der Fall ist.Postillon haut ja auch die ganze Zeit Sachen raus, das ist dann nicht eine Person,aber auch da bin ich immer schon schwer beeindruckt, was immer wieder einfällt und wie schnell.Das ist so eine Fähigkeit, die kann ich nur bewundern. Mir fallen zwar auch ab und zu mal Witze ein.Aber ich könnte das nicht den ganzen Tag machen.

Linus Neumann

Na gut, ist halt ein Job, ne?

Tim Pritlove

Ja, genau, ist ein Job. Unter anderem ist er ja, also er ist...

Linus Neumann

Wir können das ja gar nicht wiedergeben, was er gemacht hat.Dann fliegen wir ja auch raus beim ZDF.

Tim Pritlove

Wir sind doch gar nicht...

Linus Neumann

Oder RBB. Achso, ist ja nur RBB.

Tim Pritlove

Ja, ist nur RBB. Da können wir ruhig rausfliegen, weil da sind wir nämlich gar nicht.Beim ZDF sind wir übrigens auch nicht. Wir sind überhaupt nirgendwo.Nee, wir sind nirgendwo. wo, aber offensichtlich hatte er da eine Affiliation.

Linus Neumann

Er hat da einen Podcast gemacht, irgendwie alle zwei Monate oder sowas. Also,er hat getwittert, dass er das grundsätzlich eigentlich immer zu begrüßen findet,so sinngemäß, wenn Faschisten sterben.Das war so die sinngemäße Äußerung. Die hat er getätigt, in einem erkennbarenKontext mit dem Trump-Attentat.Für Missglück ein Trump-Attentat.

Tim Pritlove

Genau, weil er kurz vorher noch geschrieben hat, leider daneben oder so.

Linus Neumann

Letzter Bus und Donald Trump knapp verpasst. So.

Tim Pritlove

Hat er gesagt?

Linus Neumann

Das war so der sinngemäße Kontext dieses Feeds. Ja, und dafür hat er dann amEnde noch einen Shitstorm von Elon,von irgendwelchen rechtsradikalen Amerikanern und Elon Musk bekommen.Beschwerde beim Bundeskanzler von Elon Musk.

Tim Pritlove

Ja, wie es sein kann, dass der deutsche Staat so etwas duldet auf Elon Musks Plattform.

Linus Neumann

Oder finanziert, genau. Da wird sich schon ordentlich die Taschen voll gemachthaben mit der Staatskohle.Beim ZDF hat er auch, der war glaube ich eine Zeit lang bei ZDF Magazin Royale.Sorry, ich habe das schon malhier vor einiger Zeit gesagt, man muss auch darüber Witze machen können.Ob das jetzt ein guter ist oder ein schlechter, ich würde sagen ziemlich schlechter,war jetzt sicherlich keine der Glanzleistungen.Seine Reaktionen darauf waren sehr viel besser.

Tim Pritlove

Also er war insofern kein besonderer Witz, als dass den sehr viele Leute insehr kurzer Zeit genauso getätigt haben.

Linus Neumann

Nicht enorm witzig.

Tim Pritlove

Das war jetzt keine exklusive Meldung, nee, aber diese Äußerungen kamen an vielen Stellen.

Linus Neumann

Aber ich wollte, also das war jetzt kein besonders guter Witz und ich glaube,er hat den auch irgendwie gelöscht, weiß ich nicht genau, ob dir vielleichtselber aufgefallen ist, dass der jetzt nicht so gut war, aber dass der da dafürirgendwie dermaßen ins Kreuz genagelt wird,finde ich schon ziemlich affig und hat in seinen weiteren Tweets auch gut verwandelt,was da noch mit ihm gemacht wurde. Da hat er irgendwie so,einen vermutlich gefälschten Screenshot von seinem iPhone gepostet,wo dann irgendwie alle alle möglichen Leute,erst mal so 60.000 Euro Gehalt Überweisung von der GEZ und irgendwie RobertHabeck und irgendwelche Quatschsachen hat dann einfach so gefragt,ob ihm jemand erklären könnte, wie man die Schriftart von der Uhrzeit ändert, was ich sehr...Also er ist da auf jeden Fall sehr gut mit umgegangen. Aber auch Teenage SD,auch ein Comedy-Band, hat bei einem Konzert, sagte dann irgendwie,der Kyle Gers heißt, der glaube ich hat Geburtstag gefeiert,Hat irgendwie eine Torte bekommen, durfte sich was wünschen und hat sich gewünscht,dass man beim nächsten Mal Trump nicht verfehlt.Diese Band, also der Jack Black, der Partner dieser Comedy-Band,hat jetzt den Rest der Tour abgesagt und das kreative Fortbestehen dieser Band in Zweifel gezogen.Also können wir so ein bisschen unverkrampfter mal irgendwie darauf blicken?

Tim Pritlove

Sind das nicht nur zwei?

Linus Neumann

Ja. Also wieso?

Tim Pritlove

Ja, im Rest der Band.

Linus Neumann

Die Band sind zwei, die ist jetzt vorbei.

Tim Pritlove

Also die haben sich sozusagen gespaltet darüber.

Linus Neumann

Es steht jetzt zur Diskussion, das hängt gerade am seidenen Faden,ob dieses Duo sich überhaupt nochmal zusammenfindet, wegen dieses Witzes.Weil damit politische Gewalt condoned wird und Und ich weiß nicht genau,wie verkrampft man das sehen kann.Gerade wenn ein Attentat missglückt ist, finde ich es gut, Scherze zu machen.Wenn das nicht missglückt, wenn der getroffen hätte,dann bin ich auch an dem Punkt, dass ich sage, da darf man für eine Karenzzeitvon drei Tagen keine Scherze machen. Das gehört sich dann nicht.Aber du musst, du kannst doch nicht, du kannst doch nicht nicht darüber Witze machen.

Tim Pritlove

Naja, also dann sind wir jetzt wieder in diesem breigen Feld,wo Gefühle verletzt werden und wo irgendwie moralische Ansprüche gestellt werdenund wir alle wissen, sind die ja nicht einheitlich definiert.So und sind ja auch sehr, naja, wenn jemand.

Linus Neumann

Einen geschmacklosen Witz über einen Mordversuch macht, dann tut die Personvor allem sich erstmal selber nichts Gutes, weil sich jeder denkt,was ist das denn für ein Idiot.Und was der Hotzo da gemacht hat ist irgendwie ziemlich dämlich was hier TenaciousD gemacht haben ist jetzt auch nicht besonders witzig es gibt aber auch Stimmen die sagen,dass mehrere Leute das vielleicht gedacht hätten und dass das vielleicht etwasist was viele sich nicht trauen auszusprechen wie dem auch sei aber deswegenjetzt Bandauflösung und irgendwie Podcastverträge weil sie dann irgendwie sagenDer steht nicht für die Werte des RBB.Guck dir mal an, was sonst Dieter Nuhr da jeden Tag labert oder Lisa Eckart,die den ganzen Tag antisemitische Scherzchen da macht.Das ist alles nicht im Wertekanon. Das ist auch in Ordnung, dass das nicht im Wertekanon ist.Weil wenn du jetzt irgendwie anfängst Über Humor und Wertekanon zu legen Dannist das schnell vorbei mit den Scherzen Und genau diese Verkrampfte Art Führtdazu, dass es nur noch schlimmer wird.

Tim Pritlove

Ja, so ein bisschen mehr Entspannung. Ich meine, es ist natürlich,ja, manchmal sind Witze Witze.

Linus Neumann

Und manchmal sind Witze auch nicht witzig. Ich muss auch damit leben können,dass viele Leute Witze machen, die ich nicht witzig finde.

Tim Pritlove

Ja, manchmal sind natürlich diese Witze nicht als Witze gemeint,sondern sind sozusagen nur als Witz versteckt.Und sind eigentlich Maßnahmen, sich eben an Minderheiten und anderen Gruppen abzuarbeiten.Und wenn man dann darauf angesprochen wird, kommt dann immer so,wieso, das war ja nur ein Witz.

Linus Neumann

Ja, so.

Tim Pritlove

Und da wird es halt schwierig. Von daher muss man einfach auch zur Kenntnisnehmen, da wird man kein allgemeines Verhaltensmuster eingeklagt bekommen.Wenn immer bestimmte Gruppen so entscheiden und so entscheiden und so entscheidenund sowas wie ein öffentlicher Rundfunk, der ohnehin von allen Seiten von derPolitik in Beschuss steht und natürlich auch hochgradig von ihr abhängig ist,hat sich jetzt noch nie durch ein besonders durchgedrücktes Rückgrat ausgezeichnet.

Linus Neumann

Ja, aber dann finde ich es halt witzig, was für insbesondere Verunglimpfungvon Minderheiten und vulnerablen Gruppen, was nochmal eine andere Sache ist,als irgendwie so ein Trump, der nun wirklich keine Minderheit darstellt undauch keine vulnerable Gruppe oder sonst was.Wie viel da im ÖAR eben geduldet wird und da gibt es Proteste,da gibt es auch berechtigten Protest.Das ist schon mal wieder mit zweierlei Maß gemessen.Und deswegen in einer Welt, in der nichts heilig ist, lebe ich sehr viel lieber,als in einer Welt, wo irgendwelche Beknackten definieren, was jetzt auf einmal heilig wäre.

Tim Pritlove

Aber wenn du jetzt alle Faschisten aus dem öffentlichen Rundfunk verbannt,wie sollen die dann noch ihre Talkshows besetzt bekommen?Das droht doch wieder Arbeitslosigkeit. Hat keiner was zu tun.Wir prangern das an.

Linus Neumann

Ja.

Tim Pritlove

Was wir nicht anprangern, doch, was wir noch im positiven Sinne an den Prangerstellen, ist ein weiteres Mal unsere Veranstaltung.

Linus Neumann

Ja, es ist bald nur noch, also es ist jetzt der 28. Juli, das heißt wir müssenjetzt mal langsam echt anfangen, die LMP500 zu planen, die am 31.August stattfindet in Berlin.Und wir hatten ja in der letzten Sendung...

Tim Pritlove

Also planen, tun wir sie schon.

Linus Neumann

Aber jetzt muss das auch konkret werden. Jetzt muss das aus dem Pad ins Telefon.Wir hatten ja angekündigt, dass wir bis 31. 7. die Möglichkeit bieten,Shirts mitzubestellen.Diese Deadline, glaube ich, fahren wir noch mal ein bisschen hoch um ein paar Tage.Einfach, weil wir das angekündigt haben und einfach auch keine Sendung mehrgemacht haben, um daran zu erinnern. Das heißt, ich denke, bis 2.August können wir die Deadline einen verlängern. Das werden zwei Tage länger.Und dann wird, denke ich, der Shirt-Vorverkauf einfach nicht mehr möglich sein.Dann könnt ihr keine Shirts mehr bestellen. Dann könnt ihr nur noch Tickets bestellen.

Tim Pritlove

Wenn es noch welche gibt.

Linus Neumann

Ja, das sieht auch langsam danach aus, dass sich das dem Ende zuneigt.Aber insbesondere mit den Shirts scheinen ja sehr beliebt zu sein.Also Leute kaufen Shirts und dann sollen die nachher rausgehen.Ja, so ist das. Sie sehen gut aus. Kleidsam.Gute Werbung ist da drauf.Genau, also Shirts noch bis 2. August. Ich werde das gleich irgendwie in diesemOnline-Shop mal ändern.Tickets, solange der Vorrat reicht, sieht danach aus, dass das nicht mehr lange sein wird.

Tim Pritlove

Genau, also überlegt es euch und handelt entsprechend.

Linus Neumann

Subscribe 11 willst du auch noch bewerben. Das musst du. Hast du wenigstens jetzt Jetzt ein Ort.Ein Ort hat es hier.

Tim Pritlove

Ein Ort habe ich schon länger.

Linus Neumann

Aber kein Datum oder irgendwas.

Tim Pritlove

Doch, doch, doch.

Linus Neumann

Datum auch.

Tim Pritlove

Jetzt gibt es auch Tickets zu erwerben. Jetzt kann man sozusagen, jetzt wird es ernst.Jetzt ist Commitment angesagt. Also unter subscribe.de findet ihr generell Informationen.

Linus Neumann

100 Euro.100 Euro.

Tim Pritlove

Wo hast du die Informationen her?

Linus Neumann

Community Budget.

Tim Pritlove

Ja, das ist sagen wir mal das günstige Ticket, so der normale Preis sind 125.Das ist halt ein, also bei der Subscribe ist es ja so, das ist ja das Wochenendeund das finanziert das ganze Wochenende und das finanziert aber auch das Essen.So, das heißt da ist die Vollverpflegung mit dabei. Das haben wir irgendwannmal eingeführt, nachdem wir auf der Veranstaltung immer so, was weiß ich,versucht haben kollektiv in irgendein Restaurant zu marschieren.Es war aber immer völlig anstrengend, hat ewig gedauert, die Koordination warschwierig und so und dann haben wir halt irgendwann angefangen einfach das Cateringauf die Veranstaltung zu holen,was am Ende auch nicht sehr viel mehr gekostet hat und gerade wenn du halt jetztin der Umgebung dieser Locations sehr variierende Qualitäten hast, du kennst das,ist man eigentlich ganz froh und das gemeinsame Essen ist ja auch nochmal so ein Faktor.Also von daher ist das so ein rundum glücklich Tarif, allerdings haben wir eingroßes Verständnis dafür, dass auch Leute teilnehmen, die es vielleicht nichtganz so dicker haben, wo vielleicht schon die Anreise eine Herausforderung ist.Generell, wenn ihr ein Problem habt mit der Finanzierung eurer Teilnahme, meldet euch.Und wir haben so eine Varietät an Ticketoptionen, je nachdem, wie gut es euch geht.Und dann, wer halt mehr zahlt, finanziert die günstigeren Tickets mit.Aber wie das halt immer so ist, man muss so eine Balance schaffen zwischen...Was will man haben, weil am Ende wir haben halt das ganze Veranstaltungszentrum,gemietet, die Technik, die dazukommt und der sonstige Aufwand und das muss haltauch irgendwie bezahlt werden, sonst zahle ich das alles am Ende.

Linus Neumann

Und es gibt das Business-Ticket für diejenigen, für professionelle Teilnehmer.Genau. Finde ich angemessen. Genau. 300 Euro.

Tim Pritlove

Zack. Ist jetzt auch kein, bringt einen jetzt auch nicht um.

Linus Neumann

Es ist eine, Es sind wenige Sekunden von den Werbetexten, die ihr eurem Publikumjede Woche um die Ohren haut.Insofern könnt ihr die ruhig mal rausrappen.

Tim Pritlove

Ja, also ich hoffe, dass alle kommen.Alle, die vielleicht das letzte Mal schon dabei waren und alle,die schon immer mal drüber nachgedacht haben, dabei zu sein.Das Ganze ist halt eine Community-Konferenz. wendet sich vor allem an Podcasterund es können aber auch alle, die generell denen das Podcasting-Thema sehr naheliegt, natürlich auch noch mit.

Linus Neumann

Nächstes Thema. Es ist das zweite Mal, dass wir länger über diese blöde Subscribereden, als über die LMP500.Ich möchte über LMP500 reden und über missglückte Trump-Attentate.

Tim Pritlove

Ja, haben wir ja jetzt auch getan.

Linus Neumann

Wir reden noch weiter. Es war ja eine schwerwiegende, Es war wirklich,ich war ja wirklich bestürzt nach dem missglückten Trump-Attentat,weil relativ klar war, dass er jetzt gewinnen würde, die Wahl.Also da war einfach Bestürzung nach dem missglückten Trump-Attentat bei mir.Und diese Bilder, die hätte ich ja jetzt fast gewählt. Ich hätte ja auch gesagt, komm, wählst du den?Also ich meine, naja, du kannst jetzt auch nicht so einen dementen Kreis irgendwie wählen.

Tim Pritlove

Das sind doch beides demente Kreise.

Linus Neumann

Ja, aber der eine kann noch aufstehen, der eine hat noch die Geistesgegenwart,nachdem dem ein Ohr weggeballert wurde, aufzustehen und ein Bild mit der Faust zu machen.Und bei Joe Biden musstest du Angst haben, dass wenn er die Faust erhebt,dass er irgendwie nach vorne umfällt oder so.Also das war schon bedrohlich, es war schon erkennbar, dass man jetzt Joe Biden ernsthaft nicht,also dass man überlegen kann, also dass man einfach zweifeln musste,dass der dieses Amt noch erfüllen kann weitere vier Jahre.

Tim Pritlove

Ja, er machte zuletzt wirklich den Eindruck, als könnte er mühelos den Übergangvom Präsidentenamt ins Wachsfigurenkabinett machen, ohne dass man Großvater an ihm ändern müsste.

Linus Neumann

Ohne dass wir Wachs brauchen.Und...

Tim Pritlove

Ja, und auf einmal ist alles anders. Er ist dann doch zurückgetreten,der Druck wurde zu groß und es war ja so eine Kaskade von Ereignissen,es fing halt im Prinzip an,also sagen wir mal so, die Diskussion über sein Alter und ob denn jetzt einSecond Turn bei ihm überhaupt angemessen wäre, die gab es ja schon eine Weile.So, trotzdem, er hat sich dann halt in den Vorwahlen durchgesetzt und wenigüberraschend, weil wenn du als Präsident quasi nochmal antrittst,dann sagt die Tradition,da wird dann halt auch nicht groß gegen angetreten. Dann ist das halt einfach so.Der Präsident hat immer das Vorzugsrecht und er ist aber ja noch nicht offiziell nominiert worden.Dann gab es halt dieses erste Debate, dieser TV-Auftritt von Trump und Biden,bei dem Biden kein gutes Bild abgegeben hat und arg verwirrt daherkam.Ich habe es ehrlich gesagt nicht gesehen, von daher kann ich mich da jetzt nurauf die Bewertung Dritter einlassen. Hast du es gesehen?

Linus Neumann

Schmerzhaft.Schmerzhaft.

Tim Pritlove

Ja und es war natürlich auch sehr schmerzhaft so das Gefühl zu haben,dass jetzt so der Einzige, der so bisher den Eindruck macht,der könne Trump noch etwas entgegensetzen, jetzt auf den letzten Metern so dermaßenschwächelt, dass viele Leute abgetörnt sind von dieser Wahl.Weil man muss auch immer wieder sehen, während wir halt das ganz anders bewerten,dadurch, dass wir so involviert das alles verfolgen und zu allem eine klareMeinung haben, gilt das nicht unbedingt für die meisten Wähler.Sondern die meisten Wähler, vor allem auch in den USA, wollen im Wesentlichenimmer in Ruhe gelassen werden und da muss man sich schon irgendwie besonders motivieren.Und letztes Mal hat die Motivation noch ausgereicht, weil man nach dieser Trump-Era halt irgendwie...Einfach die Schnauze voll hatte von dem Typen und da war insbesondere im liberalenAmerika die Motivation hoch, aber ob diese Motivation so hoch gehalten werdenkonnte mit Biden, das stand stark im Zweifel.Naja, und dann wurden die Stimmen immer lauter, die gesagt haben,hör mal, wir müssen da mal was ändern, denk mal drüber nach, was du ändern könntest.Unter anderem sogar Nancy Pelosi, die jetzt auch nicht gerade für ihre Jugendhaftigkeitbekannt ist, aber zumindest nicht mehr im Amt.Und ja, dann war schon klar, dass der Druck von innen doch anstieg.Und am Ende wird es sicherlich eine Mischung gewesen sein aus,ja, keine Ahnung, Selbsterkenntnis und die Kraft der Umfragen,die Joe Biden dazu gebracht haben, dann doch das Handtuch zu werfen und im selbenZuge seiner Vizepräsidentin das Zepter in die Hand zu reichen.Und das scheint ganz gut funktioniert zu haben, denn binnen kürzester Zeit haben alle entdeckt,dass Kamala Harris doch deutlich mehr Schwung in der Hüfte hat als Joe Biden.Das kann man glaube ich so festhalten.

Linus Neumann

Auf jeden Fall.Dadurch dass die Wahlbezirke und Staaten so geschnitten sind,also einmal die Wahlbezirke so geschnitten sind und zweitens Staaten immer vollständigdann in Form von Wahlpersonen in die US-Wahl eingehen.Das heißt, du gewinnst den Staatum 51 Prozent und dann wählt dieser Staat eben mit all seinen Stimmen.

Tim Pritlove

Den einen Kandidaten.

Linus Neumann

Genau, das hat natürlich sehr fürchterliche Konsequenzen und führt vor allemdazu, dass es nur einige wenige Staaten gibt,in denen die Verhältnisse überhaupt so sind, dass sie sich regelmäßig mal ändern,die sogenannten Swing States und am Ende führst du als US-Präsidentin,Kandidatin einen Wahlkampf um irgendwie ungefähr 8,9 von 50 US-Staaten.Das ist schon alles äußerst absurd.

Tim Pritlove

In der Tat.

Linus Neumann

Auf dessen Alter rumprügeln, zu Recht, zu Recht! Und jetzt dreht sich das Ganzein Trump ist eigentlich so ein übergewichtiger 70-Jähriger und jetzt kommt daso ein fast 80-Jähriger.Fast 80, 78 ist der, ne?Übergewichtiger, fast 80-Jähriger,und auf einmal ist da eine wirklich sharp, mentally sharp Frau,die das einfach, also die einfach mal eine ganz andere Dynamik ausstrahlt unddas Blatt ist halt komplett gedreht.Von dem, was ich jetzt so höre, ich meine, ich habe irgendwann aufgehört,mir diese durchgeknallten,rechtsradikalen Podcasts aus den USA anzuhören, aber also die sind auf jedenFall not amused über diese kurze Rohade, die halt für sie das Blatt jetzt vollständigwendet und Trump echt zum Getriebenen macht.

Tim Pritlove

Gut, also man darf natürlich jetzt das rechte Lager nicht unterschätzen.Die werden sich schon noch ein bisschen was einfallen lassen,aber man merkt schon stark, dass sie jetzt auf dem linken Fuß erwischt wurden mit dem Ganzen.Andererseits, so populär jetzt Kamala Harris im demokratischen Lager ist,umso mehr stellt sie natürlich durch ihre politische Ausrichtung auch eine Gefahr dar.Ja, weil sie kommt halt aus Kalifornien, sie ist halt ganz klar eine Vertreterindes liberalen Spektrums.Dazu kommt natürlich dann noch Frau, also was auch ein Vorteil ist jetzt beiden Demokraten, ist natürlich dann auch wiederum bei den Republikanern schnell auch ein rotes Tuch.Sie ist ja die Tochter eines Mannes aus der Karibik und die Mutter aus Südindien.Wenn ich das richtig erinnere.Das ist sozusagen so ihre Mischung, ist aber in der schwarzen Kultur in Amerika groß geworden.Ähm, was man ja auch anmerkt, finde ich, also er hat den Schmiss und die Werbe,die dort ja auch immer wieder zu finden ist, aber jetzt muss sie natürlich es auch schaffen,dem konservativen Spektrum Amerikas ein Angebot zu machen, um eben diese Mitteder ungebundenen Wähler zu erlangen, insbesondere eben in diesen genannten Swing States,die halt alle mehr so in der Mitte des Amerikas liegen,das sind dann so Städte, Staaten wie Pennsylvania, Michigan,Arizona gehört dazu,ich kriege es jetzt gerade gar nicht so zusammen, was in der aktuellen Wahlalles an Swing States definiert wird, Aber das sind so ganz wichtige Staatenin dem Zusammenhang und jetzt warten alle sehr gespannt darauf,wen sie denn zum Vizekandidaten macht und das wird wahrscheinlich ein weißerMann aus einer dieser Staaten sein. ein.Wer es werden wird, weiß ich nicht. Ich glaube, die Wahl dürfte sich im Wesentlichenzwischen zwei Kandidaten entscheiden.So diesem Shapiro, das ist der Gouverneur von Pennsylvania.Pennsylvania ist für sie ein ganz wichtiger Staat, den sie unbedingt gewinnen muss.Und dann gibt es noch diesen Mark Kelly aus Arizona, der ja auch Astronaut ist oder war.Also kann auch noch dritte oder vierte Person in Frage kommen, wird man dann sehen.Aber Aber womit sich definitiv Trumpein Ei gelegt hat, das ist sein Vizepräsidenten-Pick, der J.D. Vance.Und über den müssen wir mal reden, weil der Typ ist wirklich ein Phänomen.Der Typ war halt vor zwei Jahren noch überhaupt gar kein Politiker.Der ist nicht schon immer Politiker gewesen, sondern der ist vor anderthalbJahren in Ohio dann eben bei den Midterms als Senator angetreten und letztenEndes auch gewählt worden.Kam aber mehr oder weniger aus dem Nichts. Das einzige, wofür man ihn kannte,war, dass er mal ein Buch geschrieben hat.Was so ein bisschen erfolgreich war, also sehr erfolgreich war,so ein Bestseller wurde und so ein bisschen so eine Story war aus dem mittlerenWesten und seinem Leben etc.Hillbilly Allergy hieß das.Und interessanterweise ist er dann aber auch in den letzten Jahren eher so alsNever-Trumper bekannt gewesen.Also man meinte, Trump wäre ja eine große Gefahr und er wäre ja irgendwie derneue Hitler und so weiter.All das ist mittlerweile vergessen und Trump hat ihn jetzt zum Vizepräsidentengekürt und man fragt sich halt wirklich, warum eigentlich?

Linus Neumann

Warum?

Tim Pritlove

Also J.D. Vance wollte wohl eigentlich Rechtswissenschaften studieren,ist dann aber mehr so in diesen Venture-Capital-Film reingekommen und ist zuso einem Ziehsohn von Peter Thiel geworden.

Linus Neumann

Ach du Schande.

Tim Pritlove

Diese merkwürdigen Big Tech Finanzierungsleuten,die irgendwie überall ihre Finger drin haben und in der letzten Zeit halt auchin zunehmendem Maße ihre Finger in der Politik mit drin haben,indem sie halt gezielt bestimmte Leute finanzieren.

Linus Neumann

Also nur mal so ein Unternehmen, was man in dem Kontext immer noch nennen sollte ist Palantir.Also Data Mining, AI-Überwachung, Software, die sie an Sicherheitsbehörden verkaufen.Und der Typ ist wirklich, der ist halt wirklich einfach evil.Das ist halt ein extrem rechter, libertärer, mit irgendwie schon ganz relativkruden politischen Vorstellungen auch.Und also ich hab den einmal bei einer Konferenz gesehen, wo der irgendwie längereZeit mal so seinen gedankenfreien Lauf geben konnte und,Das ist ein richtig Böser. Das ist einfach ein richtig Böser.

Tim Pritlove

Er gründet auch ganz viele Firmen, die alle irgendwie Namen aus dem Herr-der-Ringe-Buch erhalten,so auch dieses Palantir und JD Vance war dann auch in einer oder mehrerer dieserUnternehmen in irgendeiner Form tätig oder zumindest war er offiziell tätig.Leute, die da gearbeitet haben, können sich nicht daran erinnern,dass er irgendwie nennenswert oft aufgetaucht hat oder irgendetwas getan hat.Ist so ein bisschen vollkommen unklar, was eigentlich Thiel mit ihm jetzt sovorhatte, aber in irgendeiner Form passte er halt sozusagen da in seinen Plan mit rein.Hat ihn dann, wie gesagt, zum Senator gemacht, indem er da seinen Wahlkampfmit 15 Millionen Dollar unterfüttert hat und das hat dann eben auch funktioniertin Ohio, kurz da diese Wahl zu gewinnen.Vans hat auch selber so eine Venture-Kapitalfirma versucht zu starten das liefnicht so gut, das einzige Projekt war wohl irgendwie diese Rumble,diese rechtslastige Rumble-Videoplattform irgendwie zu pushen,das war alles nicht sonderlich erfolgreich,Naria Capital Investment ist so sein Laden gewesen oder ist es noch,ich weiß nicht, ob es den noch gibt, da hatten dann auch so,Google-Papst Eric Schmidt mit und Marc Andresen, der ja auch schön freidreht,wir erinnern uns damals noch, Netzgebt, Navigator, Programmierer, so ihre Kohle mit drin.Naja, und so als Politiker tritt halt Vance jetzt auf für.Antikryptoregulierung, also man soll doch jetzt bitte keine Gesetze gegen Bitcoin erlassen, etc.Und ist aber dann auch ein starker Proponent der Russen, indem er halt die ganzeZeit gegen die Ukraine abledert und die Unterstützung der Ukraine im Krieg gegenRussland halt irgendwie dagegen ist.

Linus Neumann

Warum? Aber was reitet denn diese ganzen Leute?Also das ist der Teil, den ich nicht so, also das andere ist irgendwie,okay, Krypto ist in Ordnung, also das ist verständlich, die wollen Kohle machen,dafür haben sie natürlich Interesse an irgendwelchen unregulierten Geldflüssenfür Fraudschemes, ist ja in Ordnung, also legitimes Interesse als Milliardär.Was ich nicht verstehe ist, dass die jetzt quasi so Trump-positiv sind,Weil sie kommen ja auf jeden Fall aus einem komplett anderen Kontext Also wassie reich gemacht hat, ist ja eine progressive Umgebung und Welt.

Tim Pritlove

Ja, also das ist halt alles auch ein bisschen schwierig zu erklären.Es gibt ja da mittlerweile so verschiedenste Begriffe, die dort gehandelt werden.Und schon seit längerem hast du ja in dieser ganzen Silicon Valley Welt so Botschaftereiner neuen Zeitordnung.Da gibt es dann Singularitätspropheten, die alle mit so Endzeit-Utopien daherkommen.Da hast du Elon Musk, der davon faselt, dass der Untergang der Menschheit bevorstehtund wir müssen uns jetzt rüsten, dass wir andere Planeten besiedeln.Und deswegen will er mit SpaceX zum Mars.Da gibt es dann so Begriffe wie Transhumanismus und das ist auch alles so einbisschen verbunden mit so diesen Eugenik-Gedanken von besseren Menschen.Es gibt diesen effektiven Altruismus, der da mit drin steckt.

Linus Neumann

Ja, das mag alles sein, aber wenn es bevorwortet, protektionistische Handelspolitik,strengere Einwanderungsgesetze, höhere Mindestlohne und einen aggressiverenAnsatz bei der Kartallrechtsdurchsetzung.Ich verstehe in keinem dieser, also ich verstehe nicht, warum der Thiel unddie alle das irgendwie so toll finden.Also, dass sie meinen, der lässt sich auch einfrieren und so,das ist ja alles in Ordnung. Ein paar Spleens kann sich so ein Milliardär jaleisten, ist ja in Ordnung.Lässt er sich einfrieren, fliegt er zum Mars, ist okay.Aber wieso die so diese verhältnismäßig nicht besonders weitsichtige Wirtschaftspolitikauch unterstützen, verstehe ich nicht.

Tim Pritlove

Ich kann dir das im Einzelnen nicht erklären. Es ist nur so,dass sie das tun und offensichtlich ganz andere Ziele zu haben scheinen.Das hat ja auch sehr viel mit dieser ganzen AI-Bewegung zu tun und dieses Gefaselüber General Intelligence.Da teilt sich das so in zwei Welten.Die, die sagen, alles wird ganz schlimm und der Weltuntergang droht und dieanderen, die sagen, ja, das ist aber jetzt alles ganz wichtig und wir müssendas unbedingt nach vorne bringen.Das sind auch alle so gesplittete Botschaften, die aber irgendwie alles zusammengerührt,also so eine Denkrichtung vorgeben, die schon so ein bisschen so Kultcharakter hat.Es gibt da auch einen Begriff, der daraus schon abgeleitet worden ist,der letztes Jahr so geprägt wurde.Das ist so eine Zusammenstellung aus Transhumanismus, Extropianismus,Singularitarianismus,Kosmismus, Rationalismus, diesem ineffektiven Altruismus, was ja im Wesentlichen so wir,nicht der Staat oder so entscheidet, wohin jetzt die Gelder gehen sollen.Sondern die reichen Leute machen das irgendwie selber, weil die das ja vieleffizienter machen können und so. Und dann irgendwie dieser Long-Termism.Also langfristige Ziele sind jetzt wichtig.Kurzfristig kann auch mal alles den Bach runtergehen.Umweltschützen sind jetzt alles viel zu kurzsichtige Ziele.Ich kann ja das alles in der Tiefe nicht erläutern, aber das sind so Dinge,die sich dort gerade abspielen abspielen und die sich in irgendeiner Form inSilicon Valley konzentrieren und mit dem ganzen Geld und dem Einfluss,den diese Leute mittlerweile haben,beschicken sie halt jetzt die Politik und selbstverständlich verfangen solchebekloppten Ideen sehr viel besser mit durchgedrehten Republikanern,als mit noch so halbwegs mit dem Boden in Kontakt stehenden Demokraten.

Linus Neumann

Ja, also die sonstigen Erklärungen sind ja eher so, okay, Kryptoregulierungwollen sie verhindern und Besteuerung.Das finde ich jetzt irgendwie erstmal...Naheliegender, aber gerade wenn du Long-Termism verfolgst, musst du dich ja ernsthaft,fragen, in welche wirklich düstere Zukunft Trump die USA führen würde oder einfachfür was für eine düstere Vorstellung der Mann steht,Tja, irgendetwas kriegen die was,was sie ein bisschen komisch drauf macht,Ja.

Tim Pritlove

Trotzdem, dieser Vance ist jetzt für Trump aber eher im Zusammenhang mit demAufkommen von Kamala Harris eher ein Problem,weil der Typ ist extrem unbeliebt, also der hat irgendwie auch bei Independenceund Republikanern nur so 32% Zustimmung in Umfragen derzeit,das ist so der niedrigste Wert, den ein Vizepräsident jemals hatte und der isthalt auch ein leeres Blatt.Es gab jetzt diesen Er hat wohl ein Buch.

Linus Neumann

Der hat ja ein Buch geschrieben.

Tim Pritlove

Ja, das ist dieses Hillbilly Elegy, so spielt das eigentlich überhaupt gar keine Rolle mehr.Leute lesen ja eh nicht. Er war halt bei diesem RNC, also da wo jetzt Trumpoffiziell zum Kandidaten gewählt wurde, hat er halt versucht eine Rede zu erhalten.Das war so ein Trainwreck.Also er hat irgendwie versucht da einen Witz zu machen. Keiner hat auch nurreagiert, obwohl die alle da so gehypte Trump-Fans waren.Das musst du dir mal anschauen, und wie er versucht hat, da irgendwie so einenMountain-Dew-Joke rauszuhauen. Das war schon fast peinlich.Oder was heißt fast, das war sehr peinlich. Der Typ bringt halt nichts.Und vor allem, er quatscht halt jetzt nur Trump nach.Das heißt, Trump hat sich jetzt sozusagen jemanden geholt, der genauso radikalist und genauso einen Unsinn von sich gibt wie Trump selber,macht aber dieser Mitte kein Angebot.Wenn also jetzt Kamala Harris mit einem entsprechend klugen weißen Präsidentenpickhier kontert, dann hat Trump das Problem, dass er sich im Prinzip...Kamala Harris zu bekämpfen, die falsche Person gesucht hat.Er wollte halt über das Alter gehen, deswegen hat er sich gedacht,na dann nehme ich doch hier mal so einen 39-Jährigen, das passt schon irgendwie.Jüngster Vizepräsidentenkandidat bisher überhaupt. Und das scheint so ein bisschennach hinten loszugehen.Aber wir sehen ja auch, wie der News-Cycle funktioniert.Dachten wir vor zwei Wochen noch so, oh Attentat, das wird jetzt das Thema,die nächsten drei Monate bestimmen, redet da jetzt schon fast keiner mehr drüber.

Linus Neumann

Du Tim, aber ich finde es gut, wenn Faschisten Wahlen verlieren.

Tim Pritlove

Ja, ich finde das auch super.

Linus Neumann

Kommen wir zum nächsten Thema.

Tim Pritlove

Genau, wenn Computer die Kontrolle verlieren.

Linus Neumann

Computer sind ausgegangen.Also man spricht von dem größten IT-Ausfall in der Geschichte der Menschheit.Circa 8,5 Millionen betroffene Windows-Systeme.

Tim Pritlove

Diese Apple-Computer waren betroffen?

Linus Neumann

Null.Erkläre ich auch gleich. Ein paar Millionen Windows-Rechner fallen aus und meldensich zurück mit dem Blue Screen of Death.Also der Fehlermeldung, wenn der Betriebssystemkern quasi hart crasht.

Tim Pritlove

Alle Beine von sich strecken.

Linus Neumann

Alle Beine von sich strecken.

Tim Pritlove

Gar nichts mehr.

Linus Neumann

Fertig. Das sollte natürlich sehr selten passieren.Möglichst gar nicht. Ich erkläre jetzt erstmal ganz kurz, was war da überhaupt los?Weil wahrscheinlich haben alle sowieso schon genug gehört, was passiert ist.Deswegen versuchen wir mal grob.

Tim Pritlove

Also was die Auswirkungen waren, das haben alle schon gehört.

Linus Neumann

Genau, die Auswirkungen haben alle gehört.

Tim Pritlove

Das Flughafen geht nicht mehr, als ob das eine Nachricht wäre hier.

Linus Neumann

Das Flughafen geht nicht mehr.Anzeigetafeln. Das war auf jeden Fall ordentlich.

Tim Pritlove

Genau, aber was ist passiert?

Linus Neumann

Genau, was ist da überhaupt genau passiert? Also es gibt ein Betriebssystem.Also Computer haben Betriebssysteme.Verbreitete Betriebssysteme sind Linux, Windows und ein paar BSD-Derivate,von denen beispielsweise macOS auch eines ist.Ja, also eigentlich gibt es relativwenige Betriebssysteme. Aber was macht überhaupt ein Betriebssystem?Abgesehen davon, dass es unten eine Startleiste hinmacht oder einen Finder oderoben links irgendwie einen Pinguin, ja, ist der Betriebssystem Kern dafür da,dass der Computer überhaupt unterschiedliche Programme gleichzeitig ausführenkann, dass man die starten kann und sonstige.Also sonst könnte der Prozessor, wenn man jetzt kein Betriebssystem hätte,könnte der nur ein Programm ausführen, nämlich das, was ich ihm gebe und dann führt der das aus.Und das Betriebssystem ist dafür da, dass das Ausführen mehrerer Programme gleichzeitig,mehrerer Prozesse gleichzeitig zu verwalten und darüber vielleicht auch so eine gewisse….Herrschaft zu halten. Das ist erstmal ein Betriebssystem.Hat eigentlich fast jeder Computer, aber nicht wirklich jeder.Also wenn man jetzt irgendwie alte digitale Uhren nimmt oder so,die haben kein Betriebssystem, sondern die haben das eine Programm, was sie machen.Und das also ist die Idee des Betriebssystemkernes, ist das Starten andererProgramme zu ermöglichen, zu verwalten und eine einheitliche welche Umgebungfür diese Programme bereitzustellen ist.So zum Beispiel, dass du sagst, ich bin das Betriebssystem und bei mir gibt es eine Maus.Und die kann ich dir zum Beispiel bereitstellen, weil ich habe einen Treiberdafür und jedes Programm, was im Kontext meines Betriebssystems ausgeführt wird,das kann potenziell mit dieser Maus interagieren über ein Standardinterface. ist.Sonst müsste jedes Programm wiederum mit jeder Maus umgehen können.Aber dadurch, dass das Betriebssystem diese Umgebung bereitstellt, können,Programme sich in diesem Betriebssystem verhalten und werden dann eben für einBetriebssystem geschrieben, das wiederum mehrere Tastaturen,mehrere Mäuse, was weiß ich, irgendeinen Drucker und so weiter bereitstellt.Würdest du sagen, das habe ich halbwegs richtig erklärt, was ein Betriebssystem ist?

Tim Pritlove

Ja, das geht schon mal in die richtige Richtung.

Linus Neumann

Ich glaube, du hast das, nee, Daniel war das mal, es gibt irgendwie so einenPodcast, wo das mal erklärt wurde, was ein Betriebssystem ist.Was macht Eichelack ein Betriebssystem?Wie dem auch sei, das ist also ein Betriebssystem. Das Betriebssystem selberist ein Programm auch und dieses Programm hat natürlich sehr hohe,Sehr hohe Macht, weil es ja alle anderen Programme verwaltet,Betreiber bereitstellt und so weiter.Und wenn das Betriebssystem einen Bug hat, also der Kernel selber einen Fehlerhat, dann ist die beste Möglichkeit damit umzugehen, wirklich einfach alles hart zu stoppen.Weil jetzt ja die Verwaltung aller anderen Programme verloren gegangen ist oderoffenbar aus dem Tritt geraten ist und im Gegensatz zu wenn jetzt ein normalesProgramm auf deinem Computer crasht,dann meldet sich im Zweifelsfall das Betriebssystem und sagt, ey,da ist so ein Prozess, der dreht irgendwie durch, der braucht 100%,CPU die ganze Zeit oder der istgerade gesackfaultet, das ist jetzt weggeschmiert, müssen wir mit umgehen.Wenn aber das Betriebssystem selber crasht, dann kann ja das quasi dieses Programmauch sich selber nicht mehr trauen.Also crasht der ganze Computer und es gibt ein Blue Screen of Death und dersagt, pass auf, an dem und dem an der und der Stelle war jetzt ein unsichererSpeicherzugriff oder kam nicht das, was ich erwartet habe, bin irgendwo hingesprungen,weiß ich nicht. Feierabend.

Tim Pritlove

Es gibt natürlich Fehler, die ein Betriebssystem abfangen und einschränken kannund darauf reagieren kann, aber es gibt eine bestimmte Kategorie von Fehlern,der man wo man dann, wo gar nichts mehr sicher ist und wo es fast besser ist, nichts zu tun.

Linus Neumann

Es ist eindeutig besser.

Tim Pritlove

Versuchen irgendwas zu tun.

Linus Neumann

Was alles noch viel schlimmer macht. So am besten noch irgendwas mit Festplatteund Speichern oder sowas. Dasist alles ganz falsch, wenn du im Betriebssystem-Körnel einen Crash hast.

Tim Pritlove

Lieber die Feuerwehr anrufen, anstatt anzufangen, jetzt Öl zu löschen. Genau.

Linus Neumann

Das ist passiert. So, warum ist das aber passiert?Nun ja, es ist passiert auf Systemen, die ein IDA hatten von CrowdStrike.Das ist die Firma, die das ausgelöst hat. So, was ist ein IDA?Endpoint Detection and Response, im Prinzip das, was man früher Virenscannergenannt hat, in ordentlich.Also sehr tief im Betriebssystem vergraben, eben läuft mit Kernelrechten undführt eine Live-Analyse von Aktivitäten und Syscalls und allem durch,was dieses Betriebssystem macht.Das läuft also in dem Kernel mit als Treiber.Ein Treiber läuft auch auf Kernel-Ebene.In diesem Fall sogar einer, der boot-relevant ist.Also sagt sogar, das Windows darf nicht booten, wenn dieser Treiber nicht lädt.Und hakt sich dann an alle möglichen Aktivitäten dieses Betriebssystems ein,um zu schauen, was passiert da so.Ja, also zum Beispiel jedes Mal, wenn ein neuer Prozess ausgeführt wird, fängt das IDA das ab,versucht sich darüber Kenntnis zu verschaffen, guckt, was wird hier gerade ausgeführt,schaut in Speicherinhalte und will so quasi gewünschte Aktivität von ungewünschterAktivität unterscheiden.

Tim Pritlove

Das ist so eine Art Kaufhausdetektiv.

Linus Neumann

Ja, aber halt wirklich hart verwurzelt, wirklich im tiefsten Inneren des Betriebssystems.Und dafür stellt dieses IDA CrowdStrike einen Treiber bereit mit Kernelrechtenund eben auch, der ist ein Bootstart-Driver, das heißt, der muss geladen werden.Du könntest jetzt auch einen Treiber machen, wenn der nicht Bootstart ist unddas Betriebssystem sagt, okay, ich versuche mal diesen Treiber zu laden,geht schief, dann lassen wir es eben sein, dann gibt es eben keinen Drucker.Nicht jeder Treiber ist in der Lage, einen Blue Screen of Death herbeizuführen.Und jetzt muss dieses IDA, das macht also zwei Dinge, guckt dem Betriebssystemzu, um Schadsoftware und schädliche Aktivitäten zu finden,hat dabei natürlich eine ganze Reihe von Heuristiken und Definitionen,die sich die ganze Zeit ändern.Was jetzt ein IDA außerdem noch hat und was ich tatsächlich sehr,sehr hilfreich finde in Incidents beispielsweise.Es füttert halt auch alle mögliche Telemetrie an so eine Cloud und wenn du jetzteinen Indicator of Compromise hast und weißt, Okay,ich habe hier, sagen wir mal, 1000 Windows-Rechner, von denen,weil sich einer ist infiziert, in dem Moment, wo du CrowdStrike ausrollst,steht im Prinzip in einem Web-Dashboard,welche anderen auch diese Indicators of Compromise haben.Oder wenn du jetzt eigene definierst und sagst, oh, was weiß ich,diese und jene IP-Adresse ist irgendwie problematisch oder eine Datei mit diesemHash ist problematisch, dann kannst du die kollektiv auf all diesen Rechnern suchen,statt von allen Festplattenabbilder zu ziehen und so.Das ist also ein sehr hilfreiches Tool in der Bekämpfung und Eindämmung von Incidents.Ohne sowas stehst du sehr, sehr ungünstig da.Und es ist auch ein sehr hilfreiches Tool, dabei Infektionen klassischer,bekannter oder klassische, bekannte böse Aktivitäten auf deinem Betriebssystem zu detektieren. Hier.Hat aber eben den Nachteil, das Ding funkt die ganze Zeit nach Hause und eskriegt von zu Hause Updates.Natürlich kriegt es die ganze Zeit Updates, weil sich ja die böse Aktivitätder Angreifer die ganze Zeit weiterentwickelt.Es gibt ja immer wieder neue Indicators of Compromise, auf die so ein Crowdstrike dann reagieren muss.Jetzt haben die also folgendes Problem, jetzt haben die diesen Treiber,der auf höchsten Privilegien im Betriebssystem hängt und wollen den potenziellregelmäßig mit Updates versorgen.Das machen sie aber natürlich nicht, weil dafür wäre potenziell irgendwie Neuladendes Treibers oder Neustart notwendig.Also liest dieser Treiber.

Tim Pritlove

Und es wäre unter Umständen auch eine Rezertifizierung von Microsoft erforderlich.

Linus Neumann

Genau, der wird nämlich signiert, dass er überhaupt geladen werden kann.Guter und wichtiger Punkt, Tim.Wahrscheinlich kannst du unter Wegklicken mehrerer Warnungen irgendwie nocheinen Treiber in Windows installieren, Aber ich würde mich nicht wundern,wenn sie es vollständig auch ausgeschlossen haben.So gut kenne ich mich damit nicht aus. Aber auf jeden Fall natürlich ein Treiber,der mit diesen Privilegien ausgestattet ist, der wird von Microsoft eben signiert und es macht Sinn,dass der jetzt nicht dreimal am Tag ein Update kriegen kann.Also schreiben die sich, das ist jetzt quasi die Software-Architektur von CrowdStrike,sogenannte Channel-Files, ich würde das übersetzen einfach mit Signaturen,damit sie nicht den Treiber die ganze Zeit mit Updates versorgen müssen,sondern das sind im Prinzip neue Dinge,nach denen der suchen soll.Und jetzt haben sie, und die schieben sie teilweise stündlich sogar raus odertäglich, das ist einfach das, wie CrowdStrike die ganze Zeit Erkennungs-Updates macht.

Tim Pritlove

Im Prinzip ist das so ihr Polizeifunk, die geben so die ganze Zeit neue Beschreibungenvon Täter raus, mit denen gefahndet werden soll.

Linus Neumann

Genau, in diesem Fall ging es um bestimmte Art von wie eine,also aktuell ist der Verdacht, dass es darum ging, dass sie,So, wie heißt das denn? Dieses C2-Framework, was alle immer benutzen.Cobalt Strike, genau. CrowdStrike und Cobalt Strike.Wollten sie quasi eine neue Detektionsregel für Cobalt Strike vermutlich ausrollen,die eine bestimmte Art von, wie man einen Prozess abruft.Also das ist alles gerade noch halbwegs grau.Tatsache ist CrowdStrike stellt dieses Update eines Channel-Files bereit unddas führt dazu, dass ihr eigener Treiber mit diesem Channel,der im Betriebssystem läuft, der kam mit diesem Channel-File nicht zurecht und dann hat der,ist er eben gecrashed und dann mit ihm der ganze Kern und dann gab es ein Blue Screen of Death.

Tim Pritlove

Weil wahrscheinlich dieses Channel-File gar nicht das enthielt was es enthalten sollte.

Linus Neumann

In irgendeiner Form war das korrupt, also das ist der Teil.

Tim Pritlove

Da waren einfach nur Nullen drin.

Linus Neumann

Ähm, Crowdstrike, also genau ist auch naheliegend eigentlich,dass du denkst, okay, wenn da nur Null drin sind und, aber Crowdstrike sagtspezifisch, das hat nichts mit den Nullen zu tun.

Tim Pritlove

Achso, okay.

Linus Neumann

Keine Ahnung, also das ist der Teil, der noch nicht.

Tim Pritlove

Aber es stand nicht das Richtige drin, sozusagen.

Linus Neumann

Auf jeden Fall stand etwas drin, was dazu geführt hat, dass dieser Crowdstrike-Treiberirgendwo über seinen, irgendwie einen falschen Speicherzugriff hatte und indem Moment ist dann halt das gesamte Betriebssystem abgeschmiert. So.Wie kriegst du das Problem gelöst? Du startest Windows im abgesicherten Modus.Und der abgesicherte Modus heißt so, weil er diese ganzen Treiber nicht lädt.Der ist also genau für den Fall da. Dafür gibt es den abgesicherten Modus.Irgendetwas, was Teil des Betriebssystems ist, verhindert einen normalen Start.Dann gehst du in den abgesicherten Modus, wird alles nicht geladen.Hast du eine Tastatur, hast du eine Maus und 16-Bit-Farben oder was auch immer.Und kannst dann das System reparieren.In dem Fall, in dem du dieses Channel-File, C00, hast du nicht gesehen, 291, gelöscht hast.Es gab auch noch andere Anweisungen, irgendwelche Registry-Keys zu löschen,aber naja, wenn du die Datei gelöscht hast, hat der Crowdstrike-Treiber sienicht gefunden, hat sie natürlich jetzt auch nicht wieder bekommen,weil Crowdstrike gemerkt hat, ach so, scheiße, die geben wir den Leuten liebernicht. Damit war das Problem gelöst.Das Problem ist aber, wenn du jetzt sagen wir mal 600 Rechner hast und nochdazu nicht nur CrowdStrike, sondern BitLocker, die Festplattenvollverschlüsselung von Microsoft,die du natürlich eigentlich auf Laptops haben solltest, damit wenn du das Laptopverlierst, niemand die Festplatteninhalte einfach auslesen kann, kann, indem er,einen Linux von USB-Stick bootet oder die Festplatte rausschraubt oder so.So geschehen bei Leuten, die ich kenne und dann hattest du jetzt das Problem,dass du den BitLocker Recovery Key eingeben musst,der eine zufällige Buchstaben-Zahlen-Kombination für jeden Rechner einzeln istund wenn du deine wenn du deinen Laden nicht vollständig unter Kontrolle hast,musst du eventuell sogar damit rechnen, dass du den gar nicht mehr hast.Und da übrigens fand ich sehr schön, es war jetzt das Problem,wie kriegst du diese ganzen Bitlocker-Codes eingetippt, weil wie gesagt,das sind Zufallszeichen seit der Kryptokie.Da haben Leute sehr schöne Lösungen gehabt und haben die einfach als Barcodesausgedruckt und mit billigen Barcode-Scannern dann eingescannt.Ganz billige Barcode-Scanner funktionieren einfach als Human Interface Device,das heißt, die melden sich bei dem Rechner als Tastatur an und wenn die so einBarcode scannen, dann geben die die Zeichen quasi als Tastatur aus und drücken danach Enter.Und da kannst du super mit arbeiten, kostet wenig Geld,hast natürlich die naheliegenden Probleme, wenn jetzt in dem Barcode steht,Tab, Windows-Taste, CMD, Run und dann irgendwie eine Schadsoftware oder so.Aber solange du ungefähr weißt, was du da scannst, kannst du mit den Dingerneigentlich ganz gut arbeiten.

Tim Pritlove

Und es funktioniert halt auch ohne das Betriebssystem.

Linus Neumann

Genau, es funktioniert eben, weil es ein Human Interface Device ist,schon irgendwie auf dieser niedrigsten Ebene einfach mit einer Tastatur unddas ist äußerst elegant,wenn du dann die Rechner hast, dann hast du halt ein Blatt Papier,legst das da hin, steckst den Scanner dran,da steht ja dann auch, achso du willst im abgesicherten Modus,jetzt musst du aber erstmal hier den BitLocker Recovery Key eingeben,dann machst du einmal pip, wie Smudo, pip, pip und dann sind wir drin.Schon drin? Genau. Jetzt kommt die Frage, jetzt sagen natürlich alle, wer ist schuld?Und ich würde sagen...Eindeutig CrowdStrike? Und dann kommt die Frage, wird CrowdStrike jetzt dafürhaften? Da würde ich sagen, eindeutig nicht. Garantiert nicht.Garantiert werden die nicht dafür haften. Ich bin mir ganz sicher,dass sie genug Anwältinnen und Anwälte haben, um zu verhindern, dass sie dafür haften.

Tim Pritlove

Aber die haben doch schon allen Betroffenen einen 10-Dollar-Essensgutschein ausgegeben.

Linus Neumann

Der nicht funktioniert.

Tim Pritlove

Der auch noch nicht funktioniert.

Linus Neumann

Die haben dann irgendwelche, was man das wollte oder was weiß ich,irgendeine Uber Eats oder was, Gutscheine und die funktionierten dann nicht.Also das ist wirklich wunderschön, wie sie da gefailt haben.Aber wir müssen uns trotzdem noch fragen, also es ist eindeutig,darf nicht passieren, dass CrowdStrike Updates an seinem Produkt rausgibt,die 8,5 Millionen Rechner abschmieren lassen.Sie sagen, Sie machen zwei Arten von Tests.Das eine ist ein Stress-Test, wo sie irgendwie das Update ausrollen,gucken, wie sich das auf Ressourcenverbrauch, Performance und so weiter auswirkt.Also funktioniert das überhaupt? Zum Beispiel Event-Volume ist auch etwas,wo sie gucken, also wenn das Ding jetzt auf einmal ganz viel meldet oder Teiledes Betriebssystemes selbst als bösartig erkennt.Das ist so eigentlich das, wie Virenscanner oder EDAs sich irgendwie in dieeigenen Beine schießen, dass sie halt auf einmal das Betriebssystem selber böse finden.

Tim Pritlove

Quasi zur Autoimmunkrankheit.

Linus Neumann

Genau, dann sagen dann einfach, irgendeine für das Betriebssystem lebenswichtigeDatei ist auf einmal böse und wenn man darauf zugreifen will,sagt es nein und dann sagt das Betriebssystem, scheiße, knack.Das wäre der eigentliche Verdacht, aber es ist tatsächlich hier,oder es wäre der ursprüngliche Verdacht, hier ist es tatsächlich ihr eigenerTreiber, ihr Code crasht, wenn man dem Ding eine Channel-File gibt,was so aussieht wie Channel-File 291.Und,Jetzt sagen sie, sie haben dieses quasi Live-Ausrollen auf Testsystem,haben sie gemacht und dann gibt es noch einen Content-Validator,der diese Template-Files validiert und nochmal quasi nochmal approved und sagt,okay, dieses File ist auch wirklich valide, das kannst du diesem Treiber geben.Damit wollen sie vermeiden, dass dieser Treiber auf der Betriebssystemebenecrasht, wenn man ihm die Datei gibt.

Tim Pritlove

Oder sonst wieder was Falsches.

Linus Neumann

Genau. Also sie sagen, sie haben normale Tests auf Standardsystemen und dannhaben sie den Content Validator.Aber jetzt hatte der Content-Validator auch noch einen Bug, sodass der nichterkannt hat, dass dieses Channel-File, was sie da rauswerfen,fehlerhaft ist und dazu führt, dass der Treiber abschmiert.Also der Content-Validator hatte einen Bug und den ausführlichen Test,das wirklich aufs System rauszurollen, den haben sie nicht wiederholt,weil sie haben nur eine Kleinigkeit geändert. hat.

Tim Pritlove

What could possibly go wrong?

Linus Neumann

Dann gab es zwischendurch noch, hat auch noch einer bei Microsoft angefragtund hat gesagt, Leute, könnt ihr uns mal erklären, das, was wir da sehen,ist ein Blue Screen of Death von Microsoft.Wieso ist jetzt dieses Crowdstrike daran schuld? Und dann sagt,sagen die Microsoft-Leute, naja, pass auf,wir haben Wir haben eine Anforderung von der EU, es gab eine Beschwerde im Jahr 2009.Und da hat Microsoft quasi mit der EU-Kommission sich darauf geeinigt,dass die Hersteller von Sicherheitssoftware den gleichen Zugang wie Microsoftzu den Windows-Innereien erhalten.Also quasi die EU-Kommission wollte sicherstellen,dass Microsoft seine eigenen EDAs, zum Beispiel den Windows Defender,die haben ja auch eine solche Funktionalität eingebaut in das Betriebssystem,kannst du Geld einwerfen, dann hat der auch bessere Funktionalitäten.Dass sie das nicht bevorteilen gegenüber anderen Anbietern, wie zum BeispielSentinelOne, CrowdStrike oder was auch immer.Weil Markt. Weil der, genau, wo kommen wir denn da hin, wenn nicht jeder Körnerrechtein Microsoft haben kann?Und das ist halt die Antwort von Microsoft und sagt, tut uns leid,Wir müssten denen die Rechte geben, dass sie als Treiber auf Körnel-Ebene mithöchsten Privilegien laufen, hat die EU-Kommission gesagt.Wir hätten das natürlich auch gerne nicht. Wenn Microsoft das nicht hätte,dann würde es im Zweifelsfall CrowdStrike eventuell nicht oder so nicht geben. Ja.

Tim Pritlove

Aber es hätte vielleicht auch den Ausfall des Flughafens nicht gegeben.

Linus Neumann

Es hätte auch den, der wäre wahrscheinlich vorher ausgefallen,weil irgendein Typ in irgendeiner E-Mail auf runterladen und ausführen gedrückt hätte.Also es ist eindeutig, also für mich ist eindeutig, dass CrowdStrike hier dieSorgfaltspflicht verletzt hat zu einem fahrlässigen Maß,wenn du ein de facto nicht ausführlich getestetes Update sofort auf ein paarMillionen Rechner rauspusht, dann hast du was falsch gemacht und du solltestnatürlich eigentlich auch eine ähm,eine ähm,dass weniger Rechner das Update geben und gucken, ob die das überleben.Haben sie alles nicht gemacht und ich denke, da werden sie zu Recht für gescholten,aber ich gehe auch davon aus, dass sie am Ende nicht dafür haften werden.Auch wenn gleich das tragisch ist, aber es wäre fürchterlich quasi auch fürdie Hersteller von Software, wenn man für so etwas haften würde.Weil acht Millionen Rechner, der Ausfall und so, also der Schaden,der da entstanden ist, den kann Crowdstrike unter keinen Umständen bezahlen.Das würde das Unternehmen halt komplett ruinieren.

Tim Pritlove

Tja, es ist halt die Frage, wer kann einen dann davor überhaupt beschützen?Ist das alles nicht versicherbar?Ist das alles nicht verhinderbar?

Linus Neumann

So ist ja die allgemeine Argumentation von allen Leuten, die Software in Umlauf bringen.Und nochmal, Software ist so ungefähr das Einzige, wo man nicht verhaftet.Es gibt also alles andere, was du irgendwo in Umlauf bringst, haftest du für.Und im Bereich der Software haftet niemand, das ist so gelebte Praxis.Macht da keinen Hehl draus, dass ich denke, dass es sinnvoll wäre, Haftung,zumindest bei Fahrlässigkeit und so mal langsam zu ermöglichen.Und ich würde vorsichtig davon ausgehen, dass das, was CrowdStrike hier gemachthat, potenziell in den Bereich der Fahrlässigkeit fällt.Ich bin mir aber auch sicher, dass CrowdStrike gerade alles Geld der Welt fürAnwältinnen und Anwälte ausgibt, die, koste es was es wolle, vermeiden wollen,dass CrowdStrike hierfür in irgendeiner Form in die Haftung gezogen wird.

Tim Pritlove

No way to prevent this, says users of only language where this regularly happens.

Linus Neumann

Das sollte man noch dazu sagen.

Tim Pritlove

Schöner Blogpost in dem Zusammenhang.

Linus Neumann

Es gibt sogenannte Memory-Safe-Languages, die vermeiden, durch wie sie funktionieren,dass Menschen diese Fehler machen können in dem Code.Also dass du quasi unqualifiziert irgendwo in den Speicher zugreifst und derkorrumpiert werden kann.Du out of bounds liest, das fängt die Sprache irgendwie selber ab.

Tim Pritlove

Das sind übrigens fast alle Programmiersprachen heutzutage.Also mit wenigen Ausnahmen, aber alles, was so wie mit C anfängt, ist schwierig.

Linus Neumann

Ja, das sind die das sind die Footguns.

Tim Pritlove

Linus Neumann

Gibt es auch diese schönen.

Tim Pritlove

Was ist denn eine Footgun?

Linus Neumann

Eine Footgun ist ein Foot? Foot? F-O-O-T Die Knarren, mit denen du dir im Fuß schießt.

Tim Pritlove

Ach so, die. Okay, verstehe.

Linus Neumann

Und also eigentlich sollte man, wenn man sichere Software bauen möchte,wären so diese Sprachen C, C-Sharp nicht angeraten, würde ich jetzt mal so sagen.

Tim Pritlove

Ist das bei C-Sharp auch noch ein Problem? Nee, ich glaube nicht.C-Sharp läuft ja schon mit VM und so weiter, da hast du das nicht mehr.Es ist im Wesentlichen C, C++, das ist so ein bisschen das Problem.Das ist unsere Legacy, die wir noch mittragen.In diesem Fall war es ja mal wieder so ein klassischer Sprung nach Null,wenn ich das jetzt richtig erinnere. Also es wurde quasi eine Instruktion ausgeführt,die so nicht hätte ausgeführt werden können, weil Speicher korrumpiert war.Mit anderen Worten, das Programm war mehr oder weniger in der Lage,sich selbst die Karten zu legen und damit einen Fehler auszuführen,wo halt der Prozessor nicht mit umgehen kann, woraufhin.Wiederum das Betriebssystem damit nicht umgehen konnte.Und moderne Programmiersprachen, also nahezu alle, haben dieses Problem dadurchgelöst, dass einfach dieser niedrigschwelligeZugriff auf die Hardware so überhaupt nicht mehr machbar ist.In C und seinem C++ hat man eben diese Kontrolle und das ist halt bei vielenProgrammierern auch noch so ein bisschen so eine Religion,dass man ja diese Kontrolle unbedingt bräuchte, um wirklich alles bis aufs Letzte durch zu optimieren.Aber ich kann halt sagen, ein Computer, der ein ganzes Wochenende stillsteht,weil irgendwie das Betriebssystem gecrashed ist, schafft einfach bestimmte Aufgabennicht besonders schnell.Da sollte man sich mal überlegen, was nicht vielleicht die bessere Sache ist.Was die Betriebssysteme betrifft, die natürlich alle noch aus dieser alten Zeitstammen und sehr, sehr, sehr langsam sich so in die Zukunft involvieren,da wird es noch eine ganze Weile dauern, bis man das komplett abgelegt hat.Es gibt Entwicklungen wie die Rust-Programmiersprache zum Beispiel,die dort neue Wege schafft, sowohl diesen Effizienzgedanken in irgendeiner Form aufrechtzuerhalten,aber auf der anderen Seite sicherzustellen, dass solche kaputten Speicherzugriffenicht mehr stattfinden, beziehungsweise nicht fatal sind.Und höhere Programmiersprachen, die also ohnehin schon etwas abstrakter daherkommen,haben schon immer einen gewissen Preis bezahlt, was die maximale Performancebetrifft, aber auf der anderen Seite...Können die technisch gar nicht so einen Fehler überhaupt erzeugen.Nur in dieser Treiber-Betriebssystem-Welt, da wird einfach noch sehr viel aufdem blanken Metall geputzt und das ist und bleibt auch noch für die ganze Zeitein schwieriges Problem,aber ich finde auch die Softwareindustrie muss langsam mal erkennen,dass es vielleicht ganz sinnvoll wäre, mal kategorisch solche Fehler auszuschließen und das geht.Das ist kein Hexenwerk, sondern das ist möglich, sondern man muss sich entscheiden,modernere Werkzeuge zu verwenden, man muss sich da vielleicht auch mal mit denBetriebssystemherstellern auf dem Pfad einigen, wie man das auch gesichert indie Zukunft tragen kann und dann wird es auch irgendwann mal werden.Aber so wie es derzeit ist, kann ich nur sagen, also dieser Blogpost hat dasschön zusammengefasst im Stile dieser Onion-Artikel, die sich in der Regel haltimmer auf School-Shootings beziehen.

Linus Neumann

Ja, also denke auch, dass man, also ich verstehe auch ehrlich gesagt nicht unbedingt,warum man da irgendwie stolz drauf sein soll, dass man sich da irgendwie einen so einen,Speicherfehler nach dem anderen in seinen Code macht oder halt besonders smartist, dass man das schafft, das in vielen Fällen zu vermeiden.

Tim Pritlove

Ja, das ist wahrscheinlich wieder so ein bisschen, keine Ahnung, auch so eine,so eine Überheblichkeit, so eine Programmierer, vielleicht sogar auch Männerüberheblichkeit,so nach dem Motto, ja, ich kannauch mit so gefährlichen Werkzeugen super umgehen, da passiert gar nichts.

Linus Neumann

Ja, weil ich so ein cooler Coder bin. Meistercoder.

Tim Pritlove

Ja, Real Men brauchen auch Programme, die explodieren können.

Linus Neumann

Real Men use it after free.

Tim Pritlove

Genau.Ja, ja.

Linus Neumann

Okay.Jetzt müssen wir eigentlich nur Use After Free erklären. Nee, machen wir nicht.

Tim Pritlove

Nee, das lassen wir jetzt offen, dass halt jetzt ein Insider sitzt.

Linus Neumann

Okay, ja, also ich bin auf jeden Fall sehr gespannt, wie das jetzt weitergeht.Wie gesagt, meine Prognose ist, niemand wird dafür haften.Ich würde auf jeden Fall sagen, Crowdstrike hat da fahrlässig offenbar irgendwie was rausgeschossen.Ich bin mir sehr sicher, dass sie genug Anwältinnen und Anwälte haben,die das in sehr viel Papier schreiben, dass das nicht der Fall gewesen wäre.

Tim Pritlove

Ja, aber dann werden Kunden vielleicht auch auf andere Produkte setzen künftig.

Linus Neumann

Andere Produkte haben prinzipiell erstmal das gleiche potenzielle Problem.Ich habe schon gesagt, dass solche EDAs, XDAs sehr, sehr hilfreich sind.Und es gibt ja jetzt auch irgendwie einige besonders qualifizierte Leute,die dann irgendwie empfehlen, man sollte darauf verzichten.Das halte ich für äußerst falsch, also für äußerst unklug in so einer Enterprise-Umgebung.Also wenn du jetzt irgendwie, die Realität heutzutage ist, ist,dass du halt irgendwie ein Unternehmen betreibst, in diesem Unternehmen Microsoft-Rechnerstehen und du willst da ein IDA drauf haben.Ob das jetzt Microsoft Defender ist oder ein Drittprodukt ist,am Ende relativ egal, aber du bist dem Problem,du musst ja in IT-Sicherheit dir immer überlegen, wie verringerst du Wahrscheinlichkeiten?Wie ersetzt du das Problem, was du hast, durch ein potenziell kleineres,das ist ja das, was man in IT macht, ist ja nicht so, dass man Probleme löst,sondern man schafft sich nur andere, die man besser kontrollieren kann und,ich würde sagen, in einer Umgebung, wo du jetzt so ein Enterprise-Umfeld,nicht unbedingt du jetzt zu Hause auf deinem Rechner,du, ich zu Hause würde, ich benutze sowas nicht, auf gar keinen Fall kommt mirsowas auf meinen Rechner, aber wenn du die Sicherheit eines Unternehmens, einer Organisation,einer Rechnerflotte sicherstellen willst, dann kommst du nicht drum herum,irgendwie so etwas zu haben.In einem größeren Unternehmen, wo du davon ausgehen musst, dass die Wahrscheinlichkeit,dass etwas angeklickt und ausgeführt wird, einfach mal eins ist.

Tim Pritlove

Es sind ja im Prinzip zwei Dinge, die man hier auseinander halten muss.Das eine ist dieser Komfort, den man eben von so einem Remote- Überwachungssystemund Early-Detection- System hat.Das andere ist die Frage, wie ist das ganz konkret in das Betriebssystem eingebettetund muss es wirklich dieses Sprengfallen haben.Und meiner Meinung nach wäre Microsoft jetzt dann doch anzuraten,diese Funktionalität, die von diesem Treiber,von CrowdStrike und allen anderen Herstellern dort realisiert wird,in irgendeiner Form als Betriebssystem-Service anzubieten, für den sie dannwiederum garantieren können, dass der eben nicht verkauft,kaputt geht, weil das auf irgendwelche Firmen zu verteilen und dann passierthalt genau sowas, das hat man im Prinzip damit herausgefordert,während ja diese eigentliche Aktivität, die dort durchgeführt wird,mehr oder weniger auch klar definiert ist oder ohnehin im Betriebssystem jaSichtbarkeit schaffen muss.Und das verstehe ich, da ist eine Innovations-Race natürlich auch noch mit dabei,aber am Ende muss man da abwägen, was kann jetzt sozusagen die Sicherheit,also die Betriebssicherheit herstellen versus was kann die Angriffssicherheit herstellen.

Linus Neumann

Genau, das ist absolut richtig und es ist auch nicht das erste Mal,dass irgendwie ein Virenscanner-Betriebssystem abknallt.Das ist eher die Regel und wenn man da jetzt nochmal darauf zurückblickt,du hast ja gerade gesagt,also erstens, die laufen auf einer sehr hohen Privilegienstufe,die sind da auch signiert und der aus einer Security-Perspektive crazy Teil ist,dass dieser signierte Treiber irgendwelche dynamischen Updates irgendwo herkriegtund mit denen dann agiert.Das ist das, was halt fundamental falsch ist, weil der jetzt auf einmal Dingetut, die nicht signiert sind.Der nimmt ja jetzt einen Input von der Festplatte, was offensichtlich Konsequenzendafür hat, was er tut und was er ausführt und was er jetzt machen wird.Also das, was das Programm tun wird, ist plötzlich, du hast ein Programm durchsigniertund das kriegst jetzt aber irgendwelche Updates dahingelegt und agiert auf deren Basis.Das ist halt fundamental, also du brichst damit diese ganze Idee,dass du den Code vorher signiert hast.

Tim Pritlove

Ja, das ist so, als ob du einen zertifizierten Klempner bei dir in der Wohnungam Abend hast und durch einen Anruf wird er mal eben zum Elektriker umgeschult.Und jetzt bin ich hier mit den Rohren fertig, dann mache ich doch jetzt auchgleich nochmal die Stromversorgung neu.

Linus Neumann

Genau und noch dazu hast du...Es ist gut, dass wir das nochmal ansprechen, weil das eben fundamental,das fundamentale Problem ist, warum solche Systeme, EDAs und so weiter kritisiert werden,weil sie diese hohen Zugriffsprivilegien haben und während sie dort sind,die ganze Zeit dynamisch in dem, was sie tun, verändert werden können.Und es wäre jetzt beispielsweise für dieses CrowdStrike Falcon durchaus jetzt einfach zu sagen,hier gibt es eine neue Regel und die lautet,wenn bestimmte Worte in einer Datei sind,schickt die mal bitte zur Analyse an uns an die Cloud.Und es ist aufgrund der Tiefe, wie es im Betriebssystem drin hängt,auch ein perfektes Spionagewerkzeug.Was auch erklären könnte, warum man sich darüber so große Gedanken macht,wenn so etwas von russischen Unternehmen kommt oder so.Also Kaspersky zieht sie aus dem US-Markt zurück. Es gibt in bestimmten Hochsicherheitsbereichendann eben auch Zweifel, ob man ein solches IDA einsetzen kann,wenn man da im Bereich des Geheimschutzes tätig ist.Aber dann kommt wieder die Frage, naja, okay, dann haben wir halt hier jetzt kein IDA.Das heißt, in dem kritischsten Bereich verzichten wir jetzt auf einmal auf Schadsoftware-Schutz.Und das wird natürlich auch...Das ist jetzt auch nicht unbedingt der bessere Weg nach vorne.Das andere, worauf du hinaus wolltest, ist, dass Apple so etwas nicht zulässt,dass du auf Kernel-Privilegien-Ebene läufst.Nee, die haben, Kernel-Extensions haben die alles rausgeworfen.Was aber auch zum Beispiel dazu führt.Die hatten zum Beispiel früher, ich nutze so eine Application Firewall,also ein Programm, was für jeden einzelnen Prozess überwacht,welche Internetverbindungen der hat und dann kannst du eben dem sagen,was weiß ich, dieses Programm kriegt kein Internet oder was weiß ich,der darf sich nicht zu Adobe verbinden,der darf sich nicht zu Google verbinden, aber der Rest darf das.Das ist eine Application Firewall und die hat,habe ich schon sehr lange, früher hatte die ein Kernel-Modul und hat da einfachauf Kernel-Ebene den Traffic kontrolliert, das hat Apple irgendwann abgeschaltet.Und das hat aber jetzt auch zur Folge, Und dass diese Firewall,die spricht halt jetzt über irgendein von Apple bereitgestelltes Kernel-Interfaceund kriegt von Apple gesagt, guck mal hier,der Prozess will sich da hin verbinden, willst du das machen oder nicht?Dann sagt die Application Firewall, ja, bitte ja, bitte nein.Jetzt hast du eine bessere Integrität des Betriebssystems, weil Bugs in dieserFirewall können nicht mehr den Kernel potenziell aus dem Tritt bringen.Aber Apple kann natürlich auch sagen, für unsere eigenen Prozesse,die melden wir nicht an diese Firewall, weil für die Integrität unseres Betriebssystemsist schon wichtig, dass wir mitunseren Cloud-Dingern reden können und Telemetrie machen können und so.Und das wäre ja jetzt wirklich nicht gut, wenn jetzt irgendeine dahergelaufeneApplication-Firewall unsere Lizenzchecks zum Beispiel unterbindet.Das heißt für die Integrität hier, machen wir mal halblang.Und das gab natürlich dann auch einen großen Aufschrei, weil damit der Nutzerinpotenziell nicht mehr die vollständige Kontrolle über den Netzwerktraffic gegeben ist,wie das nach alter Schule mit Packetfilter und so weiter durchaus möglich gewesen wäre.

Tim Pritlove

Ja, ist ein Spannungsfeld, wie man so schön sagt, weil es natürlich auch durchaus argumentierbar ist.Heutzutage sind eben nun malsehr viele Sicherheits- und andere Grundfunktionalitäten serverbasiert.Man hat iCloud angebunden, das ist alles auch extrem wichtig für Authentifizierung,für Überprüfungen auch.Und natürlich, wenn man da jetzt irgendwie dazwischen geht und sagt, die URL,die gefällt mir jetzt aber hier nicht und mit der API-Bereste will ich nichts zu tun haben,dann nimmst du natürlich das System dann auch auseinander, dass es dann wiederumso Nebenwirkungen hat, dass man eben bestimmte Dinge, die vielleicht nicht unbedingtessentiell wichtig sind und die man dann doch gerne unterbinden möchte,nicht unterbindbar sind.Aber grundsätzlich ist das schon mal von der Security des Betriebssystemsansatzes her gut,dass diese ganzen Überprüfungsvorgänge abstrahiert und in einem definierten API,also in einem für Programme zugreifbaren Interface abgelegt sind.Sind, weil dann ist es eben nicht erforderlich, dass ich etwas ganz tief inden Körner reinlegen muss und dort zu Problemen führt, wie die Abschaltung des BER.

Linus Neumann

Ja, das hat jetzt auch keinen so aus der Bahn geworfen.

Tim Pritlove

Ja, es sind ein paar Leute, die haben ihre Party dann nicht mehr erreicht.

Linus Neumann

Echt? Ja.Ich war auf der Party, deswegen habe ich mich damit...

Tim Pritlove

Ja, weil du da nicht hingeflogen bist. Nur wegen deines Umweltbewusstseins.

Linus Neumann

Mit meinem umweltbewussten Wohnmobil. Diesel, deutscher Diesel.

Tim Pritlove

Ja, ja, also es bleibt schwierig und abzuwägen, aber trotzdem muss ich CrowdStrikenatürlich vorwerfen lassen, dass sie nicht ausreichend geprüft,getestet und sichergestellt haben.

Linus Neumann

Das ist auf jeden Fall YOLO gewesen Und das kannst du nicht machen.Und die werden jetzt ganz viel neue Prozesse dann einführen und irgendwie längeres Testing.Und dann werden sie sagen, machen wir nie wieder so.

Tim Pritlove

Ja, aber wenn die jetzt daran keinen Schaden nehmen, dann ist ja kein YOLO, dann ist ja YOLT.

Linus Neumann

Die haben 30 Prozent Aktienkurs verloren oder so.

Tim Pritlove

30 Prozent.

Linus Neumann

Würde ich jetzt schätzen, als ich das letzte Mal geguckt habe.

Tim Pritlove

Naja.Gut, haben wir das ausreichend behandelt, das Thema?

Linus Neumann

Ja genau, wir bleiben beim Thema fahrlässiger Umgang mit anvertrauten Dingenim IT-Sicherheitsbereich.

Tim Pritlove

Was, waren da noch mehr Leute fahrlässig?

Linus Neumann

Ja, wir haben eine kleine Meldung als CCC gemacht.Und zwar kennen ja viele, dass man ein zweites Passwort per SMS zugesendet bekommt.

Tim Pritlove

Two-Factor-Authentication.

Linus Neumann

Two-Factor-Authentication. Two-Factor-Authentication ist gut,wichtig, wollen wir, finden wir richtig, wir wollen Two-Factor-Authentication haben und...Um das nochmal kurz zu wiederholen, das True Factor hat eine Theorie dahinter,dass man nämlich aus den Faktoren Haben,Wissen und Sein zwei unabhängige Faktoren zur Authentifizierung nimmt.Also der erste ist häufig ein Wissensfaktor, nämlich das Passwort.Und dann käme der zweite Faktor, wäre also aus Haben oder Sein.Die Gebildeten von uns kennen den Klassiker Erich Fromm.

Tim Pritlove

Was, die Kunst des Liebens oder was?

Linus Neumann

Nee, Haben oder Sein, ist das nicht Erich Fromm?

Tim Pritlove

Ich kenne das ehrlich gesagt nicht.

Linus Neumann

Oder Sein ist 76. Ja. Kunst des Liebens, da hat der Tim sich natürlich ausführlichmit verhandelt. Na klar, ich bin ja Experte.Okay, genau, haben oder sein wird also abgebildet dadurch, dass du unter Beweis stellst,üblicherweise ein Gerät zum jetzigen Zeitpunkt in deinem Besitz zu haben odersein wäre so ein Biometriefaktor.Und dieser zweite Faktor haben wird häufig auch realisiert durch,wir schicken dir eine SMS,weil du damit ja den Nachweis erbringst zu diesem Zeitpunkt.Das Gerät zu haben, Zugriff auf das Handy zu haben.Also meldest dich jetzt bei der Bank an, dann sagst du erstmal,Passwort ist in Ordnung, dann sagst du jetzt, will ich Geld überweisen,dann schickten sie dir eine SMS, ich glaube inzwischen dürfen sie das ja nichtmehr, PSD 2 wird glaube ich nicht mehr gemacht, aber dann wird dir quasi,gucken wir mal nochmal, ob du auch dein Handy hast, du sagst,du weißt Tims Passwort, gucken wir mal auch, ob du Tims Handy hast.

Tim Pritlove

Und sein ist was?

Linus Neumann

Sein wäre, wenn du jetzt eine App öffnest, die dann nochmal eine Biometrie-Nachweismacht und dann das wäre der Sein-Faktor.

Tim Pritlove

Ich scanne, also bin ich.

Linus Neumann

Genau, aber das ist also die gesamte Idee von zweiter Faktor.Die schönen Umsetzungen sind die mit den time-based one-time-passwords,wo du irgendwie so eine App hast, die dir alle alle 30 Sekunden einen anderenCode anzeigt oder eine App hast,die dann quasi nochmal holt, jetzt gibt es eine Überweisung auf das Konto sound so und um genau diese eine Überweisung jetzt freizugeben,gib bitte folgenden Code ein.Das wären dann immer so die Echtzeitdinger, die letztendlich auch immer denHaben-Faktor abbilden oder das sogar teilweise mit dem Sein-Faktor verbinden,indem sie noch eine biometrische Ausführung machen, wie auch immer.So, soviel zu zwei Faktoren. Jetzt haben wir zwei Faktoren nochmal erklärt.Sehr gut. Wollen wir haben? Zwei Faktor ist immer, immer besser als ein Faktor.

Tim Pritlove

Oder sein.

Linus Neumann

Und,die Frage ist, wollen wir zwei Faktor haben oder wollen wir zwei Faktor sein?

Tim Pritlove

Ich bin zwei Faktor. So.

Linus Neumann

Und jetzt gehen natürlich Unternehmen hin und sagen, okay, pass auf,wir machen mal, wir machen das mit SMS. Super.Und jetzt müssen wir SMS versenden. Wie machen wir das?Ja, stecken wir irgendwie ein USB-Kabel an unser iPhone und stecken das iPhonean den Server und dann stecken wir SMS.Nein, du verwendest natürlich so Bulk-SMS-Versender. Das sind dann Unternehmen,die das anbieten, die die Service-Dienstleistungen anbieten, eine SMS zu versenden.Und dafür nehmen die natürlich dann Geld, kostet dann einfach so und so viel Cent pro SMS.Preise unterscheiden sich danach, in welches Land du versendest.Mit dem einen Land haben sie bessere Deals als mit dem anderen.Und das sind dann SMS-Versender.

Tim Pritlove

Mit Schubser.

Linus Neumann

Und die bieten dir im Prinzip an, also du machst jetzt sagen wir mal so einenOnline-Shop oder eine App oder so und dann bieten die dir an, hier kommt eine,du gibst quasi ein Authentifizierungs-Request bei uns raus mit der Telefonnummerund wir stellen das zu und geben dir zurück, welchen Code derjenige eingeben muss.Also mehr API brauchst du dafür ja nicht.Machst mal bitte Authentifizierung mit der und der Telefonnummer und dann sagendie alles klar, ist in Ordnung, hier ist der Code, Wenn die den eingibt,dann hat der die SMS bekommen.Kannst du natürlich auch komplizierter machen, steht in der SMS dann drin,wenn du jetzt so und so viel Geld da und dahin überweisen willst,gib mal ein oder was auch immer. Kann man irgendwie machen, bieten die an.Wer gehört noch zu den Kunden? WhatsApp. WhatsApp gehört zu deren Kunden,weil WhatsApp zum Abschließen des,ich möchte gerne WhatsApp auf folgender Telefonnummer haben,schicken die dir eine SMS und sagen, hier ist dein WhatsApp-Verifizierungscode.Und dann beweist du, yo, ich habe WhatsApp.Übrigens interessanterweise, kleiner Funfact, ich habe mich da mit MeredithWhitaker auch drüber unterhalten, diese SMS-Verifikation ist der höchste Postenim jährlichen Budget von Signal.Signal, der größte einzelne Posten, den die haben, sind sieben Millionen US-Dollarfür Verifikations-SMS, die sie verschicken.

Tim Pritlove

Wow.

Linus Neumann

Geil, ne? Deine App ist das Ersetzen von SMS.

Tim Pritlove

Aber du musst ordentlich blechen.

Linus Neumann

Und du musst aber ein paar Millionen ausgeben für SMS. Fand ich ganz lustig.Den Blogpost verlinken wir auch. Signal is expensive.Okay, aber ich wollte ja eigentlich mal zum Thema kommen. Genau,jetzt gibt es einen Anbieter, der diese Dienstleistung, wir verschicken SMS, anbietet.Und dieser Dienstleister heißt Identify Mobile,und die haben gesagt, naja okay wir haben ja hier so Systeme,die sind ja super, die müssen aber irgendwie auch mal ein bisschen prüfen daschreiben wir mal Logfiles und wir schreiben diese Logfiles am besten in einen Amazon S3 Bucket also,S3 Simple sowieso Storage ich weiß nicht was das zweite ist.Ein Standard, den Microsoft in diesem Simple Storage Service,Amazon S3 Simple Storage Service ist im Prinzip eine webartige API,um Speichern und Abrufen von Daten zu ermöglichen.Wird in diesem ganzen Cloud-Umfeld gerne verwendet und die Art,wie man mit S3 spricht, wird auch inzwischen von anderen Cloud-Storage-Anbietern unterstützt.De facto ist das einfach nur, wir haben eine API und können da Dateien hinlegen.Und das kannst du halt natürlich hinter einer Authentifizierung verbergen oder nicht.Und dieser Anbieter Identify Mobile hat halt gedacht, oh, diese SMS,wir verschieben ja relativ viele SMS.Dann schreiben wir mal Log-Files und dann packen wir die mal auf ein S3-Bucketund das S3-Bucket lassen wir mal ohne Authentifizierung.Und dann lagen die Log-Files von diesen SMS, wo dann drin steht,an wen, welche Uhrzeit, welcher Inhalt, diese SMS versendet wurde,erfolgreich zugestellt und so weiter.Das haben die einfach weggeloggt und weltlesbar ins Internet gestellt,was zur Folge hatte, dass du also quasi dorthin schauen konntest.Wenn du jetzt quasi das Passwort von jemandem gehabt hättest,hättest du dich angemeldet,in dem Moment wird diese SMS gesendet und dann guckst du in diese Logfiles undsiehst, welcher Code da steht und kannst quasi diese Zwei-Faktor-Authentifizierung außer Kraft setzen.Ebenfalls hättest du WhatsApp-Nummern übernehmen können, sagst du,ich habe die und die Nummer, WhatsApp schickt die SMS, dann gibst du den Codeein, hast WhatsApp bewiesen, dass du die Nummer hast, kannst du WhatsApp auffremde Nummern registrieren.Schön. Fand ich ein super Datenleak.Du brauchst ein wunderschönes zweite-Faktor-Authentifizierungssystem,schreibst einfach mal die Logfiles offen ins Internet.Insgesamt waren mehr als 200 Unternehmen betroffen, die diesen Anbieter nutzen.Und irgendwie waren so 198 Millionen SMS-Lagen da rum.Und dann ist folgendes passiert, also wir haben das als CCC dann gemeldet,also es gibt Leute, es gibt mehrere Leute, die suchen einfach regelmäßig einfachS3-Buckets ab und gucken, ob da was ist.

Tim Pritlove

Weil oft die nicht richtig geschützt sind im Netz.

Linus Neumann

Weil die oft nicht richtig geschützt sind und weil man da eben zum Beispiel sowas findet.Und dann guckt man da rein, dann lässt man so einen Scan laufen,irgendwann guckt man da rein und denkt, oh guck mal hier, das ist aber spannend.Jetzt hast du aber das Problem, du weißt nicht, wem dieser Bucket gehört.Das heißt, du siehst dann da von 200 Unternehmen diese Zwei-Faktor-SMS und hastjetzt die Aufgabe herauszufinden, wer schreibt denn diese scheiß Logfiles.Und da haben wir dann, naja, also Unternehmen,die in diesen Listen standen, wo wir Kontakte hin hatten, angeschrieben undhaben gesagt, hör mal, ihr steht da, eure Zwei-Faktor-SMS stehen in so einem Ding.Deswegen könnt ihr uns sagen, wer euer Anbieter für Zwei-Faktor-SMS ist,damit wir dem Bescheid sagen können, dass sie ein Bucket haben,wo dieser Shit drin steht.Das heißt, wir haben das dann mithilfe dieser Unternehmen geklärt und dann brachaber die Hölle über uns herein, weil dann ist das Datenleck gesperrt, alles gut.Es war jetzt auch kein GAU, weil nach unserer Kenntnis wurde das nicht ausgenutzt.Und dann hast du aber von diesen 200 Unternehmen die Datenschutzbeauftragtenan der Backe, die dir dann nämlich so, weil dann schickt nämlich,dann war Twilio da mit drin, weil Twilio auch noch irgendwo da drin hing,ja, und dann schreiben die dir alle und sagen,es gab ein Datenlex, aber könnt ihr bestätigen, dass ihr diese Daten gelöscht habt?Ja, Hammer gelöscht, keine Sorge. Und dann irgendwie, könnt ihr bestätigen,dass niemand anderes Zugriff darauf hatte?Nein, können wir nicht.

Tim Pritlove

Die lagen im Internet.

Linus Neumann

Könnt ihr bestätigen, dass folgende drei Zugriffe von euch sind und die einzigen sind?Dann sagst du so, naja, nach unserer Kenntnis gingen von uns vier Zugriffe aus.Und dann kommt das aber.Weil dann der Anbieter schreibt dann halt diesen Unternehmen und sagt,wir hatten einen Zwischenfall, aber hier gibt es nichts zu sehen, alles gut.Wir haben bestätigen können, dass die CCC-Sicherheitsforscher das gelöscht haben.Und dann schreiben aber die Datenschutzbeauftragten, dann könnt ihr uns bitte nochmal bestätigen.Und das war ziemlich nervig, vor allem, weil es dann irgendwie nur dieser Cover-US-Kramist, statt jetzt mal zu überlegen, wer ist der fucking Depp,der diese SMS überhaupt lockt,noch dazu in großer Menge auf einem offenen S3-Bucket, können wir mal mit dem reden?

Tim Pritlove

Also das verstehe ich auch überhaupt nicht, warum das gelockt wird,aber meistens ist es halt so, Also beim Entwickeln getestet,mitgeloggt, irgendwann hat es funktioniert,keiner hat das Logging ausgeschaltet und niemand hat darüber nachgedacht,wofür dieses Bucket eigentlich ist und fertig.

Linus Neumann

Das war jetzt eh nochmal so ein Ding, die haben dann behauptet,das wäre nur ein sehr kurzer Zeitraum gewesen.Also die sagen natürlich, der Zeitraum, den die einräumen, ist natürlich derZeitraum zwischen unserem, also demjenigen, der es gefunden hat,war ja nicht ich, dem ersten Zugriff und der Meldung.Und dass sie es abgeschaltet haben. Den Zeitraum sagen die dann,da waren die Daten zugreifbar.So, derjenige, der das Ding gefunden hat, hat aber das als Teil eines massenhaftenScans Monate vorher schon gefunden.Hat aber nicht reingeschaut, weil er einfach eine Liste hatte und die hat ergewissenhaft abgearbeitet und hat ein paar Monate gedauert und das heißt,wir haben schon eigentlich den gesicherten Eindruck,dass diese Sachen sehr viel länger zugreifbar waren.Aber natürlich hast du es dann mit diesen Anwältinnen und Anwälten zu tun,die dann, das war der bestätigte Zugriff so an diese Uhrzeit und, oh ey, ekelig.Und genauso wird das bei Crowdstrike auch sein.Weißt du, dass da jetzt irgendwelche, so Rosinen, wie heißt das,Korinthenkacker, irgendwelche Detailtexte schreiben, bis alle kotzen und sagen,boah, verpisst euch einfach. Naja, okay.Ja, das war noch eine ganz schöne Meldung des CCC.Lehre davon, zwei FAP SMS ist immer noch besser als nichts.Und auch hier ist jetzt halt, es gab keinen GAU, aber es hätte durchaus einengeben können. und andere Verfahren kommen ohne diesen Anbieter aus und die würden wir empfehlen.Vor allem, wenn das so scheiße teuer ist.Also TOTP ist nicht Phishing-resistent, aber immerhin ist es 2FA,SMS auch nicht und ich glaube, da seid ihr erstmal besser mit beraten.Und dann könnte man halt Hardware-Tokens nehmen, aber das ist jetzt vielleichtauch für den einen oder anderen Popel-Zugriff ein bisschen überzogen.

Tim Pritlove

Ja, auf jeden Fall macht es sich bei solchen sicherheitskritischen Dingen ganzgut, nicht unbedingt als erstes irgendwelche shady Third-Party-Anbieter zu nehmen,sondern vielleicht ein bisschen enger zu begleiten.Also man kann sich ja externe Hilfe ranholen, wenn man in dem Feld nicht sounterwegs ist, aber da gibt es ja auch noch mehr Stufen als einfach nur so,macht ihr das mal für uns, passt schon.Klar, da kann man dann erstmal auf den ersten Blick Geld sparen,nur mit der Sicherheit, die ja gerade ist, das ist alles so eine wackelige Sache,hat ja dann auch nicht nur einen Preis im Sinne von was spare ich mir hier,sondern es hat ja auch einen Preis in Vertrauen.Also das ist vielleicht sogar überhaupt der wichtigste Preis,den so ein Unternehmen bei den Kunden aufruft.

Linus Neumann

Denn ganz klar, also ich...

Tim Pritlove

Beziehungsweise die Kunden bei dem Unternehmen aufrufen.

Linus Neumann

Weißt du, du hast dann diese Identify-Mobile-Leute, die bieten diesen Servicean, die geben sich natürlich irgendwie Mühe,schönen SS7-Uplink für ihren SMS-Versand zu bekommen,nutzen da wieder irgendeinen anderen komischen Anbieter und dann gehen diesesicherheitsrelevanten Codes auf einmal durch eine ganze Menge Hände,die meinen, sie müssten die wegloggen.Schlimm. Schlimm, schlimm, schlimm.

Tim Pritlove

Wir finden das nicht gut.

Linus Neumann

So, jetzt kommen wir, ich glaube wir können das eher nur mal so anteasern,das Thema, das wird uns glaube ich noch ein bisschen länger insgesamt beschäftigen und zwar der AI-Act.Der AI-Act wird jetzt in Kraft treten im August.Dann im Februar 25 werden dann bestimmte nicht akzeptable AIs verboten sein in der EU,die zu Manipulationen und zu Täuschungen von Menschen und zu Verhaltensmanipulationen gedacht sind.Oder Social Scoring bauen.Ich bin mal gespannt, welche Definition von Verhaltensmanipulation sich da amEnde durchsetzt, weil ich denke, dass fast alles, was Menschen tun,ja, das Ziel hat, das Verhalten anderer zu manipulieren.Alles, was Werbung ist beispielsweise.Mal schauen, wie sich das noch ausformulieren.

Tim Pritlove

Oder Podcasts.

Linus Neumann

Podcasts sind auch das Ziel, Verhalten zu manipulieren. Wir wollen euer Verhaltenmanipulieren, ganz klar.

Tim Pritlove

Wir wollen, dass ihr euch ordentlich benehmt.

Linus Neumann

Ja, ordentlich benehmt und keine Witze macht, wenn ein Attentat auf Trump missglückt.So, dann haben wir die, im August 25,also in einem Jahr, kommen dann eine Reihe an Verpflichtungen für General Purpose AIs zum Tragen.Und im August 2026, dann gibt es Regeln für Hochrisiko-AI-Systeme,die mit Biometrie, kritischer Infrastruktur,Bildung oder Arbeitsrecht zu tun haben.Und dann haben sie jetzt eine Aufteilung in minimale Risiken,niedrige Risiken, hohe Risiken und inakzeptable Risiken.Also inakzeptabel ist dieser Teil, die täuschen oder die das menschliche Verhaltentäuschen oder beeinflussen können.Hohe Risiken ist da, wo Law Enforcement,sie benutzt biometrische Identifikation durchgeführt wird oder so,da haben sie halt hohe Kontrolldinge und ja minimale und limitierte Risikensind irgendwie Chatbots und sonst irgendwas.Gleichzeitig haben sie aber wieder tausend Ausnahmen, dass dann irgendwie dermilitärische Nutzen, der ist dann wieder ausgenommen von der Kontrolle oderso, sodass das bisher eher nicht,also das macht auf mich nicht den Eindruck, ein gut geschriebenes Gesetz zu sein.Und die Anwältinnen und Anwälte, Juristinnen und Juristen, mit denen ich michdarüber unterhalten habe, die haben auch nicht den Eindruck,dass das jetzt besonders handwerklich gut ist.Wir werden uns da denke ich mit Teilen davon in zukünftigen Folgen auseinandersetzen.Was ich an dieser Stelle vielleicht mal noch besprechen wollen würde,es gibt halt diese Compliance-Checks und du wirst halt,also wenn du jetzt irgendwie so Modelle in den Umlauf bringst oder auf deinenSystemen laufen lässt und Kunden denen aussetzt,wirst du halt eine Reihe an Compliance-Checks machen müssen,die es dir sehr schwer machen,auch in den nicht so kritischen Systemen, so etwas überhaupt in den Umlauf zu bringen.Und da gibt es jetzt das Argument, dass man argumentieren könnte,dass dieser AI-Act vielleicht ein bisschenfrüh ist und potenziell zum Standortnachteil Europas werden könnte.Was die Entwicklung von AI-Systemen angeht.Wir wissen, Europa und Bundesrepublik Deutschland sowieso ganz weit vorne,ganz weit vorne in diesen ganzen Innovationstechnologien wie Dieselmotoren oder so,aber mit dieser AI und sonstigen ganzen Tech-Sachen, Da könnte man jetzt voneinem Risiko ausgehen, dass, sag ich mal,auch diese Innovationswelle nicht von Europa ausgeht.Dass also potenziell die Möglichkeiten, die ökonomischen Erträge davon nicht unbedingt hier landen.Und wenn man das jetzt mit Überregulierung auch noch quasi unattraktiv macht,so etwas in Europa zu machen,dann könnte das für diejenigen wenigen, die aus Europa jetzt irgendwie mit MachineLearning etwas machen wollen, könnte das für diejenigen Unternehmen eben zumStandortnachteil werden, dass sie das in Europa machen,während alle anderen irgendwo Offshore, YOLO machen, was sie wollen Und dannpotenziell nochmal die Schwierigkeit haben, so etwas auf den europäischen Marktzu kriegen, dass es jetzt auch keine kleine Schwierigkeit ist.

Tim Pritlove

Oder eben auch, dass sie es halt überall anders machen und es dann halt nurin Europa nicht verfügbar ist, diese Technologie.Das ist ja auch gerade ähnlich. Also diese Diskussion findet eine Überregulierung statt.Gibt es ja nicht nur was jetzt diesen AI-Kram betrifft, wo ja die EU,muss man ja sagen, relativ schnell an diesem Thema dran ist.Also bei vielen anderen Themen, also so zu Beginn des Internets,das Internet, das hat sich rapide weiterentwickelt und bis überhaupt erstmaldas Bewusstsein in der Politik da war, dass da überhaupt was zu regulieren gibt,geben könnte und worum es sich denn dabei handelt und dass das irgendwie relevant ist.

Linus Neumann

Da hatten wir schon längst die Independence of Cyberspace deklärt.

Tim Pritlove

Genau,ne? Damals war es halt eher so, Leute, ihr müsst euch das mal anschauen.Man kann das jetzt auch nicht komplett unreguliert so laufen lassen, weil dann...

Linus Neumann

Könnte ja jeder kommen.

Tim Pritlove

Genau, könnte ja jeder kommen. Und ich muss auch sagen, Datenschutzgrundverordnungund so, das hat schon dazu beigetragen.Facebook und so andere Auswüchse des Internets auch ein wenig zu zähmen.

Linus Neumann

Und da würde ich aber, also meine Wahrnehmung der Datenschutzgrundverordnungist, hat das wirklich jetzt in irgendeiner Form da Facebook gezähmt?Ja, es gibt zwei, drei Dinge, die sie jetzt nicht mehr dürfen,aber das fundamentale Geschäftsmodell von denen ist immer noch da und man hätte es vielleicht früher…,Also wenn die DSGVO zehn Jahre vorher da gewesen wäre, hätte man es vielleichtschaffen können, diese Entwicklungen tatsächlich zu verhindern.Gleichzeitig, wer hat heute Probleme mit der DSGVO?Der deutsche und europäische Mittelstand. Du kannst ja, also es ist wirklich so,dass du, sobald du irgendwie Daten verarbeitest, quasi diese DSGVO-Compliancewirklich einfach mal eine riesige Beraterkaste da geschaffen hat und die Juristinnenund Juristen sich freuen,irgendwie dann kleine Unternehmen und Startups irgendwie kaputt zu nerven mit dieser DSGVO.Während Facebook sagt, wir machen jetzt folgendes, ist uns scheißegal und wenndas irgendwie in drei Jahren oder fünf Jahren irgendwo von Max Schrems vor derEU weggeklagt wird, dann zahlen wir halt die 50 Millionen.

Tim Pritlove

Ja, das ist ein guter Punkt. Also das ist zu überlegen, wo,muss man immer überlegen, wo ist eine Regulierung sinnvoll und wo greift sie zu weit,wo bremst sie eher etwas aus, als dass sie am Ende wirklich hilft.

Linus Neumann

Ich glaube, wir werden uns in den zukünftigen Sendungen damit nochmal vertiefend auseinandersetzen.Es gibt auf jeden Fall vokale Kritiker des AI generell.Also ich glaube, handwerklich gut nennt ihn niemand.Und dann gibt es noch eine Meinung dazu, ob das jetzt gut oder schlecht ist,so früh regulierend einzugreifen. Ich muss auch ehrlich sagen,dass ich selber sehr gespalten bin.Ich vermute, wahrscheinlich ist es, also ja, es kann echt sein,dass es halt klug ist, jetzt endlich mal anfangs die Flöcke in den Boden zurammen und schon mal zu sagen, gut, dann klären wir den Rest halt nachher vor Gericht.Aber wir haben schon mal etwas, um dieses Monster, was da potenziell entstehenkönnte, in die richtige Richtung zu schubsen.Es kann aber eben auch sein, dass es die Europäische Union einfach weiter vonInnovationen und wirtschaftlicher Teilhabe abschneidet und sodass das finale Goodbye ist.So, ah, okay, da gibt's was Neues. Nee, das verbieten wir erst mal.Beide Perspektiven scheinen, glaube ich, gewissermaßen beide zuzutreffen.Wahrscheinlich schafft es die EU jetzt wirklich,sich selber halt zu schaden und potenziell noch den größten Schaden von anderen abzuwenden.Mal schauen.

Tim Pritlove

Wir haben ja auch nicht auf alles Antworten.

Linus Neumann

Aber Chat-GPT. So, dann haben wir...

Tim Pritlove

Fragen wir doch mal die, was die so meint.

Linus Neumann

Chat-GPT, als ich das letzte Mal Chat-GPT gefragt habe, kam natürlich sehr wichtig.AI muss jetzt reguliert werden.

Tim Pritlove

Klar.

Linus Neumann

Natürlich. Aber das ist immer so. Also Facebook ist sicherlich auch grundsätzlichfroh, dass es die DSGVO dann irgendwann gab.

Tim Pritlove

Weil es einfach mal klare Richtlinien gibt. Jetzt gibt es klare Richtlinien.

Linus Neumann

Jetzt haben wir klare Verhältnisse und der Markt gehört eh uns.Mach mal, ist in Ordnung. Wirhaben auch die Kohle, um den Quatsch zu bezahlen, die Konkurrenz nicht.Was sollte uns hier, also ist doch völlig in Ordnung. Gar kein Problem,mach mal. Wollt ihr noch eine Regulierung? Ist okay.Setzt euch damit auseinander. Wir schicken euch schon mal 180 Lobbyisten aufden Hals, die bei euch an der Kaffeemaschine auf euch warten und dann guckenwir mal. Ist schon in Ordnung.

Tim Pritlove

Gut, lass weitermachen.

Linus Neumann

Okay, jetzt kommen wir in den Teil der kürzeren Meldungen. Hui.Wir haben hier auch darüber gesprochen, dass Asylbewerberinnen jetzt so beschnitteneKreditkarten kriegen sollten oder kriegen sollen, ja, bekommen sie.Bezahlkarten. Funktioniert wie eine Kreditkarte oder sonst was, ne?Hat aber irgendwie so ein paar Limits. Zum Beispiel kannst du 50 Euro Bargeld abheben,damit du nicht mit deinem Bargeld auf einmal, dass du nicht dein ganzes Geldda in Umschlag packst und damit deine Familie zu Hause ernährst oder so.Haben wir ja auch drüber gesprochen, was für ein Quatsch das ist.So, jetzt gab es eine Umsetzung davon in Hamburg und da hat jetzt das Sozialgerichtgeurteilt und hat gesagt,naja, Ja, also Bargeldlimit könnt ihr nicht pauschal pro Karte machen,sondern da muss es eine Ermessensentscheidung geben und die müssen natürlichzum Beispiel Alter, Behinderung, Krankheit oder Familienumstände berücksichtigen.Also quasi ihr müsst individuell den Bargeldbedarf der Person beurteilen,bevor ihr irgendwie sagt, mehr Bargeld kriegt die nicht.So, finde ich in Ordnung.Das war's. Oder hast du so eine Karte? Nee, hab ich nicht.Aber es ist auf jeden Fall, glaube ich, relativ unsinnig, das zu machen.Dann wurde jetzt tatsächlich einfach mal ein Huawei-Verbot verordnet vom Innenministerium.Und ich war so ein bisschen überrascht, wie wenig, es ist fast an mir vorbeigescrollt.

Tim Pritlove

An mir ist es vorbeigeschreut.

Linus Neumann

Müssen die kritischen Management-Systeme bis Ende 29 ersetzt werden.Dummerweise, und ich kenne mich ja ein bisschen mit Mobilfunk aus,weiß ich jetzt auch nicht genau, was jetzt die kritischen Management-Systemein Rahn und Transport sind und ob das bedeutet, dass man trotzdem weiterhin,ja E-Note Bees und sonstiges von Huawei betreiben kann.

Tim Pritlove

E-Note Bees? Was ist das?

Linus Neumann

Das wäre jetzt so eine quasi ein Funkmast 4G.

Tim Pritlove

Mhm.

Linus Neumann

Also ein Funkmast. Ja.Und mir ist irgendwie nicht so ganz klar, weil die Rahntechnik von Huawei istist auf jeden Fall in Deutschland enorm verbreitet.

Tim Pritlove

RAN ist was?

Linus Neumann

Radio Access Network. Also Zugang, also ich stolper über diesen Satz.In den Zugangs- und Transportnetzen, Zugang wäre jetzt, also das RAN,Radio Access Network, das was also Funknetz, Funkmasten sind und wie es danneben über die Transportnetze zum Core kommt.Und jetzt steht eben, in den Zugangs- und Transportnetzen müssen die kritischenManagement-Systeme spätestens 2029 ersetzt werden.Und jetzt weiß ich nicht genau, ob der Satz bedeutet, die Management-Systemesind jetzt kritisch und die müssen ersetzt werden. Die dürfen nicht mehr von Huawei sein.Oder ob das heißt, Deutsche Telekom oder was, die können jetzt jede einzelneAntenne vom Dach holen und müssen, was weiß ich, was anderes da hinstellen.

Tim Pritlove

Also, offensichtlich scheint ja jetzt Telekom und Vodafone irgendwie...

Linus Neumann

Die protestieren auf jeden Fall, klar.

Tim Pritlove

Naja, sie meinen eine Herausforderung, aber machbar. Also das klingt jetzt nichtso nach breitem Protest.Und Telekom sagt, ein gutes Gleichgewicht zwischen den Sicherheitsinteressenfür unser Land und dem notwendigen weiteren Ausbau der digitalen Infrastruktur in Deutschland.

Linus Neumann

Naja, insbesondere die geforderte Frist für den Umtausch von Komponenten imZugang- und Transportnetz stieß auf Widerstand.Ja klar, also im Kern, ich weiß nicht mal, ob die sowas im Kern haben.

Tim Pritlove

Also du meinst, sie haben sich letztlich drauf geeinigt, dass wenn sie die Dingersowieso durch irgendwas Neues ersetzen müssen, dass sie dann was anderes kaufen.

Linus Neumann

Ich bin, ich finde es, also ich werde aus der Meldung noch nicht so ganz schlau.Jedenfalls, also meine Frage ist, sind Antennen von Huawei noch erlaubt oder nicht?Weil ich würde schätzen, wenn die nicht mehr erlaubt sind, dann haben einigeNetzbetreiber in Deutschland richtig Probleme.Da müssen die auf eine ganze Menge Dächer klettern.Und ja, da Kern und sonst was, irgendwie Management-Systeme,ja, das kriegt man schon irgendwie hin.Aber nochmal, das Problem sind nicht die Komponenten von Huawei,sondern dass dann jeweils eben diese Netze auch wirklich von den Anbietern gebaut werden.Also wenn du, du kaufst nicht bei Huawei irgendwie eine Antenne oder was und sagst, gib mal her,dann kommt die auf der Palette und dann fährst du da hin und schraubst die aufsDach, sondern die wird natürlich auch von Huawei-Mitarbeiterinnen entsprechend dimensioniert.Die Management-Systeme sind von denen, du hast quasi die sind da,die gehen bei dir ein und aus wenn du bei denen Kunde bist und das ist nichtirgendwie so rufst den China an und im nächsten Container kommt was und dannschraubst du das irgendwo hin,ja die sind schon sehr sehr,individualisiert mit dir in deinem Netzausbau beschäftigt und haben natürlichdadurch auch klare, intime Kenntnisse dessen, wie dieser Netzausbau funktioniertund haben natürlich auch Management-Zugänge dorthin Bei jedem Mobilfunknetz.Aber ich habe längere Zeit erklärt, warum ich das zumindest nicht aus Sicherheitsgründen.Gründen für unbedingt geboten halte, diesen Austausch.Ich denke, dass das eher auch Wirtschaftsförderungszwecke hat,das zu machen und die würde ich auch erstmal grundsätzlich, finde ich das nicht falsch,weil 5G-Technologie kann in Europa eigentlich kaum jemand konkurrenzfähig herstellen.

Tim Pritlove

Und du meinst, dann ist das so?

Linus Neumann

Ja, oder wir haben halt dann keinen 5G mehr. Kein AI, kein 5G.

Tim Pritlove

Und Apple Computer wollen sie ja auch verbieten.

Linus Neumann

Dann ist aber Schluss. Kein Apple.

Tim Pritlove

Dann wandere ich aus.

Linus Neumann

Also ich bin mal gespannt, wie teuer das wird und wie die sich da geeinigt haben.Ich fand die Meldung auf jeden Fall überraschend, weil sie, tja,also dafür, was da vorher für ein Geschrei war,ist diese Meldung so sang- und klanglos mal irgendwie in der Tagesschau kurzan mir vorbeigescrollt, müsste ich mich mal nochmal mehr informieren.Was da jetzt, was das genau also welche Komponenten jetzt als kritisch sind,ich lese raus die haben die,die tatsächlichen die die letzte Antennenmeile nicht mit dazu genommen und dannfrage ich mich aber, wie man die managen will ohne Huawei Management Systeme,also irgendwie komisch, aber da Telekom und so nicht so laut schreien,scheinen sie irgendwie einig geworden zu sein,So.

Tim Pritlove

Einen haben wir noch.

Linus Neumann

Sich bei einem der Anbieter einen Datensatz mit 3,6 Milliarden Milliarden Standortdaten geben lassen.Und 3,6 Milliarden Standortdaten ist eine ganze Menge und jeder einzelne dieserStandortdaten hat dann aber eine Mobile Advertising ID angebunden.Und damit werden quasi die Datenpunkte einer Person erkennbar.Und dadurch gibt es also jetzt eine ganze Menge Einzelpersonen,die da drin sind, also 11 Millionen Werbe-IDs,und das ist nur Deutschland, so wie ich das jetzt hier verstehe.Es sind in Deutschland geortete Telefone und ihre Bewegungen datiert auf zwei Monate Ende 2023.Da haben sie also irgendwie so einen alten Testdatensatz bekommen von so einemData Broker, der ihnen natürlich diese Daten dann eher live anbieten möchte.Und ja, fand ich schon ganz spannend.

Tim Pritlove

Also, dass man die überhaupt so kaufen konnte? Oder dass sie so einen Umfang hatten?

Linus Neumann

Dass sie offenbar auf diese Menge aggregiert und dann auch wirklich verkauft werden.Ja, also, erst mal, wie kommt man in so ein Ding rein?Naja, du hast eine App, die fragt dich als erstes, ey, darf ich auf deine Locationzugreifen? Du sagst ja klar, immer.Und dann sagt die, ey, geil. Übrigens, die Daten, die ich für dich nutze,kann ich dir zur Werbung nutzen und dann sagst du, ja, sieh ich.

Tim Pritlove

Und dann zeige ich dir ja auch dieses geile GIF.

Linus Neumann

Genau, oder du musst einen Euro einwerfen. So,und jetzt wird natürlich dieser Datenkram und Werbekram, der dahinter stattfindet,der wird ja auch wieder nicht von der App gemacht, sondern von irgendeinem Werbenetzwerk,was dann da reingeklinkt wird.Das ist ja, das baut ja keiner mehr selber heute.Und offenbar gibt es da ein Werbenetzwerk oder mehrere, die noch dazu dann ebendiese Daten weiterverkaufen.Ist schon alles irgendwie ziemlich crazy. Und ja, bist da reingekommen.Also Let's Platic Org bietet jetzt so einen Checker an, da musst du dann deineMobile Advertising ID, die kann man sich anzeigen lassen.

Tim Pritlove

Wie denn?

Linus Neumann

Steht weiter unten. Und bei mir wird sie nicht angezeigt, weil ich glaube,ich habe das grundsätzlich aus.Auf Apple Handys hat die Mobile Advertising ID den Namen IDFA,Identifier for Advertisers.Leider ist sie versteckt. Zum Auslesen braucht es Drittanbieter-Apps wie MyDevice ID oder Adjust Insights.Und diese Apps benötigen leider die Erlaubnis zum App-Tracking.Deshalb lösche sie besser, sobald du mit ihrer Hilfe eine ID herausgefunden hast.Willst du mal machen? Gucken wir mal, ob du in dem Datenleck bist.Machen wir mal. Lad mal runter. Lad mal.

Tim Pritlove

Kann ich mir auch nicht vorstellen. Keiner könnte an mir Interesse haben.

Linus Neumann

Wieso sollte mich jemand überwachen? Machst du mal?

Tim Pritlove

Jetzt?

Linus Neumann

Ja.Oder nachher. Cliffhanger für die nächste Sendung. Gut, wie wird man's los?Es ist tatsächlich jetzt natürlich nicht so einfach herauszufinden,warum man in diesen Daten ist,also erstmal, man kann jetzt seine Device-ID da herausfinden und dort eingeben,dann sagt einem Netzpolitik.org, okay, du bist in diesem Datenleck,oder was heißt Datenleck, in diesem gehandelten Daten,in diesem Preview von gehandelten Daten und dann weißt du aber natürlich nochnicht, von welcher App das jetzt so ist.Dann kannst du eben durchgehen, deine Location-Freigaben,ob du irgendeiner potenziellen Shady- oder irgendwie werbefinanzierten App eineLocation-Freigabe erteilt hast und dann könntest du die wieder entziehen.Auf iOS ist das, du kannst halt sagen, ja okay, kriegst du grundsätzlich nichtoder wenn du nächstes Mal willst, frag mich oder du kriegst es immer.Ja und keine Ahnung. Und das wäre natürlich jetzt auch wieder interessant,wenn du da drin bist und bist da andauernd drin.Weißt du, so alle zehn Minuten, dann wird es im Zweifelsfall irgendeine Appsein, die dich jetzt wirklich aktiv überwacht.Wenn du halt nur sehr selten drin bist und dann immer zu Hause auf dem Topf,dann ist es halt die App, die du immer zu Hause auf dem Topf verwendest.Aber es scheinen hier Menschen Apps zu haben, da werden ja so unterschiedlicheFälle geschildert, die sie sehr granular überwachen.Also irgendwie wird von jemandem gesprochen, der da und da wohnt,zur Arbeit fährt, danach in ein Unterhaltungsetablissement in Berlin für Erwachsene,danach in ein Einkaufsland.Einkaufsland, entweder ist der halt sehr süchtig nach einer spezifischen App,dass er sie sogar irgendwie in der kurzen Zeit, die er in dem Unterhaltungs- Erwachsene verbringt,nicht von dieser App loskommt oder die trackt ihn im Hintergrund.

Tim Pritlove

Ich habe jetzt meine IDFA rausgefunden. Sie lautet 0000000 0000000 0000000 0000000 0000000.

Linus Neumann

Also quasi die Crowdstrike.

Tim Pritlove

Ich glaube, ich habe das ausgestaltet.

Linus Neumann

Du musst jetzt noch in deine Settings gehen und Tracking einschalten.

Tim Pritlove

Ja, mein Konsensstatus ist denied. Achso, ich muss den erst einschalten.Aber dann kriege ich erst sozusagen überhaupt erstmal eine. Ich habe sozusagen noch keine.

Linus Neumann

Das ist genau. Aber ich vermute, glaube ich, würde auch denken, dass ich Ich.

Tim Pritlove

Habe das alles ausgeschaltet.

Linus Neumann

Ja, das muss alles weg. Natürlich. Ich habe auch Allow apps to request to track. Nein. Das habe ich aus.

Tim Pritlove

Könnt ihr auch machen. Könnt ihr mal ausprobieren, wenn da was angezeigt wirdund wisst ihr, da müsst ihr was ausschalten.

Linus Neumann

Ja, genau, aber ihr könnt euch irgendwie, also sieht ein bisschen,genau, könnt da mal gucken, ob ihr da drin seid,genau, der Checker ist verlinkt und ich fände es jetzt tatsächlich schön,weil wir ja ein bisschen smartere Leute unter den Hörerinnen und Hörern haben,wenn ihr mal schaut, ob ihr da drin seid und dann, ob ihr auch,ob und wie ihr herausfindet, durch welche App,weil das müsst ihr ja dann, ja, oder ihr könnt ja dann Apps verdächtigen.

Tim Pritlove

Genau. Also wenn ihr euch gefunden habt, schreibt es bei uns in die Kommentare.

Linus Neumann

Ja.

Tim Pritlove

Mit der ID.

Linus Neumann

Bei uns schreibt ihr es zuerst.Naja, ich sag mal, wir haben ja ganz guten Kontakt zu Netzpolitik.org.Ich könnte mir vorstellen, man könnte die ja mal fragen, ob sie,ob man dann nicht mal, ob wir nicht mal gucken können, wo ihr so in den Puff geht.Das haben wir hier als erstes gemacht. Offenbar macht man das mit diesen Daten.Das meinte ich mit Etablissement für Erwachsenen.

Tim Pritlove

Verstehe.

Linus Neumann

Natürlich dann aber auch irgendwie irgendwelche Bad Aibling und so. Ist ja klar. Natürlich.Wenn du elf Millionen Devices hast, in Deutschland ist halt schon wirklich eine sehr große Menge.Und dass dann da Geheimdienstmitarbeiterinnen und Sexarbeiterinnen und Bundestagsabgeordnete,und was nicht alles dabei sind, ist ja völlig klar.

Tim Pritlove

Das zeigt vor allem auch, dass viele Leute dieses ganze Tracking noch nichtausgeschaltet haben, wenn man es ausschalten kann.

Linus Neumann

Ja, das ist das, weiß ich nicht, aber irgendwie nicht. Ähm, ja.Google, wir sollen ja auch für Google immer. Einstellung Google-Dienste,alle Dienste Werbung. Dort kannst du die ID auch löschen.Ja, okay.

Tim Pritlove

So, Schluss. Mit Sendung.Zwei haben wir noch.

Linus Neumann

Übrigens.

Tim Pritlove

Dann geht's los.

Linus Neumann

Zwei Sendungen haben wir noch bis zur LMP500. Meinst du?

Tim Pritlove

Zwei, die wir noch vorher machen.

Linus Neumann

Machen wir. Kriegen wir hin. Ihr denkt dran, bis zum 2. August,wenn ihr möchtet, könnt ihr noch ein Shirt bestellen.Tickets gehen langsam dem Ende zu.Ich denke, da würde ich lieber jetzt mal langsam noch einen schnappen, wenn ihr möchtet.Insbesondere, wenn ihr eine Reise nach Berlin damit verbinden wollten, müsst, könnt oder so.Und dann sehen wir uns mit. Inzwischen haben wir zwei Gäste fix.Und wenn die Sendung jetzt hier vorbei ist, verhandeln Tim und ich,ob wir dritte oder vierte Gäste überhaupt wollen oder nicht.

Tim Pritlove

Ja, das wird sich noch ergeben.

Linus Neumann

Das kommt dann auf die Qualität der Gäste an und das Konzept,was wir für die Sendung haben.Und es gibt Musik.

Tim Pritlove

You're spilling the beans, man. You're spilling the beans.

Linus Neumann

Es gibt immer Musik.

Tim Pritlove

Ja, vielleicht. Das weiß man ja nicht. Es ist ein Mysterium.Es ist ja eine Spannung. Man muss ja die Spannung auch hochhalten.

Linus Neumann

Na gut.

Tim Pritlove

Dinge werden passieren. Ihr werdet dabei sein oder auch nicht. Ja.

Linus Neumann

Alles klar.

Tim Pritlove

Wenn ich dabei war, weiß ich nicht, was passiert ist. So ist das.

Linus Neumann

So ist das bei Podcasts, wo man jede Folge aufzeichnet.

Tim Pritlove

Glaubt ihr, ob die Details an? Leute, vielen Dank fürs Zuhören. Vielen Dank für alles.Und wir hören uns bald wieder. Bis bald.

Linus Neumann

Ciao, ciao.

Shownotes

El Hotzo fliegt raus

freitag.de: Trump-Tweet: El Hotzo sprach aus, was viele leise denken – was darf Satire? — der Freitag
fr.de: Rauswurf von El Hotzo ist heuchlerisch!
watson.de: Trump-Tweet von El Hotzo: Elon Musk wendet sich an Olaf Scholz
freitag.de: Trump-Tweet: El Hotzo sprach aus, was viele leise denken – was darf Satire? — der Freitag
spiegel.de: El Hotzo und seine Witze über Donald Trump: Und auf einmal meckert Elon Musk – DER SPIEGEL
fr.de: Rauswurf von El Hotzo ist heuchlerisch!
watson.de: Trump-Tweet von El Hotzo: Elon Musk wendet sich an Olaf Scholz
taz.de: Kulturkampf um „El Hotzo“: Wer cancelt hier wen? – taz.de
metal.de: TENACIOUS D – Steht das Comedy-Rock-Duo vor dem Aus?
visions.de: Tenacious D sagen nach Trump-Witz Tour ab, alle kreativen Pläne auf Eis gelegt

LNP500

pretix.eu: Tickets für LNP500

SUBSCRIBE 11

pretix.eu: Tickets für die SUSBCRIBE 11

Harris & Vance

netzpolitik.org: J. D. Vance: Kreuzritter voller Widersprüche
coindesk.com: Trump Backs U.S. Bitcoin Reserve and Says Democrat Win Will Be Disaster for Crypto: 'Every One of You Will Be Gone'
fortune.com: Peter Thiel gave J.D. Vance his start in venture capital. But a former colleague doesn’t remember ever seeing him in the office
youtube.com: NEW: JD Vance is MOST UNPOPULAR VP Choice in DECADES
zdf.de: US-Wahlkampf: Warum Tech-Milliardäre Trump unterstützen – ZDFheute
de.wikipedia.org: Peter Thiel – Wikipedia
en.wikipedia.org: TESCREAL – Wikipedia

Crowdstrike

crowdstrike.com: Technical Details: Falcon Update for Windows Hosts | CrowdStrike
crowdstrike.com: Falcon Content Update Remediation and Guidance Hub | CrowdStrike
xeiaso.net: "No way to prevent this" say users of only language where this regularly happens – Xe Iaso
en.wikipedia.org: ‘No Way to Prevent This,’ Says Only Nation Where This Regularly Happens – Wikipedia
theregister.com: How a barcode scanner helped fix CrowdStrike mess in a flash • The Register
heise.de: Crowdstrikes Entschuldigung an Admins geht nach hinten los

SMS-Leak bei Identify Mobile

ccc.de: CCC | Zweiter Faktor SMS: Noch schlechter als sein Ruf
zeit.de: line“: ”IT-Sicherheit: Wenn der Tinder-Zugang offen im Netz rumliegt
heise.de: CCC: Bitte Zwei-Faktor-Authentifizierung, aber nicht per SMS
stackdiary.com: Twilio security incident exposes SMS data via third-party carrier
stackdiary.com: IdentifyMobile incident exposed 200M records from hundreds of companies
de.wikipedia.org: Erich Fromm – Wikipedia
de.wikipedia.org: Die Kunst des Liebens – Wikipedia
de.wikipedia.org: Haben oder Sein – Wikipedia
signal.org: Privacy is Priceless, but Signal is Expensive

AI Act

theverge.com: The AI Act compliance countdown begins – The Verge
ft.com: Europe’s rushed attempt to set the rules for AI
artificialintelligenceact.eu: High-level summary of the AI Act | EU Artificial Intelligence Act

Bargeldlimits bei Geldkarten

Huawei-Verbot

tagesschau.de: Bund verbietet Komponenten von Huawei in 5G-Mobilfunknetzen | tagesschau.de
zdf.de: Huawei-Technik in 5G-Mobilfunknetz in Deutschland verboten – ZDFheute
tagesschau.de: Telekomfirmen kritisieren Huawei-Pläne des Bundes | tagesschau.de

Datarade

netzpolitik.org: Databroker Files: Firma verschleudert 3,6 Milliarden Standorte von Menschen in Deutschland
netzpolitik.org: Databroker Files: Wie Datenhändler Deutschlands Sicherheit gefährden
netzpolitik.org: Databroker Files: Jetzt testen: Wurde mein Handy-Standort verkauft?
netzpolitik.org: Databroker Files: So stoppt man das Standort-Tracking am Handy
netzpolitik.org: Databroker Files: Dieses Staatsversagen schadet uns allen
netzpolitik.org: Data Broker Files: How data brokers sell our location data and jeopardise national security
netzpolitik.org: Databroker Files: ADINT – gefährliche Spionage per Online-Werbung
netzpolitik.org: Databroker Files: US-Senator schaltet Pentagon ein; Bundesministerium fordert EU-Gesetze
netzpolitik.org: Databroker Files: Datarade – geschickte Geschäfte im Graubereich

38 Gedanken zu „LNP497 Real men use it after free()“

Christian sagte am 29. Juli 2024 um 03:22 Uhr :

Zu TESCREAL (der von Tim angesprochenen Silicon Valley Ideologie-Bubble) empfehle ich sehr die drei Folgen des „Tech won‘t save us“ Podcast mit Émile Torres. Es ist wild auf welche Ideen Menschen kommen, wenn sie zu viel Geld haben!

Antworten ↓
Andre sagte am 29. Juli 2024 um 09:12 Uhr :

Zu Crowdstrike fehlte mir in der Folge noch ein Detail: Deren CEO war bei McAffee CTO, als es dort zu einem Vorfall gekommen ist. So richtig intensiv dürften die Lerneffekte nicht gewesen sein.

Antworten ↓
Rafael sagte am 29. Juli 2024 um 13:04 Uhr :

Vllt zur ’sillicon-valley-ideologie‘: Es gibt ein interessantes Buch des Stanford-Professors Adrian Daub über die Vorstellungswelt und das Ideen-Amalgam der Ideologie des Valleys:
‚Was das Valley denken nennt‘; Daub, Adrian; Suhrkamp.
Das Buch behandelt eher die ideologischen Grundstömung dort, als die (rechten) Ausprägungen, wie sie von Propenenten wie Peter Thiel vetreten werden.
Daneben gibt es auch noch ein recht interessantes von Buch von Evegeny Morozov zum Solutionimus ein Aspekt der vom TESCREAL-Begriff nicht abgebildet wird, der aber interessanterweise auch in den eher linken Spektren des Valleys, die aus der Counter-Culture der 70er erwachsen sind, weit verbreitet ist.
Evgeny Morozov: To save everything, click here : the folly of technological solutionism.
Bezüglich Thiels ist die äußerst gründliche Biografie von Max Chafkin ‚the contrarian‘ sehr empfehlenswert. Aus ihr wird ersichtlich wie stark der genuin idelogische Antrieb Thiels ist. Thiels eigene Bücher sind nur mit größten Schmerzen erträglich.
Ich denke diese Bücher helfen recht gut dabei, die oftmals tatsächlichen und teilw. nur scheinbaren Paradoxien und gedanklichen Aporien zu erklären, die der – zunehmend rechtextrem-libertär – verschobenen Ideologie der Magnaten des Sillicon-Valleys zugrunde liegen. Ihr hattet euch ja in der Folge gewundert, warum sie Trump unterstützen, obwohl seine Poltik ihnen wohl wirtschaftlich schaden könnte.

PS:
Wer einen etwas tiefergehenden Einblick in die Ideengeschichte der Demokratiefeindlichkeit des Ultraliberal/libertären Spektrums wünscht, dem sei das Buch des Ideenhistorikers Quin Slobodian empfohlen: ‚Crack-Up Capitalism, Market Radicals and the Dream of a World Without Democracy‘.

Antworten ↓
Bugfinger sagte am 29. Juli 2024 um 18:05 Uhr :

Hatte das ZDF sich nicht neulich noch schützend vor Jan Böhmermann gestellt als der den Irren vom Bosporus geschmähgedichtet hat?

Antworten ↓
- dnns01 sagte am 29. Juli 2024 um 20:13 Uhr :
  
  Und was hat das ZDF jetzt mit dem rbb zu tun?
  Abgesehen davon, dass es sicher einen Unterschied gibt zwischen Texten, die ein freier Mitarbeiter auf seinem persönlichen Twitteraccount postet und einem Beitrag im Fernsehn, bei dem eine Redaktion etc. dahinter steht, dass von einem Sender entsprechend dann auch ausstrahlt unter dem eigenen Namen.
  
  Antworten ↓
  - Bugfinger sagte am 29. Juli 2024 um 20:45 Uhr :
    
    Ich bitte vielmals um Entschuldigung, dass ich die diversen Erwähnungen des ZDF in diesem Beitrag mit Bezug zu El Hotzo nicht richtig auseinander klamüsert habe und dir damit anscheinend den Abend versaut habe.
    
    Antworten ↓
    - dnns01 sagte am 29. Juli 2024 um 21:27 Uhr :
      
      Keine Sorge, meinen Abend hast du nicht versaut.
      
      Antworten ↓
Stephan sagte am 29. Juli 2024 um 19:45 Uhr :

Kamala Harris ist alles andere als linksliberal, wie auch die New York Times schon 2019 feststellte.

> Time after time, when progressives urged her to embrace criminal justice reforms as a district attorney and then the state’s attorney general, Ms. Harris opposed them or stayed silent. Most troubling, Ms. Harris fought tooth and nail to uphold wrongful convictions that had been secured through official misconduct that included evidence tampering, false testimony and the suppression of crucial information by prosecutors.
> Consider her record as San Francisco’s district attorney from 2004 to 2011. Ms. Harris was criticized in 2010 for withholding information about a police laboratory technician who had been accused of “intentionally sabotaging” her work and stealing drugs from the lab. After a memo surfaced showing that Ms. Harris’s deputies knew about the technician’s wrongdoing and recent conviction, but failed to alert defense lawyers, a judge condemned Ms. Harris’s indifference to the systemic violation of the defendants’ constitutional rights.

https://www.nytimes.com/2019/01/17/opinion/kamala-harris-criminal-justice.html

Antworten ↓
Stephan sagte am 29. Juli 2024 um 20:12 Uhr :

Passte natürlich wunderbar zu Joe Biden, der buchstäblich der Erfinder der Crypto Wars ist. Phil Zimmermann nennt Senator Biden und seine Senate Bill 266 explizit als Grund, warum er PGP geschrieben hat.

https://www.philzimmermann.com/EN/essays/WhyIWrotePGP.html
https://www.congress.gov/bill/102nd-congress/senate-bill/266

Antworten ↓
Willi Wupke sagte am 29. Juli 2024 um 23:41 Uhr :

Der große Etienne Gardé, seines Zeichens Moderator des Bohndesliga-Formates „EM-Studio“, formulierte am 15. Juli in seiner Anmoderation nach den Ereignissen des davor liegenden Wochenendes:

„Ja, da sind wir wieder mit dem EM-Studio und natürlich müssen wir über das Wochenende reden und über die n’ja … Ereignisse, die vielen Schüsse die daneben gegangen sind…” – https://youtu.be/dc97_7Ypdxg (Klicky-Gucky)

Antworten ↓
- Christian sagte am 30. Juli 2024 um 07:45 Uhr :
  
  Spannend! Vielleicht interessiert dich auch diese Sendung: https://youtu.be/iCu3i6m_XD0
  
  Antworten ↓
Stefan sagte am 30. Juli 2024 um 02:09 Uhr :

Das was El Hotzo da initial gepostet hatte, waren doch keine Witze.
„Den letzten Bus hat Donald Trump leider verpasst.“
„Ich finde es fantastisch wenn Faschisten sterben.“

Antworten ↓
Klaus sagte am 30. Juli 2024 um 08:51 Uhr :

Ich möchte über „missglücktes Attentat“ reden und dabei in die Metaebene kommen.
Als ich das in der Sendung gehört habe, also Tim sagte, wir sind bestürzt über das Attentat und Linus ergänzte „…das missglückte Attentat“ klang das in meinem Kopf komisch und ich hab mal so drüber nachgedacht.
Man sagt ja regelmäßig, das Attentat ist missglückt, aber für mich klingt das ein wenig so, als wenn man nicht neutral ist, als wenn man den Attentäter dieses Glück, was er nicht hatte, gewünscht hätte.
Ist jetzt keine böse Unterstellung gegen Euch; eher so eine Frage bezüglich des Gebrauches der deutschen Sprache.
„Erfolgloses Attentat“ ist ähnlich, aber zumindest etwas weg von der Gefühlsebene und ja, dann könnte man sagen, man hat ihm den Erfolg gewünscht.
Man müsste was anderes bauen, wie versuchtes Attentat, gescheitertes Attentat …

Antworten ↓
- ix sagte am 4. August 2024 um 10:17 Uhr :
  
  Trump hat sich als Befehlshaber eines organisierten Schlägertrupps geriert, schwadroniert, dass diese Wahlen die letzten sein werden, während in seinem Windschatten religiöse Fanatiker und offene Faschisten eine autoritäre Machtübernahme vorbereiten.
  
  Sorry, nicht alle können erst in 80 Jahren mit kitschigen Stauffenberverfilmungen reagieren…
  
  Antworten ↓
  - Comrade sagte am 5. August 2024 um 17:24 Uhr :
    
    Bzgl. Wahlen werden nicht mehr stattfinden – ich hatte Trumps Ausspruch eher so verstanden, dass es ihm danach egal ist, denn nach der zweiten Amtszeit kann er ja nicht mehr Präsident werden und vor allem – „it’s fixed“ – ist dann ja auch alles im Argen Liegende zum Wohlgefallen aller geradegerückt.
    
    Die Schlagzeilen zu seiner Äußerung hatte ich jedoch zunächst auch so im Sinne von „Wahlrecht schaffe ich dann zu Eurem Wohle ab“ verstanden.
    
    Gibt es dazu jetzt klare und unmissverständliche Interpretationen? Habe seinen Redenteil dazu auch nur einmal auf Twitter gesehen/zugehört, kann mich also durchaus auch irren.
    
    Antworten ↓
Stephan sagte am 30. Juli 2024 um 08:53 Uhr :

Der Crowdstrike-CEO war lustigerweise CTO bei McAfee, als die 2010 alle XP-Rechner gebrickt haben.

Antworten ↓
khaleesi & sofia sagte am 30. Juli 2024 um 13:25 Uhr :

Kamala Harris: Einen essentiellen Punkt, den ihr in eurer Analyse vergessen habt, ist die Rolle des besten Albums des Jahres: Kamala Harris wird *natürlich* erste Präsidentin, nachdem Charli XCX sie „brat“ genannt hat.
Die CNN Analyse findet ihr hier, wir leben für diese Diskussionsrunde:
https://edition.cnn.com/2024/07/22/entertainment/charli-xcx-kamala-harris-brat-meme/index.html

Liebe Grüße aus der Bib

Antworten ↓
Dings sagte am 30. Juli 2024 um 17:07 Uhr :

Ihr wolltet wissen, wo sich auf (nicht Apfel)Handys die Benutzerverfolgung abstellen lässt:
Auf meinem LG G8S (Android 12) bei Einstellungen -> Apps -> Berechtigungsmanager -> Standort
Dort lässt sich für jede App angeben, ob sie Zugang haben soll:
Immer – Während der Nutzung – Jedes Mal fragen – Nie

Im Berechtigungsmanager lassen sich genauso auch alle anderen Bereiche einstellen.

Die Werbe-ID ist unter:
Google -> [Konto] -> Alle Dienste -> Werbung (ganz unten)
Schöne Grüße

Antworten ↓
Niemand sagte am 31. Juli 2024 um 13:34 Uhr :

Die Sache mit El Hotzo ist deswegen an Elon Musk gekommen, weil eine rechtsexreme Hexe Namens Naomi seibt es ihm geschrieben hat. Sie ist in der rechtsextremen und Klimawandel Leugner Szene unterwegs.

Antworten ↓
Hanspeter sagte am 31. Juli 2024 um 14:15 Uhr :

Was diese unsägliche Bezahlkarte angeht, schlage ich folgende Aktion vor: Einkaufsbuddies für die Betroffenen bezahlen ihren Wocheneinkauf im Supermarkt mit der Bezahlkarte. Im Gegenzug gibt man den Betroffenen das Geld in Bar zurück.
Solidarität kann man nicht verbieten!

Antworten ↓
Patrick sagte am 31. Juli 2024 um 15:19 Uhr :

Zum Thema Crowdstrike:

Ihr macht es euch mit dem „hätten sie doch einfach nur eine moderne, sichere Programmiersprache eingesetzt“ auch ein wenig zu leicht. Dass der betroffene Code in C geschrieben ist, hat wohl weniger mit „Religion“ oder „Männerüberheblichkeit“ zu tun als dass man einen Kernel-Treiber halt nicht in Python oder Go oder anderen Sprachen mit VM oder Garbage-Collector schreiben kann. Und da diese Überwachungssoftware mit gleichen oder höheren Rechten als das System, das sie überwachen soll, laufen muss, gibt es da auch keinen einfachen Workaround.
Im Linux-Kernel gibt es ein zartes Pflänzchen in Form von Rust-Modulen, aber das ist alles noch sehr experimentell und wir werden noch ne ganze Weile mit C/C++ basierten Betriebssystemkernen und -Treibern leben müssen.

Antworten ↓
- mohs sagte am 31. Juli 2024 um 16:02 Uhr :
  
  ja, fand ich auch etwas unschön verkürzt. Die meisten „modernen, sicheren“ Programmiersprachen haben da einige Abstraktionsschichten drin und bezahlen die Speichersicherheit mit Performance. Teile dieser Infrastruktur kommen sogar erst vom Betriebssystem. Wenn man jetzt einen Prozess der alle Prozesse betrifft einbaut und dieser Speichersicherheit mit Performance bezahlt, wirkt sich das natürlich auch auf alle weiteren Prozesse aus und verlangsamt das gesamte System. Das will man nicht haben.
  
  Antworten ↓
- Florian sagte am 1. August 2024 um 15:16 Uhr :
  
  Vor allem bei C++ muss man es nicht „memory unsafe“ schreiben. Niemand zwingt einen dort überall wilde pointer zu nutzen.
  Es ist mit der Sprache so wie beim Patch rollout, test strategie und Co. Es geht darum wie man sie nutzt, nicht was sie potentiell sonst noch unterstützen. Wenn man pointer wie „unsafe“ betrachtet sind Rust und C++ auf einer Ebene was Fehler dieser Art angeht. Denke dass ein refactoring auf „raw pointer is böse“ deutlich einfacher umzusetzen wäre wenn man hardening betreiben möchte.
  
  Antworten ↓
  - Patrick sagte am 1. August 2024 um 18:56 Uhr :
    
    Es ist schon richtig, dass modernes C++ ohne raw pointer deutlich weniger anfällig für Speicherfehler ist als das alte C++. Deswegen irritiert mich auch immer, wenn Leute über C++ reden als hätten wir noch die frühen 2000er.
    Aber auf einer Ebene mit Rust ist auch modernes C++ nicht; selbst wenn Du komplett ohne raw pointer arbeitest, gibt es in C++ immer noch unzählige Möglichkeiten, sich in den Fuß zu schießen. Die dir der Rust Compiler schon beim Build um die Ohren hauen würde.
    Auch das Problem, das den Crowdstrike Incident ausgelöst hat (null-pointer dereference) kann Dir genauso gut mit einem smart pointer passieren.
    
    Antworten ↓
    - dominic müller sagte am 5. August 2024 um 15:08 Uhr :
      
      Der Vollständigkeit halber wäre es schlau gewesen anzumerken das man als Programmierer die Maschinen seiner Kunden auch problemlos mit einem Rust Programm lahmlegen kann. https://en.wikipedia.org/wiki/Halting_problem
      
      Insbesondere wenn die ganze Scheisse im Kernel Mode läuft weil man im Task Manager nicht sehen soll wievil Leistung für den fancy Virenschutz EDR draufgeht.
      
      Süss war auch dieser Typ der bei der Konkurrenz von Crowdstrike arbeitet und schlaue Ding von sich gibt, zB das der Signature File Parsing code in den Usermode Teil der Software gehören würde:
      https://www.youtube.com/watch?v=EGRqtscp4eE&t=330s
      
      Antworten ↓
    - dominic müller sagte am 5. August 2024 um 15:14 Uhr :
      
      Oder hier auch noch eine schöne Liste von Massnahmen die generell implementiert werden sollten bei zuverlässiger Software:
      
      https://imlvts.github.io/clownstruck/
      
      Antworten ↓
- Chris sagte am 4. August 2024 um 12:31 Uhr :
  
  Naja, so was ähnliches wie Rust hätte ja auch schon früher entwickelt werden können. Der Bedarf ist ja schon seit längerer Zeit da. Das Interesse war nur klein und auch von den potenziellen Entwickler*innen und Nutzer*innen einer solchen Sprache wurde es lange genug unterschätzt, dass sie ihre Zeit lieber woanders investiert haben.
  
  Antworten ↓
Chaosdeckel sagte am 31. Juli 2024 um 19:36 Uhr :

Nachdem Google mir nicht weitergeholfen hat, hier die GenAI Erklärung zu Real man use it after free():

Der Witz „Real men use it after free()“ bezieht sich auf die Programmierung in C oder C++, insbesondere auf den Umgang mit Speicherverwaltung.

In diesen Programmiersprachen wird der Speicher explizit vom Programmierer verwaltet. Dazu gehören Funktionen wie `malloc()`, um Speicher zuzuweisen, und `free()`, um diesen Speicher wieder freizugeben.

Der Witz spielt darauf an, dass es sehr riskant und unsicher ist, auf Speicher zuzugreifen, nachdem er mit `free()` freigegeben wurde. Wenn ein Programm versucht, auf freigegebenen Speicher zuzugreifen (sogenannter „use after free“), kann dies zu unvorhersehbarem Verhalten, Abstürzen oder Sicherheitslücken führen.

Der Humor liegt darin, dass nur ein sehr waghalsiger oder „echter“ Mann (in Anspielung auf die stereotype Vorstellung von Männlichkeit) solch riskantes und potentiell katastrophales Programmierverhalten an den Tag legen würde.

Zusammengefasst: Der Witz ist eine ironische Anspielung auf schlechte und gefährliche Programmierpraktiken, die vermieden werden sollten.

Antworten ↓
- Tobias sagte am 1. August 2024 um 06:44 Uhr :
  
  Genau für den Kommentar bin ich hergekommen und fündig geworden, danke! :)
  
  Antworten ↓
Seltsam sagte am 2. August 2024 um 16:23 Uhr :

Ich bin zwar mit der Architektur von CrowdStrike nicht vertraut, würde aber doch annehmen wollen, dass die Updatefiles signiert reinkommen, von der Hostsoftware entsprechend geprüft werden und damit zumindest die Authentizität der Quelle gesichert ist, die Software also weiterhin das tut, was vom Hersteller beabsichtigt ist und keine Elektroinstallation durchführt.

Das Signieren hilft freilich nicht im Geringsten gegen fehlerhaften Code.

Antworten ↓
Marcel sagte am 3. August 2024 um 21:38 Uhr :

Vorweg: Real men use it after free() ist der bisher beste Spruch, den ich gehört habe! Danke.

Als Hobbyrechtler finde ich die Crowdstrike Sache sehr spannend.
Wenig beleuchtet habt Ihr die Frage nach der Verantwortung der die Software einsetzenden Unternehmen. Welche Sorgfaltspflichten müssen denn diese Unternehmen erfüllen, wenn diese IT Parks verwalten?
Das ungeprüfte Einspielen von Software oder Erkennungssignaturen ließe sich schon auch als mindestens fahrlässig bezeichnen. Normalerweise wird auch in größeren Firmen nicht direkt vom Herstellerserver geupdatet, sondern erst intern getestet und dann über interne Updateserver verteilt. Ob Crowdstrike ein solches Setup unterstützt, weiß ich nicht, aber wenn nicht, hätte ich als IT Verantwortlicher dann eine solche Software überhaupt auswählen dürfen? Und auch spannende Frage: Wenn Crowdstrike so ein internes Updatesystem beim Nutzer unterstützt, gab es Kunden, die deswegen vom Ausfall verschont geblieben sind?
Und wie Linus sagt, es geht um die Verringerung von Wahrscheinlichkeiten. Wie wird ein Gericht wohl abwägen? Schadensersatz bei Ausfall vs. Zeitlicher Verzug beim Update, wenn IT Verantwortliche vorher erst Tests machen, die ja auch automatisch sein könnten. Bluescreens wie hier lassen sich vollautomatisch testen und (fast) ausschließen. Zeitaufwand sicherlich unter einer Stunde und voll automatisierbar.
Jedes Gericht wird auch sofort erkennen, dass doch ganz offensichtlich klar ist, dass Software auch Fehler enthalten kann. Trotz Tests beim Hersteller. Bei so vielen unterschiedlichen Endgeräten kann es immer zu unvorhergesehenen Effekten kommen. Da ist doch die Mindestsorgfalt bei Updates von vornherein eine TOM dagegen vorzusehen.

Ich sehe es dahingehend wie Linus, Crowdstrike wird nichts zahlen müssen. Der Grund ist aber nicht, weil die gute Anwälte haben, sondern weil das zumindest unser deutsches (und wohl auch EU) Rechtssystem nicht hergeben wird. Andere Länder kenne ich nicht so gut.
Und sonst kenne ich keine AGBs von einem Softwarehersteller, die die Übernahme solcher Folgeschäden vorsehen.

Antworten ↓
Patient Parrot sagte am 4. August 2024 um 15:05 Uhr :

Moin,

in Bezug auf den Kommentar vom 16. April 2023, https://logbuch-netzpolitik.de/lnp457-nicht-normgerecht
“ … .. .
— Schlussfolgerung —
Unter der Annahme, dass Mimirky-Systeme mit Qutput von Mimirky-Systemen trainiert werden, ist ein mögliches Szenario, dass die Qualität stagnieren wird.
“
Der Kommentar wurde von euch in https://logbuch-netzpolitik.de/lnp458-shedhallenfittinge aufgegriffen unter ‚Feedback: Wesen von AI‘

— — —
Soweit war es nur Vermung bzw. Glaskugelei … Entsprechend – aufgrund weiterer Indizien:
– AI models collapse when trained on recursively generated data (Published: 24 July 2024) –> https://www.nature.com/articles/s41586-024-07566-y

Antworten ↓
- Patient Parrot sagte am 5. August 2024 um 10:44 Uhr :
  
  Passend dazu:
  
  https://www.heise.de/news/KI-Kollaps-droht-wegen-KI-generierter-Trainingsdaten-9823352.html
  
  Antworten ↓
Der Watz sagte am 6. August 2024 um 20:57 Uhr :

Hallo,
wider Erwarten ist meine ID nicht mit im Pool gelandet …

Databroker-Checker
Sind meine Standorte in dem Datensatz erfasst?
*** meine ID ***
Nein, diese ID befindet sich nicht im Datensatz.

Irgendwie fühle ich mich ausgeschlossen ;-).
IrgendEtwas scheint gut zu laufen …
Kann also auch keine Tipps geben, welche App das fröhlich quatscht.
Greetings vom Watz
Bleibt stark und lustig

Antworten ↓
Patient Parrot sagte am 8. August 2024 um 09:45 Uhr :

Die FrOSCon naht 17.-18. August, Campus St. Augustin.

Vllt ist dieser Vortrag hier passend:
https://programm.froscon.org/2024/events/3045.html

Lecture: Abstimmungsergebnisse im Europäischen Parlament – einfach und durchsuchbar –> HowTheyVote.eu

Antworten ↓
Patient Parrot sagte am 8. August 2024 um 10:17 Uhr :

Ich hatte den Kommentar bereits wieder verworfen, aber nun noch einen weiteren Datenpunkt gefunden …

5. August 2024:
– https://www.golem.de/news/zendis-ein-unterschaetztes-open-source-projekt-auf-expansionskurs-2408-187555.html

13 März 2024:
– https://www.heise.de/news/Digitale-Souveraenitaet-Mit-neun-Beschaeftigten-zur-neuen-Behoerden-Office-Suite-9653935.html

Es ist gleichzeitig zu klein um Hoffung zu schüren und gleichzeitig zu groß aufgehängt um keine Erwähnung zu finden … .. .

Obendrein ist eine beteiligte Person als Speaker bei der FrOSCon:
„Choose-Your-Own-Platform“ https://programm.froscon.org/2024/events/3186.html

Vllt. passt ja mal ne Interview-Folge inkl. „Wirren der Bürokratie“ etc. ;-)

Antworten ↓
Stefano sagte am 12. August 2024 um 08:43 Uhr :

Zur DSGVO und komischen EU-Gesetzen: Den Teil fand ich ein bisschen undifferenziert. Die DSGVO als Gesetz ist an sich gut gemacht und in anderen Teilen der Welt wurden oder werden ähnliche Gesetze etabliert.

Das Problem an der DSGVO sind ja nicht die Vorschriften. Die sind relativ einfach umzusetzen, wenn man mit gesundem Menschenverstand an die Sache rangeht und einfach vorsichtig mit Daten umgeht und seine Kunden nicht ungefragt ausspäht. (Am Schluss ist die DSGVO ja auch nicht sehr unterschiedlich zum alten BDSG – außer, dass sie heftigere Strafen zulässt)

Das Problem an der DSGVO ist letztlich eher der Vollzug. Die Tatsache, dass zwar jedes kleine Unternehmen relativ viel Aufwand für die Compliance hinlegen muss – die Großen aber ständig nicht für ihre Machenschaften belangt werden bzw. die Verfahren sich ewig hinziehen.

Und die andere Seite ist, dass die Behörden an einigen Stelle zu wenig Handreichungen an kleine Unternehmen liefern und das Feld zu sehr den Anwälten überlassen wurde. Meine eigene Erfahrung mit externen Datenschutzbeauftragten ist, dass das oft Anwälte sind, die selbst wenig technisches Wissen besitzen und am Schluss eigentlich nur ihren Hintern bedecken wollen und dadurch Dinge komplizierter machen, als es sein müsste. (z.B. ist die Unverständlichkeit einer Datenschutzerklärung sichergestellt, wenn man sie einen Anwalt schreiben lässt – während ja eigentlich die DSGVO da leicht verständliche Texte fordert…)

Antworten ↓
Fry sagte am 3. September 2024 um 22:20 Uhr :

Thema Crowdstrike:
Microsoft ist auf jeden Fall mitverantwortlich. Schließlich sind sie es, die einer viel zu breiten Palette von Software Zugriff auf den Kernel des Betriebssystems gewähren. Nicht nur so genannter „Sicherheitssoftware“, sondern auch Cheat-, Anti-Cheat-Software etc. Und wie man nicht nur im Fall Crowdstrike sehen konnte, sind die Qualitätsanforderungen bzw. Hürden für diese offensichtlich nicht hoch genug. Und es ist ja nicht so, dass MS das nicht umsetzen könnte. Siehe WHQL-Zertifizierung für Gerätetreiber.
Dies ist ausnahmsweise ein Fall, in dem ein härteres Durchgreifen von MS zum Vorteil aller wäre. Also abgesehen von den Schlangenölverkäufern und anderen Softwareklitschen.

Antworten ↓