Archiv für Februar 2018

werten dank an die h4x0rz dieser welt!

W00p-w00p, Intel, bitte ficken Sie sich hart:

Meltdown und Spectre: ab jetzt Vergangenheit

Seit Bekanntwerden der härtesten Intel-CPU-Bugs der letzten 300 Jahre, Meltdown (Kernschmelze) und Spectre (Schreckgespenst), verfügt eine meiner (dämlichen) Intel-i5-Maschinen mit Kernel 4.14.21 das erste Mal über Schutz gegen beide Lücken.

Respekt an die weltweite Entwicklergemeinde, die die letzten 6 Wochen Überstunden geschoben und sich mehrere Male verbal und per Email-Listen abgeschlachtet hat! Ich verneige mich vor so viel CPU-Kompetenz und mögen wir die nächsten 6 Monate bis 600 Jahre von ähnlichen Horror-Bugs verschont bleiben!

Nochmal zur Erinnerung: das Tool https://github.com/speed47/spectre-meltdown-checker/ von speed47 checkt nur, ob der im Einsatz befindliche Linux-Betriebssystemkern gegen die drei Angriffsvektoren geschützt, „gehärtet“, ist. Das ist mit der oben erwähnten Version bereits der Fall, ich selbst hatte frühestens mit 4.15 gerechnet. Wer eine Rolling-Version von Linux am Rennen hat, der sollte abgedichtet sein.

Einen hardwareseitigen Schutz gibt es aus bereits in der Vergangenheit erwähnten physikalischen Gründen _nicht_; die CPU, die Hardware, bleibt weiterhin fehlerhafte Komplettkacke.

Ether spenden // Donate Ether
Bitcoin-Spenden hier akzeptiert ^^

kein weltraum fuer uns

Die Raumfahrt ist im Eimer: die private US-Raketenfirma SpaceX schoss jüngst einen Tesla-Roadster mit einer als Astronaut verkleideten Gummipuppe ins Weltall. Erfolgreich. Dieser Schrott treibt jetzt werbewirksam durch unser Sonnensystem, bevor er, im besten Fall ebenfalls erfolgreich, in irgendeinem Asteroidengürtel hängenbleiben und zerstört werden soll. Ich schäme mich ein Mensch zu sein und hoffe inständig, es gibt keine außerirdischen Lebensformen, die das mitbekommen oder beobachtet haben.

Der erfolgreiche Test wird uns 0815-Untermenschen leider wenig helfen hier wegzukommen, sondern eher den globalen Bonzen und reichen Regierungen dieser Welt dabei unterstützen uns für noch weniger finanzielle Aufwendungen zu überwachen, zu kontrollieren, zu manipulieren & bei Bedarf zu exekutieren. Alles vollautomatisch und weit weg von der Erdoberfläche versteht sich.

Um zu verstehen, wie es so weit kommen konnte, braucht man sich nur das Interview mit Hansjörg Dittus durchlesen:

http://spektrum.de/news/spacex-zwingt-uns-zum-nachdenken/1543613.

Dittus zählt zum Vorstand des Deutschen Zentrums für Luft- und Raumfahrt. Was er zu berichten hat macht wenig Mut, betrachtend unseren menschlichen Bemühungen tatsächlich Menschen ins All zu befördern: mit den derzeitigen finanziellen Budgets sind ambitionierte Programme, wie etwa ein menschlicher Flug zum Mars, eine technische Station auf einem anderen Planeten, etc., nicht unter 100 Jahren zu realisieren. Es bräuchte Budgetsteigerungen von 500%.

100 Jahre.

500%.

Mir gefällt diese Herangehensweise trotzdem viel mehr als die Lügen unserer Kindheit, „alles“ sei möglich und ein bemannter Flug zum Mond und Mars nur eine Frage von sehr kurzer Zeit. Hätten diese Aussagen der NASA oder ESA oder sonstwem aus den 60er- bis 00er-Jahren gestimmt, wäre das die letzten 40 Jahre bereits Dutzende Male passiert. Allein: es kam, logischerweise, nie vor. Nie. Also nicht mal einmal.

Seit ich erwachsen bin interessiert mich das Universum einen Scheißdreck. Meine Rechner crunchen auch nicht mehr für dieses dümmliche SETI. Rückblickend sehe ich meine Sternengucker-Kindheit als geistige Komplettverneblung. Realistisch betrachtet habe ich mehr in Spionage-Kameras aus USA, Russland & China geschaut als reale Sterne gesehen. Heute sehe ich dank Luft- und Lichtverschmutzung in der Stadt nur noch verblasstes, verwischtes Funkeln von nicht mehr identifizierbaren Objekten am Nachthimmel.

Ich will auch gar nicht mehr, dass wir Menschen da raus gehen. Wenn wir uns anschauen, was wir alle gemeinsam schon mit nur diesem einen Planeten gemacht haben (und auch mit uns tun), kann ich das weder dem Sonnensystem noch dem Universum als Ganzes zumuten. Bitte verschont uns.

Ether spenden // Donate Ether
Bitcoin-Spenden hier akzeptiert ^^

unsichere deutsche online-medienlandschaft

Am 8. Februar machte Google bekannt, dass ab Juli 2018 mit Release des Webbrowsers Chrome 68 _alle_ Webseiten, die dann noch mit unsicherem http laufen, in der Adresszeile als „Nicht sicher“ markiert werden. Satte vier(!) Jahre(!) nach den Enthüllungen eines gewissen noblen Herrn Edward Snowden. Diese markante und sehr sichtbare Änderung wird dann global 50-60% der Browsernutzer betreffen.

Meiner Meinung nach kommt das viel zu spät.

Dass auch im deutschsprachigen Digitalien 2018 tatsächlich noch „Neuland“ herrscht, kann man leicht herausfinden, wenn man die Massenmedien hierzulande, die mit einem Internetauftritt vertreten sind, daraufhin untersucht, ob die wenigstens aus 2014 ihre Lehren gezogen haben und ihre Webseiten mit Nachrichten, die von Millionen Menschen täglich online konsumiert und gesharet werden, abgesichert haben.

Dazu nimmt man „einfach“ die Massenmedien zur Hand, die news.google.de täglich aggregiert. Danach entsteht eine Liste, die man in zwei Welten aufteilen kann, „gut“ und „böse“ bzw. „sicher“ und „unsicher“.

Da Google hier so gut wie keine Alternativmedien listet (z.B. Blogs) und sich die Medienquellen täglich wiederholen, ebenso die „Nachrichten“ dort, bekommt man zusätzlich und noch völlig kostenlos eine formidable Übersicht, was das völlig verkalkt veraltete Deutschland unter seinem „journalistischen Wertekanon“ versteht.

Als auch im Jahr 2018 noch unsicher, also komplett ohne https, gelten folgende Onlinemedien:

FAZ.net
SPIEGEL.de
Sueddeutsche.de
zeit.de
t-online.de
handelsblatt.com
kicker.de
taz.de
Euronews
Deutsche Welle
Tagesspiegel
Abendzeitung München
chip.de
GameStar
Ausgburger Allgemeine
manager magazin
RP Online
Wirtschaftswoche

Als sicher gelten hingegen:

tagesschau.de
Telepolis
DIE WELT
bild.de
Focus Online
Merkur.de
Berliner Kurier
Gala
BUNTE
Russia Today
STERN
Bayerischer Rundfunk
Deutschlandfunk
Hamburger Morgenpost
N-TV
auto motor und sport
netzwelt.de
Golem.de
Kölnische Rundschau
Stuttgarter Nachrichten
Yahoo Nachrichten
Reuters Deutschland

Diese Liste kann und soll keinerlei Ansprüche auf Vollständigkeit erheben. Dennoch denke ich, so zum Großteil sehen wir hier diesen „Wertekanon“ ganz gut.

Fazit: die deutsche Onlinemedienlandschaft ist sicherheitstechnisch tief gespalten, 18:22. Warum man hier nicht aufgeholt hat, das hätte nämlich allerspätestens Mitte 2014 Not getan, lässt sich für mich nicht nachvollziehen.

Ihr müsst euch das so vorstellen: in der Praxis können _alle_ Nachrichten, Bilder, Links, etc., die ihr von den 18 Übeltätern abruft, 100% gefälscht sein. Just in dem Moment, in dem ihr sie betrachtet! Ich will nicht sagen, dass es einfach ist, hackingtechnisch, doch ich erwähne hier nur kurz mal das Stichwort JavaScript-Injection. Im Jahr 2018 kann man diesen, mindestens 18, einfach immer noch nicht trauen. Und DAS ist schon eine Feststellung.

Mich persönlich ärgert so etwas. Gut, ich bin voreingenommen, stamme beruflich und privat aus dem Webumfeld seit 1999/2000. Aber die da oben erreichen täglich Millonen Menschen. Nicht ein paar Dutzend, so wie ich hier. Das ist eine ganz andere Liga der Verantwortung. Es erklärt sich eigentlich von selbst, dass man im Dienst der LeserInnen steht ab einer bestimmten Besucherzahl, ich würde sogar sagen dreistellig täglich. In einer halbwegs vernünftigen Welt, müsste ich nichtiger Cyberpunk das in keinem Artikel erwähnen müssen.

Und es gibt noch etwas, dass mich ärgert: ich habe die Liste viel zu spät angefertigt. Wer weiß, wie das 2014, 2010 oder 2004 aussah. Das zu recherchieren wäre es auch mal wert, das Internet Archive sollte hier eigentlich helfen können.

Selbst mein Indie-Verlag AETHYX MEDIAE nutzt https seit Anfang 2017. Für alle Onlinemedien. Wo fließt denn das ganze viele Geld hin, das die Arschmaden da oben mit euch und Werbung verdienen!?

Ether spenden // Donate Ether
Bitcoin-Spenden hier akzeptiert ^^

ileak

Die Gläubigen der Apple-Gemeinde haben es mit hoher Sicherheit bereits aus ihren täglichen Gottesdiensten erfahren: der iOS-Quellcode wurde geleckt. Naja, so ein bisschen. Was Motherboard allerdings nicht davon abhielt diese GitHub-Publikation den „größten Leak der Geschichte“ zu betiteln.

iFruit - Logo der Satire-App von Rockstar Games

Was war passiert?

Jedes Betriebssystem muss beim Start der Hardware mit dieser bekanntgemacht werden. PC-Nutzer kennen diesen Vorgang als hassgeliebtes BIOS-Brimborium. Bei iOS, dem mobilen Apple-Betriebssystem, gibt es diesen Vorgang natürlich auch, er stellt u.a. sicher, dass das Betriebssystem, was nun auf einem iPhone oder iPad starten will, signiert ist, „sicher“, geschützt, usw. Dieses BIOS, im Apple-Lingo iBoot, wurde nun in der iOS-Version 9 auf GitHub veröffentlicht. Die Meldung ging durch die Tech-Medien dieser Welt offline wie online am 8. Februar und noch am selben Tag wurde aus Cupertino eine Takedown-Beschwerde an GitHub versendet (DMCA-Geschichten, kennste).

Was damit bezweckt werden sollte ist nicht ganz klar.
Folgt man der Hacker-Anarchisten-Logik, war es einfach mal möglich diesen Code online zu veröffentlichen. Da muss kein Beweggrund dahinter stehen, das ist einem Hacker meist völlig egal.
Dann gibt es noch die Sichtweise, dass man natürlich für Jailbreaks sorgen könnte, da Teile dieses Code auch heute noch in iOS 11 mutmaßlich verwendet werden sollen. Durch einen speziellen Chip auf dem Mainboard gehen Jailbreak-Hacks heute nicht mehr so leicht nur über Software.
Und man kann es auch so lesen, dass man Sicherheitsforscher ermutigen will, Geld durch Apples Kopfgeldjäger-Programm zu verdienen: die zahlen nämlich bis zu 200.000$ Prämie, sollte der Code geknackt werden können. Dass es jetzt so weit kommt, daran ist Apple also auch ein bisschen selbst dran Schuld.

Das Zitat mit dem „größten Leak“ stammt übrigens von Jonathan Levin, kein Unbekannter in der Apple-Glaubensgemeinschaft. Er gilt als Experte im iOS– und macOS-Bereich durch seine Bücher. Welche das sind weiß ich nicht und verlinke ich auch nicht. Tatsächlich aber hat der Typ selbst mal Apple-Code über reverse engineering sichtbar machen können. Ob es ein Fake ist oder nicht kann er also ganz gut einschätzen. Und: laut seiner Aussage haben sich die LSD-Junkies aus Cupertino durch das Leck ins Hemd gemacht. Das erklärt die Kriegserklärung versus GitHub noch am selben Tag, dem 8. Februar. Was dieser DMCA-Takedown eben auch macht: er bestätigt durch Apple selbst, wahrscheinlich ungewollt, die Echtheit des Codes.

Ferner ist trügerisch, dass der Quellcode erst jetzt massenmedientechnisch die Runde macht: dieser wurde auf reddit bereits im letzten(!) Jahr veröffentlicht. Da der Nutzer apple_internals allerdings brandneu war, wenig „Karma“ hatte, fand der Code wenig Beachtung, systemisch wurde er von reddit „begraben“. Im Untergrund befindet sich iBoot also schon im Umlauf. Mal schauen, was für Konsequenzen das nach sich ziehen wird. Popcorn!

Ether spenden // Donate Ether
Bitcoin-Spenden hier akzeptiert ^^

weltweit erstes risc-v-linux-hackerboard erscheint!

Vergesst Intel, AMD, ARM und IBM mit deren Schrottprozessoren, die Zukunft spricht RISC-V!

Wenn Meltdown & Spectre uns Anfang des Jahres eines wieder vor Augen geführt haben, dann dass die oben erwähnten Hersteller sich einen Dreck kümmern, wie sicher und entwickelt deren CPUs sein sollen. Der Dumme ist der Käufer, der sich in Besitz eines „Hochtechnologie-Produkts“ wähnt, wenngleich die einzig guten Prozessoren des Planeten bei Verteidigungsministerien und Armeen verbleiben.

Das ist auch einer der Hauptgründe, weshalb es bislang keinerlei öffentliche Forschungen auf dem Gebiet bösartige und schädliche Prozessoren gibt. Meltdown & Spectre lassen die besten Programmierer des Planeten verzweifeln, weil sie einfach nicht wissen, wie sie mit solchen Bugs umgehen sollen. Besonders Spectre ist auch auf Linux bis heute nicht gefixt, die Hacker streiten richtig über die öffentlich zugänglichen Mailinglisten, von der Industrie kommt laut Linus Torvalds auch nur Bullshit (sic). Wer mitlesen will, was für merkwürdige und streitsüchtige Wesen Menschen sind, wird hier täglich fündig.

Ahhhh! Tief durchatmen! Luft holen! Die Rettung naht mit diesem Must-Have-Linux-RISC-V-Hackerboard:

RISC V: Freedom U540 Linux-Hacker-Mainboard

Was mit RISC-V versucht wird ist revolutionär und doch bisher jedes Mal gescheitert:

Opensource-CPUs für Alle!

Ja, es ist die einzige Rettung der IT wahrscheinlich. Nur: das Problem haben wir bereits seit Jahrzehnten. RISC-V ist vom Design her auch nur vorheriges Jahrhundert. Wer mitmachen soll, verändern soll, erweitern soll, das darf hier offen bleiben. Credo: Don’t be bad by design.

Mit dem Freedom U540, oben abgebildet, kann nun jeder Nachwuchs-CPU-Hacker und Prozessor-Experte für einen ziemlich humanen Unkostenbeitrag von 999$ (ca. 813€) direkt in die (vielleicht einzig sichere) Zukunft der Computerprozessoren einsteigen. Hier die extrem saftigen Features im Überblick:

* derzeit schnellste RISC-V-CPU der Welt
* das einzige derzeit erhältliche linuxfähige RISC-V-SoC (SystemonaChip)
* 4+1 Mehrkern-SoC, bis zu 1,5 GHz
* 4x U54 RV64GC Kerne mit Sv39 Virtual-Memory-Support
* 1x E51 RV64IMAC Management-Core
* kohärenter 2MB L2-Cache
* 64-bit DDR4 mit ECC
* 1x Gigabit-Ethernet-Anschluss
* hergestellt in 28nm-Technologie

Das ist richtig was hier passiert, es fühlt sich gut an. Mehr Details und Bezug über:

https://sifive.com/products/hifive-unleashed/.

Man darf hoffen, dass es nicht das einzige Motherboard dieser Art bleibt.

Hier geschieht gerade CPU-Geschichte und wer auch nur einen Hauch Interesse und Lust auf Prozessoren hat, sollte schnellstens mitmachen. Hier eröffnen sich die nächsten Jahrzehnte auch ganz neue Geschäftsfelder. Meine persönliche Empfehlung des Jahres! Schon jetzt! Danke an das Schreckgespenst und die Kernschmelze! Schub. Düse. Jetze.

Ether spenden // Donate Ether
Bitcoin-Spenden hier akzeptiert ^^

der grosse kryptoklau (metaversion)

Es gibt mittlerweile dermaßen viele Kryptowährungen-Tauschbörsen, dass man leicht den Überblick verlieren kann. Coincheck zum Beispiel ist eine der jüngeren und stammt aus Japan, sie wurde erst 2014 gegründet.

Über Coincheck sind nun Kryptomünzen der asiatischen Kryptowährung NEM im Wert von 530 Millionen US-Dollar Ende Januar „gestohlen“ worden. Das macht dieses Ereignis zum größten Krypto-Hack aller Zeiten zusammen mit dem Mt.-Gox-Desaster 2014 (zufällig das selbe Jahr, in dem Coincheck im selben Land gegründet wurde…), das sich um die 500 Millionen US-Dollar bewegte. Damals meldete Mt. Gox Konkurs an, es war Betrug der Betreiber, die sich vor Gericht verantworten mussten.

NEM-Coincheck-Megahack

Der Diebstahl fand nur über 19 Accounts dort statt, mindestens einer davon hatte keinerlei Verbindungen zu dem/die Hacker. Für mich ist unverständlich, wer so viele XEM über so wenige Benutzerkonten dort lagerte. Es gibt ein offizielles Wallet für XEM, für jedes Betriebssystem. Wirklich niemand ist gezwungen seine Kryptomünzen extern auslagern zu müssen. Im Schnitt sind das also über 27,8 Millionen XEM pro Account mit einem äquivalenten Wert in US-Dollar zu der Zeit. Wie ist so etwas möglich!?

Noch etwas ist merkwürdig an der Geschichte: zwei Handelsgruppen fusionierten daraufhin zum Zwecke der Schaffung einer neuen „Organisation der Selbstregulierung“. Wir kennen die Geschichten aus Südkorea und China Anfang des Jahres, in Südkorea infiltrierte das Finanzministerium diverse Tauschbörsen im Zuge einer Regulierung. Was wir hier sehen ist die japanische Herangehensweise an das selbe Thema. Coincheck ist auch als eine der Kryptotauschbörsen bekannt, die eng mit der japanischen Regierung zusammenarbeitet. Zufall?

Dass Coincheck nicht vertrauenswürdig ist zeigten sie hinterher: zusammen mit dem NEM-Team würde zwar garantiert werden, dass man die geklauten digitalen Münzen aufspüren kann. Wer XEM kauft, die aus dem Hack stammen, bekommt eine Warnmeldung. Das geht, weil NEM ein zentralisiertes Movement ist, es gibt exakt 8.999.999.999 XEM, die in der Genesis-ICO bereits verteilt wurden, viele XEM verblieben bei den Gründern und Entwicklern. Technisch ist das also hier möglich. Doch Coincheck bot an nicht in US-Dollar, sondern japanischen Yen zu erstatten. Seriös?

Bereits gekaufte XEM vor dem Hack sind sicher. Einen Hardfork soll es nicht geben, versichert das NEM-Team. Im Textabschnitt oben ist ja kurz angerissen, warum das nicht nötig ist.

2018, die (Krypto-)Welt verändert sich.

Folgende Lehren halten wir fest:

* im Jahr 2018 wird geldwerter Diebstahl in einer Größenordnung eines dreistelligen Millionenbetrags in US-Dollar über Computer-Hacks ausgeführt, eine neue Dimension
* 2018 wird das Jahr sein, in dem verschiedene Mechanismen der Regierungen des Planeten Erde zur Regulierung von Kryptowährungen, ganz egal ob diese zentralisierten oder dezentralen Charakter besitzen, ausgehend von Asien, namentlich China, Südkorea und Japan, starten werden
* die exekutierenden Staaten sind sich darüber nicht einig, wie genau dabei vorgegangen werden soll und es werden verschiedene, teils auch brachiale, Taktiken ausprobiert, was unseriös und kopflos wirkt
* was wir hier sehen ist eine neue Form von Finanzkrieg
* Kryptowährungen sind die neue ultimative Bedrohung für Banken und Regierungen
* damit gerät jeder ins Visier, der Krytowährungen nutzt, teilt oder errechnet
* Kryptowährungen-Tauschbörsen im Internet kann auch fast 10 Jahre nach Erscheinen des Bitcoin nach wie vor nicht vertraut werden
* diese Wellen der Skandalmeldungen werden die nächsten Monate auch in Nordamerika und Europa aufpoppen wie Seifenblasen
* es ist davon auszugehen, dass der monetäre Wert von Krytogeld dadurch künstlich (in diesem Fall staatlich) gedrückt werden soll
* durch einen von den Massenmedien (mit wenig bis gar keinem technischem Hintergrundwissen) programmierten Hype im gesamten Jahr 2017 wird 2018 versucht werden die „aufgescheuchten Schäfchen“ wieder einzusammeln, die ähnlich wie beim Dotcom-Boom um die Jahrtausendwende in Aktien letztes Jahr in Kryptowährungen investierten. Kryptowährungen stehen in harter Konkurrenz zu Aktien und sind im Gegensatz für weniger Geld zu haben
* das Ende ist offen und es darf davon ausgegangen werden, dass dieser neue Krieg über das Jahr 2018 hinaus weitergeführt werden wird

Wenn wir hier nicht Zeuge einer Revolution werden, was ist es anderes?

Ether spenden // Donate Ether
Bitcoin-Spenden hier akzeptiert ^^