Tja. Das war es dann wohl mit dem internationalen Goodwill für Palästinenser.

Denen wird so schnell niemand mehr helfen, wenn es darum geht, Brunnen zu bohren oder Schulen zu bauen oder Wasser zu entsalzen.

Und wenn es mal wieder heißt, man könne doch verhandeln, werden jetzt nur noch alle heiser lachen und abwinken. Haben die meisten ja eh schon gemacht. Jetzt tun es dann wohl auch alle anderen.

Bleibt die Frage, was sich die Hamas dabei gedacht hat. Wenn Israel jetzt den Gazastreifen niederbrennt, wäre niemand überrascht. Ich glaube sogar, die meisten werden sich denken: Gut so. Die haben sich das selber zugefügt.

Größeren Schaden hätte man den Palästinensern und ihrer Sache gar nicht zufügen können. Bislang wurden Palästinenser und Palästinenser-Demos in Deutschland geduldet. Das ist dann ja wohl auch vorbei jetzt, oder was meint ihr?

Bundesweite Razzia gegen "Letzte Generation", wegen Verdachts auf Bildung einer kriminellen Vereinigung.

Achtung: Verwechslungsgefahr! Die kriminelle Vereinigung ist nicht etwa die Bayerische Landesregierung, die systematisch die Lebensgrundlage der nachfolgenden Generationen zerstört, und die ein "Polizeirecht" einführt, bei dem die Chinesen neidisch werden, und das dann gegen Klimaaktivisten einsetzen. Nein, nein!

Die kriminelle Vereinigung sind die Klimaaktivisten, die gerne so alt werden wollen wie der Söder.

Soll noch mal jemand sagen, Wirtschafts-Heinis schafften keine Arbeitsplätze!

World Economic Forum Davos: Escort-Agenturen bereits ausgebucht

Die bringen alleinerziehende Mütter durchs Studium! Edle Menschen, diese Wirtschafts-Heinis!1!!

Glaubt ihr mir nicht? Hier ist noch ein Datenpunkt:

Geschäftsfrauen, die an dem Treffen teilnahmen, seien von den Organisatoren wiederholt gewarnt wurden. Sie werden von wohlhabenden Männern “regelmäßig belästigt”, wobei das “Verhalten so häufig” sei, dass sie nicht allein zu den Veranstaltungen eingeladen werden.

Da seht ihr mal, was das für edle Menschen sind, diese Wirtschafts-Heinis. Die haben gesehen, dass bei ihnen regelmäßig Frauen belästigt werden, und haben daraufhin ... Frauen nicht mehr unbegleitet eingeladen. Problem gelöst!1!!

Ob sie den Teilnehmerinnen auch gesagt haben, sie sollen sich halt nicht so aufreizend kleiden?

Benutzt hier jemand Threema? Die Applied Cryptography Group der ETH Zürich hat mal das Protokoll analysiert und mehrere gravierende Schwachstellen gefunden.

Das ist bemerkenswert, denn Threema hat bereits mehrere Audits hinter sich. Die haben aber offenbar eher auf Code-Qualität als auf die Protokolle geguckt, jedenfalls haben die diese Probleme nicht gefunden.

Threema hat in der Zwischenzeit ein neues Protokoll ausgerollt, das Forward Secrecy für die E2E-Krypto schaffen soll. Das war aber noch nicht Teil dieses Audits, kann also auch noch Probleme dieses Kalibers haben.

Sehr schön finde ich, dass hier wirklich ein Audit des Protokolls durchgeführt wurde, nicht bloß jemand einen Fuzzer laufen gelassen hat, wie es heute üblich zu sein scheint, besonders in akademischen Umgebungen, wo man so schnell und leicht Papers und Aufmerksamkeit generieren kann.

Ich mag auch die Lessons Learned von dem Team, u.a. "ordentliche Crypto-Libraries wie NaCl nehmen macht noch kein sicheres Protokoll". Und dann kommt folgende Lektion, die ich sehr wichtig finde:

Proactive, not reactive security: our inability to find an attack on a protocol does not imply it is secure. New attacks could be found at any moment and known attacks only get stronger over time if left unaddressed. Often, secure systems and protocols follow a design-release-break-patch process (a reactive approach). This is inconvenient for users and often requires the maintenance of backwards compatibility. Developers should instead adopt a proactive approach, where the system or protocol is formally analyzed during the design stage.

Ob nun formale Beweisführung hilft, sei mal dahingestellt. Ich bin da eher zurückhaltend in meinen Erwartungen, denn wenn der Beweis komplexer ist als das Protokoll, wieso trauen wir dann dem Beweis, wenn wir dem Protokoll nicht getraut haben?

Aber dass man Dinge vielleicht mal vor dem Release ordentlich machen sollte, und nicht diesen agile "ja klar ist es Scheiße aber wir patchen dann halt die übelsten Wunden im Feld nach" hat jetzt meiner Meinung nach echt genug Schaden angerichtet und kann mal in Rente gehen.

Wenn ihr Papers lesen könnt, lest nicht nur die Webseite sondern auch das Paper. Die kryptografischen Fehler, die die gemacht haben, sollten alle in ihr Repertoire aufnehmen, damit die niemand nochmal macht. Threema hat eine Stellungnahme veröffentlicht, die so defensiv geschrieben ist, dass sie es schafft, den Laden noch schlechter aussehen zu lassen als er eh schon rüberkam. Sie hätten auch einfach sagen können: Die Findings sind valide, wir haben Fehler gemacht, und es tut uns leid. Wir geloben Besserung. Stattdessen lauter "das ist doch bloß theoretisch" und "das betrifft die aktuelle Version nicht" (die, die nach dem Melden dieser Lücken veröffentlicht wurde!).

Ich weiß nicht, wie ihr das seht, aber ich erwarte von meinem sicheren Messenger, dass der Hersteller nicht herumverhandelt und kleinredet, wenn Lücken gefunden werden, sondern die fixed und ein Post-Mortem veröffentlicht, wie das durch ihre QA kommen konnte.

Ich krieg ja in letzter Zeit immer Kopfweh davon, wie offensichtlich bescheuert die Leute sind. Wenn das wenigstens Irrtümer auf einem Niveau wären, wo man irgendwas argumentieren kann. Aber nein!

Mein aktueller Endboss in Sachen offensichtlich bescheuerter IT-Homöopathie ist Cloud-Verschlüsselung.

OK, kurzes Gedankenspiel. Ihr fahrt in den Urlaub und bittet den Nachbarn, eure Pflanzen zu wässern. Dafür gebt ihr ihm den Schlüssel.

Euch ist hoffentlich direkt sofort klar, und zwar ohne dass ich das irgendwie erläutern muss, dass der Nachbar ab dann in eure Wohnung kommen und Dinge tun kann. Schlüssel zurückholen hilft nicht, denn er kann einen Nachschlüssel angefertigt haben.

Wenn du einmal den Schlüssel weggibst, hilft nur Schlosstausch.

Aber was machen die Cloud-Leute jetzt? Die haben ja das Problem, dass deine Software auf ihrer Hardware läuft, und Software kann sich gegen Angreifer mit physischem Zugriff auf die Hardware nicht schützen. Prinzipiell nicht. Nicht "wir wissen nicht wie". Doch. Wir wissen. Geht nicht.

Software ist eine Liste von Dingen. Die gibt man der Hardware, und die führt die dann aus. Wenn jemand anderes die Hardware kontrolliert, kontrolliert er deine Software.

Da führt auch kein Weg dran vorbei. Daher wird DRM immer wieder geknackt, und deshalb führen Intel und ARM einen Krieg gegen ihre Kunden und nehmen ihnen schrittweise immer mehr der Kontrolle über die Hardware weg.

Was machen also die Cloud-Leute? Sie verdünnen Wasser! Hey, wir haben hier einen Knopf hingemacht. "Verschlüsselung aktivieren". Das ist ungefähr wie am Set von Star Trek der Knopf "Schilde aktivieren". Das tut nichts und jeder weiß es. Da ist kein Schild. Wir tun nur alle so.

Während wir bei Star Trek wenigstens unterhalten werden, ist das bei der Cloud einfach nur Beschiss. Wenn die Cloud verschlüsselt, dann hat die Cloud den Schlüssel. Mit dem kann man Ver- und Entschlüsseln. Solange der Cloud-Anbieter den Schlüssel jemals irgendwann auch nur kurz gesehen hat, ist das kein Schutz gegen den Cloud-Anbieter, und als genau das wird das ja gerade verkauft.

OK Fefe, das hilft dann vielleicht nicht gegen den bösen Admin beim Cloud-Anbieter, aber es hilft doch gegen den chinesischen Hacker, der die Cloud hackt? Nein, tut es nicht, denn die Cloud entschlüsselt das ja für dich. Wenn der sich als du einloggen kann, oder dir eine SQL Injection oder sonst was unterschieben kann, dann hat der vollen Zugang, genau wie ohne Verschlüsselung.

OK, aber hilft das denn wenigstens gegen die Putzhilfe vom iranischen Geheimdienst, die das Tape mit dem Backup klaut? Ja, wenn der Schlüssel nicht auf dem Tape ist, was erschütternd häufig der Fall ist. Aber wir reden hier nicht von Tapes sondern von S3-Buckets gerade. Die hängen am Web. Wieso würde jemand alte Backups haben wollen, wenn er Echtzeitzugriff kriegen kann?

Lustigerweise gibt es wie bei Homöopathie mehrere Verdünnungsstandards. Einige Cloud-Anbieter haben bloß eine Checkbox "Verschlüsselung anschalten". Der Schlüssel kommt von denen und bleibt bei denen.

Andere Anbieter lassen dich den Schlüssel erzeugen und hochladen. Spielt keine Rolle, denn sie müssen den ja nur einmal für eine Nanosekunde gesehen haben.

Noch andere Anbieter lassen dich einen "Vault" installieren (lacht nicht, ist ein echter Produktname), und dann holt sich die Cloud immer von dem Vault den Schlüssel, wenn sie ihn braucht. Impliziert, dass sie den nicht aufheben, aber das weißt du halt nicht. Ist alles dieselbe Scheiße.

Das ist alles Bauernfängerei. Fallt da nicht drauf rein.

Faustregel: Wenn dein Code auf jemand anderes Hardware laufen lässt, oder deine Daten auf jemand anderes Hardware liegen, ist es nicht mehr dein Code, sind es nicht mehr deine Daten.

Zum Jahresende stellt sich ja immer die Frage, ob das jetzt ein gutes oder ein schlechtes Jahr war. Die Stimmung scheint klar in Richtung "schlechtes Jahr" zu gehen.

Aber ich glaube, so einfach ist es nicht. Die Bewertung hängt davon ab, wie man sich selbst sieht. Um mal eine Videospiel-Analogie zu bringen: Sieht man sich als Protagonist oder als NPC?

Der NPC steht rum und erleidet Dinge, die ihm passieren. Er wartet darauf, dass ein Held kommt und ihn rettet. Aus dieser Sicht war das ein schlechtes Jahr. Viele Dinge sind passiert.

Aus Sicht des Protagonisten war das ein gutes Jahr. Die meisten Dinge, die passiert sind, hatten die Form "vorher ahnten wir, dass es kaputt ist, aber wir waren uns nicht sicher. Jetzt ist es zerbrochen und wir haben Gewissheit." Aus Sicht des Helden kann man jetzt etwas tun, weil man verstanden hat, dass es ein Problem gibt, und was es ist.

Unsere Infrastruktur hat sich als noch maroder herausgestellt als wir dachten. War irgendwie klar, aber nicht klar genug, als dass jemand was dagegen getan hätte. Je klarer ist, wie schlimm die Lage ist, desto weniger kommt die Regierung mit Aussitzen durch. Wir haben jetzt mehr Scheite für das Feuer unter ihrem Hintern.

Wir haben herausgefunden, dass das Militär kaputtgespart ist. Nicht nur unseres. Auch alle anderen Militärs. Finde ich sehr gute Nachrichten, muss ich euch sagen. Nicht nur in Deutschland und der EU. Auch das der Russen offenbar, und sogar die Amis haben gerade Probleme, den Rüstungsoutput so hochzuschrauben, dass sie die Ukraine in dem Ausmaß beliefern können, das die brauchen.

Das Ausmaß der Demilitarisierung unserer Zivilisation ist eine der besten Nachrichten dieses Jahrhunderts, wenn ihr mich fragt. Das war offensichtlich alles größtenteils Herumposieren. Das waren PR-Armeen, nicht Kriegführ-Armeen.

Dann Covid. Startete als "wir werden alle sterben"-Seuche und ist jetzt so gut im Griff, dass ernsthaft eine Debatte losgeht, ob wir überreagiert haben. Dazu fand ich den Witz im aktuellen Programm von Jimmy Carr sehr treffend. Er fragt das Publikum: Findet ihr, dass wir bei Covid überreagiert haben? Das Publikum so: JAAAA. Er so: Das finden viele der Überlebenden.

*Tusch*

Leute, an Covid sind Millionen von Menschen gestorben! Das sah nicht nur aus wie eine "wir werden alle störben"-Seuche, das war auch eine! Man muss schon unfassbar ignorant sein, damit sich diese Frage überhaupt stellt.

Die Supply Chains sind geplatzt und das hat uns gezeigt, dass wir nicht die Lagerhaltung komplett hätten rückbauen sollen. Das Zeitalter des billigen Erdgases ist überraschend angezählt, und zwar Jahrzehnte früher als es durch den Klimawandel erzwungen worden wäre. Auch das ist eine gute Nachricht. Plötzlich hört den Bedenkenträgern gegen Solar und Wind keiner mehr zu. So hätte das schon seit Jahren sein sollen eigentlich, wenn wir nicht so dumm und phlegmatisch wären.

Die neue Regierung hat sich als genauso scheiße wie die davor herausgestellt. Wer davon überrascht ist, für den muss das wohl die erste miterlebte Wahl gewesen sein. Neu war die Größe der Lügen im Koalitionsvertrag, aber dass sie uns da belügen ist auch nichts neues.

Ich sehe mich jedenfalls als Protagonist, nicht als NPC. Ich finde nichts unbefriedigender als den Gedanken, dass wir alle sterben und nichts dagegen hätten machen können. Eine Alien-Invasion oder so. Der Fuß Gottes kommt runter und stampft uns alle tot. Der Planet verlässt spontan die Umlaufbahn und rast von der Sonne weg. Da sind mir Szenarien lieber, die wir hätten erkennen und verhindern können. Dann hatten wir wenigstens Handlungsspielraum.

Klar ist das immer noch doof, wenn wir den dann nicht nutzen, weil wir alle dumm sind. Aber wenn ich die Wahl habe zwischen "du hast einen Herzinfarkt" und "du machst morgen einen sehr riskanten Bergsteigenausflug", dann lieber letztes. Da hab ich wenigstens eine Chance, mein Ableben zu verhindern.

Aus meiner Sicht haben wir dieses Jahr viel Klarheit gewonnen, zu Dingen, die die ganze Zeit schon Scheiße waren, aber wir wollten oder konnten es nicht sehen.