Archiv für den Monat: Oktober 2017

Lakeballs? Wieso?

Ich möchte das an dieser Stelle einmal klar und deutlich mitteilen und mich outen – die Golf-Leidenschaft hat mich gepackt. So ungefähr seit Juni, wo ich mal mit Kollegen bei einer Platzrunde mitgelaufen bin – natürlich nicht ohne vorher schon mal als alter Streber zwei Pro-Stunden beim Golfclub in meiner unmittelbaren Nähe zu absolvieren und dann bei den Kollegen als wundersames Natur-Talent zu reüssieren. 🙂

In der Zwischenzeit habe ich festgestellt: Die Hochs und Tiefs sind eng getaktet. Am Anfang funktionierte der Schwung einigermaßen gut, mit Anfänger-Enthusiasmus. Kurze Zeit später sorgte genau dieser Enthusiasmus für eine äußerst schmerzhafte Zerrung unter der linken Schulter, so dass ich gar nicht mehr zuschlagen konnte bzw. mochte. Nach zwei Wochen funktionierte das wieder – und kurz danach traf ich dann wieder keinen Ball mehr, sondern “toppte” alles, traf die Bälle also nur noch an der Oberkante. Weil ich irgendwelche Aktionen in meinen Knien durchführte, die kontraproduktiv/überflüssig/f.d.A. waren…

Anfang Oktober habe ich dann meinen “Platzreifekurs” für einigermaßen viel Geld absolviert, bei “WinstonGolf” in der Nähe von Schwerin. Kann ich sehr empfehlen – Unterbringung top. der Par-3-Platz und die Übungsmöglichkeiten top, der Unterricht top. Am ersten Tag haben wir mein Schwungproblem gelöst, am zweiten die Handgelenksrotation dazu gelernt – und am dritten Tag kam dann noch der Hüft-Steinschleudereffekt, der Zeigefingerdruck und die Drehung im linken Handgelenk (um den Schlägerkopf offen zu lassen und den Slice zu vermeiden…) hinzu. Das war allerdings zuviel für mein Koordinaten-System – der Mittwoch nachmittag  war schon ziemlich katastrophal auf dem Winston-Kranich-Kurzplatz – und das nach den Pars und Birdies am Dienstag. 🙁

Die Platzrunde auf dem Winston Open am Donnerstag war dann völlig katastrophal – der erste Schlag direkt seitwärts in die Dünen – und so ging es dann munter weiter. Die Erkenntnisse der ersten beiden Tage funktionierten nicht mehr. Am Nachmittag durfte ich noch mal eine Solo-Runde auf dem Platz allein spielen – etwa zwei Drittel der Schläge waren o.k. – der Rest ging in die Dünen, die Bunker oder ins Wasser. Am Abend war ich ziemlich verzweifelt: Wieso gebe ich hier einen Tausender aus für einen Platzreifekurs, wenn ich bei diesen Distanzen (zumindest mit den von mir bislang praktisch ausschließlich gespielten Eisen…) und den Grün-Schwierigkeiten eigentlich keine Chance habe, die Vorgabe 54 zu erreichen?

Noch später kam mir dann die Erkenntnis und Beruhigung – die Platzreife konnte ich ja auch ohne die 54 erreichen. Und so war es dann auch am Freitag, dem 13.10. : das Wunder blieb aus, trotz mehrerer vielversprechender Ansätze…Platzreife ja, Minimal-Vorgabe nein.

Golfbälle

Etwas suboptimal, weil ich die für die Wochentags-Spielberechtigung bei meinem Heimat-Club brauche. Aber das schaffe ich schon noch, auf einem etwas leichteren/kürzeren Platz. Ich bin nämlich äußerst begabt.  🙂 Anfänger flennen ja bekanntlich oft herum wegen der Bälle, die sie in die Prärie verschlagen. Und kaufen sich Lake Balls oder ähnliche Gebraucht-Angebote.

Ich habe mir am Anfang 24 fabrikneue Bälle “Wilson Ultra” (“The longest Ultra ever”) zugelegt, Für 18,95 €. Davon sind jetzt noch vier Bälle da. Im Gegenzug habe ich allerdings 23 andere Bälle gefunden. Von Callaway, Tiltleist, Nike, Bridgestone, Top-Flite, Wilson, Pinnacle. Ist wirklich sehr interaktiv und kommunikativ, diese Sportart.

P.S. Das ändert natürlich nichts an individuellen Katastrophen – zwischenzeitlich hatte ich heute schon vier Bälle – von einem nachfolgenden Flight verfolgt, im tiefen Herbstlicht und bei unfassbarem Laub-Ärgernis – verloren, Drei davon habe ich dann bei der nächsten Runde wiedergefunden. Und noch drei fremde…

P.S. 2 Irritans et revocans: Kurz nach diesem allzu optimistischen Blogpost habe ich dann bei einer weiteren Kurzplatzrunde sechs Bälle netto nach links in die Landschaft verhookt. Das mit dem Ausgleich-Finden ist offenbar doch keine Gesetzmäßigkeit. Und so habe ich mir in Demut dann doch mal 100 Fund-Bälle für 28,- Euro bestellt. 🙂 Was kümmert mich mein Geschwätz von Gestern.

Algorithmus knackt Captchas nach menschlichem Vorbild

Das Wort „Captcha“ ist ein Akronym – ins Deutsche übersetzt steht es für „vollautomatischer öffentlicher Turing-Test zur Unterscheidung von Computern und Menschen“. Die Idee, so einen Mensch-Maschine-Test als Zugangskontrolle für Webseiten zu verwenden, stammt aus dem Jahr 2000; der Informatik-Professor Luis von Ahn gilt als der Erfinder. Und seit dem Jahr 2000 läuft ein sehr interessantes Wettrennen: Auf der einen Seite gibt es immer wieder neue Ansätze, Captchas automatisch zu knacken – und ebenso findige Experten sorgen anschließend im Gegenzug dafür, die gefundenen Schwachstellen auszubügeln.

Textbasierte Captchas, also die mit krakeliger, verzerrter Schrift sind nach wie vor die häufigsten – und bei einem Teil von ihnen erfüllt man als menschlicher Entzifferer ja sogar eine sinnvolle Aufgabe und hilft OCR-Algorithmen bei der Digitalisierung von Büchern oder der Erschließung von StreetMap-Bildern auf die Sprünge. Als besonders verlässlicher Mensch-Maschine-Test gelten die Text-Captchas aber schon seit Jahren nicht mehr – da automatische Bot-Scripte die Zugangshürden von Webseiten ja in einem massiven Dauerfeuer attackieren, reicht den Algorithmen schon eine niedrige Erkennungsrate aus, um genügend oft “durchzukommen”.

Die KI-Experten beim Venturekapital-Unternehmen “Vicarious” hatten übrigens selbst schon 2013 den Erfolg ihres “Recursive Cortical Networks” (RCN) beim Knacken von textbasierten Captchas vermeldet – damals aber noch ohne nähere Details zu nennen, wie das Ganze im Detail funktioniert. Das hatte verschiedene Motive, wie der Gründer von Vicarious, Dileep George, auf Anfrage erläutert: Zum einen habe man damals die Einzelheiten in Hinsicht auf die Sicherheitsauswirkungen im Netz zurückgehalten, zum anderen sei man seinerzeit noch ein sehr kleines Team gewesen und habe sich mehr Zeit bei der Entwicklung des Algorithmus und der Firma nehmen wollen.

A representation of the letter A. [Credit: Vicarious AI]

Nicht ganz unwichtig dürfte dabei auch gewesen sein, dass das “Recursive Cortical Network”-Konzept praktisch das algorithmische “Kronjuwel” von Vicarious ist, das die Firma in den kommenden Jahren in einer Vielzahl von Bereichen, vor allem auf dem Feld der “Robotics” einsetzen und vermarkten will. Das wissenschaftliche Paper in “Science” mit den technischen Details reichte das Team also aus nachvollziehbaren Gründen erst ein, nachdem eine Reihe von Patenten auf RCN erteilt und veröffentlicht worden waren.

Wie gravierend die direkten Auswirkungen auf die noch vorhandene oder ohnehin schon nicht mehr vorhandene Sicherheit von Text-Captchas in der Praxis sind, darüber kann man streiten. Das Vicarious-Team betont die wesentlich höhere Effizienz seines RCN-Ansatzes im Vergleich zu herkömmlichen “Brute-Force-Deep-Learning”-Angriffen. Ein Gegenargument lautet: Die wesentlich höheren Ressourcen-Anforderungen beim “Deep Learning” sind kein großes Problem, sie stehen allseits zur Verfügung – und wenn nötig, lässt sich menschliche Hilfe beim Annotieren von Trainingsmaterial sehr billig einkaufen; bei Crowdworking-Diensten wie “Amazon Mechanical Turk”. (Dass sich Menschen ja ohnehin im Zweifelsfall auch gratis für das Lösen der Zugangs-Rätsel einspannen lassen, das haben wir schon einmal vor sehr langer Zeit beleuchtet 🙂 )

In comparison to RCNs, a deep neural network required a 50,000-fold larger training set to recognize a style of CAPTCHAs, and its accuracy deteriorated rapidly with even minor perturbations to the spacing of characters. [Credit: Vicarious AI]

Wie sowohl Prof. Marc Fischlin von der TU Darmstadt, Google und ja auch die Studienautoren bei Vicarious selbst betonen – für die Zugangskontrolle auf Webseiten stehen mittlerweile Alternativen wie bildbasierte oder verhaltensbasierte Captchas zur Verfügung, die auch noch ein Weilchen der KI-Weiterentwicklung trotzen dürften.

Aber letztlich geht es natürlich bei RCN überhaupt nicht konkret um das Knacken von Captchas. Der Algorithmus setzt ähnlich wie die Handschrift-Erkennung aus einem früheren Science-Paper auf Generalisierung, auf ein Konzept, das sich in Jahrmillionen bei der Evolution biologischer neuronaler Strukturen bis hin zum menschlichen Gehirn herausgebildet und bewährt hat. Und insofern ist es ja schon eine philosophische Frage von allerhöchstem Interesse, welche Methode sich in künftigen KI- und Roboter-Entwicklungen durchsetzen wird. Wahrscheinlich wird die Antwort aber ganz pragmatisch sein: Wie die “Intelligenz” zustande kommt, ist sekundär. Haupsache, sie funktioniert in der konkreten Aufgabensituation.

Deutschlandfunk – Computer und Kommunikation vom 28.10.2017 (Moderation: Manfred Kloiber)

Bayerischer Rundfunk – BR5 Computermagazin vom 5.11.2017 (Moderation: Christian Sachsinger)

 

Amazon Key öffnet die Wohnungstür für den Paketboten – und die Kamera schaut zu

Einkaufen, also jetzt so richtig analog mit in-den-Laden gehen und die-Ware-in-die-Hand-nehmen – das  macht ja nach wie vor Spaß. Manchmal, wenn man Zeit und Lust hat. Aber ansonsten, da bestellt man halt online und lässt sich die Sachen schicken. Der kleine, große Haken: wie kommen wir an das Paket, wenn wir zum Zeitpunkt der Zustellung  nicht zuhause sind? Klar, da gibt’s die Paketboxen, neuerdings auch an Bahnhöfen, da muss man aber auch erstmal vorbeikommen oder hinfahren.  Oder als Variante die Privat-Paketbox, die man sich neben die Haustür montiert und wo der Bote dann einen Code hat, um da etwas hineinzulegen. Ein neues Konzept von Amazon funktioniert ähnlich – auch da soll der Bote etwas öffnen mit einem Code – diesmal aber direkt die Wohnungstür.

Warum der Onlinehändler Nr. 1 die “smarte” Wohnungstür-Öffnung promotet, ist klar – je niedriger die Hemmschwelle zur Auftragserteilung, umso höher der Profit. Die Aussicht, ein Paket mit 20 Minuten Anfahrt, 10 Minuten Warteschlange und 20 Minuten Heimfahrt selbst abzuholen, ist klar ein Bestell-Abtörner. Zumal es ja bekanntlich Zusteller gibt, die diese Abtörn-Variante mutwillig (bzw. als arme, ausgebeutete und gehetzte Arbeitnehmer…) öfter als verhofft herbeiführen.

Als Kunde sollte man einigermaßen entspannt im Leben stehen, um “Amazon Key” zu nutzen – und im Zweifelsfall halt auf die Versicherung oder die theoretische Möglichkeit einer Strafverfolgung bauen – immerhin bekommt man dafür ein paar nette Kamera-Aufnahmen eines “Bad Guys” – das ist schon mehr als bei einer Verwüstung der eigenen Wohnung durch einen AirBnB-Horror-Gast. Ins Netz stellen darf man das belastende Material dann leider trotzdem noch nicht – auch ein Dreckschwein hat schließlich Persönlichkeitsrechte 🙂

Aber Spaß und Bedenken beiseite – grundsätzlich ist das “Amazon Key”-Konzept gar nicht so abwegig – wer seinen Kindern einen Hausschlüssel in den Ranzen packt, geht ja schließlich auch ein Risiko ein.

Amazon Key: Wenn der Paketbote eure Tür öffnet · Deutschlandfunk Nova

Deutschlandfunk Nova – Hielscher oder Haase vom 26.10.2017 (Moderation: Till Haase)

Kohlmeisen-Evolution: Füttern macht die Schnäbel länger

Die zufällig auftretenden “Webfehler” im Erbgut, die Mutationen, sind sozusagen die Lose in der Lotterie des Lebens. Sie machen es überhaupt erst möglich, dass sich Arten auf bestimmte ökologische Nischen spezialisieren oder an Veränderungen ihrer Umwelt anpassen können. Wie Evolution und Selektion auf biochemischer Ebene funktionieren, darüber wissen wir heute natürlich sehr viel mehr als seinerzeit Charles Darwin. Aber den direkten Zusammenhang zwischen einer Modifikation im Genotyp und seinen Auswirkungen im Phänotyp, also im äußeren Erscheinungsbild des betroffenen Lebewesens oder in seinem Verhalten herstellen zu können, das bleibt auch im Zeitalter von DNA-Sequenzierung und Snip-Markern eine Herausforderung.

Bei den meisten phänotypischen Veränderungen sind nämlich gleich eine ganze Reihe von Genen beteiligt, und auch der Selektionsauslöser, der Umweltfaktor also, für den sich die phänotypische Veränderung im Glücksfall als vorteilhaft erweist, kann in Wirklichkeit ein Bündel von Einzelfaktoren sein. Die Forscher aus England und den Niederlanden sind sich bei ihrer in Science veröffentlichten Studie trotzdem sehr sicher: Sie haben der Evolution “in Echtzeit” über die Schulter schauen können, haben eine genotypische und phänotypische Modifikation im Erbgut einer Kohlmeisenpopulation beobachten und den dazu gehörigen Auslöser identifizieren können – den Menschen nämlich, genauer gesagt: Den britischen Vogelfreund.

Kohlmeise (Parus major) auf einem Zweig. Bild: Dennis van de Water, dvdwphotography.com

 

Nun wäre es natürlich sehr schön, auch gleich eine “passende” Erklärung zu haben, analog zu den von Darwin beschriebenen Beispielen für die Spezialisierung von Vogelschnäbeln – nach dem Motto: eine bestimmte Form ist optimal dafür, die Kerne aus Pinienzapfen herauszubekommen. Aber leider: So eine schöne, naheliegende Erklärung gibt es im Falle der britischen Futterhäuschen und der längeren Schnäbel der Kohlmeisen-Stammgäste eben nicht. Dass die paar Millimeter Längenzuwachs es einfacher machen, an das Futter heranzukommen, könnte zwar sein, ist aber absolut nicht zwingend. Der bessere Fortpfanzungserfolg der britischen Meisen mit längerem Schnabel bzw. der charakteristischen Genveränderung beruht auch keineswegs darauf, dass sie ihrem Nachwuchs direkt mehr Vogelfutter in die hungrigen Mäuler stopfen können als ihre Artgenossen in Holland – die Meisen suchen nämlich die Futterstellen im Winter auf, die Brutaufzucht findet im Frühjahr statt.

Letztlich könnte es sogar sein, dass die phänotypisch sichtbare Schnabelverlängerung ein “Fehlsignal” ist und der offenbar vorhandene Selektionsvorteil und “Fitness-Faktor” irgendwo anders liegt – da steht den Biologen noch eine Menge Arbeit bevor, geeignete Kontrollexperimente zu konzipieren und durchzuführen.

Kohlmeisen-Evolution – Füttern macht die Schnäbel länger

Deutschlandfunk – Forschung aktuell vom 20.10.2017 (Moderation: Ralf Krauter)

Alpha Go Zero: Das menschliche Know-How ist suboptimal

Bislang war es eigentlich ein Standard-Ansatz beim Einsatz von KI, von “Künstlicher Intelligenz” – ob mit oder ohne neuronale Netze: Auf die Spur gebracht wurde der Algorithmus erst einmal mit Trainingsdaten, die auf menschlicher Expertise beruhten. Und das war ja immerhin ein kleiner Trost für “homo sapiens” selbst dann noch, wenn das Resultat; ein Poker– oder Go-spielendes Programm  anschließend eine “superhuman performance” zeigte, den menschlichen Experten anschließend gnadenlos “plattmachen” konnte. Beim jüngsten Produkt aus der Kaderschmiede des Google-Tochterunternehmens “DeepMind” fällt selbst dieser kleine Trost weg.

Alpha Go Zero fängt bei Null an, kennt nur die Go-Regeln – und bringt sich das Spiel (im Spiel gegen sich selbst…) selbst bei. Bis es vom “Affen” zum unschlagbaren Experten wird, dauert es ein paar Stündchen länger als bei den Vorversionen. Menschliche Züge kann es auch nicht mehr so gut vorhersagen wie seine Vorläufer – aber die in Jahrtausenden herauskristallisierten Go-Strategien sind ja offenbar eh: suboptimal. Immerhin: die Expertise von Alpha Go Zero ist eng begrenzt, auch der Ansatz “von Null an beginnen” liefert noch keine universelle Welterklärungs-Maschine.

Im Gegenteil – die Experten bei DeepMind sind sich des Problems wohl bewusst, dass sie momentan noch nicht erklären können, wie ihr Algorithmus genau zu seinen Ergebnissen kommt. Und wenn es nicht “nur” um ein Spiel, sondern um das richtige Leben geht – dann würde man diese Entscheidungskriterien doch ganz gern etwas genauer nachvollziehen können.

Deutschlandfunk – Forschung aktuell vom 19.10.2017 (Moderation: Monika Seynsche)

Google “Advanced Protection”: Schutz für VIPs und ganz normale Leute

Es stimmt schon: Otto und Emma Normalverbraucher(in) stehen glücklicherweise nicht im Fokus von Hackern. Und Otto und Emma werden also bestenfalls (immer noch unangenehmerweise…) Zufallsopfer irgendwelcher Pannen, Lücken und Fahrlässigkeiten bei den Betreibern ihrer Email-Accounts, Internet-Shops oder Dating-Plattformen. Richtig gefährlich wird es dann, wenn einen Cyber-“Miscreants” gezielt ins Visier nehmen. Als Promi, weil sich dann heikle Fotos versilbern lassen oder halt einen sehr netten “Impact-Faktor” ergeben. Als investigativer Journalist, Wirtschafts-Akteur oder Politiker – da kommen wir schon in den Profi-Bereich von Geheimdiensten und “staatlichen Akteuren”. Oder als bekennender Cyberwährungs-Nutzer – da interessieren sich eben Cyber-Beutelschneider sehr für gut gefüllte Cyber-Wallets auf dem PC.

Die “Advanced Protection” bringt manche Restriktionen mit sich, der geschützte Google-Account ist deutlich weniger “smart” als der normale. Aber für alle User mit erhöhtem Schutzbedürfnis ist das ein fairer “Deal” – die zusätzlichen Kosten beschränken sich auf die Anschaffung der kompatiblen USB- oder Bluetooth-Hardware-Dongles. Für Google selbst ist das Ganze natürlich auch eine gute Idee: So wird die Cloud-Infrastruktur überhaupt erst akzeptabel für “besonders gefährdete Personen”.

Deutschlandfunk Nova · Besonderer Google-Schutz für gefährdete Personen

Deutschlandfunk Nova – Hielscher oder Haase vom 18.10.2017 (Moderation: Diane Hielscher)

WPA2-Lücke: Abwiegeln ist unangebracht

Experten warnen vor Panikmache” – so lautete eine schöne Schlagzeile zur aufsehenerregenden Lücke beim WLAN-Verschlüsselungstandard. Nun habe ich allerdings bislang noch keine verzweifelten Menschen durch die Fußgängerzonen oder Büroflure wanken sehen, mit irrem Blick und dem Mantra “soll ich nun oder soll ich nun nicht” (onlinebanken oder onlineshoppen…) auf den Lippen. Dass die Leute vom CCC in offenen WLANs selber standardmäßig VPNs nutzen, davon gehe ich aus. Normale Laien machen das aber eben nicht. Und zum Argument “mit zusätzlicher Verschlüsselung ist alles sicher” – der Entdecker der Lücken, Marty Vanhoef, schreibt da etwas anderes:

Although websites or apps may use HTTPS as an additional layer of protection, we warn that this extra protection can (still) be bypassed in a worrying number of situations. For example, HTTPS was previously bypassed in non-browser software, in Apple’s iOS and OS X, in Android apps, in Android apps again, in banking apps, and even in VPN apps.

Mittlerweile gibt es zumindest jede Menge Ankündigungen von Betriebssystem- wie Geräteherstellern für Updates und Bugfixes – bei Heise.de gibt es eine Übersichtsseite dazu und auch eine verständliche Erklärung, wie genau der Angriff funktioniert und warum das Wiederverwenden der “Wegwerfpasswörter”, wie ich die Nonces im DLF-Gespräch genannt habe, die Verschlüsselung aushebelt. Das eigentliche Grauen, und zwar mit richtig langer Halbwertszeit, das lauert aber wieder mal bei den IoT-Devices. Aber das war ja auch ohne die WPA2-Lücke im Grunde bislang auch schon so.

WPA2-Lücke: Beim Online-Banking neben den Router setzen · Deutschlandfunk Nova

Deutschlandfunk Nova – Hielscher oder Haase vom 18.10.2017 (Moderation: Diane Hielscher)

Der WLAN-Standard WPA2 hat gravierende Sicherheitslücken

Es gibt ja immer mehr freie drahtlose Internetzugänge in Deutschland; in Cafes, in Geschäften und im Zug. Und so schön offenes WLAN auch ist – das Funknetz zuhause oder im Betrieb, über das man Onlinebanking macht und über das Login-Daten und vertrauliche Dateien hin und her gesendet und empfangen werden; das sollte tunlichst nicht offen sein, sondern verschlüsselt und mit einem Passwort geschützt. Das Standardprotokoll für diese Verschlüsselung heißt WPA2, wird allseits empfohlen und eingerichtet und gilt als sicher. Bisher.

In gut informierten Kreisen wusste man schon seit geraumer Zeit, dass in Sachen WPA2 etwas im Busch war- und dass heute, am 16.10.2017 eine wahrscheinlich ziemlich spektakuläre Enthüllung bevorstand. Mit Selbst-Marketing, wie das die dpa-Agenturmeldung suggeriert, hat das Prozedere und das Timing übrigens nichts zu tun. Mathy Vanhoef von der Universität Leuwen hatte vorweg über hundert Hersteller und die Internet-Sicherheitswarnstellen, die CERTs über die gefundenen Lücken unterrichtet. Die Warnung unter Stillhaltepflicht bis zu einem bestimmten Publikationsdatum dient dazu, dass Bugfixes möglichst flächendeckend vorbereitet werden können.

Embed from Getty Images

 

Prescht nämlich ein Betroffener vor und und sichert sein Produkt oder Betriebssystem ab, können Experten und Hacker aus dem Vorher-Nachher-Vergleich auf die Sicherheitslücke schließen und die Produkte der Hersteller angreifen, die mit dem Nachbessern noch nicht fertig sind. So richtig detailliert wussten aber offenbar auch Stellen, die “eigentlich” gut informiert sein sollten, bis zum Mittag nicht Bescheid. Und im Bericht bei ArsTechnica waren mehrere Fehler: Bei Sven Schäge von der Ruhr-Universität Bochum etwa stand das Telefon nicht mehr still, dummerweise war der deutsche Experte zwar auch zeitgleich mit Mathy Vanhoef auf der BlackHat-Konferenz gewesen, hatte aber mit der WPA2-Analyse nichts zu tun.

Auch die Information, WPA2 sei von den gleichen Experten “geknackt” worden, die Jahre zuvor das Vorgänger-Protokoll WEP obsolet gemacht hatten, erwies sich mit der Freischaltung der Website krackattacks.com als falsch, sogar der in dem wissenschaftlichen Paper als Co-Autor genannte Frank Piessens war nur als “Supervisor” “ehrenhalber erwähnt” worden. Die übrigen vorab durchgesickerten Dinge stimmen aber 🙂 … Das Problem ist äußerst gravierend, auch wenn Router-Hersteller und die WiFi-Alliance darauf hinweisen, dass ein Angriff ja nur aus unmittelbare Nähe möglich ist und “bislang keine tatsächlich erfolgten Angriffe bekannt” seien. Betroffen ist letztlich jedes WLAN-Device, vom Smartphone über Webcams bis hin zum “intelligenten” Türschloss.

In der Pflicht sind zuallererst die Betriebssystem-Hersteller, für Windows, OSX, iOS, Linux und Android muss der WLAN-Protokoll-Stack nachgebessert werden. Schon jetzt ist klar, dass das bei vielen IoT-Devices niemals passieren wird. WLAN-Router können, müssen aber nicht betroffen sein. Auch hier ist dringlichst anzuraten, bis zur erfolgreichen Installation von etwaigen Firmware-Updates einstweilen wie in offenen WLANs zu verfahren und VPNs zu nutzen.

 

WLAN-Verschlüsselung WPA2 ist offenbar geknackt · Deutschlandfunk Nova

Deutschlandfunk Nova – Hielscher oder Haase vom 16.10.2017 (Moderation: Diane Hielscher)

WPA2-Verschlüsselung – Gravierende Sicherheitslücke bei WLAN-Verschlüsselung

Deutschlandfunk – Forschung aktuell vom 16.10.2017 (Moderation: Arndt Reuning)

 

P.S. 17.10.2017 – Mittlerweile trudeln die ersten Patches oder zumindest Patch-Ankündigungen ein 🙂 … Einen Überblick gibt es bei Heise.

Wie praxisrelevant oder tatsächlich gefährlich die ungestopfte Lücke ist, darüber kann man unterschiedlicher Meinung sein. Natürlich – wenn man immer ein VPN benutzt, besteht kein Anlass zur Panik, nur welcher Laie macht das schon? Die BSI-Warnung war schon richtig und genau das, was ich ja auch gesagt habe: Man sollte sich wie in einem offenen WLAN verhalten. Die Mitteilung von AVM in Sachen Fritzbox ist, was die weit verbreiteten Geräte betrifft, eine gute Nachricht. Die im heimischen Wohnzimmer unrealistische Voraussetzung, dass der Angreifer-AP näher am Client sein muss als der legitime Router sieht in Firmen, Cafes oder Bahnhöfen schon wieder viel realistischer aus. Und dass sich der Client “freiwillig” ummelden muss, ist normaler als es klingt, schließlich beginnen ja viele Angriffe damit, die bestehende Verbindung mal eben abzuschießen 🙂

CoinCreator: Die eigene Kryptowährung “leicht” gemacht

Geld selber drucken ist nach wie vor eine sehr populäre, aber auch juristisch riskante Idee, um endlich auch mal auf die Sonnenseite des Lebens zu kommen. Im Netz und beim überaus populären Hype Blockchain und Cyberwährung sind da auch jede Menge Glücksritter und windige Vögel unterwegs. Um dem bunten Treiben einen Riegel vorzuschieben, haben kürzlich China und andere Staaten neue ICOs, “Initial Coin Offers” kurzerhand verboten – und damit auch den Kurs der Platzhirsch-Währung Bitcoin kurzfristig einknicken lassen.

Aber eigentlich ist eine ICO mit einem Crowdfunding vergleichbar, oder besser noch mit einer Aktien-Platzierung. Normalerweise braucht man dazu einiges Know-How – mit CoinCreator soll das Ganze auch für Laien schnell und unkompliziert machbar sein. Was man unkompliziert nennt, ist natürlich eine Ermessensfrage. Um meinen Gesscoin (G€$) 🙂 zu launchen, musste ich erstens ein Ether-Wallet (“Meta-Mask“) als Browser-Extension installieren, die Software ist aber noch im Beta-Status und sollte vielleicht doch besser nicht mit “echtem” (Cyber-) Geld benutzt werden. Die digitale Geldbörse kann man auch mit Test-Ether aufladen (die mit CoinCreator erstellten Cyber-Währungen bauen auf dem Ethereum-Blockchain-Konzept auf…), das geht (theoretisch…) auf der Website Rinkeby.

Dazu braucht man aber wiederum erst mal einen Github-Account, wo man ein Gist mit der Ethereum-Adresse hinterlegen muss, die man aus der Ether-Wallet kopiert hat. (Noch alle Laien an Bord soweit?) Und leider klappt bei mir das Aufladen mit den Test-Ether nicht, die Website meckert da irgendwas von wegen “Invalid User”, obwohl ich doch völlig valid bin und auch das zuweilen aufpoppende Google-Captcha gelöst habe. Beim CoinCreator wiederum kann ich den Blockchain-Kontrakt nicht endgültig generieren, solange meine Ether-Wallet leer ist. Ich könnte zum Aufladen natürlich auch echte Ether kaufen und ca. 15$ investieren – aber für ein Experiment ist mir das etwas zu teuer. Meine schönen GessCoins, das ahne ich ja schon – die will nachher eh niemand haben.

Mal sehen, vielleicht klappt das ja noch mit den Test-Ether. Oder ich lade doch was auf die Wallet; wäre ja schließlich steuerlich absetzbar. Fazit: Die ICO für Dummies via CoinCreator ist bestimmt viel leichter als eine ICO in Eigenregie. Aber so der totale Selbstläufer zur Sonnenseite ist das ganze auch noch nicht.

Kryptowährung: Cyber-Coins zum selber machen · Deutschlandfunk Nova

Deutschlandfunk Nova – Hielscher oder Haase vom 16.10.2017 (Moderation: Diane Hielscher)

Internet der Dinge: Bluetooth-Buttplugs können gehackt werden

In den USA hatte vor kurzem eine Frau den Hersteller ihres High-Tech-Dildos verklagt. Das Sexspielzeug konnte man per Handy-App programmieren – nur hatte die App dann eben so intime Details wie die Intensität der Vibration, die Nutzungszeit- und –häufigkeit und die Körpertemperatur per Netz an den Hersteller weitergetratscht. Dafür gab es dann einen Datenschutz-Rüffel und eine happige Schadensersatz/Straf-Zahlung.

 

Mittlerweile gibt es ja jede Menge vernetzte Sex-Toys, die zu überprüfen hat einen gewissen besonderen Spaß- oder zumindest Aufmerksamkeitsfaktor; auch wenn man das ganze Thema nicht per se lächerlich machen oder als peinlich oder pervers abstempeln will. Auf jeden Fall haben IT-Experten vom Unternehmen “PenTestPartners” 🙂 unter Umständen recht unangenehme Sicherheitslücken bei Bluetooth-gesteuerten Buttplugs gefunden. Auf den ersten Blick würde man denken: Das kann nicht relevant sein: die Reichweite von Bluetooth LE beträgt ungefähr 10 Meter; und auch wenn die Hersteller keine PIN oder kein Passwort beim Pairing zwischen App und Device vorgesehen haben – das lässt sich ja nur dann ausnutzen, wenn der Buttplug nicht mit dem Smartphone des/der legitimen Nutzers/Nutzerin gekoppelt ist.

Das “Screwdriving-Protokoll” der IT-Experten, die Suche nach potentiell kontrollierbaren Devices in Berlin lässt dies hingegen wieder in einem anderen Licht erscheinen.

Übrigens: Bluetooth-gesteuerte Hörgeräte sind auch von dem Sicherheitsproblem betroffen. Um die Sache mal wieder in die Mitte der alternden Gesellschaft zu bringen 🙂 …

Sexspielzeug mit Bluetooth: Buttplugs hacken · Deutschlandfunk Nova

Deutschlandfunk Nova – Hielscher oder Haase vom 06.10.2017 (Moderation: Diane Hielscher)