OK; so richtig vom Hocker reißt einen der neue “Follow-Up”-Modus noch nicht; Alexa (und auch ihre Freundinnen Siri und Google Assistentin 🙂 …) kommen mit “richtigen” Mehrfachanfragen oder -befehlen immer noch nicht zurecht. Das logische UND oder ODER muss ja schließlich auch auf der Google-Eingabezeile noch durch Großbuchstaben herausgeschrieen werden – akustisch möchte man das besser nicht erleben. Aber so klein der Fortschritt auch sein mag – der Verzicht auf das zweite, dritte oder vierte ostentative “Alexa” ist schon eine ziemliche Erleichterung; außer man genießt es mangels realer Machtoptionen, ein schwarzes rundes Kästchen mit weiblicher Stimme dauer-herumzukommandieren.
Wer mit den fünf Sekunden längerer “Lauschbereitschaft” (abgesehen jetzt mal von der Dauer-Lauschbereitschaft auf das Aufweck-Codewort…) ein Problem hat, kann die neue Option ausgeschaltet lassen – oder sollte sich wahrscheinlich das Kästchen erst gar nicht anschaffen. In diesem Sinne sind auch die Entdeckungen und Erkenntnisse der Verbraucherzentrale NRW jetzt nicht so richtig sensationell. Klar, die Dinger können sich verhören – die müssen ja auch sowohl ein kösch genuscheltes als auch ein berlinertes Kommando verstehen können, von einer deutlich artikulierenden 20jährigen wie auch vom 95jährigen Gebissträger. Und aus dem Audiosignal destilliert die sehr limitierte Offline-“Intelligenz” des Kästchens dann das “Alexa”, “Ok,Google” oder “Siri” heraus.
Dass das bei undeutlichen oder dem Codewort sehr ähnlichen Lautäußerungen dann schiefgehen kann, dazu konsultiert die Verbraucherzentrale am besten nächstens direkt Captain Obvious persönlich. Viel spannender sind natürlich die nicht naheliegenden Fehlinterpretationen; entweder durch zufällige Fingerprint-Ähnlichkeiten oder bewusst herbeigeführt durch “Adversarial examples”. Da ist so einiges denk- und machbar; auch hier wieder: Wer davor Angst hat, schafft sich so ein Kästchen besser nicht an. Den immer noch naheliegendsten Hack habe ich ja (ganz ehrlich, ohne dran zu denken!!) in der Sendung auch wieder mal gebracht: Einfach ein Sprachassistenten-Kommando im Radio ausstrahlen. 🙂
Es gibt ja einige sarkastische Zeitgenossen, die halten das für einen ganz normalen evolutionären Selektions-Prozess, wenn manche ihrer Mitmenschen beim allzu eifrigen Pokemon erhaschen oder beim neue-Instagram-Likes-abchecken-im-Sekundentakt unter die Räder kommen oder in Flüsse, Seen und Abgründe stürzen. Die Forscher vom Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE sehen das gottlob nicht so rabenschwarz – sie haben sich vielmehr Gedanken gemacht, wie man die Überlebensrate der mit starrem Blick nach unten durch unsere Metropolen streifenden Multitasker verbessern kann.
Ihre Idee – drei tempoabhängige GUI-Varianten für alle Apps – klingt zunächst einmal etwas skurril, aber angesichts der faktischen Realität (die ja ebenso skurril ist…) doch ganz brauchbar und wahrscheinlich auch relativ leicht umzusetzen. Zumindest als Opt-In-Alternative (ähnlich der iOS-Funktion “beim Autofahren nicht stören”…) könnte ich mir gut vorstellen, dass der Vorschlag umgesetzt wird – Maßnahmen wie orange Warnlichter auf dem Boden oder eben doch ein drastisches Handy-Verbot für Fußgänger bleiben um ihre Bürger besorgten Stadtoberen ja völlig unbenommen. 🙂
Nach dem totalen Informationschaos der letzten Woche, den (offenbar entweder teilweise unzutreffenden oder aber missverstandenen…) Durchsteck-Portiönchen nicht genannter “Sicherheitsexperten” und den eifrigen, aber wenig hilfreichen Einlassungen aus den Reihen der Politik gibt es nun wieder einmal eine neue Version, was sich eigentlich abgespielt haben könnte. Und weil in dieser neuen Version der FAS doch recht viele und auch ziemlich unspektakuläre Details genannt werden, die auch zu vorhergegangenen Statements passen (wie dem von T-Systems, der IVBB sei eigentlich “nicht direkt betroffen” gewesen…), würde ich einmal sagen: das klingt jetzt für mich ziemlich plausibel.
Malware-verseuchte Schulungsunterlagen aus der Bundesakademie für öffentliche Verwaltung, die dann von Behördenmitarbeitern heruntergeladen und auf ihrem Arbeitsplatzrechner geöffnet werden, das wäre ein ganz alltägliches Szenario. Natürlich bleiben noch allerhand Fragen offen. Wenn die Infektion in der Brühler Akademie schon vor zwei jahren passiert sein soll – warum ist das damals oder seit damals nicht aufgefallen? Steckt da Schlampigkeit, Fahrlässigkeit oder – im allerschlimmsten, aber doch sehr unwahrscheinlichen Fall – bewusste Sabotage dahinter? Da ist im Grunde alles denkbar; es wäre z.B. auch nicht das erste Mal, dass Schulungsrechner an einem kritischen Netz hängen, ein Schulungsteilnehmer seinen USB-Stick anschließt und “drin” ist.
Der nach bisherigem Ermittlungsstand ganz gezielte Zugriff auf einige wenige Dokumente lässt die Dimension des Vorfalls zunächst einmal viel weniger dramatisch erscheinen, als zunächst angenommen. Nur wer sagt, dass es nicht weitere, bislang unentdeckt verseuchte Dokumente, Rechner oder Netzwerkkomponenten gibt? Schon letzte Woche hatte man ja gehört, das BSI habe praktisch alle Kräfte im Dauereinsatz (und aus anderen Projekten abgezogen…), um hier etwas Licht ins Dunkel zu bekommen. Angesichts der offenbar knappen personellen Ressourcen ist man da ja schon fast froh, dass nicht alle laufenden Infiltrationsbemühungen der internationalen Cyber-Bösewichter gleichzeitig auffliegen – oder von “Sicherheitsexperten” durchgesteckt werden… 🙂
Deutschlandfunk Nova – Hielscher oder Haase vom 05.03.2018 (Moderation: Diane Hielscher)
Nachklapp 06.03.: Und wieder mal eine neue Version, diesmal wieder von der Süddeutschen (die ja auch schon letzte Woche zu den Erstmeldern gehörte, leider aber mit zum Teil falschen Informationen…). Der Artikel ist allerdings in weiten Passagen fürchterlich verschwurbelt und in den Details nebulös, vielleicht war der tippgebende Experte ja maskiert und hat nur undeutlich in das Whistleblower-Telefon der SZ hineingeflüstert. 🙂 Die Outlook-Geschichte (natürlich würde das auch mit einem anderen Mail-Client gehen…) würde aber immerhin erklären, wie eine Malware in einem ansonsten abgeschotteten Netzwerk mit ihren “Auftraggebern” “kommunizieren” kann. Wobei das eigentlich nur für den Input-Kanal (also Steuerungsbefehle…) richtig plausibel ist, da gab es übrigens auch schon ähnlich kreative Lösungen über Twitter-Messages. Eine rausgehende Mail hingegegen muss ja an jemand gerichtet sein, und da wird die Malware die abgegriffenen Infos eher nicht an turla@kreml.ru 🙂 geschickt haben können. Theoretisch könnten die Angreifer natürlich auch Zugriff auf den Mailaccount oder das System eines aus der Sicht des Behörden-Netzwerkes legitimen Mail-Empfängers haben und sich die Infos dann von dort aus weiterleiten. Ganz schön kompliziert. Wir bitten um weitere Aufklärung!
“Ihr habt die Uhren, wir haben die Zeit” – das ist ja dieser schöne interkulturell akzentuierte Sinnspruch, der aus dem arabischen Raum stammen soll, aber zuweilen auch Indianern zugeschrieben wird. Solche Tiefenentspanntheit ist allerdings ein Privileg von Naturvölkern, Ölquellbesitzern oder langjährigen EU-Subventionsempfängern (wegduck… 🙂 ), als normales Rädchen in einem grauen Industriestaats-Alltag braucht man eben nicht nur eine, sondern tatsächlich am besten eine ganze Reihe von Uhren. Weil so ein Zeitmesser, auch modernerer Bauart ja durchaus ausfallen kann – oder schlimmer, nachgehen.
Die allermeisten von uns werden ja mittlerweile das Smartphone als Haupt-Zeitanzeiger betrachten. Das ist auch an sich keine schlechte Idee, weil die Mobilfunkprovider ein ziemlich genaues Zeitsignal liefern. Das wird allerdings unter Umständen noch vom Smartphone-Betriebssystem verhunzt, Apples iOS hatte sich ja schon mehrmals ein paar peinliche Pannen im Zusammenhang mit der Sommerzeit-Umstellung geleistet. Also wie gesagt: Der Vergleich von mehreren Uhren ist keine schlechte Idee, wenn etwas auf dem Spiel steht. Die dürfen nur nicht alle die gleiche Macke haben.
Als wir heute morgen nach dem zu diesem Zeitpunktverfügbaren Informationsstand über den Cyberangriff auf das Regierungsnetz “Informationsverbund Berlin-Bonn” (IVBB) berichtet haben, da sah ja alles nach einem recht deftigen erneuten Desaster aus – wieder einmal die russischen Freunde von der Gruppe APT28 alias “Fancy Bear” mitten in einem Top-heiklen Honigtopf deutscher Daten. Am Mittag dann die wundersame Wende – die Attacke liefe sogar noch, hieß es nun; aber deutsche Sicherheitsdienste hätten sie frühzeitig und umfassend erkannt und “den Angreifer” erstmal weiter am Honeypot naschen lassen, um seine Methoden und auch seine Herkunft niet- und nagelfest zu durchleuchten.
Und deswegen habe man auch den zuständigen Parlamentariern nichts sagen können; klar, sonst wär der Bär ja gewarnt worden (von den Linken bestimmt 🙂 …) Das ist eine Geschichte, die man jetzt mal so glauben kann oder auch nicht. Ich glaube zwar gern, dass man die Infektion eines oder einiger weniger Computer mitbekommen kann und diese dann eben auch “kontrolliert” oder “isoliert” weiterbetreibt. Wie die “Sicherheitskreise” aber sicher sein wollen, dass die APT28-Rasselbande nicht doch vielleicht unbemerkt auch noch in anderen Segmenten des Netzwerkes ihr Unwesen treibt, das ist mir einstweilen ein Rätsel.
Das bleibt auf jeden Fall noch eine spannende Fortsetzungs-Geschichte. Und welche Seite hier einen großartigen Erfolg zu verzeichnen hat, da würde ich mich noch nicht ganz festlegen.
Deutschlandfunk Nova – Hielscher oder Haase vom 01.03.2018 (Moderation: Till Haase)
P.S. – Jetzt soll plötzlich auch der IVBB gar nicht “direkt” betroffen gewesen sein – das ist ja dann echt eine schöne Ente, die uns Presseheinis und nebenbei auch den deutschen Bundestagsabgeordneten da gebraten worden ist. Zwischenfazit: Wir wissen gerade überhaupt nichts mehr gewisses, alles ist top-secret. Ich biete hier vorsichtshalber schon mal ein paar Alternativen an: Es waren die Chinesen. Die Nordkoreaner. Die Türken. Die Israelis. Eine Hobby-Hackerinnen-Truppe aus Winsen an der Luhe. Es war Anonymous.
P.S.2 – Ach nee, es “soll” Snake, nicht Fancy Bear gewesen sein. Jetzt passen meine schönen Wortspielereien mit der Bärenfalle und dem Honigtopf nicht mehr. Macht irgendwie heute alles keinen Spaß.
P.S.3 – Ich kann mich nicht erinnern, einen solch grausamen Desinformations- und Fake-News-Tag schon mal erlebt zu haben. Jetzt war auch noch ein Geheimnisverrat mit im Spiel (nämlich von dem Informanten, der den Käse der dpa bzw. der Süddeutschen gesteckt hat…). Und ganz offenbar haben halt die ganzen Politiker im Innenministerium bzw. den Kontrollgremien technisch keinen Schimmer und sondern irgendwelche Bullshit-Bruchstücke ab, die zur weiteren Verwirrung beitragen.
Nachklapp 02.03.2018 – Wir haben heute früh noch einmal ein Update gebracht – als kleine Momentaufnahme im andauernden Info-Nebel.
Deutschlandfunk Nova – Hielscher oder Haase vom 02.03.2018 (Moderation: Till Haase)
P.S.4 – hier kommt mal wieder ein neuer Erkenntnisstand; das hört sich jetzt schon etwas konkreter und plausibler an. Von dem “den Angriff hatten unsere Sicherheitsbehörden die ganze Zeit unter Kontrolle” kann ja wohl absolut nicht die Rede sein. Eine Formulierung wie “die Hacker griffen weltweit an” bei der Darstellung der derzeitigen 🙂 “exklusiven” Informationen von NDR, WDR und Süddeutscher Zeitung “aus Kreisen, die mit den Vorgängen vertraut sind” (die Informationen der dpa und der Süddeutschen am Mittwoch waren ja auch aus solchen “Kreisen”…) ist (mit Verlaub, liebe Kollegen) auch Bullshit. “Weltweiter Angriff” klingt ja schon wieder nach Cyber-Armageddon. Bei angeblich nur 17 betroffenen Rechnern in Deutschland und einer Handvoll abgegriffener Dokumente würde ich stattdessen einfach (wie schon gestern in der ersten Sendung…) sagen: Da machen einfach ein paar Leute ihren täglichen Routine-Job und versuchen gezielt für sie interessante Informationen abzugreifen. Ganz normales Aufklärungs-Business 🙂 … Ach so; offenbar besteht ja auch noch Begriffs-Verwirrung zwischen dem mutmaßlich verwendeten Angriffs-Tool bzw. Trojaner (Snake/Uroburos/Turla) und der danach benannten Hackergruppe – theoretisch könnten natürlich auch APT28 oder die Hackergirls aus Winsen aus der Luhe oder Anonymous den Trojaner Snake/Uroburos/Turla verwendet haben. Aber das wird ganz bestimmt noch aufgeklärt, da bin ich völlig zuversichtlich.
Einfach das Smartphone mit dem eigenen Gesicht entsperren, das geht nicht nur bei Apples derzeitigem Spitzenmodell, dem iPhone X – wobei ja trotz des technisch aufwendigen Verfahrens mit der projizierten Punktematrix auch hier noch gewisse Zweifel an der Sicherheit bleiben. Deutlich simplere Lösungen gibt es bei vielen Android-Modellen schon seit einigen Jahren. Zu Beginn konnte man die Zugangssperre allerdings oft schon mit einem Foto austricksen. Bessere Systeme überprüfen also, ob sich im Gesicht etwas bewegt – das aber lässt sich wiederum mit einem Video oder einer 3-D-Konstruktion aushebeln. Amerikanische Informatiker haben jetzt eine neue Idee: Sie wollen die Gesichtserkennung mit Captchas kombinieren.
Image shows part of the flow diagram of the Real-Time Captcha system. (Bild: Georgia Tech)
Auch bei diesen kleinen Rätseln oder Aufgaben, die einem Menschen leicht fallen, einer Software oder einem Bot aber schwer, gibt es seit Jahren ein Katz-und-Maus-Spiel – Captchas lösen ist geradezu ein Showcase für die Fortschritte bei maschinellem Lernen und KI. Trotzdem – nimmt man beides zusammen, Bewegt-Gesichtserkennung plus Captchas lösen und setzt für die Antwort ein relativ knappes Zeitfenster, dann taugt das nach Ansicht der Informatiker vom Georgia Institute of Technology noch ein Weilchen als zuverlässige Zugangskontrolle – offenbar selbst für hochkritische Szenarien: Die Forschung wurde vom “Office of Naval Research” (ONR) und der “Defense Advanced Research Projects Agency” (DARPA) gefördert. 🙂
Die absolute Netz-Sensation; das Sägen am eigenen Ast, der Wandel des Wichtigsten der Big Player des Internets vom Saulus zum Paulus, der vollkommene Paradigmenwechsel: “Die Nutzererfahrung ist wichtiger als Werbeeinnahmen” (dieses wunder, wunderschöne Statement von Googles Vizepräsident Rahul Roy-Chowdhury werde ich mir in meine Klobrille schnitzen, das gelobe ich hiermit feierlich…) – nun gut, diese absolute Sensation war ja seit einem Jahr angekündigt gewesen. So dass eigentlich alle Beteiligten und Betroffenen genug Zeit hatten, sich mit dem heute “scharfgeschalteten” Chrome-Werbeblocker zu arrangieren.
Blocker? Na ja, sagen wir mal Filter. Oder besser: Filter light. Chrome blockt ab jetzt die allerschlimmste, allernervigste Werbung (nicht verschiebbare oder bildschirmfüllende Anzeigen, nicht wegklickbare Anzeigen mit Countdown, sofort losplärrende Videos etc.). Das, was die “Coalition for better Ads“ für “bessere” oder akzeptable Werbung hält, kommt weiterhin durch. In der “Böcke als Gärtner”-Koalition haben sich so gute Freunde wie eben Google und der Axel-Springer-Verlag zusammengefunden, die sich ja ansonsten – übrigens wegen des gleichen Themas “Werbung und Kohle machen im Internet” bis aufs Messer bekriegen 🙂
Aber die Ober-Ober-Schurken sind halt die Hersteller von Ad-Blockern – die ja ihrerseits auch teilweise wiederum “sportliche” Geschäftsmodelle haben und irgendwie mit “akzeptabler” Werbung (und einem gebührenpflichtigen “Whitelisting”…) Kohle machen wollen. Zum Glück hat der geneigte Internet-Surfer bis jetzt noch die Wahl: Einen Browser mit einem Pseudo-Werbefilter verwenden, der eigentlich nur die Mainstream-User davon abhalten will, einen “richtigen” Blocker zu installieren? Einen Werbeblocker verwenden, der gar nicht mehr richtig funktioniert (weil er offenbar mit den Adblock-Gegenmaßnahmen etwa bei Spiegel Online und Süddeutsche nicht mehr klarkommt…), dafür aber “eigentlich” und auf sehr diskussionsträchtige Weise am Werbe-Geschäftsmodell teilhaben will?
Ich surfe nach wie vor mit Firefox und NoScript und mittlerweile mit uBlock. Ich habe gerade als vorwiegend für den öffentlich-rechtlichen Rundfunk tätiger Journalist großes Verständnis für die nicht “beitragsfinanzierten” Kollegen und den “Mitbewerb” – aber die Werbung im Netz ist für mich “nicht akzeptabel”. Aus optischen Gründen, aus Relevanzgründen, aus Privacy- und Securitygründen. Für eine Reihe von Online-Angeboten habe ich ein Abo gebucht. Und, wie ich ja schon vorgeschlagen habe, und wie das die Website Salon.com jetzt nach unzähligen halbseidenen oder betrügerischen Vorgängern ausprobiert: En Bezahlmodell mit Crypto-Währung-Schürfen halte ich für eine gute und faire Idee.
Es soll ja immer noch ein paar letzte Mohikaner auf der Welt geben, die Facebook nicht benutzen (ich zum Beispiel…), weil sie nicht ihre komplette Privatsphäre an Herrn Zuckerberg und die weltweite Werbe-Industrie rausrücken wollen. (Und dann gibt’s natürlich noch die junge Generation, die ihre Privatsphäre lieber woanders rausrückt…) Aber die Datenschutz- und Privacy-Bedenken sind selbstverständlich völlig übertrieben, da geht Facebook selbst ja in seiner immer noch laufenden Anzeigen-Kampagne ganz offensiv mit um.
„Keine Ahnung, wer meine Posts oder Bilder zu sehen bekommt.” – „Kontrolliere, wer was sieht.“
Soll heißen – was auf privat gesetzt wird, bleibt ja auch privat (abgesehen für Facebook selbst und die Werbeheini-Truppe dahinter 🙂 ); wer meine Postings, Messages oder Fotos zu sehen bekommt, das kann ich ja selbst bestimmen. Von wegen, sagt das Berufungsgericht der Vereinigten Staaten in einem schon recht lange laufenden Rechtsstreit. Wenn Informationen oder Kommunikationsdaten “relevant” sind für ein Gerichtsverfahren , dann können sie auch als Beweismittel herangezogen werden. Und dann muss ich (oder Facebook…) sie herausrücken.
Nun ging es in dem anhängigen Rechtsstreit keineswegs um Schwerstkriminalität, Amoklauf oder Terrorismus. Sondern um einen Sturz vom Pferd (eine fachkundige Kollegin merkt hierzu an: Wer runterfällt, ist meist selbst schuld 🙂 …), um eine Schadensersatzforderung an den Pferdeeigner und um den Verdacht, die angeblich Geschädigte könnte die reklamierten Langzeit-Folgen übertreiben oder nur vortäuschen. Wie immer auch der Streit in der Sache ausgeht – den Claim aus den Anzeigen von Facebook können wir getrost dort hinstecken, wo Werbeversprechen hingehören.
Immerhin; etwas Facebook-Privacy haben die gestrengen US-Richter ja dann doch noch für angemessen gehalten: Sollten sich unter den “privat” geposteten Fotos solche mit nackter Haut und unter den Nachrichten solche mit “romantic encounters”, mit Liebes-Bezug befinden – die bleiben dem skeptischen und zahlungsunwilligen Pferde-Eigner dann doch verborgen. 🙂
In der richtigen, der analogen Welt kann man ja sehr intensiv darüber diskutieren, ob es gut oder schlecht ist, völlig unproblematisch an Waffen heranzukommen – in den USA z.B. flammt der Streit darüber ja nach jedem Amoklauf an einer Schule oder sonst wo neu auf. In der digitalen Welt, im Netz gibt es die Diskussion auch. Sollte man Hackingtools, mit denen sich fremde Computersysteme lahmlegen lassen, verbieten oder den Zugang irgendwie einschränken – oder sind solche Programme nützlich und notwendig, für Sicherheitstests z.B? Im Moment streiten die Experten gerade über “Autosploit”.
Das ist ein ziemlich kurzes Stückchen Code, das ein Unbekannter vor ein paar Tagen auf der Code-Plattform Github bereitgestellt hat. Und wie der Name schon andeutet: Das Tool spürt auf Knopfdruck verwundbare Computersysteme im Netz auf und versucht dann, den oder die Opfer-Rechner zu infiltrieren oder lahmzulegen – im Extremfall, indem es alle überhaupt bekannten Angriffsvektoren durchprobiert. Eine Universal-Hacking-Komfortlösung für jedermann – auch für programmiertechnisch völlig ahnungslose; für Scriptkiddies.
Für den einen Präsidenten war es ein zentrales Anliegen seiner zwei Amtszeiten – für seinen Nachfolger schieres Teufelswerk, das so schnell und so gründlich wieder rückgängig gemacht werden muss: Die Rede ist von “Obamacare”, von der Regulierung des US-amerikanischen Gesundheitssystems, um jedem Bürger die Chance auf eine bezahlbare Krankenversicherung zu bieten. Regulierung mögen viele Amerikaner aber nun gar nicht; sie pochen auf ihre “Freiheit” – eben auch auf die, vielleicht eben keine Krankenversicherung abzuschließen.
Dass die “Entscheidung” gegen den Versicherungsschutz bei Armen, Arbeitslosen und Geringverdienern natürlich gar nichts mit Freiheit, sondern mit purer Not zu tun hat, das war Barack Obamas Argument. Dass “Obamacare” beileibe nicht ohne Pannen und beileibe nicht völlig überzeugend auf die Schiene gekommen ist, spielt wiederum den Kritikern in die Hände. Fest steht jedenfalls – das US-Gesundheitssystem in seiner jetzigen Form ist teuer und ineffizient; es gibt einfach zu viele Akteure, die an unterschiedlichsten Stellen die Hand aufhalten. Und wenn es um Leben und Tod geht, ist der “Kunde” halt in einer schlechten Verhandlungsposition.
Für drei Firmen-Giganten wie Amazon, JP Morgan und Berkshire Hathaway sieht das schon besser aus. Aber bei der am Dienstag angekündigten Kooperation geht es wohl um mehr, als nur einen Mengenrabatt herauszuschlagen. Und bei genauerem Hinsehen spielt der vermeintliche Exot im Dreierbündnis vielleicht sogar die Hauptrolle.
