Snapchat, oder genauer gesagt, die Firma dahinter, Snap, will an die Börse. Das wissen wir schon seit einem Weilchen. Und seit einem Weilchen konnten wir, die Tech- und die Finanz-Welt darüber spekulieren, ob die Aktie ein Erfolg wird oder ein voraussehbarer Flop – die gleichen Fragen haben wir uns ja schon bei Google gestellt, bei Facebook oder bei Twitter. Da spielt natürlich die Hoffnung und die Phantasie immer die Hauptrolle – aber auch die nackten, blanken Geschäftszahlen. Und genau die hat Snap nun erstmals herausgerückt, das war ja vor dem Börsengang nicht zu umgehen.
Aber die Interpretation bleibt natürlich genauso auf wackeliger Basis wie in den historischen Beispielen zuvor. Sind 160 Millionen DAUs, “daily active User” gut oder nicht? Ist es gut oder schlecht für die potentiellen Werbekunden, das die Snapchat-Klientel sehr jung ist; möglicherweise noch nicht allzu viel Kohle hat und beim snapchatten kackend auf dem Klo sitzt? Dass sie Sexting-Bildchen austauscht, statt sich für den Kommerz-Shit der Snapchat ohnehin nicht mehr raffenden Werbeheinis zu interessieren – wobei; hier mal der absolute Super-Geheimtipp – bei Snapchat gibt es eh nix zu raffen.
Das ist halt eine Plattform, auf der Vater und Mutter und Opa und Oma mangels Verständnis im Gegensatz zu Facebook noch nicht unterwegs sind und ihre Kiddies nicht nerven – deswegen ist Snapchat gerade verhältnismäßig cool. Andererseits bedeutet das Nichtchecken der Kiddies über Bilder, die eben doch gar nicht wirklich nach ein paar Sekunden verschwinden und die Verwirrung darüber, ob bescheuerte Werbeeinblendungen und das Abgreifen sämtlicher Aktivitäten eigentlich tolerabel sind, auch gar nix – die Pubertät ist halt eine legitime Phase des Wahnsinns. Schön. dass ein, zwei Leute das im Milliardenbereich monetarisieren können, während sie gleichzeitig irrwitzig Kohle verbrennen.
Gott der (die…) Allmächtige wäre nicht allmächtig, wenn er (oder sie) sich über jeden Scheiß aufregen würde, den kleine irdische Geschöpfe so verzapfen – nur; schon diese schlichte (basistheo-)logische Erkenntnis passt ja nicht in die Birne von religiösen (oder angeblich religiösen…) Eiferern.
Auf jeden Fall ist genau das am Mittwoch Nachmittag passiert, und TheGoodLordAbove und seine 3,3 Millionen Freunde rätseln, warum sich die Zuckerberg-Truppe zu einem solch drastischen Schritt entschlossen hat. Zugegeben – im Grunde war die 30tägige Facebook-Sperre für TheGoodLordAbove im Januar von den Auswirkungen her schwerwiegender. Aber der Statusverlust von “verifiziert” zu “nicht verifiziert” hat im Zusammenhang mit dem Account eines göttlichen Wesens eine größere symbolische Bedeutung. Ob bei Facebook jetzt auch schon die ersten Ausläufer der Trumpifizierung durch die Flure wehen?
Könnte sein. Aber mit Ironie und Satire haben sich die Plattform bzw. ihre Algorithmen ja immer schon etwas schwer getan. Und – messerscharfe Logik in dem von Facebook als Erklärung gelieferten Verweis auf die AGBs – wenn ein Account nicht einfach “Pizza” heißen darf, dann natürlich auch nicht einfach “Gott”.
WordPress ist weltweit das beliebteste CMS, also Content Management System, mit dem man seine Website gestaltet und bestückt – rund ein Viertel aller Webseiten weltweit (Tendenz steigend…) laufen mit WordPress; und deswegen ist WordPress auch das vielleicht beliebteste Angriffsziel für Hacker. Wie bei jeder Software gibt’s darin natürlich Bugs, Fehler, also Sicherheitslücken, und deswegen sind halt regelmäßige Sicherheitsupdates Pflicht. Auch dieses Blog läuft mit WordPress – und deswegen habe ich letzte Woche auch einfach nur zur Kenntnis genommen, dass meine Seite auf die Version 4.7.2 upgedatet worden ist. Ich habe nämlich die automatische Updatefunktion aktiv und musste da also insofern nichts unternehmen.
Diese Standard-Konfiguration ist natürlich auch für die allermeisten WordPress-User, also eher Laien, empfehlenswert. Admins mit Ahnung oder mit Verantwortung für Firmenseiten sehen das aber etwas anders. Denn jedes Sicherheits-Update – egal ob beim Betriebssystem oder beim CMS – bringt natürlich ein Risiko mit sich: Dass da Inkompatibilitäten oder Fehler drinstecken und im Worst Case die Website oder die gesamte IT des Unternehmens nicht mehr funktioniert. Damit Admins diese Nutzen-Risiko-Abwägung treffen können, brauchen sie die Information, welche Lücken ein Update denn fixt.
Und genau dabei hat WordPress dieses Mal eine reichlich diskussionswürdige Entscheidung getroffen – in den Release-Notes der Version 4.7.2 waren zunächst nur drei Sicherheitslücken beschrieben. Und nun stellt sich heraus – es gab eine vierte, sehr viel gravierendere. Man habe die Extra-Woche abwarten wollen, bis möglichst viele User das Update eingespielt haben und die Provider Maßnahmen gegen Exploit-Versuche implementieren konnten – so das Argument des WordPress-Securityteams. Die selektive Informationspolitik bringt aber die Gefahr von Interessenskonflikten mit sich – und gefährdet vor allem ausgerechnet die WordPress-Nutzer/Admins mit Know-How, so die Kritik von vielen Usern.
Fazit: Die Strategie von WordPress ist einerseits nachvollziehbar – andererseits positioniert sich das CMS damit explizit als Tool “eher für den Laien” als für den Experten. Wie auch immer – Version 4.7.2 einspielen ist Pflicht. Sofort. Übrigens – wenn sie ein WordPress-Blog betreiben: Haben Sie eigentlich ein Backup?
DRadio Wissen – Hielscher oder Haase vom 02.02.2017 (Moderation: Till Haase)
Dass man beim Klicken auf irgendeinen Link in einer Mail oder auf einer Website vorsichtig sein muss, dass dürfte sich eigentlich herumgesprochen haben. Der Standard-Bauernfänger-Trick ist ja: der Linktext und die verlinkte Seite sind verschieden, da steht also z.B. in blau kursiv www.dradiowissen.de , aber verlinkt ist eingangzurhölle.com. 🙂 Wer einfach auf einen bit.ly- oder sonstigen URL-Verkürzer draufklickt, wenn der Link nicht von jemand Vertrauenswürdigem kommt, ist auch nicht mehr zu retten.
Aber mal eine andere Variante: Würdet Sie nicht auch vielleicht wissen wollen, was sich hinter secrets.ɢoogle.com verbirgt – also auf einer Seite mit Geheimnissen des Suchmaschinen-Riesen? Einmal genau hingeschaut – das G bei „Google“ sieht ja irgendwie komisch aus, großgeschrieben, aber der Buchstabe ist genauso hoch wie die kleinen „o“s danach – und eigentlich, wenn mal jetzt mal nüchtern im Web unterwegs ist – Großbuchstaben bei URLs gibt’s ja eigentlich eh nicht. Obwohl Google ja manchmal so lustige Sonderaktionen macht. Da ist doch irgendetwas faul?
Da ist sogar ganz gewaltig etwas faul, und laut einem Bericht bei Motherboard.vice.com geht Google jetzt gegen ɢoogle vor und will die Domain streichen lassen oder übernehmen. Dem Betreiber Vitaly Popov – der aber angeblich gar nicht der Betreiber ist und bei dem auch sonst alles völlig mit rechten Dingen zugeht 🙂 , passt das wiederum nicht. Sein Webangebot ist selbstverständlich eine völlig legitime Alternative zu Google.
Daten bei sich zuhause speichern oder eben in der Firma, das ist ja so was von super-out. Die Cloud ist angesagt. Alles liegt im Netz, Daten, Programme – und das ist natürlich viel billiger und natürlich auch viel sicherer, weil der Online-Speicher ja in State-of-The-Art-Datencentern gehostet wird, die top-professionell gegen Ausfall geschützt sind, alles doppelt vorhanden, Backups automatisch. Da kann praktisch nix schiefgehen. Sagen die Anbieter. Ich bin ja etwas diabolisch angehaucht, schon immer. Und warte auf den Moment, in dem ein cloud-basiertes Unternehmen komplett aus dem Netz und aus der Welt gefegt wird.
Jetzt war es endlich – fast – soweit. Bei Gitlab.com hatte zu später Stunde ein Admin “Scheiße gebaut” und versehentlich die Produktiv-Datenbank gelöscht, statt der leeren und herumzickenden Datenbank-Kopie.
Und peinlicherweise stellte sich danach heraus, dass auch die fünf verschiedenen Backup-Instanzen aus verschiedensten Gründen nicht funktioniert hatten. Wie groß das Desaster im Endeffekt ausfällt, ist noch unklar. Heute gab es zumindest für den Live-Stream der Gitlab-Admins, das System durch ein Backup aus einer virtuellen Maschine doch noch wiederherzustellen, tausende Besucher. Gut, dass man mal drüber plauden kann, über den Cloud- und Backup-GAU. Und über Bügelbretter im “Kinderzimmer” 😉
Ansonsten zeigt der Vorfall mal wieder: Eigentlich hat man keine Daten ohne ein Backup. Und man hat kein Backup, ohne dessen korrekte Wiederherstellung auch wirklich ausprobiert zu haben. Das gilt für Cloud-basierte Unternehmen. Und für deren Kunden: Die Cloud zählt bei der Backup-Strategie nicht so recht mit. Und wer jetzt sagt – bei mir alles kein Problem, alles abgecheckt – darf gerne mal die Hand heben. Herzlichen Glückwunsch. Digital-Einhorn.
DRadio Wissen – Hielscher oder Haase vom 01.02.2017 (Moderation: Till Haase)
Nachklapp 02.02.2017 – Gitlab.com hat es “mit viel Glück” hinbekommen, das erwähnte “Zufalls”-Backup einzuspielen. Die über einen Zeitraum von sechs Stunden von 707 Nutzern gespeicherten Daten sind aber verloren.
Der Denuvo-Kopierschutz ist eigentlich “State of the Art”. Doch beim potentiellen Blockbuster-Titel “Resident Evil 7: Biohazard” …
Die Axt im Haus ersetzt den Zimmermann. Quelle: Capcom Press Kit.
…wurde er jetzt schon eine Woche nach Veröffentlichung geknackt. Das ist noch nicht zwangsläufig der Weltuntergang für den Spielepublisher Capcom und für den – bei Gamern naturgemäß nicht so beliebten – Schutzsoftwarehersteller. Aber schon der berühmte – um mal die Lieblingsformulierung eines legendären Wirtschaftsjournalisten zu zitieren – “Schlag ins Kontor”. 🙂
DRadio Wissen – Hielscher oder Haase vom 01.02.2017 (Moderation: Till Haase)
Nachklapp 02.02.2017: Denuvo hat inzwischen kurz Stellung genommen: Man wolle natürlich wie immer das Produkt weiterverbessern und aus dem Crack lernen. Dass der Schutz für eine Woche gehalten habe, sei aber für den Spielehersteller immer noch besser, als direkt am Erscheinungstag raubkopiert zu werden.
In einem größeren Betrieb ist das nach wie vor fast unvermeidlich – irgendein Mitarbeiter klickt auf einen Link in einer mehr oder weniger überzeugend formulierten Phishing-Mail, und holt sich Ransomware auf den Rechner und ins Netzwerk. Und wenn der Verschlüsselungsalgorithmus dann sein unheilvolles Werk beendet hat und die Erpressungsbotschaft aufpoppt, hat man einen recht kurzen Entscheidungsbaum: Top-aktuelles Backup auf einem nicht betroffenen Speicherort vorhanden? Nein. Schlüssel des Trojaners schon im Netz bekannt? Nein. Zahlen oder nicht zahlen? Tja…
Die Stadtverwaltung oder der Secret Service (oder wer auch immer für die befallenen Überwachungskameras in Washington D.C. zuständig war…) hat jedenfalls angeblich nicht gezahlt. Das klingt plausibel – zumindest solange nicht etwas besonderes vorgefallen ist, dürfte der Verlust von ein paar Tagen Kameraaufzeichnungen verschmerzbar sein. Viel dramatischer war hingegen die Situation im österreichischen “Seehotel Jägerwirt”, als das hauseigene IT-System (wieder einmal…) von Ransomware heimgesucht worden war. Die 180 Gäste in dem ausgebuchten Hotel seien nicht mehr in ihre Zimmer, und noch viel schlimmer, nicht mehr aus ihren Zimmern heraus gekommen – so konnte man das auf einer Reihe von Websites lesen. Höchste Panikstufe also – der Hotelchef hätte keine andere Möglichkeit gehabt, als das geforderte Erpressungsgeld unverzüglich zu zahlen.
Ich hatte die Story bei Fefe gesehen, und die Sache mit den eingeschlossenen Gästen kam mir sofort spanisch vor. Natürlich muss sich bei einer Codekarten-Schließanlage in jedem denkbaren Havariefall (Stromausfall, Feuer…) die Zimmertür von innen mit dem Drehknopf öffnen lassen – aber ok, wer weiß, was Hersteller von modernen Gadgets alles verbocken. Die verlinkte Website und die sonstigen Fundstellen fielen aber alle in die Kategorie “Quelle von journalistisch fragwürdigem Wert”, um das mal vorsichtig auszudrücken. Erst auf der “wer-weiß-wievielten” Folgeseite bei Google kam dann mal ein vernünftiger Treffer – der ORF hatte schon vor einer Woche berichtet; und da war von eingeschlossenen Gästen nicht die Rede.
Daraufhin habe ich einmal selbst beim „Seehotel Jägerwirt“ angerufen und wurde auch gleich zum Chef Christoph Brandstätter durchgestellt.
Ich glaub, das ist a bisserl die stille Post der Presse – es war niemand eingeschlossen, es konnten auch alle Gäste in ihre Zimmer hinein. Eigentlich hat es der Gast gar nicht bemerkt, die meisten Gäste haben es dann aus der Presse erfahren. Es ist so, dass die Computer unten waren und dass wir keine neue Schlüssel ausstellen konnten für anreisende Gäste.
Die Code-Türschlösser im Seehotel Jägerwirt funktionieren jedenfalls so, wie sie sollen und müssen:
Von innen kommt man immer raus. Das ist ja auch feuerpolizeilich so vorgeschrieben.
Unangenehmerweise waren durch die Verschlüsselung aber auch das Kassensystem und die aktuellen Reservierungen betroffen – Brandstätter entschloss sich also, die geforderten 1500 Euro per Bitcoin-Transfer zu “überweisen”. Wonach der Erpresser “freundlicherweise” die Hotel-IT wieder entsperrte.
Weil so viele Kollegen gesagt haben “Ist mir auch schon passiert”, haben wir uns bewusst dazu entschieden, dass wir damit an die Presse gehen. Dass das Ding so groß wird, damit haben wir nicht gerechnet.
Screenshot vom 29.01.2017, 15.34 Uhr
Bei “Russia Today” war beispielsweise gleich einmal von 1,5 Millionen Euro Lösegeld die Rede; zur Erheiterung von Christoph Brandstätter:
Wenn ich 1,5 Millionen übrig hätte für Schutzgelderpressung, dann würde ich wahrscheinlich was anderes machen (lacht…) zum Geldverdienen (lacht…) …
Mittlerweile hat RT eine Korrektur gebracht – vermutlich war die um den Faktor 1000 erhöhte Summe eine “Lost in Translation”-Panne (bekanntlich benutzt man im Englischen beim Schreiben von höherstelligen Geldsummen ein Komma, wo im Deutschen ein Punkt steht…). Neben einigen verbliebenen sprachlichen Holprigkeiten 🙂 ist allerdings die Artikelüberschrift und Bildunterschrift z.Z. immer noch falsch. Fefe hat übrigens inzwischen seinem Blogeintrag auch ein Update verpasst.
Gute nachbarliche Beziehungen muss man pflegen. Und das haben wir eigentlich ganz schön schleifen lassen seit einiger Zeit, unser Verhältnis zu unserem nächsten Kumpel im All, dem Mond. Wir Menschen waren zuletzt 1972 oben, danach haben wir eine Reihe von Sonden in seine Umlaufbahn geschickt und irgendwann auf die Oberfläche crashen lassen. Immerhin, die Chinesen haben 2013 mal wieder eine weiche Landung hinbekommen und einen Mondrover mit dem schönen Namen „Jadehase“ abgesetzt. Aber jetzt in diesem Jahr soll da richtig was abgehen, nämlich ein Mondrover-Wettrennen. Nun hat Google die fünf Finalisten des „Lunar X-Prize“ bekanntgegeben – und leider ist unser deutsches Team “Part Time Scientists” draußen.
Über die “Teilzeitwissenschaftler” hatten wir ja gerade bei DRadio Wissen ausführlich berichtet – das Team und sein Mond-Rover haben auch keinesfalls das Handtuch geschmissen – aber für die Deadline des vom Suchmaschinenriesen finanzierten Preises hat es jetzt doch nicht gereicht. Lieber in Ruhe auf dem Erdtrabanten eintreffen, als bei einem unter Zeitdruck improvisierten Raketenstart pulverisiert zu werden – das war wohl die Devise der “Part Time Scientists”. Was die Google-Kohle angeht, bleibt die Geschichte bis kurz vor Jahres-Ultimo spannend – aber die wirklich “wichtigen Schritte für die Menschheit” haben natürlich mit schnödem Mammon eh nichts zu tun 🙂 …
DRadio Wissen – Hielscher oder Haase vom 25.01.2017 (Moderation: Diane Hielscher)
China will zu einer Internet-Supermacht werden, sagt der chinesische Staatspräsident Xi Jinping. In der Tat sind chinesische Firmen schon ein wichtiger Player in der IT-Branche, egal ob es um die Produktion von Smartphones und anderer Hardware geht oder um Internet-Dienstleistungen oder Software-Programmierung. Andererseits passt der chinesischen Regierung ja ganz und gar nicht, dass es im Netz freien Zugang zu Informationen gibt und vertrauliche Kommunikation – und deswegen gibt es bekanntlich die „Great Firewall“, die große Mauer zwischen chinesischen Usern und dem Rest des Internets. Die Regierung will die Mauer jetzt “noch besser” abdichten – ab sofort müssen alle VPN-Anbieter im Land eine staatliche Genehmigung beantragen, um ihre Dienste fortführen zu können – oder eben auch eher nicht.
Was Anbieter im Ausland betrifft, war das Ganze ja eh immer schon ein Katz-und-Maus-Spiel; vor oder während wichtiger Ereignisse – etwa wenn der Volkskongress zusammenkommt oder sich etwas in der Führungsriege der Partei tut, wird die VPN-Blockade besonders streng durchgesetzt, außerhalb solcher kritischer Zeiträume kann eine “getunnelte” Verbindung ins unzensierte Netz auch wieder besser funktionieren.
Ein Schelm, wer Böses dabei denkt. Merkwürdigerweise ist das Paper der Wissenschaftler in der Presse anscheinend gar nicht aufgegriffen worden. Bei dem Ergebnis ist die Vermutung, dass hinter dem Android-VPN-GAU nicht nur “gewöhnliche Kriminelle”, sondern auch interessierte staatliche Stellen stecken, “so abwegig” nicht. 🙂 Ich selbst, das gebe ich gern zu, bin ja eh ein wenig skeptisch in Bezug auf das Android-Universum 🙂 …
DRadio Wissen – Hielscher oder Haase vom 25.01.2017 (Moderation: Diane Hielscher)
Wissenschaftler von der Uni Lancaster haben ein Programm entwickelt, mit dem Diebe, böse Kollegen oder eifersüchtige Partner einen per Geste gesicherten Lockscreen, die Sperrfunktion von Android-Smartphones oder Tablets unbefugt aushebeln können. Dazu müssen sie allerdings zuvor einmal filmen, wie der rechtmäßige User sein Gerät entsperrt. Wer jetzt spontan denkt “so what?”, liegt daneben – mit “filmen” ist selbstverständlich keine freie Sicht auf den Bildschirm und Finger gemeint. Das Ganze funktioniert vielmehr auch dann, wenn das Gerät gedreht, gekippt und abgewandt ist, solange die grundsätzliche Bewegung der Hand erkennbar bleibt.
The popular Pattern Lock system used to secure millions of Android phones can be cracked within just five attempts — and more complicated patterns are the easiest to crack, security experts reveal. Credit: Lancaster University
Anschließend setzt der Algorithmus die registrierten Bewegungen in Beziehung zur relativen Position des Gerätes – und erstellt eine Liste mit plausiblen Entsperrmustern, nach Wahrscheinlichkeit geordnet. Hilfreich ist dabei, dass die Punktmatrix beim Lockscreen die Anzahl der möglichen Varianten beschränkt, und paradoxerweise lassen sich komplizierte Gesten (die ja an sich einen besseren Schutz gegen das einfache Ausprobieren bieten…) sogar leichter “entschlüsseln” als einfache. Auch wenn nicht jeder potentielle Dieb, böse Kollege oder eifersüchtige Partner sofort mit der Methode operieren wird – das Verfahren ist auf jeden Fall weit weniger aufwendig und daher plausibler als das Fingerabdruck-nachmachen vom Selfie-Foto 🙂 …
