Snapchat, oder genauer gesagt, die Firma dahinter, Snap, will an die Börse. Das wissen wir schon seit einem Weilchen. Und seit einem Weilchen konnten wir, die Tech- und die Finanz-Welt darüber spekulieren, ob die Aktie ein Erfolg wird oder ein voraussehbarer Flop – die gleichen Fragen haben wir uns ja schon bei Google gestellt, bei Facebook oder bei Twitter. Da spielt natürlich die Hoffnung und die Phantasie immer die Hauptrolle – aber auch die nackten, blanken Geschäftszahlen. Und genau die hat Snap nun erstmals herausgerückt, das war ja vor dem Börsengang nicht zu umgehen.
Aber die Interpretation bleibt natürlich genauso auf wackeliger Basis wie in den historischen Beispielen zuvor. Sind 160 Millionen DAUs, „daily active User“ gut oder nicht? Ist es gut oder schlecht für die potentiellen Werbekunden, das die Snapchat-Klientel sehr jung ist; möglicherweise noch nicht allzu viel Kohle hat und beim snapchatten kackend auf dem Klo sitzt? Dass sie Sexting-Bildchen austauscht, statt sich für den Kommerz-Shit der Snapchat ohnehin nicht mehr raffenden Werbeheinis zu interessieren – wobei; hier mal der absolute Super-Geheimtipp – bei Snapchat gibt es eh nix zu raffen.
Das ist halt eine Plattform, auf der Vater und Mutter und Opa und Oma mangels Verständnis im Gegensatz zu Facebook noch nicht unterwegs sind und ihre Kiddies nicht nerven – deswegen ist Snapchat gerade verhältnismäßig cool. Andererseits bedeutet das Nichtchecken der Kiddies über Bilder, die eben doch gar nicht wirklich nach ein paar Sekunden verschwinden und die Verwirrung darüber, ob bescheuerte Werbeeinblendungen und das Abgreifen sämtlicher Aktivitäten eigentlich tolerabel sind, auch gar nix – die Pubertät ist halt eine legitime Phase des Wahnsinns. Schön. dass ein, zwei Leute das im Milliardenbereich monetarisieren können, während sie gleichzeitig irrwitzig Kohle verbrennen.
Gott der (die…) Allmächtige wäre nicht allmächtig, wenn er (oder sie) sich über jeden Scheiß aufregen würde, den kleine irdische Geschöpfe so verzapfen – nur; schon diese schlichte (basistheo-)logische Erkenntnis passt ja nicht in die Birne von religiösen (oder angeblich religiösen…) Eiferern.
Auf jeden Fall ist genau das am Mittwoch Nachmittag passiert, und TheGoodLordAbove und seine 3,3 Millionen Freunde rätseln, warum sich die Zuckerberg-Truppe zu einem solch drastischen Schritt entschlossen hat. Zugegeben – im Grunde war die 30tägige Facebook-Sperre für TheGoodLordAbove im Januar von den Auswirkungen her schwerwiegender. Aber der Statusverlust von „verifiziert“ zu „nicht verifiziert“ hat im Zusammenhang mit dem Account eines göttlichen Wesens eine größere symbolische Bedeutung. Ob bei Facebook jetzt auch schon die ersten Ausläufer der Trumpifizierung durch die Flure wehen?
Könnte sein. Aber mit Ironie und Satire haben sich die Plattform bzw. ihre Algorithmen ja immer schon etwas schwer getan. Und – messerscharfe Logik in dem von Facebook als Erklärung gelieferten Verweis auf die AGBs – wenn ein Account nicht einfach „Pizza“ heißen darf, dann natürlich auch nicht einfach „Gott“.
WordPress ist weltweit das beliebteste CMS, also Content Management System, mit dem man seine Website gestaltet und bestückt – rund ein Viertel aller Webseiten weltweit (Tendenz steigend…) laufen mit WordPress; und deswegen ist WordPress auch das vielleicht beliebteste Angriffsziel für Hacker. Wie bei jeder Software gibt’s darin natürlich Bugs, Fehler, also Sicherheitslücken, und deswegen sind halt regelmäßige Sicherheitsupdates Pflicht. Auch dieses Blog läuft mit WordPress – und deswegen habe ich letzte Woche auch einfach nur zur Kenntnis genommen, dass meine Seite auf die Version 4.7.2 upgedatet worden ist. Ich habe nämlich die automatische Updatefunktion aktiv und musste da also insofern nichts unternehmen.
Diese Standard-Konfiguration ist natürlich auch für die allermeisten WordPress-User, also eher Laien, empfehlenswert. Admins mit Ahnung oder mit Verantwortung für Firmenseiten sehen das aber etwas anders. Denn jedes Sicherheits-Update – egal ob beim Betriebssystem oder beim CMS – bringt natürlich ein Risiko mit sich: Dass da Inkompatibilitäten oder Fehler drinstecken und im Worst Case die Website oder die gesamte IT des Unternehmens nicht mehr funktioniert. Damit Admins diese Nutzen-Risiko-Abwägung treffen können, brauchen sie die Information, welche Lücken ein Update denn fixt.
Und genau dabei hat WordPress dieses Mal eine reichlich diskussionswürdige Entscheidung getroffen – in den Release-Notes der Version 4.7.2 waren zunächst nur drei Sicherheitslücken beschrieben. Und nun stellt sich heraus – es gab eine vierte, sehr viel gravierendere. Man habe die Extra-Woche abwarten wollen, bis möglichst viele User das Update eingespielt haben und die Provider Maßnahmen gegen Exploit-Versuche implementieren konnten – so das Argument des WordPress-Securityteams. Die selektive Informationspolitik bringt aber die Gefahr von Interessenskonflikten mit sich – und gefährdet vor allem ausgerechnet die WordPress-Nutzer/Admins mit Know-How, so die Kritik von vielen Usern.
Fazit: Die Strategie von WordPress ist einerseits nachvollziehbar – andererseits positioniert sich das CMS damit explizit als Tool „eher für den Laien“ als für den Experten. Wie auch immer – Version 4.7.2 einspielen ist Pflicht. Sofort. Übrigens – wenn sie ein WordPress-Blog betreiben: Haben Sie eigentlich ein Backup?
DRadio Wissen – Hielscher oder Haase vom 02.02.2017 (Moderation: Till Haase)
Dass man beim Klicken auf irgendeinen Link in einer Mail oder auf einer Website vorsichtig sein muss, dass dürfte sich eigentlich herumgesprochen haben. Der Standard-Bauernfänger-Trick ist ja: der Linktext und die verlinkte Seite sind verschieden, da steht also z.B. in blau kursiv www.dradiowissen.de , aber verlinkt ist eingangzurhölle.com. 🙂 Wer einfach auf einen bit.ly- oder sonstigen URL-Verkürzer draufklickt, wenn der Link nicht von jemand Vertrauenswürdigem kommt, ist auch nicht mehr zu retten.
Aber mal eine andere Variante: Würdet Sie nicht auch vielleicht wissen wollen, was sich hinter secrets.ɢoogle.com verbirgt – also auf einer Seite mit Geheimnissen des Suchmaschinen-Riesen? Einmal genau hingeschaut – das G bei „Google“ sieht ja irgendwie komisch aus, großgeschrieben, aber der Buchstabe ist genauso hoch wie die kleinen „o“s danach – und eigentlich, wenn mal jetzt mal nüchtern im Web unterwegs ist – Großbuchstaben bei URLs gibt’s ja eigentlich eh nicht. Obwohl Google ja manchmal so lustige Sonderaktionen macht. Da ist doch irgendetwas faul?
Da ist sogar ganz gewaltig etwas faul, und laut einem Bericht bei Motherboard.vice.com geht Google jetzt gegen ɢoogle vor und will die Domain streichen lassen oder übernehmen. Dem Betreiber Vitaly Popov – der aber angeblich gar nicht der Betreiber ist und bei dem auch sonst alles völlig mit rechten Dingen zugeht 🙂 , passt das wiederum nicht. Sein Webangebot ist selbstverständlich eine völlig legitime Alternative zu Google.
Daten bei sich zuhause speichern oder eben in der Firma, das ist ja so was von super-out. Die Cloud ist angesagt. Alles liegt im Netz, Daten, Programme – und das ist natürlich viel billiger und natürlich auch viel sicherer, weil der Online-Speicher ja in State-of-The-Art-Datencentern gehostet wird, die top-professionell gegen Ausfall geschützt sind, alles doppelt vorhanden, Backups automatisch. Da kann praktisch nix schiefgehen. Sagen die Anbieter. Ich bin ja etwas diabolisch angehaucht, schon immer. Und warte auf den Moment, in dem ein cloud-basiertes Unternehmen komplett aus dem Netz und aus der Welt gefegt wird.
Jetzt war es endlich – fast – soweit. Bei Gitlab.com hatte zu später Stunde ein Admin „Scheiße gebaut“ und versehentlich die Produktiv-Datenbank gelöscht, statt der leeren und herumzickenden Datenbank-Kopie.
Und peinlicherweise stellte sich danach heraus, dass auch die fünf verschiedenen Backup-Instanzen aus verschiedensten Gründen nicht funktioniert hatten. Wie groß das Desaster im Endeffekt ausfällt, ist noch unklar. Heute gab es zumindest für den Live-Stream der Gitlab-Admins, das System durch ein Backup aus einer virtuellen Maschine doch noch wiederherzustellen, tausende Besucher. Gut, dass man mal drüber plauden kann, über den Cloud- und Backup-GAU. Und über Bügelbretter im „Kinderzimmer“ 😉
Ansonsten zeigt der Vorfall mal wieder: Eigentlich hat man keine Daten ohne ein Backup. Und man hat kein Backup, ohne dessen korrekte Wiederherstellung auch wirklich ausprobiert zu haben. Das gilt für Cloud-basierte Unternehmen. Und für deren Kunden: Die Cloud zählt bei der Backup-Strategie nicht so recht mit. Und wer jetzt sagt – bei mir alles kein Problem, alles abgecheckt – darf gerne mal die Hand heben. Herzlichen Glückwunsch. Digital-Einhorn.
DRadio Wissen – Hielscher oder Haase vom 01.02.2017 (Moderation: Till Haase)
Nachklapp 02.02.2017 – Gitlab.com hat es „mit viel Glück“ hinbekommen, das erwähnte „Zufalls“-Backup einzuspielen. Die über einen Zeitraum von sechs Stunden von 707 Nutzern gespeicherten Daten sind aber verloren.
Der Denuvo-Kopierschutz ist eigentlich „State of the Art“. Doch beim potentiellen Blockbuster-Titel „Resident Evil 7: Biohazard“ …
Die Axt im Haus ersetzt den Zimmermann. Quelle: Capcom Press Kit.
…wurde er jetzt schon eine Woche nach Veröffentlichung geknackt. Das ist noch nicht zwangsläufig der Weltuntergang für den Spielepublisher Capcom und für den – bei Gamern naturgemäß nicht so beliebten – Schutzsoftwarehersteller. Aber schon der berühmte – um mal die Lieblingsformulierung eines legendären Wirtschaftsjournalisten zu zitieren – „Schlag ins Kontor“. 🙂
DRadio Wissen – Hielscher oder Haase vom 01.02.2017 (Moderation: Till Haase)
Nachklapp 02.02.2017: Denuvo hat inzwischen kurz Stellung genommen: Man wolle natürlich wie immer das Produkt weiterverbessern und aus dem Crack lernen. Dass der Schutz für eine Woche gehalten habe, sei aber für den Spielehersteller immer noch besser, als direkt am Erscheinungstag raubkopiert zu werden.
Da habe ich vor ein paar Tagen ein Briefchen von der Telekom erhalten:
Automatische Umschaltung im Netz. Sie brauchen nicht vor Ort zu sein.
Wenn man es genau nimmt, wäre es sogar besser, wenn ich nicht vor Ort bin bei der automatischen Umschaltung. Weil dann nämlich meine Leitung tot ist.
Wichtig dabei: An diesem Tag sind Sie für bis zu 30 Minuten nicht erreichbar. In dieser Zeit können Sie mit dem oben genannten Anschluss nicht telefonieren, im Internet surfen oder Entertain nutzen. Bitte denken Sie daran, insbesondere, wenn Sie einen Hausnotruf oder eine Alarmanlage an Ihrem Anschluss haben.
OK – das wäre jetzt suboptimal, wenn die automatische Umschaltung mir in eine Sendungs-Vorbereitung hineingrätschen würde. Also schau ich doch mal nach, wann der Termin denn bei meinem Anschluss konkret angesetzt ist. Dafür hat die Telekom eine Abfrage-Seite aufgesetzt: www.telekom.de/netzumschaltung. Hier erfährt man z.B., was einem die tolle Umschaltung überhaupt alles bringt an Verbesserungen – wer mag, kann dazu auch ein extra produziertes kleines Filmchen auf der Seite anschauen, das hat einen ganz speziellen Charme. (Tschüss. Und machen Sie’s gut.)
Die Technologie, die wir einführen, heißt Broadband Network Gateway. Sie ermöglicht zum Beispiel, dass Ihr Anschluss automatisch erkannt wird. Dadurch wird die Einrichtung eines Internet-Zugangs künftig viel einfacher. Mit einem aktuellen Router der Telekom müssen Sie dann keine Zugangsdaten mehr eingeben!
Juchu!! Obwohl – war das nicht schon seit gefühlt zwanzig Jahren eh so, dass mit dem automatische-Zugangsdaten-eintragen? Na ja, egal. Und einen Telekom-Router habe ich ja auch schon nicht mehr, seit mir ein Gewitter und eine dadurch ausgelöste Überspannung den reichlich funktionsbeschränkten grauen Kasten geschrottet hat. Aber da bin ich ganz zuversichtlich, mit meinem geballten IT-Know-How bekomme ich im Zweifelsfall auch meine Fritzbox wieder zum Laufen, nach der automatischen Umschaltung. Wann ist die jetzt noch mal?
Screenshot Telekom-Netzumschaltung
Die Netzumschaltung Ihres Anschlusses hat sich kurzfristig verschoben. Im Moment können wir Ihnen leider noch keinen neuen Termin nennen. Bitte versuchen Sie es in vier Wochen erneut, vielen Dank.
Ach so. Alles klar. Soll meine Sekretärin auf Wiedervorlage setzen. Fräulein Hiltrud, bitte erinnern Sie mich dann rechtzeitig.
Aus technischen Gründen kann sich das angegebene Datum noch kurzfristig ändern.
Ja. Klar. Natürlich. Telekom. Erleben, was verbindet.
In einem größeren Betrieb ist das nach wie vor fast unvermeidlich – irgendein Mitarbeiter klickt auf einen Link in einer mehr oder weniger überzeugend formulierten Phishing-Mail, und holt sich Ransomware auf den Rechner und ins Netzwerk. Und wenn der Verschlüsselungsalgorithmus dann sein unheilvolles Werk beendet hat und die Erpressungsbotschaft aufpoppt, hat man einen recht kurzen Entscheidungsbaum: Top-aktuelles Backup auf einem nicht betroffenen Speicherort vorhanden? Nein. Schlüssel des Trojaners schon im Netz bekannt? Nein. Zahlen oder nicht zahlen? Tja…
Die Stadtverwaltung oder der Secret Service (oder wer auch immer für die befallenen Überwachungskameras in Washington D.C. zuständig war…) hat jedenfalls angeblich nicht gezahlt. Das klingt plausibel – zumindest solange nicht etwas besonderes vorgefallen ist, dürfte der Verlust von ein paar Tagen Kameraaufzeichnungen verschmerzbar sein. Viel dramatischer war hingegen die Situation im österreichischen „Seehotel Jägerwirt“, als das hauseigene IT-System (wieder einmal…) von Ransomware heimgesucht worden war. Die 180 Gäste in dem ausgebuchten Hotel seien nicht mehr in ihre Zimmer, und noch viel schlimmer, nicht mehr aus ihren Zimmern heraus gekommen – so konnte man das auf einer Reihe von Websites lesen. Höchste Panikstufe also – der Hotelchef hätte keine andere Möglichkeit gehabt, als das geforderte Erpressungsgeld unverzüglich zu zahlen.
Ich hatte die Story bei Fefe gesehen, und die Sache mit den eingeschlossenen Gästen kam mir sofort spanisch vor. Natürlich muss sich bei einer Codekarten-Schließanlage in jedem denkbaren Havariefall (Stromausfall, Feuer…) die Zimmertür von innen mit dem Drehknopf öffnen lassen – aber ok, wer weiß, was Hersteller von modernen Gadgets alles verbocken. Die verlinkte Website und die sonstigen Fundstellen fielen aber alle in die Kategorie „Quelle von journalistisch fragwürdigem Wert“, um das mal vorsichtig auszudrücken. Erst auf der „wer-weiß-wievielten“ Folgeseite bei Google kam dann mal ein vernünftiger Treffer – der ORF hatte schon vor einer Woche berichtet; und da war von eingeschlossenen Gästen nicht die Rede.
Daraufhin habe ich einmal selbst beim „Seehotel Jägerwirt“ angerufen und wurde auch gleich zum Chef Christoph Brandstätter durchgestellt.
Ich glaub, das ist a bisserl die stille Post der Presse – es war niemand eingeschlossen, es konnten auch alle Gäste in ihre Zimmer hinein. Eigentlich hat es der Gast gar nicht bemerkt, die meisten Gäste haben es dann aus der Presse erfahren. Es ist so, dass die Computer unten waren und dass wir keine neue Schlüssel ausstellen konnten für anreisende Gäste.
Die Code-Türschlösser im Seehotel Jägerwirt funktionieren jedenfalls so, wie sie sollen und müssen:
Von innen kommt man immer raus. Das ist ja auch feuerpolizeilich so vorgeschrieben.
Unangenehmerweise waren durch die Verschlüsselung aber auch das Kassensystem und die aktuellen Reservierungen betroffen – Brandstätter entschloss sich also, die geforderten 1500 Euro per Bitcoin-Transfer zu „überweisen“. Wonach der Erpresser „freundlicherweise“ die Hotel-IT wieder entsperrte.
Weil so viele Kollegen gesagt haben „Ist mir auch schon passiert“, haben wir uns bewusst dazu entschieden, dass wir damit an die Presse gehen. Dass das Ding so groß wird, damit haben wir nicht gerechnet.
Screenshot vom 29.01.2017, 15.34 Uhr
Bei „Russia Today“ war beispielsweise gleich einmal von 1,5 Millionen Euro Lösegeld die Rede; zur Erheiterung von Christoph Brandstätter:
Wenn ich 1,5 Millionen übrig hätte für Schutzgelderpressung, dann würde ich wahrscheinlich was anderes machen (lacht…) zum Geldverdienen (lacht…) …
Mittlerweile hat RT eine Korrektur gebracht – vermutlich war die um den Faktor 1000 erhöhte Summe eine „Lost in Translation“-Panne (bekanntlich benutzt man im Englischen beim Schreiben von höherstelligen Geldsummen ein Komma, wo im Deutschen ein Punkt steht…). Neben einigen verbliebenen sprachlichen Holprigkeiten 🙂 ist allerdings die Artikelüberschrift und Bildunterschrift z.Z. immer noch falsch. Fefe hat übrigens inzwischen seinem Blogeintrag auch ein Update verpasst.
China will zu einer Internet-Supermacht werden, sagt der chinesische Staatspräsident Xi Jinping. In der Tat sind chinesische Firmen schon ein wichtiger Player in der IT-Branche, egal ob es um die Produktion von Smartphones und anderer Hardware geht oder um Internet-Dienstleistungen oder Software-Programmierung. Andererseits passt der chinesischen Regierung ja ganz und gar nicht, dass es im Netz freien Zugang zu Informationen gibt und vertrauliche Kommunikation – und deswegen gibt es bekanntlich die „Great Firewall“, die große Mauer zwischen chinesischen Usern und dem Rest des Internets. Die Regierung will die Mauer jetzt „noch besser“ abdichten – ab sofort müssen alle VPN-Anbieter im Land eine staatliche Genehmigung beantragen, um ihre Dienste fortführen zu können – oder eben auch eher nicht.
Was Anbieter im Ausland betrifft, war das Ganze ja eh immer schon ein Katz-und-Maus-Spiel; vor oder während wichtiger Ereignisse – etwa wenn der Volkskongress zusammenkommt oder sich etwas in der Führungsriege der Partei tut, wird die VPN-Blockade besonders streng durchgesetzt, außerhalb solcher kritischer Zeiträume kann eine „getunnelte“ Verbindung ins unzensierte Netz auch wieder besser funktionieren.
Ein Schelm, wer Böses dabei denkt. Merkwürdigerweise ist das Paper der Wissenschaftler in der Presse anscheinend gar nicht aufgegriffen worden. Bei dem Ergebnis ist die Vermutung, dass hinter dem Android-VPN-GAU nicht nur „gewöhnliche Kriminelle“, sondern auch interessierte staatliche Stellen stecken, „so abwegig“ nicht. 🙂 Ich selbst, das gebe ich gern zu, bin ja eh ein wenig skeptisch in Bezug auf das Android-Universum 🙂 …
DRadio Wissen – Hielscher oder Haase vom 25.01.2017 (Moderation: Diane Hielscher)
Es gibt ja manche Menschen, die haben das sprichwörtliche Problem, dass sie nicht wissen, wohin mit ihrem Geld. Weil es eben so wahnsinnig viel ist. Warren Buffet, dann auch Bill und Melinda Gates – und eben auch Mark Zuckerberg und seine Frau Priscilla Chan. Allen gerade aufgezählten gemeinsam ist, dass sie ihre Milliarden – oder zumindest einen sehr erklecklichen Teil davon – wieder unter die Leute bringen wollen, und zwar zu wohltätigen Zwecken. Genauso wie die Gates-Stiftung, die sich bekanntlich den Kampf gegen Malaria auf die Fahnen geschrieben hat, nimmt auch die „Chan Zuckerberg Initiative“ Krankheiten ins Visier, die bislang schwer oder gar nicht heilbar sind – Priscilla Chan ist ja selbst Kinderärztin und insofern „vom Fach“.
Die erste Firmenübernahme ihrer Stiftung fällt auf den ersten Blick ins Fach des Facebook-Gründers – aber Meta, 2014 unter dem Namen ScienceScape als Startup gegründet, ist keine normale Suchmaschine. Wenn nämlich Wissenschaftler oder Studenten nach wissenschaftlichen Fachartikeln suchen, haben sie zwei Probleme: Zum einen ist ein großer Teil gar nicht offen, kostenfrei verfügbar im Netz. Trotz des Trends zum „Open Access“-Modell ist das Publizieren und das fachliche Begutachten, das Peer-Review-Verfahren, immer noch eine Domäne von Wissenschaftsverlagen und ihren Fachzeitungen wie „Science“ oder „Nature“. Ein Artikel, der nicht offen im Netz steht, kann aber typischerweise auch nicht von einer normalen Suchmaschine wie Google indexiert werden.
Das zweite Problem für einen Forscher oder Studenten – mit welchen Begriffen oder Wortkombinationen soll er oder sie eigentlich suchen? Meta setzt hier auf eine gar nicht einmal exklusive Idee: Ein KI-Algorithmus soll die Artikel aufarbeiten, semantisch katalogisieren, die Künstliche Intelligenz soll quasi „verstehen“, worum es in dem Artikel geht. Das würde dann auch umfassen, Querverbindungen zu erkennen und durchsuchbar zu machen – wenn also eine Arbeit eine Vorläuferarbeit zitiert, darauf aufbaut, einen Forschungsstand fortentwickelt oder vielleicht auch ältere Publikationen widerlegt.
Nach dem Kauf durch die Chan-Zuckerberg-Stiftung kann Meta auf die ursprünglich geplanten kostenpflichtigen Optionen verzichten – die Suchmaschine wird also Wissenschaftlern und Studenten kostenfrei zur Verfügung stehen.
DRadio Wissen – Hielscher oder Haase vom 24.01.2017 (Moderation: Diane Hielscher)
