Archiv der Kategorie: Computer

Mein Beruf die Informatik. Müsste man auch ein Bisschen unter Hobby einordnen.

Schlangenöl gegen Ransomware

Bereits im Post „Vergesst Anti-Viren-Software“ habe ich meine Zweifel an der Sinnhaftigkeit von Antivirensoftware ausführlich formuliert. Der aktuelle Fall einer flächendeckenden Ransomware-Attacke zeigt es wieder genau: Betriebssystem-Updates, die schon über zwei Monate (seit März) vorliegen werden aus verschiedenen Gründen, auch von Profis, nicht eingespielt, Antivirensoftware hilft nicht oder bestenfalls teilweise.

Der bekannte Blogger und IT-Spezialist Fefe hat dazu einen Beitrag mit vielen schönen Quellen verfasst. Er nennt Antivirensoftware „Schlangenöl“, um den esoterischen Charakter darzustellen.

https://blog.fefe.de/?ts=a7e8d6ab

Powerpoint als Turingmaschine

Gefunden auf Fefes Blog: Eine spaßiges Video einer Powerpoint-Vorführung macht sich über Powerpoint Vorführungen lustig, indem sie behauptet mit Powerpoint eine Turingmaschine zu simulieren, genauer, dass Powerpoint turing-vollständig ist. Eine Turing-Maschine ist ein Rechnermodell, das ein Informatiker zum Vordiplom garantiert verstanden habe muss, der Vortrag ist also mit etwas Nerd-Know-How erst richtig zu verstehen. Witzig ist er allemal, auch für nicht-Informatiker:

ach-logo

Logo von ach

Vorgetragen auf einer (fiktiven?) Tagung Namens SIGBOVIK, die die Association for Computational Heresy (ach) jeweils am 1. April hält

Herrlich intelligent gemachter Nonsense!

Vault 7 aus der Gießener Strasse

Wikileaks veröffentlicht brisante Dokumente über Hacking-Aktivitäten der CIA auf deutschem Boden, ohne dass es auf großes Interesse stößt, und wenn, dann mehr aus Empörung über den schlimmen Geheimnisverrat. Schade, dass der Datenschutz in Zeiten von Smartphone, Siri und Cortana so wenig im Fokus der Menschen ist.

Jens Berger nennt die Hintergründe in den nachdenkseiten:

Quelle: Wikileaks veröffentlicht beunruhigende Daten über Hacker bei der CIA und niemanden interessiert es | NachDenkSeiten – Die kritische Website

Die Originaldokumente:

Vault 7: CIA Hacking Tools Revealed

München unterwirft sich Microsoft

LiMux LogoSchon länger pfeiften es die Spatzen (und ich) von den Dächern: Münchens OB Reiter wird das Linux-Vorzeigeprojekt LiMux aus der Münchner Stadt-IT werfen und Microsoft wieder geben, was es einst verloren hat. Durch den Politikwechsel auf Rot-Schwarz und den Umzug der Microsoft-Zentrale von der Randgemeinde Unterschleißheim nach München waren die Weichen gestellt. Jetzt ist es offiziell.

Dabei wurden gegen Linux und LibreOffice keine wirklich fundierten Sachgründe angegeben, man versteckt sich hinter vagen Aussagen und Studien, die Firmen anfertigen, die Microsoft nahe stehen.

Der Wechsel ist von hoher Symbolkraft und daher für Microsoft Gold Wert, für München aber ein Armutszeugnis und der Beginn in eine lange Zeit der erneuten Abhängigkeit von Microsoft, und ausländischen Ressourcen. Die Lizenzkosten sowie der erneute Umstieg werden hohe Kosten für den Münchner Steuerzahler generieren

Ein weiterer, nie genannter Aspekt ist der Umzug-Zielort: Statt wie vorher verkehrsgünstig am Ring der A92, ist die Zentrale jetzt am Ende der A9, der Nürnberger Autobahn auf dem ehemaligen Langenscheidt-Gelände. Staus sind hier auch ohne Microsoft vorprogrammiert, welchen Sinn so etwas verkehrspolitisch und Stadtentwicklungs-technisch macht, erschließt sich mir nicht.

Quelle: München unterwirft sich Microsoft – Laptop und Lederhose passen doch nicht zusammen | NachDenkSeiten – Die kritische Website

Update 13.04.2017: Guter Artikel hierzu im Tagespiegel:
http://www.tagesspiegel.de/weltspiegel/it-in-der-oeffentlichen-verwaltung-europas-fatale-abhaengigkeit-von-microsoft/19628246.html

Vergesst Anti-Viren-Software

Ein Entwickler von Mozilla Firefox hat eine Tirade gegen Antiviren-Software (AVS) abgefeuert und zur Deinstallation aufgerufen:

Ich meine, er hat recht, sein Blog ist lesenswert und kann meine Erfahrungen und Einschätzungen dazu beitragen:

Ab und zu administriere ich noch private PCs und kleinere Firmen-Netze, und gerade da ist der Befall mit Computerviren noch ein Problem, mit dem man immer wieder konfrontiert wird. In letzter Zeit sind das vor allem Email-Anhänge mit Trojanern, die dann die Festplatte verschlüsseln („Locky“) oder andere Schadwirkungen entwickeln. Der Schaden ist groß, wenn keine gute Sicherung (nicht unter meiner Ägide) existiert, bleibt oft nur, die Maschine neu zu installieren.

Die Frustration der Anwender ist groß, nicht ganz zu unrecht wird argumentiert, man hätte doch die Antiviren-Software XY, die müsste die Bedrohung doch schließlich erkennen. Das ist natürlich auch das bequemste Verhalten:

  • die Antiviren-Software (AVS) ist gekauft und arbeitet scheinbar umsonst. Die CPU-Last durch AVS auf schwachen Maschinen ist jedoch oft durchaus nennenswert, die Maschine wird langsamer und arbeitet mehr für das AVS als für den Anwender.
  • die Vorsichtsmaßnahme Sicherung macht Arbeit und ist oft nur unzulänglich vorhanden, wenn sie nicht durch einen Dienstleister erledigt und überwacht wird. Selbst smarte Freiberufler sichern bisweilen ihre zentrale Software mit Kundenstamm und Faktura nicht.
  • die beste Gegenmaßnahme, erst nachzudenken, bevor man einen suspekten Anhang öffnet, macht Mühe. Zugegeben: die Emails werden immer besser getextet, für jeden ist etwas dabei. Aber das ist auch die Herausforderung: Die beste AVS sitzt bei Email-Anhängen immer noch zwischen den Ohren des Anwenders, er muss seine Neugierde zügeln. Die Unart von Microsoft, die Extensions der Dateien in Windows in der Voreinstellung nicht zu zeigen, begünstigt die Täuschungsfähigkeit der Attachments. Die Gemeinde Altdorf nimmt deswegen jetzt keine Anhänge im Word, Excel und ZIP Format mehr an, nur noch PDF.

Das Erstaunen ist groß, wenn ich den Anwendern erkläre, dass ihre AVS hier oft gar nichts hilft: Die Schadsoftware wird immer wieder leicht verändert, so dass die AVS die Trojaner erst nach einigen Tagen erkennen können. Dies lässt sich auch leicht demonstrieren, ich habe dies schon Kunden gezweigt:

Weiterlesen

Inkscape Version 0.92 is Released! | Inkscape

Endlich mal wieder eine neue Version von Inkscape, dem freien Gegenstück zu Adobe Illustrator.

The Inkscape project announces a new version 0.92 of its popular vector drawing software. New features include mesh gradients, improved SVG2 and CSS3 support, new path effects, interactive smoothing for the pencil tool, a new Object dialog for directly managing all drawing elements, and much more. Infrastructural changes are also under way, including a switch to CMake from the venerable Autotools build system.

Quelle: Inkscape Version 0.92 is Released! | Inkscape

Router-Zertifizierung

Wie schnell es doch manchmal geht: Erst gestern kam die Meldung von den Störungen im Telekom-Netz, heute schon spricht man von einem Hacker-Angriff und BSI-Präsident Schönbohm fordert in der Zeitung „Die Welt“ die Hersteller von Routern zu Gütesiegeln und Zertifikaten zur Verbesserung der IT-Sicherheit  zu verpflichten. „Unter anderem könne man die Hersteller verpflichten, regelmäßig und zeitnah Sicherheits-Updates automatisch aufzuspielen.“ Das ging ja rucki-zucki. Der BND weiß sogar schon, dass es angeblich ein Angriff aus Russland war.

Wenn man bedenkt, welche Brisanz der hauseigene Router für technische Rahmenbedingungen des Datenschutzes hat und welches Einfallstor ein Router ist, wo der Hersteller jederzeit unbemerkt Updates einspielen kann, lässt einen so eine Forderung aufhorchen. Ein möglicher Einschleusungsweg für Bundes- oder andere Trojaner ist auch der Router eines Haushaltes, wenn man ihn beliebig manipulieren kann.

Gerade  wurde Anfang 2016 die gesetzliche Neuregelung zum Routerzwang heftig diskutiert, und nur halbwegs klar gelöst. Da käme mit der Zertifizierung und Zwangs-Updates wieder ein Zugriff auf die Router über die Hintertür: Mit entsprechend starken Auflagen kann der Anbietermarkt auf nur weniger Player reduziert werden, wenn man mit denen „gut kann“, hätte man wieder Zugriff auf die Router.

Freie und quell-offene Routerbetriebssysteme, zum Beispiel DD-WRT, die für technisch Kundige eine Alternative darstellen, die sich den offiziellen Begehren verweigern kann, kann man mit solchen Beschränkungen der Hersteller leicht ausschließen. Dabei sind es doch gerade die Router des größten Providers, der Telekom, die mit Ihren monopolartigen Strukturen und großer Verbreitung weniger Routermodelle die Angriffe erst möglich gemacht haben.

So schnell die Rufer aus BSI und BND reagieren, sollte eine gesunde Skepsis gegenüber deren Forderungen angebracht sein.

Siehe auch meinen Post „Wider den Routerzwang„.

 

Algorithmus entscheidet über Freiheit

Als Informatiker habe ich eine kritische Einstellung zum Daten-Sammeln und vor allem dazu, wie wir mit den daraus gewonnenen Erkenntnissen umgehen. Meine Postleitzahl gebe ich zum Beispiel deswegen beim Einkaufen nie an, den „intelligenten“ Stromzähler sehe ich sehr negativ.

Aus eigener Erfahrung mit Echtdaten in Kundenprojekten weiß ich, dass es immer Erkenntnisse aus Daten gibt, so banal und unwichtig sie auf den ersten Blick auch sein mögen. Der Satz „Wer nichts zu verbergen hat, hat auch nichts zu befürchten“ ist hier falscher denn je, hat jedoch noch nie gestimmt.

Weniger Bedenken als der Rest der Bevölkerung habe ich zum Beispiel bei Entscheidungen, die Maschinen fällen. Zum Beispiel freue ich mich schon auf selbstfahrende Autos und denke, sie sind ein logischer nächster Schritt im Individualverkehr. Die deutsche Automobilindustrie macht hier große Fehler, wenn sie anderen Konzernen die Entwicklung und Einführung überlässt, wohl weil für den Kunden der noblen Fahrzeuge die „Freude am Fahren“ überwiegen soll, was höhere Marchen ermöglicht. Auch die Sicherheit lässt sich lösen: Wenn die Unfallquote der Computerfahrer geringer ist, als die von Menschen, kann man sie hinnehmen und auch versichern. Man kann sie auch viel leichter verbessern als bei Menschen, ein ganz wichtiger Aspekt. Aber das ist noch, nicht mehr lange, Zukunftsmusik.

Entsetzt hat mich hingegen eine Anwendung Maschinen-gestützter Entscheidungsfindung, die nicht mehr Zukunftsmusik ist, sondern in den USA schon Realität: Straftätern wird auf Grund von Befragungen ein Wiederholungsrisiko zugeteilt, der Richter kann darauf basierend entscheiden das Strafmaß zu verkürzen oder zu verlängern. Zielsetzung ist es, die überfüllten Gefängnisse der USA von harmloseren Tätern zu entlasten, die gefährlichen Täter aber länger wegzusperren. Ein Artikel auf zeit.de beschreibt die Umstände der Anwendung und die damit verbundenen Probleme:

Präzise berechneter Rassismus

Die Umstände der Verwendung erinnerten mich stark an die Phrenologie, den historischen Versuch Schädelform und Hirnforschung mit Neigung zu Verbrechen zu korrelieren. Deswegen weil auch die Umstände so gleich sind:

  • Die Kriterien und Algorithmen der verwendeten Programme sind geheim und so nicht nachvollziehbar, die Trefferquote wurde wohl nie richtig geprüft und hat sich jetzt, nach Prüfung erst durch Journalisten, als haarsträubend herausgestellt. Will man so etwas machen, ist wie immer in der Justiz, Nachvollziehbarkeit  und Transparenz oberstes Gebot, also müssen die Algorithmen offen sein, um deren Vorgehensweise und „Gerechtigkeit“ zu prüfen. Ob der Ansatz überhaupt praxisgerecht ist, darf bezweifelt werden.
  • Die Prüfung legt nahe, dass die Software nur die Vorurteile der Bevölkerung wiederholt was Hautfarbe und soziale Herkunft anbelangt, Farbige wurden zu schlecht, Weiße zu gut beurteilt. Um diese Kriterien anzuwenden, bedarf es keiner Software. Schlimmer noch: Einen rassistischen Richter kann ich dokumentieren und so vielleicht überführen, eine proprietäre, nicht öffentliche Software nicht.
  • Strafrecht sollte nicht für mögliche zukünftige Verbrechen bestrafen, sondern für tatsächlich begangene. Schon deswegen ist der Ansatz falsch. Das deutsche Strafrecht unterscheidet zu Recht die Sicherungsverwahrung strikt von der Freiheitsstrafe. Nebenaspekt: In den Medien und der Politik wird dieser Ansatz mehr und mehr aufgeweicht: Ständig erreichen uns Nachrichten, dass auch in unserem Land ein terroristischer Anschlag „vereitelt“ wurde, bevor er begangen wurde. Ich sehe dabei das Generieren von Angst in der Bevölkerung meist im Vordergrund. Welche Taten den Inhaftierten dabei tatsächlich zu Last gelegt und auch bewiesen werden, wird oft nicht ausreichend dargestellt und in der Rückschau schon gar nicht.

tl;dr:

Der Ansatz der USA, Aufgrund von in-transparenten Computeralgorithmen das Strafmaß von Tätern zu bestimmen, ist inadäquat, erschreckend und menschenverachtend.