Angelesen #14

Guten Morgen!

Ja heute gibts den Artikel ein bisschen früher als üblich, ich sitze gerade im Flughafen Frankfurt und warte auf meinen Anschluss in Richtung Seattle (es ist ja auch schon ende März, da darf ich das Land schon mal wieder verlassen). Uäääh und jetzt zum Gate. See you in 10 Hours :)

Interessant auch die Zusammenstellung von Oliver Flückiger.

But let’s get started:

Die Bezeichnung Nachrichten hat ihren Wert verloren | Udo Stiehl

Kein Ereignis hat bisher so klar vor Augen geführt, dass im Nachrichten-Journalismus handwerkliche Grundlagen abhanden gekommen sind. In der Berichterstattung über den Absturz eines Germanwings-Flugzeugs haben Vorgaben zum Sendeformat die Inhalte bestimmt – und fast überall klebte das Etikett “Nachrichten” drauf. Es waren aber kaum welche drin. Weil die Definition von Nachrichten inzwischen so verwaschen und ausgehöhlt ist, sollte die ursprüngliche Form dieses Genres zu neuem Leben erweckt werden. Nennen wir es der Einfachheit halber “Fakten“.

via Oli Flueckiger

Rsync paralelisieren

rsync is a great tool, but sometimes it will not fill up the available bandwidth. This is often a problem when copying several big files over high speed connections.

The following will start one rsync per big file in src-dir to dest-dir on the server fooserver:

cd src-dir; find . -type f -size +100000 | \
parallel -v ssh fooserver mkdir -p /dest-dir/{//}\; \
rsync -s -Havessh {} fooserver:/dest-dir/{}

encryption – Secure way to transfer public/secret key to second computer – Information Security Stack Exchange

Darüber haben Habi und ich am letzten Bloggy Monday gesprochen. Wie zum henker kriegt man einen Secret Key sicher von einem zum andern Computer ohne diesen über eine nicht vertrauliche Verbindung zu schicken.

Dieser Weg gefällt mir doch sehr (auch wenn er ein bisschen Hardcore ist).

Link natürlich von Habi

jgrahamc/httpdiff

Perform the same request against two HTTP servers and diff the results. For best results use in a terminal that supports ANSI escape sequences.

DIFF für HTTP Requests – darauf habe ich gewartet!

Stealing Data From Computers Using Heat | WIRED

In their video demonstration, they used one computer tower to initiate a command to an adjacent computer tower representing an air-gapped system. But future research might involve using the so-called internet of things as an attack vector—an internet-connected heating and air conditioning system or a fax machine that’s remotely accessible and can be compromised to emit controlled fluctuations in temperature.

Woah! Als nächstes kommt die Bleiplatte zwischen ge-Airgappte Arbeitsstationen. Wobei es da scheinbar immer noch den Angriffsvektor über die Soundkarte gäbe… Security ist schwer!

2015 Open Source Donations

We just made our Free and Open Source Software (FOSS) donations for 2015, totaling $125,000 across five projects. Thank you for all the community nominations.

Duck Duck Go hat eine Gesamtsumme von 125k $ an verschiedene FOSS Projekte gespendet. Unter anderem an Tails und die GPGTools. Grossartig!

Can’t even throw code across the wall – on open sourcing existing code

Starting a new project as open source feels like the simplest thing in the world. You just take the minimally working thing you wrote, slap on a license file, and push the repo to Github. The difficult bit is creating and maintaining a community that ensures long term continuity of the project, especially as some contributors leave and new ones enter. But getting the code out in a way that could be useful to others is easy.

Etwas wirklich zu Opensourcen ist schwer, diese Erfahrung habe ich auch schon gemacht. Guter Artikel zum Thema.

12-minute Mandelbrot: fractals on a 50 year old IBM 1401 mainframe

One complex feature of the IBM 1401 is Editing, which is kind of like printf implemented in hardware. The Edit instruction takes a number such as 00123456789 and a format string. The computer removes leading zeros and inserts commas as needed, producing an output such as 1,234,567.89. With the optional Expanded Editing feature (just $20/month more), you can obtain floating asterisks (******1,234.56) or a floating dollar sign ($1,234.56), which is convenient for printing checks. Keep in mind that this formatting is not done with a subroutine; it is implemented entirely in hardware, with the formatting applied by discrete transistors.

Der IBM 1401 ist eine Rechenmaschine die mein Nerdherz einfach höher schlagen lässt. Eine dieser Maschinen habe ich letztes Jahr in San Francisco friedlich vor sich hinrechenen sehen. Der Artikel beleuchtet einige sehr nette Details und geht danach weiter auf das Implementieren eines Programms in Assembler welches Mandelbrot Fraktale über den Zeilendrucker ausgibt.

Change the World – The New Yorker

These inward-looking places keep tech workers from having even accidental contact with the surrounding community. The design critic Alexandra Lange, in her recent e-book, “The Dot-Com City: Silicon Valley Urbanism,” writes, “The more Silicon Valley tech companies embrace an urban model, the harder it becomes for them to explain why they need to remain aloof.

Mein Longread der Woche. Über das Silicon Valley und wie es sich scheinbar Verändert hat.

Plugging a 1986 Mac Plus into the modern Web

The MacWeb developers apparently took a look at the HTTP 1.0 spec, decided, “Who would ever need name-based virtual hosting?” and left out the feature that 99 percent of the sites on the modern Web relied on. No support for virtual hostnames meant you got whatever you saw when you used the server’s IP address alone in the HTTP request, and for most sites, that was jack squat. Oh, and HTTPS, cookies, and CSS hadn’t been invented yet.

Einen 1986er Mac ans Internet Anschliessen – Ich mag solche Projekte!

Was ich euch vorenthielt…

…manchmal arbeite ich auch auf einer Baustelle – als Kameramann ;) Weitere Behind the Scenes Bilder gibts auf Facebook.

Und das Video das wir (Pilot: Michael, Kamera: Boris und meine Wenigkeit) mit dem Schnitzelcopter erflogen haben:

Angelesen #13

Hyvää huomenta!
Wir gewöhnen uns dran, das ich das mit dem Sonntag veröffentlichen nicht all zu ernst nehme. Derzeit ist Kistenpacken und Ausmisten auf der Prioritätenliste ziemlich weit oben.

Angelesenes von letzer Woche von Spotify (mit vielen spannenden Einblicken) über das Nachrichtendienstgesetz bis hin zum Anpassen eines Mobiltelefons sodass es nicht mehr extern überwacht werden kann.

Einen guten Wochenstart!

Why Spotify Pays So Little

Working backwards the average US listener logs 890 streams per month.
Terry is below average. In 2014 he averaged 350 streams per month. If his subscription money only went to artists he listened to, it would’ve been $0.02 per stream.
Instead it was $0.00786.
Normal listeners are subsidizing yoga studios that play Spotify all day.
Catalog artists have to compete with Top 40 for the same pot of money.

Interessante Ansichten zur Spotify Pay-Per-Stream.

Where the Real Skyscrapers Are (Hint: North Dakota)

Name the tallest structures in the world. Maybe flashy skyscrapers in China or the Gulf States come to mind. Or maybe you’re thinking of U.S. icons like One World Trade Center in New York or the Willis Tower in Chicago.
You’re almost certainly not thinking of TV towers. But dozens of nearly anonymous towers around the United States, most in small rural communities, dwarf all but the tallest man-made structures in the world.

Einige von denen habe ich auch schon gesehen wie zum Beispiel die Sendeantenne Gufuskálar in Island welche 412 Meter hoch ist.

YouTube just put the final nail in the Loudness War’s coffin

It means that YouTube have been using loudness normalisation on their music videos – and they’ve been doing it since December last year. Everything plays at a similar loudness, regardless of how it was mastered. And no-one has noticed.

Bam, wurde Zeit!

Apple iOS Hardware Assisted Screenlock Bruteforce

Although we’re still analyzing the device it appears to be relatively simple in that it simulates the PIN entry over the USB connection and sequentially bruteforces every possible PIN combination. That in itself is not unsurprising and has been known for some time. What is surprising however is that this still works even with the “Erase data after 10 attempts” configuration setting enabled. Our initial analysis indicates that the IP Box is able to bypass this restriction by connecting directly to the iPhone’s power source and aggressively cutting the power after each failed PIN attempt, but before the attempt has been synchronized to flash memory. As such, each PIN entry takes approximately 40 seconds, meaning that it would take up to ~111 hours to bruteforce a 4 digit PIN.

Netter Hack. 111 Stunden sind nicht eine schlechte Zeitmarke.

How We Listen to Music

Spannende Einblicke, auch wenn Spotify zusammenhänge zwischen Musikplays und Ereignissen herstellt (beginnt ab Slide 55) oder hier direkt zum Blogpost

via Daniel Joerg

The best interface is no interface: why we don’t always need An App for That

avoiding a digital interface means you don’t waste time using a screen you don’t need to be using anyway

Ich lachte beim “Unlock your Car in 13 Steps”

I Can Text You A Pile of Poo, But I Can’t Write My Name by Aditya Mukerjee

The very first version of the Unicode standard did include Bengali. However, it left out a number of important characters. Until 2005, Unicode did not have one of the characters in the Bengali word for “suddenly”. Instead, people who wanted to write this everyday word had to combine three separate, unrelated characters. For English-speaking teenagers, combining characters in unexpected ways, like writing ‘w’ as ‘\/\/’, used to be a way of asserting technical literacy through “l33tspeak” – a shibboleth for nerds that derives its name from the word “elite”. But Bengalis were forced to make similar orthographic contortions just to write a simple email: ত + ্ + ‍ = ‍ৎ (the third character is the invisible “zero width joiner”).

Das gewisse Sprachen abseits vom lateinischen Alphabet nur teilweise in UTF-8 abgebildet werden können war mir nicht bewusst.

Nein zum neuen Nachrichtendienstgesetz

Eine offenen, lieberale Gesellschaft wird nicht totalüberwacht. Punkt. Ende. Aus.

Total Einverstanden! #lesebefehl

High quality GIF with FFmpeg

There is always time for a GIF, enough said!

Motorola Moto E modifications

What if you could have a phone that wasn’t a walking room bug? What if it was a useful, cheap and easy wifi hotspot but with an actual user interface? Wouldn’t it be nice if it had good battery life?

The Motorola Moto E (model: XT1021 and related devices) is an affordable modern Android cellphone. It may be purchased in cash at your local MediaMarkt for around 100 Euros. It is easy to modify for your everyday surveillance detection, counter-surveillance and anti-surveillance needs.

Eigentlich traurig das man sich heutzutage solche Gedanken machen muss, jedoch vom technischen Aspekt her interessant ein Telefon so zu bearbeiten das es nicht mehr direkt überwachbar ist.

OpenSSL ‘high’ Severity Fixes am Freitag

Nach einigen eher hitzigen Diskussion auf der openbsd-misc Mailliste, nach welcher man schon etwas vermuten konnte. Gibt es nun auf der Announce List von OpenSSL folgendes zu lesen:

The OpenSSL project team would like to announce the forthcoming release
of OpenSSL versions 1.0.2a, 1.0.1m, 1.0.0r and 0.9.8zf.

These releases will be made available on 19th March. They will fix a
number of security defects. The highest severity defect fixed by these
releases is classified as “high” severity.

Warten wir mal auf den Freitag Wenn man durch die Git History von OpenSSL pflügt und die Commits studiert sind einige Changes interessant. Jedoch ist es schwer abzuschätzen welche Änderungen dann die wirkliche Lücke betreffen und wie schlimm diese wirklich ist. Ich freue mich jedenfalls schon bald den neuen SSL Terminator in den Einsatz zu schicken und hoffe bis im Sommer Let’s Encrypt verwenden zu dürfen.

Update: Nun ist auch das Security Advisory draussen.