Angelesen #19

Also auf 1770 Meter über Meer war es am vergangenen Samstagmorgen relativ frisch, sodass ich mir ein Jäggli anziehen musste während ich den Sonnenaufgang genoss. Mit ein bisschen Kreativität findet man kühlere Plätzchen. Am Wasser oder in den Bergen. Deshalb machte ich mich am Freitagabend auf zum Nässli im Simmental und wanderte danach noch ein bisschen weiter nach oben um da mein Nachtlager aufzuschlagen, mich erwartete eine Wolkenlose nacht mit Mondschein und ein entfernt vorbeiziehendes Gewitter.

Aber genug der Outdoorfreude auf zu den Artikeln der Woche:
[v6ops] Apple and IPv6 – Happy Eyeballs (ietf.org)

While our previous implementation from four years ago was designed to select the connection with lowest latency
no matter what, we agree that the Internet has changed since then and reports indicate that biasing towards IPv6 is now
beneficial for our customers: IPv6 is now mainstream instead of being an exception, there are less broken IPv6 tunnels,
IPv4 carrier-grade NATs are increasing in numbers, and throughput may even be better on average over IPv6.

IPv6 : Apple passt mit IOS9 und El Capitan die Happy Eyeballs Implementation an und übernimmt so eine kleine Vorreiterrolle bezüglich IPv6 Unterstützung. Nebenbei werden Apps im AppStore bald dazu gezwungen IPv6 zu Unterstützen.

Wenn dich die Polizei filzt, muss sie dir eine Quittung ausstellen – fordern Politikerinnen (tsri.ch)

«Das Ausstellen von Quittungen bei Personenkontrollen soll dazu führen, dass Personenkontrollen bewusster und nur bei Vorliegen hinreichender Gründe durchgeführt werden, und dass die Kontrollierten klar über den Grund der Kontrolle informiert werden»

Nicht das ich sonderlich oft von der Polizei angehalten werde, jedoch finde ich das eine gute Idee.

Kaspersky Finds New Nation-State Attack—In Its Own Network (wired.com)

The wipe occurred just four hours before Kaspersky identified the employee’s machine as “patient zero,” suggesting the intruders knew they’d been caught and were racing to eliminate evidence before Kaspersky could find it. Raiu suspects they may have been tipped off when Kaspersky disconnected many of its critical systems from the Internet after discovering the breach.

Kaspersky hat sich ja schon einige Male einen Namen gemacht. Das sie selbst jetzt aber einen erfolgreichen Angriff auf Ihre Infrastruktur offenlegen ist stark.

Turmzoll von Fry’s Gnaden (blog.tagesanzeiger.ch)

Zwei Franken werden  Zürcherinnen und Zürcher, auch Kinder, ab heute zahlen müssen, wenn sie auf ihrem Hausberg den Aussichtsturm besteigen wollen.

Züricontent: Tja schade. Viel Spass mit dem Drehkreuz Herr Fry!

Microsoft quietly pushes 17 new trusted root certificates (hexatomium.github.io)

Earlier this month, Microsoft has quietly started pushing a bunch of new root certificates to all supported Windows systems. What is concerning is that they did not announce this change in any KB article or advisory

Interessant… Ach… CA’s sind doch einfach irgendwie broken!

Steve Wozniak: In the future, robots will keep humans as pets (mashable.com)

I want the Internet of Things. It does things for me. I don’t have to think…. If it turned on us, it would surprise us. But we want to be the family pet and be taken care of all the time,” he said.

Der Woz über die Zukunft und AI’s

Can you trust Tor’s exit nodes? (nakedsecurity.sophos.com)

Dan Egerstad proved then that exit nodes were a fine place to spy on people and his research convinced him in 2007, long before Snowden, that governments were funding expensive, high bandwidth exit nodes for exactly that purpose.

Lesenswert! Darum ist es eigentlich wichtig möglichst viele Exit Nodes zu betreiben (wäre das nur nicht so mühsam).

Stadtschützen wehren sich gegen Verbannung aus dem Ferienpass (bernerzeitung.ch)

In einem Postulat hat der grüne Stadtrat Luzius Theiler (GPB-DA) letztes Jahr verlangt, diese beiden Schiesskurse zu streichen. Denn es sei gefährlich, wenn sich Jugendliche für den Schiesssport begeisterten: «Bis zu einem Missbrauch in einem unkontrollierten Affekt ist es dann nur noch ein kleiner Schritt», heisst es in Theilers Postulat.

Nach Theilers logik müssten wir ja unglaublich viele Schiesswütige haben in der Schweiz.

Docker, CoreOS, Google, Microsoft, Amazon And Others Come Together To Develop Common Container Standard (techcrunch.com)

“Today Docker is the de facto image format for containers, and therefore it is a great place to start as a standard. We still feel that there are many technical issues in the existing Docker format, but having a neutral seat at the table will help address these for the industry overall.”

Spannend zu sehen wie schnell Docker das Synonym für Container-Basierte Virtualisierung wurde (obwohl es Container ja schon länger gibt).

«Die Reitschule funktioniert viel besser als der Stadtrat» (derbund.ch)

Interessantes Interview mit zwei Reitschülern. Chrigu kenne ich noch aus der Lehre.

Flame Graphs (brendangregg.com)

Flame graphs are a visualization of profiled software, allowing the most frequent code-paths to be identified quickly and accurately. They can be generated using my open source programs on github.com/brendangregg/FlameGraph, which create interactive SVGs. See the Updates section for other implementations.

Flame Graphs <3 Damit will ich demnächst mal rumspielen.

OpenSSL Release

Gerade auf der openssl-announce Liste gesehen:

Forthcoming OpenSSL releases

The OpenSSL project team would like to announce the forthcoming release
of OpenSSL versions 1.0.2d and 1.0.1p.

These releases will be made available on 9th July. They will fix a
single security defect classified as “high” severity. This defect does
not affect the 1.0.0 or 0.9.8 releases.

Yours

The OpenSSL Project Team

Das könnte erneut spannend werden!

Update:

Lesenswert ist auch der Artikel von Mattias Geniar

Und das Advisory:

OpenSSL Security Advisory [9 Jul 2015]
=======================================

Alternative chains certificate forgery (CVE-2015-1793)
======================================================

Severity: High

During certificate verification, OpenSSL (starting from version 1.0.1n and
1.0.2b) will attempt to find an alternative certificate chain if the first
attempt to build such a chain fails. An error in the implementation of this
logic can mean that an attacker could cause certain checks on untrusted
certificates to be bypassed, such as the CA flag, enabling them to use a valid
leaf certificate to act as a CA and "issue" an invalid certificate.

This issue will impact any application that verifies certificates including
SSL/TLS/DTLS clients and SSL/TLS/DTLS servers using client authentication.

This issue affects OpenSSL versions 1.0.2c, 1.0.2b, 1.0.1n and 1.0.1o.

OpenSSL 1.0.2b/1.0.2c users should upgrade to 1.0.2d
OpenSSL 1.0.1n/1.0.1o users should upgrade to 1.0.1p

This issue was reported to OpenSSL on 24th June 2015 by Adam Langley/David
Benjamin (Google/BoringSSL). The fix was developed by the BoringSSL project.

Note
====

As per our previous announcements and our Release Strategy
(https://www.openssl.org/about/releasestrat.html), support for OpenSSL versions
1.0.0 and 0.9.8 will cease on 31st December 2015. No security updates for these
releases will be provided after that date. Users of these releases are advised
to upgrade.

References
==========

URL for this Security Advisory:
https://www.openssl.org/news/secadv_20150709.txt

Note: the online version of the advisory may be updated with additional
details over time.

For details of OpenSSL severity classifications please see:
https://www.openssl.org/about/secpolicy.html

Angelesen #18

Hier war grad ein paar Wochen pause. Da kam der Sommer und die Wochenenden am Fluss/See oder in der Luft.

Da sich einiges an Links angesammelt hat, hier nun Rückblickend die gelesenen Highlights!

Let’s Encrypt Overview (cryptologie.net)

Eine sehr lesenswerte Übersicht über das Let’s Encrypt Projekt.

Twitter and Medium Announce They’ve Invented Email (gizmodo.com)

As Twitter and Medium modernize for the new age known as the third quarter of 2015, they’ve both made announcements about the astonishing new directions the companies are taking. Both will be letting users have access to something extraordinary and magically powerful.

Wenn Slack dem Mail den Kampf ansagt springen Twitter und Medium in die Bresche und ‘erfinden’ Mail. Ich lache immer noch!

How South Korea’s DRC-HUBO Robot Won the DARPA Robotics Challenge (spectrum.ieee.org)

Robust power: When motors draw lots of current, the main power system may fail to provide enough power to critical components. To avoid that, the team used a supercapacitor system that keeps computers, communications, and some sensors like gyros running even if the main power system goes down.

Yay, Supercaps! Ich hoffe, das die in naher Zukunft auch in Mobiltelefonen zum Einsatz kommen.

Will Your Job Be Done By A Machine? (npr.org)

Das Thema schlägt den gleichen Pfad ein wie der vor einigen Wochen erwähnten Beitrag zum Thema “Menschen durch API’s ersetzen”. Interessante Auflistung.

GM says you don’t own your car, you just license it (boingboing.net)

GM has joined with John Deere in asking the government to confirm that you literally cannot own your car because of the software in its engine.

Well… Juristenfutter

Nobody gets fired for buying Amazon (uk.businessinsider.com)

But for the vast majority of the world, Amazon Web Service is good enough, Microsoft Windows Azure integrates well enough, and Google Cloud Platform is developer-friendly enough to meet their needs. 

Auf den Punkt gebracht.

What one may find in robots.txt (xn--thibaud-dya.fr)

Ein wunderbarer Angrifsvektor die robots.txt. Was man programmatisch vor Suchmaschinen fern hält lässt sich jedoch sehr einfach crawlen und auswerten :)

Secure yourself, Part 1: Air-gapped computer, GPG and smartcards (viccuad.me)

Sehr ausführliche und umfangreiche Anleitung wie man sich einen Airgap Computer aufsetzt und seine PGP Schlüssel erstellt.

Set up an air-gapped computer
Create the GPG keys and subkeys
Publish the public key
Configure and load the keys into a Yubikey Neo
Backup the keys
Set up another computer for the Yubikey Neo
Migrate from your old keys
Revoke the subkeys in case of emergency

Acht Wahnsinnswochen mit GoButler (gruenderszene.de)

GoButler, gegründet im Februar und gelauncht am 6. März, kommt nach eigener Aussage heute auf 50.000 Nutzer und über 200.000 behandelte Anfragen, um die sich 60 Mitarbeiter kümmern.

Ich habe eine Woche auf der Warteliste gewartet und bin nun auch dabei :)

Coworking Space mit Café/Bar in Bern (popupcoworking.ch)

Wir träumen von einer Community, in der innovative und kreative Menschen ihre Ideen und Vision in Firmen, Innovationen und soziale Aktionen umsetzen.

Yay ein Co-Working in Bern für momentan 20 Stutz am Tag. Toll!

Facebook Visual Identity (officeofbenbarry.com)

Etwas fürs Grafikherz :)

«Wir mussten unbedingt grösser werden» (journal-b.ch)

Das Berner Quartierrestaurant «Wartsaal» zieht es in die Agglomeration. Journal B hat sich mit Teilhaber Tobias Roder über den Einstieg der Wartsaal-Leute beim Restaurant «Im Quadrat» in Zollikofen unterhalten.

Ich bin gespannt. Das Wartsaal Team gläntzt mit Ihrer leistung ja schon länger!

Die urbanen Beizer zieht es in die Agglo (derbund.ch)

Wartsaal die zweite :)

Verizon Agrees to Buy AOL for $4.4 Billion (wsj.com)

Verizon Communications Inc. agreed to buy AOL Inc. in a $4.4 billion deal aimed at advancing the telecom giant’s growth ambitions in mobile video and advertising.

Zwar älter aber interessant das der Uraltmoloch AOL aufgekauft wird.

Samsung sales plummet in China by 50% in a year, says IDC (uk.businessinsider.com)

With a large-screened iOS device available, consumers have turned away in huge numbers from high-end Android manufacturers like Samsung, with devastating results: The South Korean smartphone company’s profits cratered, with Apple now taking 93% of all profits in the entire smartphone industry.

Apple saugt die Luft aus dem Smartphone Markt.

Swisscom: Mit selbstfahrenden Autos gegen die Netzneutralität (andreasvongunten.com)

Unter diesem Aspekt muss man auch die PR-Aktion mit den selbstfahrenden Autos sehen. Es geht überhaupt nicht darum, dass die Swisscom Erfahrungen für die Mobilität der Zukunft sammeln will, sondern darum bei den politischen Entscheidungsträgern als “Google” der Schweiz in Erinnerung zu bleiben.

Andreas spricht Klartext!

Man photocopies his Kindle to make physical backup (deathandtaxesmag.com)

In what may seem like an act of either extreme whimsy or incredible paranoia a man has photocopied every page of his Kindle version of George Orwell’s 1984, creating a paper copy of the digital text.

Brilliant!

Flickr redesigns web and mobile apps to create a powerhouse in online photo storage (theverge.com)

It turns out that Flickr was quietly rethinking how the service should work in 2015. When Stewart Butterfield and Caterina Fake launched the service in 2004, the era of cellphone photography was only just beginning.

Flickr (über)lebt immer noch, irgendwie.

Blogartikel nach Facebook autoposten – Alternativen zu RSS Graffiti und Co. (schwindt-pr.com)

Nach dem abrupten Betriebsstop von RSS Graffiti hat Annette einige Alternativen zusammengestellt. Ich habe inzwischen auf Jetpack umgestellt.

NVD – Detail (web.nvd.nist.gov)

Hospira Lifecare PCA infusion pump running “SW ver 412″ does not require authentication for Telnet sessions, which allows remote attackers to gain root privileges via TCP port 23.

Schrei, Kreisch! Mein normaler Spruch “solange kein Leben davon abhängt” hat soeben die Gültigkeit verloren. Ist ja nur eine Infusionspumpe.

Meeting Snowden in Princeton (lightbluetouchpaper.org)

The NSA is even more cautious than the FBI, and won’t use top exploits against clueful targets unless it really matters. Intelligence services are at least aware of the risk of losing a capability, unlike vanilla law enforcement, who once they have a tool will use it against absolutely everybody.

Auch gut zu lesen. Die NSA geht viel bewusster mit Exploits um als andere Gesetzesbehörden.

To keep a Boeing Dreamliner flying, reboot once every 248 days (engadget.com)

“A Model 787 airplane that has been powered continuously for 248 days can lose all alternating current electrical power due to the generator control units simultaneously going into failsafe mode,” the FAA said in a statement warning of the flaw. “We are issuing this AD to prevent loss of all AC electrical power, which could result in loss of control of the airplane.” Boeing, for its part, is aware of the problem and has reset the power on 787 Dreamliners currently in service. Most importantly, the company’s already working on an update that will patch the software vulnerability — though there’s no word on when its jets will receive it.

Schrei, Kreisch Part II.

Wunsch Schloss 2015

Zägg Bumm, diese Events sind einfach immer rassig vorbei.

Vergangenen Dienstag ging im Rittersaal des Schloss Thun die erste Auflage des Wunsch Schloss über die Bühne. Spannende Wünsche und Ideen an die Politik aus der Bevölkerung wurden in mal mehr und mal weniger knappen 8 Minuten vorgetragen. Die Videos kommen in knapp 2 Wochen online. Die Post-Production läuft derzeit :)

Leider hatte man beim Bau des Schloss Thun nicht wirklich Nachhaltig gebaut. So musste ich zunächst 100 Meter Netzwerkkabel verlegen und Freileitungen bauen (zum Glück hat man dieses Handwerk ja gelernt) um eine Internetleitung für den Livestream hinzukriegen.

Im Vergleich zum TEDxBern habe ich das Livestream Setup geringfügig aufgebohrt und nehme den Ton nun über ein eigenständiges Mischpult. Somit hat man auch die Möglichkeit den Livesound zu Monitoren und kleine Anpassungen vor zu nehmen. Danach wird alles mit Wirecast auf Youtube rausgestreamt. Wirecast ist momentan mein neues Lieblingswerkzeug was Livestreaming betrifft, weil es einfach Funktioniert und nicht zickt wie der Flash Media Live Encoder (FLME).

Learnings:

  • Mehr Netzwerkequipment mitnehmen – 100 Meter Kabel führen bei gewissen Swiches zu lustigen Problemen
  • Ein gut eingespieltes Team bringt Ruhe in den ganzen Event.
  • Zu wissen das gewisse technische Dinge zuverlässig Funktionieren und sauber Zusammenspielen minimiert den Workload
  • Liveton != Saalton – Ich hatte regelmässig am Ton zu Schrauben da bei vielen Speakern die Stimme jeweils ein bisschen verändert werden muss
  • Da alle Bildsignale auf HDMI (respektive HDMI via SDI) basierten wünsche ich mir jetzt mal 2 EDID Boxen um die HDMI Ports besser anzusprechen

Merci an das beste Tech Team das man sich wünschen kann: Chrigu, Sändu, Bänz, Simu und Sändu von Decoy Collective und dem Tonmann des Abends Lüku!