Angelesen #38

Da wären wir mal wieder. 3-2-1 Links der Woche:

And that, kids, is why we call it a “Patch (


deviantony/docker-elk: The ELK stack powered by Docker and Compose. (

Run the latest version of the ELK (Elasticseach, Logstash, Kibana) stack with Docker and Docker-compose.

Das docker-elk teste ich derzeit gerade. Sieht vielversprechend aus. Und läuft auch mit Metricbeat :)

Drumpf’s cyber-guru Giuliani runs ancient ‘easily hackable website’ (, the website for the ex-mayor’s eponymous infosec consultancy firm, is powered by a roughly five-year-old build of Joomla! that is packed with vulnerabilities. Some of those bugs can be potentially exploited by miscreants using basic SQL injection techniques to compromise the server.

Was könnte da wohl schief gehen…?

At the BBC, the launch of in-app vertical video is a step toward connecting with new audiences (

Vertical Video? FFS!

Law Enforcement Access to IoT Data (

The particulars of the case are weird. Amazon’s Echo does not constantly record; it only listens for its name. So it’s unclear that there is any evidence to be turned over. But this general issue isn’t going away. We are all under ubiquitous surveillance, but it is surveillance by the companies that control the Internet-connected devices in our lives. The rules by which police and intelligence agencies get access to that data will come under increasing pressure for change.

U.S. Global Entry Program to Start in Switzerland February 1, 2017 (

Ambassador Suzan G. LeVine commented: “Having been a user of the Global Entry program for several years now, I personally know that business and leisure travelers alike will appreciate the efficiency and speed with which members can get through the port of entry. This will allow participating travelers from Switzerland to focus on their travel plans and reduce the time spent at passport control.”


Simon Sinek on “The Millennial Question” (

15 Minuten über die Millenials, sehr gutes Interview mit Simon Sinek

HTTPS on (

This is a significant milestone in the 21-year history of our website, and though it’s taken us some time, we are very excited to share this with our readers.

Grosse Seiten auf HTTPS zu bringen ist nicht einfach. Toll zu sehen, dass die NY Times da vorreiter sind!

Atlassian acquires Trello for $425M (

Atlassian today announced that it has acquired project management service Trello for $425 million.

Atlassian hat mal wieder eingekauft.

Angelesen #37

Kurz mal die wöchentliche* Linkschleuder :)

LG threatens to put Wi-Fi in every appliance it releases in 2017 (

Now that phenomenon is reaching its logical endpoint: during the company’s CES press conference today, LG marketing VP David VanderWaal says that “starting this year” all of LG’s home appliances will feature “advanced Wi-Fi connectivity.”

Looking forward to the time when your toaster is DDOSing your fridge ;)

A wide-angle camera mounted inside the fridge lets you look inside your fridge remotely just in case you think you left something off your grocery list.

Seriously? ¯_(ツ)_/¯

C3TV – Gone in 60 Milliseconds (

More and more businesses are moving away from monolithic servers and turning to event-driven microservices powered by cloud function providers like AWS Lambda. So, how do we hack in to a server that only exists for 60 milliseconds?

Sehenswerter CCC Talk über die Sicherheit von “serverloser” Infrastruktur.

C3TV – Software Defined Emissions (

A technical talk on how to reverse-engineer electronic control units in order to document what was left apparently intentionally undocumented by the vendor – including how Volkswagen tweaked their cycle detection code while already being investigated by the EPA, how different the Volkswagen approach is really to the rest of the industry, and of course some trivia on how the „acoustic function“ got its name.

Zum Thema Dieselgate ein genialer Vortrag zum Thema Software Defined Emissions

How I Built This : Yvon Chouinard built @patagonia (

Podcast mit dem Firmendgründer von Patagonia

Great Talks and Presentations at 33C3 (

The Chaos Computer Congress is Europe’s leading hacker and tech community conference, taking place annualy in Hamburg, Germany between Christmas and New Year. This year was the 33rd time (hence 33C3), and as usual featured a large number of amazing talks and presentations.

Gute Auflistung von 33C3 Talks :)

Open-Sourcing Our Incident Response Documentation (

Our internal incident response documentation is something we’ve built up over the last few years as we’ve learned and watched our customers learn. It details the best practices of our process, from how to prepare new employees for on-call responsibilities, to how to handle major incidents, both in preparation and after-work. Few companies seem to talk about their internal processes for dealing with major incidents. It’s sometimes considered taboo to even mention the word “incident” in any sort of communication. We would like to change that, making it possible to learn and be better.

Äusserst Lesenswerte Dokumentation von Pagerduty für alle die öfters mal On-Call sind.

Does Google execute JavaScript? (

My conclusion is: Google may or may not decide to run your JavaScript, and you don’t want your business to depend on its particular inclination of the day. Do server-side/universal/isomorphic rendering just to be safe.

Ob google Javascript beim crawlen ausführt oder nicht ;)

  • hoffentlich ab jetzt wieder öfters

Angelesen #36

Und da wären wir. Das 2017 ist angebrochen. Die letzten paar Tage habe ich mich morgens zuerst um das Einfeuern der Holzheizung gekümmert, da es sonst ein bisschen kalt gewesen wäre. In den Bergen ist das Neujahr viel unspektakulärer (Mensch lese “leiser”) als in der Stadt.

2017 is not just another prime number (

Was 2017 ist und was nicht.

GoPro is going down hard (

No, not only that. Now somebody has decided that you cannot use their existing remote control software without a login to a “GoPro+” account. And you need to be connected to the Internet to do that.

My feeling trying to reconnect to the GoPro last time I used it.

Electricity Map | Live CO2 emissions of the European electricity production (

Live Karte des europäischen Strom Im- und Export.

Diagnose subito! Und bitte mit Bild! (

DNP will auch rasch eine genaue Diagnose, am besten mit Röntgenbild oder MRI-Scan. Eine umschreibende Beurteilung genügt nicht – dabei läge gerade darin die Stärke der Hausarztmedizin: Es gilt, eine essenzielle Krankheit oder eine schwere Verletzung auszuschliessen, die eine sofortige Therapie nötig machten – um sich dann in folgenden Konsultationen der Diagnose anzunähern, während dazwischen die Zeit heilt.

Grossartiger Artikel geschrieben von einem Hausarzt.

Maslow’s hierarchy of SRE needs (

Good read!

No Signal: Egypt blocks the encrypted messaging app as it continues its cyber crackdown (

Last week Egyptian users raised the alarm about their inability to access the highly encrypted app popular among activists, including important whistleblower Edward Snowden.

If your government tells you that something is wrong when they can’t access your private data you should be very much alarmed!

You Need to Rethink that “Jump Server.” (

This jump server should be destroyed and rebuilt frequently – like, once a day – using automated tooling. Doing so makes it harder for a hacker to take hold. Access to the jump server must be via two-factor authentication (2FA), period, making it harder for a compromised account to insert code onto the server.

Guter Artikel zum oft gepriesenen Jumphost

Angelesen #35

Da wären wir mal wieder mit ein paar Links. Die ruhigeren Dezembertage habe ich bisher genutzt um ein bisschen mit IOT Sensoren zu experimentieren, mal den Blog zu entstauben und einen meiner alten Server abzuschalten. Ziemlich produktiv oder?

And here we go!

Why Is My NTP Server Costing $500/Year? Part 1 (

We investigated and discovered our public NTP server was heavily loaded. Over a typical 45-minute period, our instance provided time service to 248,777 unique clients (possibly more, given that a firewall may “mask” several clients), with an aggregate outbound data of 247,581,892 bytes (247 MB). Over the course of a month this traffic ballooned to 332GB outbound traffic, which cost ~$40.

Wenn der NTP Server zum Problem wird.

«Der Kolonialismus hat nie aufgehört» (

Man kommt nicht von einem Ort, das ist ein mentales Konstrukt. Komme ich aus Bern, weil ich zurzeit hier wohne? Oder aus Berlin, weil ich 24 Jahre da gelebt habe? Das Einzige, was klar ist: Ich komme aus dem Bauch meiner Mutter.

Lesenswertes Interview mit Wilfried N’Sondé

Small Transparent Speaker (

The best wireless speaker we can make for you and for the environment.

Den grossen Transparent Speaker von People People habe ich schon länger auf meiner Wunschliste. Jetzt gibt es auch den Small Transparent Speaker :D

Mapping the Shadows of New York City: Every Building, Every Block (

You’re looking at a map of all of the shadows produced by thousands of buildings in New York City over the course of one day. This inverted view tells the story of the city’s skyline at the ground level.

Für alle GIS-Freunde und Städtebau interessierten.

Furiosa’s Cat Feeder (

You might say I’ve won this battle. However I just spent 20 hours armor-plating a cat feeder. I think we know who’s really in control here, don’t we?

How to secure a Cat Feeder. Hillarious!

SSH Config Includes (

OpenSSH version 7.3 introduced a very handy Include feature, which is great for people who have to manage connection info for multiple servers


WEMO SD1 mini pro (

Das D1 mini pro ist der Nachfolger des D1 mini. Sehr unter dem Radar wurde auch noch der SHT30 Sensor veröffentlicht (welcher scheinbar die bisherigen Temperatur und Feuchtigkeitssensoren ziemlich in den Schatten stellen soll)

Ein Bargespräch in vier Akten. (

Was Berner wirklich wollen. Was Rechte in der Reitschule machen. Wie träge Menschen Mainstream schaffen.

Das Nachtleben treffend hinterfragt und Diskutiert.

Create an Environmental Monitoring Dashboard (

Ein Blogpost, welchen ich gefunden habe, während ich mit den Wemos Sensoren rumgespielt habe. Jetzt müsst ich nur noch zuhause irgendwas haben das einen Docker Container 24/7 laufen lässt.

Mit dem Navi im Kofferraum gegen Uber (

  • Fahrer freundlich: Wissen wo ist?
  • Ich habe Ihnen doch die Adresse gegeben!?
  • Fahrer etwas weniger freundlich: Ich meine, wo fahren?
  • Das weiss ich nicht. Deshalb nehme ich ja ein Taxi.
  • Fahrer verwirft die Hände.
  • Haben Sie kein Navi?

Changing lanes (

Early one Sunday morning, half a century ago, Sweden’s motorists pulled off a deft manoeuvre. September 3rd 1967 was H Day, for Högertrafik (“right traffic”) day. The country, like Britain, had driven mostly on the left since the mid-18th century. But that looked untenable by the 1950s. All its Nordic neighbours were righties, making border crossings tricky.

Voters hated the idea of switching: 83% said nej to it in a referendum in 1955. But politicians don’t always feel bound by plebiscites. In 1963 parliament told a commission to prepare for lane-changing. By 1967 catchy pop songs, stickers, slogans and even special underpants reminded Swedes to turn right.

Mr. Robot Killed the Hollywood Hacker (

When hackers hack in Mr. Robot, they talk about it in ways that actual hackers talk about hacking. This kind of dialogue should never have been hard to produce: hacker presentations from Black Hat and Def Con are a click away on YouTube. But Mr. Robot marks the first time a major media company has bothered to make verisimilitude in hacker-speak a priority.


Quit Social Media. Your Career May Depend on It. (

Most social media is best described as a collection of somewhat trivial entertainment services that are currently having a good run. These networks are fun, but you’re deluding yourself if you think that Twitter messages, posts and likes are a productive use of your time.

Regt zum Nachdenken an.

drduh/macOS-Security-and-Privacy-Guide: A practical guide to securing macOS. (

This is a collection of thoughts on securing a modern Apple Mac computer using macOS (formerly OS X) 10.12 “Sierra”, as well as steps to improving online privacy.

Spannender Guide um OSx mehr abzusichern und die Privacy zu verbessern.

Angelesen #34


Da wär ich mal wieder, nach einigen Tagen in Dublin. Ich werde die Teatime und den Geruch der Kohleheizungen (!), der sich am Abend über die Stadt legt vermissen. Nach einem kurzen Zwischenstopp in der Schweiz bin ich schon für die nächste Reise am Packen: ZRH ✈ CPT

Ab zu den Links:

Die Staatsschutzakten, die Max Frisch nicht sehen durfte (

Im März 1990 verlangt er beim Kommando der Zürcher Stadtpolizei «dringend eine Fotokopie der offenen Fichen», die ihn betreffen – «sowie Einsicht in die dazugehörigen Dossiers». Vergeblich. Der Antrag wurde erst im Jahr nach Frischs Tod bearbeitet.
Wenn man die ungeschwärzten Fichen vor sich hat und die dazugehörigen Akten hinzuzieht (auch dafür sind wiederum Gesuche notwendig, und zwar für jedes einzelne Aktendossier), dann sieht man ziemlich bald, wie die Bundespolizei im Kalten Krieg ihre Informationen sammelte […]

Guter Artikel über Max Frisch und seine Fichen.

Geschlossene Gesellschaften (

Wer im Jahr 1750 von Höngg ins benachbarte Zürich umziehen wollte, stand vor einer fast unmöglichen Aufgabe. Höngger (und alle anderen Landzürcher) hatten keine Chance, das Stadtzürcher Bürgerrecht zu bekommen. Vielleicht erhielten Zuzüger einen Job als Magd oder Hauslehrer. Nach ein paar Jahren mussten sie die Stadt wieder verlassen.

Erst 1975 setzten die Stimmbürger mit 76 Prozent die «uneingeschränkte Niederlassungsfreiheit» durch.

Yahoo Scanned Everyone’s E-mails for the NSA (

Other companies have been quick to deny that they did the same thing, but I generally don’t believe those carefully worded statements about what they have and haven’t done. We do know that the NSA uses bribery, coercion, threat, legal compulsion, and outright theft to get what they want. We just don’t know which one they use in which case.

Oh well… und wieso haben wir in der Schweiz genau für mehr Überwachung gestimmt.

Cyberwehr: Innenministerium und BSI wollen IT-Spezialisten von Unternehmen ausleihen (

Zwar ist in dem Entwurf vorgesehen, dass von privaten Stellen in die Cybervorfall-Notfalltruppe entsandte Mitarbeiter zur Verschwiegenheit verpflichtet sein müssen. Auch sollen Stellen, denen zur Hilfe geeilt wird, die Beteiligung einzelner Cyberwehr-Teilnehmer ablehnen dürfen. Doch die Einsätze der Spezialisten sollen maximal fünf Tage am Stück gehen, heißt es in dem Entwurf, insgesamt bis zu 20 Tage, also einen vollen Arbeitsmonat, pro Jahr – bei voller Lohnfortzahlung durch den eigentlichen Arbeitgeber.

Die deutsche Cyber-Miliz…

«Bullshit» verdrängt Journalismus: Am Ende des Aufklärungszeitalters (

Weil Aufmerksamkeit knapp ist und sich in Geld oder Macht ummünzen lässt, wurde und wird immer mehr investiert, um sie zu generieren. Damit ist immerhin plausibel erklärt, weshalb heute in den USA auf einen Journalisten statistisch etwa fünf PR-Experten kommen, während vor drei Jahrzehnten das Verhältnis noch etwa ausgeglichen 1:1 betrug. Mit der Übermacht und der Professionalisierung der PR-Branche ging einher, dass sich Copy-Paste-Journalismus rapide ausbreitete. So wurde zunächst schleichend und dann immer offensichtlicher die Glaubwürdigkeit des Journalismus unterminiert.

Nvidia’s AI learns to drive by watching humans (

Perhaps even cooler, BB-8 realizes it doesn’t have to stay on the road in all circumstances. In the demonstration, traffic cones routed the car off the road and into the grass, and the AI instinctively knew that this was okay.

Could Slack Kill Facebook? (

Slack is designed for business use, but that doesn’t mean it has to stay that way. Stewart Butterfield, the Slack CEO, told me last year that he knows families who use it for personal group messaging and photo-sharing. I have friends and coworkers who use the platform for chatting with non-work friends.

DNS-over-HTTPS (

Google Public DNS provides the API at as well as a human-friendly web interface at Although the latter displays results in a browser it does not implement the API; be aware not to confuse these two URLs.

SSL Must-read Nummer 0 – Tolle API von Google.

SpaceX’s Big Fucking Rocket (

Tim Urban hat mal wieder geschrieben. Darin ist etwa alles untergebracht, was man wissen muss zu SpaceX und der Marsmission.

Terms of service agreements are destroying the concept of ownership for digital goods (

When you purchase a book from a bookstore your rights to that particular stack of paper are pretty intuitive. It becomes your personal property, not much different from a t-shirt, a diamond ring, or anything else you might carry around. You can sell your book, lend it to a friend, or toss it in the fireplace. In short, unless you’re making a copy, you can do whatever you want without asking for permission from the book’s creator.


New P2 Instance Type for Amazon EC2 – Up to 16 GPUs (

Speed of Light – Even as transistor density increases, the speed of light imposes scaling limits (as computer pioneer Grace Hopper liked to point out, electricity can travel slightly less than 1 foot in a nanosecond).

Amazon wirft eine neue GPU Instanz auf den Markt. Jetzt mit bis zu 20GBps Netzanbindung und 16 GPUs.

Lesser known Git commands (

Ein paar interessante Git Befehle um das tägliche Git-Kung-Foo aufzubessern.

As it happened: Rosetta ends its mission (

The frequency carrier signal from Rosetta should have a large peak in its centre – as soon as that disappeared, a few claps and a muted cheer rose from the crowd at mission control.
It’s assumed the spacecraft crashed into the comet – ending the signal right on time.

Die Rosetta Mission geht zu ende.

jlund/streisand: Streisand sets up a new server running L2TP/IPsec, OpenConnect, OpenSSH, OpenVPN, Shadowsocks, sslh, Stunnel, and a Tor bridge. (

The Internet can be a little unfair. It’s way too easy for ISPs, telecoms, politicians, and corporations to block access to the sites and information that you care about. But breaking through these restrictions is tough. Or is it?

Streisand ist eine Sammlung von Ansible Playbooks, welche einen sehr guten VPN Tunnelserver zusammen-konfiguriert. Emfpehlenswert.

Defending Against Hackers Took a Back Seat at Yahoo, Insiders Say (

The “Paranoids,” the internal name for Yahoo’s security team, often clashed with other parts of the business over security costs. And their requests were often overridden because of concerns that the inconvenience of added protection would make people stop using the company’s products.

Autsch oder “Wieso es 2 Jahre dauert die Kunden zu informieren, dass ihre Passwörter vor 2 Jahren gestohlen wurden.”

Facebook Ordered to Stop Collecting Data on WhatsApp Users in Germany (

The city of Hamburg’s data protection commissioner ordered Facebook on Tuesday to stop collecting and storing data on WhatsApp users in Germany, the first time a privacy watchdog has waded into the debate. The regulator, which has authority over Facebook’s activities across Germany, also called on the social network to delete all information already forwarded from WhatsApp on roughly 35 million German users.

Erstaunt mich nicht, dass es die Deutschen sind die sich da auf die Hinterbeine stellen :)

How WIRED Completely Encrypted Itself (

SSL Must-read Nummer 1

Pfadi: Das gute alte Zelttuch 64 wird ausgemustert (

Die Armee, dachte ich als Mädchen, ist wie das Zelttuch 64: gut getarnt und unverwüstlich. Die Soldaten benützen es vorläufig noch. Jugend und Sport (J+S) hat schon mal neue erhalten. Aus China übrigens. Lieferant ist die Firma Habegger in Thun. Der Spezialist für Seilzugtechnik hat die Herstellung an einen Dritten in China weitergegeben.

Ach die gute alte Zeltblache!

Someone Is Learning How to Take Down the Internet (

The attacks are also configured in such a way as to see what the company’s total defenses are. There are many different ways to launch a DDoS attack. The more attack vectors you employ simultaneously, the more different defenses the defender has to counter with. These companies are seeing more attacks using three or four different vectors. This means that the companies have to use everything they’ve got to defend themselves. They can’t hold anything back. They’re forced to demonstrate their defense capabilities for the attacker.

Nach einigen Angriffen auf die schweizer Internet Infrastruktur liest isch dieser Artikel gleich viel spannender.

sysctl tuning on Linux (

While most Linux Kernels nowadays come with nice sysctl defaults, there’s always room for improvement. Some parameters can be used for performance tuning, others can be critical for security hardening.

Ich habe letztlich ja länger an den Kernelparametern rumgespielt um unsere Systeme zu härten. Das ist eine der besseren Resourcen die man im Netz findet.

Technik: Varia Instruments RDM20 (

In ihrer Werkstatt, welche sich im alten Loeb Warenlager in Bern befindet, bauen Simon und *Marcel ihren Mixer zusammen. Mit ungefähr 20 Stunden pro Gerät verwenden sie mehr als nur ihre Freizeit dafür. Ihr RDM ist auch weit mehr als ein Rotary Mixer. Act local think global ist einer ihrer Leitsätze. So findet man auch hauptsächlich Teile aus der Schweiz verbaut, was nichts mit Patriotismus zu tun hat. Mit der Nähe zu den Lieferanten können sie ihren eigenen Qualitätsansprüchen gerecht werden. “Wir legen grossen Wert darauf zu wissen, woher wir was beziehen. In unserer Welt kaufen wir schon zu viele Dinge, bei denen wir nicht wissen, woher sie kommen.” erklärt Marcel.

Akkustik-Mixer-Porn made in good old Bärn <3

The Great HTTPS Migration (

SSL Must-read Nummer 2

We launched our company with a parody product. (

We put the site on a free Github Page, which is awesome for quick projects like this with static content but has a 100gb/month recommended bandwidth limit. The Apple Plug site with images runs at over 4mb, and we got more than 1.5 million views in a day, which adds up to around 7 terabytes of bandwidth, waaay more than Github’s limit. To handle this we added a free plan from Cloudflare, which we can’t recommend enough. We were able to transition to their CDN seamlessly, and they handled 99% of our bandwidth. (In total over the last week: 9.69 terabytes out of 9.80 terabytes.)

TIL: Free-Hosting = Github & Cloudflare

Foreigners breach two million mark (

In 2015 there were 2,048,700 foreign nationals in the country, meaning they now account for 24.6% of the permanent resident population, the Federal Statistical Office said on Friday. The figure for 2014 was 1,998,500.


Just how dangerous is it to travel at 20% the speed of light? (

The work, done by a team of four astronomers, focuses on one of the most basic issues: spacecraft survival. The goal of Breakthrough Starshot is to accelerate its craft to about 20 percent the speed of light. At that speed, even individual atoms can damage the vehicle, and a collision with a bit of dust could be catastrophic. So the team set out to quantify just how risky these collisions could be.

Spass mit Physik :)

Christian Frick lenkt am Open Air Basel den Bass in gezielte Spuren – sehr zur Freude der Anwohner (

«Wir werden dem Bass sicher 90 Prozent Energie entziehen», sagt Frick, «wenn alles gelingt sogar bis zu 99 Prozent.» Das wäre eine Emissionssenkung von bis zu 20 Dezibel, also ein siebenmal geringerer Schall-Intensitätspegel oder, psychoakustisch subjektiv beurteilt, weniger als ein Viertel so laut wie das ungefilterte Ursprungssignal.

Noise Cancelling in gross!

Frequent Password Changes Is a Bad Security Idea (

The researchers used the transformations they uncovered to develop algorithms that were able to predict changes with great accuracy. Then they simulated real-world cracking to see how well they performed. In online attacks, in which attackers try to make as many guesses as possible before the targeted network locks them out, the algorithm cracked 17 percent of the accounts in fewer than five attempts. In offline attacks performed on the recovered hashes using superfast computers, 41 percent of the changed passwords were cracked within three seconds.

Also ja wenn man das Passwort nicht dämlich hochzählt sondern anständige Passwörter vergibt sollte das Problem vom Tisch sein.

Machine Learning is Fun! Part 4: Modern Face Recognition with Deep Learning (

Have you noticed that Facebook has developed an uncanny ability to recognize your friends in your photographs? In the old days, Facebook used to make you to tag your friends in photos by clicking on them and typing in their name. Now as soon as you upload a photo, Facebook tags everyone for you like magic

Machine Learning und Gesichtserkennung

HTTPS Adoption doubled this year (

Despite being around for over 20 years, HTTPS has always remained very lightly adopted – until now. Data from 2 independent sources show HTTPS adoption has more than doubled in the last year, an unprecedented massive spike in adoption of this security control.

SSL Must-read Nummer 3

A guy trained a machine to “watch” Blade Runner. Then things got seriously sci-fi. (

In other words: Warner had just DMCA’d an artificial reconstruction of a film about artificial intelligence being indistinguishable from humans, because it couldn’t distinguish between the simulation and the real thing.