Kurzweilige Doku über Lost Places, wie es sie überall auf der Welt gibt. Arte hat sie sich genauer angesehen.

Stillgelegte Industrieanlagen, verlassene Dörfer, leerstehende Einkaufszentren: Sie werden dem Verfall überlassen und von der Natur zurückerobert. Der Zutritt zu diesen spektakulären Orten ist oft untersagt, bis über ihren Abriss – oder ihre Weiterverwendung – entschieden wird. Gerettet werden sie meist von couragierten Einzelkämpfern, Ruinenfreaks, Künstlern und Aktivisten.

(Direktlink)

Von mir braucht es keinen Kommentar zur UK-Wahl. Jonathan Pie macht das.

Vorgestern so: Twilio-Datenreichtum, 33 Mio Kundentelefonnummern entfleucht.

Gestern so: Twilio-Datenreichtum, 8TB Logdaten bei Dienstleister entfleucht.

Heute so: Twilio-Führungskräfte stoßen ihre Aktien ab. Money Quote:

Die Transaktionen erregen dabei besonderes Interesse der Investoren und Marktbeobachter, da sie oft als Indikator für das Vertrauen der Führungsebene in die Zukunftsaussichten des Unternehmens angesehen werden.

Ich verstehe nicht, wieso die sich Sorgen machen. Ihre Kunden waren so blöd, überhaupt zu ihnen zu kommen, ohne irgendwas zu verifizieren und obwohl Twilio schon Datenreichtümer hatte. Die Schafherde wird da auch weiter kaufen.

Und wenn das nächste Mal Daten wegkommen, werden wieder alle von der enormen kriminellen Energie der bösen APT-Russen schwafeln und keiner wird sich verantwortlich fühlen.

Wenn ihr mich fragt, haben sich die Player hier alle gegenseitig verdient.

Kurze Durchsage von Europol:

Home Routing is limiting law enforcement evidence gathering, warns Europol

Was ist Home Routing? Nun, wenn du per Roaming in einem ausländischen Netz eingebucht bist, dann schickt das ausländische Netz alles an dein Heimnetz, dein Heimnetz bearbeitet es, und schickt es zurück. Warum machen die das so? Damit dich dein Heimnetz ordentlich abzocken kann.

Inzwischen war auch mal jemand von der EU-Kommission betroffen und seit dem gibt es da eine Regelung, die die Abzocke deckelt. Früher waren vierstellige Telefonrechnungen nach einem Urlaub regelmäßig in den Nachrichten.

OK und was ist jetzt das Problem von Europol? Na nehmen wir mal an, du fährst nach Frankreich, machst da Roaming und begehst eine Online-Straftat, dann geht die französische Polizei zur France Telecon oder wo auch immer du da geroamt hast, und die sagen dann: Wir können da nichts machen, die gesamte Logik ist in Deutschland.

Bei Deutschland und Frankreich ist das jetzt kein großes Problem, die arbeiten ja zusammen, aber nehmen wir mal an das Heimnetz liegt auf den Bahamas oder in Russland, dann kann man sich schon vorstellen, dass die Behörden auf Granit beißen, wenn sie dort eine Anfrage hinschicken. Oder das dauert halt ewig und bis dahin ist der Kriminelle weitergezogen.

Stimmt das denn wenigstens inhaltlich, dass die Telekom deutschen Behörden keinen Zugriff auf Transitdaten eines Roaming geben kann? Natürlich nicht. Können sie und machen sie. Aaaaaber neuerdings gibt es da halt Verschlüsselung über dem Tunnel, Europol nennt das PET, Privacy Enhancing Technology. Und das ist hier das eigentliche Problem.

Was diese Europol-Pressemitteilung eigentlich sagt, ist: Wir wollen euer Krypto aufmachen!

Aber hey, das ist ja ein alter Hut. Wieso habe ich das im Blog? Weil sie hier einen Teil ausgesprochen haben, der normalerweise nicht ausgesprochen wird:

Criminals know of this loophole, and have been abusing it to evade law enforcement. This creates an uneven equilibrium between malicious actors and law enforcement, whose capabilities at this point do not allow for them to carry out the duties society has entrusted them with.

Ein ... Gleichgewicht?! Das Ziel war gar nicht, die Kriminalität zu bekämpfen oder auch nur zurückzudränken, sondern ... ein Gleichgewicht?! Das hört man selten von den Cops. Aber es stimmt natürlich. Die brauchen Kriminalität, um ihre Budgets zu rechtfertigen. Ihre Budgets, die der letzte real existierende Fall von ewigem Wachstum sind. Das sagt nur normalerweise keiner laut, den Teil.

Ich habe mich ja schon ein paar Mal abfällig über MFA geäußert, wie es heutzutage praktiziert wird. Das liegt daran, dass das immer nur eine Theaterauführung ist. Niemand hat da ernsthaft die Kosten und den Nutzen aufgewogen oder überhaupt nur darüber nachgedacht.

Das sieht man ganz gut an Fällen wie diesen.

Twilio this week confirmed suffering a data breach after hackers leaked 33 million phone numbers associated with the Authy application.

NATÜRLICH haben sie ihn erst zugegeben, nachdem die Staatsanwaltschaft die Beweise gegen sie in der Hand hatte. NATÜRLICH haben die da Millionen von Datensätzen herumliegen gehabt. NATÜRLICH kam keiner von deren Auftraggebern auf die Idee, da mal nachzugucken, mit was für einer unseriösen Klitsche sie da ihre Verträge abschließen. Und NATÜRLICH stand da bei keinem Auftraggeber in den Verträgen eine Konventionalstrafe pro wegkommendem Datensatz drin.

Weil das halt alles nicht Security sondern Theater ist.

“While Authy accounts are not compromised

Nee, natürlich nicht. Das geben sie erst zu, wenn die Staatsanwaltschaft es beweisen kann. Wie immer bei den Tech Bros.

In der Praxis wollen euch alle 2FA aufdrücken, und implementieren es dann hinten schrottigst bis völlig kaputt. Warum ist das so? Weil es nicht um 2FA oder Security geht, sondern es geht darum, das Narrativ zu etablieren, dass der User hier das Sicherheitsproblem ist, nicht die Bank. Wir sprechen jetzt solange über den CO2-Footprint, äh, die Dinge, die der User machen kann, bis bei jedem auftretenden Problem sofort alle denken: Da wird wohl der User was nicht ordentlich gemacht haben.

Zur Erinnerung: Wir reden hier vom zahlenden Kunden. Der Kunde zahlt und kauft damit einen Service, die Bringschuld inklusive ordentlich machen und Security liegt beim Verkäufer. Nicht beim Kunden!

Im Übrigen hilft 2FA natürlich überhaupt nicht gegen Hacker bei denen im System. Wer bei denen im System ist, braucht sich ja nicht mehr deren System gegenüber zu authentisieren.

Ich persönlich hab jetzt schon mehrfach Hacks erlebt, bei denen meine Daten betroffen waren. Noch kein einziges Mal war es meine Seite, auf der die Daten weggekommen sind. Immer die andere Seite. Deshalb geben ich denen auch jeweils nur das absolute Minimum an Daten und lobbyiere gegen Gesetze, die Hotels zum Sammeln von Meldedaten zwingen.

Lasst euch nicht von 2FA-Vertrieblern verarschen.

Übrigens, am Rande. Hilft 2FA denn, wenn euer Rechner gehackt wurde? Nein, natürlich auch nicht! Nicht mal dann hilft 2FA! Euer 2FA-Gerät sagt euch doch nicht, was ihr da gerade bestätigt? Das steht auf dem Display vom gehackten Rechner. Niemand garantiert euch, dass ihr gerade das bestätigt, was ihr zu bestätigen glaubt. Außer euer 2FA-Gerät hat ein eigenes Display, das diese Daten anzeigt. Und dann ist es unattraktiv teuer und so komplex, dass es wahrscheinlich auch gehackt werden könnte.

Die Postbank hat z.B. eine App, die das tut. Und ohne diese App kann man sich bei denen nicht mal einloggen. Man loggt sich auch nicht mit seinem Namen oder seiner Kontonummer ein sondern mit einer alphanumerischen ID. Wenn die wegkommt, kann der Angreifer damit genau nichts machen.

Was tut also die Postbank? Sagt dem Browser, er soll sich die ID dort nicht merken. Hat das irgendeinen Security-Zweck? Nein. Das ist reine Schikane von Nichtsblickern, die mir gegenüber erfolglos zu simulieren versuchen, dass sie was von Security verstehen. Tun sie nicht.

Update: Was mich ja besonders fertig macht: Das war nicht das erste Mal. Aber keiner von euch schmeißt Zulieferer raus, die ihre Security verkacken. Warum auch?! Die haben ja jetzt gepatcht!1!!

Es findet ja auch niemand mehr negativ, wenn einen Hersteller mit mehreren Patches pro Woche fluten. Das wird sogar positiv gesehen! Immer dran denken: Jeder Patch heißt, dass die was verkackt haben. Die haben ihren Kunden kaputte Produkte geliefert und du trägst nicht nur das Risiko, darüber gehackt worden zu sein, sondern auch das Risiko, dass ihr Patch kaputt ist und deine Produktion zerschießt.