Cops can force suspect to unlock phone with thumbprint, US court rules:

The US Constitution's Fifth Amendment protection against self-incrimination does not prohibit police officers from forcing a suspect to unlock a phone with a thumbprint scan, a federal appeals court ruled yesterday. [...]

Judges rejected his claim, holding "that the compelled use of Payne's thumb to unlock his phone required no cognitive exertion, placing it firmly in the same category as a blood draw or fingerprint taken at booking."

"When Officer Coddington used Payne's thumb to unlock his phone -- which he could have accomplished even if Payne had been unconscious -- he did not intrude on the contents of Payne's mind," the court also said. [...]

Payne conceded that "the use of biometrics to open an electronic device is akin to providing a physical key to a safe" but argued it is still a testimonial act because it "simultaneously confirm[s] ownership and authentication of its contents," the court said.

Previously, previously, previously, previously, previously, previously, previously, previously.

Tech-Prankster outperformen IBMs Quantencomputer mit einem C64 ("Qommodore 64").

the C64-based experiment uses the sparse Pauli dynamics technique developed by Beguŝić, Hejazi, and Chan to approximate the behavior of ferromagnetic materials. Famously, IBM claimed such calculations were “too difficult to perform on a classical computer to an acceptable accuracy, using the leading approximation techniques,” recalls the paper.

Da hat sich IBM ein bisschen weit aus dem Fenster gelehnt, das war auch schon vor den C64-Leuten klar. Aber ist natürlich schön, wenn die das mal so richtig reinreiben, klar. Und das tun sie.

Their aggressively truncated and shallow depth-first search model used just 15kB of the spacious 64kB available on the iconic Commodore machine. Meanwhile, the final code consisted of about 2,500 lines of 6502 assembly, stored on a cartridge that fitted in the C64’s expansion port. This code was handled by the mighty 1 MHz 8-bit MOS 6510 CPU. The C64 took approx 4 minutes per data point. (Testing the same code on a modern laptop achieved roughly 800μs per data point.)

Das Ding läuft natürlich auch bei Raumtemperatur und braucht keine Kühlung bis nahe an den absoluten Nullpunkt.

Ja gut, denkt ihr euch jetzt wahrscheinlich, das ist halt ein Spezialfall. Dazu die C64-Autoren:

On the topic of how applicable this research is to other quantum problems, it is snarkily suggested that “it probably won’t work on almost any other problem (but then again, neither do quantum computers right now).”

*Schenkelklopf*

Click here to go see the bonus panel!

Hovertext:
SMBC is the 74-almost funniest webcomic.

Today's News:

If you were a patreon subscriber, you would be seeing my magnum opus at this very moment.

In der IT-Security gibt es mehrere Fraktionen, die gelegentlich eher gegeneinander als miteinander arbeiten. Der Großteil der Branche befasst sich heutzutage mit Extrem-Checkboxing. Man rollt "Best Practices" wie "SIE BRAUCHEN MEHR SCHLANGENÖL!!!1!" aus, und der Umgang mit Sicherheitslücken geht nicht in die Richtung "wir suchen jetzt welche und dann fixen wir die Bugs" sondern in die Richtung "wir bauen jetzt ein paar tolle Datenbanken für Sicherheitslücken auf, dann können wir alle unsere Zeit mit dem Verwalten von Datenbankeinträgen verbringen, das ist viel weniger stressig als sich mit Security zu beschäftigen".

Das bringt natürlich niemandem was, wenn es um Security geht, aber es zahlt einer Menge Menschen die Gehälter, die so nie irgendwas substanzielles für das Gemeinwohl beitragen müssen.

Viele CERTs sind auch nichts anderes mehr als Mailinglisten-Verteiler für Datenbankeinträge.

Eines Tages wird jemand merken, dass man das auch vollständig automatisiert machen kann, und man braucht nicht mal "KI"! Das kann ein Perlskript aus den 1990ern erledigen! WE HAVE THE TECHNOLOGY!

Aber egal. Das war nicht der Punkt.

Der Punkt war, dass es endlose Datenbanken mit Sicherheitslücken gibt, und einen veritablen Riesenmarkt aus unseriösen Resellern, die Datenbankeinträge weiterverkaufen, die sie selbst kostenlos aus dem Internet gescraped haben. Wenn es nach mir ginge, würde man die alle in die Wüste schicken. Aber es geht nicht nach mir.

Einige Projekte haben jetzt klar die Meinung entwickelt, dass sie da nicht mitmachen wollen. Der Linux-Kernel ist z.B. so ein Projekt. Jahrelang haben die keine CVE-Datenbankeinträge eingetragen. Deren Standpunkt war, dass so gut wie alle Security-Bugs Bugs sind, und Bugs fixen wir hier. Jedes Kernel-Release hat Hunderte von Bugs. Einige von denen sind Security-Bugs. Was du brauchst ist keine Datenbank mit Vulns, was du brauchst ist den jeweils aktuellen Kernel. Alle Patches einspielen, sofort. Immer.

Da haben sie völlig Recht mit, inhaltlich. Aber es hat halt dazu geführt, dass sie ständig von so Datenbank-Administratoren angeheult wurden. Ist ja auch klar, denn diese Datenbank-Einträge-Dealer leben ja davon, dass ihre "Leistung" wertvoll aussieht. Je mehr Einträge sie haben, desto wichtiger sieht das aus.

Der Linux-Kernel hat dann irgendwann die Opposition aufgegeben und ist seit Februar diesen Jahres eine CNA, hat einen eigenen ID-Bereich und kann aus dem Bereich selbständig CVEs vergeben. Sie haben gewarnt: Wenn wir das tun, dann kriegt ihr echt viele CVEs von uns, weil im Kernel-Kontext so gut wie jeder Bug auch ein Security-Problem ist, wenn man nur aus dem richtigen Winkel drauf guckt.

Die Datenbank-Heinis haben Dollarzeichen in den Augen gekriegt und "yes please" gesagt. Und jetzt haut der Linux-Kernel pro Woche (!) ca 100 CVEs raus.

Ich habe nicht genug Popcorn für diese Gesamtsituation gerade.

Ihr könnt euch vorstellen, dass die kommerziellen Datenbankheinis alle feuchte Höschen haben jetzt. Die können für noch mehr kostenlos bezogenen Content anderen Leuten Rechnungen stellen! Kaching!!

Aber es gibt halt auch nichtkommerzielle CVE-Verteiler, u.a. das DFN-Cert, und die sind jetzt ein bisschen ungehalten (jemand hat mir eine Mail von deren Verteiler weitergeleitet) und haben angekündigt, dass sie die nicht alle übernehmen und verbreiten wollen, sondern sie wollen vorfiltern, welche wichtig sind und welche nicht.

Das ist natürlich nicht gut. Das kostet Arbeitszeit, die denen irgendjemand bezahlen muss.

Aber für mich als Außenstehenden ist das tolles Popcorn-Kino.

Ich reg mich ja seit Jahren still über "-native" auf. "Digital native" war Bullshit in Tüten (als ob jemand, der damit aufwächst, automatisch ein tieferes Verständnis entwickelt!), dann kam "Cloud Native", das war Bullshit in Jutetaschen (reiner Marketingscheiß, der rausquillt und schlecht rauswaschbar ist).

Eine ähnliche Kategorie von "da krieg ich Gewaltfantasien"-Neusprech ist "-scale". Was die alle immer rumgefurzt haben, wie geil ihr Scheiß skalieren würde! Und dann guckst du mal vorbei und wartest 20 Sekunden auf das Laden der Homepage.

Und jetzt ist alles "internet scale" oder zumindest "cloud scale", man sagt nicht mehr "Cloud-Drückerkolonne" sondern "Hyperscaler" (das einzige, was da skaliert, sind die Rechnungen). Furchtbar.

Höchste Zeit also, dass sich ein Depp findet, der mit "AI-native" und "AI-scale" Werbung macht.

Was soll ich euch sagen? Cisco liefert! Ja, DAS Cisco, das mit den ständigen apokalyptischen Sicherheitslücken. Die mit den Dutzenden von versehentlich hart einkodierten Admin-Account-Passwörtern. DIE. Die erzählen uns jetzt nicht nur was von Security sondern machen gleich noch die volle Familienpackung "AI" dran. Vorsicht: Wenn man irgendwas von irgendwas versteht, kriegt man von der Lektüre direkt Ganzkörper-Juckreiz. Das Produkt heißt "Hypershield". Wie Hypeshield aber mit r. Damit man assoziiert, es sei für Hyperscaler (und damit BESTIMMT SICHER GUT GENUG FÜR UNS HIER).

Eine Sache glaube ich ihnen. Dass die Presseerklärung direkt aus einer "KI" fiel. Das ist alles so falsch, dass nicht mal das Gegenteil stimmt.

Auf der anderen Seite kann man Punkte für alle Betrüger-Tropes in der IT-Security-Werbung vergeben. Das checkt alle Boxen.

1. "Developed for hyperscale". Check.
2. Schützt ALLES for ALLEN Angriffen. Check.
3. Revolutionär! check.
4. "enables security enforcement to be placed everywhere". Check.
5. "can even turn every network port into a high-performance security enforcement point". Check.

Aber Fefe, wie machen die denn das? So tolle Skalierbarkeit? Und "KI"? Beides zusammen! Das geht nun wirklich nicht!

DOCH! Das geht! In der unseriösen Werbung einer anderen Firma: Nvidia. Ihr seht wahrscheinlich schon kommen, was als nächstes passiert:

Cisco [blahsülz] with NVIDIA, is committed to building and optimizing AI-native security solutions to protect and scale the data centers of tomorrow.

Und schwupps, mit einer kleinen Handbewegung, ist was eben noch ein Nachteil war (nämlich dass hier ohne Domain Knowledge eine "KI" Dinge halluziniert, die darauf trainiert ist, dass das plausibel aussieht, nicht dass es funktioniert) ein Vorteil! Weil, äh, "AI-native"!!1!

Ja aber Moment, Fefe, da stand ja noch gar nicht "empower"! Ohne "empower" geht sowas doch gar nicht!!

"AI has the potential to empower the world's 8 billion people to have the same impact as 80 billion.

Das hingegen finde ich ein tolles Zitat. Er sagt hier also: Wenn die Leute alle "KI" machen, dann werden sie zehnmal so viel Ressourcen verbrauchen, ohne einen Vorteil daraus zu ziehen. Glaubt mir, wenn das Vorteile brächte, hätte er die hier erwähnt.

Wo wir gerade bei Warnungen waren:

The power of Cisco Hypershield is that it can put security anywhere you need it – in software, in a server, or in the future even in a network switch.

Du brauchst dann halt in jedem Ethernetport eine Nvidia-GPU. Das wird das Power-Budget geringfügig senken, das für tatsächliches Computing übrig bleibt in einem Data Center, aber für Nvidias Aktienkurs wird es großartig werden!

When you have a distributed system that could include hundreds of thousands of enforcement points, simplified management is mission critical. And we need to be orders-of-magnitude more autonomous, at an orders-of-magnitude lower cost

Beachtet das "autonomous" her. Eine "KI", die keiner versteht, weil sie nicht programmiert sondern trainiert wurde, soll autonome Entscheidungen darüber treffen, welche Netzwerkpakete erlaubt sind und welche nicht. Oh und wie immer bei "KI" gibt es auch kein Debugging, nur "nach-trainieren", was dann andere Stellen kaputtmacht. Das wird ja eine tolle Zukunft!

So, jetzt kommen wir zum technischen Teil. Weiter unten, damit er die Deppen nicht mit Fakten verwirrt.

AI-Native: Built and designed from the start to be autonomous and predictive, Hypershield manages itself once it earns trust, making a hyper-distributed approach at scale possible.

Cisco sagt also selbst, dass man dem nicht trauen kann, bis es sich Vertrauen erarbeitet hat. Wenn wir es hier mit denkenden Kunden zu tun hätten, wäre die logische Folge, dass man das nicht einsetzen kann. "manages itself" sollte natürlich auch alle Alarmlampen angehen lassen, genau wie "hyper-distributed" und "at scale", aber vermutlich nicht bei Leuten, die Cisco kaufen. Das ist eine Vorselektion vom unteren Rand des Spektrums.

Cloud-Native: Hypershield is built on open source eBPF, the default mechanism for connecting and protecting cloud-native workloads in the hyperscale cloud. Cisco acquired the leading provider of eBPF for enterprises, Isovalent, earlier this month.

Langsam zeichnet sich ein Bild ab. Irgendein Sprallo bei Cisco sah die Firma mit der Überflüssigkeit konfrontiert, die aus Software Defined Networking einhergeht (ach, man kann Switches in Software machen? Man braucht gar keine Hardware mehr, von Cisco oder sonstwem?), dann haben sie schnell einen Panikkauf von einer eBPF-Klitsche gemacht und mit einem Hype-Überperformer (am Aktienmarkt, nicht bei den Produkten) geredet, also Nvidia, und sagen jetzt den Investoren: We heard you like AI! We put Nvidia in you eBPF so you can hallucinate while you kernel panic!

Ich ruf gleich mal den Notarzt. Wenn DAS keinen Herzinfarkt oder Schlaganfall auslöst, dann bin ich möglicherweise schon tot und werde hier gerade bloß von einer "KI" weitersimuliert. Das kann niemand überleben, der mehr als zwei Hirnzellen übrig hat.

Berlin. Die Schulen haben kein Klopapier, das Bürgeramt ist wegen Personalmangel geschlossen, und die Busse wollen von Fahrplan zu "kommt alle n Minuten, nagelt uns nicht fest" umstellen.

Aber für eine Sache ist immer Geld da!

Die Berliner Polizei kriegt Drohnenabwehrfahrzeuge.