#noshitsherlock

fefebot@diasp.org

[l] Den Autobauern fällt gerade auf, dass sich keiner mehr Autos leisten kann, weil sie zu gierig die Preise hochgedreht haben.

1974 kostete ein Neuwagen im Schnitt 5320 Euro. Das Durchschnittseinkommen lag bei 13.928 Euro im Jahr. Für einen Neuwagen musste ein Käufer also im Schnitt 4,6 Monate arbeiten. 20 Jahre später waren es schon 7,4 Monate pro Neuwagen. Bis 2019 blieb diese Zahl stabil, dann aber schnellte sie nach oben. Heute muss ein Käufer sein gesamtes Einkommen aus 9,6 Monaten Erwerbstätigkeit aufwenden, um ein neues Auto zu kaufen. Bei teureren E-Autos sind es sogar 11,4 Monate. Grund sind stagnierende Einkommen, aber auch hohe Gewinnmargen der Hersteller.

No Shit, Sherlock!

#fefebot #noshitsherlock

fefebot@diasp.org

[l] Google ist zufrieden mit ihrer Safe-Coding-Strategie. Schön für sie, und eigentlich keiner Erwähnung wert, aber ein-zwei Stellen in dem Artikel lassen bei mir die Post-Hoc-Alarmglocken bimmeln.

Im aktuellen Bericht zu seiner Safe-Coding-Strategie hebt das Unternehmen hervor, dass der Anteil der Sicherheitslücken durch Speicherprobleme stark von der verwendeten Programmiersprache abhängt.

No shit, Sherlock!

Bei Android machten diese 2019 noch 76 Prozent aller Schwachstellen aus, sind aber bis 2024 auf 24 Prozent gesunken – deutlich unter dem Branchendurchschnitt von 70 Prozent.

Der Anteil des gefährlichen Codes in nicht speichersicheren Programmiersprachen ist nur marginal gewachsen seit dem. Das kann also eigentlich gar nicht sein, und wenn dann kann man daraus nichts dergleichen schließen.

Schließlich setzen Entwicklungsteams noch auf proaktive Maßnahmen, zum Beispiel per Fuzzing oder Code-Analyse, was jedoch meist nur die Symptome von Schwachstellen lindert.

Das stimmt nicht. Die schließen echte Schwachstellen. Das Problem ist eher, dass man nicht sicher sein kann, dass es alle Schwachstellen geschlossen hat, und dass man auch seine Prozesse umbauen muss, damit man keine neuen Schwachstellen einbaut. Das macht halt niemand. Lieber einmal im Jahr einen völlig wertlosen Pentest als Security-Theater veranstalten.

Den Teams bei Google war bekannt, dass die meisten Schwachstellen in neuem oder kürzlich geändertem Code auftreten.

Das deckt sich überhaupt nicht mit meinen Erfahrungen, und es ergibt auch inhaltlich keinen Sinn. Man würde es nicht erwarten, denn Entwickler heute haben von Security gehört, die von früher nicht unbedingt. Wir haben heute Prozesse und Tools, die Entwicklern helfen. Das ergibt keinen Sinn.

In meiner Erfahrung bei Kunden ist es umgekehrt. Der neue Code ist halbwegs OK, der alte Code stinkt drei Meilen gegen den Wind. Häufig sagen Kunden dann auch noch: Der alte Code ist out of scope. Von dem wissen wir ja, dass er Scheiße ist.

Wenn Google jetzt also nur Bugs in neuem Code findet, dann liegt das aller Wahrscheinlichkeit nach daran, dass sie den alten nicht mehr rigoros durchsuchen.

Studien legen zudem nahe, dass von nur rund drei Prozent aller Probleme auch ein kritisches Risiko ausgeht.

Wenn es nach mir ginge, würden Leute, die solche Theorien verbreiten, direkt aus dem Verkehr gezogen. Kritisch ist bei Security wohldefiniert und heißt: Ist über das Netz ohne Authentisierung ausnutzbar. Bugs nach Login oder ohne Netzwerk können natürlich genau so viel Schaden anrichten und müssen auch umgehend gefixt werden.

Fehler werden bereits in der Entwicklungsphase gefunden, was die Korrektheit des Codes verbessert. Als Beispiel nennt Google, dass Rust im Android-Team weniger als halb so viele Rollbacks wie C++ erfordert.

Das kann auch heißen, dass Rust-Code nur halb so oft überhaupt fertig wird, weil die Entwickler am Borrow-Checker scheitern :-)

Statt alten unsicheren Code komplett neu zu schreiben, setzt Google mit Safe Coding auf Interoperabilität, um speichersichere Sprachen wie Rust einzubinden. Das schütze bestehende Investitionen und erlaubt es, neue Funktionen schneller zu entwickeln.

Aller Erfahrung nach ist das Wunschdenken. Die Idee bei Rust ist ja gerade, dass Entwickeln länger dauert und aufwendiger ist, aber dafür der Compiler diverse Bugs schon während des Übersetzens verhindert. Dass die jetzt plötzlich mit Rust schneller entwickeln können wollen, kann also eigentlich nicht sein. Außer sie machen cherrypicking oder sie machen nur Trivialscheiß in Rust oder jemand hat sich die Zahlen aus dem Arsch gezogen.

#fefebot #noshitsherlock #google

fefebot@diasp.org

[l] Aus der beliebten Reihe "wäre billiger gewesen, gleich auf mich zu hören", heute: Captchas sind Scheiße.

We explore the cost and security of reCAPTCHAv2 and conclude that it has an immense cost and no security. Overall, we believe that this study’s results prompt a natural conclusion: reCAPTCHAv2 and similar reCAPTCHA technology should be deprecated.

Ja NO SHIT, Sherlock! Hätte uns doch nur jemand rechtzeitig gewarnt!1!!

#fefebot #noshitsherlock #Hätteunsdochnurjemandgewarnt

fefebot@pod.dapor.net

[l] Ihr ahnt ja nicht, was die gerade herausgefunden haben! Die Nord-Stream-Explosionen gehen auf eine pro-ukrainische Gruppe zurück!

Ja no shit, Sherlock! Habt ihr das ganz alleine rausgefunden?!? Respekt, Columbo!

Ich weiß, was ihr jetzt denkt. Das war bestimmt eine pro-ukrainische Organisation mit Sitz in Langley, Virginia.

Als ich diese Meldung vorhin zum ersten Mal sah, stand da noch, die Amerikaner seien sich eigentlich nur bei einer Sache wirklich sicher: Dass es weder USA noch UK waren. Gut, dass wir das mal geklärt haben.

Ich bin erstaunt, dass das so lange gedauert hat seit den Hersh-Anschuldigungen. Ich hätte die ja für agiler gehalten, die amerikanischen Geheimdienste.

#fefebot #noshitsherlock

fefebot@pod.dapor.net

[l] Die Schwedischen Behörden sagen, der Sabotageverdacht habe sich erhärtet bei den Nord Stream-Explosionen. Es gibt auch eine Pressemitteilung der Staatsanwaltschaft. Beide Mitteilungen sind spektakulär nichtssagend.

Sie haben da irgendwelche Beweismittel sichergestellt, sagen uns aber keine Details. Es gab Explosionen, sagen sie, die die Pipelines beschädigt haben, sagen sie. No Shit, Sherlock!

Im Übrigen ist die Kernaussage, dass es sich um ganz furchtbare Geschehnisse handelt, die man sehr ernst nimmt, und dass die Zusammenarbeit der Behörden ganz hervorragend funktioniere.

Äh ... wat?

Seit Colin Powells Beweisführung gegen Saddam Hussein hat mich nichts mehr so durchschlagend überzeugt wie das hier jetzt!

#fefebot #noshitsherlock