Weil auf der ganzen Netzwelt so viel passiert, und wir nicht alles gleichzeitig verarbeiten, verarzten und verkommentieren können, empfehlen wir hin und wieder ein paar Artikel aus der Netzwelt, mit Lob, mit Kritik und auch Ergänzungen. Einfach und simpel Meta.
100 Million More IoT Devices Are Exposed—and They Won’t Be the Last
Sicherheitslücken in Internet of Things (IoT)-Geräten (also in internet-fähigen Geräten wie Webcams, Klimasteuerungen, Verkehrsampeln, Beatmungsmaschinen etc usw) sind ein nach wie unterschätzes Problem. Viele dieser Geräte sind an Orten im Einsatz wo sich niemand auch nur schon der Problematik eines Updates bewusst ist, oft ist die Update-Funktion gut versteckt und auch für technisch versierte eine Herausforderung, der HW-Hersteller möchte lieber neue Geräte verkaufen als bestehende zu unterstützen, und wenn es dumm läuft ist das IoT-Gerät in einem zentralen Prozess eingebunden und kann nicht ohne weiteres für ein paar Minuten für einen Reboot abgeschaltet werden.
Die hier beschriebene Sicherheitslücke reiht sich in eine ganze Reihe von anderen ein. Sie würde es einem Angreifer erlauben, die betroffenen IoT-Geräte bei einem DNS-Request mittels einer entsprechend manipulierten Antwort anzugreifen und das Gerät für eigene Zwecke einzusetzen. Das mag gesucht tönen, aber spätestens seit Casinos über die Steuerung eines Aquariums angegriffen wurden, muss man davon ausgehen, dass auch solch klein wirkende Lücken früher oder später Verwendung finden.
Email — explained from first principles
Kaspar Etter hätte den Text auch “Everything You Always Wanted to Know About Email (But Were Afraid to Ask)” betiteln können, er (der Text) lässt nun wirklich kaum ein Detail aus wenn es um Erklärungen dazu geht, wie eine einfach wirkende Sache wie Email technisch gesehen funktioniert. Seien es die grundlegenden Konzepte, sei es die Rolle der beteiligten Applikationen/Dienste, seien es Sicherheits- und Datenschutzthemen: Alles ist aufgeführt, ergänzt mit Links zu Standards und weiterführenden Informationen und einer Reihe von Tools mit welchen man auch ohne technische Detailkenntnisse Informationen zu Mailservern etc. beschaffen kann.
Wir verzichten hier auf eine Zusammenfassung, empfehlen die Seite aber allen am Thema interessierten zur Lektüre. Es sind 1.4MB Text, man sucht sich mit Vorteil einen regnerischen Tag aus und bestellt schon mal den Pizzakurier.
Aiming for truth, fairness, and equity in your company’s use of AI
Dass von AI-Systemen generierte Empfehlungen alles andere als neutral sind, dürfte in interessierten Kreisen ja unterdessen eine Binsenwahrheit sein. Bisher hat das aber nicht gross dazu geführt, dass deren Einsatz kritisch(er) beurteilt wird. Insofern dürfte es spannend sein, zu beobachten, wie sich die US-amerikanische Federal Trade Commission jetzt dem Thema annehmen will. Sie beruft sich auf einige schon länger gültige Grundsatzartikel welche die Gleichbehandlung aller sicherstellen sollen:
Section 5 of the FTC Act. The FTC Act prohibits unfair or deceptive practices. That would include the sale or use of – for example – racially biased algorithms
Fair Credit Reporting Act. The FCRA comes into play in certain circumstances where an algorithm is used to deny people employment, housing, credit, insurance, or other benefits
Equal Credit Opportunity Act. The ECOA makes it illegal for a company to use a biased algorithm that results in credit discrimination on the basis of race, color, religion, national origin, sex, marital status, age, or because a person receives public assistance
Basierend darauf postuliert sie einige grundsätzliche Verhaltens- und Verwendungsrichtlinien (“Start with the right foundation”, “Watch out for discriminatory outcomes”, “Do more good than harm” und weitere) welche einen recht guten Rahmen für den Einsatz von AI bieten. Inwieweit die FTC bereit ist, den knackingen Schlusspunkt “Hold yourself accountable – or be ready for the FTC to do it for you” in die Tat umzusetzen, wird sich weisen.
The making of a myth
Wir sind bekanntlich AutorInnen die dem REIN elektronischen Wählen gegenüber eher kritisch eingestellt sind. Daher ist es wohl umso bemerkenswerter dass wir einen Text empfehlen, der den “Wahlbetrug-Mythos rund um Wahlmaschinen” aufdeckt. Der etwas zu lang geratene aber durchaus lesenswerte Long Read der Washington Post zeigt auf, wie das Thema “Manipulierte Wahlmaschinen” von ambitionierten republikanischen Trump-Fans und Cybersecurity-Laien von langer Hand geplant, gestreut, immer wieder wiederholt und später bis in die höchsten Kreise Washingtons getragen wurde und da auf der Agenda Trumps landete. Die AutorInnen rekonstruieren die Geschichte der umtriebigen Verschwörungstheoretikerinnen rund um Russell J. Ramsland (wie zum Beispiel die Behauptung, eine venezuelanische Software ist von der Partie und das allein verheisst Böses) und zeigen auf wie Expertinnen dieselben immer wieder vorgetragenen Vorwürfe- angebliche Hacker drangen in die Computer ein am Wahltag 3. November- in Luft auflösten. Mit von der Partie ist auch ein Alter Bekannter: die spanische Firma Scytl (eVoting Post, anyone). Dieses Mal jedoch als unschuldiges Opfer der Vorwürfe. So retweetete etwa Trump am 15. November ein Video in dem Ramsland behauptete, die Stimmen von 29 Bundesstaaten werden über einen Server in Frankfurt geroutet und dass Scytl die Wahlstimmen “erfasse und kontrolliere”. Auch dies, wie bereits andere Medien berichteten, alles Quatsch.
