Iromeisters Abenteuerreise

Von einem, der auszog, Vertrauen zu üben

Das Gesetz des Karma ist aufgehoben. Alle Wesen sind frei.
« Imperium im Endstadium Die Bürokratie wird uns noch alle umbringen – ist das dann Mord oder doch Selbstmord? »

Global Clusterfuck

2019-05-15

So langsam frage ich mich, wie dieser Fefe eigentlich seine gute Laune behält. Für mich fing der Tag mit dem nächsten Kapitel der Prozessor-Apokalypse an (nachdem sie bei Google gerade zu dem Schluss gekommen sind, dass man da mit Software-Patches nichts machen kann). Gestern hatte ich schon Fefes Rant über Grafikkartentreiber gelesen:

Unter Kernel-Code-Auditoren gab es damals teilweise ernsthaft die Frage, warum wir uns hier eigentlich soviel Mühe machen, wenn die Leute da draußen GPUs und Treiber haben, die alles wieder zum Scheunentor machen.

Ach so, & dann natürlich das Berliner Dauerthema BER, über das ich an dieser Stelle keine weiteren Worte verlieren werde als dass es genau ins Bild von Global Clusterfuck passt.

Jedenfalls hatte mir ja gestern Abend noch die Meldung vom EuGH-Urteil zur Arbeitszeiterfassung die Laune verdorben.

Es geht weiter mit dem Clusterfuck von heute: Kritische Lücke in RDP, die Microsoft dazu veranlasst, selbst nach dem Supportende noch ein Sonder-Sicherheitsupdate für Windows XP zu verteilen.

Und dann noch der Lacher des Tages: Intel will UEFI durch was modernes, ordentliches ersetzen.
Darin beschreibt Fefe den höchst zerbrechlichen und prekären Zustand unserer technischen Infrastruktur im Jahr 2019:

Genau wie überhaupt metastasierende Firmware ein Trend ist. Früher hatte man ein Mainboard und eine CPU und auf dem Mainboard war ein BIOS und das war es. Wenn man von der Netzwerkkarte booten wollte, gab es ein Konzept für das Laden eines DHCP-Moduls von der Netzwerkkarte. Wenn man einen SCSI-Controller einbaute, gab es ein Konzept für das Laden eines BIOS-Moduls von dort. Das alte Ranzbias war auch schon so modular wie nötig.

Aber heute? Heute hat man in der CPU zwei Firmwares (einmal Microcode, einmal für die Management Engine, die übrigens auch ein eingebetteter Prozessor ist, auf dem ein Betriebssystem-Kernel und User-Space-Module laufen), dann hat man ein UEFI-Bios mit Modulen, dann hat man im WLAN-Chip eine Firmware, in der Netzwerkkarte, selbst Tastaturen und Mäuse haben Firmwares. Oh und auf dem Mainboard gibt es auch nochmal eine Management-Engine mit eigener Firmware. Und innerhalb dieser Geräte gibt es teilweise noch Unter-Firmwares für interne Teilkomponenten, die die verwalten, ohne dass man das von außen sehen kann. […]

Und alle kämpfen dann mit einer Update-Strategie für ihre Firmwares. Trust-Probleme werden mit Kryptografie unter den Teppich gekehrt. Früher hat man Kryptografie zwischen Regierungen benutzt, dann zwischen mir und meiner Bank, dann zwischen mir und meinem Drucker, zwischen mir und meinem Monitor, jetzt haben wir innerhalb der CPU Kryptographie zwischen Host-CPU-Teil und Management-Engine. Es ist so dermaßen absurd, nicht zuletzt weil das natürlich eine massive Energieverschwendung ist. Aber was mir noch mehr Sorgen macht: Kryptografie ist ein bewegliches Ziel. Wenn morgen ein populärer Algorithmus bricht, dann stürzt uns einmal das komplette Kartenhaus ein, nicht nur Online-Banking. Alles beruht heutzutage auf Kryptografie. AMD macht ja sogar Krypto zwischen Hypervisor und VMs und hat RAM-Verschlüsselung. Anstatt mal das Design ordentlich zu machen, erklären wir einfach immer alles für unvertrauenswürdig und machen Kryptografie wie zwischen Ländern, die miteinander im Kriegszustand sind.

Fefe, wie schaffst du es angesichts dieses globalen Clusterfucks (ganzes Buch dazu von Holm Friebe und Detlef Gürtler) gute Laune zu behalten? Andere hätten längst den Strick genommen…

Ach so, der letzte Firefox-Clusterfuck (Teil 1 bei Fefe, Teil 2, Teil 3) ist an mir vorübergegangen, wohl weil ich die ESR-Version benutze. Vgl. dazu aber insbesondere Teil 3.

Und dann läuft ja noch die unselige DNS over HTTPS-Geschichte, in deren Rahmen ich schon Fefe unter der Überschrift Komplexität ist der Feind zitiert habe. Das passt hier heute auch genau hin:

Komplexität ist der Feind. Die Anzahl der Bugs steigt mit der Codegröße. Die Leute stöpseln heute nur noch Komponenten aus Libraries zusammen. Das ist Schönwetter-Programmieren! Ein Programm, das nur beherrschbar ist, wenn es zufällig gerade gut funktioniert, ist wertlos. Wir brauchen Programme, die überschaubar wenig Dinge tun, und dafür vollständig beherrschbar sind. Am besten nicht nur vom Programmierer, sondern auch vom Benutzer. Die Geschwindigkeit, mit der wir uns mit unbeherrschten und unbeherrschbaren Technologien umzingeln, ist aus meiner Sicht ein Vorbote der Apokalypse.

Das Wort Clusterfuck stammt übrigens ursprünglich von den U.S. Marines.

Nachtrag: Nicht zu vergessen der schon lange andauernde Clusterfuck bei Microsoft-Updates. Der hatte mich übrigens schon vor vier Jahren mal beschäftigt.

Und dann noch dieses Anti-Huawei-Theater, während man bei Cisco nur noch davon sprechen kann, dass deren Produkte offene Scheunentore sind.

Na ja, & wer WhatsApp benutzt, ist eh selber schuld. Ob Wire mit seiner Electron-basierten Benutzeroberfläche allerdings wirklich besser ist, wage ich allerdings zu bezweifeln. Man hat irgendwie nur noch die Wahl zwischen Pest & Cholera heutzutage; leider allzu oft auch bei Open Source-Software.

Und weil's so schön hier hin passt: SQLite: Schwachstelle in Programmbibliothek erlaubt Remote Code Execution.

Wow, im heise-Newsticker findet sich doch tatsächlich mal ein einzelner Lichtblick: VPN-Software WireGuard jetzt als Pre-Alpha-Version für Windows verfügbar. Das ist vor allem deshalb ein Lichtblick, weil WireGuard sich auf die Fahnen geschrieben hat, überschaubare Software zu entwickeln:

WireGuard has been designed with ease-of-implementation and simplicity in mind. It is meant to be easily implemented in very few lines of code, and easily auditable for security vulnerabilities. Compared to behemoths like *Swan/IPsec or OpenVPN/OpenSSL, in which auditing the gigantic codebases is an overwhelming task even for large teams of security experts, WireGuard is meant to be comprehensively reviewable by single individuals.

Von der Politik fange ich lieber gar nicht erst an, ich sage nur Handelskrieg und Brexit.

Nachtrag vom 16.05.: Nach näherem Hinsehen eignet sich diese ModernFW von Intel wohl nicht als Aufhänger für das, was Fefe dazu geschrieben hat:

We are seeking to reduce the overall footprint, increase efficiency, and to improve the security posture of the system by eliminating capabilities that are not needed to meet requirements for platforms that serve more vertically integrated purposes. For example, one avenue for exploration is to move any functionality that can be accomplished in the context of the operating system out of the firmware.

Sie wollen damit anscheinend genau das umsetzen, was Fefe anmahnt & was sie zuvor mit (U)EFI episch verkackt haben. Vielleicht lernt Intel ja doch ausnahmsweise mal aus früheren Fehlern?

Weiterer Nachtrag vom 16.05.: Jetzt hat doch tatsächlich Fefe auf eine Mail geantwortet, in der ich genau dies zu ModernFW geschrieben hatte. Möglicherweise bin an dieser Stelle ich selber zu naiv:

Das ist nicht deren Designziel.
Das sind die Designziele von Coreboot, die sie kopieren, weil sie PR-technisch nicht haben wollen, dass jemand mit der Prämisse "wir trauens Intels Scheiß nicht" Erfolg hat.

Galgenhumor vom 16.05.: Make Linux Fast Again!

Nachtrag vom 18.05.: Was meine persönliche Laune zuverlässig immer wieder aufhellt, ist Musik. Aktuell höre ich zum einen LP a.k.a. Laura Pergolizzi, aus einer ganz anderen Ecke Banco de Gaia und Dr Trippy (dessen Name ja so was von Programm ist!).

Nachtrag vom 24.05.: Sehr interessante ergänzende Perspektive – Jonathan Blow - Preventing the Collapse of Civilization. Bei Shadowrun bricht ja das globale Netz wegen eines Virus zusammen. Vielleicht wird das aber gar nicht aus bösem Willen passieren, sondern einfach nur wegen eines besonders gravierenden Bugs in einer zentralen Systemkomponente. Und das auch vielleicht schon vor 2029.

Nachtrag vom 17.06.: Ich hab mir ja gleich das Clusterfuck-Buch bestellt, hier der erste Absatz der Einleitung:

Im Universum strebt alles zum größtmöglichen Chaos, zur Entropie, dem Endzustand maximaler Unordnung. Insofern ist es eine Überraschung, wenn überhaupt etwas gelingt. Statistisch betrachtet sind Ordnung und Funktionieren sehr viel unwahrscheinlicher, als dass alles sich verhakelt, blockiert und ins Wanken gerät. Alles Leben auf dem Planeten, sämtliche Handlungen – ob im Büro, im Schlafzimmer oder im Auftrag von Majestät oder Nation – sind ein beständiger, aussichtsloser, nur auf Zeit zu gewinnender Kampf gegen den Schlamassel.

0 Responses to Global Clusterfuck

Feed for this Entry

0 Comments

    There are currently no comments.

Über dich

E-Mail-Adresse ist nicht veröffentlicht

Zur Diskussion hinzufügen

Schenken

Spenden

Suchen

Archiv

Browse Archives