Cloud | hobbyelektronik.org blog

Was für ein Skandal. Kaum werden Daten von Politikern „gecybert“, „doxed“ und ins Netz geblasen, ist es ein Angriff auf die Demokratie und es müssen Gesetze gemacht, Behörden vergrößert und Qualitätssiegel eingeführt werden.

Was war bei den Datenskandalen zuvor, bei denen primär „normalsterbliche“ betroffen waren? Da hat es offenbar keinen gejuckt, weil einfach niemand von den „wichtigen“ betroffen war!?

Oder was war mit der mehrfach zerlegten Wahlmeldesoftware? War die lausige Security dort nicht viel mehr der Wegbereiter für Angriffe auf die Demokratie? Wo war Cyberhorst da, um Leute einzustellen, die es besser machen und auch noch ein Siegel draufkleben?

Aus dem aktuellen Fall sind nur wenige Details bekannt und werden es wahrscheinlich auch nicht viel mehr werden. Für mich hört es sich aber am ehesten danach an, als hätten viele der betroffenen ihren persönlichen Datenschutz nicht im Griff. Schlechte Passwörter, jeden Mist anklicken und empfindliche Daten auf den Computern anderer Leute (vulgo in der Cloud).

Was helfen uns Gesetze, wenn die Leute noch immer zu blöd sind, sichere und vor allem unterschiedliche Passwörter für unterschiedliche Dienste zu verwenden? Was bringt stärkere Behörden, wenn die Cracker unterm Radar fliegen (well, hackers gonna hack)? Was bringen uns irgendwelche teuren Qualitätssiegel, wenn diese nur Momentaufnahmen sind und man als User keine Chance hat, die Integrität und Unterschiede der untersuchten und präsentierten Software zu prüfen?

Für mich ist alles nur ein verdammtes Strohfeuer, das unser Politiker da gerade anzünden. Und Geldverschwendung obendrein.

Da wäre es vermutlich sinnvoller, einen Internetführerschein und Grundkurse in Sachen Internet- und Datensicherheit einzuführen.

Ich meine klar, jeden kann es mal erwischen – nur wenn man sieht, wie blind manche herumrennen, muss man Angst und Bange sein.

Hierzu eine kleine Anekdote aus meiner Hochschulzeit: eines Tages kam eine Mail vom Rechenzentrum, dass gerade Phishing-Attacken auf Mitglieder der Hochschule liefen, die durch eine fremde gekaperte WordPress-Installation durchgeführt wurde und man auf keinen Fall den Link klicken solle und sich schon gleich gar nicht dort einloggen solle. Auch war ein Muster einer solchen Mail angehängt. Soweit, so gut. Nur war das kein Bild, kein CopyPasta, sondern die Originalmail. Mit funktionierenden Links.

Auf freundlichen Hinweis hat der Admin die Mail dann zurückgezogen und erneut „sauber“ geschickt. Es ist nicht bekannt, wie viele zumindest auf den Link geklickt haben…

Um nun für User einen Unterschied zu machen: Wo es früher noch hieß, dass Passwörter oft geändert werden sollten und kryptisch sein müssen, zum Beispiel, indem man Sätze verendet und Leetspeak o. ä. appliziert – so wird aus dem Satz „Das ist das Haus vom Nikolaus“ das Passwort „DidHvN“ oder „D!d4vN“, hat einer der alt eingesessenen Passwortevangelisten (mir fällt der Name gerade nicht ein) seine damalige Empfehlung korrigiert. Wenn ich mich richtig erinnere ist es besser, einfach den kompletten Satz zu verwenden, „Das ist das Haus vom Nikolaus“. Denn: So ein Passwortcheck ist mein Mastermind, das sagt „Zeichen ist vorhanden aber an der falschen Stelle“, sondern einfach nur „true“ oder „false“. Klar, mit Wörterbuchattacken kann man immer noch arbeiten, aber auch die werden bei langen Passwörtern langsam schwierig; und ja, ein Beobachter hat es bei „korrigierbaren“ Passwörtern auch einfacher und kann sich den Sinn erschließen. Aber da gilt die Regel: Lass dir nicht über die Schulter schauen!

Das Problem an häufigen Passwortänderungen ist, dass sie dann entweder trivial oder unter die Tastatur geklebt werden. Lieber ein anständiges Passwort, das zwar nicht so oft geändert wird aber dafür auch nicht irgendwo notiert wird.

Zum Thema Cloud bin ich immer noch der Meinung: „(wenn überhaupt:) Traue nur einem Computer, den du aus dem Fenster werfen kannst“ und: „Es gibt keine Cloud, es gibt nur Computer anderer Leute“ (ok, war schon oben). Sprich: Man kann nur die Kontrolle über die Daten haben, die man bei sich hat. Seid Datensparsam, lagert Daten im öffentlichen Raum, die auch jeder sehen darf.

Auch müssen sich die Firmen – und da schweife ich mal in Richtung Hacking und Datenlecks ab – endlich mal ändern. Ich hatte es bis jetzt nicht nur einmal, dass auf eine Meldung einer Sicherheitslücke entweder gar nicht oder mit „kann gar nicht sein“ reagiert wurde. Teilweise wurde erst nach einem Proof of Concept Initiative ergriffen. Und dann nicht mit „ja, wir haben ein Problem, wir analysieren es“, sonder mit „wie haben Sie das gemacht??ß?sz?“. Denen hat also nicht der Hinweis „ihr habt da und da ein Problem“ gereicht, sondern brauchten auch noch eine Erklärung.

Das dreisteste, was ich dabei erlebt hatte war dann ein Admin, der mich nach der „Sicherheitsberatung“ und dem Schließen der Lücke durch deren Enwicklungsdienstleister bat, den Fix zu verifizieren. Anhand der Blackbox. Auf meine Antwort, dass das ohne Einblick in die Quellen sinnlos wäre und dass ich ihm keinen Code-Review schenken werde, kam nichts mehr zurück.

Liebe Firmen, nehmt bitte endlich Meldungen zu Bugs und Vulnerabilities ernst und schaut erst einmal selbst nach, wenn ihr Hinweise bekommt! Viele, die etwas entdecken, erwarten keine Gegenleistung, dafür dürft ihr aber nicht erwarten, den A… hinterhergetragen zu bekommen.

Rant.

Künstliche Intelligenz ist in aller Munde und wird trotzdem (oder gerade deshalb) meist missverstanden.

Viel zu oft kommt dann noch Marketing-Bullshit dazu, dann wird mit Begriffen um sich geworfen bis es einem die Haare aufstellt. Früher war etwas supergeil, wenn man „Laser“ dazuschrieb, heute muss es schon mehr sein. Artificial Intelligence, Machine Learning, Deep Learning, Neural Networks und wenn man alle haben will, muss noch Cloud und Blockchain und vielleicht noch Virtual und Augmented Reality dazu.

Und keiner weiß was überhaupt gemeint ist.

Das Von Leitner-Institut für verteiltes Echtzeit-Java titelte bereits:

Machine Learning bedeutet heute, was man früher unter Statistik führte. Wenn du Machine Learning im früheren Sinn meinst, sagst du heute Deep Learning.

Was bedeuten die Begriffe nun wirklich? Ich versuche es mal mit meinem gefährlichen Halbwissen:

Artificial Intelligence oder Künstliche Intelligenz ist einfach nur der Sammelbegriff. Wenn man an Gott Schöpfer glaubt hätte selbst der Mensch Künstliche Intelligenz, weil sie nicht auf natürliche Weise sondern eben durch Fremdeinwirkung geschaffen wurde. Der Begriff sagt nichts darüber aus, ob es sich um eine biologische (gibt es dazu Forschung?), mechanische oder elektronische Implementierung handelt. Auch nichts über Algorithmen und Verfahren.

Machine Learning ist da etwas konkreter: Es ist ein Verfahren auf dem Weg zur Artificial Intelligence. Kurz: man dreht Daten durch einen Algorithmus, der dadurch aus ihnen lernt. Daraus entsteht dann kein „Ich denke, also bin ich“ sondern eine üblicherweise undurchschaubare Datensuppe, mit denen ein weiterer/verwandter Algorithmus von Eingangsdaten, die nur noch Ähnlichkeiten zu den gelernten Daten aufweisen müssen auf die zugehörigen Ergebnisse schließen kann.

Wobei es auch hier verschiedene Möglichkeiten des Lernen gibt, z. B. kann man zu den Daten gewünschte Ergebnisse verknüpfen oder den Algo einfach nur blind lernen (und somit eigene Klassifikationen finden) lassen. Letzteres hat den Charme, dass zum Beispiel unerwartete Zusammenhänge gefunden werden können. Es gibt dazu interessante Vorlesungen IIRC der Caltech auf YouTube.

Deep Learning ist ein Verfahren des Machine Learning.

Neural Networks oder Neuronale Netze sind ein Modell für die Datenverarbeitung, grob kann man Neuronen mit Logikgattern vergleichen. Deren Netzwerke sind analog dazu ein „Gattergrab“.

Cloud ist eine größere Ansammlung von Wassertropfen. In der Informatik sind es die Computer, in aller Regel sehr viele, anderer Menschen von denen man nicht weiß, wo sie geografisch, politisch und in Sachen Datenschutz sowie -sicherheit stehen. ML kann darauf ausgeführt werden, im Endeffekt ist es aber „Sharks with lasers“.

Blockchain ist, soweit ich es verstanden habe, ein kryptographisches Verfahren zum Manipulationsschutz von Informationen, indem diese in Listen und Verschlüsselung verkettet werden. (ja, ich müsste für eine verständliche Definition bei Wikipedia spicken). Der ganze Fuzz um Blockchain in einer Formel: hash_neu = hashfunktion(hash_alt + daten). Hat nichts mit AI/ML/NN zu tun.

VR und AR hat so gut wie nichts mit alledem zu tun.

Man darf sich einfach nicht verarschen lassen, wenn mit Fachbegriffen um sich geworfen wird. Auch wenn man selbst keine Ahnung hat, ist es oft amüsant entlarvend, wenn man die einfache Frage stellt: „Was ist denn der Unterschied zwischen x und y?“

Dann kann man sich oft nur zurücklehnen und genießen.

Für mich ist künstliche Intelligenz übrigens, wenn man dem Computer ein Netzwerkkabel einsteckt und er im Nebenraum das Licht ausschaltet. Oh nein, das richtige Wort lautet Malware.