Mastodawn

Marcel Waldvogel May 5

Schon wieder Dienstag? Also #DNIPBriefing-Tag? Oh!

1️⃣ Bürgerinnen und Bürger vieler europäischen Nationen, darunter auch die Schweiz, können für touristische Zwecke visumsfrei in die USA reisen. Dafür verlangte die USA bereits bisher relativ viele Daten, beispielsweise Essenswünsche (aus welchen man u.U. die Religion erraten kann) oder Informationen zu Behinderungen. Beides würde wohl in der Schweiz als «besonders schützenswerte Personendaten» klassiert.
https://dnip.ch/2026/05/05/dnip-briefing-70-mehr-weiter-teurer/

DNIP Briefing #70: Mehr, weiter, teurer - Das Netz ist politisch

Die Redaktion präsentiert jeden Dienstag die Geschichten, die sie bewegt, aufgerüttelt oder zum Nachdenken angeregt hat. Heute u. a. zur Datensammelei für

Das Netz ist politisch

Marcel Waldvogel May 5

Doch bereits 2022 forderten die USA, dass weitergehende Personendaten übermittelt werden müssten, die dann 15 Jahre lang gespeichert werden dürften.

«Den Abschluss einer „Enhanced Border Security Partnership“ hatte die US-Regierung bereits 2022 von allen Teilnehmerstaaten des Visa-Waiver-Programms verlangt – mit einer Frist bis Ende 2026», schreibt Matthias Monroy @matthimon bei Netzpolitik.org.
#EBSP #VWP
https://netzpolitik.org/2026/erzwungene-grenzpartnerschaft-eu-kommission-will-us-behoerden-erlauben-politische-ansichten-und-herkunft-abzufragen/

EU-Kommission will US-Behörden erlauben, politische Ansichten und „Herkunft“ abzufragen

Laut dem nun vorliegenden Entwurf eines Rahmenabkommens über eine „Grenzpartnerschaft“ mit der Trump-Administration dürfen US-Behörden in EU-Staaten nicht nur Gesichtsbilder, sondern auch Namen, Gesundheitsdaten oder sexuelle Orientierung in Polizeidatenbanken abfragen.

netzpolitik.org

Marcel Waldvogel May 5

Die Bedingungen dieser «Grenzpartnerschaft», so das von der britischen Bürgerrechtsbewegung Statewatch @statewatch veröffentliche Verhandlungsdokument, gehen weiter als bislang vermutet.

Besonders schützenswerte Informationen sollen zu „rassischer oder ethnischer Herkunft, politischen Ansichten oder religiösen oder sonstigen Überzeugungen, Gewerkschaftszugehörigkeit“ sowie Angaben zu „Gesundheit oder Sexualleben“ sollen so weitergegeben werden, u.U. auch an Drittstaaten.
https://mastodon.world/@statewatch/116517491430589386

Statewatch (@[email protected])

Attached: 1 image We've just published the Commission's proposal for EU-US data exchange. What they suggest would violate EU law. Anyone’s data exchanged under this proposed agreement could be used for a wide range of purposes. This includes preventing or arresting people travelling to the USA who have voiced opposition to US policies in Europe, or for automated discriminatory profiling of travellers. Access the document and read the full analysis by Romain Lanneau: https://www.statewatch.org/analyses/2026/eu-us-data-exchange-proposal-in-conflict-with-eu-laws/

Mastodon

Marcel Waldvogel May 5

Weitere wird im Artikel die Nutzung der Datensätze für Prognosezwecke erlaubt, landläufig als Predictive Policing bezeichnet. Predictive Policing ist dafür bekannt, vor allem herrschende Vorurteile zu verstärken, was Personen, welche unschuldig so vorverdächtigt werden, das Leben sehr erschweren kann.

Die Daten sollen neu auch für Ausschaffungen durch #ICE verwendet werden dürfen.
#PredictivePolicing
https://algorithmwatch.ch/de/algorithmische-polizeiarbeit-erklaert/

Algorithmische Polizeiarbeit: Vorauseilende Schuldvermutung - AlgorithmWatch CH

Algorithmische Polizeiarbeit bedeutet, dass auf der Grundlage von historischen Verbrechensdaten angeblich algorithmisch vorausgesagt wird, wer in der Zukunft welche Verbrechen begehen wird. Wir erklären, warum diese Praxis oft diskriminierend, rechtlich fragwürdig und längst nicht so wirksam ist, wie ihr nachgesagt wird.

AlgorithmWatch CH

Marcel Waldvogel May 5

Weiter soll den Betroffenen der Zugang zu ihren gespeicherten Daten sowie allfälligen Berichtigungen u. a. mit dem Verweis auf „nationale Sicherheit“. Eine Begründung, die unter Trump inflationär gebraucht wird, auch gegen Holz und Windkraft.

Es ist zu vermuten, dass der Schweizer Vertrag ähnliche Bedingungen vorsieht. Und möglicherweise – da wir seit dem Zollstreit dafür bekannt sind, auf Forderungen einzuknicken – noch schlechtere als die unserer Nachbarländer.
https://dnip.ch/2026/05/05/dnip-briefing-70-mehr-weiter-teurer/

DNIP Briefing #70: Mehr, weiter, teurer - Das Netz ist politisch

Die Redaktion präsentiert jeden Dienstag die Geschichten, die sie bewegt, aufgerüttelt oder zum Nachdenken angeregt hat. Heute u. a. zur Datensammelei für

Das Netz ist politisch

Marcel Waldvogel May 5

2️⃣ Wer kennt ihn nicht, den Schweiz-Aufschlag, also, dass wir in der Schweiz für dasselbe Produkt deutlich mehr zahlen. Gewisse Preisunterschiede lassen sich mit Zöllen, höheren Anforderungen oder besserem Lohn des Verkaufspersonals erklären. Doch oft bleibt ein erstaunlich grosser Rest.

Die meisten dieser Unterschiede fallen bei Digitalprodukten weg oder sollten sich wegen der geringeren Mehrwertsteuer sogar in einen Rabatt verwandeln.
https://dnip.ch/2026/05/05/dnip-briefing-70-mehr-weiter-teurer/#Der-digitale-Schweiz-Aufschlag

DNIP Briefing #70: Mehr, weiter, teurer - Das Netz ist politisch

Die Redaktion präsentiert jeden Dienstag die Geschichten, die sie bewegt, aufgerüttelt oder zum Nachdenken angeregt hat. Heute u. a. zur Datensammelei für

Das Netz ist politisch

Marcel Waldvogel May 5

Der @Konsumentenschutz hat Software und Software-Abonnemente beidseits der Grenze verglichen: Oft waren die Produkte hüben rund 20 % teurer als drüben. Und dies, obwohl Geoblocking seit 2022 verboten ist, insbesondere Diskriminierung beim Preis oder den Zahlungsbedingungen.

In einem speziellen Fall betrug der Schweiz-Preis mehr als das Doppelte.

Empfehlung: Direkt beim Anbieter niedrigeren Preis einfordern. Wenn das nicht klappt, beim Konsumentenschutz melden.
https://www.konsumentenschutz.ch/medienmitteilungen/software-in-der-schweiz-bis-doppelt-so-teuer-konsumentenschutz-fordert-stopp-des-geoblockings/

Software in der Schweiz bis doppelt so teuer – Konsumentenschutz fordert Stopp des Geoblockings

Stiftung für Konsumentenschutz

Marcel Waldvogel May 5

3️⃣ Wer sich beim Umstieg zu mehr Digitaler Souveränität praktisch weiterbilden möchte: @rufposten hat sich beim neunten Teil der @kuketzblog -Serie zum Thema# Nextcloud die Office-Integrationen detailliert angeschaut.

Er hat mir geholfen, das Benennungs- und Abhängigkeitenchaos der Office-Erweiterungen endlich zu verstehen, danke! Und erklärt auch, ob und welche Backends nötig sind.

https://dnip.ch/2026/05/05/dnip-briefing-70-mehr-weiter-teurer/#Office-Integrationen-in-Nextcloud

DNIP Briefing #70: Mehr, weiter, teurer - Das Netz ist politisch

Die Redaktion präsentiert jeden Dienstag die Geschichten, die sie bewegt, aufgerüttelt oder zum Nachdenken angeregt hat. Heute u. a. zur Datensammelei für

Das Netz ist politisch

Marcel Waldvogel May 5

Danach vergleicht er die beiden Office-Plattformen aus Usersicht und kommt zum Schluss, dass beide gut zu bedienen sind und auch mit grossen und komplexen Dokumenten recht gut zurechtkommen. Trotzdem sieht er Collabora etwas weiter vorne. Der detaillierte Vergleich findet sich hier.
#Collabora #LibreOffice #NextCloud #OnlyOffice #EuroOffice
https://www.kuketz-blog.de/collabora-oder-onlyoffice-nextcloud-teil-9/

Collabora oder OnlyOffice? – Nextcloud Teil 9

Gemeinsam Dokumente in der Cloud bearbeiten: Das geht wunderbar ohne Google Docs oder Microsoft 365. Wir stellen zwei Open-Source-Varianten vor.

Marcel Waldvogel

#EuroOffice wurde ja als das offenere und transparentere OnlyOffice angekündigt, von dem es «geforkt» wird. Aufgrund der Lizenzbedingungen entwickelte sich ein Zwist, weil OnlyOffice in seiner Open-Source-Lizenz AGPL Ergänzungen beinhaltet, welche de facto das Forken verhindern. Die Free Software Foundation (die mit dem GNU), rügt OnlyOffice. Die FSF erklärt, dass die GNU-Lizenzen GPL und #AGPL nicht dazu verwendet werden könnten, Software-Freiheitsrechte einzuschränken.
https://www.fsf.org/blogs/licensing/agpl-is-not-a-tool-for-taking-freedom-away

You cannot use the GNU (A)GPL to take software freedom away — Free Software Foundation — Working together for free software

Marcel Waldvogel May 5

4️⃣ Vergangene Woche wurde bekannt, dass im Linux-Kernel seit 2017 eine Lücke existiert, mit der die Repräsentation von Dateien im Speicher fast beliebig geändert werden kann. Und das zuverlässig und wiederholbar. Daraus ergibt sich eine unübersehbare Anzahl von Möglichkeiten, mit der man das Rechtemanagement eines Rechners übertölpeln kann, wenn man darauf Programme ausführen kann.
#CopyFail #CopyFailFail
https://dnip.ch/2026/05/05/dnip-briefing-70-mehr-weiter-teurer/#Linux-Sicherheitsluecke-est-2017

Marcel Waldvogel May 5

So kann man einer Applikation ein anderes Passwort unterjubeln oder die Passwortabfrage ganz unterbinden, um nur zwei Beispiele der damit möglichen Local Privilege Escalation (LPE) zu nennen.

Eine schreckliche Sicherheitslücke, die seit bald einem Jahrzehnt im Linux-Kern schlummert. Also etwas, bei dem die Entwickler und die Linux-Distros koordiniert zusammenspannen sollten, um eine Lösung für die Lücke zu erarbeiten und koordiniert auszurollen. Sollte man meinen.
https://dnip.ch/2026/05/05/dnip-briefing-70-mehr-weiter-teurer/#Linux-Sicherheitsluecke-est-2017

Marcel Waldvogel May 5

Doch die KI-gestützten Entdecker hinter der Sicherheitslücke scheinen auch die Veröffentlichung der Sicherheitslücke der KI überlassen zu haben, wie @wdormann detailliert darlegt:
➡️ Keine Koordination
➡️ Kommunikation, bevor Updates verfügbar waren
➡️ Falschinformationen
➡️ Nur teilweise funktionierende Workarounds
➡️ Formal korrekte, aber praktisch 120% unrealistische Update-Tests
https://infosec.exchange/@wdormann/116496097678724677

Marcel Waldvogel May 5

So kommuniziert man keine Sicherheitslücke, wenn man dem Schutz der IT-Infrastruktur hohe Priorität beimisst.

Wer keinen Prozess hat, mit dem kurzfristig Sicherheitsupdates eingespielt und Rechner neu gestartet werden können, sollte sich dringend einen etablieren. Dazu gehören Automatisierung und Tests, eine Denkweise, welche für IT-Software-Entwicklung und -Betrieb im 21. Jahrhundert inzwischen selbstverständlich sein sollte. Und ein möglichst einheitliches Ökosystem.
https://dnip.ch/2026/05/05/dnip-briefing-70-mehr-weiter-teurer/#Linux-Sicherheitsluecke-est-2017

DNIP Briefing #70: Mehr, weiter, teurer - Das Netz ist politisch

Die Redaktion präsentiert jeden Dienstag die Geschichten, die sie bewegt, aufgerüttelt oder zum Nachdenken angeregt hat. Heute u. a. zur Datensammelei für

Das Netz ist politisch

Marcel Waldvogel May 5

Damit wir bei Bedarf schnell agieren können («move fast»), ohne dass etwas kaputt geht («break things»). Weil beides in der heutigen IT-Welt mit Cyber- und politischen Bedrohungen sowie technischen Änderungen der Aussenwelt unerlässlich ist. Und wenn man diese Prozesse hat, können alle besser schlafen. Von der IT bis zum Management.
https://dnip.ch/2024/06/13/move-fast-and-break-things-falsch-verstehen/

Wieso wir «Move fast and break things» falsch verstehen — und wie wir Software besser machen können - Das Netz ist politisch

«Move fast and break things» war bis vor zehn Jahren das Motto von Facebook. Ohne Kontext wird es aber missverstanden und missbraucht. Vor ein paar Monaten

Das Netz ist politisch

Marcel Waldvogel May 5

5️⃣ Digitale Zertifikate sind dazu da, die Authentizität von etwas zu belegen: Ob der Webserver, der bei einer Anfrage nach «dnip.ch» antwortet, auch wirklich der DNIP-Server ist und nicht ein Angreifer, der den Internetverkehr abfängt. Das sind sogenannte Serverzertifikate. Oder, wie im Fall, der uns heute interessiert, ob das Programm, welches man gerade installiert, wirklich von einem vertrauenswürdigen Hersteller stammt und nicht irgendwelche Malware ist.
https://dnip.ch/2026/05/05/dnip-briefing-70-mehr-weiter-teurer/#Selbsternannte-Zertifikate

DNIP Briefing #70: Mehr, weiter, teurer - Das Netz ist politisch

Die Redaktion präsentiert jeden Dienstag die Geschichten, die sie bewegt, aufgerüttelt oder zum Nachdenken angeregt hat. Heute u. a. zur Datensammelei für

Das Netz ist politisch

Marcel Waldvogel May 6

Genau bei der Zertifizierung von solcher Software hat nun aber die Zertifizierungsstelle #DigiCert sich übertölpeln lassen. Und zwar in der teuersten und damit angeblich sichersten Kategorie «Extended Validation» (EV). So wurden mindestens 27 Code-Signing-Zertifikate im Namen von reputablen Firmen ausgestellt, aber für Cyberkriminelle. Digicert ist dem erst nachgegangen, als über 8 Tage hinweg 7 missbräuchliche Zertifikate durch Dritte gemeldet wurden.
https://mastodon.social/@hrbrmstr/116516180487899285

Marcel Waldvogel May 6

Wie lief der Angriff ab?
Einem DigiCert-Supporter wurden im Kundenchat "Screenshots" eines Fehlers übermittelt; in Wirklichkeit handelte es sich aber um ein ZIP mit ausführbarer Datei. Diese wurde vom Supportmitarbeiter gestartet, worauf Software des Angreifers nachgeladen wurde. Mit dieser Software (und dem zu gesprächigen Supportportal von DigiCert) stellte der Angreifer dann gefälschte Zertifikate aus, welche unter anderem zur Signierung eines Stealers benutzt wurde.
https://dnip.ch/2026/05/05/dnip-briefing-70-mehr-weiter-teurer/

DNIP Briefing #70: Mehr, weiter, teurer - Das Netz ist politisch

Die Redaktion präsentiert jeden Dienstag die Geschichten, die sie bewegt, aufgerüttelt oder zum Nachdenken angeregt hat. Heute u. a. zur Datensammelei für

Das Netz ist politisch

Marcel Waldvogel May 6

Die böswillige Ausstellung von Zertifikaten wurde erleichtert, weil PassKeys zum Einsatz kamen. Eigentlich gelten PassKeys als besonders sicher, da die Benutzer:in sie bei einem Phishing-Angriff nicht herausgeben können sollte. In diesem Fall wurde aber der Support-Laptop ferngesteuert und der #PassKey vom Laptop automatisch zum Login beim Supportportal genutzt.
https://dnip.ch/2023/09/19/cloud-untergraebt-sicherheit-von-zwei-faktor-authentifizierung/

Cloud untergräbt Sicherheit von Zwei-Faktor-Authentifizierung - Das Netz ist politisch

Zwei-Faktor-Authentifizierung (2FA bzw. MFA) ist ein wichtiger Sicherheitsmechanismus, der effizient gegen den Missbrauch von erratenen, ergaunerten oder

Das Netz ist politisch

Marcel Waldvogel May 6

Was schief lief (und wogegen man sich schützen sollte):

*️⃣ Benutzer konnte ausführbare Dateien, im konkreten Fall Malware, via Chat empfangen (gilt auch für Mail)
*️⃣ Das Ausführen der Malware wurde nicht erkannt oder gar geblockt
*️⃣ Das Supportportal hat Informationen herausgerückt, die von Angreifern missbraucht werden konnten
*️⃣ Das automatische Login konnte missbraucht werden. Sicherheitsrelevante Aktivitäten sollten nie ohne menschliches Zutun möglich sein.
https://dnip.ch/2026/05/05/dnip-briefing-70-mehr-weiter-teurer/#Selbsternannte-Zertifikate

DNIP Briefing #70: Mehr, weiter, teurer - Das Netz ist politisch

Die Redaktion präsentiert jeden Dienstag die Geschichten, die sie bewegt, aufgerüttelt oder zum Nachdenken angeregt hat. Heute u. a. zur Datensammelei für

Das Netz ist politisch

Marcel Waldvogel May 6

6️⃣ #Antropic beginnt, seine #Claude-Kunden zu identifizieren. Und OpenAI verkauft eure Daten an Werbetreibende. Buchodi hat sich den Datenfluss bei OpenAI-Werbung angesehen und gibt Tipps, wie man sie minimieren kann. Eine deutsche Zusammenfassung findet man bei Golem.
https://www.golem.de/news/detaillierte-beschreibung-so-integriert-openai-werbung-in-chatgpt-2604-208165.html

Detaillierte Beschreibung: So integriert OpenAI Werbung in ChatGPT - Golem.de

Ein Softwareentwickler hat sich die Werbeintegration von ChatGPT angesehen und gibt Tipps, wie sich das Tracking minimieren lässt.

Golem.de

Marcel Waldvogel May 6

7️⃣ Bevor in eurer Firma KI-Agenten einsetzt, solltet die Firma bereit sein, damit umzugehen. So sollte ein engmaschiges Rechtemanagement sowie ein fundiertes, getestetes Backupkonzept existieren und die Firma sollte bereit sein, nach einem KI-Fehler oder dadurch bedingten Ausfall schnell wieder funktionieren zu können (siehe oben).
https://dnip.ch/2026/04/28/dnip-briefing-69-risiken-und-nebenwirkungen/#Schuetze-deine-Daten-vor-eigenen-und-fremden-Agenten

DNIP Briefing #69: Risiken und Nebenwirkungen - Das Netz ist politisch

Die Redaktion präsentiert jeden Dienstag die Geschichten, die sie bewegt, aufgerüttelt oder zum Nachdenken angeregt hat. Heute u. a. zum falschen Einsatz von

Das Netz ist politisch

Marcel Waldvogel May 6

8️⃣ Meta, die Firma hinter WhatsApp, Facebook und Instagram, die smarte Brillen mit Kamerafunktionen verkauft, hat die Zusammenarbeit mit einer kenianischen Firma eingestellt. Die Mitarbeiter dieser Firma sollten die Aufzeichnungen der Kamerabrille kategorisieren und waren entsetzt, auch etliche Nacktaufnahmen zu sehen. Meta hat keine Begründung geliefert, die Kenianer vermuten aber, dass #Meta entzürnt sei, weil die Existenz der Nacktaufnahmen an die Öffentlichkeit kam.
https://www.bbc.com/news/articles/c5y7yvgy0w6o

Dispute over fate of Kenyan workers who saw Meta AI glasses films

Meta and its subcontractor disagree over why over 1000 Kenya-based workers were made redundant.

Marcel Waldvogel May 6

9️⃣ Predictive Policing ist auch Thema in etlichen Schweizer Polizeigesetzen. Passend dazu hat Noctua Moser beim «Lamm» @magazin_daslamm die Überwachungsaktivitäten in der Schweiz zusammengefasst.
#PredictivePolicing #Überwachung
https://daslamm.ch/wie-der-bund-dein-digitales-leben-seziert/

Wie der Bund dein digitales Leben seziert

In der Schweiz ist die totale digitale Überwachung keine Dystopie, sondern seit über zehn Jahren Rechtsnorm. Wie der Staat das Puzzle deiner Metadaten zusammensetzt und wie du dich dagegen wehren kannst.

Das Lamm

Marcel Waldvogel May 6

🔟 Unser Nachrichtendienst (NDB) muss nicht erklären, wie er Informationen beschafft. Auch nicht, wenn diese Informationsbeschaffung rechtswidrig erfolgte, urteilt das Bundesverwaltungsgericht.
#NDB
https://datenrecht.ch/bvger-a-4286-202-ausnahme-vom-oeffentlichkeitsprinzip-fuer-den-ndb/

Marcel Waldvogel May 6

*️⃣ Insiderhandel macht man heute modern über Prognosemärkte, auf denen man Wetten auf die Zukunft abschliessen kann. Und die auch für Geldwäsche ganz praktisch sind.
https://www.srf.ch/news/international/wetten-um-den-krieg-prognosemaerkte-wenn-wissen-direkt-zu-geld-wird

Prognosemärkte: Wetten um den Krieg mit Insiderwissen

Auf Polymarket wetten Nutzer auf Kriege, Wahlen oder Machtwechsel. Wer mehr weiss, kann daraus direkt Profit schlagen.

Schweizer Radio und Fernsehen (SRF)

Marcel Waldvogel May 6

*️⃣ Wer glaubt, er habe „unlimited Backup“ bezahlt, kann sich irren. So hat der bekannte #Backup-Dienst #Backblaze begonnen, seinem „unlimited“-Angebot Limiten zu setzen. Hier gilt also ganz besonders, was auch sonst bei jedem Backup gilt: Regelmässig zu überprüfen, ob auch wirklich alle wichtigen Daten ins Backup kommen und ob man sie auch wieder zurückbekommen kann.
https://www.tomshardware.com/software/cloud-storage/backblaze-redefines-unlimited-while-users-discover-its-not-backing-up-dropbox-and-onedrive-service-changes-could-signal-shift-away-from-home-backups

Backblaze silently redefines 'unlimited' backups and users discover it's not backing up Dropbox and OneDrive — as firm leans heavier into AI storage services, changes could signal shift away from home backups

The difference between a sync and a backup is illustrated quite adeptly.

Tom's Hardware

Marcel Waldvogel May 6

*️⃣ Die fragwürdige Sicherheit bei TeleGuard ist inzwischen auch beim Magazin «Saldo» (Paywall) angekommen. Interessant: #Teleguard sei die Nummer 2 unter den kostenpflichtigen Apps in der Kategorie.

https://www.saldo.ch/artikel/artikeldetail/schweizer-nachrichten-app-hat-gravierende-schwaechen

Marcel Waldvogel May 6

*️⃣ Früher hatte der von vielen Entwicklern genutzte Microsoft-Dienst #GitHub eine Statusseite, die detailliert angab, welche Funktionen von GitHub gerade nicht funktionieren. Die gibt es nicht mehr offiziell, dafür hat jemand eine inoffizielle Version davon gebaut, um Transparenz zu schaffen.
https://mrshu.github.io/github-statuses/

The Missing GitHub Status Page

Historical GitHub uptime reconstructed from archived status data.

Marcel Waldvogel May 6

➡️ Den ganzen Text mit allen Link gibt es wie immer werbe-, spam- und paywallfrei am Dienstag auf #DNIP.

Wenn ihr keine Ausgabe des Briefings und unserer anderen Artikel verpassen wollt, so setzt euch doch auf die ebenfalls spamfreie Mailingliste. Unten auf jeder Seite.

Wir würden uns freuen!
https://dnip.ch/2026/05/05/dnip-briefing-70-mehr-weiter-teurer/

DNIP Briefing #70: Mehr, weiter, teurer - Das Netz ist politisch

Die Redaktion präsentiert jeden Dienstag die Geschichten, die sie bewegt, aufgerüttelt oder zum Nachdenken angeregt hat. Heute u. a. zur Datensammelei für

Das Netz ist politisch

@marcel wer weiß, was sich so in Windows noch versteckt... https://github.com/mtivadar/windows10_ntfs_crash_dos

GitHub - mtivadar/windows10_ntfs_crash_dos: PoC for a NTFS crash that I discovered, in various Windows versions

PoC for a NTFS crash that I discovered, in various Windows versions - mtivadar/windows10_ntfs_crash_dos

GitHub

Marcel Waldvogel May 5

@DO3EET
Ich hoffe, mein Post wird nicht als "Linux ist unsicher" missverstanden, das wäre nicht meine Absicht (mein Laptop fährt #Linux).

Ich bemängle vor allem den Umgang mit der Sicherheitslücke durch die Entdecker. So macht man das einfach nicht.

@marcel #linux ist unsicher... Genau wie jedes andere IT-System.
Das sollte man so kommunizieren, finde ich.

maexchen1 May 5

Warum?

Kommuniziert man über #Windows auch nicht.

Und #Linux ist nicht gleich #Linux.

Es ist auch Distributions abhängig.

@maexchen1 @marcel ich glaube schon, dass bei Windows auch viel kommuniziert wird... https://cti-portal.telekom.net/portal/search-de/content?searchQuery=windows

Portal

Fabian Transchel May 5

@DO3EET @marcel Wie in jedem IT-System darf man pragmatischerweise Opportunitätskosten betrachten. Und da ist Open Source um Längen vor proprietären Modellen.

Wenn das anders *scheint*, so sollte man sich an https://de.wikipedia.org/wiki/Pr%C3%A4vention#Pr%C3%A4ventionsparadoxon erinnern.

Prävention – Wikipedia

@ftranschel @marcel Transparenz allein schreibt noch keinen Patch. Das „Many Eyeballs“-Prinzip funktioniert eben nur, wenn die Augen den Code auch verstehen. Gerade bei sehr komplexen oder chronisch unterbesetzten Projekten (wie man z. B. bei der XZ-Backdoor oder Log4j gesehen hat) wird das fehlende spezifische Know-how oder die fehlende Zeit der Maintainer schnell zum Flaschenhals.

Fabian Transchel May 5

@DO3EET @marcel Und das ist bei proprietärer Softeware nicht der Fall?

Ich sehe nicht, wie das Argument nicht zusammenfällt mit Security through obscurity - und damit nicht besonders stichhaltig ist.

Dass Supply-Chain-Angriffe und One-Man-Abhängigkeiten ein riesengroßes Problem sind, ist doch davon komplett unabhängig.

@ftranschel @marcel ahh Du denkst ich will proprietäre Software in Schutz nehmen... dem ist nicht so... ich sag nur ALLE IT-Systeme sind unsicher.

Fabian Transchel May 5

@DO3EET @marcel Da sind wir uns schon einig. Verstehe aber den Furor dahinter nicht unbedingt.

Wilma_Wein May 5

@marcel @DO3EET denoch ist der Zugang der große Unterschied.
Physisch lässt sich immer viel anstellen.

@marcel @DO3EET Alle großen Distros wurden schon vor der Veröffentlichung informiert und hatten genug Zeit, einen Patch bereit zu stellen...

@lemba @marcel da beginnt die Frage... Ab wann zählt man als große Distribution?

@DO3EET @marcel Siehe: https://copy.fail/#faq

Disclosure timeline

2026-03-23Reported to Linux kernel security team
2026-03-24Initial acknowledgment
2026-03-25Patches proposed and reviewed
2026-04-01Patch committed to mainline
2026-04-22CVE-2026-31431 assigned
2026-04-29Public disclosure (https://copy.fail/)

Es gab also einen direkten Report zum Linux kernel security team ca. 4 Wochen vor Veröffentlichung.
Und 1 Woche VOR Veröffentlichung war der "Bug" schon gefixt!

Copy Fail — 732 Bytes to Root

CVE-2026-31431. 100% Reliable Linux LPE — no race, no per-distro offsets, page-cache write that bypasses on-disk file-integrity tools and crosses containers. Found by Xint Code.

Xint

Marcel Waldvogel May 6

@lemba @DO3EET
Will Dormann @wdormann fasst das schön zusammen:

Siehe auch der Rest des exzellenten Threats (übrigens auch im Artikel und Thread verlinkt).
https://infosec.exchange/@wdormann/116495106231293342