Samstag, 1. September 2018

Wetterbericht mit Wunschwetter

Allgemein bekannt ist, dass Wetterberichte das Wetter maximal für 3 Tage vorhersagen können. Bei unbeständigem Wetter weniger als 3 Tage und manchmal auch nur weniger als 1 Tag. Doch was Wetterberichte zusätzlich machen ist, dass sie nicht das wahrscheinlichste Wetter vorhersagen, sondern das wahrscheinlich angenehmste Wetter. Die Wetterberichte vorhersagen nicht das wahrscheinlichste Wetter, sondern ein Wunschwetter, das kurz vor knapp auf das wahrscheinlichste Wetter korrigiert wird.

Wetterbericht mit Wunschwetter
Bilder: The people from the Tango! project. gemeinfrei.

Seitdem es mehrere Wetterberichte mit Wettervorhersagen gibt, gibt es auch Unterschiede in den Wettervorhersagen. Diese unterscheiden sich nicht nur in den Langzeitvorhersagen zwischen 4 und 16 Tagen, sondern auch in den Vorhersagen bis zu 3 Tage. In den Kurzzeitvorhersagen bis maximal 24 Stunden sind sie alle ziemlich gleich.

Die Wetterberichte haben das Problem etwas sehr unvorhersebares vorherzusagen, eben das Wetter. OK, dass es im Sommer warm und im Winter kalt ist, ist damit nicht gemeint. Die Wetterberichte sind heutzutage in der Lage das Wetter für maximal 3 Tage vorherzusagen und geben zudem Prognosen für die nächsten 16 Tage. Jeder Wetterbericht verwendet für seine Vorhersage andere Parameter, die zu unterschiedlichen Ergebnissen führen. Die Parameter, die zu den Unterschieden führen, sind nicht wettertechnische. Denn wenn alle nach dem neuesten wettertechnisch-wissenschaftlichen Stand vorhersagen würden, wären alle Wettervorhersagen gleich.

Wetterbericht mit Wunschwetter
Bild: The Norwegian Meteorological Institute. met.no.

Mit zunehmendem zeitlichen Abstand in die Zukunft wird die Toleranz des möglichen Wetters immer größer. Das ergibt einen Spielraum, der von den Wetterberichten für ihre Wettervorhersagen genutzt wird. Die Wetterberichte verwenden zusätzliche Parameter, die nichts mit der wissenschaftlichen Wettervorhersage zu tun haben - die Wetterlaune der Menschen. Ein Wetterbericht, der eher angenehmes Wetter vorhersagt ist beliebter als einer, der eher unangenehmes Wetter vorhersagt - so tickt der Mensch. Ausnahmen, wie Pessimisten, die sich in Vorhersagen mit unangenehmen Wetter, dass dann auch eintrifft, bestätigt fühlen, sowie Optimisten, die sich in Vorhersagen mit angenehmen Wetter, dass dann auch eintrifft, bestätigt fühlen, aussen vor gelassen.

Insbesondere in den Langzeitvorhersagen, aber mittlerweile auch bei unbeständigem Wetter in den 3-Tages-Vorhersagen, wird der Parameter "angenehm" verwendet. Ein zunehmend unbeständiges Wetter gelangt den Wetterberichten also zum Vorteil. Mit abnehmendem Zeitabstand wird der Parameter "angenehm" bis auf Null verkleinert. Das Verwenden des Parameters "angenehm" reduziert die Wettervorhersagen auf 24-Stunden-Vorhersagen. Bei den 3-Tages-Vorhersagen und insbesondere bei den Langzeit-Vorhersagen wird von den Wetterberichten nicht der Mittelwert der Wetter-Toleranz, und schon gar nicht die Wetter-Toleranz an sich, sondern wenn dann immer eine Wetter-Tendenz mit Toleranz oder eben ein tendenziell angenehmes Wetter vorhergesagt.

Was ein angenehmes Wetter ist, darin unterscheiden sich die Leute. Von daher haben Wetterberichte, die ein tendenziell angenehmes Wetter vorhersagen, ein Klientel, das sich durch die unterschiedlichen Wettervorhersagen unterscheidet. Die Leute in Gruppen zu unterscheiden hat zudem den Vorteil der personalisierten Werbung. Die Leute, für die ein kühles Wetter angenehm ist, sind ein Klientel für andere Produkte und Dienstleistungen als Leute, für die ein warmes Wetter angenehm ist.

Der Markt regelt das Wetter?
Der Markt regelt die Wettervorhersagen!
Weiterlesen »

HaveIBeenPwned Password Cracker

Die Website HaveIBeenPwned bietet für jeden eine Möglichkeit per Emailadresse zu checken, ob diese zusammen mit dem dazugehörigen Passwort (unverschlüsselt/ungehasht) in eine der im Internet "geleakten" Listen enthalten ist. Diese Listen wurden durch Hacker von Webseiten gedownloadet, deren Server und Software Sicherheitslücken hatten. Darunter Myspace (360 Millionen, 2009), LinkedIn (164 Millionen, 2012), Tumblr (65 Millionen, 2013), Fling.com (40 Millionen) und VK (171 Millionen, 2016). Insgesamt hat HaveIBeenPwned 517 Millionen Datensätze (Emailadresse + Passwort) vorrätig.

Die Datensätze enthalten also neben einer Zuordnung von Emailadresse-Passwort, mittels der ein Account, der diese beiden zusammenhängend verwendet, geknackt werden kann, auch eine riesige Emailadressen-Liste, mittels der Spam versendet werden kann, und auch eine riesige Passwort-Liste, mittels der Passwörter geknackt werden können.

Das Problem mit Passwortlisten: Riesige Passwortlisten sind ziemlich unnütz um einen Account auf herkömmliche Weise zu knacken, da die Software die Anzahl der Versuche eingrenzt einen Account zu knacken. Wenn dann muss sich Zugang zu Userdatenbanken verschafft werden und es muss die Verschlüsselungsmethode der Passwörter bekannt sein, die meist durch eine Generierung der Passwörter als Hashes realisiert wird. Dann werden die geleakten ungehashten Passwörter mittels der Hashmethode gehasht und mit den Hashwerten der Passwörter in der Userdatenbank verglichen. Bei einem Treffer wird dann das zugehörige ungehashte Passwort dem geleakten Datensatz mit Emailadresse zugeordnet und die Accounts geknackt.

Das Problem der Emailadressenlisten: Riesige Listen an Emailadressen sind für das Versenden von Spam ziemlich unnütz, da sie viele ungenutzte Emailadressen enthalten, deren Emails niemand mehr liest. Zudem erzeugen ungültige Emailadressen zusätzlichen Traffic via Mailer-Daemon und dergleichen. Die riesigen geleakten Emailadressenlisten müssen also gefiltert werden. Dies ist am besten zu realisieren, wenn dies die User selbst tun, via einer Webseite wie HaveIBeenPwned. Somit entstehen hochwertige Emailadresslisten für Spam, die im Darknet Höchstpreise erzielen ("filtered").

Im Sommer 2018 entschied sich Github für eine Partnerschaft (Partnership) mit HaveIBeenPwned um die Passwörter seiner User zu knacken, die in den geleakten Listen, die HaveIBeenPwned vorrätig hat, vorhanden sind. Die Userdatenbank von Github selbst wurde nach Angaben von Github nicht gehackt und geleakt. Github verspricht zwar wie jede andere Plattform, dass sie selbst die Passwörter der User nicht unverschlüsselt/ungehasht einsehen können, doch umgeht das mittels der Partnerschaft mit HaveIBeenPwned. Github hat es sich zur Aufgabe gemacht, seine User darüber zu informieren, ob ihre Passwörter in eine der Passwortlisten von HaveIBeenPwned vorhanden ist. Dabei werden nur die Passwörter geprüft, nicht der Zusammenhang Emailadresse-Passwort. Damit entschlüsselt/enthasht Github die Passwörter seiner User, wenn diese in einer der HaveIBeenPwned-Passwortlisten vorhanden sind, auch wenn der User nie einen Account bei einer der Plattformen der geleakten Listen hatte. Freundlicherweise informiert Github die User darüber, wenn dem so ist, und legitimiert sich das als Dienst im Namen der Sicherheit. Die Idee dahinter: Die User sollen keine Passwörter verwenden, die in einer der geleakten Listen sind. Das sind viele Millionen Passwörter, die nicht mehr verwendet werden sollen.

Das Github-Problem: Github enthasht die Passwörter seiner User nicht im Zusammenhang mit den Emailadressen, wie sie in den geleakten Listen vorhanden sind. Das kommt einem Knacken der Passwörter eines Hackers gleich. Github kann somit nicht mehr behaupten, dass sie die Passwörter der User nur gehasht einsehen können, da Github via HaveIBeenPwned die Passwörter seiner User knackt.

Zurzeit informiert Github seine User nur, wenn das Passwort des Users von Github-HaveIBeenPwned geknackt wurde. Möglich ist, dass diese Accounts in naher Zukunft gesperrt werden, wenn der User sein Passwort nicht ändert.

HaveIBeenPwned Github Password Cracker

Was Github will: Github will, dass seine User keine der Passwörter aus den geleakten Listen verwenden. Dazu muss Github die Passwörter seiner bereits registrierten User knacken. Zudem werden keine neuen Accounts mit einem Passwort, dass in den geleakten Listen vorhanden ist, registriert.

HaveIBeenPwned Github Password Cracker

Weiterlesen »