# Pentaradio vom 26. Mai 2026
# Titel: "Das Bashing geht weiter, bis die Qualität steigt"

Mit Mole, Simon und Xyrill.

Auf Japanisch begrüßt man den Morgen mit "ohayou gozaimasu". Wenn wir hingegen die News des Monats begrüßen, fühlen wir uns mehr nach "oh herrje gozaimasu". Von Microsoft-Bashing über Kernel-Exploits bis zu DNSSEC-Rucklern ist wieder alles dabei. Auf Basis der Livesendung vom 26. Mai 2026.

## Check-In

Die Tischhöhe beträgt 50,68 Tasten einer Computertastatur.

## Feedback

Jörg schreibt:

> hier ist mein Anfrage-Körper:
> Hörer-Identifikationsnummer: 0, in Worten: Null
> (Ende des Körpers)

Xyrill hat eine Nummer zugewiesen, ebenfalls an Tuxflo sowie an Johan, der schreibt:

> Hej Pentaradio
> hier Hörer Nummer += 1. Ja, es gibt sie die Hörer\*innen aus Schweden. 
> Lebe seit einiger Zeit in Schweden und höre euch sehr gerne zu. Vielen Dank für eure Unterhaltung und Ideen.

Mit Maliana hat sich noch ein:e Hörer:in gemeldet und eine Präferenz für AntennaPod geäußert. Außerdem [Jibel](https://c3d2.social/@jibel@ruhr.social/116524101384397474):

> +1 hörer 
> antennapod! 
> alter ist verifiziert durch dieses emogi: :possum_rawr:
> 
> :ablobcatheart:
> weiter machen! 
> es ist sehr gut

### Tischhöhe

Dominic schreibt:

> Zu eurer Tischhöhe habe ich mal etwas intensiver recherchiert. Die ersten Karten zeigten 114 m bis 116 m ü. NHN. Das kann natürlich nicht plausibel sein. Auf [dem Geoportal](https://geoviewer.sachsen.de/mapviewer/index.html?lang=de) habe ich plausiblere Höhenpunkte gefunden (siehe Anhang). Allerdings musste ich diese mitteln und komme so auf eine Höhe von 111 m ü. NHN. Da ich weiß, dass das Coloradio im 1. Stock ist, gehe ich mal von einer Standarddeckenhöhe von 2,4 m aus und komme somit auf eine Höhe des Studiobodens von 113,4m ü.NHN. Also bleibt somit für den Tisch noch 1m übrig.
>
> Bzgl. programmieren lernen würde ich mit Mole mitlernen, falls ich auch mal Zeit finde. 🙂 Ob nun Go oder Rust ist mir dabei erstmal nicht so wichtig. Aber wenn es etwas Esoterisches werden soll, finde ich Piet optisch sehr ansprechend. 😉
>
> Wegen des Lachsgazpacho an Safransauce Olé möchte ich noch sagen:
> "Wir können doch einfach mal ’n paar Eier braten …"
> Oder ihr ladet mal Rambo ein...😉

Re Tischhöhe: Kommt hin. Laut [Themenstadtplan der Stadt](https://stadtplan.dresden.de) liegt das Gebäude bei “110,7 Meter / NHN im DHHN2016”. Wir hatten mittels Lotfällung aus dem Fenster eine Höhe der Tischfläche über dem Erdboden von 16 Xyrillhänden plus 2-3 cm, insgesamt 370 cm ermittelt. FWIW, der Tisch war bei 114 cm.

### In eigener Sache (#PentaradioLeaks)

- https://chaos.social/@mole/116524324903886694
- https://c3d2.social/@pentaradio/116540657918486468

## News

Microsoft-Bashing:

- [GitHub gibt zu, dass ihre Zuverlässigkeit Mist ist](https://github.blog/news-insights/company-news/an-update-on-github-availability/)
    - [Symbolbild](https://damrnelson.github.io/github-historical-uptime/) bzw. [polemisiertes Symbolbild](https://mrshu.github.io/github-statuses/) bzw. [noch ein Symbolbild](https://www.dayswithoutgithubincident.com/)
    - [der Exodus beginnt](https://mitchellh.com/writing/ghostty-leaving-github)
    - [Xyrill hat auch schon angefangen](https://git.xyrillian.de/)
- Nachtrag zu "Copilot heißt jetzt Twix" vom April: [Update on Windows Quality](https://blogs.windows.com/windows-insider/2026/05/01/windows-quality-update-progress-weve-made-since-march/)
    - "In Snipping Tool und Photos haben wir den 'Copilot fragen'-Knopf komplett entfernt. Und in Notepad haben wir das generische Copilot-Logo mit einem eindeutigeren Label 'Schreibwerkzeuge' ersetzt, das besser beschreibt, was es tut."
    - allgemein gute Tendenz, das Microsoft sich jetzt gezwungen sieht, offenbar regelmäßig zur Produktqualität zu berichten
- [Code aus 3800 privaten Repos aus GitHub rausgetragen](https://www.bleepingcomputer.com/news/security/github-confirms-breach-of-3-800-repos-via-malicious-vscode-extension/)
    - Infektionsvektor war eine Erweiterung für Microsofts Texteditor "Visual Studio Code" (VSCode)
    - [Kevin Beaumont dazu](https://cyberplace.social/@GossiTheDog/116606671571378694): "Wenn man in Microsofts internes Netzwerk rein will \[...\], veröffentliche oder betreibe man eine VSCode-Erweiterung. Der VSCode-Marktplatz, der von Microsoft betrieben wird, ist komplett unkontrolliert. Jeder kann Erweiterungen veröffentlichen, damit Code auf Endnutzergeräten ausführen; Erweiterungen aktualisieren automatisch, 'verifizierte' Blauer-Haken-Erweiterungen brauchen nur eine registrierte Domain, und es gibt überhaupt keine Endpunkt-Sicherheitskontrollen dahingehend, was Nutzer installieren können."
- Win11 26H2 Development Release Freigegeben
- [Bitlocker YellowKey](https://deadeclipse666.blogspot.com/2026/05/two-more-public-disclosures-it-will.html)
    - [Repo mit dem Originalexploit wurde runtergenommen](https://github.com/Nightmare-Eclipse/YellowKey) (Warum tut man sowas auch auf GitHub of all places!?)
    - [Kontext aus der Presse](https://www.tomshardware.com/tech-industry/cyber-security/microsoft-bitlocker-protected-drives-can-now-be-opened-with-just-some-files-on-a-usb-stick-yellowkey-zero-day-exploit-demonstrates-an-apparent-backdoor): "YellowKey kann ausgelöst werden, indem man einfach einige Dateien auf einen USB-Stick kopiert und in das Windows Recovery Environment neustartet. Wir haben dies selbst getestet, und nicht nur funktioniert es; es verhält sich genau wie eine Backdoor, bis hin dazu, dass die Exploit-Dateien vom USB-Stick verschwinden, nachdem sie genutzt wurden. \[Nach erfolgreichem Auslösen des Exploit\] startet die Maschine neu, und ohne weitere Fragen oder Auswahlmenüs landet man in einer Kommandozeile mit Administratorrechten und Vollzugriff auf das vormals verschlüsselte Laufwerk, ohne nach irgendwelchen Schlüsseln gefragt zu werden."
    - [39c3 Vortrag zu WinRE](https://media.ccc.de/v/39c3-bitunlocker-leveraging-windows-recovery-to-extract-bitlocker-secrets)

Noch mehr Sicherheitslücken:

- [Copy.Fail](https://copy.fail/), alle Linux-Distros seit 2017 betroffen
    - [Dirty Frag](https://github.com/V4bel/dirtyfrag), schon wieder alle Linux-Distros betroffen
    - BSD wollte auch mitspielen: [FatGid](https://fatgid.io/)
- ✨KI✨: [Daniel Stenberg hat Claude Mythos auf die curl-Codebasis losgelassen](https://daniel.haxx.se/blog/2026/05/11/mythos-finds-a-curl-vulnerability/)
    - Ergebnis: eine bestätigte Sicherheitslücke (Severity: Low)
    - "KI-getriebene Codeanalyse-Werkzeuge sind _signifikant_ besser darin, Sicherheitslücken und Fehler in Code zu finden als alle Arten traditioneller Analysewerkzeuge in der Vergangenheit. \[...\] Mein persönliches Fazit kann jedoch nicht anders sein, als dass der Hype um dieses Modell bis jetzt vor allem Marketing war. Ich sehe keine Anzeichen, dass dieser Aufbau mehr oder besser Fehler findet, als andere Werkzeuge vor Mythos taten. \[...\] Dies ist nur _ein_ Quellcode-Repository und vielleicht ist es in anderen Dingen besser. Ich kann nur darüber berichten, was ich hier beobachtet habe. \[...\] Es ist wichtig, zu bemerken, dass KI-Werkzeuge die üblichen und etablierten Arten von Fehlern finden, die wir bereits kennen. Sie finden einfach nur neue Exemplare. Wir haben noch keine KI gesehen, die eine Schwachstelle einer neuen Art reportiert, die etwas ganz Unbekanntes wäre. Sie können das Feld nicht neuerfinden, aber sie finden mehr Fehler als andere Werkzeuge vor ihnen."
    - im Gespräch erwähnt: [cal.com steigt auf Closed Source um](https://cal.com/blog/cal-com-goes-closed-source-why)
- [Bitwarden Supplychain Attack](https://www.golem.de/news/supply-chain-angriff-auf-passwortmanager-npm-paket-von-bitwarden-kompromittiert-2604-207974.html)
    - außerdem erwähnenswert: [Bitwarden hat einen neuen CEO, und es riecht nach Enshittification](https://www.osnews.com/story/145029/get-your-passwords-out-of-bitwarden-while-you-still-can/)
    - Money Quote: "Der Satz 'Immer kostenfrei' verschwand von der Seite für den persönlichen Passwort-Manager Mitte April. \[...\] Das kostenfreie Angebot existiert ‒ noch ‒ aber die verbindliche Formulierung ist weg."
    - außerdem wurden von den vier Kernwerten Inklusion und Transparenz durch Innovation und Vertrauen ersetzt
    - wenn man die Bitwarden-Clients weiter verwenden will, ist die Migration der Serverseite auf [Vaultwarden](https://github.com/dani-garcia/vaultwarden) empfohlen

Weitere News:

- Linktipp: [Energiewende-Dashboard für die Stadt Dresden](https://energiewende.c3d2.de/)
- Videotipp: [Zum Drohnenschlag auf den Tschernobyl-Sarkophag 2025](https://www.youtube.com/watch?v=Q6UX1eE1am4)
- mal wieder Angriff auf Notepad++, aber diesmal anders: [Angebliche Mac-Version verteilt](https://notepad-plus-plus.org/news/npp-trademark-infringement/)
    - sieht offenbar nicht nach einem Blackhat aus, sondern nach einem Fork/Rewrite von jemandem, der keine Ahnung von Markenrecht hat
    - Nachspiel: `notepad-plus-plus-mac.org` hat sich jetzt in `nextpad.org` umbenannt
- [DNSSEC-Probleme bei der DeNIC](https://status.denic.de/pages/incident/592577eab611ce1e0d00046f/69fa60ef9d12f5057a974f38)
    - [offenbar ein Problem mit der Schlüsselrotation](https://blog.denic.de/analyse-des-dns-ausfalls-vom-5-mai-2026/): "\[Die Software hat\], statt ein Schlüsselpaar zu erzeugen und auf drei HSMs zu hinterlegen, gleich drei verschiedene Schlüsselpaare generiert - eines pro HSM. Alle drei HSMs wurden für die Signierung eingesetzt, aber nur bei einem passte der Schlüssel zum (vor-)publizierten DNSKEY RR."
- [paperless-ngx ist in v3.0 Beta veröffentlicht](https://github.com/paperless-ngx/paperless-ngx/releases/tag/v3.0.0-beta.rc1) (die vermisste folge aus der zukunft)

## Debatte

Xyrill hat mal wieder einen Artikel übersetzt und eingesprochen: [Cory Doctorow zu Faktenintensivität](https://pluralistic.net/2026/03/25/fact-intensive/). In einer Minute:

> In seinem Artikel "The cost of doing business" (Die Kosten des Geschäfts) beschreibt Cory Doctorow, warum Digitalisierung oftmals Verwaltungsprozesse vor Probleme stellt: Des Pudels Kern ist "Faktenintensivität". Wenn gesetzliche Regelungen faktenintensive Fragen stellen, können digital beschleunigt arbeitende Konzerne die Regulierungsbehörden schneller mit Arbeit überhäufen, als die Sachbearbeiter:innen prüfen können. Wie Doctorow an verschiedenen Beispielen durchdekliniert, ist der einzige Ausweg, die faktenintensiven Fragen durch einfache Tests zu ersetzen.
>
> Zum Beispiel hält er den Versuch der EU, Hassrede auf Facebook, Twitter und Co. zu regulieren, für aussichtslos. Denn Hassrede passiert auf den großen Plattformen viel schneller, als Strafverfolgungsbehörden es aufklären und Gerichte darüber urteilen könnten. Stattdessen wäre es hilfreicher, Interoperabilität zwischen Social-Media-Plattformen zu erzwingen, damit Opfer von Hassrede ihren Peinigern entkommen können, ohne den Kontakt zu ihrer Gemeinschaft abbrechen zu müssen.

Die komplette Übersetzung steht [als Textdatei bereit](https://dl.xyrillian.de/pentaradio-quellen/2026-05-the-cost-of-doing-business.md).

## PentAwesome

- [Cloudflares Lavalampen](https://www.cloudflare.com/de-de/learning/ssl/lava-lamp-encryption/)
    - [Youtube-Video von Tom Scott](https://www.youtube.com/watch?v=1cUUfMeOijg)
- Female Creators: [Xyla Foxlin](https://www.youtube.com/@xylafoxlin)

## Musik

- ["Gucci Facts", Brentin Davis (2026)](https://freemusicarchive.org/music/brentin-davis/merry-banger-beats/gucci-facts/)
- ["Prance of the Ravening Eagle", Kraus (2009)](https://freemusicarchive.org/music/Kraus/The_Facts/Prance_of_the_Ravening_Eagle_1199/)

## Alternative Titeloptionen

- "Die Tabs-vs.-Spaces-Sendung"
- "Piet-Kontrolleure"
- "Die Geister, die Microsoft rief"
- "Volkseigenes Rechenzentrum"
- "Das darf man nur im Radio sagen"
- "Gesponsorter Zufall"