Category Archives: Security

History, Poetry, Security

Buchrezension: Buruma „Stay Alive”. Liebeserklärung an die Berliner Nazis, die damit durchkamen

Leave a comment

Die New York Times möchte uns glauben machen, dass Berliner in Kriegszeiten „einfach weitergemacht” hätten, statt die Stadt zu verlassen. Ian Buruma hat etwas geschrieben, das er einen „Liebesbrief” an die Stadt nennt – für all jene, die am Völkermord mitschuldig waren. Das Buch heißt zynischerweise Stay Alive. Der Untertitel lautet „Berlin, 1939–1945″, obwohl er wohl eher hätte heißen sollen: „Von Juden ist hier offensichtlich nicht die Rede”.

Stay… und alive. Nicht für die Zwangsdeportierten. Nicht für die, denen man in den Kopf schoss und die man in Massengräbern verscharrte.

Stay alive, liebe Berliner.

Als ob die Berliner, die die Juden hinausdrängten, in die Züge nach Auschwitz, diejenigen gewesen wären, die überleben mussten. Die Menschen, die tatsächlich am Leben bleiben mussten, waren in all den Lagern – dorthin geschickt aus Berlin, von Gleis 17 am Bahnhof Grunewald –, während die Nachbarn bereits planten, sich ihre Wohnungen anzueignen. Die Bedrohung für Berlins Juden war die Vernichtung durch ihre Nachbarn. Die letztlich von außen erzwungene Bedrohung für diese Nachbarn waren Konsequenzen: alliierte Bomben als Antwort auf die vielen Kriege, die ihre Regierung angezettelt hatte, sowjetische Truppen als Antwort auf 27 Millionen eigene Tote.

Buruma kann mit diesem Titel der Nazi-fördernden Auslöschung davonkommen, weil Berlin die Struktur dafür bereits geschaffen hat. Es ist die Stadt, die dafür bekannt ist, jede Spur der Menschen zu tilgen, die nicht am Leben geblieben sind.

Es gibt dort keine Fotografien der Deportationen, und das ist einfach nur seltsam.

Nicht ein einziges Foto.

Das #LastSeen-Projekt hat Deportationsbilder aus 60 deutschen Städten und Gemeinden gefunden. Wir sehen über 420 Fotografien aus Orten wie Fulda, Breslau, München.

Nicht aus Berlin.

Keine Fotos der Deportation haben überlebt. Verstanden? Mehr als 50.000 Juden wurden in Synagogen zusammengetrieben und zu Güterbahnhöfen marschiert, zwischen 1941 und 1943, und dennoch hat nicht ein einziges Bild überlebt.

Keine Fotos der Verbrechen, damit die Täter überleben konnten. Das ist es, was es Buruma ermöglicht, ein Foto von Tätern auf das Cover seines Buches zu setzen und grausam „stay alive” darauf zu schreiben.

Ein Autor eignet sich schamlos die Bildsprache der Opfer in Berlin an, um den Holocaust auszulöschen. Keine Fotos von Juden in Berlin, die in Todeslager deportiert wurden… haben überlebt.

Die überlebenden Bilder zeigen Menschen, die ihre Habseligkeiten durch Berliner Straßen tragen – als Täterbevölkerung. Die Opfer wurden so gründlich ausgelöscht, dass selbst die visuelle Sprache der Vertreibung von den Menschen vereinnahmt wurde, die sie verursacht haben.

Sechzig Städte dokumentierten, was sie taten. Berlin vernichtete die Beweise, nahm die Wohnungen, sammelte das gestohlene Eigentum ein und wurde wütend auf jeden, der versuchte, Beweise zu sichern. Nach vorne schauen! Die Vergangenheit vergessen! Wir dürfen nur über die Zukunft sprechen! Wenn es keine Gesichter für die Toten gibt, kann man die Lebenden aufs Cover setzen und es als Feier allein ihres Überlebens bezeichnen.

Ein Liebesbrief. An die Stadt, in der das Reichssicherheitshauptamt, die Wannsee-Villa, die T4-Euthanasienzentrale und die Gestapo in der Prinz-Albrecht-Straße untergebracht waren. Während der Jahre, in denen der Holocaust aus ihren Konferenzräumen heraus verwaltet wurde. Das sollen wir jetzt lieben.

Bedenken Sie, dass Burumas Vater Leo den Krieg in Berlin verbrachte und dort leichte Maschinengewehre für die Wehrmacht herstellte. Das Buch des Sohnes verwandelt diese Tatsache in eine Geschichte über den „Versuch, sein eigenes Gleichgewicht zwischen Widerstand und Überleben zu finden”. Die Rezension strukturiert den Satz sogar so, dass es verschleiert wird: Leo arbeitete in „einer Fabrik, die Bremsen für Lokomotiven, aber auch leichte Maschinengewehre herstellte.”

Erst die Bremsen. Maschinengewehre… ach ja, das auch noch.

Als ob Züge in Todeslager, geschweige denn die Bewaffnung eines Völkermords, eine Fußnote zum Geschäft gewesen wären. Das ist ein Familienprojekt, ihre Investitionen für eine Rendite. Der Vater stellte Waffen für Nazis her. Der Sohn schrieb den Liebesbrief zu Ehren der Kunden – derjenigen, die hinter den Gewehren standen und sie kauften.

Die Besetzung

Jede Person in diesem Buch wird auf bizarre Weise entweder als Opfer oder als Zuschauer inszeniert. Das ist der einzig erlaubte Rahmen. Ein Dirigent, der sich einredete, er sei unpolitisch. Literaten, die debattierten, ob sie ins Exil gehen sollten. Familien, die sich in Bordellen versteckten. Und der Vater des Autors wird als Mann beschrieben, der „den alliierten Luftangriffen auswich” – nicht als Mann, der die Waffen baute, die diese Luftangriffe notwendig machten.

Das ist unter Nazis üblich: sich selbst zum wahren Opfer zu erklären und Unterstützung zu suchen, um der Verantwortung zu entgehen.

Niemand in diesem Buch organisiert die Deportationslogistik in Berlin. Niemand arbeitet in den Lagern. Niemand kassiert die arisierten Besitztümer und fälscht die Stadtakten. Niemand bearbeitet den Papierkram, der 50.000 Juden von Gleis 17 in Grunewald – vor aller Augen der Nachbarschaft – in den Tod schickte. Die Täter sind keine Figuren. Sie sind bloß das Wetter, von dem die Berliner profitieren.

Die Zauberworte

Burumas These, zitiert in der Times-Rezension: Die meisten Berliner waren „weder Zyniker, noch Schläger, noch ideologische Fanatiker; sie haben sich einfach angepasst.” Schwachsinn. „Einfach angepasst” ist die Formulierung, die eine ganze Stadt von der Verantwortung befreit. Anpassung ist passiv.

Was die Berliner taten, war aktive Teilnahme.

Sie besetzten die Stellen, die durch deportierte Juden frei geworden waren. Sie nahmen die Wohnungen und dekorierten mit gestohlener Kunst und gestohlenen Möbeln. Sie besuchten die Konzerte, die mit gestohlenem Reichtum finanziert wurden. Sie übernahmen alle Kunden, alle Märkte und tranken den aus Frankreich geraubten Wein. Das ist keine Anpassung. Das ist die beabsichtigte Dividende des Völkermords, und Berlin war ein Epizentrum des Dividendensammelns.

Die Entlastungsmaschine

Das gesamte Projekt scheint sich um einen Mann namens Erich Alenfeld zu drehen. Ein Jude, der zum Christentum „konvertierte” – Alenfeld schrieb 1939 einen Liebesbrief an Hermann Göring, in dem er sein Erbe verleugnet und sich freiwillig zur deutschen Armee meldete. Sein Sohn trat mit zehn Jahren der Hitlerjugend bei. Jahrzehnte später schrieb seine Tochter ein Buch mit dem Titel Why Didn’t You Leave?

Die Familie selbst konnte klar sehen, was es war.

Burumas Erklärung richtet sich gegen sie und will uns glauben machen, dass dies „nicht immer zynische Zugeständnisse” gewesen seien. Die Verbrechen sollen mit dem „nationalistischen Geist der Zeit” entschuldigt werden. Die Alenfelds, schreibt er, „waren ebenso von der deutschen Romantik beeinflusst wie jeder andere ihrer Generation.”

Romantik. Ein jüdischer Mann schreibt an den Architekten der Arisierung, meldet sich freiwillig zum Dienst in der Armee, die sein Volk vernichten wird, und dieser Mann nennt es Romantik.

Es ist widerlich.

Diese Geschichte leistet konkrete Arbeit. Wenn sogar ein Jude aufrichtig daran glauben konnte, anstatt eine Kugel in den Kopf zu bekommen – nicht aus Verzweiflung, nicht als Überlebungstarnung, sondern aus echtem Nationalgefühl –, dann kann niemand anderem die Schuld gegeben werden. Die Ideologie war normal, verführerisch. Sie riss alle in die Verbrechen hinein, sogar ihre Opfer. Und wenn die Opfergruppe die Lügen glaubte, welche Ausrede braucht dann die Profiteursgruppe noch?

Deshalb braucht Buruma „Romantik” statt Verblendung oder „Verzweiflung”. Tausende Juden und Mischlinge dienten in der Wehrmacht. Bryan Mark Rigg hat sie dokumentiert. Sie hofften zu überleben. Sie taten es, weil die Alternative der Tod war. Sie taten es, weil eine Uniform Tarnung in einem Kugelhagel war. Buruma streicht all diesen tatsächlichen Überlebenskontext und ersetzt ihn durch sein persönliches Empfinden. Romantik macht die Kollaboration des Opfers an seinem eigenen Tod universell und schön. Verzweiflung würde zugeben, dass es Menschen unter tatsächlicher existenzieller Bedrohung gab, und würde die offensichtliche Frage aufwerfen, welche Ausrede die acht Millionen mitschuldigen Berliner hatten.

Der Titel der Tochter ist die Frage, die dieses neue Buch auslöschen will. Why didn’t you leave. Warum habt ihr euch nicht geweigert. Warum habt ihr mitgemacht. Buruma will nicht, dass die Frage gestellt wird. Er will nicht, dass die Antwort durchsickert. Also löst er das Thema in Stimmung auf. Er nennt Völkermord buchstäblich romantisch. Er nennt Nazi-Komplizenschaft eine Liebesgeschichte. Er nennt das Ganze einen Liebesbrief.

Und die Times druckt und bewirbt es dummerweise, weil dort offenbar niemand mehr Geschichte studiert.

Wer bekommt ein Gesicht

Das Buch endet mit der üblichen Horrorgeschichte, die Nazis anführen. Sowjetische Truppen kamen an, und mehr als 100.000 Berliner Frauen und Mädchen wurden vergewaltigt. Buruma interviewt eine Überlebende, die 14 war. Das ist reale Geschichte, und sie ist wichtig.

Sie ist wichtig, weil er die mehr als 50.000 aus Berlin deportierten Juden auslöscht. Sie erhalten keine gleichwertige Behandlung. Das können sie nicht. Berlin hat dafür gesorgt. Keine Fotografien, keine Gesichter, keine Namen auf dem Denkmal. Keine Überlebenden zum Interviewen. Vergewaltigt und ermordet.

Die Struktur des Buches beginnt mit Gleichgültigkeit gegenüber der Tragödie und endet mit einem Appell um Mitgefühl für sowjetische Gewalt, damit die Berliner die Geschichte als Opfer beenden statt als Beteiligte. Alle jüdischen Frauen und Mädchen werden vergessen, damit die Vergewaltigungen Jahre später die ganze Aufmerksamkeit bekommen. Die Toten bleiben gesichtslos. Die Lebenden werden zur Anerkennung präsentiert.

Thomas Mann hat es gesehen

Die Rezension zitiert Thomas Mann: Alles, was in Deutschland zwischen 1933 und 1945 veröffentlicht wurde, trage den Geruch „von Blut und Schande”. Die Rezension behandelt dies als zeitgeschichtlichen Kontext, aber es ist so viel mehr. Das ist eine direkte Anklage des Projekts.

Manns Maßstab besagt, dass die Stimmen, die Buruma so unbedingt bewahren will – jene, die blieben, um zu profitieren, die sich anpassten, um Gewinn zu machen, die weitermachten, wie Hitler es befahl – keine neutralen Zeugen sind. Sie sind kompromittierte Quellen. Nicht weil sie logen, sondern weil das Überleben im nationalsozialistischen Berlin die Teilnahme an dem System erforderte, das ihr „Überleben” erst notwendig machte.

Mann ging. Brecht ging. Die Menschen, die blieben, trafen eine Entscheidung zur Teilnahme, und diese Entscheidung hatte einen Preis, den jemand anderes zahlte. Diejenigen, die Widerstand leisteten, waren die, die getötet, deren Leben zerstört wurden. Buruma kennt diese eigentliche Geschichte, denn die Waffenfabrik seines Vaters kommt im Buch vor. Aber die Rahmung verwandelt Komplizenschaft in Tragödie, Produktion in Überleben und Verzweiflung in Romantik. Diese unmoralische Desinformationskonversion scheint der Zweck zu sein.

Nicht sein erstes Mal

2018 wurde Buruma als Chefredakteur der New York Review of Books zum Rücktritt gezwungen. Erinnern Sie sich an seine Bitte, an die Nazis zu denken, die unter der sowjetischen Befreiung Berlins litten? Buruma veröffentlichte einen Essay von Jian Ghomeshi, der von über 20 Frauen der sexuellen Nötigung beschuldigt wurde, in dem Ghomeshi seine Geschichte als Opfer öffentlicher Beschämung umdeuten durfte. Burumas Verteidigung ist sehr relevant für die von sowjetischen Soldaten vergewaltigten Frauen:

Die genaue Art seines Verhaltens – wie viel Einvernehmen dabei im Spiel war – davon habe ich keine Ahnung, und es ist auch nicht wirklich mein Anliegen.

Und warum kümmert es ihn nicht? 2018 gab er einem der sexuellen Nötigung beschuldigten Täter eine Plattform, um sein eigenes Leiden zu erzählen. Jetzt, 2026, will er einer ganzen Stadt von Beteiligten endlich die Plattform geben, um ihr Leiden zu erzählen. Sollte er nicht die sowjetischen Soldaten verteidigen, so wie er Ghomeshi verteidigt? Die Heuchelei sei angemerkt.

Beide Projekte stellen die Erfahrung der Konsequenzen durch den Täter ins Zentrum, nicht die Erfahrung des Schadens durch das Opfer. Beide behandeln Rechenschaftspflicht als die eigentliche Gewalt. 2018 wurde er dafür gefeuert. 2026 druckt die Times Nazi-Liebesbriefe.

Der Rezensent sieht es und geht weiter

Kevin Peraino, der für die Times rezensiert, schreibt, das Buch sei „reich an Anekdoten und Primärquellen, aber etwas arm an großen Ideen.” Er wünschte, Buruma würde „tiefer eintauchen.” Er sagt damit, das Buch habe keinen analytischen Rahmen. Kein Argument. Keine Struktur, um zu verstehen, warum all das geschah oder was es bedeutet.

Wie könnte es das auch, angesichts dessen, was es bezwecken soll?

Und doch befürwortet er die „Liebesbrief”-Rahmung trotzdem. Er nennt das Buch eine „leidenschaftliche Herausforderung an die zersetzende Kraft der Gleichgültigkeit.”

Gleichgültigkeit war für Berlin nicht zersetzend.

Gleichgültigkeit funktionierte für Berlin.

Sie ist genau das, was die Konzerte am Laufen hielt, die Fußballspiele füllte, den Kaffee während des Völkermords fließen ließ. Die Maschine brauchte keine Begeisterung. Bis heute missbilligt Berlin Emotionen und warnt vor Beweisen. Sie brauchte keine Spuren, nur Menschen, die weiterhin auftauchten, damit die Verbrechen weitergehen konnten. Das taten sie. Ein „Urlaubszug” nach Auschwitz ermöglichte es Berlinern, die Gaskammern des Massentodes in Aktion zu beobachten. Die Nazis bauten spezielle gläserne Beobachtungsluken zur Inspektion. Dann kehrten die Berliner revitalisiert in ihre Stadt zurück, um sich über ihr eigenes „Überleben” auszulassen, das von der effizienten systematischen Auslöschung der Juden abhing.

Liebesbriefe an die Stadt der Toten

Die Berliner haben bis heute eine Tradition: Sie legen Blumen und Kerzen auf Nazi-Gräber in der ganzen Stadt. Diese Nazis werden offen betrauert, ohne Entschuldigung, in der Stadt, die emotionale Zurschaustellungen nicht mag. Wenn sie doch nur noch einen Tag gelebt hätten, um noch mehr Nachbarn mit Maschinengewehren niederzumähen, noch mehr Reichtum gewaltsam umzuverteilen. Sie werden auf eine sehr eigentümliche Weise in Ehren gehalten.

Rote Grablichter auf Berliner Gräbern von 1945, in großem Maßstab gepflegt
Foersters, gestorben am 26. April 1945, vier Tage vor Hitlers Selbstmord. Blumen auf einem Berliner Friedhof.
Friedhof in Berlin. Derselbe Friedhof hat Gräber aus dem Ersten und Zweiten Weltkrieg. Die Blumen und Kerzen sind nur für 1939–1945.

Auf dem Militärfriedhof am Columbiadamm erscheinen jeden November Kränze von Gruppen, die Wehrmachtstote ehren. Ein „Traditionsverband der Freunde des ehemaligen Schutzgebietes Deutsch-Südwestafrika” hinterlässt Schleifen mit „patriotischen Grüßen” an einem Denkmal für die Soldaten, die den Völkermord an den Herero verübten. Als Neuköllns Bezirksregierung aufgefordert wurde, das Denkmal zu entfernen, fügte sie eine Tafel hinzu, die das Wort „Völkermord” ganz gezielt ausließ.

Reinhard Heydrich, der Architekt der Endlösung, liegt noch immer auf dem Invalidenfriedhof im Zentrum Berlins begraben. Es ist eine Touristenattraktion für diejenigen, die dem Nationalsozialismus etwas Liebe zeigen wollen. Der Grabstein wurde entfernt, aber der Leichnam nicht. Der Friedhof ist heute ein geschütztes Denkmal, vom Staat gepflegt, als Attraktion beworben. 2019 öffnete jemand mit Insiderwissen über die Lage das Grab – um zu betonen, dass Heydrich nie wirklich weg war.

Das Sinti-und-Roma-Denkmal – ein symbolisches Grab für 500.000 ermordete Menschen – wird durch ein Tunnelprojekt der Deutschen Bahn bedroht. Das Holocaust-Mahnmal selbst enthält keine Namen, keine Inschriften, keine jüdischen Symbole. Seine Anti-Graffiti-Beschichtung wurde von einer Degussa-Tochtergesellschaft hergestellt – derselben Unternehmensfamilie, die Zyklon B produzierte.

So sieht also ein Liebesbrief an Berlin aus, wird uns gesagt. Die Täter erheben sich wieder. Die historischen Bodenmarkierungen werden entfernt. Die Opfer bekommen ein abstraktes Mahnmal ohne Namen. Und alle paar Jahre schreibt jemand mit familiärer Verbindung zur Kriegsmaschinerie ein Buch, das sagt, die meisten Menschen hätten sich einfach angepasst, also wer könnte ihnen vorwerfen, nicht gegangen zu sein.

Das ist keine Geschichtsschreibung. Das ist „wie der Vater, so der Sohn” – die Auslöschung von Völkermordopfern des Familienunternehmens, um die Dividenden weiterfließen zu lassen. Liebe als Hass.

Der Grabstein eines Bürgermeisters aus der NS-Zeit in Berlin trägt buchstäblich die Inschrift „die Liebe höret nimmer auf” – in derselben Stadt, in der ein Mann gerade einen Liebesbrief an den Völkermord veröffentlicht hat, den sein Vater bewaffnete. Das Grab hält sich bemerkenswerterweise nicht an die Berliner Besatzungsregeln für Gedenkstätten. Es ist nicht ungewöhnlich, solche Berliner zu finden, die Friedhofsregeln bezüglich der Liebe zum Nationalsozialismus brechen.
Security

Trump Calls for Death to Americans First in Civil War Rant

Leave a comment

Four things the President of the United States did this weekend.

One. Robert Mueller died Friday at 81. Bronze Star. Purple Heart. Longest-serving FBI director after Hoover. Appointed by a Republican. Trump posted on Truth Social:

Good, I’m glad he’s dead.

Two. Trump declared Iran already defeated while his Defense Department requested $200 billion in additional war funding. For what? He named America as the target:

Now with the death of Iran, the greatest enemy America has is the Radical Left, Highly Incompetent, Democrat Party!

Three. Trump threatened to “obliterate” Iran’s power plants if the Strait of Hormuz isn’t reopened within 48 hours. Deliberately destroying civilian power grids is a war crime under the Geneva Conventions. War crime after war crime. Just watch as that $200 billion funds domestic war crimes.

Four. Under the “greatest enemy” post, Trump supporters shared AI-generated images of George Washington holding a sign reading

It’s time to start hanging these Democrats.

We know this pattern. It’s the KKK all over again.

Source: Encyclopedia of Alabama, 1 Sept 1868 Tuscaloosa Independent Monitor. The KKK threatened that March 4, 1869 — first day of rule by avowed racist Horatio Seymour — would bring lynchings of white Americans (“scalawags” and “carpetbaggers”). Instead the Presidency was won in a landslide by Civil War hero and civil rights pioneer Ulysses S. Grant.
The Economist/The New Yorker weren’t wrong

A dead veteran mocked.

Americans named as the enemy.

War crimes threatened on a clock.

And sock puppets promoting Civil War out loud.

Security

RustSec Integrity Breach Hides Dangerous Crypto Flaw

Leave a comment

Cryspen’s co-founder Karthikeyan Bhargavan told The Register last week:

we did not do great with these advisories.

You can say that again.

Nadim Kobeissi, an applied cryptographer, found thirteen vulnerabilities in Cryspen’s libcrux and hpke-rs libraries. He published the findings in an IACR ePrint paper titled “Verification Theatre.” Catchy title. You can tell right away he’s a legit researcher. Nine of the bugs were in unverified code. Four were inside the formally verified boundary, which means the code Cryspen markets as providing “the highest level of assurance.”

This is actually a big deal.

I noticed, as one example, only 58.4% of ML-KEM deployment code actually has its proofs checked. The entire NEON backend for every ARM64 device (iOS and Android) is fully admitted with zero proofs checked. That’s the “verification theatre”.

Cryspen built Signal’s post-quantum ratchet (SPQR) using libcrux’s ML-KEM implementation. Their own website states the implementation is:

formally verified for panic-freedom, functional correctness, and secret independence, and hence provides a high degree of assurance.

One of Kobeissi’s bugs caused real decryption failures in that implementation (a cross-backend endianness error). Signal’s signal-crypto crate depends directly on hpke-rs, where the nonce-reuse vulnerability lives.

The nonce-reuse bug enables full AES-GCM plaintext recovery and forgery after 2^32 encryptions with a single HPKE setup. In plain terms, the encryption uses a counter that runs out of numbers after about four billion messages, at which point it starts reusing the same “salt” to scramble data. Once that happens, an attacker can read everything and forge new messages that look authentic.

It sounds bad because it is. AES-GCM nonce reuse is a textbook attack with published working exploits since 2016. Whether four billion sounds like a lot depends on who’s using the library. Google noted their servers handle hundreds of millions of encrypted tokens per second under load. That’s ten seconds or less. The Netty project had the identical counter overflow bug and it got a CVE and a published advisory as one would expect.

There’s also a missing mandatory X25519 validation required by RFC 9180, ECDSA signature malleability, an Ed25519 key generation defect, a denial-of-service via unhandled AES-GCM decryption, and two FIPS 204 specification violations in the ML-DSA verifier.

At this point you might expect Kobeissi to be given appropriate respect for his work. He clearly went above and beyond in helping consumers of these libraries (Signal, OpenMLS, Google, and components touching the Linux kernel and SSH).

Cryspen told The Register these bugs “were addressed within a week”, using speed optics rather than assurance. They then claimed no bugs had been found in their verified code.

Kobeissi’s paper in fact documents four.

So here’s where it gets really interesting.

RustSec is the advisory database for the Rust ecosystem. When you run cargo audit, it checks your dependencies against RustSec. If they refuse to add an advisory, you get a false clean audit. Your CI passes when it should stop. Your security review finds nothing. Every automated tool in the ecosystem treats a vulnerability as if it doesn’t exist.

Kobeissi filed advisory pull requests with RustSec for the nonce-reuse and denial-of-service vulnerabilities. The RustSec maintainer went passive aggressive and closed the pull requests without any technical justification.

You might say this is just sloppy or rushed work, but then Kobeissi was silently blocked from the RustSec GitHub organization without notice. His pending pull request was closed after he was blocked. You probably catch the drift here. Someone must have felt shame, embarrassment even, and started shooting a messenger. One Register commenter gave more context:

The bugs are real, and easily fixed — but I’ve absolutely no idea whether the version I’m using is fixed or not, because they refused to publish an advisory.

Dead messengers, no messages. That’s not a good sign. Let’s review.

  • February 5: Kobeissi submitted PRs with tested fixes
  • Within 24 hours: Cryspen blocked his GitHub account and closed all four PRs without technical review
  • February 9: Cryspen merged his fixes without attribution
  • February 12: Cryspen published a response omitting most of the bugs and claiming “no bugs have been found in the verified code.”

I’ve been researching and writing about systems integrity failure for decades. The pattern is simple: the system meant to admit a problem is captured by the people who produced it, and who are incentivized to hide problems instead. The advisory database appears to be set up for it to be cheaper to suppress the report than to deal with what it would say. That unfairly transfers risk to external people who won’t even know.

Kobeissi logically escalated, with a complaint to the Rust Moderation Team and Leadership Council about the RustSec maintainer’s conduct. The result confirmed an integrity breach of the RustSec system. Five hours later he was banned from Rust Project Zulip spaces.

He then escalated to the Rust Foundation. In his complaint he identified the structural problem: the Rust Project’s moderation team representative on the Leadership Council is the same individual who issued a public moderation warning against him in the underlying advisory dispute.

He is both a participant in the conduct I am complaining about and a member of the body responsible for reviewing that conduct.

This is true, and thus we see the integrity breach.

The Rust Project’s own governance documents cite council representative obligations:

must promptly disclose conflicts of interest and recuse themselves from affected decisions.

The Rust Foundation’s own conflict of interest policy describes a covered official:

whose potential conflict is under review may not debate, vote, or otherwise participate in such determination.

Neither happened.

This apparently isn’t new for Rust. I researched their integrity issues and found in November 2021 the entire Rust moderation team resigned over “the Core Team placing themselves unaccountable to anyone but themselves.”

Their letter said they had been “unable to enforce the Rust Code of Conduct to the standards the community expects.” They recommended the community “exercise extreme skepticism of any statements by the Core Team.”

The Leadership Council was created in response. It was supposed to fix the accountability problem. What it actually created was another layer where the people being complained about adjudicate the complaints.

Filippo Valsorda, a cryptographer known for drama with Kobeissi for over a decade, tried to get a dig into The Register, telling them:

looks more and more to him like the harassment of open source maintainers.

More and more? That phrase isn’t working. There’s less and less evidence of harassment as the vulnerabilities are proven accurate. He also said the nonce-reuse bug “seems to be a valid security issue.” But from that he incorrectly concluded if RustSec banned Kobeissi, “he’s inclined to believe they had reason to do so.” He means he would like to believe that, as a personal matter. He gives exactly zero reasons, or even tries to name them.

It’s circular. The question is whether the reasons were technical or political. The pull requests were closed without technical justification. The ban message cited “harassment”. Really? The same word used to dismiss the advisory contributions, imposed by the same people whose conduct was being complained about. How convenient for them.

The “harassment” label doesn’t pass even a basic test. It converts a dispute about whether acknowledged cryptographic vulnerabilities deserve public advisories into tone shaming. Once you’re arguing about tone, the institution automatically shuts down security. It controls the standards, the process, and the enforcement. The same people who refused to publish the advisory get to decide whether asking them to publish it constitutes harassment.

It obviously was the opposite of harassment. Extremely high quality professional work was delivered.

Kobeissi is a cryptographer who found real bugs in real libraries used by billions of people, published a paper clearly documenting them, and followed the correct disclosure process. For that he’s been vilified by a system designed to block, ban, and label research to avoid facing the truth.

Every developer running cargo audit against a dependency with a known nonce-reuse vulnerability could be getting a false result right now.

That’s an integrity breach.

History, Security

Do Something! Why American Relentless Bombing Makes Targets Stronger

Leave a comment

In 1996, the CIA ran a covert operation to overthrow Saddam Hussein. It was the third such order from the White House in five years. The agency backed exiles in London and Jordan, recruited Iraqi military officers, and tried to unite Kurdish factions in the north.

It failed.

As Tim Weiner documents in Legacy of Ashes, the professionals involved knew before they started that it couldn’t work. The exiles had no operational capability inside Baghdad. The assets who could be trusted had no access, and the assets with access couldn’t be trusted. Saddam’s intelligence services penetrated the plot. On June 26, 1996, he began arresting over two hundred officers. He executed at least eighty of them, including the sons of the operation’s key military contact, General Shawani.

Eighty men killed needlessly because no one in the chain of American command could say: “Mr. President, this won’t work.”

Mark Lowenthal, who had been staff director of the House intelligence committee and a senior CIA analyst, explained afterward that the whole enterprise was driven not by intelligence but by feelings of frustration about dominance. The “do something” urge, he called it. Not a strategy. Not an assessment. An emotional need to feel dominant. The CIA converted itself from an analytical institution into a therapeutic one, managing presidential anxiety and feeding control rather than producing outcomes.

The operation “probably shouldn’t have been started in the first place,” Lowenthal said.

But the institution rewarded quick action and punished thoughtful refusal. Telling the president something is infeasible means someone else gets the budget, the mission, the relevance. So the machine runs. People die. The after-action report gets buried with all the bodies. Whoever fails loudly and rapidly is rewarded, while those trying to win are starved of attention.

Now the same machine is pointed at Iran and the target is harder in every dimension, and the people running it are less capable in every dimension.

Fordow is buried under a mountain. Iran has spent decades building redundancy specifically for this scenario. Strategic bombing doesn’t produce political outcomes against a state with national cohesion. It didn’t in Korea, where LeMay destroyed every city and killed twenty percent of the population and the result was a stalemate at the same line where it started. Seventy years later North Korea has nuclear weapons.

The bomb is the therapeutic instrument at scale.

Relentless strikes fail to achieve an outcome. They only perform solving the problem. And the cost, as eighty Iraqi officers learned, is always paid by someone other than the people who gave the order.

Talbot documents how the institutional culture of covert action as the default response was built by Dulles and Dulles. Guatemala 1954, Bay of Pigs, assassination programs… and of course the direct connection to Iran 1953. Operation Ajax, the CIA’s coup against Mossadegh, was a complete disaster treated as a success.

Dulles considered it a model operation. The “do something” machine’s greatest hit is what produced the target it’s now failing to “obliterate” with bombs, seventy years later.

Robert Pape, professor of political science at the University of Chicago, has studied over thirty air campaigns across a century in his book Bombing to Win: Air Power and Coercion in War. His conclusion: strategic bombing of civilian populations has never changed the war aims of their governments. Not once. In a recent TIME interview about Iran, Pape identified what he calls the “smart bomb trap” when leaders see a briefing showing 90% probability of destroying a target, it creates an illusion of control.

…strike numbers released by US Central Command reveal that the waves of attacks since Hegseth’s first briefing have not been increasing steadily, despite Hegseth’s rhetoric indicating otherwise.

The delusion has a long pedigree. In the 1930s, a group of Air Corps theorists at Maxwell Field convinced themselves the Norden bombsight could make bombing surgical. Drop it in a pickle barrel from 20,000 feet. Destroy a ball-bearing factory, spare the city. Malcolm Gladwell tells their story in The Bomber Mafia. It ended with LeMay dropping napalm on wooden cities, burning Tokyo to the ground. In Korea, he tried again with the first “smart bomb”. The TAllboy, Range and aZimuth ONly (TARZON) was a 12,000-pound guided bomb that only hit six of twenty-eight targets, and had to be stopped when it started killing American crews instead. LeMay burned every city in North Korea anyway, achieving nothing, neither precision nor outcomes. Freeman Dyson ran the numbers inside RAF Bomber Command during the war and knew strategic bombing was counterproductive while it was happening. Nobody listened. The Norden became the Tarzan became the JDAM became the GBU-57. The technology changes. The faith continues.

Tactical perfection does not produce strategic success. The confidence that it does is the structural trap that produces American strategic failure, over and over again.

Campaign Target Result
Korea 1950-53 North Korea Every city destroyed. Stalemate. North Korea now has nuclear weapons.
Rolling Thunder / Linebacker 1965-72 North Vietnam Most intensive bombing in history to that point. North Vietnam won.
Operation Menu / Freedom Deal 1969-73 Laos & Cambodia Most bombed country per capita in history. Pathet Lao won. Khmer Rouge rose to power.
Desert Storm 1991 Iraq 39 days of bombing. Bush called for Shia uprising. Thousands slaughtered. Saddam stayed.
Iraq 2003-11 Iraq Shock and awe. Twenty-year occupation. ISIS emerged from the wreckage created by Palantir targeting systems.
Afghanistan 2001-21 Afghanistan Twenty years of air power. Taliban took Kabul in eleven days.
Saudi-led coalition 2015-present Yemen / Houthis A decade of bombing. Houthis stronger than when it started.
Israel 2023-present Gaza / Hamas Ongoing. Hamas still operating.
Operation Epic Fury 2025-present Iran Ongoing. Fordow intact. No regime change. No negotiation.
Israeli soldiers in Golan Heights inspect a missile from Iran, March 19, 2026. Source: Ohad Zwigenberg/AP