Archiv für den Monat Mai 2007

Der Terror geht weiter

Hackmeck, Verboten, Werkbank

Der Deutsche Bundestag hat erwartungsgemäß die Kriminalisierung unserer Arbeit beschlossen. Ob wir damit auch zu Terroristen werden, die Geruchsproben abgeben dürfen und ihre Post nicht selbst lesen müssen, weil das bereits andere für sie tun, das wissen wir nicht. Wie wir überhaupt vieles nicht wissen, denn statt etwas gesetzlich zu regeln, was einer gewissen Klarheit der Formulierung bedurft hätte, hat man lediglich Spielräume und Möglichkeiten geschaffen. Spielräume für die Strafverfolgung, nicht für uns. Wir, die wir uns mit IT-Sicherheit beschäftigen, verlieren also an Sicherheit, wir müssen fortan mit dem Schlimmsten rechnen.

Der Terror geht weiter weiterlesen

Most WordPress Blogs Vulnerable

English, Hackmeck, Studien, Wortpresse

»Security analyst David Kierznowski shocked bloggers yesterday with a survey showing that 49 out of the 50 WordPress blogs he checked seem to be running exploitable versions of the widely used software. He said, ‚The main concern here is the lack of security awareness amongst bloggers with a non-technical background, and even those with a technical background.‘ Mr Kierznowski also uncovered recent vulnerabilities in WordPress plugins that ship by default with the software, adding: ‚WordPress users developing plugins must be aware of the security functions that WordPress supports, and ensure that these functions are used in their code.’«

Slashdot | Survey Finds Most WordPress Blogs Vulnerable

Hostessen und Sicherheitspersonal

Events, Geschäft, O-Ton, Propaganda

Wenn man Besuchern eines bisher öffentlichen Festivals an neu geschaffenen Eingängen in einem neuerdings vorhandenen Zaun mitgebrachte Getränke wegnehmen will, dann kann man das auch so umschreiben:

»Das Schlossgrabenfest bekommt erstmals in seiner Geschichte fest definierte „offizielle“ Eingänge für einen kontrollierten Zugang. Hier werden die Besucher ab diesem Jahr durch Hostess-Service und Sicherheits-Personal persönlich und hilfsbereit begrüßt und auf dem Schlossgrabenfest herzlich Willkommen geheißen. (…) Ziel ist ein noch höheres Maß an Sicherheit für unsere Besucher durch einen kontrollierten Zugang zum Gelände. Das Aufkommen von Glasbruch und allgemeinem Müll, durch mitgebrachte Getränke, soll maßgeblich zum Wohl der Besucher reduziert werden.«

Schlossgrabenfest 2007

Vertrauensfrage

Hackmeck

Ein Secustick ist ein USB-Stick, der seinen Speicher automatisch löscht, wenn das Passwort mehrmals falsch eingegeben wird. Regierungen benutzten es und viele hielten es für ein geniales Produkt – bis es www.tweakers.net in 30 Minuten knackte. Anscheinend waren die Daten des Sticks noch nicht mal verschlüsselt. Bruce Schneier hat in seinem Newsletter darauf hingewiesen, dass dies ein typisches Beispiel für eine asynchrone Informationssituation sei. In einem solchen Markt besitzt der Verkäufer mehr Informationen als der Käufer. Eine Lösung dieses Problem bietet das so genannte Signalling – also ein neutraler Dritter, der das Informationsdefizit des Kunden ausgleicht. Dies kann der Staat sein oder Fraunhofer SIT, das ein Testat vergibt, oder beides.

Entscheidend dabei ist das Vertrauen, das der Kunde der Signalling-Instanz entgegenbringt. Dafür gibt es sogar eine schöne Formel, die ich in der Wikipedia gefunden habe:

p*G(x)-(1-p)*L(y)>0

Daraus ergibt sich

Vertrauen = p > L(y) / (L(y) + G(x))

Vertrauensfrage weiterlesen

Die ideale Ergänzung zum Klapprad

Safety, , , , , ,

Oliver fragte neulich nach Konstruktion und Stoßdämpfung von Fahrradhelmen. Auf eine Seite über Prüfnormen hatte ich in einer Antwort dort schon hingewiesen. Was die Normen in der Praxis bedeuten, habe ich heute in de.rec.fahrrad erfahren: Es gibt faltbare Helme, und sie erfüllen die Norm EN 1078. Faszinierend.

Was man im Vergleich dazu von einem richtigen Helm erwartet, deutet der Wikipedia-Artikel über Motorradhelme an. So ziemlich alle dort geprüften Eigenschaften sind bei helmähnlichen Gegenständen für Radfahrer egal. Wer es ganz genau wissen will, findet Beschreibungen der Prüfprozeduren in diesem Dokument (PDF) in Abschnit 7.

Virtuelle Gesetzeslücken

Fundbüro, Regierungsviertel

Wenn der Gesetzgeber mal nicht weiß, was seine Gesetznehmer so treiben, dann fragt er seine Wissenschaftlichen Dienste. Die erklären ihm die Welt. Zielgruppengerecht, versteht sich:

»Mit der wachsenden Bedeutung von Second Life nimmt auch die geäußerte Kritik zu. Als größtes Problem erscheint vielen Teilnehmern die virtuelle Gesetzlosigkeit, die dazu führt, dass es vermehrt „Verbrechen“ wie unerlaubten Waffengebrauch, sexuelle Belästigung oder massives Mobbing innerhalb des Second Life gibt. Auch nimmt der Anteil an pornografischen Darstellungen zu, Glücksspiele sind weit verbreitet.«

(Fundstelle: Der Aktuelle Begriff vom 14.03.2007 [PDF])

Welcher Ausschuss des Bundestages ist eigentlich für Spielzeug zuständig? Am schönsten finde ich ja den unerlaubten Waffengebrauch. Virtuelle Spielzeugpistolen sind immehin gleich doppelt irreal, da muss man erst mal drauf kommen.

.bank? .not!

Geschäft, Phishing

Yet another proposed way to stop phishing: create a .bank top-level domain (TLD) and market it to banks exclusively, at a forbidding price per domain. Sounds compelling? It isn’t:

  1. It’s a static solution based on today’s most common attack pattern, phishing attacks against bank customers. The perpetrators, however, could easily change their behavior. They will stick to phishing only as long as it is the cheapest working method. They can choose different victims and alternative methods.

.bank? .not! weiterlesen

Gefühlte Sicherheit oder wie man sich seines Aberglaubens vergewissert

Safety, Wahrnehmung, Werkbank, , , , , ,

Was würden Sie tun, wenn Ihnen jemand einen zerrissenen Sicherheitsgurt zeigt und Ihnen sagt, dieser habe ihm bei einem Unfall das Leben gerettet? Wenn jemand auf den zersplitterten Kunststoff seines verunfallten Trabis weist und gleiches behauptet? Sie würden ihm wahrscheinlich einen Vogel zeigen. Jeder weiß doch, wie die wichtigsten passiven Sicherheitsfeatures am Auto funktionieren. Die Knautschzone nimmt durch Verformung Energie auf und sorgt dafür, dass die Fahrgastzelle beim Aufprall weniger abrupt gebremst wird. Der Gurt hält die Insassen darin fest, damit sie sich nicht selbständig und die Knautschzone wirkungslos machen.

Für Helmträger auf Fahrrädern gelten andere Gesetze, oder jedenfalls glauben sie das. Von ihnen hört man regelmäßig genau solche Berichte. Über ein Musterbeispiel bin ich am Wochenende gestolpert. Das Foto gibts bei Flickr, den zugehörigen Unfallbericht hier.

Gefühlte Sicherheit oder wie man sich seines Aberglaubens vergewissert weiterlesen

Social Bookmarks? Geh weg!

Freundlich zum Nutzer, Werkbank

Social Software ist eines der Schlagworte im sogenannten Web 2.0, und seit das handliche Nullwort mit Versionsnummer am Markt ist, wird kopiert und abgeschrieben was das Zeug hält. Nach Sinn und Unsinn fragt keiner. Das Ergebnis sind Bildchenleisten wie diese unter allem und jedem:

Rudellesezeichenicons (blog.oliver-gassner.de)

Rudellesezeichenicons (Telepolis)

Sie sollen dem Leser erleichtern, den Inhalt dem Social Bookmarking zuzuführen. Social Bookmarking liefert so etwas wie eine Hitparade der URLs. Hitparaden sind beschränkt unterhaltsam und kein bisschen nützlich. Daran ändert sich wenig, wenn man sie mit neumodischen Begriffen wie Social Bookmarking und Web 2.0 belegt. Josef Meixner bringt es in einem Kommentar in der Blogbar auf den Punkt:

Social Bookmarks? Geh weg! weiterlesen

»Hinreichende Sicherheit« ohne Anforderungsanalyse?

Wahlcomputer, ,

Heise berichtete am 4. Mai über eine Kleine Anfrage im Bundestag und die Antwort des Innenministeriums darauf. Es geht um Wahlcomputer und Zweifel an ihrer Brauchbarkeit. Das Ministerium hält die Geräte für hinreichend manipulationssicher. Die Sicherheit werde durch technische und organisatorische Maßnahmen gewährleistet, absolute Sicherheit sei auch bei Wahlen mit Stimmzettel und Stift nicht gegeben und überhaupt sei Wahlfälschung ja auch verboten.

Das Original der Antwort liegt leider nur den Heise-Redakteuren vor. Was in deren Bericht auffällt und in der Antwort des Ministeriums vermutlich nicht anders ist: mit den Sicherheitsanforderungen setzt man sich nicht auseinander. Ohne die aber ist Sicherheit ein leerer Begriff. Wenn ich nicht weiß, was ich vor wem schützen möchte, wie kann ich dann von hinreichender Sicherheit reden?

»Hinreichende Sicherheit« ohne Anforderungsanalyse? weiterlesen

»Freiheitsredner« informieren über den Wert der Privatsphäre

Datenschutz, Regierungsviertel

»Ab heute können Schulen, Universitäten und Vereine ein Netzwerk Freiwilliger in Anspruch nehmen, die ehrenamtliche Vorträge über den Wert der Privatsphäre anbieten. Die „Freiheitsredner“ wollen vermitteln, welche Bedeutung überwachungsfreie Räume für uns und unsere Gesellschaft haben, wie groß die „Bedrohung“ durch Kriminalität wirklich ist und wieviel Sicherheit Überwachung tatsächlich bewirken kann. Nähere Informationen finden sich auf der Internetseite Freiheitsredner.de. (…)«

Ins Leben gerufen hat die Aktion der Arbeitskreis Vorratsdatenspeicherung. Inhaltliche Anregungen gibt es dort auf der Website oder auf einschlägigen Veranstaltungen.