»Gever Tulley, founder of the Tinkering School, talks about our new wave of overprotected kids — and spells out 5 (and really, he’s got 6) dangerous things you should let your kids do. Allowing kids the freedom to explore, he says, will make them stronger and smarter and actually safer.«
5 dangerous things you should let your kids do (video, 9:20)
Es gibt übrigens auch Werbung, die mich nicht zu einem Spontantest anstachelt, sondern mir so gut gefällt, dass ich sie mit großem Vergnügen weiterreiche. Sogar zum Thema IT-Sicherheit. Nebenstehend ein Beispiel (Klick zum Vergrößern), das ich heute in meinem Postfach fand, eine Karte im Format A4, die auf http://friendlyadvicemachine.com/ verweist. John Cleese schaue ich mir gerne mal an, auch wenn ich beim Absender Iron Mountain vorerst nichts kaufen möchte. Die Karte ist also gut genug, um meine Aufmerksamkeit zu wecken. Und die Website zur Karte ist gut genug, um mich dabei nicht auf dumme Gedanken kommen zu lassen. Da hat sich jemand richtig Mühe gegeben. Wahrscheinlich haben die Absender auch noch einen Google-Alert auf ihren Namen gesetzt und tauchen schneller hier auf als die Datenleckstopfer von gestern, auf die ich immer noch warte.
… wird man mit dieser Einstellung wohl kaum. Rechtlich dürfte man jedoch auf der sicheren Seite sein, wenn man auch auf Offensichtliches noch einmal hinweist:
»Aussagen, die nicht auf historischen Tatsachen beruhen, unter anderem bestimmte auf dieser Website getroffene Aussagen, können ihrer Art nach zukunftsgerichtete Aussagen sein. Solche zukunftsgerichteten Aussagen beinhalten bekannte und unbekannte Risiken, Unsicherheiten und andere Faktoren, die eine wesentliche Abweichung der tatsächlichen Ergebnisse, Leistungen und Erfolge der Clearswift Group oder Teilen der Clearswift Clearswift Group von denin zukunftsgerichteten Aussagen angenommenen zukünftigen Ergebnissen, Leistungen oder Erfolgen bedingen können.«
(Clearswift / Company / Legal)
Oliver, schreib das ab, das ist groß. Ich würde dir dafür sogar eine Linking Policy verzeihen, ehrlich.
Aus meiner SpamInbox:
»Stellen Sie sich vor, Ihre Finanzabteilung versendet versehentlich vertrauliche Business-Pläne an einen externen Emailverteiler, ein verärgerter Mitarbeiter verrät im Online-Chat Firmengeheimnisse oder ein anderer verschickt im Namen Ihres Unternehmens unseriöse Emails an Ihre Kunden.«
Tja, was mache ich denn dann? Die Mail, aus der dieses Zitat stammt, empfiehlt mir, mich rechtzeitig über die Produkte und Dienstleistungen der schreibenden Firma zu informieren. Ich würde ja einfach die Finanzabteilung feuern, wenn sie sich das so redlich verdient; verärgerten Mitarbeitern rechtzeitig genügend Angst machen; und die unseriösen E-Mails selber verschicken, um sie später dementieren zu können und so zweimal billig Aufmerksamkeit zu bekommen. Statt dessen soll ich mich also über MIMEsweeper informieren und darüber, was man im Web 2.0 damit so alles verhindern kann.
Da ich solche Probleme nicht habe und meine Hauptbeschäftigung darin besteht, die Sicherheit von allem möglichen zu testen und zu bewerten, tue ich genau das: testen. Mal schnell getestet: Data L{oss|eak} Prevention von Clearswift weiterlesen
Spiegel Online geht mit der Mode und bauscht die Zigarette zum heimtückischen, bösartigen Suchtdämon auf:
»Die sieben wissen, dass sich nicht „leichsinnig“ werden dürfen und „streng mit sich“ sein müssen, wollen sie keinen Rückfall erleiden. „Eine Zigarette reicht, um mich wieder zum Raucher zu machen“, sagt Klaus.«
Nun ja, es ist nur zitiert und die eigentlichen Schuldigen sind die Jungs und Mädels aus dem Entwöhnungsseminar und ihre Psychologin. Wie dem auch sei, liebe Leserinnen und Leser, das ist Bullshit. Blödsinnige Dämonisierung weiterlesen
Wenn man in der Spamkiste seines Blogs einen Trackback findet, hinter dem sich eine unerlaubte Kopie eines eigenen Textes verbirgt, dann stehen meistens Google-Anzeigen daneben. Das Ziel der Übung: ohne viel Arbeit Geld für Werbeeinblendungen bzw. Klicks darauf zu kassieren. Melden kann man das hier. Wegmachen wird Google die Kopie zwar nicht, aber den Geldhahn zudrehen.
Hessen hat gewählt, der Chaos Computer Club beobachtete, Berichte gibt es bei Holger Klein, im Heise-Ticker – man schaue jeweils auch in die Kommentare und Trackbacks – sowie bei den Beobachtern selbst. Zeit für die erste Interpretation.
Zur Erinnerung: Der wichtigste und am schwersten auszuräumende Einwand gegen Wahlcomputer ist der Einwand der Intransparenz. Auch das herkömmliche Verfahren mit Papier, Stift und Urne lässt vielerlei Möglichkeiten zur Manipulation. Es ist aber für die Mehrzahl der Wähler durchschaubar und lässt sich ohne besonde Kenntnisse und Fähigkeiten prüfen, durch bloße Beobachtung. Das herkömmliche Verfahren ist also unsicher, aber das macht nichts. Wir müssen dem Verfahren und den beteiligten Personen nicht vertrauen, denn wir können prüfen. Wahlcomputer ändern das. Sie verlagern wesentliche Vorgänge in eine Black Box, der wir vertrauen sollen, ob sie nun sicher ist oder nicht. Außerdem wissen wir aus Erfahrung, dass es ziemlich schwer ist, Computer wirklich sicher zu machen.
Misstrauen in Wahlcomputer breitet sich aus weiterlesen
»Der Bürger wird demnächst gar nichts mehr selber machen müssen. Der wird geboren, kommt in so einen Karton, fährt durch die Gegend, wird gepflegt, gefüttert, wird geschützt vor allen Dingen.«
Die Süddeutsche, die zu mögen man sich auch aus anderen Gründen bereits abgewöhnen kann, übt sich in praktischer Lebenshilfe für Spießbürger, getarnt als Karrieretipp:
»Lieber mitlaufen als auffallen, damit ist man auf der sicheren Seite.«
Als ob man das in diesem Lande irgend jemandem erklären müsste. Nun gut, es geht um Karneval auf Arbeit, um eine Kinderei also, für die sich kein großes Riskio lohnt. Das steht da aber nicht, sondern da steht: »Lieber mitlaufen als auffallen, damit ist man auf der sicheren Seite.« Es steht dort, so darf man vermuten, weil es überall steht, wo Duckmäuser und Mitläufer anderen Duckmäusern und Mitläufern das geben, was beide mit Karrieretipps verwechseln, nämlich Anleitungen zum Duckmausen und Mitlaufen. Abgeschrieben, weitergetragen, nicht in Frage gestellt, lieber mitlaufen als auffallen, damit ist man auf der sicheren Seite.
Nach dem viralen Video, das Presse und Blogger gleichermaßen gern verbreiten halfen, schließt sich jetzt ohne Medienbruch eine Runde Astroturfing an. Heise Security meldet:
»Eine anonyme Gruppe hat Scientology im Internet den Krieg erklärt. Über ein YouTube-Video verkündet die sich selbst „Anonymous“ nennende Gruppe, gegenüber der Scientology-Kirche die Redefreiheit verteidigen zu wollen.«
Da werden die Scientologen aber zittern. Oder noch ein wenig an ihrer sattsam bekannten Selbstdarstellung als verfolgte Unschuld feilen. Und alles nur, weil wir uns eine ausnutzbare Angstneurose gönnen. Wer seine kurieren will: ich verleihe gern meinen Hubbard. Weiter als bis Seite 50 ist noch keiner gekommen, ohne ihn kopfschüttelnd zur Seite zu legen.
Manche Vertreter mancher Berufe haben manchmal Dateien, die man gar nicht haben möchte. Und wenn man sie doch hat, dann möchte man sehr gut kontrollieren, was mit ihnen passiert. Jene unter unseren Leserinnen und Lesern, die sich darunter nicht sofort etwas vorstellen können, denken bitte an eine Dekompressionsbombe als vergleichsweise harmloses Beispiel. Wer damit nichts anzufangen weiß, braucht gar nicht weiterzulesen.
So eine Dekompressionsbombe in Dateiform möchte man auf gar keinen Fall aus Versehen doppelklicken. Zwar macht sie selten richtig was kaputt, aber sie nervt ganz gewaltig, wenn sie erst mal vor sich hin explodiert. Und es gibt noch andere Dinge, die man nicht versehentlich doppelklicken, andererseits aber auch nicht aus seinem Labor verbannen möchte. An die denken wir auch.
Erinnert sich noch jemand an BSE? Die gefährliche Rinderkrankheit, an der wir alle sterben sollten? Die Zeit lässt es sich nicht nehmen, uns an die Fakten zu erinnern: nie waren hierzulande mehr als 125 Rinder befallen, heute gar keins mehr, und kein Mensch erkrankte je. Man glaubt kaum, das wegen so etwas Minister zurücktreten mussten, das Thema lange die Medien beherrschte und dass wir heute noch – gesetzlich vorgeschrieben – so handeln, als sei BSE eine real existierende Seuche.
Genauer gesagt sucht der CCC noch Wahlbeobachter für die Hessische Landtagswahl am Sonntag, dem 27. Januar, und zwar für jene Gemeinden, die Wahlcomputer einsetzen. Über seine Eindrücke von der Testwahl in Langen berichtete Oliver hier bereits. Warum »erfolgreiche« Testwahlen kein Anlass zur Entwarnung und Sorglosigkeit sind, erklärt Fefe aus gegebenem Anlass in seinem Blog noch einmal.
Found there: Terrorist Threat Levels around the World
Beeindruckend, dieses Vokabular: Schwarzer Montag, Börsencrash, Absturz, Panik, Kursrutsch, Sturzflug, Rezession, Konjunkturdelle, Börsenturbulenzen, Minus, Kapitalvernichtung, Wertverlust, verheerend, Krise, Desaster, Nervosität, Stagflationsrisiko, Belastungen, platzende Kursblase, Bärenmarkt, Talfahrt, einbrechende Kurse, nervöse Börse, Kursmassaker, Dax kracht ein, Kurssturz. Was verbirgt sich dahinter?
Alle schrieben sie darüber und erklärten uns den letzten Schrei: virales Marketing, Werbebotschaften, die, einmal gestreut, sich von Wirt zu Wirt weiterreichen lassen. Die Journalisten, die Blogger, sie waren so stolz darauf, alles durchschaut und verstanden zu haben. Sie waren sich sicher, jede virale Kampagne zu erkennen. Manipulierbar waren die anderen. Augenzwinkernd und selbstironisch reichten sie lustige Videos und Websites herum, stets betonend, dass es sich um virale Aktionen handelte, denn sie waren Subjekte, keine Objekte. Mit großem Tamtam enttarnten sie die Fakeblogs einer Werbeagentur, deren Plumpheit ihren hohen Verstand beleidigte. Sie waren die Avantgarde der Werbekonsumenten, gebildet, bewusst, mächtig und unbesiegbar. Doch als Scientology ein Werbevideo mit Tom Cruise in der Hauptrolle drehte, da reichten sie es alle, alle herum. Sie schrieben darüber, sie kommentierten, sie ereiferten sich, sie analysierten, die Blogger genauso wie die Journalisten. Und keiner von ihnen hatte bemerkt, dass sie gerade Teil einer viralen Werbekampagne waren.
Der Heise-Ticker berichtet unter der Überschrift 60.000 Dollar Strafe für DNS-Abruf:
»Das Gericht stellte fest, dass Ritz dabei seine „Identität hinter Proxies verbarg, ein UNIX-Betriebssystem verwendete und neben anderen Methoden Shell Accounts einsetzte. Außerdem gab er sich als Mail-Server aus.“ Die auf diese Weise gewonnenen Informationen machte Ritz publik. Diese Information, stellte das Gericht fest, sei nicht öffentlich verfügbar gewesen. Damit habe Ritz die Datensicherheit von Sierra gefährdet, Ritz sei also als Hacker einzustufen, schließlich sei der Befehl „host -l“ dem normalen Anwender nicht bekannt.«
Offenbar ist dem Richter alles suspekt, was er nicht kennt. Und das ist erfahrungsgemäß ziemlich viel, wenn es um Informationstechnik geht und man die Gefühlswelt eines Juristen zum Maßstab nimmt.
Tatsächlich aber ist weder am Kommando host noch an einem Shell-Account irgend etwas ungewöhnlich. Sogar mein iBook, Inbegriff des Schickimickiklickiwerkzeugs und damit juristentauglich, verfügt über beides. Ein Maßstab dafür, ob jemand unlauter gehandelt hat, ist die Benutzung nicht. Zumal das Kommando host ausgesprochen harmlos ist: es fragt öffentlich verfügbare Informationen aus den öffentlichen Servern eines öffentlichen Dienstes ab, denn DNS ist nichts weiter als eine Art automatische Telefonauskunft für das Internet. Nur hat das dem Richter offenbar keiner erklärt, wenn der meint, die Information sei nicht öffentlich zugänglich gewesen. Doch, das war sie.
Bullshit ist die Behauptung des Klägers, er habe aufgrund der Abfrage seine interne Kommunikationsstruktur ändern müssen. Erstens wäre nämlich an dieser Kommunikationsstruktur etwas sehr kaputt, wenn sie auf die Vertraulichkeit öffentlicher Informationen angewiesen wäre. Zweitens wäre anderenfalls das Sicherheitsproblem bereits durch die Veröffentlichung auf dem DNS-Server entstanden, und dafür kann man kaum denjenigen verantwortlich machen, der lediglich hinschaut.
Hoffentlich fragen deutsche Richter jemanden, der sich damit auskennt, bevor sie jemanden verknacken, dessen Werkzeuge sie nicht verstehen.
Nachtrag: Und so finden Kommandozeilenganoven ihre KompliziInnen.
Und gleich noch ein Eintrag zum Thema Datenforensik. Im RISKS Digest vom 7. Januar 2008 (Volume 25, Issue 1) weist Fred Cohen auf die geringe Beweiskraft von HTML-Archiven hin. Konkret geht es um archive.org, auch bekannt als WayBack Machine. Das ist ein Dienst, der ab und zu Schnappschüsse von Seiten im Web nimmt und sie archiviert. Seine Nutzer können so einen Blick zurück in die Vergangenheit des Web werfen. Seiten in diesem Archiv kann Cohen nachweislich manipulieren. Seine Demonstration ist überzeugend: in einer archivierten Seite aus dem Jahr 1997 lässt er eine Grafik erscheinen, die damals noch ungeschehene Ereignisse wie 9/11 und Al Gores Nobelpreis nennt.
Der Trick ist so simpel, dass er gar keiner ist. Archiviert ist nämlich nur der HTML-Quelltext von damals. Enthält er Bildreferenzen, so zeigen diese nach wie vor auf die ursprüngliche Adresse. Jedoch garantiert nichts und niemand, dass dort noch dasselbe Bild liegt oder derselbe Server steht. Beim Anzeigen der archivierten Seite aber wird sich der Webbrowser nicht um solche Erwägungen kümmern, sondern die Referenz einfach verwenden und versuchen, von dort ein Bild zu laden. Hat er Erfolg, so zeigt er es auch an. Falls man statt eines Bildes JavaScript-Code in die archivierte Seite injizieren kann, was unter diesen Voraussetzungen nicht allzu schwer ist, dann hat man sogar den kompletten Inhalt unter Kontrolle.
Die Aussage des Archivs hängt also davon ab, unter welchen Randbedingungen man es auswertet. Einfach hinzuschauen genügt nicht. Man wird statt dessen sehr sorgfältig prüfen müssen, auf welche anderen Daten der archivierte HTML-Code verweist, welchen Einfluss diese Daten auf die Präsentation und damit den sinnlich wahrnehmbaren Seiteninhalt haben, und inwieweit sich aus dem archivierten Material eine aussagekräftige Ansicht rekonstruieren lässt. Im schlimmsten Fall, so ein Beispiel lässt sich konstruieren, genügt eine einzelne ungesicherte Referenz, das ganze archivierte Material für Beweiszwecke wertlos zu machen. Juristen dürfte das, je nach Rolle bzw. Mandat, entweder freuen oder ärgern.
Das Problem ist nicht neu, wir kennen es als das Präsentationsproblem von den digitalen Signaturen. Es betrifft viele moderne Datenformate, deren Interpretation von Randbedingungen abhängt.
Die Eigenheimbesitzer unter unseren Leserinnen und Lesern warnt Dexheimer Inside vor den DachHai und erklärt, was im Falle einer Begegnung zu tun ist. Die gute Nachricht daran ist, dass man den DachHai leicht erkennt, die schlechte, dass er trotzdem oft genug sein Fressen findet und nicht ausstirbt.
Schwierigkeiten, Unklarheiten und Denkfallen bei der Interpretation gespeicherter Daten waren schon einmal Thema in unserem Blog. Plastischer wird das Problem vielleicht, wenn man es sich an eigenen Datenspuren veranschaulicht. Bloggerin Ari macht es vor und kommt zu dem Schluss:
»Na bravo: Mit den Augen des Vorratsdatenspeicher-Kriminal-Ermittlers bin ich jetzt also ein rechtradikaler Scientologe mit Kontakten zur russischen Sex-Mafia.
Ob mich das verdächtig macht???«
Man müsste es pro forma vielleicht noch mal empirisch untersuchen, aber als Eindruck kann ich jetzt schon sagen: die ganzen »Sicherheits«maßnahmen der jüngeren Vergangenheit schaffen augenscheinlich genau das Gegenteil. Unsicherheit nämlich, Unsicherheit darüber, welche Folgen ein Handeln heute haben kann, das bis gestern keinen etwas anging.
Jahre-, ach was, jahrzehntelang sorgten wir uns um unsere körperliche und geistige Gesundheit und konnten uns doch niemandem mitteilen. Jetzt, endlich, erlöst uns die Frankfurter Rundschau. Herzlichen Dank, uns fällt ein Stein vom Herzen. Obwohl, woran genau erkennt man eigentlich, dass die Ersatzhandlung neurotisch wird?
Bei den Edelfedern von der staatstragenden Presse geht es gerade zu wie in der Blogosphäre.
Kurz verlinkt:
Christoph Wissing klärt Populäre WLAN-Irrtümer auf. IT-Experten dürften wenig Neues lernen, Laien schon.
Sicher ist sicher? 