Archiv für den Monat Dezember 2008

Unterschätzte Risiken: Wichtigtuer

Unterschätzte Risiken

Vor ein paar Jahren hätte man das noch für einen Witz gehalten:

»Zum Jahreswechsel haben Meteorologen vor einer extrem hohen Feinstaubbelastung gewarnt. Durch Raketen und Knaller liege diese vielerorts weit über den normalen Werten, teilte der Wetterservice donnerwetter.de in Bonn am Montag mit.«

(sueddeutsche.de: Feinstaubbelastung – Silvester kann tödlich sein)

Gut, dass wir den Feinstaub erfunden haben, sonst müssten wir manchmal einfach die Klappe halten. Oder habe ich irgendwo einen Smiley übersehen?

I am tired of those military metaphors in computer security

English, IT, Security, ,

[Get only posts in English]

This is an all too common theme in computer security: shouldn’t we learn from the military? After all we are dealing with attack and defense, just as the military, and there is strategy and tactics in both fields, and military victory—or defeat—is just about as mysterious as computer security or insecurity. I think the military analogy is flawed and unlikely to take us anywhere. What we are doing is different in almost every important respect.

First of all, in computer security we do not engage in battle. A battle, conceptually, takes place between two (or more) of a kind. There may be considerable and obvious asymmetries, such as in guerrilla warfare or when one army has more advanced capabilities than another, but there is no intrinsic asymmetry. In particular, each party involved engages in both attack and defense and combinations thereof. I am tired of those military metaphors in computer security weiterlesen

Publikationsrituale mit beschränkter Wirkung

Begriffe, Forschung, Werkbank, , ,

Wer die Wissenschaft als Totschlagargument missbrauchen möchte, der stützt sich gerne auf wissenschaftliche Publikationsrituale. Der jeweilige Gegner möge doch bitte erst mal kollegenbegutachtete Studien vorweisen, heißt es dann, und alle anderen Betrachtungen seien unwissenschaftlich und wertlos. Umgekehrt kann man mit ebensolchen Studien wedeln, die, gleich welcher Qualität sie sein mögen, das veredelnde Siegel tragen.

Das ist in dieser Form nur leider Bullshit. Die wissenschaftlichen Publikationsrituale sind ohne Zweifel sinnvoll und nötig. Aber man darf ihre Wirkung nicht überschätzen. Es handelt sich nämlich bei der Kollegenbegutachtung nicht um eine Qualitätsprüfung, sondern um einen Spamfilter. Was durchkommt, ist noch lange nicht richtig. Das haben jüngst wieder einmal ein paar Spaßvögel gezeigt, indem sie ein Paper aus dem Paper-Generator zu einer Konferenz einreichten. Es wurde angenommen. Was es durch den Review-Prozess schafft, kann also trotzdem Unsinn sein.

Und bevor jetzt jemand nach Ausreden sucht, der Impact Factor einer Publikation ist auch kein zuverlässiges Qualitätsmerkmal, und in der Informatik sind Konferenzen so wichtig wie in anderen Wissenschaften die Journale.

Ergänzung: Michael Nielsen erklärt in seinem Blog drei Mythen über die Kollegenbegutachtung. In den Kommentaren dort findet man außerdem einen Link auf den Artikel: We Are Sorry to Inform You … (PDF), der uns die Gutachterkommentare zu berühmten und bedeutenden Aufsätzen aus der Informatik zeigt. So etwas ähnliches gibt es gibt es auch für die Wirtschaftswissenschaften.

(nach einem Hinweis von Reproducible Ideas, das sich damit einen Platz in der Blogroll verdient hat)

Spielkram

Fundbüro, Off Topic, Werkbank

Gerade wiedergefunden: Fantastic Contraption, der perfekte Zeitvertreib für Nerds an Feiertagen. Das Spielprinzip ist simpel. Man muss einen Gegenstand aus einer Start- (blaues Rechteck) in die Zielzone (rotes Rechteck) bringen. Dazu baut man aus Rädern und Streben eine Maschine. Interessant wird es, weil der Computer die Physik simuliert. Was nicht befestigt ist, fällt nach unten; zu jeder Kraft gibt es eine Gegenkraft (oder einen unerwarteten Effekt); und so weiter. Aber was rede ich, probiert es einfach aus.

Fantastic Contraption

Abschlussarbeiten für angehende Informatiker und -innen

Forschung, IT, Security, Testlabor, , , , , ,

Kurz vor Weihnachten noch etwas Eigenwerbung. Ich suche Studentinnen und Studenten, die ihre Abschlussarbeit zu einem Thema aus der IT-Sicherheit schreiben möchten. Bei mir dreht sich alles ums Testen, Analysieren und Bewerten mit dem Ziel, mehr über die Sicherheitseigenschaften einer Software oder eines Systems zu erfahren. Die Themen:

 

  • Komponententest auf Sicherheitseigenschaften
  • Gewichtete Taint-Analyse
  • Browsererweiterungen für Sicherheitstests
  • Entwicklung eines Modellierungswerkzeugs zur Analyse von IT-Systemen
  • Schwachstellen in Sicherheitssoftware
  • Bestimmung der Angriffsfläche von Webanwendungen

Wer mit diesen Stichworten etwas anfangen kann, schaue sich die Themenskizzen an.

Unterschätzte Risiken: Selbstorganisierte Telearbeit

Freundlich zum Nutzer, IT, Nebenwirkung, Security, Unterschätzte Risiken, Unterwegs,

Telearbeit erscheint als Sicherheitsrisiko. Mitarbeiter und IT an dezentralen Heimarbeitsplätzen, das kann nicht gutgehen, da haben wir doch gar keine Kontrolle. Schlichtere Naturen könnten dies für eine fundierte Bedrohungsanalyse halten. Es ist aber keine, solange der Realitätsabgleich fehlt. Wenn Mitarbeiter Telearbeit wollen, aber nicht bekommen, kann das Ergebnis nämlich so aussehen:

»Die Mitarbeiterin wollte demnach das Datenmaterial über das Internet an sich selbst schicken, um zu Hause daran zu arbeiten.«

(Datenpanne bei der WestLB – Betreff: Geheime Daten)

Dann vielleicht doch lieber eine offizielle Erlaubnis, verbunden mit angemessener IT-Unterstützung.

Merke:
Der Benutzer wird stets sein persönliches Problem lösen. Er wird dazu alle verfügbaren Mittel und Werkzeuge nutzen. Wo wir ihm keine geben, sucht er sich eigene.

Update: Bei Juristen, genauer: Richtern, scheint es üblich zu sein, dass man solche Workarounds erzwingt, lange bevor das Reich der Sonderwünsche beginnt. Wer ist bei den Gerichten eigentlich für die IT zuständig?

S@fer Gambling, TÜV-geprüft

Geschäft, Vertrauen, , ,

»Mit TÜV-geprüfter Qualität, Sicherheit und Transparenz ist http://www.swoopo.de in hohem Maße vertrauenswürdig.« Das bestätigt der TÜV Süd mit einem S@fer-Shopping-Zertifikat. Geprüft wurden dafür Usability, Datenschutz und Prozesse beim Händler. Handelt es sich also um einen empfehlenswerten und vertrauenswürdigen Dienst? Kommt drauf an.

Jede Zertifizierung funktioniert so, dass man erst einen Rahmen festlegt und sich dann innerhalb dieses Rahmens anschaut, ob die festgelegten Kriterien erfüllt sind. Anders geht es auch nicht, denn sonst würde die Sache ausufern. Außerhalb des Rahmens liegt beim S@fer-Shopping-Siegel zum Beispiel das Geschäftsmodell. Das Geschäftsmodell von Swoopo erläutert Jeff Atwood in seinem Blog Coding Horror unter dem deutlichen Titel: Profitable Until Deemed Illegal.

Nun, amtlich für illegal befunden hat die Sache bis jetzt offenbar niemand, und von mir aus soll jeder sein Geld lassen wo er mag. Sich bei seiner Entscheidung allein auf hübsche Siegel vom TÜV zu verlassen, ist allerdings keine gute Idee. Man muss schon immer noch nachdenken und verstehen, was man da eigentlich tut. Dank der TÜV-geprüften Transparenz kann ja jeder nachlesen, womit er es zu tun hat.

Das Internet, Dein Freund und Helfer

Zwischenruf,

Das Internet sei ein Hort des Bösen, des Terrorismus und der Kriminalität. Schlichtere Naturen halten das für einen guten Grund, das Internet zu sperren oder digitale Personalausweise einzuführen. Andere machen einfach ihre Arbeit:

»Die Demonstranten hatten sich offenbar im Vorfeld über das Internet verabredet. So konnte sich die Polizei vorbereiten und war mit starken Kräften vor Ort.«

(HR: Griechenland-Demo: Ausschreitungen in Frankfurt)

Gewöhnen wir uns etwa langsam an das Internet? Falsch wäre das ja nicht.

Hirntot

IT, Nebenwirkung, Security, Vulnerability, Zwischenruf, , , ,

Wie bekloppt muss man sein, um XSS-Versuche in den URL-Parametern einer Login-Seite erst abzufangen – und dann den auffälligen Parameter innerhalb eines Script-Elements in die Fehlerseite einzubetten, um eine Alertbox mit detaillierten Informationen zu produzieren? Also ungefähr so:

<script>alert("Böse Eingabe: [boese Eingabe]");</script>

Ich bin versucht, mir das ganze Responsible-Disclosure-Theater zu sparen und hier einfach Ross und Reiter zu nennen. Verdient hätten sie es. Ihre Kunden allerdings nicht, und einige davon kann man googeln.

Sicherheit anders

Begriffe, Security, Unterwegs, Zwischenruf, , , , , , ,

Sicherheit anders. Was der Untertitel unseres Blogs heißten soll, haben wir uns vorher nicht überlegt, denn wer mit großen Plänen ein Blog anfängt, fällt meistens auf die Nase. Irgendwas muss aber dran sein, sonst wäre aus dem Blogunter- kein Vortragstitel geworden. Oder ist das nur eine selbsterfüllende Prophezeiung? Egal.

Angefragt war ein Vortrag zur Zukunft der IT-Sicherheit auf dem Pressetag CeBIT Vision. So etwas könnte ich natürlich zusammenspinnen und mich darauf verlassen, dass sich keiner mehr daran erinnern würde, wäre es erst so weit, dass sich meine Vorhersagen prüfen ließen. Aber das habe ich nicht übers Herz gebracht. Herausgekommen ist statt dessen ein Vortrag über ungelöste Probleme. Von denen haben wir einige. Sicherheit anders weiterlesen

57 Cent

Datenschutz, Geschäft, Preisschild, Security, Zahlenspiele, , ,

Schön, dass wir das endlich empirisch geklärt haben. Siebenundfünfzig Cent kostet also ein Personendatensatz mit Bankverbindung.

»Die Bankdaten von rund 21 Millionen Menschen wurden Journalisten offenbar für knapp zwölf Millionen Euro angeboten.« (Welt Online)

Was folgt daraus? Als Wissenschaftler müssen wir uns das in Ruhe überlegen und dann auch noch prüfen, ob unsere Ideen richtig sind. Einige Überlegungen drängen sich auf:

  1. Technischer Datenschutz lohnt sich nur dort, wo viele Datensätze gemeinsam vorliegen oder weitaus detailliertere Informationen gespeichert sind.
  2. Wer mit  seinen Basisdaten – Name, Adresse, Telefonnummer, Geburtsdatum, Bankverbindung – so sorglos umgeht, wie wir das immer schon getan haben, liegt damit vollkommen richtig. Dass sich daran jemand 57 Cent verdient, können wir hinnehmen.
  3. Aber (2) ist nur die halbe Wahrheit. Der Schaden des Opfers muss nicht proportional sein zum Gewinn des Angreifers. Über die Schäden wissen wir zu wenig.
  4. Das macht aber nichts, denn (2) begrenzt den Aufwand für Gegenmaßnahmen: wir müssen den Aufwand pro Datensatz nur um höchstens 60 Cent (praktisch wohl weniger) erhöhen, dann lohnt sich die Sache nicht mehr.
  5. Oder die Daten werden dann um 60 Cent teurer und sonst ändert sich nichts.
  6. Aus dem Preis eines einzelnen Datensatzes oder der gesamten Sammlung können wir nicht schließen, wann sich die Nutzung der Daten lohnt. Dazu müssten wir wissen, was damit angestellt wird und welchen Gewinn es verspricht.
  7. Die Umrechnung des Preises auf einzelne Datensätze muss nicht sinnvoll sein. Vielleicht liegt der Wert gerade in der Sammlung.

Und nun? Nun sind wir auch nicht schlauer als vorher. Kennt jemand ein Modell, mit dem wir einschätzen können, wie schlimm so ein Datenhandel ist und unter welchen Umständen er sich für wen lohnt?

Ergänzung 2009-01-19: Datendealer kommen mit einer kleinen Geldstrafe davon.

Ein neues Ziegenproblem?

Forschung, , , , , , , , , ,

Wissenschaft und Rationalismus, das sagt sich so leicht. Sich daran zu halten, ist viel schwerer. Ob in der Wissenschaft oder anderswo, tatsächlich arbeiten wir fast immer mit Heuristiken und Faustregeln. Die sind nämlich einfacher, als sich jedesmal ganz dumm zu stellen – und führen oft genug zum richtigen Ergebnis. Intuition ist eine feine Sache und meistens führt sie auch zum Ziel. Wir dürfen allerdings nicht vergessen, dass das manchmal eben doch in die Hose geht.

Anfällig für Irrtümer sind wir, wo uns die Intuition ein falsches, aber plausibles Modell vorschlägt und dieses Modell zu Ergebnissen führt, die mit unseren Vorurteilen übereinstimmen. Dann ist nämlich fast alles konsistent, und wenn uns jemand das Gegenteil zu beweisen versucht, hat er wahrscheinlich das Experiment manipuliert, so vermuten wir. Was die Wissenschaft vom Aberglauben unterscheidet, ist das Bemühen, solche Fälle zu erkennen und gegebenenfalls Irrtümer auch einzugestehen. Faustregeln sind gut, sofern man merkt, wann sie versagen. Ein neues Ziegenproblem? weiterlesen