The submission deadline for the Testing: Academic and Industrial Conference – Practice and Research Techniques (TAIC PART 2009) conference has been extended. The new deadline is April 10, 2009.
Archiv für den Monat März 2009
In einem Wort
Lant*
My dear fellow attention whores,
Can we please stop inventing new bullshit terms for each and every variant of a variant of an attack scenario? Sure, at times we need new terms naming new concepts. Spam is an example, phishing is another. I don’t complain about these. What bothers me is our tendency to modify these general terms every time some slight modification of the concept appears: from spam to spit, from phishing to pharming, hishing, sishing, or wishing. Other than the useful terms for generic concepts, these creations make our lives harder, not easier. They are confusing us and others.
Why this rant? I got a call this morning from a journalist. She wanted to know everything about whaling. WTF? It turned out she really wanted to know everything about GhostNet and the security issues and attack strategies involved. But she didn’t say so and she seemed fixated upon whaling, which, I have to admit, sounds sort of cool and interesting. However, it lead to a failure in communication. She failed to get across her actual need for information, confusing me with a meaningless term that she had picked up somewhere. I failed to get across to her that I do know my share of computer security and that I might actually be able to answer some of her questions.
Coining new terms isn’t wrong per se. But names are like money. Producing too many makes them all worthless.
Yours sincerely,
Sven
*) Letter-style rant. 😛
Scares are changing
Wahlcomputer und die behauptete Fälschung
Kürzlich deutete ich in ein paar Nebensätzen die Möglichkeit an, Computerwahlen nicht tatsächlich zu fälschen, sondern eine Fälschung lediglich zu behaupten. Die Intransparenz wesentlicher Abläufe würde dafür sorgen, dass solche Anschuldigungen zwar nicht per se glaubwürdiger, aber schwerer zu widerlegen wären. Nun tut die CIA genau dies für einige der üblichen Verdächtigen, darunter zum Beispiel Venezuela. Kann ja sein, dass die Berichte alle korrekt sind, aber wenn ein Geheimdienst etwas verbreitet, weiß man nie so genau, was die Ziele sind und wieviel vom Gesagten wahr ist.
Unterschätzte Risiken: Killerkurznachrichten
Angst vor Händistrahlung war gestern. Heute fürchten wir uns vor der Killerkurznachricht:
»Laut den Mobilfunknutzern würden von Unbekannten massenhaft SMS-Meldungen versendet, die angeblich starke Kopfschmerzen auslösten, denen eine Hirnblutung und der Tod folgten. In Ägypten und Saudi-Arabien seien bereits mehrere Menschen mit derartigen Symptomen in Krankenhäuser eingeliefert worden, heißt es.«
(RIA Novosti: Ägyptische Behörden dementieren Gerüchte über lebensgefährliche SMS-Meldungen)
Verschwörungstheoretiker werden am Dementi der ägyptischen Behörden Gefallen finden, denn wer etwas dementiert, der hat ja sicher einen Grund dazu, und den denkt sich der Verschwörungstheoretiker aus.
Frau Orwell
Corpus Delicti, so heißt das neue Buch von Juli Zeh, und es spielt in einer Zukunft, in der die Gesundheitsdiktatur regiert. Gelesen habe ich es noch nicht, deswegen kann ich zum Buch nichts sagen, was andere nicht schon gesagt hätten. Überraschend ist die erste Reaktion aufs Buch, die mir in die Hände fiel: ausgerechnet in der der Zeit plädiert Harro Albrecht Für ein bisschen Diktatur und meint es anscheinend auch so.
Ergänzung: Auf stern.de gibt’s ein Interview zum Thema.
Security Annoyances
Stuart King has blogged a list of his top 5 information security annoyances:
- Security awareness programs
- Compliance = security
- Risk modelling
- Where are all the analysts
- It’s not my fault
By and large I agree with his list, not least because he seems to have annoyed a few of those who are overconfident about risk trivia and business school quadrant diagrams.
I’d like to add to the list two of my own favorite annoyances:
- Just make it hard – for the legitimate users and uses of a system. Attempts to improve information security often make it harder for the users of a system, for the employees of an organization to do their legitimate jobs. Sometimes this is unavoidable, we all know there is often a tradeoff betwen usability and security. The tradeoff turns into a fallacy where the primary impact of security measures is reduced usability while actual security remains more or less the same.
- Alice’n’Bob thinking. Academic researchers might be particularly prone to this: thinking and arguing in the Alice’n’Bob world of security textbooks as if it was a suitable model of the real world and the real security issues. It isn’t, which we somethimes forget when we name abstract entities after humans.
Die PrivacyBox
Kryptologie-Nerds mit ausgeprägter Paranoia dürfte die Lösung nicht überzeugen, weil sie grundsätzlich niemandem trauen und jeder hinter ihnen her ist, aber die Idee ist trotzdem gut:
»Die PrivacyBox soll es in erster Linie Journalisten, Bloggern und anderen Publizierenden ermöglichen, eine vorratsdatenfreie (und auch anonyme) Kontaktmöglichkeit für Informanten anzubieten. Sie steht aber auch weiteren Interessierten offen.«
Die PrivacyBox stellt als Grundfunktion gerichtete anonyme Kommunikation über ein Web-Interface zur Verfügung. Der Empfänger ist nur durch ein Pseudonym gekennzeichnet, der Sender liefert seine Nachricht über ein Web-Formular ab. Krypto-Voodoo mit TOR und PGP ist optional möglich, wird aber nicht erzwungen. Das ist Sicherheit für normale Menschen. Wir brauchen mehr davon.
In einem Wort
Sechs Jahre Zeckenalarm
Wenn eine Risikosau durchs Dorf getrieben wird, lehnt man sich am besten erst mal zurück, wartet ab und beobachtet, wie sich die Sache entwickelt. Das hat hockeystick im Blog Stationäre Aufnahme getan und sich die alljährlich wiederholten Zeckenwarnungen – die regelmäßig in eine Impfempfehlung gegen seltene Erkrankungen münden – vorgenommen. Ergebnis: nach milden Wintern gibt es Zeckenalarm. Nach kalten auch.
Dieses Blog wird übrigens in einem sogenannten Hochrisikogebiet betrieben.
Unterschätzte Risiken: Süße Hundebabys
Falls sich jemand wundert, warum manche Vermieter etwas gegen Haustiere haben:
»Ein Schäferhund-Welpe hat nur spielen wollen, als es sich am Mittwochabend im Haus seines Herrchens in Mörfelden-Walldorf über ein Kabel hermachte. Kurze Zeit später stand das Haus in Flammen.
(…)
Das Haus wurde durch den Brand so stark beschädigt, dass es unbewohnbar und einsturzgefährdet ist. Der Schaden wird auf 200.000 Euro geschätzt.«
Der Hund hat übrigens überlebt. Vorerst zumindest.
Eine Runde TÜV-Bashing
Was der TÜV – eigentlich die TÜV, denn unter dieser Dachmarke macht sich ein etwas unübersichtliches Firmengeflecht breit – so alles zertifiziert, wissen aufmerksame Leserinnen dieses Blogs bereits. Die technische Seite habe ich damals nicht explizit diskutiert. Das nimmt mir jetzt ein anderer ab und schafft es bis in den Heise-Ticker mit dem Hinweis: TÜV-Siegel schützt nicht vor Cross Site Scripting. Damit haben wir schon zwei Dinge beisammen, vor denen ein TÜV-Siegel nicht schützt, ausnutzbare Fehler in der Technik und zweifelhafte Geschäftsmodelle. Geht da noch was?
Klar geht da noch was. Vor bekloppten Konzepten schützen TÜV-Siegel nämlich auch nicht. Bekloppte Konzepte, damit meine ich zum Beispiel die Idee, irgendeiner Wald-und-Wiesen-(bzw. Titten-und-Schwänze-)Website zur Altersverifikation ausgerechnet die PIN vom Online-Banking auszuhändigen. Darf’s vielleicht noch eine TAN-Liste sein? Sofortident nennt sich dieses Verfahren und dahinter steckt dieselbe Firma, die sich bereits die Sofortüberweisung nach ähnlichem Schema ausgedacht hat. Technisch gesehen geht die PIN nicht an die Titten-Website, sondern an Sofortident, aber der Sicherheitsgewinn dadurch ist marginal. Und wer pappt sein Siegel drauf? Einer von den TÜVs natürlich:
Formal ist das sicher alles korrekt, der TÜV hat ja nur den Datenschutz (== die Einhaltung gesetzlicher Anforderungen an die Erhebung und Verarbeitung personenbezogener Daten) geprüft und mehr wird nicht behauptet. Das macht es aber noch lange nicht zu einer guten Idee, Leuten beim Pornogucken die Banking-PIN abzuknöpfen. Selbst wenn die Sofortler ihre Technik im Griff haben und sich an ihre Zusicherungen halten, wogegen es derzeit keinerlei Anhaltspunkte gibt, bleiben zwei Probleme. Erstens vermischt das Verfahren, ähnlich wie Giropay, Kontexte, die man besser getrennt hält. Online-Banking und Altersverifikation haben nichts miteinander zu tun und das Online-Banking ist hinreichend sensibel, um dabei zu bleiben.
Zweitens gewöhnt es den eifrigen Nutzer daran, seine Banking-PIN bei allen möglichen Gelegenheiten zu allen möglichen Zwecken einzusetzen. Das kann auch dann zum Problem werden, wenn aus ganz anderen Gründen ein Schaden eintritt, etwa wenn sich der Sofort*-Nutzer eine Schadsoftware einfängt und daraufhin Geld von seinem Konto verschwindet. Wenn die Bank dann erfährt, was ihr Kunde mit seiner PIN so alles getan hat, dürfte ihr Kulanz schwer fallen. Ein TÜV-Siegel macht dann auch keinen Eindruck.
112 €
Der Schaden durch einen Angriff und der Gewinn des Angreifers sind weitgehend unabhängig voneinander. Dass ein Datensatz 57 Cent kostet, sagt deshalb wenig über den Schaden aus, den eine Datenpanne verursacht. Der ist vielleicht viel größer:
»Die durchschnittlichen Kosten einer Datenpanne lagen demnach in Deutschland 2008 bei etwa 112 € pro einzelnem Datensatz. Die Gesamtkosten einer Datenpanne beliefen sich bei den von Ponemon untersuchten Firmen stets im 6-7stelligen Bereich pro Ereignis.«
(Blog zur IT-Sicherheit:
Gibt es eine Rendite der IT-Sicherheit?)
Was heißt das nun? Steht dem Angreifer ein Hebel zur Verfügung, wenn er es vor allem auf den Schaden und nicht auf seinen Nutzen abgesehen hat? Oder dient dieser Hebel vor allem dem Verteidiger, der nur den geringen Gewinn des Angreifers unattraktiv machen muss, um einen viel höheren Schaden zu verhindern?
Unterschätzte Risiken: Zwangsräumungen
»Alleine in Hessen werden jedes Jahr zwischen zwei und drei Gerichtsvollzieher bei Zwangsräumungen erschossen.«
(Frankfurter Rundschau: Die Flinte vorm Gesicht: Aus dem Leben eines Gerichtsvollziehers)
In einem Wort
?
(vgl. auch: Yes)
Zur Bearbeitung von Homepages werden FTP-Programme benötigt.
Juristen erklären das Internet.
(Wenn Nerds sich das Recht erklären, ist die Bullshitquote übrigens nicht nennenswert kleiner, weshalb auf Freedom to Tinker neuerdings ein Jurist das Recht erklärt.)
In einem Wort
Ranum on Cyberwar
»If Al Quaeda managed to shut World of Warcraft down, productivity would skyrocket.«
Marcus Ranum explains the differences between crime, terrorism and war and why he thinks the idea of cyberwar is stupid.
(via)
Starke Passworte
Ein Nachtrag zu meinem Passwort-Post neulich:
Im aktuellen Risks Digest 25:60 findet sich ein Hinweis auf ein Paper mit dem Titel Do Strong Web Passwords Accomplish Anything? das ähnlich argumentiert und außerdem die unterschiedlichen Perspektiven einzelner Nutzer und einer ganzen Organisation betrachtet. Die Autoren weisen am Ende aber auch darauf hin, dass ihr Paper nicht dazu gedacht ist, Verhaltensregeln für Benutzer abzuleiten.
Paranoide Weltbilder
Wenn irgendwo ein Koffer steht, bringen wir ihn nicht zum Fundbüro, sondern rufen die Polizei. Wer dem Klimakonsens oder unserer Vorstellung von Klimapolitik widerspricht, ist er sicher von Exxon gekauft. Wenn einer mal sein Geschlechtsteil zeigt, sperren wir ihn vielleicht für Jahrzehnte weg. Diesmal geht die Welt aber wirklich unter. Sogar die Sonne ist hinter uns her. Kinder gehören in den Reihenhausgarten, alles andere ist zu gefährlich. Wenn ein Abgeordneter mit Kinderpornos erwischt wird, handelt es sich wahrscheinlich um ein Komplott (Update: die Wahrheit). Äußern sich Ärzte zum Impfen, steckt garantiert eine fiese Anthroposophenverschwörung dahinter.
Sind wir noch ganz dicht?
Kontrollierbarkeit von Wahlen
Nach dem Urteil des Bundesverfassungsgerichts zum Einsatz von Wahlcomputern tauchte ein altes Argument wieder auf: Wahlen mit Stift und Papier ließen sich doch auch fälschen. Der Blogger Zettel, der das Urteil für weltfremd hält, formuliert es so (via):
»Kein Bürger kann den Wahlvorgang „zuverlässig nachvollziehen“, wenn mit Bleistift oder Kugelschreiber Formulare markiert werden. Er müßte dann kontrollieren können, daß die Urne bei Öffnung des Wahllokals leer war; er müßte nicht nur der Auszählung mit Argusaugen folgen können, sondern auch bei der telefonischen Übermittlung der Wahlergebnisse zugleich im Wahllokal und in der Zentrale sitzen, in der die Ergebnisse gesammelt werden.«
Außerdem meint er, in einer funktionierenden Demokratie kämen groß angelegte Wahlfälschungen ohnehin nicht vor oder wir verhielten uns zumindest so und vertrauten dem Staat, statt die Wahlen gründlich zu prüfen. Kontrollierbarkeit von Wahlen weiterlesen
Sicher ist sicher? 