Archiv für den Monat Februar 2010

Während man im Westen noch über die Möglichkeit räsoniert, dass sich unser Leben demnächst in ein gigantisches RPG verwandeln könnte, tanzen asiatische Waldorfschüler bereits anstelle ihres Namens ihr Lieblingsspiel:

(Nam Hyun Joon – Super Mario)

(Mike Song Nintendo Wii Tutting Routine)

Vélib extreme

Februar 23, 2010English, In einem Wort, ZahlenspieleSven Türpe

According to a BBC report, the Paris bike scheme Vélib seems to have a theft and vandalism problem:

20,000 bicycles

1,250 stations

Cost 400 euros each to replace

7,800 „disappeared“

11,600 vandalised

1,500 daily repairs

Staff recover 20 abandoned bikes a day

Each bike travels 10,000 km a year

42 million users since launch

(February 2009)

In einem Wort

Februar 20, 2010In einem WortSven Türpe

XPath Injection

Veralbern

Februar 20, 2010O-Ton, Propaganda, Security, Sicherheitshinweise0day, Firefox, updateSven Türpe

kann ich mich alleine. Merke: zu jedem Sicherheitshinweis gibt es eine Ausnahmesituation, in der es besser ist, ihn nicht zu befolgen. Updates sind eine gute Idee™, aber nicht immer.

CCTV-Zahlen

Februar 19, 2010Datenschutz, Security, Video, ZahlenspieleCCTV, Kamera, London, VideoüberwachungSven Türpe

Ein Artikel von Angela Sasse in der aktuellen CACM (paywalled: Not Seeing the Crime for the Cameras?) liefert Zahlen aus dem Mutterland der Überwachungskamera:

Nach Erhebungen der Londoner Polizei tragen Kameras in 3% der Fälle von Straßenkriminalität zur Klärung bei.
Das ist ein Verbrechen pro 1000 Kameras im Jahr.
Dafür hat man bis 2008 im Großraum London ungefähr eine halbe Milliarde Pfund ausgegeben.
Im Einzelhandel amortisieren sich Videoüberwachungssysteme gegen Ladendiebstahl kaum, sie lohnen sich nur in Geschäften, die sehr hochwertige Waren verkaufen.
CCTV wird gerne gekauft, weil gerade Geld da ist oder weil der Nachbar auch so etwas hat.

Der Artikel kommt zu dem Schluss, dass CCTV zur Kriminalitätsverhinderung im Wesentlichen nutzlos sei.

Sicherheit als Statussymbol (II)

Februar 19, 2010Regierungsviertel, SecuritySven Türpe

»Drinnen wird große Politik gemacht, draußen stehen Zaungäste und Journalisten. Sie werden die Schwelle zum Bundeskanzleramt nicht überschreiten, denn sie kommen nicht an den Pförtnern vorbei.«

(Die Pförtner der Macht. Eine Beobachtung)

Must read

Februar 18, 2010English, Off TopicfunnySven Türpe

Markov Indecision Processes: A Formal Model of Decision-Making under Extreme Confusion

Abstract:

»We present a mathematical model of indecisive agents faced with a sequence of diffcult decisions, extending Adams‘ bistromathics to the multistage case. This is almost the first work on modeling stochastic processes for which the probabilities are fundamentally unknowable. This paper describes a novel algorithm, complexity results, and a model-free learning algorithm for Markov indecision processes. Two applications are discussed based on real-world domains: presidential elections and the stock market.«

Selbstbewusst

Februar 17, 2010O-Ton, Off TopicJames Bach, Schule, unschooling, ZitatSven Türpe

»Alle sagen, auch als Erwachsener hätte man bestimmte Pflichten und Verantwortung. Das ist Blödsinn. Als Erwachsener hat man völlige Freiheit. Alles was man tut, tut man aus einer eigenen Entscheidung heraus. Alle Pflichten wählt man selbst. Ich tue nur, wozu ich Lust habe – und verdiene gut damit.«

– James Bach

Unterschätzte Risiken: Käse

Februar 17, 2010Angst, Safety, Unterschätzte RisikenKäse, Listerien, Listeriose, NahrungSven Türpe

Hand aufs Herz: haben Sie Angst vor Käse aus dem Supermarkt? Nein? Sollten Sie aber, denn Käse kann Sie umbringen:

»Alarm bei Lidl: Der Discounter hat erneut vor dem Verzehr von zwei Käsesorten gewarnt, die offenbar mit gefährlichen Bakterien verseucht sind. An ihnen sollen bereits sechs Menschen gestorben sein, die Symptome ähnelten zunächst denen einer Grippe.«

(Welt Online: Lebensmittel: Mehrere Todesfälle – Lidl ruft Käse zurück)

Die gefährlichen Bakterien sind Listerien, und wenn die Infektion Symptome zeigt, ist der Käsekauf vielleicht längst vergessen.

Stolen laptop case study

Februar 15, 2010English, IT, Securityphysical security, theftSven Türpe

Shocking news: it is easy to steal laptop computers in universitites!

»In this study, we look at the effectiveness of the security mechanisms against laptop theft in two universities. We analyze the logs from laptop thefts in both universities and complement the results with penetration tests. The results from the study show that surveillance cameras and access control have a limited role in the security of the organization and that the level of security awareness of the employees plays the biggest role in stopping theft. The results of this study are intended to aid security professionals in the prioritization of security mechanisms.«

(Laptop theft:
a case study on effectiveness of security mechanisms in open organizations)

In einem Wort

Februar 14, 2010In einem Wort, IT, Rechtsabteilung, SecuritySven Türpe

post-hack lawsuit defense

By the way,

Februar 14, 2010English, IT, Security, Trusted ComputingBitLocker, Evil Jan, evil maid, TPMSven Türpe

… if it’s worth the effort, this TPM hack may nicely complement an Evil Jan attack. First the attacker carries out the Evil Jan attack to obtain any user-provided key material, next he takes the machine away and cracks the TPM for the rest of the key material. Usually there are easier ways after the initial step, but if, for whichever reason, they should become infeasible, going for the TPM might be an option.

Leaving the TPM exposed to physical attacks while protecting the RAM of a system from wire access, DMA, and cold boot attacks would be a pretty stupid design error, though. But who knows?

Unterschätzte Risiken: Sicherheitsgesetze

Februar 13, 2010Datenschutz, ID, Security, Unterschätzte RisikenBedrohungsrückkopplung, Identitätsdiebstahl, relative Sicherheit, Telekommunikation, VorratsdatenSven Türpe

Schon seit einigen Jahren gibt es die Vorratsdatenspeicherung light: Telekommunikationsanbieter müssen die Identität ihrer Kunden erfassen und den Sicherheitsbehörden auf Anfrage zur Verfügung stellen. Rechtsgrundlage ist der §111 TKG (im Abschnitt Öffentliche Sicherheit), der dem anonymen Verkauf von Prepaid-Karten ein Ende machte. Sicherer geworden sind wir dadurch nicht. Wo man früher nur anonym telefonieren konnte, geht das jetzt auch unter einem falschen Namen, dem die Behörden dann vielleicht eine echte, aber unbeteiligte Person zuordnen.

An der inhärent schlechten Qualität der derart erfassten Daten wird sich kaum etwas ändern lassen. Anbieter, Händler und Kunden haben kein eigenes Interesse an der Pflege der Datenbestände, die deshalb schon ohne böswillige Eingriffe schnell degenerieren. Ein Musterbeispiel für eine wirtschaftliche Fehlkonstruktion: den Nutzen haben die Sicherheitsbehörden, den Aufwand die Betreiber und Händler und den Schaden irgend jemand. Öffentliche Sicherheit kann man so nicht schaffen.

Die Datenschützer waren übrigens gleich dagegen. Sie hatten Recht. Wie oft muss die Idee von der Sicherheit durch Identifizierung eigentlich in die Hose gehen, bis wir es lernen? Je wertvoller wir Identitätsmerkmale machen, umso häufiger werden sie missbraucht werden.

Identitätsmissbrauch am Beispiel

Februar 12, 2010Datenschutz, Geschäft, ID, SecurityIdentitätsdiebstahlSven Türpe

Ein schneller Lesetipp:

»Betrüger verwenden die Identität Fremder, um Straftaten zu begehen. Tina Groll hat das selbst erlebt und beschreibt, wie sich Datenmissbrauch anfühlt.«

(Zeit Online: Datenmissbrauch : Meine Identität gehört mir!, via Plazeboalarm)

Und wir wollen das Internet sicherer machen, indem wir dem Konzept der Identität mit einer Kombination aus Recht und Technik noch mehr Gewicht verleihen? Eine groteske Idee.

Sicherheitsnichtmanagement

Februar 12, 2010Datenschutz, Geschäft, IT, Security, VertrauenBKK, Callcenter, Krankenakten, Value5Sven Türpe

Ein virtuelles Callcenter aus Heimarbeitern, in dem die Gattin des Geschäftsführers die offenherzige Pressesprecherin gibt. Ich mag nich glauben, dass die Krisen-PR bei dieser Klitsche wesentlich besser funktioniert als der Datenschutz. Die sind ja überhaupt nicht organisiert.

»Die Ehefrau des Geschäftsführers von Value5, Dagmar Dehler, sagte WELT ONLINE, die Firma arbeite mit freien Mitarbeitern, die von zu Hause aus tätig seien: „Wir sind ein virtuelles Callcenter.“ Mit der Betreuung der Krankenkasse seien 60 Mitarbeiter befasst gewesen, die auch für andere Auftraggeber tätig seien.«

(Krankenakten zugänglich: So schlampig ging die größte BKK mit Daten um)

Teufelsaustreibung

Februar 12, 2010Freundlich zum Nutzer, SafetyAuto, Not-Aus, ToyotaSven Türpe

Die Idee ist ja nicht blöd. Ein Auto, das in Wirklichkeit ein mobiler Computer mit eigener Stromversorgung ist, möchte man auf eine definierte und zuverlässige Weise in einen sicheren Zustand versetzen können. Das bedeutet während der Fahrt in etwa¹, dass man alle Teilsysteme abschalten möchte, die man nicht zum Bremsen, Lenken oder der direkten Kommunikation mit der Umgebung benötigt. Fraglich ist allerdings, ob dem Fahrer im Panikfall diese Prozedur einfällt:

»Toyota erwäge, den Startknopf derart umzubauen, dass ein dreimaliges Drücken den Motor ausschaltet, sagte ein Konzernsprecher.«

(Welt Online: Fahrsicherheit: Toyota plant Not-Aus für seine Autos)

Die ist willkürlich, man müsste sie also erst einmal lernen, und zwar nicht im Vorbeigehen aus einem Handbuch sondern wie in der Fahrschule durch Üben. Und das für jedes Modell oder wenigstens für jeden Hersteller neu, solange es keinen Standard gibt.

Ein wirksames Not-aus geht anders. Man baut ein großes rotes Bedienelement an eine standardisierte, gut erreichbare Stelle. Vorbilder für das User Interface gibt es in jeder Straßenbahn und in jedem Eisenbahnwagen: die Notbremse. Dreimal Drücken ist Blödsinn.

-=*=-

¹ Die korrekte Lösung kann im Detail sehr viel komplizierter sein. Wer darüber nachdenken möchte, könnte zum Beispiel bei den Abhängigkeiten der Teilsysteme untereinander anfangen.