Security Problem Excuse Bingo (Danke, Matthias)
Alle Beiträge von Sven Türpe
Lesetipp
In der <kes> vom Dezember 2009 findet sich ein feiner und unterhaltsamer Artikel zum Realitätsabgleich für Security-Nerds, insbesondere für solche, die für die Sicherheit in Unternehmen verantwortlich sind:
Vom Aus der geschlossenen Anstalt
Ein Traktat wider das hartnäckige Festhalten an vermeintlich Bewährtem
von Dr. Johannes Wiele
Vermutlich verschwindet der Artikel bei Erscheinen des nächsten Heftes demnächst im Archiv für Abonnenten, bei Gefallen empfiehlt sich also eine Sicherheitskopie.
Unterschätzte Risiken: Leichtgläubigkeit
Wenn sich ein Verbrecher Patrick nennt, dann bleibt der Polizei nichts anderes übrig, als alle Patricks in der Umgebung des Tatortes zu gentesten. Dass die Spur falsch, gar eine gezielte Irreführung sein könnte, auf die Idee kam man offenbar nicht:
»Hunderte Männer namens Patrick hatte die Wiesbadener Polizei nach der Vergewaltigung einer 17-Jährigen überprüft. Knapp zwei Jahre später hat sie den Täter gefunden – per Zufall. Patrick heißt er nicht.«
(HR: Zufallstreffer: Vergewaltiger heißt doch nicht Patrick)
Es sei nicht auszuschließen gewesen, dass der Name richtig sei. Dass die DNS-Rasterfahndung Blödsinn sein könnte, war offensichtlich aber auch nicht auszuschließen.
Patchday
Der Geldautomat hat gesagt, meine Karte sei nun wieder gesund. Die Sparkassen haben das Kartenupdate über die Geldautomaten also offenbar laufen und es scheint innerhalb der Sparkassenorganisation auch überregional zu funktionieren. Das ist technisch eh‘ kein Problem, verdient angesichts der organisatorischen Kleinstaaterei aber dennoch ein Lob. Ob die Volks- und Raiffeisenbanken das auch so hinkriegen?
Den Anschluss verloren
Was kann man heutzutage eigentlich noch mit einem IE (v8) anstellen, dem man Inhalte in die lokale Sicherheitszone legt, also ins Filesystem? Bei aktiven Inhalten, JavaScript und so, fragt er erst mal nach, bevor er sie ausführt. Was würde man statt dessen versuchen?
Warum ich frage? Ich habe hier einen Firefox unter Windows XP, dem irgend jemand beigebracht hat, für bestimmte HTTP-Responses den IE aufzurufen, und zwar so, dass der IE den Inhalt als HTML interpretiert.
Frommer Wunsch
Wenn wir Programmierern die Möglichkeit geben, sich (bzw. den Anwendern ihrer Produkte) in den Fuß zu schießen, was werden sie dann wohl tun? Genau, sie werden sich (bzw. den Anwendern ihrer Produkte) in den Fuß schießen. Daran ändern auch Gebete nichts:
»8.5 SQL Injection
Authors are strongly recommended to make use of the ? placeholder feature of the executeSql() method, and to never construct SQL statements on the fly.«
(W3C: Web SQL Database, Editor’s Draft 14 January 2010)
Kann sich nicht mal jemand hinsetzen und das richtig machen?
In einem Wort
Im Informatikunterricht gefehlt
haben wohl die Journalisten, die uns seit Tagen mit Geschichten über Bibelverse auf amerikanischen Zielfernrohren nerven. Da stehen nämlich gar keine Bibelverse drauf. Sondern je nach Lieblingsparadigma Zeiger auf Bibelverse, Primärschlüsselwerte aus der Bibelverstabelle, Identifier für Bibelversobjekte oder irgendwas in dieser Art. Die ganze Aufregung dreht sich um Zeichenfolgen wie JN8:12 oder 2COR4:6. Wenn es wenigstens Hexspeak wäre…
Spam-based economy
(direct spam, via)
Fighting back
Sherr, M.; Shah, G.; Cronin, E.; Clark, S. and Blaze, M.: Can They Hear Me Now? A Security Analysis of Law Enforcement Wiretaps. CCS’09.
Abstract:
»Although modern communications services are susceptible to third-party eavesdropping via a wide range of possible techniques, law enforcement agencies in the US and other countries generally use one of two technologies when they conduct legally-authorized interception of telephones and other communications traffic. The most common of these, designed to comply with the 1994 Communications Assistance for Law Enforcement Act (CALEA), use a standard interface provided in network switches. This paper analyzes the security properties of these inter- faces. We demonstrate that the standard CALEA interfaces are vulnerable to a range of unilateral attacks by the intercept target. In particular, because of poor design choices in the interception architecture and protocols, our experiments show it is practical for a CALEA-tapped target to over- whelm the link to law enforcement with spurious signaling messages without degrading her own traffic, e ectively preventing call records as well as content from being monitored or recorded. (…)«
Platzt die Ökoblase bald?
Vor zehn Jahren platzte die Dotcom-Blase. Dass es dazu kommen musste, war aufmerksamen Beobachtern schon länger klar. Zu grotesk waren die börsennotierten Geschäftsideen. Heute sieht es so aus, als drohte der Ökowirtschaft ein ähnliches Schicksal. Ökowirtschaft, das ist der Handel mit virtuellen Produkteigenschaften und Wirtschaftsgütern. Virtuelle Produkteigenschaften sind solche, die man einem Produkt ohne Kennzeichnung nicht ansieht: Biomilch, Ökostrom, ohne Gentechnik hergestellter Zucker. Produkte mit diesen virtuellen Eigenschaften lassen sich anscheinend teurer verkaufen als identische Produkte ohne sie. Deshalb gibt es im Supermarkt neben dem Obst aus der Kiste auch noch sorgfältig eingepacktes Obst mit einem Biosiegel drauf. Ein wenig Verpackungsmüll muss man der Umwelt zuliebe schon hinnehmen.
Virtuelle Produkteigenschaften sind eine Einladung zum Geldverdienen. Dazu muss man lediglich das gewöhnliche Produkt nehmen, und ihm die gewünschte Eigenschaft verleihen, was nichts weiter erfordert als eine Deklaration. Wenn das jemand allzu deutlich zeigt, gilt es allerdings als Skandal, denn das macht den Markt kaputt.
Noch einen Schritt weiter gehen rein virtuelle Produkte, zum Beispiel CO2-Zertifikate. Das sind Produkte, bei denen sowohl die Herstellung als auch die Verwendung rein deklarativ erfolgen. Das Produkt ist eine bloße Behauptung, wird aber gehandelt, als sei es real. In Ecuador hat man dieses Konzept offenbar richtig verstanden. Man bietet dem Ausland an, vorhandenes Erdöl gegen Geld im Boden zu lassen. Viel verrückter geht es nicht mehr, deshalb prognostiziere ich, dass die aufgeblasene Ökowirtschaft bald ein Ende haben wird.
Sicher
Wir bloggen hier übrigens aus Hessens sicherster Großstadt. Der Rest der Statistik ist auch interessant.
P.S.: Details für den Landkreis.
Nichts hält sich so hartnäckig wie blöde Ideen
Giropay gibt es jetzt auch international und heißt dann in grandioser Selbstüberschätzung Safetypay. Im Gegensatz zur Sofortüberweisung scheint Safetypay immerhin wenigstens die Banken zu fragen, ob sie das auch wollen. Besser macht das die Idee allerdings nicht. Einen Vorteil von solchen Systemen haben höchstens die Händler.
In einem Wort
Unterschätzte Risiken: Händis
Ich werde wohl nie begreifen, wie man sich von einem Stück Technik bis zur Idiotie herumkommandieren lassen kann:
»Auf einem unbeschrankten Bahnübergang bei Münchhausen ist am Dienstag auf der Strecke Marburg-Frankenberg ein Zug mit einem Auto zusammengestoßen.
(…)
Der Führerschein-Neuling sagte aus, sein klingelndes Handy habe ihn abgelenkt, deshalb habe er den Zug übersehen.«
Terrorism as a business
Überraschend
Angst ums Kind? Das ist oft Angst vor Unfällen, von der sich Eltern einschüchtern lassen. Die Realität:
»Krankheiten sind die häufigste Ursache von Schwerbehinderungen. Unfälle spielen dagegen keine Rolle. Nur 0,45 Prozent der schwerbehinderten Kinder und Jugendlichen haben sich ihre Beeinträchtigung bei einem Unfall zugezogen.«
(Finanztest 1/2010, S. 60)
Noch ein Grund, sich von Fahrradhelmen nicht zu viel Schutz zu erhoffen.
Für Profis
In Deutschland geht wenig ohne das passende Formblatt. Wer etwa eine Bombendrohung erwartet, sollte tunlichst diesen Vordruck bereithalten. Wie man später nach der Bombe sucht, ist hier in Anlage 3 erklärt. Geheimtipp: Blumenkästen, Damen-WC und Besenkammer nicht vergessen!
Unterschätzte Risiken: Hoden-Hans
Falsche Freunde können einem echt den Tag versauen. Und alle darauf folgenden Tage gleich mit:
»Er sei völlig unvermittelt über sein schmächtiges Opfer hergefallen und habe mit einem einzigen Griff dessen Hose zerfetzt. Die blutigen Hoden schleuderte er in hohem Bogen aus dem Fenster.«
(Welt Online: Kastration : Betrunkener reißt Mann die Hoden ab)
In einem Wort
Falschmünzerei
Früher bekam man für Falschmünzerei schon mal die Hände abgehackt, wenn man nicht das Pech hatte, in siedendes Öl getaucht zu werden. Heute sind solch drakonische Strafen unnötig, gerade mal 3,1 Millionen Euro Schaden verursachen Geldfälscher im Jahr. Ungefälscht bleiben Münzen mit Nennwerten unter 50 Cent.
Ver-warnt
Wer sich über unsere Katastrophenlust (oder die einiger Medien) angesichts der jüngsten Schneefälle im Winter auslassen möchte, findet bei Stefan Niggemeier einen Aufhänger von Jörg Kachelmann sowie einige gute Kommentare. Wir lernen daraus neue Worte: neben Parameteorologie (= alles außer Kachelmann-Wetter) auch noch deutsche Eventgemeinschaft und Quote-durch-Panik-Masche.
P.S.: Sueddeutsche.de hat auch noch was dazu: Unseren täglichen Schock gib uns heute.
P.P.S.: Inzwischen sind sich die Medien alle einig in ihrer Selbstverdammung. Bis zum nächsten Kataströphchen.
Unterschätzte Risiken: Gender Mainstreaming
Kerzen im Badezimmer sind Mädchenkram. Waschbenzin dagegen gehört zu den Jungs in die Werkstatt. Wer die Geschlechtergrenzen verwischt, tut sich damit keinen Gefallen:
»Die 29-Jährige putzte am Mittwochabend ihre Badewanne mit Waschbenzin und hatte aus unerklärlichen Gründen am Wannenrand eine brennende Kerze aufgestellt, wie die Polizei am Donnerstag mitteilte. Als sie mit dem benzingetränkten Lappen in der Nähe der Flamme gewischt habe, sei es zu einer Verpuffung gekommen.«
(Spiegel Online: Frau verbrennt sich beim Putzen der Badewanne)
Sicher ist sicher? 