Alle Beiträge von Sven Türpe

Sven vs. McAfee — 1:0

Geschäft, IT, Security, Zahlenspiele, , , , ,

Wozu schleppe ich eigentlich seit Jahren zwangsweise ein Dreckstool von Virenscanner auf meinem PC mit mir herum, wenn er im − äußerst seltenen − Ernstfall nichts tut? Zugegeben, ich brauche keine Softwareunterstützung, um mich über eine unaufgefordert heruntergeladene PDF-Datei und die Fehlermeldung bei deren Interpretation zu wundern. Nur ist es dann, wenn ich etwas bemerke, für die Abwehr schon zu spät. Falls die PDF-Datei bösartig ist, wird sie nämlich versuchen, Fehler im PDF-Betrachter auszunutzen.

Na ja, immerhin liefert der Vorfall einen Datenpunkt für die empirische Forschung. McAfee hat mir auf diesem Rechner noch nie irgend etwas gemeldet und liegt damit klar im Rückstand.

P.S.: Heise meldet zwei Tage später das hier.

Threat Modeling in Action

English, Freundlich zum Nutzer, Security, , , ,

After the videos on threat modeling an example seems in order. Securology provides us with a good one in Selecting a Pistol Safe as (part of) the basis of a procurement decision. This is his set of requirements:

So, I needed a way to „securely“ (that’s always a nebulous word) store a firearm– namely a pistol– such that it could meet the following criteria:

  1. Keep children’s and other family members‘ hands off of the firearm
  2. Stored in, on, or near a nightstand
  3. Easily opened by authorized people under stress
  4. Easily opened by authorized people in the dark
  5. Not susceptible to power failures
  6. Not susceptible to being „dropped open“
  7. Not susceptible to being pried open
  8. Not opened by „something you have“ (authentication with a key) because the spouse is horrible at leaving keys everywhere.
  9. For sale at a reasonable cost
  10. An adversary should not know (hear) when the safe was opened by an authorized person

But I didn’t care a lot about the ability to keep a dedicated thief from stealing the entire safe with or without the firearm inside.

Read on at Securology to see how various products fail to fulfill this set of requirements. This example is illustrative in that it addresses several distinct threat aspects and tradeoffs. The pistol is not simply an asset needing protection, it is also by itself a security mechanism against certain threats. The resulting optimization problem is pretty interesting: keeping (some) unauthorized people from accessing the pistol while maintaining availability to the authorized in a practical sense.

TR-Mail

IT, Regierungsviertel, Security, ,

E-Mail vom Staat, das löst hierzulande einiges Misstrauen aus. Woanders fragt man gar nicht erst:

»Ab nächstem Jahr bekommen alle türkischen Neugeborenen eine E-Mail-Adresse vom Staat. Diese Adresse wird von einer Behörde verwaltet und in den Pass gedruckt. Zugleich soll die Verwendung ausländischer Dienste wie Google und Yahoo verboten werden. Das Projekt dient der nationalen Sicherheit.«

(Welt Online: Nationale Sicherheit: Jeder Türke erhält eine E-Mail-Adresse vom Staat)

The Evil Jan Attack

English, Hackmeck, IT, Security, Testlabor, Trusted Computing, Video, , , , , , , , , , , ,

[See only posts in English]

Microsoft’s BitLocker is, for all we know, a proper disk encryption software. It encrypts data at rest against attacks originating outside the running system. If you use BitLocker and your computer is stolen while turned off, there is essentially no way of reading data from the disk without having the proper key(s)—your BitLocker PIN, a key file on a USB stick, or both. If an attacker gets access to the machine while it is running, there may be ways of compromising it through Windows or in other ways, but such attacks are clearly outside the scope of disk encryption.

We know, however, another class of attacks against disk encryption: evil maid attacks. This term describes a general strategy rather than a particular implementation. If you leave your computer unattended, let’s say in a hotel room, an attacker, let’s say an evil maid, might manipulate it such that your data will be compromised as soon as you return and provide it with your encryption keys. There are various ways of doing so, for instance installing a hardware keylogger if your keys are based on passwords, or altering the unencrypted boot code to install a Trojan horse that will leak your keys later. The Evil Jan Attack weiterlesen

Herr, schmeiß Hirn vom Himmel!

Begriffe, IT, Security, , , , ,

Nach der WAF nun also die Datenbank-Firewall. Weil dämliche PHP-Programmierer nicht in der Lage sind, sicher auf Datenbanken zuzugreifen, soll GreenSQL zwischen Anwendung und Datenbank heuristisch SQL Injection erkennen. Die Idee ist so blöd, dass ich nicht mal beim szenetypischen Herumalbern darauf gekommen wäre.

Kernproblem bei Injection-Lücken ist die ungenügende Trennung zwischen Daten und Code in Verbindung mit dem Impedance Mismatch zwischen Programmier- und Datenbanksprache. Die kanonische Lösung besteht darin, eben diese Trennung zuverlässig aufrechtzuerhalten. Das lässt sich recht einfach bewerkstelligen, indem man eine geeignete Programmierschnittstelle − Prepared Statements statt Stringverkettung zu SQL-Statements − verwendet. Das kann zwar auch noch schiefgehen, wenn die Bibliotheksfunktion Fehler hat, aber wenigstens kann man sich selbst nicht mehr in den Fuß schießen.

Ist die Grenze zwischen Code und Daten einmal verwischt, steht die Datenbankfirewall vor exakt demselben Problem wie die Datenbank selbst: sie kann diese Grenze nicht mehr zuverlässig bestimmen. Konzeptionell ist die Datenbankfirewall deswegen genauso machtlos wie die Zugriffskontrolle der Datenbank. Sie versucht es nur mit einer anderen Strategie. Klüger wäre es, den Entwicklern ausschließlich sichere Schnittstellen zur Verfügung zu stellen.

Als Security-Theater allerdings dürfte so eine Datenbankfirewall hervorragend funktionieren, spuckt sie doch am laufenden Band Meldungen aus, die MovieOS alle Ehre machen würden: Hilfe, wir werden angegriffen!

Amerika überleben

Safety, Sicherheitshinweise, Unterwegs, ,

USA-Erklärer Scot W. Stevenson widmet sich heute den viefältigen Gefahren, die in der nordamerikanischen Natur auf arglose Touristen warten:

»Es sind die „kleineren“ Gefahren, mit denen die Europäer schlechter zurecht kommen, angefangen mit einem Mangel an Respekt vor den diversen Giftspinnen (darunter die sechsäugige Brown Recluse Spider und die Schwarze Witwe).«

(USA Erklärt: Böse Pflanzen und gefährliche Tiere)

Es geht dann weiter mit Würmern, Pflanzen und Killerbienen.

Umsonst gefürchtet

Angst, Datenschutz, Geschäft, , ,

Endlich räumt mal jemand mit den FUD-Geschichten vom googelnden Personalchef auf, der seine Entscheidung anhand längst verjährter Partyfotos aus Studententagen fällt:

»Es ist noch nicht lange her, da wurden Bewerber vor Personalchefs gewarnt, die angeblich nichts Besseres zu tun hatten als von morgens bis abends nach verfänglichen Partyfotos und peinlichem Privatkram im Internet zu stöbern.
(…)
Jetzt zeigt eine Studie, dass der Alarm übertrieben war. Denn bisher interessieren sich die wenigsten Personalexperten für soziale Netzwerke.«

(sueddeutsche.de: Soziale Netzwerke – Der Spion schläft)

Plausibel waren diese Geschichten ohnehin nie. Partyfotos liefern einfach keine relevante Information über einen Bewerber.

NSPW 2009 Papers Online

English, Forschung, Security, Unterwegs, , ,

[See only posts in English]

Just a quick note: The final papers for the New Security Paradigms Workshop 2009 are now online, including my own (also here). Two of them got their share of public attention already, Maritza Johnson’s Laissez-faire file sharing (in Bruce Schneier’s blog) and Cormac Herley’s So Long, And No Thanks for the Externalities: The Rational Rejection of Security Advice by Users (Schneier’s blog; New School of Information TechnologyHeise.de). For those of you who can afford the trip, the authors will present these two papers again in a session at ACSAC, December 7-11.

Warum wettern Datenschützer gegen Google Analytics?

Datenschutz, Regierungsviertel, Zwischenruf, ,

Datenschützer nerven. Folgt man den Medienberichten der letzten Zeit, so scheint ihre Arbeit nur noch um grotesk Irrelevantes zu kreisen. Die langjährigen Lieblingsthemen: IP-Adressen als personenbezogene Daten und formale Nörgeleien an Google Analytics. Relevant ist das kaum und es interessiert auch keinen. Warum tun die Datenschützer das?

Vielleicht versuchen sie nur, mit einer Situation umzugehen, die sie zur Hilflosigkeit verdammt. An den Stellen, an denen es darauf ankäme, ist Datenschutz politisch nicht oder nur als formalistisches Deckmäntelchen gewollt. Eigentlich müssten sich Datenschützer mit Vorratsdatenspeicherung und Bankdatentransfer beschäftigen, aber auf diesen Gebieten werden sie von vornherein durch die Politik übergangen.

Ähnlich machtlos ist der Datenschutz gegenüber dem Gegenstand seiner Bemühungen, dem Bürger. Der macht von seinem Recht auf informationelle Selbstbestimmung Gebrauch: er unterschreibt fröhlich Verträge für Rabattkarten und hat zu Hause ein Trojanisches Pferd auf dem PC, das ihm beim Online-Banking zuschaut.

Das lässt den Datenschützern zwei Möglichkeiten. Sie könnten erstens das Scheitern der Idee Datenschutz eingestehen und ihre Ämter niederlegen. Was aber auch nur einen personellen Wechsel zur Folge hätte, ohne das Problem zu beseitigen. Oder sie können sich zweitens neue Betätigungsfelder suchen, die zwar nicht relevant sind, auf denen ihr Gegner aber nicht so haushoch überlegen ist wie im Kampf gegen die Politik. Diese Möglichkeit haben sie gewählt und deshalb beschäftigen sie sich mit Diskussionen über IP-Adressen als personenbezogene Daten, über Google Analytics und ähnliche Themen.

Vielleicht ist ihnen sogar bewusst, dass das eine Ersatzbefriedigung mit einem nur sehr vagen Realitätsbezug ist. Aber irgendwie müssen sie vor sich und der Welt rechtfertigen, Datenschützer zu sein. Die Alternative wäre das Eingeständnis, ein totes Pferd geritten zu haben, und das fällt keinem leicht. Auch wenn es nervt, menschlich verständlich ist das alles schon.

(Erweiterte Fassung eines Kommentars im Heise-Forum)

Ergänzung: Zur angeprangerten Nutzung der IP-Adresse für die Geolokalisierung  steuert User REPNZ im Forum noch diese schöne Bemerkung bei: »…wissen das auch „Angelica and Sheila from Offenbach“, die immer mal wieder mit mir „chatten“ oder „daten“ wollen?« Das ist eine sehr gute Frage, denn so ziemlich alles, was Google Analytics technisch anstellt, um Daten zu erfassen und auszuwerten, findet tausendfach an anderer Stelle auch statt, ohne dass es angeprangert würde.

Unterschätzte Risiken: Wettsingen

Regierungsviertel, Security, Unterschätzte Risiken, ,

Das kommt heraus, wenn man seinen Sicherheitsbehörden freien Lauf lässt, statt sie auf nützliches Handeln gegen echte Bedrohungen zu beschränken:

»Beamte des aserbaidschanischen Ministeriums für Nationale Sicherheit (…) haben nach verschiedenen Medienberichten die Identität von Bürgern ermittelt, die beim Eurovision Song Contest 2009 in Moskau für den Beitrag Armeniens gestimmt haben. Mindestens ein Betroffener wurde verhört und aufgefordert, sein Handeln schriftlich zu begründen.«

(sicherheitsblog.info: Aserbaidschan, der Geheimdienst und der Eurovision Song Contest 2009)

Merke: Sicherheit darf weder Selbstzweck sein noch als Begründung für x-beliebige Maßnahmen herhalten. Was sogleich die Frage aufwirft, wie man vorbeugende Maßnahmen denn richtig begründet.