Unnützes Feature mit unerwünschter Nebenwirkung, das ist ein Klassiker:
»Licht in der Tasche – Stress an der Kasse: Die Innenbeleuchtung einer Handtasche des Kaffeerösters Tchibo gefährdet die Zahlungsfähigkeit der Besitzerinnen. Der eingebaute Magnet kann die Magnetstreifen von EC-Karten angreifen – und im Extremfall unbrauchbar machen.«
(Spiegel Online: Gefahr für EC-Karten: Verbraucherschützer warnen vor Tchibo-Handtasche)
Man in the Middle im Real Life:
»Im Zeitraum von Juli 2008 bis April 2009 hatte er bei der Deutschen Bahn AG Jahresfahrkarten für die 1. Klasse unter fingierten Namen für existierende Großunternehmen im Raum Rüsselsheim bestellt.
(…)
In mühevoller Kleinarbeit konnten die Ermittler feststellen, dass der Einundzwanzigjährige im Auftrag der Post – als Fahrer eines Taxiunternehmens – Postsendungen an Großkunden in Rüsselsheim auslieferte. Den Zugriff auf Postsendungen vor der Auslieferung machte er sich zunutze, indem er die unter fingierten Namen bestellten Fahrscheine abfing. Auch nachfolgende Mahnschreiben der Deutschen Bahn AG fing er auf gleiche Weise ab.«(Echo Online: Rüsselsheim. Polizei überführt Fahrkartenbetrüger; Pressemeldung der Polizei dazu)
Bevor jetzt aber jemand verschärfte Sicherheitsmaßnahmen gegen dieses offene Scheunentor fordert, der Angriff ist letztendlich gescheitert, denn man hat den Kerl geschnappt. Dem zu entgehen dürfte recht schwer sein, wenn man das krumme Geschäft nachhaltig betreibt. Man muss dazu erstens identifizierbar in der richtigen Position sitzen und zweitens die erschlichenen Fahrkarten zu Geld machen. Solange keiner einen Weg findet, dabei zuverlässig der Verfolgung zu entgehen, ist reaktive Sicherheit in Form der Polizeiarbeit und Strafverfolgung ausreichend.
Microsoft®, WINDOWS®, NT®, EXCEL®, Word®, PowerPoint® und SQL Server® sind eingetragenen Marken der Microsoft Corporation.
IBM®, DB2®, DB2 Universal Database, OS/2®, Parallel Sysplex®, MVS/ESA, AIX®, S/390®, AS/400®, OS/390®, OS/400®, iSeries, pSeries, xSeries, zSeries, z/OS, AFP, Intelligent Miner, WebSphere®, Netfinity®, Tivoli®, Informix und Informix® Dynamic ServerTM sind Marken der IBM Corporation in den USA und/oder anderen Ländern.
ORACLE® ist eine eingetragene Marke der ORACLE Corporation.
UNIX®, X/Open®, OSF/1® und Motif® sind eingetragene Marken der Open Group.
Citrix®, das Citrix-Logo, ICA®, Program Neighborhood®, MetaFrame®, WinFrame®, VideoFrame®, MultiWin® und andere hier erwähnte Namen von Citrix-Produkten sind Marken von Citrix Systems, Inc.
HTML, DHTML, XML, XHTML sind Marken oder eingetragene Marken des W3C®, World Wide Web Consortium, Massachusetts Institute of Technology.
JAVA® ist eine eingetragene Marke der Sun Microsystems, Inc.
JAVASCRIPT® ist eine eingetragene Marke der Sun Microsystems, Inc., verwendet unter der Lizenz der von Netscape entwickelten und implementierten Technologie.
Achtung Sicherheitshinweis: wir brauchen gar keine Terrorwarnungen, denn wir gerüchten selbst.
»60 000 Menschen sterben in Deutschland jedes Jahr an einer Blutvergiftung. Das sind 162 Todesfälle am Tag. Damit ist die Sepsis, besser bekannt als Blutvergiftung, die dritthäufigste Todesursache nach Herz-Kreislauf-Erkrankungen und Krebs.«
(Focus Online: Blutvergiftung: Der unterschätzte Killer)
For the collectors and slide producers among you:
SANS Cyber Security Survey 2009
The survey found that Web server-side applications are the target of more than 60% of all Internet attacks and that “Web application vulnerabilities such as SQL injection and cross-site scripting flaws in open source as well as custom-built applications account for more than 80% of the vulnerabilities being discovered. Despite the enormous number of attacks and despite widespread publicity about these vulnerabilities, most Web site owners fail to scan effectively for the common flaw.” http://www.sans.org/top-cyber-security-risks/
(See Making Sense of the SANS “Top Cyber Security Risks” Report at The New School of Information Security for a critique of the report.)
X-Report von IBM 2009
According to the report, criminals are leveraging insecure Web applications to target users of legitimate Web sites. These attacks intended to steal and manipulate data and take command and control of infected computers. The report states that SQL injection attacks rose 50 percent from Q4 2008 to Q1 2009 and then nearly doubled from Q1 to Q2.
http://www-935.ibm.com/services/us/iss/xforce/trendreports/
Sophos Security Threat 2009
23,500 new infected webpages are discovered every day. That’s one every 3.6 seconds, four times worse than in 2007.
http://www.sophos.com/sophos/docs/eng/papers/sophos-security-threat-report-jul-2009-na-wpus.pdf
»Rund eine Tonne toter Fische wurde am Kloster Helfta, dem Tagungsort der Agrarminister, seit Samstag geborgen. Die Fische verendeten vermutlich wegen der von Bauern ausgekippten Milch. Am Freitag hatten Landwirte aus Protest gegen die niedrigen Milchpreise mehrere zehntausend Liter Milch aus Güllefahrzeugen vor das Kloster gekippt.«
(Welt Online:
Niedrige Milchpreise: Milchbauern bringen durch Protest Fische um)
Eben sollten wir noch Angst haben angesichts der Videodrohung eines bartlosen Islamisten. Gleich darauf dürfen wir uns aber wieder sicher fühlen. Auf dem Frankfurter Flughafen und dem Hauptbahnhof blicken wir in die Mündungen von Maschinenpistolen, und es sind die Maschinenpistolen unserer Freunde und Helfer:
»Seit Freitag müssen sich Reisende in der Main-Metropole an ein neues Bild gewöhnen: Bundespolizisten mit schweren Schutzwesten und Maschinenpoistolen schreiten in den Hallen des Frankfurter Flughafens und an den Gleisen des Frankfurter Hauptbahnhofs umher. „Es geht um die Präsenz, wir wollen den Reisenden Sicherheit geben“, rechtfertigt eine Sprecherin des Bundespolizeipräsidiums die verschärften Sicherheitsmaßnahmen.«
(HR: Nach Terror-Drohung: Bewaffnete Polizisten patrouillieren)
Gegen eine angemessene Bewaffnung der Polizei ist nichts einzuwenden, sie ist manchmal leider nötig. Dennoch ist von dieser plakativen Maßnahme kaum ein Sicherheitsgewinn zu erwarten. Man habe »Madrid im Hinterkopf,« heißt es wenig später im Text, aber das ist doppelt falsch: erstens hat man es nicht oder nur sehr vage, und zweitens würde das auch nichts nützen.
Wir erinnern uns. In Madrid fuhren die Bomben in Nahverkehrszügen in den Bahnhof. Wer das im Hinterkopf hätte, verspräche sich von Maschinenpistolen auf den Bahnsteigen des Hauptbahnhofes wohl wenig. Ein Terrorist könnte sie getrost ignorieren und an irgendeinem Vorortbahnhof mit seiner Bombe in die S-Bahn steigen. Und selbst wenn er das nicht könnte, warum sollte ein Terrorist auf Züge, Bahnhöfe oder Flughäfen fixiert sein? Wer viele Menschen auf einen Schlag treffen möchte, kann auch Samstags auf die Zeil gehen. Oder zur IAA aufs Messegelände. Oder in die Oper. Oder zur Konsumtempeleröffnung nach Weiterstadt. Oder, oder oder.
Weder gibt es eine besonders große Bedrohung; selbst wenn sich tatsächlich gerade entschlossene Terroristen auf ihren großen Tag vorbereiten, bleibt das individuelle Risiko gering. Noch tragen die Polizisten mit Maschinenpistolen nennenswert zur Risikoreduktion bei. Sie helfen nur den Verantwortlichen, ihre Verantwortung zu tragen.
Cold reading is a technique used by mentalists to simulate psychic powers and impress people. Essentially, the cold reader is supplying words and the other person supplies their meaning as well as hints for the reader.
The CSS history hack, which seems to impress quite a few people, is nothing more than the Web’s version of cold reading. Your impression is that any Web site can read your browser history. Now there is indeed an information leak and no Web site should get access to history information. But this leak is very small. It doesn’t reveal the history altogether to anyone daring to ask. The CSS history issue only gives us an oracle. We can ask the oracle whether a particular URL is in the history or not. So to find out that you’ve read this blog post we would have to ask the oracle about the precise URL of this post.
Nonetheless demonstrations of the history hack impress people. The trick is simple and similar to the cold reading technique. History hack demos use a set of URLs that leads to a hit for almost every Internet user on the world: Google, YouTube, Microsoft, Wikipedia, Flickr, Apple, Slashdot, Amazon, and so on. A mentalist would guess and suggest these until you start giving feedback on which to hook. The CSS history hack replaces this interaction with asking the oracle to avoid wrong guesses. The trick is really to use a set of Web sites that guarantees a hit, and use a minor information leak to remove the wrong guesses from the set that would spoil the effect. This works well with the top 20/top 50/top 1000 sites on the Web, but it won’t scale to arbitrary URLs.
»Aber bei den „Vorsorge“-Untersuchungen, zu denen wir immer wieder aufgefordert werden, handelt es sich in Wirklichkeit um Früherkennungs-Untersuchungen.«
Was der Unterschied zwischen Vorsorge und Früherkennung ist, erklärt Dr. med. Bernd Hontschik für die Frankfurter Rundschau.
Kann mir jemand sagen, ob ich das möchte? Oder weiß wenigstens jemand, unter welchen Umständen so eine Meldung typischerweise zustandekommt? Der Text klingt ein wenig schräg, und der Hilfe-Button ist nur Dekoration.
Was die Frankfurter Rundschau berichtet, ist bis zur nächsten Badesaison sicher wieder vergessen:
»Innerhalb von rund zwei Wochen sind auf der Ferieninsel elf Menschen beim Schwimmen oder Tauchen im Meer ums Leben gekommen – acht der Opfer waren deutsche Touristen.«
(Frankfurter Rundschau: Badeunfälle: Tod vor Mallorca)
Alles übers Ertrinken erfahren Sie unter www.blausand.de. Insgesamt kommen jedes Jahr einige Hundert Deutsche bei Badeunfällen ums Leben.
»Ein Botnetz, das zwischen 5000 und 10.000 Bots kontrolliert, kann laut Wüest für 10 US-Dollar pro Woche gemietet werden.«
(Heise online: Spam-Bots werten soziale Netze aus)
Falls Ihnen mal jemand weismachen will, die Radsportler trügen doch alle Styropor auf dem Kopf und das sei nötig, weil die Fallhöhe beim Sturz doch sagenhafte zwei Meter betrage, zeigen Sie ihm dieses Video:
(Direktlink, gefunden bei Mela)
I’m off for the New Security Paradigms Workshop in Oxford, where I will present what I currently call the Swiss Cheese security policy model. My idea is to model security mechanisms as classifiers, and security problems in a separate world model as classification problems. In such a model we can (hopefully) analyze how well a mechanism or a combination of mechanisms solves the actual problem. NSPW is my first test-driving of the general idea. If it survives the workshop I’m going to work out the details. My paper isn’t available yet; final versions of NSPW papers are to be submitted a few weeks after the workshop.
Sicher ist sicher? 