In the current discussion about the use of body scanners at airports (aka strip machines) many people seem to forget, that these scanners do not pose a remedy to the latest security threat, i.e. explosives. So I am amazed that in this day and age we still are preoccupied with knives and guns. And I ask myself, do we really need expensive technology to spot them? Are the Indians really the only part of the scenario that has changed? And isn’t touching my privates a bigger privacy infringement than taking a x-ray-picture?
Archiv der Kategorie: Forschung
Spendenaufruf
Zwei Euro im Monat für ein gutes Gefühl, das ist das Kerngeschäft der Versicherungswirtschaft:
»Oft reichen einige Minuten Surfen im Internet – und schon sind Ihre Bankdaten in die Hände von Betrügern gelangt. Phishing-Angriffe, die gezielt Online-Banking Kunden im Visier haben, verursachen immer wieder hohe Schäden.
(…)
Anfang 2010 bietet CosmosDirekt die passende Lösung: Den Konto-Schutzbrief, der Sie ab 2€ im Monat gegen die Plünderung Ihres Kontos schützt*. Er sichert alle Schäden aus dem Missbrauch Ihrer EC- und Kreditkarte sowie Ihrer Kontodaten ab.«
Für ungefähr dieselbe Summe bekommt man übrigens schon eine kleine Haftpflichtversicherung. Der Preis taugt also noch nicht einmal als Risikometrik.
Sicherheitsmetriken
Waldarbeitern passiert offensichtlich oft genug etwas, dass man Sicherheitsmetriken auf die Unfallstatistik stützen kann:
»Über die Platzierung beim Wettbewerb in Sachen Unfallsicherheit entschieden zudem die Zahl der Unfälle pro geernteten Festmeter Holz und die meldepflichtigen Unfälle pro Arbeitsstunde.«
(Echo Online: Im Darmstädter Forst hat Leichtsinn keinen Platz)
Und noch etwas haben sie uns voraus, sie wissen, was sie zählen müssen. Echte Unfälle nämlich, und keine Hilfe-der-Rüsselkäfer-greift-uns-an-Alerts aus halbgaren Sicherheitstheaterwerkzeugen.
600:500.000
Wieviel Angst müssen wir eigentlich vor Straßenraub haben? Hier sind die Zahlen für Leipzig (500.000 Einwohner) in den letzten Jahren:
»Ermittler gehen davon aus, dass die Zahl der Raubstraftaten in diesem Jahr erneut angestiegen ist, sich bei etwa 600 einpegeln dürfte. Im vorigen Jahr hatte die Kripo 547 Fälle registriert, 2007 waren es 590.«
(LVZ: Prügel für ein paar Euro: Etwa 600 Raubstraftaten in diesem Jahr)
Das sind ungefähr 1,2 Fälle auf 1000 Einwohnerjahre.
Datenschutzbarometer
Alle Jahre wieder veröffentlicht die Firma Xamit ihr Datenschutzbarometer
http://www.xamit-leistungen.de/studienundtests/index.php
Ist lustig zu lesen, sichert jede Menge Aufmerksamkeit, die in kürzester Zeit wieder verpufft. Dem Geschäftsmodell der Firma wird es aber nicht schaden. Das folgt dem Motto: Wir machen alles – außer Arbeit.
Sven vs. McAfee — 1:0
Wozu schleppe ich eigentlich seit Jahren zwangsweise ein Dreckstool von Virenscanner auf meinem PC mit mir herum, wenn er im − äußerst seltenen − Ernstfall nichts tut? Zugegeben, ich brauche keine Softwareunterstützung, um mich über eine unaufgefordert heruntergeladene PDF-Datei und die Fehlermeldung bei deren Interpretation zu wundern. Nur ist es dann, wenn ich etwas bemerke, für die Abwehr schon zu spät. Falls die PDF-Datei bösartig ist, wird sie nämlich versuchen, Fehler im PDF-Betrachter auszunutzen.
Na ja, immerhin liefert der Vorfall einen Datenpunkt für die empirische Forschung. McAfee hat mir auf diesem Rechner noch nie irgend etwas gemeldet und liegt damit klar im Rückstand.
P.S.: Heise meldet zwei Tage später das hier.
The Evil Jan Attack
Microsoft’s BitLocker is, for all we know, a proper disk encryption software. It encrypts data at rest against attacks originating outside the running system. If you use BitLocker and your computer is stolen while turned off, there is essentially no way of reading data from the disk without having the proper key(s)—your BitLocker PIN, a key file on a USB stick, or both. If an attacker gets access to the machine while it is running, there may be ways of compromising it through Windows or in other ways, but such attacks are clearly outside the scope of disk encryption.
We know, however, another class of attacks against disk encryption: evil maid attacks. This term describes a general strategy rather than a particular implementation. If you leave your computer unattended, let’s say in a hotel room, an attacker, let’s say an evil maid, might manipulate it such that your data will be compromised as soon as you return and provide it with your encryption keys. There are various ways of doing so, for instance installing a hardware keylogger if your keys are based on passwords, or altering the unencrypted boot code to install a Trojan horse that will leak your keys later. The Evil Jan Attack weiterlesen
NSPW 2009 Papers Online
Just a quick note: The final papers for the New Security Paradigms Workshop 2009 are now online, including my own (also here). Two of them got their share of public attention already, Maritza Johnson’s Laissez-faire file sharing (in Bruce Schneier’s blog) and Cormac Herley’s So Long, And No Thanks for the Externalities: The Rational Rejection of Security Advice by Users (Schneier’s blog; New School of Information Technology; Heise.de). For those of you who can afford the trip, the authors will present these two papers again in a session at ACSAC, December 7-11.
$1000
Um die aktuelle Kartentauschaktion ins rechte Licht zu rücken: Ungefähr 1000 Dollar – oder hierzulande etwa 1000 Euro, wie auf dem Rheinlandtreffen zu hören war – gibt eine betrügerisch eingesetzte Kreditkarte im Mittel her, bevor sie gesperrt wird.
Cool or not cool?
Wenn’s am Ausgang piept
Samstags beim Shopping. Die überlastete Fachkraft an der Kasse hat eine Diebstahlsicherung übersehen. Als Sie das Geschäft verlassen, geht der Alarm los. Was nun? Sich vor aller Augen dem Türsteher unterwerfen? Das kommt überhaupt nicht in Frage! So werden Sie lästige Kontrolleure los, ohne sich in die Einkaufstüten schauen zu lassen:
- Fühlen Sie sich zu nichts verpflichtet. Wenn es am Ausgang piept, dann bedeutet das nur eines: dass es am Ausgang piept. Es bedeutet nicht, dass Sie einen Schreck kriegen, stehenbleiben oder Ihre Unschuld beweisen müssen.
- Seien Sie selbstbewusst. Sie haben gerade ein Geschäft mit dem Ladeninhaber erfolgreich zum Abschluss gebracht, das im beiderseitigen Interesse liegt. So möchten Sie auch behandelt werden, als Geschäftspartner.
- Kommunizieren Sie. Dem Türsteher bleibt nichts anderes übrig, als Ihnen auf die Straße zu folgen und Sie anzusprechen. Selbstverständlich hören Sie sich erst einmal ruhig an, was der Mann zu sagen hat. Er wird Sie auffordern, mit ihm zurück in den Laden zu gehen, um die Sache dort zu klären. Darauf antworten Sie ebenso ruhig, wie Sie zugehört haben, mit einem einfachen: „Nein.” Dann schauen Sie ihn fragend an. Wenn’s am Ausgang piept weiterlesen
In einem Wort
Kragen geplatzt
Ein überfälliger Flame an alle:
»Einzelne Todesfälle werden in der Presse geradezu zelebriert. Graphiken mit steil aufragenden Kurven signalisieren höchste Gefahr und zeigen, dass wir am Rande des Abgrunds stehen.Für Sammler von Beispielen, wie man Zahlen nicht interpretieren sollte, herrschen goldene Zeiten. Alles, wovor man Erstsemester warnt, wird geboten.
(…)
Fehlendes Wissen bedeutet Unsicherheit. Das scheint als Einladung verstanden zu werden, mit auf Glauben beruhenden Aussagen für Sicherheit zu sorgen. Zahlen und objektive Risikoabschätzungen sucht man oft vergeblich. Das könnte akzeptiert werden, wenn der Glauben als solcher deklariert und nicht als Wissensmogelpackung präsentiert würde.
(…)
Wie ein roter Faden zieht sich die Abneigung gegenüber Zahlen durch Berichte. Ein Grund mag die schlechte Datenlage sein, aber auch vorhandene werden ignoriert. Die gegenwärtig besten stammen von der Südhalbkugel. Erfahrungen und Zahlen des dort fast beendeten Winters geben keinen Anlass für Katastrophenszenarien.
(…)
Das diffuse Bild ist natürliche Folge der objektiven Unsicherheit. Verwerflich ist, dass diese Unsicherheit nicht als solche deklariert wird, sondern durch Ignoranz ein Bild von Sicherheit erzeugt wird, das mit der Realität nichts zu tun hat. Die gesellschaftliche Unfähigkeit, mit Risiken rational umzugehen, ist erschreckend.«
(sueddeutsche.de: Kranke Zahlenspiele)
Helle, heeflich, heemdiggsch
Skimming in Sachsen: 48 Fälle bis Ende Oktober 2009 (2008: 28, 2005: 5 Fälle), geschätzter Schaden 500.000€.
Piratendaten
Wie schlimm die Piraterie auf den Weltmeeren wirklich ist, erfahren wir im Datablog des Guardian. Für eigene Auswertungen übrigens auch als Google-Spreadsheet. Während in Deutschland über Online-Journalismus vorwiegend gelabert wird, machen ihn die Angelsachsen einfach.
21
21 Handgranaten hat die TSA von Juli bis Oktober bei Flugreisenden gefunden.
The Man Who Stare at Goats
Jon Ronson has found a way of writing a commedy about torture and warfare. Best thing about it – many of the ideas behind it like many of the non-lethal weapons are real. Funny, isn’t it? Here some of the ideas.
Unterschätzte Risiken: Atomkriege
Atomkriege sind schlecht für … die Ozonschicht:
»A limited nuclear weapons exchange between Pakistan and India using their current arsenals could create a near-global ozone hole, triggering human health problems and wreaking environmental havoc for at least a decade, according to a study led by the University of Colorado at Boulder.«
(Regional Nuclear Conflict Would Create Near-global Ozone Hole, Says Study)
Zweckfreie Metriken
Energieausweise wie der unten abgebildete sind neuerdings Vorschrift, und jene für Nichtwohngebäude sind auszuhängen. Dieses Exemplar hängt in der Garderobe der Deutschen Nationalbibliothek in Leipzig:
Und was zum Teufel soll das? Eine angezeigte Metrik ist nützlich, wenn sie mir Entscheidungen oder die Steuerung von Vorgängen erleichtert. Deswegen haben Autos Tachometer, die die Geschwindigkeit relativ zum Boden anzeigen: diese Information hilft dabei, sich zwischen Gaspedal und Bremse zu entscheiden und den Parameter Geschwindigkeit zu steuern. Ändert sich das Steuerproblem, etwa weil wir das Auto gegen ein Flugzeug eintauschen, dann ändern sich auch die Anforderungen an die Metrik und ihre Bestimmung. Im Flugzeug interessiert vor allem die Geschwindigkeit relativ zur Luft, das Ergebnis ist ein völlig anders konstruiertes Messinstrument, das in seinem Einsatzgebiet aber ausgesprochen nützlich ist.
Aber was nur soll ich mit den Informationen aus dem Energieausweis anfangen? Die Bibliothek wechseln, wenn mir die Werte nicht gefallen? Handschuhe mitbringen, weil die Energieeinsparung vielleicht durch Absenkung der Temperatur in den Lesesälen erzielt wird? Öfter in die Bibliothek gehen und dafür energetisch schlechtere Gebäude meiden? Oder mich dumm stellen und nach demselben Prinzip – Hauptsache messbar – Sicherheitsmetriken entwerfen?
Ergänzung 2009-10-24: Die Leipziger Volkszeitung schlägt vor, anhand der Energieausweise Museen mit Kindergärten zu vergleichen. Immerhin hängen in beiden Bilder herum.
White Hat Hacker Man
(video link, lyrics)
100 Dollar
Hundert Dollar lässt sich T-Mobile USA den Datenverlust durch Serverausfall pro Kunde kosten. Scheinbar zumindest, denn statt Bargeld gibt es einen Gutschein, einzulösen bei T-Mobile USA. Weiß jemand, wie man die realen Kosten so einer Gutscheinaktion kalkuliert?
Nerds …
1 Cent
Für 90 Dollar bekommt man 10.000 geklaute E-Mail-Accounts, ein einzelner Account ist also ungefähr einen Cent wert:
»Unterdessen rückt Rik Ferguson von Trend Micro den Vorfall in die richtige Perspektive. 10.000 gestohlene Account-Daten seien nichts Ungewöhnliches. Die würden auf dem freien Markt etwa 90 Dollar kosten – wenn man die üblichen 10 Prozent Rabatt abzieht.«
(heise Security: Test für kompromittierte E-Mail-Accounts)
Weiß jemand, wie hoch im Vergleich dazu der Schaden pro Account ist?
Sicher ist sicher? 