Archiv der Kategorie: Forschung

Can We Say »Don’t Worry«?

Angst, English, Erich fragt, Geschäft, Risiko, Wahrnehmung

[See only posts in English]

Freeman Dyson, being interviewed about his climate catastrophe skepticism, claims that some professions have trouble shrugging off issues as unimportant. He thinks there be a natural tendency to magnify threats:

»Really, just psychologically, it would be very difficult for them to come out and say, “Don’t worry, there isn’t a problem.” It’s sort of natural, since their whole life depends on it being a problem. I don’t say that they’re dishonest. But I think it’s just a normal human reaction. It’s true of the military also. They always magnify the threat. Not because they are dishonest; they really believe that there is a threat and it is their job to take care of it.«

(Freeman Dyson Takes On The Climate Establishment)

Obviously, computer security is another candidate. Paranoia is the norm in our subculture, we love to carry a better safe than sorry attitude. To an extent this attitude is justified by experience; there are many case studies of security not being taken seriously, leading to epic fail. Yet, more security technology is not always better. Do we have tools to reasonably say: »Don’t worry,« and justify our recommendation based on facts?

Unterschätzte Risiken: Hackerwettbewerbe

Hackmeck, IT, Phishing, Security, Testlabor, Unterschätzte Risiken, , ,

Lehrreiches Scheitern:

»A Webmail service that touts itself as hack-proof and offered $10,000 to anyone who could break into the CEO’s e-mail has lost the challenge.
(…)
The hacking team of Aviv Raff, Lance James and Mike Bailey set up the attack by sending an e-mail to the company’s CEO Darren Berkovitz. When he opened the e-mail, the team exploited an XSS flaw to take control of the account.«

(Zero Day: StrongWebmail CEO’s mail account hacked via XSS)

Die 10.000 Dollar hätten sie auch gleich bei einem fähigen Security-Tester anlegen können, dann hätten sie für dasselbe Geld wahrscheinlich mehr über ihre Irrtümer gelernt. Allzu weit kommt man mit diesem Betrag zwar nicht, aber die Tester arbeiten wenigstens bis zum Ende des Geldes weiter, statt mit dem ersten gefundenen Problem den Preis abzuräumen. Damit sinkt auf lange Sicht der Preis pro gefunder Verwundbarkeit, während er bei einer Folge von Hackerwettbewerben vielleicht sogar steigen würde.

4 Prozent

Angst, Datenschutz, ID, Wahrnehmung, Zahlenspiele, ,

Glücksbürokraten finden es besorgniserregend, dass Kinder und Jugendliche in sozialen Netzen die informationelle Selbstbestimmung üben und Muttis Mahnungen dabei gerne ignorieren. Sorglos seien die Selbstbestimmer, man müsse ihnen mehr Angst machensie stärker sensibilisieren. Eine Begründung aber bleiben sie uns schuldig. Die handfesten Probleme durch selbstbestimmt veröffentlichte Daten im Netz halten sich anscheinend sehr in Grenzen:

»Schlechte Erfahrungen mit der Veröffentlichung ihrer Daten hätten die Befragten kaum gemacht, weiß Medienpädagogin Maren Würfel, nur 4 Prozent haben sich laut Umfrage darüber beschwert.«

(Heise Online:
„Besondere Herausforderung“ soziale Netzwerke)

Könnten wir uns dann vielleicht wieder echten Problemen zuwenden?

PS: Isotopp hat einen Artikel über unterschiedliche Schutzziele von Eltern und Kindern ausgegraben.

Unterschätzte Risiken: Laborarbeit

Forschung, Safety, Unterschätzte Risiken, Werkbank

Wir Informatiker haben es einfach. Ein Labor ist für uns meistens ein Stück Netz mit ein paar Rechnern dran, oder heute oft nur noch ein einziger Rechner mit ein paar virtuellen Maschinen drauf. Viel kann da nicht passieren.

In einem klassischen Labor ist das anders. Da gibt es Chemikalien,  Druckbehälter, Krankheitserreger, Strahlung, Elektrizität, Maschinen, Tiere und was man sonst noch braucht, wenn man sich um einen Darwin Award bewirbt.

Die American Industrial Hygiene Association (AIHA) hat einen Leitfaden mit vielen Beispielen zusammengestellt. Eine Kostprobe:

Don’t Store Dry Ice in Walk-in Refrigerators

Walk-in refrigerators (or „cold boxes“) typically recirculate the chilled air in their interiors, so storing volatile materials in them can pose special hazards—any gases or vapors may concentrate inside over time.

Recently on the X Campus, a walk-in refrigerator was used to store dry ice. (…)  The dry ice, of course, gave off carbon dioxide (CO2) gas as it sublimed, causing the refrigerator to build up CO2 levels of 12,000 parts per million (ppm)!

Zu einigen der beschriebenen Fälle gibt es auch Fotos.

Unterschätzte Risiken: Wissenschaft, Zufall und CYA

Angst, Forschung, Nebenwirkung, Propaganda, Unterschätzte Risiken, , , , ,

Die NZZ von gestern (2009-05-15) erklärt uns die Mechanismen, die vom Gedankenspiel eines Wissenschaftlers zur landesweiten Panik mit einigen Hundert Todesopfern führen können. Als Beispiel dient die Schweinegrippe – nicht jene aktuelle, die gerade in den Randspalten versickert, sondern die von 1976. Damals kam es in den USA zu einer großen Impfkampagne. Sie war wahrscheinlich unnötig, hatte aber vereinzelt Nebenwirkungen , die sich zu einigen Hundert Toten summierten.

Neben einigen Zufällen lagen die Ursachen im CYA-Bias von Behörden und Politik, der auf wilde Spekulationen eines Wissenschaftlers traf. Wobei sich die Spekulation im Rahmen des Zulässigen bewegte. Zeitreihenanalyse nennt man es, wenn man nach Mustern in einem Zeitverlauf sucht und diese in die Zukunft projiziert. Das kann interessant sein, aber zu mehr als zur Hypothesenbildung taugt es kaum. Schlecht, wenn es alle für bare Münze nehmen, nur weil es in der Zeitung steht und den Stempel Wissenschaft trägt.

Das Fazit des Artikels:

»Angesichts der unheilvollen Dialektik von voreiliger Aufregung und nachträglicher Beschwichtigung scheint eine zentrale Aufgabe der Zukunft darin zu bestehen, nicht nur exzellente Universitäten zu schaffen, sondern auch besonnene Wissenschaften zu ermöglichen, die zur Absicherung ihrer Erkenntnisansprüche keiner Mobilisierung von Ängsten bedürfen.«

(NZZ: Unbezwungene Ungeheuer, Die Schweinegrippe und die Konjunkturen des Schrecklichen)

Wo Geld ist, da ist auch Gefahr

Forschung, Geschäft, Nebenwirkung, Propaganda, Risiko

»Falls ich übrigens morgen ein Institut zur Bekämpfung der öffentlichen Gesundheitsgefährdung durch Igelbisse gründe und dieses Institut mit zehn Planstellen ausrüste, dann werde ich jedes Jahr eine Studie bekommen, die vor der wachsenden Gefahr durch aggressive Igel warnt. Alles andere wäre ja auch ziemlich dumm von den Mitarbeitern des Institutes.«

(Harald Martenstein im Zeit-Magazin)

How much security do we gain from Trusted Computing?

English, Forschung, IT, Security, Testlabor, Trusted Computing, , , , , , ,

My colleague Jan is going to present our paper Attacking the BitLocker Boot Process at Trust 2009 (Oxford, 6th – 8th April). The paper is an improved version of the draft we presented at ETISS.

BitLocker is the volume encryption function built into recent versions of MS Windows. It is capable of using a Trusted Platform Module if the PC has one. Our paper describes five attack scenarios that using the TPM does not prevent from succeeding. Some are based on particular features of BitLocker while others rely on the implementation of authenticated booting that is currently used in Trusted Computing.

All five scenarios seem suitable for targeted attacks and require that the attacker can access the target system twice. Executing such attacks is thus roughly as complex as installing a hardware keylogger in the system and returning later to retrieve the sniffed password along with the encrypted data – or just the machine in a condition that permits decrypting the data on disk.

What makes our attacks interesting is the fact that they can be implemented in software. Ideally, Trusted Computing should reliably prevent such attacks from succeeding. However, a TPM does not prevent software from being modified. The TPM only compares measured states with stored reference data. This leaves several holes. For instance one can temporarily modify software and later restore the reference state, or modify boot components before the reference state is determined and stored inside the TPM. While such actions are useless in an opportunisitc attack where the attacker just grabs an unattended machine unprepared, a dedicated attacker might take advantage of them.

Update 2009-12-03: There is a more comprehensive explanation in a later post.

112 €

Datenschutz, Geschäft, Preisschild, Security, Zahlenspiele, , ,

Der Schaden durch einen Angriff und der Gewinn des Angreifers sind weitgehend unabhängig voneinander. Dass ein Datensatz 57 Cent kostet, sagt deshalb wenig über den Schaden aus, den eine Datenpanne verursacht. Der ist vielleicht viel größer:

»Die durchschnittlichen Kosten einer Datenpanne lagen demnach in Deutschland 2008 bei etwa 112 € pro einzelnem Datensatz. Die Gesamtkosten einer Datenpanne beliefen sich bei den von Ponemon untersuchten Firmen stets im 6-7stelligen Bereich pro Ereignis.«

(Blog zur IT-Sicherheit:
Gibt es eine Rendite der IT-Sicherheit?)

Was heißt das nun? Steht dem Angreifer ein Hebel zur Verfügung, wenn er es vor allem auf den Schaden und nicht auf seinen Nutzen abgesehen hat? Oder dient dieser Hebel vor allem dem Verteidiger, der nur den geringen Gewinn des Angreifers unattraktiv machen muss, um einen viel höheren Schaden zu verhindern?

Alles, was hinkt

IT, Security, Studien,

Heise zitiert Hartmut Isselhorst, Leiter der BSI-Abteilung „Sicherheit in Anwendungen, kritischen Infrastrukturen und in Netzen“, zur Veröffentlichung des BSI-Lageberichts zur IT-Sicherheit:

»In der IT seien in Analogie zur Straßenverkehrsordnung nicht nur Sicherheitsgurte, sondern auch eine regelmäßige technische Überwachung nötig. Wer dazu selbst nicht in der Lage sei, könne zum Beispiel einen Sohn damit beauftragen.«

(Heise:
BSI-Lagebericht: IT braucht Sicherheitsgurte und TÜV)

Und jetzt überlegen wir alle zusammen, an welcher Stelle die Analogie zusammenbricht. Tipp: es sind zwei Sätze und wenn ich Mutti eine Plakette aufs Nummernschild ihrer roten Rennsemmel klebe, gültet das nicht.

Radfahren ist ja sooo gefährlich

Geschäft, Risiko, Safety, Stammtisch, Studien, Zahlenspiele, , ,

Woher kommt die gern nachgeplapperte Behauptung, Radfahren sei besonders gefährlich? Unter anderem von Leuten, die es besser wissen müssten. Das zeigt uns Ben Goldacre im Guardian sowie in seinem Blog Bad Science. Ihm ist eine Pressemeldung in die Hände gefallen, die einen dramatischen Anstieg der Fahrradunfälle behauptet. Diese Behauptung ist vorurteilskompatibel, aber völliger Blödsinn, wie er nachvollziehbar zeigt. Quelle der Desinformation: ein Versicherungsunternehmen.

Bagatellhelme aus Styropor

Propaganda, Risiko, Safety, Zahlenspiele, , ,

Ein wiederkehrendes Thema in (Fahrrad-)Helmdiskussionen ist dei Frage, wogegen genau die real existierenden Helme eigentlich schützen. Helmskeptiker behaupten, nach der Konstruktion und den Prüfstandards könne so ein Helm nur gegen Bagatellverletzungen helfen, also genau dann, wenn man eigentlich keinen Helm braucht, weil man auch ohne Hilfe überlebt.

Mit zunehmender Faszination beobachte ich nun, dass solche Argumente Eingang finden in die Berichterstattung der Mainstream-Medien, zumindest wenn es um Skihelme geht. So schreibt Focus Online: Bagatellhelme aus Styropor weiterlesen

Nüchtern gerechnet

Erich fragt, Risiko, Wahrnehmung, , ,

Wer rational über Risiken urteilen möchte, der muss auch in den sauren Apfel beißen und über seine Lebenserwartung nachdenken. Das fällt nicht leicht, kann aber Fehlinvestitionen vermeiden:

»Außerdem sei Riester für Menschen, die wegen gesundheitlicher Probleme von einer niedrigen Lebenserwartung ausgehen müssen, nicht unbedingt eine Empfehlung. Denn aufgrund der Kalkulation der Anbieter lohne sich ein Vertrag häufig erst, wenn monatliche Auszahlungen bis ins hohe Alter erfolgen, hat Nauhauser ausgerechnet.«

(Frankfurter Rundschau:
Kapitalanlage: Die sechs größten Finanzirrtümer)

Kompliziert wird die Sache, wenn man dabei nicht nur vorgegebene Faktoren – genetische Disposition, Verhalten in der Vergangenheit, etc. – berücksichtigt, sondern auch solche, die man selbst noch beeinflussen kann. Wo liegt, zunächst nur wirtschaftlich betrachtet, das Optimum, wenn man einen Geldbetrag auf die eine oder andere Weise investieren kann und man damit zum einen seine Lebenserwartung beeinflusst, zum anderen seine wirtschaftliche Lage bis zum Lebensende? Einfacher gefragt, steht man wirklich schlechter da, wenn man sein Vorsorge-Budget komplett in Zigaretten, Schnaps und Risikosport investiert? Was sagt die Wirtschaftswissenschaft dazu?

Unterschätzte Risiken: alte Weihnachtsbäume

Erich fragt, Unterschätzte Risiken, ,

An diesem Beispiel können wir mal Ursachenanalyse und die Bewertung von Schutzmaßnahmen üben. In Friedberg hat ein Brand ein Haus zerstört und drei Menschen getötet:

»In den Flammen starben nach Polizeiangaben zwei Frauen im Alter von 87 und 63 Jahren. Ein 63-jähriger Mann erlag im Krankenhaus seinen schweren Verletzungen.
(…)
Vermutlich führte ein brennender Weihnachtsbaum zu dem Unglück, wie ein Polizeisprecher mitteilte. Die alten Leute (…)  hätten (…) versucht, die Weihnachtskerzen noch einmal anzustecken. Dabei sei der völlig ausgetrocknete Baum regelrecht explodiert. Der Sachschaden beträgt nach ersten Schätzungen mindestens 300.000 Euro.«

(HR: Großeinsatz: Weihnachtsbaum explodiert – drei Tote)

Was waren die Ursachen und wie haben sie zusammengewirkt? Welche Maßnahmen hätten das Unglück verhindert und wie wirksam wären sie gewesen? Welche Maßnahmen könnten einander dabei sinnvoll ergänzen? Was wäre von einer Brandschutzmaßnahme zu halten, über die lediglich bekannt ist, dass sie nach einer Erhebung in der Notaufnahme eines Krankenhauses in soundsoviel Prozent der betrachteten Fälle Verletzungen lindert? Welche Schutzmaßnahmen würden Sie empfehlen und welche für verzichtbar halten? Warum?

Unterschätzte Risiken: Umweltminister

Angst, Forschung, Regierungsviertel, Unterschätzte Risiken, ,

Von Wissenschaft, Technik und Rationalität halten Ökochonder bekanntlich nicht viel. Jeder Fortschritt ist ihnen suspekt, sie träumen lieber religiös vom Weltfrieden und einem Leben im Einklang mit der Natur, was auch immer das bedeuten mag. Dem muss sich ein Umweltminister anscheinend anpassen:

»Eine Expedition des deutschen Forschungsschiffs Polarstern im Südpolarmeer sorgt für Streit in der Bundesregierung. Ein geplantes Experiment wurde am Dienstag ausgesetzt, nachdem Umweltminister Sigmar Gabriel (SPD) das von Annette Schavan (CDU) geleitete Forschungsministerium aufgefordert hatte, das Projekt „unverzüglich zu stoppen“«

(sueddeutsche.de:
‚Polarstern“ – Ministerstreit stoppt Forschungsschiff)

Im Experiment geht es um die Düngung des Meeres zur Anregung des Algenwachstums.

Gut, dass wir heute keine Ketzer mehr verbrennen, sonst könnten die mit ihrem Forschungsschiff gleich bleiben, wo die Algen wachsen.

Ergänzung: Im F.A.Z-Blog gibt es einen detailreichen Text zum Thema.

Vorsicht bei der Risikoschätzung

Risiko, Zahlenspiele,

Aus veröffentlichten Statistiken über Krankheiten, Unfälle, Katastrophen oder andere Schadensereignisse kann man schnell und bequem Risikoschätzungen gewinnen. Die Eintrittswahrscheinlichkeit ergibt sich aus der Statistik, und über die Schadenshöhe kann man meistens plausible Annahmen machen. Die Ergebnisse werden nicht perfekt und über alle Zweifel erhaben sein, aber zur Groborientierung genügen sie schon.

Allerdings kann die Schätzung auch gehörig in die Hose gehen, wenn man den Kontext nicht kennt. Diese Angabe zum Beispiel klingt dramatisch:

»Die Zahl der Pilzinfektionen beim Menschen ist in den vergangenen 20 Jahren extrem gestiegen. …«

War früher alles besser? Schlägt die Natur zurück? Werden wir alle sterben? Das Gegenteil ist der Fall. Die gestiegene Zahl der gefährlichen Pilzinfektionen zeigt eine Risikoverringerung an:

»… Grund dafür ist vor allem die Zunahme immungeschwächter Patienten der Krebs- und Transplantations-Medizin.«

(beide Zitate aus: Pilzerkrankungen: Infektion mit Aspergillus fumigatus oft tödlich, Welt Online)

Der Anstieg der Infektionen lässt sich also dadurch erklären, dass die Medizin dem Pilz mehr potenzielle Opfer verschafft. Diese potenziellen Opfer sind Menschen, die früher an etwas anderem gestorben wären. Jetzt bleiben sie am Leben und ein Teil davon fängt sich während der Behandlung eine Infektion ein. Das ist tragisch im Einzelfall, aber positiv in der Gesamtsicht. Man merkt es nur nicht gleich, wenn man die Zahlen ohne Kontext sieht.

Noch einmal Skihelme

Risiko, Safety, Wahrnehmung, Zahlenspiele,

Dass man über Helme auch vernünftig schreiben kann, zeigt uns neben der FAZ auch die Zeit. Im Reiseteil der aktuellen Ausgabe findet sich unter dem Titel Alpine Raserei ein feiner Artikel, der sich nicht in platten Parolen (»wichtigstes Körperteil schützen«), wilden Analogieschlüssen (»Sicherheitsgurt«) und Muttiargumenten (»Guck mal, der Mann auf dem Motorrad da trägt auch einen Helm.«) ergeht. Sondern erst mal die richtigen Fragen stellt: was wissen wir eigentlich, wie hoch ist das Risiko, von welchen Faktoren wird es noch beeinflusst, und welchen Effekt können wir eigentlich erwarten? Wer solche Fragen stellt, der schafft es auch, das Risiko als handhabbaren Wert darzustellen:

»Doch der Prozentsatz der Zusammenstöße sei in den letzten Jahren gleich geblieben, sagt der ÖSV. Er rechnet vor, dass auf 1000 Skitage nur 1,3 Verletzungen kommen. Das heißt, wer zwei Wochen jährlich Ski fährt, hat durchschnittlich einmal in etwa 55 Jahren Pech.«

Und wie wir bereits wissen, hat man sich, wenn dieser Fall eintritt, mit hoher Wahrscheinlichkeit etwas anderes gebrochen als den Kopf.

Skihelmzahlen (und Seitenhiebe)

Risiko, Safety, Zahlenspiele, , ,

Während die Redaktion der PseudoScienceBlogs ihren festen Standpunkt in der zum Glaubenskrieg erklärten Helmfrage betont, zeigt uns die gute alte Presse, wie eine rationale Sicherheitsbetrachtung aussieht. FAZ.NET informiert uns sachlich darüber, dass 4,2 Millionen Deutsche regelmäßig Ski fahren, dass sich in der letzten Saison 45.000 verletzt haben und dass 6.500 stationär behandelt werden mussten, die meisten davon wegen anderer Verletzungen. Wir erfahren auch, dass Kopfverletzungen nur zehn Prozent der Verletzungen ausmachen, aber nach Expertenansicht besonders gefährlich sind. Da bleiben noch allerlei Fragen offen, aber die Zahlen gestatten zumindest eine grobe Einordnung des Risikos. Leider geistern auch die 85% Wirksamkeit durch den Artikel, die überall auftauchen, wo es um Helme geht, und von denen wohl keiner mehr weiß, wo sie eigentlich herkommen. Aber die bringt der befragte Experte ins Spiel, dagegen kann ein Journalist wenig tun. Wer brauchbare Informationen sucht, liest also besser weiterhin Zeitung und keine hippe Blogillustrierte.

Publikationsrituale mit beschränkter Wirkung

Begriffe, Forschung, Werkbank, , ,

Wer die Wissenschaft als Totschlagargument missbrauchen möchte, der stützt sich gerne auf wissenschaftliche Publikationsrituale. Der jeweilige Gegner möge doch bitte erst mal kollegenbegutachtete Studien vorweisen, heißt es dann, und alle anderen Betrachtungen seien unwissenschaftlich und wertlos. Umgekehrt kann man mit ebensolchen Studien wedeln, die, gleich welcher Qualität sie sein mögen, das veredelnde Siegel tragen.

Das ist in dieser Form nur leider Bullshit. Die wissenschaftlichen Publikationsrituale sind ohne Zweifel sinnvoll und nötig. Aber man darf ihre Wirkung nicht überschätzen. Es handelt sich nämlich bei der Kollegenbegutachtung nicht um eine Qualitätsprüfung, sondern um einen Spamfilter. Was durchkommt, ist noch lange nicht richtig. Das haben jüngst wieder einmal ein paar Spaßvögel gezeigt, indem sie ein Paper aus dem Paper-Generator zu einer Konferenz einreichten. Es wurde angenommen. Was es durch den Review-Prozess schafft, kann also trotzdem Unsinn sein.

Und bevor jetzt jemand nach Ausreden sucht, der Impact Factor einer Publikation ist auch kein zuverlässiges Qualitätsmerkmal, und in der Informatik sind Konferenzen so wichtig wie in anderen Wissenschaften die Journale.

Ergänzung: Michael Nielsen erklärt in seinem Blog drei Mythen über die Kollegenbegutachtung. In den Kommentaren dort findet man außerdem einen Link auf den Artikel: We Are Sorry to Inform You … (PDF), der uns die Gutachterkommentare zu berühmten und bedeutenden Aufsätzen aus der Informatik zeigt. So etwas ähnliches gibt es gibt es auch für die Wirtschaftswissenschaften.

(nach einem Hinweis von Reproducible Ideas, das sich damit einen Platz in der Blogroll verdient hat)

Abschlussarbeiten für angehende Informatiker und -innen

Forschung, IT, Security, Testlabor, , , , , ,

Kurz vor Weihnachten noch etwas Eigenwerbung. Ich suche Studentinnen und Studenten, die ihre Abschlussarbeit zu einem Thema aus der IT-Sicherheit schreiben möchten. Bei mir dreht sich alles ums Testen, Analysieren und Bewerten mit dem Ziel, mehr über die Sicherheitseigenschaften einer Software oder eines Systems zu erfahren. Die Themen:

 

  • Komponententest auf Sicherheitseigenschaften
  • Gewichtete Taint-Analyse
  • Browsererweiterungen für Sicherheitstests
  • Entwicklung eines Modellierungswerkzeugs zur Analyse von IT-Systemen
  • Schwachstellen in Sicherheitssoftware
  • Bestimmung der Angriffsfläche von Webanwendungen

Wer mit diesen Stichworten etwas anfangen kann, schaue sich die Themenskizzen an.