Archiv der Kategorie: Forschung

Wichtigtuer

Angst, Preisschild, Risiko, Safety, , ,

Wovor die Helmzwangdebatte geflissentlich ausweicht, ist die Risikoanalyse, die dem Gezänk schnell ein Ende machte. Radfahren ist keine besonders gefährliche Tätigkeit. Das Risiko, dabei an einer Kopfverletzung zu sterben, bleibt gering. Erst in der Summe über die Bevölkerung wird dieses Risiko überhaupt sichtbar − und liegt in derselben Größenordnung wie jenes von tödlichen Badeunfällen. Das eine wie das andere Übel kann man getrost als Schicksalsschlag einordnen, tragisch für den, dem er zustößt, aber weit davon entfernt, die Bevölkerung zu dezimieren. Analoge Betrachtungen kann man über die Verletzungsrisiken anstellen.

In der Aggregation wird auch der ganze wirtschaftliche Irrwitz einer Helmpflicht deutlich. Kauften wir nur zu jedem zweiten der 70 Millionen Fahrräder in Deutschland einen Helm für günstige 20 Euro, so kämen stattliche 700 Millionen Euro Kosten zusammen. Eine zweifelhafte Investition, wenn man nüchtern rechnet und das reale Schutzpotenzial ansetzt, das die kolportierten Wunderwirkungen weit untertreffen dürfte. So ein Fahrradhelm schützt nämlich nicht einmal den halben Kopf und das am besten bei Stürzen, die man auch ohne Helm leicht überlebt.

Radfahrer handeln rational, wenn sie die mit Helmen beeinflusste Risikokomponente im Rauschen der allgemeinen und insgesamt geringen Lebensrisiken verschwinden sehen und auf besondere Schutzausrüstung verzichten. Unredlich hingegen handelt, wer solche Risikobetrachtungen unterlässt und die Staatsmacht als Bekleidungspolizei missbrauchen möchte. Wer sich mit Helm wohlfühlt, mag einen tragen. Einer Pflicht dazu fehlt jedoch jede sachliche Rechtfertigung.

P.S.: Kann mal jemand im Koran nachgucken, ob ein Fahrradhelm als Kopftuch durchgeht? Das wäre zwar gemogelt, gäbe der Diskussion aber einen ganz anderen Anstrich.

28C3: CFP for 28th Chaos Communication Congress

English, Events, Forschung, Hackmeck

Und noch ein CfP:

The Chaos Communication Congress the annual four-day conference organized by the Chaos Computer Club (CCC) in Berlin, Germany. First held in 1984, it has since established itself as “The European Hacker Conference” attracting a diverse audience of thousands of hackers, scientists, artists, and utopists from all around the world.
(…)
The deadline for submission is October 11th, 2011 Midnight (23:59) UTC. Notification of acceptance will be sent by e-mail on November 20th, 2011 the latest. However, you may very well get your notification earlier than that if needed.
– October 11th, 2011 (Midnight UTC) Submission due
– November 20th, 2011 (Midnight UTC) Final notification of acceptance (or earlier)
– December 27th – 30th, 2011 Chaos Communication Congress

Viel Lärm um fast nichts

Propaganda, Unterwegs, Zahlenspiele

Was fühlen wir uns alle verfolgt, wenn wir nach Amerika reisen, raunt es doch überall, man werde dort unsere Latops an der Grenze untersuchen und unsere Daten kopieren. Plausibel war diese Bedrohung nie, denn es gab kaum belegte Fälle. Seth Schoen bestätigt diesen Eindruck nun mit konkreten Zahlen:

»Zwischen Oktober 2008 und Juni 2010 soll es nur 6.500 Durchsuchungen dieser Art gegeben haben. Das waren etwa zehn pro Tag, die sich auf 327 Grenzübergänge verteilten. Die Hälfte der Durchsuchungen betraf dabei US-Bürger, es ist also kein alleiniges Problem für Auswärtige.«

Warum der Golem-Artikel erst mal langatmig hirnverbrannte Tipps gibt, wie man gegen die Nichtbedrohung entgehen könne, bevor er endlich zur Nachricht kommt, weiß nur die Redaktion. Schrieb’s ein Quereinsteiger mit mehr Ahnung von IT als von Journalismus? Konnte jemand nicht aus seiner Haut und musste seine Vorurteile deswegen über die Fakten siegen lassen? Handelt es sich um einen schweren Fall von Service? Oder war die Wahrheit einfach nicht sexy genug? Die rhetorische Frage über dem Golem-Artikel – Wie man die US-Grenze mit seinen Daten überschreitet – hat für alle praktischen Belange eine einfache Antwort: nicht anders als mit einem Taschenbuch, einem Faltrad oder einer Badehose im Gepäck.

(Dank an Tim K für den Link zum Artikel)

Zwei lesenswerte Rants

Forschung, IT, Security

Die aktuelle Ausgabe des IEEE Security and Privacy Magazine enthält zwei schöne Rants, beide zum Thema Realitätssinn. Leider liegen die Artikel hinter einer Paywall, ich empfehle sie trotzdem.

Ian Grigg und Peter Gutmann beschäftigen sich in The Curse of Cryptographic Numerology mit der vielfach anzutreffenden einseitigen Fokussierung auf Schlüssellängen unter Vernachlässigung realer Bedrohungen und praktischer Aspekte. Sie argumentieren, dass das nicht nur am Problem vorbeigeht, da Kryptographie selten gebrochen und häufig umgangen wird, sondern auch den pragmatischen Einsatz mit nicht idealen, aber im Anwendungskontext ausreichenden Schlüssellängen behindert.

In Vulnerability Detection Systems: Think Cyborg, Not Robot lässt sich Sean Heelan über akademische Arbeiten zu Sicherheitstestverfahren aus und attestiert ihnen Irrelevanz in der Praxis. Er nimmt kein Blatt vor den Mund und empfiehlt den Wissenschaftlern, sich doch bitte mal mit aktuellen Sicherheitsbugs, Testverfahren und Exploit-Methoden zu beschäftigen.

Unterschätzte Risiken: Politik

Geschäft, Regierungsviertel, Zahlenspiele

Wenn’s eine Privatbank wäre, könnten wir jetzt über die gierigen Spekulanten herziehen:

»Die EZB ist momentan mit dem 23-fachen ihres Eigenkapitals nahezu so gehebelt wie Lehman Brothers in den dunkelsten Zeiten (damals das 30-fache). (…) Die EZB hat aber nur 82 Mrd. Euro Eigenkapital und knapp 1900 Mrd. Euro Papiere auf ihrer Bilanz. Sie unterliegt keiner Aufsicht führenden Behörde.«

(Welt Online:
Euro-Zone: Griechen-Anleihen sind ein Fiasko für die EZB)

Ist aber keine, sondern das, was herauskommt, wenn wir nicht auf unsere Politiker aufpassen.

PIN-Gambit

Rechtsabteilung, Security, So geht das, Testlabor, Vulnerability, , , , ,

Wenn die Bankkarte weg ist und kurz darauf Geld vom Konto verschwindet, dann treffen Sie Ihre Bank wahrscheinlich bald vor Gericht. Sie werden Ersatz fordern, die Bank wird ihn verweigern. Für solche Situationen sind Gerichte da, aber wer dort Erfolg haben will, braucht die richtige Strategie. Die Bank hat eine Strategie,  sie wird das PIN-Gambit spielen. Das PIN-Gambit geht so: Die Bank behauptet, ihre Systeme seien sicher, das Abheben von Bargeld am Automaten nur mit Kenntnis der zugehörigen PIN möglich und diese PIN nicht aus der Karte zu ermitteln. Folglich weise eine erfolgte Abhebung kurz nach dem Diebstahl darauf hin, dass der Täter die PIN gekannt haben müsse. Da die Vertraulichkeit der PIN durch den Kunden zu gewährleisten sei, müsse dieser seine Sorgfaltspflichten verletzt und die PIN irgendwo aufgeschrieben haben. Klingt bizarr, aber Richter akzeptieren so etwas und nennen es Anscheinsbeweis.

Als Prozessgegner können und müssen Sie den Anschein erschüttern, aber das ist nicht leicht, denn dazu bedarf es konkreter Beweise. Vage Schilderungen denkbarer anderer Abläufe genügen nicht. Das aber ist sehr schwer, auch wenn Sie sich korrekt verhalten und die PIN weder auf der Karte noch sonst irgendwo vermerkt haben. Die Karte ist weg, fällt als Beweis also aus. Die technischen Systeme der Bank sind vielfältig und komplex, eine gründliche Analyse auf Sicherheitsmängel könnte mehrere Sachverständigenjahre verschlingen. Wenn Sie versuchen, den Anscheinsbeweis der Bank zu erschüttern, nehmen Sie das Gambit an. Das können Sie tun, aber dann wird die Sache mühsam. Im weiteren Verlauf wird sich alles um die Frage drehen, auf welche Weise der Täter an die PIN gelangt ist, und die Beweislast liegt bei Ihnen.

Stattdessen könnten Sie direkt zum Gegenangriff übergehen. Dazu rufen Sie Vertreter der Bank in den Zeugenstand und stellen ihnen Fragen:

  • Welche PIN wurde bei den missbräuchlichen Abhebungen verwendet?
  • Erfolgte die PIN-Prüfung anhand des Magnetstreifens oder unter Verwendung des Kartenchips?
  • Woran erkennt die Bank, wenn sie eine Buchung ausführt, dass die richtige PIN eingegeben wurde?
  • Falls die Abhebung am Automaten eines anderen Instituts erfolgte, woher weiß die Bank, dass dort alles mit rechten Dingen zugeht? Woran erkennt die Bank, dass dort eine korrekte PIN-Prüfung erfolgte?
  • Führt die Bank Aufzeichnungen über Fehlversuche bei der PIN-Eingabe? Welche Aufzeichnungen liegen der Bank für den fraglichen Zeitraum vor? Sind davon alle Anwendungen des Chips erfasst, die eine PIN-Prüfung erfordern oder ermöglichen?
  • Welche Anwendungen oder Funktionen des Kartenchips erfordern oder ermöglichen eine PIN-Prüfung? Verwenden diese Anwendungen alle dieselbe PIN? Verwenden sie einen gemeinsamen Fehlversuchszähler?
  • Gibt es technische Möglichkeiten, die PIN oder den Programmcode des Kartenchips zu verändern? (Tipp: Ja, die gibt es.)
  • Gibt es eine technische Möglichkeit, eine nach mehrfacher Fehleingabe der PIN gesperrte Karte zu entsperren?
  • Wird eine Karte nach Ablauf der Geltungdauer ausgetauscht, stellt die Bank dann eine neue Karte mit derselben PIN aus? Wie ist das technisch realisiert? Wo werden die erforderlichen Informationen aufbewahrt?

    • Um den Prozess zu gewinnen, genügen diese Fragen vielleicht nicht. Eine gute Grundlage für das Gutachten eines Sachverständigen liefern sie allemal, und vor allem ändern sie den Blick auf das Problem.

    * * *

    Wenn Sie eine Rechsberatung benötigen, konsultieren Sie bitte einen Rechtsanwalt Ihrer Wahl.

    Unterschätzte Risiken: Copyright

    Forschung, Geschäft, Unterschätzte Risiken, ,

    Matt Blaze hat die Nase voll von Open-Access-Verhinderern:

    »So from now on, I’m adopting my own copyright policies. In a perfect world, I’d simply refuse to publish in IEEE or ACM venues, but that stance is complicated by my obligations to my student co-authors, who need a wide range of publishing options if they are to succeed in their budding careers. So instead, I will no longer serve as a program chair, program committee member, editorial board member, referee or reviewer for any conference or journal that does not make its papers freely available on the web or at least allow authors to do so themselves.«

    (Matt Blaze: Shaking Down Science)

    Security as a classification problem

    Classifier Security Model, English, Security, Unterwegs, Video, , , ,

    (video, via)

    Security requires that one can tell the bad guys and the good guys¹ apart. Security is thus, at least in part, a classification problem. Different approaches to security use different typs of classifiers. The Israeli profiling described in the video above essentially implements one particular decision tree. There is nothing particularly good or bad about this particular tree compared to others, or to entirely different ways of doing the job. What matters in the first place is that the classifier is either correct—it never confuses good and bad—or that it is at least biased in the right direction—it may misclassify good guys as bad guys², but not bad guys as good guys. A secondary consideration is efficency. The Isreali approach to airport security optimizes efficiency for a particular threat model.

    ¹ Or other entities. Security classification may work on objects, actions, situations, or really any combination of features that might matter.

    ² Assuming the enforcement stage of the mechanism does not cause permanent damage to entities classified as bad.