Archiv der Kategorie: Forschung

Lernung

Erich fragt, Gadget, IT, Unterwegs, , , , ,

Fahrradtacho aus’m Baumarkt. Der Kilometerzähler hat 5 Stellen und kann das Komma nach rechts shiften, wie man nach 100 (? – zu lange her) und 1000 Kilometern sieht. Ein paar Jahre später und kurz vor dem Verenden der Batterie erreichen Zähler, Rad und Fahrer – übrigens unfallfrei – den 10.000ten Kilometer, und was passiert? Statt die letzte Nachkommastelle zu recyclen, stürzt das Ding mit einer blinkenden 9999.9 einfach ab.

Kann man diese Implementierung rational mit Bugs erklären, oder ist das subtile Sabotage? Und welchen Tacho baut man sich heute ans Fahrrad, wenn man oft nachts fährt und ihn dabei gerne beleuchtet sähe? Zusatzfrage: lohnt es sich, beim Kauf gleich noch einen LED-Scheinwerfer als Ersatz für Halogen mitzunehmen?

Wird das Internet sicherer?

IT, Security, Zahlenspiele,

Vor ein paar Wochen trug ich die Ergebnisse eine spanischen Studie weiter, derzufolge mehr als die Hälfte der privaten PC in Spanien mit Malware verseucht sei. Nun meldet Microsoft Werte in einer ganz anderen Größenordnung:

»Lediglich 0,22 Prozent der PCs in Deutschland sind einer aktuellen Studie zufolge im zweiten Halbjahr 2009 von Schadsoftware wie Viren oder Trojanern befallen worden. Damit liegt Deutschland deutlich unter dem weltweiten Schnitt von 0,7 Prozent. Der Wert sei damit zum dritten Mal in Folge gesunken, teilte Microsoft Chart zeigen am Montag mit.«

(Studie: Weniger Hackerangriffe in Deutschland)

Vielleicht liegt es daran, dass man sich zur Teilnahme ander spanischen Studie erst mal ein Programm von einer Website herunterladen muss, die noch nicht mal SSL kann?

35 Meilen

Regierungsviertel, Safety, Zahlenspiele, , ,

Und so gehen pragmatische Amerikaner mit rauchenden Vulkanen um:

„In den USA zieht man bei einem Ausbruch einfach einen Sperrkreis von 35 Meilen um den Vulkan und geht ansonsten davon aus, dass auch in größerer Entfernung niemand durch die sichtbare Aschewolke fliegt“, sagte indessen ein ranghoher Branchenvertreter, der nicht genannt werden wollte, dem Tagesspiegel. „Die Amerikaner müssen sich über die Europäer totgelacht haben.“

(Tagesspiegel: Flugverbot – die Branche flucht)

60μg/m³

Risiko, Safety, Zahlenspiele, , ,

60μg/m³ betrug die Feinstaubkonzentration, die man am Montag 4 Kilometer über Leipzig maß. [Update: Wenn man von der Seite guckt und ein Pfeil dran ist, kann man diese Konzentration auch sehen.] Der Luftdurchsatz der Triebwerke eines modernen Verkehrsflugzeuges liegt bei etwa 1000 bis 1300kg/s für alle Triebwerke zusammen. Ganz grob überschlagen wiegt ein Kubikmeter Luft ungefähr ein Kilogramm. Das Nebenstromverhältnis ziviler Mantelstromtriebwerke liegt bei 5:1 bis 9:1, das heißt 1/9 bis 1/5 der angesaugten Luft gelangen in die Brennkammer.

P.S.: Die Luftqualitätsrichtlinie der EU erlaubt als Tagesmittelwert höchstens 50μg/m³ bei bis zu 7 Überschreitungen pro Jahr und als Jahresmittelwert 20μg/m³.

P.P.S.: Das DLR schreibt zum Messflug vom Montag:

»Die gemessenen Konzentrationen von großen Partikeln in den Vulkanschichten lagen bei Werten, die typisch in Sahara-Staubschichten beobachtet werden. Sie lagen jedoch niedriger, als die Konzentrationen von großen Partikeln, die in einer verschmutzten bodennahen atmosphärischen Grenzschicht gemessen werden.«

(Bericht zum Falcon Messflug am 19. April 2010)

Die Zusammenfassung des Berichts sagt nach meinem Verständnis: der Staub war messbar, aber nicht ungewöhnlich.

P.P.P.S.: Erste Schätzungen drei Tage vor dem Messflug lagen um eine Größenordnung höher bei etwa 600 bis 1000μg/m³. Das wären dann — vielen Dank an die rechnenden Leser — anderthalb bis zwei Pfund Staub in der Stunde.

Keksfontäne

Datenschutz, Forschung, IT, Sicherheitshinweise, , , ,

Die einen haben Werbe- und Cookiefilter, die anderen interessiert es nicht. Was beim Besuch einer Website vor sich geht und wer dabei zuguckt, merkt deshalb kaum jemand. Bis dann mal ein Anlass kommt, mit einem jungfräulichen Browser auf eine Website zu schauen und dabei Cookies zu zählen, weil man’s für eine Metrik braucht, über die man gerade ein Paper schreibt. Der Untersuchungsgegenstand ist last.fm und nach wenigen Klicks sieht die Cookieliste so aus:

Firefox-Einstellungen mit den Cookies, die ein Besuch auf last.fm dort hinterlassen hat

Bereits der erste Seitenabruf liefert eine ganz ansehnliche Menge von Fremdcookies:

  • ice.112.2o7.net
    • s_vi
  • ad.doubleclick.net
    • test_cookie
  • googleads.g.doubleclick.net
    • id
  • lastfm.ivwbox.de
    • srp
    • i00
  • b.scorecardresearch.com
    • UID
  • dw.com.com
    • XCLGFbrowser .com.com

Klickt man dann noch ein wenig herum und hat dabei das Pech, ein Werbebanner von adrolays.de zu sehen, werden es noch viel mehr. Das Banner ist dann nämlich ein Metabanner, in dem mehrere Stück Werbung sinnlos(*) herumrotieren. Damit fängt man sich diese Cookies ein:

  • a.adrolays.de
    • RVS
    • RVSS
  • tracking.quisma.com
    • gmv30624
    • gmv31626
  • banners.webmasterplan.com
    • ASP.NET_SessionId
    • affili_4227pw
  • partners.webmasterplan.com
    • ASP.NET_SessionId
    • affili_0
    • affili_2906
  • http://www.active-srv02.de
    • apv_1
  • dslshop.vodafone.de
    • PV
  • http://www.vodafone.de
    • oshop
  • shop.vodafone.de
    • oshop
  • ad.zanox.com
    • zttpvc
    • zptpvc
  • ads4unitymedia.de
    • UM_chan_perm
    • UM_chan_temp
  • zx.alice-dsl.de
    • ALICA_HTB

Mit jeder Cookie-Quelle hat mein Browser unterwegs wenigstens einmal geredet. Kein Wunder, dass Werbeschleudern als Verbreitungsvektor für Schadsoftware immer beliebter werden (guckst Du Beispiel). Man muss ja nur irgendeine der 17 aufgezählten Sites hacken und erwischt damit unzählige Nutzer im Netz.

Unter anderem deswegen ist übrigens der gut gemeinte Sicherheitshinweis, man solle „aufpassen“ und sich von dunklen Ecken des Netzes fernhalten, völlig wirkungslos. Es kann einen überall treffen.

—————————-
(*) Irgend etwas wird man sich dabei wohl gedacht haben. Vielleicht so etwas: »Wir sind Scharlatane, aber wir haben das Glück, dass man uns nach der Zahl der Versuche und nicht nach dem Erfolg bezahlt. Warum vermieten wir ein und denselben Bannerplatz nicht einfach mehrfach und zählen den User, der das Banner ignoriert, jedem unserer Kunden einmal vor?« Das ist selbstverständlich nur eine Spekulation.

Unterschätzte Risiken: Hasenpest

Safety, Unterschätzte Risiken, Wahrnehmung, Zahlenspiele

Um Zeckenbisse wird jedes Jahr ein großes Theater gemacht, weil es gegen die dabei selten übertragene Krankkeit FSME eine Impfung zu verkaufen gilt. Um eine Gegend zum Risiko-, ja sogar zum Hochrisikogebiet zu machen, muss die Krankheit dort einfach nur auftreten. Viel weniger Aufregung verursacht die nur wenig seltener vorkommende Hasenpest. Dabei hätte sie es genauso verdient:

»Typischerweise erkranken Jäger. Sie stecken sich beim Häuten und Ausnehmen von Hasen an. Aber auch Forstpersonal und Landwirte sind häufiger betroffen. Man kann sich durch Zecken und Stechmücken, orale Aufnahme von nicht ausreichend erhitztem Hasenfleisch und Inhalation von erregerhaltigem Staub infizieren. Selbst in Oberflächengewässern und Erdboden findet sich der Erreger bisweilen. Das Krankheitsbild ist grippeartig: Fieber, geschwollene Lymphknoten, Kopfschmerzen, zum Teil Geschwüre. Oft wird deshalb eine falsche oder keine Diagnose gestellt.«

(Planckton: Die Hasenpest)

Werden Kreditkarten billiger?

Freundlich zum Nutzer, Preisschild, Security, Sicherheitshinweise, ,

Vielleicht können wir uns langsam von der Vorstellung verabschieden, dass man mit seinen Kreditkartendaten im Netz „vorsichtig“ sein müsse oder die Karte am besten gar nicht benutze. Diese wohlmeinenden Sicherheitshinweise waren zwar schon immer Blödsinn. Eine Kreditkarte ist dazu da, dass man sie benutzt, es gibt wenige Möglichkeiten, dabei Vorsicht walten zu lassen, und beim User ist die Sicherheit ohnehin schlecht aufgehoben. Nun gibt es auch noch Hinweise darauf, dass sich reine Kartendaten ohne PIN für Kriminelle immer weniger lohnen:

»Credit cards are no longer valuable, so criminals now want PIN numbers. Earlier this week, Symantec reported credit card data can sell for as little as six cents in online criminal markets, which consist of „various forums, such as websites and Internet Relay Chat (IRC) channels, which allow criminals to buy, sell, and trade illicit goods and services.“ Verizon reports the value of credit card data at fifty cents, down from a minimum of $10 in mid-2007.

In contrast, Symantec said, bank credentials can sell for $10 or more. Verizon did not disclose a price for PIN data, but said, „the big money is now in stealing personal identification number (PIN) information together with associated credit and debit accounts.“«

(Credit Cards No Longer King in Crime Networks)

Der Artikel scheint schon ein Jahr alt zu sein.

Unterschätzte Risiken: Testdaten

IT, Testlabor, Unterschätzte Risiken,

Die Geschichte endet etwas verworren, aber der Anfang passt als Fallstudie zum Thema produktionssicheres Testen:

»Embarrassed cops on Thursday cited a „computer glitch“ as the reason police targeted the home of an elderly, law-abiding couple more than 50 times in futile hunts for bad guys.

Apparently, the address of Walter and Rose Martin’s Brooklyn home was used to test a department-wide computer system in 2002.«

(Computer snafu is behind at least 50 ‚raids‘ on Brooklyn couple’s home)

Ob in diesem Fall wirklich Testdaten die Ursache sind, kann ich aus der Ferne nicht beurteilen. Plausibel ist es allemal.

Unterschätzte Risiken: Literaturrecherche

English, Forschung, Security, Unterschätzte Risiken, , ,

»There is another questionable use of the word “standard” that is frequently encountered in the literature. After a complicated interactive problem P has been used in a couple of papers, subsequent papers refer to it as a standard problem. The casual reader is likely to think that something that is standard has withstood the test of time and that there’s a consensus among researchers that the assumption or problem is a reasonable one to rely upon—although neither conclusion is warranted in such cases. The terminology obfuscates the fact that the new problem is highly nonstandard.«

(Neal Koblitz and Alfred Menezes: The Brave New World of Bodacious Assumptions in Cryptography)

Parse error: encountered syntax without semantics

Forschung, O-Ton, , , , , , ,

Dazu fallen mir nicht einmal Fragen ein:

»Die Betrachtung der Geschichten, die bei der Konfrontation mit der Atomenergie erzählt wurden, führte zur Herausarbeitung einer polaren Grundspannung zwischen zwei miteinander konkurrierenden Bildern. Das Atom versetzt in diffuse und undurchschaubare Verhältnisse. Da wird geklagt über gesellschaftliche Missstände und eigene Orientierungslosigkeiten. Gefangen in einem diffusen Nebel ist man einer ungeheuren, unheimlichen und zersetzenden Macht ausgesetzt, die man aber selbst geschaffen hat. Man erleidet Ohnmacht an unbestimmbaren Verhältnissen. Als alternative Umgangsweise bietet es sich an, es einmal darauf ankommen zu lassen und die `Bombe zu zünden` und sich der Verwandlungsmächte zu bedienen, die im Atom angelegt sind. Dann will man selbstbestimmt durcheinanderwirbeln und neu ordnen und traut sich zu, sich der ungeheuren Macht selbstbewusst zu bedienen.

Die weitere Analyse offenbarte dann die zugrundeliegende Struktur eines doppelten ambivalenten Verhältnisses. Die Atomenergie ist zum einen eine Bedrohung, zum anderen eine Verheißung: Verwandlung kann Fluch, aber auch Segen sein. Gerade diese Unbestimmtheit will man überwinden, aber man möchte sie auch am Leben erhalten, weil man nur in Abgrenzung von einem beweglichen und unscharfen Hintergrund eigene Formen und Fassungen als konturierte Gestalten erlebt. Im Spannungsfeld zwischen diesen Ambivalenzen muss das Seelische eine Lösung für folgendes Problem finden: Wie kann Seelisches das diffuse Unverfügbare und Unbestimmbare von Verwandlung so behandeln, dass es als verfügbare und bestimmbare Form erfahren und erlebt wird ? – Diese Frage wies auf das seelische Grundproblem des Fesselns und Entfesselns von Verwandlungsmächten hin. Dieses Grundparadox erfährt im konkreten Umgang mit dem Atom eine Lösung in einem Gebot der Gleichzeitigkeit unvereinbarer Gegensätze: Beide Spannungspole müssen sich verwirklichen. Seelisches muss sich eine sinnhafte Position geben zwischen einem Sich-Einlassen auf die unkontrollierbaren aber auch erregend-faszinierenden Erlebensqualitäten unbestimmbarer Verwandlungen und der Notendwigkeit, das Unbestimmte bestimmt zu machen und die Verwandlungsangebote in eine kontrollierte Fassung einzubinden. In diesem grundlegenden Spannungsfeld ließen sich 5 voneinander abgrenzbare Umgangstypen erkennen:

  • Seelisches will Verwandlungsmächte radikal fesseln.
  • Seelisches will Verwandlungsmächte entfesseln, um daran eigene Formen und Fassung und Fesselungskünste zu überprüfen.
  • Seelisches will sich nicht festlegen und distanziert sich, indem es schnell wechselt zwischen Fesselung und Entfesselung.
  • Seelisches träumt von verheißungsvollen Entfesselungen, hat aber Angst vor bedrohlichen Entwicklungen und fesselt deshalb Verwandlungsmächte in absichernden Fassungen.
  • Und schließlich: Seelisches sehnt sich nach radikalen Umbrüchen und möchte Verwandlungsmächte entfesseln, ohne genau zu wissen, wohin die Entwicklung geht.«

(Einleitung zur Diplomarbeit:
Psychologische Untersuchung zum Erleben von Atomenergie)

Oder doch, eine Frage hätte ich: was soll das und warum hat das niemand bemerkt? Es muss doch auffallen, wenn jemand mit seinem Wortschatz Gassi geht (oder wohl eher mit einem Thesaurus). OK, ich habe nach Atomwetter gegoogelt und es deshalb nicht besser verdient, aber trotzdem, irgend jemand muss das ja mit ernster Miene produziert und veröffentlicht haben.

Internetkriminalität in Spanien

Freundlich zum Nutzer, IT, Security, Studien, Zahlenspiele, , , , ,

Das Spanische Instituto Nacional de Tecnologías de la Comunicación (INTECO) hat eine Studie zur Internetkriminalität veröffentlicht. Eine Zusammenfassung erschien am 27.2. in El País. Danach haben 3,8% der spanischen Internetnutzer (920.000 von 23,4 Millionen) schon einmal einen Schaden erlitten; in fast der Hälfte (44,5%) der Fälle lag er unter 100 Euro, in 75% der Fälle unter 400 Euro.

Bemerkte Betrugsversuche ändern das Verhalten der Nutzer in der Regel nicht, weder im E-Kommerz noch im Online-Banking. Sechs von zehn Nutzern haben Vertrauen ins Online-Banking.

Interessant ist die Methodik hinter der Studie. Offenbar versucht das INTECO mit dem Panel eConfianza eine Art Mikrozensus unter den Internet-Nutzern. Dafür hat man die Software iScan entwickelt, die auf den PCs der Panelisten nach Schadsoftware sucht – und in 56,2% der Fälle fündig wurde. Ist die Auswahl repräsentativ, so müssen wir also davon ausgehen, dass die Hälfte der privaten PCs (in Spanien) Malware an Bord hat.

[Vocabulario:

CCTV-Zahlen

Datenschutz, Security, Video, Zahlenspiele, , ,

Ein Artikel von Angela Sasse in der aktuellen CACM (paywalled: Not Seeing the Crime for the Cameras?) liefert Zahlen aus dem Mutterland der Überwachungskamera:

Der Artikel kommt zu dem Schluss, dass CCTV zur Kriminalitätsverhinderung im Wesentlichen nutzlos sei.

Wie verkauft man geklaute Daten an einen Staat?

Datenschutz, Erich fragt, Geschäft, Regierungsviertel, Risiko, Security, ,

Während alle Welt über ethische und rechtliche Fragen des Ankaufs geklauter Daten durch den Staat debattiert, interessieren mich die praktischen Aspekte. Wie fädelt man als Besitzer kompromittierender Daten so ein Geschäft ein, damit die Wahrscheinlichkeit, das verlangte Geld später in Ruhe ausgeben zu können, möglichst hoch wird?

Wir haben auf der einen Seite einen Verkäufer, der im Prinzip irgendwo auf der Welt sitzen und die Daten übers Internet bereitstellen kann. Sein möglicher Abnehmer wird sich jedoch kaum auf eine Lieferung gegen Vorkasse einlassen, was einen beiderseits akzeptierten Prozess für den Austausch erfordert.

Auf der anderen Seite haben wir als Käufer einen Staat mit einer Polizei und Gesetzen, der seine Kosten reduzieren kann, wenn er den Lieferanten nicht bezahlt, sondern ihn auf frischer Tat mitsamt den Daten ertappt. Mit der verlangten Summe dürften sich eine Polizeiaktion, ein Prozess sowie einige Gefängnispersonenjahre ohne Schwierigkeiten finanzieren lassen. Der Käufer ist außerdem international vernetzt, hat also die Möglichkeit, Verhaftungen auch im Ausland zu erwirken.

Als dritter Mitspieler ist ein weiterer Staat im Spiel, der über dieselben Fähigkeiten verfügt und das Interesse verfolgt, das Geschäft zu vereiteln und den Verkäufer seinerseits hinter Schloss und Riegel zu bringen – oder ihn vielleicht auch zur Abschreckung öffentlich einer Geheimdienstaktion zum Opfer fallen zu lassen.

Wie würde man sich als Täter in dieser Situation absichern?

P.S.: Wie ist die ganze Aktion eigentlich Datenschutzrechtlich zu bewerten?

Patchday

Events, Security, Testlabor, Unterwegs, , , ,

Der Geldautomat hat gesagt, meine Karte sei nun wieder gesund. Die Sparkassen haben das Kartenupdate über die Geldautomaten also offenbar laufen und es scheint innerhalb der Sparkassenorganisation auch überregional zu funktionieren. Das ist technisch eh‘ kein Problem, verdient angesichts der organisatorischen Kleinstaaterei aber dennoch ein Lob. Ob die Volks- und Raiffeisenbanken das auch so hinkriegen?

Den Anschluss verloren

Erich fragt, IT, Security, ,

Was kann man heutzutage eigentlich noch mit einem IE (v8) anstellen, dem man Inhalte in die lokale Sicherheitszone legt, also ins Filesystem? Bei aktiven Inhalten, JavaScript und so, fragt er erst mal nach, bevor er sie ausführt. Was würde man statt dessen versuchen?

Warum ich frage? Ich habe hier einen Firefox unter Windows XP, dem irgend jemand beigebracht hat, für bestimmte HTTP-Responses den IE aufzurufen, und zwar so, dass der IE den Inhalt als HTML interpretiert.

Fighting back

English, Forschung, ,

Sherr, M.; Shah, G.; Cronin, E.; Clark, S. and Blaze, M.: Can They Hear Me Now? A Security Analysis of Law Enforcement Wiretaps. CCS’09.

Abstract:

»Although modern communications services are susceptible to third-party eavesdropping via a wide range of possible techniques, law enforcement agencies in the US and other countries generally use one of two technologies when they conduct legally-authorized interception of telephones and other communications traffic. The most common of these, designed to comply with the 1994 Communications Assistance for Law Enforcement Act (CALEA), use a standard interface provided in network switches. This paper analyzes the security properties of these inter- faces. We demonstrate that the standard CALEA interfaces are vulnerable to a range of unilateral attacks by the intercept target. In particular, because of poor design choices in the interception architecture and protocols, our experiments show it is practical for a CALEA-tapped target to over- whelm the link to law enforcement with spurious signaling messages without degrading her own traffic, e ectively preventing call records as well as content from being monitored or recorded. (…)«

Überraschend

Angst, Risiko, Safety, Zahlenspiele, , , ,

Angst ums Kind? Das ist oft Angst vor Unfällen, von der sich Eltern einschüchtern lassen. Die Realität:

»Krankheiten sind die häufigste Ursache von Schwerbehinderungen. Unfälle spielen dagegen keine Rolle. Nur 0,45 Prozent der schwerbehinderten Kinder und Jugendlichen haben sich ihre Beeinträchtigung bei einem Unfall zugezogen.«

(Finanztest 1/2010, S. 60)

Noch ein Grund, sich von Fahrradhelmen nicht zu viel Schutz zu erhoffen.

7.015.630.000-mal FKK für einen Terroristendarsteller

Angst, Propaganda, Risiko, Security, Zahlenspiele, ,

Irrationale Debatten um Sicherheitsutensilien werden anscheinend zur neuen Jahreswechselmode. Erregte vor einem Jahr der Skihelm die Medien, ist es diesmal der Nackigscanner. Eigentlich gibt es für die Debatte nicht einmal einen richtigen Anlass. Auslöser war ein unbeholfener, gescheiterter Anschlagsversuch in einem Flugzeug. Passiert ist nichts, deshalb brauchen wir neue Sicherheitsgroßtechnik?

Gewiss, wir reden über Konjunktive — hätte, könnte, wäre — wie in jeder Risikobetrachtung. Aber wir haben auch Daten: um mit derselben Wahrscheinlichkeit an Bord eines Flugzeuges Terrorismus zu erleben, mit der man am Boden vom Blitz getroffen wird, muss man im Jahr mehr als zwanzigmal fliegen. Und darin sind noch die gescheiterten Anschlagsversuche enthalten. Mit anderen Worten, selbst Vielflieger haben kaum eine realistische Chance, an Bord eines Flugzeuges zum Terroropfer zu werden.

Doch das liegt sicher nur an den bereits vorhandenen Sicherheitsmaßnahmen, den konfiszierten Wasserflaschen und Nagelscheren, nicht wahr? Nein. Terroristen haben keinen Grund, unsere Selbstmordbomber-an-Bord-Fixierung zu teilen. Im Gegenteil, kluge Terroristen werden etwas anderes tun als beim letzten Mal. Die Schlange vor der Sicherheitskontrolle zum Beispiel, mit Absperrbändern in die Fläche gefaltet, eignet sich vorzüglich für einen Selbstmordanschlag mit Sprengstoff. Doch Terrorismus ist so selten, dass wir auch dort keine Angst haben müssen.