14.500 US-Dollar an Prämien hat Google an die Entdecker der in einem Chrome-Update behobenen Verwundbarkeiten ausgeschüttet. Ein Schnäppchen, wenn man sich überlegt, was a) die Entwicklung und Pflege sowieso kostet, oder b) wieviel man für einen gründlichen Sicherheitstest des Produkts ausgeben müsste.
Archiv der Kategorie: Zahlenspiele
In einem Wort
Meine teuerste Karte
X3 bringt auf den Punkt, was am neuen Personalausweis blöd ist:
So etwas kommt heraus, wenn man Sicherheit als Funktion und Teilsystem missversteht und diese Funktion unabhängig vom Anwendungskontext realisiert. Wer’s besser machen möchte, muss von den Anwendungen und ihrem Sicherheitsbedarf ausgehen. Dabei können am Ende auch generische Mechanismen herauskommen. Dann aber solche, die ihr Geld wert sind und zu den jeweiligen Problemen passen. Bis das alle begriffen haben, wird meine wichtigste Karte weiterhin eine lange Nummer und das Logo einer Kreditkartenorganisation tragen. Damit kann ich online wie offline was anfangen, und Kosten wie Risiken bleiben bescheiden.
Unterschätzte Risiken: Mutter Natur
Schon etwas mehr als zehn Jahre alt, aber dennoch aufschlussreich: Naturkatastrophen in Deutschland. Schadenerfahrungen und Schadenpotentiale. Eine Veröffentlichung der Münchener Rückversicherungs-Gesellschaft. Abstract:
»Deutschland wurde und wird immer wieder von schweren Naturkatastrophen betroffen, die hier hauptsächlich als Stürme und Sturmfluten, Überschwemmungen und Hagelschläge auftreten und wegen der enormen Wertekonzentrationen in großen Teilen des Landes Schäden in Milliardenhöhe auslösen können. Neben den atmosphärisch bedingten Naturereignissen treten die reinen Erdgefahren wie Erdbeben (und Gebirgsschlag), Erdrutsch und Vulkanausbruch in den Hintergrund; sie machen im Zeitraum 1970–1998 lediglich 7 % der beobachteten Ereignisse sowie 1 % der volkswirtschaftlichen und der versicherten Schäden aus.
Bei der Beurteilung der Schadenpotentiale aus großen Naturereignissen spielt die Gefahr Erdbeben jedoch eine wesentliche Rolle und übertrifft mit Werten zwischen 25 und 200 Mrd. DM sogar alle übrigen Schadenpotentiale, zumindest wenn man die sehr geringe Eintrittswahrscheinlichkeit für ein derart extremes, aber eben doch nicht auszuschließendes Ereignis außer acht läßt. Für die viel wahrscheinlicheren Stürme sind etwa 10 Mrd. DM, für große Hagelstürme etwa 5 Mrd. DM, für eine extreme Sturmflut bis zu 60 Mrd. DM und für ein sehr großes Überschwemmungsereignis im Einzugsbereich des Rheins bis zu 20 Mrd. DM als Schadenpotentiale anzusetzen. Eine genauere Analyse dieser Katastrophenszenarien, insbesondere im Hinblick auf ihre Eintrittswahrscheinlichkeiten, erscheint unerläßlich.
Der umfangreiche Ereigniskatalog der Veröffentlichung enthält zunächst eine Aufstellung aller bedeutenden Naturkatastrophen in Deutschland, soweit sie aus der Naturwissenschaft und der Geschichtsschreibung bekannt wurden. Daran schließt sich eine umfassende Liste aller wesentlichen – insgesamt 459 – Elementarschadenereignisse in Gesamtdeutschland im Zeitraum 1970–1998 an, die, soweit möglich, Schadenangaben enthält und die Grundlage für eine aussagekräftige Statistik bildet, in der die Anteile der verschiedenen in Deutschland vorkommenden Naturgefahren an der Gesamtzahl der Schadenereignisse sowie an den volkswirtschaftlichen und versicherten Schäden dargestellt sind.«
Misstrauensmetrik
Gefunden beim Wortjongleur, die tatsächliche Quelle will er erst noch verifizieren:
»Once is happenstance; twice is coincidence; three times is enemy action.«
Dieses Maß müsste man glatt mal gegen ein ausgewachsenes IDS oder so etwas antreten lassen.
Zufallsgenerator
Energieausweise für Gebäude liefern nicht nur keine nützliche Metrik, sie enthalten nicht einmal Informationen über den Energieverbrauch. Sondern Werte, die vor allem von der zur Berechnung verwendeten Software abhängen.
Von wegen Frühwarnung
Waren Frühwarnsysteme nicht in den letzen Jahren ein unheimlich wichtiges Forschungsthema, das nach großzügiger Projektförderung verlangt? Genützt hat es anscheinend nicht viel. Seit gestern staunen die Leitmedien (1, 2) über die Meldung, Java habe den Flash Player als Angriffsziel überholt und einen deutlichen Vorsprung herausgefahren.
Diese Meldung ist in der Tat überraschend – wenn man in den letzten Jahren geschlafen und alle verfügbaren Daten ignoriert hat. Ich zeige Euch mal zwei Folien aus einem Vortrag, den ich vor anderthalb Jahren als Auftragsarbeit gehalten habe. Im ersten Diagramm vergleiche ich für Flash und Java die Zahl bekannter Verwundbarkeiten, d.h. die Zahl der CVE-Datensätze über beliebige Versionen des jeweiligen Produkts im Untersuchungszeitraum von Januar 2008 bis Mai 2009. Zum Vergleich gibt es in der Mitte noch einen Balken für den Internet Explorer, den Standardbrowser des Kunden:
Das zweite Diagramm beruht auf denselben Daten. Hier habe ich aber nicht nur Verwundbarkeiten gezählt, sondern jeden Eintrag nach seinem CVSS-Score gewichtet. Dieser Wert zwischen 0 und 10 gibt an, wie schwerwiegend eine Verwundbarkeit ist. Damit wird das Bild noch deutlicher. Schon damals hatte Java nicht nur mehr Probleme, sie waren im Mittel auch noch schwerwiegender:
Unser Kunde wollte damals wissen, welche Risiken er sich einhandelt, wenn er seinen Anwendern den Flash Player in die Hand gibt. Ein Blick in die Verwundbarkeitsstatistik lag nahe. Zwar steht dort nicht, wie oft Angriffe erfolgen, aber man bekommt eine Vorstellung davon, wo sie sich lohnen, also eine hohe Erfolgswahrscheinlichkeit haben. Dass sich solche Angriffe dann auch ereignen, sollte niemanden verwundern.
Dass Java weit genug verbreitet ist, um auch Streuangriffe im Netz attraktiv zu machen, ist auch keine Neuigkeit. Sogar Adobe sieht Java nach Verbreitung auf dem zweiten Platz gleich hinter dem Flash Player. Diese Zahlen haben sich seit damals nicht wesentlich verändert.
Neue Skimming-Zahlen
Man muss das Geld dort abholen, wo es liegt:
»Bei 51 sogenannten Skimming-Angriffen in Frankfurt sei seit Jahresbeginn ein Schaden von 460 000 Euro entstanden, teilte die Polizei am Freitag mit. Es liegen über 400 Anzeigen vor. Im gesamten vergangenen Jahr hatte es 26 Angriffe auf Geldautomaten gegeben.«
(Echo Online:
Immer mehr Attacken auf Bankautomaten)
Zum Vergleich, die Zahlen für ganz Sachsen lagen im vergangenen Jahr in ähnlicher Höhe, während es hier nur um Frankfurt geht.
Heureka!
Security = Mechanismus * Angreifer / User
(Vielleicht schlafe ich besser noch mal ’ne Nacht drüber.)
Identitätsprobleme
Das BSI warnt in einer neuen Studie vor Identitätsdiebstahl im Internet.
Schadensinflation
Meine Haftpflichtversicherung schickt mir diese schöne Prosa:
»Der unabhängige Treuhänder hat eine Erhöhung des Durchschnitts der Schadenszahlungen festgestellt. Gemäß der vertraglichen Regelungen zur Beitragsangleichung wurde der Beitrag um 5% erhöht.«
Wieso brauchen die einen Treuhänder für etwas, das an der Tankstelle oder bei der Bahn einfach so funktioniert?
Keine Ahnung von der Sicherheit
Michal Zalewski rantet über Security Engineering und zieht dabei über formale Methoden, Risikomanagement und Fehlertaxonomien her. Das gefällt nicht allen, aber in allen drei Punkten halte ich Zweifel und Kritik für sehr berechtigt:
- Reale Anwendungen sind für formale Methoden zu groß und zu kurzlebig. Aus der Forschung meldet man begeistert die erfolgreiche formale Verifikation des seL4-Mikrokernels (PDF). Er umfasst 8700 Zeilen C und 600 Zeilen Assembler. Vermutlich hat der JavaScript-Code schon mehr Zeilen, der mir hier den Editor ins Blog baut. Die Verifikation des Kernels war übrigens aufwändiger als seine Entwicklung.
- Risikomanagement klingt erst einmal gut und vernünftig. Das tut es genau so lange, wie man sich mit der Floskel von Eintrittswahrscheinlichkeit mal Schadenshöhe begnügt. Fragt man aber nach Zahlen, so ist es mit dem Risikomanagement schnell vorbei. Wie hoch ist die Wahrscheinlichkeit eines Angriffs? Um wieviel reduziert eine Sicherheitsmaßnahme das Risiko? Wir wissen es nicht.
- Taxonomien leiden, ähnlich wie Metriken, unter mangelnder Zweckorientierung. Die fein ausdifferenzierten Defektkatekorien der CWE zum Beispiel nützen vermutlich weder dem Entwickler noch dem Tester etwas: die Fehler sind nicht nach Teststrategien und nur indirekt nach Vermeidungsmöglichkeiten klassifiziert.
Dass wir eigentlich keine rechte Ahnung haben, wie das mit der Sicherheit so funktioniert, war schon im Februar auf dem Smartcard-Workshop meine These. Ich winke deshalb freundlich über den Atlantik, der Mann hat recht (d.h. ich teile seinen Glauben. :-))
100 Euro (pro Rechteinhaber)
»Das ist sozusagen der Preis, den man für ein unverschlüsseltes WLAN zu bezahlen hat. Jeder ist aber nach wie völlig frei darin, sein WLAN offen zu lassen.«
(law blog: Hilfe, ein unverschlüsseltes WLAN)
So einfach kann eine Risikoanalyse sein.
Unterschätzte Risiken: Hunde
Die NZZ meldet ein echtes unterschätztes Risiko: Hunde beissen häufiger als angenommen. Das ist das Ergebnis einer Studie der Schweizerischen Unfallversicherungsanstalt. Grund zur Sorge gibt es dennoch nicht:
»Obwohl jeder Unfall ein Unfall zu viel ist und menschliches Leid und Kosten verursacht, kommt die Suva zum Schluss, dass sich seitens Suva für ihre Versicherten keine spezifischen Präventionsmassnahmen zur Vermeidung von Unfällen mit Hunden aufdrängen.«
Das lese ich gerne (und viel zu selten).
Sicherheitsmetrik
Wir IT-Akademiker forschen gerne an Fragen herum, die einen vagen Relitätsbezug haben, die man aber in der Praxis pragmatisch handhabt. Nach ein paar Jahren haben wir die Lösungen der Pragmatiker formal dokumentiert und wissenschaftlich nachgewiesen, was die Kollegen immer schon wussten, nämlich dass das so tatsächlich funktioniert.
Sicherheitsmetriken sind ein Beispiel dafür: als Forschungsthema sehr dankbar, weil man sich immer neue Varianten ausdenken und sie akribisch untersuchen kann. Dummerweise verliert der Wissenschaftler dabei oft die Anforderungen der Praxis aus dem Auge und misst deshalb irgend etwas, weil es gerade messbar ist und ihm ins Modell passt, statt von einem Entscheidungsbedarf auszugehen und nach geeigneten Grundlagen zu suchen. Der Pragmatiker macht es umgekehrt:
»Neben anderen Integritätstests hatte wir in diesen Scripten in der Regel auch eine Prüfung drin, die festgestellt hat, wie sehr sich die Anzahl der Datensätze im Vergleich zum vorhergehenden Run geändert hatte. Wenn die Fluktuation bei mehr als 10% lag, hat das Script die Datei NEBEN der alten Datei installiert, aber nicht live geschaltet, sondern eine Mail an die Admins geschickt, damit die sich das Ding mal ansehen und es manuell live nehmen. Das hat uns mehr als einmal den Hintern gerettet.«
(Die wunderbare Welt von Isotopp: DENIC erklärt sich)
Die zehn Prozent sind formal betrachtet völlig willkürlich gewählt, tatsächlich aber wohl ein Erfahrungswert, der sich aus informellen Beobachtungen typischer Vorgänge ergibt. So etwas würde ein Wissenschaftler nie zulassen.
Wird das Internet sicherer?
Vor ein paar Wochen trug ich die Ergebnisse eine spanischen Studie weiter, derzufolge mehr als die Hälfte der privaten PC in Spanien mit Malware verseucht sei. Nun meldet Microsoft Werte in einer ganz anderen Größenordnung:
»Lediglich 0,22 Prozent der PCs in Deutschland sind einer aktuellen Studie zufolge im zweiten Halbjahr 2009 von Schadsoftware wie Viren oder Trojanern befallen worden. Damit liegt Deutschland deutlich unter dem weltweiten Schnitt von 0,7 Prozent. Der Wert sei damit zum dritten Mal in Folge gesunken, teilte Microsoft Chart zeigen am Montag mit.«
Vielleicht liegt es daran, dass man sich zur Teilnahme ander spanischen Studie erst mal ein Programm von einer Website herunterladen muss, die noch nicht mal SSL kann?
35 Meilen
Und so gehen pragmatische Amerikaner mit rauchenden Vulkanen um:
„In den USA zieht man bei einem Ausbruch einfach einen Sperrkreis von 35 Meilen um den Vulkan und geht ansonsten davon aus, dass auch in größerer Entfernung niemand durch die sichtbare Aschewolke fliegt“, sagte indessen ein ranghoher Branchenvertreter, der nicht genannt werden wollte, dem Tagesspiegel. „Die Amerikaner müssen sich über die Europäer totgelacht haben.“
(Tagesspiegel: Flugverbot – die Branche flucht)
60μg/m³
60μg/m³ betrug die Feinstaubkonzentration, die man am Montag 4 Kilometer über Leipzig maß. [Update: Wenn man von der Seite guckt und ein Pfeil dran ist, kann man diese Konzentration auch sehen.] Der Luftdurchsatz der Triebwerke eines modernen Verkehrsflugzeuges liegt bei etwa 1000 bis 1300kg/s für alle Triebwerke zusammen. Ganz grob überschlagen wiegt ein Kubikmeter Luft ungefähr ein Kilogramm. Das Nebenstromverhältnis ziviler Mantelstromtriebwerke liegt bei 5:1 bis 9:1, das heißt 1/9 bis 1/5 der angesaugten Luft gelangen in die Brennkammer.
P.S.: Die Luftqualitätsrichtlinie der EU erlaubt als Tagesmittelwert höchstens 50μg/m³ bei bis zu 7 Überschreitungen pro Jahr und als Jahresmittelwert 20μg/m³.
P.P.S.: Das DLR schreibt zum Messflug vom Montag:
»Die gemessenen Konzentrationen von großen Partikeln in den Vulkanschichten lagen bei Werten, die typisch in Sahara-Staubschichten beobachtet werden. Sie lagen jedoch niedriger, als die Konzentrationen von großen Partikeln, die in einer verschmutzten bodennahen atmosphärischen Grenzschicht gemessen werden.«
Die Zusammenfassung des Berichts sagt nach meinem Verständnis: der Staub war messbar, aber nicht ungewöhnlich.
P.P.P.S.: Erste Schätzungen drei Tage vor dem Messflug lagen um eine Größenordnung höher bei etwa 600 bis 1000μg/m³. Das wären dann — vielen Dank an die rechnenden Leser — anderthalb bis zwei Pfund Staub in der Stunde.
Unterschätzte Risiken: Hasenpest
Um Zeckenbisse wird jedes Jahr ein großes Theater gemacht, weil es gegen die dabei selten übertragene Krankkeit FSME eine Impfung zu verkaufen gilt. Um eine Gegend zum Risiko-, ja sogar zum Hochrisikogebiet zu machen, muss die Krankheit dort einfach nur auftreten. Viel weniger Aufregung verursacht die nur wenig seltener vorkommende Hasenpest. Dabei hätte sie es genauso verdient:
»Typischerweise erkranken Jäger. Sie stecken sich beim Häuten und Ausnehmen von Hasen an. Aber auch Forstpersonal und Landwirte sind häufiger betroffen. Man kann sich durch Zecken und Stechmücken, orale Aufnahme von nicht ausreichend erhitztem Hasenfleisch und Inhalation von erregerhaltigem Staub infizieren. Selbst in Oberflächengewässern und Erdboden findet sich der Erreger bisweilen. Das Krankheitsbild ist grippeartig: Fieber, geschwollene Lymphknoten, Kopfschmerzen, zum Teil Geschwüre. Oft wird deshalb eine falsche oder keine Diagnose gestellt.«
(Planckton: Die Hasenpest)
Werden Kreditkarten billiger?
Vielleicht können wir uns langsam von der Vorstellung verabschieden, dass man mit seinen Kreditkartendaten im Netz „vorsichtig“ sein müsse oder die Karte am besten gar nicht benutze. Diese wohlmeinenden Sicherheitshinweise waren zwar schon immer Blödsinn. Eine Kreditkarte ist dazu da, dass man sie benutzt, es gibt wenige Möglichkeiten, dabei Vorsicht walten zu lassen, und beim User ist die Sicherheit ohnehin schlecht aufgehoben. Nun gibt es auch noch Hinweise darauf, dass sich reine Kartendaten ohne PIN für Kriminelle immer weniger lohnen:
»Credit cards are no longer valuable, so criminals now want PIN numbers. Earlier this week, Symantec reported credit card data can sell for as little as six cents in online criminal markets, which consist of „various forums, such as websites and Internet Relay Chat (IRC) channels, which allow criminals to buy, sell, and trade illicit goods and services.“ Verizon reports the value of credit card data at fifty cents, down from a minimum of $10 in mid-2007.
In contrast, Symantec said, bank credentials can sell for $10 or more. Verizon did not disclose a price for PIN data, but said, „the big money is now in stealing personal identification number (PIN) information together with associated credit and debit accounts.“«
Der Artikel scheint schon ein Jahr alt zu sein.
Internetkriminalität in Spanien
Das Spanische Instituto Nacional de Tecnologías de la Comunicación (INTECO) hat eine Studie zur Internetkriminalität veröffentlicht. Eine Zusammenfassung erschien am 27.2. in El País. Danach haben 3,8% der spanischen Internetnutzer (920.000 von 23,4 Millionen) schon einmal einen Schaden erlitten; in fast der Hälfte (44,5%) der Fälle lag er unter 100 Euro, in 75% der Fälle unter 400 Euro.
Bemerkte Betrugsversuche ändern das Verhalten der Nutzer in der Regel nicht, weder im E-Kommerz noch im Online-Banking. Sechs von zehn Nutzern haben Vertrauen ins Online-Banking.
Interessant ist die Methodik hinter der Studie. Offenbar versucht das INTECO mit dem Panel eConfianza eine Art Mikrozensus unter den Internet-Nutzern. Dafür hat man die Software iScan entwickelt, die auf den PCs der Panelisten nach Schadsoftware sucht – und in 56,2% der Fälle fündig wurde. Ist die Auswahl repräsentativ, so müssen wir also davon ausgehen, dass die Hälfte der privaten PCs (in Spanien) Malware an Bord hat.
[Vocabulario:
Vélib extreme
According to a BBC report, the Paris bike scheme Vélib seems to have a theft and vandalism problem:
- 20,000 bicycles
- 1,250 stations
- Cost 400 euros each to replace
- 7,800 „disappeared“
- 11,600 vandalised
- 1,500 daily repairs
- Staff recover 20 abandoned bikes a day
- Each bike travels 10,000 km a year
- 42 million users since launch
(February 2009)
CCTV-Zahlen
Ein Artikel von Angela Sasse in der aktuellen CACM (paywalled: Not Seeing the Crime for the Cameras?) liefert Zahlen aus dem Mutterland der Überwachungskamera:
- Nach Erhebungen der Londoner Polizei tragen Kameras in 3% der Fälle von Straßenkriminalität zur Klärung bei.
- Das ist ein Verbrechen pro 1000 Kameras im Jahr.
- Dafür hat man bis 2008 im Großraum London ungefähr eine halbe Milliarde Pfund ausgegeben.
- Im Einzelhandel amortisieren sich Videoüberwachungssysteme gegen Ladendiebstahl kaum, sie lohnen sich nur in Geschäften, die sehr hochwertige Waren verkaufen.
- CCTV wird gerne gekauft, weil gerade Geld da ist oder weil der Nachbar auch so etwas hat.
Der Artikel kommt zu dem Schluss, dass CCTV zur Kriminalitätsverhinderung im Wesentlichen nutzlos sei.
Sicher ist sicher? 