Archiv der Kategorie: Geschäft

Business

Black Hat EULA Enforcement

DRM, English, Geschäft, Nebenwirkung, Security, ,

What is the purpose of antivirus companies? They produce tools to detect and remove malicious software on a large number of computers. Their basic process is pretty simple. They collect samples of new malicious software from various sources, including the general public. You, too can send a piece of software to antivirus companies if you suspect it might be malicious. Each sample will be analyzed by the antivirus company. If it really is malicious, a signature will be produced and disseminated to all users of the company’s products through an automated mechanism. After receiving the new signature, antivirus software is capable of detecting the new malicious software and often also stopping it from working in one way or the other.

Sounds innocent, but the bad guys discovered this might be a suitable infrastructure to enforce end-user license agreements. If you rent a botnet and fail to comply with its operators‘ terms, they threaten to forward your bot to antivirus companies. I really like that idea, although I see a couple of pitfalls here, as do the guys who originally reported this.

ClearSwift, das war wohl nix (oder Ihr seid Spielverderber)

Forschung, Geschäft, Security, , , , , ,

Vor einer Woche hatte mich eine Werbemail der Firma ClearSwift zu diesem Ad-hoc-Test inspiriert. Versprochen war Data Loss bzw. Data Leak Protection und ich wollte wissen, ob der Anbieter schnell merkt, dass jemand über ihn bloggt. Erbeten war eine schnelle Reaktion hier im Blog oder auf anderem Wege. Einen festen Termin gab es nicht, aber eine Woche sollte wohl genügen. Reaktionen gab es keine. Das könnte verschiedene Gründe haben:

  1. Ich habe das Konzept der angebotenen Lösung nicht verstanden und der ganze Kram hilft gar nicht gegen Blogger, die unerlaubt über die Firma bloggen. Dann stellte sich allerdings die Frage, warum Blogs und Web 2.0 in der Werbung vorkommen.
  2. Vielleicht hilft die Lösung tatsächlich gegen unerlaubte Firmenblogger, aber nur unter bestimmten Randbedingungen. Sie könnte zum Beispiel erfordern, dass der Blogger aus dem Firmennetz bloggt oder dass Geheimnisse erst registriert werden müssen, damit die Sicherheitstechnik sie entdecken kann. In diesem Fall wäre der Nutzen zweifelhaft, wie diese kleine Demonstration zeigt.
  3. Oder wir haben es mit Spielverderbern zu tun: sie haben uns gesehen, aber absichtlich nicht reagiert. Das gäbe ein Sehr Gut für die Methodik der Krisen-PR – aber leider ein Ungenügend für Nachdenken, denn in diesem Fall wäre eine Reaktion richtig gewesen.

Zum Mitspielen hätte man übrigens überhaupt keine Sicherheitslösung gebraucht, weil es ja Google gibt und Google gern Benachrichtigungen zu beliebigen Anfragen verschickt. Jeder, der auch nur eine Spur von Eitelkeit zu seinem Wesen zählt, hat einen Google Alert auf seinen Namen bestellt. Tja.

Schon wieder: Sicherheit in der Werbung

Fundbüro, Geschäft, Wahrnehmung, , , , , ,

Indien hat zwar gerade nicht so viel Internet, macht aber dennoch mit Werbung auf sich aufmerksam:

ibibo ad

Schön, dass ihnen Sicherheit wichtig ist, aber eigentlich sollte es selbstverständlich sein, dass ich wenigstens über die Originalkopie meiner Daten die Kontrolle behalte.

Im übrigen fühle ich mich jetzt ganz und gar nicht sicherer, sondern ich frage mich vielmehr, ob ich dieses Banner nicht vielleicht nur deshalb sehe, weil ich mich vorhin in einem indischen Blogkatalog herumgetrieben habe. Kann aber nicht sein, wie sich nach kurzem Nachdenken herausstellt, denn das war auf einem anderen Computer. Oder kann es doch? Vielleicht will ich es so genau lieber gar nicht wissen.

Mal schnell getestet: Data L{oss|eak} Prevention von Clearswift

Datenschutz, Forschung, Geschäft, Security, , , , ,

Aus meiner SpamInbox:

»Stellen Sie sich vor, Ihre Finanzabteilung versendet versehentlich vertrauliche Business-Pläne an einen externen Emailverteiler, ein verärgerter Mitarbeiter verrät im Online-Chat Firmengeheimnisse oder ein anderer verschickt im Namen Ihres Unternehmens unseriöse Emails an Ihre Kunden.«

Tja, was mache ich denn dann? Die Mail, aus der dieses Zitat stammt, empfiehlt mir, mich rechtzeitig über die Produkte und Dienstleistungen der schreibenden Firma zu informieren. Ich würde ja einfach die Finanzabteilung feuern, wenn sie sich das so redlich verdient; verärgerten Mitarbeitern rechtzeitig genügend Angst machen; und die unseriösen E-Mails selber verschicken, um sie später dementieren zu können und so zweimal billig Aufmerksamkeit zu bekommen. Statt dessen soll ich mich also über MIMEsweeper informieren und darüber, was man im Web 2.0 damit so alles verhindern kann.

Da ich solche Probleme nicht habe und meine Hauptbeschäftigung darin besteht, die Sicherheit von allem möglichen zu testen und zu bewerten, tue ich genau das: testen. Mal schnell getestet: Data L{oss|eak} Prevention von Clearswift weiterlesen

Scareware

Geschäft, In einem Wort, Phishing, Security, Vertrauen, ,

Die Masche ist bekannt: irgendwo im Netz stößt man auf eine Website, die einen kostenlosen Sicherheitscheck verspricht. Dazu lädt man sich ein Program herunter und führt es aus. Dieses Programm findet tatsächlich eine Reihe von Sicherheitsproblemen oder behauptet das jedenfalls. Und es hört mit dem Behaupten gar nicht mehr auf, denn das Opfer soll auf jeden Fall die »Vollversion« kaufen, von der es heißt, sie könne die gefundenen Probleme beseitigen.

Seit es diesen Betrug auch für den Mac gibt, hat er sogar einen schönen Namen: Scareware.

Klimaglaube und Medienwirkung

Geschäft, Propaganda, Risiko, Safety, Wahrnehmung, , , , , , ,

69 Prozent der Deutschen erwarten eine Klimakatastrophe, meldete Spiegel Online im Sommer 2006. Inzwischen dürften es noch einige mehr sein, denn 2007 war das Klima ein Dauerbrenner in den Medien. Ein Musterbeispiel gelungener Risikokommunikation auf der Grundlage wissenschaftlicher Erkenntnisse?

Keineswegs. Wie wir aus einer anderen Umfrage wissen, sind 70% der Deutschen religiös. Siebzig Prozent unserer Mitbürger glauben also alles, wenn es nur gut genug verpackt ist. Die Kunst des Verpackens aber haben die Medien so weit perfektioniert, dass es sogar Wissenschaftlern unheimlich wird, die eigentlich keine Angst vor den Medien haben und sich auch schon mal mit der Achse des Guten anlegen.

Was auch immer die Wissenschaft herausfindet oder diskutiert, für die Medien ist es bestenfalls ein Anlass zu eigenen Geschichten. Ganz gleich ob man Katastrophiker, Skeptiker, gleichgültig oder etwas anderes ist, die Mainstream-Medien sind eine ganz schlechte Quelle zur Meinungsbildung. Ob wir tatsächlich ein Problem haben oder nicht und wie sicher oder unsicher die Prognose ist, wird man dort nicht erfahren. Wer eine seriöse Risikoschätzung braucht, muss sich selbst mit den Klimaforschern und ihren Kritikern auseinandersetzen. So viel Zeit muss sein.

Hostessen und Sicherheitspersonal

Events, Geschäft, O-Ton, Propaganda

Wenn man Besuchern eines bisher öffentlichen Festivals an neu geschaffenen Eingängen in einem neuerdings vorhandenen Zaun mitgebrachte Getränke wegnehmen will, dann kann man das auch so umschreiben:

»Das Schlossgrabenfest bekommt erstmals in seiner Geschichte fest definierte „offizielle“ Eingänge für einen kontrollierten Zugang. Hier werden die Besucher ab diesem Jahr durch Hostess-Service und Sicherheits-Personal persönlich und hilfsbereit begrüßt und auf dem Schlossgrabenfest herzlich Willkommen geheißen. (…) Ziel ist ein noch höheres Maß an Sicherheit für unsere Besucher durch einen kontrollierten Zugang zum Gelände. Das Aufkommen von Glasbruch und allgemeinem Müll, durch mitgebrachte Getränke, soll maßgeblich zum Wohl der Besucher reduziert werden.«

Schlossgrabenfest 2007

.bank? .not!

Geschäft, Phishing

Yet another proposed way to stop phishing: create a .bank top-level domain (TLD) and market it to banks exclusively, at a forbidding price per domain. Sounds compelling? It isn’t:

  1. It’s a static solution based on today’s most common attack pattern, phishing attacks against bank customers. The perpetrators, however, could easily change their behavior. They will stick to phishing only as long as it is the cheapest working method. They can choose different victims and alternative methods.

.bank? .not! weiterlesen

09 F9 11 02 9D 74 E3 5B D8 41 56 C5 63 56 88 C0

DRM, Hackmeck, Verboten

According to the Motion Picture Association of America (MPAA) this seemingly innocent 32-digit hexadecimal number is verboten. Slashdot reports they sent out DMCA takedown notices (sample at chillingeffects.org) to several sites that spread the number 09 F9 11 02 9D 74 E3 5B D8 41 56 C5 63 56 88 C0.

The DMCA, or Digital Millennium Copyright Act is a U.S. copyright law. A takedown notice is a letter or other message that a legitimate copyright holder can send to an internet service provider, requesting that specific infringing material be taken off the Net.

So why and how would an association of the motion picture, home video and television industries attempt to maintain and defend their copyright in a 32-digit hexadecimal number, 09 F9 11 02 9D 74 E3 5B D8 41 56 C5 63 56 88 C0?

09 F9 11 02 9D 74 E3 5B D8 41 56 C5 63 56 88 C0 weiterlesen

Visualisierung und Fake-Blogs

Geschäft, Propaganda, Werkbank,

Eine Werbeagentur, die das Netz nicht verstanden hat, verkauft einer Duftwasserfirma, die das Netz auch nicht verstanden hat, eine »Telenovela im Blogformat«. Kommentarspam, Schleichwerbung und Fake nennen das die betroffenen Blogger und lassen das Ganze durch gründliche Recherche auffliegen. Die Presse berichtet, Die Fakeblogs waren zu auffällig.

Da müsse man nur die Spuren etwas besser verwischen, denkt sich der erfolglose Werber jetzt sicher. Falsch. Fakeblogs kann man auch mit Google und dem TouchGraph-Browser erkennen. Das macht die Recherche der Details nicht überflüssig, kann aber einen Anfangsverdacht liefern.

Visualisierung und Fake-Blogs weiterlesen