Archiv der Kategorie: IT

Information Technology

Unterschätzte Risiken: Zu lange Schlüssel

IT, Security, Unterschätzte Risiken,

Luke O’Connor macht sich interessante Gedanken über Verschlüsselung mit überlangen Schlüsseln:

»But I will argue in this post that the likelihood of reputational damage to AES-256 is far from low, and perhaps even quite high. AES-256 keys are so large that it is next to impossible to argue that a cryptanalyst will not be able to find some shortcut to recovering keys that saves time over exhaustive search – simply because the cryptanalyst has so much time to play with.«

(No Tricks: AES-256 and Reputational Risk)

Er argumentiert, dass große Schlüssellängen ein Fenster für kryptographisch erfolgreiche, praktisch aber irrelevante Angriffe lassen. Daraus ergibt sich ein ungerechtfertigtes Reputationsrisiko für den Algorithmus, weil Kryptologen nach ihrer Definition den Algorithmus „brechen” (und darüber reden), ohne dass daraus ein realer Sicherheitsverlust im Einsatz folgt.

Vielleicht ist das Reputationsrisiko aber auch nur Folge eines gesunden Sicherheitsaufschlags.

Keine Ahnung von der Sicherheit

IT, Security, Werkbank, Zahlenspiele, ,

Michal Zalewski rantet über Security Engineering und zieht dabei über formale Methoden, Risikomanagement und Fehlertaxonomien her. Das gefällt nicht allen, aber in allen drei Punkten halte ich Zweifel und Kritik für sehr berechtigt:

  • Reale Anwendungen sind für formale Methoden zu groß und zu kurzlebig. Aus der Forschung meldet man begeistert die erfolgreiche formale Verifikation des seL4-Mikrokernels (PDF). Er umfasst 8700 Zeilen C und 600 Zeilen Assembler. Vermutlich hat der JavaScript-Code schon mehr Zeilen, der mir hier den Editor ins Blog baut. Die Verifikation des Kernels war übrigens aufwändiger als seine Entwicklung.
  • Risikomanagement klingt erst einmal gut und vernünftig. Das tut es genau so lange, wie man sich mit der Floskel von Eintrittswahrscheinlichkeit mal Schadenshöhe begnügt. Fragt man aber nach Zahlen, so ist es mit dem Risikomanagement schnell vorbei. Wie hoch ist die Wahrscheinlichkeit eines Angriffs? Um wieviel reduziert eine Sicherheitsmaßnahme das Risiko? Wir wissen es nicht.
  • Taxonomien leiden, ähnlich wie Metriken, unter mangelnder Zweckorientierung. Die fein ausdifferenzierten Defektkatekorien der CWE zum Beispiel nützen vermutlich weder dem Entwickler noch dem Tester etwas: die Fehler sind nicht nach Teststrategien und nur indirekt nach Vermeidungsmöglichkeiten klassifiziert.

Dass wir eigentlich keine rechte Ahnung haben, wie das mit der Sicherheit so funktioniert, war schon im Februar auf dem Smartcard-Workshop meine These. Ich winke deshalb freundlich über den Atlantik, der Mann hat recht (d.h. ich teile seinen Glauben. :-))

Wenn der iPod nicht mehr richtig synchronisiert wird,

Gadget, IT, Unterwegs, , ,

… hilft es vielleicht, iTunes mal aufräumen zu lassen. Nach dieser Prozedur haben die Streithähne vergessen, dass sie sich je kannten: beim nächsten Kontakt mit dem iPod fragt iTunes höflich, ob es ihn plattmachen und neu bespielen soll. Mein Problem – beim Synchronisieren landete nur noch eine nach unbekannten Kriterien gewählte Teilmenge der Inhalte auf dem iPod, so ca. 400MB von 7GB – war damit jedenfalls gelöst.

[Und weil es thematisch dazu passt, seine MP3- bzw. M4A-Sammlung verschiebt man mit iTunes so in ein anderes Verzeichnis.]

Sicherheitsmetrik

Forschung, IT, Security, Zahlenspiele, , , , ,

Wir IT-Akademiker forschen gerne an Fragen herum, die einen vagen Relitätsbezug haben, die man aber in der Praxis pragmatisch handhabt. Nach ein paar Jahren haben wir die Lösungen der Pragmatiker formal dokumentiert und wissenschaftlich nachgewiesen, was die Kollegen immer schon wussten, nämlich dass das so tatsächlich funktioniert.

Sicherheitsmetriken sind ein Beispiel dafür: als Forschungsthema sehr dankbar, weil man sich immer neue Varianten ausdenken und sie akribisch untersuchen kann. Dummerweise verliert der Wissenschaftler dabei oft die Anforderungen der Praxis aus dem Auge und misst deshalb irgend etwas, weil es gerade messbar ist und ihm ins Modell passt, statt von einem Entscheidungsbedarf auszugehen und nach geeigneten Grundlagen zu suchen. Der Pragmatiker macht es umgekehrt:

»Neben anderen Integritätstests hatte wir in diesen Scripten in der Regel auch eine Prüfung drin, die festgestellt hat, wie sehr sich die Anzahl der Datensätze im Vergleich zum vorhergehenden Run geändert hatte. Wenn die Fluktuation bei mehr als 10% lag, hat das Script die Datei NEBEN der alten Datei installiert, aber nicht live geschaltet, sondern eine Mail an die Admins geschickt, damit die sich das Ding mal ansehen und es manuell live nehmen. Das hat uns mehr als einmal den Hintern gerettet.«

(Die wunderbare Welt von Isotopp: DENIC erklärt sich)

Die zehn Prozent sind  formal betrachtet völlig willkürlich gewählt, tatsächlich aber wohl ein Erfahrungswert, der sich aus informellen Beobachtungen typischer Vorgänge ergibt. So etwas würde ein Wissenschaftler nie zulassen.

Lernung

Erich fragt, Gadget, IT, Unterwegs, , , , ,

Fahrradtacho aus’m Baumarkt. Der Kilometerzähler hat 5 Stellen und kann das Komma nach rechts shiften, wie man nach 100 (? – zu lange her) und 1000 Kilometern sieht. Ein paar Jahre später und kurz vor dem Verenden der Batterie erreichen Zähler, Rad und Fahrer – übrigens unfallfrei – den 10.000ten Kilometer, und was passiert? Statt die letzte Nachkommastelle zu recyclen, stürzt das Ding mit einer blinkenden 9999.9 einfach ab.

Kann man diese Implementierung rational mit Bugs erklären, oder ist das subtile Sabotage? Und welchen Tacho baut man sich heute ans Fahrrad, wenn man oft nachts fährt und ihn dabei gerne beleuchtet sähe? Zusatzfrage: lohnt es sich, beim Kauf gleich noch einen LED-Scheinwerfer als Ersatz für Halogen mitzunehmen?

Wird das Internet sicherer?

IT, Security, Zahlenspiele,

Vor ein paar Wochen trug ich die Ergebnisse eine spanischen Studie weiter, derzufolge mehr als die Hälfte der privaten PC in Spanien mit Malware verseucht sei. Nun meldet Microsoft Werte in einer ganz anderen Größenordnung:

»Lediglich 0,22 Prozent der PCs in Deutschland sind einer aktuellen Studie zufolge im zweiten Halbjahr 2009 von Schadsoftware wie Viren oder Trojanern befallen worden. Damit liegt Deutschland deutlich unter dem weltweiten Schnitt von 0,7 Prozent. Der Wert sei damit zum dritten Mal in Folge gesunken, teilte Microsoft Chart zeigen am Montag mit.«

(Studie: Weniger Hackerangriffe in Deutschland)

Vielleicht liegt es daran, dass man sich zur Teilnahme ander spanischen Studie erst mal ein Programm von einer Website herunterladen muss, die noch nicht mal SSL kann?

Keksfontäne

Datenschutz, Forschung, IT, Sicherheitshinweise, , , ,

Die einen haben Werbe- und Cookiefilter, die anderen interessiert es nicht. Was beim Besuch einer Website vor sich geht und wer dabei zuguckt, merkt deshalb kaum jemand. Bis dann mal ein Anlass kommt, mit einem jungfräulichen Browser auf eine Website zu schauen und dabei Cookies zu zählen, weil man’s für eine Metrik braucht, über die man gerade ein Paper schreibt. Der Untersuchungsgegenstand ist last.fm und nach wenigen Klicks sieht die Cookieliste so aus:

Firefox-Einstellungen mit den Cookies, die ein Besuch auf last.fm dort hinterlassen hat

Bereits der erste Seitenabruf liefert eine ganz ansehnliche Menge von Fremdcookies:

  • ice.112.2o7.net
    • s_vi
  • ad.doubleclick.net
    • test_cookie
  • googleads.g.doubleclick.net
    • id
  • lastfm.ivwbox.de
    • srp
    • i00
  • b.scorecardresearch.com
    • UID
  • dw.com.com
    • XCLGFbrowser .com.com

Klickt man dann noch ein wenig herum und hat dabei das Pech, ein Werbebanner von adrolays.de zu sehen, werden es noch viel mehr. Das Banner ist dann nämlich ein Metabanner, in dem mehrere Stück Werbung sinnlos(*) herumrotieren. Damit fängt man sich diese Cookies ein:

  • a.adrolays.de
    • RVS
    • RVSS
  • tracking.quisma.com
    • gmv30624
    • gmv31626
  • banners.webmasterplan.com
    • ASP.NET_SessionId
    • affili_4227pw
  • partners.webmasterplan.com
    • ASP.NET_SessionId
    • affili_0
    • affili_2906
  • http://www.active-srv02.de
    • apv_1
  • dslshop.vodafone.de
    • PV
  • http://www.vodafone.de
    • oshop
  • shop.vodafone.de
    • oshop
  • ad.zanox.com
    • zttpvc
    • zptpvc
  • ads4unitymedia.de
    • UM_chan_perm
    • UM_chan_temp
  • zx.alice-dsl.de
    • ALICA_HTB

Mit jeder Cookie-Quelle hat mein Browser unterwegs wenigstens einmal geredet. Kein Wunder, dass Werbeschleudern als Verbreitungsvektor für Schadsoftware immer beliebter werden (guckst Du Beispiel). Man muss ja nur irgendeine der 17 aufgezählten Sites hacken und erwischt damit unzählige Nutzer im Netz.

Unter anderem deswegen ist übrigens der gut gemeinte Sicherheitshinweis, man solle „aufpassen“ und sich von dunklen Ecken des Netzes fernhalten, völlig wirkungslos. Es kann einen überall treffen.

—————————-
(*) Irgend etwas wird man sich dabei wohl gedacht haben. Vielleicht so etwas: »Wir sind Scharlatane, aber wir haben das Glück, dass man uns nach der Zahl der Versuche und nicht nach dem Erfolg bezahlt. Warum vermieten wir ein und denselben Bannerplatz nicht einfach mehrfach und zählen den User, der das Banner ignoriert, jedem unserer Kunden einmal vor?« Das ist selbstverständlich nur eine Spekulation.

Unterschätzte Risiken: Onlinebanking

Geschäft, IT, Security, Unterschätzte Risiken

Sicherheit hängt nicht nur von der Technik ab, sondern manchmal auch vom Vertragsverhältnis:

»A New York marketing firm that as recently as two weeks ago was preparing to be acquired now is facing bankruptcy from a computer virus infection that cost the company more than $164,000.«

(N.Y. Firm Faces Bankruptcy from $164,000 E-Banking Loss)

Dass sich die Bank nicht verantwortlich fühlt, liegt in diesem Fall möglicherweise daran, dass es sich beim Opfer um einen Geschäftskunden handelt. Der Verbraucherschutz fällt damit weg.

Dass Firmen zum Opfer solcher Angriffe werden, scheint übrigens kein Einzelfall zu sein.

Unterschätzte Risiken: Testdaten

IT, Testlabor, Unterschätzte Risiken,

Die Geschichte endet etwas verworren, aber der Anfang passt als Fallstudie zum Thema produktionssicheres Testen:

»Embarrassed cops on Thursday cited a „computer glitch“ as the reason police targeted the home of an elderly, law-abiding couple more than 50 times in futile hunts for bad guys.

Apparently, the address of Walter and Rose Martin’s Brooklyn home was used to test a department-wide computer system in 2002.«

(Computer snafu is behind at least 50 ‚raids‘ on Brooklyn couple’s home)

Ob in diesem Fall wirklich Testdaten die Ursache sind, kann ich aus der Ferne nicht beurteilen. Plausibel ist es allemal.

Unterschätzte Risiken: Verbraucherschutz

Geschäft, IT, Nebenwirkung, Rechtsabteilung, Security, Unterschätzte Risiken, , , , ,

Wer dieses Blog schon länger liest, hat vielleicht mitbekommen, dass ich der Verknüpfung von IT-Sicherheitsbausteinen mit Rechtskonstrukten skeptisch gegenüberstehe. Verfahren wie die rechtsverbindliche digitale Signatur und Anwendungen wie De-Mail mögen manchmal nützlich sein. Sie machen es jedoch auch einfacher, Leuten etwas abzuluchsen, das sich später gegen sie verwenden lässt. Eine Überraschung ist das nicht, denn solche Phänomene gibt es nicht nur im Internet. Offline sollen beispielsweise Banken seit einiger Zeit ihren Kunden Unterschriften unter Beratungsprotokolle abnötigen. Die Chancen und die Risiken sind dabei klar verteilt:

»In der Praxis zeige sich, dass die Protokolle den Banken mehr nützten, als den Kunden. „Die schreiben da alles rein was sie brauchen, um später in einem Prozess bestehen zu können“, sagte der Liberale, der als Rechtsanwalt Opfer der Lehman-Pleite vertritt.«

(Welt Online:
Late Night „Anne Will“: Was beim Banken-Bashing gern vergessen wird)

Im Internet hat der Verbraucher jedoch bis jetzt eine günstige Rechtsposition, weil er vieles einfach abstreiten kann. Wer das Internet mit bestätigten  Identitäten oder mit Nachweisdiensten á la De-Mail sicherer machen möchte, arbeitet daran, diese Eigenschaft zu beseitigen und Risiken auf die Verbraucher zu verlagern. Obendrein wird der Alltag komplizierter. Wollen wir das?

PS: Die Hersteller von Identitätsnachweisen haben erwartungsgemäß eine klare Haltung dazu.

Internetkriminalität in Spanien

Freundlich zum Nutzer, IT, Security, Studien, Zahlenspiele, , , , ,

Das Spanische Instituto Nacional de Tecnologías de la Comunicación (INTECO) hat eine Studie zur Internetkriminalität veröffentlicht. Eine Zusammenfassung erschien am 27.2. in El País. Danach haben 3,8% der spanischen Internetnutzer (920.000 von 23,4 Millionen) schon einmal einen Schaden erlitten; in fast der Hälfte (44,5%) der Fälle lag er unter 100 Euro, in 75% der Fälle unter 400 Euro.

Bemerkte Betrugsversuche ändern das Verhalten der Nutzer in der Regel nicht, weder im E-Kommerz noch im Online-Banking. Sechs von zehn Nutzern haben Vertrauen ins Online-Banking.

Interessant ist die Methodik hinter der Studie. Offenbar versucht das INTECO mit dem Panel eConfianza eine Art Mikrozensus unter den Internet-Nutzern. Dafür hat man die Software iScan entwickelt, die auf den PCs der Panelisten nach Schadsoftware sucht – und in 56,2% der Fälle fündig wurde. Ist die Auswahl repräsentativ, so müssen wir also davon ausgehen, dass die Hälfte der privaten PCs (in Spanien) Malware an Bord hat.

[Vocabulario:

Stolen laptop case study

English, IT, Security,

Shocking news: it is easy to steal laptop computers in universitites!

»In this study, we look at the e ffectiveness of the security mechanisms against laptop theft in two universities. We analyze the logs from laptop thefts in both universities and complement the results with penetration tests. The results from the study show that surveillance cameras and access control have a limited role in the security of the organization and that the level of security awareness of the employees plays the biggest role in stopping theft. The results of this study are intended to aid security professionals in the prioritization of security mechanisms.«

(Laptop theft:
a case study on e ffectiveness of security mechanisms in open organizations)

By the way,

English, IT, Security, Trusted Computing, , ,

… if it’s worth the effort, this TPM hack may nicely complement an Evil Jan attack. First the attacker carries out the Evil Jan attack to obtain any user-provided key material, next he takes the machine away and cracks the TPM for the rest of the key material. Usually there are easier ways after the initial step, but if, for whichever reason, they should become infeasible, going for the TPM might be an option.

Leaving the TPM exposed to physical attacks while protecting the RAM of a system from wire access, DMA, and cold boot attacks would be a pretty stupid design error, though. But who knows?

Sicherheitsnichtmanagement

Datenschutz, Geschäft, IT, Security, Vertrauen, , ,

Ein virtuelles Callcenter aus Heimarbeitern, in dem die Gattin des Geschäftsführers die offenherzige Pressesprecherin gibt. Ich mag nich glauben, dass die Krisen-PR bei dieser Klitsche wesentlich besser funktioniert als der Datenschutz. Die sind ja überhaupt nicht organisiert.

»Die Ehefrau des Geschäftsführers von Value5, Dagmar Dehler, sagte WELT ONLINE, die Firma arbeite mit freien Mitarbeitern, die von zu Hause aus tätig seien: „Wir sind ein virtuelles Callcenter.“ Mit der Betreuung der Krankenkasse seien 60 Mitarbeiter befasst gewesen, die auch für andere Auftraggeber tätig seien.«

(Krankenakten zugänglich: So schlampig ging die größte BKK mit Daten um)