Malware-Fluten, Cyberkriege, Angriffsstürme? Nicht bei Apple:
»Apple hat mit dem letzten Update auf Mac OS X 10.6.4 die Liste der erkannten Schädlinge um einen erweitert. Beim Versuch, ein heruntergeladendes Exemplar des Trojaners HellRTS respektive OSX/Pinhead-B zu starten, schlägt das System Alarm.«
(heise online: Apple erweitert Malware-Schutz von Mac OS X)
Da weiß anscheinend jemand sehr genau, wer seine Zielgruppe ist und wie sie sich im Netz verhält:
Wer sich so leicht einen Klick entlocken lässt, ist mit dem angebotenen Produkt vielleicht sogar gut bedient. Aber das ist nur Spekulation, ich habe nämlich keine Ahnung, was dieses 360™ eigentlich tut.
In a followup blog post on Zalewski’s security engineering rant, Charles Smutz argues that security engineering cannot solve the problem of targeted attacks:
»Lastly, while it technically would be possible to engineer defenses that would be effective, very few people really want to live the resulting vault in fort knox, let alone pay for the construction.«
(SmuSec:
Security Engineering Is Not The Solution to Targeted Attacks)
So what can security engineering do for us—and what can we do if we want to take reasonable precautions against targeted attacks?
P.S.: This new paper by Cormac Herley might be losely related: The Plight of the Targeted Attacker in a World of Scale. I haven’t read it yet.
Robert Graham of Errata Security explains how the notion of cyberwarfare misses reality by an inch or two:
»I’m reading various articles about the Russia’s proposal, with support from the UN, for a „cyberwarfare arms limitation treaty“. What astounds me is that nobody seems to realize that „cyberwarfare“ is a fictional story, and that „arms“ in cyberspace don’t exist. (…)«
(Errata Security: Cyberwar is fiction)
There isn’t much to comment on his text. I think he got it right.
Das BSI warnt in einer neuen Studie vor Identitätsdiebstahl im Internet.
Luke O’Connor macht sich interessante Gedanken über Verschlüsselung mit überlangen Schlüsseln:
»But I will argue in this post that the likelihood of reputational damage to AES-256 is far from low, and perhaps even quite high. AES-256 keys are so large that it is next to impossible to argue that a cryptanalyst will not be able to find some shortcut to recovering keys that saves time over exhaustive search – simply because the cryptanalyst has so much time to play with.«
(No Tricks: AES-256 and Reputational Risk)
Er argumentiert, dass große Schlüssellängen ein Fenster für kryptographisch erfolgreiche, praktisch aber irrelevante Angriffe lassen. Daraus ergibt sich ein ungerechtfertigtes Reputationsrisiko für den Algorithmus, weil Kryptologen nach ihrer Definition den Algorithmus „brechen” (und darüber reden), ohne dass daraus ein realer Sicherheitsverlust im Einsatz folgt.
Vielleicht ist das Reputationsrisiko aber auch nur Folge eines gesunden Sicherheitsaufschlags.
Colleagues from Fraunhofer Umsicht have developed a bike helmet that smells when the structure gets insecure.
http://nanopatentsandinnovations.blogspot.com/2010/06/crash-helmet-with-useful-smell.html
If one could transfer this to the IT world the internet would be a disgusting place and nobody would like to have an IPhone.
Michal Zalewski rantet über Security Engineering und zieht dabei über formale Methoden, Risikomanagement und Fehlertaxonomien her. Das gefällt nicht allen, aber in allen drei Punkten halte ich Zweifel und Kritik für sehr berechtigt:
Dass wir eigentlich keine rechte Ahnung haben, wie das mit der Sicherheit so funktioniert, war schon im Februar auf dem Smartcard-Workshop meine These. Ich winke deshalb freundlich über den Atlantik, der Mann hat recht (d.h. ich teile seinen Glauben. :-))
Früher nannte man so etwas Erziehung und fand es ganz gut.
Ein gutes Bedrohungsmodell erleichtert die Verteidigung, indem es gezielte Sicherheitsmaßnahmen ermöglicht. Das demonstrieren uns Ladeninhaber, die ihre Alarmanlagen mit Nebelmaschinen koppeln. Diese Idee ist vermutlich gut: Einbrecher kommen mit dem Ziel, schnell und einfach eine gewisse Menge Waren mitzunehmen, ohne dabei gefasst zu werden. Dichter Nebel stört dabei. Er verhindert zwar nichts, verlangsamt aber Vorgänge: das Auffinden der Beute, das Heraustragen und gegebenenfalls auch die Flucht, was das Risiko der Täter erhöht. Außerdem kostet Nebel nicht viel, gewiss weniger als eine strikt präventive Ausstattung des gesamten Gebäudes mit einbruchshemmenden Maßnahmen. Alle Schäden verhindert er nicht, aber zur Reduktion taugt er allemal.
Was macht ein Bedrohungsmodell brauchbar? Das ergibt sich daraus, wozu man dieses Modell braucht: man möchte im Modell die mutmaßliche Wirksamkeit und Eignung von Sicherheitsmaßnahmen diskutieren, einschätzen und vergleichen. Die so begründeten Entscheidungen sollen später mit hoher Wahrscheinlichkeit den Realitätstest überstehen.
Wir IT-Akademiker forschen gerne an Fragen herum, die einen vagen Relitätsbezug haben, die man aber in der Praxis pragmatisch handhabt. Nach ein paar Jahren haben wir die Lösungen der Pragmatiker formal dokumentiert und wissenschaftlich nachgewiesen, was die Kollegen immer schon wussten, nämlich dass das so tatsächlich funktioniert.
Sicherheitsmetriken sind ein Beispiel dafür: als Forschungsthema sehr dankbar, weil man sich immer neue Varianten ausdenken und sie akribisch untersuchen kann. Dummerweise verliert der Wissenschaftler dabei oft die Anforderungen der Praxis aus dem Auge und misst deshalb irgend etwas, weil es gerade messbar ist und ihm ins Modell passt, statt von einem Entscheidungsbedarf auszugehen und nach geeigneten Grundlagen zu suchen. Der Pragmatiker macht es umgekehrt:
»Neben anderen Integritätstests hatte wir in diesen Scripten in der Regel auch eine Prüfung drin, die festgestellt hat, wie sehr sich die Anzahl der Datensätze im Vergleich zum vorhergehenden Run geändert hatte. Wenn die Fluktuation bei mehr als 10% lag, hat das Script die Datei NEBEN der alten Datei installiert, aber nicht live geschaltet, sondern eine Mail an die Admins geschickt, damit die sich das Ding mal ansehen und es manuell live nehmen. Das hat uns mehr als einmal den Hintern gerettet.«
(Die wunderbare Welt von Isotopp: DENIC erklärt sich)
Die zehn Prozent sind formal betrachtet völlig willkürlich gewählt, tatsächlich aber wohl ein Erfahrungswert, der sich aus informellen Beobachtungen typischer Vorgänge ergibt. So etwas würde ein Wissenschaftler nie zulassen.
Dass Cyberwar ein Konzept für Hollywoodfilme ist und keines für die IT-Sicherheit, hat sich inzwischen bis zu Spiegel Online herumgesprochen. Wenn Microsoft so etwas sagt, ist es eben eine Nachricht. Für Leser unseres Blogs hingegen ist es ein alter Hut.
Vor ein paar Wochen trug ich die Ergebnisse eine spanischen Studie weiter, derzufolge mehr als die Hälfte der privaten PC in Spanien mit Malware verseucht sei. Nun meldet Microsoft Werte in einer ganz anderen Größenordnung:
»Lediglich 0,22 Prozent der PCs in Deutschland sind einer aktuellen Studie zufolge im zweiten Halbjahr 2009 von Schadsoftware wie Viren oder Trojanern befallen worden. Damit liegt Deutschland deutlich unter dem weltweiten Schnitt von 0,7 Prozent. Der Wert sei damit zum dritten Mal in Folge gesunken, teilte Microsoft Chart zeigen am Montag mit.«
Vielleicht liegt es daran, dass man sich zur Teilnahme ander spanischen Studie erst mal ein Programm von einer Website herunterladen muss, die noch nicht mal SSL kann?
Aus den Leserkommentaren bei Heise gefischt:
Damit kann man die Filterfunktionen in Firefox und Thunderbird sowie zum Beispiel auch im IE testen.
Vielleicht können wir uns langsam von der Vorstellung verabschieden, dass man mit seinen Kreditkartendaten im Netz „vorsichtig“ sein müsse oder die Karte am besten gar nicht benutze. Diese wohlmeinenden Sicherheitshinweise waren zwar schon immer Blödsinn. Eine Kreditkarte ist dazu da, dass man sie benutzt, es gibt wenige Möglichkeiten, dabei Vorsicht walten zu lassen, und beim User ist die Sicherheit ohnehin schlecht aufgehoben. Nun gibt es auch noch Hinweise darauf, dass sich reine Kartendaten ohne PIN für Kriminelle immer weniger lohnen:
»Credit cards are no longer valuable, so criminals now want PIN numbers. Earlier this week, Symantec reported credit card data can sell for as little as six cents in online criminal markets, which consist of „various forums, such as websites and Internet Relay Chat (IRC) channels, which allow criminals to buy, sell, and trade illicit goods and services.“ Verizon reports the value of credit card data at fifty cents, down from a minimum of $10 in mid-2007.
In contrast, Symantec said, bank credentials can sell for $10 or more. Verizon did not disclose a price for PIN data, but said, „the big money is now in stealing personal identification number (PIN) information together with associated credit and debit accounts.“«
Der Artikel scheint schon ein Jahr alt zu sein.
Sicherheit hängt nicht nur von der Technik ab, sondern manchmal auch vom Vertragsverhältnis:
»A New York marketing firm that as recently as two weeks ago was preparing to be acquired now is facing bankruptcy from a computer virus infection that cost the company more than $164,000.«
Dass sich die Bank nicht verantwortlich fühlt, liegt in diesem Fall möglicherweise daran, dass es sich beim Opfer um einen Geschäftskunden handelt. Der Verbraucherschutz fällt damit weg.
Dass Firmen zum Opfer solcher Angriffe werden, scheint übrigens kein Einzelfall zu sein.
(Direktvorsorge, via annalist)
Wenn mich am selben Tag zwei Websites ohne erkennbaren Zusammenhang mit einer MySQL-Fehlermeldung statt mit Inhalten beliefern, werde ich misstrauisch. Beobachtet sonst noch jemand so eine Häufung? Gibt es Hinweise darauf, dass das was im Gange ist?
»There is another questionable use of the word “standard” that is frequently encountered in the literature. After a complicated interactive problem P has been used in a couple of papers, subsequent papers refer to it as a standard problem. The casual reader is likely to think that something that is standard has withstood the test of time and that there’s a consensus among researchers that the assumption or problem is a reasonable one to rely upon—although neither conclusion is warranted in such cases. The terminology obfuscates the fact that the new problem is highly nonstandard.«
(Neal Koblitz and Alfred Menezes: The Brave New World of Bodacious Assumptions in Cryptography)
Sicher ist sicher? 