Archiv der Kategorie: Security
NSPW 2009 Papers Online
Just a quick note: The final papers for the New Security Paradigms Workshop 2009 are now online, including my own (also here). Two of them got their share of public attention already, Maritza Johnson’s Laissez-faire file sharing (in Bruce Schneier’s blog) and Cormac Herley’s So Long, And No Thanks for the Externalities: The Rational Rejection of Security Advice by Users (Schneier’s blog; New School of Information Technology; Heise.de). For those of you who can afford the trip, the authors will present these two papers again in a session at ACSAC, December 7-11.
In einem Wort
Unterschätzte Risiken: Wettsingen
Das kommt heraus, wenn man seinen Sicherheitsbehörden freien Lauf lässt, statt sie auf nützliches Handeln gegen echte Bedrohungen zu beschränken:
»Beamte des aserbaidschanischen Ministeriums für Nationale Sicherheit (…) haben nach verschiedenen Medienberichten die Identität von Bürgern ermittelt, die beim Eurovision Song Contest 2009 in Moskau für den Beitrag Armeniens gestimmt haben. Mindestens ein Betroffener wurde verhört und aufgefordert, sein Handeln schriftlich zu begründen.«
(sicherheitsblog.info: Aserbaidschan, der Geheimdienst und der Eurovision Song Contest 2009)
Merke: Sicherheit darf weder Selbstzweck sein noch als Begründung für x-beliebige Maßnahmen herhalten. Was sogleich die Frage aufwirft, wie man vorbeugende Maßnahmen denn richtig begründet.
$1000
Um die aktuelle Kartentauschaktion ins rechte Licht zu rücken: Ungefähr 1000 Dollar – oder hierzulande etwa 1000 Euro, wie auf dem Rheinlandtreffen zu hören war – gibt eine betrügerisch eingesetzte Kreditkarte im Mittel her, bevor sie gesperrt wird.
Gewagt
IT-Sicherheit auf einem Bierdeckel. Am schönsten finde ich Aufpassen. Dieser Empfehlung kann nun wirklich niemand widersprechen.
Unterschätzte Risiken: Erdwärme
Sieht so aus, als bekäme der Rhein einen neuen Zufluss:
»Ein riesiger Wasserschaden ist in Wiesbaden bei Erdwärme-Bohrungen entstanden. Rund 6.000 Liter Wasser schießen pro Minute in die Höhe. Wann das Bohrloch in der Innenstadt geschlossen werden kann, war am späten Abend unklar.«
(HR: Erdwärme-Bohrungen: Gewaltiger Wasserschaden in Wiesbaden)
Epic Fail
Unter der Überschrift: Die Illusion von Safer-Shopping nimmt Heise gerade das Online-Gütesiegel eines bekannten Anbieters auseinander:
»Nach der Datenpanne im vom TÜV Süd zertifizierten Online-Shop-System von Libri.de fanden sich nun Sicherheitslücken auf weiteren Sites, die das Safer-Shopping-Siegel tragen – und sogar auf dessen eigener Homepage. Neben Safer-Shopping.de waren Audible.de, ReifenDirekt.de und weg.de betroffen.«
Über Zertifizierung, Gütesiegel und den TÜV gab es hier ja schon einiges zu lesen. Als Sekundärliteratur empfehle ich noch: 10 Things Your Auditor Isn’t Telling You.
Unterschätzte Risiken: Koalitionsverträge?
Das Antiterrorblog macht sich so seine Gedanken zu den aufgeschobenen Stoppschildern:
»Ende 2010 ist dann aber wiederum nur ein erneuter Erlass des Bundesinnenministers nötig, um die Schilder aufzustellen. Kein Beschluss des Bundestages oder Bundeskabinettes, also auch keine Beteiligung der FDP. Für eine Klage vor dem Bundesverfassungsgericht könnte es dann aber wegen dieser Frist schon zu spät sein! Vertrauen wir dabei also auf die FDP und lassen uns einlullen, kann das Böse enden.«
(Antiterror.blog.de: Internetsperren: Klage unzulässig?)
Wie ich dort bereits als Kommentar kurz schrieb, wäre die Masche ja nicht ganz neu. Abofallenbetrüger zum Beispiel arbeiten seit jeher damit: das Opfer schließt einen Abovertrag, ohne sich dessen bewusst zu sein. Während der gesetzlich garantierten Widerrufsfrist wird die Gegenseite nun tunlichst alles vermeiden, was das Opfer auf seinen Irrtum hinweisen könnte. Die erste Rechnung kommt folglich dann, wenn die Widerrufsfrist abgelaufen ist, denn dann ist der einfachste Ausweg verbaut.
Liebe Sparkasse,
dass Verified by Visa und MasterCard SecureCode Werbegags ohne sicherheitstechnischen Mehrwert für den Karteninhaber sind, wisst Ihr sicher selbst. Dass es eine Scheißidee ist, die überflüssige Registrierung dafür unter der Adresse https://secure5.arcot.com/ durch eine Organisation abwickeln zu lassen, die Eure Kunden nicht kennen können, muss man Euch aber offensichtlich noch einmal erklären. Ratet mal, was Ihr Euren Kunden damit beibringt.
Oder ist das gar nicht Euer Werk, sondern jemand hat Eure Websites gehackt?
.bank im neuen Gewand
Sie haben .bank wieder ausgegraben, nur heißt es jetzt anders und die Zielgruppe ist neu. Wir erinnern uns: die Idee von .bank bestand im wesentlichen darin, ein Internet-Gütesiegel (Wunsch, Realität) ins DNS zu projizieren und anhand der Top-Level-Domain (TLD) kenntlich zu machen. Das schlägt man nun wieder vor, nur diesmal für die Domain-Registrare selbst. Hochsicherheitsadresszone nennt sich das dann, und einige der Anforderungen sind auch gar nicht dumm. Nur nützt es wenig, diese Anforderungen auf einzelne TLDs und ihre Registrare anzuwenden. Gauner nehmen dann eben eine andere TLD, wo diese Anforderungen nicht gelten. Oder eine Methode, bei der Adressen keine Rolle spielen, zum Beispiel Malware. Oder ein Botnetz, dessen Knoten in einer dieser Hochsicherheitsadresszonen liegen, denn ob das Gegenüber nicht ein Hund ist, weiß man am Ende als Nutzer auch dort nicht; über die Sicherheit der einzelnen Domains oder Hosts macht die Hochsicherheits-TLD nämlich keine Aussage.
Was also soll das Ganze bringen? Dem Nutzer sicher nichts. Er kann der Adresse keine verwertbare Zusatzinformation entnehmen, und selbst wenn er es könnte, würde er diese Information in aller Regel ignorieren oder sie würde keine Rolle spielen. Den Registraren damit aber auch nichts, denn niemand hat einen Vorteil davon, seine Domain bei einem teureren, weil „sicheren” Registrar zu kaufen. Im Gegenteil, in einer Hochsicherheitsadresszone muss sich keiner vorsichtshalber die Domains für seine Firmen- und Markennamen sichern, denn der Registrar soll die Berechtigung bei der Domain-Vermietung ordentlich prüfen. Dieser Teil des Geschäfts fällt ersatzlos weg, wenn alle rational handeln. Für wen also gibt es da bitteschön einen Business Case – mal abgesehen von den Auditoren und Beratern, denen sich offensichtliche Gelegenheiten bieten?
Wenigstens sind sie aber ehrlich (Hervorhebung von mir):
»Due to the risks involved measures will be needed to limit liability to ICANN. If established, ensuring public awareness of the limitations of the program in terms of not providing guarantees about the presence of malicious activity within a TLD must also be addressed.«
Helle, heeflich, heemdiggsch
Skimming in Sachsen: 48 Fälle bis Ende Oktober 2009 (2008: 28, 2005: 5 Fälle), geschätzter Schaden 500.000€.
Piratendaten
Wie schlimm die Piraterie auf den Weltmeeren wirklich ist, erfahren wir im Datablog des Guardian. Für eigene Auswertungen übrigens auch als Google-Spreadsheet. Während in Deutschland über Online-Journalismus vorwiegend gelabert wird, machen ihn die Angelsachsen einfach.
21
21 Handgranaten hat die TSA von Juli bis Oktober bei Flugreisenden gefunden.
Kritikalität
Darmstadt Wissenschaftsfotografin Anja Behrens hat in ihrer Diplomarbeit Atomkraftwerke fotografiert. Das ganze nennt sich „Kritische Gefilde“ – denn kritisch sei ja bei AKWs der Normalzustand. Selten aber wurde das AKW-Biblis so malerisch abgelichtet. Mal sehen, was sie kritisches in der Darmstädter Wissenschaft entdeckt.
White Hat Hacker Man
(video link, lyrics)
1 Cent
Für 90 Dollar bekommt man 10.000 geklaute E-Mail-Accounts, ein einzelner Account ist also ungefähr einen Cent wert:
»Unterdessen rückt Rik Ferguson von Trend Micro den Vorfall in die richtige Perspektive. 10.000 gestohlene Account-Daten seien nichts Ungewöhnliches. Die würden auf dem freien Markt etwa 90 Dollar kosten – wenn man die üblichen 10 Prozent Rabatt abzieht.«
(heise Security: Test für kompromittierte E-Mail-Accounts)
Weiß jemand, wie hoch im Vergleich dazu der Schaden pro Account ist?
Ausschneiden, aufhängen, einmal täglich nachsprechen
Diesen Satz sagen wir Securityheinis viel zu selten:
»But the truth is, there will always be a way for a determined enough adversary to thwart whatever measures we enforce.«
(Patrick Smith: Are we safer than we were eight years ago?)
Mit Sischerheit…
… so witzisch, dassdemm Babba de Bembel kracht!
Michael Quasts kabarettistischer Blick auf 60 Jahre Fraunhofer Sicherheitsforschung in Hessen
Irgendwas tun
Das lesen wir selten so deutlich:
»Kameras helfen gegen Leute, die unerkannt bleiben wollen, etwa Diebe. Amokläufe sind aber keine geheimen Taten, sondern bewusst öffentlich. Metalldetektoren nützen wenig, wie auch Wachmänner. An der Schule von Jeffrey Weise gab es Metalldetektoren und Wachmänner. Jeffrey erschoss einen von ihnen, auch der Metalldetektor hielt ihn nicht auf.«
(Spiegel Online: Schüler als Mörder: Was Amokläufer antreibt)
Sicherheitsmaßnahmen haben spezifische Wirkungen unter spezifischen Bedingungen. Sind die zugrundeliegenden Annahmen verletzt, werden die Maßnahmen wirkungslos. Manche Annahmen kann ein Täter verletzen, ohne sein Ziel zu ändern. Andere gelten für einen Teil der möglichen Taten, der Sicherheitsmechanismus wählt dann gewissermaßen aus, welche Täter noch zum Zuge kommen.
Man in the Middle
Man in the Middle im Real Life:
»Im Zeitraum von Juli 2008 bis April 2009 hatte er bei der Deutschen Bahn AG Jahresfahrkarten für die 1. Klasse unter fingierten Namen für existierende Großunternehmen im Raum Rüsselsheim bestellt.
(…)
In mühevoller Kleinarbeit konnten die Ermittler feststellen, dass der Einundzwanzigjährige im Auftrag der Post – als Fahrer eines Taxiunternehmens – Postsendungen an Großkunden in Rüsselsheim auslieferte. Den Zugriff auf Postsendungen vor der Auslieferung machte er sich zunutze, indem er die unter fingierten Namen bestellten Fahrscheine abfing. Auch nachfolgende Mahnschreiben der Deutschen Bahn AG fing er auf gleiche Weise ab.«(Echo Online: Rüsselsheim. Polizei überführt Fahrkartenbetrüger; Pressemeldung der Polizei dazu)
Bevor jetzt aber jemand verschärfte Sicherheitsmaßnahmen gegen dieses offene Scheunentor fordert, der Angriff ist letztendlich gescheitert, denn man hat den Kerl geschnappt. Dem zu entgehen dürfte recht schwer sein, wenn man das krumme Geschäft nachhaltig betreibt. Man muss dazu erstens identifizierbar in der richtigen Position sitzen und zweitens die erschlichenen Fahrkarten zu Geld machen. Solange keiner einen Weg findet, dabei zuverlässig der Verfolgung zu entgehen, ist reaktive Sicherheit in Form der Polizeiarbeit und Strafverfolgung ausreichend.
Identity Theft
Madrid im Hinterkopf
Eben sollten wir noch Angst haben angesichts der Videodrohung eines bartlosen Islamisten. Gleich darauf dürfen wir uns aber wieder sicher fühlen. Auf dem Frankfurter Flughafen und dem Hauptbahnhof blicken wir in die Mündungen von Maschinenpistolen, und es sind die Maschinenpistolen unserer Freunde und Helfer:
»Seit Freitag müssen sich Reisende in der Main-Metropole an ein neues Bild gewöhnen: Bundespolizisten mit schweren Schutzwesten und Maschinenpoistolen schreiten in den Hallen des Frankfurter Flughafens und an den Gleisen des Frankfurter Hauptbahnhofs umher. „Es geht um die Präsenz, wir wollen den Reisenden Sicherheit geben“, rechtfertigt eine Sprecherin des Bundespolizeipräsidiums die verschärften Sicherheitsmaßnahmen.«
(HR: Nach Terror-Drohung: Bewaffnete Polizisten patrouillieren)
Gegen eine angemessene Bewaffnung der Polizei ist nichts einzuwenden, sie ist manchmal leider nötig. Dennoch ist von dieser plakativen Maßnahme kaum ein Sicherheitsgewinn zu erwarten. Man habe »Madrid im Hinterkopf,« heißt es wenig später im Text, aber das ist doppelt falsch: erstens hat man es nicht oder nur sehr vage, und zweitens würde das auch nichts nützen.
Wir erinnern uns. In Madrid fuhren die Bomben in Nahverkehrszügen in den Bahnhof. Wer das im Hinterkopf hätte, verspräche sich von Maschinenpistolen auf den Bahnsteigen des Hauptbahnhofes wohl wenig. Ein Terrorist könnte sie getrost ignorieren und an irgendeinem Vorortbahnhof mit seiner Bombe in die S-Bahn steigen. Und selbst wenn er das nicht könnte, warum sollte ein Terrorist auf Züge, Bahnhöfe oder Flughäfen fixiert sein? Wer viele Menschen auf einen Schlag treffen möchte, kann auch Samstags auf die Zeil gehen. Oder zur IAA aufs Messegelände. Oder in die Oper. Oder zur Konsumtempeleröffnung nach Weiterstadt. Oder, oder oder.
Weder gibt es eine besonders große Bedrohung; selbst wenn sich tatsächlich gerade entschlossene Terroristen auf ihren großen Tag vorbereiten, bleibt das individuelle Risiko gering. Noch tragen die Polizisten mit Maschinenpistolen nennenswert zur Risikoreduktion bei. Sie helfen nur den Verantwortlichen, ihre Verantwortung zu tragen.
Sicher ist sicher? 