Archiv der Kategorie: Security

Drunken Computing

Oktober 29, 2008English, Fundbüro, O-Ton, Trusted ComputingspecificationSven Türpe

8.2.5.5 PARTIES Partition

Start of informative comment

The PARTIES Partition is a hidden partition on the hard drive that BIOS can use for additional storage space and as a virtual drive. In the PARTIES Partition, there is a small section called the BEER. Prior to turning control over to the PARTIES Partition, the BIOS must measure the BEER area into PCR[5].

The partition that is booted to in the PARTIES Partition must also have the initial IPL image code measured into PCR[4] prior to turning control over to this code.

End of informative comment

When executing, this is treated as IPL Code including the measurement of it even if the binary image is already measured into PCR[0].

TCG PC Client Specific Implementation Specification For Conventional BIOS Version 1.20 FINAL, Revision 1.00, page 62

(According to Google, this seems to be there at least since 2003.)

Perspektivwechsel

Oktober 24, 2008Safety, Security, WahrnehmungFliege, Insekten, Lampe, LichtSven Türpe

Licht bedeutet Sicherheit. Fehlt es, werden unsere Augen nutzlos und uns geht ein wichtiger, breitbandiger Eingabekanal verloren. Die Orientierung wird mühsam und Gefahren können wir nicht mehr rechtzeitig erkennen. Kein Wunder, dass die Dunkelheit uns Angst macht, dass wir uns in der Nähe einer Lichtquelle besser fühlen. Wer lange genug darüber nachdenkt, kommt jedoch zu dem Schluss, dass dies eine äußerst anthropozentrische Sicht ist. Mit anderen Augen gesehen wird Licht nämlich zur Todesfalle:

Perspektivwechsel weiterlesen →

Die spinnen, die Briten

Oktober 11, 2008SecurityAnitkletterfarbe, Anti Climb Paint, VandaleneSven Türpe

Antikletterfarbe? Ich weiß nicht.

Unkommentiert

September 23, 2008Forschung, Geschäft, Propaganda, SecurityFraunhofer, TerrorismusSven Türpe

Wegen eines latenten Interessenkonflikts ohne jeden Kommentar: Die Juwelen der Sicherheit

Unter Beobachtung

September 23, 2008Securitygeldautomat, Kamera, PIN-Eingabe, Shoulder Surfing, SpiegelSven Türpe

Auf wieviele Arten könne man Nutzern dieses Geldautomaten bei der PIN-Eingabe zuschauen, ohne zusätzliche Hilfsmittel ins Geschehen einzubringen?

Mir fallen auf Anhieb drei Möglichkeiten ein. Wahrscheinlich sind die Kameras aber wirklich gut gemeint; echte Angriffe sind unauffälliger.

Trusted Storage

September 16, 2008Risiko, Safety, Security, Vertrauen, WahrnehmungBankenkrise, Geld, Matratze, UmfrageSven Türpe

(welt.de: Dax begibt sich erneut auf Talfahrt)

Plattenverschlüsselung: viermal mangelhaft

September 14, 2008IT, Security, Testlabor2008, Computerbild, Eigenwerbung, Fraunhofer, Test, Testlabor, VerschlüsselungSven Türpe

Delivering bad news since 2004:

Meine Kollegen aus dem Testlabor IT-Sicherheit haben sich wieder einmal mit Verschlüsselungssoftware beschäftigt. Diesmal im Auftrag der Zeitschrift Computerbild, in deren aktuelles Heft die Ergebnisse eingeflossen sind. Ausgabe 20/2008 berichtet ab Seite 70 über den Test, zu dem unser Institut die Sicherheitsuntersuchung und -bewertung beigetragen hat.

Vier von acht untersuchten Programmen sind durchgefallen. Ich gratuliere. Den Kollegen, nicht den Programmen. Wir haben so etwas vor drei Jahren schon einmal gemacht, damals waren es nur zwei. Eines davon ist jetzt allerdings wieder auf einem der hinteren Plätze gelandet. So einfach ist das eben nicht mit der Sicherheit.

Sachdienlicher Hinweis

September 14, 2008Hackmeck, SecurityCERN, Hackerfahrschule, LHCSven Türpe

Das schrieb man in den 80ern:

»Die Ermittlungen der französischen Behörden führten in die Schweiz zum Genfer Kernforschungszentrum CERN. Dieses beklagt schon seit 1984 ständig Einbrüche durch Hacker. Unter den Hackern selbst gilt CERN als die „Europäische Hackerfahrschule“, in der sich die Hacker „die Klinke in die Hand geben“.«

([Chaos CD][HaBi 2]- BKA unter Fahndungsdruck)

Anscheinend hat sich nichts geändert am CERN. Womit ich übrigens überhaupt kein Problem habe. Irgendwo muss man das Hacken ja üben.

Oxford

September 9, 2008English, Forschung, Security, Trusted Computing, UnterwegsETISS 2008, summer schoolSven Türpe

[Get only posts in English]

Right after TAIC-PART I attended the 3rd European Trusted Infrastructure Summer School (ETISS). A short wrap-up of ETISS 2008 has been posted by Daniel Reynaud in his blog and our workshop paper is included here, starting from page 41. So all that is left to me is posting my own photos, it seems.

Oxford weiterlesen →

Wenn Politiker über Sicherheit reden …

August 28, 2008Propaganda, Safety, Security, WahrnehmungRüsselsheim, SicherheitsgefühlSven Türpe

… kommt so etwas heraus:

»Oberbürgermeister Stefan Gieltowski (SPD) ärgert das gewaltig. Er spricht lieber von einem „beeinträchtigten Sicherheitsempfinden“ der Bürger. Gieltowski lässt deshalb prüfen, ob Hilfspolizisten, die normalerweise Strafzettel verteilen, künftig verstärkt Streife gehen können. Außerdem schlug er vor, einzelne Plätze in der Innenstadt wie zum Beispiel am Bahnhof mit Videokameras zu überwachen.«

(HR: Nach Rüsselsheimer Blutbad: Videokameras gegen die Angst, Hervorhebung von mir)

Uns mehr Sicherheit zu verkaufen, versucht er also gar nicht, uns soll ein besseres Sicherheitsempfinden genügen. Mehr können Hilfspolizisten und Videokameras auch kaum erreichen, zumal der Anlass dieser Bemühungen eine Schießerei in einem Eiscafé in der Rüsselsheimer Innenstadt ist. Nehmen wir an, der Plan ginge auf, was hätten die Bürger davon? Na? Genau, sie würden sich bis zur nächsten Schießerei sicherer fühlen.

Trotz Wahlcomputer: Hessenwahl ist gültig

August 25, 2008Events, Security, Vertrauen, Wahlcomputer, ZeitmaschineCAST-Workshop, Computerwahl, Landtagswahl, WahlmaschinenSven Türpe

Mit Wahlcomputern haben wir uns hier bereits beschäftigt, zuletzt aus Anlass der Hessenwahl im Januar. In einigen Wahlkreisen hatten Computer den Stimmzettel ersetzt, was zu einer ungewöhnlich intensiven Beobachtung der Wahl unter anderem durch den Chaos Computer Club führte. Erwartungsgemäß hatten die Beobachter einige Ungereimtheiten bemerkt. In der Folge kam es zu Wahleinsprüchen. Die hat das Wahlprüfungsgericht nach einem Bericht des Hessischen Rundfunks nun abgewiesen:

»(…) Weitere Beschwerden betrafen Stimmabgaben von Türken, die ihre deutsche Staatsbürgerschaft verloren hatten oder den Einsatz von Wahlcomputern. Für letzteren gebe es eine rechtliche Grundlage, urteilten die Richter. Als Wahlfehler wertete das Gericht die Übergabe von Computern vor Ende der Wahl und die Aussperrung von Wahlbeobachtern für einige Minuten. Beides habe sich aber nicht auf die Sitzverteilung im Wiesbadener Landtag ausgewirkt.«

Mit elektronischen Wahlen und Wahlcomputern wird sich übrigens auch der übernächste CAST-Workshop am 17. Oktober 2008 befassen. Das Programm steht auch schon fest, Kritiker sind anscheinend nicht geladen.

Update: Heise hat das schon vor einem halben Tag gemeldet, das war mir entgangen.

Unterschätzte Risiken: StatCounter.com

Juli 31, 2008Datenschutz, Nebenwirkung, Security, Unterschätzte RisikenGoogle Analytics, personenbezogene Daten, Refcontrol, Referer, Session-ID, StatCounter, WebstatistikSven Türpe

Alle schimpfen über Google Analytics: der Datenschutz sei dort nicht gewährleistet. Mag sein, dass das formal korrekt ist, aber es geht deutlich schlimmer. Eben schwappte mir hier als Referer ein Link auf StatCounter.com ins Log – mit gültiger Session-ID. Ein Klick genügte und schon bekam ich deutlich detailliertere Daten über die Besucher einer fremden Website, als mir Google für meine eigene je liefern würde.

Der Bildausschnitt is so gewählt, dass man hoffentlich keine Details über einzelne Nutzer erkennt, und aus der Titelzeile habe ich den Hinweis auf den betreffenden Nutzer des Statistik-Tools entfernt. Er wird sich schon gemeint fühlen, wenn er das hier liest. (Refcontrol hilft, ist aber letztlich ein Workaround um eine kaputte Web-Anwendung.)

Ich gebe erst mal weiter Google Analytics den Vorzug. Wichtiger als die formale Einhaltung von zuweilen arg hohlen Datenschutzritualen finde ich nämlich den tatsächlichen Umgang mit den Daten. Bei Google hat man sich was gedacht und die Architektur bietet Ansatzpunkte für mehr Selbstbestimmung der einzelnen Website-Nutzer und weniger Missbrauchs- und Unfallgefahr durch Website-Betreiber. Das kann ich von StatCounter.com nicht behaupten.

Welche Terrorabwehr lohnt sich – und welche nicht?

Juli 31, 2008Forschung, Risiko, SecurityKosten, Nutzen, Terrorabwehr, TerrorismusSven Türpe

Nils Zurawski von den Surveillance Studies hat ein interessantes Paper ausgegraben: The Quixotic Quest for Invulnerability: Assessing the Costs, Benefits, and Probabilities of Protecting the homeland von John Mueller. Aus der Zusammenfassung:

»This paper attempts to set out some general parameters for coming to grips with a central homeland security concern: the effort to make potential targets invulnerable, or at least notably less vulnerable, to terrorist attack. It argues that protection makes sense only when protection is feasible for an entire class of potential targets and when the destruction of something in that target set would have quite large physical, economic, psychological, and/or political consequences. There are a very large number of potential targets where protection is essentially a waste of resources and a much more limited one where it may be effective.«

Der Autor macht einige nachvollziehbare Annahmen über den Terrorismus, seine Ziele und den Schutz dagegen und vergleicht darauf aufbauend Kosten und Nutzen. Bis jetzt habe ich das Paper nur überflogen, aber der erste Eindruck ist gut.

Nach fünf Minuten gehackt? Heise will es wissen

Juli 24, 2008Forschung, IT, SecurityExperiment, Fearmongering, Mean Time to CompromiseSven Türpe

Heise Security fragt sich, was eigentlich zu halten sei von der immer wieder kolportierten Behauptung, ein ungepatchtes System am Netz sei nach wenigen Minuten kompromittiert. Am Ende steht eine Wette:

»Und wer’s nicht glaubt: Ich wette einen Kasten Flens, dass man ein Windows XP SP2 ohne weitere Patches in der Default-Konfiguration eine Woche direkt ans Internet hängen kann und da passiert gar nichts. Wer hält dagegen?«

Ich erst mal nicht, aber wir übernehmen gerne unparteiisch und wissenschaftlich das Experiment zu Klärung. Wobei es wohl schlauer wäre, einen Hiwi dranzusetzen, Daten zu sammeln und sich ggf. die Kiste Bier zu holen, falls der Redakteur sich irrt. Wer möchte? Und was sagen die Kollegen aus Mannheim dazu? [Update: das sagen sie dazu. Und hier zweifelt noch einer.]

Race Condition

Juli 12, 2008Begriffe, English, Securityfree meal, Race Condition, Rémi GaillardSven Türpe

Verteiltes Skimming

Juli 11, 2008SecurityBankkarte, geldautomat, Skimming, ZugangskontrolleSven Türpe

Um sich vor Skimming zu schützen, genügt es übrigens nicht, den Geldautomaten selbst gründlich zu untersuchen:

»Die Trickbetrüger hatten am vergangenen Wochenende über dem Geldautomaten eine als Rauchmelder getarnte Kamera installiert, die Kunden beim Eintippen ihrer Geheimzahl filmte. Zudem hatten sie ein Kartenlesegerät an der Tür manipuliert, um an die Kundendaten zu kommen.«

(hr: Kontodaten ausgespäht: Betrüger richten fünfstelligen Schaden an; Hervorhebung von mir)

Die Bilanz des Sicherheitsmechanismus „Zugangskontrolle zur SB-Zone“ dürfte sich damit ins Negative verlagern. Die Zugangskontrolle ist dank der weiten Verbreitung von Karten keine mehr; Sparkassenpartys verhindert nicht der elektrische Türöffner, sondern die Polizei. Damit kann man leben, aber wenn der Mechanismus nun nicht mehr nur geringen Nutzen hat, sondern für Angriffe missbraucht wird, sieht die Sache anders aus.

Man kann die Angriffsmethode weiterspinnen. Gefährdet ist alles, was dem Angreifer hinterher mit einer gewissen Wahrscheinlichkeit die korrekte Zuordnung zwischen Kartendaten und ausgespähter PIN erlaubt.

Kontinuitätsmanagement

Juli 11, 2008Geschäft, SecurityBCMSven Türpe

So kann BCM auch aussehen:

Videotext im Internet — MDR-Text im Internet

Die Geschichte zum Screenshot steht dort.

Als Berater würde man so etwas jetzt aufbauschen und ganz schlimm finden. In Wirklichkeit ist es einfach egal, die Website des MDR war ohne Störung nicht wesentlich interessanter.

So bessern Sie Ihre Urlaubskasse auf

Juli 5, 2008Security, So geht dasDiebstahl, klauen, kriminelle Energie, physische Sicherheit, StrandSven Türpe

Urlaub ist ein teures Vergnügen, gerade jetzt in der Hauptsaison. Ist die Reisekasse leer, muss Nachschub her. Aus ehrlicher Arbeit kann er freilich nicht kommen, wer will schon im Urlaub arbeiten. So geht es ohne Arbeit:

Suchen Sie sich einen geeigneten Ort. Dieser hier zum Beispiel ist ideal: ein recht schmaler Strand, dahinter gleich die Küstenstraße und jenseits dieser Straße Häuser und Seitenstraßen. Warum das alles gut ist, werden wir gleich sehen.
Seien Sie kein Neger. Der durchschnittliche Urlauber ist genauso rassistisch wie unsere Zöllner von neulich. Vorm Neger hat man in Europa immer noch Angst, oder man traut ihm jedenfalls nicht. So bessern Sie Ihre Urlaubskasse auf weiterlesen →

Theorie und Praxis

Juli 2, 2008SecurityBankkarte, EC-karte, geldautomat, PINSven Türpe

Theorie.

Praxis.

R.I.P.: Die rechtsverbindliche digitale Signatur (Teil 2)

Juli 1, 2008eBürokratie, Fundbüro, ID, IT, Securitydigitale Signatur, Technik-OverkillSven Türpe

[Teil 1 – Teil 2 – Teil 3 – Teil 4]

Ich hatte vor einem halben Jahr bereits verhalten gejubelt. Anlass war damals die Meldung, dass Kommunen in ihren eVerwaltungs-Angeboten auf den Zwang zur digitalen Signatur verzichten wollen, damit die Bürger diese Dienste auch nutzen. Jetzt fragt Sascha Kremer in seinem Blog rhetorisch: »Qualifizierte Signaturen: zum Scheitern verurteilt?« und weist sogleich auf das für Juristen offensichtlichste Problem dieser Technik hin:

»Tatsächlich schafft der Verbraucher mit der via qualifizierter elektronischer Signatur sicheren und vielleicht sogar verschlüsselten elektronischen Kommunikation zunächst einmal einen Beweistatbestand gegen sich selbst. Und genau das ist es, woran der Verbraucher weder im E-Commerce noch im Web 2.0 Interesse hat.«

Mein Reden seit Jahren und übrigens exakt der Grund, aus dem ich höchst selten E-Mail signiere. Der Rest seines Textes ist auch äußerst lesenswert, eine knappe, aber gute Analyse der Situation. R.I.P.: Die rechtsverbindliche digitale Signatur (Teil 2) weiterlesen →

Getürkt?

Juni 9, 2008Security, Vertrauen, WahrnehmungCA, Firefox, PKI, Türktrust, ZertifikatSven Türpe

In einem Wort

Mai 15, 2008In einem Wort, O-Ton, Risiko, SecurityIn einem WortSven Türpe

boruttisieren

Black Hat EULA Enforcement

April 30, 2008DRM, English, Geschäft, Nebenwirkung, Securityfunny, market forces, undergroundSven Türpe

What is the purpose of antivirus companies? They produce tools to detect and remove malicious software on a large number of computers. Their basic process is pretty simple. They collect samples of new malicious software from various sources, including the general public. You, too can send a piece of software to antivirus companies if you suspect it might be malicious. Each sample will be analyzed by the antivirus company. If it really is malicious, a signature will be produced and disseminated to all users of the company’s products through an automated mechanism. After receiving the new signature, antivirus software is capable of detecting the new malicious software and often also stopping it from working in one way or the other.

Sounds innocent, but the bad guys discovered this might be a suitable infrastructure to enforce end-user license agreements. If you rent a botnet and fail to comply with its operators‘ terms, they threaten to forward your bot to antivirus companies. I really like that idea, although I see a couple of pitfalls here, as do the guys who originally reported this.

Sicher ist sicher?

Ängste, Risiken, Vorsorge und unser gestörtes Verhältnis zur IT