Archiv der Kategorie: Unterwegs

Mobiles, Mobile Security

Safe and sorry

A common delusion in security engineering is the idea that one could secure a system by identifying items that need protection (assets), describing the ways in which they might be damaged (threats or attacks, which are not synonymous but often confused), and then implementing countermeasures or mitigations such that all, or the most common, or the most damaging threats are covered. The system thus becomes secure with respect to the threat model, so the reasoning. This is the model underlying the Common Criteria, and it works fine as a descriptive model. To give an example from everyday life, consider a bicycle as an asset. If your bicycle gets stolen (the threat), your damage is the value of the bicycle plus any collateral damage that the loss may cause you, such as coming late to an appointment, having to pay for a taxi or public transport instead of riding your bicycle, and having to go to the gym for workout instead of getting a workout for free on your way to work. The typical countermeasure against this threat is locking the bicycle to a fence, pole, or other appropriate object. Locking your bicycle reduces the risk of it being stolen. What could possibly go wrong? Besides the obvious residual risk of your countermeasures not being strong enough, this could go wrong:

A bicycle frame locked to a fence, wheels and other parts stolen
Safe and sorry © 2012 Sven Türpe, CC-BY 3.0

 

This (ex-)bicycle was and remains properly locked and no vulnerability in the lock or in items the lock depends on have been exploited. Yet, somebody made a fortune stealing bicycle parts, and somebody else lost a bicycle to an attack. What’s the problem? The problem is the gross simplification in the asset-threat-countermeasure model, which neglects three important factors:

  1. Adaptive adversaries. A countermeasure does not oblige the adversary to stick to the original attack plan that the countermeasure is targeted at. Security measures change the threat model. They don’t force the adversary to give up, they force the adversary to change strategy and tactics.
  2. The victim’s loss and the adversary’s gain are not necessarily the same. In the case of the bicycle above, the lock may reduce the attacker’s gain to the black market value of the removed parts. The victim’s loss is still one bicycle.
  3. Asset dependencies. Thinking of a bicycle as one asset is an abstraction. A bicycle is really a collection of assets—its parts—and an asset by itself. Such dependencies, nested assets in this case, are common.

The bicycle lock, it turns out, is not really a bicycle lock, it’s a bicycle frame lock. It protects only one sub-asset of the bicycle, and an economically motivated adversary can make a gain that seems worth the risk without breaking the lock.

Prescriptive threat modeling—threat modeling done with the aim of finding a proper set of security features for a system—needs to take these issues into account. A good threat model anticipates changes in attacker behavior due to security measures. A good threat model considers not only damages to the victim but also gains of the adversary, as the latter are what motivates the adversary. And good security engineering is biased towards security, always overestimating adversary capabilities and always underestimating the effect of security measures, systematically.

Viel Lärm um fast nichts

Was fühlen wir uns alle verfolgt, wenn wir nach Amerika reisen, raunt es doch überall, man werde dort unsere Latops an der Grenze untersuchen und unsere Daten kopieren. Plausibel war diese Bedrohung nie, denn es gab kaum belegte Fälle. Seth Schoen bestätigt diesen Eindruck nun mit konkreten Zahlen:

»Zwischen Oktober 2008 und Juni 2010 soll es nur 6.500 Durchsuchungen dieser Art gegeben haben. Das waren etwa zehn pro Tag, die sich auf 327 Grenzübergänge verteilten. Die Hälfte der Durchsuchungen betraf dabei US-Bürger, es ist also kein alleiniges Problem für Auswärtige.«

Warum der Golem-Artikel erst mal langatmig hirnverbrannte Tipps gibt, wie man gegen die Nichtbedrohung entgehen könne, bevor er endlich zur Nachricht kommt, weiß nur die Redaktion. Schrieb’s ein Quereinsteiger mit mehr Ahnung von IT als von Journalismus? Konnte jemand nicht aus seiner Haut und musste seine Vorurteile deswegen über die Fakten siegen lassen? Handelt es sich um einen schweren Fall von Service? Oder war die Wahrheit einfach nicht sexy genug? Die rhetorische Frage über dem Golem-Artikel – Wie man die US-Grenze mit seinen Daten überschreitet – hat für alle praktischen Belange eine einfache Antwort: nicht anders als mit einem Taschenbuch, einem Faltrad oder einer Badehose im Gepäck.

(Dank an Tim K für den Link zum Artikel)

Liebe Melanie Berg,

Wenn Sie wieder einmal eine verlorene Tasche finden, dann machen Sie sich damit nicht wichtig. Sondern tun Sie in aller Ruhe das, was Ihren Mitmenschen als das Naheliegendste erscheint: bringen Sie ihren Fund ins Fundbüro. Dass Menschen etwas verlieren oder liegenlassen, ist ein alltäglicher Vorgang, der keinen Polizeieinsatz und keine Bahnhofssperrung erfordert. Und falls Sie sich wirklich einmal unsicher sind, ob die gefundene Tasche nicht doch eine Bombe enthält, dann öffnen Sie einfach den Reißverschluss und schauen Sie hinein. Meistens ist ein Rucksack nämlich einfach ein Rucksack. Oder haben Sie so viele schlechte Filme gesehen, dass Sie Angst davor haben?

DDoS

Welches Hackertool nimmt man, um einen Denial-of-Service-Angriff gegen eine kritische Infrastruktur ins Werk zu setzen? Genau, das Gesetzbuch:

»Schon gestern war der Tiergartentunnel ohne Vorwarnung gesperrt worde. Kurzzeitig war das zwar vorgesehen, aber der Grund für die Dauersperrung ist ein bizarres Datenschutzproblem: Nach Auskunft der Stadtentwicklungsverwaltung wurden die Bilder aus den Überwachungskameras aufgezeichnet, obwohl die Kameras nur der augenblicklichen Kontrolle des Verkehrs dienen sollen.«

(Tagesspiegel: Verkehr lahmgelegt: Stadtweites Chaos durch Nato-Gipfel und Tunnelproblem)

Wir haben viel zu wenig Phantasie. Hand aufs Herz, wem wäre Datenschutz-DoS als Bedrohung eingefallen?

Radfahren verlängert das Leben

Von wegen besonders gefährlich. Radfahren ist zwar nicht so billig wie angenommen, aber sehr gut für die Gesundheit:

»An drei Punkten beeinflusst regelmäßiges Radeln nach ihrer Kalkulation die Lebenserwartung:

  • Einatmen verschmutzter Luft: -1 bis -40 Tage
  • Unfälle: -5 bis -9 Tage
  • Trainingseffekt für den Körper: plus 3 bis 14 Monate«

(Spiegel Online:
Kostenvergleich Rad gegen Auto: Das Velo ist Sieger der Herzen
über die Studie Gesamtwirtschaftlicher Vergleich von Pkw- und Radverkehr)

Was wollte man an solchen Risiken noch optimieren?

Security as a classification problem

(video, via)

Security requires that one can tell the bad guys and the good guys¹ apart. Security is thus, at least in part, a classification problem. Different approaches to security use different typs of classifiers. The Israeli profiling described in the video above essentially implements one particular decision tree. There is nothing particularly good or bad about this particular tree compared to others, or to entirely different ways of doing the job. What matters in the first place is that the classifier is either correct—it never confuses good and bad—or that it is at least biased in the right direction—it may misclassify good guys as bad guys², but not bad guys as good guys. A secondary consideration is efficency. The Isreali approach to airport security optimizes efficiency for a particular threat model.


¹ Or other entities. Security classification may work on objects, actions, situations, or really any combination of features that might matter.

² Assuming the enforcement stage of the mechanism does not cause permanent damage to entities classified as bad.

Abends was g’scheites tun

Das klingt nachahmenswert und es wird auch schon nachgeahmt:

Nerd Nite is an informal gathering at which nerds get together for nerdery of all sorts (well, mostly presentations and drinking). Nerds and non-nerds alike gather to meet, drink and learn something new.

Die nächsten Termine in Deutschland:

Wo bleibt Darmstadt?

Mehr Licht

Eigentlich wollte ich hier noch mit meinem neuen LED-Licht am Fahrrad angeben und es wärmstens weiterempfehlen. Nun kommt mir FAZ.NET aber mit einem Artikel über die aktuelle Beleuchtungstechnik zuvor und erspart mir die Arbeit. Ich begnüge mich also mit dem Hinweis, dass mir mit meinem neuen LED-Scheinwerfer das Fahren auf dunklen Landstraßen erstmals richtig Spaß macht. Erst recht, wenn nach hinten noch ein Toplight Line leuchtet.

Mehr Weihnachtsgeld im Niedriglohnsektor

So bessern Sie Ihr Gehalt auf, wenn Sie im Niedriglohnsektor tätig sind:

  1. Suchen Sie Arbeit im Einzelhandel, zum Beispiel in einem Supermarkt. Dort sind sie in guter Gesellschaft.
  2. Machen Sie Ihre Arbeit eine Weile ordentlich. Das schafft Vertrauen, und Vertrauen ist die Grundlage aller krummen Dinger.
  3. Suchen Sie Komplizen. Der junge Kollege zum Beispiel, der gerade seine Lehre abgeschlossen hat, für den sind Sie eine Respektperson. Wenn Sie’s richtig einfädeln, wird er ihnen helfen, ohne einen Anteil zu verlangen.
  4. Ihr Platz ist die Kasse, denn dort ist das Geld. Leider gehört es Ihnen nicht und das können Sie nicht ändern. Das macht aber nichts. Es soll Ihnen nicht gehören, sie wollen es nur haben.
  5. Warten Sie, bis Sie mit einem Kunden alleine sind und keiner in der Nähe steht. Das ist nicht einfach, kommt am Samstagabend in der Kleinstadt aber doch hin und wieder vor.
  6. Verhalten Sie sich völlig normal und tun Sie Ihre Arbeit. Ziehen Sie Waren und Pfandbons über den Scanner. Machen Sie sich dabei innerlich bereit für die Entscheidung (und darauf, nicht enttäuscht zu sein, wenn es wieder mal nicht klappt.)
  7. Kleiner Einkauf, mittelgroßer Geldschein? Das ist Ihre Gelegenheit. Nehmen Sie den 50-Euro-Schein entgegen und legen Sie ihn in die Kasse. Jetzt brauchen Sie nur noch ein wenig Glück. Lässt Sie der Kunde kurz unbeobachtet, weil er Ihnen vertraut und gerade mit Einpacken beschäftigt ist?
  8. Lassen Sie den Schein in Ihrer Kasse verschwinden und dann geben Sie ungerührt auf 20 Euro heraus. Die 20 Euro, die Sie auch in die Kasse eingetippt haben. Wenn der Kunde protestiert, verweisen Sie auf den Bildschirm. Hätten Sie 20 Euro eingetippt, wenn er Ihnen 50 gegeben hätte? Natürlich nicht.
  9. Falls der Kunde insistiert, rufen Sie Ihren Komplizen zu Hilfe. Drücken Sie ihm ihre Kassenlade in die Hand und schicken Sie ihn nach hinten zum „Kassensturz“. Was er im Hinterzimmer wirklich tut, ist egal, das sieht ja keiner.
  10. Sorgen Sie dafür, dass Sie nach einigen Minuten einen Anruf erhalten. Wenden Sie sich danach dem auf sein Wechselgeld wartenden Kunden zu und erklären Sie ihm, er müsse sich wohl geirrt haben, die Kasse weise keinen Mehrbetrag auf. Dass das nur unter willkürlichen Annahmen eine relevante Information ist, sagen Sie nicht.
  11. (optional) Sorgen Sie dafür, dass der zurückkehrende Komplize diese Aussage gegenüber dem Kunden bekräftigt. Jetzt sind Sie in der Überzahl. Zwar haben Sie genau gar kein valides Argument hervorgebracht, aber Ihr Opfer kann ja auch nichts beweisen.
  12. Jetzt müssen Sie nur noch auf ihrem Standpunkt beharren. Notfalls drohen Sie Ihrem Opfer mit der Polizei und erteilen ihm Hausverbot.

Und ich warte jetzt erst einmal ab, was das Einzelhandelsunternehmen dazu sagt. Vielleicht kennt man diese dreiste Masche dort ja schon länger.

-=#=-

Frühere Beiträge aus dieser Reihe: