Cyber Security goes Ballistic

English, Regierungsviertel

I really liked the headline, though I didn’t like what the article said, i.e. that the U.S. President might start a cyber war /launch a preemtive strike without a real conflict with the state in question. The commentator at the Homeland Security Blog gets the point: „While Presidential Policy Directive 20 is secret, what is known about it is sufficient to raise global concern. The US arsenal is stupefying as it is, and cyber capabilities add a new dimension; and preemption brings us back to the fear and insecurity of the chilliest Cold War years. The undertones of the new policy are aggressive and, as of now, there are no known restrictions.“

Unterschätzte Risiken: Turmspringen gen Osten

Angst, Regierungsviertel, Safety, Unterschätzte Risiken, , , , , ,

Im Dieburger Freibad bleibt die obere Hälfte des Sprungturms künftig gesperrt. Der Grund:

»Nach den neuen Vorgaben europaweit geltender Richtlinien muss gewährleistet sein, dass sportliche Badegäste „nicht gegen die Sonne springen“, und dabei Schwimmer im Becken etwa wegen Blendung übersehen, so Thomas. Es dürfe nur noch „nach Norden“ gesprungen werden. Der Sprungturm in Dieburg zeigt nach Osten.«

(Echo Online:
Plötzlich steht der Sprungturm im Dieburger Freibad falsch)

Den Turm erst mittags zu öffnen, wenn die Sonne nicht mehr aus dem Osten scheint, wäre wohl zu einfach gewesen. Das Vorsorgeprinzip hat uns dank der EU fest im Griff – sicher ist sicher, da gibt es keine Diskussion. Oder steckt vielleicht die Freibadsanierungslobby dahinter?

Update: Erst mittags öffnen geht doch.

Mandatory Helmet Laws Reduce … Theft

English, Forschung, Risiko, Security, Studien, Unterwegs,

What happens when a government enacts and enforces a mandatory helmet law for motorcycle riders? According to criminologists, a reduction in motorbike theft follows. The 1989 study Motorcycle Theft, Helmet Legislation and Displacement by Mayhew et al. (paywalled, see Wikpedia summary) demonstrated this effect empirically looking at crime figures from Germany, where not wearing a helmet on a motorcycle is being fined since 1980. This lead to a 60% drop in motorcycle theft – interestingly, with limited compensation by increases in other types of vehicle theft.

The plausible explanation: motorcycle thieves incur higher risk of being caught when riding without a helmet after a spontaneous, opportunistic theft. Adaptation is possible but costly and risky, too: looking for loot with a helmet in one’s hand is more conspicious, and preparing specifically to steal bicycles reduces flexibility and narrows the range of possible targets.

Something to ponder

English, Geschäft, Security, security-industrial complex, Vulnerability, ,

Which of the following statements do you agree or disagree with, and why?

  1. If you get robbed, it’s your fault. You should have carried a gun and used it to defend yourself.
  2. If your home gets burgled, it’s your fault. Your should have secured your home properly.
  3. If you get raped, it’s your fault. Your shouldn’t have worn those sexy clothes, and hey, what were you doing in that park at night?
  4. If your computer gets hacked, it’s your fault. You should have patched the computer every day and used a better password.
  5. If you get run over by a car and injured in the accident, it’s your fault. You should have worn a helmet and a high-viz jacket.
  6. If someone bullies you on the Internet, it’s your fault. You should have used a pseudonym on Facebook.

Do you agree with all, some, or none of these statements? Please elaborate in the comments. I’m not so much interested in nitpicking about the causation of certain incidents – read »your fault« as »in part your fault« if you like so. What interests me rather is the consistency or incocnsistency in our assessment of these matters. If you happen to agree with some of the statements but disagree with others, why is that?

P.S. (2014-09-05): Samuel Liles and Eugene Spafford discuss this matter more thoroughly: What is wrong with all of you? Reflections on nude pictures, victim shaming, and cyber security

Levels of Crime Opportunity

Begriffe, English, Property Degrees, Security

Just came across a crime science paper that expresses an idea similar to my security property degrees:

»In addition, for any crime, opportunities occur at several levels of aggregation. To take residential burglary as an example, a macro level, societal-level cause might be that many homes are left unguarded in the day because most people now work away from home (cf. Cohen and Felson 1979). A meso-level, neighborhood cause could be that many homes in poor public housing estates once used coin-fed fuel meters which offered tempting targets for burglars (as found in Kirkholt, Pease 1991). A micro-level level cause, determining the choices made by a burglar, could be a poorly secured door.«

(Ronald V Clarke: Opportunity makes the thief. Really? And so what?)

Clarke doesn’t elaborate any further on these macro/meso/micro levels of opportunity for crime. Maybe I’m interpreting too much into this paragraph, but in essence he seems to talk about security properties – he is discussing in his paper the proposition that opportunity is a cause of crime and reviews the literature on this subject. Opportunity means properties of places and targets.

CAST-Seminar: Sichere Software entwickeln – Erfahrungen, Methoden, Werkzeuge am 25. April 2013

Events, Security, So geht das, Unterwegs, , ,

Wir veranstalten am 25. April 2013 unter dem Dach des CAST e.V. das Seminar Sichere Software entwickeln – Erfahrungen, Methoden, Werkzeuge. Es wendet sich an Praktiker der Softwareentwicklung, die für die Sicherheit der Ergebnisse verantwortlich sind. Die Themen reichen von Werkzeugen für die Praxis über Schulung und Zertifizierung für Entwickler bis zur Architektur sicherer Software. Das Vortragsprogramm steht auf der Website des CAST e.V., dort erfolgt auch die Anmeldung.

Scamming Scientists

Bedrohung, English, Security

Now this is an interesting specialization of phishing attacks:

»The scam works like this: Someone obtains of a list of articles submitted to — and under review by — a publisher, along with the corresponding author’s contact information. Then, pretending to be the publisher, the scammers send a bogus email to the corresponding author informing him that his paper has been accepted. The email also contains article processing fee information, advising the author to wire the fee to a certain person. The problem is that it’s not the publisher sending out the acceptance emails — it’s a bad guy.«

(Scholarly Open Access: Fraud Alert: Bogus Article Acceptance Letters)

I doubt this constitutes a sustainable attack business model, but the perpetrators surely deserve credit for being adaptive and creative.

Hände weg von Ostwind: Was Herr Weichert vom Wetterbericht lernen kann

Bedrohung, Datenschutz, IT, Propaganda, Risiko, Spackeria, Wolkenkuckucksheim, , ,

Das Wetter passiert einfach und wir passen uns an, damit es uns wenig beeinträchtigt. Meteorologen helfen uns dabei, indem sie das Wetter beobachten und uns Berichte und Vorhersagen liefern. So weiß ich heute schon, ob ich morgen mit dem Fahrrad zur Arbeit fahren möchte oder lieber nicht, und der Kollege vom THW kann einschätzen, ob er morgen zur Arbeit fährt oder mit Sandsäcken zum Deich. Datenschützer versuchen, anders zu orbeiten, doch das ergibt keinen Sinn.

Dem Gesetz nach ist der Datenschutz präventiv: personenbezogene Daten zu verarbeiten ist erst einmal verboten, solange nicht eine Reihe von Anforderungen erfüllt sind. In der Karteikarten-IT der 70er, in der er seine Wurzeln hat, war das kein Problem. Damals gab es noch kein Internet mit emergenten Diensten für Milliarden von Nutzern, experimenteller Softwareentwicklung im Produktivbetrieb, mit sozialen Graphen und statistischen Inferenzmodellen über große Datenmengen. Als riskant galt die damals noch junge elektronische Datenverarbeitung als solche, der man folglich personenbezogene Daten nur bedingt und kontrolliert zugänglich machen wollte.

Dem Internet konsequent Daten vorzuenthalten, ist heute weder praktikabel noch nützlich: nicht praktikabel, weil das Internet nichts anderes tut als Daten zur Verarbeitung an einen anderen Ort zu transportieren, und nicht nützlich, weil übertriebene Datensparsamkeit das persönliche Lebensrisikoprofil nur geringfügig beeinflusst. Umfang und Vielfalt der Datenverarbeitung laufen der bedächtigen Abwägung von Nutzen und Risiken in immer schnelleren Schritten davon – ohne dass wir deswegen alle stürben.

An die bloße Tatsache, dass Daten anfallen und genutzt werden, können wir unser Risikomanagement nicht mehr anknüpfen, sonst würden wir uns zu oft und zu lange mit Irrelevantem beschäftigen. Stattdessen müssen wir schnell und effizient tatsächliche Risiken identifizieren, den Rest vorerst ignorieren und Einschätzungsfehler später erkennen und behandeln. Das wäre ein beobachtender, risikoorientierter Datenschutz, der die Verarbeitung personenbezogener Daten grundsätzlich als gegeben hinnimmt und – abgesehen von einigen Grundregeln zur Abwicklung – nur dort eingreift, wo sich besondere Risiken zeigen.

Datenverarbeitung im Internet findet wie das Wetter einfach statt und lässt sich nur begrenzt beeinflussen oder gar verbieten. Wo sie uns stark beeinträchtigt, müssen wir etwas tun (oder lassen). Überall sonst können wir sie einfach hinnehmen.

In ihrer Öffentlichkeitsarbeit gehen prominente Datenschützer längst reaktiv vor: je offensiver die Facebooks und Googles dieser Welt eine Neuerung bewerben, desto lauter werden auch die amtlichen Warnungen. Der Ansatz ist richtig, aber fehlerhaft umgesetzt. Risikoorientierte Reaktionen müssen dort ansetzen, wo sich relevante und beeinflussbare Risiken empirisch zeigen. Wir haben keine Anhaltspunkte dafür, dass die PR bekannter Internet-Unternehmen mit diesen Risiken korreliert ist und sich als Auslöser für Datenschutzreaktionen gut eignet. Im Gegenteil, wir bekommen vom immer dieselbe Information: Hier ist etwas neu, seht Euch vor!

Man stelle sich vor, Wettervorhersagen gäbe es nur bei Ostwind sowie bei Sprühregen, und jedesmal erklärte uns ein Wetterbeauftragter, welche Gefahren das Wetter so mit sich bringt. Solche Wetterberichte wären nutzlos, sie kämen zur falschen Zeit und mit dem falschen Inhalt. Datenschützer informieren mich an zufälligen Zeitpunkten über allgemeine Gefahrensvisionen. Damit kann ich nichts anfangen.

Anstelle solcher Nachrichten vom Redundanzbeauftragten bekäme ich gerne eine Risikobewertung für mein Nutzungsprofil. Was droht mir voraussichtlich, wenn ich das Internet so nutze, wie ich es eben tue? Wie groß ist das Risiko absolut und im Vergleich? Welche Entscheidungsoptionen haben den größten Einfluss auf meine Risiken? Welche Risiken sind hoch, ohne dass ich sie beeinflussen kann? Statt nachrichtengetriggert immer denselben Teufel an die Wand zu malen, der in meinem Alltag keine Entsprechung findet, könnten sich Datenschützer nützlich machen, indem sie mir regelmäßig fundierte Bewertungen liefern, die ich auf mich und mein Tun beziehen kann.

Meteorologen informieren mich heute darüber, mit welchen Bedingungen ich morgen zu rechnen habe. Manchmal warnen sie auch; dann haben sie dafür einen Anlass und sie stufen ihre Warnung je nach Risiko ab. Diese Art der regelmäßigen Information ist nützlich für mich. Als Grundlage meiner informationellen Selbstbestimmung benötige ich ähnliche Nachrichten. Ich möchte wissen, wie sich einige grundlegende Parameter voraussichtlich entwickeln, um mich darauf einstellen zu können. Warnungen und besondere Unterstützung brauche ich nur im Ausnahmefall; dann, und nicht bei Sprühregen oder Ostwind, darf von mir aus gerne das Cyber-THW mit Datensandsäcken anrücken.

Redefining a Security Problem to Fit Mechanism Capabilities

Classifier Security Model, English, Security

Bruce Schneier dug out this little gem: Forbidden Spheres. A nuclear weapons lab, so the (apparently unconfirmed) story goes, classified all spherical objects as confidential, rather than just those related to nuclear weapons design. In the security-as-classification paradigm this makes a lot of sense. The desired security policy is to keep everything related to weapons design confidential. This includes objects that might give away information, which one will naturally find in an R&D lab. To enforce this policy, however, requires either comprehensive tracking of all objects, or complicated considerations to decide whether an object is classified as confidential under the policy or not. But a subset of the objects under consideration has a common, easy-to-detect property: they are spherical. The classification required as a prerequisite for policy enforcement becomes much simpler if one considers only this feature. The classification also becomes less perfect, there are classification errors. However, if it’s all about nuclear spheres, than the simplified classifier errs systematically towards the safe side, erroneously classifying innocuous spherical objects as confidential. As long as it doesn’t disturb the intended operations of the lab, this may well be acceptable. This approach would break down if an adversary, or an accident, could easily change relevant shapes without defeating purpose.