Unterschätzte Risiken: Helmträgerinnen

Unterschätzte Risiken

»Einen offenbar sehr stabilen Helm besitzt eine Radfahrerin, die am Montagnachmittag mit ihrem Kopf eine Schranke so stark beschädigte, dass diese nicht mehr funktionierte. In Plagwitz war die 31-jährige Leipzigerin nach Polizeiangaben von einem Parkplatz in Richtung Nonnenstraße gefahren und nahm dabei nicht den Radweg, sondern folgte einem Auto durch die Zufahrt. Die Frau stieß dann mit ihrem Helm gegen die sich schließende Schranke, die dabei aus ihrer Halterung gedrückt wurde. Die Radfahrerin blieb unverletzt. Zwar bemerkte sie die Beschädigung, fuhr aber einfach weiter.«

(LVZ-Online:
Radfahrerin hebelt Schranke in Plagwitz mit ihrem Kopf aus)

Wahlmaschinen als politische Waffe

Vulnerability, Wahlcomputer

Auf die tatsächliche Manipulierbarkeit von Wahlgeräten kommt es manchmal gar nicht an. Als Argument in politischen Auseinandersetzungen genügt schon die Möglichkeit:

»Can Nevada Voters Trust Union-Run Voting Machines?

A conservative watchdog group is calling on Nevada officials to intervene to ensure SEIU workers who operate one county’s voting machines don’t skew the results to boost their endorsed candidate, Senate Majority Leader Harry Reid.

A contract between SEIU Local 1107 and Clark County — where voting glitches were reported Tuesday — makes the SEIU the sole union representative for, among other professions, voting machine technicians.

Nevada SEIU spokesman Nick Di Archangel called the suggestion that SEIU or its technicians would manipulate voting machines „absolutely false.“

But Americans for Limited Government called the union agreement „positively outrageous“ considering SEIU’s political stake in the race. ALG has urged the U.S. Marshals, the state attorney general and the U.S. attorney’s office to step in to uphold the integrity of the election.«

(FoxNews.com: Watchdog Warns SEIU Contract for Nevada Voting Machines Poses ‚Fraud‘ Concern)

Daraus kann sich schnell ein unübersichtliches Gestrüpp aus Behauptungen und Gegenbehauptungen entwickeln, die sich alle nicht überzeugend widerlegen lassen. Sind amerikanische Konservative gewerkschaftsfeindlich? Na klar! Aber impliziert dies, dass diese Kommunisten sich nicht an den Geräten vergreifen? Natürlich nicht!

Hacking als Beruf

Events, IT, Propaganda, Security, Testlabor,

Vortrag und Live-Demo zu Schwachstellensuche und –absicherung
3. November 2010, 16:15-18:00 Uhr, TU Darmstadt | Gebäude S2/02 Raum C120

Studierende und Interessierte können sich bei der Veranstaltung an der TU Darmstadt über Hacker-Methoden in der IT-Sicherheitsausbildung informieren.

Im Anschluss an seinen Vortrag demonstriert Dr. Martin Mink vom Center for Advanced Security Research (CASED) in einer Live-Demo die (Un)Sicherheit von Webshops und Methoden zur Absicherung.

Soziale Kontrolle, technisch unterstützt

English, Security, Trusted Computing, Vertrauen

»Lance Maggiacomo was out of work, bored and lonely when he started hiding his online relationships from his wife.

There was no affair, only chatting through e-mail, yet it felt like cheating just the same.

A few years later, a reformed Maggiacomo has an in-house check on his impulses. He and his wife Lori, like other Christian couples around the country, share one e-mail account as a safeguard against the ever-expanding temptations of the Internet.«

(USATODAY.com:
Christian couples share e-mail addresses to stay faithful)

Hoffentlich können sie wenigstens lesen

Freundlich zum Nutzer, Safety, Unterwegs,

Verkehrszeichen verlangen dem Fahrzeugführer einiges ab. Er muss sie wahrnehmen, interpretieren und die damit verbundene Aufforderung umsetzen. Anscheinend ist das einigen zu schwer, weswegen man ihnen den Sinngehalt lieber noch einmal ausführlich erklärt. Während der Fahrt in der StVO zu blättern wäre ja auch viel zu gefährlich.

Verkehrszeichen "verkehrsberuhigte Zone" auf der Fahrbahn, daneben eine große Tafel, die verbal das Zeichen erklärt

Außer Anwohnern und Müllautos fährt dort übrigens nichts, vermute ich.

Von wegen Frühwarnung

Erich fragt, Forschung, IT, Security, Vulnerability, Zahlenspiele, , , , ,

Waren Frühwarnsysteme nicht in den letzen Jahren ein unheimlich wichtiges Forschungsthema, das nach großzügiger Projektförderung verlangt? Genützt hat es anscheinend nicht viel. Seit gestern staunen die Leitmedien (1, 2) über die Meldung, Java habe den Flash Player als Angriffsziel überholt und einen deutlichen Vorsprung herausgefahren.

Diese Meldung ist in der Tat überraschend – wenn man in den letzten Jahren geschlafen und alle verfügbaren Daten ignoriert hat. Ich zeige Euch mal zwei Folien aus einem Vortrag, den ich vor anderthalb Jahren als Auftragsarbeit gehalten habe. Im ersten Diagramm vergleiche ich für Flash und Java die Zahl bekannter Verwundbarkeiten, d.h. die Zahl der  CVE-Datensätze über beliebige Versionen des jeweiligen Produkts im Untersuchungszeitraum von Januar 2008 bis Mai 2009. Zum Vergleich gibt es in der Mitte noch einen Balken für den Internet Explorer, den Standardbrowser des Kunden:

Balkendiagramm mit Verwundbarkeitszahlen (Anzahl CVE) für den Zeitraum Januar 2008 bis Mai 2009: Flash - 21, IE - 42, Java - 55

Das zweite Diagramm beruht auf denselben Daten. Hier habe ich aber nicht nur Verwundbarkeiten gezählt, sondern jeden Eintrag nach seinem CVSS-Score gewichtet. Dieser Wert zwischen 0 und 10 gibt an, wie schwerwiegend eine Verwundbarkeit ist. Damit wird das Bild noch deutlicher. Schon damals hatte Java nicht nur mehr Probleme, sie waren im Mittel auch noch schwerwiegender:

Balkendiagramm mit Verwundbarkeitszahlen (Anzahl CVE gewichtet nach CVSS-Score) für den Zeitraum Januar 2008 bis Mai 2009: Flash - ca. 140, Java - ca. 440

Unser Kunde wollte damals wissen, welche Risiken er sich einhandelt, wenn er seinen Anwendern den Flash Player in die Hand gibt. Ein Blick in die Verwundbarkeitsstatistik lag nahe. Zwar steht dort nicht, wie oft Angriffe erfolgen, aber man bekommt eine Vorstellung davon, wo sie sich lohnen, also eine hohe Erfolgswahrscheinlichkeit haben. Dass sich solche Angriffe dann auch ereignen, sollte niemanden verwundern.

Dass Java weit genug verbreitet ist, um auch Streuangriffe im Netz attraktiv zu machen, ist auch keine Neuigkeit. Sogar Adobe sieht Java nach Verbreitung auf dem zweiten Platz gleich hinter dem Flash Player. Diese Zahlen haben sich seit damals nicht wesentlich verändert.

P.S.: Woanders klappt es auch nicht mit der Frühwarnung.

Neue Skimming-Zahlen

Security, Unterwegs, Zahlenspiele, ,

Man muss das Geld dort abholen, wo es liegt:

»Bei 51 sogenannten Skimming-Angriffen in Frankfurt sei seit Jahresbeginn ein Schaden von 460 000 Euro entstanden, teilte die Polizei am Freitag mit. Es liegen über 400 Anzeigen vor. Im gesamten vergangenen Jahr hatte es 26 Angriffe auf Geldautomaten gegeben.«

(Echo Online:
Immer mehr Attacken auf Bankautomaten)

Zum Vergleich, die Zahlen für ganz Sachsen lagen im vergangenen Jahr in ähnlicher Höhe, während es hier nur um Frankfurt geht.

ECRYPT II Yearly Report on Algorithms and Key Lengths

English, IT, Security, , ,

For those who aren’t aware of it yet: the ECRYPT II Network of Excellence maintains »a list of recommended cryptographic algorithms (e.g. block ciphers, hash functions, signature schemes, etc) and recommended keysizes and other parameter settings (where applicable) to reach specified security objectives.« This list is available as a public report, one can download the current version from their web site. If you need to assess the security and suitability of an algorithm used somewhere, this might be a valuable source.

 

Privatheit versus Fortschritt − Wie schutzbedürftig sind biometrische, medizinische und genetische Daten?

Datenschutz, Events, ,

Vortragsabend der „Darmstädter Juristischen Gesellschaft“ mit anschließender Podiumsdiskussion in Kooperation mit dem Forum für interdisziplinäre Forschung der TU Darmstadt sowie CASED.

Montag, 1. November 2010, ab 18:00 Uhr, Georg-Christoph-Lichtenberg Haus der TU Darmstadt, Dieburger Strasse 241, 64287 Darmstadt

Details hier und dort.