Das BSI warnt in einer neuen Studie vor Identitätsdiebstahl im Internet.
Unterschätzte Risiken: Hacker
Zu Hause haben wir uns immer sicher gefühlt. Ach was, wir waren sicher. Bis die Hacker kamen. FOXNews klärt uns auf über 10 Bizarre-but-True Ways Your Home Is Susceptible to Hackers und enthüllt Erschreckendes. Unsere Autos können sie googlen, unsere Drucker klauen, ja sogar durch die Vordertür hereinspazieren und unsere Freunde werden, nachdem sie uns den Strom abgestellt haben. Wir haben Angst.
In einem Wort
Unterschätzte Risiken: Zu lange Schlüssel
Luke O’Connor macht sich interessante Gedanken über Verschlüsselung mit überlangen Schlüsseln:
»But I will argue in this post that the likelihood of reputational damage to AES-256 is far from low, and perhaps even quite high. AES-256 keys are so large that it is next to impossible to argue that a cryptanalyst will not be able to find some shortcut to recovering keys that saves time over exhaustive search – simply because the cryptanalyst has so much time to play with.«
(No Tricks: AES-256 and Reputational Risk)
Er argumentiert, dass große Schlüssellängen ein Fenster für kryptographisch erfolgreiche, praktisch aber irrelevante Angriffe lassen. Daraus ergibt sich ein ungerechtfertigtes Reputationsrisiko für den Algorithmus, weil Kryptologen nach ihrer Definition den Algorithmus „brechen” (und darüber reden), ohne dass daraus ein realer Sicherheitsverlust im Einsatz folgt.
Vielleicht ist das Reputationsrisiko aber auch nur Folge eines gesunden Sicherheitsaufschlags.
Schadensinflation
Meine Haftpflichtversicherung schickt mir diese schöne Prosa:
»Der unabhängige Treuhänder hat eine Erhöhung des Durchschnitts der Schadenszahlungen festgestellt. Gemäß der vertraglichen Regelungen zur Beitragsangleichung wurde der Beitrag um 5% erhöht.«
Wieso brauchen die einen Treuhänder für etwas, das an der Tankstelle oder bei der Bahn einfach so funktioniert?
Unterschätzte Risiken: Homoglyphen
Homoglyphen sind ein uraltes Problem, das wir eigentlich längst gelöst haben, nur nicht für immer:
»Steht da ein O oder eine 0? Im neuen Reisepass sieht beides identisch aus. Viele USA-Reisende verwechseln deshalb beim elektronischen Visa-Antrag die Ziffer mit dem Buchstaben – und bekommen Stress bei der Einreise.«
(Spiegel Online:
Ärger mit Reisepässen: Die Nullen aus dem Innenministerium)
Die Null bekommt einen Schrägstrich verpasst, so einfach ist das. Wenn die Zeichen verschieden aussehen, sind es nämlich keine Homoglyphen mehr. Oder so einfach war es zumindest, als ich vor mehr als zwei Jahrzehnten meine ersten zaghaften Schritte in der EDV (so hieß die IT damals) ging. Vielleicht hat man diesen lästigen Kleinkram auf dem Weg in die Informationsgesellschaft vergessen.
Als ob Stoppschilder helfen würden
Falls es noch Leute gibt, die sich unter den Begriffen Mashup und Remix nichts vorstellen können:
(via)
Smelly Security
Colleagues from Fraunhofer Umsicht have developed a bike helmet that smells when the structure gets insecure.
http://nanopatentsandinnovations.blogspot.com/2010/06/crash-helmet-with-useful-smell.html
If one could transfer this to the IT world the internet would be a disgusting place and nobody would like to have an IPhone.
Unterschätzte Risiken: Rumstehen ohne Helm
Da hat wohl einer geglaubt, er könne sich den Helm sparen, wenn er nur vom Fahrrad stiege und sich neben die Rennstrecke stellte. So kann man sich täuschen:
»Wie die Polizei mitteilte, sei an der Bezirksgrenze von Kreuzberg zu Neukölln gegen 12 Uhr ein bislang unbekannt gebliebener Radfahrer plötzlich gestürzt und gegen einen Streckenposten geprallt. Der Sportler und sein Rad trafen den Helfer am Kottbusser Damm Ecke Weserstraße so unglücklich, dass der 63-Jährige hinstürzte und mit dem Kopf gegen die Bordsteinkante schlug.
Der Polizei zufolge erlitt das Unfallopfer schwerste Kopfverletzungen. (…)«
(Tagesspiegel:
Helfer am Kopf verletzt: Folgenschwerer Unfall beim Velothon)
In einem Wort
Keine Ahnung von der Sicherheit
Michal Zalewski rantet über Security Engineering und zieht dabei über formale Methoden, Risikomanagement und Fehlertaxonomien her. Das gefällt nicht allen, aber in allen drei Punkten halte ich Zweifel und Kritik für sehr berechtigt:
- Reale Anwendungen sind für formale Methoden zu groß und zu kurzlebig. Aus der Forschung meldet man begeistert die erfolgreiche formale Verifikation des seL4-Mikrokernels (PDF). Er umfasst 8700 Zeilen C und 600 Zeilen Assembler. Vermutlich hat der JavaScript-Code schon mehr Zeilen, der mir hier den Editor ins Blog baut. Die Verifikation des Kernels war übrigens aufwändiger als seine Entwicklung.
- Risikomanagement klingt erst einmal gut und vernünftig. Das tut es genau so lange, wie man sich mit der Floskel von Eintrittswahrscheinlichkeit mal Schadenshöhe begnügt. Fragt man aber nach Zahlen, so ist es mit dem Risikomanagement schnell vorbei. Wie hoch ist die Wahrscheinlichkeit eines Angriffs? Um wieviel reduziert eine Sicherheitsmaßnahme das Risiko? Wir wissen es nicht.
- Taxonomien leiden, ähnlich wie Metriken, unter mangelnder Zweckorientierung. Die fein ausdifferenzierten Defektkatekorien der CWE zum Beispiel nützen vermutlich weder dem Entwickler noch dem Tester etwas: die Fehler sind nicht nach Teststrategien und nur indirekt nach Vermeidungsmöglichkeiten klassifiziert.
Dass wir eigentlich keine rechte Ahnung haben, wie das mit der Sicherheit so funktioniert, war schon im Februar auf dem Smartcard-Workshop meine These. Ich winke deshalb freundlich über den Atlantik, der Mann hat recht (d.h. ich teile seinen Glauben. :-))
100 Euro (pro Rechteinhaber)
»Das ist sozusagen der Preis, den man für ein unverschlüsseltes WLAN zu bezahlen hat. Jeder ist aber nach wie völlig frei darin, sein WLAN offen zu lassen.«
(law blog: Hilfe, ein unverschlüsseltes WLAN)
So einfach kann eine Risikoanalyse sein.
In einem Wort
Moderne Zeiten
Früher nannte man so etwas Erziehung und fand es ganz gut.
Unterschätzte Risiken: Hinterfotzigkeit
Bésame, bésame mucho / Como si fuera esta noche la última vez. / Bésame, bésame mucho, / Que tengo miedo a perderte, perderte después.
»Verletzungen an seiner Zunge nach einem heftigen Kuss erlitt dieser Tage ein 38 Jahre alter Mann aus dem Landkreis Darmstadt-Dieburg. (…) Offenbar kam es mitten in der Nacht zu heftigen verbalen Streitereien zwischen dem Ehepaar, wie die Polizei mitteilte. (…) Mit einem Kuss wollte sich das Paar versöhnen – dabei biss die Frau zu.«
(Echo Online: Zungenbiss: Polizei ermittelt wegen gefährlicher Körperverletzung)
Überzeugendes Argument
Spanien hat ihn schon, seinen elektronischenneuen Personalausweis (nPA), und die Werbung dazu auch. DNI electrónico (DNI: Documento Nacional de Identidad) heißt das Stück dort und im Gegensatz zum nPA trägt er einen klassischen Chipkartenchip mit Kontakten. Aber selbst in Spanien, wo der Personalausweis im Alltag viel präsenter ist als bei uns und zum Beispiel beim Zahlen mit Kreditkarte gewohnheitsmäßig vorgezeigt wird, braucht die elektronische Version etwas Nachhilfe. Diese Nachhilfe fällt aber nur in den Augen eines Bürokraten überzeugend aus. »Deine Steuererklärung wo und wann du willst«, das ist nicht gerade die sexy Informationsgesellschaft, auf die sich alle stürzen. Web 2.0 ist hip, Youtube, Twitter, Facebook und so weiter, aber Steuererklärungen?
Gezielte Verteidigung
Ein gutes Bedrohungsmodell erleichtert die Verteidigung, indem es gezielte Sicherheitsmaßnahmen ermöglicht. Das demonstrieren uns Ladeninhaber, die ihre Alarmanlagen mit Nebelmaschinen koppeln. Diese Idee ist vermutlich gut: Einbrecher kommen mit dem Ziel, schnell und einfach eine gewisse Menge Waren mitzunehmen, ohne dabei gefasst zu werden. Dichter Nebel stört dabei. Er verhindert zwar nichts, verlangsamt aber Vorgänge: das Auffinden der Beute, das Heraustragen und gegebenenfalls auch die Flucht, was das Risiko der Täter erhöht. Außerdem kostet Nebel nicht viel, gewiss weniger als eine strikt präventive Ausstattung des gesamten Gebäudes mit einbruchshemmenden Maßnahmen. Alle Schäden verhindert er nicht, aber zur Reduktion taugt er allemal.
Was macht ein Bedrohungsmodell brauchbar? Das ergibt sich daraus, wozu man dieses Modell braucht: man möchte im Modell die mutmaßliche Wirksamkeit und Eignung von Sicherheitsmaßnahmen diskutieren, einschätzen und vergleichen. Die so begründeten Entscheidungen sollen später mit hoher Wahrscheinlichkeit den Realitätstest überstehen.
Unterschätzte Risiken: Hunde
Die NZZ meldet ein echtes unterschätztes Risiko: Hunde beissen häufiger als angenommen. Das ist das Ergebnis einer Studie der Schweizerischen Unfallversicherungsanstalt. Grund zur Sorge gibt es dennoch nicht:
»Obwohl jeder Unfall ein Unfall zu viel ist und menschliches Leid und Kosten verursacht, kommt die Suva zum Schluss, dass sich seitens Suva für ihre Versicherten keine spezifischen Präventionsmassnahmen zur Vermeidung von Unfällen mit Hunden aufdrängen.«
Das lese ich gerne (und viel zu selten).
Wenn der iPod nicht mehr richtig synchronisiert wird,
… hilft es vielleicht, iTunes mal aufräumen zu lassen. Nach dieser Prozedur haben die Streithähne vergessen, dass sie sich je kannten: beim nächsten Kontakt mit dem iPod fragt iTunes höflich, ob es ihn plattmachen und neu bespielen soll. Mein Problem – beim Synchronisieren landete nur noch eine nach unbekannten Kriterien gewählte Teilmenge der Inhalte auf dem iPod, so ca. 400MB von 7GB – war damit jedenfalls gelöst.
[Und weil es thematisch dazu passt, seine MP3- bzw. M4A-Sammlung verschiebt man mit iTunes so in ein anderes Verzeichnis.]
Sicherheitsmetrik
Wir IT-Akademiker forschen gerne an Fragen herum, die einen vagen Relitätsbezug haben, die man aber in der Praxis pragmatisch handhabt. Nach ein paar Jahren haben wir die Lösungen der Pragmatiker formal dokumentiert und wissenschaftlich nachgewiesen, was die Kollegen immer schon wussten, nämlich dass das so tatsächlich funktioniert.
Sicherheitsmetriken sind ein Beispiel dafür: als Forschungsthema sehr dankbar, weil man sich immer neue Varianten ausdenken und sie akribisch untersuchen kann. Dummerweise verliert der Wissenschaftler dabei oft die Anforderungen der Praxis aus dem Auge und misst deshalb irgend etwas, weil es gerade messbar ist und ihm ins Modell passt, statt von einem Entscheidungsbedarf auszugehen und nach geeigneten Grundlagen zu suchen. Der Pragmatiker macht es umgekehrt:
»Neben anderen Integritätstests hatte wir in diesen Scripten in der Regel auch eine Prüfung drin, die festgestellt hat, wie sehr sich die Anzahl der Datensätze im Vergleich zum vorhergehenden Run geändert hatte. Wenn die Fluktuation bei mehr als 10% lag, hat das Script die Datei NEBEN der alten Datei installiert, aber nicht live geschaltet, sondern eine Mail an die Admins geschickt, damit die sich das Ding mal ansehen und es manuell live nehmen. Das hat uns mehr als einmal den Hintern gerettet.«
(Die wunderbare Welt von Isotopp: DENIC erklärt sich)
Die zehn Prozent sind formal betrachtet völlig willkürlich gewählt, tatsächlich aber wohl ein Erfahrungswert, der sich aus informellen Beobachtungen typischer Vorgänge ergibt. So etwas würde ein Wissenschaftler nie zulassen.
Sicher ist sicher? 