CCTV-Zahlen

Datenschutz, Security, Video, Zahlenspiele, , ,

Ein Artikel von Angela Sasse in der aktuellen CACM (paywalled: Not Seeing the Crime for the Cameras?) liefert Zahlen aus dem Mutterland der Überwachungskamera:

Der Artikel kommt zu dem Schluss, dass CCTV zur Kriminalitätsverhinderung im Wesentlichen nutzlos sei.

Must read

English, Off Topic

Markov Indecision Processes: A Formal Model of Decision-Making under Extreme Confusion

Abstract:

»We present a mathematical model of indecisive agents faced with a sequence of diffcult decisions, extending Adams‘ bistromathics to the multistage case. This is almost the first work on modeling stochastic processes for which the probabilities are fundamentally unknowable. This paper describes a novel algorithm, complexity results, and a model-free learning algorithm for Markov indecision processes. Two applications are discussed based on real-world domains: presidential elections and the stock market.«

Unterschätzte Risiken: Käse

Angst, Safety, Unterschätzte Risiken, , ,

Hand aufs Herz: haben Sie Angst vor Käse aus dem Supermarkt? Nein? Sollten Sie aber, denn Käse kann Sie umbringen:

»Alarm bei Lidl: Der Discounter hat erneut vor dem Verzehr von zwei Käsesorten gewarnt, die offenbar mit gefährlichen Bakterien verseucht sind. An ihnen sollen bereits sechs Menschen gestorben sein, die Symptome ähnelten zunächst denen einer Grippe.«

(Welt Online: Lebensmittel: Mehrere Todesfälle – Lidl ruft Käse zurück)

Die gefährlichen Bakterien sind Listerien, und wenn die Infektion Symptome zeigt, ist der Käsekauf vielleicht längst vergessen.

Stolen laptop case study

English, IT, Security,

Shocking news: it is easy to steal laptop computers in universitites!

»In this study, we look at the e ffectiveness of the security mechanisms against laptop theft in two universities. We analyze the logs from laptop thefts in both universities and complement the results with penetration tests. The results from the study show that surveillance cameras and access control have a limited role in the security of the organization and that the level of security awareness of the employees plays the biggest role in stopping theft. The results of this study are intended to aid security professionals in the prioritization of security mechanisms.«

(Laptop theft:
a case study on e ffectiveness of security mechanisms in open organizations)

By the way,

English, IT, Security, Trusted Computing, , ,

… if it’s worth the effort, this TPM hack may nicely complement an Evil Jan attack. First the attacker carries out the Evil Jan attack to obtain any user-provided key material, next he takes the machine away and cracks the TPM for the rest of the key material. Usually there are easier ways after the initial step, but if, for whichever reason, they should become infeasible, going for the TPM might be an option.

Leaving the TPM exposed to physical attacks while protecting the RAM of a system from wire access, DMA, and cold boot attacks would be a pretty stupid design error, though. But who knows?

Unterschätzte Risiken: Sicherheitsgesetze

Datenschutz, ID, Security, Unterschätzte Risiken, , , ,

Schon seit einigen Jahren gibt es die Vorratsdatenspeicherung light: Telekommunikationsanbieter müssen die Identität ihrer Kunden erfassen und den Sicherheitsbehörden auf Anfrage zur Verfügung stellen. Rechtsgrundlage ist der §111 TKG (im Abschnitt Öffentliche Sicherheit), der dem anonymen Verkauf von Prepaid-Karten ein Ende machte. Sicherer geworden sind wir dadurch nicht. Wo man früher nur anonym telefonieren konnte, geht das jetzt auch unter einem falschen Namen, dem die Behörden dann vielleicht eine echte, aber unbeteiligte Person zuordnen.

An der inhärent schlechten Qualität der derart erfassten Daten wird sich kaum etwas ändern lassen. Anbieter, Händler und Kunden haben kein eigenes Interesse an der Pflege der Datenbestände, die deshalb schon ohne böswillige Eingriffe schnell degenerieren. Ein Musterbeispiel für eine wirtschaftliche Fehlkonstruktion: den Nutzen haben die Sicherheitsbehörden, den Aufwand die Betreiber und Händler und den Schaden irgend jemand. Öffentliche Sicherheit kann man so nicht schaffen.

Die Datenschützer waren übrigens gleich dagegen. Sie hatten Recht. Wie oft muss die Idee von der Sicherheit durch Identifizierung eigentlich in die Hose gehen, bis wir es lernen? Je wertvoller wir Identitätsmerkmale machen, umso häufiger werden sie missbraucht werden.

Identitätsmissbrauch am Beispiel

Datenschutz, Geschäft, ID, Security

Ein schneller Lesetipp:

»Betrüger verwenden die Identität Fremder, um Straftaten zu begehen. Tina Groll hat das selbst erlebt und beschreibt, wie sich Datenmissbrauch anfühlt.«

(Zeit Online: Datenmissbrauch : Meine Identität gehört mir!, via Plazeboalarm)

Und wir wollen das Internet sicherer machen, indem wir dem Konzept der Identität mit einer Kombination aus Recht und Technik noch mehr Gewicht verleihen? Eine groteske Idee.

Sicherheitsnichtmanagement

Datenschutz, Geschäft, IT, Security, Vertrauen, , ,

Ein virtuelles Callcenter aus Heimarbeitern, in dem die Gattin des Geschäftsführers die offenherzige Pressesprecherin gibt. Ich mag nich glauben, dass die Krisen-PR bei dieser Klitsche wesentlich besser funktioniert als der Datenschutz. Die sind ja überhaupt nicht organisiert.

»Die Ehefrau des Geschäftsführers von Value5, Dagmar Dehler, sagte WELT ONLINE, die Firma arbeite mit freien Mitarbeitern, die von zu Hause aus tätig seien: „Wir sind ein virtuelles Callcenter.“ Mit der Betreuung der Krankenkasse seien 60 Mitarbeiter befasst gewesen, die auch für andere Auftraggeber tätig seien.«

(Krankenakten zugänglich: So schlampig ging die größte BKK mit Daten um)

Teufelsaustreibung

Freundlich zum Nutzer, Safety, ,

Die Idee ist ja nicht blöd. Ein Auto, das in Wirklichkeit ein mobiler Computer mit eigener Stromversorgung ist, möchte man auf eine definierte und zuverlässige Weise in einen sicheren Zustand versetzen können. Das bedeutet während der Fahrt in etwa1, dass man alle Teilsysteme abschalten möchte, die man nicht zum Bremsen, Lenken oder der direkten Kommunikation mit der Umgebung benötigt. Fraglich ist allerdings, ob dem Fahrer im Panikfall diese Prozedur einfällt:

»Toyota erwäge, den Startknopf derart umzubauen, dass ein dreimaliges Drücken den Motor ausschaltet, sagte ein Konzernsprecher.«

(Welt Online: Fahrsicherheit: Toyota plant Not-Aus für seine Autos)

Die ist willkürlich, man müsste sie also erst einmal lernen, und zwar nicht im Vorbeigehen aus einem Handbuch sondern wie in der Fahrschule durch Üben. Und das für jedes Modell oder wenigstens für jeden Hersteller neu, solange es keinen Standard gibt.

Ein wirksames Not-aus geht anders. Man baut ein großes rotes Bedienelement an eine standardisierte, gut erreichbare Stelle. Vorbilder für das User Interface gibt es in jeder Straßenbahn und in jedem Eisenbahnwagen: die Notbremse. Dreimal Drücken ist Blödsinn.

-=*=-

1 Die korrekte Lösung kann im Detail sehr viel komplizierter sein. Wer darüber nachdenken möchte, könnte zum Beispiel bei den Abhängigkeiten der Teilsysteme untereinander anfangen.

Phishing mal anders

Phishing

Siehe da, phishen kann man nicht nur bei privaten Bankkunden, sondern auch bei Unternehmen. Zu gewinnen gibt’s kein Geld, sondern Emissionszertifikate.

»Nach Informationen der „FTD“ täuschten die Betrüger in einer E-Mail an mehrere europäische sowie einige japanische und neuseeländische Unternehmen eine Mitteilung der Potsdamer DEHSt vor. Darin habe es ironischerweise geheißen, zur Abwehr drohender Hackerangriffe müssten sich die Empfänger neu registrieren.«

(Spiegel Online, Datendiebstahl: Hacker plündern Emissionshandelsregister)

Mal sehen, was die sich als Lösung einfallen lassen, falls das öfter passiert.

Richtig Geld verdienen kann man vermutlich auch, indem man ein Loch in die Erde bohrt, die Einlagerung von CO2 verspricht und weiter nichts tut.

P.S.: Heise hat noch ein paar Details.

P.P.S.: Der Inhalt der Phishing-Mail.

Wie verkauft man geklaute Daten an einen Staat?

Datenschutz, Erich fragt, Geschäft, Regierungsviertel, Risiko, Security, ,

Während alle Welt über ethische und rechtliche Fragen des Ankaufs geklauter Daten durch den Staat debattiert, interessieren mich die praktischen Aspekte. Wie fädelt man als Besitzer kompromittierender Daten so ein Geschäft ein, damit die Wahrscheinlichkeit, das verlangte Geld später in Ruhe ausgeben zu können, möglichst hoch wird?

Wir haben auf der einen Seite einen Verkäufer, der im Prinzip irgendwo auf der Welt sitzen und die Daten übers Internet bereitstellen kann. Sein möglicher Abnehmer wird sich jedoch kaum auf eine Lieferung gegen Vorkasse einlassen, was einen beiderseits akzeptierten Prozess für den Austausch erfordert.

Auf der anderen Seite haben wir als Käufer einen Staat mit einer Polizei und Gesetzen, der seine Kosten reduzieren kann, wenn er den Lieferanten nicht bezahlt, sondern ihn auf frischer Tat mitsamt den Daten ertappt. Mit der verlangten Summe dürften sich eine Polizeiaktion, ein Prozess sowie einige Gefängnispersonenjahre ohne Schwierigkeiten finanzieren lassen. Der Käufer ist außerdem international vernetzt, hat also die Möglichkeit, Verhaftungen auch im Ausland zu erwirken.

Als dritter Mitspieler ist ein weiterer Staat im Spiel, der über dieselben Fähigkeiten verfügt und das Interesse verfolgt, das Geschäft zu vereiteln und den Verkäufer seinerseits hinter Schloss und Riegel zu bringen – oder ihn vielleicht auch zur Abschreckung öffentlich einer Geheimdienstaktion zum Opfer fallen zu lassen.

Wie würde man sich als Täter in dieser Situation absichern?

P.S.: Wie ist die ganze Aktion eigentlich Datenschutzrechtlich zu bewerten?