By the way,

English, IT, Security, Trusted Computing, , ,

… if it’s worth the effort, this TPM hack may nicely complement an Evil Jan attack. First the attacker carries out the Evil Jan attack to obtain any user-provided key material, next he takes the machine away and cracks the TPM for the rest of the key material. Usually there are easier ways after the initial step, but if, for whichever reason, they should become infeasible, going for the TPM might be an option.

Leaving the TPM exposed to physical attacks while protecting the RAM of a system from wire access, DMA, and cold boot attacks would be a pretty stupid design error, though. But who knows?

Unterschätzte Risiken: Sicherheitsgesetze

Datenschutz, ID, Security, Unterschätzte Risiken, , , ,

Schon seit einigen Jahren gibt es die Vorratsdatenspeicherung light: Telekommunikationsanbieter müssen die Identität ihrer Kunden erfassen und den Sicherheitsbehörden auf Anfrage zur Verfügung stellen. Rechtsgrundlage ist der §111 TKG (im Abschnitt Öffentliche Sicherheit), der dem anonymen Verkauf von Prepaid-Karten ein Ende machte. Sicherer geworden sind wir dadurch nicht. Wo man früher nur anonym telefonieren konnte, geht das jetzt auch unter einem falschen Namen, dem die Behörden dann vielleicht eine echte, aber unbeteiligte Person zuordnen.

An der inhärent schlechten Qualität der derart erfassten Daten wird sich kaum etwas ändern lassen. Anbieter, Händler und Kunden haben kein eigenes Interesse an der Pflege der Datenbestände, die deshalb schon ohne böswillige Eingriffe schnell degenerieren. Ein Musterbeispiel für eine wirtschaftliche Fehlkonstruktion: den Nutzen haben die Sicherheitsbehörden, den Aufwand die Betreiber und Händler und den Schaden irgend jemand. Öffentliche Sicherheit kann man so nicht schaffen.

Die Datenschützer waren übrigens gleich dagegen. Sie hatten Recht. Wie oft muss die Idee von der Sicherheit durch Identifizierung eigentlich in die Hose gehen, bis wir es lernen? Je wertvoller wir Identitätsmerkmale machen, umso häufiger werden sie missbraucht werden.

Identitätsmissbrauch am Beispiel

Datenschutz, Geschäft, ID, Security

Ein schneller Lesetipp:

»Betrüger verwenden die Identität Fremder, um Straftaten zu begehen. Tina Groll hat das selbst erlebt und beschreibt, wie sich Datenmissbrauch anfühlt.«

(Zeit Online: Datenmissbrauch : Meine Identität gehört mir!, via Plazeboalarm)

Und wir wollen das Internet sicherer machen, indem wir dem Konzept der Identität mit einer Kombination aus Recht und Technik noch mehr Gewicht verleihen? Eine groteske Idee.

Sicherheitsnichtmanagement

Datenschutz, Geschäft, IT, Security, Vertrauen, , ,

Ein virtuelles Callcenter aus Heimarbeitern, in dem die Gattin des Geschäftsführers die offenherzige Pressesprecherin gibt. Ich mag nich glauben, dass die Krisen-PR bei dieser Klitsche wesentlich besser funktioniert als der Datenschutz. Die sind ja überhaupt nicht organisiert.

»Die Ehefrau des Geschäftsführers von Value5, Dagmar Dehler, sagte WELT ONLINE, die Firma arbeite mit freien Mitarbeitern, die von zu Hause aus tätig seien: „Wir sind ein virtuelles Callcenter.“ Mit der Betreuung der Krankenkasse seien 60 Mitarbeiter befasst gewesen, die auch für andere Auftraggeber tätig seien.«

(Krankenakten zugänglich: So schlampig ging die größte BKK mit Daten um)

Teufelsaustreibung

Freundlich zum Nutzer, Safety, ,

Die Idee ist ja nicht blöd. Ein Auto, das in Wirklichkeit ein mobiler Computer mit eigener Stromversorgung ist, möchte man auf eine definierte und zuverlässige Weise in einen sicheren Zustand versetzen können. Das bedeutet während der Fahrt in etwa1, dass man alle Teilsysteme abschalten möchte, die man nicht zum Bremsen, Lenken oder der direkten Kommunikation mit der Umgebung benötigt. Fraglich ist allerdings, ob dem Fahrer im Panikfall diese Prozedur einfällt:

»Toyota erwäge, den Startknopf derart umzubauen, dass ein dreimaliges Drücken den Motor ausschaltet, sagte ein Konzernsprecher.«

(Welt Online: Fahrsicherheit: Toyota plant Not-Aus für seine Autos)

Die ist willkürlich, man müsste sie also erst einmal lernen, und zwar nicht im Vorbeigehen aus einem Handbuch sondern wie in der Fahrschule durch Üben. Und das für jedes Modell oder wenigstens für jeden Hersteller neu, solange es keinen Standard gibt.

Ein wirksames Not-aus geht anders. Man baut ein großes rotes Bedienelement an eine standardisierte, gut erreichbare Stelle. Vorbilder für das User Interface gibt es in jeder Straßenbahn und in jedem Eisenbahnwagen: die Notbremse. Dreimal Drücken ist Blödsinn.

-=*=-

1 Die korrekte Lösung kann im Detail sehr viel komplizierter sein. Wer darüber nachdenken möchte, könnte zum Beispiel bei den Abhängigkeiten der Teilsysteme untereinander anfangen.

Phishing mal anders

Phishing

Siehe da, phishen kann man nicht nur bei privaten Bankkunden, sondern auch bei Unternehmen. Zu gewinnen gibt’s kein Geld, sondern Emissionszertifikate.

»Nach Informationen der „FTD“ täuschten die Betrüger in einer E-Mail an mehrere europäische sowie einige japanische und neuseeländische Unternehmen eine Mitteilung der Potsdamer DEHSt vor. Darin habe es ironischerweise geheißen, zur Abwehr drohender Hackerangriffe müssten sich die Empfänger neu registrieren.«

(Spiegel Online, Datendiebstahl: Hacker plündern Emissionshandelsregister)

Mal sehen, was die sich als Lösung einfallen lassen, falls das öfter passiert.

Richtig Geld verdienen kann man vermutlich auch, indem man ein Loch in die Erde bohrt, die Einlagerung von CO2 verspricht und weiter nichts tut.

P.S.: Heise hat noch ein paar Details.

P.P.S.: Der Inhalt der Phishing-Mail.

Wie verkauft man geklaute Daten an einen Staat?

Datenschutz, Erich fragt, Geschäft, Regierungsviertel, Risiko, Security, ,

Während alle Welt über ethische und rechtliche Fragen des Ankaufs geklauter Daten durch den Staat debattiert, interessieren mich die praktischen Aspekte. Wie fädelt man als Besitzer kompromittierender Daten so ein Geschäft ein, damit die Wahrscheinlichkeit, das verlangte Geld später in Ruhe ausgeben zu können, möglichst hoch wird?

Wir haben auf der einen Seite einen Verkäufer, der im Prinzip irgendwo auf der Welt sitzen und die Daten übers Internet bereitstellen kann. Sein möglicher Abnehmer wird sich jedoch kaum auf eine Lieferung gegen Vorkasse einlassen, was einen beiderseits akzeptierten Prozess für den Austausch erfordert.

Auf der anderen Seite haben wir als Käufer einen Staat mit einer Polizei und Gesetzen, der seine Kosten reduzieren kann, wenn er den Lieferanten nicht bezahlt, sondern ihn auf frischer Tat mitsamt den Daten ertappt. Mit der verlangten Summe dürften sich eine Polizeiaktion, ein Prozess sowie einige Gefängnispersonenjahre ohne Schwierigkeiten finanzieren lassen. Der Käufer ist außerdem international vernetzt, hat also die Möglichkeit, Verhaftungen auch im Ausland zu erwirken.

Als dritter Mitspieler ist ein weiterer Staat im Spiel, der über dieselben Fähigkeiten verfügt und das Interesse verfolgt, das Geschäft zu vereiteln und den Verkäufer seinerseits hinter Schloss und Riegel zu bringen – oder ihn vielleicht auch zur Abschreckung öffentlich einer Geheimdienstaktion zum Opfer fallen zu lassen.

Wie würde man sich als Täter in dieser Situation absichern?

P.S.: Wie ist die ganze Aktion eigentlich Datenschutzrechtlich zu bewerten?

Unterschätzte Risiken: Sicherheitstheater

Security, Unterschätzte Risiken, ,

Wenn das stimmt, wäre es eine große Ironie: das Sicherheitstheater am Flughafen lässt Flugzeuge als gut bewacht gelten und macht sie damit als Angriffsziel erst interessant.

»Und zuletzt sind Flugzeuge ein sehr symbolisches Anschlagsziel, weil sie gut bewacht sind. Die Terroristen schicken eine Botschaft: „Selbst in der Luft seid ihr nicht vor uns sicher.“«

(Spiegel Online: Flugsicherheit: „Ich will den bösen Jungs keine Nachhilfe geben“)

Das ist natürlich nur einer von vielen Faktoren, der Artikel zählt weitere auf, etwa die verstärkte Wirkung einer vergleichsweise kleinen Bombe, wenn sie in zehn Kilometern Höhe in einer Druckkabine gezündet wird. Dennoch stellt sich die Frage, wie man so einen Faktor sinnvoll optimiert und ob Sicherheit insgesamt nicht einfach nur Voodoo und Aberglaube ist.

Lesetipp

Freundlich zum Nutzer, IT, Security,

In der <kes> vom Dezember 2009 findet sich ein feiner und unterhaltsamer Artikel zum Realitätsabgleich für Security-Nerds, insbesondere für solche, die für die Sicherheit in Unternehmen verantwortlich sind:

Vom Aus der geschlossenen Anstalt
Ein Traktat wider das hartnäckige Festhalten an vermeintlich Bewährtem
von Dr. Johannes Wiele

Vermutlich verschwindet der Artikel bei Erscheinen des nächsten Heftes demnächst im Archiv für Abonnenten, bei Gefallen empfiehlt sich also eine Sicherheitskopie.

Unterschätzte Risiken: Leichtgläubigkeit

Biometrie, Datenschutz, Security, Unterschätzte Risiken, Wahrnehmung, , ,

Wenn sich ein Verbrecher Patrick nennt, dann bleibt der Polizei nichts anderes übrig, als alle Patricks in der Umgebung des Tatortes zu gentesten. Dass die Spur falsch, gar eine gezielte Irreführung sein könnte, auf die Idee kam man offenbar nicht:

»Hunderte Männer namens Patrick hatte die Wiesbadener Polizei nach der Vergewaltigung einer 17-Jährigen überprüft. Knapp zwei Jahre später hat sie den Täter gefunden – per Zufall. Patrick heißt er nicht.«

(HR: Zufallstreffer: Vergewaltiger heißt doch nicht Patrick)

Es sei nicht auszuschließen gewesen, dass der Name richtig sei. Dass die DNS-Rasterfahndung Blödsinn sein könnte, war offensichtlich aber auch nicht auszuschließen.

Patchday

Events, Security, Testlabor, Unterwegs, , , ,

Der Geldautomat hat gesagt, meine Karte sei nun wieder gesund. Die Sparkassen haben das Kartenupdate über die Geldautomaten also offenbar laufen und es scheint innerhalb der Sparkassenorganisation auch überregional zu funktionieren. Das ist technisch eh‘ kein Problem, verdient angesichts der organisatorischen Kleinstaaterei aber dennoch ein Lob. Ob die Volks- und Raiffeisenbanken das auch so hinkriegen?

Den Anschluss verloren

Erich fragt, IT, Security, ,

Was kann man heutzutage eigentlich noch mit einem IE (v8) anstellen, dem man Inhalte in die lokale Sicherheitszone legt, also ins Filesystem? Bei aktiven Inhalten, JavaScript und so, fragt er erst mal nach, bevor er sie ausführt. Was würde man statt dessen versuchen?

Warum ich frage? Ich habe hier einen Firefox unter Windows XP, dem irgend jemand beigebracht hat, für bestimmte HTTP-Responses den IE aufzurufen, und zwar so, dass der IE den Inhalt als HTML interpretiert.

Frommer Wunsch

Freundlich zum Nutzer, IT, Security, Zwischenruf, ,

Wenn wir Programmierern die Möglichkeit geben, sich (bzw. den Anwendern ihrer Produkte) in den Fuß zu schießen, was werden sie dann wohl tun? Genau, sie werden sich (bzw. den Anwendern ihrer Produkte) in den Fuß schießen. Daran ändern auch Gebete nichts:

»8.5 SQL Injection

Authors are strongly recommended to make use of the ? placeholder feature of the executeSql() method, and to never construct SQL statements on the fly.«

(W3C: Web SQL Database, Editor’s Draft 14 January 2010)

Kann sich nicht mal jemand hinsetzen und das richtig machen?