Jubel für Wolfgang Schäuble

Propaganda, Regierungsviertel, ,

Ein Veranstaltungstipp für unsere Leserinnen und Leser im süddeutschen Raum:

»In Tübingen hat sich ein Kreis von Aktiven getroffen und sich Gedanken darüber gemacht, wie die Verleihung der Ehrendoktorwürde an Wolfgang Schäuble gebührend gewürdigt werden kann.

Der Kreis kam zum Ergebnis eine Aktionsform zu wählen die der Position und dem Amt eines Innenminister würdig ist. Am Freitag, 26. Juni 2009 um 11 Uhr möchten sich doch alle Menschen vor dem Clubhaus (Wilhelmstraße 30) treffen, um anschließend vor dem Bonatzbau in spontanen Jubel für Wolfgang Schäuble auszubrechen. (…)«

(BlogChronik der Kommunikationsguerilla:
Jubel für Wolfgang Schäuble)

Unterschätzte Risiken: Killerspiele

IT, Unterschätzte Risiken, ,

Wer solche Dienstleister beschäftigt (und kein Backup hat), der braucht keine Feinde mehr:

»Er hatte seinen Sohn mit zu einem Firmenkunden genommen. Während der Verurteilte seiner Arbeit nachging, machte sich sein Sohn an einem Kundenrechner zu schaffen und löschte dabei beim Versuch ein Computerspiel zu installieren, versehentlich wichtige Datenbestände.«

(Blog zur IT-Sicherheit: Sind Ihre Daten wirklich sicher?)

SOX – the new security standard

English, Forschung, Freundlich zum Nutzer, Fundbüro, Gadget, Propaganda, Security

Sock security has been troubling me for a long time. Endless sundays I have spent with the fight against the single sock syndrom. But those days are over. Thanks to a colleague I have discovered sockstar, the revolutionary tool to improve the lower department of your wardrobe-BCM – a simple thing that just does what it should, if you manage to integrate it into your business processes… [end of commercial] http://www.sockstar.de/

Can We Say »Don’t Worry«?

Angst, English, Erich fragt, Geschäft, Risiko, Wahrnehmung

[See only posts in English]

Freeman Dyson, being interviewed about his climate catastrophe skepticism, claims that some professions have trouble shrugging off issues as unimportant. He thinks there be a natural tendency to magnify threats:

»Really, just psychologically, it would be very difficult for them to come out and say, “Don’t worry, there isn’t a problem.” It’s sort of natural, since their whole life depends on it being a problem. I don’t say that they’re dishonest. But I think it’s just a normal human reaction. It’s true of the military also. They always magnify the threat. Not because they are dishonest; they really believe that there is a threat and it is their job to take care of it.«

(Freeman Dyson Takes On The Climate Establishment)

Obviously, computer security is another candidate. Paranoia is the norm in our subculture, we love to carry a better safe than sorry attitude. To an extent this attitude is justified by experience; there are many case studies of security not being taken seriously, leading to epic fail. Yet, more security technology is not always better. Do we have tools to reasonably say: »Don’t worry,« and justify our recommendation based on facts?

Mehr Spaß mit SSL (in Firefox 3)

Freundlich zum Nutzer, IT, Security, ,

Dieser Tipp ist nicht neu, aber mein Leidensdruck war nicht so groß, dass ich aktiv danach gesucht hätte. Das Verhalten von Firefox bei formal ungültigen SSL-Zertifikaten lässt sich etwas weniger nervig gestalten:

  • about:config aufrufen
  • browser.xul.error_pages.expert_bad_cert auf true setzen
  • browser.ssl_override_behavior auf 2 setzen

(gefunden hier, Erklärung da).

Damit spart man sich ein paar unnötige Mausklicks.

Unterschätzte Risiken: Hackerwettbewerbe

Hackmeck, IT, Phishing, Security, Testlabor, Unterschätzte Risiken, , ,

Lehrreiches Scheitern:

»A Webmail service that touts itself as hack-proof and offered $10,000 to anyone who could break into the CEO’s e-mail has lost the challenge.
(…)
The hacking team of Aviv Raff, Lance James and Mike Bailey set up the attack by sending an e-mail to the company’s CEO Darren Berkovitz. When he opened the e-mail, the team exploited an XSS flaw to take control of the account.«

(Zero Day: StrongWebmail CEO’s mail account hacked via XSS)

Die 10.000 Dollar hätten sie auch gleich bei einem fähigen Security-Tester anlegen können, dann hätten sie für dasselbe Geld wahrscheinlich mehr über ihre Irrtümer gelernt. Allzu weit kommt man mit diesem Betrag zwar nicht, aber die Tester arbeiten wenigstens bis zum Ende des Geldes weiter, statt mit dem ersten gefundenen Problem den Preis abzuräumen. Damit sinkt auf lange Sicht der Preis pro gefunder Verwundbarkeit, während er bei einer Folge von Hackerwettbewerben vielleicht sogar steigen würde.

4 Prozent

Angst, Datenschutz, ID, Wahrnehmung, Zahlenspiele, ,

Glücksbürokraten finden es besorgniserregend, dass Kinder und Jugendliche in sozialen Netzen die informationelle Selbstbestimmung üben und Muttis Mahnungen dabei gerne ignorieren. Sorglos seien die Selbstbestimmer, man müsse ihnen mehr Angst machensie stärker sensibilisieren. Eine Begründung aber bleiben sie uns schuldig. Die handfesten Probleme durch selbstbestimmt veröffentlichte Daten im Netz halten sich anscheinend sehr in Grenzen:

»Schlechte Erfahrungen mit der Veröffentlichung ihrer Daten hätten die Befragten kaum gemacht, weiß Medienpädagogin Maren Würfel, nur 4 Prozent haben sich laut Umfrage darüber beschwert.«

(Heise Online:
„Besondere Herausforderung“ soziale Netzwerke)

Könnten wir uns dann vielleicht wieder echten Problemen zuwenden?

PS: Isotopp hat einen Artikel über unterschiedliche Schutzziele von Eltern und Kindern ausgegraben.

Unterschätzte Risiken: Laborarbeit

Forschung, Safety, Unterschätzte Risiken, Werkbank

Wir Informatiker haben es einfach. Ein Labor ist für uns meistens ein Stück Netz mit ein paar Rechnern dran, oder heute oft nur noch ein einziger Rechner mit ein paar virtuellen Maschinen drauf. Viel kann da nicht passieren.

In einem klassischen Labor ist das anders. Da gibt es Chemikalien,  Druckbehälter, Krankheitserreger, Strahlung, Elektrizität, Maschinen, Tiere und was man sonst noch braucht, wenn man sich um einen Darwin Award bewirbt.

Die American Industrial Hygiene Association (AIHA) hat einen Leitfaden mit vielen Beispielen zusammengestellt. Eine Kostprobe:

Don’t Store Dry Ice in Walk-in Refrigerators

Walk-in refrigerators (or „cold boxes“) typically recirculate the chilled air in their interiors, so storing volatile materials in them can pose special hazards—any gases or vapors may concentrate inside over time.

Recently on the X Campus, a walk-in refrigerator was used to store dry ice. (…)  The dry ice, of course, gave off carbon dioxide (CO2) gas as it sublimed, causing the refrigerator to build up CO2 levels of 12,000 parts per million (ppm)!

Zu einigen der beschriebenen Fälle gibt es auch Fotos.

Digitalräuberpistole

Gadget, Geschäft, Hackmeck, IT, Phishing, Security, Verschwörung, , ,

Erinnert sich noch jemand an die Story von vor sechs Wochen, derzufolge es mit einem manipulierten Nokia 1100 möglich sei, Kurznachrichten an GSM-Teilnehmer abzufangen? Kriminelle würden bis zu 25.000 Euro für ein solches Gerät bieten, weil auf diese Weise mTAN-Sendungen abzufangen seien. Glauben wollte das keiner so recht.

Inzwischen macht die Meldung die Runde, der Firma UltraScan – die das Thema damals in die Nachrichten brachte – sei es gelungen, die Sache (ein einzges Mal) nachzuvollziehen. Von löschbarem ROM in einigen Modellen der Serie aus dem Bochumer Nokia-Werk ist die Rede und von Schlüsseln für eine verschlüsselte Firmware, die in falsche Hände geraten seien. Dann wird es wirr: man könne durch Firmware-Hacking neben der IMEI, die das Gerät identifiziert, auch die IMSI, die Identität der SIM-Karte, manipulieren – wozu man allerdings eine SIM-Karte klonen müsse, was aber trivial sei.

Alles verstanden? Ich auch nicht. Und die Websites von Ultrascan erwecken nicht gerade den Eindruck hoher Kompetenz und Seriosität.