Hirntot

IT, Nebenwirkung, Security, Vulnerability, Zwischenruf, , , ,

Wie bekloppt muss man sein, um XSS-Versuche in den URL-Parametern einer Login-Seite erst abzufangen – und dann den auffälligen Parameter innerhalb eines Script-Elements in die Fehlerseite einzubetten, um eine Alertbox mit detaillierten Informationen zu produzieren? Also ungefähr so:

<script>alert("Böse Eingabe: [boese Eingabe]");</script>

Ich bin versucht, mir das ganze Responsible-Disclosure-Theater zu sparen und hier einfach Ross und Reiter zu nennen. Verdient hätten sie es. Ihre Kunden allerdings nicht, und einige davon kann man googeln.

Sicherheit anders

Begriffe, Security, Unterwegs, Zwischenruf, , , , , , ,

Sicherheit anders. Was der Untertitel unseres Blogs heißten soll, haben wir uns vorher nicht überlegt, denn wer mit großen Plänen ein Blog anfängt, fällt meistens auf die Nase. Irgendwas muss aber dran sein, sonst wäre aus dem Blogunter- kein Vortragstitel geworden. Oder ist das nur eine selbsterfüllende Prophezeiung? Egal.

Angefragt war ein Vortrag zur Zukunft der IT-Sicherheit auf dem Pressetag CeBIT Vision. So etwas könnte ich natürlich zusammenspinnen und mich darauf verlassen, dass sich keiner mehr daran erinnern würde, wäre es erst so weit, dass sich meine Vorhersagen prüfen ließen. Aber das habe ich nicht übers Herz gebracht. Herausgekommen ist statt dessen ein Vortrag über ungelöste Probleme. Von denen haben wir einige. Sicherheit anders weiterlesen

57 Cent

Datenschutz, Geschäft, Preisschild, Security, Zahlenspiele, , ,

Schön, dass wir das endlich empirisch geklärt haben. Siebenundfünfzig Cent kostet also ein Personendatensatz mit Bankverbindung.

»Die Bankdaten von rund 21 Millionen Menschen wurden Journalisten offenbar für knapp zwölf Millionen Euro angeboten.« (Welt Online)

Was folgt daraus? Als Wissenschaftler müssen wir uns das in Ruhe überlegen und dann auch noch prüfen, ob unsere Ideen richtig sind. Einige Überlegungen drängen sich auf:

  1. Technischer Datenschutz lohnt sich nur dort, wo viele Datensätze gemeinsam vorliegen oder weitaus detailliertere Informationen gespeichert sind.
  2. Wer mit  seinen Basisdaten – Name, Adresse, Telefonnummer, Geburtsdatum, Bankverbindung – so sorglos umgeht, wie wir das immer schon getan haben, liegt damit vollkommen richtig. Dass sich daran jemand 57 Cent verdient, können wir hinnehmen.
  3. Aber (2) ist nur die halbe Wahrheit. Der Schaden des Opfers muss nicht proportional sein zum Gewinn des Angreifers. Über die Schäden wissen wir zu wenig.
  4. Das macht aber nichts, denn (2) begrenzt den Aufwand für Gegenmaßnahmen: wir müssen den Aufwand pro Datensatz nur um höchstens 60 Cent (praktisch wohl weniger) erhöhen, dann lohnt sich die Sache nicht mehr.
  5. Oder die Daten werden dann um 60 Cent teurer und sonst ändert sich nichts.
  6. Aus dem Preis eines einzelnen Datensatzes oder der gesamten Sammlung können wir nicht schließen, wann sich die Nutzung der Daten lohnt. Dazu müssten wir wissen, was damit angestellt wird und welchen Gewinn es verspricht.
  7. Die Umrechnung des Preises auf einzelne Datensätze muss nicht sinnvoll sein. Vielleicht liegt der Wert gerade in der Sammlung.

Und nun? Nun sind wir auch nicht schlauer als vorher. Kennt jemand ein Modell, mit dem wir einschätzen können, wie schlimm so ein Datenhandel ist und unter welchen Umständen er sich für wen lohnt?

Ergänzung 2009-01-19: Datendealer kommen mit einer kleinen Geldstrafe davon.

Ein neues Ziegenproblem?

Forschung, , , , , , , , , ,

Wissenschaft und Rationalismus, das sagt sich so leicht. Sich daran zu halten, ist viel schwerer. Ob in der Wissenschaft oder anderswo, tatsächlich arbeiten wir fast immer mit Heuristiken und Faustregeln. Die sind nämlich einfacher, als sich jedesmal ganz dumm zu stellen – und führen oft genug zum richtigen Ergebnis. Intuition ist eine feine Sache und meistens führt sie auch zum Ziel. Wir dürfen allerdings nicht vergessen, dass das manchmal eben doch in die Hose geht.

Anfällig für Irrtümer sind wir, wo uns die Intuition ein falsches, aber plausibles Modell vorschlägt und dieses Modell zu Ergebnissen führt, die mit unseren Vorurteilen übereinstimmen. Dann ist nämlich fast alles konsistent, und wenn uns jemand das Gegenteil zu beweisen versucht, hat er wahrscheinlich das Experiment manipuliert, so vermuten wir. Was die Wissenschaft vom Aberglauben unterscheidet, ist das Bemühen, solche Fälle zu erkennen und gegebenenfalls Irrtümer auch einzugestehen. Faustregeln sind gut, sofern man merkt, wann sie versagen. Ein neues Ziegenproblem? weiterlesen

Unterschätzte Risiken: Wir

Unterschätzte Risiken, , , ,

Vor oberflächlicher Kapitalismuskritik und Vulgärmarxismus kann man sich dieser Tage kaum noch retten, und manchmal fliegen unter diesem Vorwand die Fetzen. Da tut es gut, dass uns die NZZ daran erinnert, wodurch eine spekulative Blase an der Börse überhaupt zustande kommt:

»Platzt eine Blase, wird der «Kapitalismus» verteufelt. Auch das ist Teil ihres Musters. Innerhalb spekulativer Blasen gibt es als Teilnehmer oder Mitspieler aber nur «Kapitalisten» – und es gibt viele solche Teilnehmer. Alle laufen wie der Rentier in Gerhart Hauptmanns «Biberpelz» herum oder denken in Vorfreude daran. Das ist keinesfalls auf die jetzt so verteufelte «Hochfinanz» begrenzt und auf die «Park Lane»-Quartiere unserer Metropolen oder die Waldsiedlungen in den Bergen. Der Kapitalist in uns selbst beginnt mit einem Blick zum Nachbarn.«

(Ernst Mohr: Wenn eine spekulative Blase platzt, ist an sich nichts kaputt,
NZZ vom 27. November 2008)

Dem ist wenig hinzuzufügen. Höchstens vielleicht der Hinweis, dass bereits einige Versuche gescheitert sind, Menschen diesen Blick zum Nachbarn abzugewöhnen.

Risiken und Nachweisgrenzen

Regierungsviertel, Risiko, Wahrnehmung

Greenpeace meckert, drückt sich aber sorgsam davor, auf die Kernaussage einzugehen. Das muss ein guter Artikel sein. Online gibt es ihn leider nicht, aber bis Mittwoch noch am Kiosk in der Zeit (*). Die Kurzfassung: die EU arbeitet an einem absoluten Verbot bestimmter Pestizide; Experten schlagen die Hände über dem Kopf zusammen und erinnern an Paracelsus(**) sowie daran, dass wir Risiken oft irrational beurteilen. Das führt dazu, dass wir uns vor Pestiziden fürchten, allein weil sie in Obst oder Gemüse nachweisbar sind. Das ist offensichtlicher Blödsinn, und da kommt die Risikobewertung ins Spiel. Ein Verbot oder Verzicht ist nur dann sinnvoll, wenn nicht nur der Stoff selbst messbar ist, sondern auch irgendeine negative Wirkung. Sich bei der Beurteilung des Risikos nicht auf den Verbraucher zu beschränken, sondern auch die Anwender sowie Nebenwirkungen zu berücksichtigen, ist gewiss richtig und sinnvoll. Aber auch dort muss man sich die tatsächlichen Auswirkungen anschauen.

(*) Die gefühlte Gefahr von Josephina Maier, Die Zeit Nr. 48/2008 vom 20. November, S. 48

(**) »Alle Ding sind Gift, und nichts ohn Gift; allein die Dosis macht, daß ein Ding kein Gift ist.«

Pauken und Trompeten

Risiko

Schauen wir mal, was so eine zwei Tage alte Wetterwarnung wert ist:

»Ab Freitag soll es in ganz Deutschland schneien. Und zwar so stark, dass Experten dramatische Vergleiche bemühen. Das winterliche Szenario könnte Metereologen zufolge das „spektakulärste Wetterereignis“ seit dem Orkan Kyrill werden.«

Wenn alles stimmt, müssten ungefähr … jetzt die ersten Schreckensmeldungen eintreffen. Und zwar echte, nicht nur notdürftig aufgebauschtes Füllmaterial für die eilends eingerichteten Schneekatastrophenticker.

(geschrieben vor 48 Stunden)

Update um 23 Uhr: Nichts, gar nichts.

Bolzplatz

O-Ton, Propaganda, Risiko, Wahrnehmung, , , ,

Einem geschenkten Gaul schaut man nicht ins Maul. Wenn mir einmal im Monat aus meiner Wochenzeitung das evangelische Magazin chrismon entgegenfällt, blättere ich es ohne besondere Erwartungen durch. So werde ich nie enttäuscht, aber zuweilen überrascht. Wie Christen ticken, habe ich zwar noch nicht verstanden, aber immerhin gelernt, was Gottvertrauen ist. Öllampen aus Getränkeflaschen zu bauen, zum Beispiel, wie man es als Basteltipp empfahl, denn das ist nur dann eine gute Idee, wenn man nicht befürchten muss, dass jemand versehentlich daraus trinke. Mit Gottes Hilfe wird es schon gelingen.

Diesmal aber haben sie mich ehrlich überrascht: mit einer kräftigen Polemik von Norbert Bolz gegen die Angstindustrie. Er ist weder zimperlich noch politisch korrekt, schreibt von Angstreligion und grüner Bewusstseinsindustrie, verweigert mahnenden Wissenschaftlern und anderen selbsterklärten Weltrettern den vorauseilenden Respekt, sieht eine Religion des Sorgens und Schützens mit dem Gottesdienst der Vorsorge und der Sicherheit. Dieser Text bereitet Vergnügen. Gewiss, es ist vor allem Marketing: über Konkurrenz waren Religionen noch nie erfreut. Aber nichts daran ist spezifisch christlich bis auf vielleicht das Gottvertrauen, das man aber unkompliziert durch andere Formen der Entspannung ersetzen kann. Man kann sich hier also ein paar Argumente pflücken oder das bestätigt sehen, was man vielleicht selbst schon gegen Angstmache eingewendet hat.

Unterschätzte Risiken: Ammenmärchen

Unterschätzte Risiken, , ,

Liebe Eltern, bevor Sie Ihren Kindern vom Weihnachtsmann oder von Maria und Joseph erzählen, beachten Sie bitte diesen sachdienlichen Hinweis:

»To examine how children’s fantasy beliefs can affect memory for their experiences, 5- and 6-year-olds with differing levels of belief in the reality of the Tooth Fairy were prompted to recall their most recent primary tooth loss in either a truthful or fun manner. (…) These findings suggest that children’s beliefs in the reality of fantastic phenomena can give rise to genuine constructive memory errors in line with their fantasies.«

Applied Cognitive Psychology: The tooth, the whole tooth and nothing but the tooth: how belief in the Tooth Fairy can engender false memories

Ich bin ganz zufällig darüber gestolpert, ehrlich. Eigentlich war ich auf der Suche nach diesem Artikel.

Unterschätzte Risiken: Schlangen

Unterschätzte Risiken, Zahlenspiele,

Während Spiegel Online uns vor Würfelquallen fürchtet, die in den Tropen alle paar Jahre einen Touristen meucheln, sterben täglich Hunderte Menschen an Schlangenbissen. Das meldet die Leipziger Volkswebsite:

»Die so ermittelte Zahlen von 421 000 Vergiftungs- und 20 000 Todesfällen seien Mindestangaben, betonen die Wissenschaftler. Nach einer etwas weniger zurückhaltenden Berechnung kommen sie auf eine Zahl von mehr als 1,8 Millionen Vergiftungen und 94 000 Todesfällen weltweit. Schlangenbisse allgemein kämen weltweit noch sehr viel häufiger vor, zwischen 1,2 und 5,5 Millionen Mal, denn nur etwa jeder vierte Biss führe auch zu einer Vergiftung.«

Unterschätzte Risiken: Risikomodelle

Risiko, Unterschätzte Risiken, , , ,

William M. Briggs hat einen Artikel (Volltext leider nicht frei zugänglich) aus dem Wall Street Journal ausgegraben, der sich mit dem Versicherungskonzern AIG und den dort verwendeten Risikomodellen beschäftigt. Seine Zusammenfassung:

»AIG built a lot of models which attempted to quantify risk and uncertainty in their financial instruments. They, like many other firms, tried to verify how well these models did, but they only did so on the very data that was used to build the models.

(…)

What happened at AIG, and at other financial houses, was that events occurred which were not anticipated or that had not happened before. Meaning, in short, that the models in which so many had so much faith, did not work in reality.«

Und ich dachte immer, Finanzdienstleister hätten die Risikoanalyse quasi erfunden und wir mit unserem IT-Pillepalle könnten von ihnen lernen. Immerhin geht es dort ja um richtiges Geld und nicht nur um ein paar Server im Keller. So kann man sich irren.

Unterschätzte Risiken: E-Mail-Automaten

Unterschätzte Risiken, , , ,

Die Geschichte hat das Zeug zur Urban Legend, denn sie ist zu schön, um sie nicht zu weiterzuerzählen, und es gibt ein Photo, dessen Beweiskraft ohne Sprachkenntnisse unklar bleibt:

»Statt der Übersetzung von „Kein Schwerlastverkehr. Nur Anwohner“ kam jedoch eine walisische Abwesenheitsnotiz des Empfängers zurück: „Ich bin gerade nicht im Büro“, wie die Behörden mitteilten.

In der Annahme, es handle sich bereits um die Übersetzung, wurde dieser Text auf das Schild übertragen und in der Nähe eines Supermarkts aufgestellt – was für heftiges Stirnrunzeln bei Passanten sorgte.«

Zeit online: Wales: Mail-Missverständnis sorgt für verwirrendes Straßenschild

Einen flüchtigen Plausibilitätstest besteht das Schild immerhin. Das Online-Wörterbuch der University of Wales übersetzt office mit swyddfa, und das steht auf dem Schild.

Panikmafia on Tour

Events, Propaganda, Safety, Stammtisch, , , ,

Falls jemand stänkern möchte: die Internationalen Ärzte zur Verhinderung von allem, was mit Atom zu tun hat, laden zu einer Trittbrettfahrerveranstaltung. Ihr Vehikel ist die nun fast ein Jahr alte KiKK-Studie, nach deren Ergebnis alle Atomkraftwerke Deutschlands zusammen jedes Jahr für den Bruchteil eines Leukämiefalles verantwortlich gemacht werden können, indem man statistische Methoden jenseits ihrer Spezifikation einsetzt. Man kann an diesem Ergebnis gewiss eine Weile heruminterpretieren, aber ein relevantes Risiko  kommt dabei nicht heraus. Dennoch tingelt eine Truppe von Besserwissern mit einem vierstündigen Programm rund um die Studie über die Dörfer und macht am 8. November 2008 von 14 bis 18 Uhr Station in Darmstadt. Das kann unterhaltsam werden, wenn sich jemand mit Ahnung ins Publikum setzt. Freiwillige vor!

Drunken Computing

English, Fundbüro, O-Ton, Trusted Computing

8.2.5.5 PARTIES Partition

Start of informative comment

The PARTIES Partition is a hidden partition on the hard drive that BIOS can use for additional storage space and as a virtual drive. In the PARTIES Partition, there is a small section called the BEER. Prior to turning control over to the PARTIES Partition, the BIOS must measure the BEER area into PCR[5].

The partition that is booted to in the PARTIES Partition must also have the initial IPL image code measured into PCR[4] prior to turning control over to this code.

End of informative comment

When executing, this is treated as IPL Code including the measurement of it even if the binary image is already measured into PCR[0].

TCG PC Client Specific Implementation Specification For Conventional BIOS Version 1.20 FINAL, Revision 1.00, page 62

(According to Google, this seems to be there at least since 2003.)

Perspektivwechsel

Safety, Security, Wahrnehmung, , ,

Licht bedeutet Sicherheit. Fehlt es, werden unsere Augen nutzlos und uns geht ein wichtiger, breitbandiger Eingabekanal verloren. Die Orientierung wird mühsam und Gefahren können wir nicht mehr rechtzeitig erkennen. Kein Wunder, dass die Dunkelheit uns Angst macht, dass wir uns in der Nähe einer Lichtquelle besser fühlen. Wer lange genug darüber nachdenkt, kommt jedoch zu dem Schluss, dass dies eine äußerst anthropozentrische Sicht ist. Mit anderen Augen gesehen wird Licht nämlich zur Todesfalle:

Perspektivwechsel weiterlesen

Unterschätzte Risiken: Rentner

Unterschätzte Risiken, , ,

Die Rentner, immer wieder die Rentner:

»Mit einer 60 Zentimeter langen Machete hat ein Rentner in Weilburg am Mittwoch einem Taxifahrer einen Finger abgetrennt – aus Wut darüber, dass der Taxifahrer angeblich falsch geparkt hatte.«

(HR: Mit Buschmesser: Rentner hackt Taxifahrer Finger ab)

Bezahlen wir sie am Ende dafür, dass sie uns hier das Blog füllen und Arbeitsplätze im Gesundheitswesen, in der Exekutive und in der Justiz sichern? Werde ich auch so sein, wenn ich doppelt so alt bin?