Den Teufel an die Wand gemalt
Bundestagsabgeordnete entwerfen Krisenszenarien, Telepolis berichtet:
»Was wäre wenn man morgens den Schalter drückt und keine Lampe angeht, es auch draußen dunkel ist, kein Kühlschrank, keine Ampel mehr funktioniert und es auch im Krankenhaus keinen Strom mehr gibt – einfach nichts mehr funktioniert. Wenn der Strom weg ist und es auch bleibt, Stunden, Tagelang… Risiken und Herausforderungen für die Öffentliche Sicherheit in Deutschland haben vier Bundestagsabgeordnete Ihr „Grünbuch“ genannt. Darin zeichnen sie Szenarien auf und stellen Leitfragen, die im politischen Alltag niemand stellt.«
Ob das was bringt? Mutti sagt: erstens kommt es anders und zweitens als man denkt.
Unterschätzte Risiken: Waschbären
»Der Notruf ging am späten Abend ein: Eine Familie in Hofgeismar fühlte sich von drei Waschbären attackiert. Die herbeigeeilten Polizisten wurden mit zwei der Tieren schnell fertig – doch der „Anführer“ hatte sich verschanzt.«
Pelztierfarmen schützen.
Quick Fix for Firefox 2.0.0.17 Bug #456705: Crash on SSL Connect
After updating to 2.0.0.17, Firefox crashes if the FoxyProxy extension is installed. This renders the browser virtually useless. You won’t even be able to install the update that fixes this issue once there is one, since Firefox‘ automatic update function does, of course, use SSL. Some of the links in this post also point to HTTPS URLs, so if you are reading this post using Firefox because you have this problem, read to the end but don’t click anywhere.
To fix this issue and get Firefox to work again, you’ll have to uninstall the FoxyProxy extension before accessing any HTTPS URL. If Firefox is configured to start with a blank or non-SSL page and you do not want to restore a session containing HTTPS pages, you can probably do so from within Firefox. Go to Tools -> Add-ons, select FoxyProxy in the list that opens, and uninstall. Or is disabling FoxyProxy sufficient? Please leave a comment if you tried; I didn’t.
If Firefox for some reason tries to load an HTTPS page automatically when it starts, you will have to edit your Firefox profile. On Windows, profile data are usually found under C:\Documents and Settings\<your username>\Application Data\Mozilla\Firefox\Profiles\<random name>\. Note that Documents and Settings and Application Data may be named differently in localised versions of Windows. Under MacOS X the profile is stored under /Users/<your username>/Library/Application Support/Firefox/Profiles/<random name>, and on a Unix-style system such as Linux or *BSD you will probably find the path to you profile somewhere under your home directory. If you see a recently edited file named bookmarks.html, and the file contains your bookmarks, you found the right place.
Inside the profile directory you should see a subdirectory extensions and inside, one or more subdirectory. Find the one containing FoxyProxy, it will probably be named foxyproxy@eric.h.jung. Delete this subdirectory, or better move it elswhere just in case you made a mistake.
Now start Firefox again.
See also: Ubuntu Bug #274065; mozdev.org: FoxyProxy crashes Firefox 2.0.0.17 on shutdown; Firefox Support Forum: Firefox 2.0.0.17 crashes with foxyProxy 2.8.5, Bug #456705.
Update 2008-09-29: New versions of FoxyProxy are available. Installing version 2.8.6 or newer should fix the issue. The latest version is 2.8.8 now. If you haven’t updated your browser yet, it would be wise to update the extension first.
Man kann es auch übertreiben
Ein paar Sicherheitshinweise sollte man als Fluggast beachten, und die hat Focus Online aufgeschrieben. Das hat aber offenbar nicht gereicht, und man hat sich vorbeugend noch ein paar weitere ausgedacht:
»Planen Sie Ihren Gang zum WC sorgfältig, damit Sie nicht zu lange den Weg für das Kabinenpersonal blockieren. Das gilt auch für lang anhaltende Konversationen mit weiter hinten sitzenden Bekannten. Unterlassen Sie dabei hastige Bewegungen oder hektische Gesten etwa in Richtung Cockpit: Sie könnten beim eventuell mitfliegenden Sky-Marshal unnötig Verdacht erregen.«
Nein, liebe Redaktion, sorgfältig geplante Toilettengänge tragen nichts zur Sicherheit bei, und wenn ich vor schießwütigen Sky Marshals Angst haben muss, dann ist wohl nicht mein Verhalten das Problem.
Privatsphäre in sozialen Netzen
Klingt wie ein Widerspruch, ist aber keiner: wer in sozialen Netzen Informationen über sich preisgibt, verzichtet damit noch lange nicht auf Datenschutz, Privatsphäre und informationelle Selbstbestimmung. Theoretisch jedenfalls, denn in der Theorie steht jedem die Kontrolle über die Verwendung seiner personenbezogenen Daten zu. Wieviel Kontrolle man jedoch als Nutzer in der Praxis behält, hängt davon ab, welche Möglichkeiten die verwendeten Plattformen bieten.
Unser Kollege Andreas Poller hat sich genau mit dieser Frage beschäftigt. Herausgekommen ist eine Studie, die Mechanismen zum Schutz der Privatsphäre in sieben Plattformen für soziale Netze untersucht. Angeschaut hat er sich die größten und bekanntesten Plattformen: myspace, facebook, studiVZ, wer-kennt-wen, lokalisten, XING und LinkedIn. Alle Kriterien und Ergebnisse sowie praktische Tipps für Nutzer gibt es hier:
Andreas Poller, Privatsphärenschutz in Soziale-Netzwerke-Plattformen, 124 Seiten.
Update 2008-09-27: Einige Blogreaktionen gibt es inzwischen auch, etwa bei Bräkling.de (sorry für die Linking Policy, die hat die Zentrale verbrochen), bei den Blogpiloten,in DOBSZAY’s Ansichten und Einsichten sowie im roloblog. Die vielen Hinweise auf die Golem– und Heise-Artikel und Weiterverbreitungen der Pressemitteilung zähle ich nicht einzeln auf, das kann Google besser.
Unsere tägliche Angst gib uns heute
Unterschätze Risiken: Metaepidemien
Wir werden alle sterben, das steht fest. Nur woran? Mal sehen:
»Der Wettstreit um die bedeutendste, tödlichste und sich weltweit am stärksten ausbreitende Epidemie hat mittlerweile selbst epidemische Ausmaße erreicht. (…)«
(Stationäre Aufnahme: Gedrängel auf dem Siegertreppchen)
2x TED
Zwei sehenswerte Vorträge:
- Irwin Redlener: How to survive a nuclear attack (25min)
- Eve Ensler: Security and insecurity (14min)
Unkommentiert
Wegen eines latenten Interessenkonflikts ohne jeden Kommentar: Die Juwelen der Sicherheit
Unter Beobachtung
Auf wieviele Arten könne man Nutzern dieses Geldautomaten bei der PIN-Eingabe zuschauen, ohne zusätzliche Hilfsmittel ins Geschehen einzubringen?
Mir fallen auf Anhieb drei Möglichkeiten ein. Wahrscheinlich sind die Kameras aber wirklich gut gemeint; echte Angriffe sind unauffälliger.
Zahlen bitte!
Der Mann hat es verstanden, aber das ist ja nichts Neues:
»Im Ernst: Ich bin einfach für Zahlen. Also: Es sterben nicht genug Deutsche, das schreibt ja auch die Frankfurter Rundschau, unser Rentensystem ist in Gefahr. Also frag ich mich: Wenn schon sterben, woran bitte? Und jetzt mal Zahlen auf den Tisch: Krebs, Herz-Kreislauf und so weiter. Aids ist zum Beispiel eine quantité négligeable in diesem Zahlenpott, hat aber unglaubliche mediale Aufmerksamkeit, weil so viele Akkordeonspieler daran erkranken.»
(Harald Schmidt: „Wenn schon sterben – woran bitte?“, Frankfurter Rundschau)
Dieses Blog unterstützt seit langem die Forderung nach nüchternen Risikoanalysen anhand sauberer Statistiken und anderen Zahlenmaterials. Solchen rationalen Betrachtungen stellen wir eine Sammlung von – oft skurrilen – Einzelfällen gegenüber, aus denen man voreilige Schlüsse ziehen könnte, aber eben nicht ziehen soll.
Unterschätzte Risiken: Gymnastik unterm Kruzifix
Gottes Wege sind wahrlich unergründlich. Was man von der Schwerkraft nicht behaupten kann, auf die ist Verlass:
»Ein herabstürzendes Kruzifix hat in einem Pfarrsaal eine Rentnerin bei Gymnastikübungen verletzt.«
(sueddeutsche.de: Unfall im Pfarrsaal – Kruzifix fällt auf Rentnerin)
Interim Report on BA038 Accident
The U.K. Air Accidents Investigation Branch (AAIB) has published an Interim Report on the Accident to Boeing 777-236ER, G-YMMM at London Heathrow Airport on 17 January 2008, better known as the BA038 crash. As I mentioned before, aviation accident investigations are time-consuming. 8 months after the crash they are not finished yet, but they have an idea what the cause might have been. Their summary:
»The investigation has shown that the fuel flow to both engines was restricted; most probably due to ice within the fuel feed system. The ice is likely to have formed from water that occurred naturally in the fuel whilst the aircraft operated for a long period, with low fuel flows, in an unusually cold environment; although, G-YMMM was operated within the certified operational envelope at all times. (…)«
The report goes on discussing the issue and warns that other types of aircraft may be affected as well.
Trusted Storage
(welt.de: Dax begibt sich erneut auf Talfahrt)
Die Panikmafia bei der Arbeit
Unterschätzte Risiken: katholische Fundamentalisten
Religiösen Fundamentalismus kennen wir nur aus dem Fernsehen, nicht wahr? Iran, Irak, Talibanistan, Nordirland, Amerika, da gibt es sie, die spinnerten Fundamentalisten. Aber mitten unter uns? Doch, hier auch:
»Ein evangelischer Pfarrer und Liedermacher aus dem Odenwald erhält einem Medienbericht zufolge Drohungen von katholischen „Fundamentalisten“. Der Grund: Er hat ein papstkritisches Lied geschrieben.«
(HR: Wegen Papstkritik: Drohungen gegen evangelischen Pfarrer)
Protestant und den Papst kritisieren, das sind gleich zwei Sünden auf einmal. So unergründlich sind Gottes Wege denn doch nicht, dass man so etwas schulterzuckend hinnehmen könnte.
Unterschätzte Risiken: irrationale Ängste
Nicht alles, was plausibel klingt, ist auch richtig:
»Personaler schnüffeln immer und überall. Kaum liegt die Bewerbermappe auf dem Tisch, wird gegooglet, geyoutubt, geflickert, gefacebookt, gexingt, gelinkedint, gemyspacet, werden Spezialdienste wie Stalkerati, Technorati oder Yasni angesurft.
Meinungsäußerungen, Hobbies, Vorlieben, Neigungen – kein noch so kleines Detail in der Vita eines Kandidaten bleibt ihnen verborgen, alles wird gesammelt und in einem so genannten B-Profil ausgewertet, so der gängige Medien-Tenor. Doch ist dem wirklich so? (…)«
(FAZjob.NET: Karrieresprung: Bewerber googeln – oder lieber doch nicht?)
Selbstverständlich interessiert sich kein Mensch für die Studentenpartyfotos im Netz, und falls wider Erwarten eine Firma ihre Personalauswahl auf solche Kindereien stützt, möchte man dort nicht arbeiten. Reputationsmanagement durch Löschen dürfte sich deshalb in der Regel erübrigen und ganz dumm wäre es, im Netz überhaupt keine Spuren zu hinterlassen.
Das soll keine Einladung zum sorglosen Umgang mit sich selbst im Netz sein. Aber unrealistische Bedrohungsszenarien sind selten die Grundlage eines brauchbaren Sicherheitskonzeptes und wer sich von Angst lähmen lässt, wo andere etwas tun, der kann nur verlieren.
Plattenverschlüsselung: viermal mangelhaft
Delivering bad news since 2004:
Meine Kollegen aus dem Testlabor IT-Sicherheit haben sich wieder einmal mit Verschlüsselungssoftware beschäftigt. Diesmal im Auftrag der Zeitschrift Computerbild, in deren aktuelles Heft die Ergebnisse eingeflossen sind. Ausgabe 20/2008 berichtet ab Seite 70 über den Test, zu dem unser Institut die Sicherheitsuntersuchung und -bewertung beigetragen hat.
Vier von acht untersuchten Programmen sind durchgefallen. Ich gratuliere. Den Kollegen, nicht den Programmen. Wir haben so etwas vor drei Jahren schon einmal gemacht, damals waren es nur zwei. Eines davon ist jetzt allerdings wieder auf einem der hinteren Plätze gelandet. So einfach ist das eben nicht mit der Sicherheit.
Sachdienlicher Hinweis
Das schrieb man in den 80ern:
»Die Ermittlungen der französischen Behörden führten in die Schweiz zum Genfer Kernforschungszentrum CERN. Dieses beklagt schon seit 1984 ständig Einbrüche durch Hacker. Unter den Hackern selbst gilt CERN als die „Europäische Hackerfahrschule“, in der sich die Hacker „die Klinke in die Hand geben“.«
Anscheinend hat sich nichts geändert am CERN. Womit ich übrigens überhaupt kein Problem habe. Irgendwo muss man das Hacken ja üben.
An das Bundeszentralamt für Steuern
Jetzt tun wir mal etwas völlig Beklopptes, denn damit rechnen sie nicht. Musterklagen sind für Weicheier und bloggende Anwälte. Ich bin weder das eine noch das andere, dafür aber gelernter DDR-Bürger. Was uns, respektive dem Bundeszentralamt für Steuern, das nachfolgende Schreiben beschert:
Unterschätzte Risiken: das Unbekannte
TAIC-PART Snippets
Besides taking place in a marvelous location, the TAIC-PART conference was also an inspiring and stimulating event. Here are a few snippets that I took away from it apart from the proceedings:
- Les Hatton’s keynote, at the beginning of the conference, contained a few interesting figures. His slides are available on the Web. Slide #5 looks into the size of contemporary language specifications, and slide #10 tells a day in the life of a mail server in terms of the numbers of messages received in various categories.
- Paul Gerrard presented a paper on Test Axioms as Thinking Tools, which is also being discussed in his blog.
- Entirely new to me was the idea of test case prioritization, which Gregory Kapfhammer seems to work on. Might be useful in security testing as well.
- For those who need samples for research, there are datasets and repositories:
Sicher ist sicher? 