Es gibt auch positive Todesnachrichten

Nerds, Vertrauen, , , , ,

DAB ist tot, schreibt Telepolis. DAB? Das steht für digitales Radio, Digital Audio Broadcast, für eine Technik, die mit großem Aufwand gefördert wird und bald das gute alte Analogradio ablösen sollte. Eigentlich. Der Telepolis-Artikel erklärt sehr schön, an welchen realen Bedürfnissen vorbei DAB entwickelt wurde.. Deshalb empfehle ich ihn hier, denn wir Security-Nerds haben ja zuweilen dasselbe Problem: unsere Technikwichserei begeistert andere Nerds, geht aber an der Realität vorbei. Normalerweise sorgt der Markt dafür, dass Nischenbedürfnisse von Nischenanbietern befriedigt werden. Das lässt sich durch politisch motivierte Förderung jedoch verhindern, und heraus kommt dann oft so etwas wie DAB. Das übrigens nicht nur an den Bedürfnissen vorbeigeht, sondern auch an der heutigen Technik, denn Musik kommt heute aus dem Internet.

Und was lehrt uns das? Nun, vor allem lehrt es uns Gelassenheit; Vertrauen in uns und unsere Umgebung. Den DAB-Nerds hat man Milliarden in den Hintern geblasen und sie verlieren dennoch. Politische Marktmanipulation ist also offenbar gar nicht so einfach, und das ist eine gute Nachricht.

Liebe taz,

Stammtisch, Wahrnehmung, , , ,

dieser Kommentar ist logisch derart verwegen, dass man ihn fast schon wieder bewundern muss. Wer in wenigen Sätzen den Bückenschlag schafft von diesem Einstieg:

„Die Seuche töten“ heißt das lateinische Wort „Pestizid“ ins Deutsche übersetzt. Für die Entwicklung des ersten synthetischen Pestizids, DDT, erhielt der Schweizer Paul Hermann Müller 1948 den Nobelpreis.

zu jener Kritik:

DDT wurde 1971 verboten, die Bundesrepublik hatte 35 Jahre Zeit, auch andere Pestizide zu verbieten. Grundlegendes ist nicht passiert.

der hat zweierlei. Erstens das Zeug zum Spitzenpolitiker und zweitens nicht alle Tassen im Schrank. Dass Pestizide eine gute Sache sind, steht am Anfang des Kommentars und ist vollkommen richtig. Der Regierung am Ende desselben Textes vorzuwerfen, sie habe diese gute Sache nicht rechtzeitig verboten, zeugt vielleicht von Linientreue, aber sicher nicht von Sachverstand oder auch nur von Logik.

Unterschätzte Risiken: Frühjahrsputz

Fundbüro, Risiko, Safety, Unterschätzte Risiken, Wahrnehmung, , ,

Zur Abwechslung in dieser Kategorie mal ein durch und durch ernsthafter Sicherheitshinweis. Die Süddeutsche erinnert uns an eine gern verdrängte Tatsache:

»Im Jahr 2006 sind nach der Zählung des Statistischen Bundesamtes (destatis) 6455 Menschen bei häuslichen Unfällen ums Leben gekommen. Das sind mehr als im gleichen Zeitraum im Straßenverkehr (5174). Während die Zahl der Verkehrstoten kontinuierlich sinkt, steigt die Zahl der Todesopfer im häuslichen Bereich stetig an.«

Tragt Helme im Haushalt! Das empfiehlt auch die Hannelore-Kohl-Stiftung. Nun ja, nicht ganz: ginge es nach deren Kampagnen, müsste man Helme beim Radfahren und beim Schuhrollen tragen, nicht im Haushalt. Gut, dass wir es besser wissen.

ClearSwift, das war wohl nix (oder Ihr seid Spielverderber)

Forschung, Geschäft, Security, , , , , ,

Vor einer Woche hatte mich eine Werbemail der Firma ClearSwift zu diesem Ad-hoc-Test inspiriert. Versprochen war Data Loss bzw. Data Leak Protection und ich wollte wissen, ob der Anbieter schnell merkt, dass jemand über ihn bloggt. Erbeten war eine schnelle Reaktion hier im Blog oder auf anderem Wege. Einen festen Termin gab es nicht, aber eine Woche sollte wohl genügen. Reaktionen gab es keine. Das könnte verschiedene Gründe haben:

  1. Ich habe das Konzept der angebotenen Lösung nicht verstanden und der ganze Kram hilft gar nicht gegen Blogger, die unerlaubt über die Firma bloggen. Dann stellte sich allerdings die Frage, warum Blogs und Web 2.0 in der Werbung vorkommen.
  2. Vielleicht hilft die Lösung tatsächlich gegen unerlaubte Firmenblogger, aber nur unter bestimmten Randbedingungen. Sie könnte zum Beispiel erfordern, dass der Blogger aus dem Firmennetz bloggt oder dass Geheimnisse erst registriert werden müssen, damit die Sicherheitstechnik sie entdecken kann. In diesem Fall wäre der Nutzen zweifelhaft, wie diese kleine Demonstration zeigt.
  3. Oder wir haben es mit Spielverderbern zu tun: sie haben uns gesehen, aber absichtlich nicht reagiert. Das gäbe ein Sehr Gut für die Methodik der Krisen-PR – aber leider ein Ungenügend für Nachdenken, denn in diesem Fall wäre eine Reaktion richtig gewesen.

Zum Mitspielen hätte man übrigens überhaupt keine Sicherheitslösung gebraucht, weil es ja Google gibt und Google gern Benachrichtigungen zu beliebigen Anfragen verschickt. Jeder, der auch nur eine Spur von Eitelkeit zu seinem Wesen zählt, hat einen Google Alert auf seinen Namen bestellt. Tja.

Plausibles Abstreiten?

Fundbüro, Security, , , , , ,

Heise Security weist auf die bereits erwartete TrueCrypt-Version 5.0 hin. Nicht neu ist das Lieblingsfeature aller Nerds, Plausible Deniability. Mit TrueCrypt könne man wirklich geheime verschlüsselte Daten hinter weniger geheimen verschlüsselten Daten so verstecken, dass dies unmöglich nachzuweisen sei, raunt es bei jeder Erwähnung von TrueCrypt im Netz. Über all die lästigen Details, über Angreifermodelle, Randbedingungen, Interessen und praktische Möglichkeiten, geht man für gewöhnlich hinweg.

Um so angenehmer ist es, ausgerechnet im als Trollsenke verrufenen Forum zur Heise-Meldung eine andere Sicht zu lesen. Teilnehmer Catsuit macht sich dort Gedanken, wie die scheinbare Plausibilität ganz schnell zusammenbrechen könnte, wenn der Gegner eine implizite Annahme verletzt und sich mehrfach Informationen über den Systemzustand verschafft. Ob die Erwägungen alle richtig sind, ist gar nicht so wichtig; wichtig ist, dass man mal darüber nachgdedacht hat.

Ich spende hiermit Applaus.

OLG Frankfurt, Az. 23 U 38/05

Security, , , , , , ,

»Geldautomaten sind sicher«, schreiben die Zeitungen und fassen damit ein Urteil des Oberlandesgerichts Frankfurt vom 30. Januar 2008 zusammen. Geklagt hatte eine Verbraucherzentrale, es ging um Abhebungen mit geklauten Karten. Unter den Tisch fiel manchmal dieser Satz:

»Das Gericht lehnte weitere Beweiserhebungen ab, die die Verbraucherschutzzentrale zur Möglichkeit von anderen Manipulationsmöglichkeiten beantragte, z.B. zur Frage der Verwendung von auf der Karte gespeicherten Daten zur PIN-Verfikation.«

(gesehen z.B. hier.) Spontanreaktion: Aber genau auf solche Manipulationsmöglichkeiten kommt es doch an! OLG Frankfurt, Az. 23 U 38/05 weiterlesen

Unterschätzte Risiken: Kinderfasching

Risiko, Unterschätzte Risiken,

»Hassenroth. Kinderfasching endet mit Schlägerei und sieben Verletzten

Wegen einer Schlägerei bei der traditionellen Kinderfastnacht in Hassenroth wurde am Sonntag gegen 17 Uhr die Polzei arlamiert. Anscheinend war das Kinderspiel „Die Reise nach Jerusalem“ Anlass für Tätlichkeiten unter den Eltern. Nach Angaben der Polizei hätten einige versucht, die Spielregeln im Interesse ihrer Kinder zu ändern und seien zunächst verbal und dann tätlich gegen die Organisatorinnen der Veranstaltung gegangen. Fünf Erwachsene und zwei Kinder wurden verletzt. Die jungen Gäste seien zudem zum Teil stark traumatisiert. (…)«

(Echo Online)

Wenn ich über die Ursache spekulieren darf: da hat wohl jemand mit Jerusalem spontan Intifada assoziiert.

Nerds sind anders und merken es nicht

Freundlich zum Nutzer, Nerds, Security, Wahrnehmung, , , , ,

Burkhard Schröder schreibt in Telepolis über »Ahnungslosigkeit, Versagen und S/Mime«: Seine Versuche, mit Abgeordneten Schlüssel für den E-Mail-Verkehr zu tauschen erweisen sich als weitgehend fruchtlos. Er beklagt:

»Dass ein Abgeordneter des Bundestages keinen technischen Sachverstand besitzt, ist verzeihlich. Dass sie oder er auf auf den Sachverstand verzichtet, der ihm innerhalb des Hauses gratis angeboten wird, ist einfach nur ignorant.«

Das ist eine typische Nerd-Beschwerde. Sie impliziert zweierlei, nämlich dass verschlüsselte E-Mail im richtigen Leben irrsinnig wichtig sei, und dass das jedem spätestens dann klar werden müsse, wenn einer danach fragte. Beides ist falsch, wenn man die Wahrnehmung und Gedankenwelt eines Nichtnerds zugrunde legt.

Nerds sind anders und merken es nicht weiterlesen

Da stelle mer uns mal janz dumm

Freundlich zum Nutzer, Risiko, Stammtisch, Vertrauen, Zwischenruf, , , ,

Vor dem Frühstück spontan bei einer unbekannten Website drei T-Shirts bestellt und mit Kreditkarte bezahlt. Lasst mich doch in Ruhe mit Eurer blöden Sicherheit, Fortschritt ist mir lieber. Was Ihr auch baut, ich will es nicht sehen und nicht spüren und nicht darüber nachdenken. Ich will nackig im Bett shoppen und mit Kreditkarte bezahlen. Kennt übrigens jemand einen Online-Shop, der gute persische Pistazien verkauft?

PS: Vor PayPal hatte ich dann doch ein wenig Angst. Die waren zu blöd, Dollar in Euro umzurechnen und ich weiß nicht, wieviele Bestellungen ich jetzt abgeschickt habe.

Will HTML 5 Promote Insecure Programming? Maybe not.

English, Freundlich zum Nutzer, Nebenwirkung, Security, , , ,

[Notice for our international readers]

A few days ago the W3C published the first draft of HTML 5. One of the many new features struck me as a possible amplifier for insecure programming: HTML 5 extends the type attribute of the input element to support URLs, e-mail addresses, date, time, and other types. The rationale for the new types reads (emphasis by me):

»The idea of these new types is that the user agent can provide the user interface, such as a calendar date picker or integration with the user’s address book and submit a defined format to the server. It gives the user a better experience as his input is checked before sending it to the server meaning there is less time to wait for feedback.«

Now this is a really old theme in Web (in)security. The Web as a platform for programming invites errors in input validation and sanitation by giving the programmer equally powerful tools for two different domains of trust, the client and the server. Furthermore, client-side input validation does make sense and is desirable under usability considerations but cannot replace server-side enforcement.

Consequently, one all too common mistake in Web application programming is to validate or sanitize data on the client side but not on the server side where one must not rely on any assumptions regarding client behavior. At the first glance abovementioned extensions seem to provoke even more of these mistakes by improving on the client-side features, thus making them more attractive.

The new feature makes generating code easier, though, which means it may become easier to develop and use frameworks instead of hand-coding. This would be good, security-wise, as one framework usually makes fewer errors than hundreds or thousands of programmers.

At this time, both theories seem equally plausible to me. Empirical studies, anyone?

Schon wieder: Sicherheit in der Werbung

Fundbüro, Geschäft, Wahrnehmung, , , , , ,

Indien hat zwar gerade nicht so viel Internet, macht aber dennoch mit Werbung auf sich aufmerksam:

ibibo ad

Schön, dass ihnen Sicherheit wichtig ist, aber eigentlich sollte es selbstverständlich sein, dass ich wenigstens über die Originalkopie meiner Daten die Kontrolle behalte.

Im übrigen fühle ich mich jetzt ganz und gar nicht sicherer, sondern ich frage mich vielmehr, ob ich dieses Banner nicht vielleicht nur deshalb sehe, weil ich mich vorhin in einem indischen Blogkatalog herumgetrieben habe. Kann aber nicht sein, wie sich nach kurzem Nachdenken herausstellt, denn das war auf einem anderen Computer. Oder kann es doch? Vielleicht will ich es so genau lieber gar nicht wissen.

5 dangerous things you should let your kids do

English, Fundbüro, Safety, Video, , , ,

»Gever Tulley, founder of the Tinkering School, talks about our new wave of overprotected kids — and spells out 5 (and really, he’s got 6) dangerous things you should let your kids do. Allowing kids the freedom to explore, he says, will make them stronger and smarter and actually safer.«

5 dangerous things you should let your kids do (video, 9:20)

Bessere Werbung

Fundbüro, Security, , , ,

Werbung von Iron Mountain

Es gibt übrigens auch Werbung, die mich nicht zu einem Spontantest anstachelt, sondern mir so gut gefällt, dass ich sie mit großem Vergnügen weiterreiche. Sogar zum Thema IT-Sicherheit. Nebenstehend ein Beispiel (Klick zum Vergrößern), das ich heute in meinem Postfach fand, eine Karte im Format A4, die auf http://friendlyadvicemachine.com/ verweist. John Cleese schaue ich mir gerne mal an, auch wenn ich beim Absender Iron Mountain vorerst nichts kaufen möchte. Die Karte ist also gut genug, um meine Aufmerksamkeit zu wecken. Und die Website zur Karte ist gut genug, um mich dabei nicht auf dumme Gedanken kommen zu lassen. Da hat sich jemand richtig Mühe gegeben. Wahrscheinlich haben die Absender auch noch einen Google-Alert auf ihren Namen gesetzt und tauchen schneller hier auf als die Datenleckstopfer von gestern, auf die ich immer noch warte.

Der nächste Uri Geller …

O-Ton, ,

… wird man mit dieser Einstellung wohl kaum. Rechtlich dürfte man jedoch auf der sicheren Seite sein, wenn man auch auf Offensichtliches noch einmal hinweist:

»Aussagen, die nicht auf historischen Tatsachen beruhen, unter anderem bestimmte auf dieser Website getroffene Aussagen, können ihrer Art nach zukunftsgerichtete Aussagen sein. Solche zukunftsgerichteten Aussagen beinhalten bekannte und unbekannte Risiken, Unsicherheiten und andere Faktoren, die eine wesentliche Abweichung der tatsächlichen Ergebnisse, Leistungen und Erfolge der Clearswift Group oder Teilen der Clearswift Clearswift Group von denin zukunftsgerichteten Aussagen angenommenen zukünftigen Ergebnissen, Leistungen oder Erfolgen bedingen können.«

(Clearswift / Company / Legal)

Oliver, schreib das ab, das ist groß. Ich würde dir dafür sogar eine Linking Policy verzeihen, ehrlich.

Mal schnell getestet: Data L{oss|eak} Prevention von Clearswift

Datenschutz, Forschung, Geschäft, Security, , , , ,

Aus meiner SpamInbox:

»Stellen Sie sich vor, Ihre Finanzabteilung versendet versehentlich vertrauliche Business-Pläne an einen externen Emailverteiler, ein verärgerter Mitarbeiter verrät im Online-Chat Firmengeheimnisse oder ein anderer verschickt im Namen Ihres Unternehmens unseriöse Emails an Ihre Kunden.«

Tja, was mache ich denn dann? Die Mail, aus der dieses Zitat stammt, empfiehlt mir, mich rechtzeitig über die Produkte und Dienstleistungen der schreibenden Firma zu informieren. Ich würde ja einfach die Finanzabteilung feuern, wenn sie sich das so redlich verdient; verärgerten Mitarbeitern rechtzeitig genügend Angst machen; und die unseriösen E-Mails selber verschicken, um sie später dementieren zu können und so zweimal billig Aufmerksamkeit zu bekommen. Statt dessen soll ich mich also über MIMEsweeper informieren und darüber, was man im Web 2.0 damit so alles verhindern kann.

Da ich solche Probleme nicht habe und meine Hauptbeschäftigung darin besteht, die Sicherheit von allem möglichen zu testen und zu bewerten, tue ich genau das: testen. Mal schnell getestet: Data L{oss|eak} Prevention von Clearswift weiterlesen

Blödsinnige Dämonisierung

Propaganda, Risiko, Wahrnehmung, , , ,

Spiegel Online geht mit der Mode und bauscht die Zigarette zum heimtückischen, bösartigen Suchtdämon auf:

»Die sieben wissen, dass sich nicht „leichsinnig“ werden dürfen und „streng mit sich“ sein müssen, wollen sie keinen Rückfall erleiden. „Eine Zigarette reicht, um mich wieder zum Raucher zu machen“, sagt Klaus.«

Nun ja, es ist nur zitiert und die eigentlichen Schuldigen sind die Jungs und Mädels aus dem Entwöhnungsseminar und ihre Psychologin. Wie dem auch sei, liebe Leserinnen und Leser, das ist Bullshit. Blödsinnige Dämonisierung weiterlesen

Misstrauen in Wahlcomputer breitet sich aus

Angst, Events, Vertrauen, Wahlcomputer, Wahrnehmung, , , , , ,

Hessen hat gewählt, der Chaos Computer Club beobachtete, Berichte gibt es bei Holger Klein, im Heise-Ticker – man schaue jeweils auch in die Kommentare und Trackbacks – sowie bei den Beobachtern selbst. Zeit für die erste Interpretation.

Zur Erinnerung: Der wichtigste und am schwersten auszuräumende Einwand gegen Wahlcomputer ist der Einwand der Intransparenz. Auch das herkömmliche Verfahren mit Papier, Stift und Urne lässt vielerlei Möglichkeiten zur Manipulation. Es ist aber für die Mehrzahl der Wähler durchschaubar und lässt sich ohne besonde Kenntnisse und Fähigkeiten prüfen, durch bloße Beobachtung. Das herkömmliche Verfahren ist also unsicher, aber das macht nichts. Wir müssen dem Verfahren und den beteiligten Personen nicht vertrauen, denn wir können prüfen. Wahlcomputer ändern das. Sie verlagern wesentliche Vorgänge in eine Black Box, der wir vertrauen sollen, ob sie nun sicher ist oder nicht. Außerdem wissen wir aus Erfahrung, dass es ziemlich schwer ist, Computer wirklich sicher zu machen.
Misstrauen in Wahlcomputer breitet sich aus weiterlesen

Lieber mitlaufen als auffallen?

Risiko, Stammtisch, , ,

Die Süddeutsche, die zu mögen man sich auch aus anderen Gründen bereits abgewöhnen kann, übt sich in praktischer Lebenshilfe für Spießbürger, getarnt als Karrieretipp:

»Lieber mitlaufen als auffallen, damit ist man auf der sicheren Seite.«

Als ob man das in diesem Lande irgend jemandem erklären müsste. Nun gut, es geht um Karneval auf Arbeit, um eine Kinderei also, für die sich kein großes Riskio lohnt. Das steht da aber nicht, sondern da steht: »Lieber mitlaufen als auffallen, damit ist man auf der sicheren Seite.« Es steht dort, so darf man vermuten, weil es überall steht, wo Duckmäuser und Mitläufer anderen Duckmäusern und Mitläufern das geben, was beide mit Karrieretipps verwechseln, nämlich Anleitungen zum Duckmausen und Mitlaufen. Abgeschrieben, weitergetragen, nicht in Frage gestellt, lieber mitlaufen als auffallen, damit ist man auf der sicheren Seite.

Lieber mitlaufen als auffallen? weiterlesen

Scientology legt nach

Off Topic, Phishing, Propaganda, , ,

Nach dem viralen Video, das Presse und Blogger gleichermaßen gern verbreiten halfen, schließt sich jetzt ohne Medienbruch eine Runde Astroturfing an. Heise Security meldet:

»Eine anonyme Gruppe hat Scientology im Internet den Krieg erklärt. Über ein YouTube-Video verkündet die sich selbst „Anonymous“ nennende Gruppe, gegenüber der Scientology-Kirche die Redefreiheit verteidigen zu wollen.«

Da werden die Scientologen aber zittern. Oder noch ein wenig an ihrer sattsam bekannten Selbstdarstellung als verfolgte Unschuld feilen. Und alles nur, weil wir uns eine ausnutzbare Angstneurose gönnen. Wer seine kurieren will: ich verleihe gern meinen Hubbard. Weiter als bis Seite 50 ist noch keiner gekommen, ohne ihn kopfschüttelnd zur Seite zu legen.

Giftschrankschlossdesign gegen Benutzerfehler?

Erich fragt, Freundlich zum Nutzer, Safety, Security, Werkbank, ,

Manche Vertreter mancher Berufe haben manchmal Dateien, die man gar nicht haben möchte. Und wenn man sie doch hat, dann möchte man sehr gut kontrollieren, was mit ihnen passiert. Jene unter unseren Leserinnen und Lesern, die sich darunter nicht sofort etwas vorstellen können, denken bitte an eine Dekompressionsbombe als vergleichsweise harmloses Beispiel. Wer damit nichts anzufangen weiß, braucht gar nicht weiterzulesen.

So eine Dekompressionsbombe in Dateiform möchte man auf gar keinen Fall aus Versehen doppelklicken. Zwar macht sie selten richtig was kaputt, aber sie nervt ganz gewaltig, wenn sie erst mal vor sich hin explodiert. Und es gibt noch andere Dinge, die man nicht versehentlich doppelklicken, andererseits aber auch nicht aus seinem Labor verbannen möchte. An die denken wir auch.

Giftschrankschlossdesign gegen Benutzerfehler? weiterlesen