Erinnert sich noch jemand an BSE? Die gefährliche Rinderkrankheit, an der wir alle sterben sollten? Die Zeit lässt es sich nicht nehmen, uns an die Fakten zu erinnern: nie waren hierzulande mehr als 125 Rinder befallen, heute gar keins mehr, und kein Mensch erkrankte je. Man glaubt kaum, das wegen so etwas Minister zurücktreten mussten, das Thema lange die Medien beherrschte und dass wir heute noch – gesetzlich vorgeschrieben – so handeln, als sei BSE eine real existierende Seuche.
Hessen sucht noch Wahlbeobachter
Genauer gesagt sucht der CCC noch Wahlbeobachter für die Hessische Landtagswahl am Sonntag, dem 27. Januar, und zwar für jene Gemeinden, die Wahlcomputer einsetzen. Über seine Eindrücke von der Testwahl in Langen berichtete Oliver hier bereits. Warum »erfolgreiche« Testwahlen kein Anlass zur Entwarnung und Sorglosigkeit sind, erklärt Fefe aus gegebenem Anlass in seinem Blog noch einmal.
Terrorist Threat Levels around the World
Found there: Terrorist Threat Levels around the World
Vokabular und Bedeutung
Beeindruckend, dieses Vokabular: Schwarzer Montag, Börsencrash, Absturz, Panik, Kursrutsch, Sturzflug, Rezession, Konjunkturdelle, Börsenturbulenzen, Minus, Kapitalvernichtung, Wertverlust, verheerend, Krise, Desaster, Nervosität, Stagflationsrisiko, Belastungen, platzende Kursblase, Bärenmarkt, Talfahrt, einbrechende Kurse, nervöse Börse, Kursmassaker, Dax kracht ein, Kurssturz. Was verbirgt sich dahinter?
Virales Marketing
Alle schrieben sie darüber und erklärten uns den letzten Schrei: virales Marketing, Werbebotschaften, die, einmal gestreut, sich von Wirt zu Wirt weiterreichen lassen. Die Journalisten, die Blogger, sie waren so stolz darauf, alles durchschaut und verstanden zu haben. Sie waren sich sicher, jede virale Kampagne zu erkennen. Manipulierbar waren die anderen. Augenzwinkernd und selbstironisch reichten sie lustige Videos und Websites herum, stets betonend, dass es sich um virale Aktionen handelte, denn sie waren Subjekte, keine Objekte. Mit großem Tamtam enttarnten sie die Fakeblogs einer Werbeagentur, deren Plumpheit ihren hohen Verstand beleidigte. Sie waren die Avantgarde der Werbekonsumenten, gebildet, bewusst, mächtig und unbesiegbar. Doch als Scientology ein Werbevideo mit Tom Cruise in der Hauptrolle drehte, da reichten sie es alle, alle herum. Sie schrieben darüber, sie kommentierten, sie ereiferten sich, sie analysierten, die Blogger genauso wie die Journalisten. Und keiner von ihnen hatte bemerkt, dass sie gerade Teil einer viralen Werbekampagne waren.
Hackertool Kommandozeile?
Der Heise-Ticker berichtet unter der Überschrift 60.000 Dollar Strafe für DNS-Abruf:
»Das Gericht stellte fest, dass Ritz dabei seine „Identität hinter Proxies verbarg, ein UNIX-Betriebssystem verwendete und neben anderen Methoden Shell Accounts einsetzte. Außerdem gab er sich als Mail-Server aus.“ Die auf diese Weise gewonnenen Informationen machte Ritz publik. Diese Information, stellte das Gericht fest, sei nicht öffentlich verfügbar gewesen. Damit habe Ritz die Datensicherheit von Sierra gefährdet, Ritz sei also als Hacker einzustufen, schließlich sei der Befehl „host -l“ dem normalen Anwender nicht bekannt.«
Offenbar ist dem Richter alles suspekt, was er nicht kennt. Und das ist erfahrungsgemäß ziemlich viel, wenn es um Informationstechnik geht und man die Gefühlswelt eines Juristen zum Maßstab nimmt.
Tatsächlich aber ist weder am Kommando host noch an einem Shell-Account irgend etwas ungewöhnlich. Sogar mein iBook, Inbegriff des Schickimickiklickiwerkzeugs und damit juristentauglich, verfügt über beides. Ein Maßstab dafür, ob jemand unlauter gehandelt hat, ist die Benutzung nicht. Zumal das Kommando host ausgesprochen harmlos ist: es fragt öffentlich verfügbare Informationen aus den öffentlichen Servern eines öffentlichen Dienstes ab, denn DNS ist nichts weiter als eine Art automatische Telefonauskunft für das Internet. Nur hat das dem Richter offenbar keiner erklärt, wenn der meint, die Information sei nicht öffentlich zugänglich gewesen. Doch, das war sie.
Bullshit ist die Behauptung des Klägers, er habe aufgrund der Abfrage seine interne Kommunikationsstruktur ändern müssen. Erstens wäre nämlich an dieser Kommunikationsstruktur etwas sehr kaputt, wenn sie auf die Vertraulichkeit öffentlicher Informationen angewiesen wäre. Zweitens wäre anderenfalls das Sicherheitsproblem bereits durch die Veröffentlichung auf dem DNS-Server entstanden, und dafür kann man kaum denjenigen verantwortlich machen, der lediglich hinschaut.
Hoffentlich fragen deutsche Richter jemanden, der sich damit auskennt, bevor sie jemanden verknacken, dessen Werkzeuge sie nicht verstehen.
Nachtrag: Und so finden Kommandozeilenganoven ihre KompliziInnen.
Archive können täuschen
Und gleich noch ein Eintrag zum Thema Datenforensik. Im RISKS Digest vom 7. Januar 2008 (Volume 25, Issue 1) weist Fred Cohen auf die geringe Beweiskraft von HTML-Archiven hin. Konkret geht es um archive.org, auch bekannt als WayBack Machine. Das ist ein Dienst, der ab und zu Schnappschüsse von Seiten im Web nimmt und sie archiviert. Seine Nutzer können so einen Blick zurück in die Vergangenheit des Web werfen. Seiten in diesem Archiv kann Cohen nachweislich manipulieren. Seine Demonstration ist überzeugend: in einer archivierten Seite aus dem Jahr 1997 lässt er eine Grafik erscheinen, die damals noch ungeschehene Ereignisse wie 9/11 und Al Gores Nobelpreis nennt.
Der Trick ist so simpel, dass er gar keiner ist. Archiviert ist nämlich nur der HTML-Quelltext von damals. Enthält er Bildreferenzen, so zeigen diese nach wie vor auf die ursprüngliche Adresse. Jedoch garantiert nichts und niemand, dass dort noch dasselbe Bild liegt oder derselbe Server steht. Beim Anzeigen der archivierten Seite aber wird sich der Webbrowser nicht um solche Erwägungen kümmern, sondern die Referenz einfach verwenden und versuchen, von dort ein Bild zu laden. Hat er Erfolg, so zeigt er es auch an. Falls man statt eines Bildes JavaScript-Code in die archivierte Seite injizieren kann, was unter diesen Voraussetzungen nicht allzu schwer ist, dann hat man sogar den kompletten Inhalt unter Kontrolle.
Die Aussage des Archivs hängt also davon ab, unter welchen Randbedingungen man es auswertet. Einfach hinzuschauen genügt nicht. Man wird statt dessen sehr sorgfältig prüfen müssen, auf welche anderen Daten der archivierte HTML-Code verweist, welchen Einfluss diese Daten auf die Präsentation und damit den sinnlich wahrnehmbaren Seiteninhalt haben, und inwieweit sich aus dem archivierten Material eine aussagekräftige Ansicht rekonstruieren lässt. Im schlimmsten Fall, so ein Beispiel lässt sich konstruieren, genügt eine einzelne ungesicherte Referenz, das ganze archivierte Material für Beweiszwecke wertlos zu machen. Juristen dürfte das, je nach Rolle bzw. Mandat, entweder freuen oder ärgern.
Das Problem ist nicht neu, wir kennen es als das Präsentationsproblem von den digitalen Signaturen. Es betrifft viele moderne Datenformate, deren Interpretation von Randbedingungen abhängt.
Vorsicht DachHai!
Die Eigenheimbesitzer unter unseren Leserinnen und Lesern warnt Dexheimer Inside vor den DachHai und erklärt, was im Falle einer Begegnung zu tun ist. Die gute Nachricht daran ist, dass man den DachHai leicht erkennt, die schlechte, dass er trotzdem oft genug sein Fressen findet und nicht ausstirbt.
Vorratsverdacht, Verdachtsvorrat
Schwierigkeiten, Unklarheiten und Denkfallen bei der Interpretation gespeicherter Daten waren schon einmal Thema in unserem Blog. Plastischer wird das Problem vielleicht, wenn man es sich an eigenen Datenspuren veranschaulicht. Bloggerin Ari macht es vor und kommt zu dem Schluss:
»Na bravo: Mit den Augen des Vorratsdatenspeicher-Kriminal-Ermittlers bin ich jetzt also ein rechtradikaler Scientologe mit Kontakten zur russischen Sex-Mafia.
Ob mich das verdächtig macht???«
Man müsste es pro forma vielleicht noch mal empirisch untersuchen, aber als Eindruck kann ich jetzt schon sagen: die ganzen »Sicherheits«maßnahmen der jüngeren Vergangenheit schaffen augenscheinlich genau das Gegenteil. Unsicherheit nämlich, Unsicherheit darüber, welche Folgen ein Handeln heute haben kann, das bis gestern keinen etwas anging.
Wieder eine Angst weniger
Jahre-, ach was, jahrzehntelang sorgten wir uns um unsere körperliche und geistige Gesundheit und konnten uns doch niemandem mitteilen. Jetzt, endlich, erlöst uns die Frankfurter Rundschau. Herzlichen Dank, uns fällt ein Stein vom Herzen. Obwohl, woran genau erkennt man eigentlich, dass die Ersatzhandlung neurotisch wird?
*kicher*
Bei den Edelfedern von der staatstragenden Presse geht es gerade zu wie in der Blogosphäre.
Populäre WLAN-Irrtümer
Kurz verlinkt:
Christoph Wissing klärt Populäre WLAN-Irrtümer auf. IT-Experten dürften wenig Neues lernen, Laien schon.
Vertrauen Sie niemandem
Eine kurze Erinnerung zwischendurch: vertrauen Sie niemandem, auch nicht der Feuerwehr. Vielleicht wollen Ihnen die netten Herren nur teure Rauchmelder andrehen. Bevor Sie Feuerwehrleuten etwas abkaufen, lassen Sie sich entweder ihren Ausweis zeigen, oder das Feuer.
Scareware
Die Masche ist bekannt: irgendwo im Netz stößt man auf eine Website, die einen kostenlosen Sicherheitscheck verspricht. Dazu lädt man sich ein Program herunter und führt es aus. Dieses Programm findet tatsächlich eine Reihe von Sicherheitsproblemen oder behauptet das jedenfalls. Und es hört mit dem Behaupten gar nicht mehr auf, denn das Opfer soll auf jeden Fall die »Vollversion« kaufen, von der es heißt, sie könne die gefundenen Probleme beseitigen.
Seit es diesen Betrug auch für den Mac gibt, hat er sogar einen schönen Namen: Scareware.
Attitude Adjustment Needed?
[Notice for our international readers]
I have no idea what went wrong today when a British Airways jet crashed short of the runway in London Heathrow. Nobody does at this point, we’ll have to wait for the results of a thorough investigation as will undoubtedly be carried out for this crash like for any other. This is the way the aviation community learns from mistakes all around the world.
So there would be not much to say about this accident, hadn’t I tripped over a statement that BBC News quotes prominently in their online coverage of the events, attributed to David Learmount, Air transport expert:
»BA pilots don’t make error of judgements of that type, especially not at the home base, let alone anywhere else«
This is not the appropriate attitude towards safety and the causes of accidents. In reality, pilot or flight crew error is the primary cause of accidents in aviation. At this point, let me repeat myself, we don’t have the slightest idea what caused this crash, but we know for sure that even BA pilots make errors of judgement, perhaps even of this particular type.
To be fair, according to my experience with the media, this sentence is one short snippet selected by a journalist out of a longer conversation. It may not entirely represent what had been said and our air transport expert may be innocent. However, in the particular way in which it appears on the BBC page, emphasized through page layout and ripped out of its possible context, it is just plain wrong.
Update:
- The Man in a Shed points out: »It is worth speculating as to why all BA 777’s and other airline 777s haven’t been grounded given the reported total electrical failure of the aircraft. Perhaps something is known about the cause after all.« I’m afraid he might have wrong expectations about aircraft being grounded. This is not the common reaction to any incident or accident unless it is obvious that there would be a high, immediate danger in not doing so.
- Kevin Anderson criticizes the Times‘ coverage of the events.
- Holly of PlaneBuzz discusses the many ways in which this accident is perplexing. This is exactly why it needs to be investigated.
- Juan Antonio Giner of Innovations in Newspapers noticed a BA ad in the middle of a news report on the accident, and has further comments on the reporting.
- Jon, too, complains about the style of reporting and recommends that we wait for the results of the investigation.
Wie gefährlich sind radioaktive Strahlen?
Mit dem Risiko durch radioaktive Strahlung oder andere Nebenwirkungen der Kernkraftnutzung haben wir uns hier bereits beschäftigt. Eine Theorie, die in diesem Zusammenhang immer wieder auftaucht, ist die von der Gefährlichkeit sehr niedriger Strahlendosen. Die Kern-, äh, -these lautet, von ihren Vertretern selbst auf die Spitze getrieben: ein einziges Teilchen radioaktiover Strahlung, das unseren Körper erreicht, könne uns umbringen.
In der FAZ von gestern bin ich nun über einen Leserbrief gestolpert, der für mein Verständnis recht plausibel erläuterte, wie diese Theorie zustande kommt und warum sie Blödsinn ist. Wie eine kurze Googelei zeigt, ist zwar nicht der Leserbrief, aber ein älterer Artikel seines Autors im Netz zu finden: Wie gefährlich sind radioaktive Strahlen?
Betrachten wir beide Seiten, so fällt auf, dass die eine – Hauptvertreter scheinen sogenannte Baubiologen zu sein, was auch immer das sein mag – viele Zahlen, Fakten und Schlagworte aneinanderreiht. Die andere Seite dagegen setzt sich mit Wirkmechanismen, Konzepten und der Arbeitsweise von Gremien auseinander. Auf dieses Kriterium spring mein Bullshit-Detektor an. Wer nicht nach der Wirkungsweise fragt, sondern einfach mit Zahlen und Begriffen um sich wirft, der will nur Angst erzeugen.
Restrisiko
In Queis bei Halle ist ein Hochregal eines Papiergroßhandels eingestürzt. Mehrere Menschen wurden verletzt, mindestens einer getötet. Dabei hatte man eigentlich alles richtig gemacht und war gerade dabei, das Risiko zu bewerten. Die Leipziger Volkszeitung berichtet:
»Nach Unternehmensangaben wurde das Unglück möglicherweise beim Unfall mit einem Gabelstapler ausgelöst, der sich schon am Dienstag ereignet hatte. Der Stapler war in das Regal gefahren, das daraufhin als einsturzgefährdet galt und am Mittwochnachmittag zusammenbrach. Zu diesem Zeitpunkt berieten laut Unternehmen Gewerbeaufsicht und THW über weitere Sicherheitsmaßnahmen. „Mehrere Leute waren an dem Regalsystem, als es dominoartig in sich zusammenrutschte. Das ist alles sehr tragisch, wir stehen unter Schock“, sagte ein Unternehmensvertreter.«
(weitere Berichte: SpOn, Süddeutsche)
Shit happens. So etwas ist wohl gemeint, wenn es heißt, hundertprozentige Sicherheit gebe es nicht.
Wie übersetzt man »trusted« richtig?
Im Englischen kann man ohne sprachliche Verrenkungen zwischen trusted und trustworthy unterscheiden. Trotzdem kriegen es viele nicht richtig hin. Auf Deutsch ist das noch viel schwerer. Trustworthy lässt sich noch entspannt und korrekt mit vertrauenswürdig übersetzen: das bedeutet, dass etwas Vertrauen verdient, dass Vertrauen – ganz gleich, ob man es tatsächlich hat oder nicht – jedenfalls nicht enttäuscht würde. Ob jemand oder etwas vertrauenswürdig war, wissen wir zuverlässig immer erst hinterher, wenn uns das Ergebnis wovon auch immer gezeigt hat, dass unser Vertrauen gerechtfertigt war. Meine Bank zum Beispiel hat sich in der Vergangenheit als vertrauenswürdig erwiesen. Viel spricht dafür, dass sie es auch in Zukunft bleiben wird, aber hundertprozentig weiß ich das jetzt noch nicht.
Für die Zukunft muss ich meiner Bank vertrauen: ich vermute oder hoffe, dass sie sich als vertrauenswürdig erweisen wird, und handle jetzt schon so, als sei sie es. Ich könnte mich statt dessen auch bei einer anderen Instanz absichern, hätte dort aber dasselbe Problem. Meine Bank, oder die andere Instanz, ist damit trusted. Meine Sicherheit hängt davon ab, dass sie sich wie erhofft verhält. Tut sie es nicht, bricht mein Sicherheitskonzept zusammen. Ein anschauliches Beispiel gibt es hier. Der Übersetzer ist trusted, jemand vertraut ihm. Er ist aber nicht trustworthy, denn er enttäuscht dieses Vertrauen.
Für diese Rolle in der Vertrauensbeziehung hätte ich gern ein deutsches Adjektiv. Vertraut passt nicht. Abhängig ist gerichtet und genau umgekehrt: ich bin abhängig von dem, dem ich vertraue. Im Einzelfall kann man sich vielleicht in Umschreibungen retten, aber darunter leidet die Verständlichkeit. Einfach trusted zu benutzen ist auch nicht besonders schön, das Lesen macht dann keinen Spaß mehr. Betraut oder verantwortlich ginge vielleicht, wenngleich mir beides unüblich scheint. Wie lösen unsere geschätzen Leserinnen und Leser dieses Problem?
Eingreifen?
Sie kreischt. Er schreit. Es rummst. Ich warte, Johannes Gernert über Zivilcourage im Mehrfamilienhaus. Eingreifen ist gar nicht so einfach, wenn es mal wirklich nötig ist.
Bombensicher: Knautschzonen für Häuser
Wieder was gelernt. In der taz stand am 11. Januar der Artikel Britannien wird bombensicher! von Sam Wild. Sehr in die Tiefe geht er nicht, was die technische Seite betrifft. Dennoch erfuhr ich daraus etwas, das mir vorher nicht so klar war: gegen Bomben muss man nicht unbedingt Bunker mit dicken Betonwänden bauen.
Wie überall, wo es um Sicherheit geht, empfiehlt sich zunächst eine Analyse. Wovon bin ich oder fühle ich mich bedroht, wie wirkt die Bedrohung und welchen Einfluss haben Randbedingungen? Wenn ich die Bedrohung verstanden habe, kann ich nicht nur geeignete Maßnahmen dagegen entwerfen, sondern ich werde dann auch wissen, wie weit deren Schutz reicht oder eben nicht reicht.
Uns geht’s wohl zu gut
27 Milliarden Euro.
Das ist das jährliche Marktvolumen für Glücksspiel in Deutschland. Jeder Durchschnittliche unter uns riskiert also 337 Euro im Jahr – für Spiele, über die jeder in der Schule gelernt hathaben könnte, dass sie stets Geld von den Teilnehmern zu den Veranstaltern bewegen und nur einen Teil davon in wieder die andere Richtung. 27 Milliarden Euro geben wir jedes Jahr aus in der statistischen Gewissheit, einen nennenswerten Teil davon zu verlieren. Sogar die als geisparsam geltenden Schwaben machen mit.
Zum Vergleich: der Klimawandel könnte die deutsche Wirtschaft bis zum Jahr 2050 nach düsteren Prognosen 800 Milliarden Euro kosten, das sind grob überschlagen 20 Milliarden im Jahr. So gesehen ergibt es fast einen Sinn, dass wir einige Energie in die Regulierung des Glücksspiels investieren, kostet es uns doch mehr als unsere derzeitige Lieblingskatastrophe.
Helen Keller on Security
»Security is mostly a superstition. It does not exist in nature, nor do the children of men as a whole experience it. Avoiding danger is no safer in the long run than outright exposure. Life is either a daring adventure, or nothing. To keep our faces toward change and behave like free spirits in the presence of fate is strength undefeatable.«
– Helen Keller, deafblind American author, activist, and lecturer. Quote found here.
Operation sichere Zukunft: die Bilanz
Pünktlich zur Hessenwahl erinnert Andrea Diener an die Operation sichere Zukunft der gegenwärtigen Landesregierung:
»Erinnert sich eigentlich noch jemand an die Operation sichere Zukunft? Vor vier Jahren war das. Damals waren es noch nicht die jugendlichen Straftäter mit Migrationshintergrund, die für Unsicherheit und Kampfrhetorik sorgten, sondern die finanzielle Lage des Landes Hessen.«
Die Ganzkurzfassung: man hat viel Geld gespart, aber wohl an der falschen Stelle. Ihr Text ist aber viel besser als meine Zusammenfassung und Quellen hat sie auch. Lesen!
Wer mehr zur Wahl lesen möchte: der Onlinejournalistennachwuchs der h_da füllt der Frankfurter Rundschau das Wahlblog Kreuzchen (via: Textdepot). Ob die Texte was taugen, kann ich noch nicht sagen; immerhin haben sie ein richtiges Blog hingekriegt und bewegen sich damit am oberen Ende der journalistischen Onlinekompetenzskala.
Sicher ist sicher? 