Ganz bestimmt klicke ich auf so einen Link in einer E-Mail:
http://m2.tm00.com/r/l029ebmPZU4b6G8Wp.htm
Kann ich den Versuch als Beleidigung anzeigen? (Hinterm /r/ ist alles geändert, Original auf Anfrage.)
Unique selling proposition
February 8, 2010»Symmetric keys eliminate PKI key management issues.«
True.
Leave a Comment » | 
English, Geschäft, IT, In einem Wort, Security | Tagged: encryption, funny, Marketing, PKI, USP | 
Permalink
Posted by Sven Türpe
In einem Wort
February 7, 2010
Leave a Comment » | Angst, In einem Wort, Rechtsabteilung | Tagged: Deppendisclaimer | Permalink
Posted by Sven Türpe
Gesunde Ansichten
February 6, 2010
1 Comment | Risiko | Tagged: Ernährung, Gesundheit, Süßstoff, Video | Permalink
Posted by Sven Türpe
Nice
February 4, 2010
Leave a Comment » | English, Security | Tagged: Security-Theater | Permalink
Posted by Sven Türpe
Alleinr
February 3, 2010»Your social circle as determined by Google is currently a blank slate.«
Ist das jetzt ein gutes oder ein schlechtes Omen?
Leave a Comment » | Datenschutz | Tagged: Google | Permalink
Posted by Sven Türpe
Phishing mal anders
February 3, 2010Siehe da, phishen kann man nicht nur bei privaten Bankkunden, sondern auch bei Unternehmen. Zu gewinnen gibt’s kein Geld, sondern Emissionszertifikate.
»Nach Informationen der “FTD” täuschten die Betrüger in einer E-Mail an mehrere europäische sowie einige japanische und neuseeländische Unternehmen eine Mitteilung der Potsdamer DEHSt vor. Darin habe es ironischerweise geheißen, zur Abwehr drohender Hackerangriffe müssten sich die Empfänger neu registrieren.«
(Spiegel Online, Datendiebstahl: Hacker plündern Emissionshandelsregister)
Mal sehen, was die sich als Lösung einfallen lassen, falls das öfter passiert.
Richtig Geld verdienen kann man vermutlich auch, indem man ein Loch in die Erde bohrt, die Einlagerung von CO2 verspricht und weiter nichts tut.
P.S.: Heise hat noch ein paar Details.
P.P.S.: Der Inhalt der Phishing-Mail.
Bombenalarm
February 1, 2010Das richtige Verhalten bei Bombendrohungen kennen regelmäßige Leserinnen und Leser dieses Blogs bereits. Zeit, das Gelernte zu üben. Wie Informatiker Bomben bauen, steht stilecht im Internet, wo sonst.
Leave a Comment » | Fundbüro, IT | Tagged: Bombe, Informatik, logische Bombe | Permalink
Posted by Sven Türpe
History Hack aufgebohrt
February 1, 2010Den CSS History Hack habe ich neulich als digitale Wahrsagerei abgetan. Offenbar sieht die Sache anders aus, wenn der Angreifer selbst Köder in der History legen kann. Es sieht so aus, als sei der Hack von Jens zum Browser-Profiling nur einer unter vielen.
Leave a Comment » | IT, Phishing | Tagged: browser profiling, CSS history hack, wiedererkennung | Permalink
Posted by Sven Türpe
Wie verkauft man geklaute Daten an einen Staat?
January 31, 2010Während alle Welt über ethische und rechtliche Fragen des Ankaufs geklauter Daten durch den Staat debattiert, interessieren mich die praktischen Aspekte. Wie fädelt man als Besitzer kompromittierender Daten so ein Geschäft ein, damit die Wahrscheinlichkeit, das verlangte Geld später in Ruhe ausgeben zu können, möglichst hoch wird?
Wir haben auf der einen Seite einen Verkäufer, der im Prinzip irgendwo auf der Welt sitzen und die Daten übers Internet bereitstellen kann. Sein möglicher Abnehmer wird sich jedoch kaum auf eine Lieferung gegen Vorkasse einlassen, was einen beiderseits akzeptierten Prozess für den Austausch erfordert.
Auf der anderen Seite haben wir als Käufer einen Staat mit einer Polizei und Gesetzen, der seine Kosten reduzieren kann, wenn er den Lieferanten nicht bezahlt, sondern ihn auf frischer Tat mitsamt den Daten ertappt. Mit der verlangten Summe dürften sich eine Polizeiaktion, ein Prozess sowie einige Gefängnispersonenjahre ohne Schwierigkeiten finanzieren lassen. Der Käufer ist außerdem international vernetzt, hat also die Möglichkeit, Verhaftungen auch im Ausland zu erwirken.
Als dritter Mitspieler ist ein weiterer Staat im Spiel, der über dieselben Fähigkeiten verfügt und das Interesse verfolgt, das Geschäft zu vereiteln und den Verkäufer seinerseits hinter Schloss und Riegel zu bringen – oder ihn vielleicht auch zur Abschreckung öffentlich einer Geheimdienstaktion zum Opfer fallen zu lassen.
Wie würde man sich als Täter in dieser Situation absichern?
P.S.: Wie ist die ganze Aktion eigentlich Datenschutzrechtlich zu bewerten?
1 Comment | Datenschutz, Erich fragt, Geschäft, Regierungsviertel, Risiko, Security | Tagged: CD, Daten kaufen, Steuersünder | Permalink
Posted by Sven Türpe
Unterschätzte Risiken: Sicherheitstheater
January 31, 2010Wenn das stimmt, wäre es eine große Ironie: das Sicherheitstheater am Flughafen lässt Flugzeuge als gut bewacht gelten und macht sie damit als Angriffsziel erst interessant.
»Und zuletzt sind Flugzeuge ein sehr symbolisches Anschlagsziel, weil sie gut bewacht sind. Die Terroristen schicken eine Botschaft: “Selbst in der Luft seid ihr nicht vor uns sicher.”«
(Spiegel Online: Flugsicherheit: “Ich will den bösen Jungs keine Nachhilfe geben”)
Das ist natürlich nur einer von vielen Faktoren, der Artikel zählt weitere auf, etwa die verstärkte Wirkung einer vergleichsweise kleinen Bombe, wenn sie in zehn Kilometern Höhe in einer Druckkabine gezündet wird. Dennoch stellt sich die Frage, wie man so einen Faktor sinnvoll optimiert und ob Sicherheit insgesamt nicht einfach nur Voodoo und Aberglaube ist.
Leave a Comment » | Security, Unterschätzte Risiken | Tagged: Flugzeug, Luftfahrt, Terrorismus | Permalink
Posted by Sven Türpe
In einem Wort
January 30, 2010Security Problem Excuse Bingo (Danke, Matthias)
Leave a Comment » | In einem Wort, Security | Tagged: Ausreden, Bullshit Bingo, Sicherheit | Permalink
Posted by Sven Türpe
Lesetipp
January 30, 2010In der <kes> vom Dezember 2009 findet sich ein feiner und unterhaltsamer Artikel zum Realitätsabgleich für Security-Nerds, insbesondere für solche, die für die Sicherheit in Unternehmen verantwortlich sind:
Vom Aus der geschlossenen Anstalt
Ein Traktat wider das hartnäckige Festhalten an vermeintlich Bewährtem
von Dr. Johannes Wiele
Vermutlich verschwindet der Artikel bei Erscheinen des nächsten Heftes demnächst im Archiv für Abonnenten, bei Gefallen empfiehlt sich also eine Sicherheitskopie.
Leave a Comment » | Freundlich zum Nutzer, IT, Security | Tagged: Realitätsabgleich, Sicherheitskonzepte | Permalink
Posted by Sven Türpe
Unterschätzte Risiken: Leichtgläubigkeit
January 29, 2010Wenn sich ein Verbrecher Patrick nennt, dann bleibt der Polizei nichts anderes übrig, als alle Patricks in der Umgebung des Tatortes zu gentesten. Dass die Spur falsch, gar eine gezielte Irreführung sein könnte, auf die Idee kam man offenbar nicht:
»Hunderte Männer namens Patrick hatte die Wiesbadener Polizei nach der Vergewaltigung einer 17-Jährigen überprüft. Knapp zwei Jahre später hat sie den Täter gefunden – per Zufall. Patrick heißt er nicht.«
(HR: Zufallstreffer: Vergewaltiger heißt doch nicht Patrick)
Es sei nicht auszuschließen gewesen, dass der Name richtig sei. Dass die DNS-Rasterfahndung Blödsinn sein könnte, war offensichtlich aber auch nicht auszuschließen.
Leave a Comment » | Biometrie, Datenschutz, Security, Unterschätzte Risiken, Wahrnehmung | Tagged: DNA, nicht auszuschließen, Polizei, Speichelprobe | Permalink
Posted by Sven Türpe
Patchday
January 29, 2010Der Geldautomat hat gesagt, meine Karte sei nun wieder gesund. Die Sparkassen haben das Kartenupdate über die Geldautomaten also offenbar laufen und es scheint innerhalb der Sparkassenorganisation auch überregional zu funktionieren. Das ist technisch eh’ kein Problem, verdient angesichts der organisatorischen Kleinstaaterei aber dennoch ein Lob. Ob die Volks- und Raiffeisenbanken das auch so hinkriegen?
Leave a Comment » | Events, Security, Testlabor, Unterwegs | Tagged: EMV-Chip, Flickentag, GAA, geldautomat, update | Permalink
Posted by Sven Türpe
Den Anschluss verloren
January 28, 2010Was kann man heutzutage eigentlich noch mit einem IE (v8) anstellen, dem man Inhalte in die lokale Sicherheitszone legt, also ins Filesystem? Bei aktiven Inhalten, JavaScript und so, fragt er erst mal nach, bevor er sie ausführt. Was würde man statt dessen versuchen?
Warum ich frage? Ich habe hier einen Firefox unter Windows XP, dem irgend jemand beigebracht hat, für bestimmte HTTP-Responses den IE aufzurufen, und zwar so, dass der IE den Inhalt als HTML interpretiert.
1 Comment | Erich fragt, IT, Security | Tagged: Browser, Firefox, Internet Explorer | Permalink
Posted by Sven Türpe
Frommer Wunsch
January 26, 2010Wenn wir Programmierern die Möglichkeit geben, sich (bzw. den Anwendern ihrer Produkte) in den Fuß zu schießen, was werden sie dann wohl tun? Genau, sie werden sich (bzw. den Anwendern ihrer Produkte) in den Fuß schießen. Daran ändern auch Gebete nichts:
»8.5 SQL Injection
Authors are strongly recommended to make use of the ? placeholder feature of the executeSql() method, and to never construct SQL statements on the fly.«
(W3C: Web SQL Database, Editor’s Draft 14 January 2010)
Kann sich nicht mal jemand hinsetzen und das richtig machen?
1 Comment | Freundlich zum Nutzer, IT, Security, Zwischenruf | Tagged: SQL injection, W3C, Web SQL Database | Permalink
Posted by Sven Türpe
In einem Wort
January 25, 2010
Leave a Comment » | In einem Wort, Risiko, Safety | Tagged: Feuer | Permalink
Posted by Sven Türpe
Im Informatikunterricht gefehlt
January 24, 2010haben wohl die Journalisten, die uns seit Tagen mit Geschichten über Bibelverse auf amerikanischen Zielfernrohren nerven. Da stehen nämlich gar keine Bibelverse drauf. Sondern je nach Lieblingsparadigma Zeiger auf Bibelverse, Primärschlüsselwerte aus der Bibelverstabelle, Identifier für Bibelversobjekte oder irgendwas in dieser Art. Die ganze Aufregung dreht sich um Zeichenfolgen wie JN8:12 oder 2COR4:6. Wenn es wenigstens Hexspeak wäre…
Leave a Comment » | Begriffe, Off Topic, Wahrnehmung, Zwischenruf | Tagged: Journalismus, Zeiger | Permalink
Posted by Sven Türpe
Spam-based economy
January 24, 2010
(direct spam, via)
Leave a Comment » | English | Tagged: Spam, The Onion, Video | Permalink
Posted by Sven Türpe
Fighting back
January 23, 2010Sherr, M.; Shah, G.; Cronin, E.; Clark, S. and Blaze, M.: Can They Hear Me Now? A Security Analysis of Law Enforcement Wiretaps. CCS’09.
Abstract:
»Although modern communications services are susceptible to third-party eavesdropping via a wide range of possible techniques, law enforcement agencies in the US and other countries generally use one of two technologies when they conduct legally-authorized interception of telephones and other communications traffic. The most common of these, designed to comply with the 1994 Communications Assistance for Law Enforcement Act (CALEA), use a standard interface provided in network switches. This paper analyzes the security properties of these inter- faces. We demonstrate that the standard CALEA interfaces are vulnerable to a range of unilateral attacks by the intercept target. In particular, because of poor design choices in the interception architecture and protocols, our experiments show it is practical for a CALEA-tapped target to over- whelm the link to law enforcement with spurious signaling messages without degrading her own traffic, e ectively preventing call records as well as content from being monitored or recorded. (…)«
Leave a Comment » | English, Forschung | Tagged: 2009, CALEA, CCS | Permalink
Posted by Sven Türpe
Platzt die Ökoblase bald?
January 22, 2010Vor zehn Jahren platzte die Dotcom-Blase. Dass es dazu kommen musste, war aufmerksamen Beobachtern schon länger klar. Zu grotesk waren die börsennotierten Geschäftsideen. Heute sieht es so aus, als drohte der Ökowirtschaft ein ähnliches Schicksal. Ökowirtschaft, das ist der Handel mit virtuellen Produkteigenschaften und Wirtschaftsgütern. Virtuelle Produkteigenschaften sind solche, die man einem Produkt ohne Kennzeichnung nicht ansieht: Biomilch, Ökostrom, ohne Gentechnik hergestellter Zucker. Produkte mit diesen virtuellen Eigenschaften lassen sich anscheinend teurer verkaufen als identische Produkte ohne sie. Deshalb gibt es im Supermarkt neben dem Obst aus der Kiste auch noch sorgfältig eingepacktes Obst mit einem Biosiegel drauf. Ein wenig Verpackungsmüll muss man der Umwelt zuliebe schon hinnehmen.
Virtuelle Produkteigenschaften sind eine Einladung zum Geldverdienen. Dazu muss man lediglich das gewöhnliche Produkt nehmen, und ihm die gewünschte Eigenschaft verleihen, was nichts weiter erfordert als eine Deklaration. Wenn das jemand allzu deutlich zeigt, gilt es allerdings als Skandal, denn das macht den Markt kaputt.
Noch einen Schritt weiter gehen rein virtuelle Produkte, zum Beispiel CO2-Zertifikate. Das sind Produkte, bei denen sowohl die Herstellung als auch die Verwendung rein deklarativ erfolgen. Das Produkt ist eine bloße Behauptung, wird aber gehandelt, als sei es real. In Ecuador hat man dieses Konzept offenbar richtig verstanden. Man bietet dem Ausland an, vorhandenes Erdöl gegen Geld im Boden zu lassen. Viel verrückter geht es nicht mehr, deshalb prognostiziere ich, dass die aufgeblasene Ökowirtschaft bald ein Ende haben wird.
1 Comment | Geschäft, Off Topic | Tagged: Betrug, Biobaumwolle, dotcom bubble, Ecuador, Indien, irrational, Wirtschaft | Permalink
Posted by Sven Türpe
Sicher
January 22, 2010Wir bloggen hier übrigens aus Hessens sicherster Großstadt. Der Rest der Statistik ist auch interessant.
3 Comments | Security, Zahlenspiele | Tagged: 2009, Hessen, Kriminalität | Permalink
Posted by Sven Türpe
