Das eine eindeutige Identifizierung von Computern schön wäre hatte sich ja auch schon Intel gedacht – und es sich wegen der Proteste dann ganz schnell wieder anders überlegt. Eigentlich braucht man aber auch gar keine neue ID in Computer einbauen: Dank der eindeutigen MAC-Adressen jeder Netzwerkschnittstelle verfügt ja sowieso inzwischen nahezu jeder Rechner über genug Individualität. Wie man das dank Sun’s Java 6 direkt aus einem Browser zur Computer-Identifizierung nutzen kann zeigt meine kleine Demo-Seite. Neben der “What is my MAC address”-Funktionalität natürlich zeitgemäß als Web 2.0 Mashup-Dienst zur Site-übergreifenden Computeridentifikation.
Gegenmaßnahmen wie immer: JavaScript und Java deaktivieren.
Samstags beim Shopping. Die überlastete Fachkraft an der Kasse hat eine Diebstahlsicherung übersehen. Als Sie das Geschäft verlassen, geht der Alarm los. Was nun? Sich vor aller Augen dem Türsteher unterwerfen? Das kommt überhaupt nicht in Frage! So werden Sie lästige Kontrolleure los, ohne sich in die Einkaufstüten schauen zu lassen:
Fühlen Sie sich zu nichts verpflichtet. Wenn es am Ausgang piept, dann bedeutet das nur eines: dass es am Ausgang piept. Es bedeutet nicht, dass Sie einen Schreck kriegen, stehenbleiben oder Ihre Unschuld beweisen müssen.
Seien Sie selbstbewusst. Sie haben gerade ein Geschäft mit dem Ladeninhaber erfolgreich zum Abschluss gebracht, das im beiderseitigen Interesse liegt. So möchten Sie auch behandelt werden, als Geschäftspartner.
Kommunizieren Sie. Dem Türsteher bleibt nichts anderes übrig, als Ihnen auf die Straße zu folgen und Sie anzusprechen. Selbstverständlich hören Sie sich erst einmal ruhig an, was der Mann zu sagen hat. Er wird Sie auffordern, mit ihm zurück in den Laden zu gehen, um die Sache dort zu klären. Darauf antworten Sie ebenso ruhig, wie Sie zugehört haben, mit einem einfachen: „Nein.” Dann schauen Sie ihn fragend an. Read the rest of this entry »
Jon Ronson has found a way of writing a commedy about torture and warfare. Best thing about it – many of the ideas behind it like many of the non-lethal weapons are real. Funny, isn’t it? Here some of the ideas.
»A limited nuclear weapons exchange between Pakistan and India using their current arsenals could create a near-global ozone hole, triggering human health problems and wreaking environmental havoc for at least a decade, according to a study led by the University of Colorado at Boulder.«
Auf der Website des Veranstalters heißt es, man erhalte eine Aufwandsentschädigung für Fahrtkosten. Was die Frage aufwirft, welche Motivation es für Eltern geben könnte, ihre Wänsdr zur Verfügung zu stellen.
I’m off for the New Security Paradigms Workshop in Oxford, where I will present what I currently call the Swiss Cheese security policy model. My idea is to model security mechanisms as classifiers, and security problems in a separate world model as classification problems. In such a model we can (hopefully) analyze how well a mechanism or a combination of mechanisms solves the actual problem. NSPW is my first test-driving of the general idea. If it survives the workshop I’m going to work out the details. My paper isn’t available yet; final versions of NSPW papers are to be submitted a few weeks after the workshop.
Yesterday I visited the CAST-Workshop on mobile security for intelligent cars, which ended with a very interesting discussion that illustrated the complexity of the problem and raised many interesting questions. First the speakers gave a good overview over the main research areas and important projects like Evita or SIM-TD, which is said to be the biggest field test world wide, that focusses on car-2-x-communication. Everybody agreed on the main distinctions (Safety vs. Security; in-car communication, car2car communication, etc.) and privacy issues were the main topic. As Frank Kargl from the University of Ulm pointed out, the car has a strong connection to its owner and its movements might tell a lot about the individual. Already privacy concerns have entered the car world, because navigation tools send home gps information and companies like Tom Tom generate a large data collection.
Ob das eine großer Vertuschung ist oder nur eine aufgeblasene Nebensächlichkeit, möchte ich nicht beurteilen, ebenso wenig ob es sich um Schlamperei oder Absicht handelt:
»The world’s source for global temperature record admits it’s lost or destroyed all the original data that would allow a third party to construct a global temperature record. The destruction (or loss) of the data comes at a convenient time for the Climatic Research Unit (CRU) in East Anglia – permitting it to snub FoIA requests to see the data.«
Steven Levitt, after looking at a vast amount of accident data, is convinced that child car seats are pretty useless for children of ages >2. His TED talk teaches important lessons on how we think about safety equipment.
Sock security has been troubling me for a long time. Endless sundays I have spent with the fight against the single sock syndrom. But those days are over. Thanks to a colleague I have discovered sockstar, the revolutionary tool to improve the lower department of your wardrobe-BCM – a simple thing that just does what it should, if you manage to integrate it into your business processes… [end of commercial] http://www.sockstar.de/
Wir Informatiker haben es einfach. Ein Labor ist für uns meistens ein Stück Netz mit ein paar Rechnern dran, oder heute oft nur noch ein einziger Rechner mit ein paar virtuellen Maschinen drauf. Viel kann da nicht passieren.
In einem klassischen Labor ist das anders. Da gibt es Chemikalien, Druckbehälter, Krankheitserreger, Strahlung, Elektrizität, Maschinen, Tiere und was man sonst noch braucht, wenn man sich um einen Darwin Award bewirbt.
Walk-in refrigerators (or “cold boxes”) typically recirculate the chilled air in their interiors, so storing volatile materials in them can pose special hazards—any gases or vapors may concentrate inside over time.
Recently on the X Campus, a walk-in refrigerator was used to store dry ice. (…) The dry ice, of course, gave off carbon dioxide (CO2) gas as it sublimed, causing the refrigerator to build up CO2 levels of 12,000 parts per million (ppm)!
Zu einigen der beschriebenen Fälle gibt es auch Fotos.
Die NZZ von gestern (2009-05-15) erklärt uns die Mechanismen, die vom Gedankenspiel eines Wissenschaftlers zur landesweiten Panik mit einigen Hundert Todesopfern führen können. Als Beispiel dient die Schweinegrippe – nicht jene aktuelle, die gerade in den Randspalten versickert, sondern die von 1976. Damals kam es in den USA zu einer großen Impfkampagne. Sie war wahrscheinlich unnötig, hatte aber vereinzelt Nebenwirkungen , die sich zu einigen Hundert Toten summierten.
Neben einigen Zufällen lagen die Ursachen im CYA-Bias von Behörden und Politik, der auf wilde Spekulationen eines Wissenschaftlers traf. Wobei sich die Spekulation im Rahmen des Zulässigen bewegte. Zeitreihenanalyse nennt man es, wenn man nach Mustern in einem Zeitverlauf sucht und diese in die Zukunft projiziert. Das kann interessant sein, aber zu mehr als zur Hypothesenbildung taugt es kaum. Schlecht, wenn es alle für bare Münze nehmen, nur weil es in der Zeitung steht und den Stempel Wissenschaft trägt.
Das Fazit des Artikels:
»Angesichts der unheilvollen Dialektik von voreiliger Aufregung und nachträglicher Beschwichtigung scheint eine zentrale Aufgabe der Zukunft darin zu bestehen, nicht nur exzellente Universitäten zu schaffen, sondern auch besonnene Wissenschaften zu ermöglichen, die zur Absicherung ihrer Erkenntnisansprüche keiner Mobilisierung von Ängsten bedürfen.«
(NZZ: Unbezwungene Ungeheuer, Die Schweinegrippe und die Konjunkturen des Schrecklichen)
»Falls ich übrigens morgen ein Institut zur Bekämpfung der öffentlichen Gesundheitsgefährdung durch Igelbisse gründe und dieses Institut mit zehn Planstellen ausrüste, dann werde ich jedes Jahr eine Studie bekommen, die vor der wachsenden Gefahr durch aggressive Igel warnt. Alles andere wäre ja auch ziemlich dumm von den Mitarbeitern des Institutes.«
My colleague Jan is going to present our paper Attacking the BitLocker Boot Process at Trust 2009 (Oxford, 6th – 8th April). The paper is an improved version of the draft we presented at ETISS.
BitLocker is the volume encryption function built into recent versions of MS Windows. It is capable of using a Trusted Platform Module if the PC has one. Our paper describes five attack scenarios that using the TPM does not prevent from succeeding. Some are based on particular features of BitLocker while others rely on the implementation of authenticated booting that is currently used in Trusted Computing.
All five scenarios seem suitable for targeted attacks and require that the attacker can access the target system twice. Executing such attacks is thus roughly as complex as installing a hardware keylogger in the system and returning later to retrieve the sniffed password along with the encrypted data – or just the machine in a condition that permits decrypting the data on disk.
What makes our attacks interesting is the fact that they can be implemented in software. Ideally, Trusted Computing should reliably prevent such attacks from succeeding. However, a TPM does not prevent software from being modified. The TPM only compares measured states with stored reference data. This leaves several holes. For instance one can temporarily modify software and later restore the reference state, or modify boot components before the reference state is determined and stored inside the TPM. While such actions are useless in an opportunisitc attack where the attacker just grabs an unattended machine unprepared, a dedicated attacker might take advantage of them.
Von Wissenschaft, Technik und Rationalität halten Ökochonder bekanntlich nicht viel. Jeder Fortschritt ist ihnen suspekt, sie träumen lieber religiös vom Weltfrieden und einem Leben im Einklang mit der Natur, was auch immer das bedeuten mag. Dem muss sich ein Umweltminister anscheinend anpassen:
»Eine Expedition des deutschen Forschungsschiffs Polarstern im Südpolarmeer sorgt für Streit in der Bundesregierung. Ein geplantes Experiment wurde am Dienstag ausgesetzt, nachdem Umweltminister Sigmar Gabriel (SPD) das von Annette Schavan (CDU) geleitete Forschungsministerium aufgefordert hatte, das Projekt “unverzüglich zu stoppen”«
Wer die Wissenschaft als Totschlagargument missbrauchen möchte, der stützt sich gerne auf wissenschaftliche Publikationsrituale. Der jeweilige Gegner möge doch bitte erst mal kollegenbegutachtete Studien vorweisen, heißt es dann, und alle anderen Betrachtungen seien unwissenschaftlich und wertlos. Umgekehrt kann man mit ebensolchen Studien wedeln, die, gleich welcher Qualität sie sein mögen, das veredelnde Siegel tragen.
Das ist in dieser Form nur leider Bullshit. Die wissenschaftlichen Publikationsrituale sind ohne Zweifel sinnvoll und nötig. Aber man darf ihre Wirkung nicht überschätzen. Es handelt sich nämlich bei der Kollegenbegutachtung nicht um eine Qualitätsprüfung, sondern um einen Spamfilter. Was durchkommt, ist noch lange nicht richtig. Das haben jüngst wieder einmal ein paarSpaßvögelgezeigt, indem sie ein Paper aus dem Paper-Generator zu einer Konferenz einreichten. Es wurde angenommen. Was es durch den Review-Prozess schafft, kann also trotzdem Unsinn sein.
Und bevor jetzt jemand nach Ausreden sucht, der Impact Factor einer Publikation ist auch kein zuverlässiges Qualitätsmerkmal, und in der Informatik sind Konferenzen so wichtig wie in anderen Wissenschaften die Journale.
Posted by Jens 
Posted by Sven Türpe 
Posted by OK 
