December 21, 2009
Das eine eindeutige Identifizierung von Computern schön wäre hatte sich ja auch schon Intel gedacht – und es sich wegen der Proteste dann ganz schnell wieder anders überlegt. Eigentlich braucht man aber auch gar keine neue ID in Computer einbauen: Dank der eindeutigen MAC-Adressen jeder Netzwerkschnittstelle verfügt ja sowieso inzwischen nahezu jeder Rechner über genug Individualität. Wie man das dank Sun’s Java 6 direkt aus einem Browser zur Computer-Identifizierung nutzen kann zeigt meine kleine Demo-Seite. Neben der “What is my MAC address”-Funktionalität natürlich zeitgemäß als Web 2.0 Mashup-Dienst zur Site-übergreifenden Computeridentifikation.
Gegenmaßnahmen wie immer: JavaScript und Java deaktivieren.
2 Comments | 
Forschung, ID, Security | 
Permalink
Posted by Jens
December 21, 2009
Waldarbeitern passiert offensichtlich oft genug etwas, dass man Sicherheitsmetriken auf die Unfallstatistik stützen kann:
»Über die Platzierung beim Wettbewerb in Sachen Unfallsicherheit entschieden zudem die Zahl der Unfälle pro geernteten Festmeter Holz und die meldepflichtigen Unfälle pro Arbeitsstunde.«
(Echo Online: Im Darmstädter Forst hat Leichtsinn keinen Platz)
Und noch etwas haben sie uns voraus, sie wissen, was sie zählen müssen. Echte Unfälle nämlich, und keine Hilfe-der-Rüsselkäfer-greift-uns-an-Alerts aus halbgaren Sicherheitstheaterwerkzeugen.
Leave a Comment » | 
Safety, Security, Zahlenspiele | Tagged: Arbeitssicherheit, Forstwirtschaft, Wald | 
Permalink
Posted by Sven Türpe
December 20, 2009
Wieviel Angst müssen wir eigentlich vor Straßenraub haben? Hier sind die Zahlen für Leipzig (500.000 Einwohner) in den letzten Jahren:
»Ermittler gehen davon aus, dass die Zahl der Raubstraftaten in diesem Jahr erneut angestiegen ist, sich bei etwa 600 einpegeln dürfte. Im vorigen Jahr hatte die Kripo 547 Fälle registriert, 2007 waren es 590.«
(LVZ: Prügel für ein paar Euro: Etwa 600 Raubstraftaten in diesem Jahr)
Das sind ungefähr 1,2 Fälle auf 1000 Einwohnerjahre.
Leave a Comment » | Angst, Risiko, Security, Zahlenspiele | Tagged: 2009, Kriminalität, Leipzig, Raub, Sachsen | Permalink
Posted by Sven Türpe
December 14, 2009
Alle Jahre wieder veröffentlicht die Firma Xamit ihr Datenschutzbarometer
http://www.xamit-leistungen.de/studienundtests/index.php
Ist lustig zu lesen, sichert jede Menge Aufmerksamkeit, die in kürzester Zeit wieder verpufft. Dem Geschäftsmodell der Firma wird es aber nicht schaden. Das folgt dem Motto: Wir machen alles – außer Arbeit.
Leave a Comment » | Datenschutz, Security, Zahlenspiele | Permalink
Posted by OK
December 13, 2009
Wozu schleppe ich eigentlich seit Jahren zwangsweise ein Dreckstool von Virenscanner auf meinem PC mit mir herum, wenn er im − äußerst seltenen − Ernstfall nichts tut? Zugegeben, ich brauche keine Softwareunterstützung, um mich über eine unaufgefordert heruntergeladene PDF-Datei und die Fehlermeldung bei deren Interpretation zu wundern. Nur ist es dann, wenn ich etwas bemerke, für die Abwehr schon zu spät. Falls die PDF-Datei bösartig ist, wird sie nämlich versuchen, Fehler im PDF-Betrachter auszunutzen.
Na ja, immerhin liefert der Vorfall einen Datenpunkt für die empirische Forschung. McAfee hat mir auf diesem Rechner noch nie irgend etwas gemeldet und liegt damit klar im Rückstand.
P.S.: Heise meldet zwei Tage später das hier.
2 Comments | 
Geschäft, IT, Security, Zahlenspiele | Tagged: Aberglaube, Antivirus, dreckstool, Drive-by-Download, McAfee, PDF | 
Permalink
Posted by Sven Türpe
December 10, 2009
After the videos on threat modeling an example seems in order. Securology provides us with a good one in Selecting a Pistol Safe as (part of) the basis of a procurement decision. This is his set of requirements:
So, I needed a way to “securely” (that’s always a nebulous word) store a firearm– namely a pistol– such that it could meet the following criteria:
- Keep children’s and other family members’ hands off of the firearm
- Stored in, on, or near a nightstand
- Easily opened by authorized people under stress
- Easily opened by authorized people in the dark
- Not susceptible to power failures
- Not susceptible to being “dropped open”
- Not susceptible to being pried open
- Not opened by “something you have” (authentication with a key) because the spouse is horrible at leaving keys everywhere.
- For sale at a reasonable cost
- An adversary should not know (hear) when the safe was opened by an authorized person
But I didn’t care a lot about the ability to keep a dedicated thief from stealing the entire safe with or without the firearm inside.
Read on at Securology to see how various products fail to fulfill this set of requirements. This example is illustrative in that it addresses several distinct threat aspects and tradeoffs. The pistol is not simply an asset needing protection, it is also by itself a security mechanism against certain threats. The resulting optimization problem is pretty interesting: keeping (some) unauthorized people from accessing the pistol while maintaining availability to the authorized in a practical sense.
2 Comments | English, Freundlich zum Nutzer, Security | Tagged: physical security, pistol safe, procurement, Requirements, threat model | Permalink
Posted by Sven Türpe
December 5, 2009
E-Mail vom Staat, das löst hierzulande einiges Misstrauen aus. Woanders fragt man gar nicht erst:
»Ab nächstem Jahr bekommen alle türkischen Neugeborenen eine E-Mail-Adresse vom Staat. Diese Adresse wird von einer Behörde verwaltet und in den Pass gedruckt. Zugleich soll die Verwendung ausländischer Dienste wie Google und Yahoo verboten werden. Das Projekt dient der nationalen Sicherheit.«
(Welt Online: Nationale Sicherheit: Jeder Türke erhält eine E-Mail-Adresse vom Staat)
1 Comment | IT, Regierungsviertel, Security | Tagged: De-Mail, nationale Sicherheit, Türkei | Permalink
Posted by Sven Türpe
December 3, 2009
[See only posts in English]
Microsoft’s BitLocker is, for all we know, a proper disk encryption software. It encrypts data at rest against attacks originating outside the running system. If you use BitLocker and your computer is stolen while turned off, there is essentially no way of reading data from the disk without having the proper key(s)—your BitLocker PIN, a key file on a USB stick, or both. If an attacker gets access to the machine while it is running, there may be ways of compromising it through Windows or in other ways, but such attacks are clearly outside the scope of disk encryption.
We know, however, another class of attacks against disk encryption: evil maid attacks. This term describes a general strategy rather than a particular implementation. If you leave your computer unattended, let’s say in a hotel room, an attacker, let’s say an evil maid, might manipulate it such that your data will be compromised as soon as you return and provide it with your encryption keys. There are various ways of doing so, for instance installing a hardware keylogger if your keys are based on passwords, or altering the unencrypted boot code to install a Trojan horse that will leak your keys later. Read the rest of this entry »
Leave a Comment » | English, Hackmeck, IT, Security, Testlabor, Trusted Computing | Tagged: attack, BitLocker, evil maid, Fraunhofer, janitor, physical access, secure boot, SIT, Skimming, TPM, Video, Windows | Permalink
Posted by Sven Türpe
December 3, 2009
Nach der WAF nun also die Datenbank-Firewall. Weil dämliche PHP-Programmierer nicht in der Lage sind, sicher auf Datenbanken zuzugreifen, soll GreenSQL zwischen Anwendung und Datenbank heuristisch SQL Injection erkennen. Die Idee ist so blöd, dass ich nicht mal beim szenetypischen Herumalbern darauf gekommen wäre.
Kernproblem bei Injection-Lücken ist die ungenügende Trennung zwischen Daten und Code in Verbindung mit dem Impedance Mismatch zwischen Programmier- und Datenbanksprache. Die kanonische Lösung besteht darin, eben diese Trennung zuverlässig aufrechtzuerhalten. Das lässt sich recht einfach bewerkstelligen, indem man eine geeignete Programmierschnittstelle − Prepared Statements statt Stringverkettung zu SQL-Statements − verwendet. Das kann zwar auch noch schiefgehen, wenn die Bibliotheksfunktion Fehler hat, aber wenigstens kann man sich selbst nicht mehr in den Fuß schießen.
Ist die Grenze zwischen Code und Daten einmal verwischt, steht die Datenbankfirewall vor exakt demselben Problem wie die Datenbank selbst: sie kann diese Grenze nicht mehr zuverlässig bestimmen. Konzeptionell ist die Datenbankfirewall deswegen genauso machtlos wie die Zugriffskontrolle der Datenbank. Sie versucht es nur mit einer anderen Strategie. Klüger wäre es, den Entwicklern ausschließlich sichere Schnittstellen zur Verfügung zu stellen.
Als Security-Theater allerdings dürfte so eine Datenbankfirewall hervorragend funktionieren, spuckt sie doch am laufenden Band Meldungen aus, die MovieOS alle Ehre machen würden: Hilfe, wir werden angegriffen!
5 Comments | Begriffe, IT, Security | Tagged: Datenbank, Firewall, GreenSQL, Rant, Security-Theater, SQL injection | Permalink
Posted by Sven Türpe
November 23, 2009
Das kommt heraus, wenn man seinen Sicherheitsbehörden freien Lauf lässt, statt sie auf nützliches Handeln gegen echte Bedrohungen zu beschränken:
»Beamte des aserbaidschanischen Ministeriums für Nationale Sicherheit (…) haben nach verschiedenen Medienberichten die Identität von Bürgern ermittelt, die beim Eurovision Song Contest 2009 in Moskau für den Beitrag Armeniens gestimmt haben. Mindestens ein Betroffener wurde verhört und aufgefordert, sein Handeln schriftlich zu begründen.«
(sicherheitsblog.info: Aserbaidschan, der Geheimdienst und der Eurovision Song Contest 2009)
Merke: Sicherheit darf weder Selbstzweck sein noch als Begründung für x-beliebige Maßnahmen herhalten. Was sogleich die Frage aufwirft, wie man vorbeugende Maßnahmen denn richtig begründet.
2 Comments | Regierungsviertel, Security, Unterschätzte Risiken | Tagged: Eurovision Song Contest, Armenien, Aserbaidschan | Permalink
Posted by Sven Türpe
November 4, 2009
Unter der Überschrift: Die Illusion von Safer-Shopping nimmt Heise gerade das Online-Gütesiegel eines bekannten Anbieters auseinander:
»Nach der Datenpanne im vom TÜV Süd zertifizierten Online-Shop-System von Libri.de fanden sich nun Sicherheitslücken auf weiteren Sites, die das Safer-Shopping-Siegel tragen – und sogar auf dessen eigener Homepage. Neben Safer-Shopping.de waren Audible.de, ReifenDirekt.de und weg.de betroffen.«
Über Zertifizierung, Gütesiegel und den TÜV gab es hier ja schon einiges zu lesen. Als Sekundärliteratur empfehle ich noch: 10 Things Your Auditor Isn’t Telling You.
1 Comment | Geschäft, IT, Security, Vertrauen | Tagged: Gütesiegel, TÜV | Permalink
Posted by Sven Türpe
November 2, 2009
Das Antiterrorblog macht sich so seine Gedanken zu den aufgeschobenen Stoppschildern:
»Ende 2010 ist dann aber wiederum nur ein erneuter Erlass des Bundesinnenministers nötig, um die Schilder aufzustellen. Kein Beschluss des Bundestages oder Bundeskabinettes, also auch keine Beteiligung der FDP. Für eine Klage vor dem Bundesverfassungsgericht könnte es dann aber wegen dieser Frist schon zu spät sein! Vertrauen wir dabei also auf die FDP und lassen uns einlullen, kann das Böse enden.«
(Antiterror.blog.de: Internetsperren: Klage unzulässig?)
Wie ich dort bereits als Kommentar kurz schrieb, wäre die Masche ja nicht ganz neu. Abofallenbetrüger zum Beispiel arbeiten seit jeher damit: das Opfer schließt einen Abovertrag, ohne sich dessen bewusst zu sein. Während der gesetzlich garantierten Widerrufsfrist wird die Gegenseite nun tunlichst alles vermeiden, was das Opfer auf seinen Irrtum hinweisen könnte. Die erste Rechnung kommt folglich dann, wenn die Widerrufsfrist abgelaufen ist, denn dann ist der einfachste Ausweg verbaut.
Leave a Comment » | Security, Unterschätzte Risiken | Tagged: Stoppschild, Terror, Verfassung | Permalink
Posted by Sven Türpe
November 1, 2009
dass Verified by Visa und MasterCard SecureCode Werbegags ohne sicherheitstechnischen Mehrwert für den Karteninhaber sind, wisst Ihr sicher selbst. Dass es eine Scheißidee ist, die überflüssige Registrierung dafür unter der Adresse https://secure5.arcot.com/ durch eine Organisation abwickeln zu lassen, die Eure Kunden nicht kennen können, muss man Euch aber offensichtlich noch einmal erklären. Ratet mal, was Ihr Euren Kunden damit beibringt.
Oder ist das gar nicht Euer Werk, sondern jemand hat Eure Websites gehackt?
Leave a Comment » | Geschäft, Phishing, Security, Vertrauen | Permalink
Posted by Sven Türpe
October 31, 2009
Sie haben .bank wieder ausgegraben, nur heißt es jetzt anders und die Zielgruppe ist neu. Wir erinnern uns: die Idee von .bank bestand im wesentlichen darin, ein Internet-Gütesiegel (Wunsch, Realität) ins DNS zu projizieren und anhand der Top-Level-Domain (TLD) kenntlich zu machen. Das schlägt man nun wieder vor, nur diesmal für die Domain-Registrare selbst. Hochsicherheitsadresszone nennt sich das dann, und einige der Anforderungen sind auch gar nicht dumm. Nur nützt es wenig, diese Anforderungen auf einzelne TLDs und ihre Registrare anzuwenden. Gauner nehmen dann eben eine andere TLD, wo diese Anforderungen nicht gelten. Oder eine Methode, bei der Adressen keine Rolle spielen, zum Beispiel Malware. Oder ein Botnetz, dessen Knoten in einer dieser Hochsicherheitsadresszonen liegen, denn ob das Gegenüber nicht ein Hund ist, weiß man am Ende als Nutzer auch dort nicht; über die Sicherheit der einzelnen Domains oder Hosts macht die Hochsicherheits-TLD nämlich keine Aussage.
Was also soll das Ganze bringen? Dem Nutzer sicher nichts. Er kann der Adresse keine verwertbare Zusatzinformation entnehmen, und selbst wenn er es könnte, würde er diese Information in aller Regel ignorieren oder sie würde keine Rolle spielen. Den Registraren damit aber auch nichts, denn niemand hat einen Vorteil davon, seine Domain bei einem teureren, weil „sicheren” Registrar zu kaufen. Im Gegenteil, in einer Hochsicherheitsadresszone muss sich keiner vorsichtshalber die Domains für seine Firmen- und Markennamen sichern, denn der Registrar soll die Berechtigung bei der Domain-Vermietung ordentlich prüfen. Dieser Teil des Geschäfts fällt ersatzlos weg, wenn alle rational handeln. Für wen also gibt es da bitteschön einen Business Case – mal abgesehen von den Auditoren und Beratern, denen sich offensichtliche Gelegenheiten bieten?
Wenigstens sind sie aber ehrlich (Hervorhebung von mir):
»Due to the risks involved measures will be needed to limit liability to ICANN. If established, ensuring public awareness of the limitations of the program in terms of not providing guarantees about the presence of malicious activity within a TLD must also be addressed.«
Leave a Comment » | Geschäft, Propaganda, Security, Vertrauen | Tagged: .bank, Gütesiegel, Nonsens | Permalink
Posted by Sven Türpe
