Category Archives: Erich fragt

Number Crunching

HP veröffentlicht den 2012 Cyber Security Risk Report. Neben dem Security Report 2013 von Checkpoint sieht HP natürlich alt aus, aber dafür legen die mit der neuen Forschungsabteilung jetzt ja 14-tägig neue Hot Topics auf den Tisch. Es gab mal Zeiten, da mangelte es an Zahlen, aber mittlerweile gibt es mehr als genug davon. Leider gibt es immer noch zu wenig Maßgebliches oder Interessantes. Gibt es eigentlich eine Statistik über die Anzahl der IT-Sicherheitsstatistiken?

Advertisements

Musse vergleiche Datum von Kredit Karte

Das werde ich jetzt mal als Phishingverdachtsfall melden, schön altmodisch per Brief:

Ich gebe doch nicht in jedes dahergelaufene Formular alle möglichen Daten ein, erst recht nicht, wenn mir die Adresse nur nach einer längeren Recherche etwas sagt.

Ich weiß auch gar nicht, was es da zu schützen gäbe. Meiner Visa-Karte ist bei Einkäufen noch nie was passiert.

Von wegen Frühwarnung

Waren Frühwarnsysteme nicht in den letzen Jahren ein unheimlich wichtiges Forschungsthema, das nach großzügiger Projektförderung verlangt? Genützt hat es anscheinend nicht viel. Seit gestern staunen die Leitmedien (1, 2) über die Meldung, Java habe den Flash Player als Angriffsziel überholt und einen deutlichen Vorsprung herausgefahren.

Diese Meldung ist in der Tat überraschend – wenn man in den letzten Jahren geschlafen und alle verfügbaren Daten ignoriert hat. Ich zeige Euch mal zwei Folien aus einem Vortrag, den ich vor anderthalb Jahren als Auftragsarbeit gehalten habe. Im ersten Diagramm vergleiche ich für Flash und Java die Zahl bekannter Verwundbarkeiten, d.h. die Zahl der  CVE-Datensätze über beliebige Versionen des jeweiligen Produkts im Untersuchungszeitraum von Januar 2008 bis Mai 2009. Zum Vergleich gibt es in der Mitte noch einen Balken für den Internet Explorer, den Standardbrowser des Kunden:

Balkendiagramm mit Verwundbarkeitszahlen (Anzahl CVE) für den Zeitraum Januar 2008 bis Mai 2009: Flash - 21, IE - 42, Java - 55

Das zweite Diagramm beruht auf denselben Daten. Hier habe ich aber nicht nur Verwundbarkeiten gezählt, sondern jeden Eintrag nach seinem CVSS-Score gewichtet. Dieser Wert zwischen 0 und 10 gibt an, wie schwerwiegend eine Verwundbarkeit ist. Damit wird das Bild noch deutlicher. Schon damals hatte Java nicht nur mehr Probleme, sie waren im Mittel auch noch schwerwiegender:

Balkendiagramm mit Verwundbarkeitszahlen (Anzahl CVE gewichtet nach CVSS-Score) für den Zeitraum Januar 2008 bis Mai 2009: Flash - ca. 140, Java - ca. 440

Unser Kunde wollte damals wissen, welche Risiken er sich einhandelt, wenn er seinen Anwendern den Flash Player in die Hand gibt. Ein Blick in die Verwundbarkeitsstatistik lag nahe. Zwar steht dort nicht, wie oft Angriffe erfolgen, aber man bekommt eine Vorstellung davon, wo sie sich lohnen, also eine hohe Erfolgswahrscheinlichkeit haben. Dass sich solche Angriffe dann auch ereignen, sollte niemanden verwundern.

Dass Java weit genug verbreitet ist, um auch Streuangriffe im Netz attraktiv zu machen, ist auch keine Neuigkeit. Sogar Adobe sieht Java nach Verbreitung auf dem zweiten Platz gleich hinter dem Flash Player. Diese Zahlen haben sich seit damals nicht wesentlich verändert.

P.S.: Woanders klappt es auch nicht mit der Frühwarnung.

Lernung

Fahrradtacho aus’m Baumarkt. Der Kilometerzähler hat 5 Stellen und kann das Komma nach rechts shiften, wie man nach 100 (? – zu lange her) und 1000 Kilometern sieht. Ein paar Jahre später und kurz vor dem Verenden der Batterie erreichen Zähler, Rad und Fahrer – übrigens unfallfrei – den 10.000ten Kilometer, und was passiert? Statt die letzte Nachkommastelle zu recyclen, stürzt das Ding mit einer blinkenden 9999.9 einfach ab.

Kann man diese Implementierung rational mit Bugs erklären, oder ist das subtile Sabotage? Und welchen Tacho baut man sich heute ans Fahrrad, wenn man oft nachts fährt und ihn dabei gerne beleuchtet sähe? Zusatzfrage: lohnt es sich, beim Kauf gleich noch einen LED-Scheinwerfer als Ersatz für Halogen mitzunehmen?

Wie verkauft man geklaute Daten an einen Staat?

Während alle Welt über ethische und rechtliche Fragen des Ankaufs geklauter Daten durch den Staat debattiert, interessieren mich die praktischen Aspekte. Wie fädelt man als Besitzer kompromittierender Daten so ein Geschäft ein, damit die Wahrscheinlichkeit, das verlangte Geld später in Ruhe ausgeben zu können, möglichst hoch wird?

Wir haben auf der einen Seite einen Verkäufer, der im Prinzip irgendwo auf der Welt sitzen und die Daten übers Internet bereitstellen kann. Sein möglicher Abnehmer wird sich jedoch kaum auf eine Lieferung gegen Vorkasse einlassen, was einen beiderseits akzeptierten Prozess für den Austausch erfordert.

Auf der anderen Seite haben wir als Käufer einen Staat mit einer Polizei und Gesetzen, der seine Kosten reduzieren kann, wenn er den Lieferanten nicht bezahlt, sondern ihn auf frischer Tat mitsamt den Daten ertappt. Mit der verlangten Summe dürften sich eine Polizeiaktion, ein Prozess sowie einige Gefängnispersonenjahre ohne Schwierigkeiten finanzieren lassen. Der Käufer ist außerdem international vernetzt, hat also die Möglichkeit, Verhaftungen auch im Ausland zu erwirken.

Als dritter Mitspieler ist ein weiterer Staat im Spiel, der über dieselben Fähigkeiten verfügt und das Interesse verfolgt, das Geschäft zu vereiteln und den Verkäufer seinerseits hinter Schloss und Riegel zu bringen – oder ihn vielleicht auch zur Abschreckung öffentlich einer Geheimdienstaktion zum Opfer fallen zu lassen.

Wie würde man sich als Täter in dieser Situation absichern?

P.S.: Wie ist die ganze Aktion eigentlich Datenschutzrechtlich zu bewerten?

Den Anschluss verloren

Was kann man heutzutage eigentlich noch mit einem IE (v8) anstellen, dem man Inhalte in die lokale Sicherheitszone legt, also ins Filesystem? Bei aktiven Inhalten, JavaScript und so, fragt er erst mal nach, bevor er sie ausführt. Was würde man statt dessen versuchen?

Warum ich frage? Ich habe hier einen Firefox unter Windows XP, dem irgend jemand beigebracht hat, für bestimmte HTTP-Responses den IE aufzurufen, und zwar so, dass der IE den Inhalt als HTML interpretiert.

Naked Truth

In the current discussion about the use of body scanners at airports (aka strip machines) many people seem to forget, that these scanners do not pose a remedy to the latest security threat, i.e. explosives. So I am amazed that in this day and age we still are preoccupied with knives and guns. And I ask myself, do we really need expensive technology to spot them? Are the Indians really the only part of the scenario that has changed? And isn’t touching my privates a bigger privacy infringement than taking a x-ray-picture?

Car-Security

Yesterday I visited the CAST-Workshop on mobile security for intelligent cars, which ended with a very interesting discussion that illustrated the complexity of the problem and raised many interesting questions. First the speakers gave a good overview over the main research areas and important projects like Evita or SIM-TD, which is said to be the biggest field test world wide, that focusses on car-2-x-communication. Everybody agreed on the main distinctions (Safety vs. Security; in-car communication, car2car communication, etc.) and privacy issues were the main topic. As Frank Kargl  from the University of Ulm pointed out, the car has a strong connection to its owner and its movements might tell a lot about the individual. Already privacy concerns have entered the car world, because navigation tools send home gps information and companies like Tom Tom generate a large data collection.

Continue reading Car-Security

Spione und Nähkästchen

Das schöne am digitalen Diebstahl ist ja, es fehlt den betroffenen nix. Wenn aber in die Firma analog eingebrochen wird und die Diebe ignorieren offensichtliche Wertgegenstände wie Bildschirme,  dann war’s vielleicht ein Datendieb.  Woran man einen Griff in die Datenkasse des eigenen Unternehmens bemerken kann, erzählt Wilfried-Erich Kartden von der Spionageabwehr  des Innenministeriums von NRW in der aktuellen IT-Sicherheit. Im Wikipedia-Stil trennt er erstmal zwischen Wirtschaftsspionage (staatliche Aktivitäten) und Konkurrenz-/Industriespionage (Spionage durch Unternehmen). Nach einem Exkurs über korrupte Übersetzer, Bauarbeitern mit WLAN-Routern und Keylogger-Funde kommt die Existenzberechtigungsstatistik von Corporate Trust (2007): 35,1 Prozent der deutscheun Unternehmen glauben, sie seien schon Opfer von Wirtschaftsspionage geworden. 64,4 Prozent hätten auch einen finanziellen Schaden zu verzeichnen. Die Schäden reichen von 10.000 bis 1 Millionen und das Wichtigste – die Schadensfälle steigen – laut Umfrage um 10 Prozent pro Jahr.  Sagt alles wenig aus, hört sich aber gut an.

Continue reading Spione und Nähkästchen

Can We Say »Don’t Worry«?

[See only posts in English]

Freeman Dyson, being interviewed about his climate catastrophe skepticism, claims that some professions have trouble shrugging off issues as unimportant. He thinks there be a natural tendency to magnify threats:

»Really, just psychologically, it would be very difficult for them to come out and say, “Don’t worry, there isn’t a problem.” It’s sort of natural, since their whole life depends on it being a problem. I don’t say that they’re dishonest. But I think it’s just a normal human reaction. It’s true of the military also. They always magnify the threat. Not because they are dishonest; they really believe that there is a threat and it is their job to take care of it.«

(Freeman Dyson Takes On The Climate Establishment)

Obviously, computer security is another candidate. Paranoia is the norm in our subculture, we love to carry a better safe than sorry attitude. To an extent this attitude is justified by experience; there are many case studies of security not being taken seriously, leading to epic fail. Yet, more security technology is not always better. Do we have tools to reasonably say: »Don’t worry,« and justify our recommendation based on facts?

Nüchtern gerechnet

Wer rational über Risiken urteilen möchte, der muss auch in den sauren Apfel beißen und über seine Lebenserwartung nachdenken. Das fällt nicht leicht, kann aber Fehlinvestitionen vermeiden:

»Außerdem sei Riester für Menschen, die wegen gesundheitlicher Probleme von einer niedrigen Lebenserwartung ausgehen müssen, nicht unbedingt eine Empfehlung. Denn aufgrund der Kalkulation der Anbieter lohne sich ein Vertrag häufig erst, wenn monatliche Auszahlungen bis ins hohe Alter erfolgen, hat Nauhauser ausgerechnet.«

(Frankfurter Rundschau:
Kapitalanlage: Die sechs größten Finanzirrtümer)

Kompliziert wird die Sache, wenn man dabei nicht nur vorgegebene Faktoren – genetische Disposition, Verhalten in der Vergangenheit, etc. – berücksichtigt, sondern auch solche, die man selbst noch beeinflussen kann. Wo liegt, zunächst nur wirtschaftlich betrachtet, das Optimum, wenn man einen Geldbetrag auf die eine oder andere Weise investieren kann und man damit zum einen seine Lebenserwartung beeinflusst, zum anderen seine wirtschaftliche Lage bis zum Lebensende? Einfacher gefragt, steht man wirklich schlechter da, wenn man sein Vorsorge-Budget komplett in Zigaretten, Schnaps und Risikosport investiert? Was sagt die Wirtschaftswissenschaft dazu?

Unterschätzte Risiken: alte Weihnachtsbäume

An diesem Beispiel können wir mal Ursachenanalyse und die Bewertung von Schutzmaßnahmen üben. In Friedberg hat ein Brand ein Haus zerstört und drei Menschen getötet:

»In den Flammen starben nach Polizeiangaben zwei Frauen im Alter von 87 und 63 Jahren. Ein 63-jähriger Mann erlag im Krankenhaus seinen schweren Verletzungen.
(…)
Vermutlich führte ein brennender Weihnachtsbaum zu dem Unglück, wie ein Polizeisprecher mitteilte. Die alten Leute (…)  hätten (…) versucht, die Weihnachtskerzen noch einmal anzustecken. Dabei sei der völlig ausgetrocknete Baum regelrecht explodiert. Der Sachschaden beträgt nach ersten Schätzungen mindestens 300.000 Euro.«

(HR: Großeinsatz: Weihnachtsbaum explodiert – drei Tote)

Was waren die Ursachen und wie haben sie zusammengewirkt? Welche Maßnahmen hätten das Unglück verhindert und wie wirksam wären sie gewesen? Welche Maßnahmen könnten einander dabei sinnvoll ergänzen? Was wäre von einer Brandschutzmaßnahme zu halten, über die lediglich bekannt ist, dass sie nach einer Erhebung in der Notaufnahme eines Krankenhauses in soundsoviel Prozent der betrachteten Fälle Verletzungen lindert? Welche Schutzmaßnahmen würden Sie empfehlen und welche für verzichtbar halten? Warum?

Erich fragt: Grenzwert für die Zuverlässigkeit einer Höllenmaschine?

Overcoming Bias stellt zwei Fragen, von denen die zweite gut zu uns passt:

(1) What is the probability that the LHC will destroy the visible universe?

(2) For what answers to (1) should the LHC be prevented from operating?

LHC, das ist der Large Hadron Collider, ein Teilchenbeschleuniger. Wie wahrscheinlich es ist, dass diese Maschine einen Weltuntergang auslöst, weiß ich nicht. Ich kann nicht mal erklären, was sie überhaupt tut.

Interessant finde ich jedoch die zweite Frage: angenommen, wir hätten eine verlässliche Angabe der Wahrscheinlichkeit, ab welchem Wert würden wir vom Betrieb der Anlage Abstand nehmen? Null wäre eine naheliegende, aber falsche Antwort, denn null ist nicht mal die Wahrscheinlichkeit, dass das Absenden dieses Blogeintrags eine Kette von Ereignissen in Gang setzt, die mit totaler Vernichtung endet. Eins wäre ebenso falsch, denn wenn es eine Maschine gibt, die zuverlässig das Universum zerstört, dann ist ihr Besitzer ein Superschurke und wir sind ihm ausgeliefert. Zu sagen hätten wir dann nichts mehr.

Wo also liegt ein sinnvoller Grenzwert für die Funktionswahrscheinlichkeit von Höllenmaschinen?

Erich fragt: Was muss ein sicheres Schreibgerät können?

Der Paranoiker in mir fragt sich bei Werbegeschenken zuerst, was das Ding wohl wirklich tut, während es auf dem Schreibtisch herumliegt oder -steht. Gleich danach kommt die Neugier. Taugt es was und was kann ich damit anstellen?

Heute gab’s eine Ladung Stifte, die der Hersteller als außerordentlich fälschungssicher anpreist. Ein Fall fürs Testlabor? Ist zwar keine IT und damit außerhalb unserer <BWL>Kernkompetenz</BWL>, aber die grundlegende Fragen sind dieselben:

  • Welche Sicherheitsanforderungen muss ein Schreibgerät unter welchen Randbedingungen erfüllen, damit es als fälschungssicher gelten darf?
  • Welche Sicherheitseigenschaften muss er dazu haben?
  • Welche Eigenschaften darf er nicht haben?
  • Welche Anforderungen an ein Gesamtsystem kann der Stift schon prinzipbedingt überhaupt nicht selbst abdecken?
  • Wie hängt die Sicherheit von der Einsatzumgebung ab?

Je länger ich darüber nachdenke, desto absurder erscheint mir die Idee eines fälschungssicheren Stiftes, aber erst mal sind meine Leser dran. Was heißt Fälschungssicherheit und was muss ein fälschungssicherer Stift können?

Sparsam anonymisiert

Noch ein Zitat aus dem hier bereits auszugsweise wiedergegebenen Urteil des OLG Frankfurt:

»… und ein Gutachten des Bundesamtes für Sicherheit in der Informationstechnik eingeholt, das von dem Mitarbeiter Prof. Dr. rer. nat. XY, der Diplom-Mathematiker ist und zusätzlich eine außerplanmäßige Professur am Fachbereich Mathematik der TU … bekleidet, erstellt und mündlich erläutert wurde.«

Wie lange müsst ihr googeln, um aus den kursiv hervorgehobenen Informationen eindeutig die Belegung der Variablen XY zu rekonstruieren oder die Unsicherheit darüber so weit zu reduzieren, dass weniger als fünf Bewohner dieses Planeten in Frage kommen?

Giftschrankschlossdesign gegen Benutzerfehler?

Manche Vertreter mancher Berufe haben manchmal Dateien, die man gar nicht haben möchte. Und wenn man sie doch hat, dann möchte man sehr gut kontrollieren, was mit ihnen passiert. Jene unter unseren Leserinnen und Lesern, die sich darunter nicht sofort etwas vorstellen können, denken bitte an eine Dekompressionsbombe als vergleichsweise harmloses Beispiel. Wer damit nichts anzufangen weiß, braucht gar nicht weiterzulesen.

So eine Dekompressionsbombe in Dateiform möchte man auf gar keinen Fall aus Versehen doppelklicken. Zwar macht sie selten richtig was kaputt, aber sie nervt ganz gewaltig, wenn sie erst mal vor sich hin explodiert. Und es gibt noch andere Dinge, die man nicht versehentlich doppelklicken, andererseits aber auch nicht aus seinem Labor verbannen möchte. An die denken wir auch.

Continue reading Giftschrankschlossdesign gegen Benutzerfehler?

Wie übersetzt man »trusted« richtig?

Im Englischen kann man ohne sprachliche Verrenkungen zwischen trusted und trustworthy unterscheiden. Trotzdem kriegen es viele nicht richtig hin. Auf Deutsch ist das noch viel schwerer. Trustworthy lässt sich noch entspannt und korrekt mit vertrauenswürdig übersetzen: das bedeutet, dass etwas Vertrauen verdient, dass Vertrauen – ganz gleich, ob man es tatsächlich hat oder nicht – jedenfalls nicht enttäuscht würde. Ob jemand oder etwas vertrauenswürdig war, wissen wir zuverlässig immer erst hinterher, wenn uns das Ergebnis wovon auch immer gezeigt hat, dass unser Vertrauen gerechtfertigt war. Meine Bank zum Beispiel hat sich in der Vergangenheit als vertrauenswürdig erwiesen. Viel spricht dafür, dass sie es auch in Zukunft bleiben wird, aber hundertprozentig weiß ich das jetzt noch nicht.

Für die Zukunft muss ich meiner Bank vertrauen: ich vermute oder hoffe, dass sie sich als vertrauenswürdig erweisen wird, und handle jetzt schon so, als sei sie es. Ich könnte mich statt dessen auch bei einer anderen Instanz absichern, hätte dort aber dasselbe Problem. Meine Bank, oder die andere Instanz, ist damit trusted. Meine Sicherheit hängt davon ab, dass sie sich wie erhofft verhält. Tut sie es nicht, bricht mein Sicherheitskonzept zusammen. Ein anschauliches Beispiel gibt es hier. Der Übersetzer ist trusted, jemand vertraut ihm. Er ist aber nicht trustworthy, denn er enttäuscht dieses Vertrauen.

Für diese Rolle in der Vertrauensbeziehung hätte ich gern ein deutsches Adjektiv. Vertraut passt nicht. Abhängig ist gerichtet und genau umgekehrt: ich bin abhängig von dem, dem ich vertraue. Im Einzelfall kann man sich vielleicht in Umschreibungen retten, aber darunter leidet die Verständlichkeit. Einfach trusted zu benutzen ist auch nicht besonders schön, das Lesen macht dann keinen Spaß mehr. Betraut oder verantwortlich ginge vielleicht, wenngleich mir beides unüblich scheint. Wie lösen unsere geschätzen Leserinnen und Leser dieses Problem?