Home      Themenübersicht / Sitemap      Webmaster      

 

Newsletter AboVorläufige Gedanken, erfreuliches, beklagenswertes

 

Philipps Notizen - Archiv 2006 - 2. Hälfte

von Philipp Schaumann

An dieser Stelle werden Beobachtungen ver√∂ffentlicht, die ich interessant finde, ohne dass die Texte immer gleich in einen logischen gr√∂√üeren Zusammenhang eingereiht werden m√ľssen.

 


Link-Konventionen:
Fette Links öffnen ein fremde Seite in einem neuen Fenster
Blau hinterlegte Links bleiben auf der sicherheitskultur.at

 

29.12.2006 - Sch√∂ne neue Welt: Werbung √ľber Bluetooth

heise.de berichtet √ľber den steigenden Trend Werbung √ľber Bluetooth zu verteilen. Zuerst gab es das nur in den USA, jetzt gibt es einen deutschen Anbieter, der schon 115 sog. Hotspots ausger√ľstet hat, wo kostenlos Videos, Bilder, Anwendungen, Spiele oder andere Java-Programme √ľber Bluetooth verteilt werden. Das Problem dabei ist, dass der Empf√§nger nicht wirklich kontrollieren kann, von wem die Daten kommen und was in den Daten drin ist. Er m√ľsste auf so Details wie die digitale Signatur achten, was im Test aber niemand getan hat. Das hei√üt, es ist recht leicht, Schadsoftware auf diese Weise zu verteilen. Die Details sind im Artikel.

Mehr zu mobiler (Un)Sicherheit und dort speziell zum Thema Bluetooth.

 


13.12.2006 - Ziemlich schlechte Noten f√ľr √∂sterreichische Banken

Die ARGE Daten hat im Auftrag des √∂sterreichischen Sozialministeriums eine Studie zum Stand des Internetbankings in √Ėsterreich erstellt. Leider gab es dabei ziemlich schlechte Noten, bis hin zu fehlerhaften und verwundbaren Implementierungen der Websites. Sehr gut gef√§llt mir, dass der ganze Service getestet wurde, von den M√ľhen, bei der Er√∂ffnung die Vertragsbedingungen, die man als Kunde ja akzeptieren muss, wirklich zu sehen bis hin zu den oft ersch√ľtternden Ausk√ľnften, die man am Helpdesk bekommen kann ("Schalten Sie die Firewall aus, dann sollte es gehen".

Hier gibt es leider viel Handlungsbedarf bei den Banken, und weil die Probleme in so viele Verantwortungsbereiche fallen, bin ich etwas skeptisch, ob die Behebung dieser Kritikpunkte wirklich konsistent umgesetzt wird. Nach meiner Erfahrung ist verteilte Verantwortung oft gleichbedeutend damit, dass wenig passiert.

Hier meine Vorschläge zum besseren Schutz gegen Phising.

 


07.12.2006 - Spammer gegen alle, und die vorige Runde geht leider an die Spammer

Die NY Times berichtet, was wir wohl alle in der letzten Zeit gemerkt haben: Bill Gates hatte Unrecht, als er vor 3 Jahren versprochen hatte, dass in 2006 sich das Spam-Problem erledigt haben w√ľrde.

Die Firma Ironport, die auf Spam-Filtering spezialisiert ist, behauptet dass heute 90% des E-Mail-Verkehrs Spam ist und dass die bisherigen Tricks der Anti-Spam-Technologien eine nach dem anderen ausgehebelt wurde. Was f√ľr Tricks sind das?

Die erste Abwehrstrategie war ein Blockieren der Urspruchsadressen der Spam-Mails. Das funktioniert leider nur noch sehr begrenzt, weil der √ľberwiegende Teil von den Zombie-PCs in den Botnetzen erzeugt wird und diese wechseln zum einen sehr schnell, zum anderen blockiert man damit den gesamten Mailverkehr dieser Anwender.

Der nächste Abwehrtrick ist intelligentes Filtern auf der Basis der Inhalte der Mails. Das funktioniert zum Teil viel cleverer als nur ein Checken von Worten wie Viagra oder ähnlichem. Manche Produkte verwenden komplizierte statistische Verfahren wie Bayesian-Filter. Die Antwort darauf war der Übergang zu Image-Spam, d.h. das Mail besteht oft nur noch aus einer Graphik.

Die Antwort darauf war OCR, d.h. optical character recognition, der Versuch, die Graphik zu analyiseren und automatisch in Text zu verwandeln, der dann nach verdächtigen Begriffen untersucht werden kann. Diese Technik kann aber leicht ausgehebelt werden, indem der Text auf einem leicht unruhigen Hintergrund präsentiert wird, was diesen Programmen große Probleme bereitet.

Eine weitere Verteidigungsstrategie ist das Sichten von vielen E-Mails (z.B. in speziellen Mailservern, die als Service den Mailverkehr von vielen Firmen √ľberpr√ľfen) und ein Blockieren, wenn das gleiche E-Mail mehrmals auftaucht. Erreicht wird dies, indem eine Pr√ľfsumme √ľber jedes Mail gebildet wird und diese verglichen werden. Die Antwort der Spamer darauf ist, dass viele Mails ganz unten eigenartige Textstellen enthalten, die mit dem Inhalt des Mails keinen Zusammenhang haben (und oft aus klassischen B√ľchern √ľbernommen sind, der Name daher ‚Äúliterary spam‚ÄĚ). Diese Texte sind in jedem Mail unterschiedlich und sorgen daf√ľr, dass keine 2 gleichen Mails entdeckt werden.

Und noch eine Verteidungsstrategie ist ineffizienter geworden. Traditionell verwiesen alle Spam-Mails auf eine Website auf der das Produkt bestellt werden kann. Diese Website waren zwar auch oft auf Botnet-PCs gehostet, aber heute bewirbt ein großer Teil der Mails sog. Penny-Stock (weitere Studie), das sind ganz billige Aktien, von denen die Spamer eine große Menge eingekauft haben und deren Preis nach dem Bewerben dieser Aktie dann normalerweise so ansteigt, dass die Spammer leicht 5 - 6 % Gewinn in wenigen Tagen machen. Dieser Spam braucht keine Website mehr, nur noch naive Menschen, die glauben, hier schnell Geld machen zu können (klappt aber nicht, bevor die Opfer wieder verkaufen können, haben die Spamer längt abgesahnt und die Aktie ist wieder nahe Null.

Ergebnis all dieser Gegenma√ünahmen gegen die Spam-Filter ist, dass wir mehr denn je in Spam versinken und dass auch keine L√∂sungen am Horizont sind. Nicht einmal dann, wenn die derzeit noch konkurrierenden Vorschl√§ge f√ľr eine bessere Authentifizierung von E-Mails implementiert w√ľrden. Dies w√ľrde das F√§lschen von E-Mail-Absendern erschweren. Aber so lange eine unbegrenzte Zahl von Zombie-PCs in den Botnetzen zur Verf√ľgung steht, ist es f√ľr die Spammer nicht notwendig, E-Mail-Absender zu f√§lschen. (Und man spricht von 250 000 neuen Zombie-PCs pro Tag)

Ein gro√üer Fortschritt w√§re eine Software ohne Schwachstellen, die es verhindert, dass PCs infiziert und zu Zombies werden, aber davon sind wir leider sehr sehr weit weg. Ebenfalls hilfreich w√§re, wenn reputable Firmen z.B. Banken oder Pharmah√§ndler aufh√∂ren w√ľrden, den Spammern gutes Geld f√ľr Interessenten zu zahlen, die √ľber Spamming gewonnen wurden. Und gierige und/oder naive Mitb√ľrger m√ľssten aufh√∂ren, auf solche Tricks wie die "pumb and dump" Aktientricks oder die sog. Nigeria-E-Mails hereinzufallen. Aber zu Weihnachten d√ľrfen wir uns ja alle was w√ľnschen. ;-)

 


30.11.2006 - Trojaner werden immer komplexer

Trojaner werden immer komplexer. Der hier beschriebene SpamThru enth√§lt Kaspersky Anti-Virus und kann sich damit auf dem System gegen Mitbewerber sch√ľtzen. Das Programm kommuniziert mit einem zentralen "Controller", aber auch mit bsi zu 512 Peers, d.h. anderen infizierten Systemen. Es enth√§lt eine Liste von Proxy-Adressen, so dass die Sperrung einzelner Systeme (z.B. das Control-System) umgangen werden kann. Die derzeit 73000 Mitglieder des Botnetzes sind theoretisch in der Lage, 1 Milliarde Spam-E-Mails pro Tag zu erzeugen, (haupts√§chlich Aktienempehlungen, pump-and-dump-stock). Das Ernten von neuen Adressen auf den Festplatten der infizierten Rechner ist auch Teil der Funktionalit√§t.

 



25.11.2006 - Der SANS Jahresbericht

Das SANS Institute hat mal wieder seine Top20-Liste veröffentlicht. Interessanter und wichtiger als die Frage, ob Linux und Apple bei der Zahl der Verwundbarkeiten mithalten kann, finde ich die neuen (und alten Trends).

Die Angreifer haben die Angriffe auf Betriebssystemebene erg√§nzt durch noch niedriger h√§ngende Fr√ľchte: weit verbreitete Anwendungen aller Hersteller (z.B. Flash, WinZip, Shockwave, QuickTime, WinAmp, Opera Browser, Adobe PDF Reader, ICQ Messenger, RealPlayer, OpenOffice und Shockwave Plug-in), auf die MS Office Produkte (z.B. Angriffe √ľber die in Unternehmen so gern weiterverbreiteten lustigen Powerpoint-Dateien), √ľber Web-Anwendungen, die oft offen wie ein Scheunentor sind und jetzt auch √ľber VOIP. Der Vorteil f√ľr die Anwender ist, dass sie damit den in vielen Unternehmen immer besser werdenden Patch-Prozessen ein Schnippchen schlagen. In welchen Unternehmen werden denn auch diese Anwendungen systematisch aktualisiert?

Der andere Trend, der sich st√§ndig verst√§rkt geht zu targeted Attacks (siehe ). Das sind speziell f√ľr Zwecke der Industriespionage entwickelte W√ľrmer und Spyware (die gegen alle g√§ngigen Antiviren-Produkte bereits getestet sind) und die gezielt im Zielunternehmen verteilt werden (z.B. √ľber E-Mails die aussehen wie Spam und auf spezielle infizierte Webseiten hinweisen oder notfalls sogar √ľber im Unternehmen "verlorene" USB-Sticks). Solche Schadsoftware wird von den Antivirenprodukten nicht erkannt, weil sie gezielt nur in wenigen Unternehmen verteilt wird und auf diese Weise den Antiviren-Firmen gar nicht bekannt wird.

Und hier ein schöner Schlusssatz: "Your first stop should be the CEO's office," Paller said. "Show them the information and tell them you don't have the capacity to beat this. Ask them to get together with other CEOs and really put pressure on the industry to bake security into their products."

Zum letzteren Thema noch etwas vom US Department of Homeland Security (DHS). Dort wurde eine Studie zum Thema Sicherheit und h√∂heres Management in Auftrag gegeben. Die Ergebnisse sind nicht ganz √ľberraschend, best√§tigen √ľber recht gut den obigen Rat:

"Security directors appear to be politically isolated within their companies," Cavanagh says. Security pros often do not talk to business managers or other departments, he notes, so they don't have many allies in getting their message across to upper management. A key problem is most security managers don't know how to map their priorities to business objectives, and most top managers don't understand how security fits into their business objectives."

Dies ist die Aussage, die ich auch oft gegen√ľber Sicherheitsbeauftragten mache: Suchen Sie sich Verb√ľndete im Unternehmen. Die k√∂nnen im Risk Management sitzen, oder in der Revision oder in der Safety-Abteilung. Und auch der Produktions- oder der Logistikchef ist ein potentieller Verb√ľndeter. Sie sind verantwortlich f√ľr das reibungslose Funktionieren ihres Bereiches und dazu kann ein gutes Sicherheitskonzept beitragen. Ein Problem bei der Suche nach Verb√ľndeten kann die fehlende gemeinsame Sprache sein: Evtl. hilft es, wenn der Sicherheitsbeauftragte sich ein paar zus√§tzliche BWL-Kenntnisse aneignet, damit er besser verstehen kann, was die Spezialisten aus den anderen Abteilungen ihm eigentlich sagen wollen, wenn er sie fragt, wo ihnen denn der Schuh dr√ľckt.

 


08.11.2006 - Botnetz-Betreiber legen ganzes Land lahm

SearchSecurity.com berichtet √ľber einen Report von McAfee der darlegt, wie Botnetz-Betreiber mittlerweile so gro√üe Netze unter Kontrolle haben, dass sie die Netzinfrastruktur eines ganzen Landes (in Mittelamerika, aber immerhin) lahm legen k√∂nnen.

Ken Baylor, McAfee's director of risk management, said a global telecommunications company with a business unit in Central America experienced multiple network outages -- some lasting up to six hours -- that blocked Internet connectivity throughout the country and rendered automated teller machines useless. McAfee determined that botnets had taken down the infrastructure by launching distributed denial-of-service attacks. The telecom company deployed McAfee's IntruShield Network Intrusion Prevention System (IPS) to investigate what was causing the outages and prevent them in the future.

McAfee studied bot activity against the telecom company from April to September and found more than 6 million bot attacks per week in the country, which Baylor declined to name.

"All this bot activity created so much noise on the network that it knocked down Internet access across the whole country," Baylor said. "It also cut off the ability to use VoIP and withdraw money from ATM machines. This would last six hours at a time, two or three times a week."

Cyberwar: (Krieg im Cyberspace) dieses Schlagwort bezeichnet die M√∂glichkeit, durch Angriffe auf staatliche oder private Computernetze und IT-Systeme Druck auf Staaten auszu√ľben, z.B. durch dDoS. Solche Angriffe sind von kriminellen Aktivit√§ten oder Hactivism im Internet kaum zu unterscheiden, k√∂nnten schlimmstenfalls zu einer Eskalation mit konventioneller Kriegsf√ľhrung m√ľnden.

Hactivism: Kunstwort aus Hacker und Aktivismus. Nutzung von Angriffen im Internet auf Netze oder Systeme durch Private f√ľr politische Zwecke.

Der Link zum Report selbst ist im Artikel zu finden.

Aktualisierung Mai 2007: langandauernder Angriff auf Estland. Nach einer in Russland ungeliebten Entscheidung durch die estnische Regierung wurde die estnische Internet-Infrastruktur wochenlang fast vollst√§ndig blockiert. Die NY Times berichtete ausf√ľhrlich √ľber technische Details, z.B. Absprache √ľber die zu blockierenden IP-Adressen auf russisch-sprachigen Websites, das zus√§tzliche, befristete Anmieten von weiteren Botnetz (zum Teil sollen bis 1 Million Bots beteiligt gewesen sein). Die NATO ist derzeit noch der Ansicht, dass so etwas keinen Angriff darstellt, der den Beistandspakt ausl√∂st. Die finanziellen Sch√§den in Estland waren jedoch erheblich.

Aktualisierung Juni 2007: Mittlerweile geht auch die estnische Regierung nicht mehr von einem Angriff aus Moskau aus, wahrscheinlicher sind sog. Hactivists, die ihre politische Meinung mittels Botnets kund tun.

Noch mal aktualisiert - Aus dem ENISA Report (pdf):The other, entirely European ‚Äėhacking‚Äô event of note is the April/May 2007 denial-of service attack on Estonia. This event created widespread alarm, claims of involvement by the Russian Government, and claims that the first ‚Äėcyberwar‚Äô was taking place. However, careful measurements showed that the attacks were only of the order of 90 Mbit/s which is really quite small (Japanese consumers can purchase 100 Mbit/s links for approximately USD 50 per month). The real problem was that Estonia had a fairly low-bandwidth infrastructure, and a lack of experience in dealing with DDoS attacks, so significant problems arose from a relatively small attack. ...... ‚Äď and since then a 20-year-old ethnic Russian has been convicted of the attacks and fined 17,500 kroons (EUR 1,100). Estonian officials now admit they have no other suspects.

 


08.10.2006 - Es tut sich was bei den Wahlcomputern

In den USA gibt es nach den Problemen bei den letzten Wahlen einen starken Druck aus Washington, Wahlcomputer zu benutzen. Die Firma Diebold ist dabei mit einem ziemlich hohen Marktanteil f√ľhrend. Experten bekritteln aber schon seit 2003, dass die M√∂glichkeiten der Manipulation dieser Maschinen extrem hoch vielf√§ltig sind. Die Implementierung der Sicherheitsfeatures ist z.B. verglichen mit einer X-Box, ziemlich schlampig, und auch die l√§sst sich knacken (pdf).

Bisher waren die Analysen jedoch immer theoretisch, d.h. es wurde gezeigt, dass wegen der gegebenen Struktur eine Reihe von Angriffen m√∂glich ist. Darauf hat Diebold jeweils reagiert, indem sie erkl√§rt haben, (a) dass dies eine veraltete Version sei und (b) die Angriffe gar nicht funktionieren w√ľrden. Seit Sept. 2006 ist es nicht mehr ganz so einfach. Die Universit√§t von Princeton hat ernst gemacht, sich ein solches Ger√§t besorgt, die die entsprechende Software geschrieben und f√ľhrt jetzt in einem Papier und auch in einem Video vor, wie innerhalb von wenigen Minuten die Maschine dazu gebracht werden kann, ein vorgegebenes Wahlergebnis zu produzieren, egal was die W√§hler eingeben und dabei noch alle Logfiles so ver√§ndert, dass am Ende die W√§hlerzahl stimmt und die Ver√§nderungen keine Spuren hinterlassen. Und das Problem dieser Maschinen ist, dass es keinerlei papierene Kontrollm√∂glichkeiten gibt, es wird nichts ausgedruckt, was man sp√§ter im Zweifelsfall zur Kontrolle nachz√§hlen k√∂nnte (genau dies wird in anderen L√§ndern f√ľr solche Maschinen gefordert).

Ergebnis der Ver√∂ffentlichung ist, dass eine ganze Reihe von lokalen Wahlbeh√∂rden ziemlich kalte F√ľ√üe bekommen und erw√§gen, wieder auf gedruckte Wahlzettel umzusteigen. Es zeigt sich wieder mal, dass ein Video erheblich mehr bewirken kann, als eine noch so gute theoretische Studie.

Ein paar grunds√§tzliche √úberlegungen zur Sicherheit von Wahlcomputern: Wie auch auch schon beim Thema Phishing ausgef√ľhrt habe, liegt die Sicherheit oft darin, dass ein zweites Medium genutzt wird (beim Phishing die Zusendung einer mTAN √ľber Handy und SMS). Das zweite Medium bei der Wahl ist ein anonymes Blatt Papier, auf der die Wahlentscheidung gedruckt wird und das in eine verschlossene Urne f√§llt. Diese kann in Zweifelsf√§llen ge√∂ffnet werden und die Papiere nachgez√§hlt.

Aktualisierung 11. Okt. 2006: ein Bericht in heise.de berichtet von einer ähnlichen Aktion mit niederländischen Wahlcomputern, die auch in Deutschland eingesetzt werden. Links auf die Details finden sich im Artikel.

Aktualisierung 17. Nov. 2006: Bruce Schneier fast die vielen negativen Berichte zu den US-Wahlen zusammen. Das muss ein ziemliches Desaster gewesen sein, viele verlorene Stimmen. Es geht so weit, dass eine B√ľrgemeisterkandidate exakt Null Stimmen bekommen hat, obwohl er sicher ist, dass zumindest er selbst f√ľr sich gestimmt hat.

 


04.10.2006 - Naiv bei HP ?!?!

Also, da habe ich schon gestaunt. Die NY Times berichtet: "Mr. Hurd (chief executive und jetzt auch Chairman von H.-P.) did recall hearing at a meeting on July 22, 2005, that phone record information was obtained off the Web. He told the lawyers that he “remembered thinking that must be a Web site with such information.”

Und Dunn, die jetzt zur√ľckgetretene HP chairwoman, trat in einem Congressional Hearing auf und wird zitiert: "I understood that you could call up and get phone records -- and it is a common investigative technique," Dunn also said. As she continued to repeat her innocent assumption during her nearly five hours of testimony, Oregon Republican Greg Walden finally lost his patience. With a note of puzzlement Walden asked, "You thought that I could call up and get your phone records?" Dunn responded, "I thought you could."

Ich finde das schon leicht ersch√ľtternd, wenn diese hochrangingen Leute glauben, ihre (und alle unsere) Einzelgespr√§chsnachweise w√§ren im Internet frei verf√ľgbar. Warum d√ľrfen so naive Menschen so gro√üe Firmen f√ľhren? Oder muss man so ein schlichtes Gem√ľt haben, um an die Spitze zu kommen?

Hier der √úberblick √ľber die Darsteller in der H.-P. Soap Opera. Und das ist das Unternehmen, das 2006 noch bei Business Ethics Magazine's "100 best corporate citizens" auf Platz 2 war.

 


18.09.2006 - Ein interner DoS-Angriff

Jonathan Yarden wei√üt in techrepublic.com auf eine Schwachstelle hin, die ich bisher bei meinen Audits auch √ľbersehen hatte: die Domain-Registrierungen einer Firma. Ein Mitarbeiter, der wegen der Unsicherheit des Netzwerks f√ľr das er verantwortlich war, entlassen wurde hat sich ger√§cht, indem er die Domain-Name-Eintr√§ge des Unternehmens abge√§ndert hatte. Ergebnis war, dass die Firma isoliert war, kein Mailverkehr mehr, der Website nicht erreichbar, etc.

Und wie mit allen b√ľrokratischen Vorg√§ngen war es nicht einfach, das wieder zur√ľck zu √§ndern. Da nur der gefeurte Mitarbeiter Benutzername und Passwort kannte, konnte er den Eintrag gr√ľndlich ver√§ndern, aber ohne diese Kenntnisse kann die Firma den Kontrolle nur sehr m√ľhsam zur√ľckgewinnen.

Was lernen wir daraus? Es sollten immer mindestens 2 Mitarbeiter Zugriff auf die Domain-Names haben und beim Ausscheiden muss dieser Zugriff genauso gesperrt werden wie der Zugriff zu allen Ger√§ten, f√ľr die der Mitarbeiter Zugriff hatte.

 


14.09.2006 - Risikoabschätzung und Sicherheitstheater

Bruce Schneier hat den Begriff "Security Theatre" gepr√§gt. Damit meint er den augenblicklichen Trend, durch immer st√§rkere Beschwerlichkeiten, z.B. beim Fliegen, der Bev√∂lkerung das Gef√ľhl vorzut√§uschen, die Regierung w√ľrde was f√ľr die Sicherheit tun. Gleichzeitig betont er, dass die Schutzmechanismen sich immer nur gegen den letzten Angriffsversuch richten. Erst wurde nach Metall gesucht, dann mussten die Schuhe untersucht werden, jetzt sind die Fl√ľssigkeiten dran (auch wenn Chemiker berichten, dass das Herstellen von fl√ľssigem Sprengstoff im Flugzeug kaum durchf√ľhrbar ist, stundenlanges extrem vorsichtiges Eintr√§ufeln in einen Beh√§lter, der mit Trockeneis von au√üen gek√ľhlt werden muss, unter Entwicklung von D√§mpfen).

Die NY Times berichtet am 28. August von Interviews mit britischen Sicherheitskräften. Diese sagen, dass die Verdächtigen seit einem Jahr unter ständiger Polizeiaufsicht standen, noch keine Pässe oder Flugtickets hatten, noch keinen Sprengstoff produziert haben (kein Wunder, siehe oben) und dass auch noch Attentäter gesucht wurden. D.h. die "Terroristen" hatten einfach nur einen Plan, der nicht mal geklappt hätte.

absurdes Sicherheitstheater - Graphik der NY Times

Garrison Keillor denkt das ganze in salon.com noch einen Schritt weiter: was wird passieren, wenn der n√§chste Terrorversuch darin besteht, dass jemand Sprengstoff in K√∂rper√∂ffnungen an Bord schmuggeln will - die dann erfolgenden Sicherheitsma√ünahmen w√§ren wohl das Ende des √∂ffentlichen Luftverkehrs. Bruce Schneier sagt es mit einem Witz: ‚ÄúIt‚Äôs a good thing the shoe bomber wasn‚Äôt an underwear bomber‚ÄĚ, sonst m√ľssten wir nicht die Schuhe ausziehen, sondern die Unterw√§sche. Und dann kam 2009 Umar Farouk Abdulmutallab, genannt "Underwear Bomber". Die Beh√∂rden haben sich dann trotzdem darauf beschr√§nkt, dass wir Schuhe und G√ľrtel ablegen m√ľssen.

Dabei haben die Terroristen so viele M√∂glichkeiten anzugreifen, wie die Angriffe in Europa auf andere √∂ffentliche Einrichtungen wie U-Bahnen, Busse und Eisenbahnen zeigen. Und nat√ľrlich eignen sich auch Kino- und Einkaufszentren.

Und selbst in Israel ist das Risiko, bei einem ganz normalen Unfall im Stra√üenverkehr zu sterben, immer noch 4x so hoch wie durch eine Bombe und f√ľr Europa und die USA liegt das Verkehrsrisiko viele Zehnerpotenzen √ľber dem Terrorrisiko.

√Ąhnliches gilt f√ľr das Handyrisiko. Viele Menschen machen sich Sorgen √ľber Strahlungssch√§den. Evtl. gibt es sogar minimale Effekte durch die Strahlung, die nach Sch√§tzungen einige wenige Gehirntumore pro Jahr zus√§tzlich ausl√∂sen k√∂nnten. Dagegen stehen aber Tausende von Verkehrstoten, die durch die Bedienung des Handys w√§hrend der Fahrt verursacht werden. JA, das Handy ist ein gef√§hrliches Ger√§t, aber (nach jetzigem Kenntnisstand der Wissenschaft) nur im Auto! [Hier ein Link auf einen sehr guten √úberblicksartikel zum 2011 Forschungsstand Handystrahlung und Krebs in der NY Times.]

Hier die Kalkulationen der Risikowahrscheinlichkeiten auf reason.com:

.... in 2003 about 45,000 Americans died in motor accidents out of population of 291,000,000. So, according to the National Safety Council this means your one-year odds of dying in a car accident is about one out of 6500. Therefore your lifetime probability (6500 √∑ 78 years life expectancy) of dying in a motor accident are about one in 83.

What about your chances of dying in an airplane crash? A one-year risk of one in 400,000 and one in 5,000 lifetime risk.

What about walking across the street? A one-year risk of one in 48,500 and a lifetime risk of one in 625. . . . .

. . . .what about the risk of dying in a terrorist attack? Michael Rothschild, a former business professor at the University of Wisconsin, worked out a couple of plausible scenarios. Rothschild estimated that if terrorists hijacked and crashed one of America's 18,000 commercial flights per month that your chance of being on the crashed plane would be one in 540,000.

√Ąhnliche Wahrscheinlichkeitsanalysen zum Risiko des Terrorismus finden sich hier und Statistiken zu t√∂dlichen Krankheiten an dieser Stelle. Das Fazit dort: Das viele Geld, das in Anti-Terrorismus-Ma√ünahmen gesteckt wird k√∂nnte viel mehr Menschenleben retten, wenn es im Bereich der Gesundheit bzw. Unfallvorsorge investiert w√ľrde.

Zum Thema Terrorismus (pdf, 2 MB !!) gibt es auch eine gute Brosch√ľre von der Bundeszentrale f√ľr politische Bildung in D.


Bruce Schneier schreibt √ľber reales Risiko und wahrgenommenes Risiko. Und noch ein Artikel dazu in Time: How Americans Are Living Dangerously.

Hier die kurze Zusammenfassung. Alle Menschen f√ľrchten ...

Noch ein paar interessante Gedanken von Bruce Schneier in seinem Newsletter 06/2007: "Wenn Sie von einer Gefahr in den Nachrichten h√∂ren, k√∂nnen Sie sich entspannen. Wenn etwas so selten passiert, dass es dort erscheint, ist es keine wirkliche Bedrohung. F√ľrchten Sie sich vor den Bedrohungen, √ľber die nicht berichtet wird: z.B. Autounf√§lle und Gewalt in der Familie." Und: Hunde, Schlangen, Bienen, Schweine, jede dieser Tierartarten verursacht mehr Tote in den USA, als Haie. Und die Hunde liegen an der Spitze. Aber Haie sind viel aufregenderes Thema.

Aktualisierung April 2007:
Aus einem Artikel einer US-Fernsehgesellschaft √ľber die Sicherheitstests auf amerikanischen Flugh√§fen:

Aktualisierung Aug. 2007:
Bruce Schneier war zu einem Gespr√§ch mit Kip Hawley, dem Chef der TSA eingeladen. Das Thema "Sicherheitstheater" wurde zwischen den beiden auch diskutiert. Sehr interessante Hintergr√ľnde.

Aktualisierung Dez. 2008:
Hier meine Besprechung einer Studie zur Effektivit√§t von Ma√ünahmen f√ľr die Flugsicherheit (eine sehr gute Einf√ľhrung in Kosten-Nutzen Analyse von Risikoabwehr).

 


28.08.2006 - Risiko des Terrorismus

Bruce Schneier hat k√ľrzlich auf einen interessanten Artikel von John Mueller (pdf) hingewiesen, wo er (mal wieder) vorrechnet, wie extrem das Risiko ist, dass ein Amerikaner Opfer des Terrorismus wird (und das Gleiche gilt f√ľr Europ√§er).

Der Artikel bringt so Beispiele wie:

Ein interessanter Artikel zur Psychologie der Risikofehleinsch√§tzung in psychology today (am Ende ist ein kurzer Test √ľber Ihren Realit√§tssinn, was Bedrohungen betrifft. Da findet sich z.B. dass in 2001, weil die US-B√ľrger Angst vor dem Fliegen hatten, deutlich mehr Reisen im Auto unternommen sind, was laut Unfallstatistiken 1000 Menschen das Leben gekostet hat.

Muellers Resum√©: das eigentliche Problem (und damit der eigentliche Erfolg des Terroristen) ist die panische Reaktion der Regierung, der Medien und dann auch der Bev√∂lkerung. Die Terroristen erreichen, dass gro√üe Summen f√ľr den Schutz gegen eine m√∂gliche Wiederholung der vorigen Angriffe ausgegeben werden, statt f√ľr generell sinnvolle Sachen wie eine Verbesserung des Gesundheitswesens, was im Falle eines Terrorangriffs, aber auch sonst gut w√§re. Nicht die Terroristen bedrohen unseren Lebensstil, sondern unsere Reaktionen darauf.

Aktualisierung Sept. 2007: Gerade gelesen: die NY Times (Sept.7) berichtet, dass eine Studie in D. ergeben hätte, dass 70% der Deutschen erwartet in den 10 Jahren persönlich vom internationalen Terrorismus betroffen zu sein. Das ist Größenordnungen von der Realität entfernt. Wo solche Ergebnisse herkommen, erklärt diese Studie.

Hier noch ein guter Artikel der IT-Manager Zeitschrift CIO zum Thema Hilft Data Mining im Kampf gegen Terror?. Und viel mehr zu der Problematik von Risikoabsch√§tzungen direkt √ľber diesem Beitrag.

Eine Fortsetzung der Diskussion zur Psychologie der Risikoabschätzung findet sich an anderer Stelle auf dieser Website.

 


29.08.2006 - Fuzzing - Wer findet eigentlich die vielen Schwachstellen?

Ist es nicht verbl√ľffend, wie die "b√∂se Seite" st√§ndig neue Schwachstellen in den Softwareprodukten findet und zwar die "gute Seite" sie selbst gefunden hat und "fixen" kann. Daf√ľr gibt es aber ein paar einfache Gr√ľnde. Einer der Gr√ľnde hei√üt Fuzzing. Dabei geht es darum, dass die zu testenden Programme mit Zufalls-Input versorgt werden. Wenn sie dabei "abst√ľrzen", d.h. auf einen Fehler laufen, so ist dies ein Stelle, wo der Programmierer vermutlich schlampig gearbeitet hat und die Korrektheit der Eingabedaten nicht √ľberpr√ľft hat. Solche Stellen k√∂nnen dann von Profi-Hackern f√ľr Angriffe ausgenutzt werden. Heise.de schreibt, dass solche Techniken zwar heute sehr professionell von den Angreifern genutzt werden, aber sich diese Techniken bei der Quality Assurance (QA) der Software-Tester noch nicht so weit verbreitet haben. - Schade eigentlich. :-(

Ein anderer Grund ist nat√ľrlich die nat√ľrliche Asymmetrie von Angriff und Verteidigung:

Und dann gibt es noch einen mathematischen Vorteil der "b√∂sen Seite". Angenommen, ein System hat 1 000 000 Bugs (Programmierfehler, die potentielle Schwachstellen darstellen). Diese Zahl ist f√ľr ein gro√ües Programm, z.B. MS Word, durchaus realistisch. Die Verteidiger haben viele Ressourcen, finden 100 000 der Schwachstellen im 1. Jahr. Der Angreifer hat wenig Ressourcen, er findet nur einen Bug. Die Chance jedoch, dass dieser Bug noch nicht gefunden (und die Schwachstelle geschlossen wurde), ist aber 90% - einfach auf Grund der Statistik. (Die gleiche Logik gilt f√ľr kleinere Programme mit (nur) 10 000 Bugs, von denen 1000 von der QA gefunden und behoben werden - immerhin 5 pro Arbeitstag). Mehr dazu bei Ross Anderson, Why Information Security is Hard (pdf).

Hier gibt es Artikel und Hintergrund zu Fuzzing. Und wer es probieren möchte, das Tool JBroFuzz ist von der OWASP Organisation kostenlos erhältlich.

 


09.08.2006 - Privacy-√Ąrger f√ľr AOL - die Ver√∂ffentlichung von Suchanfragen

Jetzt alles beim Thema De-Anonymisierung.

 


26.07.2006 - Erster Phishing-Trojaner in √Ėsterreich

Hier eine aktuelle Erg√§nzung zu meinem Vortrag bei der iisa.at: "Die Zukunft des Phishings". Die Zukunft ist soeben auch in √Ėsterreich angebrochen, der erste Man-in-the-Middle auf dem Rechner selbst ist nachgewiesen worden.

Die Details stehen bei ARGE Daten, ich habe auch Screenshots der Angriffe. Was mich zuerst verbl√ľfft hat ist, dass die Zertifikate sehr sehr echt aussehen. Der Grund ist: sie sind echt. Die betroffenen Websites verwenden angeblich Frames und der Trojaner tauscht die Frames aus, das Zertifkat bleibt aber mit dem Frameset erhalten, aber einzelne Frames laden von einer Phishingsite.

Der Trojaner ist gut gemacht, er kann mit Raiffeisen, Erste/Sparkassen und Bawag/PSK arbeiten. Die erste L√∂sung der Banken muss sein, mit der Nutzung von Frames aufzuh√∂ren (was nicht ganz einfach ist, die ganze Struktur muss umgebaut werden). Aber selbst dann gilt das, was unter Man-in-the-Middle erkl√§re: gegen einen solchen Trojaner auf dem Rechner selbst, der Inhalte austauscht, ist auch die Smartcard und der iTAN nicht ausreichend, nur die R√ľck√ľbertragung von Betrag und Kontonummer in einem unabh√§ngigen Kanal (das Handy bietet sich an), zusammen mit einer mTAN hilft dagegen.

 


16.07.2006 - Kopierschutz-Eskapaden ohne Ende

Der Standard berichtet √ľber eine Verwarnung der deutschen Verbrauchersch√ľtzer an Apple wegen iTunes. In deren Lizenzbedingungen stehe n√§mlich

Einige dieser Einschr√§nkungen versto√üen auch in √Ėsterreich gegen die Gesetze, z.B. ist die private unentgeltliche Weitergabe ohne Problem gestattet, aber durch den Kopierschutz umst√§ndlich. Das funktioniert n√§mlich nur √ľber Verletzung des 3. Punktes: der K√§ufer muss eine CD brennen und diese dann wieder nach MP3 umwandeln (rippen). Diese CD und diese MP3s k√∂nnen dann auf jedem Ger√§t abgespielt werden.

In einer Glosse im Standard zu diesem Thema wird erw√§hnt, dass Apple-Chef Steve Jobs im Jahr 2002, ein Jahr bevor Apple seinen iTunes Music Store er√∂ffnete noch erkl√§rt hat "If you legally acquire music, you need to have the right to manage it on all other devices that you own". Aber dann musste er der Musikindustrie gegen√ľber Zugest√§ndnisse machen und verst√∂√üt seine Firma gegen seine eigenen Grunds√§tze. Hier die technischen Details des Apple Kopierschutzes.

Hier ein fr√ľherer Beitrag mit weiterf√ľhrenden Links zum leidigen Thema Kopierschutz.

 



Philipp Schaumann, http://sicherheitskultur.at/

Home

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Nat√ľrlich gelten auch die Regeln des Fair Use und √ľber Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.