Home      Themenübersicht / Sitemap      Notizen      Webmaster      
Newsletter Abo

 

93. Newsletter - sicherheitskultur.at - 30.07.2014

von Philipp Schaumann


Hier die aktuellen Meldungen: 

1. Reports
----------
NTT Group 2014 Global Threat Intelligence Report 
   http://www.solutionary.com/research/threat-reports/annual-threat-report/ntt-group-gtir-2014/

Pew Research Net Threats
http://www.pewinternet.org/2014/07/03/net-threats/


SBA-Research in Wien wiederholt ihre Bewertung der wichtigsten Smartphone Messaging Apps. 
Ergebnis sind große Unterschiede was Datenschutz und Sicherheit betrifft. 
  http://www.sba-research.org/pubs/reevaluating_smartphone_app_security.pdf


2 Hinweise auf Reports (von einem Kollegen):
RAND Corporation (National Security Research Division): 
"Markets for Cybercrime - Tools and Stolen Data - Hackers' Bazaar", 
In diesem aktuellen Research Report wird beschrieben welche "Waren" und
"Tools" im "Black Market" angeboten und verwendet werden und welche Preise 
für welche Tools (Exploit Tool Kits) bezahlt werden.
Gibt einen aktuellen und sehr guten Überblick zur Thematik. 
Die Bibliographie ab Seite 53 ist eine Fundgrube (Web-Links zu den Dokumenten) 
zum Thema Cybercrime, Malware, etc.
  http://www.rand.org/pubs/research_reports/RR610.html

Panda Security: "The Cybercrime Black Market Uncovered", 2010
Schon etwas älterer Report der aber die Grundmechanismen auch sehr gut vermittelt.
   http://press.pandasecurity.com/wp-content/uploads/2011/01/The-Cyber-Crime-Black-Market.pdf



2. Überwachung, und wie geht es weiter?
---------------------------------------
2 gute Texte von Peter Watts zur Idee, dass die Überwachung in beide 
Richtungen gehen könnte, der Staat überwacht die Bürger und die Bürger 
überwachen den Staat. Das ist Blödsinn, sagt der Autor recht überzeugend.
   http://www.rifters.com/crawl/?p=4689

Ebenso: Watts 2014  The Scorched-Earth Society 
   http://www.rifters.com/real/shorts/TheScorchedEarthSociety-transcript.pdf
Was der Autor mit der verbrannten Erde meint ist, dass es mehr
Internet-Dienste Anbieter geben sollte, die so wie Lavabit, bei Regierungszugriff
verbrannte Erde (oder verbrannte Daten) hinterlassen.


Peter Watts: The Internet With A Human Face
   http://idlewords.com/bt14.htm
Der Autor argumentiert, dass das derzeitige (und leider wohl auch 
zukünftige) Geschäftsmodell der Internet-Dienste so fest an
Werbung gekoppelt ist, dass es das Datensammeln durch die Privaten
(und unvermeidlichen Weitergabe an die Regierungen) quasi unvermeidlich 
ist, außer, wir bekommen ein paar sehr starke Schutzgesetze.
Und er argumentiert, dass die Datensammlungen durch die Privaten fast
noch gefährlicher sind als bei den Regierungen, er führt Beispiele an
wie das Ende von Social networks wie Friendster und SixDegrees.com, deren
Datensammlung im Nachlass wohl einfach an den Meistbietenden gegangen sind.


noch ein guter Vortrag: Eben Moglen - 
Privacy under attack: the NSA files revealed new threats to democracy
   http://www.theguardian.com/technology/2014/may/27/-sp-privacy-under-attack-nsa-files-revealed-new-threats-democracy

Ein längerer Text, Zusammenfassung einer noch längeren Vortragsserie in der
Columbia Law School: Snowden and the Future
Sein Hauptpunkt ist, dass die Datensammlung durch die Geheimdienste der 
Welt aufhören muss, weil sie mit Demokratie vollständig unverträglich
ist. Im Teil der Lösungsvorschläge kommt er dann aber doch auf die
Datensammlungen durch die Unternehmen, denn dort sind die Daten (auch)
nicht, sicher. Er schlägt eine Neu-Konzeption der Internetdienste auf der
Basis von sicheren Verbindungen zwischen de-zentralen Datenspeichern vor,
optimaler Weise bei jedem in der Wohnung.



3. Schöne neue Welt der Manipulationen 
--------------------------------------
Alle haben von den Facebook Experimenten gehört, aber die sind nur die
Spitze des Eisbergs. Schon etwas älter sind die Experimente, wie eine
Suchmaschine oder ein Social Network Wahlen beeinflussen kann.
Die kurze Antwort ist: sehr einfach:
   http://aibrt.org/downloads/EPSTEIN_and_Robertson_2013-Democracy_at_Risk-APS-summary-5-13.pdf 
   https://netzpolitik.org/2014/wie-facebook-wahlen-beeinflussen-kann-oder-was-tun-gegen-digitales-gerrymandering/ 

Noch zu Facebook:
  http://online.wsj.com/articles/facebook-experiments-had-few-limits-1404344378
  http://www.heise.de/newsticker/meldung/Facebook-experimentiert-schon-laenger-mit-Nutzerdaten-2243893.html

Mein Beitrag dazu:
  http://sicherheitskultur.at/Manipulation.htm#wahlen



4. Soziologie der Algorithmen
-----------------------------
Dieses Thema ist eine Weiterführung des Themas unter 3.
Es geht um die Macht der Algorithmen in der modernen Welt.
Ich arbeite seit Beginn des Jahres an einem Vortrag, der versucht
dieses Thema in allgemeinverständlicher Form aufzubereiten.
Jetzt habe ich ziemlich das Gegenteil davon gefunden: Ein Soziologe
analysiert die Bedeutung der Algorithmen und die Bedrohungen und
Gefahren durch sie.

Der Artikel ist m.E. sehr lesenswert, er bringt die Gedanken mit denen
ich mich schon lange rumschlage auf einen präziseren Punkt.

Tarleton Gillespie:  The Relevance of Algorithms
  http://www.tarletongillespie.org/essays/Gillespie%20-%20The%20Relevance%20of%20Algorithms.pdf



5. Anonymisierung richtig gemacht
--------------------------------
Sehr gutes Papier von der Art.29 Working Party der EU.
Sie machen sehr deutlich, dass Anonymization ungleich Pseudonymization ist
und dass beides eine Kunst ist, bei der es keine einfachen Rezepte gibt
("Namen" ersetzen durch ....), sondern dass immer der vollen Datensatz und
sogar das Umfeld betrachtet werden müssen, aus dem ein Angreifer evtl.
die Informationen ziehen kann, die zur De-Anonymisierung führen.

Sie erklären auch, 
dass z.B. ein Ersetzen eines Namens durch immer die gleiche Zufallsfolge 
(z.B. salted hash) keine Anonymisierung ist, denn bei anonymen Daten 
darf es nicht möglich sein, die Datensätze die zu einer Person gehören, wieder 
verlinkbar zu machen. D.h. alle Identifier, z.B. IP- oder MAC-adressen müssen 
vollständig entfernt oder generalisiert werden (genauso wie die sog. 
Pseudo-Identifier), sonst bleibt es Pseudonymisierung. 
Ebenso erwähnen sie natürlich, dass Bewegungs-
profile fast überhaupt nicht anonymisierbar sind.

Der 2. Teil ist ein Tutorial (Primer)
der einfacher zu lesen ist und mit dem jemand der noch nicht tief drin 
steckt, eigentlich anfangen sollte.
  http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf



6. Insider Threats
------------------
Interessanter Report, geschrieben für die Betreiber von Kernenergie-
Einrichtungen, aber genauso wichtig für alle die für die Sicherheit
von IT-Einrichtungen zuständig sind. Viele reale Beispiele aus 
ganz unterschiedlichen Bereichen

   http://iis-db.stanford.edu/pubs/24609/insiderThreats.pdf
Mit einem schönen Zitat: 
"Good security is 20% equipment, and 80% culture" und
"... at least 30% of the security rules ... are pointless, absurd, 
ineffective or ... undermine security (by wasting energy)..."


Humor
--------
Parody NSA memo:
   http://www.privacysurgeon.org/blog/incision/a-leaked-nsa-memo-reveals-the-agencys-darkest-secret/ 

Google Glass reviewed by Jason Jones on the Daily Show. 
  http://thedailyshow.cc.com/videos/w95a3v/glass-half-empty

A new Tumblr blog called "People who look cool wearing Google Glass"
   http://coolgoogleglasswearers.tumblr.com/


 


 

Philipp Schaumann, http://sicherheitskultur.at/

Zurück zum Archiv-Überblick

Home

 


Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.