Home      Themenübersicht / Sitemap      Notizen      Webmaster      
Newsletter AboVorläufige Gedanken, erfreuliches, beklagenswertes

 

Philipps Notizen - Archiv 2006 - 2. Hälfte

von Philipp Schaumann

An dieser Stelle werden Beobachtungen veröffentlicht, die ich interessant finde, ohne dass die Texte immer gleich in einen logischen größeren Zusammenhang eingereiht werden müssen.

 


Link-Konventionen:
Fette Links öffnen ein fremde Seite in einem neuen Fenster
Blau hinterlegte Links bleiben auf der sicherheitskultur.at

29.12.2006 - Das Sicherheitskonzept von Windows Vista (Aktualisierung Feb. 2007)

Man kann dazu stehen, wie man will, aber als IT-Profi wird man nicht darum herumkommen, sich mit Vista auseinander zu setzen. Und sei es nur, weil der neue Laptop der Großmutter nun mal damit ausgeliefert werden wird und irgendwann ganz dringend Hilfe benötigt wird.

Aktualisierung Feb. 2007:
Die Sicherheitsexperten diskutieren, ob die hochgelobte User Account Control (UAC) evtl. doch viel löcherhafter ist, als Microsoft am Anfang vorgab. In heise.de wird berichtet, dass Microsoft mittlerweile darstellt, Überlistungsmöglichkeiten für die UAC seien nicht unbedingt ein Problem.

Aktualisierung 2008:
Bitlocker: Leitfaden zur Vista Bitlocker Verschlüsselung vom bundesdeutschen BSI und dem Fraunhofer-Institut für Sichere Informationstechnologie (SIT)

Hier ein guter Artikel von Joanna Rutkowska zu dem Sicherheitskonzept von Vista

Aktualisierung Mai 2007:
Ein umfangreiches Papier von Microsoft: Windows Vista Security Guide. Es ist eine Weiterentwicklung des ebenfalls empfehlenswerten Windows XP Security Guide. Der Guide beschreibt, mit welchen Einstellungen ein Grundschutz-Niveau („Basis-Sicherheit“) auf einem Vista-Client erreicht werden kann, sowie die Konfiguration eines Hochsicherheits-Clients unter Inkaufnahme von Funktionseinschränkungen. Ebenfalls enthalten ist ein Excel-Sheet mit Group Policy Settings sowie dem Group Policy Objects (GPO) Accelerator Tool, das die Umsetzung der Sicherheitskonfiguration über vorgefertigte Templates erleicht. Auch hilfreich: Der tabellarische Vergleich der Default- mit der empfohlenen Grundschutz-Konfiguration von Vista.

Ebenfalls hilfreich: eine Serie aus c't Sicherheitsarchitektur von Windows Vista, 2. Teil: Sicherheitsarchitektur von Windows Vista, Teil 2.

Hier ein interessanter Hinweis: Vista kostenlos testen.

 

Mehr zu Vista auch in meinem Blog Eintrag zu Vista und DRM

Aktualisierung Oktober 2007:
Ein Blog-Eintrag zum Thema Rückstieg von Vista zu XP.

 


29.12.2006 - Schöne neue Welt: Werbung über Bluetooth

heise.de berichtet über den steigenden Trend Werbung über Bluetooth zu verteilen. Zuerst gab es das nur in den USA, jetzt gibt es einen deutschen Anbieter, der schon 115 sog. Hotspots ausgerüstet hat, wo kostenlos Videos, Bilder, Anwendungen, Spiele oder andere Java-Programme über Bluetooth verteilt werden. Das Problem dabei ist, dass der Empfänger nicht wirklich kontrollieren kann, von wem die Daten kommen und was in den Daten drin ist. Er müsste auf so Details wie die digitale Signatur achten, was im Test aber niemand getan hat. Das heißt, es ist recht leicht, Schadsoftware auf diese Weise zu verteilen. Die Details sind im Artikel.

Mehr zu mobiler (Un)Sicherheit

 


13.12.2006 - Ziemlich schlechte Noten für österreichische Banken

Die ARGE Daten hat im Auftrag des österreichischen Sozialministeriums eine Studie zum Stand des Internetbankings in Österreich erstellt. Leider gab es dabei ziemlich schlechte Noten, bis hin zu fehlerhaften und verwundbaren Implementierungen der Websites. Sehr gut gefällt mir, dass der ganze Service getestet wurde, von den Mühen, bei der Eröffnung die Vertragsbedingungen, die man als Kunde ja akzeptieren muss, wirklich zu sehen bis hin zu den oft erschütternden Auskünften, die man am Helpdesk bekommen kann ("Schalten Sie die Firewall aus, dann sollte es gehen".

Hier gibt es leider viel Handlungsbedarf bei den Banken, und weil die Probleme in so viele Verantwortungsbereiche fallen, bin ich etwas skeptisch, ob die Behebung dieser Kritikpunkte wirklich konsistent umgesetzt wird. Nach meiner Erfahrung ist verteilte Verantwortung oft gleichbedeutend damit, dass wenig passiert.

Hier meine Vorschläge zum besseren Schutz gegen Phising.

 


07.12.2006 - Spammer gegen alle, und die vorige Runde geht leider an die Spammer

Die NY Times berichtet, was wir wohl alle in der letzten Zeit gemerkt haben: Bill Gates hatte Unrecht, als er vor 3 Jahren versprochen hatte, dass in 2006 sich das Spam-Problem erledigt haben würde.

Die Firma Ironport, die auf Spam-Filtering spezialisiert ist, behauptet dass heute 90% des E-Mail-Verkehrs Spam ist und dass die bisherigen Tricks der Anti-Spam-Technologien eine nach dem anderen ausgehebelt wurde. Was für Tricks sind das?

Die erste Abwehrstrategie war ein Blockieren der Urspruchsadressen der Spam-Mails. Das funktioniert leider nur noch sehr begrenzt, weil der überwiegende Teil von den Zombie-PCs in den Botnetzen erzeugt wird und diese wechseln zum einen sehr schnell, zum anderen blockiert man damit den gesamten Mailverkehr dieser Anwender.

Der nächste Abwehrtrick ist intelligentes Filtern auf der Basis der Inhalte der Mails. Das funktioniert zum Teil viel cleverer als nur ein Checken von Worten wie Viagra oder ähnlichem. Manche Produkte verwenden komplizierte statistische Verfahren wie Bayesian-Filter. Die Antwort darauf war der Übergang zu Image-Spam, d.h. das Mail besteht oft nur noch aus einer Graphik.

Die Antwort darauf war OCR, d.h. optical character recognition, der Versuch, die Graphik zu analyiseren und automatisch in Text zu verwandeln, der dann nach verdächtigen Begriffen untersucht werden kann. Diese Technik kann aber leicht ausgehebelt werden, indem der Text auf einem leicht unruhigen Hintergrund präsentiert wird, was diesen Programmen große Probleme bereitet.

Eine weitere Verteidigungsstrategie ist das Sichten von vielen E-Mails (z.B. in speziellen Mailservern, die als Service den Mailverkehr von vielen Firmen überprüfen) und ein Blockieren, wenn das gleiche E-Mail mehrmals auftaucht. Erreicht wird dies, indem eine Prüfsumme über jedes Mail gebildet wird und diese verglichen werden. Die Antwort der Spamer darauf ist, dass viele Mails ganz unten eigenartige Textstellen enthalten, die mit dem Inhalt des Mails keinen Zusammenhang haben (und oft aus klassischen Büchern übernommen sind, der Name daher “literary spam”). Diese Texte sind in jedem Mail unterschiedlich und sorgen dafür, dass keine 2 gleichen Mails entdeckt werden.

Und noch eine Verteidungsstrategie ist ineffizienter geworden. Traditionell verwiesen alle Spam-Mails auf eine Website auf der das Produkt bestellt werden kann. Diese Website waren zwar auch oft auf Botnet-PCs gehostet, aber heute bewirbt ein großer Teil der Mails sog. Penny-Stock (weitere Studie), das sind ganz billige Aktien, von denen die Spamer eine große Menge eingekauft haben und deren Preis nach dem Bewerben dieser Aktie dann normalerweise so ansteigt, dass die Spammer leicht 5 - 6 % Gewinn in wenigen Tagen machen. Dieser Spam braucht keine Website mehr, nur noch naive Menschen, die glauben, hier schnell Geld machen zu können (klappt aber nicht, bevor die Opfer wieder verkaufen können, haben die Spamer längt abgesahnt und die Aktie ist wieder nahe Null.

Ergebnis all dieser Gegenmaßnahmen gegen die Spam-Filter ist, dass wir mehr denn je in Spam versinken und dass auch keine Lösungen am Horizont sind. Nicht einmal dann, wenn die derzeit noch konkurrierenden Vorschläge für eine bessere Authentifizierung von E-Mails implementiert würden. Dies würde das Fälschen von E-Mail-Absendern erschweren. Aber so lange eine unbegrenzte Zahl von Zombie-PCs in den Botnetzen zur Verfügung steht, ist es für die Spammer nicht notwendig, E-Mail-Absender zu fälschen. (Und man spricht von 250 000 neuen Zombie-PCs pro Tag)

Ein großer Fortschritt wäre eine Software ohne Schwachstellen, die es verhindert, dass PCs infiziert und zu Zombies werden, aber davon sind wir leider sehr sehr weit weg. Ebenfalls hilfreich wäre, wenn reputable Firmen z.B. Banken oder Pharmahändler aufhören würden, den Spammern gutes Geld für Interessenten zu zahlen, die über Spamming gewonnen wurden. Und gierige und/oder naive Mitbürger müssten aufhören, auf solche Tricks wie die "pumb and dump" Aktientricks oder die sog. Nigeria-E-Mails hereinzufallen. Aber zu Weihnachten dürfen wir uns ja alle was wünschen. ;-)

 


30.11.2006 - Trojaner werden immer komplexer

Trojaner werden immer komplexer. Der hier beschriebene SpamThru enthält Kaspersky Anti-Virus und kann sich damit auf dem System gegen Mitbewerber schützen. Das Programm kommuniziert mit einem zentralen "Controller", aber auch mit bsi zu 512 Peers, d.h. anderen infizierten Systemen. Es enthält eine Liste von Proxy-Adressen, so dass die Sperrung einzelner Systeme (z.B. das Control-System) umgangen werden kann. Die derzeit 73000 Mitglieder des Botnetzes sind theoretisch in der Lage, 1 Milliarde Spam-E-Mails pro Tag zu erzeugen, (hauptsächlich Aktienempehlungen, pump-and-dump-stock). Das Ernten von neuen Adressen auf den Festplatten der infizierten Rechner ist auch Teil der Funktionalität.

 


30.11.2006 - DropMyRights für alle, die als Admin surfen

Das Problem höre ich immer wieder: Ich empfehle den Kunden, dass die Anwender keine Admin-Rechte haben sollten, die Kundenantwort ist, das sei nötig weil ..........
Jetzt hat jemand eine recht einfache Lösung dafür entwickelt: DropMyRights

Um es zu nutzen, muss das exe-Programm auf dem Rechner installiert sein. Dann erzeugt man einen Shortcut zu DropMyRights mit der Anwendung als Parameter, z.B.

C:\Programme\dropmyrights.exe "c:\program files\internet explorer\iexplore.exe"

"It does this by taking the current user's token, removing various privileges and SIDs from the token, and then using that token to start another process, such as Internet Explorer or Outlook. This tool works just as well with Mozilla's Firefox, Eudora, or Lotus Notes e-mail."

Das bedeutet, dass ein so aufgerufener Webbrowser nichts mehr heimlich installieren kann, weil er z.B. nicht mehr auf die Registry zugreifen kann. Beispiele mit fertigen Shortcut-Icons machen die Nutzung noch einfacher.

 


25.11.2006 - Der SANS Jahresbericht

Das SANS Institute hat mal wieder seine Top20-Liste veröffentlicht. Interessanter und wichtiger als die Frage, ob Linux und Apple bei der Zahl der Verwundbarkeiten mithalten kann, finde ich die neuen (und alten Trends).

Die Angreifer haben die Angriffe auf Betriebssystemebene ergänzt durch noch niedriger hängende Früchte: weit verbreitete Anwendungen aller Hersteller (z.B. Flash, WinZip, Shockwave, QuickTime, WinAmp, Opera Browser, Adobe PDF Reader, ICQ Messenger, RealPlayer, OpenOffice und Shockwave Plug-in), auf die MS Office Produkte (z.B. Angriffe über die in Unternehmen so gern weiterverbreiteten lustigen Powerpoint-Dateien), über Web-Anwendungen, die oft offen wie ein Scheunentor sind und jetzt auch über VOIP. Der Vorteil für die Anwender ist, dass sie damit den in vielen Unternehmen immer besser werdenden Patch-Prozessen ein Schnippchen schlagen. In welchen Unternehmen werden denn auch diese Anwendungen systematisch aktualisiert?

Der andere Trend, der sich ständig verstärkt geht zu targeted Attacks (siehe ). Das sind speziell für Zwecke der Industriespionage entwickelte Würmer und Spyware (die gegen alle gängigen Antiviren-Produkte bereits getestet sind) und die gezielt im Zielunternehmen verteilt werden (z.B. über E-Mails die aussehen wie Spam und auf spezielle infizierte Webseiten hinweisen oder notfalls sogar über im Unternehmen "verlorene" USB-Sticks). Solche Schadsoftware wird von den Antivirenprodukten nicht erkannt, weil sie gezielt nur in wenigen Unternehmen verteilt wird und auf diese Weise den Antiviren-Firmen gar nicht bekannt wird.

Und hier ein schöner Schlusssatz: "Your first stop should be the CEO's office," Paller said. "Show them the information and tell them you don't have the capacity to beat this. Ask them to get together with other CEOs and really put pressure on the industry to bake security into their products."

Zum letzteren Thema noch etwas vom US Department of Homeland Security (DHS). Dort wurde eine Studie zum Thema Sicherheit und höheres Management in Auftrag gegeben. Die Ergebnisse sind nicht ganz überraschend, bestätigen über recht gut den obigen Rat:

"Security directors appear to be politically isolated within their companies," Cavanagh says. Security pros often do not talk to business managers or other departments, he notes, so they don't have many allies in getting their message across to upper management. A key problem is most security managers don't know how to map their priorities to business objectives, and most top managers don't understand how security fits into their business objectives."

Dies ist die Aussage, die ich auch oft gegenüber Sicherheitsbeauftragten mache: Suchen Sie sich Verbündete im Unternehmen. Die können im Risk Management sitzen, oder in der Revision oder in der Safety-Abteilung. Und auch der Produktions- oder der Logistikchef ist ein potentieller Verbündeter. Sie sind verantwortlich für das reibungslose Funktionieren ihres Bereiches und dazu kann ein gutes Sicherheitskonzept beitragen. Ein Problem bei der Suche nach Verbündeten kann die fehlende gemeinsame Sprache sein: Evtl. hilft es, wenn der Sicherheitsbeauftragte sich ein paar zusätzliche BWL-Kenntnisse aneignet, damit er besser verstehen kann, was die Spezialisten aus den anderen Abteilungen ihm eigentlich sagen wollen, wenn er sie fragt, wo ihnen denn der Schuh drückt.

 


08.11.2006 - Botnetz-Betreiber legen ganzes Land lahm

SearchSecurity.com berichtet über einen Report von McAfee der darlegt, wie Botnetz-Betreiber mittlerweile so große Netze unter Kontrolle haben, dass sie die Netzinfrastruktur eines ganzen Landes (in Mittelamerika, aber immerhin) lahm legen können.

Ken Baylor, McAfee's director of risk management, said a global telecommunications company with a business unit in Central America experienced multiple network outages -- some lasting up to six hours -- that blocked Internet connectivity throughout the country and rendered automated teller machines useless. McAfee determined that botnets had taken down the infrastructure by launching distributed denial-of-service attacks. The telecom company deployed McAfee's IntruShield Network Intrusion Prevention System (IPS) to investigate what was causing the outages and prevent them in the future.

McAfee studied bot activity against the telecom company from April to September and found more than 6 million bot attacks per week in the country, which Baylor declined to name.

"All this bot activity created so much noise on the network that it knocked down Internet access across the whole country," Baylor said. "It also cut off the ability to use VoIP and withdraw money from ATM machines. This would last six hours at a time, two or three times a week."

Cyberwar: (Krieg im Cyberspace) dieses Schlagwort bezeichnet die Möglichkeit, durch Angriffe auf staatliche oder private Computernetze und IT-Systeme Druck auf Staaten auszuüben, z.B. durch dDoS. Solche Angriffe sind von kriminellen Aktivitäten oder Hactivism im Internet kaum zu unterscheiden, könnten schlimmstenfalls zu einer Eskalation mit konventioneller Kriegsführung münden.

Hactivism: Kunstwort aus Hacker und Aktivismus. Nutzung von Angriffen im Internet auf Netze oder Systeme durch Private für politische Zwecke.

Der Link zum Report selbst ist im Artikel zu finden.

Aktualisierung Mai 2007: langandauernder Angriff auf Estland. Nach einer in Russland ungeliebten Entscheidung durch die estnische Regierung wurde die estnische Internet-Infrastruktur wochenlang fast vollständig blockiert. Die NY Times berichtete ausführlich über technische Details, z.B. Absprache über die zu blockierenden IP-Adressen auf russisch-sprachigen Websites, das zusätzliche, befristete Anmieten von weiteren Botnetz (zum Teil sollen bis 1 Million Bots beteiligt gewesen sein). Die NATO ist derzeit noch der Ansicht, dass so etwas keinen Angriff darstellt, der den Beistandspakt auslöst. Die finanziellen Schäden in Estland waren jedoch erheblich.

Aktualisierung Juni 2007: Mittlerweile geht auch die estnische Regierung nicht mehr von einem Angriff aus Moskau aus, wahrscheinlicher sind sog. Hactivists, die ihre politische Meinung mittels Botnets kund tun.

Noch mal aktualisiert - Aus dem ENISA Report (pdf):The other, entirely European ‘hacking’ event of note is the April/May 2007 denial-of service attack on Estonia. This event created widespread alarm, claims of involvement by the Russian Government, and claims that the first ‘cyberwar’ was taking place. However, careful measurements showed that the attacks were only of the order of 90 Mbit/s which is really quite small (Japanese consumers can purchase 100 Mbit/s links for approximately USD 50 per month). The real problem was that Estonia had a fairly low-bandwidth infrastructure, and a lack of experience in dealing with DDoS attacks, so significant problems arose from a relatively small attack. ...... – and since then a 20-year-old ethnic Russian has been convicted of the attacks and fined 17,500 kroons (EUR 1,100). Estonian officials now admit they have no other suspects.

 


08.10.2006 - Es tut sich was bei den Wahlcomputern

In den USA gibt es nach den Problemen bei den letzten Wahlen einen starken Druck aus Washington, Wahlcomputer zu benutzen. Die Firma Diebold ist dabei mit einem ziemlich hohen Marktanteil führend. Experten bekritteln aber schon seit 2003, dass die Möglichkeiten der Manipulation dieser Maschinen extrem hoch vielfältig sind. Die Implementierung der Sicherheitsfeatures ist z.B. verglichen mit einer X-Box, ziemlich schlampig, und auch die lässt sich knacken (pdf).

Bisher waren die Analysen jedoch immer theoretisch, d.h. es wurde gezeigt, dass wegen der gegebenen Struktur eine Reihe von Angriffen möglich ist. Darauf hat Diebold jeweils reagiert, indem sie erklärt haben, (a) dass dies eine veraltete Version sei und (b) die Angriffe gar nicht funktionieren würden. Seit Sept. 2006 ist es nicht mehr ganz so einfach. Die Universität von Princeton hat ernst gemacht, sich ein solches Gerät besorgt, die die entsprechende Software geschrieben und führt jetzt in einem Papier und auch in einem Video vor, wie innerhalb von wenigen Minuten die Maschine dazu gebracht werden kann, ein vorgegebenes Wahlergebnis zu produzieren, egal was die Wähler eingeben und dabei noch alle Logfiles so verändert, dass am Ende die Wählerzahl stimmt und die Veränderungen keine Spuren hinterlassen. Und das Problem dieser Maschinen ist, dass es keinerlei papierene Kontrollmöglichkeiten gibt, es wird nichts ausgedruckt, was man später im Zweifelsfall zur Kontrolle nachzählen könnte (genau dies wird in anderen Ländern für solche Maschinen gefordert).

Ergebnis der Veröffentlichung ist, dass eine ganze Reihe von lokalen Wahlbehörden ziemlich kalte Füße bekommen und erwägen, wieder auf gedruckte Wahlzettel umzusteigen. Es zeigt sich wieder mal, dass ein Video erheblich mehr bewirken kann, als eine noch so gute theoretische Studie.

Ein paar grundsätzliche Überlegungen zur Sicherheit von Wahlcomputern: Wie auch auch schon beim Thema Phishing ausgeführt habe, liegt die Sicherheit oft darin, dass ein zweites Medium genutzt wird (beim Phishing die Zusendung einer mTAN über Handy und SMS). Das zweite Medium bei der Wahl ist ein anonymes Blatt Papier, auf der die Wahlentscheidung gedruckt wird und das in eine verschlossene Urne fällt. Diese kann in Zweifelsfällen geöffnet werden und die Papiere nachgezählt.

Aktualisierung 11. Okt. 2006: ein Bericht in heise.de berichtet von einer ähnlichen Aktion mit niederländischen Wahlcomputern, die auch in Deutschland eingesetzt werden. Links auf die Details finden sich im Artikel.

Aktualisierung 17. Nov. 2006: Bruce Schneier fast die vielen negativen Berichte zu den US-Wahlen zusammen. Das muss ein ziemliches Desaster gewesen sein, viele verlorene Stimmen. Es geht so weit, dass eine Bürgemeisterkandidate exakt Null Stimmen bekommen hat, obwohl er sicher ist, dass zumindest er selbst für sich gestimmt hat.

 


04.10.2006 - Naiv bei HP ?!?!

Also, da habe ich schon gestaunt. Die NY Times berichtet: "Mr. Hurd (chief executive und jetzt auch Chairman von H.-P.) did recall hearing at a meeting on July 22, 2005, that phone record information was obtained off the Web. He told the lawyers that he “remembered thinking that must be a Web site with such information.”

Und Dunn, die jetzt zurückgetretene HP chairwoman, trat in einem Congressional Hearing auf und wird zitiert: "I understood that you could call up and get phone records -- and it is a common investigative technique," Dunn also said. As she continued to repeat her innocent assumption during her nearly five hours of testimony, Oregon Republican Greg Walden finally lost his patience. With a note of puzzlement Walden asked, "You thought that I could call up and get your phone records?" Dunn responded, "I thought you could."

Ich finde das schon leicht erschütternd, wenn diese hochrangingen Leute glauben, ihre (und alle unsere) Einzelgesprächsnachweise wären im Internet frei verfügbar. Warum dürfen so naive Menschen so große Firmen führen? Oder muss man so ein schlichtes Gemüt haben, um an die Spitze zu kommen?

Hier der Überblick über die Darsteller in der H.-P. Soap Opera. Und das ist das Unternehmen, das 2006 noch bei Business Ethics Magazine's "100 best corporate citizens" auf Platz 2 war.

 


18.09.2006 - Ein interner DoS-Angriff

Jonathan Yarden weißt in techrepublic.com auf eine Schwachstelle hin, die ich bisher bei meinen Audits auch übersehen hatte: die Domain-Registrierungen einer Firma. Ein Mitarbeiter, der wegen der Unsicherheit des Netzwerks für das er verantwortlich war, entlassen wurde hat sich gerächt, indem er die Domain-Name-Einträge des Unternehmens abgeändert hatte. Ergebnis war, dass die Firma isoliert war, kein Mailverkehr mehr, der Website nicht erreichbar, etc.

Und wie mit allen bürokratischen Vorgängen war es nicht einfach, das wieder zurück zu ändern. Da nur der gefeurte Mitarbeiter Benutzername und Passwort kannte, konnte er den Eintrag gründlich verändern, aber ohne diese Kenntnisse kann die Firma den Kontrolle nur sehr mühsam zurückgewinnen.

Was lernen wir daraus? Es sollten immer mindestens 2 Mitarbeiter Zugriff auf die Domain-Names haben und beim Ausscheiden muss dieser Zugriff genauso gesperrt werden wie der Zugriff zu allen Geräten, für die der Mitarbeiter Zugriff hatte.

 


14.09.2006 - Risikoabschätzung und Sicherheitstheater

Bruce Schneier hat den Begriff "Security Theatre" geprägt. Damit meint er den augenblicklichen Trend, durch immer stärkere Beschwerlichkeiten, z.B. beim Fliegen, der Bevölkerung das Gefühl vorzutäuschen, die Regierung würde was für die Sicherheit tun. Gleichzeitig betont er, dass die Schutzmechanismen sich immer nur gegen den letzten Angriffsversuch richten. Erst wurde nach Metall gesucht, dann mussten die Schuhe untersucht werden, jetzt sind die Flüssigkeiten dran (auch wenn Chemiker berichten, dass das Herstellen von flüssigem Sprengstoff im Flugzeug kaum durchführbar ist, stundenlanges extrem vorsichtiges Einträufeln in einen Behälter, der mit Trockeneis von außen gekühlt werden muss, unter Entwicklung von Dämpfen).

Die NY Times berichtet am 28. August von Interviews mit britischen Sicherheitskräften. Diese sagen, dass die Verdächtigen seit einem Jahr unter ständiger Polizeiaufsicht standen, noch keine Pässe oder Flugtickets hatten, noch keinen Sprengstoff produziert haben (kein Wunder, siehe oben) und dass auch noch Attentäter gesucht wurden. D.h. die "Terroristen" hatten einfach nur einen Plan, der nicht mal geklappt hätte.

salon.com (durch die Werbung klicken für einen Day-Pass) berichtet von einem Vorfall am 12. August vom JFK Flughafen in New York. Raed Jarrar, ein Architekt und Direktor der Menschrechtsgruppe Global Exchange trägt ein T-Shirt mit arabischen Schriftzeichen. Vor dem Einsteigen beschweren sich die Mitreisenden bei den Sicherheitskräften. Die Lösung: Er wird überredet, ein anderes T-Shirt anzuziehen und somit ist die Sicherheit wieder hergestellt.

absurdes Sicherheitstheater - Graphik der NY Times

Garrison Keillor denkt das ganze in salon.com noch einen Schritt weiter: was wird passieren, wenn der nächste Terrorversuch darin besteht, dass jemand Sprengstoff in Körperöffnungen an Bord schmuggeln will - die dann erfolgenden Sicherheitsmaßnahmen wären wohl das Ende des öffentlichen Luftverkehrs. Bruce Schneier sagt es mit einem Witz: “It’s a good thing the shoe bomber wasn’t an underwear bomber”, sonst müssten wir nicht die Schuhe ausziehen, sondern die Unterwäsche.

Dabei haben die Terroristen so viele Möglichkeiten anzugreifen, wie die Angriffe in Europa auf andere öffentliche Einrichtungen wie U-Bahnen, Busse und Eisenbahnen zeigen. Und natürlich eignen sich auch Kino- und Einkaufszentren.

Und selbst in Israel ist das Risiko, bei einem ganz normalen Unfall im Straßenverkehr zu sterben, immer noch 4x so hoch wie durch eine Bombe und für Europa und die USA liegt das Verkehrsrisiko viele Zehnerpotenzen über dem Terrorrisiko.

Ähnliches gilt für das Handyrisiko. Viele Menschen machen sich Sorgen über Strahlungsschäden. Evtl. gibt es sogar minimale Effekte durch die Strahlung, die nach Schätzungen einige wenige Gehirntumore pro Jahr zusätzlich auslösen könnten. Dagegen stehen aber Tausende von Verkehrstoten, die durch die Bedienung des Handys während der Fahrt verursacht werden. JA, das Handy ist ein gefährliches Gerät, aber (nach jetzigem Kenntnisstand der Wissenschaft) nur im Auto! [Hier ein Link auf einen sehr guten Überblicksartikel zum 2011 Forschungsstand Handystrahlung und Krebs in der NY Times.]

Hier die Kalkulationen der Risikowahrscheinlichkeiten auf reason.com:

.... in 2003 about 45,000 Americans died in motor accidents out of population of 291,000,000. So, according to the National Safety Council this means your one-year odds of dying in a car accident is about one out of 6500. Therefore your lifetime probability (6500 ÷ 78 years life expectancy) of dying in a motor accident are about one in 83.

What about your chances of dying in an airplane crash? A one-year risk of one in 400,000 and one in 5,000 lifetime risk.

What about walking across the street? A one-year risk of one in 48,500 and a lifetime risk of one in 625. . . . .

. . . .what about the risk of dying in a terrorist attack? Michael Rothschild, a former business professor at the University of Wisconsin, worked out a couple of plausible scenarios. Rothschild estimated that if terrorists hijacked and crashed one of America's 18,000 commercial flights per month that your chance of being on the crashed plane would be one in 540,000.

Ähnliche Wahrscheinlichkeitsanalysen zum Risiko des Terrorismus finden sich hier und Statistiken zu tödlichen Krankheiten an dieser Stelle. Das Fazit dort: Das viele Geld, das in Anti-Terrorismus-Maßnahmen gesteckt wird könnte viel mehr Menschenleben retten, wenn es im Bereich der Gesundheit bzw. Unfallvorsorge investiert würde.

Zum Thema Terrorismus (pdf, 2 MB !!) gibt es auch eine gute Broschüre von der Bundeszentrale für politische Bildung in D.


Bruce Schneier schreibt über reales Risiko und wahrgenommenes Risiko. Und noch ein Artikel dazu in Time: How Americans Are Living Dangerously.

Hier die kurze Zusammenfassung. Alle Menschen fürchten ...

Noch ein paar interessante Gedanken von Bruce Schneier in seinem Newsletter 06/2007: "Wenn Sie von einer Gefahr in den Nachrichten hören, können Sie sich entspannen. Wenn etwas so selten passiert, dass es dort erscheint, ist es keine wirkliche Bedrohung. Fürchten Sie sich vor den Bedrohungen, über die nicht berichtet wird: z.B. Autounfälle und Gewalt in der Familie." Und: Hunde, Schlangen, Bienen, Schweine, jede dieser Tierartarten verursacht mehr Tote in den USA, als Haie. Und die Hunde liegen an der Spitze. Aber Haie sind viel aufregenderes Thema.

Aktualisierung April 2007:
Aus einem Artikel einer US-Fernsehgesellschaft über die Sicherheitstests auf amerikanischen Flughäfen:

Aktualisierung Aug. 2007:
Bruce Schneier war zu einem Gespräch mit Kip Hawley, dem Chef der TSA eingeladen. Das Thema "Sicherheitstheater" wurde zwischen den beiden auch diskutiert. Sehr interessante Hintergründe.

Aktualisierung Dez. 2008:
Hier meine Besprechung einer Studie zur Effektivität von Maßnahmen für die Flugsicherheit (eine sehr gute Einführung in Kosten-Nutzen Analyse von Risikoabwehr).

 


28.08.2006 - Risiko des Terrorismus

Bruce Schneier hat kürzlich auf einen interessanten Artikel von John Mueller (pdf) hingewiesen, wo er (mal wieder) vorrechnet, wie extrem das Risiko ist, dass ein Amerikaner Opfer des Terrorismus wird (und das Gleiche gilt für Europäer).

Der Artikel bringt so Beispiele wie:

Ein interessanter Artikel zur Psychologie der Risikofehleinschätzung in psychology today (am Ende ist ein kurzer Test über Ihren Realitätssinn, was Bedrohungen betrifft. Da findet sich z.B. dass in 2001, weil die US-Bürger Angst vor dem Fliegen hatten, deutlich mehr Reisen im Auto unternommen sind, was laut Unfallstatistiken 1000 Menschen das Leben gekostet hat.

Muellers Resumé: das eigentliche Problem (und damit der eigentliche Erfolg des Terroristen) ist die panische Reaktion der Regierung, der Medien und dann auch der Bevölkerung. Die Terroristen erreichen, dass große Summen für den Schutz gegen eine mögliche Wiederholung der vorigen Angriffe ausgegeben werden, statt für generell sinnvolle Sachen wie eine Verbesserung des Gesundheitswesens, was im Falle eines Terrorangriffs, aber auch sonst gut wäre. Nicht die Terroristen bedrohen unseren Lebensstil, sondern unsere Reaktionen darauf.

Aktualisierung Sept. 2007: Gerade gelesen: die NY Times (Sept.7) berichtet, dass eine Studie in D. ergeben hätte, dass 70% der Deutschen erwartet in den 10 Jahren persönlich vom internationalen Terrorismus betroffen zu sein. Das ist Größenordnungen von der Realität entfernt. Wo solche Ergebnisse herkommen, erklärt diese Studie.

Hier noch ein guter Artikel der IT-Manager Zeitschrift CIO zum Thema Hilft Data Mining im Kampf gegen Terror?. Und viel mehr zu der Problematik von Risikoabschätzungen direkt über diesem Beitrag.

Eine Fortsetzung der Diskussion zur Psychologie der Risikoabschätzung findet sich an anderer Stelle auf dieser Website.

 


29.08.2006 - Fuzzing - Wer findet eigentlich die vielen Schwachstellen?

Ist es nicht verblüffend, wie die "böse Seite" ständig neue Schwachstellen in den Softwareprodukten findet und zwar die "gute Seite" sie selbst gefunden hat und "fixen" kann. Dafür gibt es aber ein paar einfache Gründe. Einer der Gründe heißt Fuzzing. Dabei geht es darum, dass die zu testenden Programme mit Zufalls-Input versorgt werden. Wenn sie dabei "abstürzen", d.h. auf einen Fehler laufen, so ist dies ein Stelle, wo der Programmierer vermutlich schlampig gearbeitet hat und die Korrektheit der Eingabedaten nicht überprüft hat. Solche Stellen können dann von Profi-Hackern für Angriffe ausgenutzt werden. Heise.de schreibt, dass solche Techniken zwar heute sehr professionell von den Angreifern genutzt werden, aber sich diese Techniken bei der Quality Assurance (QA) der Software-Tester noch nicht so weit verbreitet haben. - Schade eigentlich. :-(

Ein anderer Grund ist natürlich die natürliche Asymmetrie von Angriff und Verteidigung:

Und dann gibt es noch einen mathematischen Vorteil der "bösen Seite". Angenommen, ein System hat 1 000 000 Bugs (Programmierfehler, die potentielle Schwachstellen darstellen). Diese Zahl ist für ein großes Programm, z.B. MS Word, durchaus realistisch. Die Verteidiger haben viele Ressourcen, finden 100 000 der Schwachstellen im 1. Jahr. Der Angreifer hat wenig Ressourcen, er findet nur einen Bug. Die Chance jedoch, dass dieser Bug noch nicht gefunden (und die Schwachstelle geschlossen wurde), ist aber 90% - einfach auf Grund der Statistik. (Die gleiche Logik gilt für kleinere Programme mit (nur) 10 000 Bugs, von denen 1000 von der QA gefunden und behoben werden - immerhin 5 pro Arbeitstag). Mehr dazu bei Ross Anderson, Why Information Security is Hard (pdf).

Hier gibt es Artikel und Hintergrund zu Fuzzing. Und wer es probieren möchte, das Tool JBroFuzz ist von der OWASP Organisation kostenlos erhältlich.

 


09.08.2006 - Privacy-Ärger für AOL

AOL ist eine ziemlich dumme Sache passiert. Sie haben, um Wissenschaftlern zu helfen, auf einer speziellen Website 20 Millionen Suchanfragen von 657 000 Kunden zur Verfügung gestellt, und zwar in anonymer Form. Die Anfragen sind nach Kunden geordnet, aber IP-Adresse und Name des Kunden wurden durch Nummern ersetzt. Diese Daten sind mittlerweile ausgewertet worden und sie bieten einen guten Überblick, was einzelne Personen so alles gesucht haben. Die erste der Personen ist mittlerweile auch bereits identifiziert und von der Presse angesprochen worden. AOL hat zwar die Website gesperrt, die Liste kursiert jetzt im Internet und es gibt eine Website, wo jedermann in den Daten stöbern kann.

Ich lerne daraus, dass eine wirkliche Anonymisierung von Daten sehr sehr schwer ist.

AOL ist dies alles sehr peinlich. Der Sprecher sagte, dass er dass nicht so sehr als Verletzung der Privatsphäre sehen, sondern als exterme Dummheit, die gegen alle Konzernregeln verstößt. Siehe zum Thema auch EPIC.

Update: 11.8.: Mehr und mehr Details aus den immer noch verfügbaren Daten werden veröffentlicht. Das geht bis zu ziemlich erschreckenden Anfragen wie "how to kill your wife". Muss die Polizei jetzt die (nicht-anonymisierten) Daten zu solchen Suchanfragen von AOL anfordern um einen möglicherweise geplanten Mord zu verhindern?

Zur generellen Problematik Privatsphäre und Suchmaschinen siehe auch in einem früheren Eintrag zu Google. Und hier mehr zum Thema Data Mining.

Hier eine Auswertung der AOL Daten.

 


26.07.2006 - Erster Phishing-Trojaner in Österreich

Hier eine aktuelle Ergänzung zu meinem Vortrag bei der iisa.at: "Die Zukunft des Phishings". Die Zukunft ist soeben auch in Österreich angebrochen, der erste Man-in-the-Middle auf dem Rechner selbst ist nachgewiesen worden.

Die Details stehen bei ARGE Daten, ich habe auch Screenshots der Angriffe. Was mich zuerst verblüfft hat ist, dass die Zertifikate sehr sehr echt aussehen. Der Grund ist: sie sind echt. Die betroffenen Websites verwenden angeblich Frames und der Trojaner tauscht die Frames aus, das Zertifkat bleibt aber mit dem Frameset erhalten, aber einzelne Frames laden von einer Phishingsite.

Der Trojaner ist gut gemacht, er kann mit Raiffeisen, Erste/Sparkassen und Bawag/PSK arbeiten. Die erste Lösung der Banken muss sein, mit der Nutzung von Frames aufzuhören (was nicht ganz einfach ist, die ganze Struktur muss umgebaut werden). Aber selbst dann gilt das, was unter Man-in-the-Middle erkläre: gegen einen solchen Trojaner auf dem Rechner selbst, der Inhalte austauscht, ist auch die Smartcard und der iTAN nicht ausreichend, nur die Rückübertragung von Betrag und Kontonummer in einem unabhängigen Kanal (das Handy bietet sich an), zusammen mit einer mTAN hilft dagegen.

 


16.07.2006 - Kopierschutz-Eskapaden ohne Ende

Der Standard berichtet über eine Verwarnung der deutschen Verbraucherschützer an Apple wegen iTunes. In deren Lizenzbedingungen stehe nämlich

Einige dieser Einschränkungen verstoßen auch in Österreich gegen die Gesetze, z.B. ist die private unentgeltliche Weitergabe ohne Problem gestattet, aber durch den Kopierschutz umständlich. Das funktioniert nämlich nur über Verletzung des 3. Punktes: der Käufer muss eine CD brennen und diese dann wieder nach MP3 umwandeln (rippen). Diese CD und diese MP3s können dann auf jedem Gerät abgespielt werden.

In einer Glosse im Standard zu diesem Thema wird erwähnt, dass Apple-Chef Steve Jobs im Jahr 2002, ein Jahr bevor Apple seinen iTunes Music Store eröffnete noch erklärt hat "If you legally acquire music, you need to have the right to manage it on all other devices that you own". Aber dann musste er der Musikindustrie gegenüber Zugeständnisse machen und verstößt seine Firma gegen seine eigenen Grundsätze. Hier die technischen Details des Apple Kopierschutzes.

Hier ein früherer Beitrag mit weiterführenden Links zum leidigen Thema Kopierschutz und hier zum Kopierschutz unter Windows Vista.

 



Philipp Schaumann, http://sicherheitskultur.at/

Home

 

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.