Home      Themenübersicht / Sitemap      Webmaster      
Newsletter Abo

 

2. Newsletter 12/2006 - sicherheitskultur.at

von Philipp Schaumann

Zum Archiv-Überblick

 


Hier die Meldungen:

1. VISTA ist da
-------------

(gelöscht, weil obsolet)


2. Die Spammer scheinen zu gewinnen
----------------------------------------
Die NY Times berichtet, was wir wohl alle in der letzten Zeit gemerkt haben: 
Bill Gates hatte Unrecht, als er vor 3 Jahren versprochen hatte, dass in 
2006 sich das Spam-Problem erledigt haben würde. Im Gegenteil, die Spammer
haben Techniken entwickelt, gegen die es derzeit nur wenig Schutz gibt.
Die Details in 
http://sicherheitskultur.at/notizen_2_06.htm#spamerfolg


3. Ziemlich schlechte Noten für Banken in Ö
------------------------------------
Die ARGE Daten hat im Auftrag des österreichischen Sozialministeriums 
eine Studie zum Stand des Internetbankings in Österreich erstellt. Leider 
gab es dabei ziemlich schlechte Noten, bis hin zu fehlerhaften und 
verwundbaren Implementierungen der Websites.
Die Details in 
http://sicherheitskultur.at/notizen_2_06.htm#noten


4. Aus dem Social Engineering Lehrbuch
-----------------------------------------------
US-Polizeiwagen haben wohl eine fest installierte Kamera am 
Armaturenbrett. Ich halte das für eine gute Sache. Dabei können
dann so interessante Filme wie der folgende entstehen.

Smooth-talking escapee evades police

The dashboard camera of Carl Bordelon, a police officer for the town of 
Ball, La., captured (below) his questioning of Richard Lee McNair, 47. 
Earlier that same day, McNair had escaped from a 
federal penitentiary at nearby Pollock, La., reportedly hiding in a 
prison warehouse and sneaking out in a mail van. Bordelon, 
on the lookout, stopped McNair when he saw him running along 
some railroad tracks. What follows is a chillingly fascinating 
performance from McNair, who manages to remain fairly smooth 
and matter-of-fact while tripping up Bordelon. The officer 
notices that the guy matches the description of McNair -- who 
was serving a life sentence for killing a trucker at a grain elevator 
in Minot, N.D., in 1987 -- observes that he looked like he'd "been 
through a briar patch" and had to wonder why he would 
choose appalling heat (at least according to that temperature 
gauge in the police car) to go running, without any identification, 
on a dubious 12-mile run. But he doesn't notice when McNair 
changes his story -- he gives two different names (listen for it) -- 
and eventually, Bordelon bids him farewell, saying: "Be careful, 
buddy." McNair remains on the loose. (Note: Video is more 
than eight minutes long but worth it.)

http://philipps-welt.info/Fotos/social_engineering_mcnair.mov
(Achtung 34 MB groß) (am besten über die rechte Maus 
abspeichern und dann lokal betrachten)


Meine aktuellen Überlegungen zum Thema Social Engineering 
gehen dahin, dass der traditionelle Weg, nämlich strengere und 
konsequentere Verbote zum Weitergeben von Informationen 
zu erlassen, zu nichts führt. Viele der Verhaltensweisen, die es 
Angreifern ermöglichen, über Social Engineering zu spionieren, 
z.B. Kundenfreundlichkeit, ist eigentlich sehr erwünscht. Wir 
lassen die Mitarbeiter mit Kundenkontakt mit dem Konflikt allein, 
dass da ein Kunde ist, der um Hilfe bittet, gleichzeitig aber sich 
nicht wirklich authentisieren kann. Irgendwie soll der 
Mitarbeiter vor Ort diesen Konflikt auflösen, aber er oder sie ist 
damit natürlich überfordert. Hier setzt meine Methode an:

Was kann das Unternehmen tun, um dem Mitarbeiter zu helfen, 
kundenfreundlich und flexibel zu sein ohne und trotzdem die 
wohlüberlegten Sicherheitsregeln einzuhalten? Meine Antwort: 
die Regeln so verbessern, dass der Konflikt nicht auf dem 
Rücken der Mitarbetier ausgetragen wird. Z.B. durch alternative 
Authentisierungsmöglichkeiten (die optimalerweise der Kunde 
selbst vorher initiiert hat) und ähnliche Aktionen. Mehr zu dieser 
Problemstellung in 
http://sicherheitskultur.at/pdfs/social_engineering.pdf


5. Wie gut oder schlecht sind eigentlich die Passworte der Benutzer?
-----------------------------------------------------------------------------------
Bei 2 Social Networking Websites sind die Passworte der Benutzer 
in die Öffentlichkeit gelangt. Das geschah nicht über einen Passwort-
Cracker, sondern über einen Phishing-Angriff.

Die Analyse zeigt für mich (und Bruce Schneier), dass die Benutzer 
durchaus lernfähig sind und Ansätze in die richtige Richtung zeigen. 
So werden bei MySpace meistens Buchstaben und Zahlen kombiniert, 
auch wenn in fast allen Fällen die Zahl eine 1 ist. 

Mehr Details und die Links auf
http://sicherheitskultur.at/Passworte.htm


Und das Ende des Internets
---------------------------------
Und für alle, die sich schon mal gefragt haben, wo das Internet eigentlich 
zu Ende ist: Hier ist die Stelle
http://www.xcn.de/
---------------

Einige Leser hatten gefragt, ob sie auch Beiträge anbieten können - 
JA, sehr gern sogar. Die sicherheitskultur.at und dieser Newsletter ist als 
Plattform gedacht, Gastbeiträge sind herzlich 
willkommen.

 


 

Philipp Schaumann, http://sicherheitskultur.at/

Zurück zum Archiv-Überblick

Home

 


Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.