| Home Themenübersicht / Sitemap Webmaster |
von Philipp Schaumann
Hier die Meldungen: 1. VISTA ist da ------------- (gelöscht, weil obsolet) 2. Die Spammer scheinen zu gewinnen ---------------------------------------- Die NY Times berichtet, was wir wohl alle in der letzten Zeit gemerkt haben: Bill Gates hatte Unrecht, als er vor 3 Jahren versprochen hatte, dass in 2006 sich das Spam-Problem erledigt haben würde. Im Gegenteil, die Spammer haben Techniken entwickelt, gegen die es derzeit nur wenig Schutz gibt. Die Details in http://sicherheitskultur.at/notizen_2_06.htm#spamerfolg 3. Ziemlich schlechte Noten für Banken in Ö ------------------------------------ Die ARGE Daten hat im Auftrag des österreichischen Sozialministeriums eine Studie zum Stand des Internetbankings in Österreich erstellt. Leider gab es dabei ziemlich schlechte Noten, bis hin zu fehlerhaften und verwundbaren Implementierungen der Websites. Die Details in http://sicherheitskultur.at/notizen_2_06.htm#noten 4. Aus dem Social Engineering Lehrbuch ----------------------------------------------- US-Polizeiwagen haben wohl eine fest installierte Kamera am Armaturenbrett. Ich halte das für eine gute Sache. Dabei können dann so interessante Filme wie der folgende entstehen. Smooth-talking escapee evades police The dashboard camera of Carl Bordelon, a police officer for the town of Ball, La., captured (below) his questioning of Richard Lee McNair, 47. Earlier that same day, McNair had escaped from a federal penitentiary at nearby Pollock, La., reportedly hiding in a prison warehouse and sneaking out in a mail van. Bordelon, on the lookout, stopped McNair when he saw him running along some railroad tracks. What follows is a chillingly fascinating performance from McNair, who manages to remain fairly smooth and matter-of-fact while tripping up Bordelon. The officer notices that the guy matches the description of McNair -- who was serving a life sentence for killing a trucker at a grain elevator in Minot, N.D., in 1987 -- observes that he looked like he'd "been through a briar patch" and had to wonder why he would choose appalling heat (at least according to that temperature gauge in the police car) to go running, without any identification, on a dubious 12-mile run. But he doesn't notice when McNair changes his story -- he gives two different names (listen for it) -- and eventually, Bordelon bids him farewell, saying: "Be careful, buddy." McNair remains on the loose. (Note: Video is more than eight minutes long but worth it.) http://philipps-welt.info/Fotos/social_engineering_mcnair.mov (Achtung 34 MB groß) (am besten über die rechte Maus abspeichern und dann lokal betrachten) Meine aktuellen Überlegungen zum Thema Social Engineering gehen dahin, dass der traditionelle Weg, nämlich strengere und konsequentere Verbote zum Weitergeben von Informationen zu erlassen, zu nichts führt. Viele der Verhaltensweisen, die es Angreifern ermöglichen, über Social Engineering zu spionieren, z.B. Kundenfreundlichkeit, ist eigentlich sehr erwünscht. Wir lassen die Mitarbeiter mit Kundenkontakt mit dem Konflikt allein, dass da ein Kunde ist, der um Hilfe bittet, gleichzeitig aber sich nicht wirklich authentisieren kann. Irgendwie soll der Mitarbeiter vor Ort diesen Konflikt auflösen, aber er oder sie ist damit natürlich überfordert. Hier setzt meine Methode an: Was kann das Unternehmen tun, um dem Mitarbeiter zu helfen, kundenfreundlich und flexibel zu sein ohne und trotzdem die wohlüberlegten Sicherheitsregeln einzuhalten? Meine Antwort: die Regeln so verbessern, dass der Konflikt nicht auf dem Rücken der Mitarbetier ausgetragen wird. Z.B. durch alternative Authentisierungsmöglichkeiten (die optimalerweise der Kunde selbst vorher initiiert hat) und ähnliche Aktionen. Mehr zu dieser Problemstellung in http://sicherheitskultur.at/pdfs/social_engineering.pdf 5. Wie gut oder schlecht sind eigentlich die Passworte der Benutzer? ----------------------------------------------------------------------------------- Bei 2 Social Networking Websites sind die Passworte der Benutzer in die Öffentlichkeit gelangt. Das geschah nicht über einen Passwort- Cracker, sondern über einen Phishing-Angriff. Die Analyse zeigt für mich (und Bruce Schneier), dass die Benutzer durchaus lernfähig sind und Ansätze in die richtige Richtung zeigen. So werden bei MySpace meistens Buchstaben und Zahlen kombiniert, auch wenn in fast allen Fällen die Zahl eine 1 ist. Mehr Details und die Links auf http://sicherheitskultur.at/Passworte.htm Und das Ende des Internets --------------------------------- Und für alle, die sich schon mal gefragt haben, wo das Internet eigentlich zu Ende ist: Hier ist die Stelle http://www.xcn.de/ --------------- Einige Leser hatten gefragt, ob sie auch Beiträge anbieten können - JA, sehr gern sogar. Die sicherheitskultur.at und dieser Newsletter ist als Plattform gedacht, Gastbeiträge sind herzlich willkommen.
Philipp Schaumann, http://sicherheitskultur.at/
Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. 
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.
Zurück zum Archiv-Überblick