6. Mai 2010
Der US-Bundesstaat Massachusetts hat ein neues Datenschutzgesetz erlassen. Das kann interessante Folgen haben, wenn es wirklich konsequent angewandt wird. Im Gesetzestext (PDF) stehen nämlich ein paar spannende Formulierungen:
„The provisions of this regulation apply to all persons that own or license personal information about a resident of the Commonwealth.“
Das bedeutet wie im amerikanischen Recht üblich, der Schutz gilt nur für Amerikaner und in diesem Fall auch Kanadier, Briten, Australier etc., also alle Commonwealth-Staaten. Nicht jedoch für Franzosen, Deutsche, Italiener, etc. Irgendwie haben es die Amerikaner generell nicht so mit universellen Rechten. Die meisten Schutzrechte gelten nicht für alle Menschen sondern nur für US-Bürger.
„Every person that owns or licenses personal information about a resident of the Commonwealth …“
Im BDSG gibt es die Beschränkung, dass z.B. ein Datenschutzbeauftragter erst notwendig ist, wenn eine Mindestzahl von Mitarbeitern mit der Datenverarbeitung betraut sind. Die Amis ziehen das glatt für jede Person durch. Notfalls also auch für Kinder und Jugendliche. Auch wenn es da Einschränkungen nach Wert der Daten und individuellen Möglichkeiten zum Schutz gibt.
„Encryption of all transmitted records and files containing personal information that will travel across public networks, and encryption of all data containing personal information to be transmitted wirelessly.“
Ok, soweit so gut. Was ist mit z.B. Telefonnummern oder Kontakten (persönliche Daten!) die ich per SMS verschicke? Zukünftig verboten? Gut, die Amis nutzen kein SMS, aber im Prinzip?
„Encryption of all personal information stored on laptops or other portable devices;“
Mein Telefon kann gar keine solche Verschlüsselung. Sind diese Geräte zukünftig verboten? Oder wird es demnächst viele neue leicht zu bedienende Verschlüsselungsgadgets geben? Oder passiert gar nichts?
Ich werde das mal bissi beobachten.
(via Netzpolitik)
5. Mai 2010
Vielleicht ist das gar keine so dumme Idee, auch wenn es auf den ersten Blick absurd erscheint.
Medizintechnik wird immer komplexer, immer abhängiger von Computern und immer mehr wird über Funk gesteuert. Ich habe unter dem Titel „Herzschrittmacher hacken“ darüber schon mal 2008 was geschrieben. Mit dem dummen Problem, dass man die Funverbindung zur Remote-Konfiguration eines Herzschrittmachers zwar ganz einfach verschlüsseln kann, andererseits aber gerade dann das Verschlüsselungspasswort braucht, wenn die Person gerade bewusstlos ist und weder das Passwort sagen kann noch, wo es aufgeschrieben ist. Und garantiert ist der Zettel dann nirgendwo auffindbar.
Stuart Schechter, Mitarbeiter einer Microsoft Forschungsgruppe hat deshalb vorgeschlagen (PDF), das Passwort einfach auf die Haut zu tätowieren, damit im Notfall auf den Herzschrittmacher oder andere implantierte Geräte zugegriffen werden kann. Das Passwort für medizinische Geräte muss schließlich nicht so oft geändert werden. Und ja, warum eigentlich nicht?
Allerdings eröffnet das ganz neue Social Engineering Angriffe mit leicht bekleideten bezahlten Damen, die das Passwort herausfinden sollen um z.B. einen Mafiaboss remote auszuschalten …
4. Mai 2010
Und mal wieder ist eine fehlerhafte Implementierung von RC4 dran schuld. Wie bei WEP. Eigentlich spannend, dass man mit einem popligen Verschlüsselungsalgorithmus den Bruce Schneier schon in Applied Cryptography abgedruckt hat so viel falsch machen kann.
3. Mai 2010
Fefe rantet gerne mal in alle möglichen Richtungen und meistens hat er ja recht. In einem konkreten Fall möchte ich ihm aber widersprechen und zwar wenn es um den Sicherheitsbeauftragten von Facebook geht. Der hat laut Heise in einem Interview festgehalten:
„Kelly gab bei Facebook die Devise aus, dass das Sammeln von Informationen über Attacken und die dahinter stehenden Kriminellen wichtiger ist als das Stopfen sämtlicher Lücken.“
Daraus hat Fefe sich zu folgender Aussage verstiegen:
„Der Polizist ist gewohnt, Verbrecher zu verfolgen. Wenn er die Lücken alle fixt, dann ist er aus seiner Sicht arbeitslos. Also kann er das nicht tun. Stattdessen wird er sich zusammenrationalisieren, dass das eh nicht geht, und seine Ressourcen für Honeypots und ähnlichen Mumpitz ausgeben.“
Das ist in diesem Zusammenhang meiner Ansicht nach völliger Quatsch. Ich kann mir gut vorstellen, dass der Code von Facebook inzwischen so komplex ist, dass sie gar nicht mehr alles sicher programmiert kriegen. Das ist wie mit Windows. Microsoft kriegt da auch nicht alle Fehler raus, ganz im Gegenteil. Und noch schlimmer ist, mit jeder Iteration können neue Fehler und ganz neue Fehlerklassen auftreten, die bisher niemand berücksichtigt hat. Beispielsweise durch den PHP-Compiler. Stefan Esser, der gerade wieder den Month of PHP-Bugs ausgerufen hat, kennt sich da am besten aus. Der findet Fehler in PHP, an die vorher niemand gedacht hat. Völlig neues kreatives Zeug.
Genau deshalb ist es extrem wichtig, dass man nicht nur Fehler schließt sondern auch neue Fehler und Probleme erkennen kann, bevor sie echten Schaden auslösen. Das genau ist effizientes Risikomanagement. Ob man dazu Honeypots braucht sei dahingestellt, wichtig ist aber, den Sicherheitsvorfall möglichst schnell zu erkennen und einzudämmen. Mein Lieblingssatz dazu lautet: „All Control Is Damage Control„.
Oder wie das Donald Rumsfeld mal formuliert hat:
„There are known knowns. These are things we know that we know. There
are known unknowns. That is to say, there are things that we know we
don’t know. But there are also unknown unknowns. There are things we
don’t know we don’t know.“
Und auf die müssen wir auch achten, nicht nur auf die Lücken!
2. Mai 2010
In den Security Kalender 2010 habe ich heute ein paar französische und finnische Termine nachgetragen und fehlende Daten ergänzt. Wer weitere Security Konferenzen aus dem europäischen Umland (EU+Schweiz+Island+Balkan) kennt, bitte eine kurze Notiz an mich. Entweder in die Kommentare oder gerne auch per E-Mail.