13. Mai 2010
Die Umbrella Corporation Fraunhofer Gesellschaft (genauer Fraunhofer SIT) hat bekanntlich vor einiger Zeit eine bezahlte Studie im Auftrag von Microsoft durchgeführt und gezählt, wie viel Spam bei diversen Freemail-Anbietern aufschlägt (Link zum PDF).
Gewonnen hat Yahoo vor Hotmail und Googlemail. Die beiden 1&1-Firmen Web.de und GMX schnitten deutlich schlechter ab. Über die zu erwartenden Mängel bei einer bezahlten Studie im allgemeinen und einer Fraunhofer Studie im besonderen hat Basic Thinking einen ganz netten Bericht geschrieben. Probleme sind insbesondere, was ist alles Spam (z.B. die Hauspost von GMX die ja zur Finanzierung des Dienstes dient), was ist mit Spam der zugestellt aber als Spam markiert ist (z.B. wenn die Zustellung gesetzlich vorgeschrieben ist) und wie man mit False Positive umgeht (was mit persönlich wichtig ist, lieber ein Spam zu viel als eine wichtige Nachricht verloren). Egal, ist ja eine Fraunhofer Studie (also Werbung) und außer Spiegel Online fällt da keiner mehr drauf rein.
Da ich bei all denen kein echter Nutzer bin interessiert mich eigentlich nicht, wie viel Spam man bei GMX oder Hotmail bekommt. Statt dessen interessiert mich als Nutzer einer anderen Mailadresse, wie viel Spam ich von diesen kostenlosen Diensten bekomme, d.h. was mich dieser Dienst kostet, obwohl ich gar nicht Nutzer bin.
Ich habe letzten Monat deshalb mal andersrum gezählt, nämlich von welchen Adressen ich den meisten Spam auf meine privaten und Firmenadressen bekomme (ist der gleiche Mailserver, darum einfach zu zählen). Genauso stichprobenartig und systematisch wie Fraunhofer. Einfach gezählt, was für mich Spam ist. Die meisten Mails werden mittels Real-Time Blacklist geblockt, insbesondere auch, wenn die Absenderdomain mit dem Absenderserver nicht zusammengeht. Die gezählten Mails sind deshalb nur die Spam-Mails die direkt über die Server der jeweiligen Anbieter verschickt wurden.
Und hier das Ergebnis:
- Gmail: 14 Spam-Mails
- Hotmail: 9 Spam-Mails
- Web.de: 1 Spam-Mail
- GMX: 1 Spam Mail
Mein Fazit: Den größten Schaden durch Spam-Versand an andere richten Google (Gmail) und Microsoft (Hotmail) an. Schade, dass man die nicht verbieten kann.
11. Mai 2010
LUCiD hat auf seiner Webseite ein paar lustige Filter eingebaut. Wenn man beispielsweise von einer harmlosen O2-Adresse drauf zugreifen will bekommt man gerne mal eine Fehlermeldung, dass man nicht erwünscht ist weil Bot-Trap die IP-Adresse auf einer Blacklist führt. Chrome ist komplett unerwünscht. Die meisten Suchmaschinen auch. Ist mir ja egal, jeder darf auf seiner Seite entscheiden wen er drauf lassen will. Wenn ich hier niemanden haben wollte, würde ich einfach ein Passwort davorpacken und Ruhe ist. Die Texte die ich schreibe sind unter eine Creative Commons Lizenz nutzbar und das mit der „nicht-kommerziellen Nutzung“ sehe ich persönlich nicht so eng. Zumindest sind ein paar Google-Banner nach meinen Kriterien noch keine kommerzielle Nutzung (auch wenn es Leute gibt die davon leben können). Egal.
Viel lustiger finde ich den Knopf „keine Zielgruppe“ und den dahinter liegenden Text. Ich klaue zitiere jetzt mal ein paar Auszüge:
5. Werbegeschenke wie Kugelschreiber, Rabattmarken, Taschenrechner, Gratis-Downloads, Promotion-Codes, CD-Roms, Gratis Probeexemplare, Aufkleber, Anstecker o.Ä. führen nicht zu einer Änderung meines Konsumverhaltens.
Das ist schon mal eine mutige Aussage. Eine Menge von Werbung ist inzwischen so subtil angelegt, dass sie auf den ersten Blick gar nicht als Werbung wahrnehmbar ist. Dazu kommt, dass durch Probeexemplare, Aufkleber etc. mir vielleicht erst Produkte bekannt werden die meiner ethischen Überzeugung oder meinen finanziellen Rahmenbedingungen entsprechen und deshalb gekauft werden. Ich bin mir sehr sicher und bewusst, dass Werbegeschenke mein Konsumverhalten verändern können.
7. Aus meinen persönlichen Konsumgewohnheiten lassen sich keine Rückschlüsse auf meine politischen, ethischen oder moralischen Grundüberzeugungen schließen.
Ich bin mir sehr sicher, dass sich aus meinen persönlichen Konsumgewohnheiten ein paar Rückschlüsse auf meine Grundüberzeugungen schließen lassen. Ich kaufe Fleisch, also bin ich kein Vegetarier. Ich kaufe nichts der Dalli-Werke weil die der Familie Wirtz (Grünenthal) gehören (und weil es gleichwertige verfügbare Alternativen gibt). Und ich nehme Einfluss auf meine Mitmenschen, das genauso zu halten.
Warum schreibe ich das eigentlich? Ach ja, zwei Gründe.
1. Ich halte es für nutzlos, mit Sperren, Filtern, Zwangsmaßnahmen etc. auf Missstände hinweisen zu wollen. Ich würde beispielsweise niemals Chrome-Nutzer aussperren. Es ist das gute Recht jedes Benutzers einen beliebigen Browser zu verwenden. Ich würde Chrome nicht verwenden, aber meinetwegen. Ich halte mich nicht für besser oder klüger, anderen da Vorschriften machen zu müssen.
2. Ich bin Zielgruppe. Ganz bestimmt. Meine Anschrift für Werbegeschenke steht im Impressum. Gerne auch große Pakete 🙂 Ich blogge nur nicht darüber, wenn ich was bekomme.
Nachtrag:
Link zu LUCiD auf besonderen Wunsch auf dereferer.org geändert 😉
10. Mai 2010
Mal wieder was aus der Arbeit, weil ich zur Zeit viel mit Juniper-Geräten zu tun habe.
Juniper Networks hat ein paar Broschüren in der Reihe „Day One“ veröffentlicht, die einen Einstieg am „ersten Tag“ in ein bestimmtes Thema eröffnen sollen. Die meisten davon sind sehr spezifisch auf JUNOS zugeschnitten und deshalb für alle nicht JUNOS-Nutzer eher nutzlos. Es gibt aber eine nette Einführung in IPv6, die auch für alle anderen interessant sein könnte.
Und ein paar neue Schulungsunterlagen hat Juniper auch veröffentlicht. Darunter die kompletten Einführungsschulungen für JUNOS (IJS, JRE, TJP, OESJ), Routing (OJRE, AJRE), Switching (OJXE) und Security (JSEC). Insgesamt acht Schulungen, deren Schulungsunterlagen praktisch komplett frei (Registrierung erforderlich!) im Netz stehen.
Schade, dass die Geräte nicht günstiger sind.
9. Mai 2010
Symantec war einkaufen und PGP gehört jetzt Symantec. PGP, als Software von Phil Zimmermann entwickelt und als Firma mitgegründet, war lange Jahre ein Geschäftsbereich von Network Associates, wurde von NAI jedoch nicht konsequent weiterentwickelt. Die PGP-Software wurde deshalb zurückverkauft und ist jetzt bei Symantec gelandet. Zusammen mit den vorher von PGP gekauften Unternehmen Glück & Kanja Technology, Chosen Security und TC Trustcenter.
Tja, der Norton Virenscanner von Symantec heißt bei uns intern „die gelbe Gefahr“. Securityfocus … ein Schatten seiner selbst. Die ganzen Tools von Atstake wie LC5 … verschwunden. Die Symantec Firewalls (ganz früher Axent Raptor, dann Symantec Enterprise Firewall, zuletzt Symantec Gateway Security) … eingestellt.
Ich fürchte, mit PGP werde ich in Zukunft auch nicht mehr froh.
Joey deVilla hat auf Global Nerdy eine Liste von Begriffen zusammengetragen, die von Programmierern umgedeutet werden. Darunter so schöne wie:
- Bugfoot: A bug that isn’t reproducible and has been sighted by only one person.
- Counterbug: A defensive move useful for code reviews. If someone reviewing your code presents you with a bug that’s your fault, you counter with a counterbug: a bug caused by the reviewer.
- Ghetto Code: A particularly inelegant and obviously suboptimal section of code that still meets the requirements.
Mir fällt da in deutscher Sprache gar nicht viel ein:
- Spaghetticode: Unstrukturierter Code kreuz und quer durch die Gegend springt. Dafür gibt es sogar einen Wikipedia-Eintrag.
Auch das Jargon-File wurde nur auf Englisch gepflegt und mir ist keine deutsche Variante bekannt. Vielleicht sollte man da mal sammeln. Aber dann bitte nur Programmiererbegriffe, keinen Gamer-Slang wie Boons oder Noobs.
8. Mai 2010
Ich hab da noch eine lange Liste von Links die ich mir mal aufgehoben habe um hier im Blog darüber was zu schreiben. Die werde ich jetzt langsam abarbeiten.
Gesichtserkennung überlisten
Auf der Defcon 17, im August letzten Jahres gab es einen Wettbewerb wie man automatische Gesichtserkennungssysteme austricksen kann. Gewonnen hat ein Cap, das mit LEDs ausgestattet ist die so pulsieren, dass Gesichtserkennungssysteme nicht mehr richtig funktionieren. Sieht lustig aus, das Teil.
Fooling Face Recognition Systems with Makeup
Zu diesem Thema gibt es übrigens schon ein wenig Sekundärliteratur: „Most faces have a dark region just above the eyes, while the cheek bones and nose bridge will appear lighter. When the algorithm detects enough such attributes, it guesses the object is a face.“ Durch geschickte Verwendung von Makeup kann man nun erreichen, dass diese Hell-Dunkel-Flächen nicht mehr korrekt erkannt werden. Cnet und The Register haben mehr dazu. Und Lady Gaga.
Äh … ja
Rémi Gaillard ist ein französischer Aktionskünstler der immer wieder Aktionen bringt bei denen einem echt nichts mehr einfällt. Der Rocky-Verschnitt im Supermarkt beispielsweise oder im Mario Kart durch Paris fahren. Hat weder was mit Gesichtserkennung noch mit IT-Security zu tun, ist aber trotzdem lustig.
Der Wert von Security-Zertifizierungen
Die meisten Zertifizierungen fragen einfach nur gelerntes Wissen ab. CISSP ist so ein Beispiel. Im Grunde kann man sich ne Woche hinsetzen und Fragen und Antworten auswendig lernen und kann dann kaum noch durchfallen. Entsprechend umstritten sind manche dieser Zertifizierungen, wie der Aufruf zum Capture The Flag Wettbewerb der diesjährigen Defcon beweist: „Those with SANS certs need not apply. CISSPs are right out. CEH holders…well, we sorta feel a little bit sorry for those that admit to holding this cert and abstain from mocking.“ Sehr schön. Ach ja, Meldeschluß ist am 20. Mai.
6. Mai 2010
Der US-Bundesstaat Massachusetts hat ein neues Datenschutzgesetz erlassen. Das kann interessante Folgen haben, wenn es wirklich konsequent angewandt wird. Im Gesetzestext (PDF) stehen nämlich ein paar spannende Formulierungen:
„The provisions of this regulation apply to all persons that own or license personal information about a resident of the Commonwealth.“
Das bedeutet wie im amerikanischen Recht üblich, der Schutz gilt nur für Amerikaner und in diesem Fall auch Kanadier, Briten, Australier etc., also alle Commonwealth-Staaten. Nicht jedoch für Franzosen, Deutsche, Italiener, etc. Irgendwie haben es die Amerikaner generell nicht so mit universellen Rechten. Die meisten Schutzrechte gelten nicht für alle Menschen sondern nur für US-Bürger.
„Every person that owns or licenses personal information about a resident of the Commonwealth …“
Im BDSG gibt es die Beschränkung, dass z.B. ein Datenschutzbeauftragter erst notwendig ist, wenn eine Mindestzahl von Mitarbeitern mit der Datenverarbeitung betraut sind. Die Amis ziehen das glatt für jede Person durch. Notfalls also auch für Kinder und Jugendliche. Auch wenn es da Einschränkungen nach Wert der Daten und individuellen Möglichkeiten zum Schutz gibt.
„Encryption of all transmitted records and files containing personal information that will travel across public networks, and encryption of all data containing personal information to be transmitted wirelessly.“
Ok, soweit so gut. Was ist mit z.B. Telefonnummern oder Kontakten (persönliche Daten!) die ich per SMS verschicke? Zukünftig verboten? Gut, die Amis nutzen kein SMS, aber im Prinzip?
„Encryption of all personal information stored on laptops or other portable devices;“
Mein Telefon kann gar keine solche Verschlüsselung. Sind diese Geräte zukünftig verboten? Oder wird es demnächst viele neue leicht zu bedienende Verschlüsselungsgadgets geben? Oder passiert gar nichts?
Ich werde das mal bissi beobachten.
(via Netzpolitik)
5. Mai 2010
Vielleicht ist das gar keine so dumme Idee, auch wenn es auf den ersten Blick absurd erscheint.
Medizintechnik wird immer komplexer, immer abhängiger von Computern und immer mehr wird über Funk gesteuert. Ich habe unter dem Titel „Herzschrittmacher hacken“ darüber schon mal 2008 was geschrieben. Mit dem dummen Problem, dass man die Funverbindung zur Remote-Konfiguration eines Herzschrittmachers zwar ganz einfach verschlüsseln kann, andererseits aber gerade dann das Verschlüsselungspasswort braucht, wenn die Person gerade bewusstlos ist und weder das Passwort sagen kann noch, wo es aufgeschrieben ist. Und garantiert ist der Zettel dann nirgendwo auffindbar.
Stuart Schechter, Mitarbeiter einer Microsoft Forschungsgruppe hat deshalb vorgeschlagen (PDF), das Passwort einfach auf die Haut zu tätowieren, damit im Notfall auf den Herzschrittmacher oder andere implantierte Geräte zugegriffen werden kann. Das Passwort für medizinische Geräte muss schließlich nicht so oft geändert werden. Und ja, warum eigentlich nicht?
Allerdings eröffnet das ganz neue Social Engineering Angriffe mit leicht bekleideten bezahlten Damen, die das Passwort herausfinden sollen um z.B. einen Mafiaboss remote auszuschalten …
4. Mai 2010
Und mal wieder ist eine fehlerhafte Implementierung von RC4 dran schuld. Wie bei WEP. Eigentlich spannend, dass man mit einem popligen Verschlüsselungsalgorithmus den Bruce Schneier schon in Applied Cryptography abgedruckt hat so viel falsch machen kann.
3. Mai 2010
Fefe rantet gerne mal in alle möglichen Richtungen und meistens hat er ja recht. In einem konkreten Fall möchte ich ihm aber widersprechen und zwar wenn es um den Sicherheitsbeauftragten von Facebook geht. Der hat laut Heise in einem Interview festgehalten:
„Kelly gab bei Facebook die Devise aus, dass das Sammeln von Informationen über Attacken und die dahinter stehenden Kriminellen wichtiger ist als das Stopfen sämtlicher Lücken.“
Daraus hat Fefe sich zu folgender Aussage verstiegen:
„Der Polizist ist gewohnt, Verbrecher zu verfolgen. Wenn er die Lücken alle fixt, dann ist er aus seiner Sicht arbeitslos. Also kann er das nicht tun. Stattdessen wird er sich zusammenrationalisieren, dass das eh nicht geht, und seine Ressourcen für Honeypots und ähnlichen Mumpitz ausgeben.“
Das ist in diesem Zusammenhang meiner Ansicht nach völliger Quatsch. Ich kann mir gut vorstellen, dass der Code von Facebook inzwischen so komplex ist, dass sie gar nicht mehr alles sicher programmiert kriegen. Das ist wie mit Windows. Microsoft kriegt da auch nicht alle Fehler raus, ganz im Gegenteil. Und noch schlimmer ist, mit jeder Iteration können neue Fehler und ganz neue Fehlerklassen auftreten, die bisher niemand berücksichtigt hat. Beispielsweise durch den PHP-Compiler. Stefan Esser, der gerade wieder den Month of PHP-Bugs ausgerufen hat, kennt sich da am besten aus. Der findet Fehler in PHP, an die vorher niemand gedacht hat. Völlig neues kreatives Zeug.
Genau deshalb ist es extrem wichtig, dass man nicht nur Fehler schließt sondern auch neue Fehler und Probleme erkennen kann, bevor sie echten Schaden auslösen. Das genau ist effizientes Risikomanagement. Ob man dazu Honeypots braucht sei dahingestellt, wichtig ist aber, den Sicherheitsvorfall möglichst schnell zu erkennen und einzudämmen. Mein Lieblingssatz dazu lautet: „All Control Is Damage Control„.
Oder wie das Donald Rumsfeld mal formuliert hat:
„There are known knowns. These are things we know that we know. There
are known unknowns. That is to say, there are things that we know we
don’t know. But there are also unknown unknowns. There are things we
don’t know we don’t know.“
Und auf die müssen wir auch achten, nicht nur auf die Lücken!
