Auflistung aller Beiträge aus der Kategorie

Szene

ψ² = Ps(i)²

BSI: PACE ist sicher

Heise.de berichtet in einem Beitrag:

“Das Bundesamt für Sicherheit in der Informationtechnik (BSI) hat nach einer Pressemitteilung zusammen mit dem Center for Advanced Security Research Darmstadt (CASED) die Sicherheit des PACE-Verfahrens festgestellt.”

Und weiter:

“PACE ist ein vom BSI entwickeltes Protokoll für den Aufbau eines sicheren Kommunikationskanals zwischen einem Chip und einem Lesegerät.

Der Hersteller beweist die Sicherheit. Na das ist ja mal ein toller Beweis! Der vollständige Beweis  soll im September auf der ISC 2009 in Pisa vorgestellt werden. Naja, wir Deutschen hatten ja auch schon die absolut sichere Enigma. Das klappt mit PACE sicher genau so gut. Ich nehme Wetten entgegen, wann das erste Proof of Concept vorliegt ;-)

Lesen Sie mehr →
ψ² = Ps(i)²

Österreich zensiert Website eines Journalisten

Das Berichtet Heise Online im Beitrag Österreichs Justizministerium blockiert Website eines kritischen Journalisten. Mitarbeiter des österreichischen Justizministeriums und der Gerichte konnten tagelang nicht auf die Webseite des  Journalisten Florian Lenk zugreifen, der dort einen kritischen Bericht über Vorgänge im Justizministerium veröffentlicht hatte. Das Ministerium spricht von einem “blöden Zufall”. In dem Bericht geht es um den Umgang des Ministeriums mit strafrechtlichen Untersuchungen gegen Prominente.

Es geht um eingestellte Verfahren gegen Politiker, Manager, Amtsärzte, Richter, Polizisten und Staatsanwälte. Steuergelder für Parteiwerbung, Bestechung, Datenverrat, Geheimnisverrat oder Amtsmissbrauch sind einige der Vorwürfe, die nie vor einem Gericht aufgeklärt werden, weil das Ministerium gegen eine Anklage entschieden hat.

Der beitrag wurde am Mittwoch auf Klenks Website veröffentlicht. Am selben Mittwoch war die Website nicht mehr erreichbar: “Die von Ihnen angeforderte Seite enthält Inhalte aus den Bereichen Glücksspiel, Computerkriminalität, Pornografie, Soziale Netzwerke und Phishing. Der Zugriff wurde daher verweigert.” Die Schuld für die Sperre wurde der Filtersoftware zugeschoben. Die Sperrung wurde mitlerweile aufgehoben.

Lesen Sie mehr →
ψ² = Ps(i)²

Hacker-Comic

CrewAuf der diesjährigen DEFCON ist ein Comic über eine Gruppe von vier Hackern entstanden, die im Verlauf der Handlung bei der Analyse der Datei B300.exe einen Kryptoschlüssel extrahieren. Dabei stellen sie Techniken des Reverse Engineerings vor und müssen mehrere Anti-Debugging-Maßnahmen umschiffen. Bei der Analyse nutzen Sie das Tool PEiD 0.95 und den Debugger OllyDbg. Der Comic basiert auf einem WriteUp von KOrUPt. Das Dokument und die b300.exe erhalten Sie auf seiner Webseite.

Einige Leser haben sich an der Rolle der Tiffany gestoßen und darüber diskutiert ob es weibliche Hacker überhaupt gibt:

“Ok what did the girl actually do except stand around and look pretty?”

Ok what did the girl actually do except stand around and look pretty?
Lesen Sie mehr →
ψ² = Ps(i)²

Kommentar: Auch Landesbeauftragte für den Datenschutz können zurücktreten!

In einer Gemeinsame Pressemitteilung des Justizministeriums Mecklenburg-Vorpommern und des Landesbeauftragten für den Datenschutz Mecklenburg-Vorpommern werden wir über den Verlust eines USB-Sticks mit gespeicherten Kopien von Daten des Elektronischen Grundbuchs der Grundbuchämter Demmin und Ribnitz-Damgarten informiert, der sich bereits im März diesen Jahres ereignet hat.

Nach dem Lesen der Pressemitteilung frage ich mich, ob Herr Karsten Neumann wirklich der Landesbeauftragte für den Datenschutz ist, oder der Pressesprecher des Datenverarbeitungszentrums Mecklenburg-Vorpommern GmbH, bei dem sich der Vorfall ereignet hat?

“Der Landesbeauftragte für den Datenschutz Mecklenburg-Vorpommern wurde durch das Justizministerium unverzüglich von dem Verlust in Kenntnis gesetzt”, heißt es dort.

“Unverzüglich”? Ich finde vom 09. März bis zum 11. August sind zwei, drei Tage vergangen!

“Gemeinsam wurde das Verfahren geprüft und umgehend Maßnahmen veranlasst, um zukünftig ähnliche Vorfälle zu verhindern”

Was denn? In Zukunft keine Sticks mehr verlieren? Diese Aussage ist ja schon fast lächerlich! Ist es wohl erst jetzt bekannt geworden, dass man USB-Sticks verlieren kann und es Software gibt, mit der man Daten verschlüsseln kann? Die Herausgeber der Pressemitteilung sollten wohl eher fragen, wer für diese Schlamperei verantwortlich ist. Wenn an dem Verfahren etwas unsicher war, gilt es den Dienststellenleitern der Grundbuchämter bzw. dem Geschäftsführer klar zu sagen, dass er seine Hausaufgaben nicht richtig gemacht hat und zu prüfen, ob bei den Dienststellenleitern ein Dienstvergehen vorliegt.

“Obwohl es unwahrscheinlich ist, dass ein Unberechtigter mit Erfolg versucht, den in den Grundbüchern eingetragenen Text (Flurstücks- und Lagebezeichnungen, Name, Geburtsdaten und Belastungen) sichtbar zu machen, halten das Justizministerium und der Landesbeauftragte eine Information der betroffenen Grundstückseigentümer und Berechtigten für erforderlich.”

“Name, Geburtsdaten und Belastungen” – es ist nicht akzeptabel, mit welcher Leichtigkeit die Pressemitteilung des Landesbeauftragten über das Ausmaß des Datenverlusts hinweg geht. Der Kern des Vorfalls wird tatsächlich in Klammern eingesperrt!

“… eine Information der betroffenen Grundstückseigentümer und Berechtigten für erforderlich. Diese erfolgt durch eine Mitteilung im Amtlichen Anzeiger für Mecklenburg-Vorpommern sowie durch Aushang an den jeweiligen Gerichten am 10. August 2009.”

Und damit ist Herr Neumann einverstanden? Erinnert mich an die Mitteilung über den bevorstehenden Abriss der Erde durch die vogonische Bauflotte, zu Beginn von Douglas Adams Roman Per Anhalter durch die Galaxis.

Der letzte Absatz der Pressemitteilung beinhaltet die folgenden Wertungen:

“…mit Sicherheit ausgeschlossen … kein Zugriff … Damit ist der durch das Grundbuch gewährleistete gute Glauben nicht erschüttert…”

Na dann ist ja alles gut, Herr Neumann. Wofür eigentlich die Pressemitteilung? Ich bin mir jedenfalls nicht mehr ganz so sicher, ob Sie der richtige Mann für diesen Posten sind – ich bin einigermaßen fassungslos!

Lesen Sie mehr →
ψ² = Ps(i)²

Zero Day Initative

Die vom IPS-Anbieter TippingPoint gegründete Zero Day Initiative (ZDI) ist ein Programm zum Handel mit Schwachstellen. Die Schwachstellen fließen dann einerseits in die IPS-Produkte von TippingPoint ein und sie werden darüberhinaus veröffentlicht. Das  ZDI verfolgt dabei den Weg des verantwortungsvollen Veröffentlichens. Die älteste angekündigte, aber noch nicht veröffentlichte Schwachstelle ist daher auch vom Oktober 2006 (ZDI-CAN-105).

Den Hackern, die sich beteiligen winken attraktive Kaufangebote und Boni bis zu 20.000$. Als Beispiel für eine Schwachstelle wird auf der Webseite der Betrag von 5.000$ genannt. Wenn Sie der ZDI also 10 Schwachstellen dieser Art verkaufen bringt Ihnen das 50.000$ an Einmalzahlungen und am Jahresende einen Bonus von 20.000$. Das deckt sich in etwa mit den Angaben, die ich für einen White-Hat in meinem Beitrag Ihr Berufseinstieg als Hacker (644.000$ Jahresgehalt) zitiert habe. Der Beitrag geht jedoch pro Jahr von 25 verwertbaren Exploits aus; die ZDI spricht von Schwachstellen. Also sollten pro Jahr mindestens 145.000$ zu erlösen sein. Im Folgejahr bietet die ZDI dann einen Bonus von 25%: Das ergibt 176.250$ Jahresgehalt inklusive Jahresendbonus.

Lesen Sie mehr →
ψ² = Ps(i)²

Peter Schaar und die “freiwillige” Sicherheitsüberprüfung

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Peter Schaar hat in seinem “Blog” unter dem Betreff Keine Sommerpause beim Datensammeln! zu den “freiwilligen” Sicherheitsüberprüfungen Stellung bezogen.

“Den Stapellauf erlebte das Massenüberprüfungsverfahren bei der Fußball-WM 2006. Schon damals war klar, dass die Übermittlung der Daten aller möglichen akkreditierten Personen ohne ausreichende gesetzliche Grundlage war. Aber auch die Einwilligungserklärung der Betroffenen legitimiert ein solches Verfahren nicht, denn eine datenschutzrechtliche Einwilligung ist nur wirksam, wenn sie wirklich freiwillig erfolgt. Bei den betroffenen Personengruppen kann davon aber überhaupt keine Rede sein. Sie werden vor die Alternative gestellt, entweder eine Einwilligungserklärung zu unterschreiben oder auf die Akkreditierung und damit auf die Berufsausübung weitgehend zu verzichten.”

Was denken Sie, passiert, wenn die Lebenspartner von Staatsdienern mit sicherheitsempfindlicher Tätigkeit einer erweiterten Sicherheitsüberprüfung (Ü2 oder Ü3) widersprechen – also nicht einmal der oder die Betroffene selbst? Verfahrenshindernis, keine Sicherheit, Versetzung auf anderen Dienstposten. Und warum? Weil ein Dritter seine Rechte wahrgenommen hat.

Wie freiwillig sind denn die freiwilligen Selbstauskünfte bei der Wohnungssuche? Das Freiwilligkeitsproblem besteht doch allenthalben. Herr Schaar beschreibt also nicht die Krankheit sondern nur ein Symptom. Freiwillig im allgemeinen Sprachsinn kann nur sein, was keine Auswirkung auf den weiteren Verfahrensablauf hat. Alles andere ist Augenwischerei.

Deshalb halte ich es für ein beachtliches Signal, dass die Taz aus Protest gegen die Überprüfung auf die Berichterstattung über das sportliche Großereignis verzichten will.

Nicht “verzichten will“, sondern “verzichten muss“. Das ist kein Signal der taz, sondern eine Konsequenz der Freiwilligkeit, die keine ist.

Was hindert den Staat, Personen trotz Ablehnung zu akkreditieren und in diesen Fällen ganz normale polizeiliche Ermittlungsarbeit zu leisten? Ihn hindert das Geld. Hier geht es nicht um Sicherheit. Hier geht es darum, den Ermittlungsaufwand für die Absicherung von Großveranstaltungen zu minimieren: Die Hauptstadt-Polizei fährt Opel Corsa – in München fährt man 3er BMW.

Lesen Sie mehr →
ψ² = Ps(i)²

Internet-Sperren liegen auf Eis

Am 01.08.2009 sollte das Gesetz gegen Kinderpornographie im Internet in Kraft treten. Der Bundespräsident und die EU haben jedoch noch nicht zugestimmt. Ein Aspekte Beitrag durchleuchtet die Hintergründe.

“Was hier passiert ist eine Symbolpolitik. Und für diese Symbolpolitik werden Missbrauchsbetroffene ein zweites Mal missbraucht. Nämlich als Galionsfigur in einem Kampf gegen Kinderpornographie im Internet,” sagt Christian Bahls vom Verein “Missbrauchsopfer gegen Internetsperren”.

Eine Internetpetition gegen das Gesetz fand 134000 Unterzeichner. Das Gesetz Die Maßnahmen des Gesetzes lassen sich in wenigen Sekunden umgehen – die Bilder selbst bleiben weiterhin im Netz.

“Natürlich ist auch dem Ministerium klar, dass Access-Blocking nicht alle aufhält, vor allem nicht die Schwerpädophilen – aber es macht ausnahmslos deutlich: Kinderpornografie wird in unserem Land grundsätzlich geächtet,” heißt es in einer Antwort des Ministeriums an die ZDF-Sendung Aspekte.

Lesen Sie mehr →
ψ² = Ps(i)²

Die Einbrecher nach Hause bestellen

Wer sich im Internet zu sehr offenbart, muss damit rechnen, dass jemand die so angebotenen Informationen missbraucht. So geschehen bei einem Einbruch, der auf Informationen aufbaute, die über Twitter verbreitet wurden.

Jetzt bin ich auf eine Website gestoßen, die da noch viel entgegenkommender ist. Ein Alarmanlagen-Besitzer in Overath ist so freundlich den Grundriss der Wohnung, einen Link auf Google-Maps sowie Details zur genutzten Alarmanlage zu veröffentlichen. Auch lässt er die Besucher seiner Seite wissen, wann die Alarmanlage Quorum A-160 funktioniert und wann nicht. Auf dem Google-Satellitenbild sieht man auf den ersten Blick, dass sich gute Fluchtmöglichkeiten in ein Waldgebiet im Naturpark Bergisches Land bieten.

“Für einen einwandfreien Betrieb ist zwingend erforderlich, dass alle Türen, Fenster oder andere Einstiegspunkte geschlossen sind”, heißt es auf der Website unter anderem.

Ich bin mir ziemlich sicher, dass solche Informationen nicht helfen, die Sicherheit zu erhöhen. Eine verbindliche Aussage, ob die Informationen auf der Website die Sicherheit der Wohnung erhöhen oder eher nicht, wird in jedem Fall von der Versicherung zu erfahren sein. Ich habe schon eine Idee, wie die Antwort ausfallen könnte…

Zum Thema Einbrecher nach Hause bestellen berichtete ich bereits im Beitrag Bei Twitter die Einbrecher nach Hause bestellen.

Lesen Sie mehr →
ψ² = Ps(i)²

Das Handy als Alarmanlage

Auf der Homepage der Schlosserei Claus Oldorf findet man den Prototyp für eine Handy-Alarmanlage. Auf der Seite werden zwei Versuchsanordnungen gezeigt, wie mit einfachen Hilfsmitteln eine Taste des Handys gedrückt werden kann. Als Kurzwahl muss dann nur noch eine Nummer eingegeben werden und fertig ist der Einbruchmelder. Auf dem Bild sehen Sie eine bereits verbesserte Variante.

Lesen Sie mehr →
ψ² = Ps(i)²

FOKUS 002 – BSI Grundschutz

FOKUS 002

Unter dem Stichwort FOKUS stelle ich hier im Blog regelmäßig Maßnahmen aus den Grundschutzkatalogen des BSI vor. Im FOKUS 002 geht es um die Maßnahme

M 6.62 Festlegung von Prioritäten für die Behandlung von Sicherheitsvorfällen

Ein Sicherheitsvorfall entsteht meist durch eine Verkettung verschiedener Probleme. Daraus ergibt sich die Frage, in welcher Reihenfolge die Probleme angegangen werden sollen. Zur Festlegung der Prioritäten muss man sich die folgenden Fragen stellen:

  • Welche Schadenskategorien sind relevant?
  • In welcher Reihenfolge sollten Schäden behoben werden?

Bei der Bearbeitung der Fragen greift man auf die Schutzbedarfsfeststellung zurück. Dort sind die relevanten Schadenskategorien definiert. Im Zusammenspiel mit den finanziellen Schadensauswirkungen lässt sich so eine Prioritäten-Matrix wie in der folgenden Tabelle festlegen:

Schadenskategorie Schaden mittel/ kleiner 25.000€ Schaden hoch/ höher als 25.000€ Schaden sehr hoch/ höher als 5.000.000€
Verstoß gegen Gesetze, Vorschriften oder Verträge 13 12 11
Beeinträchtigung des informationellen Selbstbestimmungsrechts 8 6 3
Beeinträchtigung der persönlichen Unversehrtheit 5 2 1
Beeinträchtigung der Aufgabenerfüllung 15 14 7
Negative Außenwirkung 17 9 4
Finanzielle Auswirkungen 18 16 10

Tabelle 1: Beispieltabelle mit Prioritätenreihenfolge

Diese Tabelle muss durch die Geschäftsführung in Kraft gesetzt werden. Sie ist Grundlage bei der Behandlung von Sicherheitsvorfällen.

Angenommen wird, dass es in der obigen Beispiel-Stadtverwaltung einem Hacker gelungen ist, die Informationen auf dem Internet-Informationsserver zu manipulieren, so dass die Stadtverwaltung verunglimpft wird. Dies wird frühzeitig bemerkt, das IT-Sicherheitsmanagement eingeschaltet und die obige Schadenseinschätzung durchgeführt. Diese hätte zum Ergebnis, dass folgende Schäden zu erwarten sind:

Schadenskategorie Schaden mittel/ kleiner 25.000€ Schaden hoch/ höher als 25.000€ Schaden sehr hoch/ höher als 5.000.000€
Verstoß gegen Gesetze, Vorschriften oder Verträge 13 S1 12 11
Beeinträchtigung des informationellen Selbstbestimmungsrechts 8 6 3
Beeinträchtigung der persönlichen Unversehrtheit 5 2 1
Beeinträchtigung der Aufgabenerfüllung 15 S2 14 7
Negative Außenwirkung 17 9 4 S3
Finanzielle Auswirkungen 18 S4 16 10

Tabelle 2: Einordnung der Schadensbestandteile

Man leitet nun die folgende Prioritätenreihenfolge ab:

  1. S3 = 4
  2. S1 = 13
  3. S2 = 15
  4. S4 = 18

Auf diesem Weg ist es möglich schnell zu einer Entscheidung über das weitere Vorgehen zu kommen. Umso besser ist es, wenn man für die anstehenden Schritte bereits Checklisten und Pläne vorhält. Für die Schadenskategorie negative Außenwirkung sollte man bereits vorgeschriebene Pressemitteilungen parat haben. Eine abgestimmte Krisen-PR kann hier schlimmeres verhindern.

Lesen Sie mehr →