Tag Archive: Security


Gehacktes

Als der Zeitgenosse mit dem Erpressungstrojaner auf seinem Computer „Ich bin gehackt worden“ zum Vorübergehenden sagte, dachte der Vorübergehende nur bei sich selbst, dass das ja auch viel epischer, intelligenter und wichtigtuerischer als das ungleich wahrheitsgetreuere „Ich klicke wie ein dressiertes Hündchen auf alles, was sich im Web oder in einer E-Mail anklicken lässt“ klinge.

Der Journalist bringt Freude

Jedes Mal, wenn unfähige und von keinerlei Fachwissen beleckte Journalisten ihren Lesern in einem schnell aufgeschäumten, von Schleichwerbung für wirkungslose Sicherheitsprodukte geprägten Artikel erklären, wie sie „sicher im Internet unterwegs“ sind, freuen sich alle kleinen und großen Internetkriminellen dieser Welt…

Keiner hats gewollt, allen ists ein Schaden

Es folgen zwei einfache Beispiele. Die ersten E-Mail-Systeme haben Nachrichten als ASCII-Texte versendet. Sie waren vollkommen sicher. Es gibt nichts, was eine empfangene ASCII-Nachricht tun könnte, um einen Computer zu beschädigen. Dann bekamen einige Menschen die Idee, dass man E-Mail erweitern könnte, damit andere Dokumenttypen eingefügt werden können, zum Beispiel Word-Dateien, die Programme in Makros enthalten können. Wenn sie so ein Dokument lesen, bedeutet dass, dass sie das Programm von jemanden anders auf ihren Computer ausführen. Vollkommen gleichgültig, wie viel Sandboxing angewendet wird: Wenn sie ein fremdes Programm ausführen, ist dies von seiner Natur her gefährlicher, als wenn sie einen ASCII-Text lesen. War es ein Verlangen von Anwendern, die passiven E-Mail-Dokumente in aktiv ausgeführte Programme zu verwandeln? Wahrscheinlich nicht. Es waren Systemdesigner, die dachten, dass es sich um eine schicke Idee handele, und sie machten sich nicht allzuviele Gedanken um die Folgen für die Sicherheit.

Das zweite Beispiel ist genau die gleiche Angelegenheit für Webseiten. Als das Web aus passiven HTML-Dokumenten bestand, stellte es kein großes Sicherheitsproblem dar. Nun, da so viele Webseiten Programme (Applets) enthalten, die der Anwender ausführen muss, um die Inhalte zu sehen, taucht ein Sicherheitsproblem nach dem anderen auf. Kaum ist eines behoben, schon tritt ein anderes an seine Stelle. Als das Web noch vollständig aus statischen Dokumenten bestand, sind da etwa Anwender Sturm gelaufen und haben dynamische Inhalte eingefordert? Nicht, dass der Autor sich daran erinnern würde, aber die Einführung dynamischer Inhalte brachte fundamentale Sicherheitsprobleme mit sich.

Andrew S. Tanenbaum: Modern Operating Systems, 1. Auflage, 2002, S. 631
Die schnelle Übelsetzung ist von mir.

Ja, das ist eine Anmerkung zur Computersicherheit aus dem Jahr 2002; ja, dieser Text ist jetzt elf Jahre alt.

Wo ich gerade dabei bin: Vergesst bitte nicht, ganz schnell euer Flash upzudaten! Die aktuelle Sicherheitslücke ist recht kritisch, und es sind auch Rechner unter MacOS davon betroffen.

Diese niemals beantwortete Frage, ein wie großer Anteil des Energieverbrauches der gesamten Welt allein auf ständig im Hintergrund mitlaufende (und recht nutzlose) Antiviren-Software zurückgeht, die es nur gibt, weil das Betriebssystem, auf dem sie läuft, eine Menge ausbeutbarer Schwächen hat…

Zwei Meldungen vom 12. Mai

Meldung Eins¹:

Die Zahl der in Deutschland infizierten Rechner hat sich mehr als verdoppelt, wie aus dem heute veröffentlichten halbjährlichen Security Intelligence Report von Microsoft hervorgeht…

Meldung Zwei:

Der seit dem 1. November 2010 in Umlauf gebrachte neue Personalausweis (nPA) soll in den nächsten Monaten funktional deutlich aufgebohrt werden […] wie beispielsweise Internet-Wahlen mit dem Ausweis durchgeführt werden könnten…

Es war kaum vorstellbar, dass die Regierenden und ihre Zuarbeiter es schaffen würden, offen über ein Wahlverfahren nachzudenken, dass noch unsicherer und zweifelhafter als die so genannten „Wahlcomputer“ ist.

¹Die von Mircosoft gemeldete „Durchseuchung“ von PCs liegt übrigens bei fünf Promille der Installationen — das klingt weit harmloser als der Begriff „Verdopplung“, aber nicht harmlos.