Ein freier, monatlich erscheinender Newsletter, der Zusammenfassungen, Analysen, Einsichten und Kommentare zu Security-Themen im Computer-Bereich und anderen Gebieten enthält.

Frühere Ausgaben im englischen Original sind unter http://www.schneier.com/crypto-gram.html verfügbar. Für eine Abonnierung dieser besuchen Sie http://www.schneier.com/crypto-gram.html oder schicken Sie eine leere Email an crypto-gram-subscribe@chaparraltree.com. Die deutschen Übersetzungen finden sich jeweils unter den Publikationen bei http://www.scip.ch.

In dieser Ausgabe enthalten:

• Unfälle und Security Zwischenfälle
• Reaktionen auf "Beyond Fear"
• Crypto-Gram Reprints
• Fahrausweise für Computerbenutzer
• News
• Counterpane News
• Security Notes from All Over: Hüte in Banken
• Gutartige Würmer
• Kaliforniens Security-Breach Disclosure Gesetz
• Korrekturen
• Kommentare der Leser

Am 14. August um 16:00 Uhr fiel der Strom in New York City und weiten Teilen des Nordostens aus. Etwa 50 Millionen Leute waren ohne Strom - Manche von ihnen für Tage. Obschon einige Spekulationen bezüglich Terrorismus gegeben waren - glücklicherweise nur wenige - handelte es sich um einen Unfall.

Während einer Zeit, in der wir vor Angriffen - von Terroristen, Hackern und traditionellen Kriminellen - besorgt sind, macht es Sinn auch über Unfälle zu diskutieren.

Vor einigen Jahren beschrieb der Computerwissenschaftler Ross Anderson den Unterschied zwischen Murphy und dem Teufel. Sich vor Unfällen zu schützen bedeutet, so sagte er, ein System zu entwickeln, das in einer von Murphys Gesetzen regierten Welt bestehen kann. Unfälle passieren, weil Unfälle halt nunmal passieren. Entwickelt man zu Gunsten der Sicherheit, entwickelt man für eine Welt, in der Zufälle existent sind. Man erbaut eine Brücke, die einem Erdbeben standhält; Betten, die während eines Feuers nicht in Flammen aufgehen; Computersysteme, die sogar während eines Stromausfalls funktionieren, oder wenigstens stilvoll abstürzen. Manchmal sind Überlegungen zu Grossereignissen wie Tornados, Erdbeben oder anderweitige Naturkatastrophen erforderlich. Und manchmal sind es die individuellen Probleme eines Jeden, wie das Ausrutschen im Badezimmer, ein Kind stellt sich ungeschickt mit einer Gabel an (lediglich ein Unfall aus der Sicht der Eltern. Das Kind hatte eventuell Gründe für sein Vorgehen.) oder ein Baum fällt auf das Dach eines Hauses.

Security ist da anders. Neben dem Miteinbeziehen von Unfällen ist auch das Behandeln von nicht-zufälligen Ereignissen unabdingbar. Das Verteidigen gegen Angriffe heisst in einer Welt bestehen, die durch die Gesetze des Teufels regiert wird. Unfälle passieren, weil da irgendein bösartiger, intelligenter Zeitgenosse ist, der unbedingt will, dass ein Unfall passiert. Am liebsten zur schlechtesten Zeit und mit den schlimmsten Auswirkungen. Der Unterschied zwischen Angriffen und Unfällen besteht in ihrer Intelligenz und Kontrolle.

Folgend einige Beispiele:

Safety: Es kann berechnet werden, wieviele Feuerwehrstationen in einer Stadt vorhanden sein müssen, um die in der Regel ausbrechenden Feuer löschen zu können. Security: Ein Feuerteufel kann zeitgleich mehr Feuer legen, weder die Feuerwehrstationen zu löschen in der Lage sind, so dass sein Angriff ein Mehr an Effektitivät gewinnt.

Safety: Messer werden gerne im Handgepäck eines Fluges vergessen, können jedoch frühzeitig durch die Kontrollen mit Röntenstrahlen entdeckt werden. Security: Ein Angreifer könnte ein Messer aus einem Material herstellen, das nicht durch Röntgenstrahlen identifiziert werden kann oder er platziert es so im Gepäck, dass es nur schwer entdeckt werden kann.

Safety: Architekten pflegen zu berechnen, wieviele Feuertüren für ein Gebäude beim Ausbruch eines Feuers zur sicheren Evakuierung der Personen erforderlich sind. Security: Die Türen werden von Mördern blockiert, bevor das Feuer gelegt wird (dies passierte 1994 in Rwanda).

Vor einigen Jahren hat mir ein Kollege das Netzwerksicherheits-Zentrum seines Unternehmens gezeigt. Er war stolz darauf, dass sein Team auf jeden Computereinbruch reagieren könne. "Was passiert, wenn der Angreifer vor der Attacke auf das Netzwerk eine Bombenwarnung für dieses Gebäude absetzt", fragte ich ihn. Daran hatte er nicht gedacht. Das Problem ist, dass Angreifer jedoch an solche Dinge denken. Der jugendliche Mörer an der Westside Middle School in Jonesboro, Arkansas, aktivierte 1998 zuerst den Feueralarm. Danach tötete er fünf und verwundete zehn weitere Leute, die die Sicherheit im Freien suchten.

Bei einem Unfall ist der Angreifer das Schicksal, Glück oder Mutter Natur. Bei einer Attacke ist der Angreifer sowohl intelligent als wie auch berechnend. Ein Angreifer kann sein Vorgehen genau für den schlimmsten Zeitpunkt vorsehen und ihn auf die wirkungsvollste Weise durchführen. Angreifer können zudem anderen Leuten Ungeschicktheit ausnutzen. Und falls ein Angreifer eine Verwundbarkeit findet, kann er diese immer und immer wieder ausnutzen. Die Möglichkeit eines Feuers ist in den Industrieländern sehr gering. Ein Brandstifter kann solche jedoch auf Verlangen herbeiführen. Pufferüberlaufe können in einem Computersystem vorkommen, passieren jedoch eher selten; Angreifer können es jedoch forcieren, dass ein Pufferüberlauf das Maximum an Schaden bei einem Computersystem anrichtet. Es liegt in der Natur der Angreifer, die Safety von Security trennen [Anm. des Übersetzers: Eine Übersetzung der beiden Begriffe Safety und Security ist nicht sinnvoll. Ich habe deshalb die englischen Begriffe beibehalten, da diese die differenzierte Färbung widerzugeben in der Lage sind.]. Bei Security geht es darum ein System absichtlich zu überlisten. Leidet die Safety durch einen Agreifer, ist ebenfalls die Security affektiert.

Die beiden sind also eng miteinander verwoben. Unabhängig davon, ob Sie von einem Räuber niedergestochen wurden oder Ihnen bei einem Unfall in der Küche das Messer ausgerutscht ist, die Notfallaufnahme wird stets gleich reagieren. Die Reaktion der Feuerwehrläute, Polizisten und den anderen Rettungsdiensten hätte sich am 11. September nicht unterschieden, hätten die Flugzeuge aufgrund Nebels die Orientierung verloren und wären in die Twin Towsers gekracht (genauso wie ein Flugzeug 1945 in das Empire State Building geflogen ist). Die Backup-Prozeduren sind absolut identisch, ungeachtet dessen, ob eine Datei versehentlich gelöscht wurde oder sich für deren Löschung ein Wurm verantwortlich zeigte.

Verteidigung ist genau das gleiche: Gegenmassnahmen um das System zu verteidigen und reaktive Massnahmen nach einem Ereignis. Eine bessere Isolation der Kraftwerke würde das Ausbreiten eines Stromausfalls verhindern, unabhängig der Gründe für dieses Ereignis. Die Seltenheit von Stromausfällen macht das Behandeln ihrer so schwierig. Disaster Recovery funktioniert gegen Überflutung und Bomben. Das Sichern des schwächsten Glieds der Kette, Schutzmassnahmen im Detail und Überprüfungen - alles wichtige Teile zur Erhöhung der Sicherheit -, sie können ebenfalls helfen Unfälle zu verhindern.

Und in beiden Fällen - Sicherheitsversagen und Unfälle - ist es eine Reihe von Fehlern, die zu spektakulären Ausmassen führen. Der Stromausfall begann in kleinem Rahmen und wiegelte sich hoch zu einem grossflächigen Stromausfall. Die Terroristen-Attacke des 11. Septembers begann als relativ kleiner Security-Fehler (die Übernahme der Flugzeuge), führte zu einem Disaster (das Hineinkrachen in das World Trade Center) und endete schliesslich in einem Horrorszenario (Verlust von Leben, Zusammenfall der Gebäude, Verlust der Kommunikationsmöglichkeiten, usw.). In keinem Fall konnte das Endresultat durch das Betrachten des ersten Fehlers vorausgesagt werden; das System war schlichtweg zu kompliziert.

Es liegt in den Verbindungeigenschaften unseres Systems, dass diese Ereignisse in einem Disaster solchen Ausmasses endeten. Es passiert selten - sowohl der Stromausfall als wie auch die Terroristen-Angriffe sind keine üblichen Zwischenfälle -, aber manchmal sind die Dinge halt eben so aneinandergereiht, dass es einfach schief gehen muss. Versucht ein intelligenter und bösartiger Angreifer die Dinge zu steuern, ist das Disaster schon viel eher vorprogrammiert.

Ich möchte mich bei allen bedanken, die am 15. August "Beyond Fear" bei Amazon bestellt haben. Das Buch kletterte auf Rang 1 der non-fiction Bestseller-Liste (über den Büchern von Al Franken) sowie Platz 3 der Bestseller-Liste ansich (hinter "The Da Vinci Code" und einem Diät-Buch).

Eigentlich wurde das Buch ja nicht vor dem 4. September publiziert und die Rezenssionen beginnen sich langsam zusammenzutragen.

"Schneiers neuestes Buch, Beyond Fear (Copernicus Books, 2003), ist ein angenehm zu lesendes Kompendium zu verschiedenen Aspekten der Welt der Security. Für das allgemeine Publikum geschrieben stellt es eine grossartige Einführung in die komplizierten und verwirrenden Themen dar." - Business Week
http://www.businessweek.com/technology/content/sep2003/tc2003092_0578.htm

"In Beyond Fear hat Schneier die grundlegende Idee von Security in sehr präziser Form für nicht-technische Leser demystifiert. Er nutzt sein legendäres Wissen und stellt der Post 11. September Welt die alles entscheidende Frage: Was kriegen wir im Gegenzug der Freiheit, die uns im Namen der Sicherheit genommen wurde?"

"Dies ist mitunter eine der wichtigsten Fragen unserer Dekade, was Schneiers Buch zu einem wichtigsten Text unserer Dekade macht. Es sollte zur Pflichtlektüre eines jeden Amerikaners gehören, denn die Welt wäre eine bessere, wenn sich jeder Gedanken über elektronische Abstimmungen, Luftfahrt-Sicherheit, Abhörtechniken und andere Schreckensszenarien machen würde." - Cory Doctorow, BoingBoing
http://boingboing.net/2003_08_01_archive.html#200444060

"Die UN-Offiziellen sollten das neue Buch des Sicherheitsexperten Bruce Schneier, Beyond Fear, gelesen haben: Das sensible Denken über Sicherheit in einer unnormalen Welt. Schneier zeigt die Gefahren bei Nichtbeachten der Grundlegenden Aspekte von Security." - glennreynolds.com
http://www.msnbc.com/news/856672.asp?cp1=1
(von Instapundit gelinkt: http://www.instapundit.com/archives/011152.php)

"Bruce Schneier ist ein Security Guru, der die grundlegenden Dinge predigt (ein typisches Thema in RISKS, obschon Grundlegendes erstaunlicherweise fremd zu sein scheint). In unserer Zeit scheinen Grundlagen ungewohnt für Leute zu sein, abgesehen von jenen, die Sie versuchen zu leben. Glücklicherweise scheinen RISKS-Leser viel eher sensibilisiert denn Nicht-Leser. Für all jene, die denken Dinge in einem Zusammenhang zu sehen, wird dieses Buch den grundlegenden Glauben erschüttern - Und genau darum unterhält es auch. Auf der anderen Seite sollten alle, die nicht wirklich Sicherheit leben, das Buch von Bruce sehr sorgfältig durchlesen." - Peter Neumann, comp.risks
http://groups.google.com/groups?dq=&hl=en&lr=&ie=UTF-8&group=comp.risks&selm=CMM.0.90.4.1060957752.risko%40chiron.csl.sri.com

Etwas schreckliches ist vor über 2 Jahren passiert. Doch besser spät als nie... Seine Arbeitet sind _stets_ grossartig und sein Kopf gefüllt mit richtigen und wichtigen Informationen."  - Hellblazer
http://www.hellblazer.com/archives/001779.html

Mein Ziel für dieses Buch war das Erreichen eines breiten Publikums, eines ausserhalb der Technologie-Gemeinde. Um an dieses Ziel heranzukommen habe ich ich vor verschiedenem Publikum gesprochen: Produk-Designer, Architekten, Ökologen, dem U.S. Kongress und der allgemeine Öffentlichkeit.

Sicherheit ist ein zu wichtiges Thema in der heutigen Zeit, alsdass es weiterhin ein Mysterium bleiben dürfte. Es ist zu wichtig, um es nur den "Experten" zu überlassen. Sicherheit betrifft uns alle, Kompromisse bewusst und mit all ihren Konsequenzen anzustreben.

Es liegt in meiner Hoffnung mit "Beyond Fear" etwas zur Debatte beizutragen.

Beyond Fear Webseite
http://www.schneier.com/bf.html

Amazons Seite
http://www.amazon.com/exec/obidos/ASIN/0387026207/counterpane/

Das Crypto-Gram wird nun seit sechs Jahren herausgegeben. Frühere Ausgaben behandeln verschiedene sicherheitsbezogene Themen. Sie können jeweils unter http://www.counterpane.com/crypto-gram.html gefunden werden. Dort findet sich eine Selektion der Artikel des gleichen Monats anderer Jahre.

Eine Spezialausgabe in Bezug auf den 11. September behandelt Luftfahrt-Sicherheit, biometrische Systeme, Kryptographie, Steganographie, Überwachungsfehler und die Wahrung der Unabhängigkeit:
http://www.counterpane.com/crypto-gram-0109a.html

Full Disclosure und das Fenster der Belichtung:
http://www.counterpane.com/crypto-gram-0009.html#1

Open Source und Sicherheit:
http://www.counterpane.com/crypto-gram-9909.html#OpenSourceandSecurity

Faktorisierung einer 512-Bit Zahl
http://www.counterpane.com/crypto-gram-9909.html#Factoringa512-bitNumber

Ein junger Associated Press Artikel über Fahrausweise für Computerbenutzern verleitet die Leute zu denken, dass ich mit dieser Idee sympathisiere.

Ich tu' es nicht. Punkt.

Die Idee ist, dass Anwender mit ihrem Computer Schaden anrichten können. Wieso sie also nicht dazu zwingen, einen Fahrausweise zu machen, wie dies beim Autofahren auch der Fall ist. Obschon dies eine Möglichkeit ist, die Leute dazu zu bewegen, dem Problem mit dem Einspielen aktualisierter Patches und einer mehr oder weniger soliden Standardkonfiguration entgegenzuwirken, sind die negativen Auswirkungen für das Informationszeitalter katastrophal. Und das ist ein schlechter Security-Kompromiss.

Es ist interessant, dass manche Leute diesen Ansatz trotzdem ernsthaft verfolgen. Ich denke, dass sich die Computerindustrie selber in eine Ecke gedrängt hat. Auf der einen Seite werden Computer für den Massenmarkt vorgesehen. Jeder sollte einen Rechner haben. Auf der anderen Seite wurden die Systeme so komplex entwickelt, dass Administratoren sehr viel Zeit für das Verständnis dieser aufbringen müssen. Eines der Resultate ist die negative Auswirkung auf die Sicherheit, wie wir sehen.

Doch ich denke nicht, dass die Lösung in einem Fahrausweis für Computeranwender liegen kann. Während ich mein Zitat gelesen habe, war mir sehr wohl bewusst, das ich soetwas nie gesagt habe. Und trotzdem hatte ich das Gefühl, eine Richtigstellung abgeben zu müssen.

http://www.cbsnews.com/stories/2003/09/11/tech/main572815.shtml

Eine interessante, unbeabsichtige Distributed Denial of Service-Attacke. Ein Unfall, kein Angreifer.
http://www.cs.wisc.edu/~plonka/netgear-sntp/

John Poindexter reichte ein Schreiben zum Rücktritt aus DARPA ein.
http://www.washingtonpost.com/ac2/wp-dyn/A51578-2003Aug12
Eine Kopie des Briefs:
http://www.washingtonpost.com/wp-srv/nation/transcripts/poindexterletter.pdf oder http://tinyurl.com/n54y

Faszinierender Artikel über das Hacken von Glücksspielautomaten:
http://www.usatoday.com/tech/news/2003-08-11-slot-cheats_x.htm

Betrachtung der Safeway Lebensmittel-Kundenkarte in Bezug auf die Privatsphäre
http://www.wired.com/news/business/0,1367,59589,00.html

Vorstellung einer neuen Flughafen Röntgenstrahl-Technologie:
http://www.wired.com/news/images/0,2334,59401-7859,00.html

Wenn Windows XP abstürzt fragt es, ob es einen Report an Microsoft schicken soll. Haben Sie sich jemals gefragt, was mit diesen Nachrichten passiert?
http://www.pcmag.com/article2/0,4149,1210067,00.asp

Patchen funktioniert nicht. (Ich habe das 2000 gesagt.)
http://www.computerworld.com/securitytopics/security/holes/story/0,10801,84083,00.html oder http://tinyurl.com/n55b
http://www.computerworld.com/softwaretopics/os/windows/story/0,10801,84084,00.html oder http://tinyurl.com/n55e

Das U.S. Departement of Justice veröffentlichte eine "Betrachtung der Performance im Abhalten, Ermitteln und Überprüfen des FBI bezüglich der Spionagetätigkeit von Philip Hanssen." Abschliessend mit einem unklassifizierten Executive Summary.
http://www.usdoj.gov/oig/special/03-08/index.htm

NIST-Report zu IDSs:
http://csrc.nist.gov/publications/nistir/nistir-7007.pdf

Entschlüsselung eines historischen Dokuments aus dem 17. Jahrhundert:
http://www.telegraph.co.uk/news/main.jhtml?xml=/news/2003/08/29/ndiary29.xml oder http://tinyurl.com/n55o

Die wirklich traurige Geschichte des Lizensierungsmodells von Dell. Eine unverständliche Lizenz hilft niemandem - Weder dem Käufer noch dem Verkäufer. Das ist wirklich schlechte Sicherheit.
http://www.cypherpunks.ca/dell.html

In einer stets wachsenden Welt von Technologi ist es wichtig nicht zu vergessen, dass low-tech ebenfalls funktioniert. Zwei als Techniker gekleidete Männer spazierten in das "Customs cargo processing and intelligence center" am Flughafen von Sidney, stöberten einige Stunden herum und gingen mit einigen Servern wieder. (Hinweis: "ASIO" steht für Australian Security Intelligence Organization, etwas ähnliches wie die CIA.)
http://news.ninemsn.com.au/National/story_51495.asp
http://www.smh.com.au/articles/2003/09/04/1062548967124.html
http://www.theregister.co.uk/content/55/32677.html

Ernstzunehmende Schwachstellen in der GSM Mobilfunk-Verschlüsselung:
http://www.newscientist.com/news/news.jsp?id=ns99994130

Interessanter Bericht zur Sicherheit von Diebolds Abstimmungsgeräten. Beängstigendes Material, besonders in Anbetracht dessen, dass schon welche für die U.S. Wahlen bestellt wurden.
http://avirubin.com/vote.pdf

Computer-Artikel, der etwas berichtet, was ich schon vor Jahren gesagt habe: Das Konzept der Perimeter-Sicherheit macht keinen Sinn. Die Publikation nutzt das "U-Boot Kriegsführung" Paradigm: Angriffe können von überall und zu jeder Zeit kommen.
http://infosecuritymag.techtarget.com/ss/0,295796,sid6_iss21_art86,00.html

Gesichts-Scanner bei Flughäfen - das Schnappen von Terroristen im Vorbeigehen - versagt in Tests hoffnungslos. Der Report wurde 2002 geschrieben, jedoch nie veröffentlicht. Die ACLU musste eine Freedom of Information Act Anfrage stellen, um eine Kopie des Artikels zu erhalten.
http://www3.gartner.com/DisplayDocument?doc_cd=117139

Interview mit Kevin Mitnick. Er hat einige interessante Dinge in Bezug auf den Status der Computersicherheit sowie die Umstände für seine Verhaftung und Überzeugung zu berichten.
http://www.itsj.com/Articles.aspx?aid=72&email=tersa@slb.com&seqid=9

Samsung Electronics in Südkorea hat das Nutzen von Kamera-Telefonen aus Angst vor dem Missbrauch für Industriespionage verboten.
http://news.bbc.co.uk/1/hi/world/asia-pacific/3052156.stm

Schneier ist zur Zeit auf einer nationalen Presse-Tour, um "Beyond Fear" zu promoten. Leider waren die Ostküstendaten alle letzte Woche. Folgend die Daten der Auftritte kommender Radio- und Fernsehsendungen:

KARE 11 News Today, KARE-TV in Minneapolis, 15. September irgendwann zwischen 10:00 und 11:00 Uhr Central Time.

The Pete Wilson Show, Radio in San Francisco, 16 September von 15:00 bis 16:00 Uhr Pacific Time.

Dave Ross Show, KIRO-AM in Seattle, 18. September von 11:00 bis 12:00 Uhr Pacific Time.

Some show auf KLAY-AM in Seattle, 18. September von 23:15 bis 23:45 Uhr Pacific Time.

Extension 720, WGN-AM in Chicago, 19. September von 21:00 bis 23:00 Uhr Central Time. Ich zweifle daran, dass dies wirklich zwei Stunden dauern wird. So steht es jedoch in meinem Terminkalender.

Introspect, KPMS-FM/KYCW-AM in Seattle, 21. September von 9:00 bis 9:15 Uhr Pacific Time.

9 Good News Day, KMSP-TV in Minneapolis, 22. September ab 8:15 Uhr Central Time.

KARE 11 News First Edition, KARE-TV in Minneapolis, 29. September ab 6:25 Uhr Central Time.

Midmorning, KNOW-FM in St. Paul, 29. September von 10:00 bis 11:00 Uhr Central Time.

Ein Interview mit Schneier:
http://www.cips.ca/news/national/news.asp?aID=1711

Business Week Interview mit Schneier:
http://www.businessweek.com/technology/content/sep2003/tc2003092_0578.htm

Interview mit Schneier in der WNYC's Leonard Lopate Show:
http://www.wnyc.org/shows/lopate/episodes/09102003
Link zur Audiodatei:
http://stream.realimpact.net/rihurl.ram?file=realimpact/wnyc/ranyco/ll091003d.ra oder http://tinyurl.com/n565

Interview mit Schneier in der WAMU's Kojo Nnamdi Show:
http://www.wamu.org/kojo/index.html
Link zur Audiodatei:
http://www.wamu.org/ram/2003/k1030911.ram

PRI's "Marketplace" Interview mit Schneier:
http://www.marketplace.org/morning_report/2003/09/10_mmr.html
Link zur Audiodatei:
http://www.marketplace.org/play/audio.php?media=/morning_report/2003/09/10_mktmorn0750&start=00:00:04:32.0&end=00:00:07:50.6 oder http://tinyurl.com/n56q

Schneier spricht an der International Conference on Advanced Technologies for Homeland Security an der Universität von Connecticut, am 25. September.
http://www.engr.uconn.edu/icaths/

Schneier spricht an der ToorCon in San Diego am 27. September.
http://www.toorcon.org/

In Birmingham, Alabama, gibt es eine Bank, die es innerhalb des Geschäftsgebäudes verbietet, Hüte zu tragen. Der Gedanke dahinter ist, die Sicherheit gegenüber Banküberfällen zu vergrössern.

Ich denke die Idee ist, dass ein Bankräuber ohne Hut viel besser von den Überwachungskameras identifiziert werden kann. Dies würde bis zu dem Zeitpunkt ein bisschen Sinn machen, wo Sie sich überlegen, wie es in der Realität aussehen würde.

Jemand kommt mit einem Hut herein. Er spaziert zum Kundenberater und kündigt seinen Überfall an. In der Zwischenzeit kommt der Wachmann und fragt: "Entschuldigung mein Herr, könnten Sie Ihren Hut abnehmen?" Ich wette, dass der Berater den kleinen Alarm-Knopf weitaus schneller gedrückt hat.

Vielleicht begünstigt ein Hut die Reaktion des Sicherheitspersonals. Doch was ist nun, wenn der Räuber eine Skimaske trägt? Wäre das nicht auch ein bisschen verdächtig? Wieso würde es damit nicht funktionieren? Und falls es nicht mit Skimasken funktioniert, wieso würde es für Hüte funktionieren?

Und die Rate der Fehlalarme würde enorm sein. Leute mit Hüten würden ständig das Gebäude betreten. Obwohl keiner von ihnen ein Bankräuber ist. Wie oft pro Tag würde der Wachmann sagen "bitte nehmen Sie ihren Hut ab", bis bemerkt wird, dass es sich nie um einen Bankräuber gehandelt hat?

Skimasken hingegen haben weitaus weniger Fehlalarme.

Doch nehmen wir einmal an, dass es eine Gruppe von Bankräubern mit Hüten gibt, die durch die Hut-Weisung von ihrem ursprünglichen Vorgehen abgehaltet werden kann. Was sollte sie davon abhalten sich als eine Nonne, orthodoxen Juden, einen Sikh mit Turban oder eine burqa-clad muslimische Frau zu verkleiden? Diese Gruppen werden ausserordentlich von der Hut-Weisung entbunden.

Legen wir all dies beiseite, bemerken wir, dass das Vorgehen trotzdem einen Vorteil für die Sicherheit mit sich bringt. Einige der Bankräuber würden lieber eine andere Bank ausreuben, da die Hut-Weisung doch ein bisschen nervig ist. Aber Bankräuber, die sich für Geschwindigkeit und Heimlichkeit interessieren, werden sich davon nicht von ihrem Vorhaben abhalten lassen.

Und schlussendlich würde es an Orten nie funktionieren, an denen es im Winter sehr kalt ist. Hüte sind nicht nur Mode; manchmal gehören sie zur Überlebensausrüstung dazu. Skimasken ebenfalls.

http://www.kansascity.com/mld/kansascity/business/6528038.htm

Eine Woche nachdem Blaster haufenweise Computer im Internet infiziert hatte, versuchte ein "gutartiger" Wurm in Bezug auf die Verbreitung in seine Fussstapfen zu treten. Blaster.D oder Nachi versucht über die gleiche Schwachstelle, die auch Blaster ausgenutzt hat, in die Computer einzudringen [Anm. d. Übersetzers: Eine deutschsprachige Beschreibung der Schwachstelle findet sich unter http://www.scip.ch/cgi-bin/smss/showadvf.pl?id=178]. Fiel eine Infektion erforlgreich aus, wird der ursprüngliche Blaster gesucht und gelöscht sowie der durch Microsoft freigegebene Patch installiert, um die Schwachstelle zu schliessen und weitere Blaster-Infektionen zu verhindern. Danach wird das Netzwerk nach ebenfalls betroffenen Systemen abgescannt und diese ebenfalls bereinigt.

Blast.D repräsentiert eine cool klingende Idee, die von Zeit zu Zeit wiedermal zu Tage tritt. Wieso benutzen wir nicht Würmer (oder Viren) für etwas gutes anstatt stets für böses? Würmer bestehen aus zwei Teilen: Einen Verbreitungs-Mechanismus und einen Datenteil (engl. payload). Der Verbreitungs-Mechanismus ist für das Weiterreichen von Computer zu Computer zuständig. Der Datenteil übernimmt die Arbeit nach einer erfolgreichen Infektion. Sofern ein Wurm einen jeden Computer befallen kann, wieso brauchen wir sie dann nicht, um die Sicherheit zu verbessern? Wieso entwickeln wir nicht Würmer mit gutartigem Datenteil und verbreiten diese ungehindert?

Dies ist aus mehreren Gründen fragwürdig. Einer ist poetischer Natur: Das Wenden einer Waffe gegen sich selbst. Zweitens werden ethische Programmierer mit dem Entwickeln von Würmern in Kontakt gebracht. Und drittens klingt es wie ein Werbespruch für eines der hässlichsten Probleme der Online-Sicherheit: Das Patchen und Beheben der Schwachstellen von Computern.

Jeder weiss, dass Patchen etwas mühsames ist. Anwender, ganz besonders Heimanwender, pflegen es nicht zu tun. Ein richtiger Patching-Prozess erfordert das Sammeln von Informationen, Abwägen und jede Menge Handarbeit... Dinge, die niemand wirklich geniesst. Gutartige Würmer schauen daher wie eine angenehme Lösung aus. Man dreht ein byzantinisches soziales Problem in ein unterhaltsames technisches Problem. Man muss nicht mehr die Leute darauf hinweisen, die Patches zu installieren und ihre Systeme upzudaten; man benutzt die Technologie um diese Prozesse zu forcieren.

Und das ist genau das Schreckliche an der Idee. Das Patchen der Systeme anderer Leute ohne sie zu langweilen ist eine gute Sache; das Patchen ohne deren Einverständnis hingegen nicht. Ein Wurm ist unabhängig von seinem Datenteil "gut" oder "schlecht". Virale Verbreitungsmechanismen sind grundsätzlich schlecht und ein gutartiger Datenteil macht den Hintergrund nicht besser. Ein Wurm ist kein Werkzeug für einen vertrauenswürdigen Administratoren, unabhängig von seinen Beweggründen.

Ein guter Mechanismus für die Verbreitung von Software weist die folgenden Charakteristika auf:

1. Die Leute können die Optionen wählen, die sie wollen.
2. Die Installation erfolgt auf dem System auf dem sie durchgeführt wird.
3. Es ist einfach eine laufende Installation abzubrechen oder die Software wieder zu deinstallieren.
4. Es ist einfach zu wissen, was wo installiert wurde.

Ein erfolgreicher Wurm hingegen funktioniert ohne die Zustimmung des Benutzers. Er besteht aus wenigen Codezeilen und einmal gestartet beginnt er seine Verbreitung automatisiert, bis diese gestoppt wird.

Diese Charakteristiken sind schlichtweg inkompatibel. Den Anwendern die Wahl lassen, die Installation flexibel und universal zu gestalten, die Möglichkeit einer Deinstallation geben - All dies macht die Verbreitung eines Wurmes nicht gerade einfacher. Bessere Verbreitungs-Prozeduren für die Software macht den Wurm schlechter und vice versa. Und im Gegenzug ist ein leiser und für den Benutzer weniger aufdringlichere Wurm nicht so gut in seiner Verbreitung und steht gar für eine schlechte Software Distribution.

All das begünstigt es, einen Wurm falsch erscheinen zu lassen und das Recovery dessen wird umso schwieriger. Experimente, die meisten unfreiwillig angesetzt, bewiesen, dass das erfolgreiche Analysieren eines Wurms sehr schwierig ist: Mit anderen Worten, konnte sich ein Wurm ersteinmal verbreiten, ist es sehr schwierig vorherzusagen, was er genau tun wird. Viele Viren wurden in harmlosen Sinne entwickelt um sich selber weiterzuverbreiten - Sie richteten jedoch aufgrund eines ungewollten Programmierfehlers trotzdem Schaden an, was vom Abstürzen von Systemen bis hin zu verstopften Netzwerken reichte. Viele Würmer würde aus rein destriktiven Zwecken geschrieben - Es stellte sich jedoch heraus, dass sie eigentlich harmlos sind (was relativ selten angetroffen wird).

Absichtlich durchgeführte Experimente gewissenhafter Administratoren belegen, dass in einem normalen Büro der Code, der eine Schwachstelle auf einem System erfolgreich behebt, dies auf einem anderen System nicht zwingend ebenfalls machen kann. In der Tat sind manche Resultate noch viel schlimmer weder eine Attacke von Aussen. Die Kombination des Problems eines Verteilungs-Mechanismus, dessen Analyse schier unmöglich ist und der Schwierigkeit der Kontrolle stellt eine ernstzunehmende Gefahr dar. Jeder Administrator, der jemals automatisiert Software auf Systemen appliziert hat kennt das Problem: "Ich habe lediglich die Automation mit dem Drücken eines Knopfs in die Wege geleitet und so gleichzeitig die Software von hunderten von Systemen zerstört!" Und dabei handelte es sich noch um Systeme die man Analysieren kann und unter der eigenen Kontrolle stehen; sich selber verbreitende Systeme können nicht einfach abgeschaltet werden, wenn man das Problem identifiziert hat. Das Patchen von Systemen ist grundsätzlich ein menschliches Problem und gutartige Würmer sind eine technische Lösung, die schlichtweg nicht funktioniert.

Auf der anderen Seite sind automatisierte Update-Prozesse oft eine gute Idee. Administratoren von Firmennetzwerken hassen sie aus verständlichen Gründen. Es gibt jedoch keine andere Möglichkeit die Privatsysteme auf dem neuesten Stand zu halten. Es gibt Horden von Computeranwendern die ausser Stande sind, ihre eigenen Computer zu administrieren. Für all jene empfehle ich dringendst automatische Updates. Es wird nicht perfekt sein. Es wird gar eventuell ihre Systeme negativ beeinträchtigen. Und früher oder später wird jemand herausfinden, wie man über das automatische Update-System Malware einschleusen kann.  Aber es ist doch viel besser weder die Alternative, dass diese Systeme nie gepatcht werden.

(Eine frühe Version dieses Essays wurde 2000 von Elizabeth Zwicky verfasst und erschien im "The Industry Standard.")

Blast.D Geschichten:
http://www.washingtonpost.com/ac2/wp-dyn/A9531-2003Aug18
http://www.computerworld.com/printthis/2003/0,4814,84126,00.html
http://news.com.com/2102-1002_3-5065117.html?tag=ni_print

Kaliforniens Security Breach Information Act ist seit dem 1. Juli im Einsatz. Wie die Presse berichtet, zwingt dieses Gesetz die Firmen die Freigabe von Informationen zu Sicherheitsproblemen bei Zwischenfällen zu brechen. Beispielsweise wenn die Kreditkartennummer aus der Datenbank einer Firma gestohlen wurde, muss diese Firma Sie - sofern Sie in Kalifornien leben - darüber informieren. Dies ist ein zweischneidiges Schwert. Erstens sehen sich die Kunden im Stand bessere Entscheidungen bezüglich der Sicherheit zu fällen, da mehr Informationen bekannt sind. Und zweitens werden die Firmen aufgrund der Furcht vor Repressalien mehr Aufwand für die Sicherheit ihrer Umgebung betreiben.

Es ist eine wirklich gute Idee, doch ist das Gesetz so schlecht ausformuliert, dass es schon fast eine Schande ist. Die Schlupflöcher sind gross genug, um jeglichen Sicherheits-Zwischenfall zu verstecken:

1. Es betrifft nur Datendiebstahl, bei dem der Name der Person und eine der folgenden Daten entwendet werden konnte: Eine Social Security Number (Abk. SSN), die Führerausweis-Nummer oder eine Nummer eines Finanzkontos inkl. PIN oder Passwort. Eine Datenbank mit Namen und SSNs würde abgedeckt werden. Eine Datenbank mit Namen, Debitkartennummern und PINs würde abgedeckt werden. Eine Datenbank mit SSNs, Debitkartennummern ohne PIN würde nicht abgedeckt werden. Eine Datenbank mit Namen und Kreditkartennummern ohne PINs würde nicht abgedeckt werden. Ebenfalls ein Kredit-Report oder Finazstatement ohne SSN nicht.
2. Es betrifft nicht den Diebstahl irgendwelcher anderer Daten. Keine Informationsweitergabe ist erforderlich, wenn jemand sensitive Gesundheits-Daten stehlen würde. Das Gleiche, wenn Verkaufslisten entwendet worden wären. Keine Informationsweiterhabe also beim Diebstahl von Leihvideo- oder Bücherei-Karteien, persönlichen Emails, Gerichtsbeschlüssen, Kriminaldaten oder anderen persönlichen Informationen.
3. Das Gesetz greift nur, wenn der Name oder die anderen Daten nicht verschlüsselt worden sind. Dies macht so lange Sinn bis Sie bemerken, dass an keiner Stelle die kryptographischen Standards bestimmt wurden. Sogar wenn die Verschlüsselung geknackt werden kann, der Schlüssel ebenfalls mit den Daten gestohlen wurde oder gar die Datenbank mittels ROT-13 geschützt wurde, ist keine Informationsweitergabe erforderlich.
4. Die Informationsweitergabe kann verzögert werden, "wenn eine staatliche Behörde dies als negative Beeinträchtigung für die kriminalistischen Untersuchungen ansieht."

Firmen dazu zu zwingen ihre Kunden bei Datendiebstahl zu informieren ist eine gute Sache, doch ist das Gesetz so schlecht geschrieben, das man es getrost ignorieren kann. In einem Computerworld-Artikel sagte ein Rechtsanwalt: "Viele Firmen denken darüber nach, den Kunden zufällige Kennnummern zu geben, diese in der Datenbank unabhängig von den wirklichen Daten zu speichern." Das ist zwar ganz korrekt, möchte man dem Gesetz Folge leisten. Es ist aber ganz und gar nicht im Sinne des Ganzen.

Hier lediglich ein Beispiel. Letzten Monat wurde Daniel Baas für das Einbrechen und Stehlen von Kundendaten in die Acxiom Corp. Datenbank festgenommen. Acxiom ist eine Firma, die Benutzerdatenbanken für andere Firmen, zum Beispiel IBM, AT&T und General Electric, analysiert. Sie haben eine Vielzahl an Daten und kalifornischen Kunden. Hätte Acxiom nun nicht gezwungen sein sollen, seinen Kunden in Kalifornien ein peinliches Eingeständnis zu machen? Ist das nicht genau das, was dieses Gesetz hätte abdecken sollen? Der Grund, warum kein Zwang gegeben war liegt in der Ineffektivität des Gesetzes ansich.

Text des kalifonischen Gesetzes:
http://www.privacyprotection.ca.gov/code/cc1798.291798.82.htm

Eine nette Analyse des Gesetzes und seiner Auswirkungen:
http://www.eweek.com/article2/0,3959,1191924,00.asp

Senator Diane Feinstein
http://www.infoworld.com/article/03/07/18/HNsmallsteps_1.html
Text:
http://frwebgate.access.gpo.gov/cgi-bin/getdoc.cgi?dbname=108_cong_bills&docid=f:s1350is.txt.pdf oder http://tinyurl.com/n57d

Acxiom Hack:
http://www.theregister.co.uk/content/55/32278.html
http://www.securityfocus.com/news/6733

In der Crypto-Gram Ausgabe des 15. August habe ich fälschlicherweise das folgende Schreiben Andy Brown <logic@warthog.com> zugeordnet:

"Ich schreibe Dir in Bezug auf die Briefe-Sektion in Deinem Crypto-Gram des 15. Juli 2003, welche die Kopfzeile 'Von:  Irgendwo / Betreff:  Ich habe keine Ahnung, ehrlich' enthält. Im Vorwort zur Nachricht schreibst Du, "Ich gebe sie lediglich zu Unterhaltungszwecken wider.'

Mit Respekt muss ich gestehen, dass ich diesen Brief in keinster Weise als unterhaltsam empfunden habe; auf der anderen Seite fand ich seinen Inhalt verwirrend und war deshalb über Deine Auswahl zur Veröffentlichung ein bisschen erbost. Vielleicht, so denke ich, hast Du dies im Sinne gemacht, dass der Schreiber desillusorisch veranlagt ist. Ist dies der Fall, dann verdient er/sie wahrhaftig das entsprechende Mitleid - aber kaum in der Form einer solchen Vorführung; in einem solchen Fall sollte es von Deiner Grösse sein, nicht mit einer überheblichen Arroganz aufzutrumpfen ('... wahnhafte Paranoia...'? Ist dies nicht eine sehr kraftvolle Aussage, mit denen vor allem Experten Mühe haben?)"

Der Autor dieses Emails war jedoch Dr. Robert Taylor <RobertTaylor@SpamCop.net>.

Ich muss mich bei beiden entschuldigen.

Von: Bruce McNair <bmcnair@novidesic.com>
Betreff: Wie kämpfen

Ich denke, dass es sehr schlimm ist, absichtlich fehlerhafte Informationen staatlichen Stellen oder Firmen zu geben, wie dies Richard empfiehlt. Ich weiss, dass wenn mich der Staat von New Jersey um meine SSN für die Erneuerung meines Führerausweises fragt, ich niemals falsche Informationen geben würde. Selbstverständlich bin ich stets in Eile und meine Handschrift mag nicht ganz die schönste sein...

Und trotzdem gebe ich mir stets Mühe, nicht versehentlich irgendwelche Ziffern zu vertauschen. Ich gebe stets acht, dass ich die korrekten Zahlen eintrage - Ich will mich ja nicht mit dem Problem konfrontiert sehen, meine Handschrift entziffern zu müssen. Trotzdem tendieren meine Zahlen wie griechische Kleinbuchstaben auszusehen, die meine Professoren zu nutzen pflegten. Du weisst schon: Eta und zeta und die die vielen anderen, die aussehen wie spastische Schlangen.

Wie die Angestellten, die meine Kreditkarte elektronisch verbuchen, wissen die DMV-Angestellten nicht wirklich, was da gemacht wird. Sie tun es lediglich um ihrem Chef zu zeigen, dass sie niemanden ohne das Ausfüllen der Formulare durchgelassen haben.

Ach übrigens, was sind die römischen Zeichen um die Nummern der Reihe 10**8 anzugeben? Ich habe überprüft, dass die DMV-Formulare keine Anforderungen und die Darstellung stellen. So sehe ich nicht ein, warum man die SSN nicht auch mal mit anderen Zahlen schreiben könnte.

Von: Pekka Pihlajasaari <pekka@data.co.za>
Betreff: Wie kämpfen

Das Verleiten zu einem Kapitalverbrechen ist zweifellos negativ und nicht besonders schwierig als solches zu beweisen. Ich gestehe ein, dass der Widerstand am einfachsten durch das Verbreiten falscher Informationen aufrecht erhalten werden kann, doch das bekämpft nicht die grundsätzlichen Schwächen in der Abarbeitung dieser Daten.

Als ich gestern den Parkplatz eines Einkaufszentrums verlassen wollte fiel mir auf, dass ich ich den Parkbeleg verloren hatte, nachdem ich diesen am Automaten bezahlt hatte. Es kam, dass ich eine Kopie des Auszahlungsbelegs bei mir trug. Ich entschied, diesen als zusätzlichen Beweis für meine Erlaubnis den Parkplatz zu verlassen dem Sicherheitspersonal, das mich am Weggang hindern wollte, vorzuzeigen.

Der Security Manager sagte schlussendlich, dass der Zahlungsbeleg schon als Beweis für die Zahlung genutzt werden könnte. Die Umstände wurden deshalb gemacht, um Autodiebstahl zu verhindern (da viele Fahrer den Zahlungsbeleg einfach im Auto liegen lassen). Er wollte damit demonstrieren, dass sie sich sehr wohl der Sicherheit bewusst sind und entsprechend misstrauisch sein müssen.

Schlussendlich kam die Polizei, die die Identität des Inhabers des geparkten Autos bewies (wobei es sich um mich handelte). Ich verschwendete 90 Minuten und vielleicht wird der Security Manager das nächste Mal doppelt überlegen, bevor er jemanden an der Ausfahrt aufhält.

Von: "Balog Pal" <pasa@lib.hu>
Betreff: Bestätigung des Photos der Identitätskarte

>    Security Notes from All Over:  Bestätigung des Photos der Identitätskarte

> Mitarbeiter: Dies ist mein Gesicht - Ich trage es auf meinem Kopf.
>
> Wachmann: Ich brauche ein anderes Stück Identifikation, um dieses
> mit dem anderen zu vergleichen.
>
> Dies ist ein ausgezeichnetes Beispiel das zeigt, dass Wachmänner oft
> nicht verstehen, wie Sicherheit wirklich funktioniert.

Diese Geschichte brachte mich wirklich zum lachen.Wie dem auch sei konnte ich Dir nicht bei allen Kommentaren zustimmen. Der Wachmann war vielleicht wirklich ahnungslos und seine Argumentation lässt dies ganz besonders vermuten. Wäre ich jedoch selbst dieser Wachmann, hätte ich wohl ebenfalls um eine Identitätskarte gebeten.

Andererseits könnte ich einen wirklich einfachen Trick anwenden. Mein Gesicht ähnelt dem eines anderen Mitarbeiters stark und ich bin im Besitz des Wissens um seine ID-Nummer. Eine nicht wirklich geheime Information. Dann komme ich genau mit der gleichen Geschichte mit dem verlorenen Token daher. Falls mich der Wachmann nach meinem Führerausweis fragt, kann er sicher(er) sein, dass ich wirklich der Mitarbeiter bin, der auf der vorgezeigten ID-Karte ausgewiesen wird. Um den Angriff erfolgreich durchzuführen muss ich lediglich genügend persönliche Daten zur Zielperson sammeln und einen gefälschten Ausweis erstellen. Oder diesen einfach stehlen.

Von: "Anderson, Kevin" <kevina@datapower.com>
Betreff: Bestätigung des Photos der Identitätskarte

Auf den ersten Blick wirkt der Wachmann dämlich, jedoch kann ich mir vorstellen, dass der "Mitarbeiter" wirklich jemand ist, der für einen Einbruch in die Firmenwebseite in der Nacht zuvor genutzt und das Photo angepasst wurde. Eine Kombination von Name, Photo und Adresse wäre die mitunter beste Authentifikations-Methode. In diesem Fall sollte der Wachmann IMMER die Identitätskarte den Firmen-Daten, für die Richtlinien von Leuten erstellt wurden, die hoffentlich mehr Ahnung von Sicherheit haben weder er, gegenüberstellen. Es ist besser, dass der Wachmann "hirnlos" durch die "Security Checkliste" geht, als mit dem Überspringen von Punkten beginnt. Wäre der Wachmann eine Firewall und würde bestimmte Filter-Regeln auslassen, würden wir es einen Bug nennen und beheben wollen.

Von: "Heber Watts" <hewatts@comcast.net>
Betreff: National Crime Information Center (NCIC) Database Accuracy

Ich habe Deinen Artikel gelesen; National Crime Information Center (NCIC) Database Accuracy in der Ausgabe vom 15. April 2003 des Crypto-Gram. Der einzige Fehler, den ich in Deinem Artikel gefunden habe ist folgender:

Du gehst davon aus, dass

1. "Der Privacy Act von 1974 erfordert vom FBI die erforderliche Aktualität und Komplettheit der Daten in ihrer Datenbank. Letzten Monat entbindete das Justice Departement das gesamte System von dieser rechtlichen Voraussetzung."

2. "Dies ist nicht bloss schlechtes soziales Verhalten, sondern schlechte Sicherheit. Eine Datenbank mit mehr Fehlern ist grundsätzlich nutzloser weder eine Datenbank mit weniger Fehlern. Und eine falsch abgefüllte Security-Datenbank ist viel mehr ein Ziel gegen Unschuldige, weder die Schuldigen dadurch straffrei ausgehen könnten."

Diese Aussagen verleiten anzunehmen, dass kein Überblick über die Richtigkeit der Daten besteht. Das Problem des Privacy Act von 1974 ist jedoch, dass niemand den enormen Wachstum der in der NCIC Datenbank zu verarbeitenden Daten vorhersehen konnte. Ich gebe Dir absolut Recht, dass die Datenbank enorme Ausmasse hat und diese das grundlegende Problem ihrer sind. Es war für das FBI unmöglich die Richtigkeit der Daten, die von mehr als 80'000 angeschlossenen Institutionen eingegeben wurde, zu überprüfen. Die Bürde der Überprüfung der Informationen fällt nun den jeweiligen Staaten zu. Mit dieser Zuständigkeit kommt natürlich auch die Verbindlichkeit hinzu.

Es gibt keine Möglichkeit für eine einzelne zentrale Stelle die Richtigkeit einer solch enormen Datenmenge zu verifizieren. Desweiteren nehmen Polizeibeamte nicht jemanden fest, weil die Datenbank ihn als "schuldig" kennzeichnet. Die Meldungen lauten normalerweise "wahrscheinlich für den Gewahrsam vorgesehen". Zum Beispiel, ein Polizist in Maryland stoppt einen Motorradfahrer, macht eine NCIC-Abfrage und erhält einen "Treffer", dass das Individuum in Kalifornien gesucht wird. Der Polizeibeamte wird den Motorradfahrer zurückhalten wollen und der Operator bei der Polizei von Maryland wird unverzüglich die notwendigen Informationen von Kalifornien einholen. Die Leute in Kalifornien haben eine gewisse Zeitspanne die Richtigkeit des Haftbefehls zu bestätigen und eine Reise nach Maryland anzutreten, um die gesuchte Person zurück nach Kalifornien zu bringen. Ist Kalifornien ausser Stande, den Haftbefehlt zu "verifizieren", oder wollen sie niemanden für den Rücktransport der Person vorbeischicken, wird kein Arrest verhängt.

Die einzelnen Aussenstellen sind dazu aufgefordert Systeme im Einsatz zu haben, mit deren Hilfe sie die Richtigkeit der von ihnen eingegebenen Informationen bestätigen können. Zudem haben die NCIC-Informationen eine sehr geringe Glaubwürdigkeit. Die grösste Glaubwürdigkeit ist dann gegeben, wie im eingehenden Beispiel vorgetragen. Falls der kalifornische Haftbefehl für den Motorradfahrer nicht bestätigt werden konnte und Kalifornien keine Eskortierung anordnet und der Motorradfahrer entscheidet, den Polizisten wegen unbegründeter Festhaltung zu belangen, kann der Polizeibeamte höchstens mit dem Argument aufwarten, dass er dies zur Verifizierung der Daten durch NCIC habe machen müssen. Der Polizist aus Maryland wäre geschützt, weil sein Handeln in dieser Situation gerechtfertigt war. In diesem Fall hätte Kalifornien jedoch die Pflicht jeden Verdacht in NCIC rechtzeitig bestätigen zu können. Sie sind technisch für die Richtigkeit und Verfügbarkeit der Daten verantwortlich.

Dies ist aus der Sicht der Informations-Technologen nicht ganz effizient, doch es ist eine sichere Methode. Leute werden nicht für eine unmenschliche Zeitdauer festgehalten oder fälschlicherweise festgenommen. Da gibt es noch immer kleinere Fehler wie Schreibfehler, jedoch können diese Daten durch mehrmaliges Überprüfen berichtigt werden. Das System ist nicht perfekt, jedoch auch nicht weit offen.

Von: Saul Backal <saul@meganet.com>, Ralph Lotkin <lotkinlaw@aol.com>
Betreff: Meganet

Meganet Corporation ist der Erfinder und Besitzer einer Verschlüsselungs-Technologie namens VME--Virtual Matrix Encryption, ein symmetrischer 1 Millionen-Bit Verschlüsselungs-Algorithmus, der durch das U.S. Patent No. 6,219,421 vom 17. April 2001 geschützt wird. Trotz dieser Patentbewilligung und der Tatsache, dass eine Vielzahl an Kunden weltweit die Technologie einsetzen, hegen viele Individual der "Crypto-Community" eine Abneigung gegenüber Meganet Corporation und belittle VME, ohne jemals einen ernsten Blick auf die Technologie geworfen zu haben.

Aus unserer Sicht wird sowohl Meganet Corporation als auch VME fälschlicherweise verurteilt. Alles was wir wollen ist, dass Ihr unserer Technologie eines ernsten Blickes würdigen. Das einzige ist also, dass die Crypto-Community Meganet und VME objektiv beurteilen.

Wieso gab es diesbezüglich Kritik? Die erste Antwort ist, dass wir einige ungeschickte Business-Fehler begangen haben. Und aus diesem Grund beeilte sich die Community schnellstmöglich anhand dieser eine Beurteilung zu tätigen, ohne die ganze Sache objektiv zu analysieren.

Meganet Corporation begann als Zweimann-Unternehmen. Die Technologie war grossartig, jedoch gab es kein professionelles Marketing und kein erfahrener Businessmann, so dass wir auf die falsche Marketing-Firma gesetzt haben - Eine Firma, die sich selber als Marktführer in Punkto Marketing proklamierte, es jedoch nicht war. Die technische Dokumentation von VME wurde unterteilt, um sie in handlicher Form weiterzureichen. Die Folgen dieser Entscheidung waren tragisch. Leute, die die Marketing-Daten von VME vorgesetzt bekamen mussten etwas verstehen, ohne es jemals im Einsatz gesehen zu haben. So viel wir wissen hat keiner der Experten jemals den Algorithmus, den Quelltext oder das U.S. Patent angeschaut oder uns kontaktiert.

Also, was machte Meganet falsch? Wir heuerten das falsche Marketing-Team, ohne Wissen zur Industrie oder der Technologie, an. Ein Fehler, den viele Startup-Unternehmen machen. Wir hoffen aus diesem Fehler gelernt zu haben.

Zweitens wurde Meganet für die Entscheidung verurteilt, den Quelltext von VME nicht öffentlich zugänglich zu machen. Wie dem auch sei wollten wir uns die Möglichkeit nicht verbauen, durch unsere Technologie Profit zu machen, andere von der Anfertigung illegaler Kopien unseres geistigen Eigentums abzuhalten. In "Angewandte Kryptographie" (engl. "Applied Cryptography") nennt Bruce Schneier dieses Verhalten "Sicherheit durch Geheimhaltung" (engl. "security by obscurity") und es sei unakzeptabel. Und trotzdem wirft Schneier Shamir bei der Diskussion der RC4- und RC5-Algorithmen nicht vor, den gleichen Fehler begangen zu haben. Dies wahrscheinlich, weil Shamir ein respektabler Professor auf seinem Gebiet ist. RC4 und RC5 wurden populäre Algorithmen. Wieso wurden diese Algorithmen verschlossen gehalten? Wir glauben, dass Professor Shamir durch den Verkauf der Technologie Profit machen wollte, im Gegensatz zu RSA, die die ersten acht Jahre ihrer Existenz zusahen, wie die gesamte Welt ohne Zahlungen, obwohl sie ein Patent dafür hatten, ihre Technologie nutzten. Wie wir wissen dauerte es ungefährt zwei Dekaden, bis RSA ihren Profit mit den Technologien machen konnten, während RC4 und RC5 unverzüglich Profit einbrachte.

Also, wir stimmen in Bezug auf die Freigabe nicht zu, dass unsere Entscheidung ein Fehler war. Wichtig ist, dass die VME-Anwendung für mehr als 7 Jahre frei Verfügbar (als Eval-Versionen) ist. So fragen wir einmal mehr: "Hat jemals einer der Experten das Patent oder das Algorithmus-Material ernsthaft begutachtet?" Hat jemals einer von ihnen uns kontaktiert? Mit bestem Wissen und Gewissen können wir "Nein" als Antwort geben.

Vielleicht ist es einfacher zu sagen, dass VME "dämlich" ist, weder neue Ansätze in der Verschlüsselung zu betrachten. So sollte nämlich die Disassemblierung des ausführbaren VME-Codes, der sich lediglich auf 160 KB beläuft, eine einfache Aufgabe für einen Verschlüsselungs-Experten darstellen. Falls "security by obscurity" per se schlecht ist, wieso gibt es denn unter der Vielzahl der Experten niemanden, der einen ausführbaren Code von 160 KB analysieren und beweisen kann, dass VME ziemlich "dämlich" ist?

Wahrhaftig haben sich viele über unsere Wettbewerbe für Hacker und Verschlüsselungs-Enthusiasten beschwert. Diese Challenges wurden als "unfair", "Lügen" und "unfundiert" abgetan. Wir sind nicht dieser Meinung. Wir stellten die Anwendung zur Verfügung, die die Datei verschlüsselt hat. Ebenfalls haben wir die verschlüsselte Datei zur Verfügung gestellt. Und am Ende des Wettbewerbs konnte in jeder als Beweis die Lösung auf unserer Webseite eingeben. Nichts fehlte. Ist das nicht auch, wie staatliche und Sicherheit in Organisationen zu funktionieren pflegt?

Schlussendlich hat sich die Kritik auf die Grundlage unserer Technologie konzentriert - Die eine Million Bits. Für uns sehr unterhaltsam mitanzusehen, wie dies als erstes Anzeichen für die "Dämlichkeit" gedeutet wurde. Falls dem wirklich so ist, wie kommt es dann, das die Technologie mitlerweile auf tausenden von Rechnern der U.S. Regierung und noch mehr Corporate Users weltweit eingesetzt wird? Wieso haben sie diese Technologie gekauft? Weil sie der Meinung sind, dass VME eine der kostengünstigsten und stärksten kommerziellen symmetrischen Verschlüsselungs-Technologien der aktuellen Stunde darstellt.

Wo soll es nun hingehen? Wir offerieren die folgende Empfehlung:

Als erstes, schauen Sie sich VME selbst einmal an - Bestätigen oder übernehmen Sie nicht einfach die Meinung anderer. Einen Satz nicht zu verstehen heisst nicht, dass er falsch oder sinnlos ist. Noch besser gar, rufen Sie uns an, falls Sie mehr informationen wollen.

Zweitens, beobachten Sie den "Crypto-Community Challenge", den wir am 15. September für 6 Monate auf unserer Webseite anbieten. Wir stellen die verschlüsselte Datei und die Anwendung, die die Datei verschlüsselt hat zur freien Verfügung. Falls erfolgreich, wird der Gewinner einen grosszügigen Preis erhalten. Wir laden, oder noch besser wir fordern Bruce Schneier und Counterpane zu diesem Wettbewerb ein, so wie dies auch als Reaktion auf die RSA-Challenges geschah. Seien Sie ehrlich und schauen Sie selbst, ob VME wirklich das ist, was es vorgibt zu sein.
 

Als sich ständig entwickelnde Technologie-Gemeinschaft, schulden wir es uns selber, professionell zu sein und neue Techniken sowie Herangehensweisen auf ihre Verdienste hin zu untersuchen. Meganet sucht lediglich dieses minimale Mass an Fairness. Wir hoffen dieser kleine Dialog wird eine Nachprüfung in die Wege leiten.

Danke für Ihre Aufmerksamkeit.

Bitte sind Sie so frei das CRYPTO-GRAM an Kollegen und Freunde, die sich für die Themen interessieren könnten, weiterzureichen. Die Rechte für eine solche Weitergabe sind gegeben, solange dies in vollem Umfang geschieht. Dies gilt sowohl für das Original wie auch für die Übersetzung.

Das CRYPTO-GRAM wird von Bruce Schneier geschrieben. Schneier ist der Autor der Bestseller "Beyond Fear", "Secrets and Lies" sowie "Applied Cryptography". Er entwickelte die Blowfish- und Twofish-Algorithmen. Er ist der Gründer und CTO von Counterpane Internet Security Inc. und ein Mitglied des Advisory Board des Electronic Privacy Information Center (EPIC). Er schreibt oft und viel zu Security-Themen. Siehe http://www.schneier.com

Counterpane Internet Security, Inc. ist der World-Leader in Punkto Managed Security Monitoring. Die Experten bei Counterpane beschützen die Netzwerke der 1'000 wichtigsten Firmen weltweit. Siehe http://www.counterpane.com

Copyright (c) 2003 bei Bruce Schneier.

Die deutschen Übersetzungen des CRYPTO-GRAMS werden durch die scip AG durchgeführt. Die ausgewiesenen Spezialisten der scip AG verfügen, in diesem sehr komplexen sowie breitgefächerten Spezialgebiet, über jahrelang erarbeitetes und angewandtes Wissen. Gerne beraten wir Sie in Bezug auf die Sicherheit Ihrer Computersysteme. Nutzen Sie unsere Dienstleistungen.