Ein freier, monatlich erscheinender Newsletter, der Zusammenfassungen, Analysen, Einsichten und Kommentare zu Security-Themen im Computer-Bereich und anderen Gebieten enthält.

Frühere Ausgaben im englischen Original sind unter http://www.schneier.com/crypto-gram.html verfügbar. Für eine Abonnierung dieser besuchen Sie http://www.schneier.com/crypto-gram.html oder schicken Sie eine leere Email an crypto-gram-subscribe@chaparraltree.com. Die deutschen Übersetzungen finden sich jeweils unter den Publikationen bei http://www.scip.ch.

In dieser Ausgabe enthalten:

• Die Zukunft der Überwachung
• Crypto-Gram Reprints
• Smartshield
• Der Patriot Act und Mission Creep
• News
• Counterpane News
• Weitere Beyond Fear Reviews
• Security Notes from All Over: Reaktionen auf Bombendrohungen
• Raubkopieren von Filmen
• Security Notes from All Over: Precision Stripping
• Thema Identitätskarten
• Sicherheitsrisiko der Monokultur
• Kommentare der Leser

An einer Tankstelle in Coquitlam, British Columbia, installierten zwei Angestellte eine Kamera über einem ATM Gerät. Sie nahmen damit tausende Leute bei der Eingabe ihrer PINs auf. In Kombination mit der aufgesetzten Abdeckung kamen sie so in den Besitz der Kartennummern; mit diesem Informations-Paar waren sie in der Lage Millionen zu stehlen, bevor sie dingfest gemacht werden konnten.

In mindestens 14 Kinko's Copy Shops in New York City installierte Juju Jiang Keylogger auf mietbaren Rechnern. Über ein Jahr lang schnitt er so Kommunikationen mit und erlangte mehr als 450 Benutzernamen und Passwörter, die er für Zugriffe auf Online-Bankkonten missbrauchte.

Es wurde schon viel über die Gefahren der wachsenden Überwachung durch den Staat geschrieben. Wir müssen uns jedoch auch den Gefahren der zunehmenden kleinbürgerlichen Überwachung bewusst werden. Die Entwicklungen - die Verkleinerung der Überwachungstechniken, die fallenden Preise für digitale Speichermedien und der Wachstum der Rechenleistung zur Verarbeitung dieser - zeigt auf, dass Überwachungsmöglichkeiten nicht mehr nur dem Staat vorenthalten bleibt. Jetzt, oder wenigstens bald, wird ein solches Vorgehen für jedermann möglich sein.

Das Nutzen so mancher Überwachung scheint gutartig. Feine Restaurants pflegen Kameras in den Esszimmern einzurichten, damit der Chefkoch seinen Gästen beim Speisen seiner Kreationen beiwohnen kann. Telefon-Helpdesks nehmen manchmal Kundengespräche auf, um diese für das Training der Angestellten weiterzuverwenden.

Andere Nutzungsmöglichkeiten sind weniger schön. Einige Arbeitgeber überwachen die Computer ihrer Mitarbeiter, um zum Beispiel das Nutzen für private Zwecke während der Arbeitszeit aufzudecken. Eine Firma verschickt Greeting Cards über Email, um auf den Zielsystemen Spyware zu installieren. Einige Büchereien bewahren Suchabfragen der Leserschaft auf und Amazon dokumentiert das Surfverhalten der Besucher auf ihrer Webseite.

Und wie wir gesehen haben, sind einige Überwachungen gar kriminell.

Dieser Trend wird sich in den kommenden Jahren fortsetzen, da die Technik sich ebenso in diese Richtung entwickeln wird. Kameras werden immer kleiner und weniger auffallend. Jene Technologien werden immer kleinere Details aufnehmen können und gar durch Wände "hindurchblicken" können. Und Computer werden die dadurch anfallenden Daten immer besser verarbeiten können. Heutzutage sind Kameras dumm in ihrem Aufzeichnen - In Zukunft werden sie jedoch Gesichter erkennen und Personen identifizieren können. Identitätskarten mit Fotos gehören dann der Vergangenheit an, weil jeder unverzüglich weiss, wer Sie sind. Betreten Sie ein Geschäft und Sie sind unverzüglich identifiziert. Setzen Sie sich vor einen Computer und Sie sind sofort identifiziert [Anm. d. Übersetzers: Ein solches Szenarion wird hervorragend im Film "Minority Report" illustriert [http://www.imdb.com/title/tt0181689/]). Ich kann nicht mit Bestimmtheit sagen, ob die Identifikation über Gesichtserkennung, DNA-Analyse oder etwas komplett anderes geschehen wird. Ich bin nicht in der Lage zu sagen, ob diese Zukunft zehn oder zwanzig Jahr entfernt ist - Doch eventuell wird es handlich und billig genug für den Massenmarkt sein. (Denken Sie daran, dass dank Marketing selbst eine Technologie mit hohen Falschmeldungen erfolgreich werden kann.)

Das Fazit des Ganzen ist, dass die Möglichkeiten der Überwachung nach Eintritt in die Öffentlichkeit nicht bestritten werden können. Gehen wir davon aus, dass sämtliche öffentlichen Internet-Terminals überwacht werden: Entweder verzichten Sie auf das Benutzen derer oder ignorieren die Einschränkungen. Gehen wir davon aus, dass Sie von Kameras beim Spatzieren in der Stadt gefilmt werden. (In einigen Städten ist dies möglicherweise schon der Fall.) Gehen wir davon aus, dass Überwachungstechnologien, die vor zehn Jahren noch als Science-Fiction gegolten haben, heute für den Massenmarkt konzipiert werden.

Der Verlust der Privatsphäre ist eine wichtige Entwicklung in unserer Gesellschaft. Es bedeutet, dass wir weiterhin ein Mehr an Überprüfungen weder heutzutage erfahren werden. Und es ist dabei nicht unwichtig, dass diese sensitiven Daten nicht nur durch die "authorisierten" Stellen eingesehen werden dürfen: Der Arbeitgeber, der Staat, usw. Sind Daten einmal gesammelt, können sie ungewandelt, indiziert und verkauft werden; sie können für jeden beliebigen Zweck zum Einsatz kommen. (In den USA sind die Daten über einzelne Personen nicht Besitz des jeweiligen Individuums. Sie gehören der Person oder Firma, die sie gesammelt hat.) Der Zugriff kann sowohl legitim als wie auch unerwünscht erfolgen. Und dies kann weitreichende Folgen für ein Leben haben. David Brin fasste viele Dinge falsch in seinem Buch "The Transparent Society" zusammen. In diesem Belang behält er jedoch recht.

Kinko's Geschichte
http://www.computercops.us/article2568.html
http://www.securityfocus.com/news/6447

ATM Trickbetrug Geschichte
http://www.globetechnology.com/servlet/story/RTGAM.20030812.gtatmm0812/BNStory/Technology
http://canada.com/search/story.aspx?id=f07cac50-62c7-46d8-892a-b66dfa2f1d88

Netzwerk-Spionage
http://www.nytimes.com/2003/10/10/technology/10SPY.html (Erfordert Anmeldung)
http://news.com.com/2100-1029_3-5083874.html

Das Crypto-Gram wird nun seit sechs Jahren herausgegeben. Frühere Ausgaben behandeln verschiedene sicherheitsbezogene Themen. Sie können jeweils unter http://www.counterpane.com/crypto-gram.html gefunden werden. Dort findet sich eine Selektion der Artikel des gleichen Monats anderer Jahre.

Vergangene Ausgaben des Crypto-Grams in deutscher Sprache sind unter http://www.galad.com/extras/cg/cg.htm (Ausgaben September 2001 bis März 2002) und http://www.scip.ch (ab Ausgabe 15. November 2003) erhältlich. Die folgenden Links verweisen jeweils auf die Original-Quelle in englischer Sprache.

Nationale Strategie zur Sicherung des Cyberspace
http://www.schneier.com./crypto-gram-0210.html#1

Cyperterrorismus
http://www.schneier.com/crypto-gram-0110.html#1

Gefahren von Port 80
http://www.schneier.com/crypto-gram-0110.html#9

Semantische Attacken
http://www.schneier.com/crypto-gram-0010.html#1

NSA zur Sicherheit
http://www.schneier.com/crypto-gram-0010.html#7

So, Sie wollen also Kryptologe werden
http://www.schneier.com/crypto-gram-9910.html#SoYouWanttobeaCryptographer

Schlüssellängen und Sicherheit
http://www.schneier.com/crypto-gram-9910.html#KeyLengthandSecurity

Steganographie: Wahrheiten und Fiktionen
http://www.schneier.com/crypto-gram-9810.html#steganography

Nachricht an die Amateur Verschlüsselungs-Entwickler
http://www.schneier.com/crypto-gram-9810.html#cipherdesign

Ich schwanke hin und her zwischen einem bissigen Statement zum Thema. Obschon mit einem Augenzwinkern geschrieben, ist dies wohl nicht die ansonsten an dieser Stelle übliche Umgangsform.

SmartShield ist eine Schutzlösung, die kontaktlose Smartcards vor Korrumpierung schützen soll. Eine kontaktlose Smartcard funktioniert in der Nähe eines Lesers. Sie sieht aus wie eine übliche Chipkarte auch, jedoch befindet sich auf ihr ein Induktor, der die Karte umrandet. Wird die Karte in ein starkes Letfeld eingebracht, ist sie in der Lage selbstständig eine Kommunikation durchzuführen (diese findet kabellos statt). Konventionelle Smartcards sind mehr verbreitet. Kontaktlose Karten werden oft dort eingesetzt, wo dem Kunden die Herausnahme des Tokens abgenommen werden soll (z.B. Transit-Applikationen).

Typischerweise haben kontaktlose Smartcards eine Reichweite von etwa 30 Zentimeter. Jemand könnte, so beschreibt es die Theorie, hinter jemandem, der eine kontaktlose Smartcard bei sich trägt, herlaufen, und zu dieser mit speziellen Equipment eine Verbindung herstellen. Durch das Erhöhen der Strahlung könnte die Reichweite ein bisschen erhöht werden. Kennt der Angreifer das eingesetzte Protokoll, sähe er sich in der Lage Geld zu stehlen, oder viel einfacher, die Karte funktionsunfähig zu machen. Ein Metall-Schild um die Karte beugt solchen Angriffen vor.

Jegliche Sicherheit ist ein Kompromiss, und ich denke nicht, dass dieses Mehr an Sicherheit das Herumtragen des Schilds rechtfertigt. Ebenso ist das Herausnehmen der Karte aus dem Schild, sobald sie zum Einsatz kommen soll, nicht im Sinne einer kontaktlosen Smartcard. Ehrlichgesagt ist das Risiko, dass jemand die Karte samt Schild stiehlt, viel grösser.

http://members.core.com/~jeffp/index.html

Ein Problem der Gesetze ist, dass Verbrechen, die sie ermöglichen, nicht immer diejenigen sind, gegen die sie schlussendlich eingesetzt werden. In den Vereinigten Staaten wurde das RICO-Gesetz (Racketeering Influenced Corrupt Organizations) verabschiedet, um dem organisierten Verbrechen den Kampf anzusagen. Schlussendlich wurde es jedoch gegen Anti-Abtreibungs Demonstranten und relativ unbedeutendere Drogen-Delikte eingesetzt. Und der Patriot Act zur Verteidigung gegen Terrorismus kommt vorwiegend bei anderen Verbrechen zum Einsatz.

Mich auf den TRAC Report beziehend, wurde die Definition von "Terrorismus" entscheidend erweitert. Das Justiz Departement berichtet, dass der Patriot Act genutzt wird, "um der Einvernahme von Geldern die Konten von Schmugglern, Dieben und Drogendealern aus Übersee aufzulösen." Jeder Besitzer einer Rohrbombe in Kalifornien wird nun plötzlich "Terrorismus mit Massenvernichtungswaffen" vorgeworfen und der Mann aus North Carolina bricht mit seinem Methamphetamin-Labor das neue Gesetz zur Herstellung chemischer Waffen. Das Justiz Departement lancierte Seminare zum Thema, wie die neuen, durch den Patriot Act genehmigten Abhörmöglichkeiten auch in nicht-terroristischen Fällen eingesetzt werden können.

Es ist eine grosse Sache. Der Kerl mit dem Meth-Labor kann eine 12 Jahre umfassende Freiheitsstrafe für sein Vergehen kriegen - Unter den alten Gesetzen hätten ihm lediglich sechs Monate gedroht. Der Patriot Act wurde unverzüglich nach den Ereignissen des 11. Septembers, ohne Durchführung einer kritischen Debatte, zugelassen. Dies war ein Fehler, spiegelte jedoch die nationale Einstellung zum Thema Terrorismus wider. Die Einführung eines breiten Gesetzes, das jede Form der Kriminalität tangieren kann, ist etwas, das man mit Ruhe hätte betrachten müssen. Security ist ein Kompromiss und die Kompromisse des Patriot Acts sind extrem. Das Verurteilen von Drogendealern wie bei Terroristen ist vielleicht etwas, das die Amerikaner wollen. Wir sollten darüber jedoch öffentlich debatieren und nicht einfach das Justiz Departement uns untergraben lassen.

Report: "Kriminalistische Verfolgung von Terroristen und Spionen im Jahr nach den Angriffen des 11. Septembers":
http://trac.syr.edu/tracreports/terrorism/fy2002.html

Kleine Ereignisse können grosse Konsequenzen haben. Für mich hat diese unterhaltsame Webseite die Moral, dass öffentliche Richtlinien nicht darauf basieren sollten, was möglich wäre; sie sollten sich daran halten, was wirklich passiert. Viele der Sicherheitsanpassungen nach dem 11. September zeigen, dass nur ein kleiner Teil diesen Gedanken mit sich trägt.
http://www.obvious.fsnet.co.uk/butterfly/butterfly.htm

Kanadischer Privacy Commissioner weist nationale ID-Karten ab:
http://www.cbc.ca/stories/2003/09/19/idcard030919

Anwälte beginnen sich mit Sicherheit und Verbindunglichkeit zu beschäftigen. Dieser Artikel stammt aus dem Law Journal: "Falsche Sicherheitsansprüche: Die systematische Fehlpräsentation der Produktsicherheit im E-Commerce Bereich":
http://www.mttlr.org/volnine/michener.pdf

CAPPS-II weist den Airline-Passagieren Farbcodierungen zu.. In Bezug auf einen Washington Post Artikel: "Die meisten Leute werden als grün markiert und durchgelassen. Jedoch 8 % der über 26'000 tächlichen Flüge werden als 'gelb' eingestuft und müssen sich weiteren Sicherheitsüberprüfungen unterwerfen. Ungefährt 1 bis 2 % werden als 'rot' markiert und ihnen wird der Zutritt gänzlich verweigert. Diese Passagiere sehen sich ebenfalls mit einer polizeilichen Befragung konfrontiert oder werden gar festgenommen." Ungefährt für 10 % der Airline-Passagiere kämpfen täglich mit einem logistischen Albtraum. Die TSA bringt einfach nicht genügend Arbeitskräfte auf.
http://www.washingtonpost.com/wp-dyn/articles/A45434-2003Sep8.html

Der CEO von Symantec proklamiert die "Legislative zur Kriminalisierung der Verteilung von Informationen und Tools, die von bösartigen Hackern und Viren-Schreiben für ihre Zwecke weiterverwendet werden könnten." Merkt er denn nicht, dass eine Vielzahl der Mitarbeiter seines Unternehmens in den Knast wandern würden?
http://www.wired.com/news/infostructure/0,1377,60391,00.html

U.S. State Departement wurde von einem Virus heimgesucht:
http://computerworld.com/newsletter/0,4902,85290,00.html?nlid=SEC2

"Ein 40 jähriger Mann wurde am Mittwoch in Gewahrsam genommen, nachdem er ein computerisiertes, auf GPS basierendes Suchsystem für zu Hause verweilende Gefangene gestohlen hatte." Die Polizei musste lediglich das Gerät aktivieren, um ihn aufzuspüren.
http://www.sfgate.com/cgi-bin/article.cgi?file=/gate/archive/2003/09/04/MNdumbthief.DTL

Jemand stahl die Identität von jemand anderem. Die Person, dessen Identität jedoch gestohlen wurde, war ein Kinderschänder.
http://www.sexcriminals.com/news/15382/

Das U.S. Departement of Homeland Security verkündete die Erarbeitung eines US-CERT (Computer Emergency Response Team).
http://www.fcw.com/fcw/articles/2003/0915/web-dhs-09-15-03.asp
http://www.computerworld.com/printthis/2003/0,4814,84985,00.html
http://www.gcn.com/vol1_no1/daily-updates/23534-1.html

Microsoft hat eine Klage in Bezug auf Sicherheitsmassnahmen verloren
http://news.com.com/2100-1009-5085730.html?tag=nl
http://computerworld.com/newsletter/0,4902,85631,00.html?nlid=SEC2
http://www.nytimes.com/2003/10/06/technology/06SOFT.html
http://news.zdnet.co.uk/software/applications/0,39020384,39116969,00.htm
???
http://www.computerbytesman.com/security/hamilton_v_microsoft_complaint.htm

Wie Sicherheitsschwachstellen aufdecken. "Ein Computer Security Spezialist, der in Hochsicherheitssysteme des Militärs eingebrochen ist, um zu zeigen, wie einfach die Rechner durch Terroristen übernommen werden können, wurde am Montag festgenommen. Durch das Nachweisen von sechs erfolgreichen Einbrüchen drohen ihm eine Freiheitsstrafe von 30 Jahren."
http://www.latimes.com/technology/la-me-hack30sep30,1,2684627.story

Trotz der Einwände, dass die Diebold Abstimmgeräte ernsthafte Sicherheitsrisiken einer Kompromittierung mit sich bringen, wird der Staat Maryland solche einkaufen:
http://www.wired.com/news/business/0,1367,60583,00.html

Sicherheit der Massachusetts Turnpike Systeme:
http://www.zug.com/pranks/turnpike/

Bericht des DSN 2003 Workshop der Prinzipien abhängiger Systeme
http://lpdwww.epfl.ch/fgaertner/podsy2003/report.html

Ein 19 jähriger nutzte eine gefälschte Webseite, um seine Opfer Software mit trojanischem Charakter herunterladen zu lassen. Er kam so in den Besitz der Konteninformationen für den Börsenhandel und tätigte dadurch auf Kosten ihrer Handel.
http://www.washingtonpost.com/wp-dyn/articles/A6081-2003Oct9.html
Das erschreckende daran ist, wie effektiv ein solcher Angriff sein kann. Dieser Typ war wirklich dämlich. Stellen Sie sich nun jedoch vor, was hätte passieren können, wenn ein wirklich weitsichtiger Angreifer ein solches Vorhaben in die Tat umgesetzt hätte. Er hätte Millionen machen und das Land frühzeitig verlassen können, bevor irgendjemand Verdacht geschöpft hätte.

Wirklich gute FAQ zu Internet-Würmern:
http://www.networm.org/faq/

Ausgleichen von Sicherheit und Freiheit
http://www.eweek.com/article2/0,4149,1306445,00.asp

Es gibt eine neue SANS Top 20 Liste. Dies ist eine Auflistung der populärsten 20 Sicherheitslücken in Windows und Unix. Würden wir lediglich diese 20 Schlupflöcher stopfen, wären wir um einiges sicherer.
http://computerworld.com/newsletter/0,4902,85848,00.html

China erhält eine Kopie des Quelltexts von Windows. Ich habe schon einmal über die Sicherheitsrisiken von open-source und proprietärer Software geschrieben. Eine der Probleme bei open-source ist, dass die bösen Jungs ohne weiteres den Code anschauen können. Eines der guten Dinge ist, dass die guten Jungs ebenfalls den Code ohne weiteres anschauen können. Wäre ich die Chinesische Regierung, würde ich den Code nach Schwachstellen untersuchen und niemandem davon berichten. Dies schaut wie ein enormes Sicherheitsrisiko für mich aus - Microsoft meint jedoch einen smarten Deal getätigt zu haben.
http://news.com.com/2102-1016_3-5083458.html

Eine polnische Hacker-Gruppe behauptet über 450'000 Windows-Rechner unter Kontrolle zu haben. Sie würden diese Möglichkeiten Spammern verkaufen.
http://www.wired.com/news/business/0,1367,60747,00.html

Zwei Interviews mit Schneier:
http://www.csoonline.com/read/090103/evolution.html
http://www.cips.ca/news/national/news.asp?aID=1711

Schneier schrieb einen Bericht, wie die nationale Sicherheit wiederhergestellt werden könne.
http://www.upi.com/view.cfm?StoryID=20030930-121435-8571r

Counterpane stellt an
http://www.counterpane.com/jobsfull.html

Das Buch erhält auch weiterhin gute Reviews. Ich habe über 100 Bücher an die Büros der Politiker geschickt, die sich mit den darin enthaltenen Fragen zu beschäftigen haben. Und auch weiterhin eine positive Resonanz der Zeitschriften, Zeitungen und Weblogs.

"Was Schneier mit diesem Buch - eigentlich mit jedem Buch, das er schreibt - versuchen hätte können, ist eine Abhandlung für Experten zu schreiben. Er hat die Voraussetzungen und Qualifikationen dies zu tun und er wird auch ernst genommen, wenn er es tut. Stattdessen entschied er sich entschieden für die Massen zu schreiben, was aus meiner Sicht der Sicherheit zugute kommt. Nur so kann auch der Mann auf der Strasse das Thema verstehen."
- Sydney Morning Herald
http://www.smh.com.au/articles/2003/09/17/1063625084009.html

"Einmal mehr beweist Schneier, dass er einer der wenigen Personen ist, die Sicherheit verstehen. Und was noch wichtiger aber auch schwieriger ist, ist diese komplexe Security-Materie auf einfache Weise nicht spezialisierten Personen zu vermitteln. Wie auch immer Ihre Arbeit oder Ihr Hintergrund aussieht, machen Sie sich selber ein Bild davon, wie Sicherheit Ihr Leben beeinflusst."
- TECS (The Encyclopedia of Computer Security)
http://www.itsecurity.com/itsecpep/bookschneier1.htm

Alle Kritiken werden auf der Webseite des Buches archiviert:
http://www.schneier.com/bf.html

Ich habe folgendes in Tim Brays Weblog gefunden: "Im Sitzungsraum von Seybold wurden die Cat5-Kabel gezogen und die DHCP-Leases wieder freigegeben. Als die Bombendrohung bekannt gegeben wurde, sah Lauren die Leute ihre Kabel ausziehen und den Raum verlassen. Ihr Gesicht erhellte sich, sie sagte 'Oh, gut, ich kann meine Emails lesen' und steckte sich ein. Ist das grossartig oder was. Und ich frage: Wieso soll ein Geek jemals einen Nicht-Geek heiraten?

Dies ist eine grossartige Geschichte: Jemand zieht einen Vorteil daraus, dass die Internetdienste nach einer Bombendrohung temporär wieder verfügbar sind. Und ehrlichgesagt wäre dies ebenfalls meine Reaktion gewesen. Bombenanschläge sind weitaus weniger populär weder Bombendrohungen und das Bleiben in einem wegen Bombengefahr zu räumenden Gebäude ist weitaus weniger gefährlich weder das Verlassen dessen. Und das Lesen der Emails - Das ist doch das, was wirklich zählt.

Sicherheit ist stets ein Kompromiss.

http://www.tbray.org/ongoing/When/200x/2003/09/11/SSF2003

Verständlicherweise ist die Filmindustrie nicht gerade darüber erfreut, dass Ihr kostbares Gut vorwärts und rückwärts im Internet kopiert wird. Die Industrie hat darauf reagiert, indem die DVDs schwieriger zu kopieren sind und Anklagen gegen die Konsumenten ausgesprochen werden. Eine Forschungsarbeit aus den Laboratorien des AT&T beweisen das Gegenteil. Die Forscher sammelten 285 Filme in den populären Sharing-Netzwerken und fanden heraus, dass 77 % dieser durch Industrie-Insider in Umlauf gebracht wurden. Zum Beispiel anhand von Einblendungen wie "Property of Miramax Films, for screening purposes only" oder typischer Timecodes der Präproduktion-Kopien. In der Tat tauchen die meisten Raubkopien in den Sharing-Netzwerken vor der Freigabe des Films auf DVD auf.

Eine der Regeln der Security ist zu wissen, wer der Angreifer ist, bevor man Gegenmassnahmen umsetzen kann. In diesem Fall hat die Filmindustrie die Gefahr falsch skizziert. Die Angreifer sind nicht die DVD-Besitzer, die illegale Kopien der Filme anfertigen und freigeben. Die Angreifer sind Industrie-Insider, die illegale Kopien der DVDs anfertigen, bevor diese für den Markt freigegeben werden.

Das Dokument:
http://lorrie.cranor.org/pubs/drm03.html

Eine der Sicherheitsmassnahmen gegen Autodiebstahl ist die in das Chassis eines Wagens eingravierte Vehicle Identification Number (VIN). Diese eindeutige Nummer macht das Nachverfolgen und die Determinierung eines allfälligen Diebstahl eines Autos möglich. Kriminelle haben zwei Wege gefunden, wie mit diesem Hindernis umgegangen werden kann. Eine besteht darin, das Auto zu stehlen und in Länder zu verfrachten, die sich nicht gross um die VINs kümmern. Die zweite ist dadurch gegeben, das Auto zu stehlen, auseinanderzunehmen und die Einzelteile zu verkaufen. Zweiteres ist üblich; "Chop Shops" können ein Auto innerhalb weniger Stunden auseinanderbauen.

Es gibt jedoch noch eine dritte Möglichkeit: Precision Stripping. Und nun, wie es funktioniert. Ein Krimineller stiehlt ein Auto. Der Chop Shop nimmt es bis aufs Chassis auseinander und behält die jeweiligen Einzelteile. Danach stellt der Kriminelle das nackte Chassis wieder auf die Strasse.

Die Polizei schleppt das Chassis ab und die entsprechende Stelle (die Polizei oder die Versicherungsgesellschaft) versteigern es in einer Auktion. Die ursprünglichen Kriminellen kauffen es zurück und bauen es wieder mit den Originalteilen zusammen. Nun haben die Kriminellen ein legal erworbenes Auto, das sie auf dem Gebrauchtwagenmarkt verscherbeln können; die VIN wurde reingewaschen.

http://moneymanager.smh.com.au/articles/2003/05/22/1053196683126.html
http://www.aic.gov.au/conferences/cartheft/davidson.pdf
http://elmo.shore.ctc.edu/webbtide/v38.13/print_feat01.htm

Es gibt eine Vielzahl von Dingen, die in Bezug auf die Identitätsüberprüfung bei Flughäfen, Hotels, staatlichen Gebäuden und ähnlichem falsch begangen werden. Eines davon ist, dass sie nicht wirklich eines der wirklich existierenden Sicherheitsprobleme lösen; das Einsehen der Identitätskarte einer Person macht ihn zum Beispiel nicht weniger für einen terroristischen Akt verdächtig. Zweitens ist es ein Leichtes eine gefälschte ID zu erhalten und für das Wachpersonal ist es äusserst schwierig, echte von gefälschten Ausweisen zu unterscheiden. Und drittens sind sie kostspielig in ihrer Umsetzung und unhandlich für alle Beteiligten. In Bezug auf die minimale Sicherheitserhöhung, die diese zusätzliche Überprüfung mit sich bring und den enormen Kosten- und Zeitinvestitionen, stellen sie einen sehr schlechten Sicherheits-Kompromiss dar.

Es gibt noch ein weiteres Problem bei Identifikationsdokumenten: Die Einfachheit des Erhalts zulässiger Dokumente unter falschem Namen. Einige der Terroristen des 11. Septembers erhielten manipulierte IDs vom Virginia Department of Motor Vehicles durch das Zahlen von $ 1'000 an einen korrupten Mitarbeiter. Dabei handelte es sich nicht um gefälschte IDs. Es waren echte IDs mit falschen Namen, mit den üblichen Hologrammen, Mikrodrucken und was auch immer auf Führerscheinen enthalten, wie es sich nur schwer fälschen lässt.

Es zeigt sich, dass derlei Dinge einfach umzusetzen sind.

Im Buch "The Day of the Jackal" aus 1972 erwirbt ein Attentäter einen echten britischen Pass unter anderem Namen, den er beim Durchwandern eines Friedhofs und der Durchsicht der Grabsteine gefunden hatte. Es handelte sich dabei um den Namen eines Jungen, der zur gleichen Zeit geboren wurde wie er. Er besorgt sich sodann die Geburtsurkunde des Jungen und erhält durch das Vortäuschen der falschen Identität das gewünschte Dokument. Laut BBC wird diese Schwachstelle *eventuell* dieses Jahr behoben.

Jede Sicherheits-Gegenmassnahme kann durch ein grösseres System funktionieren. Um die Effektivität einer Gegenmassnahme ausmachen zu können, muss man dessen System verstanden haben. Es geht nicht nur darum wie einfach es ist, an die Dokumente zu kommen. Man muss ebenfalls den Austeilungsprozess ansich und den Rückrufprozess (engl. revoke) betrachten. Leute werden ihre Dokumente verlieren; wie hoch ist die Sicherheit des Backup-Systems und die der Verteilung? Wie vertrauenswürdig sind die Personen, die Zugriff auf die Blanco-Dokumente und die Datenbanken der gespeicherten Informationen haben? Und einmal mehr kristallisiert sich heraus, dass die wahre Schwäche eines jeden Systems der Mensch selbst ist.

Das Benutzen von Geburtsurkunden verstorbener Personen um einen UK-Pass mit verfälschtem Namen zu erhalten:
http://news.bbc.co.uk/1/hi/magazine/3098104.stm

Erhalten von Fahrausweisen mit gefälschten Namen in den USA:
http://www.msnbc.com/news/962326.asp?cp1=1

Die Allgegenwart des Microsoft-Betriebssystems stellt ein Sicherheitsrisiko dar. In einer Monokultur sind entscheidende Schwachstellen vorhanden, wie wir selber sehen können: Verwundbarkeiten, Exploits, Würmer und Viren haben katastrophale Auswirkungen, da sie eine Vielzahl der Systeme betreffen. Wie gut oder schlecht nun Microsoft in Punkto Sicherheit ist, geht eigentlich an der Diskussion vorbei. Da sich all unsere OS-Eier im gleichen Nest befinden, haben wir es mit einem signifikanten Sicherheitsrisiko zu tun.

Eigentlich hat dies nichts direkt mit Microsoft zu tun. Die Umstände wären nicht viel anders, würde jedermann Macintosh OS X oder Linux betreiben. Sicherheitsspezialisten liessen schon 1988 die Alarm-Glocken läuten, als der Morris-Wurm 5 % der Unix-Systeme des Internets infizierte. Heutzutage ist die Monokultur noch viel ausgeprägter.

Andererseits hat dies trotzdem viel mit Microsoft zu tun. Meine Sorge ist, dass Microsoft Sicherheit als Rechtfertigung nutzt, um sich selbst weitere Vorteile im Wettbewerb zu geben. Nach der Antitrust-Klage verweigerten sie die Freigabe von Dateiformaten zum Schutz der allgemeinen Interessen. Sie würden ein Dokument-Security-Feature für die Office-Programme umsetzen, die es für Mitbewerber äusserst schwierig macht, kompatible Produkte zu entwickeln. Und NGSCB (Palladium) verspricht die ultimative Barriere beim Kampf um Marktanteile zu werden. In der Ökonomie wird dies "lock in" genannt: Vorgehen einer Firma um zu verhindern, dass die Kunden abspringen können. Dies ist schlecht für die Gesellschaft - Dies ist schlecht für die Sicherheit.

Es ist wichtig dies im Zusammenhang zu sehen. Monokultur ist lediglich ein Sicherheitsrisiko, mit dem sich die Vernetzung konfrontiert sieht. Es gibt andere Risiken, die durch verschiedenartige Betriebssysteme nicht wie durch Zauberei behoben werden können. Wird die nationale Sicherheit jedoch zunehmends von einem einzigen System abhängig, das an jedem Ort mit den gleichen Mitteln angegriffen werden kann, sollten wir uns Sorgen machen.

Der Report:
http://www.ccianet.org/papers/cyberinsecurity.pdf

Die Widerlegung:
http://www.ranum.com/security/computer_security/index.html

Der Report wurde total unabhängig erstellt. Die CCIA vertreibt den Report, hatte jedoch keinen Einfluss auf das Schreiben oder zahlte irgendjemandem irgendetwas.

Ein unglücklicher Umstand dieses Reports ist, dass der Initiator, Dan Geer, von seinem Job als CTO von @Stake gefeuert wurde. @Stake erhält eine beträchtliche Menge Consulting Arbeit von Microsoft, und versucht sich von Geer und vom Report zu distanzieren.

Security Researchers schreiben und sprechen die meiste Zeit, wobei sie in erster Linie ihre eigene Meinung und nicht diejenige der eigenen Firma vertreten. Das Crypto-Gram ist mein Newsletter und nicht derjenige von Counterpane. Und das Counterpane Management schreckt regelmässig auf, wenn ich über eine Firma herziehe, mit denen sie eine Zusammenarbeit angestrebt haben. Aber ich denke nicht, dass jedermann meine Position mit der Position von Counterpane verwechselt.

Dan Geer war in einer ähnlichen Situation. Er ist ein Researcher mit einem ungeheuren Mass an Ehrlichkeit und Integrität. Als @Stake gegründet wurde, wurde Dan eben genau wegen diesen Qualitäten eingestellt. @Stake wurde von L0pht gegründet, eine der besten Hacker-Gruppen der Welt, die gerne auch Microsoft vor den Kopf stiess. Mittlerweile ist nur noch ein L0pht-Mitglied bei @Stake und Dan Geer wurde wegen den gleichen Qualitäten entlassen, die ihm auch den Job eingebracht hatten.

http://www2.cio.com/research/security/edit/a09302003.html
http://www.securityfocus.com/news/7069
http://www.computerworld.com/securitytopics/security/story/0,10801,85446,00.html

Dan Geers Kommentar:
http://www.eweek.com/article2/0,4149,1304620,00.asp
http://www.computerworld.com/securitytopics/security/story/0,10801,85563,00.html?nas=SEC2-85563

Von: Scott Tousley <stousley@logostech.net>
Betreff: Unfälle und Security Zwischenfälle

Ich denke, dass Du etwas sehr wichtiges übersehen hast. Du sprichst davon, dass die Verbindungsmöglichkeit unseres Systems sich soweit auswirkt, dass kleine Fehler in grössere Disaster ausarten können. Es gibt jedoch einen weiteren und mindestens so wichtigen Grund für das Problem.

Ein effektiver Angreifer weiss um die Reaktionen und plant seine Attacke so, dass die Reaktion weitaus verheehrendere Folgen haben wird. Wie im Arkansas-Fall, als die Killer den Feueralarm ausgelöst und die reagierenden Kinder niedergeschossen haben.

Um nun die Verbindungsmöglichkeit zu beherrschen, müssen wir geschulte Operatoren haben, die "normale" Zwischenfälle erkennen und diese von Zwischenfällen unterscheiden können, hinter denen sich voraussichtlich mehr oder eine Zufälligkeit verbirgt. Je besser und intelligenter unser Operator die Situation einschätzen kann, desto besser können wir auf das Ereignis reagieren. Ich denke, dies ist ganz im Sinne von Counterpane.

Unsere Aufgabe ist das Erstellen intelligenter Systeme, um die Reaktionsfähigkeit immer mehr vernetzter Lösungen beherrschbar machen zu können. Wir müssen die Gesellschaft vom Lemming- zum Vogel-Verhalten leiten.

Von: Brad Knowles <brad.knowles@skynet.be>
Betreff: Denial of Service Attacken

"Eine interessante, unbeabsichtige Distributed Denial of Service-Attacke. Ein Unfall, kein Angreifer."
http://www.cs.wisc.edu/~plonka/netgear-sntp/

Dieses Statement widerspiegelt das Problem nicht aus dem richtigen Blickwinkel. Lass mich von der Abhandlung zitieren: "Im Mau 2003 bemerkte die Universität von Wisconsin, dass sie die Empfänger einer beachtlichen Anzahl von eingehendem Internet-Verkehr für den auf dem Campus befindlichen Network Time Server (NTP) war. Die Flood-Rate war hunderttausende Pakete pro Sekunde, und hunderte Megabits pro Sekunde.

Die einzige gescheite Lösungsfindig der Universität wäre das Kontaktieren des ISPs gewesen, um den besagten Verkehr mittels Null-Routing nicht mehr zuzulassen. Dadurch hätten die Kosten gesenkt werden können.

In der NTP-Welt kommt so ein Angriff einem Flugzeugabsturz in die Twin Towers des World Trade Centers am 11. September gleich. Verdammt wenige Netzwerke auf der Welt hätten mit einem solchen DDoS-Angriff umgehen können. Leute wurden für weitaus weniger schlimme Dinge für lange, lange Zeit ins Gefängnis gesteckt.

Während NetGear das Problem in ihrer letzten Router-Firmware "gefixt" hat, haben die wenigsten Kunden die neue Software eingespielt, so dass die Attacken bis heute andauern. NetGear sollte den richtigen Ansporn erhalten (z.B. die Gefahr vom Markt gedrängt zu werden und das Management hinter Bars zu klemmen), um ihre Benutzer darauf hinzuweisen, ihre Router so schnell wie möglich upzudaten, um diese Attacke endlich hinter uns zu lassen.

Andere Software generierte ähnliche Probleme für andere Netzwerke. Zum Beispiel war NetTime der Grund, warum ultimeth.net vom Netz genommen wurde und auch heute noch sieht der Besitzer von ultimeth.com eine Vielzahl DNS-Zugriffe für Server, die gar nicht mehr existieren. Viele der Quell-Adressen generieren Zugriffe im Sekundentakt, was unglaublich viel ist, wenn man bedenkt, dass wir hier über zehntausende Clients weltweit reden.

Das Problem fällt auf die PCs zurück, die Microsofts OS einsetzen, welches einen ernsthaft kaputten DNS-Resolver einsetzt. Dieser macht kein Caching und führt wiederholte Abfragen für nicht-existierende Daten durch, so schnell dies die eingesetzte Software wünscht. Da NetTime beim Recheck auf eine Sekunde gesetzt werden kann, verursacht dies schwerwiegende Probleme.

Von: Derek Schatz <cissp_ds@cox.net>
Betreff: Acxiom Hack

> Hätte Acxiom nun nicht gezwungen sein sollen, seinen Kunden
> in Kalifornien ein peinliches Eingeständnis zu machen?

Nun, nein. Der Acxiom Hack erfolgte letzten Dezember, während kaliforniens Security-Breach Disclosure Gesetz keine Gültigkeit bis am 1. Juli 2003 erhielt (Ich denke, "ex post facto" ist der korrekte Begriff an dieser Stelle). Ebenso gab es Indizien, dass einige der Daten verschlüsselt waren, was Acxiom von der SBIA entbindet. Und zuletzt vermisste ich den Hinweis, dass tatsächlich persönlich identifizierbare Daten kompromittiert wurden. Vielleicht war dem so, jedoch können "Marketing Datenbanken" auch ohne Kundennamen geführt werden.

Von: Ernst Jan Plugge <rmc@dds.nl>

Vor einiger Zeit war ich auf einer kurzen Geschäftsreise von Niederlande nach England. Dies war mein erster Flug seit den Angriffen vom 11. September. Ich trug eine kleine Tragtasche, die neben einigen anderen Dingen auch ein Rasier-Set enthielt, mit mir. Nicht gerade die erste Wahl bezüglich einer Waffe für jedermann. Ich hätte mich jedoch damit im Stande gesehen in einer heiklen Situation Schaden anzurichten. Ich sah eine handgeschriebene Mitteilung, dass Rasierklingen jeglicher Art nicht im Handgepäck mitgeführt werden dürften.

Ich hatte keine Lust meine Tasche zu durchwühlen und hoffte auf die hohe Fehlerrate beim Durchsuchen der Gepäckstücke. Ebenso wollte ich die Klinge nicht abstossen, weil ich mir nicht vorstellen wollte, wie schwierig es werden würde, bis zum nächsten morgen neue auftreiben zu können. Es stellte sich heraus, dass es wirklich einfach gewesen wäre, doch das realisierte ich noch nicht. So entschied ich mich die Klinge in der Tasche zu lassen und den Dummen zu spielen, sollte man mich dabei erwischen. Keine Punkte für die Gescheiten.

Ich flog nicht auf, obwohl meine Tasche mehrere Male mittels Röntgenstrahlen durchleuchtet wurde. Doch auf dem gesamten Weg zum Hotel war ich besorgt. Nicht wegen Terroristen - Sie kamen mir aber auch ein paar Mal in den Sinn. Ich war besorgt über die Konsequenzen, die ein solches Versäumnis für den Passagier hätte haben können. Ich habe von Horror-Geschichten über Dinge gehört, bei denen vor zwei Jahren in den USA noch nicht einmal jemand mit der Augenbraue gezuckt hätte.

Ich war schlussendlich mehr von den Leuten verängst, die mich beschützen wollen, weder vor den Terror-Attacken ansich. Zurückblickend bereitet mir dies am meisten Sorgen.

Auf dem Rückweg gab ich die Klingen ab. Trotzdem hatte ich ein sehr schlechtes Gefühl auf den beiden Flughäfen. Mittlerweile fühle ich mich in der Luft viel sicherer, weder auf dem Boden, was doch ein bisschen erstaunlich ist, weil es sonst umgekehrt ist.

Von: andre szykier <andre@proqueome.com>
Betreff: Gutartige Würmer

Deine Antwort auf gutartige Würmer war interessant, jedoch nur teilweise korrekt. Du kamst beim Gedanken ins Straucheln, dass die "durchschnittliche" Person eine opt-in Bestätigung benötigt, um irgendwelche Aktionen von ihrem Computer durchführen zu lassen. Im speziellen hast Du folgendes postuliert:

"Ein guter Mechanismus für die Verbreitung von Software weist die folgenden Charakteristika auf:
1) Die Leute können die Optionen wählen, die sie wollen.
2) Die Installation erfolgt auf dem System auf dem sie durchgeführt wird.
3) Es ist einfach eine laufende Installation abzubrechen oder die Software wieder zu deinstallieren.
4) Es ist einfach zu wissen, was wo installiert wurde."

Diese Auflistung von 1 bis 4 erfordert vom Benutzer einer aktive und reaktive Rolle. Akzeptier es Bruce, dass wir hier von 80 % der Benutzer reden, die froh sind ihr AOL Email und die Messenger-Software benutzen zu können, ohne sich mit Dingen wie Virus-Updates und MSFT Sicherheitseinstellungen in ihrem Browser herummühen zu müssen.

Vielleicht sind gutartige und signierte Würmer das Modell für die Zukunft. Ich halte dies für eine annehmbare Lösung bei stets zu patchender Software. Wieso sollten 80 % der Benutzer, die keine Ahnung von der Sicherheits-Materie haben in einen Entscheidungsprozess involviert werden, bei dem scheinbar die Willkür als Sieger hervorgehen wird.

Ich empfehle Dir weniger elitär und lieber pragmatisch zu denken. Muss Dein Wagen zum Beispiel in den Service, ist es dann von Dir erforderlich zu wissen, welcher Server getätigt werden muss, obschon Du keine Ahnung hast, wie ein Auto eigentlich funktioniert? Ja, Du kannst Entscheidungen fällen, aber genauso kann dies Dein Haustier. Ihr beide habt in etwa das gleiche technische Know-How zur Entscheidungsfällung bei zeitabhängigen Austauschprozeduren, Computerüberprüfungen und so weiter.

Von: "Peter Schaeffer" <PSchaeffer@jmi-inc.com>
Betreff: Hüte in Banken

Dein Artikel zum Verboten als Sicherheitsmessung offenbart eine bemerkenswerte Ignoranz Deinerseits gegenüber Bank-Betreibern. Deine These, dass die Bedienung ihren (mänliche Betreuer sind weiter verbreitet) Knopf schneller drücken wird, bevor der Wachmann den Verstoss bemerkt, geht davon voraus, dass alle Banken Wachpersonal haben. Das haben sie nicht. Banken in Grossstädten haben normalerweise Sicherheitspersonal. Die meisten Banken in Vorstädten und kleineren Städten, ein Grossteil aller, hingegen nicht. Zum Beispiel wurde 2001 insgesamt 94 % aller Banküberfälle in kleineren Banken getätigt [http://www.bankrate.com/brm/news/chk/20020607a.asp?prodtype=bank].Noch nicht einmal Banken mit Wachpersonal nehmen gleich jeden in Gewahrsam, der für einen Banküberfall in Frage käme.

In der Tat ist jemand, der mit einer Skimaske im Juli eine Bank in Atlanta betritt, sehr verdächtig. Als Konsequenz würden die Mitarbeiter unverzüglich reagieren. Geht der Räuber nicht unverzüglich zum Schalter und lässt sich das Geld aushändigen, wird er innert kürzester Zeit durch die ankommende Polizei in Gewahrsam genommen werden. Sind in der Bank Wachleute, werden diese ebenfalls reagieren und ihre Waffen zücken, oder sich wenigstens für einen solchen Zugriff vorbereiten.

In der Realität benutzen nur die gefährlichsten aller Bankräuber Skimasken und Pistolen. In Anbetracht der enormen Reaktionsfähigkeit der Behörden und der androhenden Strafen ist ein solches Verbrechen nicht besonders lukrativ. Aus einem anderen Blickwinkel darf man also behaupten, dass das "Verbot" (de facto) von Skimasken in Banken funktioniert, wenn auch nicht in der perfekten Form. So könnte die Skimasken-Geschichte ebenfalls als Analogie für Hüte eingesetzt werden und umgekehrt.

Bedenkt man die Falschalarme (auch harmlose Menschen tragen Hüte) ist dies tatsächlich ein Problem. So oder so wird jede Bank, die ihre "Keine Hüte" Richtlinie umsetzen will, auch entsprechende Symbole an den Eingängen anbringen. Da die meisten Leute regelmässig die gleiche Bank besuchen, werden sie sich sehr schnell an die neue Regelung anpassen. So wird jeder, der auf das Abnehmen der Kopfbedeckung hingewiesen wird beim nächsten Mal die Regel im Hinterkopf haben und entsprechend frühzeitig reagieren. In der Realität ist das Problem eher minderwertig. Nur noch wenige Amerikaner tragen heutzutage einen Hut (seit den 50er Jahren).

Du weist darauf hin, dass das Hutverbot sehr wahrscheinlich deshalb zum Tragen kommt, um die Überwachungskameras die Personen in der Bank besser aufnehmen zu können. Dies stimmt. In der Realität sind Sicherheitskameras einer oder gar der Hauptmechanismus zur Überführung von Bankräubern. Indem man diesen gar keine Chance gibt, sich zu verhüllen, wird ein höheres Mass an Sicherheit in der Gesellschaft gewährleistet. Wahrscheinlich muss sich dies die Bank aus Alabama überlegt haben.

Betrachten wir einige Dinge in der Praxis. Gehen wir davon aus, ein Bankräuber, bekleidet mit einem Hut, betritt das Gebäude. Er wird darum gebeten, seine Kopfbedeckung abzulegen. Dies verweigert er, der Alarm wird ausgelöst und eine Prozedur wird gestartet. Zückt der Einbrecher an dieser Stelle nicht unverzüglich eine Waffe und zwingt alle Anwesenden sich hinzulegen, endet der vermeintliche Raubüberfall an dieser Stelle. Glücklicherweise sind jedoch die wenigsten Einbrecher an einer direkten Konfrontation dieses Ausmasses interessiert. Weitaus realistischer ist, dass der Bankräuber unverzüglich das Gebäude verlässt. Eine andere Möglichkeit ist, dass der Bankräuber seine Kopfbedeckung entfernt und mit seinem Überfall fortfährt. In letzterem Fall würden die Kameras einen weitaus besseren Schnappschuss des Kriminellen kriegen können. Bedenken Sie, dass Bankräuber normalerweise ganz regulär in der Schlange anstehen, bevor sie ihre eigentlichen Forderungen dem Personal unterbreiten.

Bankräuber könnten sich "als eine Nonne, orthodoxen Juden, einen Sikh mit Turban oder eine burqa-clad muslimische Frau zu verkleiden". In der Tat könnten sie dies. Im richtigen Leben unterlassen sie es jedoch.

Was Hüte in kälteren Klimagebieten betrifft, ich habe in einigen der kältesten Teilen von Amerika gelebt und gearbeitet, darunter Montana, Alaska, Colorado und (das schlimmste) Chigaco. Hüte (noch weniger Skimasken) sind noch nicht einmal in Gebieten mit extremer Kälte so verbreitet. Und ja, Leute, die ein Gebäude betreten, nehmen sie ab.

Der eigentliche Punkt ist, dass unperfekte Sicherheit eine beachtliche Wichtigkeit in der Praxis begemessen bekommen können. Wahrhaftig können sie umgangen werden. Die Geschichte hat jedoch gezeigt, dass Hürden (bildlich und wörtlich) funktionieren, wenn auch nicht perfekt.

Von: MacMinn <macminn@global2000.net>
Betreff: Hats in Banks

In der echten Welt ist das Verbieten von Hüten weitaus effektiver, weder Du es umschreibst. In Anbetracht der Gegebenheiten ist zu behaupten, dass die wenigsten Bankräuber ihre Taten mit einem Zylinder durchführen. Sie rauben Banken aus, trotzdem! Daten, die dies untermauern können auf den "dümmsten Verbrechern" Webseiten gefunden werden; darunter:

http://www.kooi.com/bozo/
http://www.globe-rider.com/bull1e.html
http://www.frontiernet.net/~viper1/stupid.html

...die Liste könnte weitergeführt werden.

Ich denke, dass die meisten Bankräuber mit gesundem Menschenverstand (falls es denn solche gibt) der Situation in der Alabama Bank wie folgt entgegnet wären. Sie hätten den Hut abgenommen, um nicht "aufzufallen", hätten ihr Vorhaben weitergeführt und dabei versucht, ihr Gesicht nicht direkt in die Kameras zu zeigen. Es wäre also eine effiziente Detektiv-Lösung (schnappen), und weniger eine gute Gegenmassnahme (präventiv).

Schlussendlich bleibt die Frage, ob dies gute Werbung ist oder einfach nur gängige Praxis.

Von: Don Hurter <deluxe@well.com>
Betreff: Hats in Banks

Im Bezug auf Deinen Artikel zum Thema Hüte und Bankräuber möchte ich erwähnen, dass ich früher einen Artikel gelesen habe (keine URL verfügbar), der das Thema besser behandelt hat. Überkopf Sicherheitskameras können nicht so ohne weiteres ein Gesicht filmen, wenn auf dessen Kopf eine lange Schirmmütze ragt. Dein Artikel reisst dies zwar kurz an, geht jedoch nicht genügend darauf ein:
 

"Ich denke die Idee ist, dass ein Bankräuber ohne Hut viel besser von den Überwachungskameras identifiziert werden kann."

Eine weitere Regel, die die Banken zur Zeit erlassen ist das Verbot von Sonnenbrillen. Dies geschieht eben aus dem gleichen Grund. Dies wird, vielleicht nicht gerade für Leute mit einer Sonnenallergie, genauso schwierig umzusetzen sein. Ich persönlich wünsche mir, dass wir in einer Gesellschaft leben könnten, in der derlei Regeln überflüssig sind. Dies dauert jedoch noch seine Zeit...

Bitte sind Sie so frei das CRYPTO-GRAM an Kollegen und Freunde, die sich für die Themen interessieren könnten, weiterzureichen. Die Rechte für eine solche Weitergabe sind gegeben, solange dies in vollem Umfang geschieht. Dies gilt sowohl für das Original wie auch für die Übersetzung.

Das CRYPTO-GRAM wird von Bruce Schneier geschrieben. Schneier ist der Autor der Bestseller "Beyond Fear", "Secrets and Lies" sowie "Applied Cryptography". Er entwickelte die Blowfish- und Twofish-Algorithmen. Er ist der Gründer und CTO von Counterpane Internet Security Inc. und ein Mitglied des Advisory Board des Electronic Privacy Information Center (EPIC). Er schreibt oft und viel zu Security-Themen. Siehe http://www.schneier.com

Counterpane Internet Security, Inc. ist der World-Leader in Punkto Managed Security Monitoring. Die Experten bei Counterpane beschützen die Netzwerke der 1'000 wichtigsten Firmen weltweit. Siehe http://www.counterpane.com

Copyright (c) 2003 bei Bruce Schneier.

Die deutschen Übersetzungen des CRYPTO-GRAMS werden durch die scip AG durchgeführt. Die ausgewiesenen Spezialisten der scip AG verfügen, in diesem sehr komplexen sowie breitgefächerten Spezialgebiet, über jahrelang erarbeitetes und angewandtes Wissen. Gerne beraten wir Sie in Bezug auf die Sicherheit Ihrer Computersysteme. Nutzen Sie unsere Dienstleistungen.