All Your Apps Are Belong to Apple

Die Electronic Frontier Foundation (EFF) hat sich von der NASA den Lizenzvertrag der Software-Entwickler mit Apple erklagt und erschreckendes zu Tage gefördert:

“If Apple’s mobile devices are the future of computing, you can expect that future to be one with more limits on innovation and competition than the PC era that came before. It’s frustrating to see Apple, the original pioneer in generative computing, putting shackles on the market it (for now) leads.”

Erstaunlich, daß bei diesen Lizenzbedingungen überhaupt jemand für Apple Software schreibt. Aber Gier frißt bekanntlich Hirn.

Dein Twitter gehört dir nicht!

“Viele, die munter Fotos hochladen, anderen Applikationen Zugriff auf ihre Social Media gewähren oder sonstwo etwas posten, haben noch nie wirklich nachgelesen, welche umfassenden Rechte sich viele Betreiber auf das geistige Eigentum der Teilnehmer vorbehalten.”

Wovon schreib ich eigentlich die ganze Zeit?

Jetzt backe ich sie mir selbst

“Micro blogging wird immer poulärer. Doch Dienste wie Twitter haben ein 140-Zeichen-Limit für die Nachrichten. In der Kürze liegt die Würze, ja, doch wenn manchmal die halbe Nachricht für lange URL’s draufgeht, macht es keinen Spaß mehr. […] Aber wer weiß, wann so ein kostenloser URL-Kürzer seinen Laden dicht macht - und dann sind alle Short-URL’s futsch! Nicht so, wenn ich meinen eigenen Dienst nutze.”

Sehr schöne Anleitung

Ich bin dabei.

Verehrte Kohlenstoffeinheit,
Wir haben deine Anmeldung zum Easterhegg 2010 in München erhalten.

Woher wissen die das mit der Kohlenstoffeinheit? Nur weil da ein billiges Captcha vor dem Anmeldeformular hängt? Oder ist das schon Speziesismus? Oder hätte ich vorgestern Nacht nicht Tron kucken sollen? Und wo sind eigentlich meine Pillen?

Inzwischen ist die Anmeldung geschlossen, es gibt eine Warteliste.

Ich bin dabei eine Seminararbeit zum Thema Methoden und Konzepte zur Mitarbeitersensibilisierung schreiben. Nun meine Frage: Gibt es hierzu einschlägige und gute Literatur?

Ich tue mir da ein wenig schwer. Viel Material das ich verwende habe ich mir selbst ausgedacht oder ist im Rahmen von Projektarbeiten entstanden. Aktuell arbeite ich gerade wieder für und mit einem Kunden an mehreren Filmen, Fotostories und einer Plakatakation zur Mitarbeitersensibilisierung.

Mir fiel so spontan deshalb gar nicht viel ein (Reihenfolge ohne Wertung):

• Bücher
  • Der Klassiker: Das Buch “Die Kunst der Täuschung” von Kevin Mitnick
• Broschüren und Artikel
  • Die secure-it in NRW Broschüre: Mitarbeitersensibilisierung (PDF)
  • Die LanLine hat ein paar Artikel online
• Webseiten
  • MindfulSecurity.com - The Awareness Resource
  • Microsoft Security TechCenter - Security Awareness
  • Die Security Awareness Toolbox der Information Warfare Site (UK)
  • Das SANS Reading Room Security Awareness
• Öffentliche Dokumente
  • Der Baustein B 1.13 Sensibilisierung und Schulung im BSI Grundschutz
  • Die ENISA-Anleitung “A Users’ Guide: How to raise information security awareness” der EU
  • Der NIST-Standard SP800-50 “Building an Information Technology Security Awareness and Training Program” (PDF)

Das sind im großen und ganzen die Sachen die ich gelesen haben. Über Ergänzung in den Kommentaren würde ich mich freuen.

Voraussetzung zur Aufnahme in diese Liste ist natürlich, daß es sich um öffentliche, frei zugängliche und zitierfähige Dokumente sind. Irgendwelche Pressemitteilungen und Werbeflyer von Firmen helfen nicht weiter. Reine Firmenwerbung ohne Inhalte in den Kommentaren wird von mir deshalb auch nach Gutdünken gelöscht.

“Zur selben Zeit beschränkte Microsoft seine Bestimmung für die Übernahme der Netzwerkbetreibergebühren für Mitarbeiterhandys ausdrücklich auf Endgeräte mit Windows Mobile beziehungsweise das Nachfolgerprodukt.”

Ich frage mich ob das nach deutschem Recht überhaupt zulässig ist …

Ich habe nicht die geringste Ahnung wie gut oder wie schlecht der Victorinox Secure USB-im-Taschenmesser-Stick abgesichert ist. Als regelmäßiger Flugpassagier habe ich für Taschenmesser auch nicht mehr so viel Verwendungszweck. Die Fummler am Flughafen nehmen einem die gerne mal ab. Und zu guter Letzt muß ich bei Victorinox immer an das Bild aus Asterix und der Arvernerschild denken, in dem Vercingetorix seine Waffen Cäsar auf die Füße knallt.

Was ich aber bei Bruce Schneier gelernt habe ist, daß ein Crypto-Wettbewerb mit der Aufgabe für eine Summe x (bei Victorinox sind das immerhin 100.000 Pfund) eine Verschlüsselung zu brechen kein Hinweis für gute Verschlüsselung sondern viel häufiger ein Hinweis auf Snake Oil Cryptography ist:

Warning Sign #9: Cracking contests: Contests are a terrible way to demonstrate security. A product/system/protocol/algorithm that has survived a contest unbroken is not obviously more trustworthy than one that has not been the subject of a contest. The best products/systems/protocols/algorithms available today have not been the subjects of any contests, and probably never will be. Contests generally don’t produce useful data.

Ob das alles jetzt für oder gegen Victorinox spricht, kann ich leider nicht beurteilen. Vielleicht wurde Victorinox auch nur von einer schlechten Marketingagentur beraten.

Foto: AskDaveTaylor, Lizenz: CC

1. Einleitung
2. Definitionen
3. DoS im Systembetrieb
   1. Redundante Netzverbindungen
   2. Redundante Stromversorgung
   3. Sonstige Hardware-Fehler
4. DoS in der Netzwerkkommunikation
   1. DoS auf Layer 2 (ARP, …)
      Praktisch irrelevant, da Angreifer vor Ort sein müssten
   2. DoS auf Layer 3/4 (Smurf, Fraggle, Land, SYN-Flooding, …)
      Praktisch irrelevant, da von Firewalls zuverlässig erkannt und im OS gefixt (SYN-Flooding)
5. DoS auf Betriebssystemebene
   1. OS resource exhaustion (RAM, CPU, …)
      Mehr eine Frage der Kapazitätsplanung
   2. Implementierungsprobleme
      Lösung könnte ein OS-Wechsel oder Stack-Tuning bringen
6. DoS auf Anwendungsebene
   1. Application resource exhaustion (Memory Allocation, …)
      Programmierfehler, Code Analyse hilft
   2. Sonstige Fehler in Anwendungen
      Logikfehler, Concurrency, …
7. DoS auf sonstigen Ebenen
   1. Benutzeraccounts blockieren
      DoS gegen Sicherheitsmaßnahmen
   2. Überlastung durch überraschendes Benutzerverhalten
      “Heise-DoS”, Frage der Kapazitätsplanung
8. Distributed DoS
   1. DDoS auf Netzwerkebene
   2. DDoS auf Betriebssystemebene
   3. DDoS auf Anwendungsebene
9. Gegenmaßnahmen
   1. Schutz auf Layer 2
   2. Schutz auf Layer 3/4
   3. Schutz auf Betriebssystemebene
   4. Schutz auf Anwendungsebene
10. Kosten/Nutzen-Relation

Ist das sinnvoll? Habe ich was wichtiges vergessen?

Nachtrag:

Ideen von Tobias bereits eingearbeitet.

Eigentlich habe ich darauf ja schon seit der Übernahme gewartet. Kaum war @stake bei Symantec sind die ganzen Tools wie LC (das ehemalige LophtCrack) verschwunden. So schnell konnte man gar nicht sichern wie Symantec da bereinigt hat. Nicht sehr freundlich, wenn man mich fragt. Andere Firmen (namentlich wären hier McAfee und Foundstone zu nennen) sind da etwas cooler.

Ich persönlich glaube ja, Symantec hätte SecurityFocus am liebsten schon direkt nach der Übernahme zugemacht. Insbesondere die öffentliche Schwachstellendatenbank mit den Exploits dürfte einigen Leuten bei Symantec ein Dorn im Auge sein. Aber vermutlich hat Symantec den öffentlichen Aufschrei gefürchtet. Ich bin ja mal gespannt wie lange es die Schwachstellendatenbank noch öffentlich und kostenlos gibt.

(via Heise)

Das Problem ist … was will man dagegen tun? Nur Anwendungen aus vertrauenswürdigen Quellen herunterladen? Aus dem iTunes Store für das iPfusch, aus dem Google Store für das Android und aus dem Ovi Store für Nokia? Und was, wenn es das benötigte da nicht gibt? Beispielsweise war Putty für das TouchUI eine der ersten Anwendungen die es auf mein neues Telefon geschafft haben. Inzwischen laufen da mehrere Tools, die nicht aus dem Ovi Store sind.

Das Problem wird sein, daß Virenscanner keine echte Chance haben, solche Anwendungen zu finden. Ja, es gibt für mein Mobiltelefon beispielsweise einen Schadcode-Scanner von Trend Micro und einen weiteren von F-Secure. Der von F-Secure ist sogar vorinstalliert. Ich wette, das hätte TippingPoint-Trojaner auch nicht erkannt. Dafür kostet der Adobe Reader 10,- Euro. Das ruft doch nur so nach infizierten Raubkopien. Und mit etwas Geschick kann man einen Trojaner immer so programmieren, daß der Virenscanner ihn nicht findet.

Lösungen? Tja, eine echte habe ich nicht. Nur signierte Anwendungen zuzulassen ist jedenfalls keine. Dann bekommt man ein Lock-in-Gerät wie mit dem iPfusch von Apple. Was ich mir für mein Telefon wünschen würde, wäre beispielsweise eine einfache Übersichtsseite, welche Anwendung auf welche Funktionen(GPS, Datenübertragung eingehend/ausgehend, welche IP-Adressen/Server, etc.) zugreift und eine Möglichkeit das (a) zu Beschränken und (b) zu Widerrufen. Das AccuWeather auf meinem Mobiltelefon fragt mich bei jedem Aufruf ob ich eine Netzverbindung erlauben will. Das ist zwar nett aber nervig. Ich würde das dieser Anwendung beispielsweise pauschal erlauben. Google Maps fragt mich nicht sondern greift einfach auf GPS und Datenverbindung zu. Ich wüsste nicht wie ich das verbieten kann. Andere Anwendungen haben mich bei der Installation einmal gefragt und fertig. Widerrufen ist nicht vorgesehen nur Deinstallation. Ich denke, da müssen die Mobiltelefonhersteller noch von den Desktopfirewallherstellern lernen.

Ach ja, weiß jemand zufällig ob es Truecrypt für das N97 mini gibt?

(Danke Sören)

“Gates claimed right off that Microsoft “owned the office productivity market” and Openoffice needed to pay the Vole lots of cash in royalties. Bill told Schwartz that he was happy to “get you under license” so Sun would have to pay Microsoft for every download of Openoffice. However Schwartz was apparently ready for this and pointed out that .NET was clearly trampling all over a lot of Java patents.”

Die Rückkehr der Datenleichen

“Seit einigen Wochen geistert die Idee eines Datenbriefs durchs Internet und durch die Presse. Jeder Bürger soll einmal im Jahr von Behörden und Unternehmen informiert werden, welche Daten dort über ihn gespeichert sind.” Und das kann unter Umständen interessante Folgen haben.

Der Bund der Deutschen Kriminalbeamten ist konsterniert

“Bemerkenswert an der Pressemeldung ist aber nicht nur die Schadenfreude, die sie erzeugt. Bemerkenswert ist die ehrliche Furcht ihres Autors, daß sich etwas ändert in Sachen Grundrechte, daß man der Polizei eben nicht mehr jeglichen erdenklichen Kredit schenkt. Es ist nicht nur Pressemeldungsbefindlichkeitsanzeige: Man ist wirklich konsterniert.“

(via The Register)