Skip to content

Post aus Finnland

FI-252935

Wenig überraschen ist hier mal wieder eine Karte aus finnischen Landen. Der Schreiber der Karte kommt aus Vantaa. Das ist die viertgrößte Stadt in Finnland und gehört zum Einzugsgebiet von Helsinki. Diesen Namen trug die Stadt auch bis 1972. Er stammt vom angrenzenden Fluss Vantaanjoki ab. Jena und Vantaa starteten um 1800 etwa mit derselben Einwohnerzahl (ca. 4500). Heute hat Jena knapp über 100.000 und Vantaa liegt knapp vor 200.000 Einwohnern.

Auf der Karte ist der Hauptbahnhof von Helsinki abgedruckt. Er ist ein SackKopfbahnhof und mit etwa 200.000 Reisenden am Tag einer der meistfrequentiertesten. Das Erbauungsjahr war 1860 und bereits 40 Jahre später war der Bahnhof zu klein. Nach fünfzehn Jahren Bauzeit wurde 1919 der neue Bahnhof eingeweiht. Eines der interessanten Sachen am Bahnhof ist die Präsidentenlounge. Das ist ein 50m² großer Raum, der ausschließlich dem Präsidenten von Finnland, Tarja Halonen, sowie seinen Gästen zur Verfügung steht. Weltweit gibt es keinen weiteren Bahnhof, der einen Extraraum wie diesen hat. Ursprünglich war er für den Zar von Russland gedacht. Aber am Ende der Bauzeit gab es keinen mehr. :-)

Post aus Italien

IT-12593

Aus Italien stammt diese Karte. Die Autorin ist Medizinstudentin und wird das Studium bald beenden. Schon wenn ich die Schrift lese, kann ich das gern glauben. :-)

Turin, der Absendeort, liegt im Piemont und hat um eine Million Einwohner. Je nach Zählweise können es auch mehr sein. Die Karte zeigt das mittelalterliche Castello del Valentino. Es ist der Sitz der Fakultät für Architektur der Politecnico di Torino (Universität). Das Schloß wurde etwa im 16. Jahrhundert erbaut und Maria Cristina von Frankreich hat es später als Wohnsitz genutzt.

Weitere Abbildungen zeigen den Parco del Valentino. Der ursprüngliche Kern des Parks war das obige Schloss. Mittlerweile erstreckt sich der Park über eine größere Fläche. Er liegt direkt am Po und ist wohl einer der bekanntesten Parks im Piemont.

Unten rechts in der Ecke ist noch der Fontana dei dodici Mesi (Brunnen der zwölf Monate). Er wurde Ende des 19. Jahrhunderts für eine Landesausstellung entworfen.

Spies among us

Cover des Buches

Im Rahmen eines Vortrages wurde das Buch Spies among us von Ira Winkler empfohlen. Da die Empfehlung überzeugend klang, kaufte ich das Buch. Nachdem ich es erhalten hatte, blätterte ich ein wenig im Buch rum. Es machte auf den ersten Blick einen interessanten Eindruck. Daher stellte ich es nicht in den Schrank zum Späterlesen, sondern nahm es mir gleich vor.

Der genaue Titel heißt Spies Among Us: How to Stop the Spies, Terrorists, Hackers, and Criminals You Don’t Even Know You Encounter Every Day, was zunächst recht reißerisch klingt. Jedoch geht Winkler im Buch recht klar und analytisch vor, ohne irgendwelche Ängste zu schüren. Das Buch ist in drei Kapitel geteilt.

Das erste Kapitel geht in mehr als hundert Seiten auf Spionagekonzepte ein. Dabei heißt Spionage nicht unbedingt nur CIA, KGB und BND schnüffeln, sondern genausogut können das Mitbewerber, Freunde etc. sein. Wer der Spion ist, ist eben abhängig vom Kontext. Winkler beschreibt, welche Schäden angerichtet werden können, welche Mittel hierfür gut sind, wer die Angreifer sind. Dieses Kapitel bietet ein sehr gutes theoretisches Fundament. Gerade unerfahrene Leser lernen viel Detailwissen. Personen, die sich bereits professionell mit irgendwie gearteter Sicherheit auseinandersetzen, lernen in dem Kapitel jedoch nichts wesentlich neues. Ich empfand den Teil des Buches als eine gute Zusammenfassung der Theorie und gerade im Abschnitt zu den Geheimdiensten lernte ich doch einiges neues hinzu.

Im zweiten Kapitel stellt Winkler auf etwa 70 Seiten sechs verschiedene Fälle vor. Die meisten hat er während seiner Arbeit als Security Consultant so erlebt. Am Anfang eines jeden Falles steht eine Beschreibung. Diese wird dann eingehend analysiert und der Autor acht Vorschläge zur Verbesserung. Einer der beschriebenen Fälle kam mir dabei seltsam bekannt vor:

Ich fahre desöfteren auf der A4 an Gera vorbei. Direkt an der Autobahn stehen große Öltanks. Ich habe mich schon immer gefragt, warum man als Terrorist nicht einfach so einen Tank sprengt. Kollegen von Winkler sollten genau dies im Auftrag eines Flughafens virtuell machen. Der Sinn dabei ist, mögliche Schwachstellen zu identifizieren und später auszuschalten. Besonders überraschend fand ich die beschriebenen Schäden: Im betreffenden Tank waren etwa 90 Millionen Liter Treibstoff. Diese würden nach den Angaben ausreichen, um alles im Umkreis von zehn Kilometern zu zerstören. Der Auftrag im Buch war den Tank lokal (hinfahren, Bombe dran) zu sprengen. Wie auch bei anderen Bespielen ging das erschreckend einfach. Nach einem halben Tag Recherche war man soweit. Der eigentliche Angriff dauerte nur wenige Minuten. Soviel zur Kontrolle von Flüssigkeiten und sonstigen Mitbringseln an Flughäfen.

Die Fallstudien fand ich am interessantesten. Denn für Seminare eignen sich solche gut, um diverse Beispiele zu illustrieren.

Das dritte Kapitel widmet sich Gegenmaßnahmen. Winkler vertritt hier auch die Ansicht, dass man als Firma keine All-in-One-Snake-Oil-Lösung braucht, sondern vielmehr sollte man einfach das Gehirn einschalten. Er empfiehlt mehrfach sehr simple und effektive Lösungen, die vergleichsweise wenig Geld kosten. Beispielsweise ruft ein Angreifer oft als die “IT-Abteilung” beim Mitarbeiter an und fragt nach dem Passwort. In vielen Fällen gibt der Mitarbeiter bereitwillig das Passwort preis. Hier schlägt Winkler vor, dass der Mitarbeiter einfach zurückruft und vorher die Nummer im Telefonbuch nachschlägt. Das Kapitel ist eine gute Abrundung des Buches.

Insgesamt ist das Buch eine gute Mischung zwischen Theorie und Praxis. Winkler hat als Ex-Mitarbeiter der NSA und jetziger Security Consultant ein umfangreiches Wissen im Bereich der Spionage. Der Leser kann durch das Buch sehr gut von diesem Fachwissen profitieren.

Fremde E-Mails lesen mit GMail

Du hast ein Konto bei Google Mail? Du loggst dich immer per SSL ein? Du denkst, niemand sonst kann deine E-Mails lesen? Falsch!

Bereits im letzten Jahr zählte der Hack zu den Top 5. Dabei ist es im Allgemeinen so, dass man von der Webseite, bei der man sich einloggt, einen Session-Cookie bekommt. Ein Angreifer fängt diesen ab und kann nun selbst mit dem Account arbeiten. Eigentlich sollte die Verschlüsselung per SSL/TLS die Sachen geheim halten. Aber:

[...] The JavaScript code uses an XMLHttpRequest object to make HTTP requests in the background. These are also SSL encrypted by default - but they become unencrypted if SSL fails.

When you open your laptop and connect to a WiFi hotspot, it usually presents you with a login page, or a page that forces you to accept their terms and conditions. During this time, SSL will be blocked. Gmail will therefore backoff and attempt non-SSL connections. These also fail - but not before disclosing the cookie information that allow hackers to sidejack your account.

Dies schreibt Rober Graham in seinem Eintrag More SideJacking. Mike Perry, einer der Entwickler von Torbutton, fand heraus, dass einzig der Cookie mit dem Namen GX zur Authentifizierung benötigt wird. Dieser wird unabhängig von vorhandener Verschlüsselung gesendet. Weiter lässt sich der Cookie durch einen CSRF-Angriff über eine beliebige Webseite abfragen. Daher ist es äußerst empfehlenswert, die Cookies direkt nach Beenden von Google Mail zu löschen.

Die Forscher haben Google Mail als Beispiel benutzt. Natürlich gibt es viele andere Webseiten da draußen bei denen ein ähnlicher Angriff genauso gut funktioniert.

via Wired Blog

Vortrag zu Wahlsystemen

In der zweiten Februarwoche hält Prof. Jörg Rothe in Jena einen Vortrag zum Thema Wahlkontrolle und Bestechung für die Wahlsysteme von Llull und Copeland. Aus der Ankündigung:

In Kontroll- und Bestechungsszenarien versucht ein externer Agent, den Ausgang einer Wahl zu beeinflussen. Bei konstruktiver Wahlkontrolle ist sein Ziel, einem favorisierten Kandidaten zum Sieg zu verhelfen, indem er Kandidaten oder Wähler hinzufügt, entfernt oder sie (in mehrstufigen Wahlabläufen) partitioniert. Bei destruktiver Wahlkontrolle versucht er, durch dieselben Aktionen den Sieg eines verhassten Kandidaten zu verhindern. Ein Wahlsystem, für das die Aufgabe eines solchen Agenten NP-hart ist, nennt man resistent gegen den entsprechenden Kontrolltyp. Ist seine Aufgabe dagegen in Polynomialzeit lösbar, heißt das System verletzbar.

Im Vortrag wird eine parametrisierte Version des Wahlsystems von Copeland vorgestellt, dessen Parameter eine rationale Zahl zwischen 0 und 1 ist, die festlegt, wie ein Remis zweier Kandidaten bei den paarweisen Vergleichen aller Kandidaten in Copeland-Wahlen zu bewerten ist. Für den Parameter 0.5 z.B. ergibt sich das klassische Copeland-Wahlsystem und für den Parameter 1 eines der Wahlsysteme, die der Philosoph und Theologe Ramon Llull bereits im 13. Jahrhundert vorschlug. Für jedes der 22 bisher studierten Kontrollszenarien und für jeden rationalen Parameter zwischen 0 und 1 wird die Resistenz oder Verletzbarkeit dieses Wahlsystems bzgl. dieses Kontrolltyps gezeigt. Insbesondere ist das klassische Copeland-System das erste bekannte Wahlsystem, das vollständig resistent gegen (alle Typen der) konstruktiven Kontrolle ist. Weitere Resultate betreffen die Resistenz und Verletzbarkeit dieser Wahlsysteme bzgl. Bestechung und Mikro-Bestechung.

Der Vortrag findet im Seminarraum 306 in der Carl-Zeiss-Str. 3 um 17:00 Uhr statt

Post aus Japan

JP-25487

Es gehört zum guten Stil, Katzenbilder in sein Blog zu bringen. :-) Dies hier soll jedoch nicht den Beginn einer neuen Ära darstellen, sondern ist lediglich eine Karte aus Japan. Die Schreiberin hat mir darauf einige japanische Schriftzeichen hinterlassen. Ich denke, diese sollen einmal den Namen der Stadt und dann ihren eigenen Namen darstellen. Google Maps zeigt den Standort auch in den entsprechenden Schriftzeichen an. Ich konnte jedoch bei keiner Zoomstufe eine Ähnlichkeit erkennen.

Die Autorin der Karte hat sich wahrscheinlich auch beim Versenden der Karte vertan. Denn die schrieb die Karte, weil sie der Meinung war, in meinem Profil steht, dass ich Katzen mag. Dort steht nichts dergleichen. Auch fragt sie, ob ich mein Baby schon bekommen habe. Wenn ich so an mir runterschaue, könnte ich zwar zu dem Eindruck kommen, schwanger zu sein. Aber ich glaube nicht, dass das an einem Baby liegen könnte, welches darin steckt.:-)

Sicherheit und Privatsphäre

Tim hat einen schönen Comic von Clay Bennett ausgegraben:

Sicherheit und Privatsphäre im Bild

Der Zaun außen repräsentiert die Sicherheit und das Haus die Privatsphäre. Die Grafik zeigt sehr schön das Spannungsfeld zwischen beiden. Es lohnt sich, auch die anderen Comics anzuschauen. Er macht sehr klare, durchdachte Zeichnungen.

Widersprüche bei soup.io

Durch die ak Soup-Seite stiess ich kürzlich auf Soup.io. Auf der Hauptseite fiel mir da etwas komisches auf und ich wollte schon damals drüber bloggen. Natürlich vergass ich es. Ein Beitrag bei Sven erinnerte mich heute wieder. Schaut mal intensiv auf die Startseite von Soup. Dort entdeckt ihr unter anderen folgendes:

Registrieren oder nicht?

Warum steht links “no signup required”, während rechts die Schaltfläche prankt?

cronjob