Qbi's Weblog

Wer einen Vortrag über IT-Sicherheit oder Social Engineering besucht, wird zwangsläufig die Geschichte von den USB-Sticks zu hören bekommen. Demnach hat der Vortragende oder eine andere Person in einem Unternehmen USB-Sticks platziert und kurze Zeit später wurden diese an die Arbeitsplatzrechner gesteckt, obwohl dies strengstens verboten ist. Doch ist an der Geschichte wirklich etwas dran? Forscher verschiedener Universitäten veröffentlichten eine Studie, die dem Phänomen auf den Grund geht.

Dazu präparierten sie USB-Sticks und verteilten sie auf dem Campus der University of Illinois at Urbana-Champaign. Die Sticks waren unterschiedlich gestaltet. Das rangierte von neutral bis zu beschrifteten Sticks oder solchen, die an einem Schlüsselbund hingen. In der Studie finden sich Beispielbilder. Auf den Sticks befanden sich HTML-Dateien, die einen img-Tag zur Anzeige von Bilder beinhalteten. Dieses Bild wurde von einem Server geladen, den die Forscher kontrollierten. So sahen sie, wenn jemand den Stick einsteckte.

Insgesamt verschwanden fast alle der abgelegten USB-Sticks (290 von 297 Stück). Knapp die Hälfte wurde von den Findern geöffnet. Dabei zeigte sich, dass nur die Geräte, bei denen eine Adresse vermerkt war, weniger geöffnet wurde. Bei allen anderen Markierungen wurden jeweils so um die Hälfte in den eigenen Rechner gesteckt und geöffnet. Welche Dateien interessierten die Finder besonders? Je nach Stick trugen die Dateien unterschiedliche Namen. Besonders häufig wurde der Bilderordner mit Bildern des »Winter Break« geöffnet. Aber auch Prüfungen und Lebensläufe fanden die Finder interessant.

Ein weiterer interessanter Nebeneffekt der Studie fand im Web statt. Die Forscher überwachten verschiedene Seiten und wollten sehen, ob die USB-Sticks dort erwähnt wurden. Ein Student postete ein Bild seines Fundes auf Facebook, andere posteten dies bei der Sub-Reddit-Seite der Uni. Dort entspann sich eine Diskussion und die Diskutanten warnten sich, die Sticks in den Rechner zu stecken.

Insgesamt ist die Studie sehr interessant. Sie bestätigt genau die oben angeführte Geschichte, dass Sticks gern mitgenommen und in den Rechner gesteckt werden. Die Angreifer haben hier ein nahezu leichtes Spiel.

Doch wie könnt ihr euch schützen, dass euer Stick verloren geht und in einen fremden Rechner gesteckt wird? Die Erkenntnisse der Studie legen nahe, dass der Stick an einem Schlüsselbund sein sollte und mit einem Namen sowie Adresse beschriftet sein sollte. In diesen Fällen wurden die Sticks äußerst selten an den Rechner gesteckt und auch häufig zurück gegeben. Viel besser ist natürlich die Sticks zu verschlüsseln und ein Backup der Daten zu haben.

Gestern war ich auf dem IT-Sicherheitstag bei der IHK Gera eingeladen. Dort hielten verschiedene Fachleute Vorträge oder Workshop. Die einleitenden Vorträge kamen von einem Experten für Spionageabwehr beim Bundesamt für Verfassungsschutz und von mir.

Der Referent des Verfassungsschutzes erklärte, woher die Bedrohungen für die Wirtschaft kommen, wie die aussehen können und was die Firmen dagegen tun können.

Woher kommen die Bedrohungen? Anfangs wurden insbesondere Russland und China mit ihren diversen Einheiten genannt. Die im weiteren Vortrag folgenden Beispiele wurden immer von chinesischen Bürgern ausgeführt. Zum Abschluss stellte der Redner fest, dass der Verfassungsschutz ja einen 360°-Blick hat und es keine Bedrohungen von westlichen Diensten gibt. Hauptgrund war die Tatsache, dass es keine Anzeigen aus der Wirtschaft gibt. Bedeutet das, dass Spionageabwehr nur aus dem Warten auf Anzeigen besteht?

Ich griff den Ball dann in meinem Vortrag nochmal auf und verwies auf den Fall Enercon, wo die NSA spionierte. Daneben verwies ich auf den DGSE und andere Dienste, deren Ziel Wirtschaftsspionage ist und in deren Fokus auch westliche Unternehmen stehen.

Der Vortrag des BfV-Referenten hatte viele Filme zur Illustration dabei. Wenn es dabei um Wirtschaftsspionage ging, kamen die Beispiele aus der Schweiz oder Österreich. Ich fragte mich, warum es keine Beispiele deutscher Unternehmen gibt und was das BfV mit schweizer oder österreicher Unternehmen zu tun hat. Eigentlich soll die Behörde Informationen sammeln, die sich gegen die FDGO richten oder deutsche Unternehmen gefährden.

Den Abschluss des Vortrages bildete ein wenig Werbung für die Behörde. Den schließlich würde diese diskret mit Informationen umgehen und, was dem Vortragenden wichtig zu sein schien, sie unterliegt nicht dem Legalitätsprinzip. Das heißt, bei Kenntnis von Straftaten müssen diese nicht angezeigt werden.

Insgesamt hinterließ der Vortrag bei mir einen recht faden Beigeschmack und bestätigte mein Bild von den »Verfassungsschützern«.

Anfang September soll der Datenschutz etwas greifbarer gemacht werden. Ich werde zusammen mit Dirk Adams einen Datenschutzspaziergang machen. Wir wollen einige Stationen in Jenas Innenstadt ansteuern und über die Sicherheit oder Unsicherheit unserer personenbezogenen Daten reden.

Wir starten am Dienstag, den 2. September 2014 um 18 Uhr am Ernst-Abbe-Platz in Jena und wollen folgende Stationen ansteuern.

1. Ernst-Abbe-Platz
2. Telekomladen in der Goethegalerie
3. dm am Teichgraben
4. Rathaus am Markt
5. Paradiesbahnhof

Falls jemand noch weitere Hinweise hat, kann es natürlich sein, dass sich die Route geringfügig verschiebt. Die Orte bieten viel Gelegenheit, um über Probleme und Lösungen beim Datenschutz zu reden. Kommt vorbei und spaziert mit.

Heute, auf dem Weg in die Innenstadt, entschied ich mich kurzerhand nach dem aktuellen Stand des Hochwassers Ausschau zu halten. Dabei verlor ich mein eigentliches Ziel aus den Augen und tigerte mehrere Stunden entlang der Saale.

Der Startpunkt war die Camsdorfer Brücke, eines der sieben Wunder der Stadt. Das Bild links zeigt in Richtung des Wenigenjenaer Ufers. Dort, wo die Bäume stehen, befindet sich ein kleiner Weg und eine Wiese, wo Menschen grillen und chillen. Zwischen dem Baum, der aus dem Wasser ragt und dem blauen Schild sassen vor nicht allzu langer Zeit mit dem Bürgermeister Jenas und sangen Lieder. Auf dem rechten Bild stehe ich auf der Treppe, die zum Ufer führt. Einige Leute schauten mich etwas merkwürdig an, als ich die Stufen hinabstieg. Sie warteten dann und hofften wohl, dass entweder ich oder meine Kamera den Weg ins Wasser finden.

---

Auf dem Rückweg von der Brücke fiel mir ein, dass auf der anderen Seite eine Fuchsfamilie wohnte. Doch wie zu erwarten war, war kein Fuchs zu sehen und ihre »Wohnung« stand unter Wasser. Die Camsdorfer Brücke war die ganze Zeit sehr gut besucht. Sie ist natürlich die Verbindung zwischen der Innenstadt und Jena-Ost. Diesmal hielten viele mit Kamera an, um das Hochwasser zu fotografieren.

Ich begab mich dann weiter in Richtung Stadtrodaer Straße bzw. Paradies-Bahnhof. Dort ist ein Wehr und mich interessierte, wie hoch das Wasser dort mittlerweile steht.

In meinem Rücken ist die Stadtrodaer Straße, also die Schnellstraße, die nach Lobeda und zur Autobahn führt. Ich stehe an einer Umtragestelle für Bootsfahrer. Ein paar Meter vor dem Wehr kann man mit dem Boot anlanden und muss es bis zu dieser Treppe tragen. Dort werden die Boote wieder ins Wasser gesetzt und die Fahrt kann weiter gehen.

Ich habe an der Stelle zwei Videos gemacht. Die zeigen recht imposant die Situation am Wehr:

Ich entschied mich, Richtung Stadion weiterzulaufen. Unterwegs kam ich an der Strandbar 22 vorbei. Dort waren natürlich die Schotten dicht. Die Barhocker, die sonst direkt am Ufer der Saale standen, waren überflutet.

Ein paar Meter weiter, am Ernst-Abbe-Sportfeld, wartete dann das erste echte Hindernis. Vom Sportfeld lief das Wasser in Richtung Saale und der gesamte Sportplatz stand unter Wasser. Eigentlich sollte hier ein Sportfest stattfinden. Aber das wurde schon im Vorfeld abgesagt. Tja, was tun? Sowohl Schuhe wie auch Hose waren bereits nass. Also beschloss ich, einfach durch das Wasser zu waten. Die vom Wasser umspülten Schuhe sind hier zu sehen:

Mit nassen Füßen ging es dann weiter in Richtung Stadion. Ich wusste von anderen Fotos, dass das Stadion eher einer überdimensionalen Badewanne gleicht, denn ein Fußballplatz ist. Leider ist das Stadion nicht gut von außen einzusehen. So dass ich nicht sagen kann, ob bereits die Haie kreisen.

Kurz hinter dem Stadion erwischte mich ein kurzer, aber heftiger Schauer. Beim Unterstellen kam ich mit ein paar Leuten ins Gespräch. Einige bereiteten sich auf die Jugendweihefeier vor. Die Festwiese war durchweicht und die Saale drückte auch dagegen. Interessanterweise nahmen es die Leute mit Humor und meinten: »Da haben wir etwas, was wir noch in zehn Jahren erzählen können«.

Zwei Stellen lagen auf dem Weg und die wollte ich gern noch besuchen. Zum einen war das die Bootsanlegestelle des SV Schott. Zwei Wochen eher waren wir dort zu Besuch und unserer Kinder machten eine Schnupperstunde auf ein paar Paddelbooten. Das Bild links ist ein Vergleich der Situation von vor zwei Wochen und heute. Leider konnte ich die Bilder nicht vom selben Standpunkt aus machen. Der Baum oben und unten ist jeweils identisch. Das Bootshaus ist momentan durch Sandsäcke abgesicht. Das heißt, momentan müsste das Wasser ca. 30 cm steigen ehe größerer Schaden entsteht.

Die zweite für mich interessante Stelle war die Baustelle der Universaale. Dort wird unsere neue Schule gebaut. Die steht aber quasi sowieso schon in der Saale und ich war gespannt, wie dort die Lage ist. Das rechte Bild die Saale mit einem Wehr auf der linken Seite. Direkt hinter mir ist die Baustelle. Zu dem Zeitpunkt als ich das Foto machte, stand die Saale genau am Rand des Zauns. Ein paar Stunden später ging bis zu der Betonplatte vor schon eine Pfütze. Sollte also der Pegel weiter steigen, wird der Schulkeller wohl gewässert und der Eröffnungstermin rückt in die Ferne.

Über den Spielplatz im Paradies lief ich dann wieder zurück Richtung Paradies-Bahnhof. Dabei kam ich am Zusammenfluss von Leutra und Saale vorbei. Die Leutra ist normalerweise ein kleiner Plätscherbach, in dem oft Kinder spielen. Heute hätte ich mich als Erwachsener nicht da rein getraut. Das Wasser floss mit hoher  Geschwindigkeit gen Saale. Direkt neben dem Zusammenfluss war wieder die Strandbar. Viele Leute gingen dahin und erzählten ihre Erlebnisse. Ich machte mich auf zum Bahnhof und schute mir das Schauspiel von der anderen Seite an.

Im Laufe meiner Wanderung habe ich über 50 Bilder gemacht. Die liegen in einem Album bei Flickr. Videos sind oben schon eingearbeitet. Momentan codieren noch zwei vor sich hin. Ich verlinke die später.

Tja, ich kann mir nur wünschen, dass der Pegel nicht mehr höher steigt. Denn das würde sicher einigen Schaden nach sich ziehen. Ich drücke von hier aus die Daumen, dass das Schlimmste vorbei ist.

Woher kommen eigentlich Viren, Würmer und andere Schadsoftware? Über welchen Weg brechen Angreifer in Computersysteme ein? In vielen Fällen heißt die Antwort »Buffer Overflow« oder Pufferüberlauf. Jörg und ich sind der Frage nachgegangen, was so ein Buffer Overflow eigentlich ist. Wir versuchen anhand einer Analogie mit Kisten und deren Inhalten das Wesen des Überlaufs zu erklären. Anschließend bieten wir einige Lösungen für das Problem an. Neugierig geworden? Dann hört mal in den Datenkanal 19 rein:

• DK19 als MP3
• DK19 als OGG

Durch Bitlove könnt ihr beide Dateien über BitTorrent herunterladen.

• MP3 als BitTorrent
• OGG als BitTorrent

Viel Spass beim Anhören und, falls ihr mögt, könnt ihr flattrn.

Die nächste Woche bietet zwei spannende Termine:

1. Der Datenkanal geht wieder auf Sendung. In der ersten Sendung im neuen Jahr wollen wir uns über den 29C3 unterhalten.
2. Es gibt wieder eine CryptoParty im Krautspace. Beim letzten Mal haben wir nur theoretisch diverse kryptologische Aspekte angesprochen. Dies schien Tim Thaler nicht ganz zu gefallen. Diesmal geht es mehr um die praktischen Aspekte. Im Wiki stehen schon einige Ideen drin. Wenn euch was interessiert, kommt einfach mit vielen Fragen vorbei. Wenn ihr keine Fragen habt, so wäre es schön, wenn ihr ein paar Kleinigkeiten zum Knabbern mitbringt.

In aller Welt finden momentan so genannte CryptoPartys statt. Diese sollen in einer entspannten Atmosphäre Nutzer über verschiedene Aspekte von Kryptografie bzw. Anwendungen aufklären. Die erste CryptoParty in Jena steht vor der Tür. Am kommenden Freitag, dem 23. November 2012, startet im Krautspace eine CryptoParty. Ich werde dort ein paar Worte zu Kryptografie im Allgemeinen verlieren und später tiefer in Richtung OTR eintauchen. Vermutlich werde ich nur die theoretische Seite erklären können, da es im Krautspace immer noch kein Internet gibt. Weitere Vorschläge sind im Wiki unter dem Punkt Inhalte aufgelistet. Die Veranstaltung findet nach dem Prinzip der Barcamps statt. Das heißt, wer will, kann einen Vortrag oder Workshop halten.

Ich würde mich freuen, wenn recht viele zu der Veranstaltung kommen und sich von den Vorteilen der Kryptografie überzeugen lassen. Vermutlich sind auch Reporter von Dradio Kultur anwesend. Also seid darauf gefasst, interviewt zu werden.

Update: Kleinen Fehler beseitigt. Vielen Dank an fpunktk