Sicherheitslücke in der My Swisscom-App

Zufällig bin ich in der My Swisscom-App über eine unangenehme Sicherheitslücke gestolpert.

Ich habe die Details soeben der Swisscom kommuniziert und warte auf eine Antwort. Maximal 30 Tage lang.

Update vom 5.3.2013: Das Swisscom CSIRT hat den Empfang meiner Meldung bestätigt und intern einen Security Incident eröffnet.

Update vom 22.3.2013: Die Swisscom hat mich telefonisch kontaktiert, eine Lösung in Aussicht gestellt und mich auf ein persönliches Gespräch eingeladen.

Update vom 28.3.2013: Der Sicherheitschef der Swisscom hat sich mit einem Mittagessen bei mir bedankt und eine Publikation des Problems auf den 02.04.2013 versprochen. Behoben wird es wohl erst einen Monat später.

Update vom 3.4.2013: Die Swisscom hat Sicherheitshinweise auf ihren Webseiten und in der App platziert.

Mein Staubsauger will mich umbringen

20090926_staubsauger

Gewissenhaft wie ich bin, habe ich mir die Dokumentation zu meinem neuen Staubsauger zu Gemüte geführt. Und fürchte mich nun vor dem Gerät: Das Handbuch beginnt mit dem obigen Text und fährt fort mit einer ganzen Serie von Sicherheitshinweisen. Gewisse Vorgaben werden sogar bis zu dreimal wiederholt.

Dieser Staubsauger ist entweder eine Todesfalle oder der Autor des Handbuchs ist völlig paranoid. Zum Glück bin ich zynisch genug, um diese Hinweise einfach zu ignorieren und mein Leben in Ruhe weiterleben zu können.

NZZ-Folio zum Thema Sicherheit

Das neueste NZZ-Folio berichtet über die steile Karriere einer Illusion: Sicherheit. Wunderbare Artikel über Angst, Risiko und Fehleinschätzungen, über Freiheitsberaubung unter dem Vorwand der Terrorismusbekämpfung und über Rauchwurst aus dem Jura. Für jeden etwas.

Literaturtipp zum Thema: Bruce Schneier – Beyond Fear (Das Buch erörtert besonders die Frage warum wir Risiken so schlecht einschätzen können und warum so viele Sicherheitsmassnahmen nichts mehr als Augenwischerei sind. Auch lesenswert ist Bruce Schneiers Blog.)

HD-DVD und Blu-Ray-Verschlüsselung ist passé

Das hat fast länger gedauert als ich gedacht habe: Offenbar sind die Processing Keys unverschlüsselt im Speicher aufgefunden worden. Und wie Boing Boing korrekt feststellt braucht es für die künstliche Verhinderungstechnologie DRM nur einen Fehler und das ganze System liegt darnieder.

Wen wird das jetzt wirklich stören? Ausser der üblichen Empörung der Filmindustrie werden sich wohl beonders Gerätehersteller freuen: Die ganzen DRM-Geschichten und Formatkriege haben die Konsumenten schon zu lange verunsichert und Investitionen in High-Def-Apparaturen verzögert. Jetzt dürfte sich die Verbreitungsgeschwindigkeit etwas beschleunigen.

Als Anekdote dazu: Der rumänische Staatspräsident Basescu wies auf den positiven Effekt von Windows-Raubkopien auf die nationale Informatik hin, an einer Pressekonferenz und neben ihm sass Bill Gates.

Die ZVV und das Sicherheitsgefühl

Ich lese im Moment Bruce Schneiers Buch Beyond Fear. Zentrales Thema ist das Scheitern vieler Sicherheitsmassnahmen bei ihrer eigentlichen Aufgabe: Beim Steigern der objektiven Sicherheit.

Und so kann ich nur meinen Kopf schütteln wenn ich in der NZZ den Artikel über die Videoüberwachung der ZVV Nachtbusse lese. Ich zitiere:

>> „Bis Ende des Sommers rüsten wir nun laufend noch die restlichen rund 60 Fahrzeuge aus“, sagte ZVV-Sprecherin Beatrice Henes am Montag zu einer Meldung von „Radio 24“. „Dank der Videoüberwachung konnten in der Pilotphase vereinzelt sogar Fälle von Vandalenakten gelöst werden“, so Henes.

Ausserdem sei das Sicherheitsgefühl bei den Fahrgästen wie auch bei den Chauffeuren grösser. Im Vergleich zu 2004 sind laut ZVV zudem die Vandalenakte leicht zurückgegangen. <<

Vereinzelt sogar? Sicherheitsgefühl? Leicht zurückgegangen?

Die ZVV behandelt ihre Kunden also lieber als kleine Kinder die es Tag und Nacht zu behüten gilt, nur um ein bisschen Sicherheitsgefühl zu gewinnen. Anstelle wirklich sinnvolle & wirksame Massnahmen zu ergreifen, installiert man einfach ein paar Kameras und glaubt damit alle Probleme gelöst zu haben.

Natürlich wird sich niemand gegen die komplette Überwachung wehren, es ist ja zu unserem Schutz. Uns so wird sich unser Protest nur gegen den Flughafen Zürich richten, weil dieser aus Sicherheitsgründen die Gebühren um einen Franken erhöht. Das Porte-Monnaie ist halt doch wichtiger als die eigene Privatsphäre.

Sicherheitsüberprüfung der Papstwahlen

Als ‚überzeugter‘ Katholik amüsiere ich mich köstlich um den ganzen Medienrummel der letzten Wochen und bin etwas überrascht wie sehr die Protestanten doch neidisch auf uns sind.

Nein, im Ernst: Sicherheitsexperte Bruce Schneier hat sich etwas intensiver als der Rest der Welt mit der Sicherheit der Papstwahlen befasst und eine Zusammenfassung geschrieben.

Paris Hilton’s geheime Frage

Sicherheitsexperte Bruce Schneier hatte gerade vor kurzem nocheinmal gewarnt: Geheimfragen sind unsicher!

Und nun hat es offenbar gerade Paris Hilton erwischt: Ihr T-Mobile Sidekick, eine Online-Applikation zur Verwaltung von Kontakten, Notizen und Fotos auf dem zugehörigen T-Mobile Handy, ist zwar mit einem Passwort geschützt, aber nach einigen erfolglosen Login-Versuchen stellt auch diese Platform eine Geheimfrage:

Wie heisst dein Lieblingshaustier?

Dumm nur dass Paris Hilton sich vor kurzem mit Britney Spears öffentlich gestritten hat. Und dass damit alle Welt jetzt die Antwort auf diese Frage kennt.

Darum: Unbedingt Bruce Schneiers Ratschlage befolgen:

>> What can one do? My usual technique is to type a completely random answer — I madly slap at my keyboard for a few seconds — and then forget about it. < <

Von einem kryptographischen Standpunkt aus ist das das einzig sinnvolle. Was bringt sonst ein starkes Passwort wenn man Geheimfragen wie Lieblingsfarbe oder Mädchenname der Mutter einfachst mit einer Wörterbuchattacke zu Fall bringt?