Experiences

Und immer wenn du denkst, es geht nicht mehr (schlimmer), kommt irgendjemand, der dir das Gegenteil beweist. Na super. Heute morgen finde ich in meiner geschäftlichen Inbox diesen Spam:

Sehr geehrter Herr Eble,

vor Kurzem haben wir mit einem jungen Team JobLeads gelauncht. JobLeads ist eine "By Invitation only"-Karriereplattform, die sich speziell an hoch qualifizierte Fach- und Führungskräfte richtet. Top-Unternehmen schreiben bei JobLeads ihre Stellenangebote aus und versehen diese mit Prämien zwischen € 2.000 und € 20.000 für die erfolgreiche Empfehlung von Kandidaten.

Um den Anforderungen an eine exklusive Karriereplattform gerecht zu werden, gehen wir bei der Auswahl unserer Mitglieder sehr selektiv vor. JobLeads-Mitglieder haben an führenden Universitäten im In- und Ausland studiert und sind nun in verantwortungsvollen Positionen tätig. Als Absolvent der Universitaet Freiburg gehören auch Sie zu diesem Personenkreis und wir möchten Ihnen anbieten, die Vorteile von JobLeads zu nutzen (die Mitgliedschaft ist und bleibt natürlich kostenlos).

Als Mitglied hat man exklusiven Zugang zu Top-Stellenangeboten und die Möglichkeit, die ausgeschriebenen Positionen an Freunde zu empfehlen. Kommt es aufgrund einer Empfehlung zu einer Einstellung, erhält man die Prämie. Selbstverständlich kann man sich auch auf interessante Positionen bewerben. JobLeads macht es so möglich, immer über spannende Stellenangebote von attraktiven Unternehmen informiert zu bleiben, Freunden interessante Jobs zu empfehlen und nebenbei noch Geld zu verdienen.

Falls Sie Interesse haben, JobLeads-Mitglied zu werden, können Sie sich über den unten stehenden Link registrieren. Falls nicht, wünschen wir Ihnen auf Ihrem Karriereweg weiterhin viel Erfolg.

https://www.jobleads.de/user_introduction_invitation.php?aid=XXXX



Viele Grüße aus Hamburg

Ihr JobLeads-Team

Das zeugt ja schon mal aus mehreren Gründen von äh... fehlender Überlegung. Erstens: woher haben die meine Geschäftsadresse? Mit der gehe ich nicht gerade hausieren. Zweitens: es ist Spam. Ich habe keine Geschäftsbeziehungen mit diesem ominösen Unternehmen noch habe ich Interesse daran, von denen meine Inbox gefüllt zu bekommen. Drittens: schlechte Datenquelle - ich bin kein Alumnus der ALU. Ich war da zwar mal eine Weile eingeschrieben, aber ich habe nicht abgeschlossen dort. Viertens (und damit kommen wir zu den technischen Seiten des ganzen Braindeaths): es gibt keine funktionierende Abuse-Adresse für jobleads.de. Fünftens: dünnes Gefasel auf der Webseite, irgendwo ist "Recruiting 2.0" erwähnt (meine Güte, dieser 2.0-Hype ist doch schon wieder vorbei!).

Ich spare mir jetzt irgendwelche offensichtlichen Auslassungen über Investmentbanker. Man soll ja nicht eine ganze Berufsgruppe über einen Kamm scheren.

Nichtsdestotrotz muss man derartigen Machenschaften gleich entsprechend einen Riegel vorschieben:

Hallo,

Ich habe diesen Spam von Euch in meiner geschäftlichen Inbox gefunden. Nicht genug damit, daß Ihr damit eindeutig gegen existierende Gesetze verstößt, zeigt ihr dazu noch

1. eine erstaunliche Insensibilität (hallo? Jobmarkt-Angebote an geschäftliche Adressen? Geht's noch?)


2. eine erstaunliche Inkompetenz was Marketing in Zeiten des Internet bedeutet (Spam ist die beste Antiwerbung, die ihr hättet machen können)

Eine rechtliche Aufarbeitung dieser Email spare ich mir - diesmal. Nichtsdestotrotz beanspruche ich nach §19 Bundesdatenschutzgesetz Auskunft darüber:

1. welche Daten Ihr über mich gespeichert habt


2. wo ihr diese Daten her habt


3. an wen Ihr diese Daten weitegegeben habt bzw. weiterzugeben gedenkt

Ich gebe Euch bis Freitag, den 7.12.2007, 17:00 Zeit, dieses Auskunftersuchen zu beantworten. Verstreicht diese Frist ohne Antwort, werde ich rechtliche Schritte einleiten.

Darüber hinaus untersage ich jedwede Weitergabe oder Verarbeitung der gespeicherten Daten, soweit sie mich betreffen.

Axel Eble

Die Karriere-Bibel sieht das JobLeads-Angebot übrigens etwas neutraler.

Nach dem Besuch von «James Bond: Casino Royale» stellt sich mir ernsthaft die Frage, was die Diskussion über das Verbot von Egoshootern (vulgo: Killerspiele) soll, wenn derartige Filme ab 12 Jahren freigegeben sind. Mal ganz abgesehen von der sinnfreien Darstellung der Gewalt (den Sex hatten sie ja mal wieder ausgeblendet und bitte was soll das denn?!) finde ich auch die Thematik für einen 12jährigen nicht unbedingt nachvollziehbar.

Was wieder einmal zeigt, daß das reflexartige Geschrei nach dem «Verbot von Killerspielen» eben nicht mehr ist als genau das: reflexartiges Geschrei.

Language Log: Translating leadership, creating verbiage
"Translating thought leadership...creating business results"

Wonderful, just wonderful! I've nothing to add to it, actually.

In Viruslist.com - Analytiker-Tagebuch (German only) a Kaspersky Labs technician describes how they found a Russian web site hosting data of about 300 credit cards, some with only basic information, some with deluxe information like ATM PIN, email address and phone number of the owner.

Kaspersky labs then called the Bundeskriminalamt , the German Federal police - to no avail. All three people they were named as responsible for this sort of information were already gone for the weekend. The same at the State police authorities. What is really scary is the fact that they didn't reach anybody from MasterCard or VISA, both. The hotline for lost cards wanted to know the credit card number of the calling party. Ouch.

Well, Kaspersky is not without resources. They finally contacted their US branch office which in turn got in contact with the FBI - and the Russian headquarters took care of shutting the site down.

I'm curious if this experience will change something at the German police institutions. However, I really doubt it.

Maximillian Dornseif writes in Barking at Banks that German banks sell indexed transaction numbers (iTANs, authorization codes for individual transactions) as the best thing since sliced bread and that all security woes would be magically cured by their use. He goes on to say that the banks spread misinformation and points to an advisory by his students about how iTANs are of no use against Man-In-The-Middle-Attacks. Which, of course, is right.
However, iTANs are a good tool against phishing - a phisher won't have any idea which TAN will be the next and even if they phish two or three TANs chances are they are of little use to him. And that's not even mentioning that users should get some funny feeling upon a) reading phishing emails as they are translated so extremely bad that it should be obvious they're not from the bank and b) the form asking for the TANs doesn't ask for TANs with specific indexes. So, while iTANs don't help against trojans they are pretty useful against phishers.

Dornseif's and his students' underlying premises are true, however: if the banks would use a sufficiently good mix of low-level and high-level security things would be much harder for phishers. What do I mean by low-level security? Things like not sending out HTML emails but simple text/plain messages, sent from the email servers and domains of the bank itself. And what do I mean by high-level security? Well, a time based one-time password (OTP) would be a better idea than a list of pre-generated TANs. However, the cost/benefit ratio probably won't see us going there. Even better would be HBCI with a Class 3 chipcard reader. In that case, however, the user interface is clumsy (as is often the case with security: it's not exactly user-friendly). So I don't see much happening on that front, either.

As a final note, it's quite interesting how diverse different countries' banks can be. In some countries banks hand out time-based OTP tokens, in the USA on the other hand banks don't seem to get a grasp of the concept of transaction authorization. Quite interesting, actually, as I'm sure it ties down to the mentality and society of the corresponding people.

The F-Secure weblog reminds of the RISKS Digest's 20^th anniversary today. Thanks to Dr. Peter G. Neumann for handling the digest!

What was new to me was the fact that the Digest is also available as an RSS feed nowadays.

I just revoked a PGP key I had created 1995. It's really sweet to remember all the stories to all the email addresses that the key was tagged with.

Good bye, my friend.

Dana Epp talks about the Top 10 Threats in 2004 (According to McAfee). While he's right in that most of these exploited long-known vulnerabilities that could have been patched, I see this only as an effect, a symptom, not the root cause. Why? Because even the notorious Microsoft vulnerabilities are not the root cause. It's the people and the complexity of the technology they use but refuse to learn enough about.
Our current computer and network technology is sufficiently easy to use for most people to jump aboard and do it. It is, however, at the same time sufficiently complex that most people will make errors in their configuration which in turn lead to vulnerabilities in their installed base.
Even people who should know it better (read: paid administrators in small to large companies) often enough have no clue whatsoever why something needs to be done in a certain way. Example? Take Wireless LAN - there's an abundance of people (and companies) setting up their access points without any security settings turned on. Take DNS: one of the most used and most abused protocols and applications on the Internet.

I believe that we need to work on the complexity: if things were less complex or at least well enough hidden behind a decent, intuitive GUI, I think we might better off. This would include safe and sensible default settings that work. And yes, we would possibly have to revamp some of the core protocols. The Internet has emerged from a small and safe place into an anarchic labyrinth where the old technologies simply don't scale any more. They were sufficient for the old times when there was trust abundant Out There. Today we need a complex design phase that caters to the complex problems and tries to find easy solutions to complexity.

And in the meantime it would help a lot if our dear vendors would start shipping their gear with security options turned on by default.

Fred Avolio talks about how the same old, same old discussions seem to pop up in information security.

He's right, of course. I heard Marcus Ranum a few days ago and he said basically the same thing: Information Security isn't rocket science and the most effective techniques have been around since at least 20 years.

So, what does it mean? To be cynical, it means that the information security industry is a big part of the problem. They don't seem to want to come up with solutions to our problems, they don't seem to want to do research. Of course, if they make us secure, they won't sell anything anymore. And if they want to keep on selling us their stuff that more or less works, they'll have to re-label it. So that's why we have Intrusion Prevention now.

The real hard problems haven't been solved, like log file correlation; like insecure default settings; like… you name it.

How to tell a human from an automatic probe? Easy:

 Out: 220 Heimdal.Balrog.DE ESMTP Postfix

 In:  HELO

 Out: 501 Syntax: HELO hostname

 In:  QUIT

 Out: 221 Bye