Category Archives: Security Theater

A praise of Folly – Security Theater and the OSI layers 8 and above

Early in February 2018 I was happy to give a speech at FOSDEM, in Brussels. They booked me after Howard Chu and right before the closing keynote – awesome, and there were a few thousand geeks in the audience – I guess that was the largest crowd I ever spoke to.

And I told them about “A praise of Folly: Security Theater – The mostly unknown OSI Layer 8 and above” – see References. Here’s my ongoing collection.

Here’s the video

The End of Blameware is Coming – Thanks to DSGVO!

Ich habe ja den Begriff Blameware erfunden, und es damit bis in die ZEIT gebracht, damals, vor vielen Jahren. Aber laut den deutschen Datenschützern hat die DSGVO das Potential, dem ganzen Vertriebskonzept und Businessmodell ein Ende zu setzen – hier im Bericht von der Datenschutzkonferenz DSK der obersten deutschen Datenschützer: 

Windows 10 lässt sich nicht oder nur schwer datenschutzkonform betreiben.  Rumms lasst das mal sacken. 🙂 

beschluss_zu_top_13_win10_prufschema.pdf

Es geht noch weiter: Blameware ist doof: 

“Der Verantwortliche ist also verpflichtet, die Anforderungen der DSGVO für die Beschaffung seiner Verarbeitungsmittel zu konkretisieren und dasjenige auszuwählen, mit dem er die Grundsätze des Datenschutzes bei seinen Verarbeitungstätigkeiten nachweisbar wahrt. Es ist ihm verwehrt, sich darauf zu berufen, er setze lediglich ein fremdes Produkt ein, auf dessen Entwicklung er keinen Einfluss habe. Art. 25 Abs. 1 DSGVO verpflichtet nämlich den Verantwortlichen und nicht den Hersteller zu Datenschutz durch Technikgestaltung.”

#Milan airport shares your Wifi data with adservers, enabling full tracking.

Tim Perry auf Twitter: „Connect to the wifi at Milan MXP airport, and it sends your data to https://t.co/qQZDSHLWaq, who then track you all over the web. All before clicking anything, and exactly what their privacy policy promises they *don’t* do. What’s going on here @MiAirports? How is this ok? https://t.co/D4hzMehRwc“ / Twitter

https://mobile.twitter.com/pimterry/status/1192028773526441985

OSI Layer 8 again: Childporn Darknet Compromised through IPs in HTML Source.

Why we don’t need more surveillance: All major coups of law enforcement in the darknet where achieved by classical  investigation methods. Well done, dear cops, and I mean that. OSI Layers 8 and above have enough loopholes to offer. 

Reality update: Inside the shutdown of the ‘world’s largest’ child sex abuse website – TechCrunch … :

According to the indictment, federal agents began investigating the site in September 2017, two months before the hackers breached the site. The site’s administrator, Jong Woo Son, had been running the operation from his residence in South Korea since 2015.

The indictment said the main landing page to the site contained a security flaw that let investigators discover some of the IP addresses of the dark web site — simply by right-clicking the page and viewing the source of the website. It was a major error, one that would trigger a chain of events that would ensnare the entire site and its users.

Prosecutors said in the indictment that they found several IP addresses: 121.185.153.64 and 121.185.153.45. One of the IP addresses the hackers gave me was 121.185.153.114 — an address on the same network subnet as the dark web site. It was long-awaited confirmation that the hackers were telling the truth. They did in fact breach the site. But whether or not the government knew about the breach remains a mystery.

(…)

“The hacker group has not been in touch since we broke off communications. Publishing a story about the hack two years ago may have caused irreparable harm to the government’s investigation, potentially sinking it entirely. It was a frustrating time, not least being in the dark and not knowing if anyone was doing anything.

I’ve never been so glad to walk away from a story.”

 

Use Open Street Map, Dudes! Flaw in Google Maps uncovers Massive Cocaine Deals

Reality update: Prozess in Landshut: Die Tricks der Westbalkan-Mafia – Panorama – Süddeutsche.de … :

Bavaria, Albanians, and they trusted their IT systems. Sigh. I just added the #securitytheater tag, since I realized that. 

Der Plan war aufgeflogen, weil Helfer der Bande im oberbayerischen Eitting in die falsche Halle eingebrochen waren. Auf Google Maps waren zwei benachbarte Gebäude vertauscht und falsch beschriftet gewesen. Das Kokain blieb in den Obstkisten, die gelangten in den Einzelhandel, wo es im September 2017 von überraschten Rewe-Mitarbeitern ausgepackt wurde. Die Ermittler erinnerten sich an weitere, bis dahin mysteriöse Einbrüche in Reifehallen und machten sich auf die Suche nach den Tätern. Telefonüberwachung, scheinbar zufällige Straßenkontrollen, Observationen: Das Treiben der Albaner fand am Ende unter den Augen und Ohren von zuletzt rund 500 Ermittlern statt. Im März vergangenen Jahres schnappte die Falle dann zu.

(Danke, Fefe! … selten so gelacht. Welcome to Bavaria! )

If you Run a Small Business Park In the Back of the Parking Lot – Skyclerk

https://skyclerk.com/blog/if-you-run-a-small-business-park-in-the-back-of-the-parking-lot

Have you ever walked into a bar and the bartender asks for and holds your credit card while opening a tab? This is a very negative and I submit it is often poor business practice. In this example, one of the earliest interactions with a customer is to signal a lack of trust. The bartender is suggesting the customer will leave without paying. It would be one thing if the bar was making the customer’s life easier so when they were done they could simply walk out effortlessly paying the bill but that is not the typical case. I understand some bars have issues with people “dining and dashing”, so a bar owner has to weigh the pros and cons – but few realize there are cons that should be deeply considered.

Aerospace and the Normalization of Deviance …

Reality update: Normalization of Deviance – Flight Safety Foundation … :

Noncompliance with standard operating procedures (SOPs) — especially tolerance of unstabilized approaches — is a serious impediment to further reduction of accident risk, according to United Airlines safety leaders.

During his April presentation to the World Aviation Training Conference and Tradeshow (WATS 2015) in Orlando, Florida, U.S., Chris Sharber, a first officer and flight simulator instructor–Boeing 777 fleet, at the United Airlines Training Center in Denver, described the issue as invisible and insidious.

United Airlines safety leaders echoed this theme in a keynote address and in presentations about analytical techniques and related insights from the company’s safety management system (SMS), including analysis of flight crews’ voluntary safety reports.

“We have somewhere between 11,000 and 12,000 pilots. Our new-hire department will bring another 1,000 pilots on board in the next 12 to 15 months,” Sharber said. “One of the challenges that you face with that many pilots, of course, is SOP compliance. How do you influence a group of 11,000 individuals to focus on SOP compliance, to maintain the tight standardization that’s required to maintain safe operations in a global airline?”

(…)

Intentional Noncompliance Flight crews engage in intentional noncompliance — and sometimes self-justify this behavior — out of a variety of motivations. “Maybe it’s a bad SOP. Maybe there are competing priorities. Maybe it just doesn’t work. It’s not functional. … It’s not that important. It doesn’t really matter. I might [take a] shortcut just because I’m trying to save time,” he said. “[Or pilots rationalize], ‘I just don’t like it. I like the way we did it before. I’ve got a better way of doing things. I think this is a bad idea. I’m just not going to do it.” These occur with a perceived lack of consequences. The LOSA Collaborative’s latest data analysis suggests that acts of intentional noncompliance occur on between 40 to 60 percent of flights, or about half, on average.

Reality update: Normalization of Deviance – Flight Safety Foundation … :

Neuland, 2019: Hausdurchsuchungen wegen anonymer Anzeige gegen tarnkappe.info

Reality update: Hausdurchsuchung bei Tarnkappe.info wegen angeblichem Drogenhandel … :

Heute um ca. 14 Uhr haben insgesamt fünf Mitarbeiter der Bergisch Gladbacher Polizei eine Hausdurchsuchung bei Tarnkappe.info durchgeführt. Beschlagnahmt wurden alle vier technischen Geräte des Betreibers Lars Sobiraj. Der Durchsuchungsbeschluss vom AG Köln hat man damit begründet, dass in unserem Forum angeblich Drogen vermittelt wurden. Vom Verdächtigen wurden sogar die Fingerabdrücke genommen und Fotos erstellt. Ein anonymer Hinweisgeber hat sich an die Polizei in Bergisch Gladbach gewendet. Er will angeblich mittels Screenshots bewiesen haben, dass wir bei uns im Forum Drogen vermittelt haben. Somit hätte sich der Betreiber wegen des unerlaubten Handels mit BTM-pflichtigen Stoffen strafbar gemacht.

[…]

Kommentar von Lars Sobiraj:

Die Vorwürfe sind einfach hanebüchen. Ich bin verwundert, dass der zuständige Richter am AG Köln den Beschluss unterzeichnet, bzw. die Staatsanwältin überhaupt eine Durchsuchung angeordnet hat. Beim persönlichen Gespräch sagte mir der leitende Ermittler, er habe bei der Durchsicht des Forums von Tarnkappe.info überhaupt keine Anhaltspunkte für ein illegales Verhalten in irgendeiner Art finden können. Auch hätte ich bzw. meine Ehefrau bei der Durchsuchung nicht den Eindruck gemacht, dass wir hier etwas Illegales tun. Zudem sagte der KOK, er habe gesehen, dass ich alle Foren-Nutzer dazu aufgerufen habe, sich an die in Deutschland gültige Rechtslage zu halten.