Category: Security Theater

A praise of Folly – Security Theater and the OSI layers 8 and above

Early in February 2018 I was happy to give a speech at FOSDEM, in Brussels. They booked me after Howard Chu and right before the closing keynote – awesome, and there were a few thousand geeks in the audience – I guess that was the largest crowd I ever spoke to.

And I told them about “A praise of Folly: Security Theater – The mostly unknown OSI Layer 8 and above” – see References. Here’s my ongoing collection.

Here’s the video

Boeing: »Fabrik im Chaos« stoppt die Produktion (neues-deutschland.de)

Perfekte Risikoanalyse:

“Mehrfach wurde der Verdacht laut, dass auch die für die Zulassung von Maschinen zuständige FAA nicht so genau hingeschaut hat. Nach dem Absturz der ersten MAX-Boeing im Oktober 2018 ließ die FAA errechnen, wie wahrscheinlich ein weiterer durch die MCAS-Software verursachter Unfall wäre. Ergebnis: Es könnte maximal alle drei Jahre eine solchen Katastrophe geschehen. Was offenbar niemanden schockte. Man ließ die MAX-Maschinen im Geschäft und riet dem Hersteller lediglich, die Software nachzubessern und bei Routinechecks in die Bordcomputer einzulesen.“

https://www.neues-deutschland.de/artikel/1130321.boeing-fabrik-im-chaos-stoppt-die-produktion.html

#securitytheatre by Apple: Entschlüsselungs-Key für iPhone-Secure-Enclave: Apple ließ Tweet entfernen | heise online

https://www.heise.de/mac-and-i/meldung/Entschluesselungs-Key-fuer-iPhone-Secure-Enclave-Apple-liess-Tweet-entfernen-4613199.html?wt_mc=rss.red.ho.ho.atom.beitrag.beitrag

Project Zero: Bad Binder: Android In-The-Wild Exploit

https://googleprojectzero.blogspot.com/2019/11/bad-binder-android-in-wild-exploit.html?m=1

The End of Blameware is Coming – Thanks to DSGVO!

Ich habe ja den Begriff Blameware erfunden, und es damit bis in die ZEIT gebracht, damals, vor vielen Jahren. Aber laut den deutschen Datenschützern hat die DSGVO das Potential, dem ganzen Vertriebskonzept und Businessmodell ein Ende zu setzen – hier im Bericht von der Datenschutzkonferenz DSK der obersten deutschen Datenschützer:

Windows 10 lässt sich nicht oder nur schwer datenschutzkonform betreiben. Rumms lasst das mal sacken. 🙂

beschluss_zu_top_13_win10_prufschema.pdf

Es geht noch weiter: Blameware ist doof:

“Der Verantwortliche ist also verpflichtet, die Anforderungen der DSGVO für die Beschaffung seiner Verarbeitungsmittel zu konkretisieren und dasjenige auszuwählen, mit dem er die Grundsätze des Datenschutzes bei seinen Verarbeitungstätigkeiten nachweisbar wahrt. Es ist ihm verwehrt, sich darauf zu berufen, er setze lediglich ein fremdes Produkt ein, auf dessen Entwicklung er keinen Einfluss habe. Art. 25 Abs. 1 DSGVO verpflichtet nämlich den Verantwortlichen und nicht den Hersteller zu Datenschutz durch Technikgestaltung.”

Federal Court Rules Suspicionless Searches of Travelers’ Phones and Laptops Unconstitutional | American Civil Liberties Union

https://www.aclu.org/press-releases/federal-court-rules-suspicionless-searches-travelers-phones-and-laptops

Mozilla Foundation – What Half of iPhone Users Don’t Know About Their Privacy: New Poll

https://foundation.mozilla.org/en/blog/what-half-of-iphone-users-dont-know-about-their-privacy-new-poll/

Why hospitals are a weak spot in U.S. cybersecurity – Axios

https://www.axios.com/hospitals-cybersecurity-medical-information-hacking-076cb826-fc69-4ba6-b3fd-57ce19ab00c6.html

KTRW: The journey to build a debuggable iPhone

https://googleprojectzero.blogspot.com/2019/10/ktrw-journey-to-build-debuggable-iphone.html

#Milan airport shares your Wifi data with adservers, enabling full tracking.

Tim Perry auf Twitter: „Connect to the wifi at Milan MXP airport, and it sends your data to https://t.co/qQZDSHLWaq, who then track you all over the web. All before clicking anything, and exactly what their privacy policy promises they *don’t* do. What’s going on here @MiAirports? How is this ok? https://t.co/D4hzMehRwc“ / Twitter

https://mobile.twitter.com/pimterry/status/1192028773526441985

Coool!!! #securitytheatre Hackers Can Use Lasers to ‘Speak’ to Your Amazon Echo or Google Home | WIRED

https://www.wired.com/story/lasers-hack-amazon-echo-google-home/

#DSGVO : Wo ist sie denn, die Abmahnwelle? Bisher gab’s nur Strafen zu Recht.

… Und Silicon Valley beneidet uns um diesen Level von Verbraucherschutz. Yeah.

Immobilienkonzern: Deutsche Wohnen muss Millionenstrafe zahlen | ZEIT ONLINE

https://www.zeit.de/wirtschaft/unternehmen/2019-11/immobilienkonzern-deutsche-wohnen-bussgeld-datenschutzverstoesse

OSI Layer 8 again: Childporn Darknet Compromised through IPs in HTML Source.

Why we don’t need more surveillance: All major coups of law enforcement in the darknet where achieved by classical investigation methods. Well done, dear cops, and I mean that. OSI Layers 8 and above have enough loopholes to offer.

Reality update: Inside the shutdown of the ‘world’s largest’ child sex abuse website – TechCrunch … :

“According to the indictment, federal agents began investigating the site in September 2017, two months before the hackers breached the site. The site’s administrator, Jong Woo Son, had been running the operation from his residence in South Korea since 2015.

The indictment said the main landing page to the site contained a security flaw that let investigators discover some of the IP addresses of the dark web site — simply by right-clicking the page and viewing the source of the website. It was a major error, one that would trigger a chain of events that would ensnare the entire site and its users.

Prosecutors said in the indictment that they found several IP addresses: 121.185.153.64 and 121.185.153.45. One of the IP addresses the hackers gave me was 121.185.153.114 — an address on the same network subnet as the dark web site. It was long-awaited confirmation that the hackers were telling the truth. They did in fact breach the site. But whether or not the government knew about the breach remains a mystery.”

(…)

“The hacker group has not been in touch since we broke off communications. Publishing a story about the hack two years ago may have caused irreparable harm to the government’s investigation, potentially sinking it entirely. It was a frustrating time, not least being in the dark and not knowing if anyone was doing anything.

I’ve never been so glad to walk away from a story.”

Your Right to Know campaign: What is it about?

https://www.smh.com.au/national/a-culture-of-secrecy-what-is-the-right-to-know-campaign-about-20191018-p5323v.html?utm_medium=Social&utm_source=Twitter#Echobox=1571609160

US military will no longer use floppy disks to coordinate nuke launches

https://www.engadget.com/amp/2019/10/18/us-military-nuclear-missiles-floppy-disks/

Use Open Street Map, Dudes! Flaw in Google Maps uncovers Massive Cocaine Deals

Reality update: Prozess in Landshut: Die Tricks der Westbalkan-Mafia – Panorama – Süddeutsche.de … :

Bavaria, Albanians, and they trusted their IT systems. Sigh. I just added the #securitytheater tag, since I realized that.

“Der Plan war aufgeflogen, weil Helfer der Bande im oberbayerischen Eitting in die falsche Halle eingebrochen waren. Auf Google Maps waren zwei benachbarte Gebäude vertauscht und falsch beschriftet gewesen. Das Kokain blieb in den Obstkisten, die gelangten in den Einzelhandel, wo es im September 2017 von überraschten Rewe-Mitarbeitern ausgepackt wurde. Die Ermittler erinnerten sich an weitere, bis dahin mysteriöse Einbrüche in Reifehallen und machten sich auf die Suche nach den Tätern. Telefonüberwachung, scheinbar zufällige Straßenkontrollen, Observationen: Das Treiben der Albaner fand am Ende unter den Augen und Ohren von zuletzt rund 500 Ermittlern statt. Im März vergangenen Jahres schnappte die Falle dann zu.”

(Danke, Fefe! … selten so gelacht. Welcome to Bavaria! )