|
Sehr geehrte Leserinnen und Leser,
nach der Bundestagswahl werden jetzt die Weichen für die kommenden Jahre gestellt. Beim Thema „Digitalisierung“ verlaufen die Sondierungsgespräche bislang allerdings enttäuschend (Kurzmitteilungen). Angesichts von formelhaften Absichtsbekundungen und abstrakten Allgemeinplätzen kam in der GI-Radar-Redaktion die Frage auf, ob der bisherige Kompromiss vielleicht einfach von einem Computer generiert worden ist… Bei unserem Fundstück – dieses Mal ganz im Zeichen von Halloween – ist das tatsächlich der Fall. Im „Thema im Fokus“ informieren wir Sie dieses Mal schließlich über zwei aktuelle Angriffe auf Kryptosysteme.
Wir wünschen Ihnen viel Spaß bei der Lektüre!
auf gi-radar.de weiterlesen
Kompromisse bei Sondierungsgesprächen + Regulierung von Algorithmen + Analyse von LinkedIn-Profilen + Problematische Apps für Kinder + Kids and Codes + Charakteristische Formulierungen in E-Mails + Krypto-Angriffe KRACK und ROCA + Innovations- und Entrepreneurpreis + E-Kompetenz im öffentlichen Sektor + ILW-Preis + Computergenerierter Horror
KURZMITTEILUNGEN
Kompromisse, keine Überraschungen (heise). Die Sondierungsgespräche verlaufen schleppend. Im Bereich „Digitalisierung“ wurden nun erste Kompromisse ausgehandelt. Konkrete Pläne zur Realisierung fehlen allerdings (noch) und kontroverse Themen wurden noch gar nicht diskutiert. weiterlesen
Algorithmen sind nicht böse (Zeit). Zuletzt häuft sich Kritik an „Algorithmen“. Einige Politiker haben sie zum Feindbild hochstilisiert. Patrick Beuth äußert berechtigte Kritik an der immer wiederkehrenden Forderung nach mehr Regulierung. weiterlesen
Arbeitnehmer automatisch analysiert (TechTarget). Manche Arbeitgeber überwachen die Aktivitäten ihrer Mitarbeiter während der Arbeit. Jetzt bietet ein Startup an, gezielt die LinkedIn-Profile von Mitarbeitern zu analysieren. Dadurch sollen unter anderem Wechselabsichten frühzeitig erkannt werden. weiterlesen
Problematische Apps für Kinder (netzpolitik, 8 min). Viele Apps finanzieren sich durch Werbung. Der Beitrag zeigt an ausgesuchten Beispielen, dass sich App-Entwickler gerade bei Spielen, die sich an die Jüngsten richten, recht rücksichtslos verhalten. weiterlesen
Kids and Codes (heise). Wie soll man Kinder an die Programmierung von Computern heranführen? Darüber wurde kürzlich auf einer Tagung anlässlich des Vintage Computing Festival Berlin diskutiert. Der umfangreich bebilderte Beitrag gibt Anregungen. weiterlesen
Charakteristische Formulierungen (ntu.ac.uk). Ein Computer-Linguist der Nottingham Trent University hat die E-Mails im Enron-Datensatz analysiert und neue Erkenntnisse veröffentlicht. Demnach weisen die E-Mails einzelner Personen in vielen Fällen charakteristische Formulierungen auf, teilweise reichen schon zwei aufeinanderfolgende Wörter aus, die immer wieder verwendet werden. weiterlesen
THEMEN IM FOKUS
In dieser Ausgabe beschäftigen wir uns mit Verfahren zur vertraulichen Kommunikation. Die Tagespresse hat in den letzten Tagen mehrmals über neue Angriffe berichtet. Besonders viel Aufmerksamkeit bekam der Angriff „KRACK“, der WLAN-Netze mit WPA2-Verschlüsselung betrifft. Mindestens genauso relevant sind jedoch die anderen aktuellen Angriffe, denen in der Öffentlichkeit weit weniger Beachtung geschenkt wird. Wir betrachten im Folgenden neben KRACK den Angriff ROCA.
KRACK: Angriff auf WLAN-Verschlüsselung. Der KRACK-Angriff nutzt einen Fehler im verbreiteten WPA2-Protokoll aus (heise): Ein Angreifer kann einen Sitzungsschlüssel mehr als einmal initialisieren, indem er eine leichte Modifikation eines abgehörten Pakets erneut sendet. Dabei werden sogenannte kryptographische NONCEs („numbers to be used once“) mehrmals verwendet. Dies führt dazu, dass ein Angreifer den übermittelten Verkehr mitlesen und in einigen Fällen auch manipulieren kann. Die geheimen Schlüssel lassen sich dabei allerdings nicht auslesen. Experten sind sich einig, dass diese Schwachstelle ein kritisches Problem darstellt, das von den Herstellern durch ein Software-Update behoben werden muss. Nichtsdestotrotz ist es unwahrscheinlich, dass alle bereits in Umlauf befindlichen WLAN-Geräte ein Update bekommen. Dies liegt unter anderem daran, dass es an wirksamen Regelungen zur Produkthaftung mangelt.
ROCA: Angriff auf RSA-Verschlüsselung. Der auf den Namen ROCA getaufte zweite Angriff betrifft die sog. „Trusted Platform Modules“ (TPMs) von Infineon (heise). Mit diesen Chips wird beispielsweise sichergestellt, dass auf Computern nur vertrauenswürdige Software läuft. Mit ROCA ist es einem Angreifer nun möglich, die in Infineon-TPMs gespeicherten privaten Schlüssel zu berechnen (Paper). Eigentlich ist diese Berechnung beim verwendeten RSA-Kryptoverfahren so komplex, dass sie auch für finanzkräftige Angreifer aussichtslos ist. Durch ROCA sinkt der Aufwand um viele Größenordnungen: Für lediglich 40.000 Euro kann man nun jeden der betroffenen Infineon-Chips knacken und deren Schutz unterlaufen. Die Behebung der Schwachstelle gestaltet sich aufwändig. Voraussichtlich müssen die betroffenen TPM-Chips ausgetauscht werden.
KRACK oder ROCA, welcher Angriff ist schlimmer? Die Angriffe unterscheiden sich erheblich voneinander. Einerseits betrifft KRACK sehr viele Nutzer; ROCA hingegen nur ganz spezifische Komponenten bestimmter Hersteller. Auf der anderen Seite ist KRACK lediglich ein Angriff auf ein Verschlüsselungsprotokoll von Funkverbindungen. Durch die inzwischen hohe Verbreitung von TLS (etwa bei Seiten, die mittels „https“ übertragen werden) ist das Ausmaß der Bedrohung in der Praxis begrenzt (heise). Bei ROCA sieht die Sache hingegen anders aus. Ein erfolgreicher Angriff hebelt den Schutz des auf RSA basierenden Sicherheitsankers vollständig aus. Ein Angreifer muss jedoch (zumindest momentan) viel Geld ausgeben, um ein einzelnes System zu knacken. Für die meisten Bürger mag die Bedrohung durch ROCA daher gering sein. Im professionellen Bereich, wo es um den Schutz von Geschäfts- und Staatsgeheimnissen geht, ist sie jedoch sehr relevant.
Auch in Deutschland wird daran gearbeitet, dass uns solche Fehler in Zukunft möglichst nicht mehr passieren. In der GI organisieren sich Kryptographie-Experten in der Fachgruppe Angewandte Kryptologie.
GI-MELDUNGEN
Nevita erhält Innovations- und Entrepreneurpreis 2017. Vizepräsident Andreas Oberweis hat in Chemnitz den Innovations- und Entrepreneurpreis an das medizininformatische Projekt Nevita der Technischen Hochschule Brandenburg verliehen. weiterlesen
Positionspapier E-Kompetenz im öffentlichen Sektor. Die GI-Fachgruppe Verwaltungsinformatik hat ein Positionspapier zur E-Kompetenz in Behörden veröffentlicht und gibt darin Empfehlungen zur Staatsmodernisierung und den dafür notwendigen Fähigkeiten der Bediensteten. weiterlesen
ILW-Preis vergeben. Der Fachbereich „Informatik in den Lebenswissenschaften“ hat in diesem Jahr erstmalig einen Förderpreis für eine herausragende Abschlussarbeit vergeben. Ausgezeichnet wurde Herr Fritz Lekschas für seine Masterarbeit mit dem Titel „Ontology-guided exploration of biological data repositories“. weiterlesen
Kennen Sie den GI-Bewegungsmelder? Haben Sie kürzlich eine neue Aufgabe übernommen? Dann melden Sie sich bei uns!
FUNDSTÜCK
Computergenerierter Horror. Forscher des MIT Media Lab entwickeln derzeit ein Programm, das Horrorgeschichten erfinden kann. Dazu wurde „Shelley“ (benannt nach dem Autor von Frankenstein) mit einer großen Anzahl entsprechender Textfragmente aus dem Onlineforum Reddit trainiert. Jetzt twittert Shelley in unregelmäßigen Abständen den Anfang einer Geschichte. Andere Nutzer können die Geschichte dann fortsetzen, worauf Shelley wiederum mit einer passenden Antwort reagiert. Unser Fundstück enthält Beispiele von Shelley und einen Link zu einem anderen Projekt der Forscher: Die „Nightmare Machine“ erzeugt mit maschinellen Lernverfahren furchteinflößende Bilder. Zum Artikel (fortune.com)
Welches Fundstück hat Sie zuletzt inspiriert? Senden Sie uns Ihre Vorschläge!
Dies war Ausgabe 201 des GI-Radars. Das Redaktionsteam des GI-Radars verabschiedet sich von Ihnen mit schaurig-schönen Grüßen. Aufbereitet wurden die Texte von Dominik Herrmann, der von Daniel Loebenberger (Thema im Fokus) unterstützt wurde. Ideen für Kurzmitteilungen haben die GI-Junior-Fellows Johannes Schöning und Rainer Gemulla beigesteuert. GI-Geschäftsführerin Cornelia Winter hat die GI-Mitteilungen zusammengetragen. Das nächste GI-Radar erscheint am 17. November 2017.
Im GI-Radar berichten wir alle zwei Wochen über ausgewählte Informatik-Themen. Wir sind sehr an Ihrer Meinung interessiert. Für Anregungen und Kritik haben wir ein offenes Ohr, entweder per E-Mail (redaktion@gi-radar.de) oder über das Feedback-Formular bei SurveyMonkey. Links und Texte können Sie uns auch über Twitter (@informatikradar) oder Facebook zukommen lassen.
|
