Gibt es eigentlich ein gutes Blog dass sich speziell mit social engineering bzw. layer-8-sicherheit befasst? Ich meine jetzt weniger phishing und schlechte passwörter, sondern vor allem die alltäglichen, nichttechnischen Authentifizierungsmechanismen. Ich bin ja eigentlich ein recht ehrlicher Mensch und mache bis auf gelegentliches Schwarzfahren Ticket-Erst-Im-Zug-Kaufen nicht viel, was zu Strafen führen kann, mir fällt aber immer wieder auf, wie Verfahren, die Sicherheit schaffen sollen, unglaublich leicht umgangen werden können, wenn sie nicht von vornherein fehl schlagen.
So hatte ich zum Beispiel vor einigen Tagen Hauptspeicher für mein kommendes Notebook bestellt. Der kam heute an und auf dem Paket war ein großer Hinweis gedruckt, der dazu anwies, das Paket nur an den Empfänger auszuliefern. Macht auch Sinn, denn der Inhalt war vorbezahlt und hatte durch Sammelbestellung über 300 Euro gekostet. Die Interpretation dieser Sicherheitsabfrage durch den Paketmenschen war jedoch, mich zu fragen ob ich der Empfänger sei. Ein "Ja" genügte ihm, Sinn der Aufgabe verfehlt.
Auch fällt mir immer das Beispiel ein, wo die Post beim Aushändigen von Paketen gegen Vorlage dieses orangenen Zettels einen Personalausweis verlangt, es aber problemlos möglich ist, ohne weitere Authentifizierung einen Abholer zu beauftragen, der zwar seinen Personalausweis benötigt, dafür aber nicht mit dem Empfänger übereinstimmen muss. Mißbrauch problemlos möglich, auch wenn sich das natürlich kaum anders regeln lässt.
Ich würde sehr gern mehr über das Thema lesen. So in Blogform. Also falls es da was gibt: einfach mal nen comment schreiben.
