computec.ch

Who the F**k is VRML?

Marc Ruef - marc.ruef@computec.ch — Mo, 08 M�r 2010 09:12:00 GMT

Jeden Morgen fahre ich mit der Bahn zur Arbeit. Und wenn es der Zufall will, dann treffe ich alte Bekannte, Freunde oder gar Familie. Eines Morgens traf ich einen Bekannten, der Kunst studiert hat. In seiner Ausbildung und seiner gegenw�rtigen T�tigkeit spielen elektronische Medien - allen voran der Computer und das Internet - eine erstaunlich wichtige Rolle. So passiert es dann nicht selten, dass wir �ber das eine oder andere Thema diskutieren.

Nachdem er sich erneut dar�ber ge�rgert hat, dass sein WordPress-Blog eine Vielzahl an Patches erfordert, hat er das Thema VRML angeschnitten. Die Virtual Reality Modeling Language ist eine Beschreibungssprache f�r [more ...]

Elektronische Einbruchserkennung - Ein missverstandenes Werkzeug

Marc Ruef - marc.ruef@computec.ch — Mo, 22 Feb 2010 09:18:00 GMT

Der erste in erster Linie kommerziell ausgeschlachtete Trend der noch jungen IT Security Branche war das Firewalling. Im Corporate-Bereich wurden Firewall-Systeme gekauft und installiert, wie wenn es kein Morgen g�be. Jede Firma, die etwas auf sich hielt, musste seinen Internet-Zugang mit einem Paketfilter sch�tzen.

Die Industrie hatte Blut geleckt und versuchte unmittelbar nach dem Erreichen des umsatzstarken Zenits einen neuen Trend zu etablieren. Einen Schritt weiter als die damals als passiv verstandenen Firewalls sollten die Intrusion Detection-Systeme (IDS) gehen. Neben Antivirus und Kryptografie hat sich damit ein weiteres Missverst�ndnis im Bereich der "allt�glichen" Computersicherheit etabliert.

Dies beginnt damit, was ein IDS �berhaupt macht. [more ...]

Entwickler: Dein Freund und Helfer

Marc Ruef - marc.ruef@computec.ch — Mo, 15 Feb 2010 09:30:00 GMT

Hier beginnt sie, meine kleine Geschichte. Ich fahre mit dem Zug in unsere Bundeshauptstadt. Muss dort bei einem Kunden einen Partner treffen, der sich f�r die Entwicklung einer internen Webapplikation verantwortlich zeichnet. Ich bin sehr m�de. Da ich momentan sehr viel zu tun habe, bin ich eigentlich auch ein bisschen gereizt - vor allem wenn man mich warten l�sst. Ich lass mir jedoch nichts anmerken, melde mich h�flich beim Empfang an und werde flott ins Konferenzzimmer gef�hrt.

Dort wartet er schon. Der Entwickler der externen Firma. Man l�sst uns alleine, denn schliesslich geht es hier um einen Code-Walkthrough: Der gute Mann soll [more ...]

Sicherheits�berpr�fungen als Prozess

Marc Ruef - marc.ruef@computec.ch — Mo, 08 Feb 2010 07:53:00 GMT

Im Bereich der Informationssicherheit geniesst wohl kein Zitat solche Bekanntheit, wie jenes von Bruce Schneier:

"Security is not a product; it's a process."

Dieses l�sst sich in zweierlei Hinsicht auf Sicherheits�berpr�fungen �bertragen. So ist eine Sicherheits�berpr�fung als solche kein Produkt, welches erstellt und ohne Aufw�nde immerwieder genutzt werden kann. Viel mehr ist das Vorbereiten und Durchf�hren einer Sicherheits�berpr�fung ein fortw�hrender Prozess, der die individuellen Eigenarten des Auftrags (unterschiedliche Bed�rfnisse) sowie die technischen Entwicklungen der Zeit zu ber�cksichtigen hat.

Zudem sind Sicherheits�berpr�fungen nicht nur durch die Sammlung von und das Zur�ckgreifen auf Software und Tools definiert. Der intelligente Einsatz der jeweiligen Werkzeuge entscheidet massgeblich �ber [more ...]

Von Zensur und Doppelmoral

Marc Ruef - marc.ruef@computec.ch — Mo, 01 Feb 2010 09:23:00 GMT

In fr�hester Kindheit habe ich mich mit Tr�umen auseinandergsetzt. Fortw�hrend von wirren Geschichten verfolgt, stiess ich schon bald auf die jeweiligen Schriften Sigmund Freuds. Durch die Sekund�rliteratur zu seinen Traumdeutungen in meinem Interesse best�rkt, begann ich mich alsbald f�r den Mann hinter den Analysen zu interessieren. Die Biographie des Juden Freuds war eine der ersten, die ich gelesen habe.

Durch die Hintergr�nde seines Lebens besch�ftigte ich mich bald mit dem Dritten Reich. Dass zur damaligen Zeit Greueltaten im Sinne der nationalen Politik vorangetrieben wurden, bestreiten heute wohl nur noch die wirrsten Geister (Holocaustleugnung). In ganz besonderer Weise hat mich eine eigentlich doch [more ...]

Es w�re aufgefallen, dass ...

Marc Ruef - marc.ruef@computec.ch — Mo, 25 Jan 2010 09:07:00 GMT

Schweizer haben traditionell eine besondere Art, wie sie mit ihren Mitmenschen umgehen. In der Regel sind sie darum bem�ht, sich r�cksichtsvoll einem Konsens hinzugeben. Dabei wird sich normalerweise davor gescheut, auf Gedeih und Verderb seine eigenen B�d�rfnisse auf Kosten anderer durchzusetzen. Der Grund hierf�r ist einfach: Unser Land ist sehr klein und man begegnet sich mindestens zwei Mal im Leben - Eine grundlegende Vertr�glichkeit macht das Leben somit einiges einfacher.

�ber die Jahre habe ich jedoch gelernt, dass man es nicht allen Menschen recht machen kann. Es gibt fr�her oder sp�ter immer diametral entgegengesetzte Bed�rfnisse, die sich so nicht unter einen Hut [more ...]

Risikoanalysen und Resignation

Marc Ruef - marc.ruef@computec.ch — Mo, 18 Jan 2010 09:14:00 GMT

Angewandte Computersicherheit st�tzt sich auf der Diskussion von Risikoanalysen ab. Es gilt die Bedrohungen zu erkennen. Danach wird die Eintrittswahrscheinlichkeit und die Auswirkungen skizziert, um die entsprechenden Risiken kalkulierbar zu machen. Je eher ein Schaden Eintritt oder desto gr�sser seine Auswirkungen sind, desto gr�sser ist das Risiko. Und umso gr�sser das Risiko ist, desto eher lohnt es sich dagegen vorzugehen und will man es minimieren. Ein einfacher Prozess, eigentlich.

Doch Grossfirmen pflegen aus diesem simplen Prinzip ein losgel�stes, realit�tsfremdes und inkonsistentes Gebilde zu basteln, welches sowohl die akademisch-juristischen Anforderungen der internen Revision als auch die praktisch-technischen Bed�rfnisse der Administratoren nicht ber�cksichtigen kann.

Die [more ...]

Die Rechte und Pflichten eines Forensikers

Marc Ruef - marc.ruef@computec.ch — Mo, 11 Jan 2010 09:17:00 GMT

Ich kann mich noch sehr gut an den ersten durch mich geleiteten Forensik Fall im Jahr 2003 erinnern. Ein Industrieunternehmen musste eine Kompromittierung ihres Webservers beobachten. Meine forensischen Untersuchungen sollten zeigen, wie der Einbruch umgesetzt wurde und welche Sch�den (z.B. Einbringen von Hintert�ren) angerichtet wurden.

Mittlerweile haben wir eine Reihe von solchen Analysen erfolgreich umgesetzt. Und eines habe ich daraus gelernt: Es geht immer und in jedem Fall hektisch zu und her. Der Kunde ist gestresst, denn er erwartet Resultate oder muss diese unmittelbar an die vorgesetzte Stelle melden. Und die involvierten Partner sind nerv�s, weil sie nicht genau wissen, was passiert [more ...]

2009: Was war? 2010: Was wird?

Marc Ruef - marc.ruef@computec.ch — Mo, 21 Dez 2009 09:49:00 GMT

Wie jedes Jahr m�chte ich eben dieses mit einem reflektierenden Blog-Eintrag abschliessen - �ber Vergangenes sinnieren und zu Zuk�nftigem tr�umen.

Auf computec.ch hat sich leider nicht viel getan. Ich war sehr m�de, hatte bei der Arbeit viel zu tun und auch im privaten Umfeld so manche Geschichte, die mich buchst�blich auf Trab hielt. Das lange angek�ndigte neue CMS f�r www.computec.ch hat in seiner Grundstruktur auf unserer Firmenseite www.scip.ch seit April des Jahres sehr gute Dienste geleistet. Einen Vielzahl an Angriffsversuchen, von Injection-Angriffen bis zu Denial of Service-Attacken, hat es wie erhofft stand gehalten. Eine erweiterte Fassung dessen wird hoffentlich irgendwann auch [more ...]

Performance als Showstopper

Marc Ruef - marc.ruef@computec.ch — Mo, 14 Dez 2009 09:49:00 GMT

Grosse Firmen geben Hundertausende, manchmal gar Millionen Schweizer Franken aus, um ihre Webpr�senz zu erstellen, umzubauen oder zu erweitern. Jede Firma, die etwas auf sich h�lt, pr�sentiert sich alle paar Jahre komplett neu im Web. Da werden neue Webserver eingerichtet, neue Datenbanken erstellt und neue Webapplikationen entwickelt. Und dabei wird gut und gerne der Devise gefolgt: Nicht kleckern, klotzen!

Die vermeintlich gut ausgebildeten Projektleiter und die st�ndig wechselnden Techniker lassen sich dabei unverhohlen dazu hinreissen, m�glichst m�chtige Technologien einzusetzen. Anstelle einer einfachen MySQL-Datenbank wird auf das m�chtige Oracle gesetzt (obwohl man die zus�tzlichen Funktionen gar nicht braucht) und anstatt des Nutzens einer [more ...]