Marc Ruef
Vorstellung
Deutsch English
"#Nokia is dead. Tell me which models you had! Mine were: 5110, 6110, 7110, 9110, 9210. Then I switched to Sony-Ericsson and later to iPhone." - @mruef vor 14 Stunden via Twitter


Marc Ruef startete im Jahr 1998 mit www.computec.ch das grösste deutschsprachige Portal zum Thema Computersicherheit. Darauf werden über 850 freie Publikationen sowie eine offene Diskussionsplattform angeboten, die pro Monat von rund 150'000 Besuchern frequentiert wird. Zeitgleich war er Mitglied von www.kryptocrew.de, einer der in den 90er Jahren bekanntesten Hacker-Gruppen im deutschsprachigen Raum. Im Rahmen diverser Freelance-Aktivitäten arbeitete er für verschiedene Sicherheitsfirmen (z.B. Panda Software) als Berater.

Ab Anfang 2000 war er bei der deutschen Firma Biodata GmbH, die als Marktführer in einigen Bereichen der IT-Sicherheit (vorwiegend ISDN-Verschlüsselungen) galt, tätig. Dort war er bis zu Ende 2002 als IT Security Specialist, vorzugsweise im Netzwerk/Firewall-Bereich, angestellt. Neben internen Schulungen und Security Consulting zeichnete er sich zudem für die Ausarbeitung von technischen Sicherheitsüberprüfungen sowie Marktststudien von Konkurrenzprodukten verantwortlich. Das Veröffentlichen von Fachartikeln wurde zu einem Zugpferd für die Etablierung der Firma als valablen Partner. Die turbulenten Jahre der Firma am Neuen Markt wurden in der ausgezeichneten Filmdokumentation "Weltmarktführer - Die Geschichte des Tan Siekmann" festgehalten.

Anfang 2002 wechselte er zur Schweizer Firma Inter-Networking AG. Dort sah er sich als Security Consultant in erster Linie für das Einrichten und Etablieren eines agilen Teams zur Durchführung von technischen Security Audits und Vulnerability Assessments verantwortlich. Unabhängig der beruflichen Tätigkeit begannen damals erste konkrete Entwicklungen an einem eigenen Software-Produkt (Codename Dante), das Sicherheitsüberprüfungen im Netzwerk erleichtern und automatisieren können sollte. In der gleichen Zeit war er Gründungsmitglied und Vizepräsident der Linux User Group (LUG) in Brugg.

Rund zwei Jahre später übernahm er als Mitinhaber die Leitung des Auditing-Teams der neu gegründeten Firma scip AG mit Sitz in Zürich. Die über die Jahre gesammelten Erfahrungen in diesem Bereich erwiesen sich als äusserst nützlich, um Sicherheitsüberprüfungen aller Art durchführen zu können. Die Möglichkeiten dieser Arbeiten wurden auf andere Gebiete erweitert: Neben zielgerichteten Penetration Tests wurden ebenfalls Source Code Reviews und formale Analysen von Firewall-Regelwerken zum wichtigen Werkzeug. Diese sind erforderlich, um den überdurchschnittlichen Sicherheitsanforderungen von Schweizer Kreditinstituten und den ihnen auferlegten Regulatorien (z.B. FINMA/EBK, SOX und ISO) gerecht werden zu können. Zeitgleich war er für das Entwickeln und Betreuen der hauseigenen Verwundbarkeitsdatenbank, er untersuchte und dokumentierte von 2003 bis 2007 über 2'000 Schwachstellen, zuständig. Seit 2009 erscheint einmal wöchentlich ein technischer Beitrag im hauseigenen Labs Blog.

Marc Ruef gilt als einer der meistgelesenen deutschsprachigen Autoren im Bereich der Netzwerksicherheit. Seit 1997 wurden über 380 Beiträge von ihm publiziert, davon ebenfalls als Übersetzungen in Sprachen wie Spanisch, Russisch und Japanisch (Kanji). Mitunter war er am Schreiben und Übersetzen (Englisch/Deutsch) verschiedener Fachbücher beteiligt. Im September 2002 erschien im Data Becker Verlag sein Buch "Hacking Intern", dessen erste Auflage nach rund zwei Jahren ausverkauft war. Ein Jahr später publizierte er die Übersetzung der dritten Auflage des Buchs "Network Intrusion Detection" von Stephen Northcutt und Judy Novak bei MITP/Hüthig Telekommunikation. Und Mitte 2007 wurde das Buch "Die Kunst des Penetration Testing" bei C&L aufgelegt. Gerade letzteres, es musste nach nur einem halben Jahr aufgrund der enormen Nachfrage nachgedruckt werden, gilt als solider Leitfaden für technische Sicherheitsüberprüfungen im professionellen Umfeld. Weitere Bücher, in erster Linie ein Beitrag zur umfassenden Analyse von Programm-Quelltexten, sind geplant.

In seinen Arbeiten steht das Entwickeln neuer Methoden und Systeme zur Umsetzung und Erleichterung von Sicherheitsüberprüfungen im Mittelpunkt. So erschien Ende 2003 die quelloffene Lösung Attack Tool Kit, welche auf der Basis des Dante-Scanners entwickelt wurde. Das bekannte und viel besprochene Exploiting-Framework soll dabei helfen, Sicherheitslücken im Rahmen eines Penetration Tests effektiv auszunutzen, um die Tragweite derer mit absoluter Genauigkeit bestimmen zu können (Proof-of-Concept). Ebenso stellte er dem Fachpublikum 2007 eine formale Methode zur Untersuchung von Netzwerk-Topologien und Firewall-Installationen vor. Diese Erzeugnisse werden von vielen Spezialisten eingesetzt, um ihre Tätigkeit erfolgreich ausführen zu können.

Seit Ende 2007 wird das Hauptaugenmerk auf das Recon-Framework gesetzt. Hierbei geht es um die Entwicklung verschiedener Methoden und Implementierungen zur Ermittlung und Auswertung eingesetzter Software-Komponenten (Application Fingerprinting). Das httprecon project bemüht sich um erweitertes Webserver-Fingerprinting mittels der Auswertung von HTTP-Rückantworten. In ähnlicher Weise funktioniert das browserrecon project, welches sich dem client-seitigen Application Fingerprinting von Webbrowsern auf der Basis ihrer HTTP-Anfragen annimmt. In ähnlicher Weise funktioniert ebenfalls das telnetrecon project bei der Auswertung von Telnet Negotiation Options entsprechender Telnet-Daemons.

Weiterführend stellte er Anfang 2008 mit dem Tractatus Logico-Philosophicus Instrumentum Computatorium eine formalistische Abhandlung zum Thema Informationssicherheit vor, die sich an den frühen Schriften des Philosophen Ludwig Wittgenstein orientiert. Den wohl grössten Aufwand bezüglich Research erfährt hingegen die Applikation codEX. Dieses Projekt, es wird als Basis eines neuen Buchs dienen (geplanter Erscheinungstermin ca. 2015), soll sicherheitstechnische Source Code Reviews weitestgehend automatisieren.

Sicherheitsüberprüfungen, namentlich Penetration Tests, stehen also seit jeher im Mittelpunkt seiner Tätigkeit. Aus der Vielzahl der erfolgreich durchgeführten Projekte wurden verschiedene Zero-Day-Schwachstellen, also bis dato nicht nicht bekannte Fehler, gefunden. Nach Rücksprache mit den jeweiligen Herstellern, darunter bekannte Firmen wie Microsoft oder Sun Microsystems Inc., konnten entsprechende Advisories und Patches zur Behebung der Probleme veröffentlicht werden. Damit konnte ein unmittelbarer Mehrwert sowohl für die betroffenen Projektkunden als auch für die Kunden der entsprechenden Hersteller gewährleistet werden. Dies geht entsprechend weit über die simplen Analysen mit automatisierten Scanning-Lösungen (z.B. Nessus oder Qualys) hinaus.

Marc Ruef