| Presentation | | Publications | Software | Contact | |||
 |
Die Zukunft der angewandten IT-Sicherheit | 06.09.2010 | computec.ch, Marc's Blog Vor einiger Zeit ist jemand in meinem privaten Umfeld auf mich zugekommen und hat mich gefragt, wie sich wohl mein Berufsstand entwickeln wird. Ich habe darauf entgegnet, dass einerseits Sicherheitsberatungen im Allgemeinen und Sicherheitsüberprüfungen im Speziellen massgeblich von den generischen Entwicklungen im Computerbereich abhängig sind. Andererseits geht mit diesen eine soziologische, wirtschaftliche und juristische Entwicklung einher, die indirekten Einfluss ausüben wird. Weiterlesen ... Gedanken zu 'sicheren Passwörtern' | 03.09.2010 | scip AG Labs Ein klassischer und gern diskutierter Tipp im Bereich der angewandten Computersicherheit ist der Einsatz sicherer Passwörter. Diese sollen möglichst lang und möglichst komplex sein sowie möglichst oft gewechselt werden. Weiterlesen ... Geschlossene Systeme und ihre Zukunft am Beispiel des iPhone | 23.08.2010 | computec.ch, Marc's Blog Kein Unternehmen hat sich je in derartiger Weise wie Phönix aus der Asche erhoben, wie dies Apple in der Lage war. In den 80er und 90er Jahren durch andere Hersteller und Plattformen belächelt - am lautesten gelacht hat Microsoft -, gilt das Unternehmen um Steve Jobs mittlerweile neben Google als Branchenriese mit der erfolgträchtigsten Zukunft. Weiterlesen ... Statistik zum Author-Feld in PDF-Dokumenten | 20.08.2010 | scip AG Labs Viele moderne Dokumentformate unterstützen Meta-Daten, in denen unabhängig vom eigentlichen Inhalt zusätzliche Informationen abgelegt werden. Dies kann zum Beispiel bei Office-Dokumenten und verschiedenen Bild-Formaten (siehe Exif-Standard) beobachtet werden. In gleicher Weise wird bei PDF-Dokumenten verfahren. Wie wir im Beitrag PDF Document Properties Parsing Probleme beschrieben haben, ist es aufgrund unterschiedlicher Formatstrukturen nicht so einfach, die jeweiligen Informationen auslesen zu lassen. Im Beitrag Automatisiertes Document Properties Profiling haben wir gezeigt, wie sich durch Skripte unterschiedliche Seiten - in diesem Fall von amerikanischen Nachrichtendiensten - auswerten lassen. Weiterlesen ... Vulnerability Scan - Qualität und Evaluation | 13.08.2010 | scip AG Labs Die scip AG bietet verschiedene Dienstleistungen an. Ein zentraler Bereich besteht im Auditing, bei dem (technische) Sicherheitsüberprüfungen aller Art durchgeführt werden. Eines der beliebtesten Module seit jeher sind Security Scans, bei denen die Sicherheit eines Netzwerksystems über das Netzwerk/Internet identifiziert wird. Weiterlesen ... Die Angst eines jeden Penetration Testers | 09.08.2010 | computec.ch, Marc's Blog In meinem privaten Umfeld gibt es so manchen, der sich nicht einfach im Umgang mit seiner Familie tut. Da wird gestritten, bei jeder Gelegenheit. Sei dies nun mit Mutter, Vater, Geschwister, entfernten oder angeheirateten Verwandten. Meine Beobachtungen in dieser Hinsicht ist - und dies lässt sich grundsätzlich auf die meisten Streitereien in unserer Hochkultur übertragen -, dass der Groll in erster Linie dann entsteht, wenn sich jemand nicht ernst genommen und seine Bedürfnisse mit Füssen getreten fühlt. Auch wenn es vielen nicht bewusst ist, so ist doch mitunter durch Anerkennung genährter Stolz eine wichtige Komponente eines jeden Charakters. Weiterlesen ... iPhone iOS4 Jailbreak und seine Folgen | 05.08.2010 | scip AG Labs Mit einem Jailbreak wird ein iPhone oder iPad entsperrt. Durch die damit gewonnene Offenheit wird es möglich, eigene Software auf dem Gerät laufen zu lassen. Dies wird durch Entwickler und Software-Piraten mitunter genutzt, um das Mobiltelefon um zusätzliche Applikationen zu erweitern. Das Entsperren eines Geräts erfordert traditionell das Verbinden zu einem Rechner, um die eigene Software einzuspielen. Weiterlesen ... Das Pentesting Experten System | 26.07.2010 | computec.ch, Marc's Blog Seit meinem Eintritt in den Bereich der Netzwerksicherheit haben mich Vulnerability Scanner zur automatisierten Identifikation von Sicherheitslücken fasziniert. Erste Gehversuche mit einer eigenen Implementierung habe ich im Jahr 2000 mit dem Dante Projekt umgesetzt. Der auf modularen Shell-Skripten basierende Security Scanner sollte über eine Weboberfläche bedienbar und deshalb durch jedermann benutzbar sein. Weiterlesen ... HTML5 Cross Origin Request Sicherheit | 23.07.2010 | scip AG Labs Die Weiterentwicklung der modernen Informationsgesellschaft schafft stetig neue Anforderungen an das Internet. Als Folge davon werden fortwährend neue Standards geschaffen und bestehende Technologien weiterentwickelt. Als Kernbestandteil des modernen World Wide Web gilt die Seitenbeschreibungssprache HTML. Gegenwärtig wird die Entwicklung von HTML5 vorangetrieben. Populäre Webseiten wie YouTube versuchen das proprietäre Flash durch die neuen Multimedia-Funktionen von HTML5 abzulösen und verhelfen so früher oder später der neuen Version zum breitflächigen Durchbruch. Weiterlesen ... Anatomie (m)eines Blogs | 12.07.2010 | computec.ch, Marc's Blog Obwohl ich mich als sehr neugierigen Menschen bezeichne, pflege ich relativ langsam in der Adaption neuer Technologien zu sein. Dies hängt weniger mit dem fehlenden Verständnis für Möglichkeiten zusammen. Viel mehr stehe ich neuen Mechanismen naturbedingt kritisch gegenueber, denn viele von ihnen können ihre Nützlichkeit erst mit einer gewissen technologischen Reife (z.B. Full-HD) bzw. einer sozialen Etablierung (z.B. Twitter) entfalten. Weiterlesen ... Passwortlänge der Cracker | 09.07.2010 | scip AG Labs Mit carders.cc wurde ein bekanntes deutsches Forum bereitgestellt, in dem durch kriminelle Cracker (Faker und Carder) mit gestohlenen Informationen gehandelt wurde (z.B. Kreditkarten- und Kontoinformationen). Weiterlesen ... Native Word Makro Backdoor Image Autosize Probleme | 01.07.2010 | scip AG Labs Das Durchführen von Backdoor Tests zur mehrschichtigen Prüfung von Umgebungen ist mehr dennje beliebt bei unseren Kunden. So können sie an einem konkreten Beispiel sehen, wie ein hochgradig professioneller Angreifer eine Attacke vorbereitet, diese durchführt, wie sie sich im Unternehmensnetzwerk verhält und durch die jeweiligen Stellen (Mitarbeiter, Administratoren und Incident Response Team) wahrgenommen wird. Weiterlesen ... Infiltration eines Netzwerks | 28.06.2010 | computec.ch, Marc's Blog Ein krimineller Angriff auf ein Computersystem umfasst unterschiedliche Phasen. Will man die Nennung dieser möglichst reduzieren, so kann man sich auf (1) Auswertung, (2) Angriff, (3) Kompromittierung, (4) Rechteausweitung und (5) Backdooring einigen. Eine überproportional hohe Anzahl an Fachpublikationen beschäftigt sich mit dem Einbrechen in Computersysteme, also mit den Phasen 1 bis 3. Weiterlesen ... Präsentation zur Sicherheit von Cloud Computing | 18.06.2010 | scip AG Labs Am ISMS Praxis Forum in Olten hat Marc Ruef einen Vortrag zur Sicherheit von Cloud Computing gehalten. Dieser basiert auf dem Labs-Beitrag mit dem gleichnamigen Titel: 10 sicherheitsrelevante Gründe gegen Cloud Computing. Die Präsentations-Folien werden hier (ppt, 5.7 mb) zum Download bereitgestellt. Weiterlesen ... Warum Skript-Kiddies keine Hacker sind | 14.06.2010 | computec.ch, Marc's Blog Ende der 90er Jahre ist ein wilder Streit um und in der Hacker-Kultur entbrannt. Es ging dabei nicht um technische Hintergründe, sondern um die soziokulturelle Wahrnehmung einer anarchistischen Subkultur. Die Begriffe Hacker und Cracker werden je nach sozialem Kontext anders verstanden. Für die Tagesmedien war jeder ein Hacker, der sich mit zwielichtigem Wissen und Vorgehen innerhalb technischer Mechanismen einen Vorteil verschafft bzw. anderen einen Nachteil beschert. Für die klassischen Hacker der alten Generation, die vorzugsweise aus Programmierern und Unix-Gurus bestand, waren dies jedoch die niederträchtigen Cracker. Ihr geliebter 'Ehrentitel' wurde - so haben sie es jedenfalls wahrgenommen - durch die ignorante und oberflächliche Gesellschaft durch den Schmutz gezogen. Weiterlesen ... Facebook Like Tracking verhindern | 11.06.2010 | scip AG Labs Wie jedes erfolgreiche Unternehmen versucht auch Facebook ihren Erfolg zu vergrössern, wobei sie zunehmends ihre Pflichten und die Rechte ihrer Benutzer offensichtlich vernachlässigen. So bietet Facebook seit einiger Zeit die Möglichkeit an, dass Webmaster auf ihren Seiten einen Like-Button einfügen können. Durch das Klicken auf diesen können Facebook-Benutzer einfach und unkompliziert eine Webseite ihren Freunden weiterempfehlen. Weiterlesen ... Nmap NSE Vulscan Script | 03.06.2010 | scip AG Labs Da wir einen Grossteil unserer netzwerkbasierten Sicherheitsüberprüfungen mit der Hilfe von nmap durchführen, schreiben wir stetig neue NSE-Skripte. Eine der grössten Entwicklungen in diesem Bereich ist das nmap NSE Vulscan script. Dieses erweitert nmap, das ursprünglich als Portscanner konzipiert wurde, um die Funktionalität eines Vulnerability Scanners. Damit können im weitesten Sinn die Möglichkeiten geboten werden, wie sie zum Beispiel mit Lösungen wie Nessus oder Qualys genutzt werden können - Nämlich das Erkennen von potentiellen Schwachstellen. Weiterlesen ... Nur ein Weg führt in den Server-Raum | 31.05.2010 | computec.ch, Marc's Blog Die wenigsten Menschen haben oder werden jemals einen Server-Raum einer Bank betreten. Der Zugang zu diesen Räumlichkeiten ist in der Regel ausschliesslich ausgewähltem Personal vorbehalten, das durch eine Reihe von Sicherheitsmassnahmen bezüglich der Befugnis des Zugangs überprüft wird. Nachfolgend möchte ich davon berichten, wie ein solcher Server-Raum normalerweise abgesichert wird. Weiterlesen ... Facebook Anwendungen Design-Schwachstelle | 21.05.2010 | scip AG Labs Das US-amerikanische Unternehmen Facebook stellt mit facebook.com den gegenwärtig populärsten Vertreter sozialer Netzwerke zur Verfügung. Der in erster Linie für Privatanwender ausgerichtete Dienst listet über 400 Millionen Benutzer weltweit, wobei sich davon 50 % einmal pro Tag einloggen und 9 % ihren Status aktualisieren. In diesem Beitrag werden wir die FQL-Kommunikation mit Facebook erklären und damit eine grundlegende Schwachstelle im Anwendungsdesign aufzeigen. Weiterlesen ... Potentielle, existente, ausnutzbare oder ausgenutzte Schwachstellen | 17.05.2010 | computec.ch, Marc's Blog Ich arbeite nun schon über einem Jahrzehnt im Bereich der Computersicherheit, habe schon hunderte von Audit-Projekten durchgeführt, zehntausende von Hosts angegriffen und hunderttausende von Ports gescannt. Alle diese Projekte waren anders. Und doch hatten viele von ihnen etwas gemein: Der Kunde wusste oftmals nicht, was er genau möchte. Sehr generisch und dennoch knapp formuliert definiert sich das Ziel einer Sicherheitsüberprüfung meistens wie folgt: 'Es sollen Schwachstellen aufgedeckt werden.' Doch Schwachstellen sind nicht gleich Schwachstellen und Aufdecken ist nicht gleich Aufdecken. Weiterlesen ... Nmap NSE Hacking, Teil 7: Portunabhängige Analysen | 13.05.2010 | scip AG Labs Im siebten Teil werden wir nun sogenannte hostrule-Skripte anschauen. Damit wird die Grundlage für Skripte geschaffen, die unabhängig von Ports ausgeführt werden. Stattdessen werden diese je nach Konstellation eines Hosts und damit maximal 1 mal pro Zielsystem, ausgeführt. Es gibt eine Reihe von Möglichkeiten, die sich mit einem hostrule-Skript erschliessen. Damit werden breitflächige Analysen von Hosts und deren Funktionen möglich. Weiterlesen ... Nmap NSE Hacking, Teil 6: Application Fingerprinting selber implementieren | 12.05.2010 | scip AG Labs In diesem Teil wollen wir unser Verständnis für die Bibliothek http - die Grundlagen derer gelten als Voraussetzung für das Verständnis dieses Teils - vertiefen. Wir werden eine spezielle Form der Version Detection implementieren. Und zwar werden wir den HTTP-Header der Rückantworten eines Webservers analysieren, um anhand dieses HTTP-Fingerprinting die gegebene Implementierung ableiten zu können. Damit wird die Grundfunktionalität geschaffen, die wir in der angekündigten NSE-Portierung von httprecon erreichen wollen. Weiterlesen ... Nmap NSE Hacking, Teil 5: HTTP-Kommunikationen | 11.05.2010 | scip AG Labs Im fünften Teil wollen wir uns nun auf die Funktionen bezüglich HTTP-Kommunikationen fokussieren. NSE stellt mit http eine entsprechende Bibliothek für das genannte Anwendungsprotokoll zur Verfügung. Sodann können mit verschiedenen Methoden HTTP-Anfragen sehr einfach durchgeführt und die jeweiligen Rückantworten direkt dissektiert werden. Weiterlesen ... Nmap NSE Hacking, Teil 4: Netzwerkkommunikationen | 10.05.2010 | scip AG Labs Im vierten Teil werden wir beginnen die zusätzlichen Möglichkeiten von NSE gänzlich auszuschöpfen, indem eigene Netzwerkkommunikationen angestrebt werden. Durch das eigene Absetzen von unabhängigen Netzwerkzugriffen können weiterführende Auswertungen und Angriffe angestrebt werden, wodurch nmap zu einem vollumfänglichen Vulnerability Scanner erweitert werden kann. Dieses Prinzip werden wir an einem Test für FTP-Server illustrieren. Weiterlesen ... Nmap NSE Hacking, Teil 3: Komplexes Skript mit Version Info | 09.05.2010 | scip AG Labs Im dritten Teil soll die Entwicklung vorangetrieben werden. So werden wir ein komplexeres Skript umsetzen, welches die Möglichkeiten des Application Fingerprinting resultierend aus dem Aufruf mit dem Schalter -sV umfänglich ausschöpfen wird. Weiterlesen ... Nmap NSE Hacking, Teil 2: Derivatives Plugin eines Portscan | 08.05.2010 | scip AG Labs Im zweiten Teil wollen wir nun ein simples Plugin schreiben. Dieses stützt sich in erster Linie auf den regulären Resultaten eines Portscans mit nmap ab. Wir bezeichnen ein solches Plugin als derivativ, da es eine Ableitung von grundlegenden Resultaten durchführt und damit keine eigenen Zugriffe über das Netzwerk umsetzen wird. Weiterlesen ... Nmap NSE Hacking, Teil 1: Einführung | 07.05.2010 | scip AG Labs Nmap steht für Network Mapper. Hierbei handelt es sich um ein quelloffenes Netzwerkutility, welches ursprünglich als Portscanner konzipiert wurde. Durch einen simplen Aufruf wie nmap www.scip.ch lassen sich die offenen Ports am entsprechenden Zielsystem identifizieren. Durch unterschiedliche Schalter wie -sT, -sS und -sU können hierfür verschiedene Scan-Techniken verwenden werden. Weiterlesen ... Spam und Mail-Verifikation | 05.05.2010 | scip AG Labs Das Spam-Volumen im Internet wird gegenwärtig von Sophos auf mittlerweile 97 % des Email-Aufkommens geschätzt. Die meisten Firmen und Privatpersonen greifen im Rahmen dieser Spam-Flut auf Spam-Filter zurück, die ungewünschte Nachrichten erkennen und filtern können sollen. Weiterlesen ... Industrialisierung des Auditing-Bereichs | 03.05.2010 | computec.ch, Marc's Blog Ich habe eine starke Abneigung gegen Gruppendruck. Wird ein solcher auf mich ausgeübt, reagiere ich uneingeschränkt in der gegenteiligen Art und Weise. Diesem 'gegen den Strom schwimmen' habe ich wohl zu verdanken, dass ich nie lange geraucht habe. Ich habe über 15 Jahre in einer Rockband gespielt und war stetig von Rauchern umgeben. Und dies war der Hauptgrund für mich, Nichtraucher zu bleiben (abgesehen vom vielen Passivrauchen, vor allem an den Konzerten). Weiterlesen ... Der Cyberstalker | 26.04.2010 | computec.ch, Marc's Blog Stalking ist kein Phänomen der Neuzeit. Es gibt es wahrscheinlich schon so lange, wie es den Menschen gibt. Doch im Informationszeitalter ist das Verfolgen von Menschen noch viel einfacher geworden. Ich möchte ein kleines Szenario, das nicht mal so abwegig ist, skizzieren. Weiterlesen ... Schutzmassnahmen in Sozialen Netzen | 23.04.2010 | scip AG Labs Mit der Popularität sozialer Netze und der darin enthaltenen sensitiven Informationen steigt unweigerlich auch das Interesse am Schutz der Daten. Sodann unsere Empfehlungen, wie man sich sicher in sozialen Netzen bewegen kann. Weiterlesen ... Zu wenige IP-Adressen | 19.04.2010 | computec.ch, Marc's Blog TCP/IP ist eigentlich eine ganz simple Sache. Wenn man sich die unterschiedlichen Mechanismen im Einzelnen anschaut, dann sind sie ganz einfach gehalten. Die Komplexität des Themengebiets generiert sich erst durch die Vielzahl der jeweiligen Technologien, ihrer schieren Unendlichkeit an Eigenarten und ihr verflochtenes Zusammenspiel miteinander. Angewandtes TCP/IP ist halt dann doch sehr vielschichtig und komplex. Weiterlesen ... Opera Mini für iPhone fehlende Privatsphäre | 16.04.2010 | scip AG Labs Das norwegische Unternehmen Opera entwickelt und vertreibt den gleichnamigen freien Webbrowser. Dieser ist ebenfalls als Opera Mini für verschiedene Mobiltelefon-Plattformen verfügbar. Durch Apple wird auf dem iPhone standardmässig Safari als Webbrowser angeboten. Seit dem 13. April 2010 wird jedoch als Alternative ebenfalls Opera Mini im AppStore angeboten. Nur Tage nach dem Erscheinen der App beherrscht diese Platz 1 der jeweiligen Download-Charts. Das Erscheinen von Opera Mini fürs iPhone ist damit zu einem Ereignis in der Tagespresse geworden. Weiterlesen ... Was ein Security Consultant nicht kann | 12.04.2010 | computec.ch, Marc's Blog Security Consulting im IT-Bereich ist ein weitläufiges Gebiet. Es umfassent technische, konzeptionelle und organisatorische Aspekte. Und diese können wiederum in Netzwerke, Betriebssysteme, Applikationen, etc. aufgeteilt werden. Irgendwie muss ein Security Consultant alles wissen oder wenigstens wissen, worum es bei einem Thema im weitesten geht. Keine leichte Aufgabe. Weiterlesen ... Ankündigung einer nmap NSE-Portierung von httprecon | 08.04.2010 | scip AG Labs Das httprecon project wurde 2007 ins Leben gerufen. Durch verschiedene Forschungen in Bezug auf das Verhalten von HTTP sowie das Umsetzen einer Implementierung zur automatischen Identifikation von Webserver sollte der Bereich des HTTP-Fingerprinting vorangetrieben werden. Weiterlesen ... Musik mit Excel - Just Fun, no Profit | 01.04.2010 | scip AG Labs Die traditionelle Definition des Worts Hacking sieht den kreativen Umgang mit Technologien vor. Und dies ist zu einem hohen Grad auch unsere Einstellung. Unsere Mitarbeiter mögen die Herausforderung und das Spiel zugleich. Und so kommt zwischendurch das eine oder andere nicht ganz ernst gemeinte Projekt zustande. Weiterlesen ... Mein Gehirnkrampf | 29.03.2010 | computec.ch, Marc's Blog Ich kann die Leute, die im IT Security Bereich arbeiten, grösstenteils nicht leiden. Die einen sagen, es liegt daran, weil ich arrogant und ignorant den Ideen anderer entgegne. Ich sage stattdessen, dass sich in diesem Bereich einfach eine überproportionale hohe Anzahl an sozial inkompetenten und stetig nörgelnden Besserwissern tummeln. Und ja, in diesem Fall habe ich Recht, egal wer etwas anderes behauptet. Weiterlesen ... Technische Bild-Forensik | 19.03.2010 | scip AG Labs Der Bereich der Forensik ist vielfältig. Im Rahmen dessen geht es jeweils um das Identifizieren von verborgenen Informationen und dem Erkennen von Zusammenhängen. Zum Beispiel kann versucht werden mittels Carving einzelne Dateien aus einem Datenträger zu extrahieren. Oder durch das Analysieren von Netzwerkkommunikationen kann versucht werden einen Angriff als solchen zu erkennen. Weiterlesen ... Des Teufels Zahl | 15.03.2010 | computec.ch, Marc's Blog Ich mag Zahlen. Und ich mag es, mit ihnen zu spielen. Doch was ich nicht mag sind Leute, die nicht verstehen, was Zahlen überhaupt sind: Zahlen sind eine wohldefinierte Klasse von Symbolen, die je nach angewendetem metrischen und arithmetischen System gewissen nachvollziehbaren Eigenarten unterworfen sind. In der Regel repräsentieren Zahlen eine Sache oder einen Zustand. Die dezimale Zahl 5 steht für die Anzahl meiner Finger an einer Hand. Und die dezimale Zahl 186 definiert meine Körpergrösse in Zentimeter. Zahlen abstrahieren also die Realität. Sie können sie weder ersetzen noch auf den Kopf stellen. Sie können sie lediglich, und dies oftmals nur mit erheblichem Aufwand, abbilden. In vielen Fällen gar unter zwingender Zuhilfenahme von Reduktion (z.B. Rundung) nur skizzieren. Weiterlesen ... Nessus generische Plugins für Webapplikationen | 12.03.2010 | scip AG Labs Die Entwickler von Nessus haben eine Reihe zusätzlicher generischer Plugins für Web Application Penetration Tests herausgegeben bzw. bestehende Tests erweitert. Das Ziel dieser ist, typische Schwachstellen wie Cross Site Scripting und SQL-Injection mittels Fuzzing zu identifizieren. Damit können also nun auch neue und nicht mit dedizierten Plugins abgearbeitete Schwachstellen gefunden werden. Weiterlesen ... Who the F**k is VRML? | 08.03.2010 | computec.ch, Marc's Blog Jeden Morgen fahre ich mit der Bahn zur Arbeit. Und wenn es der Zufall will, dann treffe ich alte Bekannte, Freunde oder gar Familie. Eines Morgens traf ich einen Bekannten, der Kunst studiert hat. In seiner Ausbildung und seiner gegenwärtigen Tätigkeit spielen elektronische Medien - allen voran der Computer und das Internet - eine erstaunlich wichtige Rolle. So passiert es dann nicht selten, dass wir über das eine oder andere Thema diskutieren. Weiterlesen ... midfp für Windows | 05.03.2010 | scip AG Labs Im Juli des letzten Jahres haben wir ein Modell zur Identifikation von Mail-Clients vorgestellt. Bei diesem ging es darum, anhand der Struktur der Message-ID eines Emails die entsprechenden Determinierungen vorzunehmen. Zwei Monate später, im September des gleichen Jahres, haben wir eine erste Implementierung namens midfp veröffentlicht. Diese wurde in PHP geschrieben und wird mit den Sourcen und als Online-Version bereitgestellt. Weiterlesen ... Elektronische Einbruchserkennung - Ein missverstandenes Werkzeug | 22.02.2010 | computec.ch, Marc's Blog Der erste in erster Linie kommerziell ausgeschlachtete Trend der noch jungen IT Security Branche war das Firewalling. Im Corporate-Bereich wurden Firewall-Systeme gekauft und installiert, wie wenn es kein Morgen gäbe. Jede Firma, die etwas auf sich hielt, musste seinen Internet-Zugang mit einem Paketfilter schützen. Weiterlesen ... Statistische Auswertung von Schwachstellenklassen | 19.02.2010 | scip AG Labs Angewandte Computersicherheit ist eigentlich relativ simpel: Eine Schwachstelle entsteht dann, wenn auf Grund fehlender Limitierungen eine Zugriffsmöglichkeit entsteht, die so nicht gewollt war. In Bezug auf die Programmierung bedeutet dies, dass man unvertrauenswürdigen Daten vertraut und auf der Basis dieser uneingeschränkt Zugriffe durchführen lässt. Weiterlesen ... Entwickler: Dein Freund und Helfer | 15.02.2010 | computec.ch, Marc's Blog Hier beginnt sie, meine kleine Geschichte. Ich fahre mit dem Zug in unsere Bundeshauptstadt. Muss dort bei einem Kunden einen Partner treffen, der sich für die Entwicklung einer internen Webapplikation verantwortlich zeichnet. Ich bin sehr müde. Da ich momentan sehr viel zu tun habe, bin ich eigentlich auch ein bisschen gereizt - vor allem wenn man mich warten lässt. Ich lass mir jedoch nichts anmerken, melde mich höflich beim Empfang an und werde flott ins Konferenzzimmer geführt. Weiterlesen ... txsBBSpy - Spyware für BlackBerry: Eine Analyse | 12.02.2010 | scip AG Labs Tyler Shields des Unternehmens Veracode hielt an der ShmooCon 2010 einen Vortrag zur Sicherheit von BlackBerry-Geräten. Dabei diskutierte er in erster Linie die Möglichkeiten von mobiler Spyware. Seine Ausführungen illustrierte er mit einer eigens dafür angefertigten Backdoor namens txsBBSpy. Den Java-Quelltext dieser hat er noch gleichentags veröffentlicht. In diesem Beitrag soll die Funktionsweise der Hintertür sowie die Implementierung besprochen werden. Weiterlesen ... Sicherheitsüberprüfungen als Prozess | 08.02.2010 | computec.ch, Marc's Blog "Im Bereich der Informationssicherheit geniesst wohl kein Zitat solche Bekanntheit, wie jenes von Bruce Schneier: 'Security is not a product; it's a process.'" Weiterlesen ... Aurora - Anatomie einer medienwirksamen Schwachstelle | 05.02.2010 | scip AG Labs Der Bereich der Computersicherheit fristet ein gewisses Schattendasein. Nur sehr selten werden Entwicklungen von der breiten Öffentlichkeit wahrgenommen. Nur manchmal gibt es Sicherheitslücken, Malware oder Angriffe, die es in die Tagesmedien schaffen. Die ersten medienwirksamen Meldungen wurden durch Würmer wie Melissa und ILOVEYOU sowie die ersten grossflächigen Distributed Denial of Service-Attacken (DDoS) gegen eBay und Yahoo generiert. Weiterlesen ... Von Zensur und Doppelmoral | 01.02.2010 | computec.ch, Marc's Blog In frühester Kindheit habe ich mich mit Träumen auseinandergsetzt. Fortwährend von wirren Geschichten verfolgt, stiess ich schon bald auf die jeweiligen Schriften Sigmund Freuds. Durch die Sekundärliteratur zu seinen Traumdeutungen in meinem Interesse bestärkt, begann ich mich alsbald für den Mann hinter den Analysen zu interessieren. Die Biographie des Juden Freuds war eine der ersten, die ich gelesen habe. Weiterlesen ... Backdooring eines HTC mit Windows Mobile | 29.01.2010 | scip AG Labs In den letzten Monaten haben wir viel Energie in die sicherheitstechnische Analyse von mobilen Geräten investiert. In unterschiedlichen Projekten ging es darum die gegebene Sicherheit und die effektiv möglichen Angriffvektoren zu determinieren. Neben dem Auslesen geschützter Bereiche war jeweils ebenfalls das Entwickeln einer Backdoor als Ziel definiert (z.B. als GPS-Tracker für ein iPhone). Weiterlesen ... Es wäre aufgefallen, dass | 25.01.2010 | computec.ch, Marc's Blog Schweizer haben traditionell eine besondere Art, wie sie mit ihren Mitmenschen umgehen. In der Regel sind sie darum bemüht, sich rücksichtsvoll einem Konsens hinzugeben. Dabei wird sich normalerweise davor gescheut, auf Gedeih und Verderb seine eigenen Büdürfnisse auf Kosten anderer durchzusetzen. Der Grund hierfür ist einfach: Unser Land ist sehr klein und man begegnet sich mindestens zwei Mal im Leben - Eine grundlegende Verträglichkeit macht das Leben somit einiges einfacher. Weiterlesen ... iiScan Web Scanning Review | 22.01.2010 | scip AG Labs Die chinesische Firma iiScan bietet unter http://www.iiscan.com einen gleichnamigen Webdienst an, mit dem Webserver einem automatisierten Scanning unterzogen werden können. Weiterlesen ... Risikoanalysen und Resignation | 18.01.2010 | computec.ch, Marc's Blog Angewandte Computersicherheit stützt sich auf der Diskussion von Risikoanalysen ab. Es gilt die Bedrohungen zu erkennen. Danach wird die Eintrittswahrscheinlichkeit und die Auswirkungen skizziert, um die entsprechenden Risiken kalkulierbar zu machen. Je eher ein Schaden Eintritt oder desto grösser seine Auswirkungen sind, desto grösser ist das Risiko. Und umso grösser das Risiko ist, desto eher lohnt es sich dagegen vorzugehen und will man es minimieren. Ein einfacher Prozess, eigentlich. Weiterlesen ... Trendanalysen bezüglich Vulnerabilities | 15.01.2010 | scip AG Labs Der Bereich der Computersicherheit ist, vor allem gemessen an traditionellen Disziplinen, unglaublich jung. Doch dies muss nicht zwingend als unumstösslicher Nachteil wahrgenommen werden. So lassen sich nämlich viele Modelle aus anderen Wissenschaften übernehmen und dadurch vom Erfahrungsschatz dieser profitieren. Weiterlesen ... Die Rechte und Pflichten eines Forensikers | 11.01.2010 | computec.ch, Marc's Blog Ich kann mich noch sehr gut an den ersten durch mich geleiteten Forensik Fall im Jahr 2003 erinnern. Ein Industrieunternehmen musste eine Kompromittierung ihres Webservers beobachten. Meine forensischen Untersuchungen sollten zeigen, wie der Einbruch umgesetzt wurde und welche Schäden (z.B. Einbringen von Hintertüren) angerichtet wurden. Weiterlesen ... Identifikation von Webapplikationen | 07.01.2010 | scip AG Labs Mittels Fingerprinting wird sich bei einer Sicherheitsüberprüfung darum bemüht, das eingesetzte Produkt zu erkennen. Klassischerweise wird zum Beispiel mit dem OS-Fingerprinting das genutzte Betriebssystem identifiziert. Im Rahmen von Application Fingerprinting geht es darum zu erkennen, welche Netzwerkanwendungen eingesetzt werden. Unsere Entwicklung namens httprecon hilft beispielsweise dabei, den dargebotenen Webserver zu ermitteln. Weiterlesen ... scip IT Security Forecast 2010 | 28.12.2009 | scip AG Labs Wie jedes Jahr möchten wir auch zum Ende von 2009 einen IT Security Forecast für das kommende Jahr 2010 machen. Nachfolgend eben jene Themen nach Möglichkeiten in der Reihenfolge absteigender Priorität -, die sich unseres Erachtens manifestieren oder gar noch weiterentwickeln werden. Weiterlesen ... 2009: Was war? 2010: Was wird? | 21.12.2009 | computec.ch, Marc's Blog Wie jedes Jahr möchte ich eben dieses mit einem reflektierenden Blog-Eintrag abschliessen - Über Vergangenes sinnieren und zu Zukünftigem träumen. Weiterlesen ... iPhone Backdoor GPS Tracking Video | 17.12.2009 | scip AG Labs Seit einigen Monaten sind wir darum bemüht, Applikationen zu verschiedenen Zwecken für das Apple iPhone zu schreiben. Im Rahmen des scip_Talk vom 2. September 2009 haben wir eingeladenen Kunden eine Backdoor für das iPhone vorgestellt. (Ein Thema, das Wochen später einen neuen Zenith in Bezug auf seine Popularität erreichen sollte.) Weiterlesen ... Performance als Showstopper | 14.12.2009 | computec.ch, Marc's Blog Grosse Firmen geben Hundertausende, manchmal gar Millionen Schweizer Franken aus, um ihre Webpräsenz zu erstellen, umzubauen oder zu erweitern. Jede Firma, die etwas auf sich hält, präsentiert sich alle paar Jahre komplett neu im Web. Da werden neue Webserver eingerichtet, neue Datenbanken erstellt und neue Webapplikationen entwickelt. Und dabei wird gut und gerne der Devise gefolgt: Nicht kleckern, klotzen! Weiterlesen ... Bevorzugte Programmiersprachen für Exploits | 11.12.2009 | scip AG Labs Gemeinhin wird unter einem Exploit ein Stück Software verstanden, das für die automatisierte oder semi-automatisierte Ausnutzung einer Sicherheitslücke genutzt werden kann. Im einfachsten Fall wird beispielsweise die IP-Adresse des Zielsystems angegeben und auf diesem durch die angegangene Sicherheitslücke erweiterte Rechte erlangt. Weiterlesen ... Kritik an Nessus Attack Scripting Language | 04.12.2009 | scip AG Labs Der ehemals quelloffene Vulnerability Scanner Nessus galt jahrelang als treibende Kraft für automatisierte Sicherheitsüberprüfungen. Ihm liegt die Nessus Attack Scripting Language (NASL) zu Grunde, welche für das Umsetzen der Plugins verwendet wird. Diese werden eingesetzt, um (1) Daten eines Zielsystems zu sammeln und (2) anhand dieser entsprechende Schwachstellen zu identifizieren. Dieser Beitrag will explizite Kritik an den jeweiligen Schwächen der für die Plugins genutzten Skriptsprache vortragen. Weiterlesen ... Der Kunde ist König ... Manchmal eher schlecht als recht | 30.11.2009 | computec.ch, Marc's Blog Als ich das erste Mal als professioneller Penetration Tester zu arbeiten begann, war das alles noch Neuland. Man war froh überhaupt jemanden zu finden, der derlei Arbeiten in sauberer Weise für Geld bereit zu machen ist. Von der breitflächigen Umsetzung oder Etablierung von Standards war nicht die Rede. Eine schöne Zeit, die man aktiv mitprägen konnte. Weiterlesen ... 10 sicherheitsrelevante Gründe gegen Cloud Computing | 27.11.2009 | scip AG Labs Im Zuge der anhaltenden Virtualisierung der letzten 10 Jahre bekam ein artverwandtes aber nicht zwingend neues Thema immer mehr Aufmerksamkeit: Cloud Computing. Forrester Research fasst das Prinzip dieses Konzepts (es handelt sich nicht um eine Software oder ein Produkt als solches) wie folgt zusammen (Inquiry Spotlight: Cloud Computing, Q2 2009): 'Cloud Computing steht für einen Pool aus abstrahierter, hochskalierbarer und verwalteter IT-Infrastruktur, die Kundenanwendungen vorhält und falls erforderlich nach Gebrauch abgerechnet werden kann.' Weiterlesen ... Cyberwar aus Nordkorea: Auseinandernehmen eines Artikels | 23.11.2009 | computec.ch, Marc's Blog Journalismus und die damit in einen Rechtsstaat verflochtene Transparenz erachtete ich stets als unumstössliche Grundlage eines solchen. Der Umkehrschluss sieht vor, dass in einem Staat, in dem die Journalisten bedrängt werden, nicht frei sein kann. Leider hat die Qualität moderner Medienschaffender spürbar abgenommen. Dies wird mir besonders dann deutlich, wenn ich einmal mehr einen Artikel zum Thema Computersicherheit lese. Weiterlesen ... Geschlechtsspezifische Passwortunsicherheiten | 20.11.2009 | scip AG Labs Der Beitrag Distribution of passwords between men and women stellt statistisches Grundmaterial bezüglich der geschlechterspezifischen Nutzung von unsicheren Passwörtern zur Verfügung. Dabei wurden insgesamt 873000 Passwörter von männlichen (734000) und weiblichen Benutzern (139000) untersucht. Weiterlesen ... Entwickler vs. Tester | 16.11.2009 | computec.ch, Marc's Blog Ein Arbeitskollege sagte mal zu mir: 'Wenn man etwas kann, dann entwickelt man Neues. Wenn man das nicht kann, dann lehrt man Dinge. Und wenn man das auch nicht kann, dann wird man halt Kritiker.' Diese Worte muntern mich immerwieder auf, wenn ich irgendwo eine inhaltslose oder polemische Kritik zu meiner Person oder einer Arbeit von mir lese. Und doch muss ich eingestehen, dass man als Security Consultant im Allgemeinen oder als Penetration Tester im Speziellen auch eigentlich 'nur' ein Kritiker ist. Weiterlesen ... HTTP-Header Zeilen bei GET-Requests | 13.11.2009 | scip AG Labs In den vorangegangenen Beiträgen HTTP-Header erwartete Anzahl Zeilen und HTTP-Header erwartete Grösse von GET-Requests wurden statistische Beobachtungen angestellt, um das erwartete und zugelassene Verhalten von Webbrowser-Implementierungen zu ermitteln. Die Analysen wurden weitergetragen, indem die typischerweise auftretenden Header-Zeilen bei GET-Anfragen untersucht wurden. Dies ist zum Beispiel bei der Entwicklung eines hochsicheren Webservers oder bei der strikten Konfiguration eines Webproxies von Nutzen. Nachfolgende Grafik illustriert die 20 populärsten Header-Zeilen, wie sie von 300 untersuchten Webbrowsern verschickt werden. Weiterlesen ... Firefox-Addons für Penetration Tester | 09.11.2009 | computec.ch, Marc's Blog Eine Vielzahl der Client/Server-basierten Anwendungen werden heutzutage als Webapplikationen umgesetzt. Der Grund dafür ist vielfältig. In erster Linie kann der Nutzen der etablierten Techniken nicht bestritten werden. Auf der Basis webfähiger Programmiersprachen lassen sich innert kürzester Zeit Anwendungen entwickeln, die sich komfortabel über bestehende Browser in einem Netzwerk oder über das Internet nutzen lassen. Weiterlesen ... Software Restriction: How to Make and how to Break | 06.11.2009 | scip AG Labs Das grundlegende Prinzip von Multiuser-Plattformen, wie sie im Windows-Umfeld beispielsweise mit Citrix eingeführt werden, liegt in der Einschränkung der jeweiligen Benutzer. Gerade bei Windows ist das besonders schwierig, weil die Multiser-Fähigkeit nicht Teil des grundlegenden Konzepts war. Weiterlesen ... Blackbox-Tests als falsche Entscheidung | 02.11.2009 | computec.ch, Marc's Blog Es ist wohl kein anderer Bereich so getrieben von urbanen Legenden, wie der Bereich der Computersicherheit. Ein jeder, der früher oder später über dieses Thema stolpert, fühlt sich irgendwodurch zu den mysteriöschen Geschichten von verwegenen Hacks und Verschwörungstheorien hingezogen. Ein Umstand, der in positiver Hinsicht dazu beträgt, dass sich immerwieder Leute für das Thema begeistern können. Weiterlesen ... HTTP-Header erwartete Grösse von GET-Requests | 30.10.2009 | scip AG Labs Im Beitrag HTTP-Header erwartete Anzahl Zeilen haben wir diskutiert, welche Anzahl an Header-Zeilen in HTTP-Anfragen durch einen Webbrowser erwartet werden können. Diese statistische Auswertung ist von Wichtigkeit, wenn es darum geht, mittels Proxy und mod_security eine Hochsicherheitslösung zu schaffen. Weiterlesen ... Es ist nichts vorbereitet. Schon wieder. | 26.10.2009 | computec.ch, Marc's Blog Ich mag Professionalität. Egal wo, egal wann. Ich mag es, wenn Leute intelligent und effizient arbeiten. Wenn sie dabei ebenfalls ein angenehmes Mass an Menschlichkeit wahren (Freundlichkeit und Zuvorkommenheit sind Gold wert), dann bin ich wirklich zufrieden. Unabhängig davon, ob es sich nun um die Bedienung in einem Restaurant, den Besuch beim Zahnarzt oder den Kontakt mit einem Kunden geht. Weiterlesen ... Verteilte Orchestrierung eines Backdoors | 23.10.2009 | scip AG Labs Klassische Backdoors (Remote Access Tools), wie zum Beispiel BackOrifice oder SubSeven, haben eine Direktverbindung zwischen Client und Server umgesetzt. Da das kompromittierte System den Server auf einen Dienst gebunden und auf dem genutzten Ports eingehende Verbindungen zulassen musste, konnte diese Art der Fernsteuerung einfach erkannt und unterbunden werden (zum Beispiel kein Zulassen eingehender Verbindungen mittels Firewalling). Weiterlesen ... Wie Informatik im Alltag helfen kann | 19.10.2009 | computec.ch, Marc's Blog Nicht jeder, vor allem die ältere Generation, kann der Informatik und Computern ihren Nutzen abgewinnen. Nicht selten hört man spöttisch, dass man mit Computern doch nur jene Probleme lösen würde, die man ohne sie gar nicht hätte. Wehmütig hängt man dem Büro von früher nach - keine Rechner, keine Drucker, keine Emails -, in dem eigentlich alles so perfekt war, wie es auch nur sein konnte. Weiterlesen ... HTTP-Header erwartete Anzahl Zeilen | 16.10.2009 | scip AG Labs Einige unserer Kunden betreiben Hochsicherheitsumgebungen. In diesen soll und muss das Höchstmass an möglicher Sicherheit erreicht werden. Dies sind leider eine der wenigsten Umgebungen, in denen Proxies effektiv so gebraucht werden, wie sie ursprünglich gedacht wurden. Durch sie wird sodann eine genaue Protocol Inspection durchgesetzt und jegliche Abweichung der definierten Standards oder der erwarteten Formalitäten sanktioniert. Weiterlesen ... Falsche Akzeptanz eines möglichen Schutzes | 12.10.2009 | computec.ch, Marc's Blog Ich fahre täglich mit Bus, Bahn und Tram zur Arbeit. Pro Arbeitsweg sitze ich knapp 45 Minuten in einem öffentlichen Verkehrsmittel. Früher habe ich stets gelesen. Da kommen pro Woche dann etwa 300 Lesestunden zusammen. Mittlerweile mag ich aber nicht immer lesen. Vor allem am Abend bin ich zu müde, um abgesehen von einer seichten Tageszeitung meine Nase noch in ein technisches Buch oder einen Klassiker der Literatur zu stecken. Weiterlesen ... Kommentar zu Content Security Policy (CSP) | 09.10.2009 | scip AG Labs Im Webbereich sind Cross Site Scripting-Schwachstellen für einen Grossteil erfolgreicher Angriffe verantwortlich. Und mit der Etablierung von Web 2.0, das mit Ajax auf Javascript basiert, ist dieses Problem aus funktionalen Gründen nicht mehr ohne weiteres zu eliminieren. Weiterlesen ... Erkennen von Kaskadierungen im Fingerprinting | 05.10.2009 | computec.ch, Marc's Blog Durch das Application Fingerprinting ist man bemüht, anhand des charakteristischen Verhaltens einer Netzwerkanwendung die individuelle Implementierung als solche zu identifizieren. Damit verlässt man Identifikationen anhand starrer Zeichenketten, wie sie zum Beispiel im Rahmen des Banner-Grabbings gesucht werden. Selbst wenn ein Banner gelöscht oder verändert wurde, liesse sich das genutzte Produkt anhand des Fingerprints erkennen. Weiterlesen ... Backdoor Testing optimieren | 02.10.2009 | scip AG Labs Viele unserer Kunden wollen die vielschichtig etablierte Sicherheit durch Backdoor Tests prüfen lassen. Hierbei wird ein eigens für den Kunden angefertigtes Trojanisches Pferd vorbereitet, welches die gegebenen Sicherheitsmassnahmen umgehen, eine Infektion durchführten und Daten extrahieren können soll. Weiterlesen ... Eingabeüberprüfung par Excellence | 21.09.2009 | computec.ch, Marc's Blog Die technische Computersicherheit ist in den meisten Bereichen auf eine fehlerhafte Eingabeüberprüfung zurückzuführen. Dies bedeutet, dass ein Angreifer Daten an eine Applikation übergeben kann, die diese nicht oder so nicht erwartet hat und deshalb in unsicherer Weise weiterverarbeitet. Dies ist der Effekt, der bei den populären Angriffstechniken wie Pufferüberlauf, Format String, Cross Site scripting, SQL-Injection und Directory Traversal beobachtet werden kann. Weiterlesen ... Skype-Trojaner von Megapanzer - Eine Analyse | 18.09.2009 | scip AG Labs Ende August 2009 veröffentlichte die umstrittene Underground-Seite gulli.com ein Interview mit Ruben Unteregger. Im Mittelpunkt des Interesses steht der von ihm entwickelte Skype-Trojaner. Dieser soll Einblick in die Funktionsweise des Backdoorings durch Ermittlungsbehörden aufzeigen. Die Veröffentlichung der Quellen wurde am 25. August 2009 auf dem Blog des Entwicklers vorgenommen. Weiterlesen ... Statistische Analyse der Gemütslage | 14.09.2009 | computec.ch, Marc's Blog In meinem jugendlichen Alter habe ich mich darum bemüht, meinen Schein als Freak aufrecht zu erhalten. Mit der Zeit wurde das aber sowohl mühsam als auch langweilig, so dass ich es eigentlich ganz Okay finde, wenn mich die Freaks in meinem Umfeld nicht mehr als solchen wahrnehmen. Eigentlich empfinde ich es manchmal schon fast ein bisschen als Kompliment. Weiterlesen ... Mail Message-Id Fingerprinting Implementation | 11.09.2009 | scip AG Labs Im Beitrag Mail Message-Id Fingerprinting haben wir darauf hingewiesen, dass anhand der Message-Id im SMTP-Header eines Emails mittels Application Fingerprinting das eingesetzte Produkte erkannt werden kann. Die letzten Wochen waren wir darum bemüht, sowohl die Struktur dieser mir Regular Expressions (RegExp) abzubilden, als auch eine funktionierende Implementierung für ein automatisiertes Message-Id Fingerprinting umzusetzen. Weiterlesen ... Angst vor Binärdateien: Ja. Angst vor ASCII-Dateien: Nein. | 07.09.2009 | computec.ch, Marc's Blog Kommt es zur Diskussion sicherer Einstellungen für Web- und Mailproxies, befolgen mittlerweile die meisten Administratoren und Sicherheitsverantwortlichen die gleiche Strategie: Binäre Dateien sind meistens gefährlich, Klartextdaten eher weniger. Das will heissen, dass man in erster Linie Dateien mit Erweiterungen wie EXE, DLL, OCX, SCR blockieren will. Alles andere kann ja nicht so gefährlich sein, da man es ja nicht effektiv ausführen kann. Weiterlesen ... Browser Fingerprinting mit Ajax | 04.09.2009 | scip AG Labs Die Identifikation eines Webbrowsers ist bei browserspezifischen Angriffen professioneller Natur unerlässlich. Traditioneller Weise wird dabei die als User-Agent mitgeschickte Header-Zeile des Clients ausgelesen. Da sich diese jedoch manipulieren lässt (z.B. bei Mozilla Firefox durch das Addon User Agent Switcher), wird auch hier ein akkurates Application Fingerprinting unerlässlich. Weiterlesen ... Wordpress: Eine Studie in Scharlachrot | 31.08.2009 | computec.ch, Marc's Blog Es gibt verschiedene Produkte, die haben sich über Jahre einen Namen in Security-Kreisen gemacht. Und zwar keinen Guten. Die erste Software mit einem zwielichtigen Titel war der wohl populärste Mail Transfer Agent aller Zeiten: Sendmail. Nicht umsonst nannte man ihn 'buggiest daemon on earth'. Eine hohe Anzahl an kritischen Schwachstellen wurden über die Jahre entdeckt. Rückblickend waren die meisten davon auf die Komplexität der Software zurückzuführen. Weiterlesen ... LotusScript und seine Gefahren | 28.08.2009 | scip AG Labs LotusNotes wird vorzugsweise in grösseren Unternehmungen als Alternative zu Microsoft Exchange und Outlook eingesetzt. Das kommerzielle Produkt, welches mittlerweile von IBM betreut wird, weist eine ähnliche Funktionalität auf: Email, Terminkalender, Tasks/Todos und Chats (mit Sametime). Weiterlesen ... Ein kleiner Schritt für einen Wurm, ein grosser Schritt für den Programmierer | 24.08.2009 | computec.ch, Marc's Blog Als man in unseren Breitengraden anfing das Thema Computersicherheit im kommerziellen Umfeld bewusst wahrzunehmen, fokussierte man sich in erster Linie auf Netzwerksicherheit. Durch Security Audits sollten auf der Netzwerkebene unsichere Dienste ausgemacht werden, um sich diesen anzunehmen und damit die Sicherheit der Umgebungen zu erhöhen. Weiterlesen ... PHP-Performance bei Inkrementierungen | 21.08.2009 | scip AG Labs Performance spielt auch in Bezug auf die Sicherheit eine zentrale Rolle. Bleibt die zeitnahe Abarbeitung von Prozessen nämlich aus, kann dies zu einer Denial of Service für den Dienst führen. Entsprechend ist es bei zeitkritischen Applikationen besonders wichtig, dass die jeweiligen Entwickler ebenfalls ihr Augenmerk auf die Performance ihrer Lösung legen. Weiterlesen ... Das Statement | 17.08.2009 | computec.ch, Marc's Blog Es gibt eine Unmenge an Witzen über beratende Berufe (vorwiegend Unternehmensberater). Die Quintessenz derer zielt meistens darauf ab, dass in ineffzienter, verblendeter und unnötiger Weise Details kommuniziert werden, die alle schon wussten und dennoch ein spezifisches Problem nicht lösen können. So wie zum Beispiel derjenige Witz mit dem Schafhirten. Weiterlesen ... QualysGuard Vulnerability Management Scans: Eine kritische Betrachtung | 14.08.2009 | scip AG Labs Im Sinne der Wirtschaftlichkeit ist die Sicherheitsbranche darum bemüht, die sicherheitstechnischen Überprüfungen weitestgehend zu automatisieren. Erste umfassende Bestrebungen konnten im Bereich der Netzwerküberprüfungen beobachtet werden. Dan Farmer und Wietse Venema zeigten erstmals im Jahr 1995 mit SATAN, dass sich repetitive Arbeiten in diesem Bereich geschickt automatisieren lassen sollten. Darauf folgte das von Renauld Deraison entwickelte Nessus-Framework, welches mit einer Vielzahl an Plugins und Erweiterungen aufwarten sollte (leider unterliegt Nessus seit Ende 2005 ab Version 3.0 nicht mehr der GPL). Weiterlesen ... Gruppieren von Schwachstellen in Reports | 10.08.2009 | computec.ch, Marc's Blog Eine Sicherheitsüberprüfung ist im Grunde nichts Spezielles: Im Rahmen der Analyse werden sämtliche gefundenen Schwachstellen und Sicherheitslücken dokumentiert. Bei einem Web Application Penetration Test sind dies typischerweise Cross Site scripting und SQL-Injection Schwachstellen, die unbedingt adressiert werden müssen, um ein annehmbares Mass an Sicherheit erreichen zu können. Weiterlesen ... Erweiterte Zugriffsrechte durch Googlebot | 07.08.2009 | scip AG Labs Viele Webseiten-Betreiber wollten gewisse Inhalte den registrierten Benutzern vorenthalten. So manches Forum setzt eine Anmeldung voraus, um gar die bestehenden Posts lesen zu können. Damit diese Daten dennoch in Suchmaschinen wie Google indiziert werden können, wird dem jeweiligen Crawler der Zugriff gewährt. Weiterlesen ... The Big Brothers are watching | 03.08.2009 | computec.ch, Marc's Blog Halvar Flake, mit dem ich sporadischen Kontakt hatte, wurde Mitte 2007 die Einreise an die Black-Hat-Konferenz in die USA verwehrt. Spätestens dieser Zwischenfall hat mich dahingehend zum Nachdenken gebracht, ob und inwiefern es schlau von mir war, mich stetig und unablässig mit meiner wahren Identität im Internet zu äussern. Dass nachrichtendienstliche Behörden und die organisierte Kriminalität auf einem aufmerksam wird, ist eigentlich nur eine Frage der Zeit. Weiterlesen ... Hinweis auf und Gefahr durch Word Makro | 31.07.2009 | scip AG Labs Um die Jahrtausendwende herum wurden mit Melissa und Iloveyou eine Virenplage sondergleichen losgetreten. Die mediale Wirksamkeit dieser aus heutiger Sicht eher primitiven Makroviren war noch nie dagewesen und deshalb die Risiken von VBA in Office-Dokumenten schlagartig im Bewusstsein der Benutzer und Administratoren. Weiterlesen ... Der Zahn der Zeit | 27.07.2009 | computec.ch, Marc's Blog Im Juni des vergangenen Jahres habe ich einen Web Application Penetration Test bei einem grösseren Finanzinstut durchgeführt. Dabei sollte ich in einer der zentralen Webanwendungen Schwachstellen ausmachen, die Kunden nutzen könnten, um das Zielsystem oder andere Kunden (z.B. mittels Cross Site scripting) zu attackieren. Das einzig Besondere am Auftrag war, dass es sich um eine sehr komplexe und schwerfällige Anwendung handeln sollte, die auf simple HTML-Forms verzichtet und stattdessen obskure Javascript-Anweisungen für die Übermittlung der Daten nutzt. Es schien, als wollten sich die Applikationsentwickler das Leben so schwer wie möglich machen (diesen Effekt beobachten wir in den letzten Jahren vermehrt). Weiterlesen ... PDF Document Properties Parsing Probleme | 24.07.2009 | scip AG Labs Im Rahmen des Postings Automatisiertes Document Properties Profiling haben wir darüber berichtet, inwiefern das Auswerten der Document Properties öffentlicher Dokumente umgesetzt werden kann. Dabei wurde sich auf die Formate Word (doc), Excel (xls) und Acrobat (pdf) fokussiert. Weiterlesen ... Management Summaries als Herausforderung | 20.07.2009 | computec.ch, Marc's Blog Viele junge Leute kommen auf mich zu und fragen, wie sie ebenfalls Security Consultant bzw. Penetration Tester werden können. Sie fügen oftmals hastig hinzu, welche technischen Fähigkeiten sie sich die letzten Jahre angeeignet hätten. Sei dies nun ein tiefschürfendes Verständnis für Betriebssysteme, Programmierung, Netzwerk oder Reverse Engineering. Technische Details sind das, was in erster Linie begeistert. Weiterlesen ... Mail Message-Id Fingerprinting | 17.07.2009 | scip AG Labs Mit dem browserrecon project wurde eine der ersten umfassenden Implementierungen entwickelt, die mittels Application Fingerprinting eine eingesetzte Client-Applikation in diesem Fall Webbrowser erkennen können soll. Wir sind um eine Weiterführung dieses Ansatzes bezüglich anderen Clients bemüht. Weiterlesen ... Free Consulting for All | 13.07.2009 | computec.ch, Marc's Blog Geld hat für mich noch nie eine grosse Rolle gespielt. Klar, es ist schön, wenn man sich zwischendurch einen materiellen Traum erfüllen kann. Doch von Vornherein sollte man wissen, dass sich durch Besitz oftmals nur kurzfristig Freude erkauft werden kann. Glücklichsein muss man sich wohl erarbeiten. Und wie das Wort schon vermuten lässt, ist es ein Zustand des Seins und nicht des Habens. Schon sehr früh habe ich mich also darum bemüht, an der Spitze der maslow'schen Bedürfnispyramide anzukommen und meiner Selbstverwirklichung nachgehen zu können. Damit geht einher, dass man das machen kann, was einem Spass macht. Dies scheint der wahre Luxus zu sein: Auf Dinge, die man nicht mag, verzichten zu können. Weiterlesen ... Browser Fingerprinting anhand GET Queue: Erste Resultate | 10.07.2009 | scip AG Labs Im Eintrag Browser Fingerprinting anhand GET Queue haben wir darauf hingewiesen, dass sich voraussichtlich ein charakteristisches Verhalten unterschiedlicher Browser in Bezug der Reihenfolge der Downloads eingebetteter Objekte beobachten lässt. Durch die Analyse dessen liesse sich mittels Application Fingerprinting das eingesetzte Produkt ausmachen. Weiterlesen ... Quality of Service als Denial of Service | 06.07.2009 | computec.ch, Marc's Blog Als wir Ende 2002 die Firma scip AG gegründet haben, waren wir zu Dritt. Wie jedes Unternehmen, das im IT-Bereich aktiv ist, mussten auch wir uns um eine entsprechende IT-Infrastruktur bemühen. Als Sicherheitsunternehmen kam es für uns nicht in Frage, den Mailverkehr und die Webseite einer externen Firma anzuvertrauen. Zu hoch war und ist das Risiko, dass eine Drittperson etwelche Schwachstellen ausnutzt und uns damit unmittelbaren wirtschaftlichen Schaden zufügen könnte (Reputationsverlust und Verlust der Integrität der Daten). Weiterlesen ... Automatisiertes Document Properties Profiling | 03.07.2009 | scip AG Labs Im Rahmen von Footprinting und Web Application Penetration Tests weisen wir gut und gerne darauf hin, wenn auf einem Server Dokumente dargeboten werden, die (technische) Hinweise auf die Zielumgebung gewähren. Dies sind beispielsweise Hinweise auf die genutzte Software für das Generieren von PDF-Dokumenten oder in Word-Dokumenten als Autor angegebene Windows-Benutzernamen. Ein Angreifer kann diese Informationen nutzen, um sich im Rahmen eines technischen oder psychologischen Angriffs einen grundlegenden Vorteil zu verschaffen. Weiterlesen ... Nichtexistenz als Schwachstelle | 29.06.2009 | computec.ch, Marc's Blog Ein Thema, das mich die letzten Jahre stetig begleitet hat, sind sogenannte Configuration Reviews. Bei diesen geht es darum, die Konfiguration eines Systems oder eines Dienstes auf etwaige Schwächen hin zu untersuchen. Dabei kann man grob zwischen zwei Arten von Fehlern unterscheiden. Weiterlesen ... Instabile und unzuverlässige Skype API | 26.06.2009 | scip AG Labs Vor über einem Jahr habe ich in einem privaten Blog Beitrag mit dem Titel MySkypeWorm Connecting with Friends darauf hingewiesen, wie sich durch das Ansteuern der partiell offenen Skype API und der Nutzung von Click-Events ein Skype-Wurm entwickelt werden kann. Schon damals habe ich eine erste Implementierung umgesetzt, mit der die Möglichkeiten dessen im Rahmen unseres Labs bewiesen wurde. Und schon dort zeigte sich, dass die Stabilität der Skype API sehr zu wünschen übrig lässt. Weiterlesen ... Wer rechnen kann, ist klar im Vorteil | 22.06.2009 | computec.ch, Marc's Blog Die meisten von uns können sich sicher noch an die Schulzeit erinnern, als man sich in mühseliger Weise mit traditionellen Fächern wie Deutsch, Mathematik oder Physik herumärgern musste. Viele Schüler, gerade jene mit den weniger guten Noten, machen lautstark ihrem Ärger Dampf, indem sie unablässig darauf hinweisen, dass sie das vermeintliche Wissen ja sowieso nie brauchen werden. Weiterlesen ... Xdoor Unsere Ajax-basierte Backdoor | 17.06.2009 | scip AG Labs Der Begriff Web 2.0 ist ein Buzzword, das die meisten Techniker nicht mehr hören können. Vorzugsweise deswegen, weil die meisten Projektleiter und Nutzer nicht wissen, was das überhaupt ist (und dass es die genutzten Mechanismen schon seit längerer Zeit gibt). Grundsätzlich versteht man darunter Ajax (Asynchronous JavaScript and XML), eine Kombination aus Javascript und XML. Weiterlesen ... Wie man ein Fachbuch schreibt und publiziert | 15.06.2009 | computec.ch, Marc's Blog In meinem Freundes- und Bekanntenkreis gibt es eine bemerkenswerte Anzahl an Leuten, die gerne ein Fachbuch schreiben und veröffentlichen würden. Einige davon formulieren erst ihren Gedanken, andere haben schon etwas geschrieben und möchten nun einen Verlag zwecks Publizierung angehen. Nicht selten bittet man mich um Rat, wie man soetwas am besten ansteuern soll. In diesem Beitrag möchte ich meine Sicht der Dinge darlegen und die gesammelten Erfahrungen weitergeben. Weiterlesen ... MSN Bot mit sonderbaren Anfragen | 11.06.2009 | scip AG Labs Als Sicherheitsunternehmen ist unsere Infrastruktur unweigerlich sehr stark exponiert. Immerwieder versuchen Leute, etwelche Schwachstellen vorwiegend auf unserer Webseite ausfindig zu machen. Indem wir ein eigens entwickeltes Content Management System einsetzen und sehr strikte Sicherheitsmechanismen einsetzen, können wir derlei Angriffsversuche umfassend beobachten und direkt daraus lernen. Unsere Webseite fungiert dabei quasi als Honeypot. Weiterlesen ... Angriff als unnötige Art der Verteidigung | 08.06.2009 | computec.ch, Marc's Blog Müsste ich meiner Grossmutter meine Arbeit in einem Satz erklären, würde ich wahrscheinlich folgendes sagen: 'Ich werde von Firmen bezahlt, dass ich mir ihre Computersysteme anschaue und Kritik daran übe, wie diese eingesetzt werden.' Nicht alle Menschen lassen sich kritisieren. Ich muss das wissen, denn auch ich reagiere bei destruktiver und diplomatisch ungeschickt vorgetragener Kritik eher ungehalten und abwehrend. Es sollte jedoch in der Intelligenz des Menschen liegen, die konstruktiven Punkte herausnehmen und in der Verbesserung seiner Selbst zum Vorteil nutzen zu können. Weiterlesen ... Keyboard Sniffing mit Keykeriki | 04.06.2009 | scip AG Labs Max Moser, ein ehemaliger Arbeitskollege meinerseits, beschäftigt sich seit geraumer Zeit mit dem Mitlesen von Datenübertragungen drahtloser Tastaturen. Heute hat er ein Video online gestellt, in dem er seine Implementierung Keykeriki demonstriert. Weiterlesen ... Despotische Demokratie in der virtuellen Welt | 01.06.2009 | computec.ch, Marc's Blog Ich kann mich noch sehr gut an einen Penetration Test erinnern, den ich für ein internationales Finanzinstitut durchgeführt habe. Die in Indien eingekaufte Anwendung sollte firmenweit eingesetzt werden und dort die Kommunikation zwischen den Mitarbeitern erlauben. Quasi ein Social Network, wie man es von Xing oder Facebook her kennt, sollte aufgezogen werden. Das Hinzufügen von Kontakten war genauso erwünscht wie der unkomplizierte Austausch von Nachrichten. Weiterlesen ... Browser Fingerprinting anhand GET Queue | 29.05.2009 | scip AG Labs Die letzten Jahre haben wir uns intensiver mit Application Fingerprinting auseinandergesetzt. Dabei geht es darum anhand des charakteristischen Verhaltens von Anwendungen das eingesetzte Produkt zu erkennen. Dadurch können produktspezifische Angriffe vorbereitet werden. Mit Projekten wie httprecon und browserrecon wurden erste solide Implementierungen umgesetzt, die eine breitflächige Akzeptanz unter Penetration Testern erlangt haben (zur Zeit werden sie vor allem im spanischen Sprachraum rege diskutiert). Weiterlesen ... Unterschätze nie den Makrovirus | 25.05.2009 | computec.ch, Marc's Blog Alle, die sich schon länger für Computersicherheit interessieren, können sich noch an die populären Makroviren Melissa und ILOVEYOU erinnern. Anfang des neuen Jahrtausends haben diese bis dahin unbekannt grosses Aufsehen in den Tagesmedien erregt. Office-Dokumente wurden mit korruptem Programmcode versehen, der sich selber per Email weitergeschickt hat. Die neue Gefahr schien bedrohlicher zu sein als alles, was bisher da gewesen war (was in erster Linie mit der jungen Popularität des Internets zu tun hatte). Weiterlesen ... Der biometrische Pass wurde angenommen | 18.05.2009 | computec.ch, Marc's Blog Leider wurde in der Abstimmung durch das Volk die Einführung des biometrischen Passes angenommen. Die Prognosen sahen dies ursprünglich mit einer knappen Mehrheit vor. Doch wirklich interessant daran ist, dass es sich hierbei um das knappste Resultat einer Volksabstimmung in der Schweiz seit 1848 handelt. Die Annahme wurde mit 50,1 %, das Mehr betrug lediglich 5402 stimmen, durchgesetzt. Weiterlesen ... Kritik am biometrischen Pass - Nein am 17. Mai | 04.05.2009 | computec.ch, Marc's Blog Am 17. Mai 2009 steht eine technologisch wichtige Abstimmung im Zentrum der Schweizer Politik. Es geht um die Akzeptanz der Einführung des mit biometrischen RFID-Passes im Jahr 2010. In diesem Beitrag möchte ich als Sicherheitsexperte auf die technischen und organisatorischen Unklarheiten, Schwierigkeiten und Probleme hinweisen. Meine Empfehlung mit einem Nein zum biometrischen Pass am 17. Mai abzustimmen, soll argumentativ untermauert werden. Weiterlesen ... Firewall Rule #1: DENY ALL | 27.04.2009 | computec.ch, Marc's Blog Seit vielen Jahren führe ich sogenannte Firewall Rule Reviews durch. Bei diesen wird das Regelwerk eines Firewall-Systems exportiert und auf etwaige Schwächen hin untersucht. Nach dem Export findet als erstes eine Normalisierung statt. Dabei werden die Attribute der Regelsätze auseinandergenommen und vereinheitlicht. Üblicherweise sind dort Quellsystem, Quellport, Zielsystem, Zielport, Protokoll und Aktion von Interesse (moderne Firewall-Systeme erlauben zusätzliche Attribute wie Gültigkeitsdauer, VPN-Einstellungen, Logging, Client-Authentisierung, etc.). Weiterlesen ... Das Cookie ist mächtiger als das Schwert | 20.04.2009 | computec.ch, Marc's Blog Unsere Firma bietet verschiedene Module an, anhand derer wir die Sicherheit von Produkten, Lösungen und Installationen untersuchen können. Klassischerweise wird zum Beispiel ein Penetration Test auf eine Webapplikation durchgeführt, um typische Schwachstellen wie Cross Site scripting und SQL-Injection ausfindig zu machen. Weiterlesen ... Prinzip der Datenklassifizierung | 13.04.2009 | computec.ch, Marc's Blog Wer an Computersicherheit denkt, der denkt in der Regel als erstes an Firewalls und Computerviren. Vielleicht kommen einem als zweites Begriffe wie Security Audit und Source Code Analyse in den Sinn. Sicherheit beginnt jedoch viel früher, lange bevor sich der erste Benutzer mit einem Passwort auf einem System einloggt oder das erste Bit über das Netzwerkkabel geschickt wird. Weiterlesen ... Die Verantwortung der Entwickler | 06.04.2009 | computec.ch, Marc's Blog Ich habe schon einige Jahre als Security Consultant gearbeitet und so manchen Security Audit durchgeführt, als ich bei meinem damaligen Arbeitgeber einen der Entwickler näher kennengelernt habe (eigentlich habe ich ihm zuerst über Monate hinweg in den Pausen beim Billard das Geld aus den Taschen gezogen, aber darum gehts jetzt hier nicht). Er war ein heller Kopf, manchmal ein bisschen in seiner Welt gefangen, doch rundum ein lustiger und unterhaltsamer Zeitgenosse. Weiterlesen ... Die ungewollte DoS beim Griff zu den Sternen | 30.03.2009 | computec.ch, Marc's Blog Seit Jahren bin ich um die Professionalisierung des Bereichs der Computersicherheit bemüht: Durch eine systematische Herangehensweise, die in traditionellen Wissenschaften schon lange als elementare Grundlage erarbeitet wurden, soll die Qualität entsprechender Schutzmassnahmen erhöht werden. Gerade in Bezug auf Sicherheitsüberprüfungen, im speziellen bezüglich der zielgerichteten Penetration Tests, ist mitunter eine chirurgische Präzision das, was die Qualität der Arbeit ausmacht. Weiterlesen ... Social Engineering: Zwischen Kunst und Schande | 23.03.2009 | computec.ch, Marc's Blog Das zentrale Instrument der technokratischen Informationsgesellschaft ist die Informationsbeschaffung. Auf der Basis der zusammengetragenen und ausgewerteten Daten können sodann effiziente und intelligente Entscheidungen getroffen werden. So agieren Privatpersonen, Firmen, ja gar ganze Staaten bzw. Staatenverbunde. Weiterlesen ... Deadlock mal anders | 02.03.2009 | computec.ch, Marc's Blog Im Bereich der Software-Entwicklung fürchten sich erfahrene Programmierer von allem vor einem: Vor einem Deadlock! Hierbei handelt es sich um eine 'Verklemmung', die dazu führt, dass die Anwendung ihre gewünschte Arbeitsweise nicht mehr fortsetzen kann. Zum Beispiel weil ein Thread auf eine Ressource zugreift und diese nicht mehr freigibt, zwischenzeitlich aber ein anderer Thread zwingend auf sie zugreifen müsste. Das Ganze endet als Race Condition in einer Denial of Service, die sich im schlimmsten Fall gar absichtlich reproduzieren lässt. Da gerade das Debugging von Multi-Threading Applikationen ein zusätzliches Mehr an Komplexität mit sich bringt, ist jeder Entwickler froh drum, wenn er sich nicht mit derlei Problemen konfrontiert sieht. Weiterlesen ... Das zwielichte Geschäft der Antiviren-Hersteller | 23.02.2009 | computec.ch, Marc's Blog Ich habe mich sehr früh angefangen für Computerviren zu interessieren. Im Alter von etwa 13 Jahren hatte ich schon eine ganze Reihe von Viren für meinen MS DOS 3.1 Rechner geschrieben. Dabei haben mich weniger die Schadroutinen, sondern viel mehr die Möglichkeiten effizienter Infektionen sowie das Verstecken von Antiviren-Mechanismen interessiert. Da ich zeitgleich eine eigene Antiviren-Routine (in erster Linie auf der Basis einer Mustererkennung) schrieb, empfand ich das Entwickeln meiner Viren und das Erweitern meiner Antiviren-Software als virtuelles Schachspiel gegen mich selber. Weiterlesen ... Das Dilemma des perfekten Verbrechens | 16.02.2009 | computec.ch, Marc's Blog Seit ich ein kleines Kind bin und mich für Kriminalgeschichten interessiere, frage ich mich, ob es das perfekte Verbrechen gibt. Gerne wird als eindrückliches Beispiel solcher Gedankenexperimente der 'perfekte Mord' verwendet. Ich will mich in folgendem Diskurs jedoch allgemeiner halten und mich nicht auf die Art des Verbrechens festlegen. Es kann also abgesehen vom Mord genauso ein Diebstahl, der Insider-Handel mit Aktien oder der elektronische Einbruch in ein Computersystem sein. Hierbei soll die Frage geklärt werden, ob es ein perfektes Verbrechen gibt und welche Eigenschaften es mit sich bringen muss. Weiterlesen ... Wie Banken gegen Terrorismus und Geldwäscherei vorgehen | 09.02.2009 | computec.ch, Marc's Blog Dem Finanzplatz Schweiz wird immerwieder gerne vorgeworfen, dass er sich in unrechtmässiger Weise durch zwielichtige Geschäfte bereichert. In der Tat wird es auch in diesem Bereich Geschäfte geben, die ethisch und moralisch nicht von jedermann gutgeheissen werden können und werden. Dennoch gilt es zu bedenken, dass durch die Auflagen der Eidgenössischen Bankenkommission (EBK) relativ viel Aufwand betrieben wird, um Terrorismus, Geldwäscherei und Steuerhinterziehung sowie Steuerbetrug (sind nicht das Gleiche) zu bekämpfen. Weiterlesen ... MCP, MCSE, CCSA, CCSP, CFSA, CFSO, CISM, CISA, CISSP | 02.02.2009 | computec.ch, Marc's Blog Die einen sagen es sei in erster Linie Glück, die anderen sprechen von Können oder eisernem Durchhaltewillen. Ich denke es ist ein bisschen von allem, wenn es darum geht, warum ich die Möglichkeit habe meinen Job als Penetration Tester mit angenehmen Erfolg auszuüben. Ich habe über Jahre eine Unmenge an Büchern und Fachartikeln gelesen, Angriffstechniken in meinem eigenen Netzwerk ausprobiert und versucht durch eigene Implementierugen die Hintergründe dieser zu verstehen. Dass mir dann die Möglichkeit geboten wurde - ursprünglich durch Siemens Security Schweiz - mich in diesem Bereich zu bewähren, hatte dann sicher auch ein bisschen mit Glück zu tun. Weiterlesen ... Komprimiertes Denken | 26.01.2009 | computec.ch, Marc's Blog Vor einiger Zeit habe ich bei TV Total den jungen Gedächtnisweltmeister Konstantin Skudler gesehen (09.12.2008), der durch überragende Leistungen im Auswendiglernen begeistern konnte. Innerhalb von 20 Minuten sollte er sich eine schier unendlich lange Zeichenfolge - bestehend aus 0 und 1 - merken. Ein blindes Rezitieren dieser verblüffte das Publikum. Eher untypisch für Stefan Raab bemühte er sich im darauf folgenden Interview darum, die Herangehensweise seines Gastes zu verstehen. Weiterlesen ... The Art of Fingerprinting | 19.01.2009 | computec.ch, Marc's Blog Im Bereich der Computersicherheit nimmt Fingerprinting eine wichtige Stellung ein. Durch verschiedene Techniken sollen eingesetzte Komponenten möglichst exakt ermittelt werden. Dies geschieht in der Regel, um deren charakteristisches Verhalten zum eigenen Vorteil einzuspannen. Spätestens beim Ausnutzen einer Schwachstelle eines Betriebssystems ist es beispielsweise unabdingbar zu wissen, ob nun Microsoft Windows Vista oder Debian GNU/Linux eingesetzt wird. Gutes Beispiel ist das Ausnutzen einer Directory Traversal-Schwachstelle, bei der das Verständnis für die Verzeichnisstruktur und die Eigenschaften des Dateisystems ein zentrales Element bildet. Zur Identifikation der Systeme wird OS-Fingerprinting (z.B. mittels der Option -O von nmap) verwendet. Weiterlesen ... Chief Security Officer auf verlorenem Posten | 12.01.2009 | computec.ch, Marc's Blog Eine bezüglich ihrer Wichtigkeit nicht zu unterschätzende Position in einem Unternehmen ist der Chief Security Officer (CSO). Der Sicherheitsbeauftragte einer Firma ist dafür zuständig, sich um die Sicherheitsfragen seines Arbeitgebers zu kümmern. Manchmal wird ein Chief Information Security Officer (CISO), der sich ausschliesslich um die elektronische Sicherheit kümmert, definiert. Zu seinen Aufgaben gehören in erster Linie das Bestimmen der Vorgaben (Richtlinien/Policies), Umsetzen von Massnahmen (Empfehlungen/Optimierungen), Prüfung der Gegebenheiten (Controlling/Audits). Weiterlesen ... Huhn oder Ei? Patch oder Exploit? | 05.01.2009 | computec.ch, Marc's Blog Ich bin nie darum verlegen, mich in Gedanken mit einem guten Rätsel aufzuhalten. Umso mehr machen mir jene Gedankenspiele Spass, die keine echte Lösung zulassen. Also ein philosophischer Koan, der quasi den Fragesteller und den Denker gleichermassen sich selbst relativieren lässt. Wenn ein Baum im Wald umfällt und es ist niemand da, macht der umfallende Baum dann dennoch ein Geräusch? Was war zuerst da, das Huhn oder das Ei? Weiterlesen ... 2008: Was war? 2009: Was wird? | 22.12.2008 | computec.ch, Marc's Blog Wie jedes Jahr lasse ich eben dieses mit einem Blog-Beitrag ausklingen. Darin sollen vergangene und aktuelle Geschehnisse zusammengefasst sowie ein Ausblick auf die nahende Zukunft dargeboten werden. Dies ist damit der letzte Blog-Beitrag, den ich dieses Jahr veröffentlichen werde. Weiterlesen ... Backdooring wird stets unterschätzt | 15.12.2008 | computec.ch, Marc's Blog Jetzt mal ehrlich: Jeder von uns verwendet irgendwie und irgendwo closed-source Software. Also eine Anwendung, deren Quellen und interne Funktionsweise nicht einsehbar sind. Dies bedeutet, dass wir als Endanwender vor einer mysteriösen 'Blackbox' sitzen, die wir nicht verstehen können, an die wir blind glauben müssen. Wahrscheinlich sitzen Tag für Tag mehr 'Gläubige' vor einem Computer, weder in der Kirche. Weiterlesen ... Sesam öffne Dich | 08.12.2008 | computec.ch, Marc's Blog Als ich noch ein Kind war, hat mir meine Mutter immer Geschichten und Märchen vorgelesen. Besonders mochte ich jene aus 'Tausendundeiner Nacht'. Irgendwie war es immerwieder spannend zu hören, was die Helden in fernen Ländern so alles erleben durften. Und im Gegensatz zu heute hat es mich damals auch gar nicht gestört, eine Geschichte mehr als einmal anzuhören. Weiterlesen ... Exponentieller Aufwand bei umfangreichen Tests | 01.12.2008 | computec.ch, Marc's Blog Wer in der Armee gedient hat und dort gar einen höheren Dienstgrad bekleidet hat, dem wird die Abkürzung PQQZD nicht unbekannt sein. Das Akronym steht für Produkt, Qualität, Quantität, Zeit und Dauer. Diese fünf Attribute müssen geklärt sein, um einen Auftrag erfüllen zu können. Das Produkt kann die Aufklärung eines Feindgebiets sein, die Qualität als grober Überblick eingestuft werden, die Quantität mit aktuellen Informationen definiert sein, als Zeit die nächsten drei Tage und die Dauer durch ihre Einmaligkeit ausgemacht werden. Weiterlesen ... 'Ich hab keine Ahnung. Also lass uns diskutieren!' | 24.11.2008 | computec.ch, Marc's Blog Früher war ich ganz extrem: Der Austausch von nicht erforderlichen Informationen, also das sinnlose Herumlabbern, war mit gänzlich zuwider. So erachtete ich eine Diskussion nur dann als wertvoll, wenn die involvierten Parteien sich auf den reinen Datenaustausch konzentrierten. Jedes unnütze Wort, jede nicht erforderliche Geste erschien ineffizient und daher zu verhindern. Weiterlesen ... Spam kann ziemlich peinlich sein | 17.11.2008 | computec.ch, Marc's Blog Der wohl grösste Trend der letzten Jahre - neben Citrix - war/ist die Virtualisierung von Systemen mittels Vmware: Auf physikalischen Hosts werden mehrere virtuelle Gast-Systeme betrieben, wodurch sich in erster Linie Kosten für Installation, Hardware und Backup einsparen lassen. Die Prüfung solcher Vmware-Umgebungen rückt damit zwangsweise in den Mittelpunkt des Interesses vieler Unternehmen. Gerade weil durch Virtualisierung oftmals klassische Grundsätze (z.B. Segmentierung in Netzen) absichtlich oder fahrlässig untergraben werden. Weiterlesen ... Intransparente Scanner und False Positives | 10.11.2008 | computec.ch, Marc's Blog Kurz nachdem ich im Data Becker-Verlag als Co-Autor das Buch Hacking Intern veröffentlicht hatte, habe ich mit der Übersetzung des Buchs Network Intrusion Detection von Stephen Northcutt und Judy Novak aus dem Englischen begonnen. Ich mochte das Buch, welches ich selbst vor meiner Übersetzungsarbeit mindestens drei Mal durchgelesen habe (zwei Mal auf Deutsch und einmal auf Englisch), wirklich sehr. Weiterlesen ... Propaganda-Maschinerie | 03.11.2008 | computec.ch, Marc's Blog Vor einiger Zeit durfte ich ein VPN-Konzept für einen Finanzdienstleister verfassen. In meiner Arbeit sollte den drohenden Gefahren mobiler Benutzer, die von überall her mittels ihren Laptops auf die zentralen Daten und Dienste zugreifen sollten, Rechnung getragen werden. In der Ausarbeitung meines Grobkonzepts schlug ich 8 verschiedene Lösungswege vor. Diese reichten von redundanten Citrix-Farmen über dezentralisierte VMware ACE-Installationen bis zu einfachen PPTP- bzw. RDP-Zugriffen. Weiterlesen ... Was macht eine gute Programmiersprache aus? | 27.10.2008 | computec.ch, Marc's Blog Die Diskussion darüber, welche Spielkonsole, welches Betriebssystem und welche Programmiersprache denn nun die Beste ist, ist wohl so alt wie die Menschheit selbst (früher hat man wohl über Keulen und Schwerter gestritten). Obschon ich selbst mich vehement einem solchen Disput verweigere, empfinde ich die Betrachtung der Betrachtung als höchst interessant. Weiterlesen ... Ein Blick hinter die Matrix am Beispiel von eMule | 20.10.2008 | computec.ch, Marc's Blog Kein Film hat mich in den 90er Jahren wohl so beeinflusst, wie 'The Matrix' (1999). Der dichte Plot und die grandiosen Effekte waren in vielerlei Hinsicht wegweisend. Auch wenn es noch nicht lange her ist, ist der besagte Film mit Keanu Reeves unweigerlich ein bestehendes Stück Popkultur. Im Gegensatz zu den zwei sehr lauen Nachfolgern vermochte der erste Teil mit einer provokanten und leichtfüssigen Philosophie als Kombination des östlichen Zen und der westlichen Wissenschaftsbegierde aufwarten. Das geflügelte Wort 'die Matrix verstehen' wird nicht selten dann verwendet, wenn man etwas in seinem vollen Umfang erfasst hat. Weiterlesen ... Ein ungebetener Gast aus China | 13.10.2008 | computec.ch, Marc's Blog Dem Schweizer wird nicht unbedingt nachgesagt, dass er gastfreundlich ist. Ich rede hier von einer herzlichen Gastfreundlichkeit, wie sie vorzugsweise in südländischen Gebieten anzutreffen ist (Viele Mexikaner sind 'Gringos' gegenüber zwar auch alles andere als gastfreundlich!). Bezüglich Einwanderungs- und Asylpolitik steht die Schweiz hingegen nicht mal so schlecht da. Auch wenn die letztjährige Wahlkampagne der SVP mit den umstrittenen Schafen weltweit für Aufsehen gesorgt hat. Blochers Partei scheint bei den Bundesratswahlen dafür und für die anderen populistischen Machenschaften einen politischen Denkzettel verpasst gekriegt zu haben... Weiterlesen ... Code from Hell | 06.10.2008 | computec.ch, Marc's Blog Irgendwie mag ich Monk, obschon ich bisher nur zwei Folgen partiell gesehen habe. Das Problem ist nicht, dass ich die Serie nicht gut finde. Viel mehr habe ich momentan schon genug zu tun mit den Serien, die ich bisher gucke. Eine meiner liebsten Szenen war, als Monk einen chinesische Verbrecher, dem er noch nichts nachweisen konnte, aufsuchte. Der Chinese machte gerade Klimmzüge und zählte während des etwas verworrenen Verhörs unablässig seine Erfolge: 97, 98, ... Als das Gespräch beendet schien und sich Monk verabschieden wollte, hörte der gute Mann bei 99 auf. Monk ab seiner Obsession sichtlich unruhig nötigte den gut gebauten Herrn, doch die 100 voll zu machen. Das Gespräch ging per Zufall weiter und da war er nun: Der 101ste Klimmzug! Monk kriegte fast einen Herzinfarkt. Weiterlesen ... Das ewige Sein: Ein Rückblick in die Zukunft | 29.09.2008 | computec.ch, Marc's Blog Ich muss gestehen, dass ich mein Leben grundsätzlich sehr spannend finde. Mit absoluter Sicherheit kann ich behaupten, dass mein Leben spannender ist, weder das der meisten anderen Menschen. Es gibt immerwieder interessante Dinge, die an mich herangetragen werden, so dass ich eigentlich fortwährend zu intellektueller Akrobatik, die ich natürlich sehr mag, verleitet werde. Irgendwo durch bin ich also doch Sportler, wenn auch nur bedingt ausserhalb meines Kopfes. Weiterlesen ... Bereiten Sie sich vor - Oder testen Sie schon? | 22.09.2008 | computec.ch, Marc's Blog Während meiner Tätigkeit als Penetration Tester und Reverse Engineer habe ich schon so manchen arroganten Spruch gehört. Diese reichen von 'Das hätte ich auch gekonnt' bist zu 'Ein richtiger Hacker braucht keine Tools'. Zum Glück bin ich relativ langsam im Denken und so bleibt mir in solchen Situationen stets genügend Zeit, um einmal leer zu schlucken und mir eine lustige Szene aus Family Guy vorzustellen (Ich mag die Folge, in der Stewie mit aller Gewalt das Geld von Brian eintreiben will!). Wäre dem nicht so, würde ich wahrscheinlich meine Hände zu Fäusten ballen und mein Gegenüber wie ein Berserker in rasender Wut zu Brei schlagen. Oder so ähnlich. Weiterlesen ... Durchschlagende Forensik | 14.09.2008 | computec.ch, Marc's Blog Ich selbst sehe mich in gewisser Weise als exponierte Person im Internet: Durch meine Webseite(n) und die unzähligen Veröffentlichungen werde ich Tag für Tag wahrgenommen, gelobt und kritisiert. So betreue ich seit über 10 Jahren mit computec.ch ein im deutschsprachigen Raum besonders beliebtes Portal zu Computersicherheit, durch das vor allem Einsteiger mittels Dokumenten und Forum an die komplexe Materie herangeführt werden sollen. Weiterlesen ... Einer für alle, alle für einen | 08.09.2008 | computec.ch, Marc's Blog Historizismus ist eine wunderbare, ja gar sehr wichtige Sache. Denn kann man aus der Vergangenheit lernen, wird man sich in der Gegenwart so verhalten wollen, dass man für sich die Zukunft erschliessen kann. Um es mit den leicht abgewandelten Worten von Zack De La Roca der Band Rage against the Machine auszudrücken. Weiterlesen ... Der Kampf der künstlichen Intelligenzen | 01.09.2008 | computec.ch, Marc's Blog Seit jeher interessiere ich mich für Roboter. Dabei steht für mich weniger der mechanische Teil, sondern viel eher der logische Aspekt im Mittelpunkt. Mich interessiert, wie durch eine Maschine das Denken und Handeln eines Menschen nachgebildet werden kann. Dies nicht aus Gründen der Liebe zur Maschine, sondern wegen der Liebe zum menschlichen Denken. Nichts scheint mit einer derartigen Vielschichtigkeit und Komplexität daherzukommen. Weiterlesen ... Wie werde ich Security Consultant? | 25.08.2008 | computec.ch, Marc's Blog Gerne erzähle ich, werde ich denn gefragt, was ich beruflich so mache. Als Security Consulting sehe ich mich hauptsächlich für das Durchführen verschiedener Sicherheitsüberprüfungen und den darauffolgenden Beratungen verantwortlich. Dies umfasst sowohl organisatorische Audits als auch technische Penetration Tests. Für viele Informatiker ist dies ein Traumberuf, den zu erreichen nicht gerade leicht erscheint. Da ich immerwieder gefragt werde, wie man denn professioneller Penetration Tester wird, will ich den Weg, wie ich ihn erfahren habe, gerne aufzeigen. Weiterlesen ... Ein Tag im Leben eines Viren-Programmierers | 18.08.2008 | computec.ch, Marc's Blog Schon fast ein bisschen mit Stolz darf ich behaupten, dass ich mit etwa 13 Jahren meinen ersten Computervirus geschrieben habe. Nichts Besonderes: Ein kleiner Overwriting-Virus in Qbasic, der sich auf dem Dateisystem meines MS DOS 3.1 gütlich getan hat. Den Code dazu habe ich vorzugsweise aus verschiedenen C64-Lehrbüchern zusammenkopiert: Lediglich in einigen wenigen Fällen musste ich eine systembedingte Portierung einbringen. Dabei musste ich lediglich verstehen, wie sich rekursiv durch das Dateisystem bewegt werden will und wie sich etwaige Trägerdateien (com und exe) infizieren lassen können. Eine Aufgabe, der sich heutzutage wohl jeder Informatik-Student im zweiten Semester gewachsen sieht. 1993 war es aber ein Abenteuer sondergleichen. Weiterlesen ... Das Dr. House-Syndrom | 04.08.2008 | computec.ch, Marc's Blog Viele kennen ihn, den zynischen und brillianten Arzt aus der gleichnamigen Serie: Dr. Gregory House ist Leiter für diagnostische Medizin und bekommt jene Fälle zugewiesen, an denen die anderen Ärzte bisher gescheitert sind. Die Parallelen zum fiktiven Meisterdetektiv Sherlock Holmes, der eine Korifäe des gleichen Ausmasses bezüglich polizeilicher Ermittlungen im viktorianischen London war, sind nicht ungewollt. Die Brillianz von Dr. House führt dazu, dass er manchmal ein bisschen überheblich wirkt und sich unverhohlen über die Nachlässigkeit bzw. Unwissenheit seines Umfelds lustig macht. Auf den ersten Blick gar kein sympathischer Zeitgenosse, der jedoch dank seiner Vielschichtigkeit dennoch als liebenswürdiger Anarchist enttarnt werden kann. Weiterlesen ... Vertrauen ist Vertrauenssache | 28.07.2008 | computec.ch, Marc's Blog In frühester Kindheit habe ich mich mit Psychologie auseinanderzusetzen anfangen. Zu Beginn weil ich fortwährend von Albträumen geplagt war, habe ich mir die Traumdeutungen Siegmund Freuds zu Gemüte geführt. Später habe ich durch das Verständnis meines Selbst und der Psyche meiner Mitmenschen meine sozialen Fähigkeiten verbessern wollen. Weiterlesen ... Denkstrukturen | 21.07.2008 | computec.ch, Marc's Blog In einer der vielen Sherlock Holmes Geschichten postuliert der Meisterdetektiv, dass das Gehirn wie ein Dachboden sei. Es gibt nur eine begrenzte Anzahl an Möbeln, die darin Platz hätten. Und man will seinen Dachboden (in der Schweiz sagen wir Estrich) doch nicht mit unnötigem Gerümpel vollstopfen. Ich mochte diese Aussage. Vielleicht deswegen, weil ich eine unendliche Vergesslichkeit, wahrscheinlich durch meine beiden Eltern geerbt, mit mir herumtrage. Weiterlesen ... Ich mag das iPhone und Apple nicht! | 14.07.2008 | computec.ch, Marc's Blog Ja, ich mag das iPhone nicht. Wieso? Da gibt es viele Gründe. Der nüchternste ist, dass es nur ein Stück Elektronik ist, mit dem man eher unspektakuläre Dinge machen kann. Telefonieren zum Beispiel. Oh ja, man kann damit auch ins Internet. Aber das konnte ich auch schon mit meinem Nokia 9100, das ich vor über 10 Jahren gekauft hatte. Und auch mit dem 9110, das ich rund zwei Jahre spaeter gekauft hatte. Und mit dem 9210, das ich ebenfalls kaufte, aber nach zwei Monaten kaputt machte, weil es nonstop abstürzte. Ach ja, und mit all den anderen Highend-Gadgets, wie sie zum Beispiel sehr schön (ästhetisch und technologisch) durch HTC vorangetrieben wurden. Weiterlesen ... Es ist schön zu verstehen | 07.07.2008 | computec.ch, Marc's Blog Schon im Kindesalter habe ich begonnen, mich für die Psychoanalyse zu interessieren. Durch Sigmund Freuds Schriften zur Traumdeutung bin ich irgendwann über die Abhandlungen seiner psychopathologischen Betrachtungen im Alltagsleben gestolpert. Der Mensch, sein Denken und wie es funktioniert, hat spätestens seit dann eine enorme Anziehungskraft auf mich ausgeübt. Deren Unbändigkeit hat dazu geführt, dass ich mich zunehmends und fortwährend mit den psychologischen Hintergründen der menschlichen Verhaltensweise, auch in soziologischer Hinsicht, auseinandergesetzt habe. Mitunter auch deshalb, um mich vor unliebsamen Überraschungen schützen zu können. Weiterlesen ... Und nun: Sicher zum Schluss! | 30.06.2008 | computec.ch, Marc's Blog Das Thema Sicherheit ist in aller Munde. Sei es nun im Zusammenhang mit wirtschaftlichen Interesse, den politischen Entwicklungen oder E-Commerce. Ganz besonders in der Schweiz geniesst die Sicherheit auf allen Ebenen einen hohen Stellenwert. Die Schweiz ist ein kleines Land, das sich ihre politische Stärke durch geschickte Schachzüge erarbeitet hat. Dabei wird seit jeher auf Langfristigkeit gesetzt, denn die Generation danach soll sich nicht mit einem unüberwindbaren Scherbenhaufen konfrontiert sehen. Eine weitsichtige Denkweise, die auch so manch anderem Staat gut täte. Weiterlesen ... Fist of Zen vs. Frederic Fitch: Wichtig ist was wichtig wirkt | 23.06.2008 | computec.ch, Marc's Blog Als das Wikipedia-Projekt ins Leben gerufen wurde, war ich regelrecht begeistert. Die Idee erschien mir brilliant, sollte sie denn dabei helfen, eine riesige Informationsdatenbank für jedermann zu schaffen. Das Internet sollte also nicht nur als Porno-Archiv und Spam-Schleuder herhalten: Freude herrscht! Weiterlesen ... Auch ein kalter Krieg kann hitzig sein | 16.06.2008 | computec.ch, Marc's Blog Ich sitze gerade auf dem Akku meines Laptops. Ja, Sie haben richtig gelesen: Ich sitze gerade auf dem Akku meines Laptops. 'Wieso', werden Sie sich vielleicht fragen. Eine berechtigte Frage. Nein, es handelt sich hier nicht um eine sexuelle Fantasie eines Nerds, der sich in erotischer Weise zu seiner Hardware hingezogen fühlt. Viel mehr hat dieser unbequeme Zustand einen funktionalen Hintergrund: Ich friere! Weiterlesen ... Über meine grosse Liebe | 09.06.2008 | computec.ch, Marc's Blog Es gibt nur eines, was ich uneingeschränkt und mit voller Hingabe liebe: Die Logik. Warum? Sie ist hart aber fair. Und zwar immer, in jedem Fall. Schon immer habe ich die Logik gemocht. Nur in hochgradig emotionalen Situationen verzichte ich gut und gerne auf sie. In allen anderen Fällen ist sie jedoch mein treuer Begleiter. Mein Schutzengel und mein Mentor, der mir dabei hilft, schwierige Situationen mit Aufrichtigkeit und Stolz zu meistern. Und auch wenn ich die Situation nicht meistern konnte, muntert sie mich auf und sagt: 'Du hast, jedenfalls unter Anbetracht der vorliegenden Informationen, das Richtige getan.' Weiterlesen ... Von der Mündigkeit in die Abhängigkeit | 02.06.2008 | computec.ch, Marc's Blog Schon oft habe ich mir die Frage gestellt, wann jemand erwachsen ist. Erwachsensein bedeutet in unserer Gesellschaft, dass man vollumfänglich Verantwortung für sein Tun und Handeln übernimmt. Der offizielle Übertritt ins Erwachsenenalter sieht man in unseren Bereitengraden mit 18 Lebensjahren vor. Doch als ich selbst 18 Jahre alt wurde, wusste ich, dass ich eigentlich noch gar nicht erwachsen bin. Der Rebell in mir, zwar mittlerweile etwas ruhiger geworden, sah sich noch immer durch seine kindliche Neugierde getrieben. Mich auf die Werte der 'anderen Erwachsenen' abzustützen, erschien mir eher wie Frevelei vor meiner eigenen nihilistischen Ethik. Weiterlesen ... Es ist halt doch nicht alles Gold was glänzt | 26.05.2008 | computec.ch, Marc's Blog Wüsste ich nicht um meine Fehlbarkeiten und die Unschönheiten meines Lebens, würde ich mich doch glatt beneiden. In erster Linie darum, weil ich seit mindestens fünf Jahren Tag für Tag gerne zur Arbeit gehe. Ich weiss, viele Menschen kennen dieses Gefühl nicht und meinen entsprechend, dass mit mir etwas nicht stimmt. Wenn ich denn am Sonntag Abend früh zu Bett gehe, um am Montag Morgen ausgeschlafen zu sein, stosse ich vorwiegend auf Unverständnis. Weiterlesen ... Wer anderen eine Grube gräbt... | 18.05.2008 | computec.ch, Marc's Blog Meine Mutter erzählt immer mal wieder gerne die Geschichte, wie ihr im Kindesalter ihr grosser Bruder das deutsche Sprichwort falsch beigebracht und sie sich damit später im Schulunterricht blamiert habe. Wahrlich lustig, denn auch ich lasse mir solche Gelegenheiten nicht nehmen, mein Leben mit anderen Leuten Schabernack zu versüssen. Weiterlesen ... Computerphilosophie | 13.05.2008 | computec.ch, Marc's Blog Aussenstehende messen dem Computer starre Mechanismen bei. Ein Computer hat zu funktionieren. Das Werkzeug aus Metall ist kalt und emotionslos. Dem will ich nicht widersprechen. Wahrscheinlich bin ich gar einer der wenigen, der noch nie eine emotionale Bindung zu Hardware entwickeln konnte. Noch nicht einmal die von mir gespielten Musikinstrumente habe ich lieb. Das einzige, was ich an ihnen liebe, ist ihr Klang. Mehr nicht. Weiterlesen ... Geschwindigkeit ist nicht alles | 05.05.2008 | computec.ch, Marc's Blog Männer sind sehr lustige Geschöpfe. Es gibt wohl nichts deterministischeres, voraussehbares und leichter zu manipulierendes als der Mann. Es muss eine wahre Freude sein, als schöne Frau mit scharfem Verstand das vermeintlich stärkere Geschlecht zu instrumentalisieren. Vielleicht ist es aber auch ob seiner Einfachheit deshalb schnell langweilig ... Ich weiss es nicht. Sollte mir das nächste mal eine schöne und zugleich intelligente Frau über den Weg laufen, werde ich sie aber gerne fragen. Weiterlesen ... Unter Blinden wird auch der Einäugige nicht zwingend König | 28.04.2008 | computec.ch, Marc's Blog Ein Grossteil meiner Freunde und Bekannten sind oder waren Studenten. Seien dies nun Juristen, Soziologen oder Künstler. Für sie gelte ich, obschon mein Bildungsweg ganz anderes vermuten lässt, als Akademiker. Ich mag es, Probleme im Kopf zu lösen. So wie halt Sherlock Holmes auch. Und erscheint ein Sachverhalt dann mal zu komplex, greife ich zu 'Papier und Bleistift'. Je weniger ich mich bei einer Problemlösung bewegen muss, desto lieber habe ich das Problem. Das heisst aber nicht, dass ich mich nicht dabei dennoch bewege. Nietzsche sagte nicht umsonst, dass der Mensch im Gehen denkt. Weiterlesen ... So hat mein Jahr angefangen | 21.04.2008 | computec.ch, Marc's Blog Ich habe vor 12 Jahren meinen letzten Fernseher gekauft. Ein 82 cm 50 Hz Röhrenfernseher von Saba, der mir die ganze Zeit sehr gute Dienste geleistet hat. Er hat verschiedene Generationen von guten Spielkonsolen und schlechten Fernsehsendungen überlebt. Spätestens mit der Nutzung der Playstation 3 und ihrer Möglichkeit von Full HD wollte ich mir einen entsprechenden Fernseher kaufen. Insgesamt zwei Jahre habe ich quasi mit der Evaluation eines neuen Geräts verbracht. Weiterlesen ... Richtige Hacker brauchen keine Tools. Oder doch? | 14.04.2008 | computec.ch, Marc's Blog, Nachdruck in smSS Ausgabe 19. April 2008, Editorial, Seiten 1 und 2 Ich kann nun fast auf 10 Jahre professionelles Security Testing zurückblicken. Dabei muss ich behaupten, dass ich viele sonderbare und lustige Dinge gesehen und erlebt habe. Vor allem aus dem Blickwinkel der heutigen Zeit erscheinen viele Geschichten von früher als besonders skurril... Der Bereich der Computersicherheit hat sich in jeglicher Hinsicht enorm verändert. Auch in positiver Hinsicht! Weiterlesen ... Ab wann darf man sich geehrt fühlen? | 07.04.2008 | computec.ch, Marc's Blog Protzigkeit, höchstens in überspitzten Zynismus gekleidet, liegt mir eher weniger. In Gesellschaften mag ich es, mich zurückzuhalten und die anderen Reden zu lassen. Dies hat entscheidende Vorteile. Zum einen kann ich meine Energie, der ich leider viel zu wenig mein Eigen nennen kann, sparen. Zum andere muss ich meinen Verstand nur zwischendurch aufblitzen lassen, um wenigstens halbwegs als vermeintlich klug zu gelten zu dürfen. Weiterlesen ... Wieso Re-Check, wenn es kein Fixing gab? | 24.03.2008 | computec.ch, Marc's Blog Wer sich ein bisschen mit Prozessen auseinandergesetzt hat, der kennt die typische Visualisierung solcher: Verschiedene Prozessstufen, die als gerichtete Pfeile einen Kreis bilden. Sicherheitsüberprüfungen gestalten sich nicht viel anders. Nach der Definition der Analyse wird eben diese durchgeführt. Die determinierten Schwächen werden dokumentiert und behoben. Nachdem dies getan wurde, kann die nächste Prüfung stattfinden. Weiterlesen ... Wenn man unliebsame Freunde zu Besuch hat | 17.03.2008 | computec.ch, Marc's Blog Höflichkeit in angemessenem Masse scheint mir eine unendlich wichtige Eigenschaft zu sein. Dem Kategorischen Imperativ von Immanuel Kant folgend sollte man sein Gegenüber so behandeln, wie man das auch von ihm erwarten würde. Die katholische Kirche sieht mit 'Liebe Deinen nächsten wie Dich selbst' die gleiche Verfahrensweise vor. Eine der wenigen Sätze, die man wohl für bare Münze aus dem Buch der Bücher übernehmen darf. Weiterlesen ... 'Techniker? Ha ha, was weiss der schon?!' | 10.03.2008 | computec.ch, Marc's Blog Irgendwie fand ich Leute mit Bart immer cool. Nicht aus rebellischen Gründen. Ein Bart muss meines Erachtens gepflegt werden. Es gibt wohl nichts hässlicheres, weder einen ungepflegten Bart. Viele grossen Helden hatten lange und coole Bärte. Sigmund Freud hatte einen schönen Bart, Albert Einstein einen lustigen Schnautzer und Grossväterchen Nietzsche ebenso. Und dann gibt es da noch Richard M. Stallman (obwohl sein Bart etwas ungepflegt wirkt) und Bruce Schneier (sieht manchmal aus wie Chuck Norris). Weiterlesen ... MySkypeWorm - Connecting with Friends | 01.03.2008 | computec.ch, Marc's Blog, Nachdruck in smSS Ausgabe 19. Mδrz 2008, scip AG, Seiten 1 und 2 Das Internet habe ich seit jeher als Kommunikations- und Informationsmedium betrachtet. Unzählige Stunden habe ich in Chats verbracht und mit Leuten im Usenet sowie in Webforen diskutiert. Gerade deswegen ist es mir oftmals unverständlich, wenn andere das Internet als asoziales Medium und die Nutzer dessen als vereinsamte Individuen beschimpfen. Weiterlesen ... Das Ziel ist der Weg | 25.02.2008 | computec.ch, Marc's Blog Seit jeher propagiere ich ein 4-phasen Modell der Charakterentwicklung im Bereich der Computersicherheit: Ein jeder beginnt als (1) unbedarfter Endanweder, der sich als (2) Skript-Kiddy durch Tools an das Thema Computersicherheit herantastet. Durch eine konkrete Spezialisierung kann man sich sodann zu einem (3) semi-professionellen Fachspezialisten (z.B. Unix-Administrator) oder gar einem (4) professionellen Angreifer (z.B. Penetration Tester) entwickeln. Dabei verändern sich zwar im Laufe der Zeit die Ziele. Das erworbene Wissen bleibt jedoch stetig bestehen. Weiterlesen ... Manche Kriege kann man nicht gewinnen | 18.02.2008 | computec.ch, Marc's Blog Männer tendieren dazu, sich für Technik und Elektronik zu begeistern. Obschon ich ein entschiedener Gegner von Gewalt bin, oder gerade deswegen, interessieren mich die Entwicklungen auf dem Waffenmarkt. Bei der Forschung und Umsetzung neuer Waffensysteme werden immerwieder gute Konzepte entdeckt oder verfeinert. Sie können nicht selten als Grundlage für Möglichkeiten, die sich auch im zivilen Bereich anwenden lassen, herhalten. Weiterlesen ... Real World Testing vs. Formale Analysen | 12.02.2008 | computec.ch, Marc's Blog Hacking ist seit jeher ein Mysterium. Das Bild, welches durch die Medien transportiert wird, wird von eben den gleichen krampfhaft aufrecht gehalten: Irgendwelche sozial verarmten Freaks saugen die Bytes förmlich auf, um sodann dank bunter 3D-Animationen in einen Supercomputer einer Grossbank einzubrechen. Ja, so oder so ähnlich funktioniert das, wenn es nach dem Geschmack von Hollywood geht. Weiterlesen ... Das perfekte Backdoor? | 04.02.2008 | computec.ch, Marc's Blog Als ich mich intensiver mit dem Thema Netzwerksicherheit auseinandersetzen begann, wurde gerade erst das Zeitalter der Remote-Control-Utilities eingeläutet. Client/Server-basierte Trojanische Pferde wie BackOrifice, NetBus oder SubSeven wurden als die Hacker-Tools schlechthin verstanden. Ein mit einem Server infizierter Host liess sich über das Netzwerk mit dem entsprechenden Client fernsteuern. Die totale Kontrolle über das System, als sässe man direkt davor, wurde als neue Dimension verstanden. Weiterlesen ... Hack the Hacker | 28.01.2008 | computec.ch, Marc's Blog In einer Biographie zu Immanuel Kant habe ich gelesen, dass er in gewisser Weise von diversen Zwangsneurosen geplagt war. Sein Tagesablauf war klar strukturiert und wich im besten Fall niemals von der erwarteten Prozedur ab. Manchmal habe auch ich ein bisschen diese Züge, obschon ich fortwährend darum bemüht bin, meinen eher unspektakulären Zwängen nicht zu erliegen. Weiterlesen ... Ein Blick hinter die Kulissen | 21.01.2008 | computec.ch, Marc's Blog Ich rede mit Fremden ungern über mich. Ganz besonders nicht über meine Arbeit. Obschon ich in extrovertierter Weise eine Webseite pflege und zwischendurch Fachartikel publiziere, bin ich doch im privaten Umgang sehr zurückhaltend. In Bezug auf meine Arbeit liegt der Grund darin, weil ich mich nur ungern auf mit Halbwissen gespickte Diskussionen einlasse. Die wenigsten Leute wissen, was Computersicherheit ist, was das Ziel eines Penetration Tests ist und warum das Ausbleiben eines solchen wirtschaftlichen Schaden bedeuten kann. Weiterlesen ... Das kleine Handbuch der dummen Marketing-Sprüche | 14.01.2008 | computec.ch, Marc's Blog Für viele Leute bin ich nach wie vor ein Freak. Jemand, der stundenlang vor einem Assembler-Programm hocken kann, ohne sich zu regen. Jemand, der dies gar dem Herumliegen am Strand vorzieht. (Okay, am Strand herumliegen und Assembler-Code anstarren wäre auch was feines!) Und ja, manchmal bin ich wirklich ein Freak. Auch wenn ich mich im Gegensatz zu vielen anderen Leuten in meinem Umfeld in der Hinsicht doch manchmal fast als 'bieder' titulieren würde. Es gibt etwas, das einen Freak ganz besonders in Rage bringen kann: Marketing-Sprüche. Es gibt für mich wie auch für andere meiner Couleur nichts schlimmeres, weder ein Verkäufer, der sich durch das Herunterleiern von Marketing-Phrasen profilieren möchte. Weiterlesen ... 'Ich interessiere mich nicht so für Hardware...' | 07.01.2008 | computec.ch, Marc's Blog Lange bevor ich einen eigenen Computer besass, entwickelte ich meine eigenen Computerspiele. Vorwiegend das Design beschäftigte mich, wie die Levels auszusehen hatten und welche Gegner an welcher Stelle auftauchen würden. Damals als Kind war dies mehr ein Zeichnen, denn ein Programmieren. Erst später eignete ich mir grundlegende Basic-Kenntnisse an. Noch immer keinen eigenen Rechner besitzend pflegte ich meinen Programmcode auf einer alten Schreibmaschine (nicht elektronisch!), übertrug die einzelnen Zeilen erst später in den 386er meines Vaters. Weiterlesen ... 2007: Was war? 2008: Was wird? | 21.12.2007 | computec.ch, Marc's Blog Wie jedes Jahr lasse ich eben dieses mit einem Blog-Beitrag ausklingen. Darin sollen vergangene und aktuelle Geschehnisse zusammengefasst sowie ein Ausblick auf die nahende Zukunft gewährleistet werden. Dies ist damit der letzte Blog-Beitrag, den ich dieses Jahr veröffentlichen werde. Weiterlesen ... Genau hinschauen lohnt sich | 17.12.2007 | computec.ch, Marc's Blog Im Zuge der Abschrift meines Buchs Die Kunst des Penetration Testing habe ich mich mitunter sehr intensiv mit der Technik des Application Fingerprinting (Kapitel 7, Seiten 396-439) beschäftigt. Beim aktiven Application Fingerprinting geht es darum durch spezifische Anfragen ein Verhalten einer Netzwerkanwendung zu provozieren, anhand deren Charakteristika sich das eingesetzte Produkt ableiten lässt. Dies ist gut und gerne die Grundlage für applikationsspezifische Attacken (schliesslich kann ein Apache 2.0.46 nicht mit den gleichen Exploits angegangen werden wie ein Microsoft IIS 6.0). Weiterlesen ... Wenn Dir Trent nicht über den Weg traut | 10.12.2007 | computec.ch, Marc's Blog Zuverlässigkeit und Pünktlichkeit sind zwei mit mir verbundene Eigenschaften, für die ich Tag für Tag hart arbeiten muss. Doch es lohnt sich: Die Leute schätzen meine Arbeit - Eben nicht nur wegen ihrer Substanz, sondern auch wegen der ihr anhaftenden Attribute. Dies führt gar so weit, dass wenn ich mal nicht 10 Minuten zu früh zu einem Termin komme, man sofort einen Suchtrupp losschickt. Darauf bin ich schon fast ein bisschen stolz. Weiterlesen ... Schlafwandeln im Internet | 03.12.2007 | computec.ch, Marc's Blog Eigentlich sollte ich schlafen. Es ist schliesslich mitten in der Nacht und die Abwesenheit der Sonneneinstrahlung verrät mir unweigerlich, dass ich in meinem Bett liegen und die Ruhe geniessen sollte. Stattdessen sitze ich hier. Dafür verantwortlich sind Kopfschmerzen. Dieses ewige Hämmern in meinem Schädel verhindert es, dass ich mich hinlegen darf. Verdammter Kopf. Weiterlesen ... Die Müllkampagnen der Grossen | 26.11.2007 | computec.ch, Marc's Blog Mein Handy ist letzte Woche kläglich und mit Schande kaputt gegangen. Als ich dies in einem Blog-Beitrag verarbeiten wollte, bin ich über folgenden gestolpert, den ich fast vor zwei Jahren verfasst habe und in den Weiten meiner externen Harddisk verschollen geglaubt war. Er hat keinen Deut an Aktualität eingebüsst. Die Sachlage hat sich gar noch verschlimmert. Weiterlesen ... Von guten Consultants und schlechten Consultants | 19.11.2007 | computec.ch, Marc's Blog Security Consultants finden sich in der Hierarchie der Informatik-Dienstleister in vielerlei Hinsicht ganz oben. Einerseits müssen sie über ein vollumfängliches Fachwissen verfügen, andererseits müssen sie die komplexen Sachverhalte dem Management in intelligenter Weise verkaufen können. Am besten weiss man also mehr weder die jeweiligen Administratoren, die tagtäglich mit ihren Lösungen zu tun haben - Und am besten kann man besser reden, weder die jeweiligen Manager selbst, die mit allen Wassern gewaschen sind. Security Consultant zu sein ist also keine leichte Aufgabe und gerade das macht es so interessant. Weiterlesen ... Pirates of the Caribbean: The Curse of the Black Market | 12.11.2007 | computec.ch, Marc's Blog Ich kann es langsam echt nicht mehr hören. Dieses ewige Gekreische der Musikindustrie. Ihnen ginge es so schlecht, weil alle Leute nur noch Musikpiraten spielen wollen und niemand mehr Geld für die Musik ausgeben will. Weiterlesen ... Neue alte Anforderungen an die Cyber-Generation | 05.11.2007 | computec.ch, Marc's Blog Viele Leute meinen, dass ich nur so von Technomanie strotzen würde. Schliesslich gehöre ich zur Zunft der Informatiker und die haben ja schliesslich nichts anderes im Kopf, als Computer und kleine technische Geräte. Falsch. Ich mag weder Computer noch kleine technische Geräte. Ich bin mir lediglich der Vorteile der effizienten Nutzung dieser zur performanten Erledigung spezifischer Aufgaben bewusst. Eigentlich ein sehr ökonomischer Wesenszug. Weiterlesen ... Es gibt so viele Probleme, wie es Menschen gibt | 29.10.2007 | computec.ch, Marc's Blog Der Mensch ist unglaublich individuell. Es ist wahrscheinlich schon nur unmöglich, dass es jemanden gibt, der stetig meine Meinung teilt. Und doch kann man sagen, dass alle Menschen irgendwie gleich sind. Alle kennen wir die gleichen Gefühle und uns plagen manchmal gar die gleichen Probleme. Weiterlesen ... Theorie und ihre Nützlichkeit | 22.10.2007 | computec.ch, Marc's Blog Leider bin ich immerwährend benachteiligt. Für die meisten Studenten und Akademiker bin ich ein typischer Praktiker, der sich im Selbststudium die für ihn und seine Arbeiten wichtigen Dinge selber beigebracht hat. Für die vielen Praktiker bin ich jedoch gerne der Theoretiker, der sich an der Komplexität von Problemen sowie der Lösung dieser auf Papier erfreuen kann. Irgendwie bin ich also nirgends so richtig akzeptiert. In manchen Situationen kann man dies aber auch als Vorteil sehen. Weiterlesen ... 7/24 Computer-Support? Nein Danke! | 15.10.2007 | computec.ch, Marc's Blog Viele Menschen haben noch immer nicht begriffen, was ein Computer überhaupt ist bzw. wozu über primär gebraucht werden kann. Dabei handelt es sich um ein Werkzeug, mit dem man Daten elektronisch sammeln, auswerten, weiterverarbeiten und ausgeben kann. Eine eigentlich sehr primitive Arbeit. Da sich durch den Computer jedoch enorme Datenmengen in kürzester Zeit angehen lassen (sofern Algorithmen dafür vorhanden sind), erschliessen sich durch seine Effizienz komplett neue Möglichkeiten. Weiterlesen ... Stell Dir vor es ist Revolution, und alle schauen hin | 08.10.2007 | computec.ch, Marc's Blog Man sagt mir nach, dass ich nicht gerne reise. Dem mag so sein. Doch irgendwie stimmt es halt eben doch nicht. Auch wenn es für viele auf den ersten Blick nicht den Anschein macht, habe ich schon den einen oder anderen schönen Fleck auf unserem nicht nur blauen Planeten besucht. Dabei mag ich besonders alternative Reisen, bei denen man nach Möglichkeiten keinem einzigen Touristen begegnet. Ich will schliesslich fremde Kulturen sehen und nicht unter meines Gleichen sein. Weiterlesen ... Der Vogel-Strauss-Effekt | 01.10.2007 | computec.ch, Marc's Blog Ich selbst postuliere seit jeher eine Whitebox-Herangehensweise bei Sicherheitsüberprüfungen. Indem dem Tiger-Team nach Möglichkeiten alle Informationen zu den Zielobjekten bereitgestellt werden, soll ein Maximum an wirtschaftlicher und wissenschaftlicher Performance gewährleistet werden können. Die Experten sind dadurch in der Lage, sofort ihr Fachwissen auszuspielen, ohne sich mit der langwierigen und stumpfsinnigen Sammlung von allgemeinen Daten herummühen zu müssen. Weiterlesen ... Wie Du mir so ich Dir | 24.09.2007 | computec.ch, Marc's Blog Dieser Beitrag bezieht sich auf mein Posting mit dem Titel Kaufen: ich kaufe, du kaufst, er kauft vom 30. Juli 2007. Darin habe ich beschrieben, wie mühselig ich es doch immerwieder finde, wenn mich irgendwelche Verkäufer von Security-Firmen anrufen und mir ein Enduser-Produkt oder eine Partner-Lizenz verkaufen wollen. Als unabhängiges Consulting-Unternehmen wollen wir es nämlich tunlichst vermeiden, uns in irgendeiner Weise durch Hersteller beeinflussen zu lassen. Weiterlesen ... Populäre Irrtümer zum Thema Computersicherheit | 17.09.2007 | computec.ch, Marc's Blog Es gibt verschiedene Themengebiete, die sich aufgrund ihrer Mystifizierung und Legendenbildung geradezu für populäre Irrtümer anbieten. Neben Geheimdiensten, politischen Verschwörungen und der traditionellen Kriegsführung gehört der Bereich der Computersicherheit ohne Zweifel zum beliebtesten Spekulationsthema am Stammtisch. Nachfolgend sollen einige typische Aussagen angegangen werden. Weiterlesen ... It's all about math! | 10.09.2007 | computec.ch, Marc's Blog Vor einiger Zeit erhielt ich ein Email eines Kollegen. Er hat eine Professur für Mathematik inne. Ihn kennengelernt habe ich bei einem Projekt eines Kunden. Er war für diesen mit seiner Einzelfirma als strategischen Berater tätig und wir führten die Sicherheitsüberprüfung der installierten Online-Banking-Umgebung durch. Wir haben aufgrund ähnlicher Interessen den sporadischen Kontakt auch nach Abschluss des Projekts gehalten. Weiterlesen ... Darum versagt das Urheberrecht und damit die GPL | 02.09.2007 | computec.ch, Marc's Blog Menschliche Erzeugnisse, die einen gewisse Komplexität aufweisen, unterliegen hierzulande automatisch dem Urheberrecht. Dies bedeutet, dass der Urheber gewisse Macht über die Verteilung und Nutzung seiner Arbeit ausüben kann. So kann er beispielsweise durch ein spezifisches Lizenzmodell die Nutzungsrechte abtreten. Im Software-Bereich hat, spätestens mit der Popularisierung von Linux, die General Public License (GPL) eine wichtige Rolle eingenommen. Weiterlesen ... Informationen zu meinem neuen Buch | 27.08.2007 | computec.ch, Marc's Blog Es ist nun rund zwei Monate her, seitdem mein neues Buch Die Kunst des Penetration Testing erschienen ist. Sehr gerne will ich darlegen, wie ich die Veröffentlichung dessen erlebt habe und wie meine nächsten Pläne aussehen. Weiterlesen ... ...und da machte es Xing! | 20.08.2007 | computec.ch, Marc's Blog Mit dem Internet in Berührung gekommen, bin ich in jugendlichem Alter. Von der kindlichen Neugierde getrieben, habe ich alles gelesen und überall mitgemacht. Wahrscheinlich hatte ich damals wirklich auf jedem aktiven Forum zu den Themen Rockmusik, alternative Filme und IT-Security einen Account. Selbst heute noch muss ich schmunzeln, wenn ich in irgendeinem Forum per Zufall bemerke, dass ich mich mit meinem damals typischen Benutzerdaten noch anmelden kann. Das Internet vergisst eben doch nicht so schnell. Weiterlesen ... Von Webalizer zu root - Eine scheinbar kleine Reise | 13.08.2007 | computec.ch, Marc's Blog Eines gibt bei Sicherheitsüberprüfungen immerwieder zu diskutieren: Wie werden Schwachstellen eingestuft? Wahrhaftig handelt es sich hier um eine hochgradig subjektive Angelegenheit. So kommen in verschiedenen Standards und Produkten unterschiedliche Skalen zum Einsatz. Ich pflege bei meinen technischen Prüfungen ein vierstufiges System mit den Bezeichnungen Low, Medium, High und Emergency einzusetzen. Weiterlesen ... Kaufen: ich kaufe, du kaufst, er kauft | 30.07.2007 | computec.ch, Marc's Blog Grundsätzlich bin ich ein denkbar schlechter Konsument. Wieso? Weil ich nichts konsumiere. Ich lebe eigentlich sehr bescheiden: Benutze öffentliche Verkehrsmittel, gehe ab und an in Ausgang (die Getränke gewinne ich meistens beim Tischfussball) und leiste mir auch sonst selten typischen Luxus. Das meiste Geld gebe ich wohl für Essen aus. Schliesslich will ich mindestens einmal pro Tag gut speisen. Dass dann ein Mittagessen inkl. Getränk auch mal bis zu sFr. 30.- kosten kann (in Zürich leider nichts besonderes), nehme ich gerne in Kauf. Und wenn ich mir denn mal was leiste, dann ist es höchstens ein gutes Buch (habe im Zusammenhang mit dem Entropia-Projekt einige Titel zur Stochastik bestellt). Oder halt die monatliche Gebühr für World of Warcraft. Weiterlesen ... Hacking auch für dümmliche Zeitgenossen? | 22.07.2007 | computec.ch, Marc's Blog Das Thema Hacking, und dies steht ausser Frage, fasziniert. Die Motive der jünglinge dieser noch nicht mal zwingend technoiden Religion haben sich dabei den verschiedensten Göttern verschrieben. Einige streben nach Macht über Computer, andere wollen Erleuchtung im Verständnis dieser finden. Doch nicht alle Hacker führen Gutes, sei es nun für sich oder ihre Umwelt, im Schilde. Die Existenz von destruktiven Zeitgeistern, die ihrem sadistischen Trieb nachgeben, ist leider nicht zu verleugnen. Die Medien sind voll davon. Weiterlesen ... Keine Panik! Oder: Panik, Panik, Panik? | 16.07.2007 | computec.ch, Marc's Blog Die Security-Branche und -Szene, diese überschneiden sich unweigerlich, ist schon ein lustiges Völkchen. Über die Jahre haben sich die Business-Men entwickelt, die in ihren schicken Anzügen irgendwelche schrottigen Produkte verkaufen wollen. Dass ihre Antiviren-Lösungen aber doch nicht 100 % der Viren entdecken können oder ihr Intrusion Prevention-System nicht automatisch alle Attacken verhindern kann, interessiert weniger. Geld steht im Mittelpunkt. Weiterlesen ... Hacking Voice-over-IP for Fun and Profit | 09.07.2007 | computec.ch, Marc's Blog Es ist Dienstag und ich sitze gerade bei einem Telekommunikationsunternehmen im hauseigenen Labor. Neben mir sitzt Stefan, dessen gegenwärtige Aufgabe darin besteht, die bestehende Voice over IP-Konfiguration der angedachten Lösung auf ihre Sicherheit hin zu untersuchen. Mit hping bewaffnet versucht er die von den jeweiligen Cisco-Geräten und der eingesetzten Firewall durchgesetzten Filter-Funktionen zu umgehen. Aufgrund der Mehrstufigkeit, das Ganze ist ein Gebastel ungeahnten Ausmasses, ist der Erfolg leider eher Bescheiden. Doch das wussten wir schon, als wir eine formale Analyse der Access Control Lists und des Firewall-Regelwerks vorgenommen haben. Obschon die einzelnen Regelsätze kleinere Mängel haben, wird über den ganzen Kommunikationskanal halt doch nur das zugelassen, was für den Betrieb wirklich erforderlich ist. Weiterlesen ... Transformers: More than meets the Eye | 02.07.2007 | computec.ch, Marc's Blog Ich bin ein typisches Kind der 80er Jahre: Aufgewachsen mit einfach kultigen Serien wie Knight Rider, dem A-Team, Ein Colt für alle Fälle oder MacGyver. Damals war Fernsehen noch etwas komplett anderes, weder heute. Im digitalen Zeitalter an fast 300 Fernsehsender aus aller Welt und den Moeglichkeiten von Video on Demand dank Online-Streams gewöhnt, empfingen wir damals über terrestrische Antenne zurerst nur eine Hand voller Sender. Neben den Schweizer Sendern der SRG noch ansatzsweise ARD und ZDF. Und wenn das Wetter gut war, bekamen wir sogar ORF1 rein. Interessanterweise habe ich jeden Tag am Abend die MiniZIB (Nachrichten für Kinder) geguckt. Hauptsächlich deswegen, weil ich den Dialekt so lustig fand. Weiterlesen ... Streiten um Begriffe | 25.06.2007 | computec.ch, Marc's Blog Ich bin leidenschaftlicher Hobby-Philologe: Ich mag die Sprache und das Schreiben. Ich mochte es schon immer. Schon fast als Kunstform sehe ich das Strukturieren und Zusammenfassen der eigenen Gedanken an. Diesen durch ein vermeintlich simples Schriftbild Ausdruck zu verleihen und damit das Innerste seiner Seele für die Nachwelt festhalten zu können, übte schon immer unglaublichen Eindruck auf mich aus. Weiterlesen ... 10 Dinge, die man bei einem Audit falsch machen kann | 11.06.2007 | computec.ch, Marc's Blog Es ist Montag morgen und ich hab mal wieder verschlafen. Dies wäre nicht weiter schlimm, doch leider hätte ich um 09:00 Uhr im Büro sein müssen und ein externes Vulnerability Scanning für einen wichtigen Kunden beginnen sollen. Rund eine halbe Stunde zu spät treffe ich ein. Hektisch starte ich die beiden Rechner auf, die für die entsprechenden Audit-Prozeduren herhalten sollen. Eines davon ist ein Microsoft Windows XP, auf dem verschiedene VMware-Instanzen betrieben werden. Ein anderes ist ein reines Linux-System. Weiterlesen ... Berlin: Das kleine Tagebuch | 29.05.2007 | computec.ch, Marc's Blog (gesperrt) Das zweite Jahr in Folge habe ich mich um die Teilnahme einer Szene-Party in Berlin bemüht. Hierbei handelt es sich um einen doch sehr speziellen Event, der hauptsächlich von einer deutschen Hackergruppe organisiert wird. Eigentlich nur nach Einladung kann man diesem Treffen, bei dem die Computerfreaks aus allen Bereichen und Ländern zusammenströmen, teilnehmen. Auch dieses Jahr findet das Zusammensein, bei dem neben Party ebenfalls einige ausserordentlich exotische Workshops angestrebt werden, statt. Weiterlesen ... Unachtsame Kritik und Resignation | 07.05.2007 | computec.ch, Marc's Blog Ich bin gerne, ja sogar sehr gerne alleine. Unabhängigkeit im Denken und Tun sind wohl das kostbarste, was man sich aneignen kann. Dennoch geniesse ich es auch, mit interessanten Menschen zusammen zu sein. Es vergeht eigentlich kein Tag, an dem ich nicht mindestens eine Person dieser Art treffe. Sei es nun beruflich oder halt zum gemeinsamen Mittagessen. Weiterlesen ... Hacken im Jahr 2007 | 23.04.2007 | computec.ch, Marc's Blog Manche Leute postulieren, dass es sich bei Hacking um eine Kunstform, eine Lebensphilosophie ähnlich dem buddhistischen Zen, handelt. Wiederum andere Leute behaupten, dass ein effizienter Hack auf mathematischen Grundlagen, empirischen Analysen und logischen Deduktionen aufbaut. Meines Erachtens schliesst das eine das andere nicht aus, und so bleibt ein Hack einfach zusammengefasst eine effiziente und elegante Herangehensweise, mit der Umwelt umzugehen. Weiterlesen ... Systematische Eingabeüberprüfungen | 08.04.2007 | computec.ch, Marc's Blog Ein Computerprogramm muss man sich wie eine mathematische Funktion vorstellen. Diese lautet der Einfachheit halber f. Ihre Aufgabe ist es, die Quadratwurzel eines ihr übergebenen Werts zu berechnen. Die Funktion erhält also eine Eingabe, auf die der durch f definierte Algorithmus, nämlich das Wurzelziehen, angewendet wird. Damit liefert sie die Wurzel der Eingabe als Ausgabe zurück. Die Eingabe von E führt also zu f(E), was zur Ausgabe A führt. Definiert sich die Eingabe E durch 16, ergibt dies 4 = f(16). Weiterlesen ... Die ultimative Verschlüsselung!!1elf | 05.03.2007 | computec.ch, Marc's Blog Kryptographie ist ein Thema, das zu bändigen ein ganzes Leben benötigt. Als ich Bruce Schneier in einem persönlichen Schriftwechsel danach fragte, ob und inwiefern eine überarbeitete Auflage seines Klassikers Applied Cryptography geplant sei, entgegnete er sinngemäss: 'Das Thema ist so komplex (geworden), ich müsste einen Grossteil des Buchs umschreiben und wohl eine mehrbändige Serie herausgeben.' Wenn selbst Bruce diese Meinung vertritt, werde sich auch die ganzen Hobby-Kryptologen dem nicht verwehren können. Weiterlesen ... Technik hinter dem Vulnerability Scanning | 18.02.2007 | computec.ch, Marc's Blog Als Vulnerability Scanning wird das vorwiegend automatisierte Vorgehen bezeichnet, aktiv nach Verwundbarkeiten in einem System zu suchen. Als Verwundbarkeit wird jegliche Konstellation bzw. Situation verstanden, die sich negativ auf die Sicherheit des Systems auswirken könnte. Vorwiegend wird Vulnerability Scanning über das Netzwerk betrieben, was damit als netzwerkbasiertes Vulnerability Scanning bezeichnet wird. Weiterlesen ... Fiktiver Einbruch in eine Grossbank | 28.01.2007 | computec.ch, Marc's Blog Das Jahr 2007 ist noch jung. Und auch wenn die vier Ziffern etwas Zukunftsträchtiges in sich tragen, hat sich doch für den Menschen, wie er die Gegenwart erlebt, nicht viel verändert. Die Probleme der Menschheit sind grundsätzlich die gleichen geblieben. Nur die Mittel, mit denen man sich diesen annehmen oder vor ihnen flüchten möchte, haben sich modernisiert. In der technokratischen Informationsgesellschaft, wie sie sich in dieser Ecke der Welt entwickelt hat, bilden Informationen mehr dennje ein stählernes Schwert, sowohl für den kleinen, als auch für den grossen Mann. Die Sprichworte, dass Wissen Macht bedeutet und die Feder mächtiger ist weder das Schwert, entfaltet wohl erst jetzt ihre allumfassende Gültigkeit. Weiterlesen ... Achte die Privatsphäre des anderen wie Deine auch | 22.01.2007 | computec.ch, Marc's Blog Vor rund 10 Jahren steckte, ganz besonders in der Schweiz, der Bereich technisches Security Auditing in den Kinderschuhen. Durch verschiedene Irrglauben, die leider auch heute teilweise noch als Relikte bestehen, gestalteten sich solche Projekte manchmal sehr ineffizient. Vor allem der unverrückbare Fokus auf die Angreifer aus dem Internet erscheint heute bei vielen Firmen als überholt. Durch die mittlerweile sehr soliden Perimeter, diese werden durch umfassende Firewall-Komponenten geschützt, hat sich das als akute Bedrohung empfundene Angreiferprofil etwas verschoben. Weiterlesen ... Absicherung eines Computersystems | 14.01.2007 | computec.ch, Marc's Blog Um ein System möglichst sicher zu machen, sollte man es härten. Bei einem Hardening werden in erster Linie nicht benötigte Komponenten deinstalliert oder deaktiviert. Muss ein System nicht als Webserver betrieben werden, gilt es einen gegebenen HTTP-Daemon zu deinstallieren. Dadurch wird die Angriffsfläche minimiert. So unsinnig es auch klingen mag, bietet doch gerade ein System keine Funktionalität an, kann diese auch nicht missbraucht werden. Wo nichts ist, kann nichts geschehen. Weiterlesen ... Wenn Wissen plötzlich $ 19.00 kostet | 08.01.2007 | computec.ch, Marc's Blog Zunehmend werden Quelltext-Analysen zu einem wichtigen Instrument. Bei allen Audit-Projekten dränge ich darauf, dass ich früher oder später Einsicht in den Quelltext der jeweiligen Applikationen halten kann. Zusammen mit einer Live-Analyse, wie sie halt mit Werkzeugen wie nmap oder Netcat durchgeführt werden, kann so ein sehr gutes Gesamtbild erarbeitet werden. Durch die Betrachtungen auf allen Ebenen lassen sich die Zusammenhänge ausmachen und damit selbst in den entlegendsten Winkeln eines Produkts etwaige Mängel feststellen. Weiterlesen ... Individualität von Sicherheit | 31.12.2006 | computec.ch, Marc's Blog Ein individueller Angreifer bringt von sich aus eine ebenso individuelle Qualität mit. Darunter wird sein technisches Wissen sowie der innovative Umgang mit diesem, zur Erreichung eines Vorteils, verstanden. Je besser sich ein Angreifer mit einem Thema auskennt, desto effizienter und effektiver kann er sich in diesem Bewegen. Für einen Spezialisten in Bezug auf Webapplikationen ist es sodann viel einfacher, sich mit den typischen Fehlern aus diesem Bereich auseinanderzusetzen, weder wenn dies ein Viren-Programmierer oder Kryptologe tun müsste. Innert weniger Minuten könnte er, wenigstens in seinen Grundzügen, eine Webanwendung auf klassische Probleme wie Cross Site scripting und SQL-Injection untersucht haben. Weiterlesen ... 2006: Was war? 2007: Was wird? | 26.12.2006 | computec.ch, Marc's Blog Und wieder einmal hat sich unsere Erde vollständig um die Sonne gedreht. Zum einen ging das Jahr 2006 sehr schnell vorüber. Zum anderen hat sich wohl für mich noch nie so viel getan, wie im ausgehenden Jahr. Dass beides in kausalem Zusammenhang steht, jedenfalls was die subjektive Empfindung betrifft, ist nicht zu bestreiten. Weiterlesen ... Grossschwätzen für Dummies | 11.12.2006 | computec.ch, Marc's Blog Friedrich W. Nietzsche provozierte mit einem Aufsatz namens 'Ecco Homo'. In diesem trägt er vor, wie sehr und warum er doch der Beste ist. Anhand einleuchtender Beispiele, die jedoch in der Praxis schwer umzusetzen sind, wird seine Überwindung der Menschlichkeit dargestellt. Ich bin noch immer der Meinung, dass Nietzsche diese Arbeit mit einer gewissen Selbstironie und Verbittertheit über sein verletzliches und verletztes Wesen erarbeitet hat. Wie in all seinen Werken meine ich die Tragik seines Lebens herausspüren (z.B. der verlorene Prophet Zarathustra in 'Also sprach Zarathustra') zu können. Weiterlesen ... Kreuzworträtsel, Sudoku, forensische Untersuchungen | 04.12.2006 | computec.ch, Marc's Blog Mein Grossvater, er war ein leidenschaftlicher Elektroingenieur, hatte eine Vorliebe für Kreuzworträtsel. Als meine Mutter arbeitete und ich jeweils nach der Schule zu meinen Grosseltern ging, studierte er fortwährend seine dicken Bücher, die mit derlei Aufgaben gefüllt waren. Ich selbst, obschon ich einige Charakterzüge meines Grossvaters geerbet habe, bin kein sonderlich begabter Krezworträtsler. Meines Erachtens sind die jeweiligen Beschreibungen, weiss man denn das Resultat nicht sowieso mit absoluter Bestimmtheit, zu knapp. Und wieso sollte ich auf einem Blatt Papier Dinge aufschreiben, die ich weiss. Das ist langweilig und mühselig. Weiterlesen ... Die Flucht (vor) der Gesellschaft | 27.11.2006 | computec.ch, Marc's Blog Kinder werden von Kindern vergewaltigt und ermordet. Auch bei uns. Dies ist eben jene Realität, die je länger je mehr durch die Medien an uns herangetragen wird. Der Schock sitzt bei allen sehr tief, wird doch eigentlich die Hoffnung auf bessere Zeiten in eben die Jugend gesetzt. Durch deren Gebahren werden jedoch die Träume einer besseren Welt zerstört. Weiterlesen ... Back to the Future dank PSP | 20.11.2006 | computec.ch, Marc's Blog Meine Kindheit war sehr unterhaltsam. Ich war nie für einen Streich zu schade und hab deshalb nicht selten meinen Eltern Ärger bereitet. Doch im Grossen und Ganzen war ich doch ziemlich pflegeleicht. Ob ich nun mit Lego irgendwelche Roboter zu bauen versuchte (eine Adaption von Nummer 5 aus dem gleichnamigen Film war mein Ziel), irgendwelche Comics zeichnete oder auf meinem 386er die schier unendliche Anzahl an Shareware durchstöberte - Eigentlich war ich immer zufrieden. Weiterlesen ... 'Patience' oder 'Und schon wieder ein nichtssagender Artikel' | 13.11.2006 | computec.ch, Marc's Blog Ich schreibe nicht wenig. Manche sagen gar, dass ich viel schreibe. Ich habe schon immer viel geschrieben. Grundsätzlich deswegen, weil ich mindestens so viel wieder vergesse, wie ich auffassen kann. Habe ich es einmal niedergeschrieben, weiss ich wenigstens in etwa, wo dass ich einen zuvor zusammengefassten Gedanken wieder finden kann. Zudem hilft mir das Schreiben dabei, meine Gedanken zu formalisieren und sortieren. Diese Aufgabe zu bewältigen, sie wird Tag für Tag an uns herangetragen, macht mir mittlerweile riesen Spass. Weiterlesen ... Vorbei sind Sturm und Drang | 30.10.2006 | computec.ch, Marc's Blog Auch wenn es für meine Freundin, sie ist Kindergartenlehrerin, nur mit Unverständnis quittiert wird: Ja, mir macht meine Arbeit Spass. Computersicherheit ist eine interdisziplinäre Kunst, bei der man sich nach Herzenslust austoben kann. Viele sehen die Informatik als mathematische Disziplin an, so mancher versteht in der Programmierung eine expressionistische Kunst und wiederum andere setzen bei Social Engineering-Attacken auf die Grundlagen der Tiefenpsychologie. Es ist also für jeden was dabei. Weiterlesen ... Sicherheit ist relativ | 26.10.2006 | computec.ch, Marc's Blog Relativität ist eine ganz besondere Sache. Schon die Philosophen des alten Griechenlands wussten mehrere tausend Jahre vor Albert Einstein, dass das Erscheinen der Dinge oftmals oder gar ausschliesslich vom Betrachtungswinkel abhängt. Friedrich Nietzsche sah das ähnlich, schrieb, dass das, was für jemanden Gift ist, für den anderen Macht darstelle. Und auch Charles Manson postulierte in seinem verworrenen und über zwei Stunden andauernden Schlussplädoyer, dass er aus seiner Sicht nichts falsches getan hätte. Obschon in einigen Fällen die Grundsätze der Physik durch die spezielle Relativitätstheorie erschüttert wurden und in anderen Fällen die Ethik und Moral der Gesellschaft wegen kognitiver Dissonanz in Frage gestellt wird, zielt alles auf das Gleiche ab: Da wo ich stehe, sieht das Gesehene für mich immer richtig aus. Weiterlesen ... Laufbahn eines schlechten Informatik-Schülers | 23.10.2006 | computec.ch, Marc's Blog Ich mag Computer. Ich mochte sie schon immer. Schon Ende der 80er Jahre habe ich als Kind das eine oder andere Basic-Programm geschrieben. Damals noch auf dem 386er meines Vaters, der mit einem schlichten MS DOS 3.1 (zwischenzeitlich probierte er die kommerzielle Alternative DR-DOS von Digital Research aus) ausgestattet war. Schon sehr früh erkannte ich, dass sich durch die formale Definition der Automatisierung wohlgeformter Probleme diese durch einen Computer viel schneller und effizienter lösen lassen, weder durch einen fehleranfälligen und den enorm einengenden Gesetzen der Natur unterworfenen Menschen. Ein unendlich wertvolles Werkzeug sollte da durch dieses graue Kistchen bereitgestellt werden. Weiterlesen ... Ich bin nicht für Linux, ... | 16.10.2006 | computec.ch, Marc's Blog ... sondern für Transparenz. Diese erachte ich als eines der grundlegenden und wichtigsten Attribute einer jeden guten Lösung. Transparenz bedeutet, dass man nach Möglichkeiten hinter die Kulissen schauen kann, um ein Verständnis für die Zustände und Abläufe zu erhalten. Dieses Verständnis ist sehr kostbar, hilft es doch eine Aufgabe effizient angehen und bei Fehlern kompetent vorgehen zu können. Weiterlesen ... Moderne Irrtümer der Kryptografie | 09.10.2006 | computec.ch, Marc's Blog Für den Ottonormalverbraucher, der mit seinem Windows-Kistchen im Internet surft und zwischendurch Emails schreibt, machen drei Dinge das Thema Computersicherheit aus: Viren, Verschlüsselung und Firewalls. Dabei wird so mancher Nutzer bei Gelegenheit das durch oberflächliche Magazine erworbene Halbwissen hinausposaunen. Ob der Kommentar nun Richtig war oder nicht, ist nicht wichtig: Hauptsache, man hat etwas gesagt. Weiterlesen ... Das Geheimnis der Taste i | 02.10.2006 | computec.ch, Marc's Blog Von Berufswegen habe ich Neugierig zu sein. Ich muss mich für neue Dinge begeistern können und diese verstehen wollen. Nur so bleibt es mir möglich, eine Sicherheitsüberprüfung dieser vorzunehmen, etwaige Schwachstellen identifizieren und diese beheben zu können. Dass ich deshalb gut und gerne mit neuen Technologien in Kontakt komme, ist nichts besonderes. Weiterlesen ... Zur Schönheit von Open-Source | 25.09.2006 | computec.ch, Marc's Blog Vielleicht ist es in gewisser Weise naiv anmutend, wenn ich nun behaupte, dass die Wichtigkeit und Richtigkeit von Ehrlichkeit unumstösslich ist. Ein guter Mensch, der anderen nichts Böses will, hat keinen Grund, von der Ehrlichkeit abzuweichen. Wer das sagt, was er sagen will, und dies ohne Hintergedanken, kann grundsätzlich nicht verlieren. Weiterlesen ... Die Nützlichkeit der Konkurrenzspionage | 11.09.2006 | computec.ch, Marc's Blog Mittwoch, 13:30 Uhr. Nach rund einstündiger Fahrt treffen Simon und ich bei einem Kunden, ein Versicherungsunternehmen im Westen der Schweiz, ein. In der initialen Sitzung sollen die technischen Modalitäten für eine Sicherheitsüberprüfung der neuen Telefonie-Umgebung (Voice-over-IP) besprochen werden. Ein typisches Meeting, wie es einem jeden Penetration Test vorangestellt wird. Weiterlesen ... Cross Site scripting? Nein Danke! | 04.09.2006 | computec.ch, Marc's Blog Web-Dienste stellen mittlerweile das Rückgrat, oder wenigstens eines davon, der modernen Informationsverbreitung dar. Kaum ein Unternehmen bietet nicht im World Wide Web eine Vorstellung von sich selbst, erweiterte Interaktion mit potentiellen oder existenten Kunden an. So manche Firma hat gar das Web als Plattform für das Umsetzen von Geschäften und damit E-Commerce für sich entdeckt. Aus diesem Grund ist es nicht selten gegeben, dass bei einer Sicherheitsüberprüfung Webserver und Webapplikationen eine zentrale Rolle spielen. Weiterlesen ... Die Wichtigkeit von Vorbildern | 28.08.2006 | computec.ch, Marc's Blog Mit 14 Jahren habe ich mir die Haare abrasiert, kurze Zeit später gefärbt - zuerst grün, dann rot und zum Schluss blau -, um mir dann später einen Irokesen-Schnitt ('Kamm') zuzulegen. Eine klassische Rebellion jugendlicher Natur, mit einer grösseren Tragweite daherkommend aber nie verletztend oder verachtend. Ich konnte es einfach nicht leiden, mich in die korrupten Spielregeln der Erwachsenenwelt einarbeiten zu müssen. Ein Gefühl, das wohl die meisten kennen und so mancher bis zu seinem Lebensende, wie einst Hermann Hesse auch, nicht verlieren kann. Weiterlesen ... ATK gegen WEKA, Teil 3: Siege und Niederlagen | 18.08.2006 | computec.ch, Marc's Blog Die im Februar 2006 an mich herangetragene Urheberrechts- und Lizenzverletzung durch die Firma WEKA Business Information GmbH & Co. KG. geht nun weiter. Noch immer bin ich der Meinung, dass die von mir in den beiden Blog Einträgen vom 22. Juni 2006 und 18. Juli 2006 dokumentierten Gegebenheiten den Tatsachen entsprechen und deshalb frühzeitig ein Einlenken der Gegenpartei angesagt gewesen wäre. Weiterlesen ... Die Kunst des Schreibens von Fachbeiträgen | 14.08.2006 | computec.ch, Marc's Blog Vor einigen Wochen habe ich als Auftragsarbeit einen Fachartikel für ein internationales Magazin verfasst. Darin beschreibe ich ein Thema, das schon längere Zeit im Bereich des Auditings genutzt wird. Jedoch eher experimentell und noch nicht vollständig in die üblichen Auswertungsprozesse integriert. Ich war ziemlich stolz auf meine Zeilen, illustrieren sie das jungfräuliche Thema in schönster und (auf Deutsch) noch nie dagewesener Weise. Meines Erachtens einer der besten fünf Artikel, die ich in den letzten 10 Jahren verfasst habe. Die Kritiken der deutschen Fachlektoren waren sehr gut. Weiterlesen ... Cyberwar als entscheidendes Instrument | 07.08.2006 | computec.ch, Marc's Blog Mossad ist der im Volksmund gebräuchliche Name einer der drei Nachrichtendienste Israels. Der wirkliche Name des Auslandsnachrichtendienstes lautet 'Hamossad Lemodi'in Uletafkidim Meyuchadim', was ins Deutsche übersetzt so viel wie 'Institut für Aufklärung und besondere Aufgaben' bedeutet. Er ist vergleichbar mit dem Bundesnachrichtendienst (BND) in Deutschland oder der National Security Agency (NSA) der USA. Weiterlesen ... Ohne Perimeter-Sicherheit kein Schutz vor 'Bugs' | 31.07.2006 | computec.ch, Marc's Blog Im Grunde würde ich mich als zähen Hund bezeichnen. Ich verliere selten die Nerven. Und umso kritischer sich eine Situation gestaltet, umso eher agiere ich kalkuliert. Im Juni 2002 in Mexiko wurde ich und meine kleine Reisegruppe in einem abgelegenen Bergdorf von fünf Einheimischen überfallen. Meine Reaktion: Aufstehen und auf die Herren zu rennen, die Arme schon in Position, um zuzuschlagen. Ich denke, dass mein wütender Gesichtsausdruck so überraschend war, dass sie deshalb meine Tasche (mit allen Pässen und Flugtickets der gesamtem Gruppe) fallen liessen und wegrannten. Noch bevor meine Reisegruppe richtig bemerkt hatte, was los war, hatte ich meinen Rucksack wieder. Weiterlesen ... Das Ende der Automatisierung | 24.07.2006 | computec.ch, Marc's Blog Die Wirtschaft lebt davon, Abläufe im Sinne der Wirtschaftlichkeit zu optimieren. Kosteneinsparung zwecks Vergrösserung der Gewinnausschüttung gibt es wohl seit Menschengedenken. Mit dem Einbruch des Neuen Markts in 2001/2002 wurde dieser Grundsatz wieder mehr dennje zu einem unumstösslichen Credo. Oftmals bedeutet dies, dass man Dinge automatisiert, um eine grösstmögliche Performance herauszuholen. Gerade weil die Dinge unbeaufsichtigt erledigt werden können, lässt sich nebenher noch weiterer Arbeiten, die ebenfalls Gewinn einfahren können, nachgehen. Ein unendliches Mass an Automatisierung verspricht ein unendliches Mass an Gewinn. Weiterlesen ... ATK gegen WEKA, Teil 2: Rückzug? | 18.07.2006 | computec.ch, Marc's Blog Wie im Blog-Eintrag mit dem Titel ATK Project gegen WEKA Business Information GmbH & Co. KG. beschuldige ich eben das genannte deutsche Unternehmen, Programmcode aus meinem quelloffenen Projekt übernommen und kommerziell vertrieben zu haben (Brief vom 18. Februar 2006). Die besagte Situation war Gegenstand vielfältiger Medien-Mitteilungen, zynischer Blog-Einträge und hitziger Foren-Diskussionen. Mit diesem Blog Eintrag sollen die weiteren Gegebenheiten zusammengefasst und der breiten Öffentlichkeit zugänglich gemacht werden. Hierbei werde ich erstmals umfassend den Schriftverkehr zwischen der WEKA-Verlagsgruppe und mir offenlegen. Dies sollte der unvoreingenommenen Urteilsbildung eines jeden interessierten Lesers dienlich sein. Weiterlesen ... Die Kunst der Kriegsführung | 05.07.2006 | computec.ch, Marc's Blog Früher pflegte ich immer zu sagen: 'Im Grunde bin ich der aggressivste Mensch der Welt - Aber meine Müdigkeit macht es praktisch unmöglich, dass dieser Wesenszug nach Aussen getragen wird.' So ist es auch heute noch. Nur selten sehe ich mich mit einem unkontrollierten Wutausbruch konfrontiert. Sollte ich einmal wütend sein, dann ist es Teil eines durchdachten taktischen Vorgehens. Weiterlesen ... ATK Project gegen WEKA Business Information GmbH & Co. KG. | 22.06.2006 | computec.ch, Marc's Blog Der Dante Security Scanner war mein erster Gehversuch, eine umfassende und komfortable Software zu entwickeln, die automatisiert Schwachstellen in einem Zielsystem identifizieren können sollte. Schon über Jahre hinweg hatte ich mir Konzepte zusammengestellt und dann in dieser quelloffenen Software publiziert. Einige Jahre später ging ich noch einen Schritt weiter und habe mit dem Attack Tool Kit (ATK) ein Exploiting Framework zu erstellen versucht, das nicht nur das Auffinden sondern auch das Ausnutzen von Sicherheitslücken komfortabel ermöglichen sollte. Dabei sind Erfahrungen aus Dante und einigen anderen, bisher nicht veröffentlichten Utilities, eingeflossen. Weiterlesen ... Screenshots als Denial of Service | 07.06.2006 | computec.ch, Marc's Blog Ich habe, schon einige Zeit ist es her, in einer Firma als Auditor gearbeitet. Mein damaliger Chef hat sich nicht besonders durch seine Weltoffenheit ausgezeichnet und seinen technischen Mitarbeitern gerne unnötige und unlogische Vorgehensweisen aufgezwungen. Schon damals habe ich bemerkt, dass man einen Menschen niemals dazu zwingen darf, wie er ein Problem lösen soll. Ist er geistig begabt und versteht sein Handwerk, wird er selber seine für ihn am effizientesten auswirkende Vorgehensweise verfolgen. Weiterlesen ... Hack the Planet | 30.05.2006 | computec.ch, Marc's Blog Was ist das Erste woran Sie denken, wenn Sie das Wort Computersicherheit lesen? Wahrscheinlich an etwas wie Pufferüberlauf-Schwachstellen in einem Linux Kernel, die fragwürdige Patch-History von Windows, die Komplexität von umfassenden Firewall-Installationen oder Dinge wie Cross Site scripting oder SQL-Injection. Alles in allem sehr populäre Assoziationen. Weiterlesen ... Wenn der kleine Hunger kommt | 24.05.2006 | computec.ch, Marc's Blog Mittwoch morgen, irgendwo um halb zehn in einem kleinen, 'unbedeutenden' Land. Ich sitze einmal vor meinem Laptop, der mir als Instrument in der Umsetzung von 'Ethical Hacking', wie es auf Neudeutsch heisst, herhält. Wie schon zig Male zuvor, fokussiere ich mich auf eine bieder anmutende Firmen-Webseite. Das Auseinandernehmen von Webseiten ist in den letzten Jahren ein bisschen zu einer meiner Spezialitäten geworden. Praktisch keine Lösung kann man nicht irgendwie früher oder später zur Herausgabe sensitiver Daten bewegen - Manchmal kriegt man gar noch mehr: Zum Beispiel root-Rechte. Weiterlesen ... Industrie vs. Hacker (2:0) | 18.05.2006 | computec.ch, Marc's Blog Es erstaunt schon ein bisschen, dass aus mir kein Sportler geworden ist. Sowohl mein Vater als auch meine Mutter waren seit frühester Jugend im Spitzensport taetig. Meine Eltern begeisterten sich für Leichtathletik und Tennis. Und mein Vater spielte früher ausgiebig Fussball, war jahrelang Trainer. Und dennoch muss ich gestehen, dass ich mich sowohl auf die Fussball-Weltmeisterschaft als auch auf die Europameisterschaft freue. Selbst das UEFA Cup-Final gestern Abend liess ich mir nicht entgegen. Eigentlich ziemlich viel Fussball für jemanden, der sich lediglich für strategische und taktische Züge und nicht für die eigentlichen Resultate erzielt. Halt doch nur ein Gelegenheits-Zuschauer und doch kein Fan. Weiterlesen ... Baden in der Informationsflut | 12.05.2006 | computec.ch, Marc's Blog Ich muss gestehen, am liebsten habe ich jene Security Audits, bei denen das technische Testing am Gerät etwa 5 Tage ausmachen. Der Grund liegt ganz einfach darin, dass sich derlei Überprüfungen meist gut strukturiert und damit sehr effektiv umsetzen lassen. Obschon eine gewisse Hitze des Gefechts gegeben ist, kann man sich die Zeit für fokussierte Betrachtungen nehmen. Weiterlesen ... Die Wichtigkeit von Psychogrammen | 04.05.2006 | computec.ch, Marc's Blog Am 1. Mai 2006 erschütterte die Meldung des Tods der Schweizer Skirennfahrerin Corinne Rey-Bellet. Vorerst war unklar, was genau passiert war. Ihr Bruder Alain wurde bei der Tat ebenfalls erschossen und die Mutter schwer verletzt. Vom Ehemann fehlte bislang jede Spur. In den Tagesmedien wurden Spekulationen über Einbruch und Beziehungsdrama angestellt. Weiterlesen ... Phishing, Pharming und Massenmedien | 26.04.2006 | computec.ch, Marc's Blog Was kommt einem am ersten in den Sinn, wenn man an den Begriff Hacker denkt? Gehören Sie auch zu jener Sorte Mensch, die als erstes an einen männlichen Jugendlichen, zwischen 16 und 25 Jahren, der optisch von der Natur nicht unbedingt bevorteiligt ist, mit höherem akademischen Bildungsstand daherkommt, jedoch sozial eher verkümmerter ist, mit Vorliebe destruktive Mailwürmer schreibt und Webseiten verunstaltet, denken? Ja ja, es hilft keine Ausrede, aber dann wurden Sie durch die Medien manipuliert. Wie an verschiedenen Stellen erklärt wird, hat der in den 60er Jahren entstandene Begriff nur wenig mit der heute im Volksmund etablierten Ansicht zu tun. Weiterlesen ... Schachmatt durch Forensic | 20.04.2006 | computec.ch, Marc's Blog Nicht erst seit der US-amerikanischen Fernsehserie CSI: Las Vegas bin ich stark an der forensischen Spurenanalyse interessiert. Im Bereich der Computersicherheit werden ähnliche Methoden eingesetzt, um Angriffe und Einbrüche zu analysieren, die Vorgehensweise des Täters oder gar ihn selbst zu identifizieren. Ein solides Verständnis für Betriebssysteme und Netzwerke sowie eine gute Spürnase in Bezug auf das Verhalten eines Angreifers sind von grossem Vorteil, um eine derartige Aufgabe erledigen zu können. Weiterlesen ... Respekt vor dem Alter | 16.04.2006 | computec.ch, Marc's Blog Man ist so alt, wie man sich fühlt. Das mag durchaus sein, wobei meine Gefühlsschwankungen Resultate zwischen 14 und 80 Jahren ausmachen können. Habe ich mal wieder schlecht geschlafen, wache ich als alter Mann auf. Kann mich hingegen jemand für eine Sache begeistern, wird unverzüglich das kleine Kind in mir geweckt. Weiterlesen ... Tage wie dieser | 10.04.2006 | computec.ch, Marc's Blog Ich suche verzweifelt die Schnalle meines Gurtes. Irre nun schon mehr als 10 Minuten in der Wohnung meiner Freundin rum und kann beim besten Willen das metallerne Ding nicht finden. Bin mittlerweile gar schon so weit, dass ich unter die Tische krieche und mit der Taschenlampe unter dem Sofa nachschaue. Irgendwie ist heute nicht mein Tag. Und als ich mich an diesem Morgen das erste Mal im Spiegel sehe, bestätigt dies nur meine Vermutung: Ich sehe mindestens so schlecht aus, wie dieser Tag in seinen ersten 20 Minuten, in denen ich mehr oder weniger aktiv an ihm teilhabe, angefangen hat. Weiterlesen ... Citrix: Keine Schöne, sondern nur das Biest | 04.04.2006 | computec.ch, Marc's Blog Penetration Tests sind sinnvoll, durchaus. Aber wie jedes Werkzeug machen sie nur Sinn, wenn sie taktisch geschickt eingesetzt werden. Dies bedeutet, dass mit einem Penetration Test nie die grundlegende Sicherheit einer Umgebung bestimmt werden kann. Stattdessen sollte man sie als Ergänzung zu einem Vulnerability Assessment sehen, in dem vorgängig die potentiellen Schwächen einer Umgebung determiniert wurden. Der Penetration Test ist sodann, meist nach Umsetzung der Gegenmassnahmen, das Antreten eines proof-of-concepts zur Bestimmung der echten Sicherheit der Umgebung. Weiterlesen ... Die Vieldeutigkeit von Oblivion | 30.03.2006 | computec.ch, Marc's Blog Meines Erachten ist Perfektionismus eine sehr schöne Sache. Dies natürlich nur solange, wie man sich nicht selbst durch einen solchen behindert (z.B. das ewige Herausschieben von Releases). Durch das raffinierte und akribische Ausarbeiten lassen sich aber wunderschöne Dinge erschaffen, die in ihrer Eleganz und Vollkommenheit nur schwer übertrefflich scheinen. Ein Meister dieser Kunst ist Donald E. Knuth, der vor allem mit seiner Schriftreihe The Art of Computer Programming sowohl bei Programmierern als auch für Fachbuchautoren neue Massstäbe gesetzt hat. Weiterlesen ... Der kleine Buchladen | 27.03.2006 | computec.ch, Marc's Blog Als ich noch jünger war, trieb ich mich immer in Büchläden und Bibliotheken rum. Irgendwie mochte ich es, von so viel Holz und mit ihm für die Zukunft festgehaltenes Wissen umgeben zu sein. Nach der Schule sitzte ich dann meist noch stundenlang mit irgendeinem Buch in einem bequemen Sessel und freute mich darüber, dass ich ohne grossen Aufwand Dinge erfahren konnte, für die man vor 100 Jahren noch grosse Gefahren auf sich nehmen hätte müssen. Und wenn ich mich mit jemandem in der Stadt verabredet hatte, trafen wir uns ebenfalls meist bei der Leihbücherei. Dort wars stets warm und ruhig. Und da ich chronisch stets 30 Minuten zu früh war, konnte ich meine Zeit wenigstens nutzen, um in irgendeinem Fachbuch über Quantenphysik oder Verhaltenspsychologie zu stöbern. Weiterlesen ... Krieg und Frieden | 23.03.2006 | computec.ch, Marc's Blog Penetration Tests sind immer eine spannende Sache. Aufgrund der Tatsache, dass man nicht nur einen handelsüblichen Vulnerability Scanner heranziehen kann, um in eine Umgebung einzubrechen, erfordert das Ganze in bisschen geistige Experimentierfreudigkeit. Der Penetration Tester hat mit viel Elan und Geschick unbekannte oder nur schlecht untersuchte Schwachstellen zu seinen Gunsten auszunutzen. Dies ist natürlich nicht immer einfach, in einer Zeit, in der sich jedes Management schon mindestens einmal Gedanken über Hardening-Konzepte, Patch-Management und Firewall-Lösungen gemacht hat. Weiterlesen ... Lord of Cyberwar | 15.03.2006 | computec.ch, Marc's Blog, Nachdruck in scip monthly Security Summary, Ausgabe 19. April 2006, scip AG, Zόrich, scip AG, Seiten 1 und 2 Zugegeben, Filme, bei denen Nicolas Cage eine der Hauptrollen übernimmt, verlangen dem Zuschauer eher selten intellektuelle Höhenflüge ab. Doch der Streifen Lord of War (2005) hat mich in der Hinsicht wirklich positiv überrascht. Ein sozialkritischer Film, der ein Höchstmass an politischer und kultureller Brisanz aufweist und diese gekonnt - halt in typischer Hollywood-Manier - inszeniert. Weiterlesen ... Das Buch und der Orient Express | 10.03.2006 | computec.ch, Marc's Blog "Meine ersten Gehversuche in der Assembler-Programmierung habe ich im jugendlichen Alter von etwa 14 Jahren gemacht. An meinem 286er mit einer Hand voll MHz, der auf einem bescheidenen MS DOS 3.1 lief, hackte ich die eine oder andere Zeile in den Editor. Neben einfachen mathematischen Problemen, die sich sehr effizient damit lösen liessen (ich liebe Simulationen dynamischer Systeme wie jene der Wirtschaft), waren es vor allem die Computerviren, die zunehmends als Studienobjekt herhalten mussten. Komplexe Strukturen und raffinierte Methoden - wie zum Beispiel jene des polymorphen Virus 'Whale' - waren in der Tat für mich als Jüngling ein Augenschmaus; auch wenn es für Aussenstehende - vor allem meine Mutter - eher wie unsinniger Buchstabensalat auf der CGA-Bildschirmausgabe aussah. " Weiterlesen ... Kritik der Glaubenskriege | 07.03.2006 | computec.ch, Marc's Blog Seitem ich mich ernsthaft für das andere Geschlecht interessiere, bin ich von einer ganz besonderen Frage besessen: 'Welcher Partner passt besser zu einem - Derjenige der gleich ist, oder derjenige, der komplett anders ist.' Im Normalfall können bei solch alltäglichen Problemen Sprichwörter einen Denkanstoss in die richtige Richtung geben. Da gibt es nun aber 'Gleich und Gleich gesellt sich gern' sowie 'Gegensätze ziehen sich an'. Was ist nun die Lösung? Weiterlesen ... Klingelstreich im Jahr 2006 | 01.03.2006 | computec.ch, Marc's Blog Eigentlich gibt es nur eine Sache, die mich wirklich in Rage versetzen kann: Menschen mit einem leicht bösartigen Charakterzug (z.B. Egoismus), die aufgrund ihrer Dummheit vornehmlich lächerlich wirken. Ein gutes Beispiel sind all jene Leute, die sich beim Einsteigen in die Bahn vordrängeln, obschon es offensichtlich war, dass man durch diesen Akt der Egozentrik keinen merkbaren Vorteil für sich erstehlen konnte. Tja, aber das sind halt die Blüten, die eine Leistungsgesellschaft mitunter so treibt. Weiterlesen ... Javascript from Hell | 24.02.2006 | computec.ch, Marc's Blog Wer kennt sie nicht: Die kleinen web-basierten Hackits, bei denen man als Frischling sein jüngst erworbenes Wissen im Umgang mit dem Thema Computersicherheit ausprobieren darf. Ein Klassiker dabei ist das Umgehen von mit Javascript (Abk. JS) umgesetzten Passwortabfragen. Beim Betreten einer Webseite wird man auf dieser nach einem Passwort gefragt. Ist man im Besitz des richtigen und gibt dieses an, wird man auf den geschützten Bereich geleitet und hat damit das Hackit bestanden. Bei der fehlerhaften Eingabe des Passworts wird hingegen eine Fehlermeldung ausgegeben. Als Angreifer geht es nun darum ohne das Wissen um das richtige Passwort den Zugang zu erlangen. Weiterlesen ... Sprache als Beweis der Intelligenz? | 17.02.2006 | computec.ch, Marc's Blog Künstliche Intelligenzen sind eine faszinierende Sache. Meine Freundin sieht darin eine Gefahr für die Menschheit. Ich hingegen sehe in ihr eine Chance für die selbige. Und zwar können sie uns unterstützen, indem sie beispielsweise Entscheidungen vereinfachen. Expertensysteme verrichten beispielsweise vielerorts solide Arbeit. Die Anwendungen INTERNIST und MYCIN sorgen beispielsweise für eine vereinfachte Diagnose in der Medizin. Weiterlesen ... Masse und Trägheit | 13.02.2006 | computec.ch, Marc's Blog Man muss keineswegs Physik studiert oder die allgemeine Relativitätstheorie verstanden haben, um die grundlegenden Zusammenhänge zwischen Masse und Trägheit verstehen zu können. Ein ruhender Körper braucht umso mehr Energie, um ihn in Bewegung zu versetzen, je mehr Masse er aufzuweisen hat - Trägheit bezeichnet also den Widerstand, den ein Körper der Veränderung seines Bewegungszustands entgegensetzt. So ist das jedenfalls auf unserem Planeten und in dieser Dimension. Weiterlesen ... Blackbox oder Whitebox Approach | 06.02.2006 | computec.ch, Marc's Blog Es ist Donnerstag Morgen, 09:00 Uhr. Ich stehe gerade am Fenster eines Sitzungszimmers, aus dem ich den gesamten Vorhof dessen überblicken kann. Einige schöne Autos sehe ich. Mercedes, Porsche und Jaguar - Vorwiegend High Class. Mir fällt dabei auf, dass sämtliche dieser in Dunkel gehalten oder mit einem schlichten Silber eingefärbt sind. Mittlerweile hat sich mein Kunde wieder zurückgemeldet, bringt mir mein gewünschtes Mineralwasser und sich selbst stellt er einen schwarzen Kaffee auf den runden Tisch. Weiterlesen ... Geschichten aus dem Server-Raum | 31.01.2006 | computec.ch, Marc's Blog Die Überprüfung eines Systems kann auf verschiedene Arten stattfinden. Eine klassische Unterscheidung ist dabei auf Netzwerkebene im remote und dem lokalen Testing gegeben. Ein Remote-Testing bedeutet in diesem Falle meistens, dass die Systeme über das Internet betrachtet werden. Oftmals werden dabei Firewall- und Routing-Systeme gegeben sein, so dass die Überprüfung entsprechend schwierig und langwierig ausfallen kann. Ineffizienz pur. Weiterlesen ... Der Schnellere ist der Geschwindere | 26.01.2006 | computec.ch, Marc's Blog Sicherheitsüberprüfungen sind mein täglich Brot. So verwundert es nicht minder, dass ich mit einer enormen Strukturiertheit an derlei Audits herangehe, solide Vorabklärungen tätige, einem grob definierten Vorgehen folge (z.B. mit der Hilfe von Checklisten) und mich an den gängigen Standards orientiere (z.B. BSI, ISO und OSSTMM). Weiterlesen ... Die unendliche Leichtigkeit des Mappings | 19.01.2006 | computec.ch, Marc's Blog Auf eine Empfehlung eines deutschen Buchautoren hin, habe ich eine Dozentur an der Universität Luzern bekommen. Eher unspektakulär aber nicht minder mit Enthusiasmus unterrichte ich dort zwei Tage im Jahr zum Thema Computersicherheit. Die Besucher des Masterstudienlehrgangs kommen dabei aus allen Studien- und Berufsrichtungen, weshalb es mir besonders Spass bereitet, die interessantesten Themen des Computerzeitalters mit unterhaltsamen Diskussionen zu illustrieren. Weiterlesen ... Ich bin ein Bestseller-Autor - Oder doch nicht? | 12.01.2006 | computec.ch, Marc's Blog Albert Einstein schrieb einmal: 'Am schwierigsten zu verstehen ist in der Welt die Einkommensteuer.' Ich pflichte ihm bei, denn wie jedes Jahr mühe ich mich auch in diesem mit den Verworrenheiten des Steueramts ab. Wie jedes Jahr reiche ich meine Steuern zu spät ein und wie jedes Jahr gibt es vom Vater Staat etwas zu bemängeln. Meine Dummheit in diesem Belang scheint wahrhaftig grenzenlos zu sein, bedauerlicherweise. Weiterlesen ... Wer sucht, der findet | 05.01.2006 | computec.ch, Marc's Blog Als Penetration Tester habe ich eigentlich nur ein Ziel: In ein System einbrechen, koste es, was es wolle (natürlich nur im Rahmen des Legalen und Wirtschaftlichen). Durch automatisierte Auditing mittels Vulnerability Scannern und das manuelle Exploiting in akribischer Handarbeit sollen dabei sämtliche existenten und für einen Angreifer verwertbaren Schwachstellen einer Umgebung aufgedeckt und erfolgreich ausgenutzt werden. Dies ist nicht immer ein Kinderspiel, sind die gegenwärtigen Bestrebungen doch sehr umfassend - Ein elektronischer Einbruch in eine Bank erfordert da doch ein hohes Mass an Know How, Ehrgeiz und Zeit. Weiterlesen ... Was war, was wird? | 23.01.2006 | computec.ch, Marc's Blog Ich bin müde. Extrem müde. Dies nicht ab des eher düsteren Wetters, das - so scheint es sichtlich - auf mein Gemüt zu schlagen pflegt. Viel mehr ist es die Anspannung, die ich dieses Jahr in mir vorgefunden habe. Ironischerweise eine gesunde Anspannung, denn dies ist wohl mit Abstand das produktivste Jahr, das ich seit bald 25 Jahren mitgestalten durfte. Weiterlesen ... Ich bin alt, oder? | 16.12.2005 | computec.ch, Marc's Blog Dienstag, am frühen Abend. Ich nehme gerade ein Bad, als mein Mobiltelefon klingelt. Vorsorglich habe ich es neben die Wanne gelegt, damit ich im Falle eines Anrufs nicht das warme Nass verlassen muss. 'Hallo', fragte ich ins Telefon, obschon ich sah, dass meine Freundin mich anrief. Sie fragte, was ich gerade mache und ich sagte, dass ich zusammen mit Verdi ein Bad nehme. 'Verdi', fragte sie ganz erstaunt. 'Ja, die klassische Fidelei im Hintergrund sind die Streicher nach dem berühmten italienischen Musiker...' Weiterlesen ... Eine der wichtigsten Lügen der Biometrie | 11.12.2005 | computec.ch, Marc's Blog Vor einiger Zeit spielte sich in den Hintergründen, weit ab des Blickfelds des Volks, der Kampf um die Durchsetzung biometrischer Massnahmen ab. Kartell- und mafia-ähnlich müssen diese Zustände gewesen sein, in denen einander Zuspielungen gemacht und der potentielle Markt gerecht aufgeteilt wurde. So stelle ich es mir jedenfalls vor. Weiterlesen ... Man ist wichtig, wenn... | 01.12.2005 | computec.ch, Marc's Blog Albert Einstein ist vor allem für eines legendär: Für seinen humanistischen, ja schon fast altruistischen Umgang mit der Bekanntheit seiner Person in der Öffentlichkeit. Stets war er darum bemüht, dass der Rummel um ihn der Allgemeinheit einen Nutzen bringt. So war er nicht darauf aus, dass man ihn feiert, weil ihm dies gefällt. Viel mehr hiess es für ihn: Wenn man mich schon 'unsinnigerweise' feiert, dann hört man mir wenigstens zu - Entsprechend muss ich an den Verstand derer appellieren, um etwas Gutes der Welt zu tun. Seine unzähligen Briefwechsel erzählen davon. Weiterlesen ... Donald E. Knuth meets Zürich | 25.11.2005 | computec.ch, Marc's Blog Einer meiner liebsten Autoren von Fachbüchern ist, neben Richard Feynman, der US-Amerikaner W. Richard Stevens. Seine Buchreihe 'TCP/IP Illustrated' ist unter Fachleuten legendär. Ich kann mich noch sehr gut daran erinnern, als ich jeweils im Zug auf dem Weg zur Arbeit den ersten Band verschlang. Die sprachliche Ästhetik eines Computerbuchs war für mich unglaublich. Seine Gratwanderung zwischen erforderlichem Informationsgehalt, das Fehlen unnötiger Informations-Redundanz, didaktischer Linearität und das Ausmass der raffinierten Hintergrundinformationen hat jede Seite zu einem Genuss gemacht. Weiterlesen ... Ein Audit, der an der Software scheitert | 20.11.2005 | computec.ch, Marc's Blog Ich habe mal versucht nachzurechnen, wieviele Security Audits und Penetration Tests ich in meinem Leben schon gemacht habe. Dies waren wahrlich ein paar. Das weiss ich vor allem deswegen, weil ich mich an praktisch keine technischen Details dieser zurückerinnern kann. Derlei sinnfreie Daten (z.B. auf welchem System fand ich welche Schwachstelle) messe ich ein solch geringes Mass an Relevanz bei, dass ich sie lediglich mit der Hilfe von Papier für die Zukunft festhalten kann. Weiterlesen ... Der Sieg, der keiner war | 11.11.2005 | computec.ch, Marc's Blog Ich habe mal versucht nachzurechnen, wieviele Security Audits und Penetration Tests ich in meinem Leben schon gemacht habe. Dies waren wahrlich ein paar. Das weiss ich vor allem deswegen, weil ich mich an praktisch keine technischen Details dieser zurückerinnern kann. Derlei sinnfreie Daten (z.B. auf welchem System fand ich welche Schwachstelle) messe ich ein solch geringes Mass an Relevanz bei, dass ich sie lediglich mit der Hilfe von Papier für die Zukunft festhalten kann. Weiterlesen ... Sicherheit kennt keine Freiheit | 07.11.2005 | computec.ch, Marc's Blog Vor wenigen Wochen war ich bei der Niederlassung einer Bank in Basel. Im Rahmen eines überregionalen Penetration Tests wurde ich vom technischen Personal in die Umgebung vor Ort eingeführt. Da werden mir dann Netzwerkdiagramme und IP-Adresslisten vorgezeigt, über eingesetzte Betriebssysteme sowie Applikationen diskutiert. Weiterlesen ... Freiheit als erster Schritt zur Macht | 01.11.2005 | computec.ch, Marc's Blog Karl Marx schrieb einmal: 'Freiheit ist ein Luxus, den sich nicht jedermann leisten kann.' In der Tat, das gesellschaftliche Zusammensein macht es nicht gerade einfach, seine Freiheiten in Anspruch nehmen zu können, ohne die Freiheit der anderen einzugrenzen - In der Regel hält man diesen Balanceakt, denn so verlangt man von den anderen doch das Gleiche. Weiterlesen ... Ein Tag im Leben eines Social Engineers | 23.10.2005 | computec.ch, Marc's Blog Obschon ich ein bisschen zwiespältig der Figur Kevin Mitnick gegenüberstehe, habe ich in mancherlei Hinsicht unverhohlene Hochachtung vor seiner Person. So ist es unbestritten, dass er einen beachtlichen Teil dazu geleistet hat, dass Social Engineering salonfähig geworden ist. Ohne seine bekannten Angriffe und die Medienwirksamkeit, die diese erzeugt haben, wäre das Thema Computersicherheit heute wohl noch viel eher ein rein technisches Gebiet - Die menschlichen und psychologischen Elemente würden wohl unweigerlich unterschätzt werden. Weiterlesen ... Closed-source ist nie und nimmer ein Vorteil | 12.10.2005 | computec.ch, Marc's Blog Ein jeder, der sich intensiver für Computersicherheit interessiert, kennt die Software Nessus. Das ursprünglich von Renaud Deraison ins Leben gerufene Projekt versuchte seit Ende der 90er Jahre einen auf Open-source basierenden Security Scanner zur Verfügung zu stellen. Gerade weil es eine freie und offene Lösung ist, konnte sie ein Höchstmass an Akzeptanz in der Branche erreichen. Ich kenne eigentlich keinen Penetration Tester, der nicht früher oder später auf Nessus zurückgreift. Weiterlesen ... Guck mal, ich bin im Fernsehen | 06.10.2005 | computec.ch, Marc's Blog Als ich am Schreiben des Buches Hacking Intern (Data Becker, Düsseldorf, September 2002) beteiligt war, wurde ich unter anderem vom Verlag angehalten, sogenannte Lesereisen zu unternehmen. Dabei treten die Autoren vor interessierten und bestehenden Lesern auf und lesen aus ihren Publikationen vor, um diese Schmackhaft zu machen. Meine Entgegnung auf diese Aufforderung war knapp und unumstösslich zugleich: 'Nein. Ich schreibe, damit ich nicht reden muss.' Der Verlag akzeptierte es, wenn auch nur widerwillig. Weiterlesen ... Auch Korruption will gelernt sein | 23.09.2005 | computec.ch, Marc's Blog Hinter jedem Reichtum verbirgt sich mindestens eine kleine korrupte Tat.' So oder so ähnlich müssten eigentlich die Schüler unserer Zeit gelehrt werden. In unserem System, dessen Basis das Übertrumpfen der Konkurrenz darstellt, muss innerhalb der Übertrumpfungsspirale irgendwann zu korrupten Mitteln gegriffen werden. Eine ethisch annehmbare Steigerung ist nämlich irgendwann gar nicht mehr möglich. Weiterlesen ... Meine Probleme sind doch lächerlich | 16.09.2005 | computec.ch, Marc's Blog Ich frage mich manchmal wirklich, was ich hier eigentlich tue. Nein, dies ist nun nicht die pessimistische Einleitung des Beitrags eines orientierungslosen Mit-Zwanzigers. Ein Grossteil meines Lebens dreht sich um Computer und um die Sicherheit solcher. Ich bin damit zufrieden, denn diesen Themen brachte ich schon immer ein Mehr an kritischem Interesse und aufrichtiger Leidenschaft entgegen. Weiterlesen ... Ich verachte Politik und bin doch mitten drin | 10.09.2005 | computec.ch, Marc's Blog Politik setze ich mit Lobbyismus gleich. Egal in welcher Staatsform und welcher Couleur angehörend, läuft alles auf das Prinzip der 'Eine Hand wäscht die andere' hinaus. Anarchistische Systeme, in denen im klassischen Sinn eine Führerlosigkeit herrscht, können in erster Linie durch Koaliationen kompromittiert werden. Absoluter Individualismus wird aufgegeben, um in der Gruppe ein Mehr an Macht zu erhalten. Ein einfaches Prinzip, das sich so weit hochschaukelt, bis der Einzelne gar keine Chance mehr hat. Zwängt man dies in geregelte Formen und verpasst ihr den Stempel der Rechtsstaatlichkeit, kommt irgendwann etwas im Sinne einer Demokratie zustande. In ihren Grundzügen durchaus das, was Platon in 'Politeia' (Der Staat) skizziert hat. Wir sind zufrieden. Weiterlesen ... Intelligente Frauen und dumme Genies | 05.09.2005 | computec.ch, Marc's Blog Über Jahre hinweg habe ich mich geweigert, mich mit den Tagesmedien auseinanderzusetzen. Propaganda habe ich geschrien, wenn ich schon nur in die Nähe einer Zeitung gekommen bin. Vermeintlich kritische Journalisten, die sich nicht an den Kodex ihrer Berufsgattung halten, sind keine Seltenheit. Die propagandistischen Massenmedien sind voll von solchen Zeitgenossen. Und weltweit unterstützte Reporter wie Becky Anderson von CNN, die in ihrem fanatischen Nationalismus sämtliche Kritiker eines Irak-Kriegs als dumm und unamerikanisch bezeichnen, stützen meinen Kritizismus in jeglicher Hinsicht. Weiterlesen ... Propaganda als erster Schritt zur totalen Überwachung | 01.09.2005 | computec.ch, Marc's Blog Als ich etwa 12 Jahre alt war, kriegte ich meinen ersten eigenen Fernseher. Eine kleine weisse Kiste, die sich da in meinem mit viel Holz ausgebauten Zimmer fand. Neben den drei Sendern des schweizerischen öffentlich-rechtlichen Fernsehens (DRS, TSR und TSI), welche sich damals über Antenne ins heimische Zimmer holen liessen, flimmerten vor allem Konsolen-Spiele (NES) über den konvexen Bildschirm. Weiterlesen ... Ich bin müde, also bin ich | 29.08.2005 | computec.ch, Marc's Blog Seitdem sich der diesjährige Sommer ohne Vorwarnung in einen dunklen Herbstanfang gewandelt hat, habe ich an den Morgen merklich Mühe aufzustehen. Wenn sich meine Augen öffnen und noch immer die gleiche Dunkelheit herrscht, wie wenn ich in mich gekehrt auf meiner harten Matratze liege (ich habe seit Jahren chronische Rückenschmerzen), habe ich nicht wirklich Lust meine grossen Füsse auf das kalte Parkett meiner Wohnung aufzusetzen. Weiterlesen ... 'Ich habe gemeint, das sei so sicher' | 22.08.2005 | computec.ch, Marc's Blog Security Consultant, wie ich meinen Job verstehe, mutet schon fast ein bisschen erhaben an. Wenigstens im IT-Umfeld. Als Consultant ist man weniger Exekutive, sondern man lässt für sich arbeiten, gibt Ratschläge und Anweisungen. Finden wir eine Schwachstelle in einem System, ist der Systemverantwortliche angewiesen, sich dieser Sache anzunehmen. Dass wir etwas selber an den Konfigurationen eines Rechners anpassen, ist aus vielen Gründen ungeschickt. Weiterlesen ... Ist Undankbarkeit Lohn der Dummen? | 15.08.2005 | computec.ch, Marc's Blog Ja, ich bin der Meinung, dass ich den schönsten aller modernen Berufe habe. Als Sicherheitsberater im IT-Umfeld sehe ich eine Vielzahl an Unternehmen, komme mit haufenweise interessanten Leuten in Kontakt und darf mich aufregenden Herausforderungen stellen. Ich meine, wer darf schon von sich aus behaupten, dass es seine Aufgabe ist in Bankensysteme einzudringen, ohne mit juristischen Repressalien rechnen zu müssen? Ich kriege gar noch Geld dafür! Weiterlesen ... Freundschaft mit dem Feind? | 08.08.2005 | computec.ch, Marc's Blog Mein Arbeitgeber, die scip AG, versteht sich als neutrales Beratunsgunternehmen. Wir haben uns seit der Firmengründung das Credo 'Neutralität gegenübern Produkten, Herstellern und Methoden' auf die Flaggen geschrieben. Dies bedeutet, dass wir keine Produkte verkaufen wollen - Wir wollen Lösungen schaffen und Produkte sind dabei nur Mittel zum Zweck. In einer gewinnorientierten Zeit ist es deshalb nicht verwunderlich, dass unsere Kunden diese Neutralität und Unabhängigkeit zu schätzen wissen. Sie wissen, dass unsere Expertisen stets auf unvoreingenommenen Betrachtungen beruhen und unser primäres Ziel der zufriedene Kunde ist. Es überrascht sodann ebenfalls nicht, dass wir nahezu nur mit 'Stammkunden' zu tun haben: Praktisch jeder unserer Kunden hat nach einem ersten Beschnuppern wiedereinmal ein Projekt mit uns umgesetzt. Weiterlesen ... Wer nicht hören will... | 03.08.2005 | computec.ch, Marc's Blog Ich arbeite nun schon bald 3 Jahre bei scip AG in Zürich. Seit der Firmengründung geniesse ich die fachliche Kompetenz und den menschlichen Umgang von Simon und Rocco. Momentan sind wir eigentlich ganz gut mit Aufträgen bedient. Na ja, für mein Privatleben ansich ist das nicht so toll, denn die eine oder andere Überstunde ergibt sich halt zwangsweise aus der Fülle an interessanten Projekten, die uns zugetragen werden. Weiterlesen ... Wie sicher ist 'sicher'? | 28.07.2005 | computec.ch, Marc's Blog Viele meiner Freunde sind immerwieder 'schockiert', wenn sie meine sehr nüchterne Herangehensweise an Probleme bemerken. Wie in den Sherlock Holmes-Geschichten schön beschrieben wird, ist ein systematisches Vorgehen unabdingbar, um eine Herausforderung erfolgreich und vor allem effizient zu meistern. Das Bemerken von kühlem Kalkül verleitet viele Beobachter zur Annahme, dass derlei Analytiker schlecht im Umgang mit Menschen sind. Das will ich zu grossen Teilen (aber nicht zu 100 %) bestreiten. Ein strukturiertes Vorgehen hat nichts mit sozialer Inkompetenz zu tun. Weiterlesen ... Einfach ist, was einfach bleibt | 22.07.2005 | computec.ch, Marc's Blog Grundsätzlich bin ich unendlich faul. Das behaupten jedenfalls die meisten Leute, die mich kennen. Und zwar schlafe ich sehr viel. Während der Urlaubszeit, von der ich leider nur eine begrenzte Anzahl mein Eigen nennen darf, kommen da pro Tag schon mal über 14 Stunden zusammen. Ich erachte Schlaf als etwas wirklich wichtiges. Sage ich, dass ich immer und überall schlafen kann, ernte ich jedoch oftmals nur neidische Blicke und einen Kommentar wie 'Das kann ja nicht gesund sein'. Weiterlesen ... Mit Sicherheit keine Chance | 17.07.2005 | computec.ch, Marc's Blog Mitte der vergangenen Woche war ich mit meiner Freundin zwei Tage in am Moon and Stars 2005 in Locarno. Wir hatten die Gelegenheit, ein wunderbares Konzert der britischen Rockband 'Coldplay' live mitverfolgen zu dürfen. Diese haben auf ganzer Linie überzeugt und sich im Gegensatz zum Konzert im Hallenstadion in Zürich im April 2003 überproportional verbessert. Eine solch hervorragende Akkustik habe ich an einem Live-Konzert noch nie geniessen dürfen und die Band hat sowohl professionell als auch selbstironisch ihre eingängigen Titel vorgetragen. Weiterlesen ... Der Krieg hat begonnen | 12.07.2005 | computec.ch, Marc's Blog Der erste Weltkrieg war der Krieg der Chemiker. Der zweite Weltkrieg war der Krieg der Physiker. Und der dritte Weltkrieg? Es gibt einige Denker, die den Krieg gegen den Terrorismus als den dritten Weltkrieg bezeichnen und diesen den Krieg der Kryptologen nennen. In der Tat, Informationen und nicht Bomben sind das, was diesen Krieg entscheiden wird. Weiterlesen ... Von Sony bis Microsoft: Es riecht nach Verrat | 06.07.2005 | computec.ch, Marc's Blog Ich besitze einen kleinen Pinguin aus Plüsch. Nichts grossartiges, einfach ein kleiner Fratz mit einem roten Halstuch und Wollmütze, der bei mir auf dem Bücherregal steht und mich daran erinnern soll, dass auch Pinguine Halsweh kriegen können. Ausserdem erinnert er mich natürlich an Linux, das freie Betriebssystem, dessen Vater Linus Torvalds sowie James Hughes den Zwergpinguin Tux als Maskottchen erkoren hat. Obschon ich seit Ende der 90er Jahre regelmässig Linux einsetze (und über Jahre hinweg den beruflichen und privaten Einsatz von Microsoft-Betriebssystemen verweigert habe), habe ich mir zum Release-Tag eine Microsoft Xbox Konsole gekauft. Weiterlesen ... Wenn einer eine Reise tut... | 04.07.2005 | computec.ch, Marc's Blog Ja ja, auch ich hab mal zur Abwechslung Urlaub. Und zwar hab ich diesen - insgesamt zwei Wochen - mit Björn in Schweden verbracht. Dass ich mich deshalb weniger im Forum herumgetrieben und Postings verfasst habe, ist deshalb nicht verwunderlich. Schweden ist schön, in der Tat - Und zwar in jeder Hinsicht, so dass Computer und das Internet schnell zwangsweise an Zweitrangigkeit gewinnen. (Okay, ich habe zwar meinen Laptop mitgenommen und Björn hat mir einiges in Punkto objekt-orientierter Programmierung, PHP und SQL beigebracht...) Weiterlesen ... Erniedrigte und Beleidigte | 14.06.2005 | computec.ch, Marc's Blog Tendenziell werden Männer im Alter gereizter, aggressiver, im alt-berner Dialekt wird dies als 'grantig' bezeichnet (Bisherige Untersuchungen im deutschsprachigen Raum konnten diesen Zusammenhang aber nicht zeigen). Mir wurde einmal von einem angehenden Arzt gesagt, dass dies mit der Verhärtung der Hirnrinde zu tun hätte. Ein ganz natürlicher Prozess. Ich bin nun 24 Jahre alt und meine, dass dieser bei mir schon eingesetzt hat. Schon lange habe ich mich nicht mehr so geärgert, wie diese Woche. Aber beginnen wir von vorn... Weiterlesen ... N00bs und andere Spielereien | 11.06.2005 | computec.ch, Marc's Blog Meine Freundin ist Kindergarten-Lehrerin und ich hab ihr versprochen, dass ich mit ihren Kleinen dieses Jahr auf die Kindergartenreise mitkomme. Na ja, das ist sicher ne lustige Abwechslung, dach ich mir. Oh mein Gott! Nun denn, der Tag war härter, weder jedes Meeting, das ich bisher mit einem Kunden hatte. Als ich gestern um 18:00 Uhr nach Hause kam konnte ich nur noch an zwei Dinge denken: Zum Glück hab ich keine Kinder und nun muss ich dringend schlafen. Mein 'Kindergartenreise-Kater' hält bis jetzt an. Ich werde wohl heute höchstens ins Kino gehen und sehen, wie Herr Pitt und Frau Jolie sich gegenseitig aus dem Weg räumen wollen. Für mehr Action bin ich definitiv nicht zu haben. Weiterlesen ... Ich postulierte den gläsernen Menschen | 09.06.2005 | computec.ch, Marc's Blog Web Logs (Blogs) sind in. Na ja, eigentlich sind sie schon fast wieder out, denn mittlerweile hat doch jeder auf seiner kleinen Webseite eine Sektion, in der er seine Lebens-Impressionen festhält. Meine ersten Anläufe für öffentlich zugängliche digitale Tagebücher machte ich schon zu Beginn von computec.ch, das war noch im letzten Jahrtausend. Irgendwie hatte ich dann aber keine Lust oder Zeit, mich regelmässig mit den Buchstaben zu beschäftigen, die mein Leben festhalten können sollen. Weiterlesen ... Computec Newsletter Oktober 2004 Editorial | 26.10.2004 | computec.ch, Computec Newsletter Der Oktober 2004 war ein heisser Monat. Nein, nicht heiss in Bezug auf das Wetter. Viel eher hat die Vielzahl an neuen Schwachstellen rauchende Koepfe bei Administratoren und Benutzern verursacht. Vor allem Microsoft hat im Patchday dieses Monats einige wirklich kritische Schwachstellen im Betriebssystem Microsoft Windows und im Webbrowser Microsoft Internet Explorer bekannt gegeben sowie durch Patches behoben. Ebenfalls fuer Aufsehen haben Schwachstellen in fuer Tab-Browsing faehige Webbrowser sowie Antiviren-Loesungen gesorgt. Beide Schwachstellen betrafen gleich eine ganze Produktepalette bzw. Loesungen verschiedener Hersteller. Die Chancen, dass man sich diesen Monat vor dem Einspielen eines neuen Bugfixes druecken kann, sind so gering wie lange nicht mehr. Weitere Informationen findet sich in Absatz 1, der als Buglist die Fehler der letzten Wochen auflistet. Weiterlesen ... Computec Newsletter September 2004 Editorial | 27.09.2004 | computec.ch, Computec Newsletter Neue Schwachstellen wurden die letzten Wochen nur zoegerlich publiziert. Fuer Aufsehen hat ein Pufferueberlauf der Microsoft Produkte bei der Verarbeitung von JPEG-Bildern gesorgt. Sehr kritisch, denn durch das Anzeigen eines korrupten Bildes laesst sich beliebiger Programmcode auf einem Windows-System ausfuehren. Das Einspielen des Service Pack 2 fuer Microsoft Windows XP wird also langsam unabdingbar. Weiterlesen ... Computec Newsletter August 2004 Editorial | 26.08.2004 | computec.ch, Computec Newsletter Das Wetter wurde wieder ein bisschen kuehler: Des einen Freud, des anderen Leid. Denn so erschienen diesen Monat wieder vermehrt neue Schwachstellen, die die Aufmerksamkeit der Angreifer und Administratoren geweckt haben sollten. Ein gutes Beispiel ist die Denial of Service-Schwachstelle in ISAKMPd verschiedener Firewall-Loesungen der Firma Symantec - Skript-Kiddies warten schon sehnsuechtig auf einen handlichen Exploit... Die Sommerferien sind also langsam endgueltig vorbei und der hektische Alltag scheint wieder in den IT-Security Bereich einzukehren. Wir sollten uns langsam wieder warm anziehen! Weiterlesen ... Computec Newsletter Juni 2004 Editorial | 27.06.2004 | computec.ch, Computec Newsletter Die Anzahl der neuen Sicherheitsluecken seit dem Erscheinen des letzten Computec Newsletters halten sich an den Durchschnitt. Bei den Produkten ist auffaellig, dass eine Vielzahl neuer Fehler im Microsoft ISA Server 2000 und in BEA WebLogic publiziert wurden. Zwei sehr kritische Schwachstellen - das sind ueberdurchschnittliche viele in einem Monat - wurden im Microsoft Internet Explorer entdeckt. Und ebenfalls wird fuer groessere Firmen und ISPs die Denial of Service-Schwachstelle im Cisco IOS bis 12.3 Probleme bereiten. Skript-Kiddies und Cracker haben also eine lohnende Zeit. Weiterlesen ... Computec Newsletter Mai 2004 Editorial | 26.05.2004 | computec.ch, Computec Newsletter In Bezug auf neue Sicherheitsluecken war der Monat Mai 2004 vielen Hackern wahrscheinlich zu heiss. Auch sie haben wohl lieber den warmen Sommerbeginn genossen, weder naechtelang vor dem Monitor gesessen. Wirklich aufregendes ist also nicht erschienen (Absatz 1). Weiterlesen ... Computec Newsletter April 2004 Editorial | 27.04.2004 | computec.ch, Computec Newsletter Achtung, Sie kriegen Post von mir! Endlich ist es wieder soweit, denn der neue Computec Newsletter ist da. Ich muss mich entschuldigen, denn die letzten paar Monate fiel dieses Schreiben aus. Die Gruende sind vielschichtig, erstrecken sich von technischen Problemen aufgrund der enorm hohen Anzahl der Abonnenten bis hin zur fehlenden Zeit zur Erstellung der jeweiligen Abschriften. Weiterlesen ... | ||
| ⇑ | © 1997-2010 by Marc Ruef | ||
