Tage wie dieser Marc Ruef | 10.04.2006 Ich suche verzweifelt die Schnalle meines Gurtes. Irre nun schon mehr als 10 Minuten in der Wohnung meiner Freundin rum und kann beim besten Willen das metallerne Ding nicht finden. Bin mittlerweile gar schon so weit, dass ich unter die Tische krieche und mit der Taschenlampe unter dem Sofa nachschaue. Irgendwie ist heute nicht mein Tag. Und als ich mich an diesem Morgen das erste Mal im Spiegel sehe, bestätigt dies nur meine Vermutung: Ich sehe mindestens so schlecht aus, wie dieser Tag in seinen ersten 20 Minuten, in denen ich mehr oder weniger aktiv an ihm teilhabe, angefangen hat. In ein paar Minuten fährt mein Bus. Erwische ich diesen nicht, werde ich ganz bestimmt nicht mehr pünktlich um 09:00 Uhr in Zürich ankommen. Dort soll ich mich bei einem Hoster melden, der mir sodann Zugang zum Rechenzentrum gewähren soll. In diesem finden sich die Systeme unseres Kunden, die einem generellen Security Audit unterzogen werden sollen. Obschon ich den Bus gerade noch erwischt habe, mit mehr oder weniger zerzausten Haaren, ärgere ich mich noch immer über die sonderbaren Gegebenheiten physikalischer Natur, die unseren blauen Planeten umgeben. Endlich, nachdem ich in Zürich ohne Stress auf die S5 umsteigen konnte - gehen die Leute auf den Treppen eigentlich absichtlich so langsam? - traf ich nach rund einer Stunde Reisezeit beim Hoster ein. Ich muss anmerken, dass die Strassen schildern in gewissen Teilen Zürichs echt bescheuert angebracht wurden. Da muss man ja fast mit dem Auto kommen, will man sich dort orientieren: Als Fussgänger hat man nämlich jeweils 500 Meter zu marschieren, um dann zu merken, dass auf dem Strassenschild nicht derjenige Strassenname vermerkt ist, den man eigentlich gesucht hat. Heute ist echt nicht mein Tag. Das Anmelden am Empfang ging gut. Ich habe nicht gestottert und meine Stimme konnte sich in den letzten 120 Minuten zu einer klar verständlichen - in ihrem Masse - Volumen entfalten. Nachdem ich die knappen Worte mit der Dame am Empfang gewechselt habe, werde ich von einem jungen Techniker empfangen. Eher beiläufig begrüsst er mich, denn er müsse noch schnell die Unterlagen für das Testing mitnehmen. Mein erster Gedanke: Oh je, wieder ein Auftrag, bei dem sich jemand darüber ärgert, dass er sich mit "sinnloser" IT-Security auseinanderzusetzen hat. Dieser Tag wird dann wohl noch schlimmer... Wir marschierten ins Rechenzentrum, wo ich dem Sicherheitspersonal schön artig meinen Ausweis zeigte, um ins karge Gebäude gelassen zu werden. Während ich mit dem Techniker da so wartete, richtete er plötzlich das Wort an mich und meinte: "Sie kommen doch aus Wettingen?" Noch bevor ich diese Frage mit einem Ja beantworten konnte, reichte er nach, ob ich noch immer meine Webseite hätte. Belustigt über die Situation erwiderte ich lächelnd, dass das kleine Online-Archiv mittlerweile über 750 Publikationen (http://www.computec.ch/download.php) anzubieten habe. Entsprechend war ich erfreut über die Bekanntheit meiner Arbeit. Dieser Tag wird also doch nicht so schlimm, hoff ich jedenfalls. Ich richtete gerade meinen Laptop ein, als ein weiterer Herr in den lauten Server-Raum trat. Eine kurze Begrüssung und ich nahm mich sofort der Konfiguration meiner Testing-Systeme an. Eine gute Vorbereitung in der Hinsicht ist nämlich das A und O, damit die eigentliche Sicherheitsüberprüfung auch reibungslos und effizient über die Bühne gehen kann. Die beiden Herren waren, trotz des eher kühlen Starts, sehr interessiert an meinem Vorgehen. Wie immer in solchen Situationen erkläre ich die Dinge gerne breitwillig, um dem Kunden - in diesem Fall eigentlich der Partner - ein sicheres Gefühl zu geben. Hierbei kommt wohl wirklich ein bisschen der Hausarzt in mit zum Tragen, der das Wohl des Patienten auch auf zwischenmenschlicher Ebene gewährleisten will. Wie es sich im weiteren herausstellte, waren beide erstaunlich gut über meine Person informiert. Sie wussten um praktisch alle Projekte bescheid. Informationen zu computec.ch (http://www.computec.ch), dem Attack Tool Kit (http://www.computec.ch/projekte/atk/) und meine private Webseite (http://www.computec.ch/mruef/) konnten sie zu Hauf wiedergeben, so dass ich mir den Kommentar nicht verkneifen konnte, dass ich es hier wohl mit besonders gewieften Social Engineers zu tun hätte. Einer der beiden sei gar regelmässiger Gast im Forum und habe beispielsweise besonders im Thread zum Thema Sicherheitsschulungen (http://www.computec.ch/forum_viewtopic.php?14.1964) gute Empfehlungen für seinen weiteren Werdegang gefunden. Auf die Frage hin, welches Buch sich am besten für den Einstieg eignet, entgegnete ich als erstes mit einem selbstironischen "Auf jedenfall nicht meins". Ganz erstaunt ob meiner Antwort führte ich weiter aus, dass es andere Bücher gäbe, die ich aufgrund ihres Aufbaus Einsteigern eher empfehlen würde. Nach wie vor bleibt für mich "Das Anti-Hacker-Buch" (engl. "Hacking Exposed (http://www.hackingexposed.com)") die Referenz für ein allgemeines technisches Sicherheitsbuch. Wir Diskutierten im weiteren Verlauf des Morgens über die üblichen Dinge, wie das Leid der Administratoren (Patching), Entwicklung in der Informatik-Branche (Boom und Niedergang der New Economy) und die Philosophie von Sicherheitsüberprüfungen (Was ist wann sinnvoll). Auch die Sicherheitsanalyse verlief ohne Komplikationen. Die Server wiesen zwar einige kleinere Mängel auf, doch würde sich die Arbeit des akribischen Reportings, wie es mir eigen ist, in Grenzen halten. Und wie es schien, war dieser Tag doch nicht so schlimm, wie er angefangen hatte.