Vorbei sind Sturm und Drang Marc Ruef | 30.10.2006 Auch wenn es für meine Freundin, sie ist Kindergartenlehrerin, nur mit Unverständnis quittiert wird: Ja, mir macht meine Arbeit Spass. Computersicherheit ist eine interdisziplinäre Kunst, bei der man sich nach Herzenslust austoben kann. Viele sehen die Informatik als mathematische Disziplin an, so mancher versteht in der Programmierung eine expressionistische Kunst und wiederum andere setzen bei Social Engineering-Attacken auf die Grundlagen der Tiefenpsychologie. Es ist also für jeden was dabei. Das Schöne, dies hat mich bei diesem Gebiet ganz besonders fasziniert, ist die Jungfräulichkeit dessen. Im Gegensatz zu klassischen Naturwissenschaften sind viele Dinge im Bereich der Computersicherheit noch nicht entdeckt oder ausprobiert. Die Entdeckung, Entwicklung und Optimierung von Pufferüberlauf-Schwachstellen ist das beste Beispiel hierzu. Selbst Aleph0ne hätte damals nicht gedacht, dass soetwas wie Heap-Overflows, Off-by-One Exploits und MSS-Bufferoverruns in der heutigen Art möglich gewesen wären. Das Erschliessen dieser speziellen Disziplinen ist gar noch nicht lange her. Auch heute noch bin ich der Meinung, dass eine Vielzahl an Dingen im Bereich der Computersicherheit noch nicht systematisch durchgedacht oder gar implementiert bzw. automatisiert wurden. Das Thema Vulnerability Scanning, dem ich wohl mitunter die meiste Zeit meines beruflichen Denkens gewidmet habe, bietet sich hier an. Ohne in überheblicher Weise die Arbeit anderer schlecht machen zu wollen, erachte ich Lösungen wie Nessus (http://www.nessus.org) als total veraltet und ineffizient. Das Produkt, welches sich zunehmends auf kommerzielle Pfade bewegt, sehe ich zum Scheitern verurteilt. Und mit dieser Meinung stehe ich nicht alleine da. Obschon für einige Experten klar ist, wie ein solches Projekt besser umgesetzt werden kann, wird bisher davon abgesehen. Auch ich muss mich schändlicher Weise hierzu zählen. Obschon mir seit bald drei Jahren umfassende Konzepte und Designs vorliegen, habe ich mir bisher noch nicht die Zeit genommen, meine Gedanken in die Tat umzusetzen. Es macht irgendwie den Eindruck, als wäre im Bereich der Computersicherheit die Zeit des Sturm und Drang vorbei. Viele der alten Hasen ruhen sich aus. Und hat einer doch mal einen guten Gedanken, so lässt er es gerne bei diesem bzw. einer Diskussion dazu bleiben. Schliesslich ist die Entwicklung des Gedankens das, was einem mit Freude erfüllt. Die Umsetzung und das Herumplagen mit Komplikationen während der Implementierung sind doch nur müssig ... Das soll ein anderer übernehmen! Hat er es dann getan, so will man aber doch unter Umständen von der neuen Kreation profitieren... Eine Vielzahl an Dingen möchte ich in Zukunft umsetzen. Eine anständige Lösung, mit der altbekannte Schwachstellen identifiziert, Sicherheitslücken verifiziert und gar neue Angriffsvektoren gefunden werden sollen, will ich unbedingt in naher Zukunft realisieren. Doch ich habe gelernt, dass man die Dinge Schritt für Schritt anpacken sollte. Auch wenn es für viele Leute verstörend klingen mag, habe ich mir für die nächsten 10 Jahre die wichtigsten Ziele gesteckt und arbeite fleissig an ihnen. Dies schliesst natürlich nicht aus, dass ich in 3 Jahren komplett neue Ziele definieren möchte oder gar schon habe. Wankelmütigkeit soll mir aber, so hoffe ich es wenigstens, auch in Zukunft von mir fern bleiben. Doch bevor ich mich mit weiteren Entwicklungen vergnügen möchte, gilt es zuerst andere Dinge zu erledigen. Da ist als erstes mein nächstes Buch, dem ich nun die letzten sechs Jahre gewidmet habe. Es kommt gut voran, auch wenn ich mich mit einem sehr engen Zeitplan konfrontiert sehe. Ist diese Arbeit ca. ab Mitte 2007 abgeschlossen, soll es an eine komplette Überarbeitung der Webseite gehen. Dabei sollen vorwiegend interne Prozesse optimiert werden, so dass das CMS mit einem Mehr an Performance agieren kann. Und dann hab ich da schon eine Idee für zwei neue Bücher. Aber diese werden wohl frühestens 2012 und 2017 erscheinen. Bis dann verstreichen noch ein paar Stunden. Der Iran hat bis dann vielleicht seine lang ersehnten Atomwaffen (http://www.20min.ch/news/ausland/story/10848335), Deutschland hat sich im Fussball vielleicht wieder mal den Weltmeistertitel geholt und in der Schweiz wird vielleicht der biometrische Pass wegen Komplikationen endlich wieder verworfen. Wer weiss, was die Zukunft bringen wird. Ich bin geduldig, kann es erwarten und freue mich darauf.