Mein Gehirnkrampf Marc Ruef | 29.03.2010 Ich kann die Leute, die im IT Security Bereich arbeiten, grösstenteils nicht leiden. Die einen sagen, es liegt daran, weil ich arrogant und ignorant den Ideen anderer entgegne. Ich sage stattdessen, dass sich in diesem Bereich einfach eine überproportionale hohe Anzahl an sozial inkompetenten und stetig nörgelnden Besserwissern tummeln. Und ja, in diesem Fall habe ich Recht, egal wer etwas anderes behauptet. Zwar halte ich es dennoch nicht so wie Fefe, der in seinem Blog (http://blog.fefe.de/) gut und gerne über andere herzieht (zu grössenteilen in sehr unterhaltsamer Weise). Dennoch ärgere auch ich mich nicht selten über den Schwachsinn, der um mich passiert und durch die anderen Schwachsinnigen entweder übersehen oder schöngeredet wird. Wenn ich denn mal wieder als "Rantmaster Flash" unterwegs bin, dann habe ich mit Sicherheit irgendwo im Internet ein stupides Whitepaper (früher nannte man das zwar noch Marketing-Flyer) (http://www.computec.ch/news.php?item.271) eines drittklassischen Software-Hauses gelesen oder mich über die Tagesmedien aufgeregt, die irgendeine uralte (http://www.computec.ch/news.php?item.264), total unwichtige (http://www.computec.ch/news.php?item.232) oder in jeglicher Hinsicht aufgebauschte (http://www.computec.ch/news.php?item.259) Story aus der Welt der Überhacker aufgetischt hat (ich wuerde zwar eher sagen "darauf reingefallen ist"). Vor einiger Zeit war wieder einer dieser Tage. Da wurde ein Interview mit einem Programmierer aus Deutschland geführt, der seit vielen Jahren professionell Backdoors für Behörden - zwecks Überwachung - entwickelt. "Okay, das schau ich mir an", dacht ich mir und checkte mal aus, was der gute Mann - der mir und meinen Bekannten bis dato unbekannt war - so getrieben hat. Die Sourcen auf seiner Webseite stammen zu grossen Teilen aus den API-Beispielen, die Skype selber bereitstellt. Und die genutzten Techniken beschränken sich auf Skype-Plugins und das Auslesen von Cookies. Gähn, "spannend". Und warum finden sich im Beitrag Worte wie "neu" und "innovativ"? Und kurze Zeit später lese ich irgendwo auf der Seite eines "Produkteherstellers" ein Zitat einer ihrer Kunden. Ein CSO einer Schweizer Bank. Okay, mal abchecken, ob ich schon mit denen zu tun hatte. In der Schweiz besitzen über 300 Institute eine Bankenlizenz und die meisten davon hatte ich in den letzten 13 Jahren schliesslich schon von Innen gesehen. Oh, auf seiner Webseite weist sich der gute Mann als "Black Belt Security Experte" aus. Oh - mein - Gott. Das ist fast so bescheuert, wie wenn sich ein Verkäufer als "Security-Champion" bezeichnet wird. Und ja, sowas gibt es. Ich muss mir auch einen neuen Titel einfallen lassen ... Black Belt Security Champignon mit Ninja-Zertifikat 1a? Wieso fühle ich mich manchmal nur von hirnrissigen Idioten umgeben, die einer Karikatur eines Dilbert-Comics entsprungen sein könnten? Und um es gleich vornweg zu nehmen: Ja, ich bin auch einer dieser Idioten, die sich viel zu ernst nehmen. Aber wenigstens hab ich keinen Black Belt und bezeichne mich auch nicht als Security Champignon (aber manchmal halt als Ninja mit Zertifikat 1a!). Na ja, noch nicht jedenfalls. Ich muss nun weiter, einen wirklich spannenden Hardening-Guide zu Sun Solaris 10 schreiben gehen.