2010: Was war? 2011: Was wird? Marc Ruef | 26.12.2010 Wie jedes Jahr möchte ich eben dieses mit einem reflektierenden Blog-Eintrag abschliessen - Über Vergangenes sinnieren und zu Zukünftigem träumen. Das Jahr 2010 war - besonders für meine Verhältnisse - ein Jahr der Vorträge und Konferenzen. An verschiedenen Orten habe ich Talks zu aktuellen Themen, wie zum Beispiel Cloud Computing (http://www.scip.ch/?labs.20100618), gehalten. Der für mich persönlich wichtigste Vortrag hielt ich an den Hashdays in Luzern (http://www.scip.ch/?labs.20101104). Dieser trug den Titel "Nmap NSE Hacking for IT Security Professionals" und berichtete von den letzten Jahren Forschungsarbeit, die wir bei scip AG zur qualitativen und performancetechnischen Verbesserung von Netzwerküberprüfungen vorangetrieben haben. Im Mittelpunkt dieser Arbeit steht ein Expertensystem (http://www.computec.ch/news.php?item.333), welches die durch NSE-Skripte gesammelte Daten weiterverarbeitet und durch diese Moderation weiterführende Tests oder ein Reporting erlaubt (technische Details zum gesamten Prozess sowie eine simple Beispiel-Implementierung finden sich hier (http://www.scip.ch/?labs.20101119)). Generell stand das letzte Jahr im Mittelpunkt zweier Forschungsarbeiten. Neben dem besagten NSE-Skripting (es gab eine httprecon-Portierung (http://www.scip.ch/?labs.20100408) sowie ein Vulnerability Scanning Modul (http://www.scip.ch/?labs.20100603)) habe ich mich ebenfalls intensiver mit Backdooring von Mobiltelefonen auseinandergesetzt. Nach einem entsprechenden Ansatz für iPhone-Geräte (publik gemacht Ende 2009 (http://www.scip.ch/?labs.20091217)) haben wir zu Beginn des Jahres Details zum Backdooring von Geräten mit Windows Mobile veröffentlicht (http://www.scip.ch/?labs.20100129). Ein Thema, das mit der zunehmenden Verbreitung von Tablets und dem Kampf um Marktanteile der verschiedenen Mobiltelefonplattformen (Apple iOS, Google Android und Microsoft Windows Mobile) auch die kommenden Jahre aktuell bleiben wird. Nebenher habe ich einen Grossteil meiner Zeit mit meinen beiden Blogs verbracht. Neben dem privaten Blog auf computec.ch (http://www.computec.ch/news.php) widmete ich mich mindestens einmal in der Woche einem technischen Thema in den scip Labs (http://www.scip.ch/?labs) (Gemeinschaftsblog der scip AG). Ansonsten habe ich vor allem auf Twitter (http://twitter.com/mruef) Links zu interessanten Artikeln und Webseiten veröffentlicht. Eine Zusammenfassung der spannendsten Links wird neu jeweils Ende des Monats als Blog Digest (http://www.scip.ch/?labs.blogdigest) bereitgestellt. Zwar habe ich die letzten beiden Jahre an verschiedenen Buchprojekten gearbeitet. Diese sind aber noch lange nicht Spruchreif. Die Veröffentlichungen zu Vulnerability Scanner Design und Nmap NSE-Skripting haben aber weitere Grundlagen geschaffen, auf der Basis derer ich in undefinierter Zukunft ein neues Buch zum Thema herausgeben werde. Informationen hierzu werde ich jeweils auf computec.ch veröffentlichen (http://www.computec.ch/mruef/?s=vsd). Das nächste Jahr wird sich wiederum auf kleinere Forschungsprojeke konzentrieren, die in den jeweiligen Blogs besprochen werden. Mitunter interessieren mich diverse formale Betrachtungen des Security Testing. Hierzu gehören Reduzierbarkeit von Tests, Nicht-Eliminierbarkeit von Schwachstellen, Information Disclosure löschen oder ändern (Vor-/Nachteile), Vereinheitlichung von Schwachstellenklassen, Open-Source und Auswirkungen auf die Sicherheit und Probleme von OS Fingerprinting Kaskadierung. Erste Resultate hierzu werden im ersten Quartal auf labs.scip.ch (http://www.scip.ch/?labs) veröffentlicht werden. Ein anderes Thema, das mich intensiver seit letztem Jahr begleitet und kommendes Jahr diverse Resultate für die Öffentlichkeit zu Tage fördern könnte, ist ein automatisiertes Hardening-Framework. Aus vertraglichen Gründen kann ich hierzu noch keine technischen Details nennen. Die bisherigen Entwicklungen sind jedoch sehr vielversprechend und dürften das bisher bekannte Hardening von Betriebssystemen, Diensten und Applikationen einen wichtigen Schritt vorwärts bringen. In diesem Sinne bedanke ich mich für das vergangene Jahr 2010, wünsche allen einen guten Rutsch und hoffe auf ein produktives sowie erfolgreiches Jahr 2011!