Marc Ruef
Blog (German only)
Deutsch English
"Some of my clients are very awesome. And I like that ;)" - @mruef vor 3 Jahren via Twitter


Contact Tracing App DP3T - Das sind die Risiken der Schweizer Lösung | 27.04.2020 | scip AG, Labs
Im Zuge der Coronakrise versuchen verschiedene Länder mit der Hilfe von sogenannten Contact Tracing Apps die Infektionsketten nachvollziehen und aufzubrechen. In der Schweiz steht das Framework DP3T, das durch die ETH Zürich und EPFL Lausanne entwickelt wird, bereit. Dieser Beitrag zeigt auf, welche Möglichkeiten und Risiken die Lösung mit sich bringt. Weiterlesen ...

Zoom Security - Absichern von virtuellen Meetings | 06.04.2020 | scip AG, Labs
Der Coronavirus ist daran unsere Gesellschaft zu verändern. Eine sehr konkrete Änderung betrifft unser Arbeitsleben, welches gezwungenermassen nun in vielen Fällen in den virtuellen Raum verlagert wurde. Durch die Zunahme von Videokonferenzen werden Angriffe auf diese immer interessanter. Dieser Artikel setzt sich mit der Absicherung des Produkts Zoom auseinander. Dabei soll verhindert werden, dass Dritte entsprechende Meetings kompromittieren und übernehmen können. Weiterlesen ...

Vulnerability Scanning Data - Analyse von Zuverlässigkeit und Genauigkeit | 02.04.2020 | scip AG, Labs
Moderne IT-Infrastruktur ist vielfältig und schnelllebig. Darin den Überblick zu behalten, welche Komponenten Schwachstellen und Sicherheitslücken aufweisen könnten, ist schwierig. Die vollumfängliche manuelle Prüfung ist nicht mehr möglich, weshalb bei breitflächigen Analysen auf automatisierte Vulnerability Scanning Lösungen zurückgegriffen wird. Die durch sie zusammengetragenen Resultate können oftmals individuelle und komplexe Zusammenhänge nicht berücksichtigen, weshalb die Qualität der Resultate unterschiedlich ausfallen kann. Das Identifizieren dieser Qualität ist jedoch massgeblich, um mit den Resultaten weiterarbeiten zu können. Weiterlesen ...

Die unrühmliche Geschichte des Citrix-Exploits | 01.04.2020 | ASMZ, Ausgabe März 2020, Cyber Observer Kolumne
Aus rechtlichen Gründen steht leider keine Vorschau zur Verfügung. Weiterlesen ...

RUAG stösst Clearswift ab | 01.03.2020 | ASMZ, Ausgabe März 2020, Cyber Observer Kolumne
Aus rechtlichen Gründen steht leider keine Vorschau zur Verfügung. Weiterlesen ...

Künstliche Intelligenz angreifen - Irritationen und Manipulationen provozieren | 23.01.2020 | scip AG, Labs
Künstliche Intelligenz (KI) entwickelt sich zu einem zentralen Aspekt der technokratischen Gesellschaft. Durch die automatisierte Aufnahme und Verarbeitung von Daten wird die Nachbildung von intelligentem, bisweilen gar menschlichem Verhalten möglich. Die zentrale Wichtigkeit, die diesem Ansatz beigemessen wird, führt entsprechend kritische Risiken mit sich. Dieser Beitrag diskutiert, inwiefern eine KI angegriffen werden kann. Weiterlesen ...

Die Wichtigkeit von Vulnerability Disclosure | 01.01.2020 | ASMZ, Ausgabe Januar 2020, Cyber Observer Kolumne
Aus rechtlichen Gründen steht leider keine Vorschau zur Verfügung. Weiterlesen ...

scip Cybersecurity Forecast - Voraussagen für 2020 | 19.12.2019 | scip AG, Labs
Wie jedes Jahr möchten wir auch zum Ende des Jahres 2019 einen Forecast für das kommende Jahr 2020 machen. Nachfolgend eben jene Themen, die sich unseres Erachtens manifestieren oder gar noch weiterentwickeln werden. Weiterlesen ...

Wie Datenleaks unser Vertrauen verspielen | 01.12.2019 | ASMZ, Ausgabe Dezember 2019, Cyber Observer Kolumne
Aus rechtlichen Gründen steht leider keine Vorschau zur Verfügung. Weiterlesen ...

Zukunftsweisende Science-Fiction | 01.11.2019 | ASMZ, Ausgabe November 2019, Cyber Observer Kolumne
Aus rechtlichen Gründen steht leider keine Vorschau zur Verfügung. Weiterlesen ...

iPhone Siri Self-Reference Exploiting - Eine esoterische Schwachstelle ohne CVE | 10.10.2019 | scip AG, Labs
In bald 25 Jahren habe ich eine Vielzahl an Schwachstellen in bekannten und weniger bekannten Produkten gefunden. Dabei folge ich dem Leitfaden unseres Unternehmens, dass eine Zusammenarbeit mit dem Hersteller und dadurch eine koordinierte Veröffentlichung angestrebt wird. Dieser Beitrag diskutiert eine kuriose Schwachstelle in iPhones, bei der Apple nicht zu einer Zusammenarbeit gewillt war. Weiterlesen ...

Autonomie im digitalen Zeitalter | 01.10.2019 | ASMZ, Ausgabe Oktober 2019, Cyber Observer Kolumne
Aus rechtlichen Gründen steht leider keine Vorschau zur Verfügung. Weiterlesen ...

Was wurde eigentlich aus der DSGVO? | 01.09.2019 | ASMZ, Ausgabe September 2019, Cyber Observer Kolumne
Aus rechtlichen Gründen steht leider keine Vorschau zur Verfügung. Weiterlesen ...

Unsere Geräte hören uns zu | 01.08.2019 | ASMZ, Ausgabe August 2019, Cyber Observer Kolumne
Aus rechtlichen Gründen steht leider keine Vorschau zur Verfügung. Weiterlesen ...

Physischer Gegenschlag auf virtuelle Angriffe | 01.07.2019 | ASMZ, Ausgabe Juli 2019, Cyber Observer Kolumne
Aus rechtlichen Gründen steht leider keine Vorschau zur Verfügung. Weiterlesen ...

Smart Homes - Die Chance und ihre Gefahren | 20.06.2019 | scip AG, Labs
Die digitale Transformation vereinnahmt die moderne Gesellschaft. Dem kann sich auch die Bau- und Immobilienindustrie nicht entziehen. Durch Smart Homes sollen dank Elektronik und Vernetzung ein Mehr an Komfort, Effizienz und Wirtschaftlichkeit erreicht werden. Weiterlesen ...

Augmented Reality und Artificial Intelligence - Einsatzmöglichkeit im Bereich Offensive Cybersecurity | 06.06.2019 | scip AG, Labs
Die Begriffe Augmented Reality (AR) und Artificial Intelligence (AI) sind in aller Munde. Mittlerweile haben verschiedene Branchen für sich entdeckt, wie sie diese Technologien zu ihrem Vorteil einsetzen können. Dieser Beitrag soll einen kleinen Einblick in unsere Forschung geben, die unter anderem eben diese Technologien im Bereich Offensive Cybersecurity nutzen will. Weiterlesen ...

Cyber Threat Intelligence muss erwachsen werden | 01.06.2019 | ASMZ, Ausgabe Juni 2019, Cyber Observer Kolumne
Aus rechtlichen Gründen steht leider keine Vorschau zur Verfügung. Weiterlesen ...

Schlechtes Vulnerability Disclosure | 01.05.2019 | ASMZ, Ausgabe Mai 2019, Cyber Observer Kolumne
Aus rechtlichen Gründen steht leider keine Vorschau zur Verfügung. Weiterlesen ...

HSTS Preload als Angriffsvektor - Vertrauen Sie ihrem Webmaster lieber nicht | 04.04.2019 | scip AG, Labs
HSTS stands for HTTP Strict Transport Security. It is a security policy mechanism specified by the IETF in RFC 6797. Web servers can use it to tell web browsers which communication method to use. But it could allow a webmaster of a public website to manipulate communications with internal services. Weiterlesen ...

Irrwitziges Verbot des Darknet | 01.04.2019 | ASMZ, Ausgabe April 2019, Cyber Observer Kolumne
Aus rechtlichen Gründen steht leider keine Vorschau zur Verfügung. Weiterlesen ...

Schlechte Aussichten für Cybersecurity | 01.03.2019 | ASMZ, Ausgabe März 2019, Cyber Observer Kolumne
Aus rechtlichen Gründen steht leider keine Vorschau zur Verfügung. Weiterlesen ...

Smart Buildings und Smart Homes - Sicherheit der Gebäude der Zukunft | 10.01.2019 | scip AG, Labs
Das Internet of Things (IoT) wird seit Jahren diskutiert, mit all seinen Vor- und Nachteilen. Die Diskussionen fokussieren sich auf einzelne Geräte und Gerätetypen. Dabei wird gerne ausser Acht gelassen, dass wir schon längst bei den Smart Buildings und Smart Homes angekommen sind: Elektronisch gesteuerte und vernetzte Gebäude. Dieser Artikel bespricht, welchen Einfluss zukünftige Entwicklungen auf unser Wohnen und in diesem Zusammenhang die digitale Sicherheit haben wird. Weiterlesen ...

Weniger Komplexität für mehr Sicherheit | 01.01.2019 | ASMZ, Ausgabe Januar 2019, Cyber Observer Kolumne
Die Kolume zu den Themen Cyberwar und Cybercrime Weiterlesen ...

scip Cybersecurity Forecast - Voraussagen für 2019 | 20.12.2018 | scip AG, Labs
Aus rechtlichen Gründen steht leider keine Vorschau zur Verfügung. Weiterlesen ...

Hintertüren in Hardware | 01.12.2018 | ASMZ, Ausgabe Dezember 2018, Cyber Observer Kolumne
Die Kolume zu den Themen Cyberwar und Cybercrime Weiterlesen ...

Spannungsfeld des technologischen Fortschritts | 01.11.2018 | ASMZ, Ausgabe November 2018, Cyber Observer Kolumne
Die Kolume zu den Themen Cyberwar und Cybercrime Weiterlesen ...

Artificial Intelligence Testing - Automatisierte Analyse der Fähigkeiten von sprachgesteuerten Systemen | 18.10.2018 | scip AG, Labs
Aus rechtlichen Gründen steht leider keine Vorschau zur Verfügung. Weiterlesen ...

Kritik an Biometrie | 01.10.2018 | ASMZ, Ausgabe Oktober 2018, Cyber Observer Kolumne
Die Kolume zu den Themen Cyberwar und Cybercrime Weiterlesen ...

eSports - Professionelles Cheating in Computerspielen | 06.09.2018 | scip AG, Labs
Aus rechtlichen Gründen steht leider keine Vorschau zur Verfügung. Weiterlesen ...

Schwierigkeit Operations Security | 01.09.2018 | ASMZ, Ausgabe September 2018, Cyber Observer Kolumne
Die Kolume zu den Themen Cyberwar und Cybercrime Weiterlesen ...

Zukunft von Deepfakes | 01.08.2018 | ASMZ, Ausgabe August 2018, Cyber Observer Kolumne
Die Kolume zu den Themen Cyberwar und Cybercrime Weiterlesen ...

Brennpunkt Digitalisierung | 01.07.2018 | ASMZ, Ausgabe Juli 2018, Cyber Observer Kolumne
Die Kolume zu den Themen Cyberwar und Cybercrime Weiterlesen ...

Medizinroboter und ihre Sicherheit - Am Beispiel von Rehabilitationsrobotern | 14.06.2018 | scip AG, Labs
Das Thema Cybersecurity im Medizinalbereich ist unglaublich facettenreich. Die Vielzahl der mittlerweile eingesetzten technischen Gerätschaften macht sie, die Krankenhäuser, Ärzte und Patienten zu einem lohnenden Ziel. Dieser Artikel diskutiert, dass die in der Medizin eingesetzten Roboter dabei mitberücksichtigt werden müssen. Weiterlesen ...

Cyberangriffe mit Einfluss auf die Wirtschaftsleistung | 01.06.2018 | ASMZ, Ausgabe Juni 2018, Cyber Observer Kolumne
Die Kolume zu den Themen Cyberwar und Cybercrime Weiterlesen ...

Excel Forensik - Aktivitäten ohne Track Changes erkennen | 03.05.2018 | scip AG, Labs
Die forensische Untersuchung von manipulierten Dateien konzentriert sich traditionell auf Fragmente auf dem Dateisystem. Moderne Dateiformate können jedoch ihrerseits Daten enthalten, die Rückschlüsse auf Aktivitäten und Benutzer geben können. Im Rahmen eines kundenspezifischen Projekts haben wir einen neuartigen Ansatz gefunden, wie dies bei Excel-Dokumenten umgesetzt werden kann. Weiterlesen ...

Cyberwar und Künstliche Intelligenz | 01.05.2018 | ASMZ, Ausgabe Mai 2018, Cyber Observer Kolumne
Die Kolume zu den Themen Cyberwar und Cybercrime Weiterlesen ...

WebAuthn - Zukunft der Authentisierung im Web | 24.04.2018 | scip AG, Labs
Das World Wide Web Consortium (W3C) und FIDO Alliance haben eine neue Spezifikation vorgestellt. Durch WebAuthn (Web Authentication) soll eine Standardisierung der sicheren Authentisierung im Web erreicht werden. Durch sie wird definiert, wie Hardware-Mechanismen (z.B. USB, Bluetooth oder NFC) angesteuert werden können. Die grossen Browserhersteller wie Microsoft, Google und Mozilla haben sich dem Standard verpflichtet und werden ihn zukünftig implementieren. Weiterlesen ...

Car Hacking - Analyse der Mercedes Connected Vehicle API | 05.04.2018 | scip AG, Labs
Früher sprach man vom Computer im Auto. Heute muss man stattdessen vom Computer mit vier Rädern sprechen. Verschiedene Hersteller bieten eine Kommunikation mit ihren Fahrzeugen über das Internet an. Dieser Artikel bespricht die Möglichkeiten, die Mercedes im Rahmen der jüngst als experimentell veröffentlichten Connected Vehicle API zur Verfügung stellt. Weiterlesen ...

Swisscom und die Konsequenzen | 01.04.2018 | ASMZ, Ausgabe April 2018, Cyber Observer Kolumne
Die Kolume zu den Themen Cyberwar und Cybercrime Weiterlesen ...

Fake News und Deepfakes | 01.03.2018 | ASMZ, Ausgabe März 2018, Cyber Observer Kolumne
Die Kolume zu den Themen Cyberwar und Cybercrime Weiterlesen ...

Personalisiertes Phishing - Mögliche erste Angriffe nach Swisscom-Datendiebstahl | 09.02.2018 | scip AG, Labs
Der Schweizer Telekommunikationskonzern Swisscom musste an der Pressekonferenz am 07. Februar 2018 zugeben, dass im Herbst zuvor rund 800’000 Personendaten entwendet wurden. Die betroffenen Datensätze umfassen Name, Adresse, Telefonnummer und Geburtsdatum. Im Rahmen der umstrittenen Krisenkommunikation wurde mehrfach betont, dass durch die Swisscom noch kein Missbrauch der Daten festgestellt werden konnte. Weiterlesen ...

Graphical User Interface Security - Race Conditions als konkrete Gefahr | 01.02.2018 | scip AG, Labs
Im Rahmen von Source Code Analysen sollen Schwachstellen in Software identifiziert werden. Dabei konzentriert man sich klassischerweise auf die sequenziellen Abläufe, die nach der Übergabe einer spezifischen Benutzereingabe initiiert werden. Hierbei wird die Logik des Graphical User Interface (GUI) aber gerne ignoriert, wodurch Schwachstellen übersehen werden können. Weiterlesen ...

Künstliche Intelligenz in der Kriegsführung | 01.02.2018 | ASMZ, Ausgabe Jan/Feb 2018, Cyber Observer Kolumne
Die Kolume zu den Themen Cyberwar und Cybercrime Weiterlesen ...

Künstliche Intelligenz - Ein Modell zur Menschlichkeit | 04.01.2018 | scip AG, Labs
Es gibt eine Reihe von Technologien, denen sowohl auf technischer als auch auf gesellschaftlicher Ebene die Möglichkeit zur Disruption beigemessen wird. Unter anderem zeichnet sich ab, dass Künstliche Intelligenz (KI) zu einem zentralen Bestandteil unseres Lebens werden wird. Dieser Artikel bespricht, welche Mechanismen etabliert werden müssen, damit eine KI als intelligent und menschlich wahrgenommen wird. Weiterlesen ...

scip Cybersecurity Forecast | 21.12.2017 | scip AG, Labs
Wie jedes Jahr möchten wir auch zum Ende des Jahres 2017 einen Forecast für das kommende Jahr 2018 machen. Nachfolgend eben jene Themen, die sich unseres Erachtens manifestieren oder gar noch weiterentwickeln werden. Weiterlesen ...

Komplexität als Gefahr | 01.12.2017 | ASMZ, Ausgabe Dezember 2017, Cyber Observer Kolumne
Die Kolume zu den Themen Cyberwar und Cybercrime Weiterlesen ...

Cyberversicherungen - Vorteil und Nutzen | 23.11.2017 | scip AG, Labs
In den letzten Jahren haben sich verschiedene Versicherungsanbieter darum bemüht, ihre Cyberversicherungen auf dem Markt bekannt zu machen. Der Vorteil und Nutzen solcher Angebote ist vieldiskutiert, weshalb dieser Artikel einen Überblick verschaffen soll, ob und inwiefern von solchen Versicherungen profitiert werden kann. Weiterlesen ...

Exploit-Preise und ihre Zukunft | 01.11.2017 | ASMZ, Ausgabe November 2017, Cyber Observer Kolumne
Die Kolume zu den Themen Cyberwar und Cybercrime Weiterlesen ...

Malware Entwicklung - Professionalisierung einer alten Kunst | 05.10.2017 | scip AG, Labs
Mein Einstieg in den Bereich Cybersecurity fand ich in der ersten Hälfte der 90er Jahre. Damals bin ich per Zufall in der lokalen Bücherei über ein Buch zum Thema Computerviren gestolpert. Die darin enthaltenen Konzepte sollten mir schlussendlich den Zugang zur Programmierung, gerade in Bezug auf unkonventionelle Konzepte, ermöglichen. Dieses obskure Hobby konnte ich Jahre später zum Beruf machen. Wie professionelle Malware-Entwicklung heutzutage aussieht, soll dieser Artikel diskutieren. Dadurch kann das Verständnis, vor allem in Bezug auf moderne Malware-Infektionen, gefestigt werden. Weiterlesen ...

Verbot von Verschlüsselung | 01.10.2017 | ASMZ, Ausgabe Oktober 2017, Cyber Observer Kolumne
Die Kolume zu den Themen Cyberwar und Cybercrime Weiterlesen ...

Profiling im Internet | 01.09.2017 | ASMZ, Ausgabe September 2017, Cyber Observer Kolumne
Die Kolume zu den Themen Cyberwar und Cybercrime Weiterlesen ...

Personal Digital Assistants - Die Zukunft der allgegenwärtigen K.I. | 06.07.2017 | scip AG, Labs
Bei digitalen Personal Assistants bzw. Virtual Assistants handelt es sich um Lösungen, die einem im Alltag die Möglichkeiten eines Assistenten gewähren wollen. Verschiedene Produkte buhlen um die Gunst der Nutzer. Dieser Artikel diskutiert die Möglichkeiten und zukünftigen Entwicklungen, die sich in diesem Bereich, der einen massgeblichen Einfluss auf technischer und soziologischer Ebene haben wird, entfalten werden. Weiterlesen ...

Anti-Fraud bei Online-Diensten - Betrügerische Anomalien erkennen | 15.06.2017 | scip AG, Labs
Banken, Kreditkartenaussteller und Online-Händler sind gleichermassen mit dem Problem des Betrugs konfrontiert. Dieser Artikel bespricht, wie anhand des Verhaltens von Betrügern bzw. den durch sie zugeführten Zugriffen böswillige Aktivitäten erkannt und auf diese reagiert werden kann. Weiterlesen ...

Security Development Lifecycle - Mehr Sicherheit durch sichere Entwicklung | 13.04.2017 | scip AG, Labs
Das Akronym SDLC steht traditionell für Systems Development Life Cycle. Ein solcher wird etabliert, um Systeme fachgerecht aufbauen, erweitern und betreiben zu können. Durch die verschiedenen Phasen des Kreislaufs sollen Optimierungen in Bezug auf Effizienz und Zuverlässigkeit erlangt und aufrechterhalten werden. Gleichzeitig wird damit aber auch die Möglichkeit geschaffen, Security konsequent einzubringen. Dieser Artikel bespricht das Prinzip des Security Development Lifecycle, der sich auf die Sicherheitsaspekte entsprechender Lösungen fokussiert. Weiterlesen ...

Exploit-Markt Prognosen - Ein Blick in die Zukunft | 09.02.2017 | scip AG, Labs
Seit Jahren beobachten wir den kommerziellen Markt für Exploits, wodurch wir ein Modell zur Berechnung von Preisen entwickeln konnten. In diesem Artikel sollen die aktuellen Strukturen der Märkte analysiert und sich abzeichnende Trends aufgezeigt werden. Dadurch können Bedürfnisse und Absichten der Angreifer sowie die Robustheit unterschiedlicher Produkte abgeleitet identifiziert werden. Weiterlesen ...

scip Cybersecurity Forecast | 22.12.2016 | scip AG, Labs
Wie jedes Jahr möchten wir auch zum Ende des Jahres 2016 einen IT Security Forecast für das kommende Jahr 2017 machen. Nachfolgend eben jene Themen, die sich unseres Erachtens manifestieren oder gar noch weiterentwickeln werden. Weiterlesen ...

Exploit-Preise - Analyse des Markts für Digitale Waffen | 13.10.2016 | scip AG, Labs
Angriffe auf Computersysteme haben in den letzten 20 Jahren eine teilweise erstaunlich anmutende Professionalisierung erfahren. Diese hat neben technischen Weiterentwicklungen ebenfalls zu einer enormen wirtschaftlichen Entfaltung geführt. Auf verschiedenen Märkten werden gestohlene Daten und kompromittierte Systeme gehandelt, wodurch der Handel mit Exploits ebenso ein Wachstum erfahren hat. Dieser Artikel bespricht die Preisstruktur, welche im Exploitmarkt beobachtet werden kann. Weiterlesen ...

CVSSv3 als Risikometrik - Eine detaillierte Betrachtung | 21.07.2016 | scip AG, Labs
Das Common Vulnerability Scoring System wird von vielen Firmen, Produkten und Projekten als Metrik zur Bewertung von Schwachstellen eingesetzt. Viele davon stellen mittlerweile auf die jüngste Version 3 um. Dieser Artikel diskutiert eine solche Transformation, ihre Herausforderungen und die neuen Möglichkeiten. Weiterlesen ...

Blockchain ist die Zukunft - Einführung in die revolutionäre Technologie | 23.06.2016 | scip AG, Labs
Langsam aber sicher tritt die Blockchain aus dem Schatten von Bitcoin heraus. Bei Bitcoin handelt es sich um eine Kryptowährung, die im virtuellen Raum gehandelt wird. Dieser Handel ist nur durch den Einsatz der Blockchain möglich, die zur Beglaubigung der digitalen Transaktionen eingesetzt wird. Dieser Beitrag diskutiert die Funktionsweise und Möglichkeiten der Blockchain, die aller Voraussicht nach grosse Teile des zukünftigen Handels und damit weitreichende Teile unserer Gesellschaft verändern wird. Weiterlesen ...

Analyse von Medizingeräten - Ein pragmatischer Ansatz | 09.06.2016 | scip AG, Labs
Medizingeräte gehören zur Ausstattung moderner Krankenhäuser, Arztpraxen und Labors. Die spezialisierten Geräte werden durch das Fachpersonal eingesetzt, um medizinale Daten sammeln, auswerten, darstellen und verschicken zu können. In diesem Beitrag wird das methodische Vorgehen einer Sicherheitsanalyse solcher Medizinalgeräte beschrieben. Dieses ist im weitesten Sinn auch auf andere Spezialgeräte übertragbar. Weiterlesen ...

DRM/RMS - Die nächste Generation von Zugriffsrechten | 03.03.2016 | scip AG, Labs
File access rights are an important aspect of applied computer security. Yet they have been somewhat neglected in the past two decades - almost completely forgotten at times - as a result of new attack vectors that had to be addressed with other security mechanisms. DRM/RMS is beginning to assert a new generation of access rights management capable of revolutionizing the field of information security. This article discusses the current implementations and the possibilities that they present. Weiterlesen ...

Darknet - A Look at the Virtual Black Market | 14.01.2016 | scip AG, Labs
The Darknet is a hidden area of the Internet. It is only accessible using special software and relationships of trust. During extensive research various areas of the Darknet have been investigated. Part of this research is presented in this article. Weiterlesen ...

scip IT Security Forecast 2015 | 24.12.2015 | scip AG, Labs
Wie jedes Jahr möchten wir auch zum Ende des Jahres 2015 einen IT Security Forecast für das kommende Jahr 2016 machen. Nachfolgend eben jene Themen, die sich unseres Erachtens manifestieren oder gar noch weiterentwickeln werden. Weiterlesen ...

Drohnen - Nächste Generation der Informationskriegsführung | 19.11.2015 | scip AG, Labs
Im Rahmen unserer Forschungsarbeit konnten wir rund 200 Einsatzmöglichkeiten für Drohnen identifizieren: Sie können zur Unterhaltung eingesetzt werden, Pakete ausliefern, Observation und Überwachung vornehmen oder bei bewaffneten Konflikten zum Einsatz kommen. Diese und weitere Möglichkeiten werden einen Einfluss auf gesellschaftliche, technologische und juristische Aspekte haben. Dieser Beitrag fasst einen Teil unserer Erkenntnisse zusammen und gibt sowohl einen Blick auf den aktuellen Stand als auch auf die Zukunft des vielschichtigen Themas. Weiterlesen ...

Risiken durch iBeacon | 03.09.2015 | scip AG, Labs
Bei iBeacon handelt es sich um ein Protokoll, das durch Apple standardisiert und 2013 vorgestellt wurde. Mehrere Hersteller unterstützen diese Technologie. Hierbei werden Hardware-Transmitter bereitgestellt, die durch Bluetooth Low Energy ihre eindeutige ID aussenden. Durch Annäherung an ein iBeacon wird es einem Gerät (z.B. einem Smartphone) möglich, bestimmte Aktionen auszulösen. Weiterlesen ...

Die richtige Authentisierung für Mobile Apps | 02.07.2015 | scip AG, Labs
Im Zeitalter von Smartphones gibt es eigentlich für alle Zwecke eine App. Nicht umsonst warb Apple im Jahr 2009 mit dem patentierten Slogan There is an App for that für das iPhone 3G. Viele Dienste bieten mittlerweile die mobile Möglichkeit, sie im Rahmen einer App zu nutzen. Dabei gibt es immer wieder die Diskussion, ob und inwiefern eine Authentisierung im Rahmen solcher Erweiterungen umzusetzen sind. Weiterlesen ...

Erkennung von Firewalling zur Professionalisierung von Angriffen | 16.04.2015 | scip, Labs
Im Rahmen unserer Sicherheitsüberprüfungen ist es nichts Ungewöhnliches, dass Auditoren, Kunden und Partner über die Beschaffenheit von Schwachstellen und Risiken diskutieren. Ein solcher Diskurs ist, sofern er denn gesittet und respektvoll abläuft, von enormer Wichtigkeit. Dies sowohl in Bezug auf die Qualität des Projekts als solches, aber auch in Bezug auf das gesamtheitliche Verständnis des Themas Informationssicherheit. Dieser Beitrag illustriert die Problematik der Erkennung von Firewall-Komponenten. Weiterlesen ...

Wearables in der Praxis | 22.01.2015 | scip AG, Labs
Im Bereich der Informatik erschliessen sich alle paar Jahre neue Themenbereiche, über die viel geredet wird, die aber nicht wirklich greifbar sind. Erst nach vielen Jahren konnte sich das Marketing-Wirrwarr auflösen und einem nüchternen Verständnis für die neuen Möglichkeiten und Risiken Platz machen. So geht es momentan dem Thema Wearable Computer, auf dem Körper getragenen Kleinstcomputern. In diesem Beitrag möchte ich meine persönlichen Eindrücke, die ich die letzten Wochen mit einer Smartwatch gesammelt habe, illustrieren. Weiterlesen ...

scip IT Security Forecast 2015 | 19.12.2014 | scip AG, Labs
Wie jedes Jahr möchten wir auch zum Ende von 2014 einen IT Security Forecast für das kommende Jahr 2015 machen. Entsprechend eben jene Themen - nach Möglichkeiten in der Reihenfolge absteigender Priorität -, die sich unseres Erachtens manifestieren oder gar noch weiterentwickeln werden. Weiterlesen ...

scip Labs Buch 6 | 27.11.2014 | scip AG, Zürich, ISBN 978-3-9524389-0-9 (DE) / 978-3-9524389-2-3 (EN)
Das zweite Buch führt die Idee der scip Labs weiter, wobei hier die Artikel des Jahres 2014 abgedruckt werden. Aufgrund der enormen Anfrage des letztjährigen Buches wird die Auflage erhöht sowie eine deutsche und eine englische Fassung herausgegeben. Dieses Buch wird erstmals am Book Launch Event in Zürich einem breiten Publikum vorgestellt werden. Weiterlesen ...

Skype als Sicherheitsrisiko | 18.09.2014 | scip AG, Labs
Skype ist seit langem ein beliebtes System, um Sprach- und Videoanrufe zu führen. Die Popularität der Lösung ist auf ihre Einfachheit hin zurückzuführen, die zu einer hohen Verbreitung und damit zu einem Mehr an Attraktivität geführt hat. Aus Benutzersicht mag Skype viele Vorteile mitbringen. Aus Sicht eines Unternehmens, das um die Kontrolle und den Schutz des eigenen Netzwerks bemüht ist, handelt es sich bei Skype um einen Albtraum. Dieser Beitrag beleuchtet die sicherheitstechnischen Schwierigkeiten und die daraus resultierenden Risiken, die mit Skype einhergehen. Weiterlesen ...

Richtig beraten will gelernt sein | 04.08.2014 | computec.ch, Marc's Blog
Ich bin nun schon viele Jahre als Berater tätig. Und da ich meinen Beruf nicht als ein Müssen, sondern als eine Kunst verstehe, wollte ich stets die Prinzipien dessen verstehen. Daher habe ich über die Zeit ein Gespür entwickelt, was einen guten Berater ausmacht. Weiterlesen ...

Funktionstests eines IDS/IPS | 03.07.2014 | scip AG, Labs
Intrusion Prevention Systeme (IPS) galten vor bald 15 Jahren als Weiterführung von Intrusion Detection Systemen (IDS). IDS sollten dabei helfen, Angriffsversuche und erfolgreiche Attacken als solche zu erkennen, um auf diese reagieren zu können. IPS gehen einen Schritt weiter und versuchen laufende Attacken frühestmöglich zu unterbinden. Die gegebene Sicherheit einer Umgebung sollte damit unmittelbar verbessert werden. Die Möglichkeit eines systematischen Funktionstests soll in diesem Beitrag illustriert werden. Weiterlesen ...

Out of Scope als latente Gefahr | 30.06.2014 | computec.ch, Marc's Blog
Bei einer Sicherheitsüberprüfung wird ein Objekt analysiert. Was alles zu diesem 'Objekt' gehört, wird im Scope festgelegt. Ein typisches Scoping lautet zum Beispiel 'alle vom Internet erreichbaren Systeme' oder 'System X als authentisierter Benutzer'. Diese Definition ist also massgeblich mitentscheidend, was und wie etwas betrachtet werden wird. Weiterlesen ...

Trolling als konstruktives Hobby | 10.06.2014 | computec.ch, Marc's Blog
Ich bewege mich nun seit bald 20 Jahren tagtäglich im Internet und habe schon so manche lustige, kuriose und absurde Geschichte gelesen oder war gar Teil davon. Die Summe der Ereignisse dieser Färbung und die mit ihr einhergehende gefühlte Zunahme hat mich dazu bewogen, viele Sachen nicht mehr oder nur noch beschränkt ernst zu nehmen. Weiterlesen ...

Adventures in a Decade of Tracking and Consolidating Security Vulnerabilities | 02.06.2014 | Area41, Komplex457, Zürich
Der Vortrag zeigt am Beispiel unserer hauseigenen Verwundbarkeitsdatenbank auf, welche Möglichkeiten und Schwierigkeiten beim Katalogisieren von Sicherheitslücken auftreten können. Weiterlesen ...

Im Blindflug | 26.05.2014 | computec.ch, Marc's Blog
Das Kernelement von Informationssicherheit ist Transparenz. Nur dann, wenn diese gewährleistet werden kann, können Risiken erkannt, bewertet und adressiert werden. Ohne Transparenz ist es unmöglich, ein sicheres System zu betreiben und um die Sicherheit dessen zu wissen. Weiterlesen ...

Source Code Analyse - Eine Einführung | 24.04.2014 | scip AG, Labs
Eine sehr mächtige Methode einer Sicherheitsüberprüfung stellt die Source Code Analyse (SCA) dar. Bei dieser wird der Programmcode einer Software auf etwaige Schwachstellen hin untersucht. Dieser Beitrag diskutiert die Grundlagen einer solchen Review. Weiterlesen ...

Psychologische Manipulation im Hypothekarzinsumfeld | 07.04.2014 | computec.ch, Marc's Blog
Gestern warnte der Blick am Sonntag mit der Schlagzeile Immobilienbesitzern drohen massiv höhere Zinsen. Die Kernaussage schlug sich wie folgt nieder: 'In Tiefzinsphasen wie heute sollen [Eigenheimbesitzer] nicht mehr mit dem normalen Zins auf ihrem Hypokredit davonkommen. Neu sollen sie jenen Zins zahlen, mit dem die Banken intern in ihren Sicherheitsmodellen rechnen. Dieser kalkulatorische Zins liegt bei rund fünf Prozent und ist damit mindestens doppelt so hoch wie der Hypothekarzins.' Weiterlesen ...

Manuelle Firewall Rule Reviews - Bitte nicht! | 17.03.2014 | computec.ch, Marc's Blog
Firewall Rule Reviews sind ein wichtiger Bestandteil von Sicherheitsüberprüfungen. Bei diesen wird das Regelwerk einer Firewall auf Schwachstellen hin untersucht. Welchen Herausforderungen hierbei mit welchen Ansätzen entgegnet werden kann, habe ich in verschiedenen Fachpublikationen und Vorträgen illustriert. Weiterlesen ...

Security of Unified Communications using Microsoft Lync as an Example | 20.02.2014 | scip AG, Labs
The subject of Unified Communications (UC) isn't really all that new. But due the ongoing professionalization of these solutions, the systems have gotten a boost in popularity within company environments. Combining real time communications methods, these systems offer new possibilities and adds efficiency. Microsoft Lync is a commercial solution that is gaining more and more ground. Therefore, Lync is being used as an example to show the security concerns that come with UC. Weiterlesen ...

Chancen verpassen | 13.01.2014 | computec.ch, Marc's Blog
Ich arbeite nun schon viele Jahre im Bereich der Informationssicherheit. Habe schon manche Idee gehört, viele Dinge gesehen und gewisse Trends miterlebt. Ohne mein übersteigertes Selbstwertgefühl offenbaren zu wollen, würde ich mal behaupten, dass ich Mehr zum Thema weiss, als viele andere Leute. Weiterlesen ...

Widerstand ist zwecklos | 17.12.2013 | computec.ch, Marc's Blog
Ich hab schon viel erlebt bei meiner Arbeit. Immer mal wieder erzeugen sich Situationen, in denen ich mit Leuten zu tun habe, die mich nicht so gut finden. Sei dies nun aus rein subjektiver Sicht, da sie mein Auftreten nicht mögen. Oder halt wegen firmenpolitischer Gründe, weil sie sich durch meine Tätigkeit bevormundet fühlen. Weiterlesen ...

HP TippingPoint - Analyse der Protection Filter | 11.12.2013 | scip AG, Labs
Das Thema Intrusion Prevention-Systeme (IPS) ist bald seit 15 Jahren im Bewusstsein der angewandten Computersicherheit präsent. Genau wie Intrusion Detection-Systeme (IDS) sind sie einige Zeit eher stiefmütterlich behandelt worden. Zu komplex und schwierig handzuhaben schien das Thema. Mit der Vereinfachung und Professionalisierung dieser Themengebiete wurden sie aber wieder zunehmend salonfähig. Weiterlesen ...

Heuristik durch Zwischenaktivitäten umgehen | 02.12.2013 | computec.ch, Marc's Blog
Meine ersten Gehversuche im Bereich der Computersicherheit habe ich mit dem Entwickeln von Viren gemacht. Ich war fasziniert vom Wettlauf zwischen Malware und Antiviren-Lösungen. Dies zu beobachten und vergangene sowie aktuelle Geschehnisse nachzuprogrammieren, sollte mir ein weitreichendes Verständnis zum Thema bescheren. Weiterlesen ...

Iterative Sicherheit | 19.11.2013 | computec.ch, Marc's Blog
Es gibt den berühmten Ausspruch von Bruce Schneier, dass Sicherheit ein Prozess sei. In meinem Tractatus habe ich dies in Frage gestellt und behauptet, dass Sicherheit ein Zustand ist, der zerfallen kann. Aus diesem Grund sei es von enormer wichtigkeit, dass der Zustand stetig erneuert und damit die Sicherheit aufrecht erhalten wird. Weiterlesen ...

Suchmaschinen-Ranking durch Duplikate negativ beeinflussen | 17.10.2013 | scip AG, Labs
Im Rahmen einer Forschungsarbeit sind wir über eine neue Angriffsmöglichkeit im Umfeld von Webseiten gestossen. Diese stellen verschiedene Seiten bereit, die wiederum durch Besucher aufgerufen und angezeigt werden können. Um den Zugriff auf die verschiedenen Webserver und die durch sie bereitgestellten Dokumente zu erleichtern, werden Suchmaschinen eingesetzt. Klassische Suchmaschinen benutzen Crawler oder Bots, um die jeweiligen Dokumente aufzusuchen, zu indizieren und damit durchsuchbar zu machen. Weiterlesen ...

Benutzernamen - Eine Kunst für sich | 03.10.2013 | scip AG, Labs
Im Bereich der theoretischen und angewandten Informationssicherheit haben Diskussionen zu Passwörtern ihren festen Platz. Da wird diskutiert über Auswahl, Komplexität und Lebensdauern der geheimen Zeichenketten. Ein Thema, das damit verbunden und artverwandt ist, jedoch meistens aussen vor gelassen wird, sind Benutzernamen. Weiterlesen ...

Wer aufgibt, der hat schon verloren | 26.08.2013 | computec.ch, Marc's Blog
Vor kurzem hatte ich einmal mehr eine Diskussion darüber, ob das Verstecken der SSID in einem WLAN empfohlen werden soll oder nicht. Ich vertrete dabei die Position, dass man aus Sicherheitsgründen von dieser Möglichkeit Gebrauch machen sollte. Weiterlesen ...

Risiken akzeptieren, Auswirkungen aber nicht | 12.08.2013 | computec.ch, Marc's Blog
Als ich im Bereich Informationssicherheit zu arbeiten begonnen habe, wurde ich in erster Linie von meinem Enthusiasmus getragen. Das Thema war spannend und ich in alle Facetten und Details dessen vernarrt. Alles, was ich betrachtet habe, habe ich unter dem Blickwinkel der Informationssicherheit betrachtet. Darum sollte es gehen. Das sollte das Ziel sein. Weiterlesen ...

Hack in a Limited Windows Box | 08.08.2013 | scip AG, Labs
Nachfolgend soll ein kleines Cheatsheet zur Verfügung gestellt werden, um wiederkehrende Aufgaben in einer restriktiv ausgelegten Windows-Umgebung möglichst einfach und effizient durchführen zu können. Weiterlesen ...

Anfang und Ende eines Security Tests | 29.07.2013 | computec.ch, Marc's Blog
Ich habe schon mehrfach betont, dass ich enthusiastische Amateuere mag. Sie sind es nämlich, die am ehesten die grossen und unkonventionellen Revolutionen in einem Fachbereich provozieren können. Und nicht die alteingesessenen Herren - zu denen gehöre ich vielleicht auch langsam -, die sich an Konventionen orientieren und auf ihren Lorbeeren ausruhen. Weiterlesen ...

Open-Source Lösungen modifizieren | 11.07.2013 | scip AG, Labs
Im Zuge des bestehenden Kostendrucks entscheidet sich so mancher Kunde dafür, auf eine freie Lösung zu setzen. Technische Mitarbeiter sehen darin oftmals weniger den kommerziellen Faktor als Killerkriterium, sondern die Möglichkeit, aufgrund der Offenheit der Lösung eigene Anpassungen einbringen zu können. Dadurch verspricht man sich ein hohes Mass an Flexibilität. Weiterlesen ...

Information Security muss 'fair' sein | 24.06.2013 | computec.ch, Marc's Blog
In Fachkreisen sprechen Sicherheitsexperten gerne davon, dass Security ein sogenannter 'Enabler' sein muss. Also eine Komponente, die einen Dienst möglicht macht. Möglich im Sinn, dass die gegebenen Risiken zum Wohle aller adressiert werden, wodurch ein gutes Gefühl und damit ein wirtschaftlich tragbarer Business Case generiert werden kann. Weiterlesen ...

MD5 ist tot? Das hättest Du wohl gern! | 10.06.2013 | computec.ch, Marc's Blog
Es gab nur wenige Fächer in der Schule, für die ich mich begeistern konnte. Eines davon war der Deutschunterricht. Mitunter trug hierzu mein quirrliger Deutschlehrer, Herr Baumgartner, bei. Der Mann mit deutschen Wurzeln war ein Verfechter der geschickten Wortwahl. Und er stiess sich unglaublich daran, wenn ein gemeiner Schreiberling mit seinem Halbwissen ein grammatikalisches und interpunktuelles Massaker veranstalten sollte. Weiterlesen ...

Normalisierung von Nachrichten-Informationen | 27.05.2013 | computec.ch, Marc's Blog
Die Verteilung von Nachrichten ist ein zentraler Bestandteil der modernen Informationsgesellschaft. Dies geschieht über verschiedene Kanäle. Darunter fallen traditionelle Medien wie Zeitungen, Radio und Fernsehen. In multimedialer Weise spielt mittlerweile das Internet eine grosse Rolle, das über Nachrichtenportale, Twitter, RSS und andere Dienste bzw. Technologien zur Verbreitung von Neuigkeiten beiträgt. Weiterlesen ...

Risiken und ihre Akzeptanz | 13.05.2013 | computec.ch, Marc's Blog
Unser Job ist es, Risiken aufzuzeigen und bisweilen sie zu beweisen. Zu diesem Zweck identifizieren wir mögliche Angriffspunkte, setzen diese in Relation zu einem Angriffsszenario und bewerten dieses in Bezug auf Aufwand und Möglichkeiten. Typischerweise weisen wir das Risiko anhand einer Skala mit den Werten Low, Medium, High und Emergency aus. Weiterlesen ...

Eine Ode an die RFCs | 30.04.2013 | computec.ch, Marc's Blog
Bevorzugt steckte ich meine Nase in RFCs. RFC steht für Request for Comments. Hierbei handelt es sich um offene Dokumente, die eine Netzwerktechnologie spezifiziert oder gar standardisiert. In der Regel beschreibt ein einzelnes RFC eine einzelne Technologie und RFCs werden durchnummeriert. Weiterlesen ...

Mit Risiken leben | 15.04.2013 | computec.ch, Marc's Blog
Manche Menschen sind sehr vorsichtig. Zum Beispiel ich. Gefährliche Dinge behagen mir nicht. Egal, welche Möglichkeiten sie auftun. Dafür bin ich eigentlich dankbar. Denn ansonsten würde ich wohl als Drogenhändler mein Dasein fristen. Die ständige Angst, für meine Vergehen geahndet zu werden, würden der Helligkeit meines Gemüts kaum zuträglich sein. Weiterlesen ...

Timing für effiziente unentdeckte Portscans | 11.04.2013 | scip.ch
Im Rahmen eines Penetration Tests wurden an uns eher spezielle Anforderungen gestellt: Die Zugriffe sollten möglichst effizient durchgeführt werden, ohne durch auf den Systemen eine Alarmierung auszulösen. Weiterlesen ...

Sind Firewalls unnötig? | 02.04.2013 | computec.ch, Marc's Blog
Man hört immerwieder kritische Stimmen, die Sicherheitsprodukte als Snake-Oil bezeichnen. Dass dies im Zusammenhang mit Antiviren-Lösungen stimmen kann, wenigstens in Bezug auf den Marketing-Aspekt, habe ich in einem vorangegangenen Beitrag erläutert. Die Kritiker gehen aber noch einen Schritt weiter und behaupten, dass gar Firewalls als Snake-Oil zu taxieren und damit überflüssig sind. Ist dem so? Weiterlesen ...

Schlecht gelebte Paranoia | 18.03.2013 | computec.ch, Marc's Blog
Es ist nichts Ungewöhnliches, eine Sicherheitsüberprüfung vor Ort durchzuführen. Dies geschieht in der Regel dann, wenn man die Sicherheit interner Systeme oder gegenüber internen Benutzern prüfen will. Weiterlesen ...

Jumping to Conclusions | 04.03.2013 | computec.ch, Marc's Blog
Eine der Serien, die ich hingegen nach drei Seasons nicht weiter verfolgt habe - meine Zeit ist schliesslich auch begrenzt - ist Bones. Die im deutschsprachigen Fernsehen mit dem Untertitel 'Die Knochenjägerin' laufende Serie dreht sich um eine forensische Anthropologin, die in erster Linie mittels Knochen kriminologische Rückschlüsse tätigt. Die Hauptfigur Dr. Temperance Brennan gilt als sehr verschroben und nüchtern. Immerwieder massregelt sie ihr Team mit den Worten: 'Don't jump to conclusions without all the facts.' Weiterlesen ...

Audit nach Forensik - Die Nadel im Heuhaufen | 18.02.2013 | computec.ch, Marc's Blog
Wirklich Hektisch wird unser Alltag eigentlich erst dann, wenn eine forensische Analyse ansteht. Dann, wenn in Systeme eingebrochen wurde und schnellstmöglich Ursachen und Auswirkungen bestimmt werden sollen. Gerade wenn komplexe Live-Systeme betroffen sind und man nicht mal eben eine neue 'saubere' Umgebung hochfahren kann, wird das Ganze eine Gratwanderung zwischen der Durchführung der Analyse und dem Aufrechterhalten des Betriebs. Weiterlesen ...

Sichere und ergonomische Timeouts | 14.02.2013 | scip.ch
Kurze Timeouts minimieren das Zeitfenster für erfolgreiche Angriffe. Und dies ganz besonders für Attacken, die einen hohen Zeitaufwand erfordern. Weiterlesen ...

Wenns bei Full-Disclosure um Leben und Tod geht | 28.01.2013 | computec.ch, Marc's Blog
Vor einiger Zeit wurde das Thema Full-Disclosure in den Massenmedien diskutiert. Dabei ging es aber nicht um den altbekannten Disput in der Information Security Community. Viel mehr stand zur Diskussion, ob Informationen zu einem neu entwickelten und hochgradig gefährlichen biologischen Virus weitergegeben werden dürfen. Weiterlesen ...

Websecurity mal anders | 07.01.2013 | computec.ch, Marc's Blog
Viele Leute können sich nicht vorstellen, wie eine Sicherheitsüberprüfung angegangen wird. Am ehesten kann man noch nachvollziehen, wie eine solche auf ein vernetztes System angewendet wird. Da werden offene Ports gesucht, Anwendungen identifiziert und mögliche Manipulationen angestrebt. Dieses Vorgehen ist weitestgehend bekannt und in unzähligen Fachpulikationen diskutiert worden. Weiterlesen ...

2012: Was war? 2013: Was wird? | 24.12.2012 | computec.ch, Marc's Blog
Wie jedes Jahr möchte ich eben dieses mit einem reflektierenden Blog-Eintrag abschliessen - Über Vergangenes sinnieren und zu Zukünftigem träumen. Einen rein technischen Ausblick auf das Jahr 2013 ist diese Tage im scip Labs Blog erschienen. Weiterlesen ...

scip IT Security Forecast 2013 | 20.12.2012 | scip.ch
Wie jedes Jahr möchten wir auch zum Ende von 2012 einen IT Security Forecast für das kommende Jahr 2013 machen. Zusammengefasst eben jene Themen, die sich unseres Erachtens manifestieren oder gar noch weiterentwickeln werden. Weiterlesen ...

Funktionstüchtige Umgebung als Voraussetzung | 10.12.2012 | computec.ch, Marc's Blog
Sicherheitsüberprüfungen können während verschiedenen Phasen eines IT-Projekts stattfinden. Da gibt es konzeptionelle Reviews, die in einer frühen Phase herangezogen werden. Oder es gibt Analysetechniken wie Source Code Reviews, die während der Umsetzung bzw. des Aufbaus einer Lösung angegangen werden. Oder es werden Real-World Penetration Tests gefahren, die während dem laufenden Betrieb angesetzt werden. Weiterlesen ...

Hobby Security Experts | 26.11.2012 | computec.ch, Marc's Blog
Ich mag Enthusiasten. Leute, die sich für etwas begeistern können und durch diese Begeisterungen einen ungemeinen Erfahrungsschatz zusammentragen können. Ich würde mich selbst auch als Enthusiast, mindestens in den ersten Jahren meiner Tätigkeit im Bereich der Computersicherheit, bezeichnen. In vielen Fachbereichen tun sich immerwieder enthusiastische Amateure hervor, die ihn in ungeahnter Weise voranzubringen in der Lage sind. Weiterlesen ...

Webapp Pentesting mit Burp | 15.11.2012 | scip.ch
Mit der Einführung neuer Technologien hat das Web immer mehr an Dynamik gewonnen und ist somit für webbasierte Applikationen immer interessanter geworden. Viele Anwendungen, die früher nativ und lokal auf einem Betriebssystem ausgeführt werden mussten, können heute remote und innerhalb eines Webbrowsers genutzt werden. Weiterlesen ...

Hacking sort() for Fun and Profit | 12.11.2012 | computec.ch, Marc's Blog
Nur wenige Leute in meinem Umfeld wissen, womit ich mein Geld verdiene. Diejenigen, die es zu wissen meinen, assoziieren meine Tätigkeit nach wie vor mit Viren und Würmern. Wer sich ein bisschen besser auskennt, der denkt als erstes an Nmap und Nessus. Die meisten denken jedoch, dass ich halt einfach 'mit Computer' zu tun habe. Mir solls recht sein. Weiterlesen ...

Hashdays Diary 2012, Tag 1: Mein Vortrag und diverse Treffen | 02.11.2012 | scip.ch
Der erste offizielle Tag mit Vorträgen begann mit dem ersten Treffen alter Bekannter. Zu meinem Erstaunen habe ich auf den ersten Blick einen Grossteil der Anwesenden gekannt. Dies freute mich natürlich sehr. Weiterlesen ...

Hashdays Diary 2012, Tag 0: Anreise und Abendessen | 01.11.2012 | scip.ch
Zum dritten Mal findet dieses Jahr die Hashdays Security Conference in Luzern statt. Und zum dritten Mal bin ich vor Ort, um einen Vortrag zu halten. Vor zwei Jahren diskutierte ich Nmap NSE Scripting, vor einem Jahr referierte ich über Software-Plagiate und dieses Jahr werde ich mich zur Analyse von Firewalls äussern. Weiterlesen ...

Machst Du Online-Banking? | 29.10.2012 | computec.ch, Marc's Blog
Die meisten Leute wissen, womit ich mein täglich Brot verdiene. Und kaum vergeht dann eine Minute, bis die klassische Frage in den Raum gestellt wird: 'Machst Du eigentlich Online-Banking?' Mein Gegenüber wartet dann in der Regel darauf, dass ich mit einem entschiedenen Nein antworte und über akkute Risiken referiere. Doch in Tat und Wahrheit passiert das Gegenteil. Weiterlesen ...

Meine Rezension zu 'Penetrations-Tests' von Thomas Werth | 17.10.2012 | computec.ch, Marc's Blog
Vor einigen Monaten ist nun ein weiteres Buch von Thomas Werth mit dem Titel 'Penetrations-Tests' im C&L Verlag erschienen. Darin führt er seine Ansätze weiter und zeigt an sehr konkreten Beispielen, wie diverse Fragestellung angegangen werden können. Weiterlesen ...

Formaler Prozess einer Config Review | 11.10.2012 | scip.ch
Die Konfigurationseinstellungen einer Komponente sind massgeblich für die Sicherheit eben dieser und der eingebetteten Umgebung verantwortlich. Aus diesem Grund sind sogenannte Configuration Reviews ein zentraler Bestandteil moderner Sicherheitsüberprüfungen geworden. Das Ziel ist, unsichere, fehlende und ineffiziente Einstellungen frühzeitig erkennen und korrigieren zu können. Weiterlesen ...

Der lange Arm des Gesetzes | 01.10.2012 | computec.ch, Marc's Blog
Spätestens wer diese Zeilen liest, dem kann ich es nicht verleugnen: Ich spreche gerne über meine Arbeit. Doch meist halte ich mich zurück, wenn ich jemand neues kennenlerne. Die meisten interessieren sich nicht wirklich für Informationssicherheit und zudem bin ich es auch leid, ständig über meine Arbeit zu reden. Weiterlesen ...

Learn Ethical Hacking - Become a Pentester | 17.09.2012 | computec.ch, Marc's Blog
Ich hatte Glück, irgendwie. Als ich mich im Bereich Security Testing professionalisieren wollte, stand die Geburt dieses Bereichs hierzulande (in der Schweiz) kurz bevor. Abgesehen davon, dass ich quasi bei der Begründung dieser Profession dabei sein durfte, führte dies auch noch andere Vorteile mit. Weiterlesen ...

Responsible Disclosure und die damit verbundene Dankbarkeit | 03.09.2012 | computec.ch, Marc's Blog
Seit Jahren streiten sich Experten darüber, ob und inwiefern gefundene Schwachstellen publiziert werden sollen. Zu grossen Teilen konnte man sich auf das sogenannte Responsible Disclosure einigen. Bei diesem wird zuerst der Hersteller über das Problem informiert, so dass diesem fairerweise Zeit eingeräumt werden kann, sich der Sache anzunehmen. Weiterlesen ...

Google Chrome Extensions für Penetration Tests | 23.08.2012 | scip.ch
Nachfolgend sollen einige der nützlichsten Google Chrome Extensions für Web Application Penetration Tests – ähnlich unserer Liste für Firefox Addons – vorgestellt werden. Die gezeigte Tabelle unterscheidet je nach Anwendungszweck. In der letzten Spalte wird die Bewertung der Extension in einer Skala von 1-5 ausgewiesen. Weiterlesen ...

Meine Verachtung für Datendiebe | 20.08.2012 | computec.ch, Marc's Blog
Die letzten Jahre waren turbulent für den Finanzplatz Schweiz. Als kulturelles Phänomen sind mitunter Datendiebe dafür verantwortlich zu machen. Also Personen, die sensitive Daten stehlen und weiterverkaufen. In der Regel handelt es sich um interne Mitarbeiter, die Kundendaten entwenden und anderen Staaten zum Kauf anbieten. Die anderen Staaten erhoffen sich daraus, Steuersünder ausmachen und diese zur finanziellen Verantwortung ziehen zu können. Weiterlesen ...

Security Awareness sei überbewertet | 06.08.2012 | computec.ch, Marc's Blog
Ich war grad im Urlaub in Kroatien, als ich in meinem RSS-Reader einen Blog Post mit dem Titel 'Why you shouldn't train employees for security awareness' entdeckt habe. Mehr oder weniger skeptisch, aber dennoch interessiert, begann ich den Beitrag zu lesen. In diesem sollte dagegen argumentiert werden, warum Geld in Awareness-Trainings von Mitarbeitern gesteckt werden sollte. Weiterlesen ...

Schwachstellen finden mittels Fuzzing | 02.08.2012 | scip.ch
Bei Fuzzing handelt es sich um eine Technik im Bereich des Software-Testing. Dabei werden in semi-automatisierter oder automatisierter Weise Eingaben getätigt, um mittels fehlerhafter Zugriffe unerwartete Reaktionen zu provozieren. Weiterlesen ...

Missverständnis Kim Dotcom | 23.07.2012 | computec.ch, Marc's Blog
Meine ersten Berührungspunkte mit der Hacker-Kultur der frühen 90er Jahre waren gänzlich anders, als das, was man heutzutage als solche bezeichnen könnte. Damals hatte das Ganze etwas sehr familiäres. Man hat sich gefreut, wenn man jemanden kennengelernt hat, der sich ebenso für Technologien begeistern kann, wie man selbst. Weiterlesen ...

Gefallene Helden | 09.07.2012 | computec.ch, Marc's Blog
Das Leben besteht aus dem Erlernen neuer Fähigkeiten. Ich selbst konnte mich schon für so manche Sache begeistern: Computer, Musik (Gitarre/Schlagzeug), Skateboard/Inline-Skaten, Tennis. Der Ablauf ist stets der Gleiche, denn zu Beginn steht man vor einem grossen Gebiet, das man nur mit Mühe - wenn überhaupt - überblicken kann. Weiterlesen ...

Antivirus ist kein Snake Oil | 25.06.2012 | computec.ch, Marc's Blog
In meinem Post mit dem Titel 'Security by Obscurity - Oder doch nicht?' habe ich einen Effekt beschrieben, bei dem Einsteiger in undifferenzieter Weise vermeintliches Fachwissen nachplappern und damit zur Verbreitung von Halbwahrheiten beitragen. Ein ähnliches Phänomen ist im Bereich Antivirus zu beobachten. Weiterlesen ...

Banner unterdrücken oder ändern? | 21.06.2012 | scip.ch
Im Rahmen unserer Vulnerability Scans taucht ein Finding immerwieder auf: Banner-Grabbing. Durch das Herstellen einer Verbindung auf einen Zeilport heisst die Zielanwendung den Benutzer mit einem Banner willkommen. In diesem sind Informationen zum eingesetzten Produkt und eventuell gar zur genutzten Version sowie zusätzlichen Informationen (z.B. Bugfixes, Plattform) enthalten. Weiterlesen ...

Firewall Rule Review - Ansatz und Möglichkeiten | 07.06.2012 | scip.ch
Durch Firewall-Systeme wird die Grundsicherheit in Netzwerken gewährleistet. Bei einer Firewall Rule Review wird das Regelwerk einer solchen Sicherheitskomponente auf etwaige Fehler und Schwächen hin untersucht. Dieser Beitrag fasst die Grundlagen einer solchen Analyse zusammen. Weiterlesen ...

Lüg mich nicht an! | 04.06.2012 | computec.ch, Marc's Blog
Unsere Familie ist sonderbar. In so manchem Fall kann diese Merkwürdigkeit in negativer Weise ausgelegt werden. Manche Eigenschaften tragen wir jedoch mit uns herum, welche sich in nützlicher Weise einsetzen lässt. So waren schon meine Eltern ausserordentlich begabt darin zu merken, wenn Leute die Unwahrheit sagen. Weiterlesen ...

Security by Obscurity - Oder doch nicht? | 21.05.2012 | computec.ch, Marc's Blog
Wer neu ist im Bereich Informationssicherheit, der stolpert als erstes Mal über den Ausdruck 'Security by Obscurity'. Nicht nur in der Kryptologie wird gelehrt, dass ein System nicht sicher sein kann, indem nur die Eigenschaften dessen geheim gehalten werden. Denn irgendwann werden sie preisgegeben oder herausgefunden, so dass die Geheimhaltung kein Vorteil mehr darstellen kann. Dann nämlich wird sich herausstellen, ob das System nun wirklich unbrechbar ist - oder halt eben nicht. Weiterlesen ...

Firewall Rule Modelling and Review | 10.05.2012 | scip.ch
Am 10. Mai 2012 fand in Bern das 24. Meeting der Swiss Network Operators Group (SwiNOG) statt. Im letzten Slot der Vortragsreihe durfte ich einen Vortrag zur systematischen Umsetzung von Firewall Rule Reviews halten. Sowohl die Slides als auch das Demo-Video werden hier bereitgestellt. Weiterlesen ...

Schwache Typisierung und ihre Sicherheitsrisiken | 03.05.2012 | scip.ch
Die Typisierung (engl. typing) wird in der Informatik verwendet, um Objekte im Rahmen der Nutzung einer Programmiersprache korrekt anzuwenden. Diese Idee der Typsysteme stammt aus der Mathematik, die ihrerseits in Bezug auf die Mengenlehre ohne Typisierung zu Widersprüchen geführt hat. Weiterlesen ...

Nicht-Eliminierbarkeit von Schwachstellen | 19.04.2012 | scip.ch
Im Rahmen von breitflächigen Sicherheitsüberprüfungen pflegen wir eine besondere Philosophie zu verfolgen: Sowohl jede mögliche als auch jede potentielle Schwachstelle, auch wenn sie (durch uns und im Rahmen des Projekts) nicht ausgenutzt werden kann, wird vermerkt und gemeldet. Es liegt sodann im Ermessen des Kunden darüber zu entscheiden, ob die potentielle Eintrittswahrscheinlichkeit und Auswirkung des Problems für ihn wahrgenommen werden will bzw. tragbar ist. Weiterlesen ...

Dinge ändern sich | 16.04.2012 | computec.ch, Marc's Blog
Als Kind und Jugendlicher war mir vor allem eines wichtig: Integrität. Das ist mir auch heute noch wichtig. Doch Durchsetzungsvermögen ohne Kompromissbereitschaft darf nicht fälschlicherweise als Integrität verstanden werden. Weiterlesen ...

1960 bis 2000 - Frühe Geschichte der Computerkriminalität | 12.04.2012 | scip.ch
Die Betrachtungen der Geschichte der Computersicherheit hilft zu verstehen, wie das Genre und die Subkultur gewachsen sind. Dabei wird ihre Entstehungsphase mit den Phone Hackern (Phreaker) in den 60er Jahren datiert, um danach die Etablierung der Personal Computer und dem Wandel zum Computer-Hacker Ende der 70er Jahre einzuleiten. Die rasante Entwicklung des Computerbereichs in den 90er Jahren hat auch dazu beigetragen, dass sich im Bereich der Informationssicherheit die Dinge überschlagen haben. Weiterlesen ...

Missverständnis Ausfallsicherheit | 05.04.2012 | scip.ch
In professionellen Umgebungen stellt Ausfallsicherheit ein sehr wichtiger Aspekt dar. Dieser versucht die Verfügbarkeit eines Objekts, dies kann beispielsweise ein Server oder ein Dienst sein, konstant bereitzustellen. Im Idealfall kann 100% Verfügbarkeit, also das Ausbleiben jeglichen Ausfalls, erreicht werden. Weiterlesen ...

Was macht ein gutes Firewall-Regelwerk aus? | 02.04.2012 | computec.ch, Marc's Blog
Seit der Gründung unseres Unternehmens im Jahr 2002 führen wir sogenannte Firewall Rule Reviews durch - Tatsächlich war das erste Projekt eine eben solche. Dabei wird das Regelwerk einer Firewall auf seine Sicherheit hin untersucht. Weiterlesen ...

Kompromittierung einer Sprachmailbox | 22.03.2012 | scip.ch
Um auf eine Sprachmailbox (engl. Voice-Mail) zugreifen zu können, muss sich bei dieser Authentisiert werden. Hierzu werden zwei unterschiedliche Verfahren eingesetzt. Weiterlesen ...

Falsches Risikomanagement am Beispiel der Kernkraft | 19.03.2012 | computec.ch, Marc's Blog
Man erinnert sich nicht gerne zurück, an die Zeit des Zwischenfalls in den Atomreaktoren in Fukushima. Zu real ist die Bedrohung, die von Zwischenfällen wie diesem ausgeht. Als die Ereignisse noch sehr frisch waren, wurden rege und emotional die Risiken von Kernkraftwerken diskutiert. Plötzlich schien sich jeder mit den Risiken entsprechender Lösungen auszukennen. Weiterlesen ...

RSS-Feeds als Angriffsvektor | 15.03.2012 | scip.ch
Das Akronym RSS steht für Really Simple Syndication. Hierbei handelt es sich um eine Familie um Formaten, die zur strukturierten Veröffentlichung von Informationen entwickelt wurde. Vorzugsweise werden durch Webseiten RSS-Feeds angeboten, auf denen die jeweiligen Neuigkeiten verteilt werden. Weiterlesen ...

In einer Zeit vor Cross Site Scripting | 05.03.2012 | computec.ch, Marc's Blog
Schon früh habe ich mich angefangen für Computerviren zu interessieren. Wirklich verstanden habe ich das Konzept aufgrund meines jugendlichen Alters noch nicht, aber ich wusste, dass ich hier meine Leidenschaft der effizienten Programmierung exotischer Lösungsstrategien ausleben konnte. Weiterlesen ...

Vereinheitlichen von Schwachstellen als Schwachstellenklassen | 23.02.2012 | scip.ch
Wann ist eine Schwachstelle eigenständig, wann eine individuelle Manifestation einer allgemeinen Schwachstelle in einem spezifischen Produkt und wann eine dedizierte Schwachstelle einer Schwachstellenklasse? Weiterlesen ...

Wassernaar, Hackerparagraf und totalitäre Systeme | 20.02.2012 | computec.ch, Marc's Blog
Das Wassenaar-Abkommen regelt die Exportkontrollen für konventionelle Waffen und doppelverwendungsfähigen Gütern und Technologien. Dieses hat vor allem in den 90er Jahren für grösses Aufsehen im Bereich der Computersicherheit gesorgt. Denn mitunter fielen ebenfalls kryptografische Systeme mit mehr als 64-bit unter diese Restriktionen. Weiterlesen ...

Backdooring mittels Outlook Rules | 16.02.2012 | scip.ch
Im Rahmen eines kundenspezifischen Projekts waren wir darum bemüht, die Fernsteuerung eines Systems über Outlook vorzunehmen. Zu diesem Zweck wurden auf dem kompromittierten System verschiedene E-Mail Rules erstellt. Diese führen beim Eintreten eines bestimmten Ereignisses eine vordefinierte Aktion aus. Nachfolgende Abbildung illustriert eine der eingebrachten Rules. Weiterlesen ...

Systematik einer praktikablen Kryptoanalyse | 09.02.2012 | scip.ch
Ein klassischer und nach wie vor wichtiger Bestandteil moderner Informationssicherheit ist die Kryptologie. Und mit ihr wird im Rahmen von Sicherheitsüberprüfungen auch die Kryptoanalyse von zentraler Wichtigkeit. Durch sie sollen kryptografisch geschützte Mechanismen verstanden und gebrochen werden. Weiterlesen ...

Preis-Dumping bei Penetration Tests | 06.02.2012 | computec.ch, Marc's Blog
Die moderne Gesellschaft hat realisiert, dass Sicherheitsüberprüfungen zum Schutz ihrer Daten ein wichtiger Bestandteil des Informationszeitalters geworden ist. Vor allem - aber nicht nur - Finanzinstitute investieren viel Geld in die Absicherung und Prüfung ihrer Lösungen. Weiterlesen ...

Ursache und Wirkung | 02.02.2012 | scip.ch
Im Bereich der Computersicherheit, namentlich in Bezug auf Sicherheitüberprüfungen, wird oftmals mit Terminologien gehadert. Abseits von diffusen technischen Definitionen treten aber auch in der allgemeinen Umgangssprache potentielle Missverständnisse auf. Weiterlesen ...

Die perfekte Leistung - Unmöglich? | 23.01.2012 | computec.ch, Marc's Blog
Meine Eltern sind begeisterte Sportler, beides ausgezeichnete Tennisspieler. Nach einer längeren Pause habe ich vor etwa 5 Jahren wieder mit dem Spiel angefangen, stehe seitdem jeweils 4 Mal pro Woche auf dem Platz. Tennis hat mein Leben in vielerlei Hinsicht - auch körperlich, psychisch und taktisch - enorm bereichert. Nur Knie- und Rückenprobleme verhindern, dass ich noch mehr spielen würde. Weiterlesen ...

WLAN absichern: 15 Tipps | 19.01.2012 | scip.ch
Im Zeitalter mobiler Geräte spielen drahtlose Netze eine wichtige Rolle. Das Absichern eines WLAN wird nach wie vor gerne vernachlässigt, da entweder die Risiken von Angriffen oder die Möglichkeiten der Sicherung nicht bekannt sind. In der nachfolgenden Liste sollen 15 praktikable Tipps aufgezeigt werden, wie ein WiFi-Netz möglichst sicher betrieben werden kann. Weiterlesen ...

Windows 8 Developer Preview Sicherheit | 12.01.2012 | scip.ch
Microsoft stellt seit einigen Wochen die Developer Preview von Windows 8 zum Download zur Verfügung. Diese Pre-Beta kann durch Entwickler genutzt werden, um sich mit den neuen Gegebenheiten der nächsten Windows-Generation auseinanderzusetzen. Weiterlesen ...

Hacktivismus nicht zu Ende denken | 09.01.2012 | computec.ch, Marc's Blog
Dezember 2011 wurde mitunter vom sogenannten Stratfor Hack beherrscht. Dabei wurde das US-amerikanische Unternehmen Stratfor Opfer eines Einbruchs, bei dem Kreditkarteninformationen, Passwörter, Telefonnummern und Mailadressen ihrer Kunden entwendet wurden. Einige dieser Daten wurden vermeintlich durch Anonymous bereitgestellt, wodurch sich für eine breite Mehrheit die Möglichkeit klassischen Kreditkartenmissbrauchs erschloss. Weiterlesen ...

scip IT Security Forecast 2012 | 22.12.2011 | scip.ch
Wie jedes Jahr möchten wir auch zum Ende von 2011 einen IT Security Forecast für das kommende Jahr 2012 machen. Nachfolgend eben jene Themen, die sich unseres Erachtens manifestieren oder gar noch weiterentwickeln werden. Weiterlesen ...

2011: Was war? 2012: Was wird? | 19.12.2011 | computec.ch, Marc's Blog
Wie jedes Jahr möchte ich eben dieses mit einem reflektierenden Blog-Eintrag abschliessen - Über Vergangenes sinnieren und zu Zukünftigem träumen. Weiterlesen ...

Welt der Wunder - Behind the Scenes | 14.12.2011 | scip.ch
Am 20. November wurde in der Sendung Welt der Wunder ein Bericht über unser Unternehmen ausgestrahlt. Darin wurde aufgezeigt, wie ein typischer Ablauf zur Prüfung der Sicherheit eines Unternehmens aussehen kann. Gerne versuche ich einen kleinen Einblick hinter die Kulissen zu gewähren. Weiterlesen ...

Whitehate | 28.11.2011 | computec.ch, Marc's Blog
Für Aussenstehende klingt der Begriff 'Whitehate' nach einer rassistischen Tendenz. Tatsächlich handelt es sich hier um einen alten Ausdruck, der von Kriminellen im 'Untergrund' genutzt wird, um ihren Unmut über professionelle Sicherheitsexperten zum Ausdruck zu bringen. Die Blackhat-Hacker zeigen damit ihren Hass gegenüber den Whitehat-Hackern. Weiterlesen ...

Cloud Computing - Risiken und Massnahmen | 22.11.2011 | Datenschutzforum, Zürich
Der Vortrag führte kurz in das Konzept des Cloud Computing ein, um danach die zentralen Risiken einer solchen Lösung aufzuzeigen. Dabei habe wurde sich in erster Linie an den beiden Publikationen '10 sicherheitsrelevante Gründe gegen Cloud Computing' sowie 'Sicherheit von Cloud Computing' orientiert. Weiterlesen ...

Meine erste Denial of Service-Attacke | 14.11.2011 | computec.ch, Marc's Blog
Als leichter Einstieg in das Thema Computersicherheit gelten gemeinhin Denial of Service-Attacken. Bei einer DoS wird sich darum bemüht, die Funktionsweise oder Erreichbarkeit einer Komponente einzuschränken. Typischerweise geschieht dies mit einer Überlastung der bereitgestellten Ressourcen. Zum Beispiel, indem eine Internet-Anbindung durch eine Vielzahl an Anfragen geflutet werden. Weiterlesen ...

Forensik von iMessage auf iOS5 | 03.11.2011 | scip AG Labs
Am 12. Oktober 2011 war es so weit: Apple hat das Betriebssysten iOS5 für ihre mobilen Geräte herausgegeben. Wie es sich für ein Major-Update gehört wurde die neue Version mit eine Vielzahl an Erweiterungen bestückt. Diese sind mitunter ebenfalls aus Sicht einer forensischen Untersuchung von Interesse. In diesem Beitrag soll die Einbindung und Auswertung von iMessage diskutiert werden. Weiterlesen ...

Missverstandene Authentisierungsmechanismen | 31.10.2011 | computec.ch, Marc's Blog
Im Juli dieses Jahres hatte ich Gelegenheit, am Davis Cup in Bern beizuwohnen. Im Rahmen des Tennis-Ereignisses standen sich die beiden Länder Portugal und Schweiz gegenüber. Eine spannende Sache, die ganz im Kontrast zu meinem Besuch in Wimbledon wenige Wochen zuvor stand. Weiterlesen ...

Code Plagiarism – Technical Detection and Legal Prosecution | 29.10.2011 | Hashdays, Luzern
Ende Oktober finden jeweils die hashdays in Luzern statt. Die Konferenz mit internationaler Ausrichtung zum Thema Security & Risk wartet mit interessanten Persönlichkeiten - beispielsweise Mikko Hypponen und Chris Nickerson - auf. Am Morgen des 29. Oktober hielt Marc Ruef zusammen mit Luca Dal Molin einen Vortrag, in welchem Code-Diebstahl auf technischer und juristischer Ebene diskutiert wurde. Weiterlesen ...

Hashdays 2011 Diary | 27.10.2011 | scip AG Labs
Dieses Jahr findet zum zweiten Mal findet die Hashdays Security & Risk Conference statt. Und zum zweiten Mal habe ich die Gelegenheit, einen Vortrag zu halten, alte Bekannte zu treffen und neue Leute kennenzulernen. Weiterlesen ...

Staatstrojaner - Bedenken und Kritik | 19.10.2011 | scip AG Labs
Seit Jahren regt sich vor allem in Deutschland der Widerstand gegen den sogenannten Bundestrojaner. Behörden der Strafverfolgung wollen ein Trojanisches Pferd einsetzen, um Computersysteme von potentiellen Tätern überwachen zu können. Damit sollen die Möglichkeiten der Quellen-TKÜ (Quellen-Telekommunikationsüberwachung) an die Gegebenheiten des Informationszeitalters angepasst werden. Weiterlesen ...

Welches Level von Sicherheit kann man erwarten? | 17.10.2011 | computec.ch, Marc's Blog
Ohne jetzt unabsichtlich altklug wirken zu wollen, jedoch die Zeiten ändern sich. Im Bereich der Computersicherheit wage ich zu behaupten, dass in Zyklen von 5 Jahren mit neuen Technologien und anderer Wahrnehmung dieser gearbeitet wird. Weiterlesen ...

10 Gründe gegen Short-URLs | 06.10.2011 | scip AG Labs
Short-URLs sind in den letzten Jahren zu einem festen Bestandteil des World Wide Web geworden. Dazu beigetragen haben in erster Linie Soziale Netze und das Bedürfnis, Informationen möglichst kompakt weiterzutragen. Weiterlesen ...

Sinnlose Vergleichbarkeit | 03.10.2011 | computec.ch, Marc's Blog
Lieber Leser, versuchen Sie ohne gross nachzudenken die folgende Frage zu beantworten: Was ist sicherer, Windows oder Linux? Und, was haben Sie gesagt? Konnten Sie sich spontan festlegen? Weiterlesen ...

Schlechte Sicherheitsmassnahmen | 19.09.2011 | computec.ch, Marc's Blog
Ich befasse mich nun seit vielen Jahren mit dem Thema Informationssicherheit. Leute, die darum wissen, pflegen stets zu sagen: 'Eine aufwendige Sache, da ständig auf dem neuesten Stand zu bleiben.' Doch ich entgegne jeweils mit einem lapidaren: 'Nein, nicht wirklich. Denn die Grundprinzipien sind seit Tausenden von Jahren fortwährend gleich geblieben.' Jedes Mal merke ich, wie es in den Köpfen der Leute zu arbeiten beginnt, sie aber schnell einsehen, dass meine Antwort nicht unwahr schien. Weiterlesen ...

Eingabeprüfung im Detail | 14.09.2011 | scip AG Labs
Die Grundlage bestehender Computersicherheit wird durch die Eingabeprüfung geschaffen. Bei dieser werden frühstmöglich die Eingaben durch die Applikation validiert, um unerwünschte und unerwartete Abweichungen feststellen und auf sie reagieren zu können. In diesem Artikel werden die Grundlagen moderner, effizienter und eleganter Eingabeprüfung im Detail diskutiert. Angehende und erfahrene Entwickler können dadurch ihr Wissen verbessern, um sichere Anwendungen schreiben zu können. Weiterlesen ...

Die Soziologie hinter LulzSec | 05.09.2011 | computec.ch, Marc's Blog
Es schien, als wäre Computersicherheit noch nie so in den Massenmedien präsent gewesen, wie zwischen Ende 2009 und 2010. Die Gruppierung LulzSec machte sich mit einer Vielzahl an Übergriffen von sich reden. Sei dies nun das Umsetzen eines Datendiebstahls (z.B. Sony), Denial of Service Attacken oder schiere Provokationen gegen Strafverfolgungsbehörden (z.B. FBI). Weiterlesen ...

Vortrag zu Cybercrime | 26.08.2011 | BVM Informationstagung, Schweizerischer Versicherungsverband SVV, Hotel Hilton, Basel
Am 26. August 2011 fand die Fachtagung BVM der Schweizerischen Versicherungsgesellschaft statt. Im Auditorium des Hotel Hilton in Basel wurde einen Tag lang zum Thema Versicherungsbetrug referiert. Mitunter wurde dabei durch uns einen Vortrag mit dem Titel Cybercrime – Verbrechen im Informationszeitalter gehalten. Weiterlesen ...

Einführung in httprecon | 18.08.2011 | scip AG Labs
Das Projekt httprecon wurde im Jahr 2007 gestartet. Hierbei handelt es sich um ein Forschungsprojekt, welches sich mit dem Identifizieren von Webserver-Implementierungen über das Netzwerk auseinandersetzt. Durch das sogenannte HTTP-Fingerprinting soll das eingesetzte Produkt identifiziert werden, wodurch zielgerichtete Attacken angestrebt werden können. Weiterlesen ...

Back to the Future | 15.08.2011 | computec.ch, Marc's Blog
Ich bin ein unermüdlicher Verfechter der darwinistischen Evolutionstheorie. Das Überleben des Stärkeren fasziniert mich dahingehend, dass durch dieses Konzept eine ständige Weiterentwicklung erzwungen wird. Darwinismus ist aber nicht nur ein Konzept, das sich auf biologische Mechanismen anwenden lässt. Ebenso ist es in anderen Gebieten, dazu kann ebenfalls der Fachbereich der Informationstechnologie gezählt werden, einsetzbar. Weiterlesen ...

Social Media Strategie der scip AG | 11.08.2011 | scip AG Labs
Als Beratungsunternehmen ist es für uns wichtig die Dinge, zu denen wir referieren, auch zu verstehen. Das Thema Social Media ist dabei den letzten Jahren zu einem zentralen Bestandteil moderner Informationssicherheit für Unternehmen und Personen geworden. So verfolgen dann auch wir eine entsprechende Strategie, um mit den neu erschliessbaren Kommunikationsmöglichkeiten umgehen zu können. Weiterlesen ...

Effizientes Portscanning mit Porteinschränkungen | 04.08.2011 | scip AG Labs
Sicherheitsüberprüfungen vernetzter Computersysteme hat oftmals als Grundlage das Identifizieren und Analysieren der angebotenen Dienste. Um Dienste erkennen zu können, wird die klassische Technik des Portscanning verwendet. Dabei wird eine Software eingesetzt, die sich versucht automatisiert auf die möglichen Zielports zu verbinden. Kommt eine solche Verbindung zustande bzw. wird sie nicht abgewiesen, dann wird von einem offenen Port und damit einem angebotenen Dienst ausgegangen. Weiterlesen ...

Modell zur Umsetzung von Config Reviews | 21.07.2011 | scip AG Labs
Im Rahmen verschiedener Sicherheitsüberprüfungen führen wir ebenfalls sogenannte Config Reviews durch. Bei diesen wird die Konfiguration einer Komponente auf ihre Sicherheit hin untersucht. Das Prinzip einer solchen Analyse sowie die einhergehenden Schwierigkeiten sollen in diesem Beitrag illustriert werden. Weiterlesen ...

Gedanken zum Tainted Mode in der Programmierung | 14.07.2011 | scip AG Labs
Eines der Grundprinzipien von sicherheitsbezogenen Source Code Analysen basiert darauf, dass potentiell böswillige Daten erkannt und deren Verarbeitung geprüft wird. Als böswillig werden alle Daten verstanden, die aus einer nicht-vertrauenswürdigen Quelle stammen. In erster Linie sind dies Benutzereingaben, wie sie bei PHP-Skripten beispielsweise durch $_GET, $_POST, $_REQUEST, $_COOKIE und teilweise $_SERVER bereitgestellt werden. Derlei Daten werden in der englischen Literatur auch als infected, tainted, dirty, contaminated oder unclean bezeichnet. Weiterlesen ...

Der Verfasservertrag - Tipps für Autoren | 11.07.2011 | computec.ch, Marc's Blog
Vor einiger Zeit wurde ich vom Herausgeber eines Buchs zum Thema Informationssicherheit angefragt, ob ich der anstehenden Neuauflage einen Beitrag beisteuern möchte. Als Thema hatte er für mich Sicherheit im Cloud Computing vorgesehen, wobei ihm voraussichtlich meine Auflistung der 10 sicherheitsrelevanten Gründe gegen Cloud Computing gefallen hat. Weiterlesen ...

Sicherheitsprobleme der Öffnung von Top-Level-Domains | 07.07.2011 | scip AG Labs
Ende 2008 wurde durch ICANN die Einführung neuer Adresszonen erlaubt. Damit wird es möglich, mehr oder weniger nach Belieben eigene TLDs zu registrieren. Eine solche Anmeldung ist mit erheblichem bürokratischem Aufwand verbunden. Zudem wird eine Zahlung von 185.000 US$ erforderlich. Erschwinglich wird eine solche also nur für grössere Unternehmen. Weiterlesen ...

Meine (virtuelle) Midlife-Crisis: Nachwort | 26.06.2011 | computec.ch, Marc's Blog
"Das Leben schreibt oftmals komische Geschichten und so auch irgendwie meinen Blog-Post mit dem Titel 'Meine (virtuelle) Midlife-Crisis'. Als ich ihn geschrieben habe, wusste ich nicht so genau, was ich eigentlich wollte. Immer ein schlechtes Zeichen, wenn ich was Schreibe. Er lag dann mindestens ein Jahr herum, denn ich werfe nie Arbeiten von mir weg (von ungewollten Festplatten-Crashes mal abgesehen). Und so habe ich ihn einfach gepostet, weil wir uns grad in einem Sommerloch befinden und ich meine ""besseren Posts"" nicht dafür ""verschwenden"" wollte. " Weiterlesen ...

Soziale Netzwerke - Vielschichtige Gefahren eines neuen Zeitalters | 23.06.2011 | ISSS Zürcher Tagung 2011, Zürich
Die vergangene Zürcher Tagung der ISSS – Information Security Society Switzerland befasste sich mit der Sicherheit in Sozialen Netzwerken. Dabei wurde ebenfalls ein Vortrag mit dem Titel Soziale Netzwerke – Vielschichtige Gefahren eines neuen Zeitalters durch mich gehalten. Weiterlesen ...

Open-Source und die Auswirkungen auf die Sicherheit | 16.06.2011 | scip AG Labs
Seit jeher wird debattiert, ob und inwiefern Quelloffenheit Einfluss auf die Sicherheit eines Produkts haben kann. Es gibt hier theoretisch drei Standpunkte, die vertreten werden können. Weiterlesen ...

Eine Bewertung ohne Definition erzwingt Relativität | 13.06.2011 | computec.ch, Marc's Blog
Sind wir sicher?' Diese Frage hören wir im Rahmen einer Sicherheitsüberprüfung immerwieder. Der Kunde will wissen, ob er sicher ist. Dass Sicherheit ein hochgradig individueller Begriff ist, habe ich schon vor vielen Jahren im gleichnamigen Blog-Post dokumentiert. Wird dies dem Kunden klar gemacht, dann interessiert er sich konkreter dafür, wie er mit ähnlichen Firmen (Bereich, Grösse, Struktur) verglichen werden kann. Solange er besser ist als der Durchschnitt, sind die meisten Kunden - vor allem das obere Management - zufrieden. Weiterlesen ...

Technische Scan Details | 09.06.2011 | scip AG Labs
Im Rahmen von technischen Sicherheitsüberprüfungen sind Analysten immer wieder vor Herausforderungen gestellt. Eine dieser ist es, eine möglichst umfassende Dokumentation der Vorgänge vorzulegen. Damit soll eine transparente Nachvollziehbarkeit erreicht werden, die sowohl dem Analysten selbst als auch dem Kunden weiterhelfen können soll. Bei Problemen und Unklarheiten kann sich nämlich direkt auf die konkreten Daten bezogen werden, wodurch Vermutungen eliminiert werden können. Weiterlesen ...

Top 5 Stupid Captcha Implementations | 02.06.2011 | scip AG Labs
Der grundlegende Nutzen eines Computers ist, dass repetitive Augaben automatisiert sowie grosse Datenmengen verarbeitet werden können. Gewiefte Angreifer nutzen die Möglichkeit der Automatismen, um ihre dubiosen Aktivitäten durchzusetzen. Weiterlesen ...

Meine (virtuelle) Midlife-Crisis | 30.05.2011 | computec.ch, Marc's Blog
Ich war schon immer der Meinung, dass sich mein Leben sehr rasant entwickelt. Meine ständige Müdigkeit kommt ja auch nicht von Nichts. Und gerade seit dem Erscheinen meines letzten Buchs hat sich so ziemlich vieles in rasanter Weise bewegt. Vor allem in meinem Privatleben und in Bezug auf meine Lebenseinstellung meine ich zur Zeit in einer dedizierten Phase zu sein. Nämlich irgendwie in einer Midlife-Crisis. Weiterlesen ...

Reduzierbarkeit von Tests | 19.05.2011 | scip AG Labs
Sicherheitsüberprüfungen sind ein komplexes Thema, das neben technischen Aspekten ebenso in philosophischer Weise (konzeptionell und organisatorisch) für Gesprächsstoff sorgen kann. Ein Aspekt, der oft diskutiert wird, ist die Reduzierbarkeit von Tests. Darunter wird gemeinhin das Folgende verstanden: 'Ein Test mit einem Gesamtumfang x soll in Bezug auf Teilprozesse und/oder Zeitumfang verringert werden.' Weiterlesen ...

Religion, Esoterik, Philosophie und Logik | 16.05.2011 | computec.ch, Marc's Blog
Als Kind war ich fasziniert vom Übernatürlichen. Wer kann schon von sich behaupten, dass er mit neun Jahren entweder Parapsychologe (dank Ghostbusters) oder Informatiker (dank Tron) werden wollte. Eine Unmenge an Bücher habe ich zum ersten Thema verschlungen. Vor allem Ausserirdische, aber auch Poltergeisterscheinungen und Telekinese haben es mir angetan. Ich kann mich noch sehr gut erinnern, als ich mir etwa 10 Jahren in einem hiesigen Laden für esoterische Bücher der Verkauf eines Buchs zu Psi-Phänomenen verwehrt wurde. Derlei Dinge könnten ein junges Gemüt wie das meine verstören, hat es geheissen. Weiterlesen ...

iPhone Forensik | 12.05.2011 | scip AG Labs
Die Geräte von Apple erfreuen sich einer sehr grossen Beliebtheit. Damit werden sich ebenfalls für Angreifer interessant. Ebenso wächst aber auch das Interesse für forensische Untersuchungen. Diese werden beispielsweise von Behörden angesetzt, um Details zur Nutzung eines Geräts bzw. dem Verhalten dessen Besitzers in Erfahrung zu bringen. Weiterlesen ...

Konkrete Massnahmen in der Datencloud | 05.05.2011 | scip AG Labs
Wir haben im scip IT Security Forecast für das Jahr 2010 festgehalten, dass die kommenden Jahre '(...) voraussichtlich ganz im Zeichen von Cloud Computing (SaaS) stehen [werden].' Diese Voraussage ist ungebrochen eingetroffen und so haben wir zum Thema eine Reihe von Publikationen veröffentlicht und Vorträge gehalten. Im Rahmen dieser Tätigkeiten, fortwährender Gespräche und jeweiligen Kundenprojekte tat sich immerwieder die Schwierigkeit auf, das Thema Cloud-Security als solches überhaupt greifbar zu machen. Weiterlesen ...

Was macht eigentlich ein Security Consultant? | 02.05.2011 | computec.ch, Marc's Blog
Stets wenn man jemanden kennenlernt, wird ein Gespräch früher oder später auf die Frage gelenkt, was man denn so arbeitet. Ich mag diese Frage eigentlich gar nicht, vor allem nicht im Rahmen einer total oberflächlichen Smalltalk-Konversation. Oftmals pflege ich lapidar zu sagen, dass ich 'ein Informatiker' sei oder 'mit Computern' zu tun habe. Manche Menschen sind von der Langweiligkeit, die diese Tätigkeiten vermuten lassen, abgeschreckt und verzichten auf weitere Fragen. Weiterlesen ...

Firefox-Addons für Penetration Tests | 21.04.2011 | scip AG Labs
Nachfolgend sollen einige der nützlichsten Firefox Addons für Web Application Penetration Tests vorgestellt werden. Die gezeigte Tabelle unterscheidet je nach Anwendungszweck. In der letzten Spalte wird die Bewertung des Addons in einer Skala von 1-5 ausgewiesen. Weiterlesen ...

Zeig mir Dein Werkzeug ... | 18.04.2011 | computec.ch, Marc's Blog
... und ich sage Dir, wer Du bist. So oder so ähnlich hallt es in meinem Kopf, wenn ich in den folgenden Dialog verwickelt werde. Ich starte meinen Computer oder Laptop auf und mein Gegenüber sagt ganz entsetzt: 'Ich habe nicht damit gerechnet, dass Du Windows benutzt!?' Weiterlesen ...

Kritik an Proxies als Massnahme | 14.04.2011 | scip AG Labs
Im klassischen Firewalling werden die beiden Technologien Packet Filter und Application Gateway vorgesehen. Letztere ist durch das Anbieten dedizierter Application Level Proxies für einzelne Anwendungsprotokolle darum bemüht, eine Entkoppelung eines Dienstes vorzunehmen. Als Common Point of Trust wird das Sicherheitselement zwischen Client und Server geschaltet. Weiterlesen ...

Windows 7 Hardening: Eine Übersicht | 07.04.2011 | scip AG Labs
Im letztjährigen scip IT Security Forecast haben wir darauf hingewiesen, dass Windows 7 in naher Zukunft eine zentrale Rolle spielen wird. Immer mehr unserer Kunden beginnen mit einer Migration, die vorzugsweise von Windows XP ausgeht (die allermeisten haben Windows Vista ausgelassen). Weiterlesen ...

Das Gesetz ist stumm | 04.04.2011 | computec.ch, Marc's Blog
Als Kind wollte ich Detektiv werden. Halt so wie Sherlock Holmes, dessen Geschichten ich vor allem in jugendlichem Alter geliebt habe. Ich mochte den kokainsüchtigen und Violine spielenden Antihelden mitunter deswegen, weil er als letzte Instanz für alle Verzweifelten galt, denen Ungerechtigkeit widerfahren ist. 'Wenn Dir niemand helfen kann, dann vielleicht Sherlock Holmes', habe man im viktorianischen England aus der Feder Sir Arthur Conan Doyles gesagt. Mit Holmes ein Mann, der als Kapazität seines Fachs gilt, das hat mich stets fasziniert. So wollte ich auch immer sein. Weiterlesen ...

Kompromittierung von RSA - Fakten und Einschätzung | 23.03.2011 | scip AG Labs
Das Unternehmen RSA Security - es ist seit 2006 Teil der EMC Corp. - ist in erster Linie durch ihre Lösung SecurID bekannt geworden. Diese gilt als das wohl populärste Produkt zur Umsetzung strenger Authentisierung. Ein Benutzer muss dabei neben Benutzername und Passwort ebenfalls einen dritten Faktor mitgeben. Dieser wird durch einen SecurID-Token erzeugt. Dabei handelt es sich um einen sechs- bis achtstelligen Zahlencode, der alle 60 Sekunden aktualisiert wird. Weiterlesen ...

Etikette in der öffentlichen virtuellen Realität | 21.03.2011 | computec.ch, Marc's Blog
Es gibt Menschen, die haben eine umfangreiche Erziehung genossen. Ich würde mich zu diesen zählen, denn beide meiner Eltern haben grossen Wert darauf gelegt, dass wir Kinder uns zu benehmen wissen. Zwar wurde nicht durchgängig auf ein Verhalten nach Knigge gepocht. In streitbaren Situationen hat mein Vater aber stets mit Nachdruck darauf verwiesen, wie man sich einer 'gehobenen Gesellschaft' zu verhalten hätte. Weiterlesen ...

Problem von OS Fingerprinting Kaskadierung | 17.03.2011 | scip AG Labs
Im Rahmen von Sicherheitsüberprüfungen wird ist es von zentraler Wichtigkeit zu erkennen, welches Betriebssystem auf einem Zielsystem eingesetzt wird. Die Identifikation dessen wird als OS Fingerprinting bezeichnet. Mitunter bietet beispielsweise Nmap mit dem Paramter -O die Möglichkeit, eine entsprechende Auswertung vorzunehmen. Bei vielen Tests ist zu beobachten, dass fehlerhafte oder gar keine Resultate zusammengetragen werden. Aufgrund dessen wird gerne fälschlicherweise die Möglichkeit und Zuverlässigkeit des OS Fingerprinting in Frage gestellt. Weiterlesen ...

Meine kurze Geschichte des Security Testing | 07.03.2011 | computec.ch, Marc's Blog
Mit dem Umsetzen von professionelen Sicherheitsüberprüfungen habe ich im Jahr 1998 begonnen. Damals habe ich zwischendurch als Freelancer für eine bekannte Antiviren-Firma entsprechende Tests durchgeführt. Im Jahr 2000 habe ich dann vollberuflich Vulnerability Assessments und Penetration Tests umgesetzt. Weiterlesen ...

HTTP Request Header Tagging | 03.03.2011 | scip AG Labs
Der Einsatz von WAF (Web Application Firewall) hat sich in den letzten Jahren vervielfacht. Die vorgeschalteten Komponenten sind als Reverse-Proxies umfangreich darum bemüht, den Datenverkehr auf der Anwendungsschicht (Layer 7) zu untersuchen. Klassische Angriffstechniken auf Webapplikationen, zum Beispiel Cross Site Scripting und SQL-Injection, sollen damit erkannt werden. Weiterlesen ...

Wer lesen kann … | 21.02.2011 | computec.ch, Marc's Blog
Im Internet gibt es einen klassischen Spruch, den ich wohl zum ersten Mal im Usenet (genauer gesagt in de.org.ccc) gelesen hatte: 'Wer lesen kann, ist klar im Vorteil.' Weiterlesen ...

Passwortlänge von Security Researcher | 17.02.2011 | scip AG Labs
Zu Beginn des Monats wurde eine Kompromittierung des US-amerikanischen Sicherheitsunternehmens HBGary durch die Gruppe Anonymous vorgenommen. Dabei wurde ebenfalls die durch den bekannten Analysten Greg Hoglund betriebene Seite rootkit.com kompromittiert. Auf dieser wird ein Forum gehostet, in dem sich Sicherheitsspezialisten über Backdoors und Rootkits austauschen. Weiterlesen ...

Soziale Virtualisierung und ihre Automatisierung | 07.02.2011 | computec.ch, Marc's Blog
In meinem Blog-Post 'Ich lebe für Automation' beharre ich darauf, dass eines der grossen Ziele der Informationstechnologie das Automatisieren von schwerfälligen und wiederkehrenden Aufgaben ist. Dass ich diesem Credo gut und gerne Folge leiste, ist kein Geheimnis. In diesem Beitrag möchte ich aufzeigen, inwiefern ich meine Aktivitäten in sozialen Netzwerken 'automatisiert' habe. Weiterlesen ...

Erfolgreicher Angriff gegen X-pire! | 31.01.2011 | scip AG Labs
Die letzten Wochen wurde in den deutschen Medien fortwährend von einem neuen Projekt zur Wahrung der Privatsphäre der Internet-Benutzer berichtet (z.B. Süddeutsche Zeitung, Heise). Durch das Kryptosystem X-pire! von Prof. Michael Backes sollte es von nun an möglich sein, dass im Internet bereitgestellte Bilder mit einem Verfallsdatum versehen werden. Weiterlesen ...

Die Mär vom Nur-Pentester | 24.01.2011 | computec.ch, Marc's Blog
Für viele Leute aus meinem privaten Umfeld gelte ich als Freak oder Nerd. Verirren sie sich per Zufall auf meinen Twitter-Stream oder lesen sie einen technischen Blog-Post von mir, dann scheine ich auf sie wie ein Savant mit einer sonderbaren Inselbegabung zu wirken. Ein Spezialist. Weiterlesen ...

Clientseitige Sicherheit am Beispiel der Playstation 3 | 20.01.2011 | scip AG Labs
Die Playstation 3 von Sony ist eine der ganz grossen Nextgen-Konsolen. Seit ihrem Erscheinen im November 2006 sind rund 42 Millionen Geräte verkauft worden. Trotz dieser hohen Beliebtheit des Systems dauerte es bis Mitte 2010, bis ein Jailbreak erschienen ist. Über einen USB-Modchip sah man sich bis zur Firmware 3.41 in der Lage, Homebrew-Software ausführen zu lassen. Weiterlesen ...

Firewall Rule Parsing am Beispiel von SonicWALL | 13.01.2011 | scip AG Labs
Im Rahmen von Sicherheitsüberprüfungen führen wir immerwieder sogenannte Firewall Rule Reviews durch. Bei diesen wird das Regelwerk einer Firewall einer formalen, strukturellen und logischen Analyse unterzogen. Dadurch sollen ineffiziente, fehlerhafte und fehlende Regelsätze identifiziert werden. Diese Aufgabe führen wir computergestützt durch, wodurch wir ein Mehr an Effizienz und Zuverlässigkeit erreichen können. Weiterlesen ...

Ich lebe für Automation | 10.01.2011 | computec.ch, Marc's Blog
Wenn mich die Leute fragen, was ich arbeite, dann sage ich 'Informatiker'. Halt einfach, weil sich die Leute etwas darunter vorstellen können. Ganz im Gegensatz dazu, wenn ich IT Security Consultant, Security Auditor oder Pentester sagen würde. Doch eigentlich muss ich gestehen, dass ich mich so gar nicht als Informatiker im allgemeinen Sinn - so wie er heutzutage von der breiten Masse verstanden wird - sehe. Weiterlesen ...

Grundlegende RFID-Sicherheit | 06.01.2011 | scip AG Labs
RFID ist durch die breite Bevölkerung spätestens mit der Einführung des elektronischen Passes in verschiedenen Länder wahrgenommen worden. Sicherheitsbedenken gegenüber der Technologie sind berechtigterweise latent vorhanden. Mit diesem Beitrag wollen wir die effektiven Gefahren einfacher RFID-Tags aufzeigen. Weiterlesen ...

2010: Was war? 2011: Was wird? | 26.12.2010 | computec.ch, Marc's Blog
Wie jedes Jahr möchte ich eben dieses mit einem reflektierenden Blog-Eintrag abschliessen - Über Vergangenes sinnieren und zu Zukünftigem träumen. Weiterlesen ...

scip IT Security Forecast 2011 | 23.12.2010 | scip AG Labs
Wie jedes Jahr möchten wir auch zum Ende von 2010 einen IT Security Forecast für das kommende Jahr 2011 machen. Nachfolgend eben jene Themen - nach Möglichkeiten in der Reihenfolge absteigender Priorität -, die sich unseres Erachtens manifestieren oder gar noch weiterentwickeln werden. Weiterlesen ...

LOIC-Attacken abwehren - DDoS im Umfeld von Wikileaks | 19.12.2010 | scip AG Labs
Im Zuge der Festnahme von Julian Assange und dem politischen Druck gegen Wikileaks haben sich verschiedene Kreise zu einer umstrittenen Distributed Denial of Service-Attacke (DDoS) gegen Wikileaks-Gegner zusammengeschlossen. Dieser Operation Payback, die durch Mitglieder des Underground-Forums 4chan orchestriert wird, sind mehrere grosse Dienstleister zum Opfer gefallen. Weiterlesen ...

Twitter als neues Informationsmedium | 13.12.2010 | computec.ch, Marc's Blog
Ich würde mich nicht unbedingt als neophil bezeichnen. Zwar bin ich stetig durstig nach neuen Informationen. Diese konsumiere ich aber stets mit einer gewissen Skepsis. Schon viel zu viele Hypes haben meine Zeit verschwendet - Gerade im Computerbereich. Und deshalb warte ich heute oftmals erst ab, ob und wie sich ein neu anbahnender Trend überhaupt entwickeln wird. So klang zum Beispiel Bluetooth sehr interessant, vermochte es doch die Einschränkungen des angestaubten IrDA (Infrarot) zu verdrängen. Doch die Inkompatibilitäten der ersten Implementierungen waren derartig abschreckend, dass ich - so wie viele andere auch - erst Jahre später den effektiven Nutzen der neuen Technologie geniessen konnte. Weiterlesen ...

Common Vulnerability Scoring System und seine Probleme | 09.12.2010 | scip AG Labs
Die Einstufung von Schwachstellen kann sehr unterschiedlich ausfallen, jenachdem welche Aussage getroffen werden will und welche Metrik eingesetzt wird. Um diesem Problem entgegenzuwirken, wurde CVSS eingeführt. Das Common Vulnerability Scoring System ist darum bemüht eine vereinheitlichte formale Herleitung einer Einstufung zu ermöglichen. Weiterlesen ...

Find My iPhone - Features und Risiken | 02.12.2010 | scip AG Labs
Mit der Einführung von iOS 4.2 hat Apple den entsprechenden Geräten eine neue und interessante Funktionalität spendiert: Mit dem Feature Find my iPhone wird es möglich, auf das Gerät aus der Ferne zuzugreifen. Weiterlesen ...

Hardening Massnahmen vs. Audit Gegenmassnahmen | 29.11.2010 | computec.ch, Marc's Blog
Eine klassische Sicherheitsmassnahme der angewandten Computersicherheit ist das Hardening (dt. Härtung). Bei einem solchen wird ein System umfassend abgesichert. Hierzu werden Beispielsweise restriktive Konfigurationseinstellungen vorgenommen, nicht benötigte Dienste deaktiviert und Antiviren-Lösungen installiert. Dies ist nur eine sehr begrenzte Anzahl an möglichen Massnahmen. Ein Hardening kann dabei generisch ausfallen (wie die zuvor genannten Punkte). Es kann aber auch individuelle Lösungen und Anforderungen einer Umgebung berücksichtigen (z.B. Erstellen spezifischer Benutzerkonten für Services/Prozesse). Weiterlesen ...

Nmap NSE Top Ten Webserver Scripts | 19.11.2010 | scip AG Labs
An den diesjährigen Hashdays hat Marc Ruef eine Präsentation mit dem Titel Nmap NSE Scripting for IT Security Professionals gehalten. Dabei wurde das von uns für umfangreiche Netzwerküberprüfungen genutzte Framework vorgestellt. Am Schluss des Talks wurde darauf verwiesen, dass wir einen Teil unserer genutzten Nmap NSE Skripte sowie den Ruby-Parser veröffentlichen werden. Die Funktionsweise dieser sowie der empfohlene Ablauf sind in den Slides festgehalten. Weiterlesen ...

IT-Security: Home Edition vs. Corporate Edition | 15.11.2010 | computec.ch, Marc's Blog
Die meisten von uns haben mit IT-Security im privaten Bereich angefangen. Man hat sich vielleicht mal eine Antiviren-Lösung installiert, sich um ein rudimentäres Hardening des Browsers bemüht oder ein bisschen mit Vulnerability Scannern herumgespielt. Das ist auch richtig so, denn Übung macht den Meister und das Erlangen des Verständnisses für Technologien und Mechanismen geht doch bedeutend einfacher, wenn man die Dinge selber ausprobiert. Weiterlesen ...

Walled Garden - Ziele und Möglichkeiten | 12.11.2010 | scip AG Labs
Modularität ist ein wichtiges Konzept der modernen IT-Landschaft. Viele Produkte bieten mittlerweile das Nachrüsten von Funktionalität mittels Plugins, Addons, Extensions und Apps an. Einer der wichtiger Vorreiter, der dieses Prinzip breitflächig bekannt gemacht hat, ist der populäre Webbrowser Firefox. Mit dem Installieren von Add-Ons wird es gar möglich, den Browser um komplexe Mechanismen wie HTML-Editor, FTP-Client und HTTP-Sniffer zu erweitern. Weiterlesen ...

Hashdays Diary, Tag 2: Mein Vortrag und Rückreise | 06.11.2010 | scip AG Labs
Auch der dritte Tag hat ohne Hektik begonnen. Um 08:00 Uhr bin ich ins Restaurant des Hotels gegangen und habe per Zufall einige alte Bekannte getroffen. Wir hatten ein unterhaltsames Gespräch darüber, welche Pflichten einem als Penetration Tester so plagen. Es ist immerwieder schön zu sehen, dass wir nicht die einzigen sind, die bei gewissen Dingen Handlungsbedarf sehen. Weiterlesen ...

Hashdays Diary, Tag 1: Erste Vorträge und Treffen | 05.11.2010 | scip AG Labs
Der zweite Tag der Hashdays hat entsprechend komfortabel für mich angefangen. Direkt aus meinem Hotelzimmer raus in die Konferenzebene, um meinen Badge abzuholen. Auf dem Weg dorthin habe ich schon alte Bekannte - wie zum Beispiel Stefan, Desirée und Max - getroffen. Auch einige Kunden haben sich gerade angemeldet und so kam ich dann nach ersten Gesprächen in den Genuss meines schwarzen Speaker-Badges (siehe Foto). Ein spannendes kleines Gerät hat da jeder Teilnehmer in die Hand gedrück gekriegt. Neben dem LED-Display werden vier Knöpfe bereitgestellt, mit denen sich durch das Menu navigieren lässt. So kann man die Uhrzeit, die laufenden Vorträge, eine Karte der Räumlichkeiten sowie den eigenen Name Tag anzeigen lassen. Ebenso besteht die Möglichkeit das Spiel Rock-Paper-Scissors-Spock-Lizard (populär gemacht durch die Fernsehserie The Big Bang Theory) zu spielen, nach Eastereggs auf dem Gerät zu suchen (MIAU!) oder die LEDs einzuschalten. Sehr unterhaltsam! Weiterlesen ...

Hashdays Diary, Tag 0: Anreise und Abendessen | 04.11.2010 | scip AG Labs
Dieses Jahr werde ich einen Vortrag an den Hashdays in Luzern halten. Der Titel dessen lautet Nmap NSE Hacking for IT Security Professionals. Dabei werde ich einerseits die Möglichkeiten der Nmap Scripting Engine vorstellen. Zusätzlich werde ich aber ebenso an einem konkreten Beispiel aufzeigen, wie wir diese Möglichkeiten nutzen, um in effizienter und zuverlässiger Weise umfangreichte Vulnerability Assessments durchzuführen. Einen kleinen Einblick in unser Penetration Test Expertensystem wird es ebenfalls geben. Weiterlesen ...

IT-Security: Das Spiel mit der Angst | 01.11.2010 | computec.ch, Marc's Blog
In einem interessanten Beitrag Wer mit der Angst der Menschen Profit macht des Handelsblatt wird von der sogenannten 'Angst AG' berichtet. Ein fiktives Unternehmen, welches in unserer Gesellschaft um sich greift. Die Angst vor Kriminalität, Terrorismus, Krieg und wirtschaftlicher Instabilität erschliessen neue Märke im Sicherheitssektor. Seien dies nun Firmen, welche Werkzeuge zur Überwachung herstellen oder Medikamente zum Schutz vor drohenden Epidemien entwickeln. Oder gar Unternehmen, die staatliche Mechanismen - wie Strafvollzug und Kriege - privatisieren. Diese Branchen leben von der Angst, erfahren durch das Schüren diese gar eine Goldgräberstimmung, die man von der New Economy her kennt. Weiterlesen ...

iPhone Code-Sperre umgehen | 26.10.2010 | scip AG Labs
Das iPhone von Apple ist in den letzten Jahren aufgrund seiner Qualität zu einem sehr beliebten Objekt geworden. Es war nur eine Frage der Zeit, bis dieses interesse ebenfalls das Geschäftsumfeld erreicht hat. In diesem Zusammenhang wurde das Mobiltelefon für uns und unsere Kunden in Bezug auf die Sicherheitsmerkmale interessant. In verschiedenen Projekten und Fachartikeln haben wir diese Aspekte beleuchtet. Weiterlesen ...

Hat 'Hacking' wirklich etwas mit Kreativität zu tun? | 17.10.2010 | computec.ch, Marc's Blog
Ja, ich weiss: Der Titel offenbart sich als offensichtliche Suggestivfrage. Und so ist es absehbar, dass ich nun behaupten werde, dass 'Hacking' - jedenfalls im Rahmen einer kommerziellen Sicherheitsüberprüfung - eigentlich wenig mit Kreativität zu tun hat. Wie jeder Mensch behaupte natürlich auch ich von mir, dass ich kreativ bin. Doch Kreativität scheint mir eigentlich im genannten Zusammenhang der falsche Begriff zu sein. Ich bin lediglich gut darin den möglichen und existenten Variantenreichtum zu sehen und auszuschöpfen. Doch was heisst das? Weiterlesen ...

Kryptoanalyse von Session-IDs | 13.10.2010 | scip AG Labs
Session-IDs - durch SID abgekürzt - sind zu einem elementaren Bestandteil moderner Applikationen geworden. Anhand derer werden etablierte und oftmals authentisierte Sitzungen als solche identifiziert. Durch den Austausch der SID zwischen Client und Server kann damit die Authentizität der Sitzung ohne erneute Authentisierung bestätigt werden. Eine SID ist quasi ein temporär ausgehandeltes Passwort. Weiterlesen ...

Warum man nicht alles wissen muss | 04.10.2010 | computec.ch, Marc's Blog
Ich habe schon hunderte Sicherheitsüberprüfung durchgeführt. Auch wenn jede von ihnen individuell ausgestaltet war und durchgeführt wurde, haben die meisten von ihnen in ihrem Kern eine Gleichmässigkeit vereint. Und sei dies auch nur definiert durch meine Herangehensweise. Diese mag für so manchen ein bisschen sonderbar erscheinen. In Bezug auf ihre Effizienz und Effektivität kann man sie aber nur schwerlich kritisieren. Weiterlesen ...

Infektionsvektoren für Backdoor-Tests | 24.09.2010 | scip AG Labs
Eine der beliebten Varianten für eine umfassende Prüfung der vielschichtigen IT-Sicherheit eines Unternehmens sind sogenannte Backdoor Tests. Bei diesen pflegen wir explizit für den Kunden einen eigenen Wurm anzufertigen, der eine Kompromittierung durchsetzen und damit Zugriff auf sensitive Daten ermöglichen können soll. Weiterlesen ...

Plagiarismus - Von der Kunst der Schande | 20.09.2010 | computec.ch, Marc's Blog
Ein Arbeitskollege sagte mal zu mir: 'Wenn man etwas kann, dann erschafft man etwas. Ist man dazu nicht fähig, lehrt man die Dinge, die andere geschaffen haben. Und ist man auch hierzu nicht fähig, so kritisiert man halt die Dinge, die man weder selbst erschaffen noch lehren kann.' Nicht alle wollen diese Entwicklung akzeptieren und so pflegt der eine oder andere, der des Schaffens unfähig ist, sich an dem Erschaffenen der anderen zu bereichern. Weiterlesen ...

Multilogin- und Hijacking-Detection | 17.09.2010 | scip AG Labs
Die angewandte Sicherheit versucht stets das Risiko bzw. die Auswirkungen von Angriffen zu reduzieren. Eine einfache, jedoch gerne übersehene Methode liegt im Erkennen von Multilogin-Versuchen. Diese kann man wie folgt definieren: Als Multilogin wird der Zustand bezeichnet, bei dem sich einer oder mehrere Benutzer mehrfach mit dem gleichen Konto in der gleichen Anwendung einloggen. Weiterlesen ...

Textanalysen mit textrecon | 10.09.2010 | scip AG Labs
Das textrecon project wurde Anfang 2008 ins Leben gerufen. Bei diesem wird sich darum bemüht, mittels statistische Analysen von Texterzeugnissen unterschiedlichen bzw. gleichen Autoren zuordnen zu können. Weiterlesen ...

Die Zukunft der angewandten IT-Sicherheit | 06.09.2010 | computec.ch, Marc's Blog
Vor einiger Zeit ist jemand in meinem privaten Umfeld auf mich zugekommen und hat mich gefragt, wie sich wohl mein Berufsstand entwickeln wird. Ich habe darauf entgegnet, dass einerseits Sicherheitsberatungen im Allgemeinen und Sicherheitsüberprüfungen im Speziellen massgeblich von den generischen Entwicklungen im Computerbereich abhängig sind. Andererseits geht mit diesen eine soziologische, wirtschaftliche und juristische Entwicklung einher, die indirekten Einfluss ausüben wird. Weiterlesen ...

Gedanken zu 'sicheren Passwörtern' | 03.09.2010 | scip AG Labs
Ein klassischer und gern diskutierter Tipp im Bereich der angewandten Computersicherheit ist der Einsatz sicherer Passwörter. Diese sollen möglichst lang und möglichst komplex sein sowie möglichst oft gewechselt werden. Weiterlesen ...

Geschlossene Systeme und ihre Zukunft am Beispiel des iPhone | 23.08.2010 | computec.ch, Marc's Blog
Kein Unternehmen hat sich je in derartiger Weise wie Phönix aus der Asche erhoben, wie dies Apple in der Lage war. In den 80er und 90er Jahren durch andere Hersteller und Plattformen belächelt - am lautesten gelacht hat Microsoft -, gilt das Unternehmen um Steve Jobs mittlerweile neben Google als Branchenriese mit der erfolgträchtigsten Zukunft. Weiterlesen ...

Statistik zum Author-Feld in PDF-Dokumenten | 20.08.2010 | scip AG Labs
Viele moderne Dokumentformate unterstützen Meta-Daten, in denen unabhängig vom eigentlichen Inhalt zusätzliche Informationen abgelegt werden. Dies kann zum Beispiel bei Office-Dokumenten und verschiedenen Bild-Formaten (siehe Exif-Standard) beobachtet werden. In gleicher Weise wird bei PDF-Dokumenten verfahren. Wie wir im Beitrag PDF Document Properties Parsing Probleme beschrieben haben, ist es aufgrund unterschiedlicher Formatstrukturen nicht so einfach, die jeweiligen Informationen auslesen zu lassen. Im Beitrag Automatisiertes Document Properties Profiling haben wir gezeigt, wie sich durch Skripte unterschiedliche Seiten - in diesem Fall von amerikanischen Nachrichtendiensten - auswerten lassen. Weiterlesen ...

Vulnerability Scan - Qualität und Evaluation | 13.08.2010 | scip AG Labs
Die scip AG bietet verschiedene Dienstleistungen an. Ein zentraler Bereich besteht im Auditing, bei dem (technische) Sicherheitsüberprüfungen aller Art durchgeführt werden. Eines der beliebtesten Module seit jeher sind Security Scans, bei denen die Sicherheit eines Netzwerksystems über das Netzwerk/Internet identifiziert wird. Weiterlesen ...

Die Angst eines jeden Penetration Testers | 09.08.2010 | computec.ch, Marc's Blog
In meinem privaten Umfeld gibt es so manchen, der sich nicht einfach im Umgang mit seiner Familie tut. Da wird gestritten, bei jeder Gelegenheit. Sei dies nun mit Mutter, Vater, Geschwister, entfernten oder angeheirateten Verwandten. Meine Beobachtungen in dieser Hinsicht ist - und dies lässt sich grundsätzlich auf die meisten Streitereien in unserer Hochkultur übertragen -, dass der Groll in erster Linie dann entsteht, wenn sich jemand nicht ernst genommen und seine Bedürfnisse mit Füssen getreten fühlt. Auch wenn es vielen nicht bewusst ist, so ist doch mitunter durch Anerkennung genährter Stolz eine wichtige Komponente eines jeden Charakters. Weiterlesen ...

iPhone iOS4 Jailbreak und seine Folgen | 05.08.2010 | scip AG Labs
Mit einem Jailbreak wird ein iPhone oder iPad entsperrt. Durch die damit gewonnene Offenheit wird es möglich, eigene Software auf dem Gerät laufen zu lassen. Dies wird durch Entwickler und Software-Piraten mitunter genutzt, um das Mobiltelefon um zusätzliche Applikationen zu erweitern. Das Entsperren eines Geräts erfordert traditionell das Verbinden zu einem Rechner, um die eigene Software einzuspielen. Weiterlesen ...

Das Pentesting Experten System | 26.07.2010 | computec.ch, Marc's Blog
Seit meinem Eintritt in den Bereich der Netzwerksicherheit haben mich Vulnerability Scanner zur automatisierten Identifikation von Sicherheitslücken fasziniert. Erste Gehversuche mit einer eigenen Implementierung habe ich im Jahr 2000 mit dem Dante Projekt umgesetzt. Der auf modularen Shell-Skripten basierende Security Scanner sollte über eine Weboberfläche bedienbar und deshalb durch jedermann benutzbar sein. Weiterlesen ...

HTML5 Cross Origin Request Sicherheit | 23.07.2010 | scip AG Labs
Die Weiterentwicklung der modernen Informationsgesellschaft schafft stetig neue Anforderungen an das Internet. Als Folge davon werden fortwährend neue Standards geschaffen und bestehende Technologien weiterentwickelt. Als Kernbestandteil des modernen World Wide Web gilt die Seitenbeschreibungssprache HTML. Gegenwärtig wird die Entwicklung von HTML5 vorangetrieben. Populäre Webseiten wie YouTube versuchen das proprietäre Flash durch die neuen Multimedia-Funktionen von HTML5 abzulösen und verhelfen so früher oder später der neuen Version zum breitflächigen Durchbruch. Weiterlesen ...

Anatomie (m)eines Blogs | 12.07.2010 | computec.ch, Marc's Blog
Obwohl ich mich als sehr neugierigen Menschen bezeichne, pflege ich relativ langsam in der Adaption neuer Technologien zu sein. Dies hängt weniger mit dem fehlenden Verständnis für Möglichkeiten zusammen. Viel mehr stehe ich neuen Mechanismen naturbedingt kritisch gegenueber, denn viele von ihnen können ihre Nützlichkeit erst mit einer gewissen technologischen Reife (z.B. Full-HD) bzw. einer sozialen Etablierung (z.B. Twitter) entfalten. Weiterlesen ...

Passwortlänge der Cracker | 09.07.2010 | scip AG Labs
Mit carders.cc wurde ein bekanntes deutsches Forum bereitgestellt, in dem durch kriminelle Cracker (Faker und Carder) mit gestohlenen Informationen gehandelt wurde (z.B. Kreditkarten- und Kontoinformationen). Weiterlesen ...

Native Word Makro Backdoor Image Autosize Probleme | 01.07.2010 | scip AG Labs
Das Durchführen von Backdoor Tests zur mehrschichtigen Prüfung von Umgebungen ist mehr dennje beliebt bei unseren Kunden. So können sie an einem konkreten Beispiel sehen, wie ein hochgradig professioneller Angreifer eine Attacke vorbereitet, diese durchführt, wie sie sich im Unternehmensnetzwerk verhält und durch die jeweiligen Stellen (Mitarbeiter, Administratoren und Incident Response Team) wahrgenommen wird. Weiterlesen ...

Infiltration eines Netzwerks | 28.06.2010 | computec.ch, Marc's Blog
Ein krimineller Angriff auf ein Computersystem umfasst unterschiedliche Phasen. Will man die Nennung dieser möglichst reduzieren, so kann man sich auf (1) Auswertung, (2) Angriff, (3) Kompromittierung, (4) Rechteausweitung und (5) Backdooring einigen. Eine überproportional hohe Anzahl an Fachpublikationen beschäftigt sich mit dem Einbrechen in Computersysteme, also mit den Phasen 1 bis 3. Weiterlesen ...

Präsentation zur Sicherheit von Cloud Computing | 18.06.2010 | scip AG Labs
Am ISMS Praxis Forum in Olten hat Marc Ruef einen Vortrag zur Sicherheit von Cloud Computing gehalten. Dieser basiert auf dem Labs-Beitrag mit dem gleichnamigen Titel: 10 sicherheitsrelevante Gründe gegen Cloud Computing. Die Präsentations-Folien werden hier (ppt, 5.7 mb) zum Download bereitgestellt. Weiterlesen ...

Warum Skript-Kiddies keine Hacker sind | 14.06.2010 | computec.ch, Marc's Blog
Ende der 90er Jahre ist ein wilder Streit um und in der Hacker-Kultur entbrannt. Es ging dabei nicht um technische Hintergründe, sondern um die soziokulturelle Wahrnehmung einer anarchistischen Subkultur. Die Begriffe Hacker und Cracker werden je nach sozialem Kontext anders verstanden. Für die Tagesmedien war jeder ein Hacker, der sich mit zwielichtigem Wissen und Vorgehen innerhalb technischer Mechanismen einen Vorteil verschafft bzw. anderen einen Nachteil beschert. Für die klassischen Hacker der alten Generation, die vorzugsweise aus Programmierern und Unix-Gurus bestand, waren dies jedoch die niederträchtigen Cracker. Ihr geliebter 'Ehrentitel' wurde - so haben sie es jedenfalls wahrgenommen - durch die ignorante und oberflächliche Gesellschaft durch den Schmutz gezogen. Weiterlesen ...

Facebook Like Tracking verhindern | 11.06.2010 | scip AG Labs
Wie jedes erfolgreiche Unternehmen versucht auch Facebook ihren Erfolg zu vergrössern, wobei sie zunehmends ihre Pflichten und die Rechte ihrer Benutzer offensichtlich vernachlässigen. So bietet Facebook seit einiger Zeit die Möglichkeit an, dass Webmaster auf ihren Seiten einen Like-Button einfügen können. Durch das Klicken auf diesen können Facebook-Benutzer einfach und unkompliziert eine Webseite ihren Freunden weiterempfehlen. Weiterlesen ...

Nmap NSE Vulscan Script | 03.06.2010 | scip AG Labs
Da wir einen Grossteil unserer netzwerkbasierten Sicherheitsüberprüfungen mit der Hilfe von nmap durchführen, schreiben wir stetig neue NSE-Skripte. Eine der grössten Entwicklungen in diesem Bereich ist das nmap NSE Vulscan script. Dieses erweitert nmap, das ursprünglich als Portscanner konzipiert wurde, um die Funktionalität eines Vulnerability Scanners. Damit können im weitesten Sinn die Möglichkeiten geboten werden, wie sie zum Beispiel mit Lösungen wie Nessus oder Qualys genutzt werden können - Nämlich das Erkennen von potentiellen Schwachstellen. Weiterlesen ...

Nur ein Weg führt in den Server-Raum | 31.05.2010 | computec.ch, Marc's Blog
Die wenigsten Menschen haben oder werden jemals einen Server-Raum einer Bank betreten. Der Zugang zu diesen Räumlichkeiten ist in der Regel ausschliesslich ausgewähltem Personal vorbehalten, das durch eine Reihe von Sicherheitsmassnahmen bezüglich der Befugnis des Zugangs überprüft wird. Nachfolgend möchte ich davon berichten, wie ein solcher Server-Raum normalerweise abgesichert wird. Weiterlesen ...

Facebook Anwendungen Design-Schwachstelle | 21.05.2010 | scip AG Labs
Das US-amerikanische Unternehmen Facebook stellt mit facebook.com den gegenwärtig populärsten Vertreter sozialer Netzwerke zur Verfügung. Der in erster Linie für Privatanwender ausgerichtete Dienst listet über 400 Millionen Benutzer weltweit, wobei sich davon 50 % einmal pro Tag einloggen und 9 % ihren Status aktualisieren. In diesem Beitrag werden wir die FQL-Kommunikation mit Facebook erklären und damit eine grundlegende Schwachstelle im Anwendungsdesign aufzeigen. Weiterlesen ...

Potentielle, existente, ausnutzbare oder ausgenutzte Schwachstellen | 17.05.2010 | computec.ch, Marc's Blog
Ich arbeite nun schon über einem Jahrzehnt im Bereich der Computersicherheit, habe schon hunderte von Audit-Projekten durchgeführt, zehntausende von Hosts angegriffen und hunderttausende von Ports gescannt. Alle diese Projekte waren anders. Und doch hatten viele von ihnen etwas gemein: Der Kunde wusste oftmals nicht, was er genau möchte. Sehr generisch und dennoch knapp formuliert definiert sich das Ziel einer Sicherheitsüberprüfung meistens wie folgt: 'Es sollen Schwachstellen aufgedeckt werden.' Doch Schwachstellen sind nicht gleich Schwachstellen und Aufdecken ist nicht gleich Aufdecken. Weiterlesen ...

Nmap NSE Hacking, Teil 7: Portunabhängige Analysen | 13.05.2010 | scip AG Labs, Nachdruck in hakin9, Ausgabe Oktober 2012, http://hakin9.eu/hakin9-digest-oktober-2012/
Im siebten Teil werden wir nun sogenannte hostrule-Skripte anschauen. Damit wird die Grundlage für Skripte geschaffen, die unabhängig von Ports ausgeführt werden. Stattdessen werden diese je nach Konstellation eines Hosts und damit maximal 1 mal pro Zielsystem, ausgeführt. Es gibt eine Reihe von Möglichkeiten, die sich mit einem hostrule-Skript erschliessen. Damit werden breitflächige Analysen von Hosts und deren Funktionen möglich. Weiterlesen ...

Nmap NSE Hacking, Teil 6: Application Fingerprinting selber implementieren | 12.05.2010 | scip AG Labs, Nachdruck in hakin9, Ausgabe Oktober 2012, http://hakin9.eu/hakin9-digest-oktober-2012/
In diesem Teil wollen wir unser Verständnis für die Bibliothek http - die Grundlagen derer gelten als Voraussetzung für das Verständnis dieses Teils - vertiefen. Wir werden eine spezielle Form der Version Detection implementieren. Und zwar werden wir den HTTP-Header der Rückantworten eines Webservers analysieren, um anhand dieses HTTP-Fingerprinting die gegebene Implementierung ableiten zu können. Damit wird die Grundfunktionalität geschaffen, die wir in der angekündigten NSE-Portierung von httprecon erreichen wollen. Weiterlesen ...

Nmap NSE Hacking, Teil 5: HTTP-Kommunikationen | 11.05.2010 | scip AG Labs, Nachdruck in hakin9, Ausgabe Oktober 2012, http://hakin9.eu/hakin9-digest-oktober-2012/
Im fünften Teil wollen wir uns nun auf die Funktionen bezüglich HTTP-Kommunikationen fokussieren. NSE stellt mit http eine entsprechende Bibliothek für das genannte Anwendungsprotokoll zur Verfügung. Sodann können mit verschiedenen Methoden HTTP-Anfragen sehr einfach durchgeführt und die jeweiligen Rückantworten direkt dissektiert werden. Weiterlesen ...

Nmap NSE Hacking, Teil 4: Netzwerkkommunikationen | 10.05.2010 | scip AG Labs, Nachdruck in hakin9, Ausgabe Oktober 2012, http://hakin9.eu/hakin9-digest-oktober-2012/
Im vierten Teil werden wir beginnen die zusätzlichen Möglichkeiten von NSE gänzlich auszuschöpfen, indem eigene Netzwerkkommunikationen angestrebt werden. Durch das eigene Absetzen von unabhängigen Netzwerkzugriffen können weiterführende Auswertungen und Angriffe angestrebt werden, wodurch nmap zu einem vollumfänglichen Vulnerability Scanner erweitert werden kann. Dieses Prinzip werden wir an einem Test für FTP-Server illustrieren. Weiterlesen ...

Nmap NSE Hacking, Teil 3: Komplexes Skript mit Version Info | 09.05.2010 | scip AG Labs, Nachdruck in hakin9, Ausgabe Oktober 2012, http://hakin9.eu/hakin9-digest-oktober-2012/
Im dritten Teil soll die Entwicklung vorangetrieben werden. So werden wir ein komplexeres Skript umsetzen, welches die Möglichkeiten des Application Fingerprinting resultierend aus dem Aufruf mit dem Schalter -sV umfänglich ausschöpfen wird. Weiterlesen ...

Nmap NSE Hacking, Teil 2: Derivatives Plugin eines Portscan | 08.05.2010 | scip AG Labs, Nachdruck in hakin9, Ausgabe Oktober 2012, http://hakin9.eu/hakin9-digest-oktober-2012/
Im zweiten Teil wollen wir nun ein simples Plugin schreiben. Dieses stützt sich in erster Linie auf den regulären Resultaten eines Portscans mit nmap ab. Wir bezeichnen ein solches Plugin als derivativ, da es eine Ableitung von grundlegenden Resultaten durchführt und damit keine eigenen Zugriffe über das Netzwerk umsetzen wird. Weiterlesen ...

Nmap NSE Hacking, Teil 1: Einführung | 07.05.2010 | scip AG Labs, Nachdruck in hakin9, Ausgabe Oktober 2012, http://hakin9.eu/hakin9-digest-oktober-2012/
Nmap steht für Network Mapper. Hierbei handelt es sich um ein quelloffenes Netzwerkutility, welches ursprünglich als Portscanner konzipiert wurde. Durch einen simplen Aufruf wie nmap www.scip.ch lassen sich die offenen Ports am entsprechenden Zielsystem identifizieren. Durch unterschiedliche Schalter wie -sT, -sS und -sU können hierfür verschiedene Scan-Techniken verwenden werden. Weiterlesen ...

Spam und Mail-Verifikation | 05.05.2010 | scip AG Labs
Das Spam-Volumen im Internet wird gegenwärtig von Sophos auf mittlerweile 97 % des Email-Aufkommens geschätzt. Die meisten Firmen und Privatpersonen greifen im Rahmen dieser Spam-Flut auf Spam-Filter zurück, die ungewünschte Nachrichten erkennen und filtern können sollen. Weiterlesen ...

Industrialisierung des Auditing-Bereichs | 03.05.2010 | computec.ch, Marc's Blog
Ich habe eine starke Abneigung gegen Gruppendruck. Wird ein solcher auf mich ausgeübt, reagiere ich uneingeschränkt in der gegenteiligen Art und Weise. Diesem 'gegen den Strom schwimmen' habe ich wohl zu verdanken, dass ich nie lange geraucht habe. Ich habe über 15 Jahre in einer Rockband gespielt und war stetig von Rauchern umgeben. Und dies war der Hauptgrund für mich, Nichtraucher zu bleiben (abgesehen vom vielen Passivrauchen, vor allem an den Konzerten). Weiterlesen ...

Der Cyberstalker | 26.04.2010 | computec.ch, Marc's Blog
Stalking ist kein Phänomen der Neuzeit. Es gibt es wahrscheinlich schon so lange, wie es den Menschen gibt. Doch im Informationszeitalter ist das Verfolgen von Menschen noch viel einfacher geworden. Ich möchte ein kleines Szenario, das nicht mal so abwegig ist, skizzieren. Weiterlesen ...

Schutzmassnahmen in Sozialen Netzen | 23.04.2010 | scip AG Labs
Mit der Popularität sozialer Netze und der darin enthaltenen sensitiven Informationen steigt unweigerlich auch das Interesse am Schutz der Daten. Sodann unsere Empfehlungen, wie man sich sicher in sozialen Netzen bewegen kann. Weiterlesen ...

Zu wenige IP-Adressen | 19.04.2010 | computec.ch, Marc's Blog
TCP/IP ist eigentlich eine ganz simple Sache. Wenn man sich die unterschiedlichen Mechanismen im Einzelnen anschaut, dann sind sie ganz einfach gehalten. Die Komplexität des Themengebiets generiert sich erst durch die Vielzahl der jeweiligen Technologien, ihrer schieren Unendlichkeit an Eigenarten und ihr verflochtenes Zusammenspiel miteinander. Angewandtes TCP/IP ist halt dann doch sehr vielschichtig und komplex. Weiterlesen ...

Opera Mini für iPhone fehlende Privatsphäre | 16.04.2010 | scip AG Labs
Das norwegische Unternehmen Opera entwickelt und vertreibt den gleichnamigen freien Webbrowser. Dieser ist ebenfalls als Opera Mini für verschiedene Mobiltelefon-Plattformen verfügbar. Durch Apple wird auf dem iPhone standardmässig Safari als Webbrowser angeboten. Seit dem 13. April 2010 wird jedoch als Alternative ebenfalls Opera Mini im AppStore angeboten. Nur Tage nach dem Erscheinen der App beherrscht diese Platz 1 der jeweiligen Download-Charts. Das Erscheinen von Opera Mini fürs iPhone ist damit zu einem Ereignis in der Tagespresse geworden. Weiterlesen ...

Was ein Security Consultant nicht kann | 12.04.2010 | computec.ch, Marc's Blog
Security Consulting im IT-Bereich ist ein weitläufiges Gebiet. Es umfassent technische, konzeptionelle und organisatorische Aspekte. Und diese können wiederum in Netzwerke, Betriebssysteme, Applikationen, etc. aufgeteilt werden. Irgendwie muss ein Security Consultant alles wissen oder wenigstens wissen, worum es bei einem Thema im weitesten geht. Keine leichte Aufgabe. Weiterlesen ...

Ankündigung einer nmap NSE-Portierung von httprecon | 08.04.2010 | scip AG Labs
Das httprecon project wurde 2007 ins Leben gerufen. Durch verschiedene Forschungen in Bezug auf das Verhalten von HTTP sowie das Umsetzen einer Implementierung zur automatischen Identifikation von Webserver sollte der Bereich des HTTP-Fingerprinting vorangetrieben werden. Weiterlesen ...

Musik mit Excel - Just Fun, no Profit | 01.04.2010 | scip AG Labs
Die traditionelle Definition des Worts Hacking sieht den kreativen Umgang mit Technologien vor. Und dies ist zu einem hohen Grad auch unsere Einstellung. Unsere Mitarbeiter mögen die Herausforderung und das Spiel zugleich. Und so kommt zwischendurch das eine oder andere nicht ganz ernst gemeinte Projekt zustande. Weiterlesen ...

Mein Gehirnkrampf | 29.03.2010 | computec.ch, Marc's Blog
Ich kann die Leute, die im IT Security Bereich arbeiten, grösstenteils nicht leiden. Die einen sagen, es liegt daran, weil ich arrogant und ignorant den Ideen anderer entgegne. Ich sage stattdessen, dass sich in diesem Bereich einfach eine überproportionale hohe Anzahl an sozial inkompetenten und stetig nörgelnden Besserwissern tummeln. Und ja, in diesem Fall habe ich Recht, egal wer etwas anderes behauptet. Weiterlesen ...

Technische Bild-Forensik | 19.03.2010 | scip AG Labs
Der Bereich der Forensik ist vielfältig. Im Rahmen dessen geht es jeweils um das Identifizieren von verborgenen Informationen und dem Erkennen von Zusammenhängen. Zum Beispiel kann versucht werden mittels Carving einzelne Dateien aus einem Datenträger zu extrahieren. Oder durch das Analysieren von Netzwerkkommunikationen kann versucht werden einen Angriff als solchen zu erkennen. Weiterlesen ...

Des Teufels Zahl | 15.03.2010 | computec.ch, Marc's Blog
Ich mag Zahlen. Und ich mag es, mit ihnen zu spielen. Doch was ich nicht mag sind Leute, die nicht verstehen, was Zahlen überhaupt sind: Zahlen sind eine wohldefinierte Klasse von Symbolen, die je nach angewendetem metrischen und arithmetischen System gewissen nachvollziehbaren Eigenarten unterworfen sind. In der Regel repräsentieren Zahlen eine Sache oder einen Zustand. Die dezimale Zahl 5 steht für die Anzahl meiner Finger an einer Hand. Und die dezimale Zahl 186 definiert meine Körpergrösse in Zentimeter. Zahlen abstrahieren also die Realität. Sie können sie weder ersetzen noch auf den Kopf stellen. Sie können sie lediglich, und dies oftmals nur mit erheblichem Aufwand, abbilden. In vielen Fällen gar unter zwingender Zuhilfenahme von Reduktion (z.B. Rundung) nur skizzieren. Weiterlesen ...

Nessus generische Plugins für Webapplikationen | 12.03.2010 | scip AG Labs
Die Entwickler von Nessus haben eine Reihe zusätzlicher generischer Plugins für Web Application Penetration Tests herausgegeben bzw. bestehende Tests erweitert. Das Ziel dieser ist, typische Schwachstellen – wie Cross Site Scripting und SQL-Injection – mittels Fuzzing zu identifizieren. Damit können also nun auch neue und nicht mit dedizierten Plugins abgearbeitete Schwachstellen gefunden werden. Weiterlesen ...

Who the F**k is VRML? | 08.03.2010 | computec.ch, Marc's Blog
Jeden Morgen fahre ich mit der Bahn zur Arbeit. Und wenn es der Zufall will, dann treffe ich alte Bekannte, Freunde oder gar Familie. Eines Morgens traf ich einen Bekannten, der Kunst studiert hat. In seiner Ausbildung und seiner gegenwärtigen Tätigkeit spielen elektronische Medien - allen voran der Computer und das Internet - eine erstaunlich wichtige Rolle. So passiert es dann nicht selten, dass wir über das eine oder andere Thema diskutieren. Weiterlesen ...

midfp für Windows | 05.03.2010 | scip AG Labs
Im Juli des letzten Jahres haben wir ein Modell zur Identifikation von Mail-Clients vorgestellt. Bei diesem ging es darum, anhand der Struktur der Message-ID eines Emails die entsprechenden Determinierungen vorzunehmen. Zwei Monate später, im September des gleichen Jahres, haben wir eine erste Implementierung namens midfp veröffentlicht. Diese wurde in PHP geschrieben und wird mit den Sourcen und als Online-Version bereitgestellt. Weiterlesen ...

Elektronische Einbruchserkennung - Ein missverstandenes Werkzeug | 22.02.2010 | computec.ch, Marc's Blog
Der erste in erster Linie kommerziell ausgeschlachtete Trend der noch jungen IT Security Branche war das Firewalling. Im Corporate-Bereich wurden Firewall-Systeme gekauft und installiert, wie wenn es kein Morgen gäbe. Jede Firma, die etwas auf sich hielt, musste seinen Internet-Zugang mit einem Paketfilter schützen. Weiterlesen ...

Statistische Auswertung von Schwachstellenklassen | 19.02.2010 | scip AG Labs
Angewandte Computersicherheit ist eigentlich relativ simpel: Eine Schwachstelle entsteht dann, wenn auf Grund fehlender Limitierungen eine Zugriffsmöglichkeit entsteht, die so nicht gewollt war. In Bezug auf die Programmierung bedeutet dies, dass man unvertrauenswürdigen Daten vertraut und auf der Basis dieser uneingeschränkt Zugriffe durchführen lässt. Weiterlesen ...

Entwickler: Dein Freund und Helfer | 15.02.2010 | computec.ch, Marc's Blog
Hier beginnt sie, meine kleine Geschichte. Ich fahre mit dem Zug in unsere Bundeshauptstadt. Muss dort bei einem Kunden einen Partner treffen, der sich für die Entwicklung einer internen Webapplikation verantwortlich zeichnet. Ich bin sehr müde. Da ich momentan sehr viel zu tun habe, bin ich eigentlich auch ein bisschen gereizt - vor allem wenn man mich warten lässt. Ich lass mir jedoch nichts anmerken, melde mich höflich beim Empfang an und werde flott ins Konferenzzimmer geführt. Weiterlesen ...

txsBBSpy - Spyware für BlackBerry: Eine Analyse | 12.02.2010 | scip AG Labs
Tyler Shields des Unternehmens Veracode hielt an der ShmooCon 2010 einen Vortrag zur Sicherheit von BlackBerry-Geräten. Dabei diskutierte er in erster Linie die Möglichkeiten von mobiler Spyware. Seine Ausführungen illustrierte er mit einer eigens dafür angefertigten Backdoor namens txsBBSpy. Den Java-Quelltext dieser hat er noch gleichentags veröffentlicht. In diesem Beitrag soll die Funktionsweise der Hintertür sowie die Implementierung besprochen werden. Weiterlesen ...

Sicherheitsüberprüfungen als Prozess | 08.02.2010 | computec.ch, Marc's Blog
"Im Bereich der Informationssicherheit geniesst wohl kein Zitat solche Bekanntheit, wie jenes von Bruce Schneier: 'Security is not a product; it's a process.'" Weiterlesen ...

Aurora - Anatomie einer medienwirksamen Schwachstelle | 05.02.2010 | scip AG Labs
Der Bereich der Computersicherheit fristet ein gewisses Schattendasein. Nur sehr selten werden Entwicklungen von der breiten Öffentlichkeit wahrgenommen. Nur manchmal gibt es Sicherheitslücken, Malware oder Angriffe, die es in die Tagesmedien schaffen. Die ersten medienwirksamen Meldungen wurden durch Würmer wie Melissa und ILOVEYOU sowie die ersten grossflächigen Distributed Denial of Service-Attacken (DDoS) gegen eBay und Yahoo generiert. Weiterlesen ...

Von Zensur und Doppelmoral | 01.02.2010 | computec.ch, Marc's Blog
In frühester Kindheit habe ich mich mit Träumen auseinandergsetzt. Fortwährend von wirren Geschichten verfolgt, stiess ich schon bald auf die jeweiligen Schriften Sigmund Freuds. Durch die Sekundärliteratur zu seinen Traumdeutungen in meinem Interesse bestärkt, begann ich mich alsbald für den Mann hinter den Analysen zu interessieren. Die Biographie des Juden Freuds war eine der ersten, die ich gelesen habe. Weiterlesen ...

Backdooring eines HTC mit Windows Mobile | 29.01.2010 | scip AG Labs
In den letzten Monaten haben wir viel Energie in die sicherheitstechnische Analyse von mobilen Geräten investiert. In unterschiedlichen Projekten ging es darum die gegebene Sicherheit und die effektiv möglichen Angriffvektoren zu determinieren. Neben dem Auslesen geschützter Bereiche war jeweils ebenfalls das Entwickeln einer Backdoor als Ziel definiert (z.B. als GPS-Tracker für ein iPhone). Weiterlesen ...

Es wäre aufgefallen, dass … | 25.01.2010 | computec.ch, Marc's Blog
Schweizer haben traditionell eine besondere Art, wie sie mit ihren Mitmenschen umgehen. In der Regel sind sie darum bemüht, sich rücksichtsvoll einem Konsens hinzugeben. Dabei wird sich normalerweise davor gescheut, auf Gedeih und Verderb seine eigenen Büdürfnisse auf Kosten anderer durchzusetzen. Der Grund hierfür ist einfach: Unser Land ist sehr klein und man begegnet sich mindestens zwei Mal im Leben - Eine grundlegende Verträglichkeit macht das Leben somit einiges einfacher. Weiterlesen ...

iiScan Web Scanning Review | 22.01.2010 | scip AG Labs
Die chinesische Firma iiScan bietet unter http://www.iiscan.com einen gleichnamigen Webdienst an, mit dem Webserver einem automatisierten Scanning unterzogen werden können. Weiterlesen ...

Risikoanalysen und Resignation | 18.01.2010 | computec.ch, Marc's Blog
Angewandte Computersicherheit stützt sich auf der Diskussion von Risikoanalysen ab. Es gilt die Bedrohungen zu erkennen. Danach wird die Eintrittswahrscheinlichkeit und die Auswirkungen skizziert, um die entsprechenden Risiken kalkulierbar zu machen. Je eher ein Schaden Eintritt oder desto grösser seine Auswirkungen sind, desto grösser ist das Risiko. Und umso grösser das Risiko ist, desto eher lohnt es sich dagegen vorzugehen und will man es minimieren. Ein einfacher Prozess, eigentlich. Weiterlesen ...

Trendanalysen bezüglich Vulnerabilities | 15.01.2010 | scip AG Labs
Der Bereich der Computersicherheit ist, vor allem gemessen an traditionellen Disziplinen, unglaublich jung. Doch dies muss nicht zwingend als unumstösslicher Nachteil wahrgenommen werden. So lassen sich nämlich viele Modelle aus anderen Wissenschaften übernehmen und dadurch vom Erfahrungsschatz dieser profitieren. Weiterlesen ...

Die Rechte und Pflichten eines Forensikers | 11.01.2010 | computec.ch, Marc's Blog
Ich kann mich noch sehr gut an den ersten durch mich geleiteten Forensik Fall im Jahr 2003 erinnern. Ein Industrieunternehmen musste eine Kompromittierung ihres Webservers beobachten. Meine forensischen Untersuchungen sollten zeigen, wie der Einbruch umgesetzt wurde und welche Schäden (z.B. Einbringen von Hintertüren) angerichtet wurden. Weiterlesen ...

Identifikation von Webapplikationen | 07.01.2010 | scip AG Labs
Mittels Fingerprinting wird sich bei einer Sicherheitsüberprüfung darum bemüht, das eingesetzte Produkt zu erkennen. Klassischerweise wird zum Beispiel mit dem OS-Fingerprinting das genutzte Betriebssystem identifiziert. Im Rahmen von Application Fingerprinting geht es darum zu erkennen, welche Netzwerkanwendungen eingesetzt werden. Unsere Entwicklung namens httprecon hilft beispielsweise dabei, den dargebotenen Webserver zu ermitteln. Weiterlesen ...

scip IT Security Forecast 2010 | 28.12.2009 | scip AG Labs
Wie jedes Jahr möchten wir auch zum Ende von 2009 einen IT Security Forecast für das kommende Jahr 2010 machen. Nachfolgend eben jene Themen – nach Möglichkeiten in der Reihenfolge absteigender Priorität -, die sich unseres Erachtens manifestieren oder gar noch weiterentwickeln werden. Weiterlesen ...

2009: Was war? 2010: Was wird? | 21.12.2009 | computec.ch, Marc's Blog
Wie jedes Jahr möchte ich eben dieses mit einem reflektierenden Blog-Eintrag abschliessen - Über Vergangenes sinnieren und zu Zukünftigem träumen. Weiterlesen ...

iPhone Backdoor GPS Tracking Video | 17.12.2009 | scip AG Labs
Seit einigen Monaten sind wir darum bemüht, Applikationen zu verschiedenen Zwecken für das Apple iPhone zu schreiben. Im Rahmen des scip_Talk vom 2. September 2009 haben wir eingeladenen Kunden eine Backdoor für das iPhone vorgestellt. (Ein Thema, das Wochen später einen neuen Zenith in Bezug auf seine Popularität erreichen sollte.) Weiterlesen ...

Performance als Showstopper | 14.12.2009 | computec.ch, Marc's Blog
Grosse Firmen geben Hundertausende, manchmal gar Millionen Schweizer Franken aus, um ihre Webpräsenz zu erstellen, umzubauen oder zu erweitern. Jede Firma, die etwas auf sich hält, präsentiert sich alle paar Jahre komplett neu im Web. Da werden neue Webserver eingerichtet, neue Datenbanken erstellt und neue Webapplikationen entwickelt. Und dabei wird gut und gerne der Devise gefolgt: Nicht kleckern, klotzen! Weiterlesen ...

Bevorzugte Programmiersprachen für Exploits | 11.12.2009 | scip AG Labs
Gemeinhin wird unter einem Exploit ein Stück Software verstanden, das für die automatisierte oder semi-automatisierte Ausnutzung einer Sicherheitslücke genutzt werden kann. Im einfachsten Fall wird beispielsweise die IP-Adresse des Zielsystems angegeben und auf diesem durch die angegangene Sicherheitslücke erweiterte Rechte erlangt. Weiterlesen ...

Kritik an Nessus Attack Scripting Language | 04.12.2009 | scip AG Labs
Der ehemals quelloffene Vulnerability Scanner Nessus galt jahrelang als treibende Kraft für automatisierte Sicherheitsüberprüfungen. Ihm liegt die Nessus Attack Scripting Language (NASL) zu Grunde, welche für das Umsetzen der Plugins verwendet wird. Diese werden eingesetzt, um (1) Daten eines Zielsystems zu sammeln und (2) anhand dieser entsprechende Schwachstellen zu identifizieren. Dieser Beitrag will explizite Kritik an den jeweiligen Schwächen der für die Plugins genutzten Skriptsprache vortragen. Weiterlesen ...

Der Kunde ist König ... Manchmal eher schlecht als recht | 30.11.2009 | computec.ch, Marc's Blog
Als ich das erste Mal als professioneller Penetration Tester zu arbeiten begann, war das alles noch Neuland. Man war froh überhaupt jemanden zu finden, der derlei Arbeiten in sauberer Weise für Geld bereit zu machen ist. Von der breitflächigen Umsetzung oder Etablierung von Standards war nicht die Rede. Eine schöne Zeit, die man aktiv mitprägen konnte. Weiterlesen ...

10 sicherheitsrelevante Gründe gegen Cloud Computing | 27.11.2009 | scip AG Labs
Im Zuge der anhaltenden Virtualisierung der letzten 10 Jahre bekam ein artverwandtes – aber nicht zwingend neues – Thema immer mehr Aufmerksamkeit: Cloud Computing. Forrester Research fasst das Prinzip dieses Konzepts (es handelt sich nicht um eine Software oder ein Produkt als solches) wie folgt zusammen (Inquiry Spotlight: Cloud Computing, Q2 2009): 'Cloud Computing steht für einen Pool aus abstrahierter, hochskalierbarer und verwalteter IT-Infrastruktur, die Kundenanwendungen vorhält und falls erforderlich nach Gebrauch abgerechnet werden kann.' Weiterlesen ...

Cyberwar aus Nordkorea: Auseinandernehmen eines Artikels | 23.11.2009 | computec.ch, Marc's Blog
Journalismus und die damit in einen Rechtsstaat verflochtene Transparenz erachtete ich stets als unumstössliche Grundlage eines solchen. Der Umkehrschluss sieht vor, dass in einem Staat, in dem die Journalisten bedrängt werden, nicht frei sein kann. Leider hat die Qualität moderner Medienschaffender spürbar abgenommen. Dies wird mir besonders dann deutlich, wenn ich einmal mehr einen Artikel zum Thema Computersicherheit lese. Weiterlesen ...

Geschlechtsspezifische Passwortunsicherheiten | 20.11.2009 | scip AG Labs
Der Beitrag Distribution of passwords between men and women stellt statistisches Grundmaterial bezüglich der geschlechterspezifischen Nutzung von unsicheren Passwörtern zur Verfügung. Dabei wurden insgesamt 873’000 Passwörter von männlichen (734’000) und weiblichen Benutzern (139’000) untersucht. Weiterlesen ...

Entwickler vs. Tester | 16.11.2009 | computec.ch, Marc's Blog
Ein Arbeitskollege sagte mal zu mir: 'Wenn man etwas kann, dann entwickelt man Neues. Wenn man das nicht kann, dann lehrt man Dinge. Und wenn man das auch nicht kann, dann wird man halt Kritiker.' Diese Worte muntern mich immerwieder auf, wenn ich irgendwo eine inhaltslose oder polemische Kritik zu meiner Person oder einer Arbeit von mir lese. Und doch muss ich eingestehen, dass man als Security Consultant im Allgemeinen oder als Penetration Tester im Speziellen auch eigentlich 'nur' ein Kritiker ist. Weiterlesen ...

HTTP-Header Zeilen bei GET-Requests | 13.11.2009 | scip AG Labs
In den vorangegangenen Beiträgen HTTP-Header erwartete Anzahl Zeilen und HTTP-Header erwartete Grösse von GET-Requests wurden statistische Beobachtungen angestellt, um das erwartete und zugelassene Verhalten von Webbrowser-Implementierungen zu ermitteln. Die Analysen wurden weitergetragen, indem die typischerweise auftretenden Header-Zeilen bei GET-Anfragen untersucht wurden. Dies ist zum Beispiel bei der Entwicklung eines hochsicheren Webservers oder bei der strikten Konfiguration eines Webproxies von Nutzen. Nachfolgende Grafik illustriert die 20 populärsten Header-Zeilen, wie sie von 300 untersuchten Webbrowsern verschickt werden. Weiterlesen ...

Firefox-Addons für Penetration Tester | 09.11.2009 | computec.ch, Marc's Blog
Eine Vielzahl der Client/Server-basierten Anwendungen werden heutzutage als Webapplikationen umgesetzt. Der Grund dafür ist vielfältig. In erster Linie kann der Nutzen der etablierten Techniken nicht bestritten werden. Auf der Basis webfähiger Programmiersprachen lassen sich innert kürzester Zeit Anwendungen entwickeln, die sich komfortabel über bestehende Browser in einem Netzwerk oder über das Internet nutzen lassen. Weiterlesen ...

Software Restriction: How to Make and how to Break | 06.11.2009 | scip AG Labs
Das grundlegende Prinzip von Multiuser-Plattformen, wie sie im Windows-Umfeld beispielsweise mit Citrix eingeführt werden, liegt in der Einschränkung der jeweiligen Benutzer. Gerade bei Windows ist das besonders schwierig, weil die Multiser-Fähigkeit nicht Teil des grundlegenden Konzepts war. Weiterlesen ...

Blackbox-Tests als falsche Entscheidung | 02.11.2009 | computec.ch, Marc's Blog
Es ist wohl kein anderer Bereich so getrieben von urbanen Legenden, wie der Bereich der Computersicherheit. Ein jeder, der früher oder später über dieses Thema stolpert, fühlt sich irgendwodurch zu den mysteriöschen Geschichten von verwegenen Hacks und Verschwörungstheorien hingezogen. Ein Umstand, der in positiver Hinsicht dazu beträgt, dass sich immerwieder Leute für das Thema begeistern können. Weiterlesen ...

HTTP-Header erwartete Grösse von GET-Requests | 30.10.2009 | scip AG Labs
Im Beitrag HTTP-Header erwartete Anzahl Zeilen haben wir diskutiert, welche Anzahl an Header-Zeilen in HTTP-Anfragen durch einen Webbrowser erwartet werden können. Diese statistische Auswertung ist von Wichtigkeit, wenn es darum geht, mittels Proxy und mod_security eine Hochsicherheitslösung zu schaffen. Weiterlesen ...

Es ist nichts vorbereitet. Schon wieder. | 26.10.2009 | computec.ch, Marc's Blog
Ich mag Professionalität. Egal wo, egal wann. Ich mag es, wenn Leute intelligent und effizient arbeiten. Wenn sie dabei ebenfalls ein angenehmes Mass an Menschlichkeit wahren (Freundlichkeit und Zuvorkommenheit sind Gold wert), dann bin ich wirklich zufrieden. Unabhängig davon, ob es sich nun um die Bedienung in einem Restaurant, den Besuch beim Zahnarzt oder den Kontakt mit einem Kunden geht. Weiterlesen ...

Verteilte Orchestrierung eines Backdoors | 23.10.2009 | scip AG Labs
Klassische Backdoors (Remote Access Tools), wie zum Beispiel BackOrifice oder SubSeven, haben eine Direktverbindung zwischen Client und Server umgesetzt. Da das kompromittierte System den Server auf einen Dienst gebunden und auf dem genutzten Ports eingehende Verbindungen zulassen musste, konnte diese Art der Fernsteuerung einfach erkannt und unterbunden werden (zum Beispiel kein Zulassen eingehender Verbindungen mittels Firewalling). Weiterlesen ...

Wie Informatik im Alltag helfen kann | 19.10.2009 | computec.ch, Marc's Blog
Nicht jeder, vor allem die ältere Generation, kann der Informatik und Computern ihren Nutzen abgewinnen. Nicht selten hört man spöttisch, dass man mit Computern doch nur jene Probleme lösen würde, die man ohne sie gar nicht hätte. Wehmütig hängt man dem Büro von früher nach - keine Rechner, keine Drucker, keine Emails -, in dem eigentlich alles so perfekt war, wie es auch nur sein konnte. Weiterlesen ...

HTTP-Header erwartete Anzahl Zeilen | 16.10.2009 | scip AG Labs
Einige unserer Kunden betreiben Hochsicherheitsumgebungen. In diesen soll und muss das Höchstmass an möglicher Sicherheit erreicht werden. Dies sind leider eine der wenigsten Umgebungen, in denen Proxies effektiv so gebraucht werden, wie sie ursprünglich gedacht wurden. Durch sie wird sodann eine genaue Protocol Inspection durchgesetzt und jegliche Abweichung der definierten Standards oder der erwarteten Formalitäten sanktioniert. Weiterlesen ...

Falsche Akzeptanz eines möglichen Schutzes | 12.10.2009 | computec.ch, Marc's Blog
Ich fahre täglich mit Bus, Bahn und Tram zur Arbeit. Pro Arbeitsweg sitze ich knapp 45 Minuten in einem öffentlichen Verkehrsmittel. Früher habe ich stets gelesen. Da kommen pro Woche dann etwa 300 Lesestunden zusammen. Mittlerweile mag ich aber nicht immer lesen. Vor allem am Abend bin ich zu müde, um abgesehen von einer seichten Tageszeitung meine Nase noch in ein technisches Buch oder einen Klassiker der Literatur zu stecken. Weiterlesen ...

Kommentar zu Content Security Policy (CSP) | 09.10.2009 | scip AG Labs
Im Webbereich sind Cross Site Scripting-Schwachstellen für einen Grossteil erfolgreicher Angriffe verantwortlich. Und mit der Etablierung von Web 2.0, das mit Ajax auf Javascript basiert, ist dieses Problem aus funktionalen Gründen nicht mehr ohne weiteres zu eliminieren. Weiterlesen ...

Erkennen von Kaskadierungen im Fingerprinting | 05.10.2009 | computec.ch, Marc's Blog
Durch das Application Fingerprinting ist man bemüht, anhand des charakteristischen Verhaltens einer Netzwerkanwendung die individuelle Implementierung als solche zu identifizieren. Damit verlässt man Identifikationen anhand starrer Zeichenketten, wie sie zum Beispiel im Rahmen des Banner-Grabbings gesucht werden. Selbst wenn ein Banner gelöscht oder verändert wurde, liesse sich das genutzte Produkt anhand des Fingerprints erkennen. Weiterlesen ...

Backdoor Testing optimieren | 02.10.2009 | scip AG Labs
Viele unserer Kunden wollen die vielschichtig etablierte Sicherheit durch Backdoor Tests prüfen lassen. Hierbei wird ein eigens für den Kunden angefertigtes Trojanisches Pferd vorbereitet, welches die gegebenen Sicherheitsmassnahmen umgehen, eine Infektion durchführten und Daten extrahieren können soll. Weiterlesen ...

Security Scanner Design am Beispiel von httprecon | 24.09.2009 | OpenExpo 2009, Winterthur
Am 24. September 2009 hielt Marc Ruef (CTO der scip AG) einen Vortrag an der OpenExpo 2009 in Winterthur. Dieser trug den Titel Security Scanner Design am Beispiel von httprecon. Weiterlesen ...

Eingabeüberprüfung par Excellence | 21.09.2009 | computec.ch, Marc's Blog
Die technische Computersicherheit ist in den meisten Bereichen auf eine fehlerhafte Eingabeüberprüfung zurückzuführen. Dies bedeutet, dass ein Angreifer Daten an eine Applikation übergeben kann, die diese nicht oder so nicht erwartet hat und deshalb in unsicherer Weise weiterverarbeitet. Dies ist der Effekt, der bei den populären Angriffstechniken wie Pufferüberlauf, Format String, Cross Site scripting, SQL-Injection und Directory Traversal beobachtet werden kann. Weiterlesen ...

Skype-Trojaner von Megapanzer - Eine Analyse | 18.09.2009 | scip AG Labs
Ende August 2009 veröffentlichte die umstrittene Underground-Seite gulli.com ein Interview mit Ruben Unteregger. Im Mittelpunkt des Interesses steht der von ihm entwickelte Skype-Trojaner. Dieser soll Einblick in die Funktionsweise des Backdoorings durch Ermittlungsbehörden aufzeigen. Die Veröffentlichung der Quellen wurde am 25. August 2009 auf dem Blog des Entwicklers vorgenommen. Weiterlesen ...

Statistische Analyse der Gemütslage | 14.09.2009 | computec.ch, Marc's Blog
In meinem jugendlichen Alter habe ich mich darum bemüht, meinen Schein als Freak aufrecht zu erhalten. Mit der Zeit wurde das aber sowohl mühsam als auch langweilig, so dass ich es eigentlich ganz Okay finde, wenn mich die Freaks in meinem Umfeld nicht mehr als solchen wahrnehmen. Eigentlich empfinde ich es manchmal schon fast ein bisschen als Kompliment. Weiterlesen ...

Mail Message-Id Fingerprinting Implementation | 11.09.2009 | scip AG Labs
Im Beitrag Mail Message-Id Fingerprinting haben wir darauf hingewiesen, dass anhand der Message-Id im SMTP-Header eines Emails mittels Application Fingerprinting das eingesetzte Produkte erkannt werden kann. Die letzten Wochen waren wir darum bemüht, sowohl die Struktur dieser mir Regular Expressions (RegExp) abzubilden, als auch eine funktionierende Implementierung für ein automatisiertes Message-Id Fingerprinting umzusetzen. Weiterlesen ...

Angst vor Binärdateien: Ja. Angst vor ASCII-Dateien: Nein. | 07.09.2009 | computec.ch, Marc's Blog
Kommt es zur Diskussion sicherer Einstellungen für Web- und Mailproxies, befolgen mittlerweile die meisten Administratoren und Sicherheitsverantwortlichen die gleiche Strategie: Binäre Dateien sind meistens gefährlich, Klartextdaten eher weniger. Das will heissen, dass man in erster Linie Dateien mit Erweiterungen wie EXE, DLL, OCX, SCR blockieren will. Alles andere kann ja nicht so gefährlich sein, da man es ja nicht effektiv ausführen kann. Weiterlesen ...

Browser Fingerprinting mit Ajax | 04.09.2009 | scip AG Labs
Die Identifikation eines Webbrowsers ist bei browserspezifischen Angriffen professioneller Natur unerlässlich. Traditioneller Weise wird dabei die als User-Agent mitgeschickte Header-Zeile des Clients ausgelesen. Da sich diese jedoch manipulieren lässt (z.B. bei Mozilla Firefox durch das Addon User Agent Switcher), wird auch hier ein akkurates Application Fingerprinting unerlässlich. Weiterlesen ...

Wordpress: Eine Studie in Scharlachrot | 31.08.2009 | computec.ch, Marc's Blog
Es gibt verschiedene Produkte, die haben sich über Jahre einen Namen in Security-Kreisen gemacht. Und zwar keinen Guten. Die erste Software mit einem zwielichtigen Titel war der wohl populärste Mail Transfer Agent aller Zeiten: Sendmail. Nicht umsonst nannte man ihn 'buggiest daemon on earth'. Eine hohe Anzahl an kritischen Schwachstellen wurden über die Jahre entdeckt. Rückblickend waren die meisten davon auf die Komplexität der Software zurückzuführen. Weiterlesen ...

LotusScript und seine Gefahren | 28.08.2009 | scip AG Labs
LotusNotes wird vorzugsweise in grösseren Unternehmungen als Alternative zu Microsoft Exchange und Outlook eingesetzt. Das kommerzielle Produkt, welches mittlerweile von IBM betreut wird, weist eine ähnliche Funktionalität auf: Email, Terminkalender, Tasks/Todos und Chats (mit Sametime). Weiterlesen ...

Ein kleiner Schritt für einen Wurm, ein grosser Schritt für den Programmierer | 24.08.2009 | computec.ch, Marc's Blog
Als man in unseren Breitengraden anfing das Thema Computersicherheit im kommerziellen Umfeld bewusst wahrzunehmen, fokussierte man sich in erster Linie auf Netzwerksicherheit. Durch Security Audits sollten auf der Netzwerkebene unsichere Dienste ausgemacht werden, um sich diesen anzunehmen und damit die Sicherheit der Umgebungen zu erhöhen. Weiterlesen ...

PHP-Performance bei Inkrementierungen | 21.08.2009 | scip AG Labs
Performance spielt auch in Bezug auf die Sicherheit eine zentrale Rolle. Bleibt die zeitnahe Abarbeitung von Prozessen nämlich aus, kann dies zu einer Denial of Service für den Dienst führen. Entsprechend ist es bei zeitkritischen Applikationen besonders wichtig, dass die jeweiligen Entwickler ebenfalls ihr Augenmerk auf die Performance ihrer Lösung legen. Weiterlesen ...

Das Statement | 17.08.2009 | computec.ch, Marc's Blog
Es gibt eine Unmenge an Witzen über beratende Berufe (vorwiegend Unternehmensberater). Die Quintessenz derer zielt meistens darauf ab, dass in ineffzienter, verblendeter und unnötiger Weise Details kommuniziert werden, die alle schon wussten und dennoch ein spezifisches Problem nicht lösen können. So wie zum Beispiel derjenige Witz mit dem Schafhirten. Weiterlesen ...

QualysGuard Vulnerability Management Scans: Eine kritische Betrachtung | 14.08.2009 | scip AG Labs
Im Sinne der Wirtschaftlichkeit ist die Sicherheitsbranche darum bemüht, die sicherheitstechnischen Überprüfungen weitestgehend zu automatisieren. Erste umfassende Bestrebungen konnten im Bereich der Netzwerküberprüfungen beobachtet werden. Dan Farmer und Wietse Venema zeigten erstmals im Jahr 1995 mit SATAN, dass sich repetitive Arbeiten in diesem Bereich geschickt automatisieren lassen sollten. Darauf folgte das von Renauld Deraison entwickelte Nessus-Framework, welches mit einer Vielzahl an Plugins und Erweiterungen aufwarten sollte (leider unterliegt Nessus seit Ende 2005 ab Version 3.0 nicht mehr der GPL). Weiterlesen ...

Gruppieren von Schwachstellen in Reports | 10.08.2009 | computec.ch, Marc's Blog
Eine Sicherheitsüberprüfung ist im Grunde nichts Spezielles: Im Rahmen der Analyse werden sämtliche gefundenen Schwachstellen und Sicherheitslücken dokumentiert. Bei einem Web Application Penetration Test sind dies typischerweise Cross Site scripting und SQL-Injection Schwachstellen, die unbedingt adressiert werden müssen, um ein annehmbares Mass an Sicherheit erreichen zu können. Weiterlesen ...

Erweiterte Zugriffsrechte durch Googlebot | 07.08.2009 | scip AG Labs
Viele Webseiten-Betreiber wollten gewisse Inhalte den registrierten Benutzern vorenthalten. So manches Forum setzt eine Anmeldung voraus, um gar die bestehenden Posts lesen zu können. Damit diese Daten dennoch in Suchmaschinen wie Google indiziert werden können, wird dem jeweiligen Crawler der Zugriff gewährt. Weiterlesen ...

The Big Brothers are watching | 03.08.2009 | computec.ch, Marc's Blog
Halvar Flake, mit dem ich sporadischen Kontakt hatte, wurde Mitte 2007 die Einreise an die Black-Hat-Konferenz in die USA verwehrt. Spätestens dieser Zwischenfall hat mich dahingehend zum Nachdenken gebracht, ob und inwiefern es schlau von mir war, mich stetig und unablässig mit meiner wahren Identität im Internet zu äussern. Dass nachrichtendienstliche Behörden und die organisierte Kriminalität auf einem aufmerksam wird, ist eigentlich nur eine Frage der Zeit. Weiterlesen ...

Hinweis auf und Gefahr durch Word Makro | 31.07.2009 | scip AG Labs
Um die Jahrtausendwende herum wurden mit Melissa und Iloveyou eine Virenplage sondergleichen losgetreten. Die mediale Wirksamkeit dieser aus heutiger Sicht eher primitiven Makroviren war noch nie dagewesen und deshalb die Risiken von VBA in Office-Dokumenten schlagartig im Bewusstsein der Benutzer und Administratoren. Weiterlesen ...

Der Zahn der Zeit | 27.07.2009 | computec.ch, Marc's Blog
Im Juni des vergangenen Jahres habe ich einen Web Application Penetration Test bei einem grösseren Finanzinstut durchgeführt. Dabei sollte ich in einer der zentralen Webanwendungen Schwachstellen ausmachen, die Kunden nutzen könnten, um das Zielsystem oder andere Kunden (z.B. mittels Cross Site scripting) zu attackieren. Das einzig Besondere am Auftrag war, dass es sich um eine sehr komplexe und schwerfällige Anwendung handeln sollte, die auf simple HTML-Forms verzichtet und stattdessen obskure Javascript-Anweisungen für die Übermittlung der Daten nutzt. Es schien, als wollten sich die Applikationsentwickler das Leben so schwer wie möglich machen (diesen Effekt beobachten wir in den letzten Jahren vermehrt). Weiterlesen ...

PDF Document Properties Parsing Probleme | 24.07.2009 | scip AG Labs
Im Rahmen des Postings Automatisiertes Document Properties Profiling haben wir darüber berichtet, inwiefern das Auswerten der Document Properties öffentlicher Dokumente umgesetzt werden kann. Dabei wurde sich auf die Formate Word (doc), Excel (xls) und Acrobat (pdf) fokussiert. Weiterlesen ...

Management Summaries als Herausforderung | 20.07.2009 | computec.ch, Marc's Blog
Viele junge Leute kommen auf mich zu und fragen, wie sie ebenfalls Security Consultant bzw. Penetration Tester werden können. Sie fügen oftmals hastig hinzu, welche technischen Fähigkeiten sie sich die letzten Jahre angeeignet hätten. Sei dies nun ein tiefschürfendes Verständnis für Betriebssysteme, Programmierung, Netzwerk oder Reverse Engineering. Technische Details sind das, was in erster Linie begeistert. Weiterlesen ...

Mail Message-Id Fingerprinting | 17.07.2009 | scip AG Labs
Mit dem browserrecon project wurde eine der ersten umfassenden Implementierungen entwickelt, die mittels Application Fingerprinting eine eingesetzte Client-Applikation – in diesem Fall Webbrowser – erkennen können soll. Wir sind um eine Weiterführung dieses Ansatzes bezüglich anderen Clients bemüht. Weiterlesen ...

Free Consulting for All | 13.07.2009 | computec.ch, Marc's Blog
Geld hat für mich noch nie eine grosse Rolle gespielt. Klar, es ist schön, wenn man sich zwischendurch einen materiellen Traum erfüllen kann. Doch von Vornherein sollte man wissen, dass sich durch Besitz oftmals nur kurzfristig Freude erkauft werden kann. Glücklichsein muss man sich wohl erarbeiten. Und wie das Wort schon vermuten lässt, ist es ein Zustand des Seins und nicht des Habens. Schon sehr früh habe ich mich also darum bemüht, an der Spitze der maslow'schen Bedürfnispyramide anzukommen und meiner Selbstverwirklichung nachgehen zu können. Damit geht einher, dass man das machen kann, was einem Spass macht. Dies scheint der wahre Luxus zu sein: Auf Dinge, die man nicht mag, verzichten zu können. Weiterlesen ...

Browser Fingerprinting anhand GET Queue: Erste Resultate | 10.07.2009 | scip AG Labs
Im Eintrag Browser Fingerprinting anhand GET Queue haben wir darauf hingewiesen, dass sich voraussichtlich ein charakteristisches Verhalten unterschiedlicher Browser in Bezug der Reihenfolge der Downloads eingebetteter Objekte beobachten lässt. Durch die Analyse dessen liesse sich mittels Application Fingerprinting das eingesetzte Produkt ausmachen. Weiterlesen ...

Quality of Service als Denial of Service | 06.07.2009 | computec.ch, Marc's Blog
Als wir Ende 2002 die Firma scip AG gegründet haben, waren wir zu Dritt. Wie jedes Unternehmen, das im IT-Bereich aktiv ist, mussten auch wir uns um eine entsprechende IT-Infrastruktur bemühen. Als Sicherheitsunternehmen kam es für uns nicht in Frage, den Mailverkehr und die Webseite einer externen Firma anzuvertrauen. Zu hoch war und ist das Risiko, dass eine Drittperson etwelche Schwachstellen ausnutzt und uns damit unmittelbaren wirtschaftlichen Schaden zufügen könnte (Reputationsverlust und Verlust der Integrität der Daten). Weiterlesen ...

Automatisiertes Document Properties Profiling | 03.07.2009 | scip AG Labs
Im Rahmen von Footprinting und Web Application Penetration Tests weisen wir gut und gerne darauf hin, wenn auf einem Server Dokumente dargeboten werden, die (technische) Hinweise auf die Zielumgebung gewähren. Dies sind beispielsweise Hinweise auf die genutzte Software für das Generieren von PDF-Dokumenten oder in Word-Dokumenten als Autor angegebene Windows-Benutzernamen. Ein Angreifer kann diese Informationen nutzen, um sich im Rahmen eines technischen oder psychologischen Angriffs einen grundlegenden Vorteil zu verschaffen. Weiterlesen ...

Nichtexistenz als Schwachstelle | 29.06.2009 | computec.ch, Marc's Blog
Ein Thema, das mich die letzten Jahre stetig begleitet hat, sind sogenannte Configuration Reviews. Bei diesen geht es darum, die Konfiguration eines Systems oder eines Dienstes auf etwaige Schwächen hin zu untersuchen. Dabei kann man grob zwischen zwei Arten von Fehlern unterscheiden. Weiterlesen ...

Instabile und unzuverlässige Skype API | 26.06.2009 | scip AG Labs
Vor über einem Jahr habe ich in einem privaten Blog Beitrag mit dem Titel MySkypeWorm – Connecting with Friends darauf hingewiesen, wie sich durch das Ansteuern der partiell offenen Skype API und der Nutzung von Click-Events ein Skype-Wurm entwickelt werden kann. Schon damals habe ich eine erste Implementierung umgesetzt, mit der die Möglichkeiten dessen im Rahmen unseres Labs bewiesen wurde. Und schon dort zeigte sich, dass die Stabilität der Skype API sehr zu wünschen übrig lässt. Weiterlesen ...

Wer rechnen kann, ist klar im Vorteil | 22.06.2009 | computec.ch, Marc's Blog
Die meisten von uns können sich sicher noch an die Schulzeit erinnern, als man sich in mühseliger Weise mit traditionellen Fächern wie Deutsch, Mathematik oder Physik herumärgern musste. Viele Schüler, gerade jene mit den weniger guten Noten, machen lautstark ihrem Ärger Dampf, indem sie unablässig darauf hinweisen, dass sie das vermeintliche Wissen ja sowieso nie brauchen werden. Weiterlesen ...

Xdoor - Unsere Ajax-basierte Backdoor | 17.06.2009 | scip AG Labs
Der Begriff Web 2.0 ist ein Buzzword, das die meisten Techniker nicht mehr hören können. Vorzugsweise deswegen, weil die meisten Projektleiter und Nutzer nicht wissen, was das überhaupt ist (und dass es die genutzten Mechanismen schon seit längerer Zeit gibt). Grundsätzlich versteht man darunter Ajax (Asynchronous JavaScript and XML), eine Kombination aus Javascript und XML. Weiterlesen ...

Wie man ein Fachbuch schreibt und publiziert | 15.06.2009 | computec.ch, Marc's Blog
In meinem Freundes- und Bekanntenkreis gibt es eine bemerkenswerte Anzahl an Leuten, die gerne ein Fachbuch schreiben und veröffentlichen würden. Einige davon formulieren erst ihren Gedanken, andere haben schon etwas geschrieben und möchten nun einen Verlag zwecks Publizierung angehen. Nicht selten bittet man mich um Rat, wie man soetwas am besten ansteuern soll. In diesem Beitrag möchte ich meine Sicht der Dinge darlegen und die gesammelten Erfahrungen weitergeben. Weiterlesen ...

MSN Bot mit sonderbaren Anfragen | 11.06.2009 | scip AG Labs
Als Sicherheitsunternehmen ist unsere Infrastruktur unweigerlich sehr stark exponiert. Immerwieder versuchen Leute, etwelche Schwachstellen – vorwiegend auf unserer Webseite – ausfindig zu machen. Indem wir ein eigens entwickeltes Content Management System einsetzen und sehr strikte Sicherheitsmechanismen einsetzen, können wir derlei Angriffsversuche umfassend beobachten und direkt daraus lernen. Unsere Webseite fungiert dabei quasi als Honeypot. Weiterlesen ...

Angriff als unnötige Art der Verteidigung | 08.06.2009 | computec.ch, Marc's Blog
Müsste ich meiner Grossmutter meine Arbeit in einem Satz erklären, würde ich wahrscheinlich folgendes sagen: 'Ich werde von Firmen bezahlt, dass ich mir ihre Computersysteme anschaue und Kritik daran übe, wie diese eingesetzt werden.' Nicht alle Menschen lassen sich kritisieren. Ich muss das wissen, denn auch ich reagiere bei destruktiver und diplomatisch ungeschickt vorgetragener Kritik eher ungehalten und abwehrend. Es sollte jedoch in der Intelligenz des Menschen liegen, die konstruktiven Punkte herausnehmen und in der Verbesserung seiner Selbst zum Vorteil nutzen zu können. Weiterlesen ...

Keyboard Sniffing mit Keykeriki | 04.06.2009 | scip AG Labs
Max Moser, ein ehemaliger Arbeitskollege meinerseits, beschäftigt sich seit geraumer Zeit mit dem Mitlesen von Datenübertragungen drahtloser Tastaturen. Heute hat er ein Video online gestellt, in dem er seine Implementierung Keykeriki demonstriert. Weiterlesen ...

Despotische Demokratie in der virtuellen Welt | 01.06.2009 | computec.ch, Marc's Blog
Ich kann mich noch sehr gut an einen Penetration Test erinnern, den ich für ein internationales Finanzinstitut durchgeführt habe. Die in Indien eingekaufte Anwendung sollte firmenweit eingesetzt werden und dort die Kommunikation zwischen den Mitarbeitern erlauben. Quasi ein Social Network, wie man es von Xing oder Facebook her kennt, sollte aufgezogen werden. Das Hinzufügen von Kontakten war genauso erwünscht wie der unkomplizierte Austausch von Nachrichten. Weiterlesen ...

Browser Fingerprinting anhand GET Queue | 29.05.2009 | scip AG Labs
Die letzten Jahre haben wir uns intensiver mit Application Fingerprinting auseinandergesetzt. Dabei geht es darum anhand des charakteristischen Verhaltens von Anwendungen das eingesetzte Produkt zu erkennen. Dadurch können produktspezifische Angriffe vorbereitet werden. Mit Projekten wie httprecon und browserrecon wurden erste solide Implementierungen umgesetzt, die eine breitflächige Akzeptanz unter Penetration Testern erlangt haben (zur Zeit werden sie vor allem im spanischen Sprachraum rege diskutiert). Weiterlesen ...

Unterschätze nie den Makrovirus | 25.05.2009 | computec.ch, Marc's Blog
Alle, die sich schon länger für Computersicherheit interessieren, können sich noch an die populären Makroviren Melissa und ILOVEYOU erinnern. Anfang des neuen Jahrtausends haben diese bis dahin unbekannt grosses Aufsehen in den Tagesmedien erregt. Office-Dokumente wurden mit korruptem Programmcode versehen, der sich selber per Email weitergeschickt hat. Die neue Gefahr schien bedrohlicher zu sein als alles, was bisher da gewesen war (was in erster Linie mit der jungen Popularität des Internets zu tun hatte). Weiterlesen ...

Der biometrische Pass wurde angenommen | 18.05.2009 | computec.ch, Marc's Blog
Leider wurde in der Abstimmung durch das Volk die Einführung des biometrischen Passes angenommen. Die Prognosen sahen dies ursprünglich mit einer knappen Mehrheit vor. Doch wirklich interessant daran ist, dass es sich hierbei um das knappste Resultat einer Volksabstimmung in der Schweiz seit 1848 handelt. Die Annahme wurde mit 50,1 %, das Mehr betrug lediglich 5402 stimmen, durchgesetzt. Weiterlesen ...

Kritik am biometrischen Pass - Nein am 17. Mai | 04.05.2009 | computec.ch, Marc's Blog
Am 17. Mai 2009 steht eine technologisch wichtige Abstimmung im Zentrum der Schweizer Politik. Es geht um die Akzeptanz der Einführung des mit biometrischen RFID-Passes im Jahr 2010. In diesem Beitrag möchte ich als Sicherheitsexperte auf die technischen und organisatorischen Unklarheiten, Schwierigkeiten und Probleme hinweisen. Meine Empfehlung mit einem Nein zum biometrischen Pass am 17. Mai abzustimmen, soll argumentativ untermauert werden. Weiterlesen ...

Firewall Rule #1: DENY ALL | 27.04.2009 | computec.ch, Marc's Blog
Seit vielen Jahren führe ich sogenannte Firewall Rule Reviews durch. Bei diesen wird das Regelwerk eines Firewall-Systems exportiert und auf etwaige Schwächen hin untersucht. Nach dem Export findet als erstes eine Normalisierung statt. Dabei werden die Attribute der Regelsätze auseinandergenommen und vereinheitlicht. Üblicherweise sind dort Quellsystem, Quellport, Zielsystem, Zielport, Protokoll und Aktion von Interesse (moderne Firewall-Systeme erlauben zusätzliche Attribute wie Gültigkeitsdauer, VPN-Einstellungen, Logging, Client-Authentisierung, etc.). Weiterlesen ...

Das Cookie ist mächtiger als das Schwert | 20.04.2009 | computec.ch, Marc's Blog
Unsere Firma bietet verschiedene Module an, anhand derer wir die Sicherheit von Produkten, Lösungen und Installationen untersuchen können. Klassischerweise wird zum Beispiel ein Penetration Test auf eine Webapplikation durchgeführt, um typische Schwachstellen wie Cross Site scripting und SQL-Injection ausfindig zu machen. Weiterlesen ...

Prinzip der Datenklassifizierung | 13.04.2009 | computec.ch, Marc's Blog
Wer an Computersicherheit denkt, der denkt in der Regel als erstes an Firewalls und Computerviren. Vielleicht kommen einem als zweites Begriffe wie Security Audit und Source Code Analyse in den Sinn. Sicherheit beginnt jedoch viel früher, lange bevor sich der erste Benutzer mit einem Passwort auf einem System einloggt oder das erste Bit über das Netzwerkkabel geschickt wird. Weiterlesen ...

Die Verantwortung der Entwickler | 06.04.2009 | computec.ch, Marc's Blog
Ich habe schon einige Jahre als Security Consultant gearbeitet und so manchen Security Audit durchgeführt, als ich bei meinem damaligen Arbeitgeber einen der Entwickler näher kennengelernt habe (eigentlich habe ich ihm zuerst über Monate hinweg in den Pausen beim Billard das Geld aus den Taschen gezogen, aber darum gehts jetzt hier nicht). Er war ein heller Kopf, manchmal ein bisschen in seiner Welt gefangen, doch rundum ein lustiger und unterhaltsamer Zeitgenosse. Weiterlesen ...

Die ungewollte DoS beim Griff zu den Sternen | 30.03.2009 | computec.ch, Marc's Blog
Seit Jahren bin ich um die Professionalisierung des Bereichs der Computersicherheit bemüht: Durch eine systematische Herangehensweise, die in traditionellen Wissenschaften schon lange als elementare Grundlage erarbeitet wurden, soll die Qualität entsprechender Schutzmassnahmen erhöht werden. Gerade in Bezug auf Sicherheitsüberprüfungen, im speziellen bezüglich der zielgerichteten Penetration Tests, ist mitunter eine chirurgische Präzision das, was die Qualität der Arbeit ausmacht. Weiterlesen ...

Social Engineering: Zwischen Kunst und Schande | 23.03.2009 | computec.ch, Marc's Blog
Das zentrale Instrument der technokratischen Informationsgesellschaft ist die Informationsbeschaffung. Auf der Basis der zusammengetragenen und ausgewerteten Daten können sodann effiziente und intelligente Entscheidungen getroffen werden. So agieren Privatpersonen, Firmen, ja gar ganze Staaten bzw. Staatenverbunde. Weiterlesen ...

Deadlock mal anders | 02.03.2009 | computec.ch, Marc's Blog
Im Bereich der Software-Entwicklung fürchten sich erfahrene Programmierer von allem vor einem: Vor einem Deadlock! Hierbei handelt es sich um eine 'Verklemmung', die dazu führt, dass die Anwendung ihre gewünschte Arbeitsweise nicht mehr fortsetzen kann. Zum Beispiel weil ein Thread auf eine Ressource zugreift und diese nicht mehr freigibt, zwischenzeitlich aber ein anderer Thread zwingend auf sie zugreifen müsste. Das Ganze endet als Race Condition in einer Denial of Service, die sich im schlimmsten Fall gar absichtlich reproduzieren lässt. Da gerade das Debugging von Multi-Threading Applikationen ein zusätzliches Mehr an Komplexität mit sich bringt, ist jeder Entwickler froh drum, wenn er sich nicht mit derlei Problemen konfrontiert sieht. Weiterlesen ...

Das zwielichte Geschäft der Antiviren-Hersteller | 23.02.2009 | computec.ch, Marc's Blog
Ich habe mich sehr früh angefangen für Computerviren zu interessieren. Im Alter von etwa 13 Jahren hatte ich schon eine ganze Reihe von Viren für meinen MS DOS 3.1 Rechner geschrieben. Dabei haben mich weniger die Schadroutinen, sondern viel mehr die Möglichkeiten effizienter Infektionen sowie das Verstecken von Antiviren-Mechanismen interessiert. Da ich zeitgleich eine eigene Antiviren-Routine (in erster Linie auf der Basis einer Mustererkennung) schrieb, empfand ich das Entwickeln meiner Viren und das Erweitern meiner Antiviren-Software als virtuelles Schachspiel gegen mich selber. Weiterlesen ...

Das Dilemma des perfekten Verbrechens | 16.02.2009 | computec.ch, Marc's Blog
Seit ich ein kleines Kind bin und mich für Kriminalgeschichten interessiere, frage ich mich, ob es das perfekte Verbrechen gibt. Gerne wird als eindrückliches Beispiel solcher Gedankenexperimente der 'perfekte Mord' verwendet. Ich will mich in folgendem Diskurs jedoch allgemeiner halten und mich nicht auf die Art des Verbrechens festlegen. Es kann also abgesehen vom Mord genauso ein Diebstahl, der Insider-Handel mit Aktien oder der elektronische Einbruch in ein Computersystem sein. Hierbei soll die Frage geklärt werden, ob es ein perfektes Verbrechen gibt und welche Eigenschaften es mit sich bringen muss. Weiterlesen ...

Wie Banken gegen Terrorismus und Geldwäscherei vorgehen | 09.02.2009 | computec.ch, Marc's Blog
Dem Finanzplatz Schweiz wird immerwieder gerne vorgeworfen, dass er sich in unrechtmässiger Weise durch zwielichtige Geschäfte bereichert. In der Tat wird es auch in diesem Bereich Geschäfte geben, die ethisch und moralisch nicht von jedermann gutgeheissen werden können und werden. Dennoch gilt es zu bedenken, dass durch die Auflagen der Eidgenössischen Bankenkommission (EBK) relativ viel Aufwand betrieben wird, um Terrorismus, Geldwäscherei und Steuerhinterziehung sowie Steuerbetrug (sind nicht das Gleiche) zu bekämpfen. Weiterlesen ...

MCP, MCSE, CCSA, CCSP, CFSA, CFSO, CISM, CISA, CISSP | 02.02.2009 | computec.ch, Marc's Blog
Die einen sagen es sei in erster Linie Glück, die anderen sprechen von Können oder eisernem Durchhaltewillen. Ich denke es ist ein bisschen von allem, wenn es darum geht, warum ich die Möglichkeit habe meinen Job als Penetration Tester mit angenehmen Erfolg auszuüben. Ich habe über Jahre eine Unmenge an Büchern und Fachartikeln gelesen, Angriffstechniken in meinem eigenen Netzwerk ausprobiert und versucht durch eigene Implementierugen die Hintergründe dieser zu verstehen. Dass mir dann die Möglichkeit geboten wurde - ursprünglich durch Siemens Security Schweiz - mich in diesem Bereich zu bewähren, hatte dann sicher auch ein bisschen mit Glück zu tun. Weiterlesen ...

Komprimiertes Denken | 26.01.2009 | computec.ch, Marc's Blog
Vor einiger Zeit habe ich bei TV Total den jungen Gedächtnisweltmeister Konstantin Skudler gesehen (09.12.2008), der durch überragende Leistungen im Auswendiglernen begeistern konnte. Innerhalb von 20 Minuten sollte er sich eine schier unendlich lange Zeichenfolge - bestehend aus 0 und 1 - merken. Ein blindes Rezitieren dieser verblüffte das Publikum. Eher untypisch für Stefan Raab bemühte er sich im darauf folgenden Interview darum, die Herangehensweise seines Gastes zu verstehen. Weiterlesen ...

The Art of Fingerprinting | 19.01.2009 | computec.ch, Marc's Blog
Im Bereich der Computersicherheit nimmt Fingerprinting eine wichtige Stellung ein. Durch verschiedene Techniken sollen eingesetzte Komponenten möglichst exakt ermittelt werden. Dies geschieht in der Regel, um deren charakteristisches Verhalten zum eigenen Vorteil einzuspannen. Spätestens beim Ausnutzen einer Schwachstelle eines Betriebssystems ist es beispielsweise unabdingbar zu wissen, ob nun Microsoft Windows Vista oder Debian GNU/Linux eingesetzt wird. Gutes Beispiel ist das Ausnutzen einer Directory Traversal-Schwachstelle, bei der das Verständnis für die Verzeichnisstruktur und die Eigenschaften des Dateisystems ein zentrales Element bildet. Zur Identifikation der Systeme wird OS-Fingerprinting (z.B. mittels der Option -O von nmap) verwendet. Weiterlesen ...

Chief Security Officer auf verlorenem Posten | 12.01.2009 | computec.ch, Marc's Blog
Eine bezüglich ihrer Wichtigkeit nicht zu unterschätzende Position in einem Unternehmen ist der Chief Security Officer (CSO). Der Sicherheitsbeauftragte einer Firma ist dafür zuständig, sich um die Sicherheitsfragen seines Arbeitgebers zu kümmern. Manchmal wird ein Chief Information Security Officer (CISO), der sich ausschliesslich um die elektronische Sicherheit kümmert, definiert. Zu seinen Aufgaben gehören in erster Linie das Bestimmen der Vorgaben (Richtlinien/Policies), Umsetzen von Massnahmen (Empfehlungen/Optimierungen), Prüfung der Gegebenheiten (Controlling/Audits). Weiterlesen ...

Huhn oder Ei? Patch oder Exploit? | 05.01.2009 | computec.ch, Marc's Blog
Ich bin nie darum verlegen, mich in Gedanken mit einem guten Rätsel aufzuhalten. Umso mehr machen mir jene Gedankenspiele Spass, die keine echte Lösung zulassen. Also ein philosophischer Koan, der quasi den Fragesteller und den Denker gleichermassen sich selbst relativieren lässt. Wenn ein Baum im Wald umfällt und es ist niemand da, macht der umfallende Baum dann dennoch ein Geräusch? Was war zuerst da, das Huhn oder das Ei? Weiterlesen ...

2008: Was war? 2009: Was wird? | 22.12.2008 | computec.ch, Marc's Blog
Wie jedes Jahr lasse ich eben dieses mit einem Blog-Beitrag ausklingen. Darin sollen vergangene und aktuelle Geschehnisse zusammengefasst sowie ein Ausblick auf die nahende Zukunft dargeboten werden. Dies ist damit der letzte Blog-Beitrag, den ich dieses Jahr veröffentlichen werde. Weiterlesen ...

Backdooring wird stets unterschätzt | 15.12.2008 | computec.ch, Marc's Blog
Jetzt mal ehrlich: Jeder von uns verwendet irgendwie und irgendwo closed-source Software. Also eine Anwendung, deren Quellen und interne Funktionsweise nicht einsehbar sind. Dies bedeutet, dass wir als Endanwender vor einer mysteriösen 'Blackbox' sitzen, die wir nicht verstehen können, an die wir blind glauben müssen. Wahrscheinlich sitzen Tag für Tag mehr 'Gläubige' vor einem Computer, weder in der Kirche. Weiterlesen ...

Sesam öffne Dich | 08.12.2008 | computec.ch, Marc's Blog
Als ich noch ein Kind war, hat mir meine Mutter immer Geschichten und Märchen vorgelesen. Besonders mochte ich jene aus 'Tausendundeiner Nacht'. Irgendwie war es immerwieder spannend zu hören, was die Helden in fernen Ländern so alles erleben durften. Und im Gegensatz zu heute hat es mich damals auch gar nicht gestört, eine Geschichte mehr als einmal anzuhören. Weiterlesen ...

Exponentieller Aufwand bei umfangreichen Tests | 01.12.2008 | computec.ch, Marc's Blog
Wer in der Armee gedient hat und dort gar einen höheren Dienstgrad bekleidet hat, dem wird die Abkürzung PQQZD nicht unbekannt sein. Das Akronym steht für Produkt, Qualität, Quantität, Zeit und Dauer. Diese fünf Attribute müssen geklärt sein, um einen Auftrag erfüllen zu können. Das Produkt kann die Aufklärung eines Feindgebiets sein, die Qualität als grober Überblick eingestuft werden, die Quantität mit aktuellen Informationen definiert sein, als Zeit die nächsten drei Tage und die Dauer durch ihre Einmaligkeit ausgemacht werden. Weiterlesen ...

'Ich hab keine Ahnung. Also lass uns diskutieren!' | 24.11.2008 | computec.ch, Marc's Blog
Früher war ich ganz extrem: Der Austausch von nicht erforderlichen Informationen, also das sinnlose Herumlabbern, war mit gänzlich zuwider. So erachtete ich eine Diskussion nur dann als wertvoll, wenn die involvierten Parteien sich auf den reinen Datenaustausch konzentrierten. Jedes unnütze Wort, jede nicht erforderliche Geste erschien ineffizient und daher zu verhindern. Weiterlesen ...

Spam kann ziemlich peinlich sein | 17.11.2008 | computec.ch, Marc's Blog
Der wohl grösste Trend der letzten Jahre - neben Citrix - war/ist die Virtualisierung von Systemen mittels Vmware: Auf physikalischen Hosts werden mehrere virtuelle Gast-Systeme betrieben, wodurch sich in erster Linie Kosten für Installation, Hardware und Backup einsparen lassen. Die Prüfung solcher Vmware-Umgebungen rückt damit zwangsweise in den Mittelpunkt des Interesses vieler Unternehmen. Gerade weil durch Virtualisierung oftmals klassische Grundsätze (z.B. Segmentierung in Netzen) absichtlich oder fahrlässig untergraben werden. Weiterlesen ...

Intransparente Scanner und False Positives | 10.11.2008 | computec.ch, Marc's Blog
Kurz nachdem ich im Data Becker-Verlag als Co-Autor das Buch Hacking Intern veröffentlicht hatte, habe ich mit der Übersetzung des Buchs Network Intrusion Detection von Stephen Northcutt und Judy Novak aus dem Englischen begonnen. Ich mochte das Buch, welches ich selbst vor meiner Übersetzungsarbeit mindestens drei Mal durchgelesen habe (zwei Mal auf Deutsch und einmal auf Englisch), wirklich sehr. Weiterlesen ...

Propaganda-Maschinerie | 03.11.2008 | computec.ch, Marc's Blog
Vor einiger Zeit durfte ich ein VPN-Konzept für einen Finanzdienstleister verfassen. In meiner Arbeit sollte den drohenden Gefahren mobiler Benutzer, die von überall her mittels ihren Laptops auf die zentralen Daten und Dienste zugreifen sollten, Rechnung getragen werden. In der Ausarbeitung meines Grobkonzepts schlug ich 8 verschiedene Lösungswege vor. Diese reichten von redundanten Citrix-Farmen über dezentralisierte VMware ACE-Installationen bis zu einfachen PPTP- bzw. RDP-Zugriffen. Weiterlesen ...

Was macht eine gute Programmiersprache aus? | 27.10.2008 | computec.ch, Marc's Blog
Die Diskussion darüber, welche Spielkonsole, welches Betriebssystem und welche Programmiersprache denn nun die Beste ist, ist wohl so alt wie die Menschheit selbst (früher hat man wohl über Keulen und Schwerter gestritten). Obschon ich selbst mich vehement einem solchen Disput verweigere, empfinde ich die Betrachtung der Betrachtung als höchst interessant. Weiterlesen ...

Ein Blick hinter die Matrix am Beispiel von eMule | 20.10.2008 | computec.ch, Marc's Blog
Kein Film hat mich in den 90er Jahren wohl so beeinflusst, wie 'The Matrix' (1999). Der dichte Plot und die grandiosen Effekte waren in vielerlei Hinsicht wegweisend. Auch wenn es noch nicht lange her ist, ist der besagte Film mit Keanu Reeves unweigerlich ein bestehendes Stück Popkultur. Im Gegensatz zu den zwei sehr lauen Nachfolgern vermochte der erste Teil mit einer provokanten und leichtfüssigen Philosophie als Kombination des östlichen Zen und der westlichen Wissenschaftsbegierde aufwarten. Das geflügelte Wort 'die Matrix verstehen' wird nicht selten dann verwendet, wenn man etwas in seinem vollen Umfang erfasst hat. Weiterlesen ...

Ein ungebetener Gast aus China | 13.10.2008 | computec.ch, Marc's Blog
Dem Schweizer wird nicht unbedingt nachgesagt, dass er gastfreundlich ist. Ich rede hier von einer herzlichen Gastfreundlichkeit, wie sie vorzugsweise in südländischen Gebieten anzutreffen ist (Viele Mexikaner sind 'Gringos' gegenüber zwar auch alles andere als gastfreundlich!). Bezüglich Einwanderungs- und Asylpolitik steht die Schweiz hingegen nicht mal so schlecht da. Auch wenn die letztjährige Wahlkampagne der SVP mit den umstrittenen Schafen weltweit für Aufsehen gesorgt hat. Blochers Partei scheint bei den Bundesratswahlen dafür und für die anderen populistischen Machenschaften einen politischen Denkzettel verpasst gekriegt zu haben... Weiterlesen ...

Code from Hell | 06.10.2008 | computec.ch, Marc's Blog
Irgendwie mag ich Monk, obschon ich bisher nur zwei Folgen partiell gesehen habe. Das Problem ist nicht, dass ich die Serie nicht gut finde. Viel mehr habe ich momentan schon genug zu tun mit den Serien, die ich bisher gucke. Eine meiner liebsten Szenen war, als Monk einen chinesische Verbrecher, dem er noch nichts nachweisen konnte, aufsuchte. Der Chinese machte gerade Klimmzüge und zählte während des etwas verworrenen Verhörs unablässig seine Erfolge: 97, 98, ... Als das Gespräch beendet schien und sich Monk verabschieden wollte, hörte der gute Mann bei 99 auf. Monk ab seiner Obsession sichtlich unruhig nötigte den gut gebauten Herrn, doch die 100 voll zu machen. Das Gespräch ging per Zufall weiter und da war er nun: Der 101ste Klimmzug! Monk kriegte fast einen Herzinfarkt. Weiterlesen ...

Das ewige Sein: Ein Rückblick in die Zukunft | 29.09.2008 | computec.ch, Marc's Blog
Ich muss gestehen, dass ich mein Leben grundsätzlich sehr spannend finde. Mit absoluter Sicherheit kann ich behaupten, dass mein Leben spannender ist, weder das der meisten anderen Menschen. Es gibt immerwieder interessante Dinge, die an mich herangetragen werden, so dass ich eigentlich fortwährend zu intellektueller Akrobatik, die ich natürlich sehr mag, verleitet werde. Irgendwo durch bin ich also doch Sportler, wenn auch nur bedingt ausserhalb meines Kopfes. Weiterlesen ...

Bereiten Sie sich vor - Oder testen Sie schon? | 22.09.2008 | computec.ch, Marc's Blog
Während meiner Tätigkeit als Penetration Tester und Reverse Engineer habe ich schon so manchen arroganten Spruch gehört. Diese reichen von 'Das hätte ich auch gekonnt' bist zu 'Ein richtiger Hacker braucht keine Tools'. Zum Glück bin ich relativ langsam im Denken und so bleibt mir in solchen Situationen stets genügend Zeit, um einmal leer zu schlucken und mir eine lustige Szene aus Family Guy vorzustellen (Ich mag die Folge, in der Stewie mit aller Gewalt das Geld von Brian eintreiben will!). Wäre dem nicht so, würde ich wahrscheinlich meine Hände zu Fäusten ballen und mein Gegenüber wie ein Berserker in rasender Wut zu Brei schlagen. Oder so ähnlich. Weiterlesen ...

Durchschlagende Forensik | 14.09.2008 | computec.ch, Marc's Blog
Ich selbst sehe mich in gewisser Weise als exponierte Person im Internet: Durch meine Webseite(n) und die unzähligen Veröffentlichungen werde ich Tag für Tag wahrgenommen, gelobt und kritisiert. So betreue ich seit über 10 Jahren mit computec.ch ein im deutschsprachigen Raum besonders beliebtes Portal zu Computersicherheit, durch das vor allem Einsteiger mittels Dokumenten und Forum an die komplexe Materie herangeführt werden sollen. Weiterlesen ...

Einer für alle, alle für einen | 08.09.2008 | computec.ch, Marc's Blog
Historizismus ist eine wunderbare, ja gar sehr wichtige Sache. Denn kann man aus der Vergangenheit lernen, wird man sich in der Gegenwart so verhalten wollen, dass man für sich die Zukunft erschliessen kann. Um es mit den leicht abgewandelten Worten von Zack De La Roca der Band Rage against the Machine auszudrücken. Weiterlesen ...

Der Kampf der künstlichen Intelligenzen | 01.09.2008 | computec.ch, Marc's Blog
Seit jeher interessiere ich mich für Roboter. Dabei steht für mich weniger der mechanische Teil, sondern viel eher der logische Aspekt im Mittelpunkt. Mich interessiert, wie durch eine Maschine das Denken und Handeln eines Menschen nachgebildet werden kann. Dies nicht aus Gründen der Liebe zur Maschine, sondern wegen der Liebe zum menschlichen Denken. Nichts scheint mit einer derartigen Vielschichtigkeit und Komplexität daherzukommen. Weiterlesen ...

Wie werde ich Security Consultant? | 25.08.2008 | computec.ch, Marc's Blog
Gerne erzähle ich, werde ich denn gefragt, was ich beruflich so mache. Als Security Consulting sehe ich mich hauptsächlich für das Durchführen verschiedener Sicherheitsüberprüfungen und den darauffolgenden Beratungen verantwortlich. Dies umfasst sowohl organisatorische Audits als auch technische Penetration Tests. Für viele Informatiker ist dies ein Traumberuf, den zu erreichen nicht gerade leicht erscheint. Da ich immerwieder gefragt werde, wie man denn professioneller Penetration Tester wird, will ich den Weg, wie ich ihn erfahren habe, gerne aufzeigen. Weiterlesen ...

Ein Tag im Leben eines Viren-Programmierers | 18.08.2008 | computec.ch, Marc's Blog
Schon fast ein bisschen mit Stolz darf ich behaupten, dass ich mit etwa 13 Jahren meinen ersten Computervirus geschrieben habe. Nichts Besonderes: Ein kleiner Overwriting-Virus in Qbasic, der sich auf dem Dateisystem meines MS DOS 3.1 gütlich getan hat. Den Code dazu habe ich vorzugsweise aus verschiedenen C64-Lehrbüchern zusammenkopiert: Lediglich in einigen wenigen Fällen musste ich eine systembedingte Portierung einbringen. Dabei musste ich lediglich verstehen, wie sich rekursiv durch das Dateisystem bewegt werden will und wie sich etwaige Trägerdateien (com und exe) infizieren lassen können. Eine Aufgabe, der sich heutzutage wohl jeder Informatik-Student im zweiten Semester gewachsen sieht. 1993 war es aber ein Abenteuer sondergleichen. Weiterlesen ...

Das Dr. House-Syndrom | 04.08.2008 | computec.ch, Marc's Blog
Viele kennen ihn, den zynischen und brillianten Arzt aus der gleichnamigen Serie: Dr. Gregory House ist Leiter für diagnostische Medizin und bekommt jene Fälle zugewiesen, an denen die anderen Ärzte bisher gescheitert sind. Die Parallelen zum fiktiven Meisterdetektiv Sherlock Holmes, der eine Korifäe des gleichen Ausmasses bezüglich polizeilicher Ermittlungen im viktorianischen London war, sind nicht ungewollt. Die Brillianz von Dr. House führt dazu, dass er manchmal ein bisschen überheblich wirkt und sich unverhohlen über die Nachlässigkeit bzw. Unwissenheit seines Umfelds lustig macht. Auf den ersten Blick gar kein sympathischer Zeitgenosse, der jedoch dank seiner Vielschichtigkeit dennoch als liebenswürdiger Anarchist enttarnt werden kann. Weiterlesen ...

Vertrauen ist Vertrauenssache | 28.07.2008 | computec.ch, Marc's Blog
In frühester Kindheit habe ich mich mit Psychologie auseinanderzusetzen anfangen. Zu Beginn weil ich fortwährend von Albträumen geplagt war, habe ich mir die Traumdeutungen Siegmund Freuds zu Gemüte geführt. Später habe ich durch das Verständnis meines Selbst und der Psyche meiner Mitmenschen meine sozialen Fähigkeiten verbessern wollen. Weiterlesen ...

Denkstrukturen | 21.07.2008 | computec.ch, Marc's Blog
In einer der vielen Sherlock Holmes Geschichten postuliert der Meisterdetektiv, dass das Gehirn wie ein Dachboden sei. Es gibt nur eine begrenzte Anzahl an Möbeln, die darin Platz hätten. Und man will seinen Dachboden (in der Schweiz sagen wir Estrich) doch nicht mit unnötigem Gerümpel vollstopfen. Ich mochte diese Aussage. Vielleicht deswegen, weil ich eine unendliche Vergesslichkeit, wahrscheinlich durch meine beiden Eltern geerbt, mit mir herumtrage. Weiterlesen ...

Ich mag das iPhone und Apple nicht! | 14.07.2008 | computec.ch, Marc's Blog
Ja, ich mag das iPhone nicht. Wieso? Da gibt es viele Gründe. Der nüchternste ist, dass es nur ein Stück Elektronik ist, mit dem man eher unspektakuläre Dinge machen kann. Telefonieren zum Beispiel. Oh ja, man kann damit auch ins Internet. Aber das konnte ich auch schon mit meinem Nokia 9100, das ich vor über 10 Jahren gekauft hatte. Und auch mit dem 9110, das ich rund zwei Jahre spaeter gekauft hatte. Und mit dem 9210, das ich ebenfalls kaufte, aber nach zwei Monaten kaputt machte, weil es nonstop abstürzte. Ach ja, und mit all den anderen Highend-Gadgets, wie sie zum Beispiel sehr schön (ästhetisch und technologisch) durch HTC vorangetrieben wurden. Weiterlesen ...

Es ist schön zu verstehen | 07.07.2008 | computec.ch, Marc's Blog
Schon im Kindesalter habe ich begonnen, mich für die Psychoanalyse zu interessieren. Durch Sigmund Freuds Schriften zur Traumdeutung bin ich irgendwann über die Abhandlungen seiner psychopathologischen Betrachtungen im Alltagsleben gestolpert. Der Mensch, sein Denken und wie es funktioniert, hat spätestens seit dann eine enorme Anziehungskraft auf mich ausgeübt. Deren Unbändigkeit hat dazu geführt, dass ich mich zunehmends und fortwährend mit den psychologischen Hintergründen der menschlichen Verhaltensweise, auch in soziologischer Hinsicht, auseinandergesetzt habe. Mitunter auch deshalb, um mich vor unliebsamen Überraschungen schützen zu können. Weiterlesen ...

Und nun: Sicher zum Schluss! | 30.06.2008 | computec.ch, Marc's Blog
Das Thema Sicherheit ist in aller Munde. Sei es nun im Zusammenhang mit wirtschaftlichen Interesse, den politischen Entwicklungen oder E-Commerce. Ganz besonders in der Schweiz geniesst die Sicherheit auf allen Ebenen einen hohen Stellenwert. Die Schweiz ist ein kleines Land, das sich ihre politische Stärke durch geschickte Schachzüge erarbeitet hat. Dabei wird seit jeher auf Langfristigkeit gesetzt, denn die Generation danach soll sich nicht mit einem unüberwindbaren Scherbenhaufen konfrontiert sehen. Eine weitsichtige Denkweise, die auch so manch anderem Staat gut täte. Weiterlesen ...

Fist of Zen vs. Frederic Fitch: Wichtig ist was wichtig wirkt | 23.06.2008 | computec.ch, Marc's Blog
Als das Wikipedia-Projekt ins Leben gerufen wurde, war ich regelrecht begeistert. Die Idee erschien mir brilliant, sollte sie denn dabei helfen, eine riesige Informationsdatenbank für jedermann zu schaffen. Das Internet sollte also nicht nur als Porno-Archiv und Spam-Schleuder herhalten: Freude herrscht! Weiterlesen ...

Auch ein kalter Krieg kann hitzig sein | 16.06.2008 | computec.ch, Marc's Blog
Ich sitze gerade auf dem Akku meines Laptops. Ja, Sie haben richtig gelesen: Ich sitze gerade auf dem Akku meines Laptops. 'Wieso', werden Sie sich vielleicht fragen. Eine berechtigte Frage. Nein, es handelt sich hier nicht um eine sexuelle Fantasie eines Nerds, der sich in erotischer Weise zu seiner Hardware hingezogen fühlt. Viel mehr hat dieser unbequeme Zustand einen funktionalen Hintergrund: Ich friere! Weiterlesen ...

Über meine grosse Liebe | 09.06.2008 | computec.ch, Marc's Blog
Es gibt nur eines, was ich uneingeschränkt und mit voller Hingabe liebe: Die Logik. Warum? Sie ist hart aber fair. Und zwar immer, in jedem Fall. Schon immer habe ich die Logik gemocht. Nur in hochgradig emotionalen Situationen verzichte ich gut und gerne auf sie. In allen anderen Fällen ist sie jedoch mein treuer Begleiter. Mein Schutzengel und mein Mentor, der mir dabei hilft, schwierige Situationen mit Aufrichtigkeit und Stolz zu meistern. Und auch wenn ich die Situation nicht meistern konnte, muntert sie mich auf und sagt: 'Du hast, jedenfalls unter Anbetracht der vorliegenden Informationen, das Richtige getan.' Weiterlesen ...

Von der Mündigkeit in die Abhängigkeit | 02.06.2008 | computec.ch, Marc's Blog
Schon oft habe ich mir die Frage gestellt, wann jemand erwachsen ist. Erwachsensein bedeutet in unserer Gesellschaft, dass man vollumfänglich Verantwortung für sein Tun und Handeln übernimmt. Der offizielle Übertritt ins Erwachsenenalter sieht man in unseren Bereitengraden mit 18 Lebensjahren vor. Doch als ich selbst 18 Jahre alt wurde, wusste ich, dass ich eigentlich noch gar nicht erwachsen bin. Der Rebell in mir, zwar mittlerweile etwas ruhiger geworden, sah sich noch immer durch seine kindliche Neugierde getrieben. Mich auf die Werte der 'anderen Erwachsenen' abzustützen, erschien mir eher wie Frevelei vor meiner eigenen nihilistischen Ethik. Weiterlesen ...

Es ist halt doch nicht alles Gold was glänzt | 26.05.2008 | computec.ch, Marc's Blog
Wüsste ich nicht um meine Fehlbarkeiten und die Unschönheiten meines Lebens, würde ich mich doch glatt beneiden. In erster Linie darum, weil ich seit mindestens fünf Jahren Tag für Tag gerne zur Arbeit gehe. Ich weiss, viele Menschen kennen dieses Gefühl nicht und meinen entsprechend, dass mit mir etwas nicht stimmt. Wenn ich denn am Sonntag Abend früh zu Bett gehe, um am Montag Morgen ausgeschlafen zu sein, stosse ich vorwiegend auf Unverständnis. Weiterlesen ...

Wer anderen eine Grube gräbt... | 18.05.2008 | computec.ch, Marc's Blog
Meine Mutter erzählt immer mal wieder gerne die Geschichte, wie ihr im Kindesalter ihr grosser Bruder das deutsche Sprichwort falsch beigebracht und sie sich damit später im Schulunterricht blamiert habe. Wahrlich lustig, denn auch ich lasse mir solche Gelegenheiten nicht nehmen, mein Leben mit anderen Leuten Schabernack zu versüssen. Weiterlesen ...

Computerphilosophie | 13.05.2008 | computec.ch, Marc's Blog
Aussenstehende messen dem Computer starre Mechanismen bei. Ein Computer hat zu funktionieren. Das Werkzeug aus Metall ist kalt und emotionslos. Dem will ich nicht widersprechen. Wahrscheinlich bin ich gar einer der wenigen, der noch nie eine emotionale Bindung zu Hardware entwickeln konnte. Noch nicht einmal die von mir gespielten Musikinstrumente habe ich lieb. Das einzige, was ich an ihnen liebe, ist ihr Klang. Mehr nicht. Weiterlesen ...

Geschwindigkeit ist nicht alles | 05.05.2008 | computec.ch, Marc's Blog
Männer sind sehr lustige Geschöpfe. Es gibt wohl nichts deterministischeres, voraussehbares und leichter zu manipulierendes als der Mann. Es muss eine wahre Freude sein, als schöne Frau mit scharfem Verstand das vermeintlich stärkere Geschlecht zu instrumentalisieren. Vielleicht ist es aber auch ob seiner Einfachheit deshalb schnell langweilig ... Ich weiss es nicht. Sollte mir das nächste mal eine schöne und zugleich intelligente Frau über den Weg laufen, werde ich sie aber gerne fragen. Weiterlesen ...

Unter Blinden wird auch der Einäugige nicht zwingend König | 28.04.2008 | computec.ch, Marc's Blog
Ein Grossteil meiner Freunde und Bekannten sind oder waren Studenten. Seien dies nun Juristen, Soziologen oder Künstler. Für sie gelte ich, obschon mein Bildungsweg ganz anderes vermuten lässt, als Akademiker. Ich mag es, Probleme im Kopf zu lösen. So wie halt Sherlock Holmes auch. Und erscheint ein Sachverhalt dann mal zu komplex, greife ich zu 'Papier und Bleistift'. Je weniger ich mich bei einer Problemlösung bewegen muss, desto lieber habe ich das Problem. Das heisst aber nicht, dass ich mich nicht dabei dennoch bewege. Nietzsche sagte nicht umsonst, dass der Mensch im Gehen denkt. Weiterlesen ...

So hat mein Jahr angefangen | 21.04.2008 | computec.ch, Marc's Blog
Ich habe vor 12 Jahren meinen letzten Fernseher gekauft. Ein 82 cm 50 Hz Röhrenfernseher von Saba, der mir die ganze Zeit sehr gute Dienste geleistet hat. Er hat verschiedene Generationen von guten Spielkonsolen und schlechten Fernsehsendungen überlebt. Spätestens mit der Nutzung der Playstation 3 und ihrer Möglichkeit von Full HD wollte ich mir einen entsprechenden Fernseher kaufen. Insgesamt zwei Jahre habe ich quasi mit der Evaluation eines neuen Geräts verbracht. Weiterlesen ...

Richtige Hacker brauchen keine Tools. Oder doch? | 14.04.2008 | computec.ch, Marc's Blog, Nachdruck in smSS Ausgabe 19. April 2008, Editorial, Seiten 1 und 2
Ich kann nun fast auf 10 Jahre professionelles Security Testing zurückblicken. Dabei muss ich behaupten, dass ich viele sonderbare und lustige Dinge gesehen und erlebt habe. Vor allem aus dem Blickwinkel der heutigen Zeit erscheinen viele Geschichten von früher als besonders skurril... Der Bereich der Computersicherheit hat sich in jeglicher Hinsicht enorm verändert. Auch in positiver Hinsicht! Weiterlesen ...

Ab wann darf man sich geehrt fühlen? | 07.04.2008 | computec.ch, Marc's Blog
Protzigkeit, höchstens in überspitzten Zynismus gekleidet, liegt mir eher weniger. In Gesellschaften mag ich es, mich zurückzuhalten und die anderen Reden zu lassen. Dies hat entscheidende Vorteile. Zum einen kann ich meine Energie, der ich leider viel zu wenig mein Eigen nennen kann, sparen. Zum andere muss ich meinen Verstand nur zwischendurch aufblitzen lassen, um wenigstens halbwegs als vermeintlich klug zu gelten zu dürfen. Weiterlesen ...

Wieso Re-Check, wenn es kein Fixing gab? | 24.03.2008 | computec.ch, Marc's Blog
Wer sich ein bisschen mit Prozessen auseinandergesetzt hat, der kennt die typische Visualisierung solcher: Verschiedene Prozessstufen, die als gerichtete Pfeile einen Kreis bilden. Sicherheitsüberprüfungen gestalten sich nicht viel anders. Nach der Definition der Analyse wird eben diese durchgeführt. Die determinierten Schwächen werden dokumentiert und behoben. Nachdem dies getan wurde, kann die nächste Prüfung stattfinden. Weiterlesen ...

Wenn man unliebsame Freunde zu Besuch hat | 17.03.2008 | computec.ch, Marc's Blog
Höflichkeit in angemessenem Masse scheint mir eine unendlich wichtige Eigenschaft zu sein. Dem Kategorischen Imperativ von Immanuel Kant folgend sollte man sein Gegenüber so behandeln, wie man das auch von ihm erwarten würde. Die katholische Kirche sieht mit 'Liebe Deinen nächsten wie Dich selbst' die gleiche Verfahrensweise vor. Eine der wenigen Sätze, die man wohl für bare Münze aus dem Buch der Bücher übernehmen darf. Weiterlesen ...

'Techniker? Ha ha, was weiss der schon?!' | 10.03.2008 | computec.ch, Marc's Blog
Irgendwie fand ich Leute mit Bart immer cool. Nicht aus rebellischen Gründen. Ein Bart muss meines Erachtens gepflegt werden. Es gibt wohl nichts hässlicheres, weder einen ungepflegten Bart. Viele grossen Helden hatten lange und coole Bärte. Sigmund Freud hatte einen schönen Bart, Albert Einstein einen lustigen Schnautzer und Grossväterchen Nietzsche ebenso. Und dann gibt es da noch Richard M. Stallman (obwohl sein Bart etwas ungepflegt wirkt) und Bruce Schneier (sieht manchmal aus wie Chuck Norris). Weiterlesen ...

MySkypeWorm - Connecting with Friends | 01.03.2008 | computec.ch, Marc's Blog, Nachdruck in smSS Ausgabe 19. März 2008, scip AG, Seiten 1 und 2
Das Internet habe ich seit jeher als Kommunikations- und Informationsmedium betrachtet. Unzählige Stunden habe ich in Chats verbracht und mit Leuten im Usenet sowie in Webforen diskutiert. Gerade deswegen ist es mir oftmals unverständlich, wenn andere das Internet als asoziales Medium und die Nutzer dessen als vereinsamte Individuen beschimpfen. Weiterlesen ...

Das Ziel ist der Weg | 25.02.2008 | computec.ch, Marc's Blog
Seit jeher propagiere ich ein 4-phasen Modell der Charakterentwicklung im Bereich der Computersicherheit: Ein jeder beginnt als (1) unbedarfter Endanweder, der sich als (2) Skript-Kiddy durch Tools an das Thema Computersicherheit herantastet. Durch eine konkrete Spezialisierung kann man sich sodann zu einem (3) semi-professionellen Fachspezialisten (z.B. Unix-Administrator) oder gar einem (4) professionellen Angreifer (z.B. Penetration Tester) entwickeln. Dabei verändern sich zwar im Laufe der Zeit die Ziele. Das erworbene Wissen bleibt jedoch stetig bestehen. Weiterlesen ...

Manche Kriege kann man nicht gewinnen | 18.02.2008 | computec.ch, Marc's Blog
Männer tendieren dazu, sich für Technik und Elektronik zu begeistern. Obschon ich ein entschiedener Gegner von Gewalt bin, oder gerade deswegen, interessieren mich die Entwicklungen auf dem Waffenmarkt. Bei der Forschung und Umsetzung neuer Waffensysteme werden immerwieder gute Konzepte entdeckt oder verfeinert. Sie können nicht selten als Grundlage für Möglichkeiten, die sich auch im zivilen Bereich anwenden lassen, herhalten. Weiterlesen ...

Real World Testing vs. Formale Analysen | 12.02.2008 | computec.ch, Marc's Blog
Hacking ist seit jeher ein Mysterium. Das Bild, welches durch die Medien transportiert wird, wird von eben den gleichen krampfhaft aufrecht gehalten: Irgendwelche sozial verarmten Freaks saugen die Bytes förmlich auf, um sodann dank bunter 3D-Animationen in einen Supercomputer einer Grossbank einzubrechen. Ja, so oder so ähnlich funktioniert das, wenn es nach dem Geschmack von Hollywood geht. Weiterlesen ...

Das perfekte Backdoor? | 04.02.2008 | computec.ch, Marc's Blog
Als ich mich intensiver mit dem Thema Netzwerksicherheit auseinandersetzen begann, wurde gerade erst das Zeitalter der Remote-Control-Utilities eingeläutet. Client/Server-basierte Trojanische Pferde wie BackOrifice, NetBus oder SubSeven wurden als die Hacker-Tools schlechthin verstanden. Ein mit einem Server infizierter Host liess sich über das Netzwerk mit dem entsprechenden Client fernsteuern. Die totale Kontrolle über das System, als sässe man direkt davor, wurde als neue Dimension verstanden. Weiterlesen ...

Hack the Hacker | 28.01.2008 | computec.ch, Marc's Blog
In einer Biographie zu Immanuel Kant habe ich gelesen, dass er in gewisser Weise von diversen Zwangsneurosen geplagt war. Sein Tagesablauf war klar strukturiert und wich im besten Fall niemals von der erwarteten Prozedur ab. Manchmal habe auch ich ein bisschen diese Züge, obschon ich fortwährend darum bemüht bin, meinen eher unspektakulären Zwängen nicht zu erliegen. Weiterlesen ...

Ein Blick hinter die Kulissen | 21.01.2008 | computec.ch, Marc's Blog
Ich rede mit Fremden ungern über mich. Ganz besonders nicht über meine Arbeit. Obschon ich in extrovertierter Weise eine Webseite pflege und zwischendurch Fachartikel publiziere, bin ich doch im privaten Umgang sehr zurückhaltend. In Bezug auf meine Arbeit liegt der Grund darin, weil ich mich nur ungern auf mit Halbwissen gespickte Diskussionen einlasse. Die wenigsten Leute wissen, was Computersicherheit ist, was das Ziel eines Penetration Tests ist und warum das Ausbleiben eines solchen wirtschaftlichen Schaden bedeuten kann. Weiterlesen ...

Das kleine Handbuch der dummen Marketing-Sprüche | 14.01.2008 | computec.ch, Marc's Blog
Für viele Leute bin ich nach wie vor ein Freak. Jemand, der stundenlang vor einem Assembler-Programm hocken kann, ohne sich zu regen. Jemand, der dies gar dem Herumliegen am Strand vorzieht. (Okay, am Strand herumliegen und Assembler-Code anstarren wäre auch was feines!) Und ja, manchmal bin ich wirklich ein Freak. Auch wenn ich mich im Gegensatz zu vielen anderen Leuten in meinem Umfeld in der Hinsicht doch manchmal fast als 'bieder' titulieren würde. Es gibt etwas, das einen Freak ganz besonders in Rage bringen kann: Marketing-Sprüche. Es gibt für mich wie auch für andere meiner Couleur nichts schlimmeres, weder ein Verkäufer, der sich durch das Herunterleiern von Marketing-Phrasen profilieren möchte. Weiterlesen ...

'Ich interessiere mich nicht so für Hardware...' | 07.01.2008 | computec.ch, Marc's Blog
Lange bevor ich einen eigenen Computer besass, entwickelte ich meine eigenen Computerspiele. Vorwiegend das Design beschäftigte mich, wie die Levels auszusehen hatten und welche Gegner an welcher Stelle auftauchen würden. Damals als Kind war dies mehr ein Zeichnen, denn ein Programmieren. Erst später eignete ich mir grundlegende Basic-Kenntnisse an. Noch immer keinen eigenen Rechner besitzend pflegte ich meinen Programmcode auf einer alten Schreibmaschine (nicht elektronisch!), übertrug die einzelnen Zeilen erst später in den 386er meines Vaters. Weiterlesen ...

2007: Was war? 2008: Was wird? | 21.12.2007 | computec.ch, Marc's Blog
Wie jedes Jahr lasse ich eben dieses mit einem Blog-Beitrag ausklingen. Darin sollen vergangene und aktuelle Geschehnisse zusammengefasst sowie ein Ausblick auf die nahende Zukunft gewährleistet werden. Dies ist damit der letzte Blog-Beitrag, den ich dieses Jahr veröffentlichen werde. Weiterlesen ...

Genau hinschauen lohnt sich | 17.12.2007 | computec.ch, Marc's Blog
Im Zuge der Abschrift meines Buchs Die Kunst des Penetration Testing habe ich mich mitunter sehr intensiv mit der Technik des Application Fingerprinting (Kapitel 7, Seiten 396-439) beschäftigt. Beim aktiven Application Fingerprinting geht es darum durch spezifische Anfragen ein Verhalten einer Netzwerkanwendung zu provozieren, anhand deren Charakteristika sich das eingesetzte Produkt ableiten lässt. Dies ist gut und gerne die Grundlage für applikationsspezifische Attacken (schliesslich kann ein Apache 2.0.46 nicht mit den gleichen Exploits angegangen werden wie ein Microsoft IIS 6.0). Weiterlesen ...

Wenn Dir Trent nicht über den Weg traut | 10.12.2007 | computec.ch, Marc's Blog
Zuverlässigkeit und Pünktlichkeit sind zwei mit mir verbundene Eigenschaften, für die ich Tag für Tag hart arbeiten muss. Doch es lohnt sich: Die Leute schätzen meine Arbeit - Eben nicht nur wegen ihrer Substanz, sondern auch wegen der ihr anhaftenden Attribute. Dies führt gar so weit, dass wenn ich mal nicht 10 Minuten zu früh zu einem Termin komme, man sofort einen Suchtrupp losschickt. Darauf bin ich schon fast ein bisschen stolz. Weiterlesen ...

Schlafwandeln im Internet | 03.12.2007 | computec.ch, Marc's Blog
Eigentlich sollte ich schlafen. Es ist schliesslich mitten in der Nacht und die Abwesenheit der Sonneneinstrahlung verrät mir unweigerlich, dass ich in meinem Bett liegen und die Ruhe geniessen sollte. Stattdessen sitze ich hier. Dafür verantwortlich sind Kopfschmerzen. Dieses ewige Hämmern in meinem Schädel verhindert es, dass ich mich hinlegen darf. Verdammter Kopf. Weiterlesen ...

Die Müllkampagnen der Grossen | 26.11.2007 | computec.ch, Marc's Blog
Mein Handy ist letzte Woche kläglich und mit Schande kaputt gegangen. Als ich dies in einem Blog-Beitrag verarbeiten wollte, bin ich über folgenden gestolpert, den ich fast vor zwei Jahren verfasst habe und in den Weiten meiner externen Harddisk verschollen geglaubt war. Er hat keinen Deut an Aktualität eingebüsst. Die Sachlage hat sich gar noch verschlimmert. Weiterlesen ...

Von guten Consultants und schlechten Consultants | 19.11.2007 | computec.ch, Marc's Blog
Security Consultants finden sich in der Hierarchie der Informatik-Dienstleister in vielerlei Hinsicht ganz oben. Einerseits müssen sie über ein vollumfängliches Fachwissen verfügen, andererseits müssen sie die komplexen Sachverhalte dem Management in intelligenter Weise verkaufen können. Am besten weiss man also mehr weder die jeweiligen Administratoren, die tagtäglich mit ihren Lösungen zu tun haben - Und am besten kann man besser reden, weder die jeweiligen Manager selbst, die mit allen Wassern gewaschen sind. Security Consultant zu sein ist also keine leichte Aufgabe und gerade das macht es so interessant. Weiterlesen ...

Pirates of the Caribbean: The Curse of the Black Market | 12.11.2007 | computec.ch, Marc's Blog
Ich kann es langsam echt nicht mehr hören. Dieses ewige Gekreische der Musikindustrie. Ihnen ginge es so schlecht, weil alle Leute nur noch Musikpiraten spielen wollen und niemand mehr Geld für die Musik ausgeben will. Weiterlesen ...

Neue alte Anforderungen an die Cyber-Generation | 05.11.2007 | computec.ch, Marc's Blog
Viele Leute meinen, dass ich nur so von Technomanie strotzen würde. Schliesslich gehöre ich zur Zunft der Informatiker und die haben ja schliesslich nichts anderes im Kopf, als Computer und kleine technische Geräte. Falsch. Ich mag weder Computer noch kleine technische Geräte. Ich bin mir lediglich der Vorteile der effizienten Nutzung dieser zur performanten Erledigung spezifischer Aufgaben bewusst. Eigentlich ein sehr ökonomischer Wesenszug. Weiterlesen ...

Es gibt so viele Probleme, wie es Menschen gibt | 29.10.2007 | computec.ch, Marc's Blog
Der Mensch ist unglaublich individuell. Es ist wahrscheinlich schon nur unmöglich, dass es jemanden gibt, der stetig meine Meinung teilt. Und doch kann man sagen, dass alle Menschen irgendwie gleich sind. Alle kennen wir die gleichen Gefühle und uns plagen manchmal gar die gleichen Probleme. Weiterlesen ...

Theorie und ihre Nützlichkeit | 22.10.2007 | computec.ch, Marc's Blog
Leider bin ich immerwährend benachteiligt. Für die meisten Studenten und Akademiker bin ich ein typischer Praktiker, der sich im Selbststudium die für ihn und seine Arbeiten wichtigen Dinge selber beigebracht hat. Für die vielen Praktiker bin ich jedoch gerne der Theoretiker, der sich an der Komplexität von Problemen sowie der Lösung dieser auf Papier erfreuen kann. Irgendwie bin ich also nirgends so richtig akzeptiert. In manchen Situationen kann man dies aber auch als Vorteil sehen. Weiterlesen ...

7/24 Computer-Support? Nein Danke! | 15.10.2007 | computec.ch, Marc's Blog
Viele Menschen haben noch immer nicht begriffen, was ein Computer überhaupt ist bzw. wozu über primär gebraucht werden kann. Dabei handelt es sich um ein Werkzeug, mit dem man Daten elektronisch sammeln, auswerten, weiterverarbeiten und ausgeben kann. Eine eigentlich sehr primitive Arbeit. Da sich durch den Computer jedoch enorme Datenmengen in kürzester Zeit angehen lassen (sofern Algorithmen dafür vorhanden sind), erschliessen sich durch seine Effizienz komplett neue Möglichkeiten. Weiterlesen ...

Stell Dir vor es ist Revolution, und alle schauen hin | 08.10.2007 | computec.ch, Marc's Blog
Man sagt mir nach, dass ich nicht gerne reise. Dem mag so sein. Doch irgendwie stimmt es halt eben doch nicht. Auch wenn es für viele auf den ersten Blick nicht den Anschein macht, habe ich schon den einen oder anderen schönen Fleck auf unserem nicht nur blauen Planeten besucht. Dabei mag ich besonders alternative Reisen, bei denen man nach Möglichkeiten keinem einzigen Touristen begegnet. Ich will schliesslich fremde Kulturen sehen und nicht unter meines Gleichen sein. Weiterlesen ...

Der Vogel-Strauss-Effekt | 01.10.2007 | computec.ch, Marc's Blog
Ich selbst postuliere seit jeher eine Whitebox-Herangehensweise bei Sicherheitsüberprüfungen. Indem dem Tiger-Team nach Möglichkeiten alle Informationen zu den Zielobjekten bereitgestellt werden, soll ein Maximum an wirtschaftlicher und wissenschaftlicher Performance gewährleistet werden können. Die Experten sind dadurch in der Lage, sofort ihr Fachwissen auszuspielen, ohne sich mit der langwierigen und stumpfsinnigen Sammlung von allgemeinen Daten herummühen zu müssen. Weiterlesen ...

Wie Du mir so ich Dir | 24.09.2007 | computec.ch, Marc's Blog
Dieser Beitrag bezieht sich auf mein Posting mit dem Titel Kaufen: ich kaufe, du kaufst, er kauft vom 30. Juli 2007. Darin habe ich beschrieben, wie mühselig ich es doch immerwieder finde, wenn mich irgendwelche Verkäufer von Security-Firmen anrufen und mir ein Enduser-Produkt oder eine Partner-Lizenz verkaufen wollen. Als unabhängiges Consulting-Unternehmen wollen wir es nämlich tunlichst vermeiden, uns in irgendeiner Weise durch Hersteller beeinflussen zu lassen. Weiterlesen ...

Populäre Irrtümer zum Thema Computersicherheit | 17.09.2007 | computec.ch, Marc's Blog
Es gibt verschiedene Themengebiete, die sich aufgrund ihrer Mystifizierung und Legendenbildung geradezu für populäre Irrtümer anbieten. Neben Geheimdiensten, politischen Verschwörungen und der traditionellen Kriegsführung gehört der Bereich der Computersicherheit ohne Zweifel zum beliebtesten Spekulationsthema am Stammtisch. Nachfolgend sollen einige typische Aussagen angegangen werden. Weiterlesen ...

It's all about math! | 10.09.2007 | computec.ch, Marc's Blog
Vor einiger Zeit erhielt ich ein Email eines Kollegen. Er hat eine Professur für Mathematik inne. Ihn kennengelernt habe ich bei einem Projekt eines Kunden. Er war für diesen mit seiner Einzelfirma als strategischen Berater tätig und wir führten die Sicherheitsüberprüfung der installierten Online-Banking-Umgebung durch. Wir haben aufgrund ähnlicher Interessen den sporadischen Kontakt auch nach Abschluss des Projekts gehalten. Weiterlesen ...

Darum versagt das Urheberrecht und damit die GPL | 02.09.2007 | computec.ch, Marc's Blog
Menschliche Erzeugnisse, die einen gewisse Komplexität aufweisen, unterliegen hierzulande automatisch dem Urheberrecht. Dies bedeutet, dass der Urheber gewisse Macht über die Verteilung und Nutzung seiner Arbeit ausüben kann. So kann er beispielsweise durch ein spezifisches Lizenzmodell die Nutzungsrechte abtreten. Im Software-Bereich hat, spätestens mit der Popularisierung von Linux, die General Public License (GPL) eine wichtige Rolle eingenommen. Weiterlesen ...

Informationen zu meinem neuen Buch | 27.08.2007 | computec.ch, Marc's Blog
Es ist nun rund zwei Monate her, seitdem mein neues Buch Die Kunst des Penetration Testing erschienen ist. Sehr gerne will ich darlegen, wie ich die Veröffentlichung dessen erlebt habe und wie meine nächsten Pläne aussehen. Weiterlesen ...

...und da machte es Xing! | 20.08.2007 | computec.ch, Marc's Blog
Mit dem Internet in Berührung gekommen, bin ich in jugendlichem Alter. Von der kindlichen Neugierde getrieben, habe ich alles gelesen und überall mitgemacht. Wahrscheinlich hatte ich damals wirklich auf jedem aktiven Forum zu den Themen Rockmusik, alternative Filme und IT-Security einen Account. Selbst heute noch muss ich schmunzeln, wenn ich in irgendeinem Forum per Zufall bemerke, dass ich mich mit meinem damals typischen Benutzerdaten noch anmelden kann. Das Internet vergisst eben doch nicht so schnell. Weiterlesen ...

Von Webalizer zu root - Eine scheinbar kleine Reise | 13.08.2007 | computec.ch, Marc's Blog
Eines gibt bei Sicherheitsüberprüfungen immerwieder zu diskutieren: Wie werden Schwachstellen eingestuft? Wahrhaftig handelt es sich hier um eine hochgradig subjektive Angelegenheit. So kommen in verschiedenen Standards und Produkten unterschiedliche Skalen zum Einsatz. Ich pflege bei meinen technischen Prüfungen ein vierstufiges System mit den Bezeichnungen Low, Medium, High und Emergency einzusetzen. Weiterlesen ...

Kaufen: ich kaufe, du kaufst, er kauft | 30.07.2007 | computec.ch, Marc's Blog
Grundsätzlich bin ich ein denkbar schlechter Konsument. Wieso? Weil ich nichts konsumiere. Ich lebe eigentlich sehr bescheiden: Benutze öffentliche Verkehrsmittel, gehe ab und an in Ausgang (die Getränke gewinne ich meistens beim Tischfussball) und leiste mir auch sonst selten typischen Luxus. Das meiste Geld gebe ich wohl für Essen aus. Schliesslich will ich mindestens einmal pro Tag gut speisen. Dass dann ein Mittagessen inkl. Getränk auch mal bis zu sFr. 30.- kosten kann (in Zürich leider nichts besonderes), nehme ich gerne in Kauf. Und wenn ich mir denn mal was leiste, dann ist es höchstens ein gutes Buch (habe im Zusammenhang mit dem Entropia-Projekt einige Titel zur Stochastik bestellt). Oder halt die monatliche Gebühr für World of Warcraft. Weiterlesen ...

Hacking auch für dümmliche Zeitgenossen? | 22.07.2007 | computec.ch, Marc's Blog
Das Thema Hacking, und dies steht ausser Frage, fasziniert. Die Motive der jünglinge dieser noch nicht mal zwingend technoiden Religion haben sich dabei den verschiedensten Göttern verschrieben. Einige streben nach Macht über Computer, andere wollen Erleuchtung im Verständnis dieser finden. Doch nicht alle Hacker führen Gutes, sei es nun für sich oder ihre Umwelt, im Schilde. Die Existenz von destruktiven Zeitgeistern, die ihrem sadistischen Trieb nachgeben, ist leider nicht zu verleugnen. Die Medien sind voll davon. Weiterlesen ...

Keine Panik! Oder: Panik, Panik, Panik? | 16.07.2007 | computec.ch, Marc's Blog
Die Security-Branche und -Szene, diese überschneiden sich unweigerlich, ist schon ein lustiges Völkchen. Über die Jahre haben sich die Business-Men entwickelt, die in ihren schicken Anzügen irgendwelche schrottigen Produkte verkaufen wollen. Dass ihre Antiviren-Lösungen aber doch nicht 100 % der Viren entdecken können oder ihr Intrusion Prevention-System nicht automatisch alle Attacken verhindern kann, interessiert weniger. Geld steht im Mittelpunkt. Weiterlesen ...

Hacking Voice-over-IP for Fun and Profit | 09.07.2007 | computec.ch, Marc's Blog
Es ist Dienstag und ich sitze gerade bei einem Telekommunikationsunternehmen im hauseigenen Labor. Neben mir sitzt Stefan, dessen gegenwärtige Aufgabe darin besteht, die bestehende Voice over IP-Konfiguration der angedachten Lösung auf ihre Sicherheit hin zu untersuchen. Mit hping bewaffnet versucht er die von den jeweiligen Cisco-Geräten und der eingesetzten Firewall durchgesetzten Filter-Funktionen zu umgehen. Aufgrund der Mehrstufigkeit, das Ganze ist ein Gebastel ungeahnten Ausmasses, ist der Erfolg leider eher Bescheiden. Doch das wussten wir schon, als wir eine formale Analyse der Access Control Lists und des Firewall-Regelwerks vorgenommen haben. Obschon die einzelnen Regelsätze kleinere Mängel haben, wird über den ganzen Kommunikationskanal halt doch nur das zugelassen, was für den Betrieb wirklich erforderlich ist. Weiterlesen ...

Transformers: More than meets the Eye | 02.07.2007 | computec.ch, Marc's Blog
Ich bin ein typisches Kind der 80er Jahre: Aufgewachsen mit einfach kultigen Serien wie Knight Rider, dem A-Team, Ein Colt für alle Fälle oder MacGyver. Damals war Fernsehen noch etwas komplett anderes, weder heute. Im digitalen Zeitalter an fast 300 Fernsehsender aus aller Welt und den Moeglichkeiten von Video on Demand dank Online-Streams gewöhnt, empfingen wir damals über terrestrische Antenne zurerst nur eine Hand voller Sender. Neben den Schweizer Sendern der SRG noch ansatzsweise ARD und ZDF. Und wenn das Wetter gut war, bekamen wir sogar ORF1 rein. Interessanterweise habe ich jeden Tag am Abend die MiniZIB (Nachrichten für Kinder) geguckt. Hauptsächlich deswegen, weil ich den Dialekt so lustig fand. Weiterlesen ...

Streiten um Begriffe | 25.06.2007 | computec.ch, Marc's Blog
Ich bin leidenschaftlicher Hobby-Philologe: Ich mag die Sprache und das Schreiben. Ich mochte es schon immer. Schon fast als Kunstform sehe ich das Strukturieren und Zusammenfassen der eigenen Gedanken an. Diesen durch ein vermeintlich simples Schriftbild Ausdruck zu verleihen und damit das Innerste seiner Seele für die Nachwelt festhalten zu können, übte schon immer unglaublichen Eindruck auf mich aus. Weiterlesen ...

10 Dinge, die man bei einem Audit falsch machen kann | 11.06.2007 | computec.ch, Marc's Blog
Es ist Montag morgen und ich hab mal wieder verschlafen. Dies wäre nicht weiter schlimm, doch leider hätte ich um 09:00 Uhr im Büro sein müssen und ein externes Vulnerability Scanning für einen wichtigen Kunden beginnen sollen. Rund eine halbe Stunde zu spät treffe ich ein. Hektisch starte ich die beiden Rechner auf, die für die entsprechenden Audit-Prozeduren herhalten sollen. Eines davon ist ein Microsoft Windows XP, auf dem verschiedene VMware-Instanzen betrieben werden. Ein anderes ist ein reines Linux-System. Weiterlesen ...

Berlin: Das kleine Tagebuch | 29.05.2007 | computec.ch, Marc's Blog (gesperrt)
Das zweite Jahr in Folge habe ich mich um die Teilnahme einer Szene-Party in Berlin bemüht. Hierbei handelt es sich um einen doch sehr speziellen Event, der hauptsächlich von einer deutschen Hackergruppe organisiert wird. Eigentlich nur nach Einladung kann man diesem Treffen, bei dem die Computerfreaks aus allen Bereichen und Ländern zusammenströmen, teilnehmen. Auch dieses Jahr findet das Zusammensein, bei dem neben Party ebenfalls einige ausserordentlich exotische Workshops angestrebt werden, statt. Weiterlesen ...

Unachtsame Kritik und Resignation | 07.05.2007 | computec.ch, Marc's Blog
Ich bin gerne, ja sogar sehr gerne alleine. Unabhängigkeit im Denken und Tun sind wohl das kostbarste, was man sich aneignen kann. Dennoch geniesse ich es auch, mit interessanten Menschen zusammen zu sein. Es vergeht eigentlich kein Tag, an dem ich nicht mindestens eine Person dieser Art treffe. Sei es nun beruflich oder halt zum gemeinsamen Mittagessen. Weiterlesen ...

Hacken im Jahr 2007 | 23.04.2007 | computec.ch, Marc's Blog
Manche Leute postulieren, dass es sich bei Hacking um eine Kunstform, eine Lebensphilosophie ähnlich dem buddhistischen Zen, handelt. Wiederum andere Leute behaupten, dass ein effizienter Hack auf mathematischen Grundlagen, empirischen Analysen und logischen Deduktionen aufbaut. Meines Erachtens schliesst das eine das andere nicht aus, und so bleibt ein Hack einfach zusammengefasst eine effiziente und elegante Herangehensweise, mit der Umwelt umzugehen. Weiterlesen ...

Systematische Eingabeüberprüfungen | 08.04.2007 | computec.ch, Marc's Blog
Ein Computerprogramm muss man sich wie eine mathematische Funktion vorstellen. Diese lautet der Einfachheit halber f. Ihre Aufgabe ist es, die Quadratwurzel eines ihr übergebenen Werts zu berechnen. Die Funktion erhält also eine Eingabe, auf die der durch f definierte Algorithmus, nämlich das Wurzelziehen, angewendet wird. Damit liefert sie die Wurzel der Eingabe als Ausgabe zurück. Die Eingabe von E führt also zu f(E), was zur Ausgabe A führt. Definiert sich die Eingabe E durch 16, ergibt dies 4 = f(16). Weiterlesen ...

Die ultimative Verschlüsselung!!1elf | 05.03.2007 | computec.ch, Marc's Blog
Kryptographie ist ein Thema, das zu bändigen ein ganzes Leben benötigt. Als ich Bruce Schneier in einem persönlichen Schriftwechsel danach fragte, ob und inwiefern eine überarbeitete Auflage seines Klassikers Applied Cryptography geplant sei, entgegnete er sinngemäss: 'Das Thema ist so komplex (geworden), ich müsste einen Grossteil des Buchs umschreiben und wohl eine mehrbändige Serie herausgeben.' Wenn selbst Bruce diese Meinung vertritt, werde sich auch die ganzen Hobby-Kryptologen dem nicht verwehren können. Weiterlesen ...

Technik hinter dem Vulnerability Scanning | 18.02.2007 | computec.ch, Marc's Blog
Als Vulnerability Scanning wird das vorwiegend automatisierte Vorgehen bezeichnet, aktiv nach Verwundbarkeiten in einem System zu suchen. Als Verwundbarkeit wird jegliche Konstellation bzw. Situation verstanden, die sich negativ auf die Sicherheit des Systems auswirken könnte. Vorwiegend wird Vulnerability Scanning über das Netzwerk betrieben, was damit als netzwerkbasiertes Vulnerability Scanning bezeichnet wird. Weiterlesen ...

Fiktiver Einbruch in eine Grossbank | 28.01.2007 | computec.ch, Marc's Blog
Das Jahr 2007 ist noch jung. Und auch wenn die vier Ziffern etwas Zukunftsträchtiges in sich tragen, hat sich doch für den Menschen, wie er die Gegenwart erlebt, nicht viel verändert. Die Probleme der Menschheit sind grundsätzlich die gleichen geblieben. Nur die Mittel, mit denen man sich diesen annehmen oder vor ihnen flüchten möchte, haben sich modernisiert. In der technokratischen Informationsgesellschaft, wie sie sich in dieser Ecke der Welt entwickelt hat, bilden Informationen mehr dennje ein stählernes Schwert, sowohl für den kleinen, als auch für den grossen Mann. Die Sprichworte, dass Wissen Macht bedeutet und die Feder mächtiger ist weder das Schwert, entfaltet wohl erst jetzt ihre allumfassende Gültigkeit. Weiterlesen ...

Achte die Privatsphäre des anderen wie Deine auch | 22.01.2007 | computec.ch, Marc's Blog
Vor rund 10 Jahren steckte, ganz besonders in der Schweiz, der Bereich technisches Security Auditing in den Kinderschuhen. Durch verschiedene Irrglauben, die leider auch heute teilweise noch als Relikte bestehen, gestalteten sich solche Projekte manchmal sehr ineffizient. Vor allem der unverrückbare Fokus auf die Angreifer aus dem Internet erscheint heute bei vielen Firmen als überholt. Durch die mittlerweile sehr soliden Perimeter, diese werden durch umfassende Firewall-Komponenten geschützt, hat sich das als akute Bedrohung empfundene Angreiferprofil etwas verschoben. Weiterlesen ...

Absicherung eines Computersystems | 14.01.2007 | computec.ch, Marc's Blog
Um ein System möglichst sicher zu machen, sollte man es härten. Bei einem Hardening werden in erster Linie nicht benötigte Komponenten deinstalliert oder deaktiviert. Muss ein System nicht als Webserver betrieben werden, gilt es einen gegebenen HTTP-Daemon zu deinstallieren. Dadurch wird die Angriffsfläche minimiert. So unsinnig es auch klingen mag, bietet doch gerade ein System keine Funktionalität an, kann diese auch nicht missbraucht werden. Wo nichts ist, kann nichts geschehen. Weiterlesen ...

Wenn Wissen plötzlich $ 19.00 kostet | 08.01.2007 | computec.ch, Marc's Blog
Zunehmend werden Quelltext-Analysen zu einem wichtigen Instrument. Bei allen Audit-Projekten dränge ich darauf, dass ich früher oder später Einsicht in den Quelltext der jeweiligen Applikationen halten kann. Zusammen mit einer Live-Analyse, wie sie halt mit Werkzeugen wie nmap oder Netcat durchgeführt werden, kann so ein sehr gutes Gesamtbild erarbeitet werden. Durch die Betrachtungen auf allen Ebenen lassen sich die Zusammenhänge ausmachen und damit selbst in den entlegendsten Winkeln eines Produkts etwaige Mängel feststellen. Weiterlesen ...

Tractatus Logico-Philosophicus Instrumentum Computatorium | 01.10.2007 | computec.ch
Das Ziel des Tractatus ist die Axiomatisierung und Formalisierung zentraler Bereiche der Informationssicherheit. Weiterlesen ...

Individualität von Sicherheit | 31.12.2006 | computec.ch, Marc's Blog
Ein individueller Angreifer bringt von sich aus eine ebenso individuelle Qualität mit. Darunter wird sein technisches Wissen sowie der innovative Umgang mit diesem, zur Erreichung eines Vorteils, verstanden. Je besser sich ein Angreifer mit einem Thema auskennt, desto effizienter und effektiver kann er sich in diesem Bewegen. Für einen Spezialisten in Bezug auf Webapplikationen ist es sodann viel einfacher, sich mit den typischen Fehlern aus diesem Bereich auseinanderzusetzen, weder wenn dies ein Viren-Programmierer oder Kryptologe tun müsste. Innert weniger Minuten könnte er, wenigstens in seinen Grundzügen, eine Webanwendung auf klassische Probleme wie Cross Site scripting und SQL-Injection untersucht haben. Weiterlesen ...

2006: Was war? 2007: Was wird? | 26.12.2006 | computec.ch, Marc's Blog
Und wieder einmal hat sich unsere Erde vollständig um die Sonne gedreht. Zum einen ging das Jahr 2006 sehr schnell vorüber. Zum anderen hat sich wohl für mich noch nie so viel getan, wie im ausgehenden Jahr. Dass beides in kausalem Zusammenhang steht, jedenfalls was die subjektive Empfindung betrifft, ist nicht zu bestreiten. Weiterlesen ...

Grossschwätzen für Dummies | 11.12.2006 | computec.ch, Marc's Blog
Friedrich W. Nietzsche provozierte mit einem Aufsatz namens 'Ecco Homo'. In diesem trägt er vor, wie sehr und warum er doch der Beste ist. Anhand einleuchtender Beispiele, die jedoch in der Praxis schwer umzusetzen sind, wird seine Überwindung der Menschlichkeit dargestellt. Ich bin noch immer der Meinung, dass Nietzsche diese Arbeit mit einer gewissen Selbstironie und Verbittertheit über sein verletzliches und verletztes Wesen erarbeitet hat. Wie in all seinen Werken meine ich die Tragik seines Lebens herausspüren (z.B. der verlorene Prophet Zarathustra in 'Also sprach Zarathustra') zu können. Weiterlesen ...

Kreuzworträtsel, Sudoku, forensische Untersuchungen | 04.12.2006 | computec.ch, Marc's Blog
Mein Grossvater, er war ein leidenschaftlicher Elektroingenieur, hatte eine Vorliebe für Kreuzworträtsel. Als meine Mutter arbeitete und ich jeweils nach der Schule zu meinen Grosseltern ging, studierte er fortwährend seine dicken Bücher, die mit derlei Aufgaben gefüllt waren. Ich selbst, obschon ich einige Charakterzüge meines Grossvaters geerbet habe, bin kein sonderlich begabter Krezworträtsler. Meines Erachtens sind die jeweiligen Beschreibungen, weiss man denn das Resultat nicht sowieso mit absoluter Bestimmtheit, zu knapp. Und wieso sollte ich auf einem Blatt Papier Dinge aufschreiben, die ich weiss. Das ist langweilig und mühselig. Weiterlesen ...

Die Flucht (vor) der Gesellschaft | 27.11.2006 | computec.ch, Marc's Blog
Kinder werden von Kindern vergewaltigt und ermordet. Auch bei uns. Dies ist eben jene Realität, die je länger je mehr durch die Medien an uns herangetragen wird. Der Schock sitzt bei allen sehr tief, wird doch eigentlich die Hoffnung auf bessere Zeiten in eben die Jugend gesetzt. Durch deren Gebahren werden jedoch die Träume einer besseren Welt zerstört. Weiterlesen ...

Back to the Future dank PSP | 20.11.2006 | computec.ch, Marc's Blog
Meine Kindheit war sehr unterhaltsam. Ich war nie für einen Streich zu schade und hab deshalb nicht selten meinen Eltern Ärger bereitet. Doch im Grossen und Ganzen war ich doch ziemlich pflegeleicht. Ob ich nun mit Lego irgendwelche Roboter zu bauen versuchte (eine Adaption von Nummer 5 aus dem gleichnamigen Film war mein Ziel), irgendwelche Comics zeichnete oder auf meinem 386er die schier unendliche Anzahl an Shareware durchstöberte - Eigentlich war ich immer zufrieden. Weiterlesen ...

'Patience' oder 'Und schon wieder ein nichtssagender Artikel' | 13.11.2006 | computec.ch, Marc's Blog
Ich schreibe nicht wenig. Manche sagen gar, dass ich viel schreibe. Ich habe schon immer viel geschrieben. Grundsätzlich deswegen, weil ich mindestens so viel wieder vergesse, wie ich auffassen kann. Habe ich es einmal niedergeschrieben, weiss ich wenigstens in etwa, wo dass ich einen zuvor zusammengefassten Gedanken wieder finden kann. Zudem hilft mir das Schreiben dabei, meine Gedanken zu formalisieren und sortieren. Diese Aufgabe zu bewältigen, sie wird Tag für Tag an uns herangetragen, macht mir mittlerweile riesen Spass. Weiterlesen ...

Vorbei sind Sturm und Drang | 30.10.2006 | computec.ch, Marc's Blog
Auch wenn es für meine Freundin, sie ist Kindergartenlehrerin, nur mit Unverständnis quittiert wird: Ja, mir macht meine Arbeit Spass. Computersicherheit ist eine interdisziplinäre Kunst, bei der man sich nach Herzenslust austoben kann. Viele sehen die Informatik als mathematische Disziplin an, so mancher versteht in der Programmierung eine expressionistische Kunst und wiederum andere setzen bei Social Engineering-Attacken auf die Grundlagen der Tiefenpsychologie. Es ist also für jeden was dabei. Weiterlesen ...

Sicherheit ist relativ | 26.10.2006 | computec.ch, Marc's Blog
Relativität ist eine ganz besondere Sache. Schon die Philosophen des alten Griechenlands wussten mehrere tausend Jahre vor Albert Einstein, dass das Erscheinen der Dinge oftmals oder gar ausschliesslich vom Betrachtungswinkel abhängt. Friedrich Nietzsche sah das ähnlich, schrieb, dass das, was für jemanden Gift ist, für den anderen Macht darstelle. Und auch Charles Manson postulierte in seinem verworrenen und über zwei Stunden andauernden Schlussplädoyer, dass er aus seiner Sicht nichts falsches getan hätte. Obschon in einigen Fällen die Grundsätze der Physik durch die spezielle Relativitätstheorie erschüttert wurden und in anderen Fällen die Ethik und Moral der Gesellschaft wegen kognitiver Dissonanz in Frage gestellt wird, zielt alles auf das Gleiche ab: Da wo ich stehe, sieht das Gesehene für mich immer richtig aus. Weiterlesen ...

Laufbahn eines schlechten Informatik-Schülers | 23.10.2006 | computec.ch, Marc's Blog
Ich mag Computer. Ich mochte sie schon immer. Schon Ende der 80er Jahre habe ich als Kind das eine oder andere Basic-Programm geschrieben. Damals noch auf dem 386er meines Vaters, der mit einem schlichten MS DOS 3.1 (zwischenzeitlich probierte er die kommerzielle Alternative DR-DOS von Digital Research aus) ausgestattet war. Schon sehr früh erkannte ich, dass sich durch die formale Definition der Automatisierung wohlgeformter Probleme diese durch einen Computer viel schneller und effizienter lösen lassen, weder durch einen fehleranfälligen und den enorm einengenden Gesetzen der Natur unterworfenen Menschen. Ein unendlich wertvolles Werkzeug sollte da durch dieses graue Kistchen bereitgestellt werden. Weiterlesen ...

Ich bin nicht für Linux, ... | 16.10.2006 | computec.ch, Marc's Blog
... sondern für Transparenz. Diese erachte ich als eines der grundlegenden und wichtigsten Attribute einer jeden guten Lösung. Transparenz bedeutet, dass man nach Möglichkeiten hinter die Kulissen schauen kann, um ein Verständnis für die Zustände und Abläufe zu erhalten. Dieses Verständnis ist sehr kostbar, hilft es doch eine Aufgabe effizient angehen und bei Fehlern kompetent vorgehen zu können. Weiterlesen ...

Moderne Irrtümer der Kryptografie | 09.10.2006 | computec.ch, Marc's Blog
Für den Ottonormalverbraucher, der mit seinem Windows-Kistchen im Internet surft und zwischendurch Emails schreibt, machen drei Dinge das Thema Computersicherheit aus: Viren, Verschlüsselung und Firewalls. Dabei wird so mancher Nutzer bei Gelegenheit das durch oberflächliche Magazine erworbene Halbwissen hinausposaunen. Ob der Kommentar nun Richtig war oder nicht, ist nicht wichtig: Hauptsache, man hat etwas gesagt. Weiterlesen ...

Das Geheimnis der Taste i | 02.10.2006 | computec.ch, Marc's Blog
Von Berufswegen habe ich Neugierig zu sein. Ich muss mich für neue Dinge begeistern können und diese verstehen wollen. Nur so bleibt es mir möglich, eine Sicherheitsüberprüfung dieser vorzunehmen, etwaige Schwachstellen identifizieren und diese beheben zu können. Dass ich deshalb gut und gerne mit neuen Technologien in Kontakt komme, ist nichts besonderes. Weiterlesen ...

Zur Schönheit von Open-Source | 25.09.2006 | computec.ch, Marc's Blog
Vielleicht ist es in gewisser Weise naiv anmutend, wenn ich nun behaupte, dass die Wichtigkeit und Richtigkeit von Ehrlichkeit unumstösslich ist. Ein guter Mensch, der anderen nichts Böses will, hat keinen Grund, von der Ehrlichkeit abzuweichen. Wer das sagt, was er sagen will, und dies ohne Hintergedanken, kann grundsätzlich nicht verlieren. Weiterlesen ...

Die Nützlichkeit der Konkurrenzspionage | 11.09.2006 | computec.ch, Marc's Blog
Mittwoch, 13:30 Uhr. Nach rund einstündiger Fahrt treffen Simon und ich bei einem Kunden, ein Versicherungsunternehmen im Westen der Schweiz, ein. In der initialen Sitzung sollen die technischen Modalitäten für eine Sicherheitsüberprüfung der neuen Telefonie-Umgebung (Voice-over-IP) besprochen werden. Ein typisches Meeting, wie es einem jeden Penetration Test vorangestellt wird. Weiterlesen ...

Cross Site scripting? Nein Danke! | 04.09.2006 | computec.ch, Marc's Blog
Web-Dienste stellen mittlerweile das Rückgrat, oder wenigstens eines davon, der modernen Informationsverbreitung dar. Kaum ein Unternehmen bietet nicht im World Wide Web eine Vorstellung von sich selbst, erweiterte Interaktion mit potentiellen oder existenten Kunden an. So manche Firma hat gar das Web als Plattform für das Umsetzen von Geschäften und damit E-Commerce für sich entdeckt. Aus diesem Grund ist es nicht selten gegeben, dass bei einer Sicherheitsüberprüfung Webserver und Webapplikationen eine zentrale Rolle spielen. Weiterlesen ...

Die Wichtigkeit von Vorbildern | 28.08.2006 | computec.ch, Marc's Blog
Mit 14 Jahren habe ich mir die Haare abrasiert, kurze Zeit später gefärbt - zuerst grün, dann rot und zum Schluss blau -, um mir dann später einen Irokesen-Schnitt ('Kamm') zuzulegen. Eine klassische Rebellion jugendlicher Natur, mit einer grösseren Tragweite daherkommend aber nie verletztend oder verachtend. Ich konnte es einfach nicht leiden, mich in die korrupten Spielregeln der Erwachsenenwelt einarbeiten zu müssen. Ein Gefühl, das wohl die meisten kennen und so mancher bis zu seinem Lebensende, wie einst Hermann Hesse auch, nicht verlieren kann. Weiterlesen ...

ATK gegen WEKA, Teil 3: Siege und Niederlagen | 18.08.2006 | computec.ch, Marc's Blog
Die im Februar 2006 an mich herangetragene Urheberrechts- und Lizenzverletzung durch die Firma WEKA Business Information GmbH & Co. KG. geht nun weiter. Noch immer bin ich der Meinung, dass die von mir in den beiden Blog Einträgen vom 22. Juni 2006 und 18. Juli 2006 dokumentierten Gegebenheiten den Tatsachen entsprechen und deshalb frühzeitig ein Einlenken der Gegenpartei angesagt gewesen wäre. Weiterlesen ...

Die Kunst des Schreibens von Fachbeiträgen | 14.08.2006 | computec.ch, Marc's Blog
Vor einigen Wochen habe ich als Auftragsarbeit einen Fachartikel für ein internationales Magazin verfasst. Darin beschreibe ich ein Thema, das schon längere Zeit im Bereich des Auditings genutzt wird. Jedoch eher experimentell und noch nicht vollständig in die üblichen Auswertungsprozesse integriert. Ich war ziemlich stolz auf meine Zeilen, illustrieren sie das jungfräuliche Thema in schönster und (auf Deutsch) noch nie dagewesener Weise. Meines Erachtens einer der besten fünf Artikel, die ich in den letzten 10 Jahren verfasst habe. Die Kritiken der deutschen Fachlektoren waren sehr gut. Weiterlesen ...

Cyberwar als entscheidendes Instrument | 07.08.2006 | computec.ch, Marc's Blog
Mossad ist der im Volksmund gebräuchliche Name einer der drei Nachrichtendienste Israels. Der wirkliche Name des Auslandsnachrichtendienstes lautet 'Hamossad Lemodi'in Uletafkidim Meyuchadim', was ins Deutsche übersetzt so viel wie 'Institut für Aufklärung und besondere Aufgaben' bedeutet. Er ist vergleichbar mit dem Bundesnachrichtendienst (BND) in Deutschland oder der National Security Agency (NSA) der USA. Weiterlesen ...

Ohne Perimeter-Sicherheit kein Schutz vor 'Bugs' | 31.07.2006 | computec.ch, Marc's Blog
Im Grunde würde ich mich als zähen Hund bezeichnen. Ich verliere selten die Nerven. Und umso kritischer sich eine Situation gestaltet, umso eher agiere ich kalkuliert. Im Juni 2002 in Mexiko wurde ich und meine kleine Reisegruppe in einem abgelegenen Bergdorf von fünf Einheimischen überfallen. Meine Reaktion: Aufstehen und auf die Herren zu rennen, die Arme schon in Position, um zuzuschlagen. Ich denke, dass mein wütender Gesichtsausdruck so überraschend war, dass sie deshalb meine Tasche (mit allen Pässen und Flugtickets der gesamtem Gruppe) fallen liessen und wegrannten. Noch bevor meine Reisegruppe richtig bemerkt hatte, was los war, hatte ich meinen Rucksack wieder. Weiterlesen ...

Das Ende der Automatisierung | 24.07.2006 | computec.ch, Marc's Blog
Die Wirtschaft lebt davon, Abläufe im Sinne der Wirtschaftlichkeit zu optimieren. Kosteneinsparung zwecks Vergrösserung der Gewinnausschüttung gibt es wohl seit Menschengedenken. Mit dem Einbruch des Neuen Markts in 2001/2002 wurde dieser Grundsatz wieder mehr dennje zu einem unumstösslichen Credo. Oftmals bedeutet dies, dass man Dinge automatisiert, um eine grösstmögliche Performance herauszuholen. Gerade weil die Dinge unbeaufsichtigt erledigt werden können, lässt sich nebenher noch weiterer Arbeiten, die ebenfalls Gewinn einfahren können, nachgehen. Ein unendliches Mass an Automatisierung verspricht ein unendliches Mass an Gewinn. Weiterlesen ...

ATK gegen WEKA, Teil 2: Rückzug? | 18.07.2006 | computec.ch, Marc's Blog
Wie im Blog-Eintrag mit dem Titel ATK Project gegen WEKA Business Information GmbH & Co. KG. beschuldige ich eben das genannte deutsche Unternehmen, Programmcode aus meinem quelloffenen Projekt übernommen und kommerziell vertrieben zu haben (Brief vom 18. Februar 2006). Die besagte Situation war Gegenstand vielfältiger Medien-Mitteilungen, zynischer Blog-Einträge und hitziger Foren-Diskussionen. Mit diesem Blog Eintrag sollen die weiteren Gegebenheiten zusammengefasst und der breiten Öffentlichkeit zugänglich gemacht werden. Hierbei werde ich erstmals umfassend den Schriftverkehr zwischen der WEKA-Verlagsgruppe und mir offenlegen. Dies sollte der unvoreingenommenen Urteilsbildung eines jeden interessierten Lesers dienlich sein. Weiterlesen ...

Die Kunst der Kriegsführung | 05.07.2006 | computec.ch, Marc's Blog
Früher pflegte ich immer zu sagen: 'Im Grunde bin ich der aggressivste Mensch der Welt - Aber meine Müdigkeit macht es praktisch unmöglich, dass dieser Wesenszug nach Aussen getragen wird.' So ist es auch heute noch. Nur selten sehe ich mich mit einem unkontrollierten Wutausbruch konfrontiert. Sollte ich einmal wütend sein, dann ist es Teil eines durchdachten taktischen Vorgehens. Weiterlesen ...

ATK Project gegen WEKA Business Information GmbH & Co. KG. | 22.06.2006 | computec.ch, Marc's Blog
Der Dante Security Scanner war mein erster Gehversuch, eine umfassende und komfortable Software zu entwickeln, die automatisiert Schwachstellen in einem Zielsystem identifizieren können sollte. Schon über Jahre hinweg hatte ich mir Konzepte zusammengestellt und dann in dieser quelloffenen Software publiziert. Einige Jahre später ging ich noch einen Schritt weiter und habe mit dem Attack Tool Kit (ATK) ein Exploiting Framework zu erstellen versucht, das nicht nur das Auffinden sondern auch das Ausnutzen von Sicherheitslücken komfortabel ermöglichen sollte. Dabei sind Erfahrungen aus Dante und einigen anderen, bisher nicht veröffentlichten Utilities, eingeflossen. Weiterlesen ...

Screenshots als Denial of Service | 07.06.2006 | computec.ch, Marc's Blog
Ich habe, schon einige Zeit ist es her, in einer Firma als Auditor gearbeitet. Mein damaliger Chef hat sich nicht besonders durch seine Weltoffenheit ausgezeichnet und seinen technischen Mitarbeitern gerne unnötige und unlogische Vorgehensweisen aufgezwungen. Schon damals habe ich bemerkt, dass man einen Menschen niemals dazu zwingen darf, wie er ein Problem lösen soll. Ist er geistig begabt und versteht sein Handwerk, wird er selber seine für ihn am effizientesten auswirkende Vorgehensweise verfolgen. Weiterlesen ...

Hack the Planet | 30.05.2006 | computec.ch, Marc's Blog
Was ist das Erste woran Sie denken, wenn Sie das Wort Computersicherheit lesen? Wahrscheinlich an etwas wie Pufferüberlauf-Schwachstellen in einem Linux Kernel, die fragwürdige Patch-History von Windows, die Komplexität von umfassenden Firewall-Installationen oder Dinge wie Cross Site scripting oder SQL-Injection. Alles in allem sehr populäre Assoziationen. Weiterlesen ...

Wenn der kleine Hunger kommt | 24.05.2006 | computec.ch, Marc's Blog
Mittwoch morgen, irgendwo um halb zehn in einem kleinen, 'unbedeutenden' Land. Ich sitze einmal vor meinem Laptop, der mir als Instrument in der Umsetzung von 'Ethical Hacking', wie es auf Neudeutsch heisst, herhält. Wie schon zig Male zuvor, fokussiere ich mich auf eine bieder anmutende Firmen-Webseite. Das Auseinandernehmen von Webseiten ist in den letzten Jahren ein bisschen zu einer meiner Spezialitäten geworden. Praktisch keine Lösung kann man nicht irgendwie früher oder später zur Herausgabe sensitiver Daten bewegen - Manchmal kriegt man gar noch mehr: Zum Beispiel root-Rechte. Weiterlesen ...

Industrie vs. Hacker (2:0) | 18.05.2006 | computec.ch, Marc's Blog
Es erstaunt schon ein bisschen, dass aus mir kein Sportler geworden ist. Sowohl mein Vater als auch meine Mutter waren seit frühester Jugend im Spitzensport taetig. Meine Eltern begeisterten sich für Leichtathletik und Tennis. Und mein Vater spielte früher ausgiebig Fussball, war jahrelang Trainer. Und dennoch muss ich gestehen, dass ich mich sowohl auf die Fussball-Weltmeisterschaft als auch auf die Europameisterschaft freue. Selbst das UEFA Cup-Final gestern Abend liess ich mir nicht entgegen. Eigentlich ziemlich viel Fussball für jemanden, der sich lediglich für strategische und taktische Züge und nicht für die eigentlichen Resultate erzielt. Halt doch nur ein Gelegenheits-Zuschauer und doch kein Fan. Weiterlesen ...

Baden in der Informationsflut | 12.05.2006 | computec.ch, Marc's Blog
Ich muss gestehen, am liebsten habe ich jene Security Audits, bei denen das technische Testing am Gerät etwa 5 Tage ausmachen. Der Grund liegt ganz einfach darin, dass sich derlei Überprüfungen meist gut strukturiert und damit sehr effektiv umsetzen lassen. Obschon eine gewisse Hitze des Gefechts gegeben ist, kann man sich die Zeit für fokussierte Betrachtungen nehmen. Weiterlesen ...

Die Wichtigkeit von Psychogrammen | 04.05.2006 | computec.ch, Marc's Blog
Am 1. Mai 2006 erschütterte die Meldung des Tods der Schweizer Skirennfahrerin Corinne Rey-Bellet. Vorerst war unklar, was genau passiert war. Ihr Bruder Alain wurde bei der Tat ebenfalls erschossen und die Mutter schwer verletzt. Vom Ehemann fehlte bislang jede Spur. In den Tagesmedien wurden Spekulationen über Einbruch und Beziehungsdrama angestellt. Weiterlesen ...

Phishing, Pharming und Massenmedien | 26.04.2006 | computec.ch, Marc's Blog
Was kommt einem am ersten in den Sinn, wenn man an den Begriff Hacker denkt? Gehören Sie auch zu jener Sorte Mensch, die als erstes an einen männlichen Jugendlichen, zwischen 16 und 25 Jahren, der optisch von der Natur nicht unbedingt bevorteiligt ist, mit höherem akademischen Bildungsstand daherkommt, jedoch sozial eher verkümmerter ist, mit Vorliebe destruktive Mailwürmer schreibt und Webseiten verunstaltet, denken? Ja ja, es hilft keine Ausrede, aber dann wurden Sie durch die Medien manipuliert. Wie an verschiedenen Stellen erklärt wird, hat der in den 60er Jahren entstandene Begriff nur wenig mit der heute im Volksmund etablierten Ansicht zu tun. Weiterlesen ...

Schachmatt durch Forensic | 20.04.2006 | computec.ch, Marc's Blog
Nicht erst seit der US-amerikanischen Fernsehserie CSI: Las Vegas bin ich stark an der forensischen Spurenanalyse interessiert. Im Bereich der Computersicherheit werden ähnliche Methoden eingesetzt, um Angriffe und Einbrüche zu analysieren, die Vorgehensweise des Täters oder gar ihn selbst zu identifizieren. Ein solides Verständnis für Betriebssysteme und Netzwerke sowie eine gute Spürnase in Bezug auf das Verhalten eines Angreifers sind von grossem Vorteil, um eine derartige Aufgabe erledigen zu können. Weiterlesen ...

Respekt vor dem Alter | 16.04.2006 | computec.ch, Marc's Blog
Man ist so alt, wie man sich fühlt. Das mag durchaus sein, wobei meine Gefühlsschwankungen Resultate zwischen 14 und 80 Jahren ausmachen können. Habe ich mal wieder schlecht geschlafen, wache ich als alter Mann auf. Kann mich hingegen jemand für eine Sache begeistern, wird unverzüglich das kleine Kind in mir geweckt. Weiterlesen ...

Tage wie dieser | 10.04.2006 | computec.ch, Marc's Blog
Ich suche verzweifelt die Schnalle meines Gurtes. Irre nun schon mehr als 10 Minuten in der Wohnung meiner Freundin rum und kann beim besten Willen das metallerne Ding nicht finden. Bin mittlerweile gar schon so weit, dass ich unter die Tische krieche und mit der Taschenlampe unter dem Sofa nachschaue. Irgendwie ist heute nicht mein Tag. Und als ich mich an diesem Morgen das erste Mal im Spiegel sehe, bestätigt dies nur meine Vermutung: Ich sehe mindestens so schlecht aus, wie dieser Tag in seinen ersten 20 Minuten, in denen ich mehr oder weniger aktiv an ihm teilhabe, angefangen hat. Weiterlesen ...

Citrix: Keine Schöne, sondern nur das Biest | 04.04.2006 | computec.ch, Marc's Blog
Penetration Tests sind sinnvoll, durchaus. Aber wie jedes Werkzeug machen sie nur Sinn, wenn sie taktisch geschickt eingesetzt werden. Dies bedeutet, dass mit einem Penetration Test nie die grundlegende Sicherheit einer Umgebung bestimmt werden kann. Stattdessen sollte man sie als Ergänzung zu einem Vulnerability Assessment sehen, in dem vorgängig die potentiellen Schwächen einer Umgebung determiniert wurden. Der Penetration Test ist sodann, meist nach Umsetzung der Gegenmassnahmen, das Antreten eines proof-of-concepts zur Bestimmung der echten Sicherheit der Umgebung. Weiterlesen ...

Die Vieldeutigkeit von Oblivion | 30.03.2006 | computec.ch, Marc's Blog
Meines Erachten ist Perfektionismus eine sehr schöne Sache. Dies natürlich nur solange, wie man sich nicht selbst durch einen solchen behindert (z.B. das ewige Herausschieben von Releases). Durch das raffinierte und akribische Ausarbeiten lassen sich aber wunderschöne Dinge erschaffen, die in ihrer Eleganz und Vollkommenheit nur schwer übertrefflich scheinen. Ein Meister dieser Kunst ist Donald E. Knuth, der vor allem mit seiner Schriftreihe The Art of Computer Programming sowohl bei Programmierern als auch für Fachbuchautoren neue Massstäbe gesetzt hat. Weiterlesen ...

Der kleine Buchladen | 27.03.2006 | computec.ch, Marc's Blog
Als ich noch jünger war, trieb ich mich immer in Büchläden und Bibliotheken rum. Irgendwie mochte ich es, von so viel Holz und mit ihm für die Zukunft festgehaltenes Wissen umgeben zu sein. Nach der Schule sitzte ich dann meist noch stundenlang mit irgendeinem Buch in einem bequemen Sessel und freute mich darüber, dass ich ohne grossen Aufwand Dinge erfahren konnte, für die man vor 100 Jahren noch grosse Gefahren auf sich nehmen hätte müssen. Und wenn ich mich mit jemandem in der Stadt verabredet hatte, trafen wir uns ebenfalls meist bei der Leihbücherei. Dort wars stets warm und ruhig. Und da ich chronisch stets 30 Minuten zu früh war, konnte ich meine Zeit wenigstens nutzen, um in irgendeinem Fachbuch über Quantenphysik oder Verhaltenspsychologie zu stöbern. Weiterlesen ...

Krieg und Frieden | 23.03.2006 | computec.ch, Marc's Blog
Penetration Tests sind immer eine spannende Sache. Aufgrund der Tatsache, dass man nicht nur einen handelsüblichen Vulnerability Scanner heranziehen kann, um in eine Umgebung einzubrechen, erfordert das Ganze in bisschen geistige Experimentierfreudigkeit. Der Penetration Tester hat mit viel Elan und Geschick unbekannte oder nur schlecht untersuchte Schwachstellen zu seinen Gunsten auszunutzen. Dies ist natürlich nicht immer einfach, in einer Zeit, in der sich jedes Management schon mindestens einmal Gedanken über Hardening-Konzepte, Patch-Management und Firewall-Lösungen gemacht hat. Weiterlesen ...

Lord of Cyberwar | 15.03.2006 | computec.ch, Marc's Blog, Nachdruck in scip monthly Security Summary, Ausgabe 19. April 2006, scip AG, Zürich, scip AG, Seiten 1 und 2
Zugegeben, Filme, bei denen Nicolas Cage eine der Hauptrollen übernimmt, verlangen dem Zuschauer eher selten intellektuelle Höhenflüge ab. Doch der Streifen Lord of War (2005) hat mich in der Hinsicht wirklich positiv überrascht. Ein sozialkritischer Film, der ein Höchstmass an politischer und kultureller Brisanz aufweist und diese gekonnt - halt in typischer Hollywood-Manier - inszeniert. Weiterlesen ...

Das Buch und der Orient Express | 10.03.2006 | computec.ch, Marc's Blog
"Meine ersten Gehversuche in der Assembler-Programmierung habe ich im jugendlichen Alter von etwa 14 Jahren gemacht. An meinem 286er mit einer Hand voll MHz, der auf einem bescheidenen MS DOS 3.1 lief, hackte ich die eine oder andere Zeile in den Editor. Neben einfachen mathematischen Problemen, die sich sehr effizient damit lösen liessen (ich liebe Simulationen dynamischer Systeme wie jene der Wirtschaft), waren es vor allem die Computerviren, die zunehmends als Studienobjekt herhalten mussten. Komplexe Strukturen und raffinierte Methoden - wie zum Beispiel jene des polymorphen Virus 'Whale' - waren in der Tat für mich als Jüngling ein Augenschmaus; auch wenn es für Aussenstehende - vor allem meine Mutter - eher wie unsinniger Buchstabensalat auf der CGA-Bildschirmausgabe aussah. " Weiterlesen ...

Kritik der Glaubenskriege | 07.03.2006 | computec.ch, Marc's Blog
Seitem ich mich ernsthaft für das andere Geschlecht interessiere, bin ich von einer ganz besonderen Frage besessen: 'Welcher Partner passt besser zu einem - Derjenige der gleich ist, oder derjenige, der komplett anders ist.' Im Normalfall können bei solch alltäglichen Problemen Sprichwörter einen Denkanstoss in die richtige Richtung geben. Da gibt es nun aber 'Gleich und Gleich gesellt sich gern' sowie 'Gegensätze ziehen sich an'. Was ist nun die Lösung? Weiterlesen ...

Klingelstreich im Jahr 2006 | 01.03.2006 | computec.ch, Marc's Blog
Eigentlich gibt es nur eine Sache, die mich wirklich in Rage versetzen kann: Menschen mit einem leicht bösartigen Charakterzug (z.B. Egoismus), die aufgrund ihrer Dummheit vornehmlich lächerlich wirken. Ein gutes Beispiel sind all jene Leute, die sich beim Einsteigen in die Bahn vordrängeln, obschon es offensichtlich war, dass man durch diesen Akt der Egozentrik keinen merkbaren Vorteil für sich erstehlen konnte. Tja, aber das sind halt die Blüten, die eine Leistungsgesellschaft mitunter so treibt. Weiterlesen ...

Javascript from Hell | 24.02.2006 | computec.ch, Marc's Blog
Wer kennt sie nicht: Die kleinen web-basierten Hackits, bei denen man als Frischling sein jüngst erworbenes Wissen im Umgang mit dem Thema Computersicherheit ausprobieren darf. Ein Klassiker dabei ist das Umgehen von mit Javascript (Abk. JS) umgesetzten Passwortabfragen. Beim Betreten einer Webseite wird man auf dieser nach einem Passwort gefragt. Ist man im Besitz des richtigen und gibt dieses an, wird man auf den geschützten Bereich geleitet und hat damit das Hackit bestanden. Bei der fehlerhaften Eingabe des Passworts wird hingegen eine Fehlermeldung ausgegeben. Als Angreifer geht es nun darum ohne das Wissen um das richtige Passwort den Zugang zu erlangen. Weiterlesen ...

Sprache als Beweis der Intelligenz? | 17.02.2006 | computec.ch, Marc's Blog
Künstliche Intelligenzen sind eine faszinierende Sache. Meine Freundin sieht darin eine Gefahr für die Menschheit. Ich hingegen sehe in ihr eine Chance für die selbige. Und zwar können sie uns unterstützen, indem sie beispielsweise Entscheidungen vereinfachen. Expertensysteme verrichten beispielsweise vielerorts solide Arbeit. Die Anwendungen INTERNIST und MYCIN sorgen beispielsweise für eine vereinfachte Diagnose in der Medizin. Weiterlesen ...

Masse und Trägheit | 13.02.2006 | computec.ch, Marc's Blog
Man muss keineswegs Physik studiert oder die allgemeine Relativitätstheorie verstanden haben, um die grundlegenden Zusammenhänge zwischen Masse und Trägheit verstehen zu können. Ein ruhender Körper braucht umso mehr Energie, um ihn in Bewegung zu versetzen, je mehr Masse er aufzuweisen hat - Trägheit bezeichnet also den Widerstand, den ein Körper der Veränderung seines Bewegungszustands entgegensetzt. So ist das jedenfalls auf unserem Planeten und in dieser Dimension. Weiterlesen ...

Blackbox oder Whitebox Approach | 06.02.2006 | computec.ch, Marc's Blog
Es ist Donnerstag Morgen, 09:00 Uhr. Ich stehe gerade am Fenster eines Sitzungszimmers, aus dem ich den gesamten Vorhof dessen überblicken kann. Einige schöne Autos sehe ich. Mercedes, Porsche und Jaguar - Vorwiegend High Class. Mir fällt dabei auf, dass sämtliche dieser in Dunkel gehalten oder mit einem schlichten Silber eingefärbt sind. Mittlerweile hat sich mein Kunde wieder zurückgemeldet, bringt mir mein gewünschtes Mineralwasser und sich selbst stellt er einen schwarzen Kaffee auf den runden Tisch. Weiterlesen ...

Geschichten aus dem Server-Raum | 31.01.2006 | computec.ch, Marc's Blog
Die Überprüfung eines Systems kann auf verschiedene Arten stattfinden. Eine klassische Unterscheidung ist dabei auf Netzwerkebene im remote und dem lokalen Testing gegeben. Ein Remote-Testing bedeutet in diesem Falle meistens, dass die Systeme über das Internet betrachtet werden. Oftmals werden dabei Firewall- und Routing-Systeme gegeben sein, so dass die Überprüfung entsprechend schwierig und langwierig ausfallen kann. Ineffizienz pur. Weiterlesen ...

Der Schnellere ist der Geschwindere | 26.01.2006 | computec.ch, Marc's Blog
Sicherheitsüberprüfungen sind mein täglich Brot. So verwundert es nicht minder, dass ich mit einer enormen Strukturiertheit an derlei Audits herangehe, solide Vorabklärungen tätige, einem grob definierten Vorgehen folge (z.B. mit der Hilfe von Checklisten) und mich an den gängigen Standards orientiere (z.B. BSI, ISO und OSSTMM). Weiterlesen ...

Die unendliche Leichtigkeit des Mappings | 19.01.2006 | computec.ch, Marc's Blog
Auf eine Empfehlung eines deutschen Buchautoren hin, habe ich eine Dozentur an der Universität Luzern bekommen. Eher unspektakulär aber nicht minder mit Enthusiasmus unterrichte ich dort zwei Tage im Jahr zum Thema Computersicherheit. Die Besucher des Masterstudienlehrgangs kommen dabei aus allen Studien- und Berufsrichtungen, weshalb es mir besonders Spass bereitet, die interessantesten Themen des Computerzeitalters mit unterhaltsamen Diskussionen zu illustrieren. Weiterlesen ...

Ich bin ein Bestseller-Autor - Oder doch nicht? | 12.01.2006 | computec.ch, Marc's Blog
Albert Einstein schrieb einmal: 'Am schwierigsten zu verstehen ist in der Welt die Einkommensteuer.' Ich pflichte ihm bei, denn wie jedes Jahr mühe ich mich auch in diesem mit den Verworrenheiten des Steueramts ab. Wie jedes Jahr reiche ich meine Steuern zu spät ein und wie jedes Jahr gibt es vom Vater Staat etwas zu bemängeln. Meine Dummheit in diesem Belang scheint wahrhaftig grenzenlos zu sein, bedauerlicherweise. Weiterlesen ...

Wer sucht, der findet | 05.01.2006 | computec.ch, Marc's Blog
Als Penetration Tester habe ich eigentlich nur ein Ziel: In ein System einbrechen, koste es, was es wolle (natürlich nur im Rahmen des Legalen und Wirtschaftlichen). Durch automatisierte Auditing mittels Vulnerability Scannern und das manuelle Exploiting in akribischer Handarbeit sollen dabei sämtliche existenten und für einen Angreifer verwertbaren Schwachstellen einer Umgebung aufgedeckt und erfolgreich ausgenutzt werden. Dies ist nicht immer ein Kinderspiel, sind die gegenwärtigen Bestrebungen doch sehr umfassend - Ein elektronischer Einbruch in eine Bank erfordert da doch ein hohes Mass an Know How, Ehrgeiz und Zeit. Weiterlesen ...

Was war, was wird? | 23.01.2006 | computec.ch, Marc's Blog
Ich bin müde. Extrem müde. Dies nicht ab des eher düsteren Wetters, das - so scheint es sichtlich - auf mein Gemüt zu schlagen pflegt. Viel mehr ist es die Anspannung, die ich dieses Jahr in mir vorgefunden habe. Ironischerweise eine gesunde Anspannung, denn dies ist wohl mit Abstand das produktivste Jahr, das ich seit bald 25 Jahren mitgestalten durfte. Weiterlesen ...

Ich bin alt, oder? | 16.12.2005 | computec.ch, Marc's Blog
Dienstag, am frühen Abend. Ich nehme gerade ein Bad, als mein Mobiltelefon klingelt. Vorsorglich habe ich es neben die Wanne gelegt, damit ich im Falle eines Anrufs nicht das warme Nass verlassen muss. 'Hallo', fragte ich ins Telefon, obschon ich sah, dass meine Freundin mich anrief. Sie fragte, was ich gerade mache und ich sagte, dass ich zusammen mit Verdi ein Bad nehme. 'Verdi', fragte sie ganz erstaunt. 'Ja, die klassische Fidelei im Hintergrund sind die Streicher nach dem berühmten italienischen Musiker...' Weiterlesen ...

Eine der wichtigsten Lügen der Biometrie | 11.12.2005 | computec.ch, Marc's Blog
Vor einiger Zeit spielte sich in den Hintergründen, weit ab des Blickfelds des Volks, der Kampf um die Durchsetzung biometrischer Massnahmen ab. Kartell- und mafia-ähnlich müssen diese Zustände gewesen sein, in denen einander Zuspielungen gemacht und der potentielle Markt gerecht aufgeteilt wurde. So stelle ich es mir jedenfalls vor. Weiterlesen ...

Man ist wichtig, wenn... | 01.12.2005 | computec.ch, Marc's Blog
Albert Einstein ist vor allem für eines legendär: Für seinen humanistischen, ja schon fast altruistischen Umgang mit der Bekanntheit seiner Person in der Öffentlichkeit. Stets war er darum bemüht, dass der Rummel um ihn der Allgemeinheit einen Nutzen bringt. So war er nicht darauf aus, dass man ihn feiert, weil ihm dies gefällt. Viel mehr hiess es für ihn: Wenn man mich schon 'unsinnigerweise' feiert, dann hört man mir wenigstens zu - Entsprechend muss ich an den Verstand derer appellieren, um etwas Gutes der Welt zu tun. Seine unzähligen Briefwechsel erzählen davon. Weiterlesen ...

Donald E. Knuth meets Zürich | 25.11.2005 | computec.ch, Marc's Blog
Einer meiner liebsten Autoren von Fachbüchern ist, neben Richard Feynman, der US-Amerikaner W. Richard Stevens. Seine Buchreihe 'TCP/IP Illustrated' ist unter Fachleuten legendär. Ich kann mich noch sehr gut daran erinnern, als ich jeweils im Zug auf dem Weg zur Arbeit den ersten Band verschlang. Die sprachliche Ästhetik eines Computerbuchs war für mich unglaublich. Seine Gratwanderung zwischen erforderlichem Informationsgehalt, das Fehlen unnötiger Informations-Redundanz, didaktischer Linearität und das Ausmass der raffinierten Hintergrundinformationen hat jede Seite zu einem Genuss gemacht. Weiterlesen ...

Ein Audit, der an der Software scheitert | 20.11.2005 | computec.ch, Marc's Blog
Ich habe mal versucht nachzurechnen, wieviele Security Audits und Penetration Tests ich in meinem Leben schon gemacht habe. Dies waren wahrlich ein paar. Das weiss ich vor allem deswegen, weil ich mich an praktisch keine technischen Details dieser zurückerinnern kann. Derlei sinnfreie Daten (z.B. auf welchem System fand ich welche Schwachstelle) messe ich ein solch geringes Mass an Relevanz bei, dass ich sie lediglich mit der Hilfe von Papier für die Zukunft festhalten kann. Weiterlesen ...

Der Sieg, der keiner war | 11.11.2005 | computec.ch, Marc's Blog
Ich habe mal versucht nachzurechnen, wieviele Security Audits und Penetration Tests ich in meinem Leben schon gemacht habe. Dies waren wahrlich ein paar. Das weiss ich vor allem deswegen, weil ich mich an praktisch keine technischen Details dieser zurückerinnern kann. Derlei sinnfreie Daten (z.B. auf welchem System fand ich welche Schwachstelle) messe ich ein solch geringes Mass an Relevanz bei, dass ich sie lediglich mit der Hilfe von Papier für die Zukunft festhalten kann. Weiterlesen ...

Sicherheit kennt keine Freiheit | 07.11.2005 | computec.ch, Marc's Blog
Vor wenigen Wochen war ich bei der Niederlassung einer Bank in Basel. Im Rahmen eines überregionalen Penetration Tests wurde ich vom technischen Personal in die Umgebung vor Ort eingeführt. Da werden mir dann Netzwerkdiagramme und IP-Adresslisten vorgezeigt, über eingesetzte Betriebssysteme sowie Applikationen diskutiert. Weiterlesen ...

Freiheit als erster Schritt zur Macht | 01.11.2005 | computec.ch, Marc's Blog
Karl Marx schrieb einmal: 'Freiheit ist ein Luxus, den sich nicht jedermann leisten kann.' In der Tat, das gesellschaftliche Zusammensein macht es nicht gerade einfach, seine Freiheiten in Anspruch nehmen zu können, ohne die Freiheit der anderen einzugrenzen - In der Regel hält man diesen Balanceakt, denn so verlangt man von den anderen doch das Gleiche. Weiterlesen ...

Ein Tag im Leben eines Social Engineers | 23.10.2005 | computec.ch, Marc's Blog
Obschon ich ein bisschen zwiespältig der Figur Kevin Mitnick gegenüberstehe, habe ich in mancherlei Hinsicht unverhohlene Hochachtung vor seiner Person. So ist es unbestritten, dass er einen beachtlichen Teil dazu geleistet hat, dass Social Engineering salonfähig geworden ist. Ohne seine bekannten Angriffe und die Medienwirksamkeit, die diese erzeugt haben, wäre das Thema Computersicherheit heute wohl noch viel eher ein rein technisches Gebiet - Die menschlichen und psychologischen Elemente würden wohl unweigerlich unterschätzt werden. Weiterlesen ...

Closed-source ist nie und nimmer ein Vorteil | 12.10.2005 | computec.ch, Marc's Blog
Ein jeder, der sich intensiver für Computersicherheit interessiert, kennt die Software Nessus. Das ursprünglich von Renaud Deraison ins Leben gerufene Projekt versuchte seit Ende der 90er Jahre einen auf Open-source basierenden Security Scanner zur Verfügung zu stellen. Gerade weil es eine freie und offene Lösung ist, konnte sie ein Höchstmass an Akzeptanz in der Branche erreichen. Ich kenne eigentlich keinen Penetration Tester, der nicht früher oder später auf Nessus zurückgreift. Weiterlesen ...

Guck mal, ich bin im Fernsehen | 06.10.2005 | computec.ch, Marc's Blog
Als ich am Schreiben des Buches Hacking Intern (Data Becker, Düsseldorf, September 2002) beteiligt war, wurde ich unter anderem vom Verlag angehalten, sogenannte Lesereisen zu unternehmen. Dabei treten die Autoren vor interessierten und bestehenden Lesern auf und lesen aus ihren Publikationen vor, um diese Schmackhaft zu machen. Meine Entgegnung auf diese Aufforderung war knapp und unumstösslich zugleich: 'Nein. Ich schreibe, damit ich nicht reden muss.' Der Verlag akzeptierte es, wenn auch nur widerwillig. Weiterlesen ...

Auch Korruption will gelernt sein | 23.09.2005 | computec.ch, Marc's Blog
Hinter jedem Reichtum verbirgt sich mindestens eine kleine korrupte Tat.' So oder so ähnlich müssten eigentlich die Schüler unserer Zeit gelehrt werden. In unserem System, dessen Basis das Übertrumpfen der Konkurrenz darstellt, muss innerhalb der Übertrumpfungsspirale irgendwann zu korrupten Mitteln gegriffen werden. Eine ethisch annehmbare Steigerung ist nämlich irgendwann gar nicht mehr möglich. Weiterlesen ...

Meine Probleme sind doch lächerlich | 16.09.2005 | computec.ch, Marc's Blog
Ich frage mich manchmal wirklich, was ich hier eigentlich tue. Nein, dies ist nun nicht die pessimistische Einleitung des Beitrags eines orientierungslosen Mit-Zwanzigers. Ein Grossteil meines Lebens dreht sich um Computer und um die Sicherheit solcher. Ich bin damit zufrieden, denn diesen Themen brachte ich schon immer ein Mehr an kritischem Interesse und aufrichtiger Leidenschaft entgegen. Weiterlesen ...

Ich verachte Politik und bin doch mitten drin | 10.09.2005 | computec.ch, Marc's Blog
Politik setze ich mit Lobbyismus gleich. Egal in welcher Staatsform und welcher Couleur angehörend, läuft alles auf das Prinzip der 'Eine Hand wäscht die andere' hinaus. Anarchistische Systeme, in denen im klassischen Sinn eine Führerlosigkeit herrscht, können in erster Linie durch Koaliationen kompromittiert werden. Absoluter Individualismus wird aufgegeben, um in der Gruppe ein Mehr an Macht zu erhalten. Ein einfaches Prinzip, das sich so weit hochschaukelt, bis der Einzelne gar keine Chance mehr hat. Zwängt man dies in geregelte Formen und verpasst ihr den Stempel der Rechtsstaatlichkeit, kommt irgendwann etwas im Sinne einer Demokratie zustande. In ihren Grundzügen durchaus das, was Platon in 'Politeia' (Der Staat) skizziert hat. Wir sind zufrieden. Weiterlesen ...

Intelligente Frauen und dumme Genies | 05.09.2005 | computec.ch, Marc's Blog
Über Jahre hinweg habe ich mich geweigert, mich mit den Tagesmedien auseinanderzusetzen. Propaganda habe ich geschrien, wenn ich schon nur in die Nähe einer Zeitung gekommen bin. Vermeintlich kritische Journalisten, die sich nicht an den Kodex ihrer Berufsgattung halten, sind keine Seltenheit. Die propagandistischen Massenmedien sind voll von solchen Zeitgenossen. Und weltweit unterstützte Reporter wie Becky Anderson von CNN, die in ihrem fanatischen Nationalismus sämtliche Kritiker eines Irak-Kriegs als dumm und unamerikanisch bezeichnen, stützen meinen Kritizismus in jeglicher Hinsicht. Weiterlesen ...

Propaganda als erster Schritt zur totalen Überwachung | 01.09.2005 | computec.ch, Marc's Blog
Als ich etwa 12 Jahre alt war, kriegte ich meinen ersten eigenen Fernseher. Eine kleine weisse Kiste, die sich da in meinem mit viel Holz ausgebauten Zimmer fand. Neben den drei Sendern des schweizerischen öffentlich-rechtlichen Fernsehens (DRS, TSR und TSI), welche sich damals über Antenne ins heimische Zimmer holen liessen, flimmerten vor allem Konsolen-Spiele (NES) über den konvexen Bildschirm. Weiterlesen ...

Computerkriminalität - Betrachtunt der psychologischen Aspekte | 29.08.2005 | scip AG, Labs
Mit diesem Buch möchte ich dieses laienhafte Vorurteil aus der Welt schaffen, auch wenn der eine oder andere Leser bei der Studie dieser Zeilen sein hübsches Glashaus zerbrechen sieht. Sicherheit ist nicht durch ein Produkt realisierbar. Ein Konzept ist in jedem Fall von Nöten. Dies ist ein Merksatz, der zum ersten mal im Informatik-Bereich in Bezug auf Firewalling an Bedeutung gewann. Übertragbar ist er auch auf die elektronische Einbruchserkennung. Weiterlesen ...

Ich bin müde, also bin ich | 29.08.2005 | computec.ch, Marc's Blog
Seitdem sich der diesjährige Sommer ohne Vorwarnung in einen dunklen Herbstanfang gewandelt hat, habe ich an den Morgen merklich Mühe aufzustehen. Wenn sich meine Augen öffnen und noch immer die gleiche Dunkelheit herrscht, wie wenn ich in mich gekehrt auf meiner harten Matratze liege (ich habe seit Jahren chronische Rückenschmerzen), habe ich nicht wirklich Lust meine grossen Füsse auf das kalte Parkett meiner Wohnung aufzusetzen. Weiterlesen ...

'Ich habe gemeint, das sei so sicher' | 22.08.2005 | computec.ch, Marc's Blog
Security Consultant, wie ich meinen Job verstehe, mutet schon fast ein bisschen erhaben an. Wenigstens im IT-Umfeld. Als Consultant ist man weniger Exekutive, sondern man lässt für sich arbeiten, gibt Ratschläge und Anweisungen. Finden wir eine Schwachstelle in einem System, ist der Systemverantwortliche angewiesen, sich dieser Sache anzunehmen. Dass wir etwas selber an den Konfigurationen eines Rechners anpassen, ist aus vielen Gründen ungeschickt. Weiterlesen ...

Ist Undankbarkeit Lohn der Dummen? | 15.08.2005 | computec.ch, Marc's Blog
Ja, ich bin der Meinung, dass ich den schönsten aller modernen Berufe habe. Als Sicherheitsberater im IT-Umfeld sehe ich eine Vielzahl an Unternehmen, komme mit haufenweise interessanten Leuten in Kontakt und darf mich aufregenden Herausforderungen stellen. Ich meine, wer darf schon von sich aus behaupten, dass es seine Aufgabe ist in Bankensysteme einzudringen, ohne mit juristischen Repressalien rechnen zu müssen? Ich kriege gar noch Geld dafür! Weiterlesen ...

Freundschaft mit dem Feind? | 08.08.2005 | computec.ch, Marc's Blog
Mein Arbeitgeber, die scip AG, versteht sich als neutrales Beratunsgunternehmen. Wir haben uns seit der Firmengründung das Credo 'Neutralität gegenübern Produkten, Herstellern und Methoden' auf die Flaggen geschrieben. Dies bedeutet, dass wir keine Produkte verkaufen wollen - Wir wollen Lösungen schaffen und Produkte sind dabei nur Mittel zum Zweck. In einer gewinnorientierten Zeit ist es deshalb nicht verwunderlich, dass unsere Kunden diese Neutralität und Unabhängigkeit zu schätzen wissen. Sie wissen, dass unsere Expertisen stets auf unvoreingenommenen Betrachtungen beruhen und unser primäres Ziel der zufriedene Kunde ist. Es überrascht sodann ebenfalls nicht, dass wir nahezu nur mit 'Stammkunden' zu tun haben: Praktisch jeder unserer Kunden hat nach einem ersten Beschnuppern wiedereinmal ein Projekt mit uns umgesetzt. Weiterlesen ...

Wer nicht hören will... | 03.08.2005 | computec.ch, Marc's Blog
Ich arbeite nun schon bald 3 Jahre bei scip AG in Zürich. Seit der Firmengründung geniesse ich die fachliche Kompetenz und den menschlichen Umgang von Simon und Rocco. Momentan sind wir eigentlich ganz gut mit Aufträgen bedient. Na ja, für mein Privatleben ansich ist das nicht so toll, denn die eine oder andere Überstunde ergibt sich halt zwangsweise aus der Fülle an interessanten Projekten, die uns zugetragen werden. Weiterlesen ...

Wie sicher ist 'sicher'? | 28.07.2005 | computec.ch, Marc's Blog
Viele meiner Freunde sind immerwieder 'schockiert', wenn sie meine sehr nüchterne Herangehensweise an Probleme bemerken. Wie in den Sherlock Holmes-Geschichten schön beschrieben wird, ist ein systematisches Vorgehen unabdingbar, um eine Herausforderung erfolgreich und vor allem effizient zu meistern. Das Bemerken von kühlem Kalkül verleitet viele Beobachter zur Annahme, dass derlei Analytiker schlecht im Umgang mit Menschen sind. Das will ich zu grossen Teilen (aber nicht zu 100 %) bestreiten. Ein strukturiertes Vorgehen hat nichts mit sozialer Inkompetenz zu tun. Weiterlesen ...

Einfach ist, was einfach bleibt | 22.07.2005 | computec.ch, Marc's Blog
Grundsätzlich bin ich unendlich faul. Das behaupten jedenfalls die meisten Leute, die mich kennen. Und zwar schlafe ich sehr viel. Während der Urlaubszeit, von der ich leider nur eine begrenzte Anzahl mein Eigen nennen darf, kommen da pro Tag schon mal über 14 Stunden zusammen. Ich erachte Schlaf als etwas wirklich wichtiges. Sage ich, dass ich immer und überall schlafen kann, ernte ich jedoch oftmals nur neidische Blicke und einen Kommentar wie 'Das kann ja nicht gesund sein'. Weiterlesen ...

Mit Sicherheit keine Chance | 17.07.2005 | computec.ch, Marc's Blog
Mitte der vergangenen Woche war ich mit meiner Freundin zwei Tage in am Moon and Stars 2005 in Locarno. Wir hatten die Gelegenheit, ein wunderbares Konzert der britischen Rockband 'Coldplay' live mitverfolgen zu dürfen. Diese haben auf ganzer Linie überzeugt und sich im Gegensatz zum Konzert im Hallenstadion in Zürich im April 2003 überproportional verbessert. Eine solch hervorragende Akkustik habe ich an einem Live-Konzert noch nie geniessen dürfen und die Band hat sowohl professionell als auch selbstironisch ihre eingängigen Titel vorgetragen. Weiterlesen ...

Der Krieg hat begonnen | 12.07.2005 | computec.ch, Marc's Blog
Der erste Weltkrieg war der Krieg der Chemiker. Der zweite Weltkrieg war der Krieg der Physiker. Und der dritte Weltkrieg? Es gibt einige Denker, die den Krieg gegen den Terrorismus als den dritten Weltkrieg bezeichnen und diesen den Krieg der Kryptologen nennen. In der Tat, Informationen und nicht Bomben sind das, was diesen Krieg entscheiden wird. Weiterlesen ...

Von Sony bis Microsoft: Es riecht nach Verrat | 06.07.2005 | computec.ch, Marc's Blog
Ich besitze einen kleinen Pinguin aus Plüsch. Nichts grossartiges, einfach ein kleiner Fratz mit einem roten Halstuch und Wollmütze, der bei mir auf dem Bücherregal steht und mich daran erinnern soll, dass auch Pinguine Halsweh kriegen können. Ausserdem erinnert er mich natürlich an Linux, das freie Betriebssystem, dessen Vater Linus Torvalds sowie James Hughes den Zwergpinguin Tux als Maskottchen erkoren hat. Obschon ich seit Ende der 90er Jahre regelmässig Linux einsetze (und über Jahre hinweg den beruflichen und privaten Einsatz von Microsoft-Betriebssystemen verweigert habe), habe ich mir zum Release-Tag eine Microsoft Xbox Konsole gekauft. Weiterlesen ...

Wenn einer eine Reise tut... | 04.07.2005 | computec.ch, Marc's Blog
Ja ja, auch ich hab mal zur Abwechslung Urlaub. Und zwar hab ich diesen - insgesamt zwei Wochen - mit Björn in Schweden verbracht. Dass ich mich deshalb weniger im Forum herumgetrieben und Postings verfasst habe, ist deshalb nicht verwunderlich. Schweden ist schön, in der Tat - Und zwar in jeder Hinsicht, so dass Computer und das Internet schnell zwangsweise an Zweitrangigkeit gewinnen. (Okay, ich habe zwar meinen Laptop mitgenommen und Björn hat mir einiges in Punkto objekt-orientierter Programmierung, PHP und SQL beigebracht...) Weiterlesen ...

Erniedrigte und Beleidigte | 14.06.2005 | computec.ch, Marc's Blog
Tendenziell werden Männer im Alter gereizter, aggressiver, im alt-berner Dialekt wird dies als 'grantig' bezeichnet (Bisherige Untersuchungen im deutschsprachigen Raum konnten diesen Zusammenhang aber nicht zeigen). Mir wurde einmal von einem angehenden Arzt gesagt, dass dies mit der Verhärtung der Hirnrinde zu tun hätte. Ein ganz natürlicher Prozess. Ich bin nun 24 Jahre alt und meine, dass dieser bei mir schon eingesetzt hat. Schon lange habe ich mich nicht mehr so geärgert, wie diese Woche. Aber beginnen wir von vorn... Weiterlesen ...

N00bs und andere Spielereien | 11.06.2005 | computec.ch, Marc's Blog
Meine Freundin ist Kindergarten-Lehrerin und ich hab ihr versprochen, dass ich mit ihren Kleinen dieses Jahr auf die Kindergartenreise mitkomme. Na ja, das ist sicher ne lustige Abwechslung, dach ich mir. Oh mein Gott! Nun denn, der Tag war härter, weder jedes Meeting, das ich bisher mit einem Kunden hatte. Als ich gestern um 18:00 Uhr nach Hause kam konnte ich nur noch an zwei Dinge denken: Zum Glück hab ich keine Kinder und nun muss ich dringend schlafen. Mein 'Kindergartenreise-Kater' hält bis jetzt an. Ich werde wohl heute höchstens ins Kino gehen und sehen, wie Herr Pitt und Frau Jolie sich gegenseitig aus dem Weg räumen wollen. Für mehr Action bin ich definitiv nicht zu haben. Weiterlesen ...

Ich postulierte den gläsernen Menschen | 09.06.2005 | computec.ch, Marc's Blog
Web Logs (Blogs) sind in. Na ja, eigentlich sind sie schon fast wieder out, denn mittlerweile hat doch jeder auf seiner kleinen Webseite eine Sektion, in der er seine Lebens-Impressionen festhält. Meine ersten Anläufe für öffentlich zugängliche digitale Tagebücher machte ich schon zu Beginn von computec.ch, das war noch im letzten Jahrtausend. Irgendwie hatte ich dann aber keine Lust oder Zeit, mich regelmässig mit den Buchstaben zu beschäftigen, die mein Leben festhalten können sollen. Weiterlesen ...

Computec Newsletter Oktober 2004 Editorial | 26.10.2004 | computec.ch, Computec Newsletter
Der Oktober 2004 war ein heisser Monat. Nein, nicht heiss in Bezug auf das Wetter. Viel eher hat die Vielzahl an neuen Schwachstellen rauchende Koepfe bei Administratoren und Benutzern verursacht. Vor allem Microsoft hat im Patchday dieses Monats einige wirklich kritische Schwachstellen im Betriebssystem Microsoft Windows und im Webbrowser Microsoft Internet Explorer bekannt gegeben sowie durch Patches behoben. Ebenfalls fuer Aufsehen haben Schwachstellen in fuer Tab-Browsing faehige Webbrowser sowie Antiviren-Loesungen gesorgt. Beide Schwachstellen betrafen gleich eine ganze Produktepalette bzw. Loesungen verschiedener Hersteller. Die Chancen, dass man sich diesen Monat vor dem Einspielen eines neuen Bugfixes druecken kann, sind so gering wie lange nicht mehr. Weitere Informationen findet sich in Absatz 1, der als Buglist die Fehler der letzten Wochen auflistet. Weiterlesen ...

Computec Newsletter September 2004 Editorial | 27.09.2004 | computec.ch, Computec Newsletter
Neue Schwachstellen wurden die letzten Wochen nur zoegerlich publiziert. Fuer Aufsehen hat ein Pufferueberlauf der Microsoft Produkte bei der Verarbeitung von JPEG-Bildern gesorgt. Sehr kritisch, denn durch das Anzeigen eines korrupten Bildes laesst sich beliebiger Programmcode auf einem Windows-System ausfuehren. Das Einspielen des Service Pack 2 fuer Microsoft Windows XP wird also langsam unabdingbar. Weiterlesen ...

Computec Newsletter August 2004 Editorial | 26.08.2004 | computec.ch, Computec Newsletter
Das Wetter wurde wieder ein bisschen kuehler: Des einen Freud, des anderen Leid. Denn so erschienen diesen Monat wieder vermehrt neue Schwachstellen, die die Aufmerksamkeit der Angreifer und Administratoren geweckt haben sollten. Ein gutes Beispiel ist die Denial of Service-Schwachstelle in ISAKMPd verschiedener Firewall-Loesungen der Firma Symantec - Skript-Kiddies warten schon sehnsuechtig auf einen handlichen Exploit... Die Sommerferien sind also langsam endgueltig vorbei und der hektische Alltag scheint wieder in den IT-Security Bereich einzukehren. Wir sollten uns langsam wieder warm anziehen! Weiterlesen ...

Computec Newsletter Juni 2004 Editorial | 27.06.2004 | computec.ch, Computec Newsletter
Die Anzahl der neuen Sicherheitsluecken seit dem Erscheinen des letzten Computec Newsletters halten sich an den Durchschnitt. Bei den Produkten ist auffaellig, dass eine Vielzahl neuer Fehler im Microsoft ISA Server 2000 und in BEA WebLogic publiziert wurden. Zwei sehr kritische Schwachstellen - das sind ueberdurchschnittliche viele in einem Monat - wurden im Microsoft Internet Explorer entdeckt. Und ebenfalls wird fuer groessere Firmen und ISPs die Denial of Service-Schwachstelle im Cisco IOS bis 12.3 Probleme bereiten. Skript-Kiddies und Cracker haben also eine lohnende Zeit. Weiterlesen ...

Computec Newsletter Mai 2004 Editorial | 26.05.2004 | computec.ch, Computec Newsletter
In Bezug auf neue Sicherheitsluecken war der Monat Mai 2004 vielen Hackern wahrscheinlich zu heiss. Auch sie haben wohl lieber den warmen Sommerbeginn genossen, weder naechtelang vor dem Monitor gesessen. Wirklich aufregendes ist also nicht erschienen (Absatz 1). Weiterlesen ...

Computec Newsletter April 2004 Editorial | 27.04.2004 | computec.ch, Computec Newsletter
Achtung, Sie kriegen Post von mir! Endlich ist es wieder soweit, denn der neue Computec Newsletter ist da. Ich muss mich entschuldigen, denn die letzten paar Monate fiel dieses Schreiben aus. Die Gruende sind vielschichtig, erstrecken sich von technischen Problemen aufgrund der enorm hohen Anzahl der Abonnenten bis hin zur fehlenden Zeit zur Erstellung der jeweiligen Abschriften. Weiterlesen ...