Ja, ich werde in meinem Pass mit dem Namen Marc Ivan Ruef ausgewiesen. Meine beiden Vornamen sind an jene zweier erfolgreicher Athleten angelehnt (Mark Spitz und Ivan Lendl). Bei Ruef handelt es sich um ein uraltes schweizer Geschlecht aus Bern. Da ich der Meinung bin, dass ein Mensch in einer freien Welt mit seinem Namen und seinem Gesicht zu seinen Taten stehen können sollte, verzichte ich auf die Nutzung eines Pseudonyms.

Ich wohne in einem Dorf im Norden der Schweiz. Es hat rund 20'000 Einwohner und liegt knapp 20 km von Zürich entfernt. Ich wohne hier seit meinem 6ten Lebensjahr.

Ich bin am 11. Februar 1981 (Sternzeichen Wassermann) in Brugg/AG geboren. Meine Geburtstage feiere ich jedoch nie. In der Regel nehme ich mir frei und geniesse es alleine zu Hause zu sein und keine Verpflichtungen wahrnehmen zu müssen.

Ja, ich habe einen drei Jahre jüngeren Bruder.

Ich zahle Kirchensteuern an die röm. kath. Kirche. Wie die meisten an Naturwissenschaften (z.B. Physik und Biologie) interessierten Menschen trage ich einen starken und durch Neugierde getriebenen Glauben in mir. Zeitgleich schwingt ein religiöser Skeptizismus mit, der das Tun und Handeln unterschiedlicher Religionen nicht immer gutheissen kann. Das Streiten über Religion und Glaube ist meines Erachtens unnötig und kontraproduktiv.

Politik ist etwas sehr individuelles, weshalb man sich meines Erachtens nicht auf das Programm einer Partei festlegen kann. Geht es um Familienpolitik, soziale Leistungen und Umweltschutz, tendiere ich in liberaler Weise eher nach Links. Bei wirtschaftlichen und aussenpolitischen Entscheidungen sehe ich mich in leicht konservativer Weise positioniert. Politik sollte meines Erachtens rücksichtsvoll und langfristig orientiert sein. Die Generationen nach uns werden es wohl zu danken wissen.

Ich bevorzuge ein Schreiben per Email auf meine Mailadresse marc.ruef-at-computec.ch. Ein privates Telefon besitze ich nicht, meinen Briefkasten leere ich nur alle paar Wochen und auf die Nutzung von Instant Messaging Systemen verzichte ich weitestgehend.

Ich erhalte täglich eine Vielzahl an privaten und beruflichen Emails, die es zu beantworten gilt. Nur ungern möchte ich meine gesamte Freizeit damit verbringen, Emails zu schreiben. So kann es durchaus einmal vorkommen, dass ich mir ein bisschen Zeit für das Beantworten von Schreiben mit niedriger Dringlichkeit lasse (bis zu 6 Monate), was grundsätzlich nichts mit Arroganz oder Ignoranz zu tun hat. Ein jedes Email, das ich erhalte, wird beantwortet. Davon ausgeschlossen sind unaufgeforderte Werbe-/Rundmails, beleidigende Zuschriften und Nachrichten ohne Inhalt. Aufdringliche HTML-Mails, Emails mit fehlendem Zeilenumbruch oder unnötigen Attachments behandle ich mit niedriger Priorität. Die Beantwortung von Emails findet dabei in streng sequentieller Reihenfolge statt. Erinnerungsschreiben und neuerliche Kontaktaufnahme über andere Kanäle werden nicht goutiert und wirken sich nur negativ auf die Beantwortung der ursprünglichen Mitteilungen aus.

Ich bin Mitinhaber des auf Beratungen im Bereich der Computersicherheit spezalisierten Unternehmens scip AG mit Sitz in Zürich. Ich arbeite dort als Security Consultant und bin hauptsächlich für die Durchführung von Security Audits und Penetration Tests zuständig.

Ende der 90er Jahre habe ich unter einem Pseudonym einige Publikationen veröffentlicht, in denen ich meine "Hacks" dokumentiert habe. Ein Mitarbeiter von Siemens Security Schweiz wurde mitunter wegen einiger Entwicklungen im Chipkarten-Bereich auf mich aufmerksam und hat mir einen Job als IT Security Expert (im Netzwerk-/Firewallbereich) angeboten.

Es entspricht unserer Firmenrichtlinie, dass wir nicht über Kunden und Kundenbeziehungen sprechen. Etwa drei Viertel meiner Kunden ist im Finanzbereich angesiedelt. Vorzugsweise führe ich dabei hochspezialisierte und individuelle Penetration Tests von Systemen und Applikationen durch.

Es ist eine typische Eigenschaft der Schweizer, dass Sie nicht gerne über Geld reden. Ich bin hier keine Ausnahme. Ich bin sicher jemand, der nicht verhungert. Meinen Mercedes SLR kann ich mir jedoch auch noch nicht leisten.

Dafür gibt es zwei Gründe. Zum einen gibt es nur eine beschränkte Anzahl an fundierten Publikationen zur Computersicherheit in deutscher Sprache. Die meisten Artikel werden in Englisch publiziert. Um ebenfalls Lesern eine Grundlage zu schaffen, die der englischen Sprache nicht mächtig ist, habe ich angefangen Fachartikel in deutscher Sprache zu verfassen. Zudem handle ich es ähnlich wie Albert Einstein, der die Sprache als Werkzeug zur Übermittlung von Informationen verstanden hat, und deshalb viel Wert darauf legte, dass er dem genutzten Werkzeug mächtig ist (auch er hat fast keine fremdsprachigen Publikationen verfasst).

Als ich mich Mitte der 90er Jahre dem Bereich der Computersicherheit nähern wollte, standen leider nur sehr wenige Artikel mit teilweise ausserordentlich schlechter Qualität zur Verfügung. Damit war es sehr mühsam sich das Grundwissen selbst anzueignen. Um diese Lücke zu schliessen und Neueinsteigern eine bessere Grundlage für ihre Entwicklungen zu schaffen, habe ich versucht möglichst viele einsteigerfreundliche Publikationen bereitzustellen.

Am meisten Herz und Blut habe ich in mein Buch "Die Kunst des Penetration Testing" investiert, das nach rund sechs jähriger Schaffenszeit im Juni 2007 erschienen ist. Aber auch an einigen Fachartikeln habe ich sehr lange und ausgiebig gefeilt. So zum Beispiel "Citrix under Attack", das unter anderem in hakin9 erschienen und in verschiedenen Sprachen übersetzt worden ist.

Entgegen der weit verbreiteten Annahme ist es nicht ohne weiteres möglich, vom Schreiben zu leben. Um von der Veröffentlichung von Zeitschriftenartikeln leben zu können, müsste man etwa 2-4 Stück pro Monat herausgeben. Dies ist, beschränkt man sich denn auf den Bereich der Computersicherheit, über längeren Zeitraum nicht möglich. Die Tantiemen an meinen Büchern decken desweiteren in keinster Weise den Aufwand, der für das Schreiben derer erforderlich war. Das Schreiben von Fachpublikationen ist für die allermeisten Autoren ein finanzielles Verlustgeschäft.

Details und Hintergründe zum Buch finden sich auf der offiziellen Webseite.

Dies hat mehrere Gründe. Aus der Sicht des Autors ist es stets eine undankbare Aufgabe, eine Auftragsarbeit für ein Magazin vorzunehmen. Das Magazin hat stets andere Anforderungen an die Publikation, weder der Autor. Meinungsverschiedenheiten führen meist, aus der Sicht des Autors, eine Verschlechterung der Qualität mit sich. Zusätzlich erwarten viele Magazine, dass sie die exklusiven Nutzungsrechte auf unbestimmte Zeit erhalten. Der Artikel kann also nicht andernorts nachgedruckt werden, weshalb er unweigerlich an die eine Ausgabe gebunden ist. Meines Erachtens ist dies nicht mehr zeitgemäss und widerspricht meiner Einstellung, dass das bereitgestellte Wissen jedermann und jederzeit zur Verfügung stehen sollte. Aus diesem grund bevorzuge ich freie Online-Publikationen, in denen ich so schreiben kann, wie ich es für richtig halte.

Es ist verständlich, dass es für bestimmte Leute befremdlich ist, wenn jemand seine eigenen Zitate einsetzt. Ich pflege diese für mich selber zu sammeln, um zum Beispiel gewisse Publikationen mit markanten Merksätzen zu schmücken. Im Laufe der Zeit hat sich eine ganze Sammlung unterschiedlicher Aussagen zusammentragen lassen. Da vielleicht auch andere meine Meinung teilen, stelle ich diese Zitate breitwillig zur Verfügung. Sollten diese nicht die Meinung eines Lesers auf fachlicher oder philosophischer Ebene widerspiegeln, kann er mir gerne ein "Gegenzitat" zuschicken, auf dessen Basis wir einen Diskurs anstreben können.

Ich habe mir die Programmierung in jugendlichem Alter selber beigebracht. Ebenso habe ich nie eine Anstellung als Programmierer oder Entwickler ausgeübt. Repetitive und einfache Aufgaben in meinem Alltagsleben pflege ich jedoch gut und gerne durch eigene Entwicklungen zu automatisieren. Aus diesem Grund habe ich in den letzten Jahren eine Vielzahl an Skripten und Software-Implementierungen umgesetzt, die mir das Leben zu einem grossen Teil erleichtert haben.

Für mich ist eine Programmiersprache ein Werkzeug, mit dem ich ein spezifisches Ziel erreichen möchte. Die einzelnen Sprachen haben aufgrund ihrer Methodologien, Sprachkonstrukte, Compiler und ihrem Ausführverhalten (z.B. Plattformkompatibilität) gänzlich unterschiedliche Vor- und Nachteile. Im Webbereich pflege ich bei dynamischen Anwendungen auf PHP/SQL zu setzen. Sollen Applikationen für Windows geschrieben werden, bei denen viel Wert auf die grafische Oberfläche (GUI) gelegt wird, pflege ich noch immer klassisches Visual Basic 6 (VB6) zu nutzen. Spielt Performance eine grössere Rolle, schreibe ich - wenn auch ungern - meine Anwendungen in C/C++. Längerfristig werde ich meine Flexibilität in Ruby aufrecht erhalten wollen. Exotische Sprachen faszinieren mich auf theoretischer und historischer Ebene, weshalb ich gut und gerne immerwieder sowohl sehr klassische als auch moderne Sprachen anschaue.

Die meisten privaten Entwicklungen werden quelloffen entwickelt und unter die General Public License (GPL) gestellt. Hochgradig experimentelle Lösungen werden oftmals in einer ersten Phase als Freeware (ohne Sourcen) dargeboten. Bei kommerziellen Lösungen, die ich bei einem beruflichen Projekt oder für einen Kunden erstellt habe, wird in der Regel ebenfalls nur eine Freeware bereitgestellt.

Ich arbeite nicht als professioneller Programmierer oder Entwickler. Da ich kaum die professionelle Qualität für grössere Software-Projekte anbieten kann, muss ich derlei Angebote leider ablehnen. Selbstverständlich bin ich aber immer an neuen Ideen für interessante Projekte interessiert.

Ich bin ganz und gar nicht hardwareorientiert. Aus diesem Grund hinken meine Anschaffungen immer einige Jahre hinterher. Ich hatte privat von ca. 1997 bis 2007 einen Pentium III mit 450 MHz genutzt, auf diesem gar das 1'500 Seiten umfassende Manuskript für mein Buch "Die Kunst des Penetration Testing" verfasst. Danach bin ich auf einen AMD Athlon64 3200+ mit 2.20 GHz umgestiegen. Heute benutze ich vorzugsweise einen Intel Core2 Quad CPU Q8200 mit 2.33 GHz.

Ich bin mit MS DOS 3.0 und DR DOS 5.0 aufgewachsen und habe entsprechend den Evolutions-Schritt zu Windows 95 und seinen Nachfolgern mitgemacht. Zwischen 1999 und 2002 habe ich privat ausschliesslich Linux (zuerst SuSe und RedHat, später nur noch Debian) genutzt und mit anderen alternativen Betriebssystemen (z.B. Sun Solaris, BeOS und QNX) experimentiert. Heutzutage versuche ich jenes Betriebssystem einzusetzen, welches mir am besten dabei hilft, die von mir angegangenen Ziele zu erreichen. Für das tägliche Arbeiten am Rechner reicht mir in der Regel Windows XP/Vista, Debian GNU/Linux und MacOS X.

Siehe Absatz 4.2

Ich bevorzuge freie, quelloffene, schlanke und flexible Lösungen. So benutze ich vorzugsweise als Webbrowser Mozilla Firefox und meine Emails lese ich mit Mozilla Thunderbird. In Bezug auf andere Software bin ich gar nicht wählerisch, kann bisweilen nicht mal aus dem Stehgreif aufzählen, welche Produkte ich zuletzt genutzt habe.

Meinen privaten Rechner habe ich einem umfassenden Hardening unterzogen. Dabei habe ich nicht benötigte Komponenten und Dienste deinstalliert bzw. deaktiviert. Data Execution Prevention (DEP) soll zum Beispiel vor Speicherschutzverletzungen schützen. Durch automatische Updates halte ich das System stets auf dem neuesten Stand. Auf der Hostebene setze ich die Windows Internetverbindungsfirewall ein, um unerwünschten Datenverkehr zu blockieren. Zusätzlich überwacht ein hostbasiertes Intrusion Detection-System die Kommunikation. Eine aktualisierte Antiviren-Software soll vor bekannten Schädlingen schützen. Und durch die Festplattenverschlüsselung werden hochsensible Daten kryptographisch geschützt. Das Netzwerk wird durch ein zweistufiges Firewall-System mittels Paketfilter und Application Gateway geschützt. Offensichtliche und lang anhaltende Angriffsversuche werden mir per Email/SMS mitgeteilt, wodurch ich flexibel reagieren kann.

Im Bereich der Informatik gibt es eine ganze Reihe grosser Persönlichkeiten, die Herausragendes geleistet haben. Mir imponieren besonders Leute, die auf theoretischer Ebene solide Vorarbeit geleistet haben, wie zum Beispiel Jon Postel und Donald E. Knuth. Aber auch grosse Autoren wie W. Richard Stevens oder Bruce Schneier.

Neben Twitter gibt es eine Vielzahl von Blogs und News-Portalen, die ich regelmässig besuche. Durch den Google Reader pflege ich die interessantesten Beiträge zusammenzufassen und bereitzustellen.

Ich orientiere mich vorzugsweise am Vorgehen, welches ich in meinem Buch "Die Kunst des Penetration Testing" dokumentiert habe.

Für das Durchführen von Portscans setze ich fast ausschliesslich nmap von Fyodor ein, das durch ein sehr hohes Mass an Performance und Skalierbarkeit überzeugen kann.

Vulnerability Scans führe ich in der Regel unter Zuhilfenahme eines eigenen Frameworks, das aufgrund seines kommerziellen Einsatzes nicht offengelegt werden kann, durch. Querprüfungen werden in der Regel durch Nessus angestrebt, jedoch aufgrund des closed-source Charakters seit der Version 3.0 immer mehr ausgelassen.

Für eine Verifikation oder einen simplen Proof-of-Concept verwende ich nach Möglichkeiten öffentlich zugängliche Exploits. Das MetaSploit Framework von H.D. Moore ist dabei natürlich eine ausgezeichnete Stütze. Sind keine öffentlichen Exploits Vorhanden, entwickle ich in der Regel eigene Implementierungen. Sofern es die vertragliche Bindung zulässt, werden diese Erzeugnisse nach Projektabschluss veröffentlicht.

Ja, ich spiele eine Reihe von Musikinstrumenten. Als Jugendlicher hatte ich Unterricht im Orgel- und Keyboard-Spiel. Mit 16 Jahren habe ich mir eine Bassgitarre gekauft und spiele seitdem in einer Rockband. Nebenher spiele ich noch ein bisschen Gitarre, Schlagzeug, Violine und Klavier. Leider habe ich mich noch nie an Blasinstrumente herangewagt. Dort würde mich am ehesten das Saxophon interessieren.

Mit 16 Jahren habe ich mir eine Bassgitarre gekauft und zusammen mit zwei Schulkameraden eine Rockband gegründet. Seitdem haben wir über 150 Konzerte gespielt. Nebenher spielte ich noch kurze Zeit Bass und Gitarre in drei weiteren Bands.

Ja, auf der offiziellen Webseite meiner Band Field sowie auf meiner privaten Webseite finden sich einige Tracks.

Bass spiele ich einen schwarzen 5-saiter Ernie Ball Musicman sowie einen 4-saiter Warwick Corvette auf einem SWR Super RedHead Combo.

Als meine All-Time-Favorites würde ich klassische Bands wie Jimi Hendrix, Queen und The Beatles bezeichnen. Von moderneren Musikern mag ich eine ganze Bandbreite von Nirvana und Soundgarden über Metallica und Machine Head bis hin zu Rage against the Machine und den Beastie Boys. Ich bin immerwieder auf der Suche nach neuen Bands, die mir gefallen.