4. Mai 2007

Datenspuren 2007 des CCC am Wochenende in Dresden

Category: Allgemein,CCC,Hacking — Christian @ 19:44

Jetzt am Wochenende ist im Kulturzentrum Scheune das vierte Symposium Datenspuren des CCC Dresden. Wer Zeit hat soll hingehen. Der Eintritt ist frei.

Sehr zu empfehlen (weil sehr amüsant) ist der Vortrag „Biometrics in Science Fiction“ von Constanze Kurz. Und vorher am besten von Frank Rieger noch den Vortrag über Wahlcomputer anhören. Das öffnet Euch die Augen.

Hier ist der komplette Fahrplan.

Month of the ActiveX Bug

Category: Hacking — Christian @ 19:12

Ja geht’s denn schon wieder los?

Die Month of the irgendwas Bugs scheinen langsam eine Institution zu werden. Alleine wenn wir schauen, was schon alles war:

Und dann gibt es natürlich noch die Spaßvögel die auf den Zug aufspringen wollen: McAfee mit dem Month of Bug Bugs (Aprilscherz) und ein paar Spaßvögel mit dem Month of MySpace Bugs.

Und jetzt im Mai gibt es also den Month of ActiveX Bugs.

Bei ActiveX bin ich mir gar nicht sicher, ob da ein einzelner Monat reicht oder ob es ein Jahr der ActiveX Bugs braucht. HD Moore hatte letztes Jahr mit einem (inzwischen veröffentlichten) Fuzzer nach eigener Auskunft über 100 Fehler in ActiveX gefunden. ActiveX selbst gehört vermutlich zu den schlechtesten und unsichersten Techniken, die überhaupt für das Internet veröffentlicht wurden (ok, flashbasierte Homepages sind auch eine Seuche).

Alleine die Idee, dass lokal auf einem Rechner installierte Programme von einer Webseite aus ausgeführt werden dürfen und mit den Rechten des Benutzers ablaufen … da reicht ein billiger Buffer Overflow oder Format String Fehler und schon ist der Rechner unter der Kontrolle einer fremden Webseite. Natürlich kann man einzelne ActiveX Controls „Safe for Scripting“ erklären, oder eben nicht. Aber selbst die angeblich sicheren ActiveX Controls verursachen schon viele Probleme. Selbst wenn man sie nachträglich mit einem Kill Bit in der Windows Registry wieder deaktivieren kann.

Die Sicherheit einer Ausführung in einer Sandbox wie bei Java fehlt ActiveX. Ein böser Designfehler, der eigentlich nur durch die Hektik erklärt werden kann, mit der Microsoft diese Technologie gegen Java platzieren musste.

Am besten in meiner Ansicht nach daher, einen Browser zu verwenden der einfach gar kein ActiveX unterstützt.

IT-Security Zertifizierungen

Category: Allgemein — Christian @ 18:47

Zertifizierungen gibt es wie Sand am Meer und der Deutsche Michel schwört auf jedes Stück Papier, das er sich an die Wand hängen kann. Besonders beliebt sind Herstellerzertifizierungen. Egal ob MCSE, Check Point CCSA/CCSE, Cisco CCNA/CCIE oder irgendeine andere Urkunde … so kann man zeigen, was man angeblich alles kann. An zweiter Stelle stehen dann die Zertifizierungen eines mehr oder weniger unabhängigen Instituts (klingt besser als Marketingklitsche, ist aber meist das gleiche). Da gibt es dann den Certified Ethical Hacker (CEH) von EC-Council, den OSSTMM Professional Security Expert (OPSE) von ISECOM und für die Leute mit mehr Geld (und meist noch weniger Wissen) so tolle Sachen wie CISSP, CISA und CISM.

Aber am besten sind die, für die es auch einen schönen Braindump gibt, den man auswendig lernen kann. Das hat den positiven Effekt, dass man das Zertifikat bekommt, ohne auch nur im geringsten was zu wissen oder verstanden zu haben.

Ich habe schon mit Kollegen gearbeitet die theoretisch alles hätten wissen müssen. Zumindest wenn man der langen Liste von Titeln auf der Visitenkarte hätte glauben wollen. Die Praxis sah leider genau umgekehrt aus. Die Kollegen bei denen auf der Visitenkarten nur der Namen und vielleicht noch „System Engineer“ stand, das waren meistens die, die am meisten drauf hatten. Und je größer das Unternehmen um so krasser die Erfahrung.

Ich vermute, das Problem hängt mit den Personalabteilungen der großen Unternehmen zusammen. Der Abteilungsleiter aus der Technik kann höchstens auf Basis der Papierunterlagen eine Vorauswahl treffen und hat da wenig andere Anhaltspunkte als die Zertifikate. Der Personalverantwortliche wiederum nimmt halt den, der im Gespräch am besten abschneidet. Und das sind öfter die Blender und seltener die Techniker. Aber gut, so haben kleinere Firmen mit einer klugen Mitarbeiterauswahl eine reelle Chance im Markt. Die großen Unternehmen kaufen für viel Geld die Blender weg und die richtig guten bekommt man manchmal für ’nen Appel und ein Ei.

Zumindest ist es bei uns im Unternehmen so. Wir sind nur ein paar Leute, aber jeder von uns kann leicht 3 oder 4 Pappnasen der großen Riesen in die Tasche stecken. Und wenn die nicht mehr weiter wissen, dann kommen sie ja doch immer wieder auf uns zu und fragen nach Unterstützung.