Tag 4 – u.a. mit stark besuchtem Security-Track
Der Morgen nach dem Social Event im Hackerhaus war hürdenreich (raus aus den Federn, rüber zum Frühjahrsfachgespräch, rein in die Vorträge), aber dennoch: Viele schafften es direkt zu den ersten Talks. Matthijs Mekking, der maßgeblich an der OpenDNSSEC Verschlüsselung arbeitet und auch als IETF-Mitglied engagiert ist, erklärte die Architektur hinter den DNS-Erweiterungen. [Slides]
Nebenan stellte Daniel Kobras ein von der französischen Atomenergiebehörde federführend entwickeltes Open-Source-Projekt vor: RobinHood. Die Software hilft, den Überblick über riesige Dateisysteme im Petabyte-Bereich und mit Millionen von Einträgen zu behalten. Für solche HPC-Dateisysteme wurde es ursprünglich geschrieben, es kann aber auch mit weitaus kleineren Dateisystemen umgehen. Eine nützliche Anwendung ist zum Beispiel, regelmäßige Scans durchzuführen, Inhalte aufgrund vordefinierter Kriterien zu untersuchen und Regeln oder Schwellwerte aufzustellen, nach denen Dateien entsorgt werden oder andere Aktionen initiiert werden. Also alles das, was man sonst mit Cronjobs erledigen muss. Robinhood führt dies parallel durch. Häufig benötigte Informationen, zum Beispiel, welche Dateien den meisten Speicher fressen, stellt RobinHood fortlaufend bereit. Aufgrund der Indizierung können langwierige Suchanfragen, die je nach Dateivolumen mehrere Stunden bis mehrere Tage kosten können, blitzschnell erledigt werden. Dass Daniel Kobras gerade auf großen Dateisystemen zuhause und mit den praktischen Fragen vertraut ist, beweist er nicht nur in diesem Vortrag, sondern ja auch schon im Tutorienteil der Konferenz. [Slides]
Und dann fand sie statt: Die Editor Battle mit der spannenden Frage „vi oder Emacs?“ Trotz heroischem Einsatz zweier Kandidaten (danke, Harald und Jens!) und der Hilfe des Publikums konnte Nils Magnus‘ Frage jedoch nicht abschließend geklärt werden. Bei der Befragung, wer welches Tool nutzt, stellte sich übrigens auch keine eindeutige Vorliebe heraus. Für kleinere Dateibearbeitungen direkt auf dem Server wurde häufig vi eingesetzt, für größere oder speziellere Projekte häufig Emacs. So war die „Battle“ eher ein Fantreffen für beide Texteditoren. Und sehr unterhaltsam dazu.
Im roten Würfel – dem großen Hörsaal der Hochschule München – sprach derweil Sebastian Hetze zu Shibboleth: Anhand vieler Beispiele zeigte er, bei welchen konkreten Aufgaben das Single-Sign-On-System eingesetzt werden kann [Slides]. Nach der ersten Kaffeepause ging es weiter mit Björn-C. Bösch, der von der Suche nach einem einheitlichen Austauschformat bei Intrusion Detection Systemen (IDS) berichtete [Slides, Proceeding in der aktuellen UpTimes].
Parallel erklärte Marcus Niemitz die Methoden und Gefährdungen durch Clickjacking: Dabei werden Websiten, die ein Sicherheitsproblem wie zum Beispiel Cross-Site-Scripting haben, mit unsichtbaren Inhalten überlagert und der User durch scheinbar harmlose Fragen dazu animiert, bestimmte Tastatureingaben oder Mausklicks durchzuführen. Jedoch werden damit nicht die Befehle ausgeführt, die der User am PC vor sich zu sehen glaubt, sondern verborgene Aktionen. Beispiel: Der User schaltet unwissentlich seine Notebook-Kamera ein – und lässt kriminelle Hacker so direkt in sein Wohnzimmer schauen. Oder durch vom User selbst eingeschaltete Mikros können die Gespräche im Raum abgehört werden. Marcus demonstrierte ein solches Clickjacking und benannte Ursachen (JavaScript!) und Gegenmaßnahmen. [Slides]
Gehörig aufgeschreckt ging es in einen ebenso spannenden Vortrag von Ralf Spenneberg, bei dem es erneut um die menschlichen Einfalltore in Systeme ging. In dem Fall: Mitarbeiter, die durch ihr oftmals schlichtweg unbedarftes Verhalten die Systemsicherheit eines Unternehmensnetzes auf Spiel setzen und Viren oder andere Schädlinge eindringen lassen. Dabei drehte sich alles um ein programmierbares USB-Gerät namens Teensy, der sich als x-beliebiges Device ausgeben kann. Also nicht nur als Klassiker USB-Stick, der per Autorun Unheil bringt. Sondern auch als Tastatur – und damit nicht als potenziell gefährlich erkannt wird. So ist es möglich, selbst zugenagelte Firmenumgebungen, die nur sehr begrenzt den Anschluss von USB-Storage-Geräten erlauben, zu umgehen und mittels „gefakter“ Tastatureingaben Programme zu starten und den Rechner unter Kontrolle zu bringen. Ralfs Vortrag zeigte einmal mehr, dass sich niemand allein auf technische Sicherheitsmaßnahmen verlassen darf. Die User, insbesondere die, die am Einzelrechner eines Unternehmensnetzwerks sitzen, müssen vielmehr auch entsprechend geschult und sensibilisiert werden. [Slides]
Gleichzeitig war Udo Seidel wieder unser Mann fürs Innovative: Nachdem er beim letzten FFG in Weimar das Dateisystem Ceph vorstellte, widmete er sich diesmal in München nun dem spannenden Open-Source-Projekt XtreemFS – ebenfalls ein verteiltes Dateisystem. [Slides]
„Ihr kennt das alle: In der Sysad-Abteilung klingelt das Telefon und jemand moniert, dass Tool XY ’nicht mehr geht‘. Bekräftigend dazu ‚letzte Woche lief es noch‘. Auf Eure Frage ‚Was habt Ihr geändert?‘ bekommt Ihr die hilfreiche Antwort ‚Nichts!‘ – also was jetzt?“ Harald König war es, der nach der Mittagspause so in seinen Vortrag einleitete. Und er stellte dann die Möglichkeiten zur Fehlersuche vor, die man mit strace hat. Er griff tief in die Werkzeugkiste, sehr schön! Dabei lieferte er soviel Knowhow aus der Praxis, das der Track wie im Flug verging und von Harald schließlich auch mit einem „Mist, Zeit ist um!“ beendet wurde. [Slides, Proceeding in der aktuellen UpTimes]
Andreas Bunten erklärte derweil die Vorgehensweise, nachdem trotz aller Sicherheitsmaßnahmen ein Angreifer in ein System eindringen konnte. Dabei berücksichtigte er insbesondere, dass die alte Losung „Alles neu installieren, erst dann wieder live gehen“ selten genauso umgesetzt werden kann. Wenn Termin- und Projektdruck im Unternehmen lediglich ein Bereinigen des Systems erlauben, sollten wenigstens alle Hintertüren des Schädlings entdeckt werden. Die „Backdoors“, die einen erneuten Befall verursachen können, müssen gefunden und geschlossen werden – wie es geht, erklärte Bunten ganz konkret basierend auf seiner langjährigen Erfahrung als IT-Sicherheitsberater. [Slides, Proceeding in der aktuellen UpTimes]
Und dann war auch schon der letzte reguläre Vortragsslot angebrochen: Stefan Seyfried erläuterte die Kernel-Crashdump-Analyse (hier gibt es ein RadioTux-Interview mit ihm zum gleichen Thema, hier die Slides und in der aktuellen UpTimes noch das Proceeding). Und Werner Koch hielt seinen mit Spannung erwarteten Vortrag zur Mailverschlüsselung STEED. Eine der größten Herausforderungen – immer noch: Die Schlüsselverteilung, -aufbewahrung und der Umgang mit Schlüsseln für den User. Seine Idee: hier müsste sich etwas ändern, ansonsten wird Mailverschlüsselung immer sein Nischendasein führen. Rein technisch soll nach der Idee von STEED DNS als Schlüsselverteilung herhalten (TXT Records). Eine groben Implementierung hat GnuPG bereits. Was ihm fehlt – und wozu er aufrief – war die Unterstützung von Mail-Providern. Spam sieht er dabei schon als Problem aufgrund der öffentlich abgreifbaren Schlüssel, es müsste jemand daran arbeiten. Wenn diese Schritte gelöst seien, sei das Ganze in seinen Augene einen großen Schritt vorwärts gekommen. Ansonsten (O-Ton Werner Koch): „Wenn STEED nicht aufgegriffen wird, dann weiß ich auch nicht mehr, was man noch tun könnte. Denn war’s das.“ Folglich ist Werner Koch mit Mailprovidern in fachlichem Austausch und rief noch einmal dringend dazu auf, Mailverschlüsselung „endlich massentauglich“ anzubieten. [Slides, Proceeding in der aktuellen UpTimes]
Nach der letzten Kaffeepause schließlich dann unser Abschlussvortrag: Physical Computing, vorgestellt von unserem Gastgeber an der Hochschule München, Prof. Plate. Darüber berichten wir in einem gesonderten Blogbeitrag.
Text: Corina Pahrmann,
Fachliche Unterstützung / Ergänzung: Dirk Wetter