FFG

Tag 4 – u.a. mit stark besuchtem Security-Track

Der Morgen nach dem Social Event im Hackerhaus war hürdenreich (raus aus den Federn, rüber zum Frühjahrsfachgespräch, rein in die Vorträge), aber dennoch: Viele schafften es direkt zu den ersten Talks. Matthijs Mekking, der maßgeblich an der OpenDNSSEC Verschlüsselung arbeitet und auch als IETF-Mitglied engagiert ist, erklärte die Architektur hinter den DNS-Erweiterungen. [Slides]

Nebenan stellte Daniel Kobras ein von der französischen Atomenergiebehörde federführend entwickeltes Open-Source-Projekt vor: RobinHood. Die Software hilft, den Überblick über riesige Dateisysteme im Petabyte-Bereich und mit Millionen von Einträgen zu behalten. Für solche HPC-Dateisysteme wurde es ursprünglich geschrieben, es kann aber auch mit weitaus kleineren Dateisystemen umgehen. Eine nützliche Anwendung ist zum Beispiel, regelmäßige Scans durchzuführen, Inhalte aufgrund vordefinierter Kriterien zu untersuchen und Regeln oder Schwellwerte aufzustellen, nach denen Dateien entsorgt werden oder andere Aktionen initiiert werden. Also alles das, was man sonst mit Cronjobs erledigen muss. Robinhood führt dies parallel durch. Häufig benötigte Informationen, zum Beispiel, welche Dateien den meisten Speicher fressen, stellt RobinHood fortlaufend bereit. Aufgrund der Indizierung können langwierige Suchanfragen, die je nach Dateivolumen mehrere Stunden bis mehrere Tage kosten können, blitzschnell erledigt werden. Dass Daniel Kobras gerade auf großen Dateisystemen zuhause und mit den praktischen Fragen vertraut ist, beweist er nicht nur in diesem Vortrag, sondern ja auch schon im Tutorienteil der Konferenz. [Slides]

Und dann fand sie statt: Die Editor Battle mit der spannenden Frage „vi oder Emacs?“ Trotz heroischem Einsatz zweier Kandidaten (danke, Harald und Jens!) und der Hilfe des Publikums konnte Nils Magnus‘ Frage jedoch nicht abschließend geklärt werden. Bei der Befragung, wer welches Tool nutzt, stellte sich übrigens auch keine eindeutige Vorliebe heraus. Für kleinere Dateibearbeitungen direkt auf dem Server wurde häufig vi eingesetzt, für größere oder speziellere Projekte häufig Emacs. So war die „Battle“ eher ein Fantreffen für beide Texteditoren. Und sehr unterhaltsam dazu.

Nils Magnus – der Linuxtag-Gründer, Autor, OS-Szene-Kenner – lud zur „Final Editor Battlemania“ (Foto: Dirk Wetter, CC BY-NC-SA)

Harald und Jens … (Foto: Dirk Wetter, CC BY-NC-SA)

… im Kampf um die CSV-Datei (Foto: Dirk Wetter, CC BY-NC-SA)

Im roten Würfel – dem großen Hörsaal der Hochschule München – sprach derweil Sebastian Hetze zu Shibboleth: Anhand vieler Beispiele zeigte er, bei welchen konkreten Aufgaben das Single-Sign-On-System eingesetzt werden kann [Slides]. Nach der ersten Kaffeepause ging es weiter mit Björn-C. Bösch, der von der Suche nach einem einheitlichen Austauschformat bei Intrusion Detection Systemen (IDS) berichtete [Slides, Proceeding in der aktuellen UpTimes].

Parallel erklärte Marcus Niemitz die Methoden und Gefährdungen durch Clickjacking: Dabei werden Websiten, die ein Sicherheitsproblem wie zum Beispiel Cross-Site-Scripting haben, mit unsichtbaren Inhalten überlagert und der User durch scheinbar harmlose Fragen dazu animiert, bestimmte Tastatureingaben oder Mausklicks durchzuführen. Jedoch werden damit nicht die Befehle ausgeführt, die der User am PC vor sich zu sehen glaubt, sondern verborgene Aktionen. Beispiel: Der User schaltet unwissentlich seine Notebook-Kamera ein – und lässt kriminelle Hacker so direkt in sein Wohnzimmer schauen. Oder durch vom User selbst eingeschaltete Mikros können die Gespräche im Raum abgehört werden. Marcus demonstrierte ein solches Clickjacking und benannte Ursachen (JavaScript!) und Gegenmaßnahmen. [Slides]

Gehörig aufgeschreckt ging es in einen ebenso spannenden Vortrag von Ralf Spenneberg, bei dem es erneut um die menschlichen Einfalltore in Systeme ging. In dem Fall: Mitarbeiter, die durch ihr oftmals schlichtweg unbedarftes Verhalten die Systemsicherheit eines Unternehmensnetzes auf Spiel setzen und Viren oder andere Schädlinge eindringen lassen. Dabei drehte sich alles um ein programmierbares USB-Gerät namens Teensy, der sich als x-beliebiges Device ausgeben kann. Also nicht nur als Klassiker USB-Stick, der per Autorun Unheil bringt. Sondern auch als Tastatur  – und damit nicht als potenziell gefährlich erkannt wird. So ist es möglich, selbst zugenagelte Firmenumgebungen, die nur sehr begrenzt den Anschluss von USB-Storage-Geräten erlauben, zu umgehen und mittels „gefakter“ Tastatureingaben Programme zu starten und den Rechner unter Kontrolle zu bringen. Ralfs Vortrag zeigte einmal mehr, dass sich niemand allein auf technische Sicherheitsmaßnahmen verlassen darf. Die User, insbesondere die, die am Einzelrechner eines Unternehmensnetzwerks sitzen, müssen vielmehr auch entsprechend geschult und sensibilisiert werden. [Slides]

Gleichzeitig war Udo Seidel wieder unser Mann fürs Innovative: Nachdem er beim letzten FFG in Weimar das Dateisystem Ceph vorstellte, widmete er sich diesmal in München nun dem spannenden Open-Source-Projekt XtreemFS – ebenfalls ein verteiltes Dateisystem. [Slides]

„Ihr kennt das alle: In der Sysad-Abteilung klingelt das Telefon und jemand moniert, dass Tool XY ’nicht mehr geht‘. Bekräftigend dazu ‚letzte Woche lief es noch‘. Auf Eure Frage ‚Was habt Ihr geändert?‘ bekommt Ihr die hilfreiche Antwort ‚Nichts!‘ – also was jetzt?“ Harald König war es, der nach der Mittagspause so in seinen Vortrag einleitete. Und er stellte dann die Möglichkeiten zur Fehlersuche vor, die man mit strace hat. Er griff tief in die Werkzeugkiste, sehr schön! Dabei lieferte er soviel Knowhow aus der Praxis, das der Track wie im Flug verging und von Harald schließlich auch mit einem „Mist, Zeit ist um!“ beendet wurde. [Slides, Proceeding in der aktuellen UpTimes]

„Wenn Ihr strace beim Arbeiten zuseht, kann Euch schwindelig werden“: Harald König lieferte viel Code – aber auch sehr viel praxistaugliche Hilfe (Foto: Corina Pahrmann, CC-BY-SA)

Andreas Bunten erklärte derweil die Vorgehensweise, nachdem trotz aller Sicherheitsmaßnahmen ein Angreifer in ein System eindringen konnte. Dabei berücksichtigte er insbesondere, dass die alte Losung „Alles neu installieren, erst dann wieder live gehen“ selten genauso umgesetzt werden kann. Wenn Termin- und Projektdruck im Unternehmen lediglich ein Bereinigen des Systems erlauben, sollten wenigstens alle Hintertüren des Schädlings entdeckt werden. Die „Backdoors“, die einen erneuten Befall verursachen können, müssen gefunden und geschlossen werden – wie es geht, erklärte Bunten ganz konkret basierend auf seiner langjährigen Erfahrung als IT-Sicherheitsberater. [Slides, Proceeding in der aktuellen UpTimes]

Und dann war auch schon der letzte reguläre Vortragsslot angebrochen: Stefan Seyfried erläuterte die Kernel-Crashdump-Analyse (hier gibt es ein RadioTux-Interview mit ihm zum gleichen Thema, hier die Slides und in der aktuellen UpTimes noch das Proceeding). Und Werner Koch hielt seinen mit Spannung erwarteten Vortrag zur Mailverschlüsselung STEED. Eine der größten Herausforderungen – immer noch: Die Schlüsselverteilung, -aufbewahrung und der Umgang mit Schlüsseln für den User. Seine Idee: hier müsste sich etwas ändern, ansonsten wird Mailverschlüsselung immer sein Nischendasein führen. Rein technisch soll nach der Idee von STEED DNS als Schlüsselverteilung herhalten (TXT Records). Eine groben Implementierung hat GnuPG bereits. Was ihm fehlt – und wozu er aufrief – war die Unterstützung von Mail-Providern. Spam sieht er dabei schon als Problem aufgrund der öffentlich abgreifbaren Schlüssel, es müsste jemand daran arbeiten. Wenn diese Schritte gelöst seien, sei das Ganze in seinen Augene einen großen Schritt vorwärts gekommen. Ansonsten (O-Ton Werner Koch): „Wenn STEED nicht aufgegriffen wird, dann weiß ich auch nicht mehr, was man noch tun könnte. Denn war’s das.“ Folglich ist Werner Koch mit Mailprovidern in fachlichem Austausch und rief noch einmal dringend dazu auf, Mailverschlüsselung „endlich massentauglich“ anzubieten. [Slides, Proceeding in der aktuellen UpTimes]

Werner Koch und sein mit Spannung erwarteter Vortrag zu „STEED“ (Foto: Dirk Wetter, CC BY-NC-SA)

Nach der letzten Kaffeepause schließlich dann unser Abschlussvortrag: Physical Computing, vorgestellt von unserem Gastgeber an der Hochschule München, Prof. Plate. Darüber berichten wir in einem gesonderten Blogbeitrag.

Text: Corina Pahrmann,
Fachliche Unterstützung / Ergänzung: Dirk Wetter

FFG 2012, Tag 3: Nach der Keynote

Das Schöne am Frühjahrsfachgespräch: Vor, in und nach den Vorträgen wird man abgefüllt mit Know-how. Das Anstrengende am Frühjahrsfachgespräch: Vor, in und nach den Vorträgen wird man abgefüllt mit Know-how. 🙂

Weil es uns nicht anders geht, bekommt Ihr hier noch mal eine Zusammenfassung vieler Vorträge – beginnen wir heute mit denen von Donnerstag, d. 1. März, direkt nach der Keynote.

Vinzenz Vietzke kam bei „Open-Source-Entwicklung im Kundenauftrag“ auf ähnliche Probleme wie Johannes Loxen in der Keynote zu sprechen – wenn auch aus anderer Perspektive. Und Florian Effenberger berichtete aus der sehr aktiven LibreOffice-Community (Slides, Proceeding in der aktuellen UpTimes). Dabei wiederum auch in Bezug auf die Keynote interessant: Die garantierten Rechte, die LibreOffice-Entwicklern zugesichert werden können, weil das Projekt von einer Stiftung – der Document Foundation – getragen wird.

Matthias Müller widmete sich derweil Redundanzanforderungen und Bernd Erk anschließend in einem sehr vollem Raum dem Monitoring-Tool Icinga: Einige Besucher saßen gar auf dem Fußboden. Sorry, da haben wir uns schlichtweg verschätzt – und danke für Euren „Beamer-Hack“:

Die Birne des Beamers hatte sich lautstark verabschiedet. Der GUUG-Ersatzbeamer war in weniger als 5 Minuten aufgebaut. Be prepared …. Foto: Hella Breitkopf, CC-BY-SA

Bernd Erk überfüllte den Vortragsraum: Enterprise Monitoring mit Icinga Foto: Hella Breitkopf, CC-BY-SA

Bernd Erk erläutert die Ecinga Architektur. Foto: Hella Breitkopf, CC-BY-SA

Nach dem Mittag standen im „roten Würfel“, dem größten Hörsaal hier an der Hochschule, Soft Skills im Vordergrund:

Felix Pfefferkorn berichtete von seiner Tätigkeit als Ausbildungsleiter bei 1&1, bei der für ihn folgende Komponenten im Mittelpunkt stehen:

  • Man sollte den Spieltrieb und die Neugier anregen: dazu gehört es auch, von betrieblicher Seite Raum und Ausrüstung bereitzustellen, damit Mitarbeiter experimentieren können.
  • Mitarbeiter sollten auch die Zeit zur Weiterbildung bekommen – dazu gehört auch, VPN-Zugänge zu ermöglichen, damit bspw. „junge Väter von zuhause reinschauen können“.
  • Die Kompetenzen eines einzelnen müssen im Team und vom Vorgesetzten geschätzt werden – dazu gehört auch, ein realistisches Vorschlagswesen einzuführen.
  • Vorgesetzte sind Vorbilder: Auch Führungskräfte sollten zu Weiterbildungen fahren.

„Weiterbildung gehört zu einem vernünftigen Betriebsablauf und ist ein Gradmesser für die Zufriedenheit der Mitarbeiter!“ – Felix Pfefferkorn berichtet aus der Praxis. Foto: Corina Pahrmann, CC-BY-SA

Im Anschluss hielt Thomas Rose in seinem Vortrag „Gesunder Umgang mit Kritik“ eine Reihe hilfreicher Tipps bereit, wie man mit Kollegen gerade in Krisensituationen umgeht. Übrigens, die Hauptursache dafür, dass wir uns in stressigen Situationen schon mal idiotisch aufführen, liegt am ausgeschütteten Adrenalin. Roses wichtigster Tipp also, erst einmal tief durchzuatmen, wenn es hart auf hart kommt.

„Das Einfachste der Welt ist, so zu sein, wie man ist. Das Schwerste der Welt ist, so zu sein, wie einen alle anderen haben wollen.“ – Thomas Rose über das richtige Verhalten als Führungskraft. Foto: Dirk Wetter, CC BY-NC-SA

Im Gegentrack ging es technisch zu: Stefan Neufeind stellte die Sysad-Tools facter, puppet und augeas vor und bewies dabei, dass zentrale Systemverwaltung nicht nur zeitsparend, sondern auch weniger fehleranfällig ist (Proceeding in der aktuellen UpTimes). Andreas Schmidt schloss sich mit der Präsentation parallelisierter Administration mit Marionette Collective an – das übrigens aus derselben Softwareschmiede wie Puppet kommt (Slides, Proceeding in der aktuellen UpTimes).

Die „Sündenfälle der IT“ zeigte uns Oliver Rath nach der Kaffeepause: Protokolle wie FTP, Netzwerktechniken wie TCP/IP , Hardware wie schnell abgenutzte HDMI-Stecker oder die Ein-Knopf-Maus, Prinzipien wie ISO9000, die nicht für gute Software, sondern nur dafür sorgt „dass die Fehler nachvollziehbar sind“ … die Liste „historisch gewachsenen Unkrauts war lang und wurde im Publikum rege diskutiert. Wer ist schuld daran, dass die bei vi ständig benötigte Taste so unpraktisch auf der Tastatur liegt? Der Fakt, dass es heute keine Unix-Tastaturen mehr gibt, für die ESC als befehlseinleitende Taste einst ausgewählt wurde, oder der Fakt, dass auch einfach keine Verbesserung gefunden wird?

Die letzten vier Vorträge dann wieder geballtes technisches Wissen: Jens Link stellte die Adressierungsarten Anycast und Multicast vor, danach ging Johannes Hubertz auf IPv6 ein (Proceeding in der aktuellen UpTimes). Nebenan in gewohnt unterhaltsamer Art und Weise: Erkan Yanar, wie viele andere bereits wiederholt auf dem Frühjahrsfachgespräch, erklärte LinuX-Container und Franz Haberhauer, wie man bei modernen Netzwerken für genügend Ressourcen sorgt (Proceeding in der aktuellen UpTimes).

Nach einer kurzen Verschnaufpause dann: Hackerhaus. Deftiges Essen, helles und dunkles Bier, urige Atmosphäre – und wie immer ganz viel Austausch, so wie wir es vom FFG gewohnt sind!

Andrang am Buffet: Der Beginn eines schönen Abends im Hackerhaus. Foto: Dirk Wetter, CC BY-NC-SA

Über dies und das: Am interessantesten ist es doch immer, wenn man sich mal direkt austauscht. Foto: Corina Pahrmann, CC-BY-SA

Die Vorträge vom darauffolgenden Tag FFG werden ebenfalls in Kürze hier vorgestellt.

Warst Du auf dem Frühjahrsfachgespräch? Dann teile uns Deine Meinung mit: als Kommentar im Blog, via Google Plus, Facebook, Twitter, Identi.ca, XING oder per Mail an redaktion@guug.de.

Text: Corina Pahrmann/GUUG

FFG2012, Tag 3: Die Keynote von Johannes Loxen

Startpunkt des Vortragsprogramms eines jeden Frühjahrsfachgesprächs ist natürlich die Keynote – in diesem Jahr hervorragend bestritten von Johannes Loxen. Vielen GUUGlern persönlich bekannt, steht Johannes für klare und sicher auch streitbare Thesen, die es schaffen, die eigene, manchmal eingefahrene Meinung zu überdenken.

Meinung wozu? Open Source ist Johannes‘ Thema: Seit mehr als 20 Jahren schon in der IT-Szene unterwegs, engagiert er sich der SerNet-Mitgründer vor allem für Open-Source-Technologien im Unternehmensumfeld und zählt zu einem der langjährigen Unterstützer von Samba. Mit der SerNet entwickelt er außerdem verinice – eine Software, die Unternehmen beim Aufbau von Sicherheitsmanagement unterstützt.

Verinice wurde von Loxen und seinen Kollegen bewusst von Anfang an unter der GPL veröffentlicht: „Ich bin der Überzeugung, dass man mit Open-Source-Software besser fährt“, erklärte Loxen dem erwartungsgemäß zustimmenden FFG-Publikum. Das hinter der Entscheidung für Open Source nicht nur sachliche Argumente, sondern auch Mentalitätsunterschiede stecken, erkenne man so: „Windowsuser hören schneller auf zu denken, wenn Fehler auftauchen und rufen den Herstellersupport an. Im Open-Source-Umfeld fängt man dagegen an zu denken, wenn etwas nicht läuft. ITler, die Open-Source-Technologien einsetzen, gehen einfach erwachsener mit Problemen um.“

Knapp 120 Besucher kamen allein zur Keynote – insgesamt nahmen 170 IT-Profis an der Konferenz teil. Foto: Corina Pahrmann, CC-by-SA

Open-Source-Entwickler sollten aber darauf achten, nicht bloß als Steigbügelhalter missbraucht zu werden – und damit kam Loxen auf den Kern seines Vortrages: Wo steht Open Source heute? Im Hinblick auf Cloud Computing und Mobile Devices – den zwei am stärksten wachsenden Segmenten der Branche – kann man beobachten, dass Open-Source-Technologien zwar die Grundlage vieler erfolgreicher Produkte bilden, aber in ihrem Zusammenspiel wiederum nicht quelloffen sind: „Wir stellen tolle Software her, die dann aber in geschlossenen Systemen läuft. Und mehr noch: Für den Anwender ist es schlichtweg nicht relevant, ob und welche App auf seinem iPhone oder Android-Phone unter der GPL veröffentlicht ist.“ Und wenn Apple dann auch noch vorgibt, wie die Open-Source-basierte App im iTunes Store verkauft werden soll, „kann ichs auch gleich lassen“, stellte Johannes fest.

Nach der „Gefängniszelle Smartphone“ kam er dann auf Clouds zu sprechen: „Immer mehr Software, die wir mal geschrieben haben, verschwindet hinter der Firewall. Die Community erhält wenig zurück.“ Gleichzeitig verliere man gute Köpfe, z.B. an Google: „Unsere besten Projekte werden verlangsamt, unsere besten Leute abgezogen.“

Ein Grund, davor zu warnen, eigene Ideale zu verlieren und bloßer Auftragsarbeiter zu werden: „Entwickler gehen natürlich gern dahin, wo es am wärmsten ist. Aber irgendwann ist man nicht mehr Herr der eigenen Gedanken.“ Wenn freie Software zudem komplett unsichtbar wird, konterkariere das komplett die Grundidee von Open Source. Dass der Szene die Entwickler fehlen, könne man bei vielen ins Stocken geratenen Projekten sehen.

Schwieriger wird es zudem, wenn die Software immer komplexer wird: „Bei Samba braucht ein ambitionierter Entwickler gut zwei Jahre, bis er substanziell am Code mitarbeiten kann. Aktuell stemmen zehn Leute gut 95 Prozent der Programmierung. Das ist zwar noch Open Source – aber faktisch unveränderlich! Die Argumente, dass man Open-Source-Software an eigene Bedürfnisse selber anpassen kann, sind hier Quark!“

Nach einigen Anekdoten und Sidesteps – insbesondere auf Linus Torvalds‘ aktuelle Aussagen zu SUSE Linux – kam Johannes auf die Gretchenfrage für Open-Source-Anhänger zurück: Bleibe ich selbstbestimmter, freier Entwickler oder entscheide ich mich dafür, vollständig nach Kundenwünschen zu programmieren? „Das ist ein klassischer Zielkonflikt: Es gibt diejenigen, die sich drei Jahre zurückziehen wollen, um dann ein innovatives, perfektes Release vorzulegen. Und es gibt diejenigen, die im Hinblick auf ihre bestehenden Kunden einfach immer funktionierende Software haben möchten.“ – Beides gehe schlichtweg nicht, der „Mittelweg ist instabil“. Jeder Entwickler müsse genau prüfen, was für ihn im Vordergrund steht und dürfe sich nicht zwischen beiden Lagern zerreißen.

Vereinen sollte alle jedoch das Streben nach Interoperabilität: Die entwickelte Software muss sich problemlos in bestehende Systeme eingliedern können. In der Kommunikation mit Kunden – wie beispielsweise Ämtern, die darüber nachdenken, ihre Systeme auf Open Source umzustellen – sollte man daher auch nicht länger nur mit dem Vorteil der Quelloffenheit an sich argumentieren. „Viel entscheidender ist doch, dass offene Standards dabei helfen, einzelne Programme und Prozesse viel besser in bestehende Systeme integrieren.“

„Für unsere Kunden steht Linux doch genau nebem Windows im Regal – was macht uns besser?“ – Johannes Loxen bei seiner Keynote zur Frage der Argumentation für Open-Source-Technologien. Foto: Hella Breitkopf, CC-by-SA

Im Publikum wurde seine Keynote sehr positiv aufgenommen. Gerade der Aufruf, sich der eigenen Ideale zu versichern und die Vorteile von Open Source nicht nur gegenüber der Kunden zu vertreten, sondern diese auch davon zu überzeugen, eigene Lösungen ebenfalls unter freien Lizenzen zu veröffentlichen, entspricht der Haltung vieler auf dem Frühjahrsfachgespräch. In diesem Sinne konnte Johannes die Besucher sicherlich neu einschwören – zumal er als gerade auch im unternehmerischen Umfeld mit SerNet erfolgreich arbeitet und seine Ansichten authentisch vertreten kann.

Nach der Keynote (und einer diskussionsintensiven Kaffeepause) starteten beide Vortragstracks des FFG – Eindrücke & Inhalte in Kürze hier im Blog.

Warst Du auf dem Frühjahrsfachgespräch? Dann teile uns Deine Meinung mit: als Kommentar im Blog, via Google Plus, Facebook, Twitter, Identi.ca, XING oder per Mail an redaktion@guug.de.

Text: Corina Pahrmann/GUUG