GUUG

Der Morgen nach dem Social Event im Hackerhaus war hürdenreich (raus aus den Federn, rüber zum Frühjahrsfachgespräch, rein in die Vorträge), aber dennoch: Viele schafften es direkt zu den ersten Talks. Matthijs Mekking, der maßgeblich an der OpenDNSSEC Verschlüsselung arbeitet und auch als IETF-Mitglied engagiert ist, erklärte die Architektur hinter den DNS-Erweiterungen. [Slides]

Nebenan stellte Daniel Kobras ein von der französischen Atomenergiebehörde federführend entwickeltes Open-Source-Projekt vor: RobinHood. Die Software hilft, den Überblick über riesige Dateisysteme im Petabyte-Bereich und mit Millionen von Einträgen zu behalten. Für solche HPC-Dateisysteme wurde es ursprünglich geschrieben, es kann aber auch mit weitaus kleineren Dateisystemen umgehen. Eine nützliche Anwendung ist zum Beispiel, regelmäßige Scans durchzuführen, Inhalte aufgrund vordefinierter Kriterien zu untersuchen und Regeln oder Schwellwerte aufzustellen, nach denen Dateien entsorgt werden oder andere Aktionen initiiert werden. Also alles das, was man sonst mit Cronjobs erledigen muss. Robinhood führt dies parallel durch. Häufig benötigte Informationen, zum Beispiel, welche Dateien den meisten Speicher fressen, stellt RobinHood fortlaufend bereit. Aufgrund der Indizierung können langwierige Suchanfragen, die je nach Dateivolumen mehrere Stunden bis mehrere Tage kosten können, blitzschnell erledigt werden. Dass Daniel Kobras gerade auf großen Dateisystemen zuhause und mit den praktischen Fragen vertraut ist, beweist er nicht nur in diesem Vortrag, sondern ja auch schon im Tutorienteil der Konferenz. [Slides]

Und dann fand sie statt: Die Editor Battle mit der spannenden Frage „vi oder Emacs?“ Trotz heroischem Einsatz zweier Kandidaten (danke, Harald und Jens!) und der Hilfe des Publikums konnte Nils Magnus‘ Frage jedoch nicht abschließend geklärt werden. Bei der Befragung, wer welches Tool nutzt, stellte sich übrigens auch keine eindeutige Vorliebe heraus. Für kleinere Dateibearbeitungen direkt auf dem Server wurde häufig vi eingesetzt, für größere oder speziellere Projekte häufig Emacs. So war die „Battle“ eher ein Fantreffen für beide Texteditoren. Und sehr unterhaltsam dazu.

Im roten Würfel – dem großen Hörsaal der Hochschule München – sprach derweil Sebastian Hetze zu Shibboleth: Anhand vieler Beispiele zeigte er, bei welchen konkreten Aufgaben das Single-Sign-On-System eingesetzt werden kann [Slides]. Nach der ersten Kaffeepause ging es weiter mit Björn-C. Bösch, der von der Suche nach einem einheitlichen Austauschformat bei Intrusion Detection Systemen (IDS) berichtete [Slides, Proceeding in der aktuellen UpTimes].

Parallel erklärte Marcus Niemitz die Methoden und Gefährdungen durch Clickjacking: Dabei werden Websiten, die ein Sicherheitsproblem wie zum Beispiel Cross-Site-Scripting haben, mit unsichtbaren Inhalten überlagert und der User durch scheinbar harmlose Fragen dazu animiert, bestimmte Tastatureingaben oder Mausklicks durchzuführen. Jedoch werden damit nicht die Befehle ausgeführt, die der User am PC vor sich zu sehen glaubt, sondern verborgene Aktionen. Beispiel: Der User schaltet unwissentlich seine Notebook-Kamera ein – und lässt kriminelle Hacker so direkt in sein Wohnzimmer schauen. Oder durch vom User selbst eingeschaltete Mikros können die Gespräche im Raum abgehört werden. Marcus demonstrierte ein solches Clickjacking und benannte Ursachen (JavaScript!) und Gegenmaßnahmen. [Slides]

Gehörig aufgeschreckt ging es in einen ebenso spannenden Vortrag von Ralf Spenneberg, bei dem es erneut um die menschlichen Einfalltore in Systeme ging. In dem Fall: Mitarbeiter, die durch ihr oftmals schlichtweg unbedarftes Verhalten die Systemsicherheit eines Unternehmensnetzes auf Spiel setzen und Viren oder andere Schädlinge eindringen lassen. Dabei drehte sich alles um ein programmierbares USB-Gerät namens Teensy, der sich als x-beliebiges Device ausgeben kann. Also nicht nur als Klassiker USB-Stick, der per Autorun Unheil bringt. Sondern auch als Tastatur  – und damit nicht als potenziell gefährlich erkannt wird. So ist es möglich, selbst zugenagelte Firmenumgebungen, die nur sehr begrenzt den Anschluss von USB-Storage-Geräten erlauben, zu umgehen und mittels „gefakter“ Tastatureingaben Programme zu starten und den Rechner unter Kontrolle zu bringen. Ralfs Vortrag zeigte einmal mehr, dass sich niemand allein auf technische Sicherheitsmaßnahmen verlassen darf. Die User, insbesondere die, die am Einzelrechner eines Unternehmensnetzwerks sitzen, müssen vielmehr auch entsprechend geschult und sensibilisiert werden. [Slides]

Gleichzeitig war Udo Seidel wieder unser Mann fürs Innovative: Nachdem er beim letzten FFG in Weimar das Dateisystem Ceph vorstellte, widmete er sich diesmal in München nun dem spannenden Open-Source-Projekt XtreemFS – ebenfalls ein verteiltes Dateisystem. [Slides]

„Ihr kennt das alle: In der Sysad-Abteilung klingelt das Telefon und jemand moniert, dass Tool XY ’nicht mehr geht‘. Bekräftigend dazu ‚letzte Woche lief es noch‘. Auf Eure Frage ‚Was habt Ihr geändert?‘ bekommt Ihr die hilfreiche Antwort ‚Nichts!‘ – also was jetzt?“ Harald König war es, der nach der Mittagspause so in seinen Vortrag einleitete. Und er stellte dann die Möglichkeiten zur Fehlersuche vor, die man mit strace hat. Er griff tief in die Werkzeugkiste, sehr schön! Dabei lieferte er soviel Knowhow aus der Praxis, das der Track wie im Flug verging und von Harald schließlich auch mit einem „Mist, Zeit ist um!“ beendet wurde. [Slides, Proceeding in der aktuellen UpTimes]

Andreas Bunten erklärte derweil die Vorgehensweise, nachdem trotz aller Sicherheitsmaßnahmen ein Angreifer in ein System eindringen konnte. Dabei berücksichtigte er insbesondere, dass die alte Losung „Alles neu installieren, erst dann wieder live gehen“ selten genauso umgesetzt werden kann. Wenn Termin- und Projektdruck im Unternehmen lediglich ein Bereinigen des Systems erlauben, sollten wenigstens alle Hintertüren des Schädlings entdeckt werden. Die „Backdoors“, die einen erneuten Befall verursachen können, müssen gefunden und geschlossen werden – wie es geht, erklärte Bunten ganz konkret basierend auf seiner langjährigen Erfahrung als IT-Sicherheitsberater. [Slides, Proceeding in der aktuellen UpTimes]

Und dann war auch schon der letzte reguläre Vortragsslot angebrochen: Stefan Seyfried erläuterte die Kernel-Crashdump-Analyse (hier gibt es ein RadioTux-Interview mit ihm zum gleichen Thema, hier die Slides und in der aktuellen UpTimes noch das Proceeding). Und Werner Koch hielt seinen mit Spannung erwarteten Vortrag zur Mailverschlüsselung STEED. Eine der größten Herausforderungen – immer noch: Die Schlüsselverteilung, -aufbewahrung und der Umgang mit Schlüsseln für den User. Seine Idee: hier müsste sich etwas ändern, ansonsten wird Mailverschlüsselung immer sein Nischendasein führen. Rein technisch soll nach der Idee von STEED DNS als Schlüsselverteilung herhalten (TXT Records). Eine groben Implementierung hat GnuPG bereits. Was ihm fehlt – und wozu er aufrief – war die Unterstützung von Mail-Providern. Spam sieht er dabei schon als Problem aufgrund der öffentlich abgreifbaren Schlüssel, es müsste jemand daran arbeiten. Wenn diese Schritte gelöst seien, sei das Ganze in seinen Augene einen großen Schritt vorwärts gekommen. Ansonsten (O-Ton Werner Koch): „Wenn STEED nicht aufgegriffen wird, dann weiß ich auch nicht mehr, was man noch tun könnte. Denn war’s das.“ Folglich ist Werner Koch mit Mailprovidern in fachlichem Austausch und rief noch einmal dringend dazu auf, Mailverschlüsselung „endlich massentauglich“ anzubieten. [Slides, Proceeding in der aktuellen UpTimes]

Nach der letzten Kaffeepause schließlich dann unser Abschlussvortrag: Physical Computing, vorgestellt von unserem Gastgeber an der Hochschule München, Prof. Plate. Darüber berichten wir in einem gesonderten Blogbeitrag.

Text: Corina Pahrmann,
Fachliche Unterstützung / Ergänzung: Dirk Wetter

Das Schöne am Frühjahrsfachgespräch: Vor, in und nach den Vorträgen wird man abgefüllt mit Know-how. Das Anstrengende am Frühjahrsfachgespräch: Vor, in und nach den Vorträgen wird man abgefüllt mit Know-how. 

Weil es uns nicht anders geht, bekommt Ihr hier noch mal eine Zusammenfassung vieler Vorträge – beginnen wir heute mit denen von Donnerstag, d. 1. März, direkt nach der Keynote.

Vinzenz Vietzke kam bei „Open-Source-Entwicklung im Kundenauftrag“ auf ähnliche Probleme wie Johannes Loxen in der Keynote zu sprechen – wenn auch aus anderer Perspektive. Und Florian Effenberger berichtete aus der sehr aktiven LibreOffice-Community (Slides, Proceeding in der aktuellen UpTimes). Dabei wiederum auch in Bezug auf die Keynote interessant: Die garantierten Rechte, die LibreOffice-Entwicklern zugesichert werden können, weil das Projekt von einer Stiftung – der Document Foundation – getragen wird.

Matthias Müller widmete sich derweil Redundanzanforderungen und Bernd Erk anschließend in einem sehr vollem Raum dem Monitoring-Tool Icinga: Einige Besucher saßen gar auf dem Fußboden. Sorry, da haben wir uns schlichtweg verschätzt – und danke für Euren „Beamer-Hack“:

Nach dem Mittag standen im „roten Würfel“, dem größten Hörsaal hier an der Hochschule, Soft Skills im Vordergrund:

Felix Pfefferkorn berichtete von seiner Tätigkeit als Ausbildungsleiter bei 1&1, bei der für ihn folgende Komponenten im Mittelpunkt stehen:

• Man sollte den Spieltrieb und die Neugier anregen: dazu gehört es auch, von betrieblicher Seite Raum und Ausrüstung bereitzustellen, damit Mitarbeiter experimentieren können.
• Mitarbeiter sollten auch die Zeit zur Weiterbildung bekommen – dazu gehört auch, VPN-Zugänge zu ermöglichen, damit bspw. „junge Väter von zuhause reinschauen können“.
• Die Kompetenzen eines einzelnen müssen im Team und vom Vorgesetzten geschätzt werden – dazu gehört auch, ein realistisches Vorschlagswesen einzuführen.
• Vorgesetzte sind Vorbilder: Auch Führungskräfte sollten zu Weiterbildungen fahren.

Im Anschluss hielt Thomas Rose in seinem Vortrag „Gesunder Umgang mit Kritik“ eine Reihe hilfreicher Tipps bereit, wie man mit Kollegen gerade in Krisensituationen umgeht. Übrigens, die Hauptursache dafür, dass wir uns in stressigen Situationen schon mal idiotisch aufführen, liegt am ausgeschütteten Adrenalin. Roses wichtigster Tipp also, erst einmal tief durchzuatmen, wenn es hart auf hart kommt.

Im Gegentrack ging es technisch zu: Stefan Neufeind stellte die Sysad-Tools facter, puppet und augeas vor und bewies dabei, dass zentrale Systemverwaltung nicht nur zeitsparend, sondern auch weniger fehleranfällig ist (Proceeding in der aktuellen UpTimes). Andreas Schmidt schloss sich mit der Präsentation parallelisierter Administration mit Marionette Collective an – das übrigens aus derselben Softwareschmiede wie Puppet kommt (Slides, Proceeding in der aktuellen UpTimes).

Die „Sündenfälle der IT“ zeigte uns Oliver Rath nach der Kaffeepause: Protokolle wie FTP, Netzwerktechniken wie TCP/IP , Hardware wie schnell abgenutzte HDMI-Stecker oder die Ein-Knopf-Maus, Prinzipien wie ISO9000, die nicht für gute Software, sondern nur dafür sorgt „dass die Fehler nachvollziehbar sind“ … die Liste „historisch gewachsenen Unkrauts war lang und wurde im Publikum rege diskutiert. Wer ist schuld daran, dass die bei vi ständig benötigte Taste so unpraktisch auf der Tastatur liegt? Der Fakt, dass es heute keine Unix-Tastaturen mehr gibt, für die ESC als befehlseinleitende Taste einst ausgewählt wurde, oder der Fakt, dass auch einfach keine Verbesserung gefunden wird?

Die letzten vier Vorträge dann wieder geballtes technisches Wissen: Jens Link stellte die Adressierungsarten Anycast und Multicast vor, danach ging Johannes Hubertz auf IPv6 ein (Proceeding in der aktuellen UpTimes). Nebenan in gewohnt unterhaltsamer Art und Weise: Erkan Yanar, wie viele andere bereits wiederholt auf dem Frühjahrsfachgespräch, erklärte LinuX-Container und Franz Haberhauer, wie man bei modernen Netzwerken für genügend Ressourcen sorgt (Proceeding in der aktuellen UpTimes).

Nach einer kurzen Verschnaufpause dann: Hackerhaus. Deftiges Essen, helles und dunkles Bier, urige Atmosphäre – und wie immer ganz viel Austausch, so wie wir es vom FFG gewohnt sind!

Die Vorträge vom darauffolgenden Tag FFG werden ebenfalls in Kürze hier vorgestellt.

Warst Du auf dem Frühjahrsfachgespräch? Dann teile uns Deine Meinung mit: als Kommentar im Blog, via Google Plus, Facebook, Twitter, Identi.ca, XING oder per Mail an redaktion@guug.de.

Text: Corina Pahrmann/GUUG