Morgen beginnt mit den ersten Tutorials das Frühjahrsfachgespräch in Frankfurt. Letzter Appetithappen, bevor wir direkt vom FFG berichten: Ein Gespräch mit Michael Messner, ebenfalls schon lange im GUUG- und FFG-Umfeld bekannt und geschätzt. Er berichtet in diesem Interview über seinen Vortrag sowie das Metasploit-Tutorial, das er am Mittwoch hält.

Michael, als Freiberuflerin arbeite ich meistens im Homeoffice, aber auch sehr viel per Notebook oder iPad von unterwegs. Gelegentlich sitze ich auch direkt bei Auftraggebern und nutze deren Netzwerk. Und damit immer alles bei mir ist, liegen ToDo-Listen und Texte bei Google Drive und in der Dropbox. Bin ich der Albtraum aller IT-Sicherheitsberater?

Dieser Trend, möglichst viele Services in die „Cloud“ zu legen, bietet Dir unglaubliche Flexibilität und dadurch auch wieder Möglichkeiten, Deinen Job besser und effektiver zu erledigen. Jeder, der solche Dienste nutzt, sollte sich aber auch ein paar Gedanken zu den Daten machen, die er dort ablegt.

Niemand würde wohl seine Zugangsdaten zu seinem Bank-Account dort unverschlüsselt hinterlegen. Es ist beispielsweise wichtig, mit sensiblen Kontaktinformationen vorsichtig umzugehen und diese entweder nicht oder nur verschlüsselt und mit entsprechendem Zugriffsschutz zu hinterlegen.

Damit wird bereits eine Art Datenklassifizierung durchgeführt. Bei einer solchen Bewertung wird entschieden welches Sicherheits- bzw. Schutzniveau diese Daten umfassen müssen. Kritische Daten werden im weiteren Verlauf nur verschlüsselt mitgeführt, abgelegt und übertragen. Unternehmen führen solche Datenklassifizierungen ebenso durch, nur in erheblich größerem Umfang. Bei solchen Projekten beschäftigt man sich auch ganz schnell mit Themen wie Data Loss Prevention. Dabei soll verhindert werden, dass sensible Daten unkontrolliert vom Unternehmen abfließen können.

Kürzlich hast Du Schlagzeilen gemacht: In mehreren Blogbeiträgen hast Du Sicherheitslücken bei mehreren Router-Modellen aufgedeckt. Wie bist Du auf diese Probleme aufmerksam geworden – und wie haben die Hersteller insbesondere auf die darauf folgende Berichterstattung bei heise.de reagiert?

Eigentlich handelt es sich dabei um ein kleines Hobby von mir. Wenn ich bei mir zuhause ein neues Gerät in mein Netzwerk einbinde, führe ich meistens einen ersten kleinen Test durch und schaue, wie sich dieses Gerät im Netzwerk präsentiert und ob es kritische Schwachstellen aufweist.

Im Rahmen dieser kurzen Analysen kamen im Laufe der Zeit immer mehr gravierende Schwachstellen zum Vorschein. Einige dieser Schwachstellen eignen sich beispielsweise dazu, ohne Authentifizierung Kommandos auf Ebene des Betriebssystems des Routers auszuführen. Dabei handelt es sich um das schlimmste Szenario, was man sich ausmalen kann. Ein Angreifer kann deinen Router, der als Gateway ins Internet fungiert, erfolgreich angreifen und kontrolliert dadurch den vollständigen Datenfluss von dir ins Internet und zurück.

In meinem Vortrag werde ich ein paar Highlights der erkannten Schwachstellen vorstellen – und natürlich wird auch die Reaktion der Hersteller ein interessanter Punkt dieses Vortrages sein.

Neben Deinem Vortrag zu den „Home Network Horror Stories“ hältst Du ein bereits ausgebuchtes (!) Tutorium zu Metasploit. Was können die Teilnehmer dort lernen?

Es freut mich, dass dieses Tutorium so schnell ausgebucht war. Das Interesse der Teilnehmer zeigt, dass offensive Sicherheitsmethoden eine immer größere Akzeptanz im IT-Sicherheitsprozess genießen. Gerade das Metasploit Framework bietet umfangreiche Möglichkeiten, um potentielle Schwachstellen zu testen und dementsprechend das Gefährdungspotential für ein Unternehmen besser darzustellen.

Im Rahmen dieses Tutoriums werden wir einen Schnelleinstieg in das Framework wagen. Dabei beginnen wir mit einem kurzen Überblick zu Penetration-Testing und Metasploit und werden dann in einer Fülle von Live Demos dessen praktische Anwendung demonstrieren. Am Nachmittag werden erweiterte Angriffsszenarien betrachtet, die mit etwas kreativer Herangehensweise ganz neue Möglichkeiten des Frameworks bieten.

Wir haben auch einen ganz tollen Überraschungsgast der uns weitere spannende Anwendungsmöglichkeiten des Frameworks in Kombination mit weiteren Tools zeigt. Ich bin schon sehr gespannt …

Mike, danke für den kurzen Einblick – wir sehen uns dann ab Mittwoch in Frankfurt!

 Interview: Corina Pahrmann

Nächste Woche startet das Frühjahrsfachgespräch 2013. Wir verkürzen Euch (und uns) nun die Wartezeit und stellen einige der Referenten & Themen, die Euch in Frankfurt erwarten, im GUUG-Blog vor. Nach Erkan Yanar, Udo Seidel und Martina Diel geht es heute mit Stefan Neufeind weiter, den viele von Euch von vergangenen FFGs kennen werden. Ich habe mit ihm über seinen diesjährigen Vortrag gesprochen.

Stefan, Hochverfügbarkeit – also absolut zuverlässiges Arbeiten von Webservern besonders in Spitzenzeiten – ist ein Top-Thema auf dem FFG. Du stellst dazu in Deinem Vortrag das Caching-Tool Varnish vor. Wie arbeitet Varnish und wie bewährt es sich – Deiner Erfahrung nach – in der Praxis?

Als klassischen Proxy mit eingebauter Caching-Funktionalität werden viele sicherlich als erstes an Squid denken, welcher grundsätzlich auch als Reverse-Proxy, also vor einem Webserver betrieben werden kann. Auf Grund seiner Historie und Funktionsvielfalt hat sich in unserer Praxis jedoch gezeigt, dass ein auf diesen Einsatzzweck spezialisiertes Werkzeug klare Vorteile bringt.

Varnish ist vom Konzept her auf die Aufgaben als Proxy vor einem Webserver ausgerichtet und optimiert. Es meistert seine Aufgaben auch unter Last zuverlässig und performant. Zu den Grundfunktionen von Varnish gehören die Verwaltung von Verbindungen, speziell auch z. B. bei Verwendung von HTTP-Keepalives, das Beantworten von Anfragen aus dem Cache und bei Bedarf ein intelligentes Durchreichen von Anfragen an Backends, die eigentlichen Webserver. Die Konfiguration, z. B. welche Inhalte wie lange gecached werden dürfen oder anhand welcher Eigenschaften Anfragen gecached werden sollen, lässt sich flexibel anpassen. Beispielsweise ist es möglich nur gewünschte Headerzeilen oder Cookies durchzulassen, so dass Anfragen möglichst „ähnlich“ sind und effektiv gecached werden können. Auch können Anfragen anhand bestimmter Merkmale an spezielle Backend-Server weitergeleitet werden – etwa Anfragen für statische Inhalte an hierfür optimierte Webserver-Prozesse.

Durch den gezielten Einsatz von z. B. Varnish lassen sich eine Vielzahl von Requests bereits vor den Webservern performant beantworten. In Kundenprojekten ließen sich hier teilweise Cache-Hits von 95% und mehr realisieren. Die verbleibenden Anfragen können intelligent an die Backends weitergereicht werden. Im Ergebnis werden Anfragen wesentlich schneller beantwortet und die Backend-Server können sich auf die eigentliche Business-Logik konzentrieren.

Die Performance des Webservers steigt also – aber bekommen meine Blogleser und Website-Besucher auch immer die aktuellsten Beiträge angezeigt?

Dies lässt sich über verschiedene Wege erreichen – abhängig davon, wie viel Einfluss man auf die zu cachende Applikation hat bzw. wie stark man per Konfiguration auf deren spezifische Bedürfnisse optimieren möchte/kann.

Der einfachste, aber zugleich auch nicht allzu optimale Ansatz wäre es je nach Inhalten für bestimmte Elemente kurze Cache-Haltezeiten von beispielsweise wenigen Minuten zu definieren. Auch könnte man bei den Backend-Systemen eine Last-Modified-Abfrage auslösen und Cache-Inhalte ausliefern sofern diese noch gültig sind.

Schon eine Stufe besser wäre es, bei bestimmten Anfragen – wie etwa dem Abschicken eines Blog-Kommentars – einzelne Cache-Inhalte für ungültig zu erklären.

Sofern man Einfluss auf die Applikation hat, kann diese dem Cache sogar aktiv signalisieren, welche Inhalte des Cache aktualisiert wurden. Hier kann die Applikation zusammen mit den Inhalten auch „Tags“ ausliefern und anhand dieser dann eine ganze Reihe von Inhalten über eine einfache Abfrage aus dem Cache entfernen.

Du bist ein seit Jahren anerkannter TYPO3-Experte – ich nehme also an, Varnish harmoniert besonders mit TYPO3?

Beim Einsatz zusammen mit einem CMS-System ist es häufig gewünscht, dass durch einen Redakteur mit wenigen Mausklicks geänderte Inhalte möglichst zeitnah auf der Website erscheinen. Für TYPO3 existiert ein Modul, welches die aktive Benachrichtigung an Varnish bei geänderten Inhalten übernimmt. Dies ermöglicht die Verwendung langer Cache-Haltezeiten und die selektive Löschung bei Änderungen. Je nach verwendeten Inhalten/Modulen ist eine entsprechende Konfiguration TYPO3-seitig notwendig um ein entsprechendes Cache-Verhalten möglichst optimal auszunutzen – eine geeignete Knobelaufgabe für TYPO3-Experten 🙂

Kommen wir mal auf das FFG zu sprechen: Du hast die GUUG-Konferenz schon in den vergangenen Jahren besucht bzw. Vorträge gehalten. Was schätzt Du am FFG bzw. der GUUG?

Im Rahmen der GUUG und speziell auch des FFG kommen eine Vielzahl von Experten der unterschiedlichsten Disziplinen zusammen. Viele teilen eine Begeisterung für Details, verfügen über praktische Erfahrung auf ihrem Gebiet und haben Spaß, daran jenes Wissen weiterzugeben sowie sich mit anderen auszutauschen. Hierbei stehen auf technischer Seite oft offene und flexible Systeme im Vordergrund. Der Austausch mit Besuchern des FFG und Kollegen ist für mich wichtig, bringt neue Sichtweisen und Ideen hervor – oder man knüpft Kontakte zu verwandten Ansätzen und Projekten.

Stefan, vielen Dank für das Gespräch – wir sehen uns zu Deinem Vortrag am Freitag, d. 1. März um 16 Uhr. (Mehr Infos –>)

Interview: Corina Pahrmann

Kurz vor Beginn des FFG2013 haben wir noch ein Interview für Euch: Martin Kaiser, der das Wireshark-Tutorial hält, berichtet an dieser Stelle kurz darüber, was Ihr am Dienstag von ihm lernen könnt 🙂

Martin, Du bist auf dem diesjährigen FFG gleich von Anfang an dabei: Am Dienstag hältst Du ein achtstündiges Tutorium zu Wireshark. Kannst Du uns mehr über Deinen beruflichen Hintergrund erzählen?

Ich bin Software-Ingenieur im Bereich Digitales Fernsehen, d.h. ich schreibe die System-Software, die in Plasma- und LCD-Fernsehern läuft. Mein Hauptthema dabei sind Pay-TV Systeme und deren Verschlüsselungsprotokolle. Für die Analyse dieser Protokolle setze ich Wireshark ein. Es eignet sich sehr gut dafür, obwohl es nie für diesen Anwendungszweck vorgesehen war.

Wireshark – das klingt nicht nur mächtig, das ist auch mächtig: Das Sniffertool unterstützt seit einigen Jahren sehr zuverlässig bei der Netzwerkanalyse. Worum wird es Deinem Tutorium gehen, an wen wendest Du Dich?

Das Tutorium richtet sich sowohl an Einsteiger als auch an diejenigen, die bereits mit Wireshark arbeiten. Ich möchte auf weniger häufig genutzte Features hinweisen und die Teilnehmer zu der Frage anregen, für welche Anwendungen in ihrer täglichen Arbeit sich Wireshark einsetzen lässt.

Du nutzt das Tool ja nicht nur, sondern entwickelst es auch mit. Bringst Du uns Neuigkeiten aus der Developer Community mit?

Selbstverständlich berichte ich kurz über den aktuellen Stand der Entwicklung und über die Pläne für die Zukunft. Wichtiger ist mir aber, zu zeigen, wie jeder Einzelne ein Teil der Developer Community werden und eigene Ideen einbringen kann. Genau davon lebt ein Projekt wie Wireshark.

In Deutschland ist das unberechtigte Mitschneiden von Datenverkehr verboten. Worauf muss man diesbezüglich beim Einsatz von Wireshark achten?

Am klarsten ist die Situation, wenn man die Zustimmung derjenigen einholt, deren Daten man mitschneidet.

Martin, danke für den kurzen Einblick – wir sehen uns dann in ein paar Tagen in Frankfurt!

 Interview: Corina Pahrmann