Information Security Blog

18 07, 2018

binsec academy GmbH: Pentest Training

von |18. Juli 2018|Pentest|0 Kommentare|

Mein Team und ich haben lange daran gearbeitet, aber seit März 2018 ist das „Pentest Training“ sowie das „Pentest Exam“ der binsec academy GmbH öffentlich verfügbar.

https://binsec-academy.com/de/courses/p/ (Privatkunden)

https://binsec-academy.com/de/courses/c/ (Firmenkunden)

Historisch ist das „Pentest Training“ dabei durch die von Dominik Sauer an der Hochschule Darmstadt gehaltene Vorlesung zu „Penetration Testing“ entstanden. Das Training fokussiert sich auf Penetration Testing und nicht nur auf reines Hacking, wie z.B. der bekannte OSCP-Kurs von „Offensive Security“. Wir haben auch ein System implementiert, bei dem man sich Tipps zu Maschinen oder Problemen besorgen kann. Garniert wird das ganze Konzept durch eine realistischere Laborumgebung: Das fiktive Firmennetzwerk der „Dubius Payment Ltd.“ inklusive Story. Wer möchte und es sich fachlich zutraut, kann im zusätzlichen „Pentest Exam“ die Zertifizierung zum BACPP (Binsec Academy Certified Pentest Professional) in Angriff nehmen.

Privatkunden, die sich über den folgenden Link registrieren, erhalten automatisch einen 25%-Rabattgutschein im System hinterlegt:
https://binsec-academy.com/promo/security_sauer_ninja_c2VjdXJ/

(Gültig nur für Privatkunden. Aktion und Gutschein gültig bis 31.12.2018. Solange Vorrat reicht.)

25 02, 2018

Ich halte keine Vorlesungen, ich halte Lehrveranstaltungen!

von |25. Februar 2018|Vorlesung|0 Kommentare|

Ich habe Physik, Wirtschaftsinformatik und Security Management studiert. Ich saß in wenigen sehr guten und in vielen durchschnittlichen Vorlesungen – und ab und zu in einer katastrophalen Vorlesung. Der Tiefpunkt war einmal erreicht, als in einer Vorlesung zu „Netzwerken“ der Professor sein öffentliches PDF an die Wand warf und draus vor las. Ich erinnere mich noch sehr gut daran, leider nur an überhaupt gar keine Inhalte aus dieser Vorlesung.

Warum heißt Vorlesung Vorlesung? Weil vorgelesen wird, ganz klar. In Zeiten ohne Computer, Kopierer usw. macht das natürlich auch zur Vervielfältigung von Lehrinhalten Sinn. Heute möchte ich den Sinn davon einmal in Frage stellen. In der Regel werden Vorlesungen durch Übungen oder Praktika ergänzt. Das geht natürlich in die richtige Richtung, allerdings schaffen es weiterhin nur sehr wenige Dozenten über 90 Minuten die Aufmerksamkeitsspanne der Teilnehmer aufrecht zu erhalten.

Wenn ich zurück denke an welche Inhalte von Vorlesungen ich mich erinnern kann, die ich als Student damals genieße durfte, bleiben primär diejenigen übrig, in denen ich mir etwas selbst erarbeitet habe. Der reine passive Konsum von Lerninhalten hingegen war mehr oder weniger Zeitverschwendung.

Aus diesen Gründen halte ich keine Vorlesungen, sondern Lehrveranstaltungen. Haarspalterei? Ja, mag sein. Aber ich lehre Inhalte und lese sie nicht vor. Bei meinen Lehrveranstaltungen müssen sich die Teilnehmer die Inhalte selbst erarbeiten. Ich leite sie, leiste Unterstützung und stelle den Erfolg sicher – Starthilfe und kontinuierliche Betreuung inklusive. Die eigentliche Umsetzung dieses Ansatzes unterscheidet sich je nach Themengebiet, aber das Konzept bleibt das gleiche. Wichtig ist dabei natürlich die Teilnehmer zu fordern, aber nicht zu überfordern und möglichst viel Praxis einzubinden.

Dieses Grundkonzept zieht sich durch meine Vorlesung Lehrveranstaltung „PCI DSS“ an der Technischen Hochschule Brandenburg, durch mein kurzes Intermezzo bei der IHK als Dozent im „Zertifikatslehrgang zum Informationssicherheitsbeauftragter“ und auch durch meine Lehrveranstaltung „IT-Sicherheitsmanagement & Compliance“ an der Hochschule Darmstadt. In gewisser Weise findet sich das Konzept – Inhalte unter Anleitung selbst erarbeiten kombiniert mit maximaler Praxis – auch in den Online-Trainings der binsec academy GmbH wieder.

Warum ich dieses Statement zu meinen Hochschulveranstaltungen so deutlich ausdrücke: Damit die studentischen Teilnehmer genau wissen, worauf sie sich einlassen. Raus aus der studentischen Komfortzone: Schlafen* ist nicht! Wer Inhalte nur passiv konsumieren möchte, sollte besser in eine andere Veranstaltung gehen..

*Kam früher als Student auch bei mir vor.

27 01, 2018

Werbeshit & Co

von |27. Januar 2018|Netzpolitik|0 Kommentare|

Früher war alles besser. Subjektiv besteht das Internet nur noch aus:

  • Aggressive Werbung: Ton. Videos im Hintergrund. Pop-Up-Werbung auf dem Handy, dessen „X-Button“ kaum zu treffen ist ohne auf die Werbung zu klicken.
  • Adblocker-Schranken, die eine Selbstverteidigung gegen das obige unterbinden.
  • Absolut sinnlose Datenschutz-Cookie-Erklärungen, die jeder im Schlaf wegklickt – primär ein Feature zur Einnahmensteigerung für Anwälte.
  • Fakebewertungsportale sowie gekaufte Fake-Rezensionen in seriösen Portalen und Shops.
  • Sozialen Netzwerk-Müll: Timelines bestehen nur noch aus „Schaut wie geil ich bin“-Posts, Werbung und Propaganda. Schaut euch einmal die Fähigkeiten für Firmen an bei Facebook-Werbung zu schalten, primär die gigantischen Auswahlmöglichkeiten der Zielgruppe. Für den Vertrieb genial, ansonsten eher abartig.
  • Amazon-Abzocke: Produkte per Default-Einstellung direkt im Abo zu beziehen.
  • Fake-Beiträge in Foren als zweiter Beitrag: Du suchst nach XYZ? Andere wurden hier (Link zum Shop) fündig.
  • Bashing gegen AfD. Bashing gegen Linke. Bashing hin, bashing her..

So langsam macht surfen keinen Spaß mehr. Ich verstehe ja die Notwendigkeit, Werbung zu schalten und Einnahmen zu generieren, aber die Inhalte im Netz waren – gefühlt – noch nie so hirnlos wie heute. Erst kam das Hartz 4-TV, jetzt schwappt der Scheiss ins Netz.

Irgendwann schaue ich nur noch Netflix, lese tagesschau.de und Print-Zeitung. Echt schade…

 

 

24 10, 2017

Hacker vs. Pentester: Hinterlassen Sie die gleichen Spuren? – Vortrag beim CAST-Workshop Forensik und Internetkriminalität 14.12.2017

von |24. Oktober 2017|Vorträge|0 Kommentare|

Ich wurde vor ein paar Wochen seitens der HDA bzw. dem CAST e.V angefragt, ob ich am 14.12.2017 beim CAST-Workshop „Forensik und Internetkriminalität“ einen Vortrag zu Pentesting halten möchte. Aber gerne doch! Jetzt steht der Titel fest:

Hacker vs. Pentester: Hinterlassen Sie die gleichen Spuren?

Böswillige Hacker greifen IT-Systeme an, professionelle Penetrationstester ebenso. Natürlich unterscheidet sich die Motivation hinter den Angriffen, aber hinterlassen Hacker und Pentester eigentlich die gleichen IT-forensischen Spuren? Wir gehen der Frage auf den Grund.

https://www.cast-forum.de/workshops/infos/245

20 10, 2017

Wahlpflichtfach PCI DSS an der Technischen Hochschule Brandenburg – Danke & Tschüss

von |20. Oktober 2017|THB|0 Kommentare|

Seit 2014 bin ich Dozent bzw. Lehrbeauftragter an der Technischen Hochschule Brandenburg (THB, ehemals Fachhochschule Brandenburg) für das Wahlpflichtfach PCI DSS im Master-Studiengang „Security Management“. Die Blockveranstaltung für dieses Semester ist vorbei und es stehen nur noch die Hausarbeiten an.

Ich habe die Zusammenarbeit mit den Studenten dort sehr genossen. Es hat Spaß gemacht sich in diesem einzigartigen Studiengang in der akademischen Lehre zu engagieren. Meine Vorlesung kam – den abschließenden Feedbackrunden nach – sehr gut bei den Studenten an. Insbesondere der Verzicht auf den typischen Frontalunterricht mit nur ~ 20 Slides zur Einführung in das Thema überhaupt war aus meiner Sicht erfolgreich und hat auch alle meine weiteren Vorträge, Lehraufträge oder Dozentenaufträge geprägt.

Nichtsdestotrotz habe ich mich entschlossen, der THB als Dozent nicht mehr zur Verfügung zu stehen. Die Gründ sind vielfältig:

  • Die Lehre im SecMan-Master dort erfolgt unentgeltlich bzw. ehrenamtlich. Das ist dem besonderen Konzept und der Finanzierung dieses Studiengangs geschuldet. Grundsätzlich störte mich das nicht, aber mit der Öffnung der Fächer für Master-Wirtschaftsinformatiker beteiligte ich mich plötzlich an der Lehre in anderen Studiengängen. Hochschulen zahlen Dozenten zumindest eine „Aufwandsentschädigung“. Ich bin insgesamt nicht mehr bereit, für die THB einen 0€-Job zu erledigen und noch für meine Reisekosten selbst aufzukommen. Ich bin mit dem Studiengang verbunden, nicht mit der Hochschule oder dem Land Brandenburg, welches die Hochschule finanziert.
  • Der Studiengang hat nicht soo viele Studenten, dafür gefühlt unendlich viele Wahlpflichtfächer. Während ein Student mindestens 3 WPF besuchen muss, werden laut SecMan-Website stolze 14 WPF angeboten. Klar, kostet den Studiengang nichts – und man kann sein Angebot breit aufstellen. Aber dafür sinken die Studizahlen pro WPF drastisch. Dazu finden sich in der Liste in meinen Augen – sorry, falls das jetzt jemand von der Studiengangsleitung liest – blödsinnige WPFs: Entweder passen sie nicht zu Security Management oder sollten eigentlich Kernbestandteil der Grundlagenvorlesung sein. Das war früher nicht so.
  • Meine persönlichen Bezugspersonen sind alle weg. Die ehemalige Studiengangsleitung (Prof. Dr. Sachar Paulus & Prof. Dr. Friedrich Holl) sowie der ehemalige langjährige Studiengangskoordinator sind geangen.
  • Ich möchte mein Engagement an der THB bzw. im SecMan auf die jährlichen Alumni-Treffen der ehemaligen Absolventen konzentrieren.

An alle meine ehemaligen Studis: Vielen Dank an euch, hat Spaß gemacht!

8 09, 2017

50%-Gutschein der binsec-academy.com für das „Pentest Training“

von |8. September 2017|binsec|0 Kommentare|

Es ist bald soweit. Die binsec academy startet in den nächsten 2-3 Monaten mit dem ersten Online-Schulungskurs: Dem „Pentest Training“ – hacke die Dubius Payment Ltd.:

https://binsec-academy.com/courses/p/

Wer sich jetzt an dem Portal als Interessent registriert und sich bei mir oder direkt bei der binsec GmbH meldet (E-Mail: info@binsec.com) bekommt einen 50%-Gutschein. Unverbindliche Registrierung unter:

https://binsec-academy.com/portal/register/user/

(Aktion gültig bis Ende September 2017. Auf 100 Gutscheine beschränkt.)

Ergänzung vom 5. April 2018:
Mittlerweile gibt es von der binsec academy GmbH ein „Pentest Training“ als Online-Kurs zum Selbststudium:
https://binsec-academy.com/de/courses/p/
Privatkunden, die sich über den folgenden Link registrieren, erhalten automatisch einen 25%-Rabattgutschein im System hinterlegt:
https://binsec-academy.com/promo/security_sauer_ninja_c2VjdXJ/
(Gültig nur für Privatkunden. Aktion und Gutschein gültig bis 31.12.2018. Solange Vorrat reicht.)

5 09, 2017

Entschlüsselung von Passwort-Hashes ist unmöglich, auch im Fall von sha1 und md5.

von |5. September 2017|IT-Sicherheit|0 Kommentare|

Die Entschlüsselung von Passwort-Hashes ist unmöglich. Nicht nur sha1 kann man nicht entschlüsseln, sogar die noch ältere Hashfunktion md5 ist absolut unmöglich zu entschlüsseln. Man kann gehashte Passwörter erraten und man kann abhängig von Grad der Robustheit einer Hashfunktion Kollisionen erzeugen.

Ich verstehe ja, dass man im normalen Sprachgebrauch und in der Boulevardpresse diesen Sachverhalt nicht korrekt beschreiben kann. Aber selbst bei heise.de – der Online- und Offline-Fachpresse im professionellem IT-Bereich – ist man leider nicht in der Lage das korrekt darzustellen:

„Wenn Webseitenbetreiber Passwörter von Kunden nicht sicher verwahren, ist der Super-GAU vorprogrammiert. Daran erinnern abermals Sicherheitsforscher, die in überschaubarer Zeit Millionen Passwörter entschlüsselt haben.“

Quelle: https://www.heise.de/security/meldung/Finger-weg-von-SHA-1-320-Millionen-Passwoerter-geknackt-3822005.html

Kein Wunder, dass ich bei „IT Professionals“ immer mal wieder Diskussionen mitbekomme wie:

„Wir haben das base64 verschlüsselt.“

„Die Passwörter liegen sha512 verschlüsselt in der Datenbank.“

„Welchen Algorithmus verwenden Sie zur Verschlüsselung?“ – „SSL“

Korinthenkackerei? Vielleicht. Aber man muss im professionellen Umfeld schon verstehen, was der Unterschied von einer Hash- bzw. Einwegfunktion und einem Verschlüsselungsalgorithmus ist und welche Verfahren man wann warum anwendet. Passwörter verschlüsseln ist meistens – bis vielleicht auf Ausnahmen – eine schlechte Idee. Wenn  man sie nicht verschlüsselt, kann man sie auch nicht entschlüsseln. Nur vielleicht erraten und cracken..

20 07, 2017

Best of Pentest-Akquise

von |20. Juli 2017|Pentest|0 Kommentare|

Vertrieb, Sales, Akquise.. alles ein hartes Geschäft. Manchmal hat man Glück, meistens hat man Pech. Normales Business. Aber manchmal.. fehlen einem die Worte – Reaktion am Telefon (sinngemäß wiedergegeben):

„Also von Pentests halte ich nichts. Die kosten nur Geld. Dann werden irgendwelche Sicherheitslücken gefunden. Und dann muss man noch mehr Geld ausgeben, um die Lücken zu beheben. Das ist einfach zu teuer.“

TOP!

19 07, 2017

WPF Penetration Testing als Online-Kurs an der Hochschule Darmstadt ab WS17/18

von |19. Juli 2017|HDA|3 Kommentare|

In den letzten beiden Semestern wurde das Wahlpflichtfach Penetration Testing an der Hochschule Darmstadt als reguläre Präsenzveranstaltung von uns angeboten. Nachdem Dominik Sauer im WS 2017/18 die Lehrveranstaltung „Internet-Sicherheit“ und ich „IT-Sicherheitsmanagement und Compliance“ halte, wird es keine Präsenzveranstaltung für „Penetration Testing“ geben. Stattdessen werden wir im Rahmen der Zusammenarbeit mit der binsec GmbH die gesamte Veranstaltung als Online-Kurs über binsec-academy.com anbieten, inklusive ausführlichen Unterlagen und dem bisher bekannten Pentest-Labor.

Diese Veranstaltung ist insbesondere für Studenten geeignet, die gerne Inhalte autodidaktisch ohne körperliche Anwesenheit in einer Präsenzveranstaltung lernen. Bisher ist geplant, dass diese Lehrveranstaltung abwechselnd im Wintersemester als Online-Kurs und im Sommersemester als reguläre Vorlesung angeboten wird. Die Prüfungsform wird bei beiden Veranstaltunsmodi weiterhin Hausarbeit (ein Pentest-Bericht) sowie Klausur (50% Multiple Choice, 50% Freitextfragen) sein.

9 07, 2017

Persönliches Fazit zum 2. SecMan-Alumni-Treffen des M.Sc. Security Management der THB

von |9. Juli 2017|SecMan|0 Kommentare|

Dieses Wochenende war das 2. Alumni-Treffen des Master-Studiengangs Security Management der Technischen Hochschule Brandenburg. Ohne jetzt die Teilnehmerzahlen konkret vergleichen zu können, waren – gefühlt – weniger gekommen. Das Alumni-Treffen muss nächstes Jahr etwas Schwung aufnehmen..

Nichtsdestotrotz hat es sich für mich gelohnt: Spannende Einblicke in das Themengebiet Travel Security (Sicherstellung der Sicherheit von Mitarbeitern auf Reise in unruhigen Ländern der Welt), interessante Infos zu Zertifizierungen im Rahmen der Datenschutzgrundverordnung oder auch Einblicke in die Arbeitswelt der technischen Beweissicherungsverfahren in Banken. Auch dieses mal war das Vortragsniveau deutlich höher als bei gewöhnlichen – für normales Publikum offene – Konferenzen.

Wie immer fand ich die Atmosphäre zwischen den Alumni und auch den aktuellen Studenten relativ einmalig: Offen, vertraut, persönlich. Mit einem harten Kern nach dem Grillen die Tanzfläche des parallel stattfindenden Hochschulballs entern war schon nice..

Alte Bekannte wieder getroffen, neue Kontakte geknüpft. Ich freue mich auf das 3. SecMan-Alumni-Treffen 2018!