Wahlpflichtfach „PCI DSS“ an der FH Brandenburg im Studiengang Security Management

Leave a Comment

Ich hatte vor einigen Monaten der Studiengangsleitung vom Master-Studiengang Security Management (Fachhochschule Brandendburg) angeboten, ein Wahlpflichtfach über den Payment Card Industry Data Security Standard (PCI DSS) zu halten. Das wurde nun angenommen und so wie es aussieht, soll es im nächsten Wintersemester im Dezember als Blockveranstaltung stattfinden. Ich hoffe, dass es klappt und freue mich darauf, dem Studiengang etwas zurückgeben zu können, bei dem ich selbst meinen Master gemacht habe.

Nervige Personalagenturen: Projektangebote als PHP- oder Python-Entwickler bei IT-Sicherheitsexperten

Leave a Comment

Liebe Personalagenturen,

ich bin Information Security Consultant. Ich bin kein PHP- und/oder Python-Entwickler. Wie viele andere IT-Professionals kann ich Software programmieren bzw. entwickeln. Auch in den Programmiersprachen PHP und Python. Ich bin dennoch kein Entwickler. Trotzdem bekomme ich regelmäßig per E-Mail-Anfragen als Freelancer für PHP bzw. Python, nur weil ich diese in meinem Profil unter Programmierkenntnisse aufgelistet habe.

Anscheinend wird einfach per Suchfilter in den Profilen nach Schlagwörtern gesucht und massenhaft E-Mails versendet. Das eigentliche Profil scheint sich dann niemand mehr anzusehen. Bei den Margen einer erfolgreichen Vermittlung ist das anscheinend auch zu viel verlangt. Schreibt man dann die Versender der E-Mails an, mit der Bitte solche Projekte nicht mehr zu schicken, erhält man eine sehr professionelle Reaktion: Nämlich gar keine. Eine 1A-Leistung.

Recht lustig ist es dafür, von mehreren Vermittlern derselben Agentur kontaktiert zu werden. Doppelt hält besser? Ach, drei- oder vierfach ist noch besser. Sinn? Unsinn? Eigentlich nur noch nervig.

Nachdem ich noch Geschäftsführer eines Beratungsunternehmens bin, bekomme ich auch ungewollt Profile von Bewerben geschickt. Witzig ist diese Pseudo-Anonymität. Als ob es nicht Google, LinkedIn und Xing gäben würde. Die Informationen in einem anonymen Lebenslauf sind oft vollkommen ausreichend, um die Person zu identifizieren.

Personalagenturen = nervig? Sicher nicht alle, aber das Niveau könnte insgesamt deutlich steigen. Hauptsache Umsatz generieren und Personal wie Vieh anbieten, schreckt mich eher von einer Zusammenarbeit ab.

Mit freundlichen Grüßen,

Patrick Sauer

Master of Science in Security Management
Diplom Wirtschaftsinformatiker (FH)
Certified Information Systems Security Professional (CISSP)
Certified Information Security Manager (CISM)
Offensive Security Certified Professional (OSCP)
TeleTrusT Information Security Professional (T.I.S.P.)
ISSECO Certified Professional for Secure Software Engineering (CPSSE)
Datenschutzbeauftragter DSB-TÜV

Vortrag beim T.I.S.P Community Meeting 2014 in Berlin

Leave a Comment

Ich hatte einen Vortrag für das T.I.S.P Community Meeting 2014 in Berlin eingereicht. Er wurde akzeptiert und ist nun auch im offiziellen Programm.  Ich werde über die  Schwächen im PCI DSS (Payment Card Industry Data Security Standard) referieren. Am Montag 03.11.14 um 14:00 Uhr auf dem T.I.S.P. Community Meeting 2014. Ich hoffe auf zahlreiche Zuhörer und freue mich auf eine interessante Diskussion im Anschluss. Ich werde den Vortag später hier als PDF veröffentlichen.

Der TrueCrypt-Selbstmord

Leave a Comment

Unter truecrypt.sourceforge.net warnt das Projekt vor dem Einsatz der eigenen Software:

WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues

This page exists only to help migrate existing data encrypted by TrueCrypt.
The development of TrueCrypt was ended in 5/2014 after Microsoft terminated support of Windows XP. [..]

Die alten Softwareversionen wurden entfernt und die aktuelle Variante von TrueCrypt erlaubt nur noch das Entschlüsseln von existierenden Datenträgern. Die digitale Signatur der aktuellen Software ist echt. Entweder ist das ein grandioser Hack oder das Projekt hat aufgegeben. Im Netz kursieren die ersten Gerüchte, dass dahinter in irgendeiner Form die NSA oder andere Geheimdienste stecken sollen. Ob das stimmt, wird sich eher nicht bestätigen lassen.

Aktuell kann man nur annehmen, dass die Entwicklung von TrueCrypt eingestellt wurde. Nachdem die Software nicht unter einer freien Lizenz steht, kann das Projekt nicht geforkt werden. Somit können auch keine Security-Fixes mehr veröffentlicht werden.

TrueCrypt scheint Selbstmord begangen zu haben.

Ping Flood gegen Quizduell in der ARD

Leave a Comment

Eigentlich hat es mich nicht interessiert: Quizduell in der ARD mit Jörg Pilawa. In der Show sollte versucht werden, die Zuschauer über eine eigene App interaktiv mit raten zu lassen. In der ersten Sendung brach die IT zusammen. Danach wurden noch Berichte von einem Datenleck mit 50.000 Nutzern laut. Jetzt stoß ich zufällig im Zappen darauf.

Am Anfang der dritten Sendung wurde nun veröffentlicht, dass man einer DoS-Attacke ausgesetzt war, die über viele SSH-Agents mittels ping requests ausgelöst wurde Die Aussage hat sich Herr Pilawa von der eigenen IT geben lassen. Mich würde interessieren, woher die das mit dem SSH haben und welche Rolle das bei einem Ping Flood spielen soll. Also zumindest soll die Leitung dicht gemacht worden sein.

Dann entschuldigte sich Pilawa noch, dass auch sie einen Fehler gemacht haben. Durch die Verknüpfung von Daten wie Wohnort oder Geschlecht sollten Auswertungen vollzogen werden, ob sich statistische Merkmale in der Beantwortung von richtigen oder falschen Fragen ableiten lassen. Das habe die Server überlastet.

Also wir lassen uns lahmlegen durch einen relativ unspektakulären Ping Flood und sorgen durch falsch dimensionierte Hardware noch dafür, dass auch ohne den DoS nichts funktionieren würde. Weil das aber noch nicht genug ist, bauen wir noch ein Datenleck ein, sodass Unbefugte Zugriff auf personenbezogene Daten erhalten können.

Die gesamte Leistung wurde von unseren Rundfunkbeiträgen bezahlt. Anscheinend ist der Rundfunkbeitrag noch nicht hoch genug, sodass man sich keinen vernünftigen Dienstleister hat leisten können.

HOB/Brandstätter wettert nun auch im Wall Street Journal gegen OpenSSL/OpenSource

Leave a Comment

Nach der FAZ, der ZEIT, dem Handelsblatt und online wettert Brandstätter auch im Wall Street Journal gegen OpenSSL und Open Source. Während weltweit führende IT-Unternehmen wie Cisco, Dell, Fujitsu, Google, HP, IBM, Intel, Microsoft usw. aufgrund von Heartbleed in OpenSSL investieren, wird von dem Unternehmen HOB GmbH & Co. KG bzw. dem CEO Klaus Brandstätter intensiv in einer groß angelegten Anzeigenkampagne gegen OpenSSL und OpenSource gewettert.

<sarkasmus> Wahrscheinlich arbeiten bei den großen IT-Unternehmen auch nur ’nicht übermäßig intelligente 17-jährige‘ ohne jedes Management. </sarkasmus>

FAZ: Preissignal im Internet / Gegen die Gleichmacherei im Internet

Leave a Comment

Manchmal frage ich mich, warum ich die FAZ abonniere. Heute im Wirtschaftsteil in einer Kolumne von Patrick Welter wird die Aufhebung der Netzneutralität in Europa gefordert. Der Beitrag ist mit abgewandeltem Titel auch online einsehbar.

Ich muss mich wirklich fragen, warum ich um Statements wie diese zu lesen tatsächlich Geld bezahle:

„wird gerade die Differenzierung des Internetverkehrs das Netz lebendig und innovativ erhalten“

„erfordert [..] den Abschied vom romantischen Traum des Internets als Tummelplatz für ein wenig spinnerte Innovatoren.“

Ich bin halber BWLer und sehe durchaus die Notwendigkeit für Unternehmen, nicht nur finanzielle Investitionen in den Netzausbau zu treffen, sondern mit ihren Dienstleistungen auch Profit erwirtschaften zu dürfen. Dagegen spricht nichts. Allerdings sollte nicht vergessen werden, dass das Netz kein wirtschaftlicher Selbstzweck ist. Insbesondere besteht die historische und gesellschaftliche Bedeutung des Netzes nicht in der technischen Realisierung einer weltweiten Sendestation für neue TV-Kanäle.

Internet-Sicherheit und OpenSSLs Heartbleed (Keine Werbeanzeige)

Leave a Comment

Keine Werbeanzeige und vom Original in der FAZ, Handelsblatt und ZEIT deutlich abweichend:

Mein Name ist Klaus… Mein Name ist Patrick Sauer. Ich bin Master of Science in Security Management, Diplom-Wirtschaftsinformatiker (FH), zertifizierter Sicherheitsspezialist (z.B. CISSP & OSCP) und werde dieses Jahr 30. Ich habe vor über 10 Jahren während meiner Gymnasialzeit privat als Hobby C gelernt. Ich bin auch Geschäftsführer eines kleinen Beratungsunternehmens.

Ich habe mir den problematischen Source Code von Heartbleed ange­sehen. Ein Angreifer kann zufälligen Speicher auslesen, z.B. Passwörter oder private kryptographische Schlüssel zu Zertifikaten. Eine Denial-of-Service Attacke über Heartbleed halte ich für eher unwahrscheinlich und eine eventuelle DoS-Attacke ist nicht das eigentliche Problem, sondern der weitgehend unerkannte Abzug der kryptographischen Schlüssel. Dadurch ist es einem Angreifer möglich den verschlüsselten Datenverkehr zu entschlüsseln, sofern keine Perfect Forward Secrecy eingesetzt wurde.

Es gibt den Grundsatz: Alles was der Benutzer eingibt, muss sorgfältig geprüft werden. Das sollten eigentlich alle Entwickler wissen. Das trifft natürlich auch für Entwickler von Webseiten zu, nur haben Entwickler von Webseiten und Entwickler von OpenSSL nichts miteinander zu tun. Eingabevalidierung ist natürlich auch vom öffentlichen Netzwerk wichtig. Dem Entwickler von OpenSSL, der Heartbleed geschaffen hat, ist das sicherlich bewusst gewesen. Er hat einen Fehler gemacht. Fehler sind menschlich. Der Entwickler hat mittlerweile an einer deutschen Hochschule promoviert und man kann ihn sicherlich als übermäßig intelligent bezeichnen. Leider begehen auch übermäßig intelligente Menschen Fehler. Das ist die eine Seite.

Wie kommt es, dass ein so hoch qualifizierter Entwickler an hochsensibler Sicherheits-Software arbeiten darf? Das ist ganz einfach zu beantworten. Es handelt sich um ein Open Source Projekt. Auch Unternehmen, die eigene SSL-Implementierungen verkaufen, setzen Open Source ein. Manche sogar auch OpenSSL. Manche Open Source Entwickler betreiben die Entwicklung als Hobby, manche sind minderjährig und andere bereits im Rentenalter. Andere entwickeln an Open Source und werden dafür von Unternehmen bezahlt.

Es gibt hervorragende Open-Source Lösungen. Manche weisen leider keine so hohe Qualität auf. Das gilt genauso für kommerzielle Software und auch für kommerzielle SSL-Implementierungen. Die wenigsten Entwickler sind unqualifizierte Bastler. Oftmals wird Open Source von einem Team geführt und es existieren eigene komplexe Mechanismen zur Qualitätssicherung. Keine Qualitätssicherung ist perfekt, genauso wenig wie es 100%ige Sicherheit gibt. Qualität ist eine andere Sache.

Wenn man Software minderer Qualität einsetzt hat man ein Sicherheitsrisiko. Kann sein, muss aber nicht. Manche kommerzielle Software ist fehlerhaft und verursacht höhere Kosten. Genauso kann es bei Open Source sein.

Manche Internet-Unter­nehmen haben folgendes Geschäftsprinzip. Sie warten darauf, bis es in einem Open Source Projekt ein Sicherheitsproblem existiert, dass in Konkurrenz zu ihrer Software steht. Dann schalten sie in großen deutschen Zeitungen Werbung für ihr Produkt. In dieser Werbung reden sie die Konkurrenz schlecht. Nach diesem Prinzip können Unternehmen vielleicht groß werden, oder sie schrecken von der Nutzung ihrer Produkte ab. Selbst diese Unternehmen sollen OpenSSL einsetzen, ohne irgendwie die Qualität zu prüfen. Unglaublich.

Aus OpenSSL wurde jetzt Heartbleed entfernt. Wer weiß, wie viele Probleme noch in OpenSSL schlummern? Gute Frage. Das gilt übrigens für jede Software. Gerade bei kommerzieller Software, die nicht veröffentlicht wird, ist die Frage extrem schwer zu beantworten. Open Source Programme werden teilweise mit teuren Tools überprüft, deren Einsatz für die Projekte kostenlos ist. Warum? Weil es auch anständige Unternehmer gibt.

Die NSA weiß schon was sicher ist. Die wollen selbst nicht gehackt oder ausspioniert werden. Deswegen arbeitet die NSA an Open Source Projekten wie zum Beispiel SELinux.

Ich rate davon ab, als sicherheitskritische Software wenig verbreitete kommerzielle Software einzusetzen, deren Quelltext man nicht frei beziehen kann. Ich setzte und setze weiterhin OpenSSL ein. Fehler passieren jedem, Entwicklern wie CEOs. Manche entschuldigen sich öffentlich, andere gar nicht.