Archiv für den Monat: Oktober 2014

CommitterConf Konzept geht auf

„Du hast das schon eingesetzt?“ – Eigentlich war er als Zuhörer gekommen, aber im Gespräch vor dem Kaffeautomaten stellt sich heraus, dass auch seine Erfahrung gefragt ist. „Willst Du nicht um 15 Uhr eine Session zu dem Thema anbieten?“

Neben gut vorbereiteten mehrstündigen Workshops von in der Szene bekannten Sprechern wie Peter Rossbach und Erkan Yanar habe ich auch interessante Beiträge von mir bis dahin unbekannten Leuten gehört. OK – nicht jeder Beitrag hat gehalten, was ich mir davon versprochen habe. Doch in den zwei Tagen habe ich viel Neues aufgesaugt, kann einige Trends besser einordnen.

Dabei war ich ja vor allem als Organisator da 😉 … Doch grade als Organisator der Veranstaltung freue ich mich, dass der Funke übergesprungen ist. Die Grenze zwischen Sprechern und Teilnehmern verschwimmt. Und in der Feedback-Umfrage finden sich Zitate wie die von Benjamin Heisig, Software Engineer bei der synetics GmbH: „Die lockere, entspannte Atmosphäre, das Bar Camp Feeling, die guten Gespräche und der fachliche Austausch untereinander sowie das Unperfekthaus als Veranstaltungsort haben einen wunderbaren Mix ergeben, der einmalig ist. Wir sehen uns (hoffentlich) nächstes Jahr!

Dem habe ich nichts mehr hinzuzufügen. Außer einem Foto (danke Michael Gisbers!):

committerconf-141028

Sichere Webentwicklung – mit Kursinhalten aus der Praxis

Webanwendungen lösen mehr und mehr die klassischen Desktop-Applikationen ab oder ergänzen diese sinnvoll. Der E-Mail-Client, das Ticketsystem, das gemeinsame Bearbeiten von Dokumenten und auch das Projektmanagement, all das wandert immer häufiger „ins Web“. Die Vorteile liegen dabei klar auf der Hand, genügt doch ein einfacher Browser, ggf. auch direkt am Smartphone oder Tablet, um die Dienste zu nutzen.

Über die Kehrseite der Medaille wird meistens erst dann gesprochen, wenn es zu spät ist – die Rede ist von der Absicherung dieser Applikationen, die meist von überall auf der Welt (und somit für jedermann) zugänglich sind. Ein Einbruch kann dabei fatale Folgen haben – Kundendaten, interne Kalkulationen und vertrauliche Dokumente, all das steht bei mangelnder Vorsorge schnell im Netz.

Schon seit vielen Jahren tragen wir vom Linuxhotel dem Bedarf nach Sicherheit Rechnung, und bieten unseren Kurs „sichere Webentwicklung“ jetzt mit Marcus Niemietz als neuem Dozenten sowie einem komplett überarbeiteten Programm an.

Marcus forscht und lehrt seit neun Jahren an der Ruhr-Universität Bochum im Bereich IT-Sicherheit, betreut das dortige HackPra („HackerPraktikum“) und hat seine Abschlussarbeit im Schwerpunktthema Websicherheit geschrieben. Diesem Aspekt ist er auch in seiner weiteren Laufbahn treu geblieben – aktuell promoviert er in demselben Bereich, publiziert regelmäßig Artikel in Fachzeitschriften und hält zudem Vorträge auf Konferenzen wie der SIGINT, OWASP und der Black Hat. Auch als Buchautor hat er sich einen Namen gemacht und zum Thema „Clickjacking“ und „UI-Redressing“ geschrieben.

Neben der wissenschaftlich-akademischen Betrachtung bringt Marcus seine jahrelange Praxiserfahrung in den Kurs mit ein. Aus seiner Arbeit an der Uni hat er gemeinsam mit Studenten und Professoren die 3curity GmbH gegründet und berät damit Unternehmen im Bereich Sicherheit, darunter auch zahlreiche namhafte DAX-Unternehmen.

„In den neu gestalteten Kurs bringe ich viel aus meiner Praxis mit ein. Unter anderem ist der bisherige PHP-Schwerpunkt auf Technologien und Sprachen erweitert worden, die darüber hinausgehen, um neuen Angriffsszenarien ausreichend Platz einzuräumen. Spannend sind im Moment beispielsweise Themen wie DOM Clobbering, bei der ein Eingabeformular zur Schwachstelle wird, oder Content Security Policies“, sagt Marcus Niemietz.

Er fügt hinzu: „Die Kursteilnehmer erhalten regelmäßig einen Wissensvorsprung. So sind erst jetzt neue Arten von CSS-Exploits bekannt geworden, die schon seit längerem bestehen – die Teilnehmer sind nach dem Kurs für solche Themen bereits sensibilisiert und lernen, mögliche Probleme schon im Vorfeld zu erkennen. Dabei ist mir wichtig, dass alle Inhalte sowohl für Anfänger verständlich bleiben, als auch genug Neues für Profis geboten wird. Wenn es die Zeit erlaubt, besteht auch durchaus die Gelegenheit, die Firmenwebseiten der Teilnehmer auf mögliche Sicherheitslücken zu untersuchen, damit direkt am konkreten Beispiel kleinere Lücken schon selbst behoben werden können. Im Nachgang stehe ich bei Unklarheiten und Fragen auch gerne per Mail zur Verfügung.“

An Vorkenntnissen sollten interessierte Teilnehmer die Grundlagen von HTML, JavaScript und CSS beherrschen, auch Vorwissen im Bereichen Datenbankadministration können von Vorteil sein, um den Kurs optimal zu nutzen. Wer im Vorfeld schon das ein oder andere Werkzeug sehen will, das im Kurs zum Einsatz kommt, dem empfiehlt Marcus einen Blick auf den IPTC-Attacker und Kali Linux, das v.a. wegen der Tools SQLMap und Burp im Kurs interessant ist.

Der Kurs „Sichere Webentwicklung“ mit Marcus Niemitz findet im Dezember im Linuxhotel statt. Es sind noch Plätze frei!