Reviews
IT-Con has no reviews yet.
Tell people what you think
Photos
Posts

Seit Jahren reden wir gegen den Passwort-Wahnsinn. Es wird aber bestimmt trotzdem noch Jahre dauern bis sich in den Unternehmen etwas ändert 😡
http://www.sueddeutsche.de/…/it-sicherheit-der-mann-der-sch…

Sonderzeichen! Alle 90 Tage wechseln! Bill Burr schrieb die Empfehlungen für Passwörter, die weltweit Nutzer nervten und kaum Sicherheit brachten. Jetzt bezieht er Stellung.
sueddeutsche.de
Posts

Am 15. Juni: Des nächste Eclipse DemoCamp (und ich bin dabei )
http://www.yatta.de/de/events/eclipse-democamp/

Vienna, Trondheim und Jakarta. Im Juni ist es wieder soweit: die nächsten Eclipse DemoCamps finden statt. In Kassel und Frankfurt sind wir wieder vorne mit dabei!
yatta.de

Bevor mich jetzt die Verteidiger der Arbeitnehmerrechte schlagen: Es geht hier nicht darum die (private) Zerstreuung während der Arbeitszeit zu bekämpfen. Ich halte sie vielmehr in vielen Berufen für unverzichtbar - denn ohne Zerstreuung keine Kreativität!

 

Nein, es geht um etwas anderes: Sicherheit.

 

...

Warum mach wir es den Hackern so einfach?

 

In den letzten Monaten gab es eine Reihe von Berichten über spektakuläre Einbrüche in Unternehmensnetze. Da wurden Geldautomaten geplündert, Hochöfen beschädigt und Parlamentsrechner ausspioniert. Und das wurde dadurch möglich, dass eingeschleuste Malware ungehindert nach hause telefonieren und so die externe Kontrolle des befallenen Rechners ermöglichen konnte.

Unternehmen investieren - weltweit - Milliardenbeträge um sich vor Malware zu schützen. Und natürlich ist das auch gut und richtig. Aber Unternehmen betreiben tausende oder zehntausende von Computern - manche über hunderttausend. Und es genügt im Zweifelsfall ein einziges befallenes Gerät um Zugang zum kompletten Unternehmensnetz zu bekommen. Bei so vielen möglichen Angriffspunkten wird sich immer ein schwacher finden lassen. Irgend ein Mitarbeiter wird schon neugierig genug sein, den auf dem Parkplatz gefundenen USB-Stick anzuschließen.

 

Passive und aktive Abwehr

 

Nicht ohne Grund wurden also Intrusion-Detection-Systeme entwickelt und helfen mit, Eindringlinge aufzuspüren. Ohne die wären große Unternehmen heute quasi schutzlos. Aber es genügt nicht. Die Angreifer werden immer erfahrener, sie kennen die ID-Systeme und schaffen es, sich unauffällig zu verhalten. Wir brauchen mehr. Ich habe bereits erwähnt, dass viele Angriffe durch zwei Faktoren erfolgreich sein konnten: Eingeschleuste Malware und die Möglichkeit, sich mit einem Rechner im Internet zu verbinden. Den ersten Faktor bekommen wir nicht vollständig in den Griff, aber wie ist es mit dem zweiten? Warum muss jeder einzelne Rechner im Unternehmen eine direkte Verbindung ins Internet aufbauen können?

 

Trennen was getrennt gehört

 

Manche Unternehmen versuchen der Bedrohung dadurch Herr zu werden, dass sie sensible Daten nicht mehr auf die Arbeitsplatzrechner bringen sondern nur noch per Remote-Desktop (VDI) zugänglich machen. Bringt nur leider nichts, da ein Angreifer auf einem übernommenen Arbeitsplatzrechner auch die Remote-Desktop-Verbindungen kapern kann. Aber warum drehen wir dieses Prinzip nicht um? In den Anfangstagen hatten Unternehmen separate Internet-Rechner. Man musste dort hingehen, konnte im Internet surfen - aber es gab keine Verbindung zum Unternehmensnetz. Dieser Ansatz ist heute nicht mehr praktikabel, dafür ist das Internet auch für den Geschäftsbetrieb zu wichtig. Aber ein Remote-Desktop-Host, der in einer DMZ steht, Zugang zum Internet hat und aus dem inneren Netz per RDP erreichbar ist? Malware aus dem Internet könnte so nicht bis zum Arbeitsplatz vordringen und auf anderen Wegen eingeschleuste Malware könnte keine Verbindung ins Internet aufbauen. Bzw. müsste sie selbst die "Intelligenz" mitbringen, über den RDP-Host zu verbinden. Nicht unmöglich aber sehr viel schwieriger, aufwändiger und schlechter zu verbergen als es momentan üblicherweise ist.

See More

Nach wochenlangem Suchen endlich den Bug gefunden, der die sporadischen Deadlocks verursacht hat. Entsprechend gibt es jetzt eine neue Recycler-Version: https://sourceforge.net/projects/recycler
Kennt ihr noch nicht? Jeder der unter Notes/Domino mit Java entwickelt kann sich damit eine Menge Ärger sparen!

Download Recycler. Automate recycling of Lotus Domino objects
sourceforge.net
IT-Con shared a post.

Wer sich für Software-Technik interessiert: Hier treffen nette Leute auf spannende Themen.

Thomas Meyer

4 Plätze noch für das Kassel Code Meetup http://meetu.ps/2G4NyG Mittwoch 18 Uhr

Gunter Dueck war Mathematik-Professor und Cheftechnologe bei IBM. Sein Buch "Schwarmdumm – So blöd sind wir nur gemeinsam" ist überaus schlau und lesenswert.
cio.de

Mal etwas Anderes, eine Idee, die mir schon eine Zeit durch den Kopf geht:


Alle großen Unternehmen haben Mechanismen zur Software-Verteilung über die Client-Software verteilt und aktualisiert wird. Darüber lassen sich auch Java-Anwendungen zum Nutzer bringen. Allerdings: Der Rollout einer neuen Version kann leicht mal mehrere Wochen dauern - bis all...es paketiert ist, die Pakete getestet wurden, ein Termin festgelegt wurde, etc. pp. Kein wunder also, dass Browser-Anwendungen so beliebt sind, denn dort entfällt dieses ganze Procedere (was außer Zeit auch Kosten spart).


"Prüfet alles, das Gute behaltet"


Wäre doch nett, wenn man das für Java-Anwendungen auch so hätte. Und hier stellt sich die Frage: Warum haben wir das nicht? Für jemanden, der sich schon mal mit Classloadern auseinandergesetzt hat, ist es fast schon ein No-Brainer, einen Classloader zu schreiben, der sich aus einer zentralen Datenbank bedient. Ein lokaler Cache würde trotzdem nahezu normale Performance sicherstellen. Dazu eine Art lokaler Bootloader, der eine Einstiegsseite lädt (vom Server) und anzeigt. Über diese kann der Nutzer dann alle Anwendungen starten, die für ihn freigeschaltet sind. Auf diese Weise könnte man einen Vorteil der Web-Technologie übernehmen, ohne die Nachteile (z.B. verschiedene Sprachen in Front- und Backend) mit zu kaufen.


Weiter gedacht ergeben sich noch mehr Möglichkeiten. So wäre es kein großer Aufwand, eine neue Software-Version zunächst für Pilot-Nutzer freizuschalten, während der Rest der Anwender noch auf der alten Version bleibt. Auch könnte man in einer Datenbank bequem mehrere Versionen einer Bibliothek vorhalten und über entsprechende Regeln steuern, welche Anwendung welche Version bekommt. Ja, es könnten sogar gleichzeitig in der gleichen JVM mehrere Anwendungen laufen, die unterschiedliche Versionen der gleichen Bibliothek benötigen. Die Startseite muss lediglich für jede Anwendung einen neuen Classloader instanziieren. Und wenn man diese Möglichkeit bis auf Modulebene herunterbricht, wird ggf. sogar der Einsatz im Backend interessant.

See More

Wie bereits vor einiger Zeit angedeutet, schwebt mir ein besseres Logging-System für Anwendungen vor. Etwas, das einfacher und schneller zu analysieren ist, als die üblichen Plain-Text-Logfiles. Die Idee: Alle Logmeldungen werden in einer SQL-Tabelle abgelegt, so dass man per SELECT leicht die relevanten Informationen herausfiltern kann.

Da das ganz...e Ding recht übersichtlich erscheint, habe ich mich jetzt an die Realisierung gewagt - hauptsächlich während meiner häufigen Zugfahrten ;-). Und um gleich noch etwas extra zu lernen, verwende ich Ceylon als Sprache.


Allein in der Fremde


Ceylon sieht auf den ersten Blick so Java-verwandt aus. Aber wenn man anfängt, damit zu arbeiten, fühlt es sich trotzdem sehr fremd an. Warum gibt es kein Type-Casting? Wie funktioniert bloß der JDBC-Zugriff aus Ceylon? Wo sind die Getter und Setter der verwendeten Java-Klassen geblieben? Dennoch: Je mehr man sich darauf einlässt und nicht versucht, ein Java-Programm in Ceylon zu schreiben, desto mehr Punkte fallen auf, an denen Ceylon einfach besser ist. Die nicht mehr existente NullPointerException ist da nur das prominenteste Beispiel.

Ich will aber nicht verschweigen, dass Ceylon eine sehr junge Sprache ist und dass man das auch merkt. Nicht alles und jedes ist schon perfekt bis zum Ende durchgedacht, manches wird sich noch ändern. Auch über einen Compiler-Bug bin ich bereits gestolpert.


Aber es gibt doch schon datenbank-basiertes Logging


In der Tat gibt es bereits Graylog (https://www.graylog2.org/). Warum also noch etwas Neues? Greylog zielt darauf ab, das Logging eines kompletten Unternehmens zu zentralisieren und gigantische Mengen an Logmeldungen zu verwalten und zu verarbeiten. So toll das sein mag, für manche Anwendungen ist es einfach zu groß. Mir schwebt eine Lösung vor, die (ggf. mit HSQLDB statt SQLite) vollständig in ein JVM-Programm eingebettet werden kann. Trotzdem soll es flexibel genug bleiben, um auch für nicht JVM-Sprachen verwendet werden zu können. Der Fokus liegt aber klar auf einem kleinen System, welches mit wenig Aufwand (auch Lernaufwand) eingesetzt werden kann.


See More
Ganz im Gegensatz zu dem von militärischen und politischen Akteuren losgetretenen Kampf gegen Verschlüsselung und für mehr Überwachung setzt sich der Chaos Computer Club (CCC) für zukunftssichere Technologien ein und fordert daher ein Verbot unverschlüsselter Kommunikation.
ccc.de

Ich arbeite aktuell nebenher mit Ceylon (http://ceylon-lang.org) um die Sprache zu lernen. Gestern über einen seltsamen Fehler gestolpert. Also Beitrag im Ceylon-Forum geschrieben ob es wohl ein Bug ist oder mein Fehler. Zwei Stunden später war der Fix für den Bug da! So macht Arbeiten mit Computern Spaß!

The Ceylon presentation to the Virtual JUG is now online . � � � � Ceylon is a language for writing large programs in teams.
ceylon-lang.org

Hintergrund


Das Thema IT-Sicherheit ist seit vielen Monaten fester Bestandteil der Medienberichterstattung. Einen Höhepunkt bildet dabei unzweifelhaft die Snowden-Affäre, aber auch unabhängig davon vergeht kein Monat, in dem nicht neue Meldungen die Frage nach der IT-Sicherheit ins Bewusstsein rufen. Im letzten halben J...

Continue Reading

Ich habe eben zwei Phishing-Mails mit gültiger digitaler Signatur (PGP) bekommen. Offenbar versucht hier jemand eine neue Masche um durch Spamfilter zu kommen.

Das 1. Nordhessische Kooperationsforum bietet Unternehmenskontakte in kürzester Zeit. In den verg...
xing.com
METASPLOIT PENTESTING BY SEBASTIAN BRABETZ & CCC KASSEL Uni Kassel Sa. Uhr Der Workshop ist für alle geeignet die ein Interesse haben sich mit der Thematik zu befassen. Vorkentnisse im
meetup.com

Den Djigzo-Server angehoben auf die aktuelle Version von https://www.ciphermail.com/index.html
Die Bedienung ist zwar an diversen Stellen etwas kontra-intuitiv - es ist aber eine gute Lösung für zentrale Mailverschlüsselung

Centrally managed email encryption gateway supporting all major standards: S/MIME, PGP, TLS and PDF encryption. Compatible with any email infrastructure.
ciphermail.com