Dr. Christopher Kunz

Ich werde dieses Jahr - auf Einladung des Heise Verlags - auf der “Open Source Meets Business” (kurz OSMB) 2009 einen Workshop zum Thema Rechenzentrums-Management moderieren. Dieser Workshop wird sich mit folgenden Themen befassen:

• Green IT


• Virtualisierung


• Open Source in RZs


• Cloud Computing

Was erstmal nach einer wirren Stichwortsammlung klingt, wird sicher zu einer interessanten Veranstaltung, da alle diese Themen - wenn man mal darüber nachdenkt - ineinander greifen.
Um die Diskussion mit dem hoffentlich zahlreich anwesenden Publikum zu vertiefen, habe ich einige Kollegen aus dem RZ-Geschäft an meiner Seite, u.a. von der Firma Netways und der Thomas-Krenn.AG.

Mein Workshop wird am Mittwoch, dem 28.01. stattfinden - übrigens ist die OSMB neben dem unvermeidlichen Networking auch eine gute Gelegenheit, endlich die LPI-Zertifizierungen zu machen.

Bis dahin!

Achtung, wirre Gedanken ahead, nicht so ernst nehmen... In einem Gespräch mit Arzt fiel das Stichwort "Kredit ohne Schufa", was mich automatisch an zwei Dinge denken läßt (freies Assoziieren, ich komme!):

1. Peter Zwegat und "Raus aus den Schulden"
2. Schwarz-weiße Kleinanzeigen im ADAC-Clubmagazin

Ich lese seit Jahren von diesen "Krediten ohne Schufa", "Krediten bei negativer Schufa", oder auch "Schweizer Krediten" (weil die Zinsen so hoch wie die Alpen sind, vermutlich) und wollte jetzt mal schauen, was da so dahintersteckt.

Grundsätzlich geht es ja bei dieser Art der Kreditvergabe (übrigens auch gerne genommen: "Handy ohne Schufa", "Kreditkarte ohne Schufa", "Auto ohne Schufa", "Weißrussische Ehefrau ohne Schufa", "Selbstmord ohne Schufa" und was weiß ich) darum, daß die Vermittler bzw. die Kreditgeber sich die eigentlich bei jeglicher Art von Waren- und anderen Kreditgeschäften übliche Anfrage bei der Schufa bzgl. etwaiger Negativmerkmale sparen. Das lassen sie sich - so meine zu diesem Zeitpunkt des Blogartikels noch unbestätigte Vermutung - mit deutlich höheren Zinsen vergolden.

Auch wenn’s mittlerweile fast einen Monat her ist, doch noch ein paar Eindrücke von der CeBIT 2008. Ihr könnt ja weiterblättern, wenn es Euch zu langweilig ist...

Anders als die vergangenen Jahre konnte ich aus beruflichen Gründen (sprich: für Messespaß gibt’s nicht die ganze Woche frei) dieses Jahr nur am ersten Messetag, dieses Mal ein Dienstag, auf unser aller Lieblingsmesse.

Der Grund war auch immer derselbe: ein Artikel für die iX. Mittlerweile ist dieser Artikel erschienen, Ihr findet ihn in der iX 04/2008. Ich habe den Überblicksartikel zu Forschung und Wissenschaft zusammen mit Kersten Auel geschrieben, die sich hauptsächlich mit Themen der Computergrafik beschäftigt.

Mehr Eindrücke im erweiterten Eintrag...

I wish to inform you that this letter is not a hoax mail. we wish to notify you again that you were listed as a beneficiary to the total sum of £10,600,000.00GBP (Ten Million Six Hundred Thousand British Pounds) in the codicil and last testament of the deceased.

Very relieving.

Garvin just made me aware of a blog posting at s9y.org that mentions a new SQL injection vulnerability. If you are running a S9Y 1.1 blog, you should hotfix or update now.

Without further ado: Hier die Slides im PDF-Format.

I already blogged this at our PHP Security Blog, but it is not (yet? hey Toby ) aggregated on planet-php, so here goes again.

You can now download my session slides for the full-day workshop on PHP security - unfortunately for my international readers, they are in German. If that doesn’t scare you (because you got taught lots of useful german phrases in the last days, right Caitlin? ), you can get them here:PHP Sicherheit Workshop.

If you need a little explanation on the PHP Security Quiz by Mayflower, just read the extended entry.

I already blogged this at our PHP Security Blog, but it is not (yet? hey Toby ) aggregated on planet-php, so here goes again.

You can now download my session slides for the full-day workshop on PHP security - unfortunately for my international readers, they are in German. If that doesn’t scare you (because you got taught lots of useful german phrases in the last days, right Caitlin? ), you can get them here:PHP Sicherheit Workshop.

If you need a little explanation on the PHP Security Quiz by Mayflower, just read the extended entry.

That was a weird week. I think I rarely changed locations that often, and I kinda lost track of what time zone, currency and/or event I was currently at. However, it turned out to be a very rewarding week, too.

All in all, I roughly travelled around 5600 km, which is probably quite a lot given the fact that I otherwise leave Hannover rarely. I changed timezones twice, currencies 4 times (including transit airports), and spoke at two different (un-)conferences. There were nights in school gyms, Sofia park bars, hostel dorms and for 2 nights, I even slept in my own home (tue->wed->thu).

My overall perception was that the security topic is still kinda “hot” and although most attendees (naturally, those at PHP Vikinger were more on top of things) seemed to have a firm grasp of what could go wrong with PHP applications, there is still a lack of trustworthy and well-designed solutions to the various security dilemmas. As Kris Köhntopp said on the PHP Vikinger, using stuff like mod_security, our Hardening Patch or other assorted security products is not a real solution, since there is no programmatical and wellformed approach to them. Instead of having a defined and limited outer and inner area for applications (like, an array of all possible URL entries to the application, as well as all possible output it generates), we are putting out fires as they emerge. Of course, we do that because we currently have no other way of keeping our boxes alive and the attackers out as long as possible, but still, Kris has a point.

That’s it - I’m home again, after almost four extremely rewarding and interesting days at the International PHP Conference in Frankfurt. The conference offered a chance to get together with all the cool guys from the international community, mix and mingle, drink lots of beer (my bar invoice was around 80 bucks) and of course hack at PHP.

Since we had our own booth for the Hardened-PHP Project, we had the opportunity to pitch or little thingy to a wider base of interested developers and administrators, and the discussions at the booth sparked some new ideas for the Hardening Patch. We were also able to show off two advance copies of my (and my coauthor Peter Prochaska’s) first book, “PHP-Sicherheit”. It is the first german book dedicated to the security of our favorite scripting language, and after having it under public scrutiny for three days, I’m now confident it’s gonna be a success. Thanks to everyone for their feedback!

For everyone who’s been in one of my talks, thanks for your interest to you guys and see you on the next conference. I will upload the slides to both presentations to my web server and notify everyone with a separate posting.

13:00, Eingang Nord2, Sebastian Bergmann tippt mir auf die Schulter. Na, das war ja perfektes Timing. Wir begeben uns mit einem Pressetaxi zum Heisestand, das Wetter ist nämlich ziemlich beschissen. CeBIT-typisch, könnten böse Zungen behaupten: Schneidender kalter Wind (besonders in dem Windkanal zwischen Nord2 und Halle 2, *bibber*), fieser Nieselregen, der ab und an stärker wird, und ziemlich niedrige Temperaturen. Gut, daß ich in weiser Voraussicht einfach mal nur einen Anzug an- und den Mantel zuhausegelassen habe. Warme Kleidung werde ich sicher nicht brauchen.

Am Heisestand ist es ziemlich knallvoll, die Vorträge sind wieder hervorragend bis unerträglich gut besucht. Das Heiseforum platzt sozusagen aus allen Nähten, hähä. Ich lasse mir meinen PGP-Key von der c’t Kryptokampagne signieren und werde von einem netten jungen Herrn mit CCC-Halsband auf den nahegelegenen Stand der “CAcert”-Kampagne aufmerksam gemacht.

Die Jungs von CAcert, einem australischen Verein, kombinieren den “Web of Trust”-Gedanken, der z.B. von Thawte aufgegriffen und für eine Art Vertrauensmaß von Mailzertifikaten genutzt wurde, mit allerlei kryptographischem Zubehör. Läßt man sich an ihrem Stand (D38 in Halle 5) von einem der anwesenden CAcert-Mitglieder “assuren”, so hat man die Möglichkeit über einen gesicherten Userbereich auf der Website www.cacert.org für sich selber Zertifikate (u.a. X.509, SSL/TLS, Signing von PGP Keys durch die CA) ausstellen zu lassen, aber auch (ab einem bestimmten Score) andere Mitglieder zu “assuren”, also ihre Identität zu überprüfen. Ihr benötigt einen gültigen Perso/Reisepaß und natürlich eine Mailadresse für den cacert-Account und das ganze kostet nix.
Wenn die Root-CA von CAcert irgendwann mal in den gängigen Browsern integriert ist, sollte sich ein derart ausgestelltes Zertifikat nicht von kommerziellen Counterparts unterscheiden. Möglichen Attacken durch böse Buben, die versuchen könnten, sich ein Zertifikat für paypal.com auszustellen, um ihr Phishing zu einer authentischeren Sache zu machen, wird durch die für eine CA üblichen Sicherheitsmechanismen ein Riegel vorgeschoben - die Angriffsvektoren, die Jürgen Schmidt von Heise Security und mir eingefallen waren, konnte Herr Neumann von CAcert ausräumen.


Nach einigem Rumgedamel und eine Tickermeldung später mache ich noch einen kleinen Rundgang über’s Gelände, um dann ca. ab 17:00 auf dem Heisestand rumzuhängen und auf das Aufbruchssignal zur Heise-Party zu warten. Die Location (GOP Varieté) ist ziemlich edel, allerdings gnadenlos überfüllt. Die persönlichen Einladungen ohne Begleitperson hatten offenbar ihren Sinn.

Dort gibt es dann außerordentlich leckeres Essen und nette Gespräche u.a. mit koepi (as in “XviD, Koepi’s Build”) und den netten Jungs von vantronix secure systems. Der Abend ist ca. gegen 01:00 zuende und ich falle zügig ins Bett. Sebastian hatte sich bereits um 23:20 in Richtung Hauptbahnhof verabschiedet.

Grmpf, verpennt. Jetzt aber nix wie ab aufs Messegelände.

Kostenloses WLAN im Pressezentrum, so mag ich das. Der Vormittag hat auf der CeBIT bislang keine großen Neuheiten zutage gefördert - im wesentlichen ist es das alte Spielchen “die üblichen Verdächtigen”. Nach einem Kurzbesuch auf dem Heisestand (gratis Kaffee, yummy) und bei Software&Support (die kenne ich doch...) ging es direkt zum Pressegespräch nach Halle 9. Die Fraunhofer-Gesellschaft hat mal wieder jede Menge Projekte aufgefahren, die sich auch dieses Jahr wieder vielfach im Bereich AR/VR bewegen. Aber auch Audio- und Videokodierung, sozusagen “Stammthemen” von Fraunhofer, sind wieder im Gespräch.

Der Heisestand ist im Vergleich zu 2004 wesentlich größer geworden und hat nun das “Heise Forum ‘05”, auf dem nicht getrollt, sondern vorgetragen wird. Wenn Ihr mich fragt, sehr ungeschickte Namensgebung, ich assoziiere mit “Heise Forum” eigentlich nur mehr oder minder unqualifizierte und -erträgliche Wortbeiträge von Personen, die sich “Günter Frhr v. u. zu. Dingens” und “Analüst” nennen.
Die hauptsächlich um das Themenfeld Sicherheit und Recht gruppierten Vorträge erfreuten sich großer Beliebtheit, und auch Klaus Knopper ist mal wieder mit von der Partie. Dieses Jahr stellt er die neueste Ausgabe 3.8 seines Knoppix vor, das von den Heise-Mitarbeitern gleich kartonweise unter’s Volk gebracht wird. Der Personenkult um Knopper erreicht dabei kuriose Ausmaße, die Messebesucher lassen sich tatsächlich ihre CDs von ihm signieren. Hoffentlich nicht auf der Datenseite.
Ein weiteres Kuriosum: vis-a-vis von Heise ist an einem österreichischen Gemeinschaftsstand ausgerechnet ein Anbieter von Anti-dDoS-Lösungen vertreten. Entsprechendes Foto folgt in meiner CeBIT 2005 Galerie.

Heute Nachmittag werde ich noch ein bißchen durch die Softwarehallen schlendern, bevor es um 18 Uhr zum Branchenforum Security geht - das klingt (mit Vertretern von u.a. RSA Labs) sehr interessant.