Schlagwort-Archive: Rant

Investitionsruine eGK

Geschäft, Investitionsruinen, Regierungsviertel, security-industrial complex, Zwischenruf, ,

Die Digitalisierung schreitet unaufhaltsam voran. In der Zeit, die wir seit den ersten Konzepten für den Aufbau unserer hochsicheren und hochverfügbaren Telematikinfrastruktur für das Gesundheitswesen nach Konzepten aus den frühen nuller Jahren verbraucht haben, verbreiteten sich draußen unter anderem:

  • Windows Vista, 7, 8 und 10
  • UMTS und LTE
  • Smartphones, Tablets und Smart Watches
  • Cloud Computing auf allen Schichten von IaaS bis SaaS
  • Site Reliability Engineering und Chaos Engineering
  • API Management
  • Agile Methoden und DevOps
  • Big Data, Machine Learning und KI
  • Stuxnet und andere Cyberwaffen

Auch kamen und gingen der neue Personalausweis, DE-Mail, das beA sowie die Piratenpartei.

Bekäme man das Gesundheitskartennetz zusammen mit dem Berliner Flughafen eines Tages doch noch fertig – was würde man dann mit dieser hoffnungslos veralteten Technik tun?

Herr, schmeiß Hirn vom Himmel!

Begriffe, IT, Security, , , , ,

Nach der WAF nun also die Datenbank-Firewall. Weil dämliche PHP-Programmierer nicht in der Lage sind, sicher auf Datenbanken zuzugreifen, soll GreenSQL zwischen Anwendung und Datenbank heuristisch SQL Injection erkennen. Die Idee ist so blöd, dass ich nicht mal beim szenetypischen Herumalbern darauf gekommen wäre.

Kernproblem bei Injection-Lücken ist die ungenügende Trennung zwischen Daten und Code in Verbindung mit dem Impedance Mismatch zwischen Programmier- und Datenbanksprache. Die kanonische Lösung besteht darin, eben diese Trennung zuverlässig aufrechtzuerhalten. Das lässt sich recht einfach bewerkstelligen, indem man eine geeignete Programmierschnittstelle − Prepared Statements statt Stringverkettung zu SQL-Statements − verwendet. Das kann zwar auch noch schiefgehen, wenn die Bibliotheksfunktion Fehler hat, aber wenigstens kann man sich selbst nicht mehr in den Fuß schießen.

Ist die Grenze zwischen Code und Daten einmal verwischt, steht die Datenbankfirewall vor exakt demselben Problem wie die Datenbank selbst: sie kann diese Grenze nicht mehr zuverlässig bestimmen. Konzeptionell ist die Datenbankfirewall deswegen genauso machtlos wie die Zugriffskontrolle der Datenbank. Sie versucht es nur mit einer anderen Strategie. Klüger wäre es, den Entwicklern ausschließlich sichere Schnittstellen zur Verfügung zu stellen.

Als Security-Theater allerdings dürfte so eine Datenbankfirewall hervorragend funktionieren, spuckt sie doch am laufenden Band Meldungen aus, die MovieOS alle Ehre machen würden: Hilfe, wir werden angegriffen!

Lant*

Begriffe, English, Geschäft, Propaganda, Security, , , , ,

[Get only posts in English]

My dear fellow attention whores,

Can we please stop inventing new bullshit terms for each and every variant of a variant of an attack scenario? Sure, at times we need new terms naming new concepts. Spam is an example, phishing is another. I don’t complain about these. What bothers me is our tendency to modify these general terms every time some slight modification of the concept appears: from spam to spit, from phishing to pharming, hishing, sishing, or wishing. Other than the useful terms for generic concepts, these creations make our lives harder, not easier. They are confusing us and others.

Why this rant? I got a call this morning from a journalist. She wanted to know everything about whaling. WTF? It turned out she really wanted to know everything about GhostNet and the security issues and attack strategies involved. But she didn’t say so and she seemed fixated upon whaling, which, I have to admit, sounds sort of cool and interesting. However, it lead to a failure in communication. She failed to get across her actual need for information, confusing me with a meaningless term that she had picked up somewhere. I failed to get across to her that I do know my share of computer security and that I might actually be able to answer some of her questions.

Coining new terms isn’t wrong per se. But names are like money. Producing too many makes them all worthless.

Yours sincerely,

Sven

*) Letter-style rant. 😛

Lieber mitlaufen als auffallen?

Risiko, Stammtisch, , ,

Die Süddeutsche, die zu mögen man sich auch aus anderen Gründen bereits abgewöhnen kann, übt sich in praktischer Lebenshilfe für Spießbürger, getarnt als Karrieretipp:

»Lieber mitlaufen als auffallen, damit ist man auf der sicheren Seite.«

Als ob man das in diesem Lande irgend jemandem erklären müsste. Nun gut, es geht um Karneval auf Arbeit, um eine Kinderei also, für die sich kein großes Riskio lohnt. Das steht da aber nicht, sondern da steht: »Lieber mitlaufen als auffallen, damit ist man auf der sicheren Seite.« Es steht dort, so darf man vermuten, weil es überall steht, wo Duckmäuser und Mitläufer anderen Duckmäusern und Mitläufern das geben, was beide mit Karrieretipps verwechseln, nämlich Anleitungen zum Duckmausen und Mitlaufen. Abgeschrieben, weitergetragen, nicht in Frage gestellt, lieber mitlaufen als auffallen, damit ist man auf der sicheren Seite.

Lieber mitlaufen als auffallen? weiterlesen

Textverarbeitungen: benutzergerecht und effizient

Nerds, Off Topic, Stammtisch, Werkbank, , , , , , ,

Es gibt zwei Arten, anders zu sein als die anderen. Die eine besteht einfach darin, sich ein alternatives Leitprinzip, eine nicht mehrheitsfähige Führerfigur oder ungewöhnliche Prioritäten zu suchen, im Rahmen dieses selbstgewählten Alternativsystems jedoch genauso engstirnig zu handeln wie es der Mainstream in seiner grandiosen Durchschnittlichkeit tut. Die andere, beschwerlichere, aber viel interessantere ist, selbst zu denke, immer und immer wieder. Beschwerlich deshalb, weil es auf diesem Weg kaum Rast und selten Gewissheit gibt.

Der Unterschied ist nicht immer leicht zu erkennen, aber ein zuverlässiges Zeichen gibt es doch: den Versuch des Beweises durch Autorität, das Nachplappern, das Umsichwerfen mit Verweisen, kurz, die Hinwendung zur Religion, zur Heiligen Schrift als Schrift des Heils. Wo der eine Zuflucht sucht, damit das Anderssein nicht zu anstrengend wird, wendet sich der andere angewidert ab – oder zerlegt als Fingerübung die Schrift in ihre unsinnigen Einzelteile, dass dem Mainstream-Alternativen das Zitieren vergeht. Dies also will ich hier versuchen.

Textverarbeitungen: benutzergerecht und effizient weiterlesen