Profile cover photo
Profile photo
Johann-Peter Hartmann
586 followers -
Trying to convert business to fun and opensource
Trying to convert business to fun and opensource

586 followers
About
Johann-Peter's posts

Post has shared content
Leadership in der IT oder warum Management uns Developer stört. Ich habe mal auf 111 Slides aufgeschrieben warum normales Management bei Softwareentwicklung Schaden verursacht und wie passende Führung aussieht. Wie immer mit vollständigem Fliesstext.

Post has attachment
Ich habe gestern einen Talk zu Leadership in der IT auf der Developer Week gehalten. Es ist ein Bericht zu unseren praktischen Erfahrungen mit Leadership seit 2000, mit dem Schwerpunkt auf unseren schönsten Fehlern, die alle irgendwann einmal wie ein wirklich guter Plan aussahen. 
Von klassischem autoritären Management über naive Agilität zur Überforderung durch transformationales Management von heute. +Kristian Köhntopp: kannst Du den mal sharen, Du hast glaube ich ganz viele Leute, denen es ähnlich ging, auf dem Verteiler. Danke :-)

Post has attachment

Impact-Bewertung von Heartbleed:

 Ich habe mir gestern mal eine Liste von Domains mit kritischen (sprich: monetären) Transaktionen geschnappt und geschaut, welche Daten da tatsächlich zurückkommen. Basierend auf einer Shell-Kommandozeile und einer geringfügig modifizierten Variante von Jared Staffords Testscript, damit der Dump besser lesbar ist. 

War schon alles gepatched? 
Gestern ca 15:00 waren ca 10% der Server die HTTPs anboten noch ungepatched, trotz des zum Teil sehr prominenten Charakters der Seiten

Was für Daten wurden gedumpt? 
Ausschnitte aus dem Speicher des Webservers, sprich: das was er für die interne Verwaltung braucht. Im Regelfall waren das wenige bis leere Datenbereiche, häufig auch binärer und damit unlesbarer Gestalt. Bei ca 25% aller Requests gab es aber lesbaren Content.
Dieser lesbare Traffic ergab sich häufig aus dem HTTP-Traffic selbst (dh. jenseits der Verschlüsselung), also HTTP-Header, HTML, aber auch viele POST-Daten. 

Und genau die hatten es in sich: Kreditkartendaten (inkl. Checkziffer), Personenbezogene Daten, Kontonummern, Logins, Adressen etc. Also tatsächlich die Kampfklasse mit maximaler Damage, eigentlich selten für einen Information Disclosure. 

Natürlich habe ich mich überall dort wo es tatsächlich um hochkritische Daten ging unmittelbar telefonisch gemeldet. Und  jede betroffene Firma kannte Heartbleed und war vermutlich auch gerade mit dem Fix beschäftigt, nur ist ein Update der Produktion insbesondere in Enterprise-Environments eben nicht immer in einem Tag zu leisten.

Das heisst für Security gerade jetzt vor allem zwei Dinge: 
a) Es ist Blackhat-Weihnachten. Es werden tonnenweise Dumps angelegt.
b) Wir Techniker haben ein Problem, diese Kompromittierung zu reinigen. Denn wir wissen im Regelfall nicht, welche Daten uns abhanden gekommen sind und welche Nutzer betroffen waren. Jede Transaktion der letzten Tage könnte geleakt sein, alle eingegebenen Daten unserer Nutzer.

Meine Einschätzung: der Fallout kommt später, wie damals bei 7350fun
Mein Learning: Eine gute Time2Fix ist in diesem Fall bares Geld wert.

Post has attachment

Post has attachment

Post has attachment
Johann-Peter Hartmann changed his profile photo.
Photo
Wait while more posts are being loaded