Manche Leute sind schon richtige Hardcore-SQL-Server-Fans:
OK, das ist ein Fake. Wie es geht: ImageChef.com
Security by Bedrohung
Es ist schon interessant, wie Firmen damit umgehen, wenn jemand in deren Software eine Sicherheitslücke entdeckt und Ihnen das sagt. Böse Menschen würden das für sich behalten und mit dem Exploit viel Geld verdienen. Andere sind ehrlich und geben die Info zur Behebung an die Firmen und/oder an die Betroffenen weiter, damit man sich darauf einstellen kann. Bei TecChannel wird beschrieben, dass eine Firma einen Sicherheitsexperten bedrohte, der einen Vortrag über seine entdeckten Schwachstellen halten wollte: er solle verhaftet werden.
Statt die Probleme zu beheben, scheinen sich die Hersteller nun auf Drohungen zu konzentrieren. Die Geldautomaten-Macher wollen Chisea im Falle des Nicht-Schweigens verhaften lassen. Chisea hatte aber bereits mehrere Auftritte bei anderen Konferenzen mit einer ganz ähnlichen Rede.
In der Vergangenheit war es meist so, dass die Firmen die Info bekamen und der Finder sie erst dann veröffentlichte, wenn die Firma einen Patch dazu auslieferte. Wie man hört, soll das aber durchaus mehrere Monate gedauert haben. Die Finder bekamen nichts, nur manchmal eine Nennung in dem Security Bulletin. Das Problem dabei: Bösen Jungs wussten möglicherweise längst um die Schwachstellen, die Anwender aber nicht und konnten sich nicht schützen. Deswegen konnten Hacker auch so bequem bei Google eindringen, obwohl MS die Schwachstelle schon kannte (aber nicht darüber informiert hatte und auch noch keinen Fix erstellt hatte). Das nennt man "non disclosure", weil der Finder nur den Hersteller informiert und ihm die vollständige Veröffentlichung überlässt. Hier haben es die Hersteller wohl etwas zu bunt getrieben, denn auf diese Bedingungen wollen sich viele nicht mehr einlassen.
Wird der Hersteller vorab informiert und erst nach einer gewissen Reaktionszeit die Benutzer, dann nennt man das übrigens "Responsible Disclosure" (verantwortungsbewusstes Aufdecken).
So machte es auch der seit kurzem bei Microsoft in Ungnade gefallene Tavis Ormandy, der dachte, er habe selber einen Workaround gefunden und veröffentlichte die Schwachstelle samt Behebung nur ein Wenige Tage nach der Info an MS. Aber die Schwachstelle war noch schlimmer als angenommen und MS war unter Druck. Die harsche Kritik an dem Entwickler ist wegen der kurzen Reaktionszeit einerseits verständlich, aber andererseits auch überzogen. Da MS in anderen Fällen erst nach vielen Monaten über die von ihm gemeldeten Probleme berichtete, kann ich verstehen, dass er seine Lösung schnell unter das Volk bringen wollte.
Als Reaktion auf einen gemeldeten Security-Bug den MS angeblich nicht oder nur sehr spät beheben wollte hat sich eine Gruppe gebildet, die sich der "full disclosure" (volle Offenlegung) verschrieben hat: Alle Infos werden sofort veröffentlicht, damit sich jeder schützen kann. Das ist dann sinnvoll, wenn man davon ausgeht, dass die Bösen den Angriff schon kennen. Falls nicht, dann lernen die sicher auch gerne dazu. Sie nennen sich "Microsoft-Spurned Researcher Collective" (MSRC). Kurz nach deren Veröffentlichung des Problems gab es schon bald Exploits und nun wird es Microsoft wohl doch schnell fixen müssen… Ich muss sagen, dass ich die Leute von der MSRC verstehen kann, denn auch meine gemeldeten Verwundbarkeiten stuft Microsoft bis heute nicht als Security-Probleme, sondern als Feature-Request ein und wird sie erst mit dem nächsten Visual Studio (?2012) beheben.
Wie ich neulich bei Heise las, gibt es neuerdings auch Firmen, die Sicherheitslücken gar nicht an die Hersteller weiter leiten, sondern das gewonnene Know-How als Marktvorteil nutzen: Nur die eigenen Kunden werden gewarnt und geschützt, der Rest der Welt darf weiter von Crackern angegriffen werden. Das ist auch eine direkte Reaktion auf die zurückhaltende Informationspolitik der großen Firmen: Man macht ein Geschäftsmodell daraus. 😉
SQL-PASS Franken: ETL oder nicht
Und schon wieder ist ein Monat vorbei, der nächste SQL-PASS-Vortrag in Franken naht. Letzten Monat ging es um Sharepoint 2010, diesmal um ETL oder auch nicht: "ETL oder nicht ETL, das ist hier die Frage!".
Microsoft bietet mit seiner SQL Server 2008 Plattform alle relevanten Werkzeuge um komplette Prozesse der Informationsintegration bis hin zur Erstellung von DataWarehouses und Datenwürfel abzubilden. Als Benutzerwerkzeuge gewinnen Excel und die Reports aus den MS Reporting Services immer mehr an Bedeutung. Braucht es dazu noch zusätzlich ein ETL – Werkzeug?
Herr Kaiser stellt in seinem Vortrag die Vorteile aber auch die Grenzen von zusätzlichen SQL Server basierenden ETL-Werkzeugen am Beispiel des iQ4bis DataServers vor.
Referent
Michael Kaiser ist seit 10 Jahren CRM – und BI – Berater und kennt verschiedenste BI Werkzeuge, wie z.B. Cognos, Cubeware, Talend Open Source, Oracle DataWarehouseBuilder und den iQ4bis DataServer. Er entwickelt BI-Lösungen auf Vorsystemen, wie Navision, Axapta, Infor, JDE, IFS und SAP. Als Diplom-Biologe, Informatik-Betriebswirt, NLP- und Judo-Trainer ist er darauf spezialisiert, über den (technischen) Tellerrand zu sehen und Technik und Anwender zusammenzubringen.
Infos über Michael Kaiser findet man auf der Homepage seiner Firma und bei Xing. Michael ist bereits öfters mal als Zuhörer da gewesen, vielleicht kennen ihn einige schon.
Gastgeber ist wieder die New Elements GmbH (Äußere-Bayreuther-Straße. 55, 90409 Nürnberg, mit der U2 ist der Ausstieg "Schoppershof").
Der Termin ist am Dienstag, den 13.07.2010, ab 18:30 Uhr.
Der Eintritt ist natürlich frei, auch Nicht-Mitglieder sind herzlich eingeladen. Bitte dennoch bei Michael Deinhard unter M.Deinhard(ät)newelements.de oder Klaus Oberdalhoff unter kob(ät)sqlpass.de anmelden, damit die Anzahl der benötigten Stühle abgeschätzt werden kann. Zwei mal musste ein Vortrag bereits wegen großen Ansturms ins benachbarte Hotel umziehen.
Mehr Infos hier.