Ui, ich habe für die IT-Security & Troopers 2009 ein Programm geschickt bekommen. Praktisch kann man sich also aussuchen, ob man die IT-Security (Track A: Management und Track B: Business) oder die Troopers (Track C: Troopers) besuchen will, weil leider die Vortragszeiten nicht ganz synchronisiert sind.
In Track A und B überwiegen meiner Ansicht nach die Verkäufer. Da tummeln sich diverse Hersteller, die einen Vortrag zu ihren Produkten halten weil sie halt was verkaufen wollen. Beispielsweise berichtet die Noris Network AG über Managed Services (bieten die zufällig sowas an?), MessageLabs referiert über die Optimierung von E-Mail und Web Security (sowas aber auch!) und Phion schleppt den Kunden Antenne Bayern an. Am interessantesten dürfte noch der Vortrag von Tobias Glemser zu XSS und CSRF sein, auch wenn mir nicht klar ist, wie man das im Track B (Business!) für die Zuhörer verständlich darstellen will.
So richtig enttäuscht bin ich aber von den Troopers-Inhalten. Das hat sich von einer echten Hacking-Konferenz bereits zur Hälfe zu einer Hersteller-Show entwickelt. Dominick Baier (freiberuflich aber sehr Microsoft-nah) zum Thema „.NET Access Control Service“, Rodrigo Branco (Check Point) zum Thema „Advanced Payload Strategies“ und Andrey Belenko (Elcomsoft) über „GPU-Assisted Password Cracking“ sind für mich praktisch Hersteller-Vorträge. Da reißen die anderen Vorträge die 890,- Euro Konferenzgebühr meiner Ansicht nach nicht mehr raus. Schade eigentlich, der ursprüngliche Ansatz der Troopers sah ganz interessant aus, auch wenn ich damals bereits von der Wirtschaftlichkeit nicht überzeugt war.
Die komplette Agenda der Troopers und die Referentenübersicht verlinke ich für Interessenten aber trotzdem gerne.
Nachtrag/Disclaimer:
In gewisser Weise ist der Veranstalter der Troopers 09, die ERNW, ein Mitbewerber meines Arbeitgebers und möglicherweise sehe ich die Veranstaltung daher kritischer als gerechtfertig.
Der Track B hieß letztes Jahr „Hack Attack“ und wird auch AFAIK weiterhin so verstanden. Also dem gemeinen Admin Sicherheitsthemen nahe bringen. So wird dann auch der XSS und Co Vortrag ausgerichtet sein 🙂
Comment by Toby — 31. März 2009 @ 19:30
Also in meinem Programm steht „Track B: Business“ und die meisten Vorträge in diesem Track sind sowas wie „Das Konzept der Communication Protection Architecture (CPA)“ von Phion, „Data Loss Prevention“ von Integralis oder „Das Management von Identitäten von privilegierten Accounts“ von Computacenter. Ich glaube nicht, daß das dieses Jahr als „Hack Attack“ verstanden wird.
Der „Track C: Troopers“ enthält ein paar Angriffe: „Rootkits are Awesome“ von Michel Kemp, „Attacking Backbone Technologies“ von Daniel Mende oder „SQL Injections“ von Sumit Siddharth. Aber in den Track C mischen sich halt auch wieder Vorträge von Check Point und fast-Microsoft.
Vielleicht hätte man die beiden Vorträge „Live-Szenario: Web-Anwendungssicherheit“ und „Skalierbare Sicherheitschecks“ in Track C packen sollen und dafür Check Point und fast-Microsoft in Track B?
Ich weiß es nicht.
Comment by Christian — 31. März 2009 @ 20:00
Da steht Business, ich weiß. Viele Vorträge in diesem Track werden auch nicht mehr Angriffe zeigen, auch richtig.
Der XSS Vortrag jedoch wurde als Ergänzung zu SQL-Injection im Troopers Track vom Veranstalter zu gewünscht. Wer im VLAN-Security Vortrag keine Lust auf Wireshark hat, wird auch nicht glücklich 🙂
Bin sowieso auf die Teilnehmer dieses Jahr gespannt, letztes Jahr waren sie recht interessiert – auch an technischen Themen.
Comment by Toby — 31. März 2009 @ 20:15
Stimmt, letztes Jahr war Troopers-only. Dieses Jahr sind zwangsläufig mehr Management-Themen dabei und da weiß man nie, wer sich in welchen Track verirrt. Hatte ich auch schon, wo dann die IT-Sicherheitsbeauftragten bei meinem VoIP-Hacking kritisiert haben, das ging ihnen zu schnell, war zu wenig auf ihre Infrastruktur angepasst und sie könnten das so gar nicht nachvollziehen. Naja, egal.
Das OSI-Schichtenmodell sieht ja heute eh längst so aus:
9. Political <-- you are here 8. Financial 7. Application 6. Presentation 5. Session 4. Transport 3. Network 2. Data Link 1. Physical
Comment by Christian — 31. März 2009 @ 20:27
Naja, als Referent ist es sowieso immer schwierig eine gute Mischung zu finden. Macht man es zu einfach, ist man einigen nicht l33t genug, macht man es technischer bleiben viele auf der Strecke. Wird also wie immer spannend..
Comment by Toby — 31. März 2009 @ 21:06
Oder die Zeit reicht nicht (bei mir ist das leider oft so, ich verzettel mich gerne) oder die Zuhörer sind hinterher angefressen. Ist mir im November bei einem IT-Security Vortrag so gegangen, als ich die anwesenden ISO 27001 Auditoren als Quacksalber bezeichnet hatte 🙂
Comment by Christian — 31. März 2009 @ 22:37
Hihi, „Quacksalber“. Naja, die können ja nix dafür und es gibt auch gute, die es schaffen nicht Lösung oder Vorgehensweise/Dokument X in Anzahl n verkaufen zu wollen, sondern wirklich die Unternehmen beraten.
Gegens Verzetteln: Die Meisten haben pro Folie eine Redezeit von mind. 3 Minuten (!). Für 90 Minuten reichen mir 45 Folien locker. Und lieber 5 Minuten vorher fertig, als 10 zu spät.
Comment by Toby — 1. April 2009 @ 13:49
Reine Vorträge kriege ich zeitlich schon hin. Nur meine Live Hacking Sachen arten fast immer aus. Das mag auch daran liegen, daß ich mich dabei nie an das Programm halte sondern gerne mal was ausprobiere, das ich noch nie gemacht habe …
ISO 27001-Auditoren … ich hab da gerade mit einem zu tun, der seinem Kunden, sprich dem auditierten Unternehmen, immer nur Zettel in die Hand drückt auf denen dann z.B. steht: „Abweichung zu 10.4.1, zu beheben bis -naher Termin-„. Und wenn die dann Fragen wie das gemeint ist, dann sagt er, da müssen die sich selber was überlegen. Jetzt überlege ich mir immer was, möglichst streng nach Wortlaut der ISO 27001. Das wird (a) gut bezahlt und (b) ärgert es den Auditor, weil die Inhalte formal erfüllt werden aber das eigentlich nix bringt für die Security. Was für ein Quatsch.
Comment by Christian — 6. April 2009 @ 12:44
Ach, auch bei LiveHacking gehts mit der Zeit. Aber neue Sache probieren während des Vortrags ist ja fast schon grob fahrlässig 🙂
Zu dem Auditor: Wir hatten einen Fall, bei dem ein Kunde von einem Berater im BSC (Grundschutz) eine Ampel-Beratung erhalten hat 😉
Also Rot, Grün und Gelb. Warum, wussten weder die Ansprechpartner des Kunden, noch der Berater auf Nachfrage, da die Spalte „Kommentar“ leider leer war. Der Pre-Audit war daher unter aller Sau und der Berater ist hochkant rausgeflogen. Immerhin..
Zu einer guten Beratung gehört eben Transparenz. Sowohl der Methoden, als auch der Ergebnisse. Das übersehen leider einige.
Comment by Toby — 6. April 2009 @ 17:32
Tja … ich kann mich an einen Kunden erinnern, bei dem der Auditor alle Linux-Systeme im Auditbericht als „gemeingefährlich“ bezeichnet hatte, weil der gute und erfahrene Linux-Administrator des Kunden leider nicht formal zertifiziert war.
Der gleiche Auditor hat sich dann auch fürchterlich darüber aufgeregt, daß die Reihenfolge der Regeln auf der Symantec SGS kreuz und quer durcheinander war. Der Dödel war der Meinung, die Reihenfolge spiele da eine Rolle.
Ich denke mir da gar nix mehr, das sind alles Quacksalber 😉
Comment by Christian — 6. April 2009 @ 19:31
Hach, ich sollte ne neue Webseite aufmachen. So ähnlich wie German Bash oder iBash, nur halt Auditoren-Bash 🙂
Comment by Christian — 6. April 2009 @ 19:32
Haha, da wär ich dabei. Und ich kenne genügend Kunden, die da auch ihre Freude dran hätten.
Comment by Toby — 7. April 2009 @ 08:37
Kommentare gesperrt wegen Spam
Comment by Christian — 6. Juli 2009 @ 00:54