22. September 2007

Fragen an Bewerber + Quiz

Category: Literatur,Offtopic,Work — Christian @ 02:40

Daniel Miessler hat 10 Fragen für ein Security Interview und passende Antworten zusammengestellt:

  1. Where do you get your security news from?
  2. If you had to both encrypt and compress data during transmission, which would you do first, and why?
  3. What kind of computers do you run at home?
  4. What port does ping work over?
  5. How exactly does traceroute/tracert work?
  6. Describe the last program or script that you wrote. What problem did it solve?
  7. What are Linux’s strengths and weaknesses vs. Windows?
  8. What’s the difference between a risk and a vulnerability?
  9. What’s the goal of information security within an organization?
  10. Are open-source projects more or less secure than proprietary ones?

Während ein paar Fragen technisch sind und einige recht philosophisch, geben sie doch einen knappen Überblick der Fähigkeiten des Kandidaten. (via Security4all)

Das erinnert mich an einen Fragebogen, den wir bei einem ehemaligen Arbeitgeber allen zukünftigen Netzwerktechnikern unter die Nase gehalten haben. Inzwischen sind die Fragen natürlich etwas veraltet, ISDN und X.21 spielen z.B. keine große Rolle mehr (ooooh it’s so 1999), aber ich denke man erkennt die Idee. Meine Lieblingsfrage ist immer noch Nr. 15, heute würde ich aber nach RFC 3093 fragen 🙂

  1. Wofür steht die Abkürzung „ICMP“?
  2. Auf welchem Protokoll setzt „ICMP“ auf?
    (Auswahl: Ethernet, TCP, UDP, IP)
  3. Welche der aufgelisteten Protokolle dienen _nicht_ zum Austausch von IP Routinginformationen?
    (Auswahl: SNMP, HSRP, ICMP, BGP, RIP, OSPF, EGP, ARP)
  4. Bitte beschreiben Sie die Funktionsweise des „ARP“ Protokolls.
  5. Auf welchem der genannten Protokolle setzt „ARP“ auf?
    (Auswahl: UDP, ICMP, IP, Ethernet, TCP)
  6. Was ist ein „RFC“?
  7. Beschreiben Sie die konzeptionellen Unterschiede von „PAP“ und „CHAP“.
  8. Wofür steht „CIDR“ und was versteht man darunter?
  9. Bitte beschreiben Sie kurz die grundsätzliche Funktionsweise des „RADIUS“ Protokolls.
  10. Welche Vorteile bietet „OSPF“ im Vergleich zu „RIP“?
  11. Bitte beschreiben Sie die wichtigsten Unterschiede zwischen „RIP-v1“ und „RIP-v2“.
  12. Wofür steht die Abkürzung „OSPF“?
  13. Wofür steht die Abkürzung „SNMP“?
  14. Bitte beschreiben Sie die Unterschiede zwischen „FTP“ und „TFTP“.
  15. Bitte beschreiben Sie RFC 1149 „A Standard for the Transmission of IP Datagrams on Avian Carriers“.
  16. Bitte beschreiben Sie die Funktionsweise von „ping“ bei IP.
  17. Wofür steht „BGP4“ und wo wird dieses Protokoll eingesetzt?
  18. Bitte beschreiben Sie die Funktionsweise des „DHCP“ Protokolls.
  19. Welches der aufgelisteten Protokolle wird bei PPP für die Zuweisung dynamischer IP Adressen an Dialin-Clients verwendet?
    (Auswahl: BOOTP, DHCP, ICMP, IPCP, ARP)
  20. Bitte beschreiben Sie kurz den TCP Verbindungsaufbau.
  21. Welche dieser Organisationen ist für die Zuweisung offizieller IP Protokoll- und Portnummern zuständig?
    (Auswahl: ITU, IANA, ISOC, IEEE, RIPE, IETF, InterNIC)
  22. Was hat man unter „Multi Homed“ in Zusammenhang mit einem Internet-Zugang zu verstehen und was ist hierfür nötig?
  23. Was bedeutet „FTP Passive Mode“?
  24. Bitte erklären Sie kurz die Begriffe „Unicast“, „Multicast“ und „Broadcast“.
  25. Beschreiben Sie die Funktionsweise von „traceroute“.
  26. Welche Auswirkungen hat eine niedrige TCP Windowsize auf die Übertragungsgeschwindigkeit von grossen Datenmengen (bulk transfer) und warum ist das so?
  27. Welche Adressen stehen Ihnen bei dem Subnetz 192.168.1.192 mit der Netzmaske 255.255.255.192 zur Verfügung?
  28. Welche Adressen stehen Ihnen im Netz 192.168.4.0 mit der Netzmaske 255.255.254.0 zur Verfügung?
  29. Was ist ein Transfernetz und wofür wird es benötigt?
  30. Was versteht man unter „Tunneling“?
  31. Nennen Sie mindestens drei IP Tunneling Protokolle.
  32. Bitte beschreiben Sie die grundsätzliche Funktionsweise eines Ethernet Switches.
  33. Beschreiben Sie die Schnittstelle „X.21“.
  34. Was ist die Aufgabe der „ITU“ und wofür steht diese Abkürzung?
  35. Beschreiben Sie die Unterschiede zwischen einem ISDN Point-to-Point und einem Point-to-Multipoint Anschluss.
  36. Welche Bandbreite ist bei einer Standardfestverbindung des Typs „2MS“ der Deutschen Telekom AG nutzbar?
  37. Wie viele Byte pro Sekunde können theoretisch über eine 2MBit/s Standleitung maximal übertragen werden?
  38. Wie viele KBytes sind ein MByte?
  39. Wie gross kann ein IP (Version 4) Paket maximal sein?
  40. An welcher Stelle werden fragmentierte IP Pakete wieder zusammengefügt?
    (Auswahl: beim ersten Router, der IP Fragmente auf dem Weg zum Empfänger bekommt; beim letzten Router auf dem Weg zum Empfänger; durch den TCP/IP Stack des Zielrechners; durch das Anwendungsprogramm auf dem Zielrechner, für das die Daten bestimmt sind)
  41. Welche Unterschiede bestehen zwischen UDP und TCP?
  42. Beschreiben Sie IP Source Routing.

Die Anzahl der Fragen ist übrigens nicht zufällig und natürlich haben wir beachtet, ob einem Kandidaten das auffällt.

Ach ja, Lösungsvorschläge für die unteren 42 Fragen bitte an cgr@mitternachtshacking.de. Der Gewinner erhält einen USB-Stick, bei mehreren gleichen Einsendungen entscheidet das Los. Einsendeschluß ist der 16. Dezember, Mitternacht (Datum des Eingangs meines Mailservers), der Rechtsweg ist ausgeschlossen.

20. September 2007

Multics Security

Category: Literatur,Produkte — Christian @ 22:40

Multics … schon mal gehört? Nein? Vielleicht im Zusammenhang mit den Anfängen von Unix? Ab 1963 von AT&T und anderen in der Programmiersprache PL/I entwickelt bis 2000 auf Installationen verschiedener Hersteller in Betrieb.

Multics hatte 1963 bereits ein besseres Sicherheitskonzept als die meisten modernen Betriebssysteme. Hier eine Beschreibung der Funktionen (PDF). Sehr lesenswert, auch die Literaturliste.

10. September 2007

Presseschau zum Bundestrojaner (Teil 5)

Category: Datenschutz,Literatur,Politik — Christian @ 23:28

Nachdem N-TV ja die Nachrichten von Sat.1 produziert, können wir vermutlich davon ausgehen, dass die N-TV Webseite auch die autoritative Nachrichtenquelle der ProSiebenSat.1 Media AG ist. Deshalb interessiert es mich durchaus, im Vergleich zur eher linken Süddeutschen Zeitung, der rechten Welt, der konservativen FAZ und der öffentlich-rechtlichen ARD, was die privaten Sender so dazu schreiben.

Insgesamt kommt mir die Berichterstattung bei N-TV überraschend kompetent und kritisch daher, ganz im Gegensatz zur scheinbar seriöseren Welt. Der folgende Absatz aus dem Kommentar vom 13.07.2007 ist bezeichnend:

    Würde der Regierung tatsächlich an der öffentlichen Sicherheit gelegen sein, hätte sie nicht tatenlos zugesehen, wie seit dem 11. September 2001 tausende (!) Stellen bei der Polizei gestrichen wurden. Die kosten allerdings Geld – ganz im Gegensatz zur sinnfreien und hysterischen Debatte über „gezielte Tötungen“ und Online-Razzien. Das wirft letztlich die Frage auf, ob der Innenminister, der diese Debatte betreibt, sich lediglich als „harter Hund“ profilieren will, oder ob bei diesem Mann, der immerhin durch einen Anschlag schwer traumatisiert und fast um seine Karriere gebracht wurde, noch mehr dahinter steckt. Beide Alternativen sind allerdings nicht gerade ermutigend.

Sehr gute Einschätzung.

2. September 2007

Presseschau zum Bundestrojaner (Teil 4)

Category: Datenschutz,Literatur,Politik — Christian @ 00:24

Teil 4: Die Welt Online

eine Zeitung der reaktionären Springer-Presse

Der Springer-Verlag ist schon krass. Während alle seriösen Online-Medien in den letzten Tagen externe Experten (z.B. vom CCC) an Bord geholt haben und die Kritik am Vorgehen Schäubles von allen Seiten mit Ausnahme der CSU zunimmt, kommt kaum ein Wort der Kritik auf die Seiten des Springer-Verlags. Ich wusste ja, dass Springer unbeirrt hinter Schäuble her rollt, aber so extrem habe ich das nicht erwartet. Eigentlich sollte man die gar nicht verlinken.

1. September 2007

Presseschau zum Bundestrojaner (Teil 3)

Category: Datenschutz,Literatur,Politik — Christian @ 18:49

Teil 3: Die öffentlich rechtlichen ARD und Dritte

ARD (nur Textbeiträge, keine Videonachrichten)

WDR:

Außerdem einige Zusammenstellungen:

31. August 2007

Presseschau zum Bundestrojaner (Teil 2)

Category: Datenschutz,Literatur,Politik — Christian @ 00:58

Teil 2: Frankfurter Allgemeine Zeitung

Die begründete Kritik des Stern diffamiert die FAZ leider mit dem Kommentar, die Nachfolger Henry Nannens üben sich im Widerstand. Dabei hat der Stern nicht unrecht mit diesem Kommentar:

Der Innenminister: das ist der Mann, der „das Geschäft der Terroristen besorgt, indem er die freiheitliche Gesellschaft so abschnürt, dass die Freiheit stirbt“.

Update folgt.

30. August 2007

Presseschau zum Bundestrojaner (Teil 1)

Category: Datenschutz,Literatur,Politik — Christian @ 00:52

Ich muss mir mal ein paar Links aufheben:

Teil 1: Süddeutsche Zeitung:

Update:

Weitere Updates folgen.

21. Juli 2007

Milw0rm Papers

Category: Hacking,Literatur — Christian @ 07:02

Hier in den Milw0rm Papers muss ich demnächst auch noch ein wenig Zeit verbringen …  nur zur Erinnerung an mich selbst 🙂

7. Juni 2007

Check Point VPN-1 Power bei Amazon

Category: Literatur — Christian @ 00:22

Das Check Point Buch ist jetzt bei Amazon aufgetaucht:

    Check Point VPN-1 Power
    Yasushi Kono
    1024 Seiten
    Galileo Press, Juli 2007
    ISBN: 3898428974
    ISBN-13: 978-3898428972

Ich weiß jetzt nicht genau, wieso Amazon da meine Bewertung aus dem Blog geklaut hat, mich hat jedenfalls niemand gefragt. Ist aber eigentlich auch egal, ich würde meine Texte auch unter CC-BY-NC oder so freigeben. Nur richtig verlinken hätten die Jungs schon können. Jedenfalls ist es dem Mitbewerber (Danke, Matthias) bereits aufgefallen 🙂

Disclaimer: Ich habe das Buch korrekturgelesen und das Geleitwort geschrieben und Yasushi ist ein recht guter Freund von mir. Das war’s aber auch schon, ich verdiene nichts daran.

Ach ja, denkt bitte daran: Der Buchhändler um die Ecke kriegt das Buch genauso schnell her wie Amazon, es kostet genau das gleiche und ihr tut was gutes für Euer Stadtviertel. Die Buchhandlungen sterben bekanntlich zuerst und die Sonnenstudios und Dönerbuden bleiben übrig.

1. Juni 2007

Pirates and Emperors

Category: Literatur,Offtopic — Christian @ 21:10

Das wollte ich schon länger mal verlinken:

Pirates and Emperors

ein sehr schöner Kurzfilm von Eric Henry.