Sie sind hier: Startseite / Blog

Blog

Ausgezeichnet als "CSSLP Evangelist"

Da habe ich nicht schlecht gestaunt: Die (ISC)² schickt mir einen Auszeichnung und ernennt mich zum "CSSLP Evangelist". Weil ich den Mut besessen habe, in ein neues Zertifikat zu investieren.

Bei einem neuen Zertifikat besteht ja immer die Gefahr, dass es keine kritische Masse erreicht, oder dass es nicht anerkannt wird. Und der Aufwand für ein CSSLP-Zertifikat ist nicht gering. Als CISSP wurde dafür lediglich "erlassen", erneut einen Bürgen zu finden.

Die Auszeichnungsmedaille (siehe Bild) ist irgendwie typisch amerikanisch, liegt wertig in der Hand und schmückt nun meinen Schreibtisch.

29.04.2010 00:00

Python-Interface für OpenVAS OMP und OAP

Als Nebenprodukt der verteilten Massenscans mit OpenVAS habe ich ein Python-Interface für das OpenVAS Management Protocol (OMP) und das OpenVAS Administration Protocol (OAP) implementiert. Die beiden Pakete openvas.omp und openvas.oap sind unter der GPL 3.0 veröffentlicht und im Python Package Index zu finden. Dort finden sich auch weitere Informationen

Python Entwickler installieren die Pakete am einfachsten mit

easy_install openvas.omp openvas.oap
bzw.
pip openvas.omp openvas.oap
07.03.2010 00:00

Verteilte Massenscans mit OpenVAS

Für einen deutschen Konzern habe ich ein Konzept entwickelt, um Schwachstellentests für Massen von Geräten durchzuführen. Das Netz des Konzerns enthält zirka 130.000 Geräte, davon gehören ca. 80.000 ...

Wie in Konzernen üblich, haben wir gewachsene Strukturen, sprich: wir haben keine genauen Informationen, welche Geräte nun zu diesem Unternehmenbereich gehören und welche nicht -- letztere dürfen wir dann auch nicht anfassen, sonst gibt's Ärger. Erschwert wird das noch durch mobile User, die teilweise aus dem Ausland kommen. Network Access Control (NAC) gibt es in dem Netz natürlich nicht, das wäre ja zu einfach ;-)

Ich habe nun ein zweistufiges Konzept entwickelt: In der ersten Stufe werden alle bekannten Geräte herausgesucht -- das ist mühsam, aber sonst nicht weiter interessant. In der zweiten Stufe werden die identifizierten Geräte dann auf Schwachstellen gescannt. Das Konzept sieht folgende Punkte vor:

  • Webinterface,
  • Datenbank mit den Geräten, Gerätearten, Standorten und Scan-Aufträgen,
  • Geräte können nach verschiedenen Kriterien aus der Datenbank selektiert werden (Standort, IP-Adresse, Gerätetyp, etc.),
  • verschieden Scan-Profile, z.B. Arbeitsplatzrechner, Unix-Server, Windows-Server, Drucker,
  • im Unternehmensnetz verteilte "Sensoren", und
  • Ergebnisse werden zentral gesammelt.

Als Scanner ausgewählt wurde OpenVAS. Zum Einen, weil keine Lizenzkosten anfallen, zum Anderen, weil es sehr flexibel ist.

Leider soll das verteilte Scannen erst im Herbst 2010 implementiert werden. Aber OpenVAS hat ein Management-Schnittstelle (OMP), über die sich Scan-Jobs anlegen und starten lassen, und die Daten landen in eine sqlite-Datenbank. Damit waren "nur" ein paar Skripte nötig, um die gewünschte Funktion zu implementieren.

Die Eckpunkte sind: Ein Skript trägt die Scanaufträge in die Datenbank ein. Ein Cronjob sucht neue Scan-Aufträge, verteilt sie (per OMP) an die Sensoren, holt dort die Reports der fertiggestellten Aufträge ab und pflegt sie in die OpenVAS-Datenbank auf dem "Master". Auf dem Master läuft ebenfalls ein OpenVAS-Webfrontent (der gsa), um die Reports anzusehen.

03.02.2010 00:00

Vortrag über das Common Vulnerability Scoring System

Termine für Vortrag über CVSS

Die Termin für den Vortrag über das Common Vulnerability Scoring System (CVSS) stehen:

14.12.2009 00:00

Ist die IT-Security auf dem Holzweg?

Hartmut Goebel beim Security Panels auf der it-sa in Nürnberg

Hochkarätige Themen, hochkarätige Diskutanten: Ein Highlight des Kongressprogramms auf der it-sa – dem Treffpunkt des Who´s who der Sicherheitsbranche – ist das Security-Panel des (ISC)² und des it-sa-Veranstalters des SecuMedia Verlags.

(ISC)² versteht sich als eine Standesorganisation der Security-Branche und vergibt das hochkarätige Zertifikat der CISSPs (Certified Information Systems Security Professional). In der Expertenrunde debattieren demnach fast durchwegs CISSPs wie Hartmut Goebel von Goebel Consult, die über fundierte und langjährige Erfahrung in allen Bereichen der IT-Sicherheit zu Hause sind und die wissen, wovon sie reden.

Inhalt der Diskussion

Kaum ein Tag vergeht ohne Meldungen über neue Sicherheitslücken. DOS-Angriffe, Spam- und Malware-Atacken über Botnetze und Datenklau über Web 2.0-Anwendungen gehören zum Alltag der Sicherheitsverantwortlichen in den Unternehmen. Gleichzeitig professionalisiert sich die Internet-Schattenwirtschaft, sodass sich die Bedrohungslage weiter verschärft. Es stellt sich die Frage, ob die IT-Security so weitermachen kann wie bisher bzw. mit welchen Konzepten sie den Wettlauf mit Cyberkriminellen und Insider-Bedrohungen gewinnen will?

Ich möchte Sie herzlich einladen, unsere Diskussion bei dem Security-Panels auf der it-sa live zu verfolgen.

Dienstag, den 13.10.2009, 14—15 Uhr
Security Messe it-sa
Messe Nürnberg
Auditorium in Halle 5

Nach der offiziellen Runde bin ich gespannt auf Ihre Fragen und freue ich mich, mit Ihnen persönlich weiter zu diskutieren.

09.10.2009 11:30

CVSS - Common Vulnerability Scoring System

CVSS - Common Vulnerability Soring System CVSS Calculator GUI CVSS Calculator command line usage A Tool for calculating CVSS-Scores.

Features

  • platform independent (using Python and GTK)
  • copy & paste for CVSS vectors
  • colorful score indicator for easy visual feedback
  • supports CVSS Version 2
  • both GUI and command line usage

License

License granted

  • free for personal use

  • free for non-commercial use

  • free for commercial use for companies up to 49 employees

For detailed information please read the file 'LICENSE.txt' enclosed in the archives and displayed when running the Windows installer.

Download

Version 0.1:

For suggestions, bug reports, etc, please send us an email

.

10.08.2009 00:00

Fachartikel zu "Jericho" im iX Magazin

In der Juliausgabe der Zeitschrift iX erscheint ein Artikel von Hartmut Goebel über "Jericho"

Der Artikel "Eingerissen - Konzept Jerichio - kann man Firewalls abschaffen?"

Die Fachzeitschrift iX, die Schwesterzeitschrift der c't, ist eines der renommiertesten deutschsprachigen Magazine. Hartmut Goebel: "Ich bin schon ein bisschen stolz, auf meine zweite Veröffentlichung dort. Und die wird auch noch auf dem Titel angekündigt." Und das kann er auch sein.

Das Heft kann beim Abo-Service noch bestellt werden. Über den Heise Kiosk kann der Artikel aber auch einzeln erworben werden. Details hierzu: Heft 2009/07, Seite 112, Titel: "Eingerissen".

24.06.2009 00:00

Zertifiziert als CSSLP

Hartmut Goebel absolviert erfolgreich CSSLP-Zertifizierung

CSSLP LogoNach dem CISSP, nun der CSSLP. Das Zertifikat „Certified Secure Software Lifecycle Professional“ (CSSLP) bescheinigt Hartmut Goebel das Know-how, die Sicherheitsaspekte während des gesamten Lebenszyklus´ einer Software überwachen zu können. Denn nur so lassen sich die Schwachstellen in Anwendungen und Programmen wirtschaftlich und effektiv in den Griff bekommen. Nachweislich sind jedoch 70 Prozent aller Sicherheitsprobleme softwarebezogen und Sicherheitmaßnahmen werden erst als Reaktion auf eine Bedrohung oder nach einem Angriff am Ende des Softwarelebenszyklus hinzugefügt.

Das CSSLP-Zertifikat wird vergeben vom International Information Systems Security Certification Consortium - (ISC²), das auch die renommierte Zertifizierung zum Certified Information Systems Security Professional (CISSP) durchführt.

18.05.2009 22:35

Wiederwahl in den Aufsichtsrat von 7-it e.G.

Sicherheitsspezialist Goebel einstimmig in 7-it-Aufsichtsrat gewählt

Goebel Consult ist seit vier Jahren Mitglied bei der Genossenschaft 7-it. Die Mitglieder bieten IT-Dienstleistungen für kleine und mittelständische Unternehmen an. Seit drei Jahren ist Hartmut Goebel bereits im Aufsichtsrat der Genossenschaft tätig. Und auch auf der diesjährigen Generalversammlung stellte er sich für das Amt zur Verfügung: Er wurde einstimmig wieder in den Aufsichtsrat gewählt.

Hartmut Goebel bringt in seine Funktion als Aufsichtsrat ganz bewusst sein Know-how als Security Consultant mit ein. Er hat als konkretes Ziel definiert, ein hohes Niveau für die internen Prozesse der Genossenschaft zu gewährleisten. So kommunizieren inzwischen Vorstand und Aufsichtsrat ausschließlich verschlüsselt.

„Als Dienstleister für sicherheitsrelevante Kunden ist es unsere erste Pflicht, im eigenen Unternehmen hohe Standards zu pflegen. Wir freuen uns, dass Hartmut Goebel als Aufsichtsrat diese Aufgabe auch weiterhin kritisch und aktiv zu seinem Anliegen macht“, betont Aufsichtsratsvorsitzender Dieter Pohl.

06.05.2009 00:00

Kolumne CISSP-Geflüster startet

Kolumne von Hartmut Goebel auf „All about Security“

Anfang Mai startete Hartmut Goebel auf dem Web-Portal All About Security eine eigene Kolumne "CISSP-Geflüster". Die Kolumne berichtet monatlich aus dem Alltag eines CISSP (Certified Information Systems Security Professional), eines Sicherheitsexperten also, dessen täglich Brot es ist, sich mit allen Themen quer durch die IT-Sicherheit zu beschäftigen. Sie finden hier Einschätzungen, Tipps und Meinungen vom Experten.

Hartmut Goebel beschäftigt sich seit über zehn Jahren mit IT-Sicherheit und ist seit Mitte 2008 als CISSP zertifiziert.

 

04.05.2009 00:00