MoR: IT-Security - Data Breaches und Package Manager

MoR: IT-Security - Data Breaches und Package Manager
An jedem letzten Donnerstag eines Monats treffen sich Münsters Entwickler und Technologie-Interessierte zu Monster on Rails (MoR). MoR findet zur Zeit in den schönen, neuen Räumlichkeiten von zweitag statt und wird von uns mit Freude unterstützt. Letzten Donnerstag fand ein MoR zu einem hoch aktuellen Thema statt: IT-Security. Dieses Thema hat besonders durch die NSA-Affaire und den letzten Data-Breaches von großen Unternehmen wieder erheblich Fahrt aufgenommen.

Der erste auf der Bühne war Jan, dieser startet mit einem Einführungstalk zum Thema IT-Security und warum und wieso wir als Entwickler IT-Security verstehen und anwenden sollten.Jan stellte heraus, dass IT-Security auf allen Ebenen implementiert werden muss, das heißt es erfordert mehr als ein sicheres Passwort um ein System gut zu schützen. Er erklärte, dass man durch das aktivieren von Perfect Forward Secrecyauf dem Server sowie das Absichern aller User-Verbindungen mittels Transport Layer Security schon einiges bewirken kann.Des Weiteren ging Jan auf sicheres E-Mailing ein, mittels PGP und S/MIME und abschließend erläuterte er am interessanten Sony Data Breach wie schwer solch ein Datenabfluss ein Unternehmen trifft.Jans Hauptaussage: Verschlüsselt alles, auf allen Ebenen: User-Verbindungen, Datenspeicher, etc.

Der zweite Talk wurde von Johannes gehalten und behandelte das Thema Security of Package Managers. Obwohl Package-Manager uns die tägliche Entwicklungsarbeit erheblich erleichtern, können sie einen ungeahnten Bummerangeffekt haben. Johannes brachte die Zuhörer zum Nachdenken ob die täglichen Gewohnheiten sicher genug sind mit der Frage ob ein jeder die Implementierung von den verwendeten Open Source Paketen kennt und sich sicher sein kann, dass dort kein Schad-Code eingeflossen ist. Hands-on zeigte er wie einfach es ist Schad-Code versteckt in Pre- und Post-Hooks von bekannten Package Managern wie NPM, RubyGems oder pip unterzubringen.Abschließend listete auch Johannes einige Data-Breaches auf und ging am Ende noch auf ein Tool namens RubberDuckyUSB ein – ein echt fieses Teil mit dem man einfach in ein System einbrechen kann, sofern man physischen Zugriff zu diesem bekommt.

Wir freuen uns schon auf das nächste Meeting am 24.04.2014. Dann mit den Themen Docker und Mobile-Development mit Phonegap.

Über Monster on Rails

Die “Monster on Rails” User Group Münster beschäftigt sich mit Themen rund um Ruby on Rails, diskutiert aber auch über Technologien die das Ruby Ökosystem betreffen, wie z. B. Sinatra, Javascript, node.js und NoSQL. In der Regel treffen wir uns immer am letzten Donnerstag im Monat. Nach einigen Vorträgen zum jeweiligen Thema beenden wir den Abend in entspannter Atmosphäre bei einem Bier. Wir freuen uns über jedes neue Gesicht!

Sie suchen den richtigen Partner für erfolgreiche Projekte?
Nehmen Sie Kontakt mit uns auf →