 Herzlich willkommen zum Nachmittagstalk Nr. 1. Nachdem wir die Technik jetzt am Laufen haben, darf ich den Felix begrüßen zum Talk Trauer keiner App, die du nicht selbst getestet hast und wie man so eine App testet, bevor man sie freigibt. Das erzählt euch jetzt Felix. Viel Spaß. Danke, danke und moin moin. Ich freue mich, dass der Vortag auch angenommen worden ist. Ich mache gleich Werbung. Ihr könnt mich heute noch zweites Mal sehen. Es gibt von mir noch ein Vortag über Unterwasserfotografie. Der ist auch ganz cool, der hat schöne Bilder. Heute habe ich weniger schöne Bilder dabei. Ja, werfen euch hat schon solche Situationen gehabt, irgendetwas dabei kommt. Hey, ich habe eine tolle App. Darf ich die installieren? Okay, ein paar Leitgeplagte sieht man. Was denkt sich der Admin? Hä? Was willst du? Warum willst du jetzt die App haben? Ja, der Mail client ist super. Der ist schön. Schön ist also ein neues Business-Kriterium. Ja, nein. Aber irgendwann gewinnt der Mitarbeiter doch und sagt, ich will das jetzt aber haben. Das heißt, man muss sich es mal angucken. Was macht man dann? Gibt mal die App her, ich schaue sie mir mal an. Was sind zumal die Preise, die man zahlt für sowas? Der Mail client ist der Klein, der einzigend im Apple Mail put notifications machen kann. Der kann Krypto, der schaut super aus. Wenn man überlegt, wie funktioniert das? Wie funktioniert bei Apple, bei Android und Co. dass das put notifications kommen? Da muss der andere Surfer ja wissen, dass da Daten sind. Haben wir uns mal ein paar Apps angeguckt. Unsere Lieblings-App war die Outlook-App von Microsoft, wo wir gesagt haben, Microsoft weiß garantiert, wie man es macht. Ja, sie wussten es nicht. Sie haben es immer noch so. Wer seine Passwörter in den USA gelagert haben möchte, die Outlook-App ist super. Für die anderen Mail clients haben wir uns auch angeguckt. Ja, was macht der Klein? So ein Klein schaut erst mal, ach, lock dich mal ein. Wunderbar, denn wenn es funktioniert, ich sende ihn mal nach Hause. Dann kann sich das auf Push machen. Es ist so ein Standardphänomien von allen unseren Clients gewesen, wie wir gesehen haben. Der Mail client schickt erst mal alle Zuführungsdaten sich nach Hause. Es ist ganz nett, wenn es jetzt so ein Marketing-Darbeiter ist. Wenn es der Account vom Geschäftsführer von einem Admin ist, der auch Office-Treffensätzlich verwalten kann, ist das denkbar uncool, dass dem ein Passwort bei einem anderen Hoster legt. Genau. Wir haben das aber auch bei anderen Dienstleistern gehabt, dass irgendwie die Dienstleister immer gerne in Lock-Dateien im Debugging alle Daten nach Hause geschickt haben. Deshalb habe ich meinen Aufruf drauf, keine App, die du nicht selbst getestet hast. Es gibt wunderschöne Hilfsmittel, wenn man testen möchte. Ich habe den Vortrag bewusst nur relativ kurz eingereicht. Mein Lieblingstool am Mac ist Charles-Proxy. Das ist das Anwenderfreundlichste. Man kann es aber auch mit TCP-Dumps und Ähnlichem machen. Was macht man? Man stiebelt seinem System einfach nach Rout-CA runter oder stellt eines selbst und knackt einfach mal SSL auf. Was sehr traurig ist in der Stelle, wie viele Apps-Anbieter keinen SSL-Pinning haben. Ich habe es gestern Nacht noch mal getestet. Ich hatte gehofft, dass eigentlich kein Test mehr funktioniert. Facebook hat gewonnen, bei Ihnen funktioniert es nicht mehr reinzuschauen. So der Rest der Apps, Microsoft, man kann wunderbar alle Zfikate aufmachen, wenn in der Mitte stört die Apps nicht. Gut, was macht man? Ich habe es am iPad auch mal gemacht. Da gibt es die App für einfach eine Logo-Closed VPN, geht der ganze Treffig durch. Habe ich mal das Beispiel gebracht, wir richten ein Exchange-Konto an. Der Anbieter, Nein-Mail, der hat dazugelernt, nachdem ich einen längeren Disput mit mir hatte, dass es uncool ist, eigentlich passbar dazu übertragen. Unterdessen nutzen Sie auch Anwendungstokens und registrieren sich als reguläre Mailclient bei Office 365 oder beim Exchange-Surfer. Es geht also, Microsoft könnte es auch machen, Sie wollen nur nicht. Sie haben schon so ein bisschen Kommunikation zwischen dem Mail-Surfer hin und her. Erst mal, wer bist du? Dann kommen so Antwort. Ich bin ein folgender Client. Ich habe folgende Identifizierung. Das hier ist meine Client-ID, theoretisch. Es ist eigentlich genau das, was man haben möchte. Es wurde kein einziges Passwort übertragen. Login für den Auftok, machen es unterdessen auch über Web-Proser, wo dann einfach der Session Token erstellt wird. Das peinlich ist, das machen kaum Anbieter. Am Ende haben wir dann wirklich ein Exchange-Konto, wo Feed bekommt. Das sind deine Username, das sind deine Email-Adressen. Herr Fun, jetzt funktioniert es. Wir hatten das bei den meisten Anbietern radikal wirklich Passwörter und Akku rausgelegt. Reaktion des Swiss Admins, ja, dann machen wir App-Passwörter. Ist trotzdem irgendwie uncool, dass die Surfer in den USA immer alle Zwungstaten haben. Was war hier vorgestanden? Ich reite das ein bisschen auf Ninemail rum. Ninemail hat davor bei jedem Start der App, dass er im Surfer nach Hause telefoniert und gesagt, hey, übrigens, den Kleinen gibt's noch, das ist das Username, das ist der Passwort. Schau doch bitte regelmäßig. Da ging dann so ein paar Mal am Tag so ein Klartext, Passwort vom Atmen rüber, Passwort von Mitarbeitern. Es fanden irgendwie alle bei uns derart uncool, dass man gesagt hat, lasst es. Es gibt nur keine echte Möglichkeit, das zu blocken, außer man sperrt den Mitarbeitern immer alles Sachen. Noch besser. Wer von euch hat schon mal unter einem CRM gelitten? Nur einer. Du hast mein Mitleid. CRM ist das, wofür wir uns sagen, alle müssen ihr Daten ins Customer-Management eintragen. Das muss so leicht wie möglich gehen. Da kommt dann irgendwann so ein Sales-Mensch, der sagt, ja, wir haben deine Integration in Outlook. Was bedeutet so was in den Regeln? Die Autointegrationen funktionieren, wenn man es nicht lokal installiert, über irgendwelche Reverse-Proxies und Ähnliches. Wie ich habe es einmal testweise gestartet. Wem würde gefallen, was da übertragen wird? Also, ich verstehe, dass man den Lizenzschlüssel überträgt. Man muss das Lizenz funktionieren und passt, dass man das Ganze aber regelmäßig macht mit, übrigens, das User-Passwort lautet, der lokale Username lautet, der E-Mail-Account lautet und das sind so viele Daten rüberlaufen bei jedem Start. Das ist doch denkbar kritisch. Daher haben wir da auch dann irgendwann gesagt, so die meisten Apps, die man nutzen möchte kommen, kann man einfach nicht machen. Wir haben aktiv angefangen, auch wirklich Sachen zu testen. Deshalb, ich bin in meinem Vortrag relativ schnell, finde ich auch gut. Die Folie ist doppelt reingekommen. Habt ihr einen Fragen an der Stelle? Wunderbar. Da die Technik nämlich nicht wollte, dass ich das iPad mit anschieße, fällt mir der Live-Teil weg, wo ich einmal so gezeigt hätte, wer sonst noch alles geht. Ich kann euch nur einladen, nutzt es und testet das Ganze. Es gibt wunderbar viel Twerfe, der entsteht. Hockey, App und Co. Wo auch das Log-Datei nun hergehen. Es ist spannend, was so ein Handy oder Tablet, so ein Gerät kommuniziert in meiner Bachelor, in meiner Master-Betal habe ich es gehabt. Wenn man einmal sich nur den Netzwerk Twerfig anschaut, so ein Debian-Surfer hat über einen Tag hinweg ungefähr acht Anfragen gemacht. So ein Windows 10 waren wir beim Tag bei knapp 300.000 Anfragen. Man sollte reinschauen, was so die Pakete kommunizieren. Ubuntu war auf Platz zwei übrigens mit der GUI-Variante. Das hat, glaube ich, so 100.000 Anfragen gemacht in einem Tag. Fand ich so, was Calling Home an geht, auch nicht cool. Schaut es wirklich rein, was an Daten übertragen wird, nutzt die Tools. Und ein Live-Teil ist leider etwas kürzer, ist der Techniker jetzt geschuldet. Habt ihr Fragen? So, jetzt hast du auch ein Mikro. Die Frage war, wie kommt man an die Log-Informationen ran? Genau, als kleiner Solusatmen frage ich mich natürlich, gibt es da Tools, die mich dabei unterstützen, um sowas zu analysieren und unter Umständen auch einfach dann rauszublokieren. Gutes Blockieren ist die zweite Sache. Wie kann ich die Daten einsehen? Du musst wirklich einen Reverse-Proxy im Netzwerk haben, der alles aufbrechen kann. Wir haben es einfach in einem Testnetz gemacht, wo wir auf dem Mac der Einigkeit halber wirklich zu unseren SSL-Proxy zwischenlaufen lassen haben und auch nur gezielt Testnetz- oder Test-Kleins getestet haben. Testaufbrechen von SSL ist standardmäßig nicht so cool. Also eigentlich gar nicht. Ab dem Moment, wo wir TLS-1.3 haben, wird das Ganze nochmal nur mal für sich, weil das kann man nicht mehr aufbrechen. Da muss man dann wirklich kreativ werden oder sowas komplett blocken. Aber wie kann ich es einsehen? Du musst einen SSL-Proxy, der es aufbricht, dazwischen haben. Story aus meinem Berufsumfeld. Diesen Proxy haben so gut wie alle versichere Banken und Co. mit drinnen. Die schauen komplett radikal, sind 90 Prozent in den Treffig rein und brechen alle Zertifikate auf, außerdem von Banktreffig, weil es da etwas gesetzlich auflangablasst, das nicht machen durften. Weitere Fragen. Dann ist das wohl der Rekordkürzeste Vortrag, den wir jetzt hier haben. Ja, also ist halt dem Life-Teil geschuldet, der fehlt. Das ist halt wirklich, nutzt die Apps. Wer kein App kaufen will, einfach hat die Speed damit laufen lassen. Wer das Ganze auf großer Netzwerkebene anschauen möchte, wer von euch hat von Flow Records gehört? Einer? Ihr dürst die Masterarbeit gegenlesen. Also, danke nochmal fürs Masterarbeit gegenlesen damals. Flow Records ist eine Technik, wo man quasi Metadaten aus Netzwerkflüssen mitlesen kann. Die meisten Enterprise-Geräte können das auch machen. Der Vorteil ist, gegen sie zu einem Mirrorport, man mir wird nicht den Treffig, sondern nur die Metadaten. Quelle, Ziel, welche Paketart ist es, aber nicht das ganze Paket. Da ich schaffe uns auch große Netze mit wenig Aufwand zu monitoren. Das ist das, was auch bei mir in der Thesis drin war, wo man wirklich rausfinden kann, wo man wird kommuniziert und wo man auch statistischen Verfahren feststellen kann. Was für ein Gerät ist es, welcher Petstand ist es, wo man sich als Glück finden kann oder auch unerlaubt Schatten-IT finden kann? Gibt es auch einen Vortrag von mir aufgezeichnet? Jetzt musst du laufen. Gibt es einen Link zu deinem Vortrag und vielleicht zu deiner Thesis, dass man sich das irgendwo anzäunen kann? Reiche ich noch in die Notizen nach. Die Folien sind dann auch online. Weitere Fragen? Einmal da vorne. Gibt es selbst die Mehrsehen machen zum Testen als andere? Nochmal bitte. Gibt es selbst die Mehrsehen machen zum Testen als andere? Eigentlich jede. WhatsApp-Testen kann man sich glauben und dessen sparen. Da wissen wir schon, dass es scheiße ist. Ansonsten, man sollte eigentlich jede App testen. Wir sehen uns jedes Jahr aufs Neue, wo unsere Bank-Apps aufgemacht werden. Quasi alles, wo ihr irgendwo vertrauliche Daten rüberlaufen habt, personenbezogene Daten. Ich erinnere an mein DSGVO-Vortrag von gestern. Schaut euch einfach die Apps an. Oder schaut euch einfach mal euer Gerät an, was ihr das Gerät im Hintergrund macht. Es ist sehr spannend, wenn man auch einfach sieht, was da passiert. Master Don, wurde es schon getestet, oder wäre ... Ich habe Master Don noch nicht getestet. Ich glaube, da gibt es genug, die das anschauen. Muss man einfach mal prüfen. Okay, danke. Haben wir noch weiterfragen? Hattest du noch nie Probleme mit Zertifikatpinning, wenn du das aufgebrochen hast? Facebook. Das Einzige? Die ersten bei den Apps, bei denen es jetzt wirklich im großen Enterprise-Umfeld im Slung ist, war Facebook-Facebook-Messenger. Die anderen haben es tatsächlich aufbrechen lassen. Wahrscheinlich auch, weil es dadurch im Firmennetzten funktionieren, weil die Firmenproxies brechen zwangsweise auf. Ist etwas annüchternd. Es recht, wenn man weiß, wie lange schon gepredigt wird Master-Tifikatpinning. Leider weitere Fragen. Gibt es eine Möglichkeit, den HTTPS-Verkehr dann zu filtern, wenn man eine App unbedingt nutzen möchte und da Schwachstellen festgestellt hat? Im privaten Umfeld kaum. Auf den mobilen Geräten noch weniger, weil die hast du so wenig Unterkontrolle. Eine Mobile-Device, zwangsweise über VPNs, irgendwo reinzwingend, funktioniert meistens nicht. Was die Firmenkunden, bei denen ich unterwegs bin, machen, ist wirklich, dass ein Mac-Effy-Proxy davorhängt, der wirklich Packet-Inspection macht, wo riesige Cluster drinnen hängen, wirklich alles aufmachen und untersuchen. Und erfahrungsgemäß, selbst die Krieg des Kunden kriegst dich auf die Reihe Sachen sauber zu filtern. Beispiel, man hat zwar Skype for Business eingerichtet, aber wenn man Office-Dizents nutzt, muss man zu den Microsoft-Surfern freischalten. Das Microsoft-Cluster hat leider auch Skype für privat mit freigeschaltet drinnen. Das heißt, niees Skype for Business-Netz, was irgendwo Office-Dizents dahinter hat oder das Modell, kann immer private Skype-User dazu hinzufügen. Selbst bei den ganzen Kunden, wo ich unterwegs bin, die schaffen es nicht. Wie reagieren denn die Dienstanbieter auf entsprechende Kritik? Wenn man den mal vorlegt, hier, pass mal auf, dass mein Passwort unverstesselt übertragen, beziehungsweise warum liegt das überhaupt bei dir? Also, Nein-Mail war der Anbieter, die hatten von mir so ein Responsible Shop bekommen, mit, wollt ihr das wirklich? Die machen nur dessen eine Warnung, da haben, bis sie den Patch gemacht haben, die ich jetzt gezeigt habe, eine Warnung gebracht. Achtung, die Passwort wird zu uns übertragen. Wir speichern es sicher, aber wir speichern es bei uns. Der Dessen haben sie auf die Token-Variante geändert. Die haben es gar nicht mehr. Der CRM Software Anbieter, der hat gesagt, Wayne, ich bin in den USA, leck mich. Ja, mit dem haben wir auch keine Geschäftsbeziehungen mehr. Aber das kann passieren, das passiert relativ häufig. Das gewisse Anbieter einfach sagen, nicht mein Problem. Du willst die Software, nutze sie so. Weitere Fragen, Anmerkungen, Wünsche? Hey, also Startpinning sollte dich auch nicht abhalten vom Testen. Du kannst zumindest mal unter Mac oder iOS mit Studio, wenn es kaputt Shadeboken ist, eher so einen tollen SLK Switch unsere laden, ernsthaft sogar per Schalter das deaktivieren. Das hat bisher bei mir immer gefunktioniert. Notfalls irgendwie mit Frieda direkt Funktion austauschen, oder Quote-in-check-China. Wenn ich den Vorschlagkammer rausfohle, dann geht das. Ich habe hier wirklich von nicht aufgenackten Geräten gesprochen. Also der Einwand ist sehr berechtigt, wenn man das Gerät aufmacht und den Appcode so verändert, dass dann das certificate pinning raus ist, dann geht's. Wir haben halt die App so getestet, wie sie auch vorkommen. Testaufwand ist übrigens pro App, wenn man es sinnvoll macht, knapp bei vier Stunden mindestens, weil teilweise Funktionen auch einfach Hintergrund aufgerufen werden, dass nicht regelmäßig kommen. Fünf Minuten App-Angucken reicht nicht aus. Gut. Mikrofon bitte. Der Stream freut sich immer. Ist jetzt nicht so ganz im Thema, aber dabei, wenn Sie sagen, Sie kommen die 365er, also Office 365 Server und Skype-Servers hinter dem gleichen IP-Bereich versteckt, sozusagen. Kann man da die Windows Update Server davon trennen, oder ist das alles bei dem gleichen IP-Bereich? Zum Glück, die Windows Update Server laufen anders im Enterprise-Umfeld, wenn man sich die Windows Update Server lokale hält. Ja, aber leider, ich weiß, ich hab ein, oder ich hab drei, aber das Problem sind die Windows 10, 3, die kommen nicht sauber, wenn die Verbindung direkt zum Microsoft Office Server nicht läuft. Gibt es da eine Möglichkeit in dem Bereich, das zu trennen? Normalerweise ist die Update so komisch. Ich glaube, Apple ist auf Akamai umgestiegen, Ubuntu glaube ich auch, es hängt darauf an, über welche Disputoren wird die Updates laufen. Wenn dann CD-Ender hinter ist, sind es andere IP-Rangels wie beim Office-Netz. Geht nix. Aber explizites Write-Listing ist extrem kompliziert. Leider. Gut. Ja, wenn wir dann keine Fragen mehr haben, vielen Dank fürs Zuhören und kommen. Und nochmal Applaus für Felix.