The Human Factor in Software Engineering

Jeder von uns kann das Opfer von Spionage werden, denn wir sind ja alle sooo interessant. Und die NSA (und andere Geheimdienste) haben unglaubliche Möglichkeiten. Gestern Abend war ich bei einem Vortrag des Chaos Computer Clubs zu diesem Thema: Stefan Leibfarth: "Prism, Tempora und Co. - Wie wir überwacht werden und wie wir uns verteidigen können".

Wie wir überwacht werden, können Sie hier und hier nachlesen.

Was aber tun, um sich und seine Daten zu schützen? Stefan Leibfarth empfahl die folgenden Maßnahmen:

• demonstrieren
• die richtige Partei wählen (bald sind Wahlen!)
• mit Ihrem Abgeordneten sprechen
• Open Source Software benutzen (in kommerzieller Software sind mit höherer Wahrscheinlichkeit Hintertüren eingebaut)
• Meiden Sie US-basierte Anbieter von Software und Dienstleistungen
• Datensparsamkeit: Nicht alle Kommunikation muss elektronisch erfolgen und Sie müssen in Formularen nicht alle Felder (korrekt) ausfüllen.
• raus aus der Cloud: Benutzen Sie keine Online-Speicherdienste
• Verwenden Sie ein sicheres Betriebssystem, z.B. Linux.
• Verschlüsseln Sie Dateien und E-Mails. Für die E-Mail-Verschlüsselung gibt es PGP-Plugins für Ihren E-Mail-Client, z.B. Enigmail für Thunderbird.
• Surfen Sie anonym, z.B. über Tor
• Verwenden Sie Ad-Blocker wie ABE
• Verwenden Sie einen Virenscanner. Für Linux gibt es ClamAV.
• Verwenden Sie die anonyme Suchmaschine DuckDuckGo
• Auf gar keinen Fall kapitulieren! Alles was Sie tun, ist besser als nichts.

Doing research alone is most efficient: You design your study as you always do, make fast decisions and let routine do the rest.
However, this approach can lead you on the street of overconfidence. Experts very fast believe to control even complex situations and that solutions that worked before will work in the next project, too. When reading Kahneman´s "Thinking fast, thinking slow", I applied what I read on the work of scientists. Of course, scientists are trained to think objectively, to separate facts from interpretation, to know how definitive a certain piece of information is. However, we are still humans with the related limitations of our brains. Being experts and knowing methods, having been successful, can make us trust our expertise too much, like this is the case for other experts, too.
Therefore, the more experience I have with research, the more I believe that a researcher should never work alone. Working in a team forces the researcher to justify all decisions when they are made (and not when a journal reviewer demands more clarification, what can lead to artificial posteriori justifications), all material is reviewed, potential misunderstandings by interviewed persons and experiment objects can be foreseen by a partner.
The research partner needs not be more experienced than you. Even students can be great partners, because you need to explain them every step and they ask questions which are even better than they themselves believe them to be. Encourage them to ask and doubt, and they will. It is interesting for them to see how difficult good research is and how important details can be. So, the discussions become part of their learning process.

Gestern also fand in unserer GI-Regionalgruppe der Vortrag "ISO this *" von Jörg Simon statt.
Das Sternchen steht übrigens für ein beliebiges Schimpfwort. Es wendet sich gegen die Unart, echte Sicherheit durch Compliance zu ersetzen. Grundsätzlich widersprechen Compliance und Sicherheit einander nicht, sondern unterstützen einander. Aber im Einzelfall muss man sich eventuell entscheiden.

Was ist nochmal Sicherheit? Security bedeutet, den zu schützenden Wert (Asset) von der Bedrohung zu trennen. Leider funktioniert dann das Business meist nicht mehr. Es ist also ein gewisses Maß an Öffnung (Porosity) nötig, was Angriffsflächen erschafft. Safety ist dann die Kontrolle dieser Öffnung. Für die Öffnung gilt: Porosity = Visibility + Access + Trust, d.h. Sichtbarkeit + Zugang + Vertrauen.

Jörg Simon berichtete uns lebhaft aus verschiedenen Projekten, wie und wo dort Sicherheit gemacht wird:
Fedora ist ein Open Source Betriebssystem und unterstützt durch das Fedora Security Lab das praktische Erlernen von Security-Testing in der Lehre, indem es Ziele für Angriffe anbietet.
Das OSSTMM Open Source Security Testing Methodology Manual ist ein Handbuch fürs Sicherheitstesten.
Kurse zum Thema Sicherheitstesten gibt es in der Hacker Highschool. Auch wir lernten nun die verschiedenen Artren von Teststrategien und Phasen eines Angriffs kennen.

Agile development works, but not everywhere. One challenge is that the agile flexibility might degrade software sustainability. Therefore, the University of Auckland does a survey about practitioners´ experience about the sustainability of agile practices.

Hier ein Artikel von mir, wie man sein Zeitmanagement verbessert:
Freiberufler-Blog. Trotz aller Optimierung scheint es wohl trotzdem so zu sein, dass ein Freiberufler nur 40% seiner Arbeitszeit mit produktiver Arbeit verbringen kann. Seufz! Ich geh dann mal wieder Brötchen verdienen...

Montag, 02. September 2013, 18:15 – 20:00 Uhr
Ort: Universität Stuttgart, Universitätsstr. 38,
70569 Stuttgart-Vaihingen, Raum 0.108

Jörg Simon:„ISO this *“ Willkommen in der Realität

Dieser Vortrag lädt alle ein, die Vertrauen und Sicherheit unvoreingenommen quantifizieren und in ihrer Organisation die realen Sicherheitsbedürfnisse abdecken wollen.
Mit Beispielen aus unterschiedlichen Open Source Projekten, wie dem „Institute for Security and Open Methodologies“ (ISECOM) als Urheber des Open Source Security Testing Methodology Manual (OSSTMM) und dem Fedora-Projekt als technischer Führer im Open Source Software Ökosystem, werden im Vortrag die Begriffe Security, Safety und Trust modernisiert und überholte Sicherheits-Definitionen und -Konzepte in Frage gestellt.


Referent:
Jörg Simon hat zu verschiedenen OpenSource Projekten beigetragen. Ergebnisse seiner Arbeit sind sichtbar als ISECOM Teammitglied, wo er das OSSTMM-Lab aufbaute, eine Plattform für Sicherheitsschulungen, und innerhalb des Fedora-Projektes, wo er an Sicherheits-Testanwendungen arbeitet wie dsniff, unicornscan und anderen. Er pflegt den offiziellen Fedora-Security-Spin und hinterließ seine Spuren als früherer FAmSCo Chair (Vorsitz im Fedora Ambassador Steering Committee) und als Mitglied des Fedora Board. Bei der HIC AG ist er verantwortlich für den HIC-Audit-Service sowie für Forschung und Entwicklung.

Weitere Informationen zu den Veranstaltungen finden Sie unter www.rg-stuttgart.gi.de
Der Eintritt ist frei. Nicht-GI-Mitglieder sind herzlich willkommen.

My friend Joey accepts my challenge! Last year, on the iqnite conference (see here), Joey Kelly reported about his tours and made the joke that he might repeat his Germany walk from North to South. So, if we want to join him... I was practically sure that he is not the person who does the same tour twice and asked him, when he starts. Haha, he got a little bit surprised. That was worth it.

But now, his revenge comes: The Camp David Expedition. He invites normal people (me?) to join him on his tour to Cape Horn. The most southern land point before antarctis. Okeeey. I feel practically obliged to apply. By the way: I had been practicing since. I can walk 20km with only half a liter of water in four hours.

They start in February what is the best time as it is lecture-free at universities and I wanted to go on vacations in February anyway. The start is Punta Arenas, but I am not sure how many kilometers this makes. So, I do not know how many weeks or months I must reserve for our trip. A look in Wikipedia shows that Chile is 4300km long, but Punta Arenas lies in the south. So, the tour makes some hundred kilometers. Hm, in the mountains we will not take the direct way, though. I am also a bit irritated by the word "climbing" in the trip description. Walking, cycling, canoos, all OK, but climbing? Walking Germany in 17 days would have been Ok for me, but climbing in south American mountains? At freezing temperatures?

I will think about it. Applications start on 15th August and end on 30th September. If you, too, are interested, you can apply here: Camp David Expedition

Gestern Abend bin ich frisch zurück gekehrt aus Furtwangen im Schwarzwald von der Informatica Feminale, wo ich einen Kurs über Requirements Engineering gab und einen Vortrag hielt über die schlimmsten Fehler in Abschlussarbeiten. Herzlichen Dank an die OrganisatorInnen und Teilnehmerinnen! Es hat wieder riesig Spaß gemacht. Mich wundert immer wieder, wie anders sich das Klima gestaltet, wenn nur Informatikerinnen zusammen kommen. So eine konstruktive Athmosphäre von Lernenwollen und Spaß am Wissen. Andernorts ist man ja auch mal auf anderes aus wie Konkurrenz, Macht und tadellose Besserwisserei. Ich würde nicht behaupten, dass alle Frauen nur nach Kompetenz streben und alle Männer nur nach dem schönen Schein. Aber auf der Informatica Feminale sammeln sich eben vor allem diejenigen, die auf Wissen aus sind. Und das passt dann sehr gut für mich. Wobei ja wie weiter unten gepostet der gute Lehrende immer auch von seinen Schülern lernt. :-)