Tag: "conference"

Where are the scripts to the session „SQL Attacked/Hacking SQL Server“ ? ;-)
Nov 27th
Wo sind die Scripte zu dem Vortrag „SQL Attacked/Hacking SQL Server“ ? ;-)
(de) |
(en) |
Der Hintergrund, das ich die dafür entwickelten Scripts nicht veröffentliche, ist eigentlich recht einfach: ich zeige darin unter anderem Angriffsvarianten und Techniken, die so noch nicht dokumentiert oder in der „Szene“ bekannt sind(?). Und da ich die frei verfügbaren SQL-Injection- und allgemein „Hacking“/DoS -Tools ein wenig kenne, möchte ich vermeiden, denjenigen, die diese entwickeln, neue Ideen zu geben um Server in die Knie zu zwingen. Das bringt keinem (aus der SQL Server Community) etwas (- höchstens "Auftragshackern", aber "leider" habe ich da keine Aktien drinnen ;-) ). - Die meisten SQL-Injection-Varianten sind übrigens auch wirklich gut im Netz dokumentiert, und eine einfache Suche wird eine Vielfalt an Code-Beispielen zutage bringen. Es macht kaum einen Unterschied, welche Vorlage man verwendet, man muss so und so noch Anpassungen vornehmen. ;-) Im Gegensatz zu landläufiger Meinung, glaube ich nicht daran, dass jeder alle „Hacking“-Techniken selber durchführen können muss. Ich denke das ist häufig ein Vorwand, sicherheitsbedenkliche Aktionen pauschal zu rechtfertigen. Ich bin der Ansicht, dass es genügt, zu wissen/gesehen zu haben, wo man angreifbar sein kann, und das es wichtiger ist, die Zeit darauf zu verwenden, die Skills für die Sicherung zu entwickeln. Um selber zu „Hacken“, ist das übrigens eine gute Voraussetzung (und der Unterschied zum sogenannten „Script-Kiddie“). Nur das man dann einfach noch mehr Kenntnisse benötigt. In aller Regel sehe ich jedoch eher einen Mangel an Kenntnissen über die Zusammenhänge in der Sicherheitsarchitektur von SQL Server, auf den ich mich naturgemäß fokussiere, sowie natürlich dem darunterliegenden Windows-Server und der Domain-Architektur allgemein. |
The background to why I don’t make public the scripts developed for this purpose is actually quite simple: in the scripts, I am showing attack variants and techniques, among others, which have not been documented or are not known within the “scene” (?). And since I am a little familiar with the discretionary SQL injection and “Hacking”/DoS tools in general I would like to avoid giving those parties developing these tools new ideas for bringing servers down. This wouldn’t be of use to anyone (from the SQL Server community) (- except maybe to “contract hackers,” but I’m “afraid” I don’t hold any stocks in there ;-)). - By the way, most of the SQL injection variants are very well documented in the internet, and a simple search will spill out a variety of code examples. It will hardly make a difference which template one is using, as one will need to make adaptions anyway. ;-) In contrast to general opinion, I do not believe that everyone needs to be able to carry out all “hacking” techniques by themselves. I think this is often used as a blanket pretext for justifying security-wise questionable actions. I am of the opinion that it is sufficient to know/have seen where one can be vulnerable, and that it is more important to invest the time into developing skills for protection. And this is a good prerequisite for “hacking” oneself (and the difference to the so-called “script kiddie”). Only that even more knowledge will be required then. In principle, however, I am rather observing a lack of knowledge of the correlations in the security architecture of SQL Server on which I am by nature focusing, as well as, of course, the Windows Server beneath it and the domain architecture in general. To be able to “hack” alone is of no avail. Once one has covered everything known, one can still get to that. If this is necessary, one will end up in the grey area of “penetration testing.” |
Das eigentliche Ziel meiner Vorträge/“Shows“(?) ist die "Awareness/Wahrnehmung", und Verbesserung der Sensibilität für das Thema Sicherheit im Sinne von: „Habe ich das alles schon einmal bedacht?“ „Könnte ich doch noch Lücken haben und ein leichtes Angriffsziel sein, ohne es bislang gemerkt zu haben?“ Nicht: "Um meine SQL Server Umgebung sicherer zu machen, möchte ich mich selber im „Hacken“ versuchen." Ich hoffe das macht Sinn für Euch :-) In jedem Fall ist eine offene Diskussion zu diesem Thema durchaus in meinem Sinne. |
The actual goal of my lectures/ “shows” (?) is the “awareness/perception,” and the enhancement of sensitivity for the topic of security in the sense of: “Have I taken all this into consideration?” “Could I still have gaps and be an easy target without having noticed up to now?” Not: “In order to make my SQL Server environment more secure I would like to dabble in ‘hacking.’” I hope this makes sense to you J Either way, an open discussion on this topic is absolutely along my lines. |
Happy securing
Andreas
PS: Aus diesem Grunde biete ich ja schon seit einigen Jahren immer wieder den Security Essential für die PASS Deutschland an – aber wie wir wissen, zieht das Thema „Sichern“ einfach weniger als „Hacken“ ;-) Und für diejenigen, die die Grundlagen schon beherrschen, aber komplexere Anforderungen oder kritischere Umgebungen haben, kommen dann die Master-Classes zum Thema Sicherheit: www.sarpedonqualitylab.com/SQL_Master-Classes.htm |
PS: For those who already know the basics, but have more complex requirements or critical environments, there are the Master-Classes on Security: en.sarpedonqualitylab.com/SQL_Master-Classes.htm |

Extreme Transactional Processing mit XTP in SQL Server 2014 - liegt die Zukunft in InMemory? – Auf der TechNet Conference 2013
Sep 5th
Vom 12. – 13. November findet in Berlin die TechNet Conference statt. Veranstalter ist Microsoft bzw. TechNet Deutschland.
In knapp 40 Sessions in den drei Tracks „Microsoft Cloud OS“, „New Era“ und „Modern Workstyle“ geben nationale und internationale Experten in tieftechnischen Vorträgen (Level 300 und höher) einen detaillierten Einblick in unter anderem Windows Server 2012 R2, System Center 2012 R2, Windows 8.1, Windows Intune, SQL Server 2014, Office 2013, Office 365 oder Windows Azure.
Als Sprecher werden nationale und internationale Microsoft-Experten sowie führende Köpfe aus der Community vor Ort sein. So sind unter anderem Bernhard Frank, Aiden Finn, Carsten Rachfahl, Heike Ritter, die Security-Expertin Paula Januszkiewcz und meine Wenigkeit mit Vorträgen vertreten.
Darüber hinaus können Teilnehmer in zwei IT Camps zu „Windows 8.1 Enterprise“ und „Cloud OS mit Windows Server 2012 R2 und System Center 2012 R2“ noch tiefer eintauchen und das Gelernte unter fachkundiger Anleitung selbst ausprobieren. Außerdem besteht während der Konferenz zusätzlich die Chance, sich direkt bei Partnern vor Ort zu zertifizieren.
In 2 Vorträgen wird dabei auch, meinem Kenntnisstand nach, erstmalig, der SQL Server in der neuen Version 2014 offiziell in Deutschland vorgestellt.
– Das wird noch keine Final Release sein(!), sondern in einer CTP-Version, die zu dem Zeitpunkt verfügbar sein wird. Ich hoffe auf ein Release der CTP2 aus dem PASS Summit in Charlotte/USA, aber das wird sich erst kurzfristig entscheiden.
Die SQL Server Sessions:
- Big Data mit Microsoft? Wie HDInsight (Hadoop auf Azure), SQL Server 2014 und Excel zusammenspielen
Von Olivia Klose & Georg Urban, beide von Microsoft Deutschland GmbH
Ich habe die Ehre, „Extreme Transactional Processing“ vorstellen zu dürfen :-):
- SQL Hekaton: Extreme Transactional Processing mit XTP in SQL Server 2014 - liegt die Zukunft in InMemory?
SQL Server 2014 enthält eine neue Datenbank Engine unter dem Namen Extreme Transactional Processing (XTP) - die auf dem Summit 2012 unter dem Codenamen "Hekaton" angekündigt wurde. Wie man am Namen schon erkennen kann, ist XTP für extrem schnelle Verarbeitung von OLTP Abfragen designt. Zusammen mit der auf xVelocity basierenden InMemory Speichertechnologie sind extreme Performancesteigerungen gegenüber traditionellen Systemen möglich. Diese Session bietet einen Einblick in die Architektur, die diese Performance ermöglicht, die notwendigen Voraussetzungen und natürlich eine Live Demo der Leistungssteigerung.
Hier geht es zur Startseite der Konferenz:
http://www.microsoft.de/technetconference
Und hier ist die vollständige Agenda:
www.event-team.com/events/TechNetConference2013/Agenda.aspx
Wer sich schnell für eine Teilnahme entscheidet, kann noch den Early Bird-Tarif nutzen. Die ersten 100 Anmeldungen zahlen nur 149 Euro (zzgl. 19 Prozent MwSt.). Danach kostet die Anmeldung 199 Euro (zzgl. 19 Prozent MwSt.).
Die nächste Gelegenheit in Deutschland, nicht nur den SQL Server 2014 zu sehen, sondern sogar „anfassen“ zu können, ist auf dem PASS Camp vom 3.-5. Dezember!
-> www.sqlpasscamp.de
man sieht sich.. ;-)
Andreas Wolter, Sarpedon Quality Lab

PreCon Performance Analysis & Tuning Techniques at SQLSaturday in Istanbul
Aug 23rd
PreCon Performance Analyse & Tuning Techniken auf dem SQLSaturday in Istanbul
(DE) Was für ein Jahr: nachdem ich bereits 3 SQLSaturdays (Dänemark, Niederlande, Deutschland) hinter mir habe, werde ich nun auch auf dem SQSaturday #258 (5. Okt.) in Istanbul sprechen. |
(EN) What a year: after already 3 SQLSaturdays (Denmark, Netherlands, Germany) behind me, I will now also speak at SQSaturday #258 (Oct. 5th) in Istanbul, Turkey. |
Ich freue mich wirklich sehr über das Thema und zugleich auch über den Austragungsort. Zurück zum Technischen: Hier ist die Vortrags-Beschreibung & Agenda: Sei bereit für einen vollen Tag Abtauchen in SQL Server Performance Analyse. |
I am really excited about the topic and location at the same time. Istanbul is a must-see city for history- & photography enthusiasts like me. (My Facebook wall is awaiting great images :) Back to the technical stuff. Here is the session description & agenda: “Be ready for a full day of diving into SQL Server Performance Analysis. |
Enthaltene Themen:
|
Included Topics:
|
And hier ist der Link zur PreCon (4. Okt.) Registrierung: www.eventbrite.com/event/7619115981 Wer ein Wochenende in einer historischen Stadt voller Sehenswürdigkeiten mit deep-dive SQL Server Themen kombinieren möchte, ist gern willkommen :-) |
And here is the link to the PreCon (4th of Oct.) registration: If you want to combine a week-end in a city of history and beauty, with some deep-dive SQL Server topics, come and join us :-) |
Neben der PreCon werde ich auch einen Vortrag am Samstag (5. Okt) halten. Thema: Sicherheit Titel: "SQL Attack…ed” – SQL Server under attack." Und auch zwei weitere Kollegen von der PASS Deutschland e.V. werden dabei sein: Tillmann Eitelberg und Oliver Engels. |
Besides the PreCon I will also hold a presentation on Saturday (5th of Oct.). Topic: Security Title: "SQL Attack…ed” – SQL Server under attack." And also two other colleagues from the German PASS will be there: Tillmann Eitelberg and Oliver Engels. |
See you in Istanbul.
Andreas

Upcoming Conferences 2012: PASS SQLSaturday in Munich, SQLCon in Mainz, PASS SQLRally in Copenhagen, PASS Summit in Seattle, PASS Camp in Darmstadt
Sep 5th
..ough
After I already launched the SQL Server 2012 together with Microsoft at Cologne this February, this year’s second half I will be speaker at 5 Conferences almost in a row:
- On September 15th I will hold
“Tracing with SQL Server 2012 Extended Events”
in Unterschleißheim, close to Munich, Germany at SQLSaturday #170
- On September 19th I will hold 2 sessions:
“SQL Server 2012 AlwaysOn und Active Secondaries“
and again
”Tracing mit Extended Events”
in Mainz, Germany at the BASTA! / SQLCon
- On October 2/3rd I will hold the session
SQL Server 2012 Security for Developers
in Copenhagen, Denmark at the PASS SQLRally
- From October 22nd – 25th I will hold several sessions on:
”AlwaysOn and ReadOnly Routing”, “Data Corruption Survival with CHECKDB”, “Security” and “Tracing with Extended Events”
in the track
”SQL Server 2012 Toolbelt for DBA’s and Developer”
in Seeheim, close to Darmstadt, Germany at the PASS Camp
- In November I will hold the session:
“SQL Server 2012 Security for Developers”
in Seattle, USA at the PASS Summit
what a year..!
I hope to see you around at some of those places.

Sessions auf der SQLCon 2011
Mai 15th
Auch dieses Jahr bin ich wieder mit bis dato zwei Sessions auf der SQLCon 2011 – 26. – 29. September in Mainz vertreten.
Update (09/2011): Den Vortrag “Reporting Services in SQL Server Denali” habe ich zugunsten eines mir noch mehr am Herzen liegenden Themas gestrichen. (Außerdem werden die Reporting Services selber kaum viele Neuereungen in Denali erfahren)
Dafür halte ich eine Session zu den Sicherheits-Features & Techniken von SQL Server für Entwickler:
“Schutz gegen SQL Injection sollte mittlerweile zum Repertoire jedes Entwicklers gehören. Jedoch gibt es noch andere Wege, an sensible Daten zu gelangen oder sie zu manipulieren. In dieser demointensiven Session (Achtung: Code, Code) werden wir uns vor allem anderen Techniken widmen, die man im Repertoire haben sollte, die Sicherheit seiner Daten zu stärken. Dazu gehören Basics wie Schema-Design für Security, Besitzerketten und ihre Fallstricke, Codesignierung und Verschlüsselung für die kritischsten Daten.“
- In der Session “Zentralisierung von Report Design mit 2008 R2” zeige ich, wie man mit Grundtechniken und vorhandenen Features, effiziente und zentralisierte Berichtsvorlagen realisieren kann:
”Wer Berichte mit Reporting Services erstellt, wird feststellen, dass ganz schnell nach weiteren verlangt wird. Und früher oder später kommt der Ruf nach einem einheitlichen Aussehen. Die Unterstützung dafür out of the box ist eher schwach. Dennoch kann man mit geschickter Kombination der zur Verfügung stehenden Möglichkeiten eine starke Effizienz-Steigerung beim Erstellen neuer Berichte erreichen.“
Ich würde mich freuen, den einen oder anderen persönlich, “offline”, begrüßen zu können.
Andreas Wolter