COVID-19 Kontaktverfolgung: Wie sieht es mit der sicheren Kodierung aus?
Eine Version dieses Artikels erschien ursprünglich in DevOps Digest. Er wurde aktualisiert und hier syndiziert.
An diesem Punkt sind wir sicher alle ein wenig müde von der Phrase, "in diesen beispiellosen Zeiten"... aber, dies sind wirklich beispiellose Zeiten. Wer hätte Ende letzten Jahres gedacht, dass wir in diesem Jahr gegen eine weltweit zerstörerische Pandemie antreten und alles daran setzen würden, sie zu besiegen? Es wäre fast lächerlich und eher wie eine neue Netflix-Science-Fiction-Serie als Teil unserer weltweiten Realität erschienen. COVID-19 hat unser soziales Leben, unsere Wirtschaft und die Sicherheit unserer Arbeitsplätze völlig verändert, ganz zu schweigen von den politischen Prioritäten.
Einer der Gegenangriffe gegen COVID-19 ist die Technologie: Viele Länder haben Apps zur Kontaktverfolgung eingeführt. In Australien gibt es COVIDSafe nach dem Vorbild von TraceTogether aus Singapur. Hongkong, Taiwan, China, Südkorea, Israel und Deutschland haben alle eine Technologie zur Kontaktverfolgung implementiert oder sind dabei, diese einzuführen. Großbritannien ist die am stärksten betroffene Region in Europa, mit zehntausenden von virusbedingten Todesfällen und einer hohen Infektionsrate. Die Veröffentlichung ihrer App steht unmittelbar bevor. In den USA - die ebenfalls stark betroffen sind und in denen viele Menschen auf tragische Weise ihr Leben verloren haben - ist die Technologie ebenfalls im Einsatz, aber der bundesstaatliche Ansatz zur Kontaktverfolgung macht die Situation dort sehr komplex.
Mit Ausnahme von eher staatlich kontrollierten Ländern wie China und Taiwan ist die Nutzung dieser Apps freiwillig, sodass die Bürger die Technologie aus eigenem Antrieb herunterladen und nutzen müssen. Einige Adoptionsraten sind erfolgreicher als andere; zum Beispiel hatte die TraceTogether-App in Singapur eine Adoptionsrate von 25 %, was sie für den gewünschten Zweck ziemlich ineffektiv macht.
Die Idee hinter Apps zur Kontaktverfolgung ist gut. Diese Technologie würde, wenn sie gut funktioniert, sicherstellen, dass Hotspots schnell aufgedeckt werden und umfassende Tests durchgeführt werden können - beides wesentliche Komponenten im Kampf gegen die Verbreitung eines ansteckenden Virus. Allerdings klingen die Worte "Regierung" und "Rückverfolgung" nicht gerade sehr einladend, und es ist natürlich, dass die Menschen vorsichtig sind, was das Herunterladen von so etwas tatsächlich für sie bedeuten würde.
Was sind also die Hauptbedenken der Anwender? Wenn man den Online-Kommentaren Glauben schenken darf, dann gehören zu diesen Bedenken einige:
- Mangelndes Vertrauen in die Regierung, gesammelte Daten verantwortungsvoll zu nutzen
- Besorgnis darüber, wie gut persönliche Daten vor Cyberangriffen geschützt werden
- Unklarheit darüber, welche Daten tatsächlich gesammelt werden, wo sie gespeichert werden und mit wem
- ... und für die Entwickler/Geeks unter uns, wie solide die Apps tatsächlich gebaut sind.
Es ist immer ein bisschen beunruhigend, wenn Apps schnell gebaut werden, und diese Kontaktverfolgungs-Apps müssen in Rekordzeit ausgerollt werden. Es ist ein Albtraum für Entwickler, Sicherheitsleute und Behörden.
Ist Misstrauen also eine berechtigte Reaktion? Und was sollten wir als Priorität in unserer assessment von COVID-19 Kontaktverfolgungs-Apps und der Sicherheit der Endbenutzer betrachten? Als Sicherheitsexperte ist mein Instinkt natürlich, die Cybersecurity-Elemente des Programms zu untersuchen, nämlich wie sicher die Codebasis für eine App ist, zu deren Installation wir alle (mit den besten Absichten) gedrängt werden.
Viele der Apps sind Kopien voneinander (und erben die gleichen Probleme).
Die australische COVIDSafe-App basiert im Wesentlichen auf OpenTrace, ebenso wie die TraceTogether-Software in Singapur. Das Problem ist jedoch, dass TraceTogether eine Reihe von gemeldeten Problemen und eine schlechte Akzeptanz hatte, mit nur 25 % der Bevölkerung als Nutzer - weit entfernt von den 75 %, die erforderlich sind, damit es effektiv ist. Es gab Beschwerden über die allgemeine Leistung, vor allem unter iOS, einschließlich der Tatsache, dass die Batterien sehr schnell entladen werden. COVIDSafe hat einen potenziellen UX-Fehler in seiner iOS-Version, da das Telefon entsperrt sein muss und die App im Vordergrund laufen muss, um alle Daten korrekt aufzuzeichnen.
Während die oben genannten Probleme ärgerlich sind, ist die dringendere Sorge, dass Bluetooth-Schwachstellen weit verbreitet sind und weder TraceTogether noch das australische COVIDSafe immun gegen sie sind. Am 14. Mai berichtete das NIST, dass COVIDSafe eine Denial-of-Service-Schwachstelle aufweist, die es einem Angreifer ermöglicht, die App aus der Ferne zum Absturz zu bringen, wenn er sich in Bluetooth-Handshake-Distanz befindet. Dies würde es einem organisierten Angriff ermöglichen, die Kontaktverfolgung in dicht besiedelten Gebieten zu unterbrechen, wo sie am nützlichsten ist - etwas, das der Sicherheitsforscher Richard Nelson im Detail erklärt. Es ist bekannt, dass COVIDSafe, TraceTogether, das polnische ProteGO und das kanadische ABTraceTogether betroffen sind - sie alle erben das Problem vom fehlerhaften manuData.subdata-Aufruf von OpenTrace.
Es gibt auch andere Datenschutz- und Sicherheitsprobleme, die mit der Bluetooth-Funktionalität im Allgemeinen zusammenhängen. Die Tatsache, dass diese Technologie verwendet wird, um menschliche Bewegungen durch eine eindeutige ID (TempID) zu verfolgen und aussagekräftige Daten zu sammeln, wird unweigerlich zu einem erhöhten Interesse von Angreifern führen, die nach Schwachstellen suchen. An diesem Punkt muss genau untersucht werden, was gesammelt wird, wo es gespeichert wird und für wie lange.
Einige Apps zeigen bereits Anzeichen für einfache Fehler, die komplexe Schwachstellen verursachen.
Der australische Software-Ingenieur Geoffrey Huntley hat den Quellcode von COVIDSafe untersucht, und leider gibt es Probleme, die uns, den Endbenutzern, nicht unbedingt aufgezeigt werden.
Ein kritisches Beispiel war ein die Privatsphäre verletzender Logikfehler, der es einem Angreifer ermöglichen würde, eine Langzeitverfolgung von Geräten durchzuführen; etwas, das ein enormes Risiko für gefährdete Benutzer darstellt, ganz zu schweigen davon, dass es gegen die Datenschutzbestimmungen der App selbst verstößt.
Es ist wichtig anzumerken, dass diese logischen Schwachstellen seit dem 14. Mai gepatcht wurden, aber das dringendere Problem ist, dass diese Schwachstelle 17 Tage lang ungepatcht blieb, nachdem Herr Huntley sie gemeldet hatte. Er und andere Mitglieder der awesome-Sicherheits-Community verfolgen die CVEs im Zusammenhang mit der COVIDSafe-App hier.
Eine Sache, auf die Huntley nach dem Patch hinweist, ist, dass selbst der Fix Anzeichen von, nun ja, Inkompetenz zeigt. In seinem öffentlichen Log vermerkt er, dass der Patch eine zusätzliche Logik beinhaltete, anstatt einfach einen fehlerhaften Cache zu löschen, wobei letzteres eine weitaus robustere Lösung ist. Beides funktioniert, aber der Live-Lösung fehlt es an Finesse - ein Problem bei einer so wichtigen Anwendung.
Obwohl wir fleißige Mitglieder der Gesellschaft haben, die ihre eigene Zeit und ihr Fachwissen einsetzen, um den Quellcode zu durchforsten und auf Probleme hinzuweisen, wird ihre Arbeit viel schwieriger gemacht, als wenn der Code von vornherein Open Source wäre. So wie es aussieht, sind 28 Apps immer noch für Sicherheitsforscher gesperrt.
Die sichere Kodierung bringt uns immer wieder ins Stolpern.
Auch wenn ich sicherlich Verständnis für überarbeitete Entwickler habe - ebenso wie für die höchst ungewöhnliche Situation, eine lebensrettende App inmitten einer Pandemie herausbringen zu müssen - sollte das oben Gesagte verdeutlichen, dass ein paar einfache Schwachstellen in einer im Wesentlichen gemeinschaftlichen Codebasis erhebliche Probleme für Millionen von Benutzern bedeuten können.
Ich würde gerne glauben, dass die meisten Leute gute Bürger sein wollen, die App unterstützen und jedem die bestmögliche Chance geben wollen, Kontakte aufzuspüren und Ausbrüche dieses schrecklichen Virus zu kontrollieren. Auch ich unterstütze Technologie, die dabei helfen kann, dies zu erreichen, aber in vielerlei Hinsicht hat dies den allgemeinen Mangel an sicheren Codierungsprinzipien bei Entwicklern auf der ganzen Welt zutage gebracht.
In jeder Situation, in der Software schnell geschrieben werden muss, sind Fehler nicht gerade unerwartet. Gängige Sicherheitslücken wie Logikfehler, Fehlkonfigurationen und Code-Injection-Fehler sollten jedoch bereits beim Schreiben des Codes verhindert werden können und nicht erst, nachdem freiwillige White Hats die Codebasis auseinandergenommen haben.
Und es ist nicht die Schuld der Entwickler, nebenbei bemerkt. Sie verlassen ihre Hochschulausbildung mit wenig Kenntnissen in sicherer Programmierung, und in ihrer Karriere beziehen sich ihre KPIs fast immer auf die Funktionalität der Funktionen und die Geschwindigkeit der Bereitstellung - um die Sicherheit muss sich jemand anderes kümmern, wenn sie fertig sind. Wir müssen einen Endzustand erreichen, in dem die sichere Programmierung schnell erfolgt. Auch wenn jetzt nicht die Zeit ist, in den Abteilungen, die diese Apps entwickeln, einen seismischen Kulturwandel herbeizuführen, so ist es doch eine rechtzeitige Erinnerung daran, dass sich unser digitaler Risikobereich ausweitet und sie sich in der Pole-Position befinden, um einen Unterschied zu machen, wenn sie die Werkzeuge und das Wissen erhalten, um die Verantwortung für die besten Sicherheitsverfahren zu teilen.
Ist es sicher, die App herunterzuladen?
Die Sache ist die: Für mich, einen Sicherheitsexperten, bin ich zu dem Schluss gekommen, dass die Vorteile der App die Probleme überwiegen. Es ist nicht ideal, dass die oben genannten Schwachstellen in dieser Software vorhanden sind - oder waren -, aber die Auswirkungen, wenn diese als Waffe eingesetzt werden, sind das Worst-Case-Szenario. Im Moment ist die Kontaktverfolgung ein wichtiger Bestandteil, um unsere medizinischen Helden auf der ganzen Welt dabei zu unterstützen, die Ausbreitung zu kontrollieren, den Fluss der Krankenhauseinweisungen einzudämmen und sich gegenseitig so sicher wie möglich zu halten.
Es zeigt, dass wir noch einen weiten Weg vor uns haben, wenn es darum geht, bewährte Sicherheitspraktiken standardmäßig in einem Software-Build zu implementieren, und dass es wichtig ist, dass die Öffentlichkeit die nötigen Informationen erhält, um fundierte Entscheidungen zu treffen.
Meine Familie und ich werden es weiterhin verwenden, obwohl wir wachsam bleiben und unsere Android-Patches auf dem neuesten Stand halten, wie wir es alle tun sollten.
Die Idee hinter Apps zur Kontaktverfolgung ist gut. Diese Technologie würde, wenn sie gut funktioniert, sicherstellen, dass Hotspots schnell aufgedeckt werden und umfassende Tests durchgeführt werden können - beides wesentliche Bestandteile der Bekämpfung der Ausbreitung eines ansteckenden Virus.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien ursprünglich in DevOps Digest. Er wurde aktualisiert und hier syndiziert.
An diesem Punkt sind wir sicher alle ein wenig müde von der Phrase, "in diesen beispiellosen Zeiten"... aber, dies sind wirklich beispiellose Zeiten. Wer hätte Ende letzten Jahres gedacht, dass wir in diesem Jahr gegen eine weltweit zerstörerische Pandemie antreten und alles daran setzen würden, sie zu besiegen? Es wäre fast lächerlich und eher wie eine neue Netflix-Science-Fiction-Serie als Teil unserer weltweiten Realität erschienen. COVID-19 hat unser soziales Leben, unsere Wirtschaft und die Sicherheit unserer Arbeitsplätze völlig verändert, ganz zu schweigen von den politischen Prioritäten.
Einer der Gegenangriffe gegen COVID-19 ist die Technologie: Viele Länder haben Apps zur Kontaktverfolgung eingeführt. In Australien gibt es COVIDSafe nach dem Vorbild von TraceTogether aus Singapur. Hongkong, Taiwan, China, Südkorea, Israel und Deutschland haben alle eine Technologie zur Kontaktverfolgung implementiert oder sind dabei, diese einzuführen. Großbritannien ist die am stärksten betroffene Region in Europa, mit zehntausenden von virusbedingten Todesfällen und einer hohen Infektionsrate. Die Veröffentlichung ihrer App steht unmittelbar bevor. In den USA - die ebenfalls stark betroffen sind und in denen viele Menschen auf tragische Weise ihr Leben verloren haben - ist die Technologie ebenfalls im Einsatz, aber der bundesstaatliche Ansatz zur Kontaktverfolgung macht die Situation dort sehr komplex.
Mit Ausnahme von eher staatlich kontrollierten Ländern wie China und Taiwan ist die Nutzung dieser Apps freiwillig, sodass die Bürger die Technologie aus eigenem Antrieb herunterladen und nutzen müssen. Einige Adoptionsraten sind erfolgreicher als andere; zum Beispiel hatte die TraceTogether-App in Singapur eine Adoptionsrate von 25 %, was sie für den gewünschten Zweck ziemlich ineffektiv macht.
Die Idee hinter Apps zur Kontaktverfolgung ist gut. Diese Technologie würde, wenn sie gut funktioniert, sicherstellen, dass Hotspots schnell aufgedeckt werden und umfassende Tests durchgeführt werden können - beides wesentliche Komponenten im Kampf gegen die Verbreitung eines ansteckenden Virus. Allerdings klingen die Worte "Regierung" und "Rückverfolgung" nicht gerade sehr einladend, und es ist natürlich, dass die Menschen vorsichtig sind, was das Herunterladen von so etwas tatsächlich für sie bedeuten würde.
Was sind also die Hauptbedenken der Anwender? Wenn man den Online-Kommentaren Glauben schenken darf, dann gehören zu diesen Bedenken einige:
- Mangelndes Vertrauen in die Regierung, gesammelte Daten verantwortungsvoll zu nutzen
- Besorgnis darüber, wie gut persönliche Daten vor Cyberangriffen geschützt werden
- Unklarheit darüber, welche Daten tatsächlich gesammelt werden, wo sie gespeichert werden und mit wem
- ... und für die Entwickler/Geeks unter uns, wie solide die Apps tatsächlich gebaut sind.
Es ist immer ein bisschen beunruhigend, wenn Apps schnell gebaut werden, und diese Kontaktverfolgungs-Apps müssen in Rekordzeit ausgerollt werden. Es ist ein Albtraum für Entwickler, Sicherheitsleute und Behörden.
Ist Misstrauen also eine berechtigte Reaktion? Und was sollten wir als Priorität in unserer assessment von COVID-19 Kontaktverfolgungs-Apps und der Sicherheit der Endbenutzer betrachten? Als Sicherheitsexperte ist mein Instinkt natürlich, die Cybersecurity-Elemente des Programms zu untersuchen, nämlich wie sicher die Codebasis für eine App ist, zu deren Installation wir alle (mit den besten Absichten) gedrängt werden.
Viele der Apps sind Kopien voneinander (und erben die gleichen Probleme).
Die australische COVIDSafe-App basiert im Wesentlichen auf OpenTrace, ebenso wie die TraceTogether-Software in Singapur. Das Problem ist jedoch, dass TraceTogether eine Reihe von gemeldeten Problemen und eine schlechte Akzeptanz hatte, mit nur 25 % der Bevölkerung als Nutzer - weit entfernt von den 75 %, die erforderlich sind, damit es effektiv ist. Es gab Beschwerden über die allgemeine Leistung, vor allem unter iOS, einschließlich der Tatsache, dass die Batterien sehr schnell entladen werden. COVIDSafe hat einen potenziellen UX-Fehler in seiner iOS-Version, da das Telefon entsperrt sein muss und die App im Vordergrund laufen muss, um alle Daten korrekt aufzuzeichnen.
Während die oben genannten Probleme ärgerlich sind, ist die dringendere Sorge, dass Bluetooth-Schwachstellen weit verbreitet sind und weder TraceTogether noch das australische COVIDSafe immun gegen sie sind. Am 14. Mai berichtete das NIST, dass COVIDSafe eine Denial-of-Service-Schwachstelle aufweist, die es einem Angreifer ermöglicht, die App aus der Ferne zum Absturz zu bringen, wenn er sich in Bluetooth-Handshake-Distanz befindet. Dies würde es einem organisierten Angriff ermöglichen, die Kontaktverfolgung in dicht besiedelten Gebieten zu unterbrechen, wo sie am nützlichsten ist - etwas, das der Sicherheitsforscher Richard Nelson im Detail erklärt. Es ist bekannt, dass COVIDSafe, TraceTogether, das polnische ProteGO und das kanadische ABTraceTogether betroffen sind - sie alle erben das Problem vom fehlerhaften manuData.subdata-Aufruf von OpenTrace.
Es gibt auch andere Datenschutz- und Sicherheitsprobleme, die mit der Bluetooth-Funktionalität im Allgemeinen zusammenhängen. Die Tatsache, dass diese Technologie verwendet wird, um menschliche Bewegungen durch eine eindeutige ID (TempID) zu verfolgen und aussagekräftige Daten zu sammeln, wird unweigerlich zu einem erhöhten Interesse von Angreifern führen, die nach Schwachstellen suchen. An diesem Punkt muss genau untersucht werden, was gesammelt wird, wo es gespeichert wird und für wie lange.
Einige Apps zeigen bereits Anzeichen für einfache Fehler, die komplexe Schwachstellen verursachen.
Der australische Software-Ingenieur Geoffrey Huntley hat den Quellcode von COVIDSafe untersucht, und leider gibt es Probleme, die uns, den Endbenutzern, nicht unbedingt aufgezeigt werden.
Ein kritisches Beispiel war ein die Privatsphäre verletzender Logikfehler, der es einem Angreifer ermöglichen würde, eine Langzeitverfolgung von Geräten durchzuführen; etwas, das ein enormes Risiko für gefährdete Benutzer darstellt, ganz zu schweigen davon, dass es gegen die Datenschutzbestimmungen der App selbst verstößt.
Es ist wichtig anzumerken, dass diese logischen Schwachstellen seit dem 14. Mai gepatcht wurden, aber das dringendere Problem ist, dass diese Schwachstelle 17 Tage lang ungepatcht blieb, nachdem Herr Huntley sie gemeldet hatte. Er und andere Mitglieder der awesome-Sicherheits-Community verfolgen die CVEs im Zusammenhang mit der COVIDSafe-App hier.
Eine Sache, auf die Huntley nach dem Patch hinweist, ist, dass selbst der Fix Anzeichen von, nun ja, Inkompetenz zeigt. In seinem öffentlichen Log vermerkt er, dass der Patch eine zusätzliche Logik beinhaltete, anstatt einfach einen fehlerhaften Cache zu löschen, wobei letzteres eine weitaus robustere Lösung ist. Beides funktioniert, aber der Live-Lösung fehlt es an Finesse - ein Problem bei einer so wichtigen Anwendung.
Obwohl wir fleißige Mitglieder der Gesellschaft haben, die ihre eigene Zeit und ihr Fachwissen einsetzen, um den Quellcode zu durchforsten und auf Probleme hinzuweisen, wird ihre Arbeit viel schwieriger gemacht, als wenn der Code von vornherein Open Source wäre. So wie es aussieht, sind 28 Apps immer noch für Sicherheitsforscher gesperrt.
Die sichere Kodierung bringt uns immer wieder ins Stolpern.
Auch wenn ich sicherlich Verständnis für überarbeitete Entwickler habe - ebenso wie für die höchst ungewöhnliche Situation, eine lebensrettende App inmitten einer Pandemie herausbringen zu müssen - sollte das oben Gesagte verdeutlichen, dass ein paar einfache Schwachstellen in einer im Wesentlichen gemeinschaftlichen Codebasis erhebliche Probleme für Millionen von Benutzern bedeuten können.
Ich würde gerne glauben, dass die meisten Leute gute Bürger sein wollen, die App unterstützen und jedem die bestmögliche Chance geben wollen, Kontakte aufzuspüren und Ausbrüche dieses schrecklichen Virus zu kontrollieren. Auch ich unterstütze Technologie, die dabei helfen kann, dies zu erreichen, aber in vielerlei Hinsicht hat dies den allgemeinen Mangel an sicheren Codierungsprinzipien bei Entwicklern auf der ganzen Welt zutage gebracht.
In jeder Situation, in der Software schnell geschrieben werden muss, sind Fehler nicht gerade unerwartet. Gängige Sicherheitslücken wie Logikfehler, Fehlkonfigurationen und Code-Injection-Fehler sollten jedoch bereits beim Schreiben des Codes verhindert werden können und nicht erst, nachdem freiwillige White Hats die Codebasis auseinandergenommen haben.
Und es ist nicht die Schuld der Entwickler, nebenbei bemerkt. Sie verlassen ihre Hochschulausbildung mit wenig Kenntnissen in sicherer Programmierung, und in ihrer Karriere beziehen sich ihre KPIs fast immer auf die Funktionalität der Funktionen und die Geschwindigkeit der Bereitstellung - um die Sicherheit muss sich jemand anderes kümmern, wenn sie fertig sind. Wir müssen einen Endzustand erreichen, in dem die sichere Programmierung schnell erfolgt. Auch wenn jetzt nicht die Zeit ist, in den Abteilungen, die diese Apps entwickeln, einen seismischen Kulturwandel herbeizuführen, so ist es doch eine rechtzeitige Erinnerung daran, dass sich unser digitaler Risikobereich ausweitet und sie sich in der Pole-Position befinden, um einen Unterschied zu machen, wenn sie die Werkzeuge und das Wissen erhalten, um die Verantwortung für die besten Sicherheitsverfahren zu teilen.
Ist es sicher, die App herunterzuladen?
Die Sache ist die: Für mich, einen Sicherheitsexperten, bin ich zu dem Schluss gekommen, dass die Vorteile der App die Probleme überwiegen. Es ist nicht ideal, dass die oben genannten Schwachstellen in dieser Software vorhanden sind - oder waren -, aber die Auswirkungen, wenn diese als Waffe eingesetzt werden, sind das Worst-Case-Szenario. Im Moment ist die Kontaktverfolgung ein wichtiger Bestandteil, um unsere medizinischen Helden auf der ganzen Welt dabei zu unterstützen, die Ausbreitung zu kontrollieren, den Fluss der Krankenhauseinweisungen einzudämmen und sich gegenseitig so sicher wie möglich zu halten.
Es zeigt, dass wir noch einen weiten Weg vor uns haben, wenn es darum geht, bewährte Sicherheitspraktiken standardmäßig in einem Software-Build zu implementieren, und dass es wichtig ist, dass die Öffentlichkeit die nötigen Informationen erhält, um fundierte Entscheidungen zu treffen.
Meine Familie und ich werden es weiterhin verwenden, obwohl wir wachsam bleiben und unsere Android-Patches auf dem neuesten Stand halten, wie wir es alle tun sollten.
Eine Version dieses Artikels erschien ursprünglich in DevOps Digest. Er wurde aktualisiert und hier syndiziert.
An diesem Punkt sind wir sicher alle ein wenig müde von der Phrase, "in diesen beispiellosen Zeiten"... aber, dies sind wirklich beispiellose Zeiten. Wer hätte Ende letzten Jahres gedacht, dass wir in diesem Jahr gegen eine weltweit zerstörerische Pandemie antreten und alles daran setzen würden, sie zu besiegen? Es wäre fast lächerlich und eher wie eine neue Netflix-Science-Fiction-Serie als Teil unserer weltweiten Realität erschienen. COVID-19 hat unser soziales Leben, unsere Wirtschaft und die Sicherheit unserer Arbeitsplätze völlig verändert, ganz zu schweigen von den politischen Prioritäten.
Einer der Gegenangriffe gegen COVID-19 ist die Technologie: Viele Länder haben Apps zur Kontaktverfolgung eingeführt. In Australien gibt es COVIDSafe nach dem Vorbild von TraceTogether aus Singapur. Hongkong, Taiwan, China, Südkorea, Israel und Deutschland haben alle eine Technologie zur Kontaktverfolgung implementiert oder sind dabei, diese einzuführen. Großbritannien ist die am stärksten betroffene Region in Europa, mit zehntausenden von virusbedingten Todesfällen und einer hohen Infektionsrate. Die Veröffentlichung ihrer App steht unmittelbar bevor. In den USA - die ebenfalls stark betroffen sind und in denen viele Menschen auf tragische Weise ihr Leben verloren haben - ist die Technologie ebenfalls im Einsatz, aber der bundesstaatliche Ansatz zur Kontaktverfolgung macht die Situation dort sehr komplex.
Mit Ausnahme von eher staatlich kontrollierten Ländern wie China und Taiwan ist die Nutzung dieser Apps freiwillig, sodass die Bürger die Technologie aus eigenem Antrieb herunterladen und nutzen müssen. Einige Adoptionsraten sind erfolgreicher als andere; zum Beispiel hatte die TraceTogether-App in Singapur eine Adoptionsrate von 25 %, was sie für den gewünschten Zweck ziemlich ineffektiv macht.
Die Idee hinter Apps zur Kontaktverfolgung ist gut. Diese Technologie würde, wenn sie gut funktioniert, sicherstellen, dass Hotspots schnell aufgedeckt werden und umfassende Tests durchgeführt werden können - beides wesentliche Komponenten im Kampf gegen die Verbreitung eines ansteckenden Virus. Allerdings klingen die Worte "Regierung" und "Rückverfolgung" nicht gerade sehr einladend, und es ist natürlich, dass die Menschen vorsichtig sind, was das Herunterladen von so etwas tatsächlich für sie bedeuten würde.
Was sind also die Hauptbedenken der Anwender? Wenn man den Online-Kommentaren Glauben schenken darf, dann gehören zu diesen Bedenken einige:
- Mangelndes Vertrauen in die Regierung, gesammelte Daten verantwortungsvoll zu nutzen
- Besorgnis darüber, wie gut persönliche Daten vor Cyberangriffen geschützt werden
- Unklarheit darüber, welche Daten tatsächlich gesammelt werden, wo sie gespeichert werden und mit wem
- ... und für die Entwickler/Geeks unter uns, wie solide die Apps tatsächlich gebaut sind.
Es ist immer ein bisschen beunruhigend, wenn Apps schnell gebaut werden, und diese Kontaktverfolgungs-Apps müssen in Rekordzeit ausgerollt werden. Es ist ein Albtraum für Entwickler, Sicherheitsleute und Behörden.
Ist Misstrauen also eine berechtigte Reaktion? Und was sollten wir als Priorität in unserer assessment von COVID-19 Kontaktverfolgungs-Apps und der Sicherheit der Endbenutzer betrachten? Als Sicherheitsexperte ist mein Instinkt natürlich, die Cybersecurity-Elemente des Programms zu untersuchen, nämlich wie sicher die Codebasis für eine App ist, zu deren Installation wir alle (mit den besten Absichten) gedrängt werden.
Viele der Apps sind Kopien voneinander (und erben die gleichen Probleme).
Die australische COVIDSafe-App basiert im Wesentlichen auf OpenTrace, ebenso wie die TraceTogether-Software in Singapur. Das Problem ist jedoch, dass TraceTogether eine Reihe von gemeldeten Problemen und eine schlechte Akzeptanz hatte, mit nur 25 % der Bevölkerung als Nutzer - weit entfernt von den 75 %, die erforderlich sind, damit es effektiv ist. Es gab Beschwerden über die allgemeine Leistung, vor allem unter iOS, einschließlich der Tatsache, dass die Batterien sehr schnell entladen werden. COVIDSafe hat einen potenziellen UX-Fehler in seiner iOS-Version, da das Telefon entsperrt sein muss und die App im Vordergrund laufen muss, um alle Daten korrekt aufzuzeichnen.
Während die oben genannten Probleme ärgerlich sind, ist die dringendere Sorge, dass Bluetooth-Schwachstellen weit verbreitet sind und weder TraceTogether noch das australische COVIDSafe immun gegen sie sind. Am 14. Mai berichtete das NIST, dass COVIDSafe eine Denial-of-Service-Schwachstelle aufweist, die es einem Angreifer ermöglicht, die App aus der Ferne zum Absturz zu bringen, wenn er sich in Bluetooth-Handshake-Distanz befindet. Dies würde es einem organisierten Angriff ermöglichen, die Kontaktverfolgung in dicht besiedelten Gebieten zu unterbrechen, wo sie am nützlichsten ist - etwas, das der Sicherheitsforscher Richard Nelson im Detail erklärt. Es ist bekannt, dass COVIDSafe, TraceTogether, das polnische ProteGO und das kanadische ABTraceTogether betroffen sind - sie alle erben das Problem vom fehlerhaften manuData.subdata-Aufruf von OpenTrace.
Es gibt auch andere Datenschutz- und Sicherheitsprobleme, die mit der Bluetooth-Funktionalität im Allgemeinen zusammenhängen. Die Tatsache, dass diese Technologie verwendet wird, um menschliche Bewegungen durch eine eindeutige ID (TempID) zu verfolgen und aussagekräftige Daten zu sammeln, wird unweigerlich zu einem erhöhten Interesse von Angreifern führen, die nach Schwachstellen suchen. An diesem Punkt muss genau untersucht werden, was gesammelt wird, wo es gespeichert wird und für wie lange.
Einige Apps zeigen bereits Anzeichen für einfache Fehler, die komplexe Schwachstellen verursachen.
Der australische Software-Ingenieur Geoffrey Huntley hat den Quellcode von COVIDSafe untersucht, und leider gibt es Probleme, die uns, den Endbenutzern, nicht unbedingt aufgezeigt werden.
Ein kritisches Beispiel war ein die Privatsphäre verletzender Logikfehler, der es einem Angreifer ermöglichen würde, eine Langzeitverfolgung von Geräten durchzuführen; etwas, das ein enormes Risiko für gefährdete Benutzer darstellt, ganz zu schweigen davon, dass es gegen die Datenschutzbestimmungen der App selbst verstößt.
Es ist wichtig anzumerken, dass diese logischen Schwachstellen seit dem 14. Mai gepatcht wurden, aber das dringendere Problem ist, dass diese Schwachstelle 17 Tage lang ungepatcht blieb, nachdem Herr Huntley sie gemeldet hatte. Er und andere Mitglieder der awesome-Sicherheits-Community verfolgen die CVEs im Zusammenhang mit der COVIDSafe-App hier.
Eine Sache, auf die Huntley nach dem Patch hinweist, ist, dass selbst der Fix Anzeichen von, nun ja, Inkompetenz zeigt. In seinem öffentlichen Log vermerkt er, dass der Patch eine zusätzliche Logik beinhaltete, anstatt einfach einen fehlerhaften Cache zu löschen, wobei letzteres eine weitaus robustere Lösung ist. Beides funktioniert, aber der Live-Lösung fehlt es an Finesse - ein Problem bei einer so wichtigen Anwendung.
Obwohl wir fleißige Mitglieder der Gesellschaft haben, die ihre eigene Zeit und ihr Fachwissen einsetzen, um den Quellcode zu durchforsten und auf Probleme hinzuweisen, wird ihre Arbeit viel schwieriger gemacht, als wenn der Code von vornherein Open Source wäre. So wie es aussieht, sind 28 Apps immer noch für Sicherheitsforscher gesperrt.
Die sichere Kodierung bringt uns immer wieder ins Stolpern.
Auch wenn ich sicherlich Verständnis für überarbeitete Entwickler habe - ebenso wie für die höchst ungewöhnliche Situation, eine lebensrettende App inmitten einer Pandemie herausbringen zu müssen - sollte das oben Gesagte verdeutlichen, dass ein paar einfache Schwachstellen in einer im Wesentlichen gemeinschaftlichen Codebasis erhebliche Probleme für Millionen von Benutzern bedeuten können.
Ich würde gerne glauben, dass die meisten Leute gute Bürger sein wollen, die App unterstützen und jedem die bestmögliche Chance geben wollen, Kontakte aufzuspüren und Ausbrüche dieses schrecklichen Virus zu kontrollieren. Auch ich unterstütze Technologie, die dabei helfen kann, dies zu erreichen, aber in vielerlei Hinsicht hat dies den allgemeinen Mangel an sicheren Codierungsprinzipien bei Entwicklern auf der ganzen Welt zutage gebracht.
In jeder Situation, in der Software schnell geschrieben werden muss, sind Fehler nicht gerade unerwartet. Gängige Sicherheitslücken wie Logikfehler, Fehlkonfigurationen und Code-Injection-Fehler sollten jedoch bereits beim Schreiben des Codes verhindert werden können und nicht erst, nachdem freiwillige White Hats die Codebasis auseinandergenommen haben.
Und es ist nicht die Schuld der Entwickler, nebenbei bemerkt. Sie verlassen ihre Hochschulausbildung mit wenig Kenntnissen in sicherer Programmierung, und in ihrer Karriere beziehen sich ihre KPIs fast immer auf die Funktionalität der Funktionen und die Geschwindigkeit der Bereitstellung - um die Sicherheit muss sich jemand anderes kümmern, wenn sie fertig sind. Wir müssen einen Endzustand erreichen, in dem die sichere Programmierung schnell erfolgt. Auch wenn jetzt nicht die Zeit ist, in den Abteilungen, die diese Apps entwickeln, einen seismischen Kulturwandel herbeizuführen, so ist es doch eine rechtzeitige Erinnerung daran, dass sich unser digitaler Risikobereich ausweitet und sie sich in der Pole-Position befinden, um einen Unterschied zu machen, wenn sie die Werkzeuge und das Wissen erhalten, um die Verantwortung für die besten Sicherheitsverfahren zu teilen.
Ist es sicher, die App herunterzuladen?
Die Sache ist die: Für mich, einen Sicherheitsexperten, bin ich zu dem Schluss gekommen, dass die Vorteile der App die Probleme überwiegen. Es ist nicht ideal, dass die oben genannten Schwachstellen in dieser Software vorhanden sind - oder waren -, aber die Auswirkungen, wenn diese als Waffe eingesetzt werden, sind das Worst-Case-Szenario. Im Moment ist die Kontaktverfolgung ein wichtiger Bestandteil, um unsere medizinischen Helden auf der ganzen Welt dabei zu unterstützen, die Ausbreitung zu kontrollieren, den Fluss der Krankenhauseinweisungen einzudämmen und sich gegenseitig so sicher wie möglich zu halten.
Es zeigt, dass wir noch einen weiten Weg vor uns haben, wenn es darum geht, bewährte Sicherheitspraktiken standardmäßig in einem Software-Build zu implementieren, und dass es wichtig ist, dass die Öffentlichkeit die nötigen Informationen erhält, um fundierte Entscheidungen zu treffen.
Meine Familie und ich werden es weiterhin verwenden, obwohl wir wachsam bleiben und unsere Android-Patches auf dem neuesten Stand halten, wie wir es alle tun sollten.
Klicken Sie auf den unten stehenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenDemo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien ursprünglich in DevOps Digest. Er wurde aktualisiert und hier syndiziert.
An diesem Punkt sind wir sicher alle ein wenig müde von der Phrase, "in diesen beispiellosen Zeiten"... aber, dies sind wirklich beispiellose Zeiten. Wer hätte Ende letzten Jahres gedacht, dass wir in diesem Jahr gegen eine weltweit zerstörerische Pandemie antreten und alles daran setzen würden, sie zu besiegen? Es wäre fast lächerlich und eher wie eine neue Netflix-Science-Fiction-Serie als Teil unserer weltweiten Realität erschienen. COVID-19 hat unser soziales Leben, unsere Wirtschaft und die Sicherheit unserer Arbeitsplätze völlig verändert, ganz zu schweigen von den politischen Prioritäten.
Einer der Gegenangriffe gegen COVID-19 ist die Technologie: Viele Länder haben Apps zur Kontaktverfolgung eingeführt. In Australien gibt es COVIDSafe nach dem Vorbild von TraceTogether aus Singapur. Hongkong, Taiwan, China, Südkorea, Israel und Deutschland haben alle eine Technologie zur Kontaktverfolgung implementiert oder sind dabei, diese einzuführen. Großbritannien ist die am stärksten betroffene Region in Europa, mit zehntausenden von virusbedingten Todesfällen und einer hohen Infektionsrate. Die Veröffentlichung ihrer App steht unmittelbar bevor. In den USA - die ebenfalls stark betroffen sind und in denen viele Menschen auf tragische Weise ihr Leben verloren haben - ist die Technologie ebenfalls im Einsatz, aber der bundesstaatliche Ansatz zur Kontaktverfolgung macht die Situation dort sehr komplex.
Mit Ausnahme von eher staatlich kontrollierten Ländern wie China und Taiwan ist die Nutzung dieser Apps freiwillig, sodass die Bürger die Technologie aus eigenem Antrieb herunterladen und nutzen müssen. Einige Adoptionsraten sind erfolgreicher als andere; zum Beispiel hatte die TraceTogether-App in Singapur eine Adoptionsrate von 25 %, was sie für den gewünschten Zweck ziemlich ineffektiv macht.
Die Idee hinter Apps zur Kontaktverfolgung ist gut. Diese Technologie würde, wenn sie gut funktioniert, sicherstellen, dass Hotspots schnell aufgedeckt werden und umfassende Tests durchgeführt werden können - beides wesentliche Komponenten im Kampf gegen die Verbreitung eines ansteckenden Virus. Allerdings klingen die Worte "Regierung" und "Rückverfolgung" nicht gerade sehr einladend, und es ist natürlich, dass die Menschen vorsichtig sind, was das Herunterladen von so etwas tatsächlich für sie bedeuten würde.
Was sind also die Hauptbedenken der Anwender? Wenn man den Online-Kommentaren Glauben schenken darf, dann gehören zu diesen Bedenken einige:
- Mangelndes Vertrauen in die Regierung, gesammelte Daten verantwortungsvoll zu nutzen
- Besorgnis darüber, wie gut persönliche Daten vor Cyberangriffen geschützt werden
- Unklarheit darüber, welche Daten tatsächlich gesammelt werden, wo sie gespeichert werden und mit wem
- ... und für die Entwickler/Geeks unter uns, wie solide die Apps tatsächlich gebaut sind.
Es ist immer ein bisschen beunruhigend, wenn Apps schnell gebaut werden, und diese Kontaktverfolgungs-Apps müssen in Rekordzeit ausgerollt werden. Es ist ein Albtraum für Entwickler, Sicherheitsleute und Behörden.
Ist Misstrauen also eine berechtigte Reaktion? Und was sollten wir als Priorität in unserer assessment von COVID-19 Kontaktverfolgungs-Apps und der Sicherheit der Endbenutzer betrachten? Als Sicherheitsexperte ist mein Instinkt natürlich, die Cybersecurity-Elemente des Programms zu untersuchen, nämlich wie sicher die Codebasis für eine App ist, zu deren Installation wir alle (mit den besten Absichten) gedrängt werden.
Viele der Apps sind Kopien voneinander (und erben die gleichen Probleme).
Die australische COVIDSafe-App basiert im Wesentlichen auf OpenTrace, ebenso wie die TraceTogether-Software in Singapur. Das Problem ist jedoch, dass TraceTogether eine Reihe von gemeldeten Problemen und eine schlechte Akzeptanz hatte, mit nur 25 % der Bevölkerung als Nutzer - weit entfernt von den 75 %, die erforderlich sind, damit es effektiv ist. Es gab Beschwerden über die allgemeine Leistung, vor allem unter iOS, einschließlich der Tatsache, dass die Batterien sehr schnell entladen werden. COVIDSafe hat einen potenziellen UX-Fehler in seiner iOS-Version, da das Telefon entsperrt sein muss und die App im Vordergrund laufen muss, um alle Daten korrekt aufzuzeichnen.
Während die oben genannten Probleme ärgerlich sind, ist die dringendere Sorge, dass Bluetooth-Schwachstellen weit verbreitet sind und weder TraceTogether noch das australische COVIDSafe immun gegen sie sind. Am 14. Mai berichtete das NIST, dass COVIDSafe eine Denial-of-Service-Schwachstelle aufweist, die es einem Angreifer ermöglicht, die App aus der Ferne zum Absturz zu bringen, wenn er sich in Bluetooth-Handshake-Distanz befindet. Dies würde es einem organisierten Angriff ermöglichen, die Kontaktverfolgung in dicht besiedelten Gebieten zu unterbrechen, wo sie am nützlichsten ist - etwas, das der Sicherheitsforscher Richard Nelson im Detail erklärt. Es ist bekannt, dass COVIDSafe, TraceTogether, das polnische ProteGO und das kanadische ABTraceTogether betroffen sind - sie alle erben das Problem vom fehlerhaften manuData.subdata-Aufruf von OpenTrace.
Es gibt auch andere Datenschutz- und Sicherheitsprobleme, die mit der Bluetooth-Funktionalität im Allgemeinen zusammenhängen. Die Tatsache, dass diese Technologie verwendet wird, um menschliche Bewegungen durch eine eindeutige ID (TempID) zu verfolgen und aussagekräftige Daten zu sammeln, wird unweigerlich zu einem erhöhten Interesse von Angreifern führen, die nach Schwachstellen suchen. An diesem Punkt muss genau untersucht werden, was gesammelt wird, wo es gespeichert wird und für wie lange.
Einige Apps zeigen bereits Anzeichen für einfache Fehler, die komplexe Schwachstellen verursachen.
Der australische Software-Ingenieur Geoffrey Huntley hat den Quellcode von COVIDSafe untersucht, und leider gibt es Probleme, die uns, den Endbenutzern, nicht unbedingt aufgezeigt werden.
Ein kritisches Beispiel war ein die Privatsphäre verletzender Logikfehler, der es einem Angreifer ermöglichen würde, eine Langzeitverfolgung von Geräten durchzuführen; etwas, das ein enormes Risiko für gefährdete Benutzer darstellt, ganz zu schweigen davon, dass es gegen die Datenschutzbestimmungen der App selbst verstößt.
Es ist wichtig anzumerken, dass diese logischen Schwachstellen seit dem 14. Mai gepatcht wurden, aber das dringendere Problem ist, dass diese Schwachstelle 17 Tage lang ungepatcht blieb, nachdem Herr Huntley sie gemeldet hatte. Er und andere Mitglieder der awesome-Sicherheits-Community verfolgen die CVEs im Zusammenhang mit der COVIDSafe-App hier.
Eine Sache, auf die Huntley nach dem Patch hinweist, ist, dass selbst der Fix Anzeichen von, nun ja, Inkompetenz zeigt. In seinem öffentlichen Log vermerkt er, dass der Patch eine zusätzliche Logik beinhaltete, anstatt einfach einen fehlerhaften Cache zu löschen, wobei letzteres eine weitaus robustere Lösung ist. Beides funktioniert, aber der Live-Lösung fehlt es an Finesse - ein Problem bei einer so wichtigen Anwendung.
Obwohl wir fleißige Mitglieder der Gesellschaft haben, die ihre eigene Zeit und ihr Fachwissen einsetzen, um den Quellcode zu durchforsten und auf Probleme hinzuweisen, wird ihre Arbeit viel schwieriger gemacht, als wenn der Code von vornherein Open Source wäre. So wie es aussieht, sind 28 Apps immer noch für Sicherheitsforscher gesperrt.
Die sichere Kodierung bringt uns immer wieder ins Stolpern.
Auch wenn ich sicherlich Verständnis für überarbeitete Entwickler habe - ebenso wie für die höchst ungewöhnliche Situation, eine lebensrettende App inmitten einer Pandemie herausbringen zu müssen - sollte das oben Gesagte verdeutlichen, dass ein paar einfache Schwachstellen in einer im Wesentlichen gemeinschaftlichen Codebasis erhebliche Probleme für Millionen von Benutzern bedeuten können.
Ich würde gerne glauben, dass die meisten Leute gute Bürger sein wollen, die App unterstützen und jedem die bestmögliche Chance geben wollen, Kontakte aufzuspüren und Ausbrüche dieses schrecklichen Virus zu kontrollieren. Auch ich unterstütze Technologie, die dabei helfen kann, dies zu erreichen, aber in vielerlei Hinsicht hat dies den allgemeinen Mangel an sicheren Codierungsprinzipien bei Entwicklern auf der ganzen Welt zutage gebracht.
In jeder Situation, in der Software schnell geschrieben werden muss, sind Fehler nicht gerade unerwartet. Gängige Sicherheitslücken wie Logikfehler, Fehlkonfigurationen und Code-Injection-Fehler sollten jedoch bereits beim Schreiben des Codes verhindert werden können und nicht erst, nachdem freiwillige White Hats die Codebasis auseinandergenommen haben.
Und es ist nicht die Schuld der Entwickler, nebenbei bemerkt. Sie verlassen ihre Hochschulausbildung mit wenig Kenntnissen in sicherer Programmierung, und in ihrer Karriere beziehen sich ihre KPIs fast immer auf die Funktionalität der Funktionen und die Geschwindigkeit der Bereitstellung - um die Sicherheit muss sich jemand anderes kümmern, wenn sie fertig sind. Wir müssen einen Endzustand erreichen, in dem die sichere Programmierung schnell erfolgt. Auch wenn jetzt nicht die Zeit ist, in den Abteilungen, die diese Apps entwickeln, einen seismischen Kulturwandel herbeizuführen, so ist es doch eine rechtzeitige Erinnerung daran, dass sich unser digitaler Risikobereich ausweitet und sie sich in der Pole-Position befinden, um einen Unterschied zu machen, wenn sie die Werkzeuge und das Wissen erhalten, um die Verantwortung für die besten Sicherheitsverfahren zu teilen.
Ist es sicher, die App herunterzuladen?
Die Sache ist die: Für mich, einen Sicherheitsexperten, bin ich zu dem Schluss gekommen, dass die Vorteile der App die Probleme überwiegen. Es ist nicht ideal, dass die oben genannten Schwachstellen in dieser Software vorhanden sind - oder waren -, aber die Auswirkungen, wenn diese als Waffe eingesetzt werden, sind das Worst-Case-Szenario. Im Moment ist die Kontaktverfolgung ein wichtiger Bestandteil, um unsere medizinischen Helden auf der ganzen Welt dabei zu unterstützen, die Ausbreitung zu kontrollieren, den Fluss der Krankenhauseinweisungen einzudämmen und sich gegenseitig so sicher wie möglich zu halten.
Es zeigt, dass wir noch einen weiten Weg vor uns haben, wenn es darum geht, bewährte Sicherheitspraktiken standardmäßig in einem Software-Build zu implementieren, und dass es wichtig ist, dass die Öffentlichkeit die nötigen Informationen erhält, um fundierte Entscheidungen zu treffen.
Meine Familie und ich werden es weiterhin verwenden, obwohl wir wachsam bleiben und unsere Android-Patches auf dem neuesten Stand halten, wie wir es alle tun sollten.
Inhaltsübersicht
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Ihr Unternehmen da, um Sie dabei zu unterstützen, Ihren Code über den gesamten Lebenszyklus der Softwareentwicklung hinweg zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder ein anderer Sicherheitsverantwortlicher sind, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen für den Einstieg
Benchmarking von Sicherheitskompetenzen: Optimierung von Secure-by-Design im Unternehmen
Aussagekräftige Daten über den Erfolg von Secure-by-Design-Initiativen zu finden, ist bekanntermaßen schwierig. CISOs stehen oft vor der Herausforderung, den Return on Investment (ROI) und den Geschäftswert von Sicherheitsprogrammen sowohl auf Mitarbeiter- als auch auf Unternehmensebene nachzuweisen. Ganz zu schweigen davon, dass es für Unternehmen besonders schwierig ist, Erkenntnisse darüber zu gewinnen, wie ihre Organisation im Vergleich zu aktuellen Branchenstandards abschneidet. Die Nationale Cybersicherheitsstrategie des Präsidenten forderte die Beteiligten auf, "Sicherheit und Widerstandsfähigkeit durch Design" zu erreichen. Der Schlüssel zum Erfolg von Secure-by-Design-Initiativen liegt nicht nur darin, Entwicklern die nötigen Fähigkeiten zu vermitteln, um sicheren Code zu gewährleisten, sondern auch darin, den Aufsichtsbehörden zu versichern, dass diese Fähigkeiten vorhanden sind. In dieser Präsentation stellen wir eine Vielzahl von qualitativen und quantitativen Daten vor, die aus verschiedenen Primärquellen stammen, darunter interne Daten von über 250.000 Entwicklern, datengestützte Kundeneinblicke und öffentliche Studien. Auf der Grundlage dieser gesammelten Daten wollen wir eine Vision des aktuellen Stands von Secure-by-Design-Initiativen in verschiedenen Branchen vermitteln. Der Bericht zeigt auf, warum dieser Bereich derzeit nicht ausreichend genutzt wird, welche erheblichen Auswirkungen ein erfolgreiches Schulungsprogramm auf die Minderung von Cybersecurity-Risiken haben kann und welches Potenzial zur Beseitigung von Schwachstellen in einer Codebasis besteht.
In diesem Monat des Cyber-Bewusstseins wird aus Bewusstsein Handeln
Lassen Sie diesen Oktober das Bewusstsein in Aktion treten. Machen Sie den Cyber Awareness Month für Ihre Entwickler zu einem denkwürdigen Ereignis mit großer Wirkung und hoher Beteiligung - geleitet vom Secure Code Warrior Professional Services Team.
Professionelle Dienstleistungen - Beschleunigen Sie mit Fachwissen
Das PSS-Team (Program Strategy Services) von Secure Code Warriorunterstützt Sie beim Aufbau, der Verbesserung und der Optimierung Ihres Programms für sichere Codierung. Ganz gleich, ob Sie neu anfangen oder Ihren Ansatz verfeinern möchten, unsere Experten bieten Ihnen maßgeschneiderte Beratung.
Themen und Inhalte der Schulung zu sicherem Code
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sie an die sich ständig verändernde Softwareentwicklungslandschaft anzupassen und Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis XQuery Injection und werden für eine Vielzahl von Rollen angeboten, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Überblick über die Inhalte, die unser Katalog nach Thema und Rolle bietet.
Ressourcen für den Einstieg
Wird Vibe Coding Ihre Codebasis in eine Verbindungsparty verwandeln?
Vibe Coding ist wie eine College-Verbindungsparty, und AI ist das Herzstück aller Festivitäten, das Fass. Es macht eine Menge Spaß, sich auszutoben, kreativ zu werden und zu sehen, wohin die eigene Fantasie einen führen kann, aber nach ein paar Bierfässern ist das Trinken (oder die Verwendung von KI) in Maßen zweifellos die sicherere langfristige Lösung.
Das Jahrzehnt der Defenders: Secure Code Warrior Zehnte Runde
Secure Code WarriorDas Gründungsteam von SCW ist zusammengeblieben und hat das Schiff ein ganzes Jahrzehnt lang durch alle Lektionen, Triumphe und Rückschläge gesteuert. Wir vergrößern uns und sind bereit für unser nächstes Kapitel, SCW 2.0, als führendes Unternehmen im Risikomanagement für Entwickler.
Entwicklergesteuerte Kodierung.
Sicher ist sicher.
Setzen Sie sich noch heute mit uns in Verbindung und machen Sie Softwaresicherheit zu einem festen Bestandteil Ihres Entwicklungsprozesses.
