Software-Sicherheit ist im Wilden Westen (und es wird uns umbringen)

Veröffentlicht Mar 13, 2019
von Pieter Danhieux
FALLSTUDIE

Software-Sicherheit ist im Wilden Westen (und es wird uns umbringen)

Veröffentlicht Mar 13, 2019
von Pieter Danhieux
Ressource anzeigen
Ressource anzeigen

Ursprünglich veröffentlicht in CSO Online

Als (halbpensionierter) ethischer Hacker, Sicherheitsexperte und Allround-Computerfreak könnte man sagen, dass ich mich sehr für Technologie interessiere. Ich interessiere mich dafür, wie sie entwickelt wurde, was sie kann und wie sie einen Aspekt unseres Lebens besser oder effizienter machen wird. Ich schaue ständig unter die Haube von Geräten und sehe dabei einige der besten (und schlechtesten) Code-Beispiele, die es gibt. Kürzlich habe ich mir angesehen, wie meine Klimaanlage mit einer Android-App ferngesteuert werden kann (stellen Sie sich meine Überraschung vor, als ich entdeckte, dass jeder im WiFi-Netzwerk das Ding ohne jegliche Authentifizierung steuern kann).

Softwaresicherheit steht für mich immer an erster Stelle, ebenso wie die sehr reale Gefahr, die von unserem zunehmend digitalen, persönlichen Informationsaustausch-Lebensstil ausgeht. Schließlich befinden wir uns in einem weitgehend unregulierten, unüberwachten und glücklicherweise ignorierten Gebiet. Wir befinden uns im Wilden Westen.

Als kollektive Gesellschaft schauen wir nicht unter die Haube der Technologie, die wir täglich nutzen. Obwohl beliebte und hochgelobte Fernsehserien wie Mr. Robot das allgemeine Bewusstsein schärfen, sind wir nicht sicherheitsbewusst... Tatsächlich haben die meisten von uns keine Ahnung, wie sicher die Software in den unzähligen Anwendungen, Diensten und zunehmend vernetzten Dingen ist, die wir kaufen und nutzen. Es ist nicht einmal so, dass wir ihnen von Natur aus vertrauen - wir denken einfach überhaupt nicht darüber nach.

Sony PlayStation Network (PSN), Ticketmaster, Yahoo!, Facebook, Target: Jedes einzelne dieser weit verbreiteten Unternehmen ist Opfer einer Datenschutzverletzung geworden. Ihre Software-Schwachstellen wurden ausgenutzt, und Millionen von Kundendaten wurden preisgegeben. Diese Beispiele stellen nur einen Bruchteil der weltweiten Datenschutzverletzungen dar, die in den letzten zehn Jahren stattgefunden haben. Sie sind eine kostspielige Folge schlechter Softwaresicherheit, die es den Bösewichten ermöglicht, unsere wertvollen Informationen zu stehlen.

Wenn die meisten Menschen an Datenschutzverletzungen denken, denken sie an Verstöße gegen die Informationssicherheit. Sie sind verständlicherweise ein Alptraum für das betroffene Unternehmen und unangenehm für diejenigen, deren persönliche Daten betroffen sind, aber mal im Ernst, was ist das große Problem? Wenn die Sicherheit weiterhin ignoriert wird, sind die Konsequenzen dann wirklich so groß? Bislang ist noch nichts Großes passiert - Datenschutzverletzungen haben schwerwiegende Auswirkungen für die Unternehmen, die dafür verantwortlich sind, aber es ist ihr Problem, richtig? Sie verlieren das Geschäft, sie verlieren das Vertrauen der Verbraucher; es ist letztendlich ihre Aufgabe, das in Ordnung zu bringen und für den Schaden aufzukommen.

Softwaresicherheit sollte die Priorität jeder Organisation sein.

Es gibt einen ziemlich einfachen Grund, warum Softwaresicherheit nicht für jede Organisation da draußen mit einem Entwicklerteam die Sorge Nummer eins ist: Es sind noch nicht genug Menschen ums Leben gekommen und es gibt nicht genug Wissen über die Risiken.

Morbide? Vielleicht. Aber es ist die ehrliche Wahrheit. Regulierung, Baunormen und gesetzesändernde Aufmerksamkeit wird (wie z. B. von Regierungsbehörden) dann gezahlt, wenn es einen echten menschlichen Preis gibt.

Nehmen Sie zum Beispiel eine Brücke. Bauingenieure (ein Berufszweig, der Hunderte von Jahren alt ist) betrachten die Sicherheit als einen zentralen Bestandteil beim Bau einer Brücke. Ihr Ansatz geht weit über Ästhetik und grundlegende Funktionalität hinaus. Von jeder Brücke, die gebaut wird, wird erwartet, dass sie strenge Sicherheitsvorschriften einhält, wobei sowohl der Berufsstand der Bauingenieure als auch die Gesellschaft als Ganzes im Laufe der Zeit gelernt haben, ein hohes Maß an Sicherheit zu erwarten. Eine Brücke, die heute nicht den Sicherheitsanforderungen entspricht, gilt als gefährlich und unbrauchbar. Dies ist eine Entwicklung, zu der wir innerhalb der Softwaretechnik noch kommen müssen.

Betrachten wir als modernes Beispiel die Spielzeugindustrie. In den 1950er Jahren gab es dank des Babybooms der Nachkriegszeit einen enormen Anstieg der Spielzeugproduktion und -verkäufe. Interessanterweise wurde berichtet, dass in dieser Zeit auch die Zahl der Besuche in der Notaufnahme wegen spielzeugbedingter Vorfälle zunahm. Spielzeugpfeile verursachten Augenverletzungen, kleine Spielzeuge (und abnehmbare Teile von größeren Spielzeugen) wurden verschluckt, und Spielzeugöfen, die für kleine Mädchen vermarktet wurden, konnten auf höhere Temperaturen erhitzt werden als normale Haushaltsöfen.

Es war eine Art "Wilder Westen" da draußen, mit wenig Regulierung außer ein paar vereinzelten Verboten und Produktrückrufen in den schlimmsten Fällen. Spielzeughersteller konnten im Wesentlichen frei produzieren, was immer sie wollten, und Sicherheitsbedenken wurden in der Regel erst geäußert, nachdem es bereits mehrere gemeldete Vorfälle gegeben hatte. Erst mit Gesetzen wie dem Toy Safety Act von Richard Nixon aus dem Jahr 1969 wurde das Testen und anschließende Verbot von gefährlichem Spielzeug in den USA und auf der ganzen Welt zum Standard. Auch wenn es immer noch zu Unfällen kommt, gilt heute bei der Herstellung von Spielzeug generell das Prinzip "Sicherheit geht vor", und unsere Kinder sind weitaus weniger potenziellen Gefahren ausgesetzt.

Im Bereich der Software-Sicherheit befinden wir uns derzeit im Wilden Westen. Abgesehen von den offensichtlichen Gesetzen und Vorschriften in Bezug auf den Datenschutz (vor allem in jüngster Zeit mit der GDPR) und den Schutz von Kundendaten sowie den verpflichtenden Gesetzen zur Meldung von Sicherheitsverletzungen in einigen Ländern, wird im Mainstream-Geschäft oder in der Community sehr wenig über das in Software eingebaute Sicherheitsniveau gesagt und getan. Selbst diese Gesetze beziehen sich mehr auf die Verantwortung des Unternehmens als auf die eigentliche Software, die reguliert wird oder einen obligatorischen Sicherheitsstandard zu erfüllen hat.

Wir werden dorthin gelangen, aber es kann sein, dass wir zuerst einen Weg der Zerstörung gehen müssen.

Gartner schätzt, dass im Jahr 2020 8,4 Milliarden internetfähige Geräte im Einsatz sein werden; eine Zahl, die einen Anstieg von 31 Prozent gegenüber 2016 bedeutet. Dazu gehören Unterhaltungselektronik, aber auch Dinge wie medizinische Geräte und branchenspezifische Ausrüstung. Das sind verdammt viele Möglichkeiten für einen Hacker.

Stellen Sie sich vor, die Software, die den Herzschrittmacher von jemandem steuert, ist unsicher. Ein Hacker könnte einbrechen und möglicherweise das Herz seines Opfers anhalten (finden Sie das lächerlich? Die Ärzte haben das WiFi in Dick Cheneys Herzschrittmacher deaktiviert, um ein mögliches Attentat per Hacking zu vereiteln). Eine vernetzte Mikrowelle oder ein Wasserkocher könnten aus der Ferne in die Luft gesprengt werden (zusammen mit allen Arten von Internet-of-Things-Geräten, die wir in unseren Häusern nutzen), oder bei einem vernetzten Elektroauto könnten die Bremsen deaktiviert werden. Das mag wie ein weit hergeholter Hollywood-Actionfilm klingen, aber wenn die Software eines dieser fortschrittlichen, vernetzten Geräte geknackt werden kann, haben wir es wirklich mit einer potenziellen Katastrophe zu tun - genau wie bei den Bedrohungen, über die wir bereits mit den explosiven Auswirkungen von Cyberangriffen in der Öl- und Gasindustrie berichtet haben.

Wir können den schlimmen Folgen von böswilligen Hackerangriffen zuvorkommen, da unser Leben immer mehr von der Digitalisierung abhängig wird. Alles beginnt damit, dass wir Entwickler für sicheres Coding begeistern und uns ernsthaft um eine starke Sicherheitsmentalität und -kultur in den Entwicklungsteams bemühen.

Ihre Software-Revolution beginnt hier. Die Bankenbranche ist führend bei der Einführung von Gamification-Trainings im Kampf gegen schlechten Code - ein wirklich innovativer Ansatz, der herkömmliche (sprich: langweilige) Schulungen auf den Kopf stellt. Jede der sechs größten Banken in Australien beschäftigt derzeit ihre Entwickler auf diese Weise, um deren Sicherheitsbewusstsein zu schärfen. Sehen Sie sich an, was unser Kunde, die IAG Group, mit ihrer nächsten Stufe tournament gemacht hat.

Ressource anzeigen
Ressource anzeigen

Autor

Pieter Danhieux

Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.

Sie wollen mehr?

Tauchen Sie ein in unsere neuesten Erkenntnisse über sichere Kodierung im Blog.

Unsere umfangreiche Ressourcenbibliothek zielt darauf ab, die menschliche Herangehensweise an eine sichere Weiterbildung im Bereich der Programmierung zu stärken.

Blog ansehen
Sie wollen mehr?

Holen Sie sich die neuesten Forschungsergebnisse zur entwicklergesteuerten Sicherheit

Unsere umfangreiche Ressourcenbibliothek ist voll von hilfreichen Ressourcen, von Whitepapers bis hin zu Webinaren, die Ihnen den Einstieg in die entwicklungsorientierte sichere Programmierung erleichtern. Erforschen Sie sie jetzt.

Ressourcendrehscheibe

Software-Sicherheit ist im Wilden Westen (und es wird uns umbringen)

Veröffentlicht Mar 13, 2019
Von Pieter Danhieux

Ursprünglich veröffentlicht in CSO Online

Als (halbpensionierter) ethischer Hacker, Sicherheitsexperte und Allround-Computerfreak könnte man sagen, dass ich mich sehr für Technologie interessiere. Ich interessiere mich dafür, wie sie entwickelt wurde, was sie kann und wie sie einen Aspekt unseres Lebens besser oder effizienter machen wird. Ich schaue ständig unter die Haube von Geräten und sehe dabei einige der besten (und schlechtesten) Code-Beispiele, die es gibt. Kürzlich habe ich mir angesehen, wie meine Klimaanlage mit einer Android-App ferngesteuert werden kann (stellen Sie sich meine Überraschung vor, als ich entdeckte, dass jeder im WiFi-Netzwerk das Ding ohne jegliche Authentifizierung steuern kann).

Softwaresicherheit steht für mich immer an erster Stelle, ebenso wie die sehr reale Gefahr, die von unserem zunehmend digitalen, persönlichen Informationsaustausch-Lebensstil ausgeht. Schließlich befinden wir uns in einem weitgehend unregulierten, unüberwachten und glücklicherweise ignorierten Gebiet. Wir befinden uns im Wilden Westen.

Als kollektive Gesellschaft schauen wir nicht unter die Haube der Technologie, die wir täglich nutzen. Obwohl beliebte und hochgelobte Fernsehserien wie Mr. Robot das allgemeine Bewusstsein schärfen, sind wir nicht sicherheitsbewusst... Tatsächlich haben die meisten von uns keine Ahnung, wie sicher die Software in den unzähligen Anwendungen, Diensten und zunehmend vernetzten Dingen ist, die wir kaufen und nutzen. Es ist nicht einmal so, dass wir ihnen von Natur aus vertrauen - wir denken einfach überhaupt nicht darüber nach.

Sony PlayStation Network (PSN), Ticketmaster, Yahoo!, Facebook, Target: Jedes einzelne dieser weit verbreiteten Unternehmen ist Opfer einer Datenschutzverletzung geworden. Ihre Software-Schwachstellen wurden ausgenutzt, und Millionen von Kundendaten wurden preisgegeben. Diese Beispiele stellen nur einen Bruchteil der weltweiten Datenschutzverletzungen dar, die in den letzten zehn Jahren stattgefunden haben. Sie sind eine kostspielige Folge schlechter Softwaresicherheit, die es den Bösewichten ermöglicht, unsere wertvollen Informationen zu stehlen.

Wenn die meisten Menschen an Datenschutzverletzungen denken, denken sie an Verstöße gegen die Informationssicherheit. Sie sind verständlicherweise ein Alptraum für das betroffene Unternehmen und unangenehm für diejenigen, deren persönliche Daten betroffen sind, aber mal im Ernst, was ist das große Problem? Wenn die Sicherheit weiterhin ignoriert wird, sind die Konsequenzen dann wirklich so groß? Bislang ist noch nichts Großes passiert - Datenschutzverletzungen haben schwerwiegende Auswirkungen für die Unternehmen, die dafür verantwortlich sind, aber es ist ihr Problem, richtig? Sie verlieren das Geschäft, sie verlieren das Vertrauen der Verbraucher; es ist letztendlich ihre Aufgabe, das in Ordnung zu bringen und für den Schaden aufzukommen.

Softwaresicherheit sollte die Priorität jeder Organisation sein.

Es gibt einen ziemlich einfachen Grund, warum Softwaresicherheit nicht für jede Organisation da draußen mit einem Entwicklerteam die Sorge Nummer eins ist: Es sind noch nicht genug Menschen ums Leben gekommen und es gibt nicht genug Wissen über die Risiken.

Morbide? Vielleicht. Aber es ist die ehrliche Wahrheit. Regulierung, Baunormen und gesetzesändernde Aufmerksamkeit wird (wie z. B. von Regierungsbehörden) dann gezahlt, wenn es einen echten menschlichen Preis gibt.

Nehmen Sie zum Beispiel eine Brücke. Bauingenieure (ein Berufszweig, der Hunderte von Jahren alt ist) betrachten die Sicherheit als einen zentralen Bestandteil beim Bau einer Brücke. Ihr Ansatz geht weit über Ästhetik und grundlegende Funktionalität hinaus. Von jeder Brücke, die gebaut wird, wird erwartet, dass sie strenge Sicherheitsvorschriften einhält, wobei sowohl der Berufsstand der Bauingenieure als auch die Gesellschaft als Ganzes im Laufe der Zeit gelernt haben, ein hohes Maß an Sicherheit zu erwarten. Eine Brücke, die heute nicht den Sicherheitsanforderungen entspricht, gilt als gefährlich und unbrauchbar. Dies ist eine Entwicklung, zu der wir innerhalb der Softwaretechnik noch kommen müssen.

Betrachten wir als modernes Beispiel die Spielzeugindustrie. In den 1950er Jahren gab es dank des Babybooms der Nachkriegszeit einen enormen Anstieg der Spielzeugproduktion und -verkäufe. Interessanterweise wurde berichtet, dass in dieser Zeit auch die Zahl der Besuche in der Notaufnahme wegen spielzeugbedingter Vorfälle zunahm. Spielzeugpfeile verursachten Augenverletzungen, kleine Spielzeuge (und abnehmbare Teile von größeren Spielzeugen) wurden verschluckt, und Spielzeugöfen, die für kleine Mädchen vermarktet wurden, konnten auf höhere Temperaturen erhitzt werden als normale Haushaltsöfen.

Es war eine Art "Wilder Westen" da draußen, mit wenig Regulierung außer ein paar vereinzelten Verboten und Produktrückrufen in den schlimmsten Fällen. Spielzeughersteller konnten im Wesentlichen frei produzieren, was immer sie wollten, und Sicherheitsbedenken wurden in der Regel erst geäußert, nachdem es bereits mehrere gemeldete Vorfälle gegeben hatte. Erst mit Gesetzen wie dem Toy Safety Act von Richard Nixon aus dem Jahr 1969 wurde das Testen und anschließende Verbot von gefährlichem Spielzeug in den USA und auf der ganzen Welt zum Standard. Auch wenn es immer noch zu Unfällen kommt, gilt heute bei der Herstellung von Spielzeug generell das Prinzip "Sicherheit geht vor", und unsere Kinder sind weitaus weniger potenziellen Gefahren ausgesetzt.

Im Bereich der Software-Sicherheit befinden wir uns derzeit im Wilden Westen. Abgesehen von den offensichtlichen Gesetzen und Vorschriften in Bezug auf den Datenschutz (vor allem in jüngster Zeit mit der GDPR) und den Schutz von Kundendaten sowie den verpflichtenden Gesetzen zur Meldung von Sicherheitsverletzungen in einigen Ländern, wird im Mainstream-Geschäft oder in der Community sehr wenig über das in Software eingebaute Sicherheitsniveau gesagt und getan. Selbst diese Gesetze beziehen sich mehr auf die Verantwortung des Unternehmens als auf die eigentliche Software, die reguliert wird oder einen obligatorischen Sicherheitsstandard zu erfüllen hat.

Wir werden dorthin gelangen, aber es kann sein, dass wir zuerst einen Weg der Zerstörung gehen müssen.

Gartner schätzt, dass im Jahr 2020 8,4 Milliarden internetfähige Geräte im Einsatz sein werden; eine Zahl, die einen Anstieg von 31 Prozent gegenüber 2016 bedeutet. Dazu gehören Unterhaltungselektronik, aber auch Dinge wie medizinische Geräte und branchenspezifische Ausrüstung. Das sind verdammt viele Möglichkeiten für einen Hacker.

Stellen Sie sich vor, die Software, die den Herzschrittmacher von jemandem steuert, ist unsicher. Ein Hacker könnte einbrechen und möglicherweise das Herz seines Opfers anhalten (finden Sie das lächerlich? Die Ärzte haben das WiFi in Dick Cheneys Herzschrittmacher deaktiviert, um ein mögliches Attentat per Hacking zu vereiteln). Eine vernetzte Mikrowelle oder ein Wasserkocher könnten aus der Ferne in die Luft gesprengt werden (zusammen mit allen Arten von Internet-of-Things-Geräten, die wir in unseren Häusern nutzen), oder bei einem vernetzten Elektroauto könnten die Bremsen deaktiviert werden. Das mag wie ein weit hergeholter Hollywood-Actionfilm klingen, aber wenn die Software eines dieser fortschrittlichen, vernetzten Geräte geknackt werden kann, haben wir es wirklich mit einer potenziellen Katastrophe zu tun - genau wie bei den Bedrohungen, über die wir bereits mit den explosiven Auswirkungen von Cyberangriffen in der Öl- und Gasindustrie berichtet haben.

Wir können den schlimmen Folgen von böswilligen Hackerangriffen zuvorkommen, da unser Leben immer mehr von der Digitalisierung abhängig wird. Alles beginnt damit, dass wir Entwickler für sicheres Coding begeistern und uns ernsthaft um eine starke Sicherheitsmentalität und -kultur in den Entwicklungsteams bemühen.

Ihre Software-Revolution beginnt hier. Die Bankenbranche ist führend bei der Einführung von Gamification-Trainings im Kampf gegen schlechten Code - ein wirklich innovativer Ansatz, der herkömmliche (sprich: langweilige) Schulungen auf den Kopf stellt. Jede der sechs größten Banken in Australien beschäftigt derzeit ihre Entwickler auf diese Weise, um deren Sicherheitsbewusstsein zu schärfen. Sehen Sie sich an, was unser Kunde, die IAG Group, mit ihrer nächsten Stufe tournament gemacht hat.

Wir bitten Sie um Ihre Erlaubnis, Ihnen Informationen über unsere Produkte und/oder verwandte Themen der sicheren Codierung zuzusenden. Wir werden Ihre persönlichen Daten immer mit äußerster Sorgfalt behandeln und sie niemals zu Marketingzwecken an andere Unternehmen verkaufen.

Um das Formular abzuschicken, aktivieren Sie bitte "Analytics"-Cookies. Sie können die Cookies wieder deaktivieren, sobald Sie fertig sind.