COVID-19-Kontaktverfolgung: Wie sieht es mit der sicheren Codierung aus?
Eine Version dieses Artikels erschien ursprünglich in DevOps Digest. Es wurde hier aktualisiert und syndiziert.
An diesem Punkt bin ich mir sicher, dass wir alle des Ausdrucks „in diesen beispiellosen Zeiten“ ein wenig überdrüssig werden... aber dies sind wirklich beispiellose Zeiten. Wer hätte Ende letzten Jahres gedacht, dass wir in diesem Jahr einen Wettlauf um die Bekämpfung einer global zerstörerischen Pandemie machen und alles in unserer Macht Stehende darauf verwenden würden? Es wäre fast lächerlich erschienen und eher einer neuen Netflix-Science-Fiction-Serie als Teil unserer weltweiten Realität ähnlich. COVID-19 hat unser soziales Leben, unsere Wirtschaft und unsere Arbeitsplatzsicherheit völlig verändert, ganz zu schweigen von den politischen Prioritäten.
Einer der Gegenangriffe gegen COVID-19 erfolgte durch Technologie. Viele Länder haben Apps zur Kontaktverfolgung eingeführt. In Australien gibt es CovidSafe nach dem Vorbild von TraceTogether aus Singapur. Hongkong, Taiwan, China, Südkorea, Israel und Deutschland haben alle eine Technologie zur Kontaktverfolgung implementiert oder sind auf dem Weg. Großbritannien war mit Zehntausenden von Todesfällen im Zusammenhang mit Viren und einer hohen Infektionsrate die am stärksten betroffene Region in Europa. Die Veröffentlichung ihrer App steht unmittelbar bevor. In den USA, die ebenfalls tief betroffen sind, weil viele Menschen auf tragische Weise ihr Leben verloren haben, werden ebenfalls Technologien eingeführt, aber ihr Ansatz zur Kontaktverfolgung von Bundesstaat zu Bundesstaat macht ihre Situation ziemlich komplex.
Mit Ausnahme von stärker staatlich kontrollierten Ländern wie China und Taiwan ist die Nutzung dieser Apps freiwillig, sodass die Bürger die Technologie von sich aus herunterladen und verwenden müssen. Einige sind erfolgreicher als andere. Beispielsweise hatte die TraceTogether-App in Singapur eine Akzeptanzrate von 25%, was sie für den gewünschten Zweck ziemlich ineffektiv macht.
Die Idee hinter Apps zur Kontaktverfolgung ist solide. Wenn diese Technologie gut funktioniert, würde sie sicherstellen, dass Hotspots schnell erkannt werden und umfassende Tests durchgeführt werden können — beides wichtige Komponenten zur Bekämpfung der Ausbreitung eines ansteckenden Virus. Die Worte „Regierung“ und „Rückverfolgung“ klingen jedoch nicht gerade sehr einladend, und es ist natürlich, dass die Leute vorsichtig sind, was das Herunterladen von so etwas für sie bedeuten würde.
Also, was sind die Hauptanliegen der Nutzer? Wenn man sich auf Online-Kommentare verlassen kann, gehören zu diesen Bedenken:
- Mangelndes Vertrauen in die Regierung, die gesammelten Daten verantwortungsbewusst zu verwenden
- Befürchtungen darüber, wie gut personenbezogene Daten vor Cyberangriffen geschützt werden
- Unklarheit darüber, welche Daten tatsächlich gesammelt werden, wo sie gespeichert werden und mit wem
- ... und für die Entwickler/Geeks unter uns, wie solide die Apps tatsächlich gebaut sind.
Es ist immer ein bisschen besorgniserregend, wenn Apps schnell erstellt werden und diese Apps zur Kontaktverfolgung in Rekordzeit eingeführt werden müssen. Es ist ein Albtraum für Entwickler, Sicherheitspersonal und Regierungsbehörden.
Also, ist Misstrauen eine gültige Reaktion? Und was sollten wir bei unserer Bewertung der COVID-19-Apps zur Kontaktverfolgung und der Sicherheit der Endbenutzer als Priorität betrachten? Als Sicherheitsexperte geht es mir natürlich instinktiv darum, die Cybersicherheitselemente des Programms genauer unter die Lupe zu nehmen, nämlich wie sicher die Codebasis für eine App ist, zu deren Installation wir alle (aus besten Absichten) gedrängt werden.
Viele der Apps sind Kopien voneinander (und erben dieselben Probleme).
Australiens COVIDSafe-App basiert im Wesentlichen auf Rennen öffnen, ebenso wie Singapurs TraceTogether-Software. Das Problem ist jedoch, dass bei TraceTogether eine Reihe von Problemen gemeldet wurden und diese nur schlecht genutzt wurden. Nur 25 Prozent der Bevölkerung meldeten sich als Benutzer an — weit weniger als 75% sind erforderlich, damit es wirksam ist. Es gab Beschwerden über die allgemeine Leistung, insbesondere unter iOS, einschließlich der sehr schnellen Entleerung der Batterien. CovidSafe hat eine potenzieller UX-Fehler in der iOS-Version, wobei das Telefon entsperrt und die App im Vordergrund ausgeführt werden muss, um alle Daten ordnungsgemäß aufzuzeichnen.
Die oben genannten Probleme sind zwar ärgerlich, die dringendere Sorge ist jedoch, dass Bluetooth-Schwachstellen weit verbreitet sind und weder TraceTogether noch das australische Unternehmen COVIDSafe davor gefeit sind. Am 14. Mai NIST berichtete, dass COVIDSafe eine Denial-of-Service-Sicherheitslücke aufwies, sodass ein Angreifer die App aus der Ferne zum Absturz bringen kann, wenn er sich in Bluetooth-Handshake-Entfernung befindet. Auf diese Weise könnte ein organisierter Angriff die Kontaktverfolgung in dicht besiedelten Gebieten stören, wo sie am nützlichsten ist — etwas ausführlich erklärt vom Sicherheitsforscher Richard Nelson. Es ist bekannt, dass es CovidSafe, TraceTogether, ProteGo aus Polen und AbtraceTogether aus Kanada betrifft — alle erben das Problem von OpenTrace Manudata.Unterdaten anrufen.
Es gibt auch andere Datenschutz- und Sicherheitsprobleme im Zusammenhang mit der Bluetooth-Funktionalität im Allgemeinen. Die Tatsache, dass diese Technologie verwendet wird, um menschliche Bewegungen anhand einer eindeutigen ID (TempID) nachzuverfolgen und aussagekräftige Daten zu sammeln, wird unweigerlich ein gesteigertes Interesse an Angriffen zur Folge haben. Zu welchem Zeitpunkt genau, was erfasst wird, wo es gespeichert wird und für wie lange, muss unter die Lupe genommen werden.
Einige Apps zeigen bereits Anzeichen einfacher Fehler, die zu komplexen Schwächen führen.
Australischer Softwareingenieur Geoffrey Huntley hat den Quellcode von COVIDSafe studiert, und leider gibt es Probleme, die uns, den Endbenutzern, nicht unbedingt bewusst gemacht werden.
Ein kritisches Beispiel war ein logischer Fehler, der es einem Angreifer ermöglichen würde, Geräte langfristig zu verfolgen. Dies stellt ein enormes Risiko für gefährdete Benutzer dar, ganz zu schweigen davon, dass es gegen die Datenschutzrichtlinie der App selbst verstößt.
Es ist wichtig zu beachten, dass diese logischen Sicherheitslücken am 14. Mai gepatcht wurden, aber das dringendere Problem ist, dass sie 17 Tage lang ungepatcht blieben, nachdem Herr Huntley sie gemeldet hatte. Er und andere Mitglieder der großartigen Sicherheitsgemeinschaft verfolgen CVEs im Zusammenhang mit der COVIDSafe-App hier.
Eine Sache, auf die Huntley nach dem Patch hinweist, ist, dass selbst der Fix Anzeichen von, nun ja, Inkompetenz aufweist. In seiner Öffentlichkeit Log, stellt er fest, dass der Patch das Hinzufügen von Logik beinhaltete, anstatt einfach einen fehlerhaften Cache zu löschen, wobei letzteres eine weitaus robustere Lösung darstellt. Beides funktioniert, aber der Live-Lösung mangelt es an Finesse — ein Problem bei einer so wichtigen Anwendung.
Obwohl wir fleißige Mitglieder der Gesellschaft haben, die ihre eigene Zeit und ihr Fachwissen nutzen, um den Quellcode zu durchforsten und Probleme aufzuzeigen, ist ihre Arbeit viel schwieriger, als wenn der Code von Anfang an Open Source wäre. So wie es aussieht, 28 Apps sind immer noch für Sicherheitsforscher gesperrt.
Die sichere Codierung bringt uns an der Ziellinie immer wieder zum Stolpern.
Ich kann zwar durchaus Verständnis für überlastete Entwickler haben — ebenso wie für die höchst ungewöhnliche Situation, inmitten einer Pandemie eine lebensrettende App herausbringen zu müssen — aber das oben Gesagte sollte verdeutlichen, dass ein paar einfache Sicherheitslücken in einer im Wesentlichen gemeinsamen Codebasis zu erheblichen Problemen für Millionen von Benutzern führen können.
Ich würde gerne glauben, dass die meisten Menschen gute Bürger sein, die App unterstützen und allen die bestmögliche Chance geben wollen, Kontakte zu verfolgen und Ausbrüche dieses schrecklichen Virus zu kontrollieren. Auch ich unterstütze Technologien, die dazu beitragen können, dies zu erreichen, aber in vielerlei Hinsicht hat dies den allgemeinen Mangel an sicheren Codierungsprinzipien aufgedeckt, der Entwicklern auf der ganzen Welt innewohnt.
In jeder Situation, in der Software schnell geschrieben werden muss, sind Fehler nicht gerade unerwartet. Häufig auftretende Sicherheitslücken wie Logikfehler, Fehlkonfigurationen und Codeinjektionsfehler sollten jedoch bereits beim Schreiben des Codes verhindert werden können, und nicht erst, nachdem freiwillige White Hats die Codebasis auseinandergenommen haben.
Und es ist übrigens nicht die Schuld der Entwickler. Sie verlassen ihre Hochschulausbildung mit geringen Kenntnissen in sicherem Programmieren, und in ihrer Karriere beziehen sich ihre KPIs fast immer auf die Funktionalität der Funktionen und die Geschwindigkeit der Bereitstellung — um den Sicherheitsaspekt muss sich jemand anderes kümmern, wenn sie fertig sind. Wir müssen schnell einen Endzustand der sicheren Codierung erreichen, und obwohl jetzt nicht der richtige Zeitpunkt ist, um in den Abteilungen, die diese Apps entwickeln, seismische Veränderungen vorzunehmen, ist dies eine rechtzeitige Erinnerung daran, dass unser digitaler Risikobereich expandiert und sie in der Poleposition sind, um etwas zu bewirken, wenn sie die Tools und das Wissen erhalten, um gemeinsam die Verantwortung für bewährte Sicherheitsverfahren zu übernehmen.
Ist es sicher, die App herunterzuladen?
Hier ist die Sache: Für mich, einen Sicherheitsfachmann, bin ich zu dem Schluss gekommen, dass die Vorteile der App die Probleme überwiegen. Es ist nicht ideal, dass die oben genannten Sicherheitslücken in dieser Software vorhanden sind oder waren, aber die Auswirkungen, wenn sie als Waffe eingesetzt werden, sind Worst-Case-Szenarien. Gegenwärtig ist die Kontaktverfolgung ein wichtiger Bestandteil, um unsere medizinischen Helden auf der ganzen Welt dabei zu unterstützen, die Ausbreitung einzudämmen, den Zustrom von Krankenhauseinweisungen einzudämmen und sich gegenseitig so sicher wie möglich zu schützen.
Es dient dazu, hervorzuheben, dass wir eine lang Ein weiter Weg, wenn es darum geht, bewährte Sicherheitsmethoden standardmäßig in einem Software-Build umzusetzen, und es ist wichtig, dass die Öffentlichkeit über die Informationen verfügt, die sie benötigt, um fundierte Entscheidungen zu treffen.
Meine Familie und ich werden es weiterhin verwenden, obwohl wir wachsam bleiben, um mit unseren Android-Patches auf dem Laufenden zu bleiben, wie wir es alle sollten.
Die Idee hinter Apps zur Kontaktverfolgung ist solide. Wenn diese Technologie gut funktioniert, würde sie sicherstellen, dass Hotspots schnell erkannt werden und umfassende Tests durchgeführt werden können — beides wichtige Komponenten zur Bekämpfung der Ausbreitung eines ansteckenden Virus.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien ursprünglich in DevOps Digest. Es wurde hier aktualisiert und syndiziert.
An diesem Punkt bin ich mir sicher, dass wir alle des Ausdrucks „in diesen beispiellosen Zeiten“ ein wenig überdrüssig werden... aber dies sind wirklich beispiellose Zeiten. Wer hätte Ende letzten Jahres gedacht, dass wir in diesem Jahr einen Wettlauf um die Bekämpfung einer global zerstörerischen Pandemie machen und alles in unserer Macht Stehende darauf verwenden würden? Es wäre fast lächerlich erschienen und eher einer neuen Netflix-Science-Fiction-Serie als Teil unserer weltweiten Realität ähnlich. COVID-19 hat unser soziales Leben, unsere Wirtschaft und unsere Arbeitsplatzsicherheit völlig verändert, ganz zu schweigen von den politischen Prioritäten.
Einer der Gegenangriffe gegen COVID-19 erfolgte durch Technologie. Viele Länder haben Apps zur Kontaktverfolgung eingeführt. In Australien gibt es CovidSafe nach dem Vorbild von TraceTogether aus Singapur. Hongkong, Taiwan, China, Südkorea, Israel und Deutschland haben alle eine Technologie zur Kontaktverfolgung implementiert oder sind auf dem Weg. Großbritannien war mit Zehntausenden von Todesfällen im Zusammenhang mit Viren und einer hohen Infektionsrate die am stärksten betroffene Region in Europa. Die Veröffentlichung ihrer App steht unmittelbar bevor. In den USA, die ebenfalls tief betroffen sind, weil viele Menschen auf tragische Weise ihr Leben verloren haben, werden ebenfalls Technologien eingeführt, aber ihr Ansatz zur Kontaktverfolgung von Bundesstaat zu Bundesstaat macht ihre Situation ziemlich komplex.
Mit Ausnahme von stärker staatlich kontrollierten Ländern wie China und Taiwan ist die Nutzung dieser Apps freiwillig, sodass die Bürger die Technologie von sich aus herunterladen und verwenden müssen. Einige sind erfolgreicher als andere. Beispielsweise hatte die TraceTogether-App in Singapur eine Akzeptanzrate von 25%, was sie für den gewünschten Zweck ziemlich ineffektiv macht.
Die Idee hinter Apps zur Kontaktverfolgung ist solide. Wenn diese Technologie gut funktioniert, würde sie sicherstellen, dass Hotspots schnell erkannt werden und umfassende Tests durchgeführt werden können — beides wichtige Komponenten zur Bekämpfung der Ausbreitung eines ansteckenden Virus. Die Worte „Regierung“ und „Rückverfolgung“ klingen jedoch nicht gerade sehr einladend, und es ist natürlich, dass die Leute vorsichtig sind, was das Herunterladen von so etwas für sie bedeuten würde.
Also, was sind die Hauptanliegen der Nutzer? Wenn man sich auf Online-Kommentare verlassen kann, gehören zu diesen Bedenken:
- Mangelndes Vertrauen in die Regierung, die gesammelten Daten verantwortungsbewusst zu verwenden
- Befürchtungen darüber, wie gut personenbezogene Daten vor Cyberangriffen geschützt werden
- Unklarheit darüber, welche Daten tatsächlich gesammelt werden, wo sie gespeichert werden und mit wem
- ... und für die Entwickler/Geeks unter uns, wie solide die Apps tatsächlich gebaut sind.
Es ist immer ein bisschen besorgniserregend, wenn Apps schnell erstellt werden und diese Apps zur Kontaktverfolgung in Rekordzeit eingeführt werden müssen. Es ist ein Albtraum für Entwickler, Sicherheitspersonal und Regierungsbehörden.
Also, ist Misstrauen eine gültige Reaktion? Und was sollten wir bei unserer Bewertung der COVID-19-Apps zur Kontaktverfolgung und der Sicherheit der Endbenutzer als Priorität betrachten? Als Sicherheitsexperte geht es mir natürlich instinktiv darum, die Cybersicherheitselemente des Programms genauer unter die Lupe zu nehmen, nämlich wie sicher die Codebasis für eine App ist, zu deren Installation wir alle (aus besten Absichten) gedrängt werden.
Viele der Apps sind Kopien voneinander (und erben dieselben Probleme).
Australiens COVIDSafe-App basiert im Wesentlichen auf Rennen öffnen, ebenso wie Singapurs TraceTogether-Software. Das Problem ist jedoch, dass bei TraceTogether eine Reihe von Problemen gemeldet wurden und diese nur schlecht genutzt wurden. Nur 25 Prozent der Bevölkerung meldeten sich als Benutzer an — weit weniger als 75% sind erforderlich, damit es wirksam ist. Es gab Beschwerden über die allgemeine Leistung, insbesondere unter iOS, einschließlich der sehr schnellen Entleerung der Batterien. CovidSafe hat eine potenzieller UX-Fehler in der iOS-Version, wobei das Telefon entsperrt und die App im Vordergrund ausgeführt werden muss, um alle Daten ordnungsgemäß aufzuzeichnen.
Die oben genannten Probleme sind zwar ärgerlich, die dringendere Sorge ist jedoch, dass Bluetooth-Schwachstellen weit verbreitet sind und weder TraceTogether noch das australische Unternehmen COVIDSafe davor gefeit sind. Am 14. Mai NIST berichtete, dass COVIDSafe eine Denial-of-Service-Sicherheitslücke aufwies, sodass ein Angreifer die App aus der Ferne zum Absturz bringen kann, wenn er sich in Bluetooth-Handshake-Entfernung befindet. Auf diese Weise könnte ein organisierter Angriff die Kontaktverfolgung in dicht besiedelten Gebieten stören, wo sie am nützlichsten ist — etwas ausführlich erklärt vom Sicherheitsforscher Richard Nelson. Es ist bekannt, dass es CovidSafe, TraceTogether, ProteGo aus Polen und AbtraceTogether aus Kanada betrifft — alle erben das Problem von OpenTrace Manudata.Unterdaten anrufen.
Es gibt auch andere Datenschutz- und Sicherheitsprobleme im Zusammenhang mit der Bluetooth-Funktionalität im Allgemeinen. Die Tatsache, dass diese Technologie verwendet wird, um menschliche Bewegungen anhand einer eindeutigen ID (TempID) nachzuverfolgen und aussagekräftige Daten zu sammeln, wird unweigerlich ein gesteigertes Interesse an Angriffen zur Folge haben. Zu welchem Zeitpunkt genau, was erfasst wird, wo es gespeichert wird und für wie lange, muss unter die Lupe genommen werden.
Einige Apps zeigen bereits Anzeichen einfacher Fehler, die zu komplexen Schwächen führen.
Australischer Softwareingenieur Geoffrey Huntley hat den Quellcode von COVIDSafe studiert, und leider gibt es Probleme, die uns, den Endbenutzern, nicht unbedingt bewusst gemacht werden.
Ein kritisches Beispiel war ein logischer Fehler, der es einem Angreifer ermöglichen würde, Geräte langfristig zu verfolgen. Dies stellt ein enormes Risiko für gefährdete Benutzer dar, ganz zu schweigen davon, dass es gegen die Datenschutzrichtlinie der App selbst verstößt.
Es ist wichtig zu beachten, dass diese logischen Sicherheitslücken am 14. Mai gepatcht wurden, aber das dringendere Problem ist, dass sie 17 Tage lang ungepatcht blieben, nachdem Herr Huntley sie gemeldet hatte. Er und andere Mitglieder der großartigen Sicherheitsgemeinschaft verfolgen CVEs im Zusammenhang mit der COVIDSafe-App hier.
Eine Sache, auf die Huntley nach dem Patch hinweist, ist, dass selbst der Fix Anzeichen von, nun ja, Inkompetenz aufweist. In seiner Öffentlichkeit Log, stellt er fest, dass der Patch das Hinzufügen von Logik beinhaltete, anstatt einfach einen fehlerhaften Cache zu löschen, wobei letzteres eine weitaus robustere Lösung darstellt. Beides funktioniert, aber der Live-Lösung mangelt es an Finesse — ein Problem bei einer so wichtigen Anwendung.
Obwohl wir fleißige Mitglieder der Gesellschaft haben, die ihre eigene Zeit und ihr Fachwissen nutzen, um den Quellcode zu durchforsten und Probleme aufzuzeigen, ist ihre Arbeit viel schwieriger, als wenn der Code von Anfang an Open Source wäre. So wie es aussieht, 28 Apps sind immer noch für Sicherheitsforscher gesperrt.
Die sichere Codierung bringt uns an der Ziellinie immer wieder zum Stolpern.
Ich kann zwar durchaus Verständnis für überlastete Entwickler haben — ebenso wie für die höchst ungewöhnliche Situation, inmitten einer Pandemie eine lebensrettende App herausbringen zu müssen — aber das oben Gesagte sollte verdeutlichen, dass ein paar einfache Sicherheitslücken in einer im Wesentlichen gemeinsamen Codebasis zu erheblichen Problemen für Millionen von Benutzern führen können.
Ich würde gerne glauben, dass die meisten Menschen gute Bürger sein, die App unterstützen und allen die bestmögliche Chance geben wollen, Kontakte zu verfolgen und Ausbrüche dieses schrecklichen Virus zu kontrollieren. Auch ich unterstütze Technologien, die dazu beitragen können, dies zu erreichen, aber in vielerlei Hinsicht hat dies den allgemeinen Mangel an sicheren Codierungsprinzipien aufgedeckt, der Entwicklern auf der ganzen Welt innewohnt.
In jeder Situation, in der Software schnell geschrieben werden muss, sind Fehler nicht gerade unerwartet. Häufig auftretende Sicherheitslücken wie Logikfehler, Fehlkonfigurationen und Codeinjektionsfehler sollten jedoch bereits beim Schreiben des Codes verhindert werden können, und nicht erst, nachdem freiwillige White Hats die Codebasis auseinandergenommen haben.
Und es ist übrigens nicht die Schuld der Entwickler. Sie verlassen ihre Hochschulausbildung mit geringen Kenntnissen in sicherem Programmieren, und in ihrer Karriere beziehen sich ihre KPIs fast immer auf die Funktionalität der Funktionen und die Geschwindigkeit der Bereitstellung — um den Sicherheitsaspekt muss sich jemand anderes kümmern, wenn sie fertig sind. Wir müssen schnell einen Endzustand der sicheren Codierung erreichen, und obwohl jetzt nicht der richtige Zeitpunkt ist, um in den Abteilungen, die diese Apps entwickeln, seismische Veränderungen vorzunehmen, ist dies eine rechtzeitige Erinnerung daran, dass unser digitaler Risikobereich expandiert und sie in der Poleposition sind, um etwas zu bewirken, wenn sie die Tools und das Wissen erhalten, um gemeinsam die Verantwortung für bewährte Sicherheitsverfahren zu übernehmen.
Ist es sicher, die App herunterzuladen?
Hier ist die Sache: Für mich, einen Sicherheitsfachmann, bin ich zu dem Schluss gekommen, dass die Vorteile der App die Probleme überwiegen. Es ist nicht ideal, dass die oben genannten Sicherheitslücken in dieser Software vorhanden sind oder waren, aber die Auswirkungen, wenn sie als Waffe eingesetzt werden, sind Worst-Case-Szenarien. Gegenwärtig ist die Kontaktverfolgung ein wichtiger Bestandteil, um unsere medizinischen Helden auf der ganzen Welt dabei zu unterstützen, die Ausbreitung einzudämmen, den Zustrom von Krankenhauseinweisungen einzudämmen und sich gegenseitig so sicher wie möglich zu schützen.
Es dient dazu, hervorzuheben, dass wir eine lang Ein weiter Weg, wenn es darum geht, bewährte Sicherheitsmethoden standardmäßig in einem Software-Build umzusetzen, und es ist wichtig, dass die Öffentlichkeit über die Informationen verfügt, die sie benötigt, um fundierte Entscheidungen zu treffen.
Meine Familie und ich werden es weiterhin verwenden, obwohl wir wachsam bleiben, um mit unseren Android-Patches auf dem Laufenden zu bleiben, wie wir es alle sollten.
Eine Version dieses Artikels erschien ursprünglich in DevOps Digest. Es wurde hier aktualisiert und syndiziert.
An diesem Punkt bin ich mir sicher, dass wir alle des Ausdrucks „in diesen beispiellosen Zeiten“ ein wenig überdrüssig werden... aber dies sind wirklich beispiellose Zeiten. Wer hätte Ende letzten Jahres gedacht, dass wir in diesem Jahr einen Wettlauf um die Bekämpfung einer global zerstörerischen Pandemie machen und alles in unserer Macht Stehende darauf verwenden würden? Es wäre fast lächerlich erschienen und eher einer neuen Netflix-Science-Fiction-Serie als Teil unserer weltweiten Realität ähnlich. COVID-19 hat unser soziales Leben, unsere Wirtschaft und unsere Arbeitsplatzsicherheit völlig verändert, ganz zu schweigen von den politischen Prioritäten.
Einer der Gegenangriffe gegen COVID-19 erfolgte durch Technologie. Viele Länder haben Apps zur Kontaktverfolgung eingeführt. In Australien gibt es CovidSafe nach dem Vorbild von TraceTogether aus Singapur. Hongkong, Taiwan, China, Südkorea, Israel und Deutschland haben alle eine Technologie zur Kontaktverfolgung implementiert oder sind auf dem Weg. Großbritannien war mit Zehntausenden von Todesfällen im Zusammenhang mit Viren und einer hohen Infektionsrate die am stärksten betroffene Region in Europa. Die Veröffentlichung ihrer App steht unmittelbar bevor. In den USA, die ebenfalls tief betroffen sind, weil viele Menschen auf tragische Weise ihr Leben verloren haben, werden ebenfalls Technologien eingeführt, aber ihr Ansatz zur Kontaktverfolgung von Bundesstaat zu Bundesstaat macht ihre Situation ziemlich komplex.
Mit Ausnahme von stärker staatlich kontrollierten Ländern wie China und Taiwan ist die Nutzung dieser Apps freiwillig, sodass die Bürger die Technologie von sich aus herunterladen und verwenden müssen. Einige sind erfolgreicher als andere. Beispielsweise hatte die TraceTogether-App in Singapur eine Akzeptanzrate von 25%, was sie für den gewünschten Zweck ziemlich ineffektiv macht.
Die Idee hinter Apps zur Kontaktverfolgung ist solide. Wenn diese Technologie gut funktioniert, würde sie sicherstellen, dass Hotspots schnell erkannt werden und umfassende Tests durchgeführt werden können — beides wichtige Komponenten zur Bekämpfung der Ausbreitung eines ansteckenden Virus. Die Worte „Regierung“ und „Rückverfolgung“ klingen jedoch nicht gerade sehr einladend, und es ist natürlich, dass die Leute vorsichtig sind, was das Herunterladen von so etwas für sie bedeuten würde.
Also, was sind die Hauptanliegen der Nutzer? Wenn man sich auf Online-Kommentare verlassen kann, gehören zu diesen Bedenken:
- Mangelndes Vertrauen in die Regierung, die gesammelten Daten verantwortungsbewusst zu verwenden
- Befürchtungen darüber, wie gut personenbezogene Daten vor Cyberangriffen geschützt werden
- Unklarheit darüber, welche Daten tatsächlich gesammelt werden, wo sie gespeichert werden und mit wem
- ... und für die Entwickler/Geeks unter uns, wie solide die Apps tatsächlich gebaut sind.
Es ist immer ein bisschen besorgniserregend, wenn Apps schnell erstellt werden und diese Apps zur Kontaktverfolgung in Rekordzeit eingeführt werden müssen. Es ist ein Albtraum für Entwickler, Sicherheitspersonal und Regierungsbehörden.
Also, ist Misstrauen eine gültige Reaktion? Und was sollten wir bei unserer Bewertung der COVID-19-Apps zur Kontaktverfolgung und der Sicherheit der Endbenutzer als Priorität betrachten? Als Sicherheitsexperte geht es mir natürlich instinktiv darum, die Cybersicherheitselemente des Programms genauer unter die Lupe zu nehmen, nämlich wie sicher die Codebasis für eine App ist, zu deren Installation wir alle (aus besten Absichten) gedrängt werden.
Viele der Apps sind Kopien voneinander (und erben dieselben Probleme).
Australiens COVIDSafe-App basiert im Wesentlichen auf Rennen öffnen, ebenso wie Singapurs TraceTogether-Software. Das Problem ist jedoch, dass bei TraceTogether eine Reihe von Problemen gemeldet wurden und diese nur schlecht genutzt wurden. Nur 25 Prozent der Bevölkerung meldeten sich als Benutzer an — weit weniger als 75% sind erforderlich, damit es wirksam ist. Es gab Beschwerden über die allgemeine Leistung, insbesondere unter iOS, einschließlich der sehr schnellen Entleerung der Batterien. CovidSafe hat eine potenzieller UX-Fehler in der iOS-Version, wobei das Telefon entsperrt und die App im Vordergrund ausgeführt werden muss, um alle Daten ordnungsgemäß aufzuzeichnen.
Die oben genannten Probleme sind zwar ärgerlich, die dringendere Sorge ist jedoch, dass Bluetooth-Schwachstellen weit verbreitet sind und weder TraceTogether noch das australische Unternehmen COVIDSafe davor gefeit sind. Am 14. Mai NIST berichtete, dass COVIDSafe eine Denial-of-Service-Sicherheitslücke aufwies, sodass ein Angreifer die App aus der Ferne zum Absturz bringen kann, wenn er sich in Bluetooth-Handshake-Entfernung befindet. Auf diese Weise könnte ein organisierter Angriff die Kontaktverfolgung in dicht besiedelten Gebieten stören, wo sie am nützlichsten ist — etwas ausführlich erklärt vom Sicherheitsforscher Richard Nelson. Es ist bekannt, dass es CovidSafe, TraceTogether, ProteGo aus Polen und AbtraceTogether aus Kanada betrifft — alle erben das Problem von OpenTrace Manudata.Unterdaten anrufen.
Es gibt auch andere Datenschutz- und Sicherheitsprobleme im Zusammenhang mit der Bluetooth-Funktionalität im Allgemeinen. Die Tatsache, dass diese Technologie verwendet wird, um menschliche Bewegungen anhand einer eindeutigen ID (TempID) nachzuverfolgen und aussagekräftige Daten zu sammeln, wird unweigerlich ein gesteigertes Interesse an Angriffen zur Folge haben. Zu welchem Zeitpunkt genau, was erfasst wird, wo es gespeichert wird und für wie lange, muss unter die Lupe genommen werden.
Einige Apps zeigen bereits Anzeichen einfacher Fehler, die zu komplexen Schwächen führen.
Australischer Softwareingenieur Geoffrey Huntley hat den Quellcode von COVIDSafe studiert, und leider gibt es Probleme, die uns, den Endbenutzern, nicht unbedingt bewusst gemacht werden.
Ein kritisches Beispiel war ein logischer Fehler, der es einem Angreifer ermöglichen würde, Geräte langfristig zu verfolgen. Dies stellt ein enormes Risiko für gefährdete Benutzer dar, ganz zu schweigen davon, dass es gegen die Datenschutzrichtlinie der App selbst verstößt.
Es ist wichtig zu beachten, dass diese logischen Sicherheitslücken am 14. Mai gepatcht wurden, aber das dringendere Problem ist, dass sie 17 Tage lang ungepatcht blieben, nachdem Herr Huntley sie gemeldet hatte. Er und andere Mitglieder der großartigen Sicherheitsgemeinschaft verfolgen CVEs im Zusammenhang mit der COVIDSafe-App hier.
Eine Sache, auf die Huntley nach dem Patch hinweist, ist, dass selbst der Fix Anzeichen von, nun ja, Inkompetenz aufweist. In seiner Öffentlichkeit Log, stellt er fest, dass der Patch das Hinzufügen von Logik beinhaltete, anstatt einfach einen fehlerhaften Cache zu löschen, wobei letzteres eine weitaus robustere Lösung darstellt. Beides funktioniert, aber der Live-Lösung mangelt es an Finesse — ein Problem bei einer so wichtigen Anwendung.
Obwohl wir fleißige Mitglieder der Gesellschaft haben, die ihre eigene Zeit und ihr Fachwissen nutzen, um den Quellcode zu durchforsten und Probleme aufzuzeigen, ist ihre Arbeit viel schwieriger, als wenn der Code von Anfang an Open Source wäre. So wie es aussieht, 28 Apps sind immer noch für Sicherheitsforscher gesperrt.
Die sichere Codierung bringt uns an der Ziellinie immer wieder zum Stolpern.
Ich kann zwar durchaus Verständnis für überlastete Entwickler haben — ebenso wie für die höchst ungewöhnliche Situation, inmitten einer Pandemie eine lebensrettende App herausbringen zu müssen — aber das oben Gesagte sollte verdeutlichen, dass ein paar einfache Sicherheitslücken in einer im Wesentlichen gemeinsamen Codebasis zu erheblichen Problemen für Millionen von Benutzern führen können.
Ich würde gerne glauben, dass die meisten Menschen gute Bürger sein, die App unterstützen und allen die bestmögliche Chance geben wollen, Kontakte zu verfolgen und Ausbrüche dieses schrecklichen Virus zu kontrollieren. Auch ich unterstütze Technologien, die dazu beitragen können, dies zu erreichen, aber in vielerlei Hinsicht hat dies den allgemeinen Mangel an sicheren Codierungsprinzipien aufgedeckt, der Entwicklern auf der ganzen Welt innewohnt.
In jeder Situation, in der Software schnell geschrieben werden muss, sind Fehler nicht gerade unerwartet. Häufig auftretende Sicherheitslücken wie Logikfehler, Fehlkonfigurationen und Codeinjektionsfehler sollten jedoch bereits beim Schreiben des Codes verhindert werden können, und nicht erst, nachdem freiwillige White Hats die Codebasis auseinandergenommen haben.
Und es ist übrigens nicht die Schuld der Entwickler. Sie verlassen ihre Hochschulausbildung mit geringen Kenntnissen in sicherem Programmieren, und in ihrer Karriere beziehen sich ihre KPIs fast immer auf die Funktionalität der Funktionen und die Geschwindigkeit der Bereitstellung — um den Sicherheitsaspekt muss sich jemand anderes kümmern, wenn sie fertig sind. Wir müssen schnell einen Endzustand der sicheren Codierung erreichen, und obwohl jetzt nicht der richtige Zeitpunkt ist, um in den Abteilungen, die diese Apps entwickeln, seismische Veränderungen vorzunehmen, ist dies eine rechtzeitige Erinnerung daran, dass unser digitaler Risikobereich expandiert und sie in der Poleposition sind, um etwas zu bewirken, wenn sie die Tools und das Wissen erhalten, um gemeinsam die Verantwortung für bewährte Sicherheitsverfahren zu übernehmen.
Ist es sicher, die App herunterzuladen?
Hier ist die Sache: Für mich, einen Sicherheitsfachmann, bin ich zu dem Schluss gekommen, dass die Vorteile der App die Probleme überwiegen. Es ist nicht ideal, dass die oben genannten Sicherheitslücken in dieser Software vorhanden sind oder waren, aber die Auswirkungen, wenn sie als Waffe eingesetzt werden, sind Worst-Case-Szenarien. Gegenwärtig ist die Kontaktverfolgung ein wichtiger Bestandteil, um unsere medizinischen Helden auf der ganzen Welt dabei zu unterstützen, die Ausbreitung einzudämmen, den Zustrom von Krankenhauseinweisungen einzudämmen und sich gegenseitig so sicher wie möglich zu schützen.
Es dient dazu, hervorzuheben, dass wir eine lang Ein weiter Weg, wenn es darum geht, bewährte Sicherheitsmethoden standardmäßig in einem Software-Build umzusetzen, und es ist wichtig, dass die Öffentlichkeit über die Informationen verfügt, die sie benötigt, um fundierte Entscheidungen zu treffen.
Meine Familie und ich werden es weiterhin verwenden, obwohl wir wachsam bleiben, um mit unseren Android-Patches auf dem Laufenden zu bleiben, wie wir es alle sollten.
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenEine Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels erschien ursprünglich in DevOps Digest. Es wurde hier aktualisiert und syndiziert.
An diesem Punkt bin ich mir sicher, dass wir alle des Ausdrucks „in diesen beispiellosen Zeiten“ ein wenig überdrüssig werden... aber dies sind wirklich beispiellose Zeiten. Wer hätte Ende letzten Jahres gedacht, dass wir in diesem Jahr einen Wettlauf um die Bekämpfung einer global zerstörerischen Pandemie machen und alles in unserer Macht Stehende darauf verwenden würden? Es wäre fast lächerlich erschienen und eher einer neuen Netflix-Science-Fiction-Serie als Teil unserer weltweiten Realität ähnlich. COVID-19 hat unser soziales Leben, unsere Wirtschaft und unsere Arbeitsplatzsicherheit völlig verändert, ganz zu schweigen von den politischen Prioritäten.
Einer der Gegenangriffe gegen COVID-19 erfolgte durch Technologie. Viele Länder haben Apps zur Kontaktverfolgung eingeführt. In Australien gibt es CovidSafe nach dem Vorbild von TraceTogether aus Singapur. Hongkong, Taiwan, China, Südkorea, Israel und Deutschland haben alle eine Technologie zur Kontaktverfolgung implementiert oder sind auf dem Weg. Großbritannien war mit Zehntausenden von Todesfällen im Zusammenhang mit Viren und einer hohen Infektionsrate die am stärksten betroffene Region in Europa. Die Veröffentlichung ihrer App steht unmittelbar bevor. In den USA, die ebenfalls tief betroffen sind, weil viele Menschen auf tragische Weise ihr Leben verloren haben, werden ebenfalls Technologien eingeführt, aber ihr Ansatz zur Kontaktverfolgung von Bundesstaat zu Bundesstaat macht ihre Situation ziemlich komplex.
Mit Ausnahme von stärker staatlich kontrollierten Ländern wie China und Taiwan ist die Nutzung dieser Apps freiwillig, sodass die Bürger die Technologie von sich aus herunterladen und verwenden müssen. Einige sind erfolgreicher als andere. Beispielsweise hatte die TraceTogether-App in Singapur eine Akzeptanzrate von 25%, was sie für den gewünschten Zweck ziemlich ineffektiv macht.
Die Idee hinter Apps zur Kontaktverfolgung ist solide. Wenn diese Technologie gut funktioniert, würde sie sicherstellen, dass Hotspots schnell erkannt werden und umfassende Tests durchgeführt werden können — beides wichtige Komponenten zur Bekämpfung der Ausbreitung eines ansteckenden Virus. Die Worte „Regierung“ und „Rückverfolgung“ klingen jedoch nicht gerade sehr einladend, und es ist natürlich, dass die Leute vorsichtig sind, was das Herunterladen von so etwas für sie bedeuten würde.
Also, was sind die Hauptanliegen der Nutzer? Wenn man sich auf Online-Kommentare verlassen kann, gehören zu diesen Bedenken:
- Mangelndes Vertrauen in die Regierung, die gesammelten Daten verantwortungsbewusst zu verwenden
- Befürchtungen darüber, wie gut personenbezogene Daten vor Cyberangriffen geschützt werden
- Unklarheit darüber, welche Daten tatsächlich gesammelt werden, wo sie gespeichert werden und mit wem
- ... und für die Entwickler/Geeks unter uns, wie solide die Apps tatsächlich gebaut sind.
Es ist immer ein bisschen besorgniserregend, wenn Apps schnell erstellt werden und diese Apps zur Kontaktverfolgung in Rekordzeit eingeführt werden müssen. Es ist ein Albtraum für Entwickler, Sicherheitspersonal und Regierungsbehörden.
Also, ist Misstrauen eine gültige Reaktion? Und was sollten wir bei unserer Bewertung der COVID-19-Apps zur Kontaktverfolgung und der Sicherheit der Endbenutzer als Priorität betrachten? Als Sicherheitsexperte geht es mir natürlich instinktiv darum, die Cybersicherheitselemente des Programms genauer unter die Lupe zu nehmen, nämlich wie sicher die Codebasis für eine App ist, zu deren Installation wir alle (aus besten Absichten) gedrängt werden.
Viele der Apps sind Kopien voneinander (und erben dieselben Probleme).
Australiens COVIDSafe-App basiert im Wesentlichen auf Rennen öffnen, ebenso wie Singapurs TraceTogether-Software. Das Problem ist jedoch, dass bei TraceTogether eine Reihe von Problemen gemeldet wurden und diese nur schlecht genutzt wurden. Nur 25 Prozent der Bevölkerung meldeten sich als Benutzer an — weit weniger als 75% sind erforderlich, damit es wirksam ist. Es gab Beschwerden über die allgemeine Leistung, insbesondere unter iOS, einschließlich der sehr schnellen Entleerung der Batterien. CovidSafe hat eine potenzieller UX-Fehler in der iOS-Version, wobei das Telefon entsperrt und die App im Vordergrund ausgeführt werden muss, um alle Daten ordnungsgemäß aufzuzeichnen.
Die oben genannten Probleme sind zwar ärgerlich, die dringendere Sorge ist jedoch, dass Bluetooth-Schwachstellen weit verbreitet sind und weder TraceTogether noch das australische Unternehmen COVIDSafe davor gefeit sind. Am 14. Mai NIST berichtete, dass COVIDSafe eine Denial-of-Service-Sicherheitslücke aufwies, sodass ein Angreifer die App aus der Ferne zum Absturz bringen kann, wenn er sich in Bluetooth-Handshake-Entfernung befindet. Auf diese Weise könnte ein organisierter Angriff die Kontaktverfolgung in dicht besiedelten Gebieten stören, wo sie am nützlichsten ist — etwas ausführlich erklärt vom Sicherheitsforscher Richard Nelson. Es ist bekannt, dass es CovidSafe, TraceTogether, ProteGo aus Polen und AbtraceTogether aus Kanada betrifft — alle erben das Problem von OpenTrace Manudata.Unterdaten anrufen.
Es gibt auch andere Datenschutz- und Sicherheitsprobleme im Zusammenhang mit der Bluetooth-Funktionalität im Allgemeinen. Die Tatsache, dass diese Technologie verwendet wird, um menschliche Bewegungen anhand einer eindeutigen ID (TempID) nachzuverfolgen und aussagekräftige Daten zu sammeln, wird unweigerlich ein gesteigertes Interesse an Angriffen zur Folge haben. Zu welchem Zeitpunkt genau, was erfasst wird, wo es gespeichert wird und für wie lange, muss unter die Lupe genommen werden.
Einige Apps zeigen bereits Anzeichen einfacher Fehler, die zu komplexen Schwächen führen.
Australischer Softwareingenieur Geoffrey Huntley hat den Quellcode von COVIDSafe studiert, und leider gibt es Probleme, die uns, den Endbenutzern, nicht unbedingt bewusst gemacht werden.
Ein kritisches Beispiel war ein logischer Fehler, der es einem Angreifer ermöglichen würde, Geräte langfristig zu verfolgen. Dies stellt ein enormes Risiko für gefährdete Benutzer dar, ganz zu schweigen davon, dass es gegen die Datenschutzrichtlinie der App selbst verstößt.
Es ist wichtig zu beachten, dass diese logischen Sicherheitslücken am 14. Mai gepatcht wurden, aber das dringendere Problem ist, dass sie 17 Tage lang ungepatcht blieben, nachdem Herr Huntley sie gemeldet hatte. Er und andere Mitglieder der großartigen Sicherheitsgemeinschaft verfolgen CVEs im Zusammenhang mit der COVIDSafe-App hier.
Eine Sache, auf die Huntley nach dem Patch hinweist, ist, dass selbst der Fix Anzeichen von, nun ja, Inkompetenz aufweist. In seiner Öffentlichkeit Log, stellt er fest, dass der Patch das Hinzufügen von Logik beinhaltete, anstatt einfach einen fehlerhaften Cache zu löschen, wobei letzteres eine weitaus robustere Lösung darstellt. Beides funktioniert, aber der Live-Lösung mangelt es an Finesse — ein Problem bei einer so wichtigen Anwendung.
Obwohl wir fleißige Mitglieder der Gesellschaft haben, die ihre eigene Zeit und ihr Fachwissen nutzen, um den Quellcode zu durchforsten und Probleme aufzuzeigen, ist ihre Arbeit viel schwieriger, als wenn der Code von Anfang an Open Source wäre. So wie es aussieht, 28 Apps sind immer noch für Sicherheitsforscher gesperrt.
Die sichere Codierung bringt uns an der Ziellinie immer wieder zum Stolpern.
Ich kann zwar durchaus Verständnis für überlastete Entwickler haben — ebenso wie für die höchst ungewöhnliche Situation, inmitten einer Pandemie eine lebensrettende App herausbringen zu müssen — aber das oben Gesagte sollte verdeutlichen, dass ein paar einfache Sicherheitslücken in einer im Wesentlichen gemeinsamen Codebasis zu erheblichen Problemen für Millionen von Benutzern führen können.
Ich würde gerne glauben, dass die meisten Menschen gute Bürger sein, die App unterstützen und allen die bestmögliche Chance geben wollen, Kontakte zu verfolgen und Ausbrüche dieses schrecklichen Virus zu kontrollieren. Auch ich unterstütze Technologien, die dazu beitragen können, dies zu erreichen, aber in vielerlei Hinsicht hat dies den allgemeinen Mangel an sicheren Codierungsprinzipien aufgedeckt, der Entwicklern auf der ganzen Welt innewohnt.
In jeder Situation, in der Software schnell geschrieben werden muss, sind Fehler nicht gerade unerwartet. Häufig auftretende Sicherheitslücken wie Logikfehler, Fehlkonfigurationen und Codeinjektionsfehler sollten jedoch bereits beim Schreiben des Codes verhindert werden können, und nicht erst, nachdem freiwillige White Hats die Codebasis auseinandergenommen haben.
Und es ist übrigens nicht die Schuld der Entwickler. Sie verlassen ihre Hochschulausbildung mit geringen Kenntnissen in sicherem Programmieren, und in ihrer Karriere beziehen sich ihre KPIs fast immer auf die Funktionalität der Funktionen und die Geschwindigkeit der Bereitstellung — um den Sicherheitsaspekt muss sich jemand anderes kümmern, wenn sie fertig sind. Wir müssen schnell einen Endzustand der sicheren Codierung erreichen, und obwohl jetzt nicht der richtige Zeitpunkt ist, um in den Abteilungen, die diese Apps entwickeln, seismische Veränderungen vorzunehmen, ist dies eine rechtzeitige Erinnerung daran, dass unser digitaler Risikobereich expandiert und sie in der Poleposition sind, um etwas zu bewirken, wenn sie die Tools und das Wissen erhalten, um gemeinsam die Verantwortung für bewährte Sicherheitsverfahren zu übernehmen.
Ist es sicher, die App herunterzuladen?
Hier ist die Sache: Für mich, einen Sicherheitsfachmann, bin ich zu dem Schluss gekommen, dass die Vorteile der App die Probleme überwiegen. Es ist nicht ideal, dass die oben genannten Sicherheitslücken in dieser Software vorhanden sind oder waren, aber die Auswirkungen, wenn sie als Waffe eingesetzt werden, sind Worst-Case-Szenarien. Gegenwärtig ist die Kontaktverfolgung ein wichtiger Bestandteil, um unsere medizinischen Helden auf der ganzen Welt dabei zu unterstützen, die Ausbreitung einzudämmen, den Zustrom von Krankenhauseinweisungen einzudämmen und sich gegenseitig so sicher wie möglich zu schützen.
Es dient dazu, hervorzuheben, dass wir eine lang Ein weiter Weg, wenn es darum geht, bewährte Sicherheitsmethoden standardmäßig in einem Software-Build umzusetzen, und es ist wichtig, dass die Öffentlichkeit über die Informationen verfügt, die sie benötigt, um fundierte Entscheidungen zu treffen.
Meine Familie und ich werden es weiterhin verwenden, obwohl wir wachsam bleiben, um mit unseren Android-Patches auf dem Laufenden zu bleiben, wie wir es alle sollten.
Inhaltsverzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Securecode-Schulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um der sich ständig ändernden Softwareentwicklungslandschaft unter Berücksichtigung Ihrer Rolle gerecht zu werden. Themen, die alles von KI bis XQuery Injection abdecken und für eine Vielzahl von Rollen angeboten werden, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Einblick in das Angebot unseres Inhaltskatalogs nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Beat the Boss KI-Missionen jetzt auf Abruf verfügbar
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzt fortschrittliche KI/LLM-Sicherheitsanforderungen ein, um die sichere KI-Entwicklung in einem großen Maßstab zu stärken.
Cyber-Resilienz-Gesetz erklärt: Was das für die Entwicklung von Secure by Design-Software bedeutet
Erfahren Sie, was der EU Cyber Resilience Act (CRA) verlangt, für wen er gilt und wie sich Entwicklungsteams mit sicheren Methoden, der Vorbeugung von Sicherheitslücken und dem Aufbau von Fähigkeiten für Entwickler darauf vorbereiten können.
Enabler 1: Definierte und messbare Erfolgskriterien
Enabler 1 eröffnet unsere zehnteilige Reihe „Enabler of Success“ und zeigt, wie sichere Codierung mit Geschäftsergebnissen wie Risikominderung und Geschwindigkeit verbunden werden kann, um eine langfristige Programmreife zu erreichen.
