Softwaresicherheit ist im Wilden Westen (und das wird uns umbringen)
Ursprünglich veröffentlicht in CSO Online
Als ethischer Hacker, Sicherheitsexperte und Computerfreak (halb im Ruhestand) könnte man sagen, dass mir Technologie sehr am Herzen liegt. Mir ist wichtig, wie sie hergestellt wurde, was sie tut und wie sie einen Teil unseres Lebens besser oder effizienter machen wird. Ich schaue ständig „unter die Haube“ von Geräten und sehe einige der besten (und schlechtesten) Codebeispiele, die es gibt. Vor Kurzem habe ich mir angesehen, wie meine Klimaanlage mit einer Android-App ferngesteuert werden kann (stellen Sie sich meine Überraschung vor, als ich herausfand, dass jeder im WiFi-Netzwerk dieses Ding ohne jegliche Authentifizierung steuern kann).
Softwaresicherheit steht für mich immer im Vordergrund, ebenso wie die sehr reale Gefahr, die von unserem zunehmend digitalen Lebensstil beim Austausch persönlicher Informationen ausgeht. Schließlich befinden wir uns in einem weitgehend unregulierten, unbeaufsichtigten und glücklicherweise ignorierten Gebiet. Wir sind im Wilden Westen.
Als kollektive Gesellschaft schauen wir der Technologie, die wir täglich verwenden, nicht unter die Haube. Obwohl beliebte und hochgelobte Fernsehserien wie Mr. Robot das allgemeine Bewusstsein stärken, sind wir nicht sicherheitsbewusst... Tatsächlich haben die meisten von uns keine Ahnung, wie sicher die Software in den unzähligen Anwendungen, Diensten und zunehmend vernetzten Dingen ist, die wir kaufen und verwenden. Es ist nicht einmal so, dass wir ihnen von Natur aus vertrauen — wir denken einfach überhaupt nicht an sie.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo! , Facebook, Target: Jedes einzelne dieser weit verbreiteten Unternehmen wurde Opfer einer Datenschutzverletzung. Ihre Software-Sicherheitslücken wurden ausgenutzt und Millionen und Abermillionen von Kundendaten wurden aufgedeckt. Diese Beispiele stellen nur einen Bruchteil der weltweiten Sicherheitslücken dar, die in den letzten zehn Jahren stattgefunden haben. Sie sind eine kostspielige Folge schlechter Softwaresicherheit, die es den Bösewichten ermöglicht, unsere wertvollen Informationen zu stehlen.
Wenn die meisten Menschen über Datenschutzverletzungen nachdenken, denken sie an Verstöße gegen die Informationssicherheit. Sie werden als Albtraum für das Unternehmen verstanden, gegen das verstoßen wurde, und als lästig für diejenigen, deren persönliche Daten betroffen sind, aber ernsthaft, was ist die große Sache? Sind die Folgen wirklich so groß, wenn die Sicherheit weiterhin ignoriert wird? Nichts Das Bisher ist viel passiert - Datenschutzverletzungen haben schwerwiegende Auswirkungen auf die für sie verantwortlichen Unternehmen, aber das ist ihr Problem, oder? Sie verlieren Geschäfte, sie verlieren das Vertrauen der Verbraucher; es ist letztlich ihre Aufgabe, das zu regeln und für den Schaden zu zahlen.
Softwaresicherheit sollte die Priorität jedes Unternehmens sein.
Es gibt einen ziemlich einfachen Grund, warum Softwaresicherheit nicht für jedes Unternehmen mit einem Entwicklungsteam das Hauptanliegen ist: Es haben noch nicht genug Menschen ihr Leben verloren und es gibt nicht genug Wissen über die Risiken.
Morbid? Vielleicht. Aber es ist die ehrliche Wahrheit. Vorschriften, Baustandards und Gesetzesänderungen werden beachtet (wie zum Beispiel von Regierungsbehörden), wenn ein echter menschlicher Preis.
Nehmen wir zum Beispiel eine Brücke. Bauingenieure (eine Branche, die Hunderte von Jahren alt ist) betrachten Sicherheit als einen zentralen Bestandteil des Brückenbaus. Ihr Ansatz geht weit über Ästhetik und grundlegende Funktionalität hinaus. Von jeder gebauten Brücke wird erwartet, dass sie strengen Sicherheitsvorschriften entspricht. Sowohl der Beruf des Bauingenieurs als auch die Gesellschaft als Ganzes lernen im Laufe der Zeit, ein hohes Maß an Sicherheit zu erwarten. Eine Brücke, die heute die Sicherheitsanforderungen nicht erfüllt, gilt als gefährlich und unbrauchbar. Dies ist immer noch eine Entwicklung, die wir innerhalb der Softwaretechnik erreichen müssen.
Schauen wir uns als moderneres Beispiel die Spielzeugindustrie an. In den 1950er Jahren gab es eine enormer Anstieg der Produktion und des Verkaufs von Spielzeug dank des Babybooms der Nachkriegszeit. Interessanterweise wurde berichtet, dass in dieser Zeit auch die Zahl der Besuche in der Notaufnahme aufgrund von Zwischenfällen im Zusammenhang mit Spielzeug zugenommen hat. Spielzeugpfeile verursachten Augenverletzungen, kleine Spielzeuge (und abnehmbare Teile von größeren Spielzeugen) wurden verschluckt und Spielzeugöfen, die an kleine Mädchen vermarktet werden waren in der Lage, auf höhere Temperaturen aufzuheizen als normale Haushaltsöfen.
Es war so etwas wie ein „Wilder Westen“ da draußen, mit wenig Regulierung, bis auf einige vereinzelte Verbote und Produktrückrufe unter den schlimmsten Umständen. Den Spielzeugherstellern stand es im Grunde frei, jedes Spielzeug herzustellen, das sie wollten, und Sicherheitsbedenken wurden in der Regel erst geäußert, nachdem es bereits mehrere gemeldete Vorfälle gegeben hatte. Es war erst, als Rechnungen wie Richard Nixons Spielzeugsicherheitsgesetz von 1969 wurden gesetzlich verankert, dass das Testen und das anschließende Verbot von gefährlichem Spielzeug in den USA und auf der ganzen Welt zum Standard wurden. Unfälle werden zwar immer noch passieren, aber heute gilt bei der Spielzeugherstellung die Regel „Sicherheit geht vor“, und unsere Kinder sind einer weitaus geringeren potenziellen Gefahr ausgesetzt.
Was Softwaresicherheit angeht, befinden wir uns derzeit im Wilden Westen. Abgesehen von offensichtlichen Gesetzen und Vorschriften in Bezug auf den Datenschutz (vor allem in jüngster Zeit mit der DSGVO) und dem Schutz von Kundendaten sowie den in einigen Ländern vorgeschriebenen Gesetzen zur Meldung von Verstößen wird in der Mainstream-Wirtschaft oder in der Community nur sehr wenig über das in Software integrierte Sicherheitsniveau gesagt und getan. Selbst diese Gesetze beziehen sich eher auf die Unternehmensverantwortung als darauf, dass die Software selbst reguliert wird oder dass ein verbindlicher Sicherheitsstandard eingehalten werden muss.
Wir werden dort ankommen, aber dafür ist vielleicht zuerst ein Pfad der Zerstörung erforderlich.
Gartner schätzt, dass es 8,4 Milliarden mit dem Internet verbundene Geräte werden bis 2020 genutzt; eine Zahl, die einem Anstieg von 31 Prozent seit 2016 entspricht. Dazu gehören Unterhaltungselektronik sowie Dinge wie medizinische Geräte und branchenspezifische Geräte. Das sind verdammt viele Möglichkeiten für einen Hacker.
Stellen Sie sich vor, die Software, auf der der Herzschrittmacher einer Person läuft, ist unsicher. Ein Hacker könnte einbrechen und möglicherweise das Herz seines Opfers stoppen (finden Sie das lächerlich? Ärzte hat das WLAN deaktiviert in Dick Cheneys Herzschrittmacher, um ein potenzielles Attentat durch Hacken zu vereiteln). Eine angeschlossene Mikrowelle oder ein Wasserkocher könnte aus der Ferne in die Luft gesprengt werden (zusammen mit allen möglichen Geräten des Internet der Dinge, die wir in unseren Häusern verwenden), oder bei einem vernetzten Elektroauto könnten die Bremsen deaktiviert sein. Das mag wie ein weit hergeholter Hollywood-Actionfilm klingen, aber wenn die Software einer dieser fortschrittlichen vernetzten Technologien gehackt werden kann, stehen wir wirklich vor einer potenziellen Katastrophe — genau wie die Bedrohungen, die wir bereits mit dem explosive Auswirkungen von Cyberangriffen in der Öl- und Gasindustrie.
Wir können den schlimmen Folgen böswilliger Hackerangriffe zuvorkommen, da unser Leben immer mehr von der digitalen Welt abhängt. Alles beginnt damit, Entwickler mehr für sicheres Programmieren zu begeistern und ernsthaft daran zu arbeiten, eine starke Sicherheitsmentalität und -kultur in den Entwicklungsteams zu entwickeln.
Ihre Software-Revolution beginnt hier. Die Bankenbranche ist Vorreiter bei der Einführung von gamifiziertem Training im Kampf gegen schlechten Code. Dabei handelt es sich um einen wirklich innovativen Ansatz, der traditionelle (sprich: langweilige) Schulungen auf den Kopf stellt. Tatsächlich engagiert derzeit jede der sechs führenden Banken Australiens ihre Entwickler auf diese Weise und fördert so deren Sicherheitsdenken. Schauen Sie sich an, was unser Kunde, die IAG Group, mit ihrem gemacht hat Turnier der nächsten Stufe.
Softwaresicherheit steht für mich immer im Vordergrund, ebenso wie die sehr reale Gefahr, die von unserem zunehmend digitalen Lebensstil beim Austausch persönlicher Informationen ausgeht. Schließlich befinden wir uns in einem weitgehend unregulierten, unbeaufsichtigten und glücklicherweise ignorierten Gebiet. Wir sind im Wilden Westen.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Ursprünglich veröffentlicht in CSO Online
Als ethischer Hacker, Sicherheitsexperte und Computerfreak (halb im Ruhestand) könnte man sagen, dass mir Technologie sehr am Herzen liegt. Mir ist wichtig, wie sie hergestellt wurde, was sie tut und wie sie einen Teil unseres Lebens besser oder effizienter machen wird. Ich schaue ständig „unter die Haube“ von Geräten und sehe einige der besten (und schlechtesten) Codebeispiele, die es gibt. Vor Kurzem habe ich mir angesehen, wie meine Klimaanlage mit einer Android-App ferngesteuert werden kann (stellen Sie sich meine Überraschung vor, als ich herausfand, dass jeder im WiFi-Netzwerk dieses Ding ohne jegliche Authentifizierung steuern kann).
Softwaresicherheit steht für mich immer im Vordergrund, ebenso wie die sehr reale Gefahr, die von unserem zunehmend digitalen Lebensstil beim Austausch persönlicher Informationen ausgeht. Schließlich befinden wir uns in einem weitgehend unregulierten, unbeaufsichtigten und glücklicherweise ignorierten Gebiet. Wir sind im Wilden Westen.
Als kollektive Gesellschaft schauen wir der Technologie, die wir täglich verwenden, nicht unter die Haube. Obwohl beliebte und hochgelobte Fernsehserien wie Mr. Robot das allgemeine Bewusstsein stärken, sind wir nicht sicherheitsbewusst... Tatsächlich haben die meisten von uns keine Ahnung, wie sicher die Software in den unzähligen Anwendungen, Diensten und zunehmend vernetzten Dingen ist, die wir kaufen und verwenden. Es ist nicht einmal so, dass wir ihnen von Natur aus vertrauen — wir denken einfach überhaupt nicht an sie.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo! , Facebook, Target: Jedes einzelne dieser weit verbreiteten Unternehmen wurde Opfer einer Datenschutzverletzung. Ihre Software-Sicherheitslücken wurden ausgenutzt und Millionen und Abermillionen von Kundendaten wurden aufgedeckt. Diese Beispiele stellen nur einen Bruchteil der weltweiten Sicherheitslücken dar, die in den letzten zehn Jahren stattgefunden haben. Sie sind eine kostspielige Folge schlechter Softwaresicherheit, die es den Bösewichten ermöglicht, unsere wertvollen Informationen zu stehlen.
Wenn die meisten Menschen über Datenschutzverletzungen nachdenken, denken sie an Verstöße gegen die Informationssicherheit. Sie werden als Albtraum für das Unternehmen verstanden, gegen das verstoßen wurde, und als lästig für diejenigen, deren persönliche Daten betroffen sind, aber ernsthaft, was ist die große Sache? Sind die Folgen wirklich so groß, wenn die Sicherheit weiterhin ignoriert wird? Nichts Das Bisher ist viel passiert - Datenschutzverletzungen haben schwerwiegende Auswirkungen auf die für sie verantwortlichen Unternehmen, aber das ist ihr Problem, oder? Sie verlieren Geschäfte, sie verlieren das Vertrauen der Verbraucher; es ist letztlich ihre Aufgabe, das zu regeln und für den Schaden zu zahlen.
Softwaresicherheit sollte die Priorität jedes Unternehmens sein.
Es gibt einen ziemlich einfachen Grund, warum Softwaresicherheit nicht für jedes Unternehmen mit einem Entwicklungsteam das Hauptanliegen ist: Es haben noch nicht genug Menschen ihr Leben verloren und es gibt nicht genug Wissen über die Risiken.
Morbid? Vielleicht. Aber es ist die ehrliche Wahrheit. Vorschriften, Baustandards und Gesetzesänderungen werden beachtet (wie zum Beispiel von Regierungsbehörden), wenn ein echter menschlicher Preis.
Nehmen wir zum Beispiel eine Brücke. Bauingenieure (eine Branche, die Hunderte von Jahren alt ist) betrachten Sicherheit als einen zentralen Bestandteil des Brückenbaus. Ihr Ansatz geht weit über Ästhetik und grundlegende Funktionalität hinaus. Von jeder gebauten Brücke wird erwartet, dass sie strengen Sicherheitsvorschriften entspricht. Sowohl der Beruf des Bauingenieurs als auch die Gesellschaft als Ganzes lernen im Laufe der Zeit, ein hohes Maß an Sicherheit zu erwarten. Eine Brücke, die heute die Sicherheitsanforderungen nicht erfüllt, gilt als gefährlich und unbrauchbar. Dies ist immer noch eine Entwicklung, die wir innerhalb der Softwaretechnik erreichen müssen.
Schauen wir uns als moderneres Beispiel die Spielzeugindustrie an. In den 1950er Jahren gab es eine enormer Anstieg der Produktion und des Verkaufs von Spielzeug dank des Babybooms der Nachkriegszeit. Interessanterweise wurde berichtet, dass in dieser Zeit auch die Zahl der Besuche in der Notaufnahme aufgrund von Zwischenfällen im Zusammenhang mit Spielzeug zugenommen hat. Spielzeugpfeile verursachten Augenverletzungen, kleine Spielzeuge (und abnehmbare Teile von größeren Spielzeugen) wurden verschluckt und Spielzeugöfen, die an kleine Mädchen vermarktet werden waren in der Lage, auf höhere Temperaturen aufzuheizen als normale Haushaltsöfen.
Es war so etwas wie ein „Wilder Westen“ da draußen, mit wenig Regulierung, bis auf einige vereinzelte Verbote und Produktrückrufe unter den schlimmsten Umständen. Den Spielzeugherstellern stand es im Grunde frei, jedes Spielzeug herzustellen, das sie wollten, und Sicherheitsbedenken wurden in der Regel erst geäußert, nachdem es bereits mehrere gemeldete Vorfälle gegeben hatte. Es war erst, als Rechnungen wie Richard Nixons Spielzeugsicherheitsgesetz von 1969 wurden gesetzlich verankert, dass das Testen und das anschließende Verbot von gefährlichem Spielzeug in den USA und auf der ganzen Welt zum Standard wurden. Unfälle werden zwar immer noch passieren, aber heute gilt bei der Spielzeugherstellung die Regel „Sicherheit geht vor“, und unsere Kinder sind einer weitaus geringeren potenziellen Gefahr ausgesetzt.
Was Softwaresicherheit angeht, befinden wir uns derzeit im Wilden Westen. Abgesehen von offensichtlichen Gesetzen und Vorschriften in Bezug auf den Datenschutz (vor allem in jüngster Zeit mit der DSGVO) und dem Schutz von Kundendaten sowie den in einigen Ländern vorgeschriebenen Gesetzen zur Meldung von Verstößen wird in der Mainstream-Wirtschaft oder in der Community nur sehr wenig über das in Software integrierte Sicherheitsniveau gesagt und getan. Selbst diese Gesetze beziehen sich eher auf die Unternehmensverantwortung als darauf, dass die Software selbst reguliert wird oder dass ein verbindlicher Sicherheitsstandard eingehalten werden muss.
Wir werden dort ankommen, aber dafür ist vielleicht zuerst ein Pfad der Zerstörung erforderlich.
Gartner schätzt, dass es 8,4 Milliarden mit dem Internet verbundene Geräte werden bis 2020 genutzt; eine Zahl, die einem Anstieg von 31 Prozent seit 2016 entspricht. Dazu gehören Unterhaltungselektronik sowie Dinge wie medizinische Geräte und branchenspezifische Geräte. Das sind verdammt viele Möglichkeiten für einen Hacker.
Stellen Sie sich vor, die Software, auf der der Herzschrittmacher einer Person läuft, ist unsicher. Ein Hacker könnte einbrechen und möglicherweise das Herz seines Opfers stoppen (finden Sie das lächerlich? Ärzte hat das WLAN deaktiviert in Dick Cheneys Herzschrittmacher, um ein potenzielles Attentat durch Hacken zu vereiteln). Eine angeschlossene Mikrowelle oder ein Wasserkocher könnte aus der Ferne in die Luft gesprengt werden (zusammen mit allen möglichen Geräten des Internet der Dinge, die wir in unseren Häusern verwenden), oder bei einem vernetzten Elektroauto könnten die Bremsen deaktiviert sein. Das mag wie ein weit hergeholter Hollywood-Actionfilm klingen, aber wenn die Software einer dieser fortschrittlichen vernetzten Technologien gehackt werden kann, stehen wir wirklich vor einer potenziellen Katastrophe — genau wie die Bedrohungen, die wir bereits mit dem explosive Auswirkungen von Cyberangriffen in der Öl- und Gasindustrie.
Wir können den schlimmen Folgen böswilliger Hackerangriffe zuvorkommen, da unser Leben immer mehr von der digitalen Welt abhängt. Alles beginnt damit, Entwickler mehr für sicheres Programmieren zu begeistern und ernsthaft daran zu arbeiten, eine starke Sicherheitsmentalität und -kultur in den Entwicklungsteams zu entwickeln.
Ihre Software-Revolution beginnt hier. Die Bankenbranche ist Vorreiter bei der Einführung von gamifiziertem Training im Kampf gegen schlechten Code. Dabei handelt es sich um einen wirklich innovativen Ansatz, der traditionelle (sprich: langweilige) Schulungen auf den Kopf stellt. Tatsächlich engagiert derzeit jede der sechs führenden Banken Australiens ihre Entwickler auf diese Weise und fördert so deren Sicherheitsdenken. Schauen Sie sich an, was unser Kunde, die IAG Group, mit ihrem gemacht hat Turnier der nächsten Stufe.
Ursprünglich veröffentlicht in CSO Online
Als ethischer Hacker, Sicherheitsexperte und Computerfreak (halb im Ruhestand) könnte man sagen, dass mir Technologie sehr am Herzen liegt. Mir ist wichtig, wie sie hergestellt wurde, was sie tut und wie sie einen Teil unseres Lebens besser oder effizienter machen wird. Ich schaue ständig „unter die Haube“ von Geräten und sehe einige der besten (und schlechtesten) Codebeispiele, die es gibt. Vor Kurzem habe ich mir angesehen, wie meine Klimaanlage mit einer Android-App ferngesteuert werden kann (stellen Sie sich meine Überraschung vor, als ich herausfand, dass jeder im WiFi-Netzwerk dieses Ding ohne jegliche Authentifizierung steuern kann).
Softwaresicherheit steht für mich immer im Vordergrund, ebenso wie die sehr reale Gefahr, die von unserem zunehmend digitalen Lebensstil beim Austausch persönlicher Informationen ausgeht. Schließlich befinden wir uns in einem weitgehend unregulierten, unbeaufsichtigten und glücklicherweise ignorierten Gebiet. Wir sind im Wilden Westen.
Als kollektive Gesellschaft schauen wir der Technologie, die wir täglich verwenden, nicht unter die Haube. Obwohl beliebte und hochgelobte Fernsehserien wie Mr. Robot das allgemeine Bewusstsein stärken, sind wir nicht sicherheitsbewusst... Tatsächlich haben die meisten von uns keine Ahnung, wie sicher die Software in den unzähligen Anwendungen, Diensten und zunehmend vernetzten Dingen ist, die wir kaufen und verwenden. Es ist nicht einmal so, dass wir ihnen von Natur aus vertrauen — wir denken einfach überhaupt nicht an sie.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo! , Facebook, Target: Jedes einzelne dieser weit verbreiteten Unternehmen wurde Opfer einer Datenschutzverletzung. Ihre Software-Sicherheitslücken wurden ausgenutzt und Millionen und Abermillionen von Kundendaten wurden aufgedeckt. Diese Beispiele stellen nur einen Bruchteil der weltweiten Sicherheitslücken dar, die in den letzten zehn Jahren stattgefunden haben. Sie sind eine kostspielige Folge schlechter Softwaresicherheit, die es den Bösewichten ermöglicht, unsere wertvollen Informationen zu stehlen.
Wenn die meisten Menschen über Datenschutzverletzungen nachdenken, denken sie an Verstöße gegen die Informationssicherheit. Sie werden als Albtraum für das Unternehmen verstanden, gegen das verstoßen wurde, und als lästig für diejenigen, deren persönliche Daten betroffen sind, aber ernsthaft, was ist die große Sache? Sind die Folgen wirklich so groß, wenn die Sicherheit weiterhin ignoriert wird? Nichts Das Bisher ist viel passiert - Datenschutzverletzungen haben schwerwiegende Auswirkungen auf die für sie verantwortlichen Unternehmen, aber das ist ihr Problem, oder? Sie verlieren Geschäfte, sie verlieren das Vertrauen der Verbraucher; es ist letztlich ihre Aufgabe, das zu regeln und für den Schaden zu zahlen.
Softwaresicherheit sollte die Priorität jedes Unternehmens sein.
Es gibt einen ziemlich einfachen Grund, warum Softwaresicherheit nicht für jedes Unternehmen mit einem Entwicklungsteam das Hauptanliegen ist: Es haben noch nicht genug Menschen ihr Leben verloren und es gibt nicht genug Wissen über die Risiken.
Morbid? Vielleicht. Aber es ist die ehrliche Wahrheit. Vorschriften, Baustandards und Gesetzesänderungen werden beachtet (wie zum Beispiel von Regierungsbehörden), wenn ein echter menschlicher Preis.
Nehmen wir zum Beispiel eine Brücke. Bauingenieure (eine Branche, die Hunderte von Jahren alt ist) betrachten Sicherheit als einen zentralen Bestandteil des Brückenbaus. Ihr Ansatz geht weit über Ästhetik und grundlegende Funktionalität hinaus. Von jeder gebauten Brücke wird erwartet, dass sie strengen Sicherheitsvorschriften entspricht. Sowohl der Beruf des Bauingenieurs als auch die Gesellschaft als Ganzes lernen im Laufe der Zeit, ein hohes Maß an Sicherheit zu erwarten. Eine Brücke, die heute die Sicherheitsanforderungen nicht erfüllt, gilt als gefährlich und unbrauchbar. Dies ist immer noch eine Entwicklung, die wir innerhalb der Softwaretechnik erreichen müssen.
Schauen wir uns als moderneres Beispiel die Spielzeugindustrie an. In den 1950er Jahren gab es eine enormer Anstieg der Produktion und des Verkaufs von Spielzeug dank des Babybooms der Nachkriegszeit. Interessanterweise wurde berichtet, dass in dieser Zeit auch die Zahl der Besuche in der Notaufnahme aufgrund von Zwischenfällen im Zusammenhang mit Spielzeug zugenommen hat. Spielzeugpfeile verursachten Augenverletzungen, kleine Spielzeuge (und abnehmbare Teile von größeren Spielzeugen) wurden verschluckt und Spielzeugöfen, die an kleine Mädchen vermarktet werden waren in der Lage, auf höhere Temperaturen aufzuheizen als normale Haushaltsöfen.
Es war so etwas wie ein „Wilder Westen“ da draußen, mit wenig Regulierung, bis auf einige vereinzelte Verbote und Produktrückrufe unter den schlimmsten Umständen. Den Spielzeugherstellern stand es im Grunde frei, jedes Spielzeug herzustellen, das sie wollten, und Sicherheitsbedenken wurden in der Regel erst geäußert, nachdem es bereits mehrere gemeldete Vorfälle gegeben hatte. Es war erst, als Rechnungen wie Richard Nixons Spielzeugsicherheitsgesetz von 1969 wurden gesetzlich verankert, dass das Testen und das anschließende Verbot von gefährlichem Spielzeug in den USA und auf der ganzen Welt zum Standard wurden. Unfälle werden zwar immer noch passieren, aber heute gilt bei der Spielzeugherstellung die Regel „Sicherheit geht vor“, und unsere Kinder sind einer weitaus geringeren potenziellen Gefahr ausgesetzt.
Was Softwaresicherheit angeht, befinden wir uns derzeit im Wilden Westen. Abgesehen von offensichtlichen Gesetzen und Vorschriften in Bezug auf den Datenschutz (vor allem in jüngster Zeit mit der DSGVO) und dem Schutz von Kundendaten sowie den in einigen Ländern vorgeschriebenen Gesetzen zur Meldung von Verstößen wird in der Mainstream-Wirtschaft oder in der Community nur sehr wenig über das in Software integrierte Sicherheitsniveau gesagt und getan. Selbst diese Gesetze beziehen sich eher auf die Unternehmensverantwortung als darauf, dass die Software selbst reguliert wird oder dass ein verbindlicher Sicherheitsstandard eingehalten werden muss.
Wir werden dort ankommen, aber dafür ist vielleicht zuerst ein Pfad der Zerstörung erforderlich.
Gartner schätzt, dass es 8,4 Milliarden mit dem Internet verbundene Geräte werden bis 2020 genutzt; eine Zahl, die einem Anstieg von 31 Prozent seit 2016 entspricht. Dazu gehören Unterhaltungselektronik sowie Dinge wie medizinische Geräte und branchenspezifische Geräte. Das sind verdammt viele Möglichkeiten für einen Hacker.
Stellen Sie sich vor, die Software, auf der der Herzschrittmacher einer Person läuft, ist unsicher. Ein Hacker könnte einbrechen und möglicherweise das Herz seines Opfers stoppen (finden Sie das lächerlich? Ärzte hat das WLAN deaktiviert in Dick Cheneys Herzschrittmacher, um ein potenzielles Attentat durch Hacken zu vereiteln). Eine angeschlossene Mikrowelle oder ein Wasserkocher könnte aus der Ferne in die Luft gesprengt werden (zusammen mit allen möglichen Geräten des Internet der Dinge, die wir in unseren Häusern verwenden), oder bei einem vernetzten Elektroauto könnten die Bremsen deaktiviert sein. Das mag wie ein weit hergeholter Hollywood-Actionfilm klingen, aber wenn die Software einer dieser fortschrittlichen vernetzten Technologien gehackt werden kann, stehen wir wirklich vor einer potenziellen Katastrophe — genau wie die Bedrohungen, die wir bereits mit dem explosive Auswirkungen von Cyberangriffen in der Öl- und Gasindustrie.
Wir können den schlimmen Folgen böswilliger Hackerangriffe zuvorkommen, da unser Leben immer mehr von der digitalen Welt abhängt. Alles beginnt damit, Entwickler mehr für sicheres Programmieren zu begeistern und ernsthaft daran zu arbeiten, eine starke Sicherheitsmentalität und -kultur in den Entwicklungsteams zu entwickeln.
Ihre Software-Revolution beginnt hier. Die Bankenbranche ist Vorreiter bei der Einführung von gamifiziertem Training im Kampf gegen schlechten Code. Dabei handelt es sich um einen wirklich innovativen Ansatz, der traditionelle (sprich: langweilige) Schulungen auf den Kopf stellt. Tatsächlich engagiert derzeit jede der sechs führenden Banken Australiens ihre Entwickler auf diese Weise und fördert so deren Sicherheitsdenken. Schauen Sie sich an, was unser Kunde, die IAG Group, mit ihrem gemacht hat Turnier der nächsten Stufe.
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenEine Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Ursprünglich veröffentlicht in CSO Online
Als ethischer Hacker, Sicherheitsexperte und Computerfreak (halb im Ruhestand) könnte man sagen, dass mir Technologie sehr am Herzen liegt. Mir ist wichtig, wie sie hergestellt wurde, was sie tut und wie sie einen Teil unseres Lebens besser oder effizienter machen wird. Ich schaue ständig „unter die Haube“ von Geräten und sehe einige der besten (und schlechtesten) Codebeispiele, die es gibt. Vor Kurzem habe ich mir angesehen, wie meine Klimaanlage mit einer Android-App ferngesteuert werden kann (stellen Sie sich meine Überraschung vor, als ich herausfand, dass jeder im WiFi-Netzwerk dieses Ding ohne jegliche Authentifizierung steuern kann).
Softwaresicherheit steht für mich immer im Vordergrund, ebenso wie die sehr reale Gefahr, die von unserem zunehmend digitalen Lebensstil beim Austausch persönlicher Informationen ausgeht. Schließlich befinden wir uns in einem weitgehend unregulierten, unbeaufsichtigten und glücklicherweise ignorierten Gebiet. Wir sind im Wilden Westen.
Als kollektive Gesellschaft schauen wir der Technologie, die wir täglich verwenden, nicht unter die Haube. Obwohl beliebte und hochgelobte Fernsehserien wie Mr. Robot das allgemeine Bewusstsein stärken, sind wir nicht sicherheitsbewusst... Tatsächlich haben die meisten von uns keine Ahnung, wie sicher die Software in den unzähligen Anwendungen, Diensten und zunehmend vernetzten Dingen ist, die wir kaufen und verwenden. Es ist nicht einmal so, dass wir ihnen von Natur aus vertrauen — wir denken einfach überhaupt nicht an sie.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo! , Facebook, Target: Jedes einzelne dieser weit verbreiteten Unternehmen wurde Opfer einer Datenschutzverletzung. Ihre Software-Sicherheitslücken wurden ausgenutzt und Millionen und Abermillionen von Kundendaten wurden aufgedeckt. Diese Beispiele stellen nur einen Bruchteil der weltweiten Sicherheitslücken dar, die in den letzten zehn Jahren stattgefunden haben. Sie sind eine kostspielige Folge schlechter Softwaresicherheit, die es den Bösewichten ermöglicht, unsere wertvollen Informationen zu stehlen.
Wenn die meisten Menschen über Datenschutzverletzungen nachdenken, denken sie an Verstöße gegen die Informationssicherheit. Sie werden als Albtraum für das Unternehmen verstanden, gegen das verstoßen wurde, und als lästig für diejenigen, deren persönliche Daten betroffen sind, aber ernsthaft, was ist die große Sache? Sind die Folgen wirklich so groß, wenn die Sicherheit weiterhin ignoriert wird? Nichts Das Bisher ist viel passiert - Datenschutzverletzungen haben schwerwiegende Auswirkungen auf die für sie verantwortlichen Unternehmen, aber das ist ihr Problem, oder? Sie verlieren Geschäfte, sie verlieren das Vertrauen der Verbraucher; es ist letztlich ihre Aufgabe, das zu regeln und für den Schaden zu zahlen.
Softwaresicherheit sollte die Priorität jedes Unternehmens sein.
Es gibt einen ziemlich einfachen Grund, warum Softwaresicherheit nicht für jedes Unternehmen mit einem Entwicklungsteam das Hauptanliegen ist: Es haben noch nicht genug Menschen ihr Leben verloren und es gibt nicht genug Wissen über die Risiken.
Morbid? Vielleicht. Aber es ist die ehrliche Wahrheit. Vorschriften, Baustandards und Gesetzesänderungen werden beachtet (wie zum Beispiel von Regierungsbehörden), wenn ein echter menschlicher Preis.
Nehmen wir zum Beispiel eine Brücke. Bauingenieure (eine Branche, die Hunderte von Jahren alt ist) betrachten Sicherheit als einen zentralen Bestandteil des Brückenbaus. Ihr Ansatz geht weit über Ästhetik und grundlegende Funktionalität hinaus. Von jeder gebauten Brücke wird erwartet, dass sie strengen Sicherheitsvorschriften entspricht. Sowohl der Beruf des Bauingenieurs als auch die Gesellschaft als Ganzes lernen im Laufe der Zeit, ein hohes Maß an Sicherheit zu erwarten. Eine Brücke, die heute die Sicherheitsanforderungen nicht erfüllt, gilt als gefährlich und unbrauchbar. Dies ist immer noch eine Entwicklung, die wir innerhalb der Softwaretechnik erreichen müssen.
Schauen wir uns als moderneres Beispiel die Spielzeugindustrie an. In den 1950er Jahren gab es eine enormer Anstieg der Produktion und des Verkaufs von Spielzeug dank des Babybooms der Nachkriegszeit. Interessanterweise wurde berichtet, dass in dieser Zeit auch die Zahl der Besuche in der Notaufnahme aufgrund von Zwischenfällen im Zusammenhang mit Spielzeug zugenommen hat. Spielzeugpfeile verursachten Augenverletzungen, kleine Spielzeuge (und abnehmbare Teile von größeren Spielzeugen) wurden verschluckt und Spielzeugöfen, die an kleine Mädchen vermarktet werden waren in der Lage, auf höhere Temperaturen aufzuheizen als normale Haushaltsöfen.
Es war so etwas wie ein „Wilder Westen“ da draußen, mit wenig Regulierung, bis auf einige vereinzelte Verbote und Produktrückrufe unter den schlimmsten Umständen. Den Spielzeugherstellern stand es im Grunde frei, jedes Spielzeug herzustellen, das sie wollten, und Sicherheitsbedenken wurden in der Regel erst geäußert, nachdem es bereits mehrere gemeldete Vorfälle gegeben hatte. Es war erst, als Rechnungen wie Richard Nixons Spielzeugsicherheitsgesetz von 1969 wurden gesetzlich verankert, dass das Testen und das anschließende Verbot von gefährlichem Spielzeug in den USA und auf der ganzen Welt zum Standard wurden. Unfälle werden zwar immer noch passieren, aber heute gilt bei der Spielzeugherstellung die Regel „Sicherheit geht vor“, und unsere Kinder sind einer weitaus geringeren potenziellen Gefahr ausgesetzt.
Was Softwaresicherheit angeht, befinden wir uns derzeit im Wilden Westen. Abgesehen von offensichtlichen Gesetzen und Vorschriften in Bezug auf den Datenschutz (vor allem in jüngster Zeit mit der DSGVO) und dem Schutz von Kundendaten sowie den in einigen Ländern vorgeschriebenen Gesetzen zur Meldung von Verstößen wird in der Mainstream-Wirtschaft oder in der Community nur sehr wenig über das in Software integrierte Sicherheitsniveau gesagt und getan. Selbst diese Gesetze beziehen sich eher auf die Unternehmensverantwortung als darauf, dass die Software selbst reguliert wird oder dass ein verbindlicher Sicherheitsstandard eingehalten werden muss.
Wir werden dort ankommen, aber dafür ist vielleicht zuerst ein Pfad der Zerstörung erforderlich.
Gartner schätzt, dass es 8,4 Milliarden mit dem Internet verbundene Geräte werden bis 2020 genutzt; eine Zahl, die einem Anstieg von 31 Prozent seit 2016 entspricht. Dazu gehören Unterhaltungselektronik sowie Dinge wie medizinische Geräte und branchenspezifische Geräte. Das sind verdammt viele Möglichkeiten für einen Hacker.
Stellen Sie sich vor, die Software, auf der der Herzschrittmacher einer Person läuft, ist unsicher. Ein Hacker könnte einbrechen und möglicherweise das Herz seines Opfers stoppen (finden Sie das lächerlich? Ärzte hat das WLAN deaktiviert in Dick Cheneys Herzschrittmacher, um ein potenzielles Attentat durch Hacken zu vereiteln). Eine angeschlossene Mikrowelle oder ein Wasserkocher könnte aus der Ferne in die Luft gesprengt werden (zusammen mit allen möglichen Geräten des Internet der Dinge, die wir in unseren Häusern verwenden), oder bei einem vernetzten Elektroauto könnten die Bremsen deaktiviert sein. Das mag wie ein weit hergeholter Hollywood-Actionfilm klingen, aber wenn die Software einer dieser fortschrittlichen vernetzten Technologien gehackt werden kann, stehen wir wirklich vor einer potenziellen Katastrophe — genau wie die Bedrohungen, die wir bereits mit dem explosive Auswirkungen von Cyberangriffen in der Öl- und Gasindustrie.
Wir können den schlimmen Folgen böswilliger Hackerangriffe zuvorkommen, da unser Leben immer mehr von der digitalen Welt abhängt. Alles beginnt damit, Entwickler mehr für sicheres Programmieren zu begeistern und ernsthaft daran zu arbeiten, eine starke Sicherheitsmentalität und -kultur in den Entwicklungsteams zu entwickeln.
Ihre Software-Revolution beginnt hier. Die Bankenbranche ist Vorreiter bei der Einführung von gamifiziertem Training im Kampf gegen schlechten Code. Dabei handelt es sich um einen wirklich innovativen Ansatz, der traditionelle (sprich: langweilige) Schulungen auf den Kopf stellt. Tatsächlich engagiert derzeit jede der sechs führenden Banken Australiens ihre Entwickler auf diese Weise und fördert so deren Sicherheitsdenken. Schauen Sie sich an, was unser Kunde, die IAG Group, mit ihrem gemacht hat Turnier der nächsten Stufe.
Inhaltsverzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Securecode-Schulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um der sich ständig ändernden Softwareentwicklungslandschaft unter Berücksichtigung Ihrer Rolle gerecht zu werden. Themen, die alles von KI bis XQuery Injection abdecken und für eine Vielzahl von Rollen angeboten werden, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Einblick in das Angebot unseres Inhaltskatalogs nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Beat the Boss KI-Missionen jetzt auf Abruf verfügbar
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzt fortschrittliche KI/LLM-Sicherheitsanforderungen ein, um die sichere KI-Entwicklung in einem großen Maßstab zu stärken.
Cyber-Resilienz-Gesetz erklärt: Was das für die Entwicklung von Secure by Design-Software bedeutet
Erfahren Sie, was der EU Cyber Resilience Act (CRA) verlangt, für wen er gilt und wie sich Entwicklungsteams mit sicheren Methoden, der Vorbeugung von Sicherheitslücken und dem Aufbau von Fähigkeiten für Entwickler darauf vorbereiten können.
Enabler 1: Definierte und messbare Erfolgskriterien
Enabler 1 eröffnet unsere zehnteilige Reihe „Enabler of Success“ und zeigt, wie sichere Codierung mit Geschäftsergebnissen wie Risikominderung und Geschwindigkeit verbunden werden kann, um eine langfristige Programmreife zu erreichen.
