安全でない暗号ストレージとセキュリティ | セキュア・コード・ウォリアー
Daten sind das Lebenselixier von Unternehmen. Es sind die grundlegenden Informationen, die zum Überleben, zum Geldverdienen und zur Bereitstellung von Dienstleistungen für ihre Kunden benötigt werden. In dieser zunehmend digital ausgerichteten Gesellschaft tragen Entwickler als Verwalter dieser wertvollen Informationen eine immense Verantwortung. Wenn Entwickler vertrauliche Daten nicht schützen, fällt das Unternehmen einer unsicheren kryptografischen Speicherung zum Opfer.
Lassen Sie uns einen Blick darauf werfen, wie man Daten sicher speichert und was passieren kann, wenn man es nicht tut.
Unsichere kryptografische Speicherung verstehen
Wenn sich Angreifer Zugang zu einem System verschaffen, sind sie in der Regel auf der Jagd nach Daten von Wert. Sie wissen schon - die Art von Daten, die verwendet werden können, um das Konto einer anderen Person zu übernehmen oder um einen weiteren Angriff durchzuführen. Manchmal wird diese Art von Daten einfach auf dem Schwarzmarkt für schnelles Geld verkauft.
Unsichere kryptografische Speicherung ist keine einzelne Schwachstelle wie SQL-Injection oder XSS. Sie ist eine Folge davon, dass Sie die Daten, die Sie schützen sollten, nicht so schützen, wie Sie es müssen.
Sensible Informationen müssen geschützt werden. Wenn Sie Passwörter und Kreditkarteninformationen im Klartext speichern, spielen Sie russisches Roulette mit Ihrem Unternehmen.
Wenn ein Hacker in Ihre Datenbank eindringt und Daten durch SQL-Injektion, XML-Injektion oder einen anderen Angriff stiehlt, hat er alles. Wenn Sie Ihre Daten jedoch verschlüsseln, haben sie es viel schwerer, sie wirklich zu nutzen.
Es ist wichtig zu beachten, dass Sicherheitsverletzungen nicht immer das Ergebnis eines böswilligen Außenstehenden sind. Auch ein böswilliger Insider kann Daten mit Leichtigkeit stehlen, wenn sie nicht verschlüsselt sind. Die Mitarbeiter Ihres Unternehmens müssen nicht alles in der Datenbank sehen, und unzureichende Zugriffskontrollen oder freiliegende sensible Daten können zu regelrechtem Diebstahl führen.
Denken Sie auch daran, dass nicht alle Verschlüsselungen gleich sind. Die Verwendung der falschen kryptografischen Algorithmen ist genauso gefährlich wie deren Nichtverwendung. Bekannte schwache Algorithmen bieten versierten Angreifern wenig Widerstand.
Warum unsichere kryptografische Speicherung gefährlich ist
Viele Unternehmen werden durch eine andere Schwachstelle (z. B. SQL-Injection)kompromittiert und sind am Ende nicht mehr in der Lage, die gestohlenen Daten zu verbergen. Dies macht eine schreckliche Situation noch schlimmer.
- Adult Friend Finder wurde angegriffen, wobei 412 Millionen Konten geleakt wurden. Die Passwörter für die Konten waren mit dem schwachen Hash-Algorithmus SHA-1 geschützt. Sie konnten von Angreifern innerhalb eines Monats leicht geknackt werden.
- Uber wurde angegriffen, wobei 57 Millionen Benutzerdaten und 600.000 Fahrerdaten verloren gingen. Persönliche Informationen gingen verloren. Dies geschah, weil das GitHub-Konto von Uber ein Repository enthielt, das den Benutzernamen und das Passwort des AWS-Kontos von Uber enthielt... keine gute Idee. Die Bewertung von Uber sank um 20 Milliarden Dollar, was größtenteils auf diesen Verstoß zurückzuführen ist.
- Das PlayStation Network von Sony wurde angegriffen, wobei 77 Millionen Konten geleakt wurden. 12 Millionen der Konten enthielten unverschlüsselte Kreditkarteninformationen. Sony hat später eine Sammelklage in Höhe von 15 Millionen Dollar wegen des Verstoßes beigelegt.
Es gibt eindeutig schwerwiegende Konsequenzen, wenn sensible Daten nicht ordnungsgemäß gespeichert werden.
Sony wurde verklagt, was eine erhebliche Strafe darstellt. Aber auch wenn Sie nicht verklagt werden, kann der Ruf- und Regulierungsschaden für ein Unternehmen katastrophal sein.
Unsichere kryptografische Speicherung besiegen
Wie können Entwickler verhindern, dass Datenverletzungen wie die oben genannten passieren?
Der erste Schritt besteht darin, zu identifizieren, welche Daten überhaupt verschlüsselt werden müssen. Schließlich sind nicht alle Daten gleich. Kategorisieren Sie Ihre Daten und verwenden Sie dann Verschlüsselung, wo es angebracht ist.
Im Allgemeinen müssen persönliche Informationen wie Sozialversicherungsnummern, Passwörter und Kreditkartendetails geschützt werden. Je nach Art Ihres Unternehmens müssen Sie möglicherweise auch Gesundheitsdaten oder andere Informationen schützen, die als privat gelten.
Sobald Sie wissen, welche Daten geschützt werden müssen, besteht der nächste Schritt darin, die richtigen Werkzeuge zu verwenden, um deren Sicherheit zu gewährleisten. Im Allgemeinen ist es gut, sich an kryptografische Algorithmen zu halten, die sich im Laufe der Zeit bewährt haben und als stark gelten.
Schreiben Sie auf keinen Fall Ihre eigenen kryptografischen Funktionen. Sie enthalten wahrscheinlich Fehler, die Angreifer nutzen können, um die Verschlüsselung zu knacken.
Um Daten wie Sozialversicherungsnummern oder Kreditkartendaten zu verschlüsseln, verwenden Sie AES. Es gibt verschiedene Betriebsmodi für AES, ein zum Zeitpunkt des Schreibens sehr empfohlener Modus ist der Galois/Counter-Modus (GCM). Ein weiterer Tipp ist, sicherzustellen, dass bei Bibliotheken, die Sie auffordern, eine Art von Padding zu wählen, kein Padding verwendet wird.
Verwenden Sie für Kennwörter einen Hash-Algorithmus, da Hashes nicht rückgängig gemacht werden können. Bei einem stark gehashten Wert kann ein Angreifer den ursprünglichen Text, mit dem der Wert erstellt wurde, nicht wiederherstellen. Argon2 und Bcrypt sindeine gute Wahl für das Hashing von Kennwörtern. Denken Sie daran, das Kennwort vor dem Hashing immer mit einem Zufallswert zu "salzen", damit keine zwei Hashes für dasselbe Kennwort gleich sind.
Diese Funktionen haben Implementierungen für alle wichtigen Programmiersprachen/Frameworks. Schauen Sie in der Dokumentation Ihrer spezifischen Sprache oder Ihres Frameworks nach, um zu erfahren, wie Sie sie effektiv nutzen können.
Schlüsselerzeugung, -speicherung und -verwaltung sind wichtige Komponenten der Kryptografie. Schlecht verwaltete Schlüssel können offengelegt und zur Entschlüsselung Ihrer Daten verwendet werden. Einige Frameworks helfen bei der Schlüsselverwaltung, z. B. die Data Protection API von ASP.NET. Allgemeine Best Practices für die Schlüsselverwaltung finden Sie im Spickzettel von OWASP.
Durch die sichere Speicherung Ihrer Daten beugen Sie kostspieligen und peinlichen Datenpannen vor. Im schlimmsten Fall, wenn ein Angreifer in der Lage ist, Ihre Daten zu stehlen, wird er es viel schwerer haben, sie zu sehen oder für einen schändlichen Zweck zu verwenden.
Verstecken Sie Ihre Daten in Plain Sight
Sehen wir uns kurz an, wie Sie Ihre Daten schützen können:
- Kategorisieren Sie Ihre Daten, damit Sie wissen, was geschützt werden muss
- Verwenden Sie starke, industrieerprobte Algorithmen für die Verschlüsselung sensibler Daten
- Speichern Sie Ihre Kennwörter mit starken Einweg-Hashes
Um das Thema weiter zu vertiefen, sehen Sie sich unsere Lernressourcen an. Wenn Sie bereit sind, loszulegen und zu üben, probieren Sie unsere Plattform in Ihrer bevorzugten Sprache aus. Wir decken eine Menge ab!
Mit diesen Tools können Sie verhindern, dass Ihre Daten gestohlen werden, und verhindern, dass Ihr Unternehmen Geld verliert und seinen Ruf beschädigt.
Sind Sie bereit, unsichere kryptografische Speicher zu finden und sofort zu reparieren? Gehen Sie in die Arena und testen Sie Ihre Fähigkeiten [hier starten]
Jaap Karan Singhは、セキュア・コーディング・エバンジェリストであり、チーフ・シンであり、セキュア・コード・ウォリアーの共同創設者です。
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約
Jaap Karan Singhは、セキュア・コーディング・エバンジェリストであり、チーフ・シンであり、セキュア・コード・ウォリアーの共同創設者です。
Daten sind das Lebenselixier von Unternehmen. Es sind die grundlegenden Informationen, die zum Überleben, zum Geldverdienen und zur Bereitstellung von Dienstleistungen für ihre Kunden benötigt werden. In dieser zunehmend digital ausgerichteten Gesellschaft tragen Entwickler als Verwalter dieser wertvollen Informationen eine immense Verantwortung. Wenn Entwickler vertrauliche Daten nicht schützen, fällt das Unternehmen einer unsicheren kryptografischen Speicherung zum Opfer.
Lassen Sie uns einen Blick darauf werfen, wie man Daten sicher speichert und was passieren kann, wenn man es nicht tut.
Unsichere kryptografische Speicherung verstehen
Wenn sich Angreifer Zugang zu einem System verschaffen, sind sie in der Regel auf der Jagd nach Daten von Wert. Sie wissen schon - die Art von Daten, die verwendet werden können, um das Konto einer anderen Person zu übernehmen oder um einen weiteren Angriff durchzuführen. Manchmal wird diese Art von Daten einfach auf dem Schwarzmarkt für schnelles Geld verkauft.
Unsichere kryptografische Speicherung ist keine einzelne Schwachstelle wie SQL-Injection oder XSS. Sie ist eine Folge davon, dass Sie die Daten, die Sie schützen sollten, nicht so schützen, wie Sie es müssen.
Sensible Informationen müssen geschützt werden. Wenn Sie Passwörter und Kreditkarteninformationen im Klartext speichern, spielen Sie russisches Roulette mit Ihrem Unternehmen.
Wenn ein Hacker in Ihre Datenbank eindringt und Daten durch SQL-Injektion, XML-Injektion oder einen anderen Angriff stiehlt, hat er alles. Wenn Sie Ihre Daten jedoch verschlüsseln, haben sie es viel schwerer, sie wirklich zu nutzen.
Es ist wichtig zu beachten, dass Sicherheitsverletzungen nicht immer das Ergebnis eines böswilligen Außenstehenden sind. Auch ein böswilliger Insider kann Daten mit Leichtigkeit stehlen, wenn sie nicht verschlüsselt sind. Die Mitarbeiter Ihres Unternehmens müssen nicht alles in der Datenbank sehen, und unzureichende Zugriffskontrollen oder freiliegende sensible Daten können zu regelrechtem Diebstahl führen.
Denken Sie auch daran, dass nicht alle Verschlüsselungen gleich sind. Die Verwendung der falschen kryptografischen Algorithmen ist genauso gefährlich wie deren Nichtverwendung. Bekannte schwache Algorithmen bieten versierten Angreifern wenig Widerstand.
Warum unsichere kryptografische Speicherung gefährlich ist
Viele Unternehmen werden durch eine andere Schwachstelle (z. B. SQL-Injection)kompromittiert und sind am Ende nicht mehr in der Lage, die gestohlenen Daten zu verbergen. Dies macht eine schreckliche Situation noch schlimmer.
- Adult Friend Finder wurde angegriffen, wobei 412 Millionen Konten geleakt wurden. Die Passwörter für die Konten waren mit dem schwachen Hash-Algorithmus SHA-1 geschützt. Sie konnten von Angreifern innerhalb eines Monats leicht geknackt werden.
- Uber wurde angegriffen, wobei 57 Millionen Benutzerdaten und 600.000 Fahrerdaten verloren gingen. Persönliche Informationen gingen verloren. Dies geschah, weil das GitHub-Konto von Uber ein Repository enthielt, das den Benutzernamen und das Passwort des AWS-Kontos von Uber enthielt... keine gute Idee. Die Bewertung von Uber sank um 20 Milliarden Dollar, was größtenteils auf diesen Verstoß zurückzuführen ist.
- Das PlayStation Network von Sony wurde angegriffen, wobei 77 Millionen Konten geleakt wurden. 12 Millionen der Konten enthielten unverschlüsselte Kreditkarteninformationen. Sony hat später eine Sammelklage in Höhe von 15 Millionen Dollar wegen des Verstoßes beigelegt.
Es gibt eindeutig schwerwiegende Konsequenzen, wenn sensible Daten nicht ordnungsgemäß gespeichert werden.
Sony wurde verklagt, was eine erhebliche Strafe darstellt. Aber auch wenn Sie nicht verklagt werden, kann der Ruf- und Regulierungsschaden für ein Unternehmen katastrophal sein.
Unsichere kryptografische Speicherung besiegen
Wie können Entwickler verhindern, dass Datenverletzungen wie die oben genannten passieren?
Der erste Schritt besteht darin, zu identifizieren, welche Daten überhaupt verschlüsselt werden müssen. Schließlich sind nicht alle Daten gleich. Kategorisieren Sie Ihre Daten und verwenden Sie dann Verschlüsselung, wo es angebracht ist.
Im Allgemeinen müssen persönliche Informationen wie Sozialversicherungsnummern, Passwörter und Kreditkartendetails geschützt werden. Je nach Art Ihres Unternehmens müssen Sie möglicherweise auch Gesundheitsdaten oder andere Informationen schützen, die als privat gelten.
Sobald Sie wissen, welche Daten geschützt werden müssen, besteht der nächste Schritt darin, die richtigen Werkzeuge zu verwenden, um deren Sicherheit zu gewährleisten. Im Allgemeinen ist es gut, sich an kryptografische Algorithmen zu halten, die sich im Laufe der Zeit bewährt haben und als stark gelten.
Schreiben Sie auf keinen Fall Ihre eigenen kryptografischen Funktionen. Sie enthalten wahrscheinlich Fehler, die Angreifer nutzen können, um die Verschlüsselung zu knacken.
Um Daten wie Sozialversicherungsnummern oder Kreditkartendaten zu verschlüsseln, verwenden Sie AES. Es gibt verschiedene Betriebsmodi für AES, ein zum Zeitpunkt des Schreibens sehr empfohlener Modus ist der Galois/Counter-Modus (GCM). Ein weiterer Tipp ist, sicherzustellen, dass bei Bibliotheken, die Sie auffordern, eine Art von Padding zu wählen, kein Padding verwendet wird.
Verwenden Sie für Kennwörter einen Hash-Algorithmus, da Hashes nicht rückgängig gemacht werden können. Bei einem stark gehashten Wert kann ein Angreifer den ursprünglichen Text, mit dem der Wert erstellt wurde, nicht wiederherstellen. Argon2 und Bcrypt sindeine gute Wahl für das Hashing von Kennwörtern. Denken Sie daran, das Kennwort vor dem Hashing immer mit einem Zufallswert zu "salzen", damit keine zwei Hashes für dasselbe Kennwort gleich sind.
Diese Funktionen haben Implementierungen für alle wichtigen Programmiersprachen/Frameworks. Schauen Sie in der Dokumentation Ihrer spezifischen Sprache oder Ihres Frameworks nach, um zu erfahren, wie Sie sie effektiv nutzen können.
Schlüsselerzeugung, -speicherung und -verwaltung sind wichtige Komponenten der Kryptografie. Schlecht verwaltete Schlüssel können offengelegt und zur Entschlüsselung Ihrer Daten verwendet werden. Einige Frameworks helfen bei der Schlüsselverwaltung, z. B. die Data Protection API von ASP.NET. Allgemeine Best Practices für die Schlüsselverwaltung finden Sie im Spickzettel von OWASP.
Durch die sichere Speicherung Ihrer Daten beugen Sie kostspieligen und peinlichen Datenpannen vor. Im schlimmsten Fall, wenn ein Angreifer in der Lage ist, Ihre Daten zu stehlen, wird er es viel schwerer haben, sie zu sehen oder für einen schändlichen Zweck zu verwenden.
Verstecken Sie Ihre Daten in Plain Sight
Sehen wir uns kurz an, wie Sie Ihre Daten schützen können:
- Kategorisieren Sie Ihre Daten, damit Sie wissen, was geschützt werden muss
- Verwenden Sie starke, industrieerprobte Algorithmen für die Verschlüsselung sensibler Daten
- Speichern Sie Ihre Kennwörter mit starken Einweg-Hashes
Um das Thema weiter zu vertiefen, sehen Sie sich unsere Lernressourcen an. Wenn Sie bereit sind, loszulegen und zu üben, probieren Sie unsere Plattform in Ihrer bevorzugten Sprache aus. Wir decken eine Menge ab!
Mit diesen Tools können Sie verhindern, dass Ihre Daten gestohlen werden, und verhindern, dass Ihr Unternehmen Geld verliert und seinen Ruf beschädigt.
Sind Sie bereit, unsichere kryptografische Speicher zu finden und sofort zu reparieren? Gehen Sie in die Arena und testen Sie Ihre Fähigkeiten [hier starten]
Daten sind das Lebenselixier von Unternehmen. Es sind die grundlegenden Informationen, die zum Überleben, zum Geldverdienen und zur Bereitstellung von Dienstleistungen für ihre Kunden benötigt werden. In dieser zunehmend digital ausgerichteten Gesellschaft tragen Entwickler als Verwalter dieser wertvollen Informationen eine immense Verantwortung. Wenn Entwickler vertrauliche Daten nicht schützen, fällt das Unternehmen einer unsicheren kryptografischen Speicherung zum Opfer.
Lassen Sie uns einen Blick darauf werfen, wie man Daten sicher speichert und was passieren kann, wenn man es nicht tut.
Unsichere kryptografische Speicherung verstehen
Wenn sich Angreifer Zugang zu einem System verschaffen, sind sie in der Regel auf der Jagd nach Daten von Wert. Sie wissen schon - die Art von Daten, die verwendet werden können, um das Konto einer anderen Person zu übernehmen oder um einen weiteren Angriff durchzuführen. Manchmal wird diese Art von Daten einfach auf dem Schwarzmarkt für schnelles Geld verkauft.
Unsichere kryptografische Speicherung ist keine einzelne Schwachstelle wie SQL-Injection oder XSS. Sie ist eine Folge davon, dass Sie die Daten, die Sie schützen sollten, nicht so schützen, wie Sie es müssen.
Sensible Informationen müssen geschützt werden. Wenn Sie Passwörter und Kreditkarteninformationen im Klartext speichern, spielen Sie russisches Roulette mit Ihrem Unternehmen.
Wenn ein Hacker in Ihre Datenbank eindringt und Daten durch SQL-Injektion, XML-Injektion oder einen anderen Angriff stiehlt, hat er alles. Wenn Sie Ihre Daten jedoch verschlüsseln, haben sie es viel schwerer, sie wirklich zu nutzen.
Es ist wichtig zu beachten, dass Sicherheitsverletzungen nicht immer das Ergebnis eines böswilligen Außenstehenden sind. Auch ein böswilliger Insider kann Daten mit Leichtigkeit stehlen, wenn sie nicht verschlüsselt sind. Die Mitarbeiter Ihres Unternehmens müssen nicht alles in der Datenbank sehen, und unzureichende Zugriffskontrollen oder freiliegende sensible Daten können zu regelrechtem Diebstahl führen.
Denken Sie auch daran, dass nicht alle Verschlüsselungen gleich sind. Die Verwendung der falschen kryptografischen Algorithmen ist genauso gefährlich wie deren Nichtverwendung. Bekannte schwache Algorithmen bieten versierten Angreifern wenig Widerstand.
Warum unsichere kryptografische Speicherung gefährlich ist
Viele Unternehmen werden durch eine andere Schwachstelle (z. B. SQL-Injection)kompromittiert und sind am Ende nicht mehr in der Lage, die gestohlenen Daten zu verbergen. Dies macht eine schreckliche Situation noch schlimmer.
- Adult Friend Finder wurde angegriffen, wobei 412 Millionen Konten geleakt wurden. Die Passwörter für die Konten waren mit dem schwachen Hash-Algorithmus SHA-1 geschützt. Sie konnten von Angreifern innerhalb eines Monats leicht geknackt werden.
- Uber wurde angegriffen, wobei 57 Millionen Benutzerdaten und 600.000 Fahrerdaten verloren gingen. Persönliche Informationen gingen verloren. Dies geschah, weil das GitHub-Konto von Uber ein Repository enthielt, das den Benutzernamen und das Passwort des AWS-Kontos von Uber enthielt... keine gute Idee. Die Bewertung von Uber sank um 20 Milliarden Dollar, was größtenteils auf diesen Verstoß zurückzuführen ist.
- Das PlayStation Network von Sony wurde angegriffen, wobei 77 Millionen Konten geleakt wurden. 12 Millionen der Konten enthielten unverschlüsselte Kreditkarteninformationen. Sony hat später eine Sammelklage in Höhe von 15 Millionen Dollar wegen des Verstoßes beigelegt.
Es gibt eindeutig schwerwiegende Konsequenzen, wenn sensible Daten nicht ordnungsgemäß gespeichert werden.
Sony wurde verklagt, was eine erhebliche Strafe darstellt. Aber auch wenn Sie nicht verklagt werden, kann der Ruf- und Regulierungsschaden für ein Unternehmen katastrophal sein.
Unsichere kryptografische Speicherung besiegen
Wie können Entwickler verhindern, dass Datenverletzungen wie die oben genannten passieren?
Der erste Schritt besteht darin, zu identifizieren, welche Daten überhaupt verschlüsselt werden müssen. Schließlich sind nicht alle Daten gleich. Kategorisieren Sie Ihre Daten und verwenden Sie dann Verschlüsselung, wo es angebracht ist.
Im Allgemeinen müssen persönliche Informationen wie Sozialversicherungsnummern, Passwörter und Kreditkartendetails geschützt werden. Je nach Art Ihres Unternehmens müssen Sie möglicherweise auch Gesundheitsdaten oder andere Informationen schützen, die als privat gelten.
Sobald Sie wissen, welche Daten geschützt werden müssen, besteht der nächste Schritt darin, die richtigen Werkzeuge zu verwenden, um deren Sicherheit zu gewährleisten. Im Allgemeinen ist es gut, sich an kryptografische Algorithmen zu halten, die sich im Laufe der Zeit bewährt haben und als stark gelten.
Schreiben Sie auf keinen Fall Ihre eigenen kryptografischen Funktionen. Sie enthalten wahrscheinlich Fehler, die Angreifer nutzen können, um die Verschlüsselung zu knacken.
Um Daten wie Sozialversicherungsnummern oder Kreditkartendaten zu verschlüsseln, verwenden Sie AES. Es gibt verschiedene Betriebsmodi für AES, ein zum Zeitpunkt des Schreibens sehr empfohlener Modus ist der Galois/Counter-Modus (GCM). Ein weiterer Tipp ist, sicherzustellen, dass bei Bibliotheken, die Sie auffordern, eine Art von Padding zu wählen, kein Padding verwendet wird.
Verwenden Sie für Kennwörter einen Hash-Algorithmus, da Hashes nicht rückgängig gemacht werden können. Bei einem stark gehashten Wert kann ein Angreifer den ursprünglichen Text, mit dem der Wert erstellt wurde, nicht wiederherstellen. Argon2 und Bcrypt sindeine gute Wahl für das Hashing von Kennwörtern. Denken Sie daran, das Kennwort vor dem Hashing immer mit einem Zufallswert zu "salzen", damit keine zwei Hashes für dasselbe Kennwort gleich sind.
Diese Funktionen haben Implementierungen für alle wichtigen Programmiersprachen/Frameworks. Schauen Sie in der Dokumentation Ihrer spezifischen Sprache oder Ihres Frameworks nach, um zu erfahren, wie Sie sie effektiv nutzen können.
Schlüsselerzeugung, -speicherung und -verwaltung sind wichtige Komponenten der Kryptografie. Schlecht verwaltete Schlüssel können offengelegt und zur Entschlüsselung Ihrer Daten verwendet werden. Einige Frameworks helfen bei der Schlüsselverwaltung, z. B. die Data Protection API von ASP.NET. Allgemeine Best Practices für die Schlüsselverwaltung finden Sie im Spickzettel von OWASP.
Durch die sichere Speicherung Ihrer Daten beugen Sie kostspieligen und peinlichen Datenpannen vor. Im schlimmsten Fall, wenn ein Angreifer in der Lage ist, Ihre Daten zu stehlen, wird er es viel schwerer haben, sie zu sehen oder für einen schändlichen Zweck zu verwenden.
Verstecken Sie Ihre Daten in Plain Sight
Sehen wir uns kurz an, wie Sie Ihre Daten schützen können:
- Kategorisieren Sie Ihre Daten, damit Sie wissen, was geschützt werden muss
- Verwenden Sie starke, industrieerprobte Algorithmen für die Verschlüsselung sensibler Daten
- Speichern Sie Ihre Kennwörter mit starken Einweg-Hashes
Um das Thema weiter zu vertiefen, sehen Sie sich unsere Lernressourcen an. Wenn Sie bereit sind, loszulegen und zu üben, probieren Sie unsere Plattform in Ihrer bevorzugten Sprache aus. Wir decken eine Menge ab!
Mit diesen Tools können Sie verhindern, dass Ihre Daten gestohlen werden, und verhindern, dass Ihr Unternehmen Geld verliert und seinen Ruf beschädigt.
Sind Sie bereit, unsichere kryptografische Speicher zu finden und sofort zu reparieren? Gehen Sie in die Arena und testen Sie Ihre Fähigkeiten [hier starten]
Klicken Sie auf den folgenden Link, um die PDF-Datei dieser Ressource herunterzuladen.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenデモを予約
Jaap Karan Singhは、セキュア・コーディング・エバンジェリストであり、チーフ・シンであり、セキュア・コード・ウォリアーの共同創設者です。
Daten sind das Lebenselixier von Unternehmen. Es sind die grundlegenden Informationen, die zum Überleben, zum Geldverdienen und zur Bereitstellung von Dienstleistungen für ihre Kunden benötigt werden. In dieser zunehmend digital ausgerichteten Gesellschaft tragen Entwickler als Verwalter dieser wertvollen Informationen eine immense Verantwortung. Wenn Entwickler vertrauliche Daten nicht schützen, fällt das Unternehmen einer unsicheren kryptografischen Speicherung zum Opfer.
Lassen Sie uns einen Blick darauf werfen, wie man Daten sicher speichert und was passieren kann, wenn man es nicht tut.
Unsichere kryptografische Speicherung verstehen
Wenn sich Angreifer Zugang zu einem System verschaffen, sind sie in der Regel auf der Jagd nach Daten von Wert. Sie wissen schon - die Art von Daten, die verwendet werden können, um das Konto einer anderen Person zu übernehmen oder um einen weiteren Angriff durchzuführen. Manchmal wird diese Art von Daten einfach auf dem Schwarzmarkt für schnelles Geld verkauft.
Unsichere kryptografische Speicherung ist keine einzelne Schwachstelle wie SQL-Injection oder XSS. Sie ist eine Folge davon, dass Sie die Daten, die Sie schützen sollten, nicht so schützen, wie Sie es müssen.
Sensible Informationen müssen geschützt werden. Wenn Sie Passwörter und Kreditkarteninformationen im Klartext speichern, spielen Sie russisches Roulette mit Ihrem Unternehmen.
Wenn ein Hacker in Ihre Datenbank eindringt und Daten durch SQL-Injektion, XML-Injektion oder einen anderen Angriff stiehlt, hat er alles. Wenn Sie Ihre Daten jedoch verschlüsseln, haben sie es viel schwerer, sie wirklich zu nutzen.
Es ist wichtig zu beachten, dass Sicherheitsverletzungen nicht immer das Ergebnis eines böswilligen Außenstehenden sind. Auch ein böswilliger Insider kann Daten mit Leichtigkeit stehlen, wenn sie nicht verschlüsselt sind. Die Mitarbeiter Ihres Unternehmens müssen nicht alles in der Datenbank sehen, und unzureichende Zugriffskontrollen oder freiliegende sensible Daten können zu regelrechtem Diebstahl führen.
Denken Sie auch daran, dass nicht alle Verschlüsselungen gleich sind. Die Verwendung der falschen kryptografischen Algorithmen ist genauso gefährlich wie deren Nichtverwendung. Bekannte schwache Algorithmen bieten versierten Angreifern wenig Widerstand.
Warum unsichere kryptografische Speicherung gefährlich ist
Viele Unternehmen werden durch eine andere Schwachstelle (z. B. SQL-Injection)kompromittiert und sind am Ende nicht mehr in der Lage, die gestohlenen Daten zu verbergen. Dies macht eine schreckliche Situation noch schlimmer.
- Adult Friend Finder wurde angegriffen, wobei 412 Millionen Konten geleakt wurden. Die Passwörter für die Konten waren mit dem schwachen Hash-Algorithmus SHA-1 geschützt. Sie konnten von Angreifern innerhalb eines Monats leicht geknackt werden.
- Uber wurde angegriffen, wobei 57 Millionen Benutzerdaten und 600.000 Fahrerdaten verloren gingen. Persönliche Informationen gingen verloren. Dies geschah, weil das GitHub-Konto von Uber ein Repository enthielt, das den Benutzernamen und das Passwort des AWS-Kontos von Uber enthielt... keine gute Idee. Die Bewertung von Uber sank um 20 Milliarden Dollar, was größtenteils auf diesen Verstoß zurückzuführen ist.
- Das PlayStation Network von Sony wurde angegriffen, wobei 77 Millionen Konten geleakt wurden. 12 Millionen der Konten enthielten unverschlüsselte Kreditkarteninformationen. Sony hat später eine Sammelklage in Höhe von 15 Millionen Dollar wegen des Verstoßes beigelegt.
Es gibt eindeutig schwerwiegende Konsequenzen, wenn sensible Daten nicht ordnungsgemäß gespeichert werden.
Sony wurde verklagt, was eine erhebliche Strafe darstellt. Aber auch wenn Sie nicht verklagt werden, kann der Ruf- und Regulierungsschaden für ein Unternehmen katastrophal sein.
Unsichere kryptografische Speicherung besiegen
Wie können Entwickler verhindern, dass Datenverletzungen wie die oben genannten passieren?
Der erste Schritt besteht darin, zu identifizieren, welche Daten überhaupt verschlüsselt werden müssen. Schließlich sind nicht alle Daten gleich. Kategorisieren Sie Ihre Daten und verwenden Sie dann Verschlüsselung, wo es angebracht ist.
Im Allgemeinen müssen persönliche Informationen wie Sozialversicherungsnummern, Passwörter und Kreditkartendetails geschützt werden. Je nach Art Ihres Unternehmens müssen Sie möglicherweise auch Gesundheitsdaten oder andere Informationen schützen, die als privat gelten.
Sobald Sie wissen, welche Daten geschützt werden müssen, besteht der nächste Schritt darin, die richtigen Werkzeuge zu verwenden, um deren Sicherheit zu gewährleisten. Im Allgemeinen ist es gut, sich an kryptografische Algorithmen zu halten, die sich im Laufe der Zeit bewährt haben und als stark gelten.
Schreiben Sie auf keinen Fall Ihre eigenen kryptografischen Funktionen. Sie enthalten wahrscheinlich Fehler, die Angreifer nutzen können, um die Verschlüsselung zu knacken.
Um Daten wie Sozialversicherungsnummern oder Kreditkartendaten zu verschlüsseln, verwenden Sie AES. Es gibt verschiedene Betriebsmodi für AES, ein zum Zeitpunkt des Schreibens sehr empfohlener Modus ist der Galois/Counter-Modus (GCM). Ein weiterer Tipp ist, sicherzustellen, dass bei Bibliotheken, die Sie auffordern, eine Art von Padding zu wählen, kein Padding verwendet wird.
Verwenden Sie für Kennwörter einen Hash-Algorithmus, da Hashes nicht rückgängig gemacht werden können. Bei einem stark gehashten Wert kann ein Angreifer den ursprünglichen Text, mit dem der Wert erstellt wurde, nicht wiederherstellen. Argon2 und Bcrypt sindeine gute Wahl für das Hashing von Kennwörtern. Denken Sie daran, das Kennwort vor dem Hashing immer mit einem Zufallswert zu "salzen", damit keine zwei Hashes für dasselbe Kennwort gleich sind.
Diese Funktionen haben Implementierungen für alle wichtigen Programmiersprachen/Frameworks. Schauen Sie in der Dokumentation Ihrer spezifischen Sprache oder Ihres Frameworks nach, um zu erfahren, wie Sie sie effektiv nutzen können.
Schlüsselerzeugung, -speicherung und -verwaltung sind wichtige Komponenten der Kryptografie. Schlecht verwaltete Schlüssel können offengelegt und zur Entschlüsselung Ihrer Daten verwendet werden. Einige Frameworks helfen bei der Schlüsselverwaltung, z. B. die Data Protection API von ASP.NET. Allgemeine Best Practices für die Schlüsselverwaltung finden Sie im Spickzettel von OWASP.
Durch die sichere Speicherung Ihrer Daten beugen Sie kostspieligen und peinlichen Datenpannen vor. Im schlimmsten Fall, wenn ein Angreifer in der Lage ist, Ihre Daten zu stehlen, wird er es viel schwerer haben, sie zu sehen oder für einen schändlichen Zweck zu verwenden.
Verstecken Sie Ihre Daten in Plain Sight
Sehen wir uns kurz an, wie Sie Ihre Daten schützen können:
- Kategorisieren Sie Ihre Daten, damit Sie wissen, was geschützt werden muss
- Verwenden Sie starke, industrieerprobte Algorithmen für die Verschlüsselung sensibler Daten
- Speichern Sie Ihre Kennwörter mit starken Einweg-Hashes
Um das Thema weiter zu vertiefen, sehen Sie sich unsere Lernressourcen an. Wenn Sie bereit sind, loszulegen und zu üben, probieren Sie unsere Plattform in Ihrer bevorzugten Sprache aus. Wir decken eine Menge ab!
Mit diesen Tools können Sie verhindern, dass Ihre Daten gestohlen werden, und verhindern, dass Ihr Unternehmen Geld verliert und seinen Ruf beschädigt.
Sind Sie bereit, unsichere kryptografische Speicher zu finden und sofort zu reparieren? Gehen Sie in die Arena und testen Sie Ihre Fähigkeiten [hier starten]
目次
Jaap Karan Singhは、セキュア・コーディング・エバンジェリストであり、チーフ・シンであり、セキュア・コード・ウォリアーの共同創設者です。
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約[ダウンロード]Ressourcen für den Einstieg
Themen und Inhalte der Secure-Code-Schulung
Unsere branchenführenden Inhalte werden unter Berücksichtigung der Aufgaben unserer Kunden ständig weiterentwickelt, um mit der sich ständig verändernden Softwareentwicklungsumgebung Schritt zu halten. Sie decken alle Themen von KI bis hin zu XQuery-Injection ab und sind für verschiedene Aufgabenbereiche konzipiert, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätssicherungsfachleuten. Werfen Sie einen Blick auf die Inhalte unseres Content-Katalogs, sortiert nach Themen und Aufgabenbereichen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
「Cybermon 2025 Beat the Boss」 kann nun das ganze Jahr über bei SCW gespielt werden. Führen Sie anspruchsvolle AI/LLM-Sicherheitsherausforderungen ein, um die sichere AI-Entwicklung in großem Maßstab zu stärken.
Erläuterung des Cyber-Resilience-Gesetzes: Bedeutung für die Entwicklung sicherer Software
Erfahren Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams auf Secure-by-Design-Praktiken, Schwachstellenprävention und die Kompetenzentwicklung von Entwicklern vorbereiten können.
Enabler 1: Definierte und messbare Erfolgskriterien
Enabler 1 ist der erste Teil der zehnteiligen Reihe „Enablers of Success“ und zeigt, wie sichere Programmierung mit geschäftlichen Ergebnissen wie Risikominderung und Geschwindigkeit verknüpft werden kann, um Programme langfristig zu optimieren.
