Warum es notwendig ist, neugierige Sicherheitsbewusstsein zu unterstützen, anstatt sie zu bestrafen
Der aktuelle Bericht des jugendlichen Sicherheitsforschers Bill Demilcapi über die Aufdeckung schwerwiegender Sicherheitslücken in einer in Schulen verwendeten Software hat bei mir Erinnerungen wachgerufen. Ich erinnere mich, dass ich als neugieriges Kind die Motorhaube der Software angehoben und darunter geschaut habe, um zu sehen, wie alles funktioniert und, was noch wichtiger ist, ob ich es kaputt machen konnte.Seit Jahrzehnten streben Softwareentwickler nach kontinuierlicher Verbesserung und Optimierung ihrer Produkte. Die Sicherheitscommunity (mit ihrem etwas frechen Ansatz) spielt eine wichtige Rolle dabei, Fehler und potenzielle Katastrophen aufzudecken, möglichst bevor Bösewichte dasselbe tun.
Das Problem hierbei ist jedoch, dass er aufgrund seiner Entdeckung eine geringfügige Suspendierung erhielt. Und das geschah erst, nachdem er alle Möglichkeiten ausgeschöpft hatte, um das Unternehmen zu kontaktieren (Follett Corporation). Persönlich entschied ich mich für eine ziemlich öffentliche Vorgehensweise, um letztendlich meine eigenen Fähigkeiten und die Schwachstellen des Systems zu identifizieren. Ich habe wiederholt versucht, Follett Corporation ethisch zu warnen, aber es gab keine Antwort.Die Software war jedoch weiterhin anfällig, und da große Mengen an Studentendaten nicht verschlüsselt waren, konnten diese sehr leicht veröffentlicht werden.
また、別の会社のソフトウェアであるBlackboardのバグも探しました。Blackboardのデータは少なくとも暗号化されていましたが、潜在的な攻撃者が何百万件ものレコードにアクセスして盗み取った可能性があります。このソフトウェアとフォレットの製品はどちらも彼の学校で使われていました。
Die Geschichte vom „bösen Hacker“ ist problematisch.
Demilcapi hat die Ergebnisse seiner diesjährigen Untersuchung veröffentlicht. Defcoin, dessen schelmische Details in seiner albernen Haltung vom Publikum mit tosendem Applaus bedacht werden.Das ist genau richtig. Die Folet Corporation befand sich zunächst in einer schwierigen Lage und musste viele Hürden überwinden, bevor ihre Entdeckung anerkannt wurde. Es wird berichtet, dass sie seine Bemühungen würdigte, seinen Ratschlägen folgte und schließlich die Sicherheit der Software verbesserte, wodurch die Gefahr einer weiteren Datenpanne abgewendet werden konnte. Nach seinem Highschool-Abschluss wird er auch die Rochester Institute of Technology besuchen, sodass er eindeutig auf dem richtigen Weg ist, um ein gefragter Sicherheitsspezialist zu werden.
Als Sicherheitsbeauftragter fällt es mir schwer, keine Einwände gegen die Art und Weise zu erheben, wie diese Situation gehandhabt wurde. In diesem Fall ist zwar alles gut ausgegangen, aber anfangs wurde er wie ein lästiger kleiner Störenfried behandelt, der seine Nase in Dinge steckte, die ihn eigentlich nichts angingen.Wenn man bei Google nach diesem Vorfall sucht, findet man Artikel, in denen er als „Hacker” bezeichnet wird (aus Sicht eines Sicherheitslaien wird er damit in vielerlei Hinsicht als Bösewicht dargestellt). Tatsächlich trägt sein Ansatz (und viele andere Ansätze) dazu bei, Daten zu schützen.
Wir brauchen neugierige, kluge und sicherheitsbewusste Menschen, die einen Blick hinter die Kulissen werfen. Und das muss häufiger geschehen. Bis Juli dieses Jahres wurden allein in diesem Jahr mehr als 4 Milliarden Datensätze Opfer böswilliger Datenlecks. Durch den Datenverlust der Mode- und Lifestyle-Marke im August könnten weitere 50 Millionen Datensätze hinzukommen. Poshmark.
Wir machen dieselben Fehler, aber was noch besorgniserregender ist, ist, dass es sich in vielen Fällen um einfache Schwachstellen handelt, die uns die Stirn runzeln lassen und über die wir immer wieder stolpern.
Cross-Site-Scripting und SQL-Injection konnten nicht verhindert werden.
Wie berichtet,hat Demilkapí festgestellt, dass die Software für die Community-Einbindung von Blackboards und das Studenteninformationssystem von Folletts allgemeine Sicherheitslücken wie Cross-Site-Scripting (XSS) und SQL-Injection enthalten. Beide sind seit den 1990er Jahren in den Augen von Sicherheitsspezialisten bekannt. Wir haben ihre Existenz jahrelang ertragen. Eigentlich sollten sie längst der Vergangenheit angehören, so wie Hypercolor-T-Shirts und Disketten.
Das ist jedoch nicht der Fall. Außerdem mangelt es offensichtlich an Entwicklern, die ein ausreichendes Sicherheitsbewusstsein zeigen, um die Einführung in den Code zu stoppen. Die Möglichkeiten von Scan-Tools und manuellen Code-Reviews sind begrenzt, und es gibt Sicherheitsprobleme, die weitaus komplexer sind als XSS oder SQL-Injection. In solchen Fällen können diese kostspieligen und zeitaufwändigen Maßnahmen effektiver eingesetzt werden.
Menschen wie Bill Demirkapi sollten Entwickler dazu inspirieren, Code auf einem höheren Niveau zu erstellen. Mit nur 17 Jahren gelang es ihm, in zwei stark frequentierte Systeme einzudringen, indem er Schwachstellen ausnutzte, die vor der Veröffentlichung des Codes hätten entdeckt und behoben werden müssen.
Gamification: Was ist der Schlüssel zum Engagement?
Ich habe viel darüber geschrieben, warum Entwickler sich kaum mit Sicherheit befassen. Einfach gesagt liegt es daran, dass weder auf organisatorischer noch auf Bildungsebene viel unternommen wird, um Entwickler mit einem hohen Sicherheitsbewusstsein auszubilden. Wenn Unternehmen eine Sicherheitskultur aufbauen, in der Engagement belohnt und gewürdigt wird, und wenn sie Schulungen anbieten, die Entwickler motivieren, sich zu engagieren und Herausforderungen anzunehmen, dann werden diese lästigen Sicherheitslücken allmählich aus der von uns verwendeten Software verschwinden.
Demirkapi hat offensichtlich ein außergewöhnliches Interesse an Sicherheit und hat sich im Laufe der Zeit Methoden zum Reverse Engineering von Malware, zum Aufspüren von Schwachstellen und zum Knacken von Systemen angeeignet, die von außen betrachtet unangreifbar erscheinen. Als ich jedoch mit ihm sprach (und durch die DEF CON-Präsentation), machte er eine interessante Bemerkung über das Selbststudium ... Er hat es zu einem Spiel gemacht:
„Mein Ziel war es, etwas in der Software der Schule zu finden, daher hat es mir Spaß gemacht, mir selbst eine ganze Menge Penetrationstests beizubringen, fast wie in einem Spiel. Ich begann mit der Forschung, weil ich mehr wissen wollte, aber letztendlich stellte sich heraus, dass die Lage viel schlimmer war, als ich erwartet hatte“, sagt er.
Nicht alle Entwickler möchten sich auf Sicherheit spezialisieren, aber allen Entwicklern muss die Möglichkeit gegeben werden, ein Bewusstsein für Sicherheit zu entwickeln. Die Grundlage dafür ist innerhalb einer Organisation, insbesondere einer Organisation, die große Mengen vertraulicher Daten verwaltet, fast wie eine „Code-Lizenz“. Wenn die einfachsten Sicherheitslücken von allen Entwicklern behoben werden können, bevor sie entstehen, kann man sich in einer weitaus sichereren Position gegenüber Entwicklern befinden, die Chaos verursachen wollen.
Sind Sie an Gamification-Training interessiert? Schauen Sie sich die „Coders Conquer Security Conquer Series“ an. XSS そして SQL-Injection.
Der Sicherheitsforscher Bill Demilkap, der noch im Teenageralter ist, hat durch die Aufdeckung schwerwiegender Sicherheitslücken in der an Schulen verwendeten Software sicherlich einige Erinnerungen wieder wachgerufen. Ich erinnere mich, dass ich als neugieriges Kind die Motorhaube der Software hochgehoben habe, um einen Blick ins Innere zu werfen und zu sehen, wie alles funktioniert und ob ich es kaputt machen könnte.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Der aktuelle Bericht des jugendlichen Sicherheitsforschers Bill Demilcapi über die Aufdeckung schwerwiegender Sicherheitslücken in einer in Schulen verwendeten Software hat bei mir Erinnerungen wachgerufen. Ich erinnere mich, dass ich als neugieriges Kind die Motorhaube der Software angehoben und darunter geschaut habe, um zu sehen, wie alles funktioniert und, was noch wichtiger ist, ob ich es kaputt machen konnte.Seit Jahrzehnten streben Softwareentwickler nach kontinuierlicher Verbesserung und Optimierung ihrer Produkte. Die Sicherheitscommunity (mit ihrem etwas frechen Ansatz) spielt eine wichtige Rolle dabei, Fehler und potenzielle Katastrophen aufzudecken, möglichst bevor Bösewichte dasselbe tun.
Das Problem hierbei ist jedoch, dass er aufgrund seiner Entdeckung eine geringfügige Suspendierung erhielt. Und das geschah erst, nachdem er alle Möglichkeiten ausgeschöpft hatte, um das Unternehmen zu kontaktieren (Follett Corporation). Persönlich entschied ich mich für eine ziemlich öffentliche Vorgehensweise, um letztendlich meine eigenen Fähigkeiten und die Schwachstellen des Systems zu identifizieren. Ich habe wiederholt versucht, Follett Corporation ethisch zu warnen, aber es gab keine Antwort.Die Software war jedoch weiterhin anfällig, und da große Mengen an Studentendaten nicht verschlüsselt waren, konnten diese sehr leicht veröffentlicht werden.
また、別の会社のソフトウェアであるBlackboardのバグも探しました。Blackboardのデータは少なくとも暗号化されていましたが、潜在的な攻撃者が何百万件ものレコードにアクセスして盗み取った可能性があります。このソフトウェアとフォレットの製品はどちらも彼の学校で使われていました。
Die Geschichte vom „bösen Hacker“ ist problematisch.
Demilcapi hat die Ergebnisse seiner diesjährigen Untersuchung veröffentlicht. Defcoin, dessen schelmische Details in seiner albernen Haltung vom Publikum mit tosendem Applaus bedacht werden.Das ist genau richtig. Die Folet Corporation befand sich zunächst in einer schwierigen Lage und musste viele Hürden überwinden, bevor ihre Entdeckung anerkannt wurde. Es wird berichtet, dass sie seine Bemühungen würdigte, seinen Ratschlägen folgte und schließlich die Sicherheit der Software verbesserte, wodurch die Gefahr einer weiteren Datenpanne abgewendet werden konnte. Nach seinem Highschool-Abschluss wird er auch die Rochester Institute of Technology besuchen, sodass er eindeutig auf dem richtigen Weg ist, um ein gefragter Sicherheitsspezialist zu werden.
Als Sicherheitsbeauftragter fällt es mir schwer, keine Einwände gegen die Art und Weise zu erheben, wie diese Situation gehandhabt wurde. In diesem Fall ist zwar alles gut ausgegangen, aber anfangs wurde er wie ein lästiger kleiner Störenfried behandelt, der seine Nase in Dinge steckte, die ihn eigentlich nichts angingen.Wenn man bei Google nach diesem Vorfall sucht, findet man Artikel, in denen er als „Hacker” bezeichnet wird (aus Sicht eines Sicherheitslaien wird er damit in vielerlei Hinsicht als Bösewicht dargestellt). Tatsächlich trägt sein Ansatz (und viele andere Ansätze) dazu bei, Daten zu schützen.
Wir brauchen neugierige, kluge und sicherheitsbewusste Menschen, die einen Blick hinter die Kulissen werfen. Und das muss häufiger geschehen. Bis Juli dieses Jahres wurden allein in diesem Jahr mehr als 4 Milliarden Datensätze Opfer böswilliger Datenlecks. Durch den Datenverlust der Mode- und Lifestyle-Marke im August könnten weitere 50 Millionen Datensätze hinzukommen. Poshmark.
Wir machen dieselben Fehler, aber was noch besorgniserregender ist, ist, dass es sich in vielen Fällen um einfache Schwachstellen handelt, die uns die Stirn runzeln lassen und über die wir immer wieder stolpern.
Cross-Site-Scripting und SQL-Injection konnten nicht verhindert werden.
Wie berichtet,hat Demilkapí festgestellt, dass die Software für die Community-Einbindung von Blackboards und das Studenteninformationssystem von Folletts allgemeine Sicherheitslücken wie Cross-Site-Scripting (XSS) und SQL-Injection enthalten. Beide sind seit den 1990er Jahren in den Augen von Sicherheitsspezialisten bekannt. Wir haben ihre Existenz jahrelang ertragen. Eigentlich sollten sie längst der Vergangenheit angehören, so wie Hypercolor-T-Shirts und Disketten.
Das ist jedoch nicht der Fall. Außerdem mangelt es offensichtlich an Entwicklern, die ein ausreichendes Sicherheitsbewusstsein zeigen, um die Einführung in den Code zu stoppen. Die Möglichkeiten von Scan-Tools und manuellen Code-Reviews sind begrenzt, und es gibt Sicherheitsprobleme, die weitaus komplexer sind als XSS oder SQL-Injection. In solchen Fällen können diese kostspieligen und zeitaufwändigen Maßnahmen effektiver eingesetzt werden.
Menschen wie Bill Demirkapi sollten Entwickler dazu inspirieren, Code auf einem höheren Niveau zu erstellen. Mit nur 17 Jahren gelang es ihm, in zwei stark frequentierte Systeme einzudringen, indem er Schwachstellen ausnutzte, die vor der Veröffentlichung des Codes hätten entdeckt und behoben werden müssen.
Gamification: Was ist der Schlüssel zum Engagement?
Ich habe viel darüber geschrieben, warum Entwickler sich kaum mit Sicherheit befassen. Einfach gesagt liegt es daran, dass weder auf organisatorischer noch auf Bildungsebene viel unternommen wird, um Entwickler mit einem hohen Sicherheitsbewusstsein auszubilden. Wenn Unternehmen eine Sicherheitskultur aufbauen, in der Engagement belohnt und gewürdigt wird, und wenn sie Schulungen anbieten, die Entwickler motivieren, sich zu engagieren und Herausforderungen anzunehmen, dann werden diese lästigen Sicherheitslücken allmählich aus der von uns verwendeten Software verschwinden.
Demirkapi hat offensichtlich ein außergewöhnliches Interesse an Sicherheit und hat sich im Laufe der Zeit Methoden zum Reverse Engineering von Malware, zum Aufspüren von Schwachstellen und zum Knacken von Systemen angeeignet, die von außen betrachtet unangreifbar erscheinen. Als ich jedoch mit ihm sprach (und durch die DEF CON-Präsentation), machte er eine interessante Bemerkung über das Selbststudium ... Er hat es zu einem Spiel gemacht:
„Mein Ziel war es, etwas in der Software der Schule zu finden, daher hat es mir Spaß gemacht, mir selbst eine ganze Menge Penetrationstests beizubringen, fast wie in einem Spiel. Ich begann mit der Forschung, weil ich mehr wissen wollte, aber letztendlich stellte sich heraus, dass die Lage viel schlimmer war, als ich erwartet hatte“, sagt er.
Nicht alle Entwickler möchten sich auf Sicherheit spezialisieren, aber allen Entwicklern muss die Möglichkeit gegeben werden, ein Bewusstsein für Sicherheit zu entwickeln. Die Grundlage dafür ist innerhalb einer Organisation, insbesondere einer Organisation, die große Mengen vertraulicher Daten verwaltet, fast wie eine „Code-Lizenz“. Wenn die einfachsten Sicherheitslücken von allen Entwicklern behoben werden können, bevor sie entstehen, kann man sich in einer weitaus sichereren Position gegenüber Entwicklern befinden, die Chaos verursachen wollen.
Sind Sie an Gamification-Training interessiert? Schauen Sie sich die „Coders Conquer Security Conquer Series“ an. XSS そして SQL-Injection.
Der aktuelle Bericht des jugendlichen Sicherheitsforschers Bill Demilcapi über die Aufdeckung schwerwiegender Sicherheitslücken in einer in Schulen verwendeten Software hat bei mir Erinnerungen wachgerufen. Ich erinnere mich, dass ich als neugieriges Kind die Motorhaube der Software angehoben und darunter geschaut habe, um zu sehen, wie alles funktioniert und, was noch wichtiger ist, ob ich es kaputt machen konnte.Seit Jahrzehnten streben Softwareentwickler nach kontinuierlicher Verbesserung und Optimierung ihrer Produkte. Die Sicherheitscommunity (mit ihrem etwas frechen Ansatz) spielt eine wichtige Rolle dabei, Fehler und potenzielle Katastrophen aufzudecken, möglichst bevor Bösewichte dasselbe tun.
Das Problem hierbei ist jedoch, dass er aufgrund seiner Entdeckung eine geringfügige Suspendierung erhielt. Und das geschah erst, nachdem er alle Möglichkeiten ausgeschöpft hatte, um das Unternehmen zu kontaktieren (Follett Corporation). Persönlich entschied ich mich für eine ziemlich öffentliche Vorgehensweise, um letztendlich meine eigenen Fähigkeiten und die Schwachstellen des Systems zu identifizieren. Ich habe wiederholt versucht, Follett Corporation ethisch zu warnen, aber es gab keine Antwort.Die Software war jedoch weiterhin anfällig, und da große Mengen an Studentendaten nicht verschlüsselt waren, konnten diese sehr leicht veröffentlicht werden.
また、別の会社のソフトウェアであるBlackboardのバグも探しました。Blackboardのデータは少なくとも暗号化されていましたが、潜在的な攻撃者が何百万件ものレコードにアクセスして盗み取った可能性があります。このソフトウェアとフォレットの製品はどちらも彼の学校で使われていました。
Die Geschichte vom „bösen Hacker“ ist problematisch.
Demilcapi hat die Ergebnisse seiner diesjährigen Untersuchung veröffentlicht. Defcoin, dessen schelmische Details in seiner albernen Haltung vom Publikum mit tosendem Applaus bedacht werden.Das ist genau richtig. Die Folet Corporation befand sich zunächst in einer schwierigen Lage und musste viele Hürden überwinden, bevor ihre Entdeckung anerkannt wurde. Es wird berichtet, dass sie seine Bemühungen würdigte, seinen Ratschlägen folgte und schließlich die Sicherheit der Software verbesserte, wodurch die Gefahr einer weiteren Datenpanne abgewendet werden konnte. Nach seinem Highschool-Abschluss wird er auch die Rochester Institute of Technology besuchen, sodass er eindeutig auf dem richtigen Weg ist, um ein gefragter Sicherheitsspezialist zu werden.
Als Sicherheitsbeauftragter fällt es mir schwer, keine Einwände gegen die Art und Weise zu erheben, wie diese Situation gehandhabt wurde. In diesem Fall ist zwar alles gut ausgegangen, aber anfangs wurde er wie ein lästiger kleiner Störenfried behandelt, der seine Nase in Dinge steckte, die ihn eigentlich nichts angingen.Wenn man bei Google nach diesem Vorfall sucht, findet man Artikel, in denen er als „Hacker” bezeichnet wird (aus Sicht eines Sicherheitslaien wird er damit in vielerlei Hinsicht als Bösewicht dargestellt). Tatsächlich trägt sein Ansatz (und viele andere Ansätze) dazu bei, Daten zu schützen.
Wir brauchen neugierige, kluge und sicherheitsbewusste Menschen, die einen Blick hinter die Kulissen werfen. Und das muss häufiger geschehen. Bis Juli dieses Jahres wurden allein in diesem Jahr mehr als 4 Milliarden Datensätze Opfer böswilliger Datenlecks. Durch den Datenverlust der Mode- und Lifestyle-Marke im August könnten weitere 50 Millionen Datensätze hinzukommen. Poshmark.
Wir machen dieselben Fehler, aber was noch besorgniserregender ist, ist, dass es sich in vielen Fällen um einfache Schwachstellen handelt, die uns die Stirn runzeln lassen und über die wir immer wieder stolpern.
Cross-Site-Scripting und SQL-Injection konnten nicht verhindert werden.
Wie berichtet,hat Demilkapí festgestellt, dass die Software für die Community-Einbindung von Blackboards und das Studenteninformationssystem von Folletts allgemeine Sicherheitslücken wie Cross-Site-Scripting (XSS) und SQL-Injection enthalten. Beide sind seit den 1990er Jahren in den Augen von Sicherheitsspezialisten bekannt. Wir haben ihre Existenz jahrelang ertragen. Eigentlich sollten sie längst der Vergangenheit angehören, so wie Hypercolor-T-Shirts und Disketten.
Das ist jedoch nicht der Fall. Außerdem mangelt es offensichtlich an Entwicklern, die ein ausreichendes Sicherheitsbewusstsein zeigen, um die Einführung in den Code zu stoppen. Die Möglichkeiten von Scan-Tools und manuellen Code-Reviews sind begrenzt, und es gibt Sicherheitsprobleme, die weitaus komplexer sind als XSS oder SQL-Injection. In solchen Fällen können diese kostspieligen und zeitaufwändigen Maßnahmen effektiver eingesetzt werden.
Menschen wie Bill Demirkapi sollten Entwickler dazu inspirieren, Code auf einem höheren Niveau zu erstellen. Mit nur 17 Jahren gelang es ihm, in zwei stark frequentierte Systeme einzudringen, indem er Schwachstellen ausnutzte, die vor der Veröffentlichung des Codes hätten entdeckt und behoben werden müssen.
Gamification: Was ist der Schlüssel zum Engagement?
Ich habe viel darüber geschrieben, warum Entwickler sich kaum mit Sicherheit befassen. Einfach gesagt liegt es daran, dass weder auf organisatorischer noch auf Bildungsebene viel unternommen wird, um Entwickler mit einem hohen Sicherheitsbewusstsein auszubilden. Wenn Unternehmen eine Sicherheitskultur aufbauen, in der Engagement belohnt und gewürdigt wird, und wenn sie Schulungen anbieten, die Entwickler motivieren, sich zu engagieren und Herausforderungen anzunehmen, dann werden diese lästigen Sicherheitslücken allmählich aus der von uns verwendeten Software verschwinden.
Demirkapi hat offensichtlich ein außergewöhnliches Interesse an Sicherheit und hat sich im Laufe der Zeit Methoden zum Reverse Engineering von Malware, zum Aufspüren von Schwachstellen und zum Knacken von Systemen angeeignet, die von außen betrachtet unangreifbar erscheinen. Als ich jedoch mit ihm sprach (und durch die DEF CON-Präsentation), machte er eine interessante Bemerkung über das Selbststudium ... Er hat es zu einem Spiel gemacht:
„Mein Ziel war es, etwas in der Software der Schule zu finden, daher hat es mir Spaß gemacht, mir selbst eine ganze Menge Penetrationstests beizubringen, fast wie in einem Spiel. Ich begann mit der Forschung, weil ich mehr wissen wollte, aber letztendlich stellte sich heraus, dass die Lage viel schlimmer war, als ich erwartet hatte“, sagt er.
Nicht alle Entwickler möchten sich auf Sicherheit spezialisieren, aber allen Entwicklern muss die Möglichkeit gegeben werden, ein Bewusstsein für Sicherheit zu entwickeln. Die Grundlage dafür ist innerhalb einer Organisation, insbesondere einer Organisation, die große Mengen vertraulicher Daten verwaltet, fast wie eine „Code-Lizenz“. Wenn die einfachsten Sicherheitslücken von allen Entwicklern behoben werden können, bevor sie entstehen, kann man sich in einer weitaus sichereren Position gegenüber Entwicklern befinden, die Chaos verursachen wollen.
Sind Sie an Gamification-Training interessiert? Schauen Sie sich die „Coders Conquer Security Conquer Series“ an. XSS そして SQL-Injection.
Klicken Sie auf den folgenden Link, um die PDF-Datei dieser Ressource herunterzuladen.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenデモを予約
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Der aktuelle Bericht des jugendlichen Sicherheitsforschers Bill Demilcapi über die Aufdeckung schwerwiegender Sicherheitslücken in einer in Schulen verwendeten Software hat bei mir Erinnerungen wachgerufen. Ich erinnere mich, dass ich als neugieriges Kind die Motorhaube der Software angehoben und darunter geschaut habe, um zu sehen, wie alles funktioniert und, was noch wichtiger ist, ob ich es kaputt machen konnte.Seit Jahrzehnten streben Softwareentwickler nach kontinuierlicher Verbesserung und Optimierung ihrer Produkte. Die Sicherheitscommunity (mit ihrem etwas frechen Ansatz) spielt eine wichtige Rolle dabei, Fehler und potenzielle Katastrophen aufzudecken, möglichst bevor Bösewichte dasselbe tun.
Das Problem hierbei ist jedoch, dass er aufgrund seiner Entdeckung eine geringfügige Suspendierung erhielt. Und das geschah erst, nachdem er alle Möglichkeiten ausgeschöpft hatte, um das Unternehmen zu kontaktieren (Follett Corporation). Persönlich entschied ich mich für eine ziemlich öffentliche Vorgehensweise, um letztendlich meine eigenen Fähigkeiten und die Schwachstellen des Systems zu identifizieren. Ich habe wiederholt versucht, Follett Corporation ethisch zu warnen, aber es gab keine Antwort.Die Software war jedoch weiterhin anfällig, und da große Mengen an Studentendaten nicht verschlüsselt waren, konnten diese sehr leicht veröffentlicht werden.
また、別の会社のソフトウェアであるBlackboardのバグも探しました。Blackboardのデータは少なくとも暗号化されていましたが、潜在的な攻撃者が何百万件ものレコードにアクセスして盗み取った可能性があります。このソフトウェアとフォレットの製品はどちらも彼の学校で使われていました。
Die Geschichte vom „bösen Hacker“ ist problematisch.
Demilcapi hat die Ergebnisse seiner diesjährigen Untersuchung veröffentlicht. Defcoin, dessen schelmische Details in seiner albernen Haltung vom Publikum mit tosendem Applaus bedacht werden.Das ist genau richtig. Die Folet Corporation befand sich zunächst in einer schwierigen Lage und musste viele Hürden überwinden, bevor ihre Entdeckung anerkannt wurde. Es wird berichtet, dass sie seine Bemühungen würdigte, seinen Ratschlägen folgte und schließlich die Sicherheit der Software verbesserte, wodurch die Gefahr einer weiteren Datenpanne abgewendet werden konnte. Nach seinem Highschool-Abschluss wird er auch die Rochester Institute of Technology besuchen, sodass er eindeutig auf dem richtigen Weg ist, um ein gefragter Sicherheitsspezialist zu werden.
Als Sicherheitsbeauftragter fällt es mir schwer, keine Einwände gegen die Art und Weise zu erheben, wie diese Situation gehandhabt wurde. In diesem Fall ist zwar alles gut ausgegangen, aber anfangs wurde er wie ein lästiger kleiner Störenfried behandelt, der seine Nase in Dinge steckte, die ihn eigentlich nichts angingen.Wenn man bei Google nach diesem Vorfall sucht, findet man Artikel, in denen er als „Hacker” bezeichnet wird (aus Sicht eines Sicherheitslaien wird er damit in vielerlei Hinsicht als Bösewicht dargestellt). Tatsächlich trägt sein Ansatz (und viele andere Ansätze) dazu bei, Daten zu schützen.
Wir brauchen neugierige, kluge und sicherheitsbewusste Menschen, die einen Blick hinter die Kulissen werfen. Und das muss häufiger geschehen. Bis Juli dieses Jahres wurden allein in diesem Jahr mehr als 4 Milliarden Datensätze Opfer böswilliger Datenlecks. Durch den Datenverlust der Mode- und Lifestyle-Marke im August könnten weitere 50 Millionen Datensätze hinzukommen. Poshmark.
Wir machen dieselben Fehler, aber was noch besorgniserregender ist, ist, dass es sich in vielen Fällen um einfache Schwachstellen handelt, die uns die Stirn runzeln lassen und über die wir immer wieder stolpern.
Cross-Site-Scripting und SQL-Injection konnten nicht verhindert werden.
Wie berichtet,hat Demilkapí festgestellt, dass die Software für die Community-Einbindung von Blackboards und das Studenteninformationssystem von Folletts allgemeine Sicherheitslücken wie Cross-Site-Scripting (XSS) und SQL-Injection enthalten. Beide sind seit den 1990er Jahren in den Augen von Sicherheitsspezialisten bekannt. Wir haben ihre Existenz jahrelang ertragen. Eigentlich sollten sie längst der Vergangenheit angehören, so wie Hypercolor-T-Shirts und Disketten.
Das ist jedoch nicht der Fall. Außerdem mangelt es offensichtlich an Entwicklern, die ein ausreichendes Sicherheitsbewusstsein zeigen, um die Einführung in den Code zu stoppen. Die Möglichkeiten von Scan-Tools und manuellen Code-Reviews sind begrenzt, und es gibt Sicherheitsprobleme, die weitaus komplexer sind als XSS oder SQL-Injection. In solchen Fällen können diese kostspieligen und zeitaufwändigen Maßnahmen effektiver eingesetzt werden.
Menschen wie Bill Demirkapi sollten Entwickler dazu inspirieren, Code auf einem höheren Niveau zu erstellen. Mit nur 17 Jahren gelang es ihm, in zwei stark frequentierte Systeme einzudringen, indem er Schwachstellen ausnutzte, die vor der Veröffentlichung des Codes hätten entdeckt und behoben werden müssen.
Gamification: Was ist der Schlüssel zum Engagement?
Ich habe viel darüber geschrieben, warum Entwickler sich kaum mit Sicherheit befassen. Einfach gesagt liegt es daran, dass weder auf organisatorischer noch auf Bildungsebene viel unternommen wird, um Entwickler mit einem hohen Sicherheitsbewusstsein auszubilden. Wenn Unternehmen eine Sicherheitskultur aufbauen, in der Engagement belohnt und gewürdigt wird, und wenn sie Schulungen anbieten, die Entwickler motivieren, sich zu engagieren und Herausforderungen anzunehmen, dann werden diese lästigen Sicherheitslücken allmählich aus der von uns verwendeten Software verschwinden.
Demirkapi hat offensichtlich ein außergewöhnliches Interesse an Sicherheit und hat sich im Laufe der Zeit Methoden zum Reverse Engineering von Malware, zum Aufspüren von Schwachstellen und zum Knacken von Systemen angeeignet, die von außen betrachtet unangreifbar erscheinen. Als ich jedoch mit ihm sprach (und durch die DEF CON-Präsentation), machte er eine interessante Bemerkung über das Selbststudium ... Er hat es zu einem Spiel gemacht:
„Mein Ziel war es, etwas in der Software der Schule zu finden, daher hat es mir Spaß gemacht, mir selbst eine ganze Menge Penetrationstests beizubringen, fast wie in einem Spiel. Ich begann mit der Forschung, weil ich mehr wissen wollte, aber letztendlich stellte sich heraus, dass die Lage viel schlimmer war, als ich erwartet hatte“, sagt er.
Nicht alle Entwickler möchten sich auf Sicherheit spezialisieren, aber allen Entwicklern muss die Möglichkeit gegeben werden, ein Bewusstsein für Sicherheit zu entwickeln. Die Grundlage dafür ist innerhalb einer Organisation, insbesondere einer Organisation, die große Mengen vertraulicher Daten verwaltet, fast wie eine „Code-Lizenz“. Wenn die einfachsten Sicherheitslücken von allen Entwicklern behoben werden können, bevor sie entstehen, kann man sich in einer weitaus sichereren Position gegenüber Entwicklern befinden, die Chaos verursachen wollen.
Sind Sie an Gamification-Training interessiert? Schauen Sie sich die „Coders Conquer Security Conquer Series“ an. XSS そして SQL-Injection.
目次
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約[ダウンロード]Ressourcen für den Einstieg
Themen und Inhalte der Secure-Code-Schulung
Unsere branchenführenden Inhalte werden unter Berücksichtigung der Aufgaben unserer Kunden ständig weiterentwickelt, um mit der sich ständig verändernden Softwareentwicklungsumgebung Schritt zu halten. Sie decken alle Themen von KI bis hin zu XQuery-Injection ab und sind für verschiedene Aufgabenbereiche konzipiert, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätssicherungsfachleuten. Werfen Sie einen Blick auf die Inhalte unseres Content-Katalogs, sortiert nach Themen und Aufgabenbereichen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
「Cybermon 2025 Beat the Boss」 kann nun das ganze Jahr über bei SCW gespielt werden. Führen Sie anspruchsvolle AI/LLM-Sicherheitsherausforderungen ein, um die sichere AI-Entwicklung in großem Maßstab zu stärken.
Erläuterung des Cyber-Resilience-Gesetzes: Bedeutung für die Entwicklung sicherer Software
Erfahren Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams auf Secure-by-Design-Praktiken, Schwachstellenprävention und die Kompetenzentwicklung von Entwicklern vorbereiten können.
Enabler 1: Definierte und messbare Erfolgskriterien
Enabler 1 ist der erste Teil der zehnteiligen Reihe „Enablers of Success“ und zeigt, wie sichere Programmierung mit geschäftlichen Ergebnissen wie Risikominderung und Geschwindigkeit verknüpft werden kann, um Programme langfristig zu optimieren.
