Warum wir neugierige Sicherheitsmitarbeiter unterstützen statt bestrafen sollten
Der jüngste Bericht des Jugend-Sicherheitsforschers Bill Demirkapi, der eine schwerwiegende Sicherheitslücke in der an seiner Schule verwendeten Software aufdeckte, weckte sicherlich einige Erinnerungen. Ich erinnere mich, dass ich als neugieriges Kind die Software öffnete, um zu sehen, wie sie genau funktionierte, und vor allem, ob ich sie knacken konnte. Seit Jahrzehntenstreben Softwareentwickler nach kontinuierlicher Verbesserung und Stärkung ihrer Produkte, und die Sicherheitsgemeinschaft spielt (wenn auch manchmal mit etwas dreisten Methoden) eine wichtige Rolle bei der Aufdeckung von Schwachstellen und potenziellen Katastrophen – hoffentlich bevor es die Bösen tun.
Das Problem dabei ist jedoch, dass er als Reaktion auf seine Entdeckung vorübergehend vom Studium suspendiert wurde. Dies geschah, nachdem er alle Möglichkeiten ausgeschöpft hatte, um mitdem Unternehmen (Freight) in Kontakt zu treten, und sich schließlich für eine ziemlich öffentliche Kritik entschied, um seine Identität und seine Fähigkeit, das System zu kompromittieren, zu demonstrieren. Er versuchte wiederholt, Freight auf ethische Weise zu warnen, erhielt jedoch keine Antwort, und die Software blieb weiterhin anfällig.und eine große Menge an Studentendaten war relativ leicht zugänglich, da der Großteil davon unverschlüsselt war.
Er entdeckte auch einen Fehler in der Software eines anderen Unternehmens: Blackboard. Obwohl die Daten von Blackboard zumindest verschlüsselt waren, hätten potenzielle Angreifer erneut eindringen und Millionen von Datensätzen stehlen können. Seine Schule verwendete diese Software und Produkte von Freight.
Die Darstellung von „bösartigen Hackern“ ist problematisch.
Demir Kapı stellte seine Entdeckung auf der diesjährigen DEF CONvor, und die frecheren Details seiner Komik ernteten den Beifall des Publikums.Tatsächlich – Berichten zufolge hat sich die Firma Folet für seine Bemühungen bedankt und ist seinem Rat gefolgt, wodurch ihre Software sicherer wurde und eine weitere Krise in Form einer Datenpanne vermieden werden konnte, obwohl er sich zunächst in einer ungünstigen Lage befand. Nach seinem Highschool-Abschluss wird er außerdem das Rochester Institute of Technology besuchen, sodass er ganz offensichtlich auf dem besten Weg ist, ein gefragter Sicherheitsexperte zu werden.
Als Sicherheitsbeauftragter fällt es schwer, die Vorgehensweise in diesem Fall nicht in Frage zu stellen. Auch wenn in diesem Fall alles gut ausgegangen ist, wurde er zunächst als lästiger kleiner Hacker abgestempelt, der seine Nase in Dinge steckt, die ihn nichts angehen. In einer Google-Suche zu diesem Vorfall wird er in einem Artikel als „Hacker” bezeichnet (was ihn in den Augen von Sicherheitslaien in vielerlei Hinsicht als Bösewicht darstellt), obwohl seine Vorgehensweise (und die vieler anderer) dazu beiträgt, unsere Daten zu schützen.
Wir brauchen neugierige, kluge und sicherheitsbewusste Menschen, die sich eingehend mit der Situation befassen, und wir müssen häufiger Untersuchungen durchführen. Bis Juli wurden allein in diesem Jahr mehr als vier Milliarden Datensätze durch böswillige Datenlecks offengelegt. Durch die Insolvenz der Mode- und Lifestyle-Marke Poshmarkim August könnte diese Zahl um weitere 50 Millionen steigen.
Wir haben denselben Fehler begangen, und was noch beunruhigender ist: Diese Fehler sind oft einfache Sicherheitslücken, die uns immer wieder in Schwierigkeiten bringen.
Cross-Site-Scripting und SQL-Injection sind noch nicht verschwunden.
Berichten zufolge haben Cableund Demirkapi festgestellt, dass die Community-Engagement-Software Blackboards und das Studenteninformationssystem Folletts häufige Sicherheitslücken aufweisen, wie z. B. Cross-Site-Scripting (XSS) und SQL-Injection. Diese beiden Schwachstellen sind seit den 1990er Jahren in aller Munde. Wir haben ihre Existenz eine ganze Weile ertragen – wirklich eine ganze Weile –, genau wie Hypercolor-T-Shirts und Disketten, die heute nur noch eine ferne Erinnerung sein sollten.
Dies ist jedoch nicht der Fall. Es ist offensichtlich, dass nicht genügend Entwickler über ein ausreichendes Sicherheitsbewusstsein verfügen, um zu verhindern, dass diese in ihren Code gelangen. Scan-Tools und manuelle Codeüberprüfungen können nur bis zu einem gewissen Grad helfen, und es gibt Sicherheitsprobleme, die weitaus komplexer sind als XSS und SQL-Injection. In diesen Fällen können diese kostspieligen und zeitaufwändigen Maßnahmen besser genutzt werden.
Menschen wie Bill Demirkapi sollten Entwickler dazu motivieren, Codes mit höheren Standards zu erstellen. Mit nur 17 Jahren drang er mithilfe von Bedrohungsträgern in zwei Systeme mit hohem Datenverkehr ein, die eigentlich vor der Codeübermittlung hätten entdeckt und korrigiert werden müssen.
Gamification: Der Schlüssel zur Beteiligung?
Ich habe viel darüber geschrieben, warum Entwickler sich im Grunde genommen nicht mit Sicherheitsfragen befassen. Die kurze Antwort lautet, dass auf organisatorischer und pädagogischer Ebene nicht viel getan wird, um sicherheitsbewusste Entwickler auszubilden. Wenn Unternehmen sich die Zeit nehmen, eine Sicherheitskultur zu etablieren, die Engagement belohnt und anerkennt, einschließlich der Durchführung von Schulungen, die die Sprache der Entwickler sprechen und sie dazu motivieren, weiter zu experimentieren, werden diese lästigen Sicherheitslücken aus der von uns verwendeten Software verschwinden.
Demirkapi hat offensichtlich ein außergewöhnliches Interesse an Sicherheit und hat sich die Zeit genommen, zu lernen, wie man Malware rückentwickelt, Schwachstellen entdeckt und Dinge knackt, die von außen betrachtet unangreifbar erscheinen. Aber im Gespräch mit ihm (und in seinen DEF CON-Folien) machte er eine interessante Aussage über seine Selbstbildung ... Er hat es zu einem Spiel gemacht:
„Das Ziel war es, etwas in der Software meiner Schule zu finden, eine interessante gamifizierte Methode, um sich selbst umfangreiche Kenntnisse über Penetrationstests anzueignen. Obwohl ich mit der Untersuchung begann, um mehr zu erfahren, stellte ich schließlich fest, dass die Situation viel schlimmer war, als ich erwartet hatte“, sagte er.
Obwohl nicht jeder Entwickler sich auf Sicherheit spezialisieren möchte, sollte jeder Entwickler die Möglichkeit haben, sein Sicherheitsbewusstsein zu schärfen. Grundlegende Kenntnisse sind fast wie eine „Code-Lizenz“ innerhalb einer Organisation, insbesondere für diejenigen Entwickler, die unsere umfangreichen sensiblen Daten kontrollieren. Wenn jeder Entwickler in der Lage ist, die einfachsten Sicherheitslücken zu schließen, bevor sie entstehen, sind wir besser vor denen geschützt, die ernsthaften Schaden anrichten wollen.
Sind Sie neugierig auf gamifiziertes Training? Sehen Sie sich oben unsere Reihe „Programmierer erobern die Sicherheit“ an. XSS und SQL-Injection.
Der Jugend-Sicherheitsforscher Bill Demirkapi deckte eine schwerwiegende Sicherheitslücke in einer von Schulen verwendeten Software auf, was zweifellos Erinnerungen weckt. Ich erinnere mich, dass ich als neugieriges Kind den Deckel der Software öffnete, um darunter zu spähen und zu sehen, wie sie funktioniert ... und ob ich sie knacken könnte.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Der jüngste Bericht des Jugend-Sicherheitsforschers Bill Demirkapi, der eine schwerwiegende Sicherheitslücke in der an seiner Schule verwendeten Software aufdeckte, weckte sicherlich einige Erinnerungen. Ich erinnere mich, dass ich als neugieriges Kind die Software öffnete, um zu sehen, wie sie genau funktionierte, und vor allem, ob ich sie knacken konnte. Seit Jahrzehntenstreben Softwareentwickler nach kontinuierlicher Verbesserung und Stärkung ihrer Produkte, und die Sicherheitsgemeinschaft spielt (wenn auch manchmal mit etwas dreisten Methoden) eine wichtige Rolle bei der Aufdeckung von Schwachstellen und potenziellen Katastrophen – hoffentlich bevor es die Bösen tun.
Das Problem dabei ist jedoch, dass er als Reaktion auf seine Entdeckung vorübergehend vom Studium suspendiert wurde. Dies geschah, nachdem er alle Möglichkeiten ausgeschöpft hatte, um mitdem Unternehmen (Freight) in Kontakt zu treten, und sich schließlich für eine ziemlich öffentliche Kritik entschied, um seine Identität und seine Fähigkeit, das System zu kompromittieren, zu demonstrieren. Er versuchte wiederholt, Freight auf ethische Weise zu warnen, erhielt jedoch keine Antwort, und die Software blieb weiterhin anfällig.und eine große Menge an Studentendaten war relativ leicht zugänglich, da der Großteil davon unverschlüsselt war.
Er entdeckte auch einen Fehler in der Software eines anderen Unternehmens: Blackboard. Obwohl die Daten von Blackboard zumindest verschlüsselt waren, hätten potenzielle Angreifer erneut eindringen und Millionen von Datensätzen stehlen können. Seine Schule verwendete diese Software und Produkte von Freight.
Die Darstellung von „bösartigen Hackern“ ist problematisch.
Demir Kapı stellte seine Entdeckung auf der diesjährigen DEF CONvor, und die frecheren Details seiner Komik ernteten den Beifall des Publikums.Tatsächlich – Berichten zufolge hat sich die Firma Folet für seine Bemühungen bedankt und ist seinem Rat gefolgt, wodurch ihre Software sicherer wurde und eine weitere Krise in Form einer Datenpanne vermieden werden konnte, obwohl er sich zunächst in einer ungünstigen Lage befand. Nach seinem Highschool-Abschluss wird er außerdem das Rochester Institute of Technology besuchen, sodass er ganz offensichtlich auf dem besten Weg ist, ein gefragter Sicherheitsexperte zu werden.
Als Sicherheitsbeauftragter fällt es schwer, die Vorgehensweise in diesem Fall nicht in Frage zu stellen. Auch wenn in diesem Fall alles gut ausgegangen ist, wurde er zunächst als lästiger kleiner Hacker abgestempelt, der seine Nase in Dinge steckt, die ihn nichts angehen. In einer Google-Suche zu diesem Vorfall wird er in einem Artikel als „Hacker” bezeichnet (was ihn in den Augen von Sicherheitslaien in vielerlei Hinsicht als Bösewicht darstellt), obwohl seine Vorgehensweise (und die vieler anderer) dazu beiträgt, unsere Daten zu schützen.
Wir brauchen neugierige, kluge und sicherheitsbewusste Menschen, die sich eingehend mit der Situation befassen, und wir müssen häufiger Untersuchungen durchführen. Bis Juli wurden allein in diesem Jahr mehr als vier Milliarden Datensätze durch böswillige Datenlecks offengelegt. Durch die Insolvenz der Mode- und Lifestyle-Marke Poshmarkim August könnte diese Zahl um weitere 50 Millionen steigen.
Wir haben denselben Fehler begangen, und was noch beunruhigender ist: Diese Fehler sind oft einfache Sicherheitslücken, die uns immer wieder in Schwierigkeiten bringen.
Cross-Site-Scripting und SQL-Injection sind noch nicht verschwunden.
Berichten zufolge haben Cableund Demirkapi festgestellt, dass die Community-Engagement-Software Blackboards und das Studenteninformationssystem Folletts häufige Sicherheitslücken aufweisen, wie z. B. Cross-Site-Scripting (XSS) und SQL-Injection. Diese beiden Schwachstellen sind seit den 1990er Jahren in aller Munde. Wir haben ihre Existenz eine ganze Weile ertragen – wirklich eine ganze Weile –, genau wie Hypercolor-T-Shirts und Disketten, die heute nur noch eine ferne Erinnerung sein sollten.
Dies ist jedoch nicht der Fall. Es ist offensichtlich, dass nicht genügend Entwickler über ein ausreichendes Sicherheitsbewusstsein verfügen, um zu verhindern, dass diese in ihren Code gelangen. Scan-Tools und manuelle Codeüberprüfungen können nur bis zu einem gewissen Grad helfen, und es gibt Sicherheitsprobleme, die weitaus komplexer sind als XSS und SQL-Injection. In diesen Fällen können diese kostspieligen und zeitaufwändigen Maßnahmen besser genutzt werden.
Menschen wie Bill Demirkapi sollten Entwickler dazu motivieren, Codes mit höheren Standards zu erstellen. Mit nur 17 Jahren drang er mithilfe von Bedrohungsträgern in zwei Systeme mit hohem Datenverkehr ein, die eigentlich vor der Codeübermittlung hätten entdeckt und korrigiert werden müssen.
Gamification: Der Schlüssel zur Beteiligung?
Ich habe viel darüber geschrieben, warum Entwickler sich im Grunde genommen nicht mit Sicherheitsfragen befassen. Die kurze Antwort lautet, dass auf organisatorischer und pädagogischer Ebene nicht viel getan wird, um sicherheitsbewusste Entwickler auszubilden. Wenn Unternehmen sich die Zeit nehmen, eine Sicherheitskultur zu etablieren, die Engagement belohnt und anerkennt, einschließlich der Durchführung von Schulungen, die die Sprache der Entwickler sprechen und sie dazu motivieren, weiter zu experimentieren, werden diese lästigen Sicherheitslücken aus der von uns verwendeten Software verschwinden.
Demirkapi hat offensichtlich ein außergewöhnliches Interesse an Sicherheit und hat sich die Zeit genommen, zu lernen, wie man Malware rückentwickelt, Schwachstellen entdeckt und Dinge knackt, die von außen betrachtet unangreifbar erscheinen. Aber im Gespräch mit ihm (und in seinen DEF CON-Folien) machte er eine interessante Aussage über seine Selbstbildung ... Er hat es zu einem Spiel gemacht:
„Das Ziel war es, etwas in der Software meiner Schule zu finden, eine interessante gamifizierte Methode, um sich selbst umfangreiche Kenntnisse über Penetrationstests anzueignen. Obwohl ich mit der Untersuchung begann, um mehr zu erfahren, stellte ich schließlich fest, dass die Situation viel schlimmer war, als ich erwartet hatte“, sagte er.
Obwohl nicht jeder Entwickler sich auf Sicherheit spezialisieren möchte, sollte jeder Entwickler die Möglichkeit haben, sein Sicherheitsbewusstsein zu schärfen. Grundlegende Kenntnisse sind fast wie eine „Code-Lizenz“ innerhalb einer Organisation, insbesondere für diejenigen Entwickler, die unsere umfangreichen sensiblen Daten kontrollieren. Wenn jeder Entwickler in der Lage ist, die einfachsten Sicherheitslücken zu schließen, bevor sie entstehen, sind wir besser vor denen geschützt, die ernsthaften Schaden anrichten wollen.
Sind Sie neugierig auf gamifiziertes Training? Sehen Sie sich oben unsere Reihe „Programmierer erobern die Sicherheit“ an. XSS und SQL-Injection.
Der jüngste Bericht des Jugend-Sicherheitsforschers Bill Demirkapi, der eine schwerwiegende Sicherheitslücke in der an seiner Schule verwendeten Software aufdeckte, weckte sicherlich einige Erinnerungen. Ich erinnere mich, dass ich als neugieriges Kind die Software öffnete, um zu sehen, wie sie genau funktionierte, und vor allem, ob ich sie knacken konnte. Seit Jahrzehntenstreben Softwareentwickler nach kontinuierlicher Verbesserung und Stärkung ihrer Produkte, und die Sicherheitsgemeinschaft spielt (wenn auch manchmal mit etwas dreisten Methoden) eine wichtige Rolle bei der Aufdeckung von Schwachstellen und potenziellen Katastrophen – hoffentlich bevor es die Bösen tun.
Das Problem dabei ist jedoch, dass er als Reaktion auf seine Entdeckung vorübergehend vom Studium suspendiert wurde. Dies geschah, nachdem er alle Möglichkeiten ausgeschöpft hatte, um mitdem Unternehmen (Freight) in Kontakt zu treten, und sich schließlich für eine ziemlich öffentliche Kritik entschied, um seine Identität und seine Fähigkeit, das System zu kompromittieren, zu demonstrieren. Er versuchte wiederholt, Freight auf ethische Weise zu warnen, erhielt jedoch keine Antwort, und die Software blieb weiterhin anfällig.und eine große Menge an Studentendaten war relativ leicht zugänglich, da der Großteil davon unverschlüsselt war.
Er entdeckte auch einen Fehler in der Software eines anderen Unternehmens: Blackboard. Obwohl die Daten von Blackboard zumindest verschlüsselt waren, hätten potenzielle Angreifer erneut eindringen und Millionen von Datensätzen stehlen können. Seine Schule verwendete diese Software und Produkte von Freight.
Die Darstellung von „bösartigen Hackern“ ist problematisch.
Demir Kapı stellte seine Entdeckung auf der diesjährigen DEF CONvor, und die frecheren Details seiner Komik ernteten den Beifall des Publikums.Tatsächlich – Berichten zufolge hat sich die Firma Folet für seine Bemühungen bedankt und ist seinem Rat gefolgt, wodurch ihre Software sicherer wurde und eine weitere Krise in Form einer Datenpanne vermieden werden konnte, obwohl er sich zunächst in einer ungünstigen Lage befand. Nach seinem Highschool-Abschluss wird er außerdem das Rochester Institute of Technology besuchen, sodass er ganz offensichtlich auf dem besten Weg ist, ein gefragter Sicherheitsexperte zu werden.
Als Sicherheitsbeauftragter fällt es schwer, die Vorgehensweise in diesem Fall nicht in Frage zu stellen. Auch wenn in diesem Fall alles gut ausgegangen ist, wurde er zunächst als lästiger kleiner Hacker abgestempelt, der seine Nase in Dinge steckt, die ihn nichts angehen. In einer Google-Suche zu diesem Vorfall wird er in einem Artikel als „Hacker” bezeichnet (was ihn in den Augen von Sicherheitslaien in vielerlei Hinsicht als Bösewicht darstellt), obwohl seine Vorgehensweise (und die vieler anderer) dazu beiträgt, unsere Daten zu schützen.
Wir brauchen neugierige, kluge und sicherheitsbewusste Menschen, die sich eingehend mit der Situation befassen, und wir müssen häufiger Untersuchungen durchführen. Bis Juli wurden allein in diesem Jahr mehr als vier Milliarden Datensätze durch böswillige Datenlecks offengelegt. Durch die Insolvenz der Mode- und Lifestyle-Marke Poshmarkim August könnte diese Zahl um weitere 50 Millionen steigen.
Wir haben denselben Fehler begangen, und was noch beunruhigender ist: Diese Fehler sind oft einfache Sicherheitslücken, die uns immer wieder in Schwierigkeiten bringen.
Cross-Site-Scripting und SQL-Injection sind noch nicht verschwunden.
Berichten zufolge haben Cableund Demirkapi festgestellt, dass die Community-Engagement-Software Blackboards und das Studenteninformationssystem Folletts häufige Sicherheitslücken aufweisen, wie z. B. Cross-Site-Scripting (XSS) und SQL-Injection. Diese beiden Schwachstellen sind seit den 1990er Jahren in aller Munde. Wir haben ihre Existenz eine ganze Weile ertragen – wirklich eine ganze Weile –, genau wie Hypercolor-T-Shirts und Disketten, die heute nur noch eine ferne Erinnerung sein sollten.
Dies ist jedoch nicht der Fall. Es ist offensichtlich, dass nicht genügend Entwickler über ein ausreichendes Sicherheitsbewusstsein verfügen, um zu verhindern, dass diese in ihren Code gelangen. Scan-Tools und manuelle Codeüberprüfungen können nur bis zu einem gewissen Grad helfen, und es gibt Sicherheitsprobleme, die weitaus komplexer sind als XSS und SQL-Injection. In diesen Fällen können diese kostspieligen und zeitaufwändigen Maßnahmen besser genutzt werden.
Menschen wie Bill Demirkapi sollten Entwickler dazu motivieren, Codes mit höheren Standards zu erstellen. Mit nur 17 Jahren drang er mithilfe von Bedrohungsträgern in zwei Systeme mit hohem Datenverkehr ein, die eigentlich vor der Codeübermittlung hätten entdeckt und korrigiert werden müssen.
Gamification: Der Schlüssel zur Beteiligung?
Ich habe viel darüber geschrieben, warum Entwickler sich im Grunde genommen nicht mit Sicherheitsfragen befassen. Die kurze Antwort lautet, dass auf organisatorischer und pädagogischer Ebene nicht viel getan wird, um sicherheitsbewusste Entwickler auszubilden. Wenn Unternehmen sich die Zeit nehmen, eine Sicherheitskultur zu etablieren, die Engagement belohnt und anerkennt, einschließlich der Durchführung von Schulungen, die die Sprache der Entwickler sprechen und sie dazu motivieren, weiter zu experimentieren, werden diese lästigen Sicherheitslücken aus der von uns verwendeten Software verschwinden.
Demirkapi hat offensichtlich ein außergewöhnliches Interesse an Sicherheit und hat sich die Zeit genommen, zu lernen, wie man Malware rückentwickelt, Schwachstellen entdeckt und Dinge knackt, die von außen betrachtet unangreifbar erscheinen. Aber im Gespräch mit ihm (und in seinen DEF CON-Folien) machte er eine interessante Aussage über seine Selbstbildung ... Er hat es zu einem Spiel gemacht:
„Das Ziel war es, etwas in der Software meiner Schule zu finden, eine interessante gamifizierte Methode, um sich selbst umfangreiche Kenntnisse über Penetrationstests anzueignen. Obwohl ich mit der Untersuchung begann, um mehr zu erfahren, stellte ich schließlich fest, dass die Situation viel schlimmer war, als ich erwartet hatte“, sagte er.
Obwohl nicht jeder Entwickler sich auf Sicherheit spezialisieren möchte, sollte jeder Entwickler die Möglichkeit haben, sein Sicherheitsbewusstsein zu schärfen. Grundlegende Kenntnisse sind fast wie eine „Code-Lizenz“ innerhalb einer Organisation, insbesondere für diejenigen Entwickler, die unsere umfangreichen sensiblen Daten kontrollieren. Wenn jeder Entwickler in der Lage ist, die einfachsten Sicherheitslücken zu schließen, bevor sie entstehen, sind wir besser vor denen geschützt, die ernsthaften Schaden anrichten wollen.
Sind Sie neugierig auf gamifiziertes Training? Sehen Sie sich oben unsere Reihe „Programmierer erobern die Sicherheit“ an. XSS und SQL-Injection.
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenDemo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Der jüngste Bericht des Jugend-Sicherheitsforschers Bill Demirkapi, der eine schwerwiegende Sicherheitslücke in der an seiner Schule verwendeten Software aufdeckte, weckte sicherlich einige Erinnerungen. Ich erinnere mich, dass ich als neugieriges Kind die Software öffnete, um zu sehen, wie sie genau funktionierte, und vor allem, ob ich sie knacken konnte. Seit Jahrzehntenstreben Softwareentwickler nach kontinuierlicher Verbesserung und Stärkung ihrer Produkte, und die Sicherheitsgemeinschaft spielt (wenn auch manchmal mit etwas dreisten Methoden) eine wichtige Rolle bei der Aufdeckung von Schwachstellen und potenziellen Katastrophen – hoffentlich bevor es die Bösen tun.
Das Problem dabei ist jedoch, dass er als Reaktion auf seine Entdeckung vorübergehend vom Studium suspendiert wurde. Dies geschah, nachdem er alle Möglichkeiten ausgeschöpft hatte, um mitdem Unternehmen (Freight) in Kontakt zu treten, und sich schließlich für eine ziemlich öffentliche Kritik entschied, um seine Identität und seine Fähigkeit, das System zu kompromittieren, zu demonstrieren. Er versuchte wiederholt, Freight auf ethische Weise zu warnen, erhielt jedoch keine Antwort, und die Software blieb weiterhin anfällig.und eine große Menge an Studentendaten war relativ leicht zugänglich, da der Großteil davon unverschlüsselt war.
Er entdeckte auch einen Fehler in der Software eines anderen Unternehmens: Blackboard. Obwohl die Daten von Blackboard zumindest verschlüsselt waren, hätten potenzielle Angreifer erneut eindringen und Millionen von Datensätzen stehlen können. Seine Schule verwendete diese Software und Produkte von Freight.
Die Darstellung von „bösartigen Hackern“ ist problematisch.
Demir Kapı stellte seine Entdeckung auf der diesjährigen DEF CONvor, und die frecheren Details seiner Komik ernteten den Beifall des Publikums.Tatsächlich – Berichten zufolge hat sich die Firma Folet für seine Bemühungen bedankt und ist seinem Rat gefolgt, wodurch ihre Software sicherer wurde und eine weitere Krise in Form einer Datenpanne vermieden werden konnte, obwohl er sich zunächst in einer ungünstigen Lage befand. Nach seinem Highschool-Abschluss wird er außerdem das Rochester Institute of Technology besuchen, sodass er ganz offensichtlich auf dem besten Weg ist, ein gefragter Sicherheitsexperte zu werden.
Als Sicherheitsbeauftragter fällt es schwer, die Vorgehensweise in diesem Fall nicht in Frage zu stellen. Auch wenn in diesem Fall alles gut ausgegangen ist, wurde er zunächst als lästiger kleiner Hacker abgestempelt, der seine Nase in Dinge steckt, die ihn nichts angehen. In einer Google-Suche zu diesem Vorfall wird er in einem Artikel als „Hacker” bezeichnet (was ihn in den Augen von Sicherheitslaien in vielerlei Hinsicht als Bösewicht darstellt), obwohl seine Vorgehensweise (und die vieler anderer) dazu beiträgt, unsere Daten zu schützen.
Wir brauchen neugierige, kluge und sicherheitsbewusste Menschen, die sich eingehend mit der Situation befassen, und wir müssen häufiger Untersuchungen durchführen. Bis Juli wurden allein in diesem Jahr mehr als vier Milliarden Datensätze durch böswillige Datenlecks offengelegt. Durch die Insolvenz der Mode- und Lifestyle-Marke Poshmarkim August könnte diese Zahl um weitere 50 Millionen steigen.
Wir haben denselben Fehler begangen, und was noch beunruhigender ist: Diese Fehler sind oft einfache Sicherheitslücken, die uns immer wieder in Schwierigkeiten bringen.
Cross-Site-Scripting und SQL-Injection sind noch nicht verschwunden.
Berichten zufolge haben Cableund Demirkapi festgestellt, dass die Community-Engagement-Software Blackboards und das Studenteninformationssystem Folletts häufige Sicherheitslücken aufweisen, wie z. B. Cross-Site-Scripting (XSS) und SQL-Injection. Diese beiden Schwachstellen sind seit den 1990er Jahren in aller Munde. Wir haben ihre Existenz eine ganze Weile ertragen – wirklich eine ganze Weile –, genau wie Hypercolor-T-Shirts und Disketten, die heute nur noch eine ferne Erinnerung sein sollten.
Dies ist jedoch nicht der Fall. Es ist offensichtlich, dass nicht genügend Entwickler über ein ausreichendes Sicherheitsbewusstsein verfügen, um zu verhindern, dass diese in ihren Code gelangen. Scan-Tools und manuelle Codeüberprüfungen können nur bis zu einem gewissen Grad helfen, und es gibt Sicherheitsprobleme, die weitaus komplexer sind als XSS und SQL-Injection. In diesen Fällen können diese kostspieligen und zeitaufwändigen Maßnahmen besser genutzt werden.
Menschen wie Bill Demirkapi sollten Entwickler dazu motivieren, Codes mit höheren Standards zu erstellen. Mit nur 17 Jahren drang er mithilfe von Bedrohungsträgern in zwei Systeme mit hohem Datenverkehr ein, die eigentlich vor der Codeübermittlung hätten entdeckt und korrigiert werden müssen.
Gamification: Der Schlüssel zur Beteiligung?
Ich habe viel darüber geschrieben, warum Entwickler sich im Grunde genommen nicht mit Sicherheitsfragen befassen. Die kurze Antwort lautet, dass auf organisatorischer und pädagogischer Ebene nicht viel getan wird, um sicherheitsbewusste Entwickler auszubilden. Wenn Unternehmen sich die Zeit nehmen, eine Sicherheitskultur zu etablieren, die Engagement belohnt und anerkennt, einschließlich der Durchführung von Schulungen, die die Sprache der Entwickler sprechen und sie dazu motivieren, weiter zu experimentieren, werden diese lästigen Sicherheitslücken aus der von uns verwendeten Software verschwinden.
Demirkapi hat offensichtlich ein außergewöhnliches Interesse an Sicherheit und hat sich die Zeit genommen, zu lernen, wie man Malware rückentwickelt, Schwachstellen entdeckt und Dinge knackt, die von außen betrachtet unangreifbar erscheinen. Aber im Gespräch mit ihm (und in seinen DEF CON-Folien) machte er eine interessante Aussage über seine Selbstbildung ... Er hat es zu einem Spiel gemacht:
„Das Ziel war es, etwas in der Software meiner Schule zu finden, eine interessante gamifizierte Methode, um sich selbst umfangreiche Kenntnisse über Penetrationstests anzueignen. Obwohl ich mit der Untersuchung begann, um mehr zu erfahren, stellte ich schließlich fest, dass die Situation viel schlimmer war, als ich erwartet hatte“, sagte er.
Obwohl nicht jeder Entwickler sich auf Sicherheit spezialisieren möchte, sollte jeder Entwickler die Möglichkeit haben, sein Sicherheitsbewusstsein zu schärfen. Grundlegende Kenntnisse sind fast wie eine „Code-Lizenz“ innerhalb einer Organisation, insbesondere für diejenigen Entwickler, die unsere umfangreichen sensiblen Daten kontrollieren. Wenn jeder Entwickler in der Lage ist, die einfachsten Sicherheitslücken zu schließen, bevor sie entstehen, sind wir besser vor denen geschützt, die ernsthaften Schaden anrichten wollen.
Sind Sie neugierig auf gamifiziertes Training? Sehen Sie sich oben unsere Reihe „Programmierer erobern die Sicherheit“ an. XSS und SQL-Injection.
Verzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen下载Ressourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Sicherheitsschulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Softwareentwicklungslandschaft anzupassen und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für verschiedene Positionen geeignet, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Verschaffen Sie sich einen ersten Überblick nach Themen und Rollen und erfahren Sie, was unser Inhaltsverzeichnis zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025: Der Kampf gegen den Boss hat nun in SCW ganzjährig begonnen. Der Kampf um die Sicherheit von KI/LLM auf Stammesebene, die Entwicklung von Sicherheits-KI wird durch groß angelegte Modelle verstärkt.
Auslegung des Gesetzes zur Netzresilienz: Was bedeutet es, durch die Entwicklung von Design-Software Sicherheit zu erreichen?
Verstehen Sie die Anforderungen des EU-Gesetzes zur Netzresilienz (CRA), für wen es gilt und wie sich Ingenieurteams durch Designpraktiken, Schwachstellenprävention und Kompetenzaufbau für Entwickler darauf vorbereiten können.
Treibende Faktoren 1: Klare und messbare Erfolgskriterien
Enabler 1 ist der Auftakt zu unserer 10-teiligen Reihe über Erfolgsfaktoren. Er zeigt, wie sichere Codierung mit Geschäftsergebnissen wie Risikominderung und schnellerer Reifung langfristiger Pläne in Verbindung gebracht werden kann.
