Softwaresicherheit ist im Wilden Westen (und das wird uns umbringen)
Ursprünglich veröffentlicht in CSO Online
Als ethischer Hacker, Sicherheitsexperte und Computerfreak (halb im Ruhestand) könnte man sagen, dass mir Technologie sehr am Herzen liegt. Mir ist wichtig, wie sie hergestellt wurde, was sie tut und wie sie einen Teil unseres Lebens besser oder effizienter machen wird. Ich schaue ständig „unter die Haube“ von Geräten und sehe einige der besten (und schlechtesten) Codebeispiele, die es gibt. Vor Kurzem habe ich mir angesehen, wie meine Klimaanlage mit einer Android-App ferngesteuert werden kann (stellen Sie sich meine Überraschung vor, als ich herausfand, dass jeder im WiFi-Netzwerk dieses Ding ohne jegliche Authentifizierung steuern kann).
Softwaresicherheit steht für mich immer im Vordergrund, ebenso wie die sehr reale Gefahr, die von unserem zunehmend digitalen Lebensstil beim Austausch persönlicher Informationen ausgeht. Schließlich befinden wir uns in einem weitgehend unregulierten, unbeaufsichtigten und glücklicherweise ignorierten Gebiet. Wir sind im Wilden Westen.
Als kollektive Gesellschaft schauen wir der Technologie, die wir täglich verwenden, nicht unter die Haube. Obwohl beliebte und hochgelobte Fernsehserien wie Mr. Robot das allgemeine Bewusstsein stärken, sind wir nicht sicherheitsbewusst... Tatsächlich haben die meisten von uns keine Ahnung, wie sicher die Software in den unzähligen Anwendungen, Diensten und zunehmend vernetzten Dingen ist, die wir kaufen und verwenden. Es ist nicht einmal so, dass wir ihnen von Natur aus vertrauen — wir denken einfach überhaupt nicht an sie.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo! , Facebook, Target: Jedes einzelne dieser weit verbreiteten Unternehmen wurde Opfer einer Datenschutzverletzung. Ihre Software-Sicherheitslücken wurden ausgenutzt und Millionen und Abermillionen von Kundendaten wurden aufgedeckt. Diese Beispiele stellen nur einen Bruchteil der weltweiten Sicherheitslücken dar, die in den letzten zehn Jahren stattgefunden haben. Sie sind eine kostspielige Folge schlechter Softwaresicherheit, die es den Bösewichten ermöglicht, unsere wertvollen Informationen zu stehlen.
Wenn die meisten Menschen über Datenschutzverletzungen nachdenken, denken sie an Verstöße gegen die Informationssicherheit. Sie werden als Albtraum für das Unternehmen verstanden, gegen das verstoßen wurde, und als lästig für diejenigen, deren persönliche Daten betroffen sind, aber ernsthaft, was ist die große Sache? Sind die Folgen wirklich so groß, wenn die Sicherheit weiterhin ignoriert wird? Nichts Das Bisher ist viel passiert - Datenschutzverletzungen haben schwerwiegende Auswirkungen auf die für sie verantwortlichen Unternehmen, aber das ist ihr Problem, oder? Sie verlieren Geschäfte, sie verlieren das Vertrauen der Verbraucher; es ist letztlich ihre Aufgabe, das zu regeln und für den Schaden zu zahlen.
Softwaresicherheit sollte die Priorität jedes Unternehmens sein.
Es gibt einen ziemlich einfachen Grund, warum Softwaresicherheit nicht für jedes Unternehmen mit einem Entwicklungsteam das Hauptanliegen ist: Es haben noch nicht genug Menschen ihr Leben verloren und es gibt nicht genug Wissen über die Risiken.
Morbid? Vielleicht. Aber es ist die ehrliche Wahrheit. Vorschriften, Baustandards und Gesetzesänderungen werden beachtet (wie zum Beispiel von Regierungsbehörden), wenn ein echter menschlicher Preis.
Nehmen wir zum Beispiel eine Brücke. Bauingenieure (eine Branche, die Hunderte von Jahren alt ist) betrachten Sicherheit als einen zentralen Bestandteil des Brückenbaus. Ihr Ansatz geht weit über Ästhetik und grundlegende Funktionalität hinaus. Von jeder gebauten Brücke wird erwartet, dass sie strengen Sicherheitsvorschriften entspricht. Sowohl der Beruf des Bauingenieurs als auch die Gesellschaft als Ganzes lernen im Laufe der Zeit, ein hohes Maß an Sicherheit zu erwarten. Eine Brücke, die heute die Sicherheitsanforderungen nicht erfüllt, gilt als gefährlich und unbrauchbar. Dies ist immer noch eine Entwicklung, die wir innerhalb der Softwaretechnik erreichen müssen.
Schauen wir uns als moderneres Beispiel die Spielzeugindustrie an. In den 1950er Jahren gab es eine enormer Anstieg der Produktion und des Verkaufs von Spielzeug dank des Babybooms der Nachkriegszeit. Interessanterweise wurde berichtet, dass in dieser Zeit auch die Zahl der Besuche in der Notaufnahme aufgrund von Zwischenfällen im Zusammenhang mit Spielzeug zugenommen hat. Spielzeugpfeile verursachten Augenverletzungen, kleine Spielzeuge (und abnehmbare Teile von größeren Spielzeugen) wurden verschluckt und Spielzeugöfen, die an kleine Mädchen vermarktet werden waren in der Lage, auf höhere Temperaturen aufzuheizen als normale Haushaltsöfen.
Es war so etwas wie ein „Wilder Westen“ da draußen, mit wenig Regulierung, bis auf einige vereinzelte Verbote und Produktrückrufe unter den schlimmsten Umständen. Den Spielzeugherstellern stand es im Grunde frei, jedes Spielzeug herzustellen, das sie wollten, und Sicherheitsbedenken wurden in der Regel erst geäußert, nachdem es bereits mehrere gemeldete Vorfälle gegeben hatte. Es war erst, als Rechnungen wie Richard Nixons Spielzeugsicherheitsgesetz von 1969 wurden gesetzlich verankert, dass das Testen und das anschließende Verbot von gefährlichem Spielzeug in den USA und auf der ganzen Welt zum Standard wurden. Unfälle werden zwar immer noch passieren, aber heute gilt bei der Spielzeugherstellung die Regel „Sicherheit geht vor“, und unsere Kinder sind einer weitaus geringeren potenziellen Gefahr ausgesetzt.
Was Softwaresicherheit angeht, befinden wir uns derzeit im Wilden Westen. Abgesehen von offensichtlichen Gesetzen und Vorschriften in Bezug auf den Datenschutz (vor allem in jüngster Zeit mit der DSGVO) und dem Schutz von Kundendaten sowie den in einigen Ländern vorgeschriebenen Gesetzen zur Meldung von Verstößen wird in der Mainstream-Wirtschaft oder in der Community nur sehr wenig über das in Software integrierte Sicherheitsniveau gesagt und getan. Selbst diese Gesetze beziehen sich eher auf die Unternehmensverantwortung als darauf, dass die Software selbst reguliert wird oder dass ein verbindlicher Sicherheitsstandard eingehalten werden muss.
Wir werden dort ankommen, aber dafür ist vielleicht zuerst ein Pfad der Zerstörung erforderlich.
Gartner schätzt, dass es 8,4 Milliarden mit dem Internet verbundene Geräte werden bis 2020 genutzt; eine Zahl, die einem Anstieg von 31 Prozent seit 2016 entspricht. Dazu gehören Unterhaltungselektronik sowie Dinge wie medizinische Geräte und branchenspezifische Geräte. Das sind verdammt viele Möglichkeiten für einen Hacker.
Stellen Sie sich vor, die Software, auf der der Herzschrittmacher einer Person läuft, ist unsicher. Ein Hacker könnte einbrechen und möglicherweise das Herz seines Opfers stoppen (finden Sie das lächerlich? Ärzte hat das WLAN deaktiviert in Dick Cheneys Herzschrittmacher, um ein potenzielles Attentat durch Hacken zu vereiteln). Eine angeschlossene Mikrowelle oder ein Wasserkocher könnte aus der Ferne in die Luft gesprengt werden (zusammen mit allen möglichen Geräten des Internet der Dinge, die wir in unseren Häusern verwenden), oder bei einem vernetzten Elektroauto könnten die Bremsen deaktiviert sein. Das mag wie ein weit hergeholter Hollywood-Actionfilm klingen, aber wenn die Software einer dieser fortschrittlichen vernetzten Technologien gehackt werden kann, stehen wir wirklich vor einer potenziellen Katastrophe — genau wie die Bedrohungen, die wir bereits mit dem explosive Auswirkungen von Cyberangriffen in der Öl- und Gasindustrie.
Wir können den schlimmen Folgen böswilliger Hackerangriffe zuvorkommen, da unser Leben immer mehr von der digitalen Welt abhängt. Alles beginnt damit, Entwickler mehr für sicheres Programmieren zu begeistern und ernsthaft daran zu arbeiten, eine starke Sicherheitsmentalität und -kultur in den Entwicklungsteams zu entwickeln.
Ihre Software-Revolution beginnt hier. Die Bankenbranche ist Vorreiter bei der Einführung von gamifiziertem Training im Kampf gegen schlechten Code. Dabei handelt es sich um einen wirklich innovativen Ansatz, der traditionelle (sprich: langweilige) Schulungen auf den Kopf stellt. Tatsächlich engagiert derzeit jede der sechs führenden Banken Australiens ihre Entwickler auf diese Weise und fördert so deren Sicherheitsdenken. Schauen Sie sich an, was unser Kunde, die IAG Group, mit ihrem gemacht hat Turnier der nächsten Stufe.
Softwaresicherheit steht für mich immer im Vordergrund, ebenso wie die sehr reale Gefahr, die von unserem zunehmend digitalen Lebensstil beim Austausch persönlicher Informationen ausgeht. Schließlich befinden wir uns in einem weitgehend unregulierten, unbeaufsichtigten und glücklicherweise ignorierten Gebiet. Wir sind im Wilden Westen.
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
Ursprünglich veröffentlicht in CSO Online
Als ethischer Hacker, Sicherheitsexperte und Computerfreak (halb im Ruhestand) könnte man sagen, dass mir Technologie sehr am Herzen liegt. Mir ist wichtig, wie sie hergestellt wurde, was sie tut und wie sie einen Teil unseres Lebens besser oder effizienter machen wird. Ich schaue ständig „unter die Haube“ von Geräten und sehe einige der besten (und schlechtesten) Codebeispiele, die es gibt. Vor Kurzem habe ich mir angesehen, wie meine Klimaanlage mit einer Android-App ferngesteuert werden kann (stellen Sie sich meine Überraschung vor, als ich herausfand, dass jeder im WiFi-Netzwerk dieses Ding ohne jegliche Authentifizierung steuern kann).
Softwaresicherheit steht für mich immer im Vordergrund, ebenso wie die sehr reale Gefahr, die von unserem zunehmend digitalen Lebensstil beim Austausch persönlicher Informationen ausgeht. Schließlich befinden wir uns in einem weitgehend unregulierten, unbeaufsichtigten und glücklicherweise ignorierten Gebiet. Wir sind im Wilden Westen.
Als kollektive Gesellschaft schauen wir der Technologie, die wir täglich verwenden, nicht unter die Haube. Obwohl beliebte und hochgelobte Fernsehserien wie Mr. Robot das allgemeine Bewusstsein stärken, sind wir nicht sicherheitsbewusst... Tatsächlich haben die meisten von uns keine Ahnung, wie sicher die Software in den unzähligen Anwendungen, Diensten und zunehmend vernetzten Dingen ist, die wir kaufen und verwenden. Es ist nicht einmal so, dass wir ihnen von Natur aus vertrauen — wir denken einfach überhaupt nicht an sie.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo! , Facebook, Target: Jedes einzelne dieser weit verbreiteten Unternehmen wurde Opfer einer Datenschutzverletzung. Ihre Software-Sicherheitslücken wurden ausgenutzt und Millionen und Abermillionen von Kundendaten wurden aufgedeckt. Diese Beispiele stellen nur einen Bruchteil der weltweiten Sicherheitslücken dar, die in den letzten zehn Jahren stattgefunden haben. Sie sind eine kostspielige Folge schlechter Softwaresicherheit, die es den Bösewichten ermöglicht, unsere wertvollen Informationen zu stehlen.
Wenn die meisten Menschen über Datenschutzverletzungen nachdenken, denken sie an Verstöße gegen die Informationssicherheit. Sie werden als Albtraum für das Unternehmen verstanden, gegen das verstoßen wurde, und als lästig für diejenigen, deren persönliche Daten betroffen sind, aber ernsthaft, was ist die große Sache? Sind die Folgen wirklich so groß, wenn die Sicherheit weiterhin ignoriert wird? Nichts Das Bisher ist viel passiert - Datenschutzverletzungen haben schwerwiegende Auswirkungen auf die für sie verantwortlichen Unternehmen, aber das ist ihr Problem, oder? Sie verlieren Geschäfte, sie verlieren das Vertrauen der Verbraucher; es ist letztlich ihre Aufgabe, das zu regeln und für den Schaden zu zahlen.
Softwaresicherheit sollte die Priorität jedes Unternehmens sein.
Es gibt einen ziemlich einfachen Grund, warum Softwaresicherheit nicht für jedes Unternehmen mit einem Entwicklungsteam das Hauptanliegen ist: Es haben noch nicht genug Menschen ihr Leben verloren und es gibt nicht genug Wissen über die Risiken.
Morbid? Vielleicht. Aber es ist die ehrliche Wahrheit. Vorschriften, Baustandards und Gesetzesänderungen werden beachtet (wie zum Beispiel von Regierungsbehörden), wenn ein echter menschlicher Preis.
Nehmen wir zum Beispiel eine Brücke. Bauingenieure (eine Branche, die Hunderte von Jahren alt ist) betrachten Sicherheit als einen zentralen Bestandteil des Brückenbaus. Ihr Ansatz geht weit über Ästhetik und grundlegende Funktionalität hinaus. Von jeder gebauten Brücke wird erwartet, dass sie strengen Sicherheitsvorschriften entspricht. Sowohl der Beruf des Bauingenieurs als auch die Gesellschaft als Ganzes lernen im Laufe der Zeit, ein hohes Maß an Sicherheit zu erwarten. Eine Brücke, die heute die Sicherheitsanforderungen nicht erfüllt, gilt als gefährlich und unbrauchbar. Dies ist immer noch eine Entwicklung, die wir innerhalb der Softwaretechnik erreichen müssen.
Schauen wir uns als moderneres Beispiel die Spielzeugindustrie an. In den 1950er Jahren gab es eine enormer Anstieg der Produktion und des Verkaufs von Spielzeug dank des Babybooms der Nachkriegszeit. Interessanterweise wurde berichtet, dass in dieser Zeit auch die Zahl der Besuche in der Notaufnahme aufgrund von Zwischenfällen im Zusammenhang mit Spielzeug zugenommen hat. Spielzeugpfeile verursachten Augenverletzungen, kleine Spielzeuge (und abnehmbare Teile von größeren Spielzeugen) wurden verschluckt und Spielzeugöfen, die an kleine Mädchen vermarktet werden waren in der Lage, auf höhere Temperaturen aufzuheizen als normale Haushaltsöfen.
Es war so etwas wie ein „Wilder Westen“ da draußen, mit wenig Regulierung, bis auf einige vereinzelte Verbote und Produktrückrufe unter den schlimmsten Umständen. Den Spielzeugherstellern stand es im Grunde frei, jedes Spielzeug herzustellen, das sie wollten, und Sicherheitsbedenken wurden in der Regel erst geäußert, nachdem es bereits mehrere gemeldete Vorfälle gegeben hatte. Es war erst, als Rechnungen wie Richard Nixons Spielzeugsicherheitsgesetz von 1969 wurden gesetzlich verankert, dass das Testen und das anschließende Verbot von gefährlichem Spielzeug in den USA und auf der ganzen Welt zum Standard wurden. Unfälle werden zwar immer noch passieren, aber heute gilt bei der Spielzeugherstellung die Regel „Sicherheit geht vor“, und unsere Kinder sind einer weitaus geringeren potenziellen Gefahr ausgesetzt.
Was Softwaresicherheit angeht, befinden wir uns derzeit im Wilden Westen. Abgesehen von offensichtlichen Gesetzen und Vorschriften in Bezug auf den Datenschutz (vor allem in jüngster Zeit mit der DSGVO) und dem Schutz von Kundendaten sowie den in einigen Ländern vorgeschriebenen Gesetzen zur Meldung von Verstößen wird in der Mainstream-Wirtschaft oder in der Community nur sehr wenig über das in Software integrierte Sicherheitsniveau gesagt und getan. Selbst diese Gesetze beziehen sich eher auf die Unternehmensverantwortung als darauf, dass die Software selbst reguliert wird oder dass ein verbindlicher Sicherheitsstandard eingehalten werden muss.
Wir werden dort ankommen, aber dafür ist vielleicht zuerst ein Pfad der Zerstörung erforderlich.
Gartner schätzt, dass es 8,4 Milliarden mit dem Internet verbundene Geräte werden bis 2020 genutzt; eine Zahl, die einem Anstieg von 31 Prozent seit 2016 entspricht. Dazu gehören Unterhaltungselektronik sowie Dinge wie medizinische Geräte und branchenspezifische Geräte. Das sind verdammt viele Möglichkeiten für einen Hacker.
Stellen Sie sich vor, die Software, auf der der Herzschrittmacher einer Person läuft, ist unsicher. Ein Hacker könnte einbrechen und möglicherweise das Herz seines Opfers stoppen (finden Sie das lächerlich? Ärzte hat das WLAN deaktiviert in Dick Cheneys Herzschrittmacher, um ein potenzielles Attentat durch Hacken zu vereiteln). Eine angeschlossene Mikrowelle oder ein Wasserkocher könnte aus der Ferne in die Luft gesprengt werden (zusammen mit allen möglichen Geräten des Internet der Dinge, die wir in unseren Häusern verwenden), oder bei einem vernetzten Elektroauto könnten die Bremsen deaktiviert sein. Das mag wie ein weit hergeholter Hollywood-Actionfilm klingen, aber wenn die Software einer dieser fortschrittlichen vernetzten Technologien gehackt werden kann, stehen wir wirklich vor einer potenziellen Katastrophe — genau wie die Bedrohungen, die wir bereits mit dem explosive Auswirkungen von Cyberangriffen in der Öl- und Gasindustrie.
Wir können den schlimmen Folgen böswilliger Hackerangriffe zuvorkommen, da unser Leben immer mehr von der digitalen Welt abhängt. Alles beginnt damit, Entwickler mehr für sicheres Programmieren zu begeistern und ernsthaft daran zu arbeiten, eine starke Sicherheitsmentalität und -kultur in den Entwicklungsteams zu entwickeln.
Ihre Software-Revolution beginnt hier. Die Bankenbranche ist Vorreiter bei der Einführung von gamifiziertem Training im Kampf gegen schlechten Code. Dabei handelt es sich um einen wirklich innovativen Ansatz, der traditionelle (sprich: langweilige) Schulungen auf den Kopf stellt. Tatsächlich engagiert derzeit jede der sechs führenden Banken Australiens ihre Entwickler auf diese Weise und fördert so deren Sicherheitsdenken. Schauen Sie sich an, was unser Kunde, die IAG Group, mit ihrem gemacht hat Turnier der nächsten Stufe.
Ursprünglich veröffentlicht in CSO Online
Als ethischer Hacker, Sicherheitsexperte und Computerfreak (halb im Ruhestand) könnte man sagen, dass mir Technologie sehr am Herzen liegt. Mir ist wichtig, wie sie hergestellt wurde, was sie tut und wie sie einen Teil unseres Lebens besser oder effizienter machen wird. Ich schaue ständig „unter die Haube“ von Geräten und sehe einige der besten (und schlechtesten) Codebeispiele, die es gibt. Vor Kurzem habe ich mir angesehen, wie meine Klimaanlage mit einer Android-App ferngesteuert werden kann (stellen Sie sich meine Überraschung vor, als ich herausfand, dass jeder im WiFi-Netzwerk dieses Ding ohne jegliche Authentifizierung steuern kann).
Softwaresicherheit steht für mich immer im Vordergrund, ebenso wie die sehr reale Gefahr, die von unserem zunehmend digitalen Lebensstil beim Austausch persönlicher Informationen ausgeht. Schließlich befinden wir uns in einem weitgehend unregulierten, unbeaufsichtigten und glücklicherweise ignorierten Gebiet. Wir sind im Wilden Westen.
Als kollektive Gesellschaft schauen wir der Technologie, die wir täglich verwenden, nicht unter die Haube. Obwohl beliebte und hochgelobte Fernsehserien wie Mr. Robot das allgemeine Bewusstsein stärken, sind wir nicht sicherheitsbewusst... Tatsächlich haben die meisten von uns keine Ahnung, wie sicher die Software in den unzähligen Anwendungen, Diensten und zunehmend vernetzten Dingen ist, die wir kaufen und verwenden. Es ist nicht einmal so, dass wir ihnen von Natur aus vertrauen — wir denken einfach überhaupt nicht an sie.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo! , Facebook, Target: Jedes einzelne dieser weit verbreiteten Unternehmen wurde Opfer einer Datenschutzverletzung. Ihre Software-Sicherheitslücken wurden ausgenutzt und Millionen und Abermillionen von Kundendaten wurden aufgedeckt. Diese Beispiele stellen nur einen Bruchteil der weltweiten Sicherheitslücken dar, die in den letzten zehn Jahren stattgefunden haben. Sie sind eine kostspielige Folge schlechter Softwaresicherheit, die es den Bösewichten ermöglicht, unsere wertvollen Informationen zu stehlen.
Wenn die meisten Menschen über Datenschutzverletzungen nachdenken, denken sie an Verstöße gegen die Informationssicherheit. Sie werden als Albtraum für das Unternehmen verstanden, gegen das verstoßen wurde, und als lästig für diejenigen, deren persönliche Daten betroffen sind, aber ernsthaft, was ist die große Sache? Sind die Folgen wirklich so groß, wenn die Sicherheit weiterhin ignoriert wird? Nichts Das Bisher ist viel passiert - Datenschutzverletzungen haben schwerwiegende Auswirkungen auf die für sie verantwortlichen Unternehmen, aber das ist ihr Problem, oder? Sie verlieren Geschäfte, sie verlieren das Vertrauen der Verbraucher; es ist letztlich ihre Aufgabe, das zu regeln und für den Schaden zu zahlen.
Softwaresicherheit sollte die Priorität jedes Unternehmens sein.
Es gibt einen ziemlich einfachen Grund, warum Softwaresicherheit nicht für jedes Unternehmen mit einem Entwicklungsteam das Hauptanliegen ist: Es haben noch nicht genug Menschen ihr Leben verloren und es gibt nicht genug Wissen über die Risiken.
Morbid? Vielleicht. Aber es ist die ehrliche Wahrheit. Vorschriften, Baustandards und Gesetzesänderungen werden beachtet (wie zum Beispiel von Regierungsbehörden), wenn ein echter menschlicher Preis.
Nehmen wir zum Beispiel eine Brücke. Bauingenieure (eine Branche, die Hunderte von Jahren alt ist) betrachten Sicherheit als einen zentralen Bestandteil des Brückenbaus. Ihr Ansatz geht weit über Ästhetik und grundlegende Funktionalität hinaus. Von jeder gebauten Brücke wird erwartet, dass sie strengen Sicherheitsvorschriften entspricht. Sowohl der Beruf des Bauingenieurs als auch die Gesellschaft als Ganzes lernen im Laufe der Zeit, ein hohes Maß an Sicherheit zu erwarten. Eine Brücke, die heute die Sicherheitsanforderungen nicht erfüllt, gilt als gefährlich und unbrauchbar. Dies ist immer noch eine Entwicklung, die wir innerhalb der Softwaretechnik erreichen müssen.
Schauen wir uns als moderneres Beispiel die Spielzeugindustrie an. In den 1950er Jahren gab es eine enormer Anstieg der Produktion und des Verkaufs von Spielzeug dank des Babybooms der Nachkriegszeit. Interessanterweise wurde berichtet, dass in dieser Zeit auch die Zahl der Besuche in der Notaufnahme aufgrund von Zwischenfällen im Zusammenhang mit Spielzeug zugenommen hat. Spielzeugpfeile verursachten Augenverletzungen, kleine Spielzeuge (und abnehmbare Teile von größeren Spielzeugen) wurden verschluckt und Spielzeugöfen, die an kleine Mädchen vermarktet werden waren in der Lage, auf höhere Temperaturen aufzuheizen als normale Haushaltsöfen.
Es war so etwas wie ein „Wilder Westen“ da draußen, mit wenig Regulierung, bis auf einige vereinzelte Verbote und Produktrückrufe unter den schlimmsten Umständen. Den Spielzeugherstellern stand es im Grunde frei, jedes Spielzeug herzustellen, das sie wollten, und Sicherheitsbedenken wurden in der Regel erst geäußert, nachdem es bereits mehrere gemeldete Vorfälle gegeben hatte. Es war erst, als Rechnungen wie Richard Nixons Spielzeugsicherheitsgesetz von 1969 wurden gesetzlich verankert, dass das Testen und das anschließende Verbot von gefährlichem Spielzeug in den USA und auf der ganzen Welt zum Standard wurden. Unfälle werden zwar immer noch passieren, aber heute gilt bei der Spielzeugherstellung die Regel „Sicherheit geht vor“, und unsere Kinder sind einer weitaus geringeren potenziellen Gefahr ausgesetzt.
Was Softwaresicherheit angeht, befinden wir uns derzeit im Wilden Westen. Abgesehen von offensichtlichen Gesetzen und Vorschriften in Bezug auf den Datenschutz (vor allem in jüngster Zeit mit der DSGVO) und dem Schutz von Kundendaten sowie den in einigen Ländern vorgeschriebenen Gesetzen zur Meldung von Verstößen wird in der Mainstream-Wirtschaft oder in der Community nur sehr wenig über das in Software integrierte Sicherheitsniveau gesagt und getan. Selbst diese Gesetze beziehen sich eher auf die Unternehmensverantwortung als darauf, dass die Software selbst reguliert wird oder dass ein verbindlicher Sicherheitsstandard eingehalten werden muss.
Wir werden dort ankommen, aber dafür ist vielleicht zuerst ein Pfad der Zerstörung erforderlich.
Gartner schätzt, dass es 8,4 Milliarden mit dem Internet verbundene Geräte werden bis 2020 genutzt; eine Zahl, die einem Anstieg von 31 Prozent seit 2016 entspricht. Dazu gehören Unterhaltungselektronik sowie Dinge wie medizinische Geräte und branchenspezifische Geräte. Das sind verdammt viele Möglichkeiten für einen Hacker.
Stellen Sie sich vor, die Software, auf der der Herzschrittmacher einer Person läuft, ist unsicher. Ein Hacker könnte einbrechen und möglicherweise das Herz seines Opfers stoppen (finden Sie das lächerlich? Ärzte hat das WLAN deaktiviert in Dick Cheneys Herzschrittmacher, um ein potenzielles Attentat durch Hacken zu vereiteln). Eine angeschlossene Mikrowelle oder ein Wasserkocher könnte aus der Ferne in die Luft gesprengt werden (zusammen mit allen möglichen Geräten des Internet der Dinge, die wir in unseren Häusern verwenden), oder bei einem vernetzten Elektroauto könnten die Bremsen deaktiviert sein. Das mag wie ein weit hergeholter Hollywood-Actionfilm klingen, aber wenn die Software einer dieser fortschrittlichen vernetzten Technologien gehackt werden kann, stehen wir wirklich vor einer potenziellen Katastrophe — genau wie die Bedrohungen, die wir bereits mit dem explosive Auswirkungen von Cyberangriffen in der Öl- und Gasindustrie.
Wir können den schlimmen Folgen böswilliger Hackerangriffe zuvorkommen, da unser Leben immer mehr von der digitalen Welt abhängt. Alles beginnt damit, Entwickler mehr für sicheres Programmieren zu begeistern und ernsthaft daran zu arbeiten, eine starke Sicherheitsmentalität und -kultur in den Entwicklungsteams zu entwickeln.
Ihre Software-Revolution beginnt hier. Die Bankenbranche ist Vorreiter bei der Einführung von gamifiziertem Training im Kampf gegen schlechten Code. Dabei handelt es sich um einen wirklich innovativen Ansatz, der traditionelle (sprich: langweilige) Schulungen auf den Kopf stellt. Tatsächlich engagiert derzeit jede der sechs führenden Banken Australiens ihre Entwickler auf diese Weise und fördert so deren Sicherheitsdenken. Schauen Sie sich an, was unser Kunde, die IAG Group, mit ihrem gemacht hat Turnier der nächsten Stufe.
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
レポートを見るデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
Ursprünglich veröffentlicht in CSO Online
Als ethischer Hacker, Sicherheitsexperte und Computerfreak (halb im Ruhestand) könnte man sagen, dass mir Technologie sehr am Herzen liegt. Mir ist wichtig, wie sie hergestellt wurde, was sie tut und wie sie einen Teil unseres Lebens besser oder effizienter machen wird. Ich schaue ständig „unter die Haube“ von Geräten und sehe einige der besten (und schlechtesten) Codebeispiele, die es gibt. Vor Kurzem habe ich mir angesehen, wie meine Klimaanlage mit einer Android-App ferngesteuert werden kann (stellen Sie sich meine Überraschung vor, als ich herausfand, dass jeder im WiFi-Netzwerk dieses Ding ohne jegliche Authentifizierung steuern kann).
Softwaresicherheit steht für mich immer im Vordergrund, ebenso wie die sehr reale Gefahr, die von unserem zunehmend digitalen Lebensstil beim Austausch persönlicher Informationen ausgeht. Schließlich befinden wir uns in einem weitgehend unregulierten, unbeaufsichtigten und glücklicherweise ignorierten Gebiet. Wir sind im Wilden Westen.
Als kollektive Gesellschaft schauen wir der Technologie, die wir täglich verwenden, nicht unter die Haube. Obwohl beliebte und hochgelobte Fernsehserien wie Mr. Robot das allgemeine Bewusstsein stärken, sind wir nicht sicherheitsbewusst... Tatsächlich haben die meisten von uns keine Ahnung, wie sicher die Software in den unzähligen Anwendungen, Diensten und zunehmend vernetzten Dingen ist, die wir kaufen und verwenden. Es ist nicht einmal so, dass wir ihnen von Natur aus vertrauen — wir denken einfach überhaupt nicht an sie.
Sony PlayStation Network (PSN), Ticketmaster, Yahoo! , Facebook, Target: Jedes einzelne dieser weit verbreiteten Unternehmen wurde Opfer einer Datenschutzverletzung. Ihre Software-Sicherheitslücken wurden ausgenutzt und Millionen und Abermillionen von Kundendaten wurden aufgedeckt. Diese Beispiele stellen nur einen Bruchteil der weltweiten Sicherheitslücken dar, die in den letzten zehn Jahren stattgefunden haben. Sie sind eine kostspielige Folge schlechter Softwaresicherheit, die es den Bösewichten ermöglicht, unsere wertvollen Informationen zu stehlen.
Wenn die meisten Menschen über Datenschutzverletzungen nachdenken, denken sie an Verstöße gegen die Informationssicherheit. Sie werden als Albtraum für das Unternehmen verstanden, gegen das verstoßen wurde, und als lästig für diejenigen, deren persönliche Daten betroffen sind, aber ernsthaft, was ist die große Sache? Sind die Folgen wirklich so groß, wenn die Sicherheit weiterhin ignoriert wird? Nichts Das Bisher ist viel passiert - Datenschutzverletzungen haben schwerwiegende Auswirkungen auf die für sie verantwortlichen Unternehmen, aber das ist ihr Problem, oder? Sie verlieren Geschäfte, sie verlieren das Vertrauen der Verbraucher; es ist letztlich ihre Aufgabe, das zu regeln und für den Schaden zu zahlen.
Softwaresicherheit sollte die Priorität jedes Unternehmens sein.
Es gibt einen ziemlich einfachen Grund, warum Softwaresicherheit nicht für jedes Unternehmen mit einem Entwicklungsteam das Hauptanliegen ist: Es haben noch nicht genug Menschen ihr Leben verloren und es gibt nicht genug Wissen über die Risiken.
Morbid? Vielleicht. Aber es ist die ehrliche Wahrheit. Vorschriften, Baustandards und Gesetzesänderungen werden beachtet (wie zum Beispiel von Regierungsbehörden), wenn ein echter menschlicher Preis.
Nehmen wir zum Beispiel eine Brücke. Bauingenieure (eine Branche, die Hunderte von Jahren alt ist) betrachten Sicherheit als einen zentralen Bestandteil des Brückenbaus. Ihr Ansatz geht weit über Ästhetik und grundlegende Funktionalität hinaus. Von jeder gebauten Brücke wird erwartet, dass sie strengen Sicherheitsvorschriften entspricht. Sowohl der Beruf des Bauingenieurs als auch die Gesellschaft als Ganzes lernen im Laufe der Zeit, ein hohes Maß an Sicherheit zu erwarten. Eine Brücke, die heute die Sicherheitsanforderungen nicht erfüllt, gilt als gefährlich und unbrauchbar. Dies ist immer noch eine Entwicklung, die wir innerhalb der Softwaretechnik erreichen müssen.
Schauen wir uns als moderneres Beispiel die Spielzeugindustrie an. In den 1950er Jahren gab es eine enormer Anstieg der Produktion und des Verkaufs von Spielzeug dank des Babybooms der Nachkriegszeit. Interessanterweise wurde berichtet, dass in dieser Zeit auch die Zahl der Besuche in der Notaufnahme aufgrund von Zwischenfällen im Zusammenhang mit Spielzeug zugenommen hat. Spielzeugpfeile verursachten Augenverletzungen, kleine Spielzeuge (und abnehmbare Teile von größeren Spielzeugen) wurden verschluckt und Spielzeugöfen, die an kleine Mädchen vermarktet werden waren in der Lage, auf höhere Temperaturen aufzuheizen als normale Haushaltsöfen.
Es war so etwas wie ein „Wilder Westen“ da draußen, mit wenig Regulierung, bis auf einige vereinzelte Verbote und Produktrückrufe unter den schlimmsten Umständen. Den Spielzeugherstellern stand es im Grunde frei, jedes Spielzeug herzustellen, das sie wollten, und Sicherheitsbedenken wurden in der Regel erst geäußert, nachdem es bereits mehrere gemeldete Vorfälle gegeben hatte. Es war erst, als Rechnungen wie Richard Nixons Spielzeugsicherheitsgesetz von 1969 wurden gesetzlich verankert, dass das Testen und das anschließende Verbot von gefährlichem Spielzeug in den USA und auf der ganzen Welt zum Standard wurden. Unfälle werden zwar immer noch passieren, aber heute gilt bei der Spielzeugherstellung die Regel „Sicherheit geht vor“, und unsere Kinder sind einer weitaus geringeren potenziellen Gefahr ausgesetzt.
Was Softwaresicherheit angeht, befinden wir uns derzeit im Wilden Westen. Abgesehen von offensichtlichen Gesetzen und Vorschriften in Bezug auf den Datenschutz (vor allem in jüngster Zeit mit der DSGVO) und dem Schutz von Kundendaten sowie den in einigen Ländern vorgeschriebenen Gesetzen zur Meldung von Verstößen wird in der Mainstream-Wirtschaft oder in der Community nur sehr wenig über das in Software integrierte Sicherheitsniveau gesagt und getan. Selbst diese Gesetze beziehen sich eher auf die Unternehmensverantwortung als darauf, dass die Software selbst reguliert wird oder dass ein verbindlicher Sicherheitsstandard eingehalten werden muss.
Wir werden dort ankommen, aber dafür ist vielleicht zuerst ein Pfad der Zerstörung erforderlich.
Gartner schätzt, dass es 8,4 Milliarden mit dem Internet verbundene Geräte werden bis 2020 genutzt; eine Zahl, die einem Anstieg von 31 Prozent seit 2016 entspricht. Dazu gehören Unterhaltungselektronik sowie Dinge wie medizinische Geräte und branchenspezifische Geräte. Das sind verdammt viele Möglichkeiten für einen Hacker.
Stellen Sie sich vor, die Software, auf der der Herzschrittmacher einer Person läuft, ist unsicher. Ein Hacker könnte einbrechen und möglicherweise das Herz seines Opfers stoppen (finden Sie das lächerlich? Ärzte hat das WLAN deaktiviert in Dick Cheneys Herzschrittmacher, um ein potenzielles Attentat durch Hacken zu vereiteln). Eine angeschlossene Mikrowelle oder ein Wasserkocher könnte aus der Ferne in die Luft gesprengt werden (zusammen mit allen möglichen Geräten des Internet der Dinge, die wir in unseren Häusern verwenden), oder bei einem vernetzten Elektroauto könnten die Bremsen deaktiviert sein. Das mag wie ein weit hergeholter Hollywood-Actionfilm klingen, aber wenn die Software einer dieser fortschrittlichen vernetzten Technologien gehackt werden kann, stehen wir wirklich vor einer potenziellen Katastrophe — genau wie die Bedrohungen, die wir bereits mit dem explosive Auswirkungen von Cyberangriffen in der Öl- und Gasindustrie.
Wir können den schlimmen Folgen böswilliger Hackerangriffe zuvorkommen, da unser Leben immer mehr von der digitalen Welt abhängt. Alles beginnt damit, Entwickler mehr für sicheres Programmieren zu begeistern und ernsthaft daran zu arbeiten, eine starke Sicherheitsmentalität und -kultur in den Entwicklungsteams zu entwickeln.
Ihre Software-Revolution beginnt hier. Die Bankenbranche ist Vorreiter bei der Einführung von gamifiziertem Training im Kampf gegen schlechten Code. Dabei handelt es sich um einen wirklich innovativen Ansatz, der traditionelle (sprich: langweilige) Schulungen auf den Kopf stellt. Tatsächlich engagiert derzeit jede der sechs führenden Banken Australiens ihre Entwickler auf diese Weise und fördert so deren Sicherheitsdenken. Schauen Sie sich an, was unser Kunde, die IAG Group, mit ihrem gemacht hat Turnier der nächsten Stufe.
%20(1).avif)
.avif)
